MADRID, 18 de enero. (Portal/EP) – WhatsApp tiene un problema de diseño que le permite identificar los dispositivos que un usuario ha vinculado a la misma cuenta, como parte de una arquitectura multidispositivo, lo que podría crear problemas de privacidad y seguridad. El investigador Tal Be‘ery, cofundador de la billetera de criptomonedas, dijo que los atacantes pudieron obtener información sobre los dispositivos utilizados por los usuarios de WhatsApp a través del diseño del protocolo de cifrado de extremo a extremo (E2EE) proporcionado por la empresa de tecnología Set.
. ZenGo. en su blog en Medium.
Este protocolo se implementó por primera vez en WhatsApp en 2016, con el objetivo de proteger el contenido de los chats para que solo el remitente y el destinatario puedan acceder a ellos. Con la llegada en 2021 de la arquitectura multidispositivo, que permite vincular un teléfono principal y hasta cuatro dispositivos asociados a una misma cuenta, la compañía ha adaptado este protocolo a la nueva situación. Al utilizar el protocolo E2EE, el dispositivo principal genera una clave de cifrado en lugar de a nivel del servidor, que solo cambia cuando el usuario reinstala la aplicación en un nuevo dispositivo sin utilizar una copia de seguridad.
En cualquier caso, es la clave que pueden ver el resto de participantes en la conversación. Al integrar una arquitectura multidispositivo, los dispositivos adicionales también deben tener claves de cifrado. En lugar de compartir la misma clave con el dispositivo principal, la solución adoptada por WhatsApp es que los nuevos dispositivos generen sus propias claves, derivadas de la clave del dispositivo principal.
Según los detalles del investigador, la clave móvil principal incluye el teléfono y termina con un sufijo «.0», mientras que los dispositivos vinculados añaden un número para identificarlos antes del sufijo. Esta información, además de aparecer durante la conversación con el destinatario, quien puede deducir si el interlocutor está utilizando el dispositivo primario o secundario, también puede ser visualizada desde las herramientas de desarrollo del navegador. Esta información, en manos equivocadas, puede dar lugar a ataques dirigidos a dispositivos secundarios, que a menudo se consideran objetivos más accesibles, como señala Tal Be’ery.
También cree ‘exploits’ personalizados que se envíen al dispositivo principal a través de mensajes que no son visibles para el navegador o el dispositivo secundario. Y esto puede incluso favorecer el seguimiento del usuario porque te permite saber si has comprado un teléfono móvil nuevo o necesitas utilizar la plataforma desde tu ordenador. El investigador decidió compartir esta investigación después de informar a WhatsApp a principios de enero sobre el programa de recompensas y la compañía lo descartó no como un error de seguridad sino como un problema de diseño.
La compañía, en un correo electrónico a Tal Be’ery, recordó al investigador que los cambios clave pueden ocurrir por una variedad de razones y que los cambios clave no siempre se deben a que el usuario cambie el dispositivo, porque es posible que haya reinstalado la ‘aplicación’ en él. También señala que cambiar las contraseñas puede permitir a los usuarios saber que ya no están hablando con la misma persona, lo que hace que las notificaciones de contraseñas E2EE sean una medida de protección y seguridad separada del cifrado.
