El problema no es la criptografía, sino su implementación. Telegram, WhatsApp y Signal, bajo la lupa de los expertos en seguridad.
Hace poco más de dos años, a principios de abril de 2016, WhatsApp anunciaba la encriptación de extremo a extremo (end-to-end) en las comunicaciones. Esto significa que la información de las conversaciones, en vez de estar almacenadas en los servidores centralizados y gestionados por WhatsApp, son guardadas a través de claves de cifrado en el dispositivo del usuario.
En un documento técnico, desde la aplicación de mensajería explican con detalles cómo funciona el sistema, basado en el protocolo Signal. Por ejemplo, describen:
«Este protocolo de cifrado extremo a extremo está diseñado para evitar que terceras partes y WhatsApp tengan acceso al texto plano de las llamadas o los mensajes. Y lo que es más, incluso si las claves de cifrado de un dispositivo de usuario se ven comprometidas físicamente, no podrán ser usadas para volver atrás en el tiempo y descifrar mensajes transmitidos con anterioridad.»
Así, en este proceso, existen claves (keys) de cifrado públicas y privadas. Pero, ¿es WhatsApp un sistema 100% seguro?
«Es casi perfecto ya que su seguridad ha sido comprometida en lo que va del año por una investigación realizada por el Perito Informático Marcelo Romero. Encontró un falla en las claves para vulnerar este protocolo de cifrado de extremo a extremo, en la versión web y móvil», señala Emiliano Zárate, investigador digital e instructor en Informática Forense y Seguridad de la Información.
De todos modos, en general, los expertos en ciberseguridad consideran que WhatsApp no es fácil de hackear sin acceso al teléfono. «El hecho de que un experto en seguridad haya vulnerado la aplicación, no significa que tu información corra algún riesgo», señala a Infobae Romero, el perito informático del Ministerio Público Fiscal de la Ciudad Autónoma de Buenos Aires que encontró la vulnerabilidad.
Esta práctica de encontrar una falla y reportarla es conocida como ethical hacking. «Las vulneraciones son reportadas a la empresa para elevar el sistema de seguridad», expresa el experto en ciberseguridad.
Cuando los teléfonos son secuestrados ante una orden judicial, según indica Romero, se observa que los delincuentes utilizan servicios de mensajería instantánea como Whatsapp y Telegram (los preferidos). «Pero muchas veces nos encontramos con otras aplicaciones que son menos conocidas como Signal, WeChat o Line», agrega.
Cómo trabajan los peritos en el cifrado
Para realizar el análisis de la información contenida en los dispositivos celulares se necesitan 2 piezas fundamentales. Por un lado, un especialista con conocimientos sólidos en informática forense aplicada a telefonía móvil. Por el otro, un laboratorio de informática forense que cuente con el hardware y el software necesario para poder realizar los análisis y seguir los rastros digitales.
«Para realizar una búsqueda y recolección de información relacionada con un incidente en el cual se pueda encontrar posible evidencia incriminatoria, y esta sea utilizada como elemento material probatorio en un proceso judicial, debemos contar con el software Oxygen Forensics Detective», revela Zárate.
Esta solución permite la extracción de información de los servicios de mensajería instantánea como WhatsApp, Telegram, Signal, y otras aplicaciones. «Si el dispositivo contara con bloqueos se seguridad como patrón, pin o contraseña, aun así se podría acceder a la información en la mayoría de los casos», señala Romero.
El software Oxygen Forensics le permite al investigador descifrar y encontrar contraseñas para copias de seguridad e imágenes encriptadas; por ejemplo de iTunes o Android.
«Todo esto nos dará acceso a las conversaciones contenidas en los chats, juntos con fecha y hora, archivos de audio, imágenes y videos», finaliza Romero.
El cifrado no garantiza la seguridad del sistema
«La criptografía utilizada en sistemas tales como WhatsApp y Signal es muy difícil de vulnerar. Pero eso no los hace necesariamente seguros. ´Un atacante generalmente no rompe la criptografía, sino que la evita´, dijo el criptógrafo Adi Shamir», dice a Infobae Alfredo Ortega, doctor en Informática.
Ortega se desempeña como especialista en auditoría y seguridad de software. Ha descubierto varias fallas en sistemas operativos, sistemas de mensajería instantánea y máquinas de voto electrónico; y ha expuesto acerca de ellas tanto en el Senado como en la Cámara de Diputados de la Nación.
