viernes, 8 de abril de 2016

Encriptado de Whatsapp

Muy buenas,
Ya he empezado a curiosear algo sobre el tema (con pesimismo, lo admito) y voy a ir poniendo por aquí lo que vaya averiguando.


https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf

Actualización a 18/04/2016: Interesante:
http://www.elladodelmal.com/2016/04/whatsapp-en-iphone-mantiene-sin-cifrar.html

Actualización a 21/04/2016: Más:
https://medium.com/@thegrugq/operational-whatsapp-on-ios-ce9a4231a034#.vzjiwvtbb

Actualización a 16/05/2016:
http://www.finanzas.com/xl-semanal/magazine/20160515/guardianes-privacidad-9780.html
En portada: Criptógrafos
Los guardianes de la privacidad
15/05/2016 - 00:00 Por Carlos Manuel Sánchez - XL Semanal
-Primero, Apple se negó a desbloquear el teléfono de un terrorista. Ahora, WhatsApp ha encriptado los mensajes de sus usuarios. ¿Quién será el siguiente? Los gigantes tecnológicos y los gobiernos se han enzarzado en una guerra por la encriptación. Unos dicen defender nuestra privacidad y otros, nuestra seguridad. Le contamos las claves de una batalla donde nada está tan claro como nos quieren hacer creer.

"Todos deberíamos tener algo que esconder"

A sí lo afirma Moxie Marlinspike. Usted no lo conoce, pero este antiguo hacker se ha convertido en el guardián de su privacidad... Y de la de mil millones de personas. Marlinspike es el creador del programa que cifra el contenido de los mensajes de WhatsApp. Y que garantiza que nadie, excepto usted, pueda leerlos. Se ve a sí mismo como el amigo que guarda un secreto. Y está dispuesto a convertirse en el enemigo público de los gobiernos que quieran husmear en nuestros móviles.

Lo más curioso es que Marlinspike trabajó para el Gobierno estadounidense. El Departamento de Estado buscaba herramientas para apoyar la democracia en el extranjero y la mensajería encriptada ayuda a los disidentes a escapar del control de las dictaduras. Pero Moxie, que fue fichado por 1,3 millones de dólares, no encajaba en Washington. Un funcionario evitó reunirse con él porque asumió que aquel tipo con rastas no podía ser la persona con la que debía entrevistarse.

Moxie Marlinspike fue hacker en su adolescencia. Hoy es el criptógrafo más respetado del mundo. El que ha llevado una tecnología de película de espías a las masas, gratis y fácil de usar. ¿Por qué lo ha hecho? «Muchas personas no entienden por qué deberían estar preocupadas por la vigilancia masiva si no tienen nada que esconder», escribe el propio Marlinspike. Y opina que todos deberíamos tener la posibilidad de burlar la ley. «Hay más de diez mil normas federales en Estados Unidos. Ni siquiera el Gobierno sabe cuántas. Es delito, por ejemplo, estar en posesión de una langosta de menos de una cierta talla. Puedes ir a la cárcel por ello. Si el Gobierno tuviera acceso a todos tus correos y llamadas, casi seguro que podría encontrar algo contra ti. Probablemente tengas ya algo que esconder, pero no lo sabes aún». Y pone como ejemplos la despenalización del uso de la marihuana o la autorización del matrimonio del mismo sexo en algunos estados. «No hubieran sido posibles sin la posibilidad de saltarse la ley».

Nueva generación de 'hackers'.

Marlinspike personifica como nadie a una generación de jóvenes que empezaron como piratas informáticos, más interesados en atacar programas que en crearlos, y que han sido reclutados por las grandes tecnológicas o por los gobiernos, soldados en una guerra global entre los que practican la vigilancia masiva y los que predican la protección de datos. Frederic Jacobs, el que fuera su mano derecha en la plataforma Signal, lo explica así: «Hemos demostrado que ser un hacker ya no es automáticamente equiparable a cometer actos ilegales, sino más bien creativos». El cifrado de extremo a extremo de WhatsApp es (o lo parece) tan eficaz que los gobiernos han hecho sonar las alarmas. Barack Obama lo considera «un problema»; y David Cameron ha amagado con prohibir todos los servicios de mensajería encriptada en el Reino Unido. La justicia brasileña ordena el bloqueo de WhatsApp durante varios días cada vez que la compañía desoye las órdenes judiciales de romper el secreto de los mensajes enviados por presuntos narcotraficantes. Y el FBI, todavía reciente su litigio con Apple, se prepara para una nueva batalla.

