WhatsApp Web mejora funciones de seguridad y evitar que los mensajes sean interceptados
- WhatsApp Web refuerza su seguridad con una extensión desarrollada en conjunto con Cloudflare llamada Code Verify, que permite saber si las claves de cifrado fueron vulneradas y, por ende, si la privacidad de la comunicación está en riesgo.
- Cabe recordar que todos los mensajes que se envían por WhatsApp están protegidos con cifrado de extremo a extremo, una técnica de seguridad que hace que todo el contenido que se comparte por el servicio (mensajes, fotos, videos, etc) viaje de forma encriptada y sólo se descifren cuando llegan al dispositivo del receptor.
- Esto quiere decir que aún cuando algún atacante interceptara el contenido durante la transmisión, no podría acceder a ella porque se encuentra cifrada.
Antes de que un mensaje salga del móvil del emisor, se asegura con un candado criptográfico, del cual solo el destinatario tiene la clave. Además, las claves cambian con cada mensaje que se envía.
El sistema de por sí es bastante seguro si es que ese cifrado funciona de manera adecuada. Para corroborar esto, se ideó un nuevo sistema en alianza con la empresa de seguridad, Cloudflare.
Para hacer uso de esta opción es necesario descargar la extensión Code Verify, que está disponible para Chrome, Firefox y Edge. Esta herramienta, de código abierto, permite verificar que la comunicación cifrada no fue vulnerada.
El primer paso es instalar la extensión, luego se abre WhatsApp Web y al activarse Code Verify se verá un ícono que puede adoptar tres tipos de colores según sea el caso:
1. Si aparece de color verde quiere decir que la seguridad no se vio vulnerada
2. El naranja indica que hay algún elemento que está afectando la verificación. Puede ser que otra extensión del navegador está interfiriendo con la capacidad de verificación, o bien que la solicitud se agotó. Es necesario refrescar la página y ver si se repite este color o si aparece alguno de los dos para confirmar la situación.
3. El rojo identifica un problema con el código de WhatsApp que se está empleando. En este caso hay que dejar de usar la versión web, pasar al móvil y descargar el código fuente para que analicen la situación.
La tecnología detrás de este sistema
Code Verify le que permite a los navegadores corroborar que los recursos no hayan sido manipulados. Cada vez que se usa WhatsApp Web, la extensión compara la huella digital o hash del código recibido en el navegador con el hash del código de WhatsApp.
Si hay coincidencia entonces no hay problema, no ha habido vulnerabilidad en el cifrado, pero si no hay coincidencia entre esos hashes entonces se alerta al usuario porque eso implica que la comunicación está expuesta a un posible riesgo.
Cabe señalar que todo esto se hace sin que Cloudflare tenga acceso al contenido que se intercambia. Desde la compañía aclaran que durante este proceso de auditoría, toda la comunicación permanece privada, con el correspondiente cifrado de extremo a extremo.
Por otra parte, al ser una aplicación de código abierto, hay transparencia en cuanto a cómo funciona. El otro punto a favor es que este desarrollo puede ser utilizado por otros servicios de mensajería en caso de que deseen generar otra forma de verificar la seguridad de las comunicaciones para los usuarios.