El viernes 13 de enero, el diario The Guardian publicó una nota en la que se advertía que WhatsApp creaba por error una puerta trasera que permitiría a alguna empresa o gobierno interceptar y leer los mensajes de los usuarios.
Sin embargo, ese mismo día, Open Whisper Systems (OWS), creadora del protocolo de cifrado de Signal y el cual es utilizado para WhatsApp, desmintió la afirmación a través de una publicación en su blog.
De acuerdo con The Guardian, el sistema de cifrado de WhatsApp utiliza llaves únicas de seguridad para verificar la seguridad del canal en el que se está mandando información, pero puede generar llaves nuevas para usuarios fuera de línea, sin conocimiento de remitente y el receptor.
“Al receptor no se le notifica de este cambio en el cifrado, mientras que el remitente solo es notificado si tiene habilitada las alertas sobre cifrado en configuración y solo después de que los mensajes se han reenviado. Este recifrado y retransmisión efectivamente permite a WhatsApp interceptar y leer los mensajes de los usuarios”, reporta The Guardian en la nota, basada en el descubrimiento de Tobias Boelter, investigador de la Universidad de California, Berkeley.
Pero OWS aseguró que este cambio en las llaves es completamente normal, como cuando un usuario consigue un nuevo teléfono o reinstala la aplicación y a los usuarios se les da la opción de ser notificados cuando estos cambios ocurran.
La aplicación no cifrará de nuevo mensajes que ya fueron enviados; una vez que el cliente muestra la “doble palomita”, no se le puede pedir que reenvíe este mensaje. Esto previene a cualquiera que intervenga el servidor seleccionar mensajes ya enviados para su recifrado.
“El hecho de que WhatsApp maneje cambios de llaves no es una ‘puerta trasera’, es como funciona la criptografía. Cualquier intento de interceptar mensajes durante su transmisión por el servidor es detectable por el remitente, como en Signal, PGP y cualquier otro sistema de comunicación cifrada extremo a extremo”, explicó OWS.