Amy Hess, subdirectora de operaciones de vigilancia tecnológica del FBI, se queja de que la agencia lo tiene cada vez más 'crudo' para recopilar pruebas. «El 30 por ciento de los móviles que confiscamos está protegido y en un 13 por ciento de los casos no sabemos desbloquearlos». Un informe del fiscal de Manhattan Cyrus Vance Jr. señala que su oficina ha sido incapaz de ejecutar más de 215 órdenes judiciales para iPhones y iPads, en casos que incluyen homicidios y abusos sexuales a menores. «Hay gente que piensa que no poder hacer nuestro trabajo es un daño colateral aceptable en la defensa de las libertades, ¿pero cómo responderían si alguien cercano fuera la víctima de un crimen y el caso dependiera de nuestra capacidad de acceder a un móvil?».

Riesgos para el negocio.

Las agencias gubernamentales anuncian «la llegada de la oscuridad», un futuro en el que no podrán seguir el rastro digital de los criminales. El Senado estadounidense debate una ley que exija 'puertas traseras' en los dispositivos para obtener sus datos cuando exista una orden judicial. Pero Bruce Sewell, consejero de Apple, replica que esos coladeros también los exigirán otros gobiernos. Y, de hecho, China lleva años presionando a Apple para que le revele su código fuente. El Centro Berkham, de la Universidad de Harvard, duda de la inminencia de tal 'oscuridad'. «La generalización del cifrado completo en las redes sociales y empresas de Internet generaría un conflicto comercial y arruinaría sus modelos de negocio».

Las grandes compañías tecnológicas mantenían una buena relación con Washington hasta que Edward Snowden reveló el espionaje masivo de la Agencia Nacional de Seguridad (NSA) y tuvieron que responder ante sus usuarios de las acusaciones de connivencia. Ahora, en apariencia, han cerrado filas, pero en realidad cada una hace la guerra por su cuenta. Apple y WhatsApp han sido las primeras en alistarse; Twitter y Snapchat afilan sus armas; pero la gran expectación está en saber lo que harán Google y Facebook.

¿Lo que los usuarios querían?

Lo de WhatsApp tiene mucha miga porque, ¡oh, paradoja!, pertenece a Facebook. Y resulta chocante que Facebook, que comercia con nuestros datos, se convierta en el paladín de nuestra intimidad... Pero los misteriosos fundadores de WhatsApp, Jan Koum y Brian Acton, son dos fanáticos de la seguridad. Koum porque nació en la Unión Soviética y sabe cómo se las gasta un estado totalitario. Y Acton por ideales. Y van por libre, incluso dentro de Facebook. «No quiero estar en el negocio de observar las conversaciones. Hemos añadido encriptación porque nuestros usuarios lo querían. Quizá no la mamá estadounidense de la América profunda, pero sí la gente del resto del mundo -explica Acton a la revista Wired-. Somos afortunados de vivir en Estados Unidos, donde hay herramientas para proteger a los ciudadanos, pero un montón de países no tienen esas protecciones». Y la mayoría de los mil millones de usuarios de WhatsApp no vive en Estados Unidos.

Fue Marlinspike, que había creado la empresa de criptografía Open Whisper Systems, el que por propia iniciativa ofreció a los creadores de WhatsApp el software que estaba desarrollando. Y que tiene un par de peculiaridades contradictorias. Una es que no puede ser hackeado desde dentro; es decir, ni siquiera los empleados de WhatsApp pueden leer los mensajes. Facebook vive de la publicidad y esta se afina gracias a su base de usuarios y sus perfiles de preferencias, que ellos mismos generan pulsando los botones de «Me gusta», escribiendo comentarios, compartiendo enlaces, etc. Y si Mark Zuckerberg pensó alguna vez en cruzar los datos de las conversaciones de WhatsApp con sus propias herramientas ha tenido que llevarse un chasco. Pero Acton y Koum son como son... «Y defienden ferozmente su autonomía», según Marlinspike. De hecho, se consideran enemigos de la publicidad. Y usa una cita de la película El club de la lucha para justificar su fobia: «Tenemos empleos que odiamos para comprar mierda que no necesitamos».

