WhatsApp ahora encripta las bases de datos de contactos para una sincronización, que preserva la privacidad

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

La plataforma de mensajería, WhatsApp, ha presentado Identity Proof Linked Storage (IPLS), un nuevo sistema de almacenamiento encriptado que preserva la privacidad diseñado para la gestión de contactos.

El nuevo sistema resuelve dos problemas de larga data con los que los usuarios de WhatsApp han estado lidiando durante años, a saber, el riesgo de perder sus listas de contactos si pierden su teléfono y la imposibilidad de sincronizar contactos entre diferentes dispositivos.

Con IPLS, las listas de contactos de WhatsApp ahora se vincularán a la cuenta en lugar del dispositivo, lo que permitirá a los usuarios administrarlas fácilmente entre cambios o reemplazos de dispositivos.

Además, IPLS permite mantener diferentes listas de contactos para múltiples cuentas en el mismo dispositivo, cada una administrada de forma segura y aislada del resto.

IPLS logra seguridad a través de una combinación de encriptación, transparencia de claves y el uso de módulos de seguridad de hardware (HSM).

Cuando se agrega un nuevo contacto, el nombre se cifra mediante una clave de cifrado simétrico generada en el dispositivo del usuario y almacenada en el Key Vault resistente a manipulaciones basado en HSM de WhatsApp.

Cuando el usuario inicia sesión en un nuevo dispositivo, se establece una sesión segura con el Key Vault basado en HSM para recuperar el nuevo contacto realizando una acción de autenticación utilizando el par de claves criptográficas vinculadas a la cuenta del usuario (creada al registrarse).

IPLS garantiza que todos los contactos estén cifrados de extremo a extremo, lo que significa que los datos de contacto están cifrados en el dispositivo del usuario y permanecen cifrados a medida que se mueven a través de los sistemas de WhatsApp, lo que evita las intercepciones en tránsito o el acceso por parte de empleados deshonestos de Meta.

WhatsApp también se asocia con Cloudflare para la auditoría independiente de terceros de sus operaciones criptográficas, específicamente, para actuar como garante de las actualizaciones del Directorio de claves auditables (AKD), firmando cada época y validando que no haya sido alterado.

WhatsApp publica pruebas auditables de consistencia para las actualizaciones del directorio de claves (transiciones entre épocas) en una instancia de Amazon S3 de acceso público, lo que permite a los usuarios, investigadores y auditores verificar de forma independiente la integridad de AKD.

Antes de que IPLS y los mecanismos subyacentes se presentaran al público, WhatsApp contrató a NCC Group para realizar una auditoría de seguridad en el nuevo sistema.

El descubrimiento más crítico de esa auditoría fue una falla que permitía la suplantación de los HSM de Marvell y el descifrado del material de la clave secreta de los usuarios, lo que potencialmente exponía metadatos de contactos privados.

WhatsApp abordó este problema, junto con 12 fallas calificadas de gravedad baja a media, en septiembre de 2024, por lo que no están presentes en la versión final de IPLS.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *