eldiario.es

9
Menú

Hoja de Router Hoja de Router

De WhatsApp no te creas nada: el emisor y el contenido de los mensajes se puede falsificar

Un tipo manda un mensaje a su propio móvil desde otro y, antes de que llegue, lo modifica con el ordenador. Cambia el emisor y el número de teléfono. Ahora parece que lo ha enviado otra persona. La que él elija. Y no hay forma de demostrar que se trata de un mensaje falso. Imagínate la de trastadas que pueden hacerse con no muy buenas intenciones...

- PUBLICIDAD -
Pablo San Emeterio en un momento de la Rooted CON 2014 (Foto: HojaDeRouter.com)

Pablo San Emeterio en un momento de la Rooted CON 2014 (Foto: HojaDeRouter.com)

Llaman a la puerta de tu casa. Echas un vistazo por la mirilla y ves dos agentes de Policía con cara de pocos amigos. No tienes ni idea de qué pueden querer. Abres, preguntas y te dicen que les acompañes a comisaría. Una vez allí, te enteras de que te acusan de chantajear a varias mujeres para que se acuesten contigo. Por lo visto, tienen mensajes tuyos enviados a través de WhatsApp que lo demuestran.

Tú eres un cazatalentos de la industria cinematográfica y te relacionas habitualmente con jóvenes deseosas de hacer carrera como actrices. Al parecer, una de ellas te ha denunciado, aportando como prueba una conversación de chat que deja tus intenciones bien claras. Pero, ¿qué intenciones? Tú jamás has intentado nada, ni con ella ni con ninguna de las demás chicas que se han sumado a la denuncia. No tiene ningún sentido, pero los periódicos están dando la noticia y tu reputación está por los suelos. El juicio es la semana que viene y tu abogado, eso sí, dice que tranquilo, que lo único que tienen es una conversación de WhatsApp y eso no va a ninguna parte.

Durante el procedimiento, un perito informático practica sendos análisis forenses a tu móvil y el de la supuesta víctima, pero no encuentra nada. El mensaje no presenta signos de haber sido manipulado. Empiezas a ponerte de los nervios. ¿Y si me encierran por un delito que jamás he cometido? Es una auténtica locura...

Una nueva investigación revela otro importante resquicio en la seguridad de WhatsApp (Foto: Sam Azgor |Flickr)

Una nueva investigación revela otro importante resquicio en la seguridad de WhatsApp (Foto: Sam Azgor |Flickr)

Una historia como la que acabamos de contar puede acabar de dos maneras: que el juez acepte la conversación de WhatsApp como prueba, y las cosas se pongan feas para el protagonista, o que el magistrado la rechace y la acusación se caiga por todas partes (aunque, probablemente, el daño a la imagen del susodicho a estas alturas sea irreparable).

En cualquiera de los dos casos, asusta. Sobre todo porque es algo que podría sucederle a cualquiera. ¿Por qué? Porque los mensajes de WhatsApp se pueden falsificar sin dejar rastro. Es el último hallazgo de los investigadores españoles Pablo San Emeterio, miembro del departamento de I+D de Optenet, y Jaime Sánchez, del Centro de Operaciones de Seguridad de una multinacional de telecomunicaciones y autor del blog Seguridad Ofensiva. Son los mismos que a finales del pasado año nos sorprendieron con un estudio de las inquietantes (y numerosas) vulnerabilidades del chat que Facebook ha comprado por casi 14.000 millones de euros.

Ahora, con motivo de su participación en el congreso de seguridad informática Rooted CON, al que HojaDeRouter.com asiste como medio colaborador, desvelan un problema de seguridad aún más preocupante: es posible cambiar el remitente a un mensaje enviado a través WhatsApp sin dejar ninguna huella. Según los autores del estudio, ni siquiera un análisis forense de los dispositivos emisor y receptor desmontaría la farsa.

¿CÓMO ES POSIBLE?

El sistema que han utilizado para 'fabricar' mensajes de WhatsApp es prácticamente el mismo que utilizaron para programar Privacy Guard, un blindaje de tres capas para proteger las comunicaciones a través del popular servicio de mensajería. Con una diferencia: a raíz de su anterior trabajo, la empresa ha modificado ligeramente el sistema de autenticación, aunque ellos lo han vuelto a sortear sin grandes dificultades.

Aquella vez os contábamos que la contraseña para cifrar y descifrar los mensajes era la misma desde el móvil hacia el servidor de WhatsApp que desde el servidor hacia el móvil. Esta vulnerabilidad ha sido corregida y ahora para cada sesión se generan cuatro claves, que siguen formándose a partir de un 'password' inicial que se almacena en el teléfono cuando te das de alta en la aplicación y recibes el primer SMS.

Cuando el terminal cliente (un móvil) inicia una sesión, el servidor de WhatsApp le envía un desafío matemático que debe resolver aplicando una serie de operaciones sobre ese 'password' inicial. Antaño el resultado era la clave única; ahora es un número al que tienes que poner detrás las cifras 1, 2, 3 y 4 para generar las cuatro claves.

¿Y qué cuatro claves son esas? Una es la que cifra los mensajes del móvil al servidor, la otra del servidor al móvil y las dos restantes son las que más nos interesan ahora mismo. Sirven para validar los mensajes que se envían, es decir, para comprobar que no se han producido cambios en la composición de dichos mensajes. Si alguien tratase de falsificarlos, en una u otra dirección, debería saltar la alarma.

Pablo y Jaime, durante su ponencia en la Rooted CON 2014 (Foto: HojaDeRouter.com)

Pablo y Jaime, durante su ponencia en la Rooted CON 2014 (Foto: HojaDeRouter.com)

Pero, como ya os hemos contado, Pablo y Jaime han descubierto que se pueden falsificar sin dejar huella. ¿Cómo? Recalculando. Al disponer de la clave de validación, es posible modificar un mensaje antes de que llegue al servidor y recomponerlo para que a ojos de WhatsApp sea perfectamente correcto. Es un poco más difícil de lo que suena, pero perfectamente factible si se tienen conocimientos de seguridad.

Las consecuencias, como hemos tratado de ilustrar al comienzo, podrían ser devastadoras. Básicamente es posible modificar cualquier mensaje para que parezca que lo ha enviado otra persona. Escribes el bulo en un móvil A, te lo mandas a tu móvil B y antes de que pase por los dominios de WhatsApp le cambias la cabecera y le pones el nombre y el número que te dé la gana.

Pruebas prefabricadas para sustentar causas judiciales, extorsiones o simplemente bromas de mal gusto. El caso es que se trata de una vulnerabilidad peligrosa a muchos niveles y que alimenta un debate de lo más candente: ¿debe un juez admitir como prueba mensajes de WhatsApp? San Emeterio y Sánchez tienen clara su respuesta: un NO rotundo y contundente.

- PUBLICIDAD -

Comentar

Enviar comentario

Comentar

Comentarios

Ordenar por: Relevancia | Fecha