«Es probable que las fuerzas de la ley tengan la capacidad de pedirle a WhatsApp que apague o debilite el cifrado para realizar investigaciones. Por lo tanto, si una persona está tratando de evadir las fuerzas de la ley, es recomendable no utilizar WhatsApp ni ningún otro sistema de chat», advierte.
Continúa: «En general, la gente no trata de evadir la ley, sino que su problema se limita a algún curioso que quiera acceder a sus mensajes, tal como su pareja o algún familiar. En ese caso, la criptografía de Whatsapp,
Telegram o Signal es suficiente pero sería recomendable utilizar algún
sistema de borrado automático de mensajes, tal como el que tiene la app Signal».
Para romper un sistema de «cifrado fuerte», se necesitan grandes recursos. «Es impráctico hacerlo sin poseer la clave. Se utilizan varios algoritmos matemáticos tales como RSA, AES o algoritmos de curva elíptica para encriptar los datos entre los terminales de comunicación», explica Ortega.
Luego, señala que en la actualidad no hay realmente diferentes grados de criptografía. «O se tiene criptografía fuerte, o no se tiene. La criptografía débil se puede romper trivialmente, o sea que es como si no se encriptara nada», afirma.
Pero, según indica el experto, el problema no es realmente la criptografía, sino la implementación de ésta. «Puede y suele tener muchas fallas, lo que posibilita que, aprovechándose de ellas, se pueda romper el protocolo y acceder a los datos», expresa.
La vulnerabilidad del recomendado Signal
Hace algunas semanas Ortega publicó un documento junto a los investigadores argentinos Iván Barrera Oro y Juliano Rizzo, que detectó vulnerabilidades del cliente de PC del chat Signal, un servicio que ha sido recomendado hasta por Edward Snowden, ex agente de los servicios de inteligencia de Estados Unidos.
«No rompimos la criptografía, sino que pudimos insertar código malicioso en el chat por medio de una falla, algo que, a los efectos prácticos, causó el mismo efecto: pudimos acceder a los mensajes. Por eso, no es solo necesario que un cliente use criptografía fuerte, sino que también esté bien implementado, con pocos bugs (fallas)», explica Ortega.
De todas formas y, a pesar de haber reportado dos fallas «serias» de seguridad , el experto considera que Signal, en su versión para celular, es de las apps más seguras. «Especialmente porque tiene características tales como borrado automático de mensajes y encriptación por defecto», indica.
Entonces, para chatear de forma segura, Ortega sigue recomendando Signal para celular («no la versión para PC») con la función de borrado automático de mensajes.
«Por supuesto, dependiendo de quién quieras protegerte. Si querés protegerte de la NSA, mi recomendación es que no utilices computadoras para comunicarte», aconseja.
Por su parte, Denise Giusto Bilic, investigadora de seguridad de ESET Latinoamérica aconseja usar Signal para teléfonos en casos de alto riesgo (para periodistas o políticos, por ejemplo). ¿Y si el dispositivo fuese capturado? «Signal es más seguro ya que no almacena los mensajes en el celular (como WhatsApp, por ejemplo)».
Bilic recomienda, en estos casos extremos, encriptar el teléfono. «Sea un iPhone o Android. Las últimas versiones de Android encriptan por defecto», señala.
¿Y Telegram?
«No me parece de lo mejor, ya que no encripta los mensajes
completamente. Su servidor sigue teniendo acceso a los mensajes, excepto que se inicie el chat como conversación secreta. En WhatsApp y Signal todas las conversaciones son secretas y no hace falta marcarlas especialmente como secretas», manifiesta Ortega.
Skype, como Signal
En la actualidad, la mayor parte de las aplicaciones de mensajería utilizan cifrado punto a punto, explica Bilic. Suma a la lista a Facebook Messenger., ya que ofrece la posibilidad de iniciar chats secretos. Y también a Skype, el servicio de mensajería de Microsoft.
«Se encuentra en proceso de incorporar los chats privados bajo el mismo protocolo seguro utilizado por Signal», asegura la experta en ciberseguridad.
Recomendaciones
Para mantener conversaciones seguras, Bilic recomienda realizar:
– Backup de la información.
– Cifrado de los archivos en el equipo.
– Instalación de una solución de seguridad que prevenga infecciones por malware y el acceso a páginas fraudulentas.
– Borrado remoto.
– Actualización continua del sistema operativo y de las diferentes aplicaciones que en él se encuentran instaladas.
– Uso de doble factor de autenticación.
– Bloqueo del equipo cuando no está en uso.
– Utilizar solo redes privadas para enviar datos sensibles.
Fuente: Infobae