Los mensajes cifrados en varios dispositivos pueden aumentar los riesgos, dicen los expertos
Conclusiones clave
- WhatsApp está probando en forma beta las capacidades de varios dispositivos con un pequeño grupo de usuarios.
- La nueva función permitirá a los usuarios sincronizar las comunicaciones a través de cuatro dispositivos adicionales.
- Los expertos dicen que podría haber compromisos de privacidad al comunicarse entre dispositivos, incluso cuando están cifrados.
Después de su anuncio de julio de que las capacidades multidispositivo estaban en beta, Los usuarios de WhatsApp se regocijaron con la idea de poder iniciar sesión en varios dispositivos. Pero, ¿la conveniencia adicional vendrá con compensaciones por la privacidad? Esto es lo que necesita saber.
A pesar de su protocolo de cifrado aclamado, la popular aplicación de mensajería tiene estar bajo fuego a pocas veces en años recientes (y, er, el dia de ayer) por numerosas vulnerabilidades, lo que genera dudas sobre su seguridad. Los expertos advierten que también podría haber compensaciones al conectar varios dispositivos a cualquier aplicación de comunicación cifrada.
"[La pregunta] no es solo agregar más dispositivos, sino que ¿son siempre seguros?" Steven M. Bellovin, dijo a Lifewire un profesor de informática en la Universidad de Columbia en una entrevista telefónica. "La frase de seguridad es 'superficie de ataque': ¿en cuántos lugares puede ser atacado y de cuántas formas diferentes?"
Técnicamente seguro
Según Bellovin, uno de los problemas más difíciles de abordar sobre la protección de varios dispositivos en una cuenta comienza con los fundamentos básicos del cifrado.
"Todo el cifrado depende de una clave secreta", dijo Bellovin, comparando las claves de cifrado con las llaves del coche que solo pueden arrancar el coche al que pertenecen. "Cada persona tiene que tener la suya propia. Por eso puedes leerlo y nadie más puede ".
Porque cada aplicación que se basa en el cifrado de un extremo a otro (E2EE) utiliza un protocolo específico basado en los principios subyacentes de manejo de claves y espacio de nombres (este último suele ser el número de teléfono del usuario), Bellovin dijo que el desafío es encontrar una manera de mover las llaves de forma segura y autenticar a los propietarios en varios dispositivos, algo que dijo que "no es fácil pregunta."
Llaves del Reino
Al igual que sus competidores, WhatsApp ya permite a los usuarios iniciar sesión en una computadora siempre que también estén conectados al teléfono inteligente asociado con su clave (la empresa dice que luego refleja la cuenta). Sin embargo, bajo el sistema beta, cada dispositivo sincronizado tendrá su propia clave, lo que permitirá a los usuarios iniciar sesión en cuatro dispositivos adicionales sin un teléfono.
"[La pregunta] no es solo agregar más dispositivos, sino que ¿son siempre seguros?"
"E2EE normalmente usa una única clave de cifrado por usuario, que necesita copiar la clave en todos los dispositivos que quieran usar... Por eso WhatsApp, hasta ahora, solo ha admitido un dispositivo, porque es difícil mantener esa clave de cifrado segura mientras se mueve a varios dispositivos," John S. Koh, un investigador de seguridad cuyo trabajo se ha centrado en un enfoque E2EE multidispositivo llamado claves por dispositivo (PDK), dijo a Lifewire en un correo electrónico.
"Con PDK, en lugar de que los usuarios tengan una única clave de cifrado, cada uno de los dispositivos de un usuario tiene su propia clave de cifrado. WhatsApp parece tomar este concepto y se refiere a las claves del dispositivo como 'claves de identidad' ", dijo Koh. "Uno de los beneficios de E2EE en varios dispositivos que utilizan mi enfoque, y presumiblemente de WhatApp, que se basa en una clave por dispositivo, es que el modelo de uso es mucho más fácil de entender para los usuarios. La compensación es el caso extremo en el que los usuarios pierden sus dispositivos y necesitan eliminar su acceso, lo que a veces puede ser un proceso laborioso ".
Más dispositivos, mismas soluciones
"La respuesta a si algo es seguro siempre comienza con otra pregunta, que es, '¿Cuáles son sus necesidades?'" Maritza Johnson, un experto en seguridad y privacidad y director del centro de la Universidad de San Diego, dijo a Lifewire en una entrevista telefónica.
Para abordar las necesidades de seguridad individuales, Facebook dijo en una publicación de blog que WhatsApp planea ofrecer la capacidad de ver todos los dispositivos vinculados a una cuenta, ver cuándo se usaron por última vez, y cerrar la sesión de forma remota, algo que Johnson dijo que es importante, especialmente para las víctimas de abuso de pareja que a veces son objetivos del ciberacoso.
"No quieres que el teléfono de tu exnovio reciba una copia de todo y no lo sabes, o no sabes cómo apagarlo", dijo Johnson. "Es una decisión personal, si desea iniciar sesión en su cuenta de WhatsApp en un dispositivo compartido y pensar en las implicaciones de eso".
Johnson también enfatizó la importancia de asegurarse de que todos los dispositivos vinculados estén protegidos con contraseña para evitar que otra persona acceda físicamente a ellos, algo contra lo que el cifrado más fuerte no puede proteger.
"Cualquier computadora portátil, tableta u otro dispositivo que esté usando con la misma cuenta, querrá asegurarse de que tienen el mismo nivel básico de seguridad en todos esos... para que alguien no pueda simplemente deslizar el dedo para abrir ", dijo Johnson.