La app de mensajería anuncia que solo emisor y receptor podrán tener acceso a mensajes, fotos, vídeos y llamadas. El contenido estará cifrado "de extremo a extremo". Así lo han anunciado los co-fundadores de WhatsApp, Brian Acton y Jan Koum en una entrevista.



Muchos de los usuarios de Whatsapp han comenzado a recibir el siguiente mensaje: "Las llamadas y mensajes enviados a este chat ahora están seguros con cifrado de extremo a extremo. Pulsa para más información". Un mensaje con el que la aplicación de mensajería, propiedad de Facebook, daba luz verde al conocido como cifrado E2EE (end-to-end).


El impulso de seguridad viene después de que el proveedor de mensajería de propiedad de Facebook contrató el sistema de código abierto de Whisper Systems, Moxie Marlinspike el creador de la aplicación de texto cifrado TextSecure, para incorporar su tecnología en WhatsApp 

WhatsApp activa el cifrado de extremo a extremo para sus mil millones de usuarios

 “Construir productos seguros lo que consigue es un mundo más seguro, aunque mucha gente en las fuerzas de seguridad no esté de acuerdo con ello", dice Brian Acton, cofundador de WhatsApp, en la entrevista con Wired.

La decisión de la aplicación de mensajería instantánea WhatsApp de implementar un sistema de cifrado de comunicaciones de extremo a extremo («end to end») es un paso importante para establecer las comunicaciones seguras. Aunque esta «app», que cuenta con más de mil millones de usuarios en todo el mundo, ya intentó ponerlo en marcha hace un par de años no ha sido hasta ahora cuando, por fin, puede equipararse a otras herramientas similares que desde hace años lo tienen dentro de sus características, como Telegram.

Lee en profundidad la explicación técnica acerca del cifrado de extremo a extremo de WhatsApp desarrollado en conjunto con Open Whisper Systems. 

• WhatsApp Security Whitepaper 

En el documento se explica el proceso con el cual se van utilizando y eliminado claves de un solo uso durante el proceso de comunicación tanto entre comunicaciones de usuario a usuario como en las comunicaciones de grupos, para los que existe una implementación ligeramente distinta que toma en cuenta ese escenario en el que lógicamente también se produce ese cifrado extremo a extremo. Por cierto, otra nota importante: los adjuntos que enviáis también están cifrados, algo que también se explica en ese artículo.

El sistema hace uso de tres tipos de claves públicas (una para identificar al dispositivo, otra generada periódicamente y firmada digitalmente por la anterior, y otra que se usa solo una vez en cada utilización del servicio) y tres tipos de claves de sesión (una clave de administrador usada para generar la clave de cadena, una clave de cadena utilizada para crear la clave de mensaje, y una clave de mensaje que consta de 80 bytes: 32 de ellos para una clave AES-256, otros 32 para una clave HMAC-SHA256, y otros 16 para un IV, un vector de inicialización). 

Public Key Types

• Identity Key Pair – A long-term Curve25519 key pair, generated at install time.
• Signed Pre Key – A medium-term Curve25519 key pair, generated at install time, signed by the Identity Key, and rotatedon a periodic timed basis.
• One-Time Pre Keys – A queue of Curve25519 key pairs for one time use, generated at install time, and replenished as needed.

Session Key Types

• Root Key – A 32-byte value that is used to create Chain Keys.
• Chain Key – A 32-byte value that is used to create Message Keys.
• Message Key – An 80-byte value that is used to encrypt message contents. 32 bytes are used for an AES-256 key, 32 bytes for a HMAC-SHA256 key, and 16 bytes for an IV

El sistema hace uso de una cola de claves que se va rellenando a medida que se va necesitando, pero aún hay más: la seguridad también se implementa en el canal de transporte, que es un canal separado y también cifrado haciendo uso del llamado Noise Protocol Framework también desarrollado por Open Whisper Systems y que hace uso de "tuberías" llamadas Noise Pipes en las que una vez más se hace uso de cifrado Curve25519 (los sistemas de cifrado de clave elíptica están muy de moda últimamente), AES-GCM y SHA256 para proteger esas transmisiones e incluso los metadatos: "no se revela información de la identidad de los usuarios que se están conectando", indican en el documento.


La biblioteca Protocolo de señal utilizado por WhatsApp es de código abierto, disponible
aquí:

• https://github.com/whispersystems/libsignal-protocol-java/

 Cifrado de extremo a extremo E2EE (end-to-end)

Cuando el cifrado es de extremo a extremo, tus mensajes, fotos, videos, mensajes de voz, documentos y llamadas están seguras para que no caigan en manos indebidas.