Siguen sabiendo dónde estás.

Pero casi nadie ha reparado en la otra peculiaridad: el software encripta los mensajes, pero no los metadatos: desde dónde nos conectamos, cuándo, cuánto tiempo... ¿Qué significa esto? Que los jefes de WhatsApp nos venden una seguridad inexpugnable, que en realidad no lo es tanto. Pues las fuerzas de seguridad (o un hacker) pueden obtener pistas preciosas. Y también los algoritmos de Facebook pueden digerir esta materia prima y convertirla en un conocimiento sustancioso para el marketing.

¿Por qué WhatsApp instaura la encriptación precisamente ahora? Dicen las malas lenguas que porque Telegram les está robando la clientela. Telegram, que ya tiene cien millones de usuarios, es la aplicación de mensajería preferida por el Estado Islámico porque los mensajes se pueden autodestruir. Pero hay otra razón. Y es que se trata de un momento crucial, una vez que se desataron las hostilidades entre el Apple y el FBI a propósito del teléfono de uno de los yihadistas de la matanza de San Bernardino. «Tim Cook [consejero delegado de Apple] es mi héroe -le dijo Acton a Koum-. Creo que los políticos se están aprovechando de estos terribles actos terroristas para hacer avanzar sus agendas».

Pero ni Apple ni el FBI han mostrado sus cartas. ¿Para qué se embarcó la agencia en un incierto berenjenal jurídico si podía contratar a terceros para desbloquear el iPhone en cuestión, y de hecho lo hizo, gracias a los servicios de una empresa israelí? Respuesta: para sentar un precedente legal con el que poder abrir 'puertas traseras' en cualquier dispositivo. «Pero el FBI ha conseguido que los ciudadanos acudan a Apple para protegerse, no al revés», opina Edward Snowden.

En cuanto a Apple, ¿es una cruzada por la defensa de nuestra privacidad, como alega Tim Cook? ¿O hay gato encerrado? Kieran Healy, profesor de Sociología de la Universidad de Duke, aporta una clave: «Cualquiera podría pensar que las compañías de Silicon Valley están dirigidas por libertarios que odian al Gobierno... Pero no toda la industria tecnológica ha respondido igual. Y Apple tiene un interés comercial porque vende hardware, cuando las demás venden servicios. Apple sabe que su cliente es la persona que compra el teléfono móvil; no los publicistas, ni los agregadores ni nadie más». Apple, además, se podría estar jugando su supervivencia. De hecho, pierde dinero por primera vez en diez años. Y las ventas de iPhones han bajado. André Spicer, de la Cass Business School de Londres, alertaba de que podría desplomarse, como ocurrió con Nokia, porque la competencia es feroz. Y si vas a pagar 800 euros por un móvil, debes tener buenas razones para hacerlo, además del dinero.

Todos miran ahora hacia Google, cuya decisión podría inclinar la balanza... El gigante está mejorando la privacidad de su motor de búsqueda y se rumoreó que estaba dispuesto a comprar Telegram por mil millones de dólares. Pero su gran apuesta por la seguridad es el proyecto Cámara Acorazada, liderado por el hacker Peiter Zatko. Es una especie de caja fuerte inviolable para datos, mensajes y llamadas. Pero los responsables de Google no dicen si lo implementarán. Y, de hacerlo, sería como echarse piedras en su propio tejado. Porque va demasiado a contracorriente de sus métodos habituales. Por ejemplo, su correo, Gmail, analiza sin pudor los mensajes de los usuarios para luego colocar anuncios personalizados en la navegación.

