Lo que encontró el criptógrafo Tobias Boelter en WhatsApp “no se trata de una vulnerabilidad sino de una ‘puerta trasera’ (backdoor, en inglés), lo que implica una vía alternativa que tendría la empresa -e incluso otros actores como fuerzas del orden o agencias de inteligencia- para interceptar mensajes encriptados”, explicó Cristian Borghello, especialista en seguridad informática.

La “puerta trasera” de uno de los sistemas de mensajería más populares del mundo funciona así: “cuando una persona manda un mensaje vía WhatsApp a otra y ésta todavía no lo “vio” (es decir, no tiene la doble tilde), la empresa puede cambiar la clave de encriptación sin que ambos usuarios se den cuenta”, explica el especialista en seguridad.

De esta forma, WhatsApp tiene la capacidad de forzar la generación de nuevas claves de cifrado para los usuarios, sin que el remitente y el destinatario de los mensajes lo sepan (por ejemplo, porque no están online).

Si la empresa puede cambiar la clave, “esto significa que la conoce y por lo tanto puede interceptar el mensaje”, amplió el especialista argentino, quien mencionó que esta misma vía podría ser aprovechada para espiar a los usuarios por otros actores, como agencias gubernamentales.

El hallazgo de la “puerta trasera” en la popular aplicación de mensajería -comprada por Facebook en 2014- fue publicado ayer en el periódico británico The Guardian como parte de una investigación realizada por Tobias Boelter, criptógrafo e investigador de seguridad informática de la Universidad de Berkeley, Estados Unidos.

Según Boelter, esta puerta trasera daría acceso a la lectura de las comunicaciones a pesar de que WhatsApp cuenta con un sistema de seguridad cifrado de “extremo-a-extremo”.

Cuando la red social liderada por Mark Zuckerberg lanzó este sistema de seguridad como parte de su aplicación de mensajería, había asegurado que “ninguna persona podía interceptar” los mensajes enviados por esta vía, “ni siquiera la compañía o sus empleados”. Sin embargo, Boelter reportó que esto no es así.

“El sistema de cifrado de ‘extremo a extremo’ introducido por WhatsApp se basa en la generación de claves de seguridad únicas, utilizando el mismo protocolo Signal que aplica Facebook. Sin embargo el protocolo de Signal no tiene en Facebook esta puerta trasera que sí se encontró en WhatsApp”, aclaró Borghello al mencionar que justamente por esa razón la comunidad informática especula con que “la agregaron a propósito para interceptar los mensajes”.

En esta misma línea se expresó Valentín Muro, especialista en tecnología y filosofía, quien sostiene que “el problema de WhatsApp es cómo implementa el protocolo de Signal”.

Para Muro “es importante, sin embargo, no generar paranoia entre los usuarios porque muchas veces la seguridad depende de a quién tenemos en la vereda de enfrente. Para la mayoría de los casos WhatsApp es seguro, aunque si lo que se teme es el espionaje de organizaciones gubernamentales, allí sí que no representa una alternativa segura para usar”, señaló.

Más allá de cuestiones técnicas, habrá qué esperar la respuesta de Facebook, propietaria del sistema, ante el estado público que tomó el hallazgo de la “puerta trasera” en WhatsApp, una información que Boelter le avisó a la red social en abril de 2016.