# Un poco de luz en el supuesto **Backdor** en WhatsApp y por que **SI** es un problema.

Se esta corriendo un debate sobre si lo de WhatsApp es una vulnerabilidad, un backdoor o  un tema de usabilidad.

Lo mejor lo leí de acá:

##  Backdoor en #WhatsApp permite interceptar comunicaciones cifradas (actualizado) 
http://blog.segu-info.com.ar/2017/01/backdoor-en-whatsapp-permite.html?m=1

Ahí se explica de forma correcta el problema y por qué de la controversia.

Al haber desarrollado un software de comunicación cifrada puedo agregar un poco de experiencia personal al tema.

Primero, los de WhatsApp NO es una vulnerabilidad ni un backdoor, pero SI es un problema, y grave.

Cuando se establece una comunicación E2E, lo importante es la llave de cada usuario, en OTR por ejemplo (mi protocolo favorito), las llaves son RSA, y un usuario tiene la responsabilidad de verificar que la huella (o fingerprint) de la llave sea realmente de esa persona, yo por ejemplo [las tengo publicadas](http://log.exodica.com.ar/otr) firmadas por [mi clave pgp](http://log.exodica.com.ar/u/exos/pubkey).

OTR por otro lado tiene un guiño a la usabilidad, pudiendo intercambiar una pregunta/respuesta secreta, con la que se puede hacer una pregunta que uno sepa que solo el verdadero destinatario la sabe.

Hablando del némesis de WhatsApp, Telegram, este, cuando se establece una conversación privada, se hace hacia el dispositivo y la única forma de comprobar que el destinatario realmente es el destinatario es por medio de un fingerprint gráfico de la clave.

Acá notamos la primera diferencia entre código privativo vs psudo-foss en temas de privacidad, (y digo psudo, porque telegram solo tiene publicado el código de los clientes, no de los servidores, y todas las comunicaciones pasan por estos), pero aún así, si no confías en telegram (empresa), podés usar uno de los tantos clientes alternativos que hay. En WhatsApp esto es imposible.

WhatsApp es una software para usuarios finales, con millones de usuarios, y no es raro que Facebook elija la inseguridad a cambio de la comodidad de los usuarios finales.

Ahora, esto si es un problema, y lo paso a explicar, si bien es cierto que no es un backdoor, una renegociación de claves implica siempre un peligro, siempre y cuando no haya claves asimétricas fijas, como puede ser RSA o implementaciones a mas alto nivel como OpenPGP, etc..

El problema es que los usuarios tendrían que ser cocientes de que deben portar estas llaves y sobretodo guardarlas lo mas protegidas que se pueda, y un usuario que apenas entiende que Android es el sistema operativo del celular y no el modelo, menos va a ser consciente de lo insegura que puede ser un poco mas de comodidad.

Una solución a esto podrían ser la generación de llaves por algoritmos deterministas (como hacen algunos clientes de Bitcoin) pero esto es muy complicado de implementar, sobretodo en cifrado asimétrico que necesita de largos números primos.

Resumiendo un poco, WhatsApp NO es la solución definitiva a la privacidad, de hecho esta lejos, ni siquiera telegram,  si me piden mi opinión sobre comunicaciones realmente cifradas en dispositivos móviles, recomendaría un protocolo como [XMPP](https://es.wikipedia.org/wiki/Extensible_Messaging_and_Presence_Protocol), un servidor como [Riseup](https://riseup.net/)  (que por cierto tiene todos sus servicios como hidden services de TOR) y un protocolo de cifrado como [Off The Record](https://es.wikipedia.org/wiki/Off_the_record_messaging), y obviamente para la verificación de los fingerprints, nada mejor que juntarse a tomar una cerveza e intercambiarlos en persona.