WHATSAPP La aplicación de mensajería propiedad de Facebook

Moxie Marlinspike

"La policía abusa de poder"


Es el criptógrafo de moda. Nadie escribe código tan perfecto como él. Su compañía Open Whisper Systems, con solo 15 ingenieros y ubicada en un local barato de San Francisco, desarrolló el cifrado que ha implantado WhatsApp. Él mismo se lo ofreció. Es muy reservado, pero hasta hace un año expresaba sus opiniones en Internet: «La Policía ya abusa del inmenso poder que tiene, pero, si pudieran monitorizar todas las acciones de los ciudadanos, el castigo se convertiría en puramente selectivo. Todos violamos alguna ley en algún momento y los que están en el poder tendrían todo lo que necesitan para castigar a quienes quisieran».

TELEGRAM La aplicación de mensajería de origen ruso

Pável Durov El preferido por los islamistas, por seguridad


Creó esta plataforma de mensajería junto a su hermano Nikolái. Ambos decidieron exiliarse de Rusia cuando el Gobierno de Putin les arrebató la red social que habían fundado en 2006. Viajan por el mundo con pasaporte de las islas caribeñas de San Cristóbal y Nieves. Telegram fue la aplicación pionera en disponer de encriptación, incluida en los chats secretos, aunque no en chats normales. Los mensajes se autodestruyen en lapsos de tiempo que varían entre dos segundos y una semana. El Estado Islámico comenzó a utilizarla, según los servicios de inteligencia occidentales, aunque los terroristas de París, menos cautelosos, también usaron WhatsApp antes de que tuviese listo el cifrado de extremo a extremo.

SIGNAL La aplicación de mensajería preferida por Edward Snowden

Freric Jacobs Ahora, este criptógrafo ha fichado por Apple


Belga, jefe de programadores de Signal, la aplicación de mensajería creada por Moxie Marlinspike, cuyo código comparte ahora WhatsApp. Signal se hizo popular gracias a Edward Snowden, que la eligió por su alto nivel de seguridad para comunicarse con los periodistas que iban a sacar a la luz los archivos de la NSA. Jacobs anunció su incorporación al equipo de ingenieros de Apple para mejorar la seguridad criptográfica de los iPhone. «El servicio de Apple no es perfecto», dijo en su cuenta de Twitter. Apple no comparte los códigos de sus aplicaciones, protegidos en lo que se conoce como el Jardín Amurallado, que se suponía impenetrable hasta que fue atacado por hackers chinos. Signal, por el contrario, usa códigos abiertos y colaborativos, «lo que permite detectar y corregir vulnerabilidades» con mayor facilidad.

CÓMO FUNCIONA LA ENCRIPTACIÓN DE WHATSAPP

Todo usuario posee una clave o llave privada de encriptado; se crea al instalarse la aplicación y queda en el teléfono.

1. El mensaje es enviado

2. Whatsapp encripta el mensaje que se envía con una llave pública que está en sus servidores y cambia periódicamente

3. El mensaje saliente también se firma con la clave privada del emisor del mensaje.

4. El mensaje se envía firmado y encriptado

5. El mensaje se descodifica con la clave privada que se encuentra en el teléfono receptor.

6. Y es validado con la llave pública de los servidores.

7. El mensaje se vuelve legible solo entonces.

¿Y si interceptan el mensaje?

Como solo quien envía el mensaje tiene la clave o llave para firmar, nadie más puede mandar mensajes hacieéndose pasar por él...

...Y como solo quien recibe el mensaje tiene la llave para desencriptarlo, nadie más, ni siquiera Whatsapp, puede leer el contenido de la comunicación.
Actualización a 03/06/2016:
http://www.20minutos.es/noticia/2762095/0/whatsapp-telegram-comparativa-mensajeria-instantanea/


Actualización a 26/08/2016: La alianza Facebook-Whatsapp empieza a moverse:
http://tecnologia.elpais.com/tecnologia/2016/08/25/actualidad/1472130602_996229.html 

Actualización a 29/08/2016: Seguimos:
http://tecnologia.elpais.com/tecnologia/2016/08/29/actualidad/1472469105_228120.html 

No hay comentarios:

Publicar un comentario