{ "nodes": [{ "uri": "https:\/\/log.exos.ninja\/3S", "content": "# Un poco de luz en el supuesto **Backdor** en WhatsApp y por que **SI** es un problema.\r\n\r\nSe esta corriendo un debate sobre si lo de WhatsApp es una vulnerabilidad, un backdoor o un tema de usabilidad.\r\n\r\nLo mejor lo le\u00ed de ac\u00e1:\r\n\r\n## Backdoor en #WhatsApp permite interceptar comunicaciones cifradas (actualizado) \r\nhttp:\/\/blog.segu-info.com.ar\/2017\/01\/backdoor-en-whatsapp-permite.html?m=1\r\n\r\nAh\u00ed se explica de forma correcta el problema y por qu\u00e9 de la controversia.\r\n\r\nAl haber desarrollado un software de comunicaci\u00f3n cifrada puedo agregar un poco de experiencia personal al tema.\r\n\r\nPrimero, los de WhatsApp NO es una vulnerabilidad ni un backdoor, pero SI es un problema, y grave.\r\n\r\nCuando se establece una comunicaci\u00f3n E2E, lo importante es la llave de cada usuario, en OTR por ejemplo (mi protocolo favorito), las llaves son RSA, y un usuario tiene la responsabilidad de verificar que la huella (o fingerprint) de la llave sea realmente de esa persona, yo por ejemplo [las tengo publicadas](http:\/\/log.exodica.com.ar\/otr) firmadas por [mi clave pgp](http:\/\/log.exodica.com.ar\/u\/exos\/pubkey).\r\n\r\nOTR por otro lado tiene un gui\u00f1o a la usabilidad, pudiendo intercambiar una pregunta\/respuesta secreta, con la que se puede hacer una pregunta que uno sepa que solo el verdadero destinatario la sabe.\r\n\r\nHablando del n\u00e9mesis de WhatsApp, Telegram, este, cuando se establece una conversaci\u00f3n privada, se hace hacia el dispositivo y la \u00fanica forma de comprobar que el destinatario realmente es el destinatario es por medio de un fingerprint gr\u00e1fico de la clave.\r\n\r\nAc\u00e1 notamos la primera diferencia entre c\u00f3digo privativo vs psudo-foss en temas de privacidad, (y digo psudo, porque telegram solo tiene publicado el c\u00f3digo de los clientes, no de los servidores, y todas las comunicaciones pasan por estos), pero a\u00fan as\u00ed, si no conf\u00edas en telegram (empresa), pod\u00e9s usar uno de los tantos clientes alternativos que hay. En WhatsApp esto es imposible.\r\n\r\nWhatsApp es una software para usuarios finales, con millones de usuarios, y no es raro que Facebook elija la inseguridad a cambio de la comodidad de los usuarios finales.\r\n\r\nAhora, esto si es un problema, y lo paso a explicar, si bien es cierto que no es un backdoor, una renegociaci\u00f3n de claves implica siempre un peligro, siempre y cuando no haya claves asim\u00e9tricas fijas, como puede ser RSA o implementaciones a mas alto nivel como OpenPGP, etc..\r\n\r\nEl problema es que los usuarios tendr\u00edan que ser cocientes de que deben portar estas llaves y sobretodo guardarlas lo mas protegidas que se pueda, y un usuario que apenas entiende que Android es el sistema operativo del celular y no el modelo, menos va a ser consciente de lo insegura que puede ser un poco mas de comodidad.\r\n\r\nUna soluci\u00f3n a esto podr\u00edan ser la generaci\u00f3n de llaves por algoritmos deterministas (como hacen algunos clientes de Bitcoin) pero esto es muy complicado de implementar, sobretodo en cifrado asim\u00e9trico que necesita de largos n\u00fameros primos.\r\n\r\nResumiendo un poco, WhatsApp NO es la soluci\u00f3n definitiva a la privacidad, de hecho esta lejos, ni siquiera telegram, si me piden mi opini\u00f3n sobre comunicaciones realmente cifradas en dispositivos m\u00f3viles, recomendar\u00eda un protocolo como [XMPP](https:\/\/es.wikipedia.org\/wiki\/Extensible_Messaging_and_Presence_Protocol), un servidor como [Riseup](https:\/\/riseup.net\/) (que por cierto tiene todos sus servicios como hidden services de TOR) y un protocolo de cifrado como [Off The Record](https:\/\/es.wikipedia.org\/wiki\/Off_the_record_messaging), y obviamente para la verificaci\u00f3n de los fingerprints, nada mejor que juntarse a tomar una cerveza e intercambiarlos en persona.", "created": "2017-01-14 09:40:57"}] }