Las mentiras sobre la seguridad de Whatsapp en Android
Durante la segunda quincena del mes de Agosto me han llegado muchas noticias relacionadas con el acuerdo recientemente suscrito entre Google y Facebook (propietaria de Whatsapp). Según este acuerdo, a partir del 12 de Noviembre de 2018 las copias de seguridad de Whatsapp ya no contarán en la cuota de almacenamiento de Google Drive.
Esto no son “fake news” y puede consultarse en el FAQ de Whatsapp (https://faq.whatsapp.com/es/android/28000019/?category=5245251) la nota relativa a este acuerdo. Entiendo que es algo que resulta beneficioso para todos los usuarios de Whatsapp, cuyos archivos multimedia ocupan en muchos casos varios gigas de información (esos videos de gatitos que tanto os gusta compartir).
Sin embargo, tras la publicación de estas noticias se ha producido una ola de “fake news” en relación a la inseguridad de las copias de seguridad almacenadas en Google Drive. Se decía que había una nueva vulnerabilidad en Whatsapp o que los usuarios están en peligro. Esto no es otra cosa que campañas de “clickbaiting”, práctica que está cada vez más extendida entre los portales de internet que se disputan el tráfico como si fuera un caramelo en la puerta de un colegio.
Por eso, tomé nota y en cuanto he podido he preparado este post, en el que intentaré explicar detalladamente en qué consiste el cifrado extremo a extremo en Whatsapp y su relación (o no relación) con las copias de seguridad de Google Drive. Y que ya cada cual que saque sus propias conclusiones. Y recordad, que ningún sistema o aplicación es 100% seguro.
Contenidos
En qué consiste el cifrado extremo a extremo en la seguridad de Whatsapp.
El famoso cifrado extremo a extremo, incluido en Whatsapp de forma generalizada a primeros de 2017, aporta un nivel de seguridad elevado en lo que a las comunicaciones se refiere. Este cifrado permite que los mensajes y archivos multimedia intercambiados en una conversación sólo puedan ser leídos por los interlocutores de dicha conversación. Whatsapp compró a Signal la licencia para el uso de esta tecnología.
El protocolo utilizado para este cifrado está detallado de forma técnica en el siguiente enlace: https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf, por si alguno está interesado en consultarlo. Se trata de un cifrado asimétrico, en el que las claves públicas de todos los usuarios son conocidas mientras que las claves privadas permanecen guardadas únicamente en cada dispositivo.
Existen artículos publicados con posibles vectores de ataque utilizando la técnica de “man-in-the-middle”, pero todos ellos se basan en la adquisición de al menos una parte de la clave, utilizando Whatsapp Web como acceso. Son bastante difíciles de reproducir, más allá de una prueba de concepto.
Este protocolo de momento es seguro y no se conocen brechas en el mismo. Por tanto, debemos confiar en que nuestros mensajes no están circulando por internet de forma abierta o visible, y que sólo los destinatarios de nuestros mensajes estarán accediendo a ellos.
Pero recordemos que hablamos de un cifrado de las comunicaciones. Cuando nuestros mensajes están almacenados en el teléfono, deben guardarse de forma adecuada y segura, como veremos a continuación.
¿Cómo se almacenan los mensajes de Whatsapp en nuestro teléfono Android?
Hay muchos artículos que explican esto detalladamente, por lo que no quiero profundizar en ello más allá de lo necesario. Simplemente vamos a comentar los aspectos principales:
- La base de datos en la que se almacenan los mensajes de Whatsapp está almacenada en el teléfono móvil, en una carpeta que está inaccesible para el usuario del teléfono (o para un investigador forense), por tanto nuestros mensajes se encuentran seguros.
- Las imágenes, notas de audio, videos, etc… están almacenados en el almacenamiento externo o tarjeta SD del teléfono, por tanto están accesibles para cualquier persona que tenga acceso al teléfono.
- En el almacenamiento externo también se guardan 7 copias de seguridad de nuestros mensajes (de los últimos 7 días), encriptadas utilizando el algoritmo de cifrado AES, utilizando una clave de 256 bits y un vector de inicialización de 128 bits. La clave para desencriptar estos mensajes está guardada en la parte “inaccesible” del teléfono, por lo que nuestras copias de seguridad están seguras.
Muchos sabréis que el proceso que llamamos “rooteado” nos permite tener un acceso completo como administrador al teléfono, y entre otras cosas, podremos acceder a la base de datos de Whatsapp. Este proceso es bastante peligroso y sólo debe realizarse por personas con conocimientos técnicos avanzados, resultando nada recomendable para usuarios finales por los riesgos que conlleva.
Por tanto, siempre que nuestro teléfono no esté “rooteado”, debemos considerar que nuestros mensajes están seguros y que la seguridad de Whatsapp no está comprometida.
¿Son seguros los backups de Google Drive?
Whatsapp cuenta con la posibilidad (habilitada por defecto en la mayoría de los teléfonos) de realizar copias de seguridad de sus mensajes y sus archivos multimedia en la nube, utilizando el almacenamiento gratuito proporcionado por Google Drive en dispositivos android.
Lo que Whatsapp almacenará en Google Drive estará protegido de la misma forma que lo están las imágenes, documentos, videos o cualquier otro tipo de archivo que nosotros guardemos deliberadamente en este sistema de almacenamiento en la nube. ¿Y es Google Drive un sistema seguro?
No podemos considerar que Google Drive sea para nada un sistema inseguro. En primer lugar, para poder acceder a Google Drive necesitamos conocer el correo electrónico y la contraseña de Google del propietario de la cuenta. Exactamente lo mismo que si queremos acceder al correo de Gmail. Por tanto, no hay un mayor ni menor nivel de seguridad aplicable a nuestro correo Gmail que a los archivos de Whatsapp almacenados en Drive.
Y como habitualmente recomendamos los que nos dedicamos a la seguridad informática, es conveniente proteger las cuentas en servicios online mediante lo que denominamos “doble factor de autenticación”, que en la práctica se resume en que cuando alguien acceda a nuestra cuenta en un servicio en la nube podamos recibir un email, sms o algún otro tipo de aviso que sólo nosotros podamos recibir y nos permita verificar que dicho acceso es un acceso autorizado.
Además, Google Drive almacena los datos de Whatsapp en una sección especial denominada “Copias de Seguridad”, que no permite descargarla directamente. Sólo puedes recuperar esta información si desinstalas Whatsapp y lo vuelves a instalar (en el mismo o en otro dispositivo) y consigues cumplir el protocolo de validación del número de teléfono (mediante un código enviado por SMS o llamada).
Conclusiones
En mi opinión, se ha exagerado en exceso con el tema en cuestión, dado que el cifrado extremo a extremo de Whatsapp afecta al intercambio de mensajes, y nada tiene que ver con el almacenamiento de los mismos, ni en el teléfono ni en Google Drive.
Se han mezclado conceptos distintos, intentando generar una alarma injustificada en los usuarios, ya sea por desconocimiento o de forma deliberada, con un objetivo de “clickbaiting”.
Pero como siempre, estoy abierto a vuestros comentarios y críticas. Podéis escribir comentarios a esta entrada o contactar conmigo por Twitter en mi cuenta @peritotec . Y os invito a consultar otros posts que tengo relacionados con Whatsapp: https://blog.peritotecnologico.net/2018/04/02/como-recuperar-mensajes-borrados-de-whatsapp/ y https://blog.peritotecnologico.net/2017/08/05/validez-del-whatsapp-proceso-judicial/
Un saludo!