El difuso límite entre una vulnerabilidad y una puerta trasera

vulnerabilidad whatsapp

La semana pasada conocíamos gracias a la empresa israelí NSO Group que era posible inyectar un spyware ejecutable tanto en iOS como en Android mediante una simple llamada de voz a través de WhatsApp.

Hablamos de un riesgo global, ya que el ataque no requiere que el usuario realice nada (es más, no tiene forma de evitarlo), y por supuesto se puede realizar en remoto.

Para ello hicieron uso de un desbordamiento del búffer en el código de las llamadas VoIP de la aplicación (EN). Puesto que este se desbordaba, el usuario ni siquiera tenía que enterarse del ataque, y además no dejaba rastro alguno en el historial de llamadas.

Vamos, una vulnerabilidad la mar de interesante para realizar ataques dirigidos.

Por supuesto Facebook ya liberó un parche en sus servidores, y las últimas actualizaciones de la aplicación ya la hacen inmune al ataque.

Estamos por tanto ante una de las típicas situaciones de riesgo que cada semana comparto por la newsletter exclusiva de mecenas «Seguridad Semanal».

Y, per sé, no le dedicaría un artículo en particular a ello sino fuera por las declaraciones de Parel Durov, cofundador de Telegram, que escribía un texto (EN) incendiario recientemente uniendo algunos cabos que sí me parecen interesantes de analizar por aquí.

«Los problemas de seguridad de WhatsApp se parecen mucho a puertas traseras»

Esta es la premisa principal del Durov, que recordemos no deja de ser la principal competencia de WhatsApp en occidente (con permiso de WeChat).

Y para ello va analizando cómo, desde la compra de WhatsApp por parte de Facebook, cada vez que WhatsApp tiene que corregir una vulnerabilidad crítica en su aplicación, aparece una nueva en su lugar:

«Su falta de seguridad les permite espiar a sus propios usuarios, y es esta la principal razón que hace que WhatsApp siga estando disponible gratuitamente en lugares como Rusia o Irán, donde las autoridades prohíben utilizar Telegram.

De hecho, empecé a trabajar en Telegram como respuesta directa a la presión personal de las autoridades rusas. En aquel entonces, en 2012, WhatsApp seguía enviando los mensajes en texto plano. Eso fue una locura. No solo los gobiernos o los cibercriminales, sino también los proveedores de telefonía móvil y los administradores de WiFi tenían acceso a todo el contenido enviado desde nuestras cuentas».

Fue entonces cuando WhatsApp empezó a darle importancia al cifrado de las comunicaciones, primero de una forma totalmente absurda, y luego activando ya por fin un cifrado de punto a punto. Utilizando para ello el mismo protocolo de seguridad que Signal, lo que a todas luces ha demostrado ser, por ahora, prácticamente imposible de romper.

Y de nuevo coincidió, casualmente, con el momento en el que la compañía empezó a animar (según Durov mediante «una agresiva campaña de marketing») a los usuarios a que hiciesen copias de seguridad de sus conversaciones. Con un pequeño matiz que parece que la red social obvió:

«WhatsApp no informó a sus usuarios de que, al realizar la copia de seguridad, los mensajes ya no están protegidos por el cifrado de extremo a extremo y ese contenido puede ser leído por cibercriminales y por las fuerzas del orden»

No solo eso, sino que existen métodos para rastrear incluso a aquellos que no han permitido hacer copias de sus conversaciones. Bastaría, por ejemplo, con acceder a las copias de sus conocidos, o forzar, como ya ha ocurrido en alguna que otra ocasión, el cambio de las claves de cifrado artificialmente por otras que estén bajo el dominio del atacante.

El conflicto gubernamental y corporativo

Aquí entran en escena los dos puntos principales que ya he explicado en más de una ocasión. La última, por cierto, la semana pasada con mis alumnos de Zaragoza.

