Whatsapp activa el cifrado de extremo a extremo, ¿estamos más seguros?

Hola,

Hace unos días Whatsapp activaba el cifrado de extremo a extremo a sus casi mil millones de usuarios, simplemente con tener la última versión de la aplicación.

ws.jpg527×809 61.2 KB

Información en la web de Whatsapp - Paper técnico de la implementación (pdf)

Aunque esto es una buena noticia (en principio), tengo varias preguntas abiertas:

• ¿Cómo podemos estar seguros que no podrán revertir el cifrado si el código de los clientes no es abierto?
• ¿Son más importantes para la empresa los metadatos (con quien, cuándo y dónde hablamos) que el contenido?
• ¿Renuncian a tener un historial de mensajes guardado en sus servidores en el futuro? ¿Es posible el cifrado de extremo a extremo y los historiales guardados en la nube? ¿Qué ocurre con las copias que se guardan el local o gdrive, cómo están protegidas?

La EFF publicaba un artículo al respecto y actualizaba su ranking de seguridad en aplicaciones de mensajería.

Supongo que el resto también tenéis varias preguntas en mente, pero dejo estas pocas para abrir la conversación

En ese aspecto, lamentablemente estamos a un paso de que puedan enviar un script para realizar dicha acción de forma local en nuestros dispositivos. Y esto también es posible en una aplicación abierta. No siempre están sincronizados los binarios con los repositorios. Los usuarios depositamos la confianza en desarrolladores que compilan un código abierto por nosotros. La única manera de estar seguros sería descargar el código fuente, revisar el código principal (cosa que no siempre se hace) y sus dependencias, y finalmente compilarlo.

No lo dudes!, la mayoria del contenido actualmente es muy difícil de analizar. Existen herramientas para analizar el sentimiento, que tienen una tasa de acierto aún muy baja. Los metadatos en cambio, son más sencillos de procesar y de acotar, tanto a nivel de estudio de sociedad, como de marketing, y aunque oficialmente nunca lo reconocerán, a los cuerpos de seguridad.

Por lo que yo he entendido, almacenan un historial de interacciones. Por ejemplo:

Hora: 18:17:02
Mensaje:  <contenido encriptado>
Metadatos adicionales: ¿ubicación? ¿tipo de contenido? ¿nivel de batería del teléfono? etc

De esta manera puede realizar analiticas sobre el uso que haces de su aplicación, manteniendo a la vez un correcto sistema de encriptación end-to-end. Estos mensajes encriptados, se podrían mantener en el servidor hasta que el destinatario los reclame.

En cuanto a las copias de seguridad, es otro asunto completamente distinto y fuera del campo de acción de Whatsapp si se sube a la nube(no como en el caso de Telegram). Actualmente se guardaba una copia encriptada de las conversaciones siendo una mezcla de un SALT que ellos privadamente generaban más el número de teléfono del cliente. En repetidas ocasiones se ha demostrado que estas copias de seguridad han sido vulneradas, pero obviamente solo con acceso físico al dispositivo. A todo esto hemos de sumar infinitas medidas adicionales como la encriptación del teléfono. Y para terminar, este archivo se sincroniza en un sistema de backup NO encriptado como Google Drive.

Esto abre un debate sobre si la confidencialidad de los datos debe sacrificarse en favor de la usabilidad o viceversa.

@nukeador te animo a que añadas unas preguntas más: ¿Que pasa con WhastApp Web? ¿Como mantienen las comunicaciones end-to-end siendo un proxie alojado en los servidores de WhatsApp?