La integración del cifrado de extremo a extremo de WhatsApp fue una gran noticia para los usuarios, que al fin podían estar tranquilos en cuanto a la privacidad y seguridad que confería este servicio de mensajería instantánea.

Todo parecía ser perfecto hasta que hace unas horas The Guardian publicase una noticia en la cual se advertía de un agujero de seguridad en WhatsApp que permitiría a un atacante interceptar los mensajes cifrados y ver su contenido. Ese agujero de seguridad no existe, y lo que ocurre es que algunos medios no han entendido cómo funcionan las claves de cifrado del sistema. El cifrado de WhatsApp funciona precisamente como debe hacerlo.

¿Cuál era el supuesto problema?

En The Guardian explicaban cómo WhatsApp podría forzar a un cliente móvil del servicio a generar nuevas claves de cifrado, algo que haría posible que los responsables del servicio pudieran interceptar ese intercambio de claves y, por lo tanto, interceptar los mensajes posteriores.

[[video: {"width":1000,"height":563,"layout":"large","type":"youtube","videoId":"VaP4UUatF9w","src":"//www.youtube.com/embed/VaP4UUatF9w","frameborder":0,"allowfullscreen":"allowfullscreen"}]]

Como explicaba un experto en seguridad en su blog, "esta es la forma en la que funciona un ataque man-in-the-middle, y solo funciona cuando ambas partes —que se comunican con la otra— no verifican la huella digital de esas claves intercambiadas".

Tanto Signal como WhatsApp hacen uso de un sistema llamado TOFU ("Trust Of First Use", "Confianza en el primer uso"), y según ese principio cuando una clave se intercambia, esa es la clave en la que se confía para la comunicación en tanto en cuanto …