Por un lado, WhatsApp es un servicio creado en EEUU, y por tanto, sujeto a la cuarta enmienda estadounidense que permite al gobierno forzar a la compañía a colaborar con las autoridades dándoles acceso a la información de sus usuarios en caso de extrema necesidad. Es decir, en temas de seguridad nacional. Un concepto tan ambiguo y manido como cabría esperar.

La respuesta de las grandes tecnológicas ha sido paulatinamente migrar hacia entornos de cifrado de punto a punto, de forma que ante una petición gubernamental, ellos puedan dar acceso a contenido que, por otro lado, está cifrado, con lo que mantienen protegida la privacidad del usuario sin negarse a las autoridades.

Pero precisamente Facebook no ha sido ejemplo a seguir en estos derroteros. En su día se sabe que igual que Apple, Amazon y el resto de grandes, colaboró con la NSA en aquel esperpento orwelliano que tenía como nombre en clave PRISM, y que se encargaba de espiar vía metadatos de comunicación a todo el mundo, fuera o no aliado de EEUU.

Porque una cosa es que la información que compartimos por WhatsApp esté cifrada, y otra muy distinta es que los metadatos de comunicación no sean explotables. Datos, a fin de cuentas, muy valiosos para una agencia de inteligencia, tales como a qué hora nos conectamos, con quién hemos hablado, qué tipo de contenido le hemos enviado…

Por otro lado, recordemos que en la compra de WhatsApp por parte de Facebook, la red social aseguró que WhatsApp siempre seguiría como una aplicación fuera de los tentáculos de la red social. Justo lo mismo que Instagram. Y por supuesto, es algo que no ha cumplido.

Ya se sabe que utiliza la inteligencia que obtiene de nuestras conversaciones para apuntar más en el profiling que hace la red social. Y de hecho dentro de poco parece que va a implementar publicidad de su plataforma publicitaria (Facebook Ads) en WhatsApp, siendo ésta la única aplicación del imperio azul que todavía no tiene.

Así que por un lado tenemos que de una u otra manera deben aceptar los designios del gobierno, y por otro que su negocio se basa precisamente en la explotación descarada y abusiva de los datos del usuario. Como decía Durov:

WhatsApp tiene un historial peligroso: desde la falta de cifrado en sus inicios hasta una sucesión de problemas de seguridad extrañamente adecuados para fines de vigilancia.

Mirando hacia atrás, no ha habido un solo día en el viaje de 10 años de WhatsApp en el que este servicio haya sido seguro. Por eso no creo que la simple actualización de la aplicación móvil de WhatsApp la haga, ahora sí, segura para todos.

Para que WhatsApp se convierta en un servicio orientado a la privacidad, debe arriesgarse a perder mercados enteros y a chocar con las autoridades de su país de origen. No parecen estar preparados para eso».

Y recalco el hecho de que WhatsApp en Rusia es una aplicación ampliamente recomendada por el Kremlin, mientras que Telegram, creada por un ruso, está prohibida después de que su fundador tuviera que escapar del país por negarse a pasar por el aro.

¿Significa esto que desaconsejo utilizar WhatsApp?

El problema aquí es que se ha transformado, de facto, en un monopolio.

Alrededor nuestro prácticamente todos los que no tienen un perfil friki o técnico utilizan sí o sí WhatsApp. Un servidor mismamente tuvo que volver después de dos años de no utilizarla porque era la única manera que iba a tener de hablar con mi familia (más allá de las llamadas, se entiende).

Y sí, la privacidad en la plataforma ha mejorado considerablemente, pero ni mucho menos está al nivel que querríamos.

No porque sus protocolos sean ineficientes, sino por el simple hecho de que esto, al menos hasta el momento, entra en conflicto con los intereses gubernamentales y los corporativos.

Que sean puras casualidades o no, lo cierto es que a falta de decir públicamente que ceden datos al gobierno de turno y/o los necesitan para seguir alimentando el monstruo en el que se ha convertido Facebook, resulta más adecuado que «surjan» cada cierto tiempo vulnerabilidades que exponen la información de sus usuarios, y que se parecen demasiado a puertas traseras…

¿No crees?