WhatsApp multidispositivo: ¿Qué hay de nuevo? – Parte 1
WhatsApp multidispositivo: ¿Qué hay de nuevo? – Parte 1

WhatsApp multidispositivo: ¿Qué hay de nuevo? – Parte 1

En el mes de julio de 2021, Facebook ha anunciado cuáles son las principales novedades que WhatsApp traerá lo relativo a su uso en múltiples dispositivos, desplegadas ya en una beta pública accesible en gran parte del mundo.

En esta serie de posts quiero contaros en qué consisten estas novedades y también aportaros mi visión sobre lo creo que pueden afectar al trabajo de un perito informático forense. Os detallo los posts que conforman la serie, con los enlaces a cada uno de ellos. A medida que los vaya publicando, los enlaces irán estando activos.

Introducción

WhatsApp encara uno de sus mayores retos técnicos desde su creación y posterior adquisición por parte de Facebook. Para poder explicaros “lo nuevo”, voy a intentar explicaros brevemente cómo funcionan las versiones actuales de WhatsApp para permitir el uso de dispositivos vinculados. Posteriormente analizaré los cambios que traerá la nueva arquitectura multidispositivo.

¿Qué teníamos hasta ahora?

Las versiones actuales de WhatsApp (este post está escrito en septiembre de 2021) utilizan el teléfono móvil como la única fuente original de todos los datos del usuario. Pero existe la posibilidad de utilizar WhatsApp en otros dispositivos distintos del teléfono móvil. Estos dispositivos se conocen con el nombre de “companion devices” o “dispositivos vinculados”.

Para el uso de estos “dispositivos vinculados” WhatsApp proporciona varias aplicaciones que permiten el uso de WhatsApp en Windows y en macOS, aunque la más conocida de todas ellas es “Whatsapp Web”, que nos permite utilizarlo a través del navegador, sin necesidad de instalar aplicación alguna.

Para poder utilizar el dispositivo vinculado, primero debe establecerse la vinculación con el teléfono móvil en el que WhatsApp se encuentra instalado. Esto se hace a través de un código QR visualizado en el dispositivo vinculado y que debe ser escaneado en el teléfono móvil principal.

Imágen de un Código QR utilizado para la vinculación de WhatsApp Web

No quiero aburriros detalles técnicos a muy bajo nivel, pero sí que conviene saber que el código QR es la clave pública de un sistema de cifrado asimétrico, y que una vez establecido el vínculo, podemos visualizar datos, enviar mensajes o realizar llamadas y/o videollamadas desde el dispositivo vinculado.

Lo que no todo el mundo conoce es que, para que este sistema funcione, el teléfono móvil debe estar siempre encendido y con una conexión de datos activa, pues es éste el que realmente se encarga de enviar los mensajes, iniciar las llamadas, etc…

Esto es muy importante desde el punto de vista técnico, dado que todas las comunicaciones deben estar cifradas de extremo a extremo. Siempre es el teléfono el que se encarga de todas las comunicaciones y del cifrado de los mensajes, mientras que en el dispositivo vinculado, sólo se mostrará una copia de los datos que hay en el teléfono, pero con una interfaz de usuario ligeramente distinta.

Cómo es el teléfono móvil el que tiene que realizar todas las operaciones, los dispositivos vinculados funcionan bastante lentos y se desconectan con cierta frecuencia, sobre todo si el teléfono móvil tiene una mala conectividad, poca batería o incluso si la aplicación de WhatsApp es cerrada por el sistema operativo.

Además, sólo se permite un dispositivo vinculado activo al mismo tiempo, por lo que se hace imposible mantener una videoconferencia a través de un dispositivo tipo Portal, Amazon Echo o Google Nest y al mismo tiempo consultar mensajes en un PC, por ejemplo.

La nueva arquitectura multidispositivo viene a solucionar muchas de estas limitaciones. Ya no será necesaria una conexión permanente con el teléfono móvil (que podrá estar incluso apagado) sin que ello afecte a la experiencia del usuario, cuyos datos deberán ser sincronizados de forma segura entre todos sus dispositivos.

Supongo que no fue un reto sencillo para los ingenieros de Facebook, así que veamos cómo lo han resuelto.

¿Qué nos trae la nueva arquitectura multidispositivo?

Hasta ahora, cada usuario de WhatsApp estaba identificado por una clave de cifrado única, a partir de la cual se derivaban el resto de claves utilizadas para el cifrado extremo a extremo de las comunicaciones con cada contacto.

Con la nueva arquitectura, cada dispositivo tendrá su propia clave de cifrado única y los servidores de WhatsApp mantendrán un registro que relacionará la cuenta de cada usuario con los distintos dispositivos que tiene vinculados.

Este cambio de arquitectura plantea potenciales riesgos de seguridad. Un atacante malicioso podría intentar manipular los servidores de WhatsApp para añadir dispositivos a la cuenta de un usuario. Esto no sólo le permitiría suplantar su identidad, sino también acceder a los mensajes más recientes enviados y recibidos por ese usuario.

Para intentar evitarlo, han ampliado el mecanismo de verificación de códigos de seguridad (una función poco conocida de WhatsApp que sirve para verificar la identidad del interlocutor a través de unos códigos visualizados en ambos teléfonos), extendiendo estos códigos a todos los dispositivos vinculados a la cuenta.

También han desarrollado una tecnología denominada “Automatic Device Verification” para reducir el número de comprobaciones de seguridad necesarias cuando se añaden o eliminan nuevos dispositivos vinculados a una cuenta.

Por último, se ha aumentado la información que se proporciona a los usuarios sobre sus dispositivos vinculados. Seguirá siendo necesario que el usuario escanee en su teléfono móvil el código QR para poder vincular un nuevo dispositivo, pero además, si el teléfono móvil tiene establecida una autenticación biométrica (por huella o iris), esta se activará automáticamente.

El usuario siempre podrá consultar desde su móvil qué dispositivos tiene vinculados, la fecha y hora de su última conexión, y podrán desconectarlos de su cuenta de forma remota si lo necesitan.

Lista de Dispositivos Vinculados en WhatsApp

En el siguiente post de esta serie (PARTE 2), veremos cómo han hecho para mantener la privacidad en el envío de mensajes y para sincronizar los contenidos entre los distintos dispositivos vinculados.

Espero el post os haya gustado y como siempre, os animo a enviarme vuestros comentarios y sugerencias a través de este blog o a través de mi cuenta de twitter (@peritotec).

Y si necesitáis un perito informático colegiado, podéis conocer más sobre mí y los servicios que presto a través de mi página web, que es www.peritotecnologico.net

FUENTES:
https://engineering.fb.com/2021/07/14/security/whatsapp-multi-device/
https://www.whatsapp.com/security/WhatsApp_Security_Whitepaper_v4_Preview.pdf

Submit your review
1
2
3
4
5
Submit
     
Cancel

Create your own review

Perito Tecnológico - Pablo Espada Bueno
Average rating:  
 1 reviews
 by Anonymous on Perito Tecnológico - Pablo Espada Bueno
Muy buen contenido!

Un contenido muy interesante

3 thoughts on “WhatsApp multidispositivo: ¿Qué hay de nuevo? – Parte 1

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.