WhatsApp utiliza un sistema de encriptación de extremo a extremo para proteger los datos de los usuarios. En teoría, esto hace que la información solamente sea accesible para el emisor y el receptor. Sin embargo, se descubrió que tiene una puerta trasera que permite acceder a las copias de seguridad almacenadas en los servidores de Google Drive, por lo que los chats privados quedan expuestos.

Así lo aseguró el usuario de Reddit crawl_dht, que explicó la forma en que funciona el protocolo de encriptación AES-GCM-256, que emplea WhatsApp desde hace años y también otras plataformas como Zoom.

La encriptación y su falla

AES-GCM-256 es una modalidad de encriptación de extremo a extremo en la que los datos se encuentran cifrados por claves de 256 bits que solo tienen el emisor y el receptor. Sin ellas no es posible conocer el contenido de la información intercambiada, aunque esta pase por los servidores y la nube.

No obstante, según el usuario de Reddit, en el caso de WhatsApp estas claves no se crean en el propio dispositivo sino que se generan en los servidores de la aplicación, desde donde se envían al usuario.

Descubrieron una falla de seguridad en WhatsApp. (Foto: BLOOMBERG)

Cada vez que el usuario accede a WhatsApp desde un nuevo dispositivo, la aplicación recibe la clave para acceder a las copias de seguridad de los chats almacenadas en Drive. Estas claves siguen usándose posteriormente para cifrar los chats, hasta que se restauran de forma periódica por otras, aunque generadas nuevamente en los servidores de la compañía, propiedad de Facebook.

De esta manera, se abre una "puerta trasera" a la encriptación de extremo a extremo que promete WhatsApp, debido a que las claves de encriptación anteriores se almacenan en los servidores para los usuarios que quieran acceder a sus copias de seguridad antiguas.

En cualquier caso, esta puerta trasera hace necesario tener acceso a la cuenta de Google vinculada con el perfil de WhatsApp del propietario.

En ocasiones anteriores, WhatsApp recordó a sus usuarios que nadie, ni siquiera la compañía, tiene acceso a los chats ni a otros datos como a las llamadas de los usuarios gracias al cifrado de extremo a extremo.

Fuente: DPA.