El cifrado de extremo a extremo está disponible cuando tú y las personas a las que les envías mensajes están usando las últimas versiones de WhatsApp.

El cifrado de extremo a extremo de WhatsApp asegura que solo tú y el receptor puedan leer lo que es enviado, y que nadie, ni siquiera WhatsApp lo logre hacer. Tus mensajes están seguros con un candado y solo tú y el receptor cuentan con el código/llave especial para abrirlo y leer los mensajes. Para mayor protección, cada mensaje que envías tiene su propio candado y código único. Todo esto pasa de manera automática; sin necesidad de ajustar o crear chats secretos especiales para asegurar tus mensajes.

Importante: el cifrado de extremo a extremo siempre está activado para todos los usuarios que estén usando las últimas versiones de nuestra aplicación. No existe forma para desactivar o apagar el cifrado de extremo a extremo.

¿Qué significa "Confirmar código de seguridad" en la pantalla de información de un chat individual o de grupo?

Cada uno de tus chats tiene un código de seguridad único que es usado para confirmar que tus llamadas y mensajes que envías a ese chat están cifrados de extremo a extremo. Este código se encuentra en la pantalla de información de chats individuales o de grupos y está disponible en forma de código QR y de 60 dígitos. Estos códigos son únicos para cada chat y pueden ser comparados entre los receptores de tus mensajes para confirmar que los mensajes que envías a ese chat están cifrados de extremo a extremo. Los códigos de seguridad son versiones visible de esas claves especiales compartidas entre ustedes, sin embargo, no tienes de qué preocuparte. El código que logras ver no es la clave en si, esa siempre se mantiene secreta.

El código QR NO es necesario, simplemente es para comprobar

Para comprobar (por si tenemos dudas) que un chat está cifrado totalmente debemos ver que nos aparece el mensaje. Si además tenemos dudas que realmente se esté aplicando esta seguridad, WhatsApp ha creado una opción para comprobarlo.

 Cómo confirmo que un chat está cifrado de extremo a extremo

1. Abre un chat.
2. Presiona el nombre del contacto o grupo para luego ir a la pantalla de información.
3. Presiona Cifrado para ver el código QR o los 60 dígitos.

Si tu contacto se encuentra físicamente presente, uno de ustedes podrá escanear el código QR del otro o comparar el código de seguridad de 60 dígitos visualmente. Si escaneas el código QR y el código coincide, aparecerá un tick (tilde o palomita) de color verde. Ya que los códigos coinciden, puedes estar seguro que nadie está interceptando tus mensajes o llamadas.

Si los códigos no coinciden, es probable que estás escaneando el código de un contacto o número de teléfono distinto. Si tu contacto ha reinstalado WhatsApp recientemente o cambiado de teléfono móvil, recomendamos actualizar el código enviándole a tu contacto otro mensaje e intentándolo de nuevo.

Para más información sobre cómo cambiar los códigos de seguridad, visita este artículo nuestra sección de Preguntas Frecuentes.

Si tu contacto no está físicamente presente, puedes enviarle el código de 60 dígitos. En los teléfonos móviles Android, iPhone y Windows Phone se puede presionar el botón de Compartir desde la pantalla donde se encuentra el código QR o de 60 dígitos para enviarlo a través de un mensaje de texto (SMS), correo electrónico, etc.

Veo un mensaje que dice que mi chat no está cifrado

Es posible que estás presionando Cifrado en la pantalla de información del chat y recibes un mensaje que tu chat no está cifrado de extremo a extremo. Si éste es el caso, es probable que tú o la persona con la que estás conversando necesita actualizar a la última versión de WhatsApp. Una vez que todos los participantes en un grupo o en un chat individual hayan actualizado a la última versión de WhatsApp, aparecerá un indicador dentro del chat informando que los mensajes en ese chat están cifrados de extremo a extremo.

Para más información sobre este tema, por favor lee Seguridad en WhatsApp.


Fuentes:
https://www.whatsapp.com/faq/es/general/28030015
https://www.whatsapp.com/security/
https://whispersystems.org/blog/whatsapp-complete/
http://www.xataka.com/seguridad/como-funciona-el-cifrado-extremo-a-extremo-de-whatsapp-y-que-implicaciones-tiene-para-la-privacidad