WhatsApp también es cuestionada en Estados Unidos por el cifrado de mensajes

Apple ha sido noticia en las últimas semanas después de que el FBI le pidiera a los de Cupertino que le ayudaran a desbloquear un iPhone propiedad de un terrorista implicado en los ataques de San Bernardino. Ahora, todo apunta a que WhatsApp será el siguiente servicio en la diana de la polémica.

El cifrado de los servicios y la incapacidad de las agencias de inteligencia de entrar en ellos ha convertido el escenario en una lucha de intereses. Ahora y según indica el diario New York Times, el Departamento de Justicia se ha dirigido al servicio propiedad de Facebook, WhatsApp, por el uso del cifrado que realizan, el cual dificultaría posibles investigaciones con el servicio implicado.

Al parecer, se trata de un caso en curso en el que un juez federal ha aprobado una intervención telefónica, pero los investigadores no pueden descifrar los mensajes enviados a través de WhatsApp. La razón es que actualmente la app utiliza un cifrado donde tan sólo el remitente y el destinatario pueden ver las conversaciones entre ellos.

Mientras, WhatsApp dice que no puede proporcionar información que no tiene. Entre las voces que han hablado sobre el caso se encuentra la organización sin ánimo de lucro Electronic Frontier Foundation, que ya ha estado inmersa en la defensa de causas similares. Para ellos, tanto en el caso de Apple como en el de WhatsApp los tribunales deben evaluar si el cumplimiento de una orden constituiría una “carga excesiva”.

Unos casos, el de Apple (y ahora WhatsApp), donde las leyes parecen intentar seguir el ritmo de la tecnología, pero esta siempre va un paso por delante. Si bien las necesidades de privacidad de los usuarios han evolucionado, los gobiernos y fuerzas del orden parecen seguir confiando en los poderes que tenían antes de que existieran estas nuevas tecnologías, pero ahora podrían ir un paso por detrás.
Desde cuando usa whatsapp cifrado de extremo a extremo ? Yo pensaba que era insegura, que subidon !!!
Watshap no era insegura de cojines??

Que raro...
WhatsApp no decían que no tenía mensajes cifrados ?
A mi me hace gracia que se tenga que defender a estas compañias como la de Whatsapp o Apple en vez de ser algo que deberia estar protegido por el propio pais, y en cambio es algo que se persigue
Vaya, yo que había leído a los Telegramcuñaos de EOL diciendo que era una mierda de seguridad la que implementaban...

[facepalm] mucho entendido...
Por favor, esos cifrados los rompe la NSA con un chorrazo, si no estan rotos o tinen backdoors. Otra cosa es que en una investigacion media no sea posible y que la NSA no puede ir y decirles, "ala, toma ahi teneis todo"

Hay pocas opciones que ofrecen en interner verdadero anonimato y seguridad.

Hasta el propio gobierno de españa puede leer tus whatsapp u otros mensajes con una orden judicial, supongo que a traves de SITEL u otro software.
Wassap empezo a filtrar los mensajes hace un tiempo, fue noticia si no me equivoco. El problema reside en que los mensajes se guardan en los moviles y no en el servidor, por lo que si no tienen el movil no pueden ver la conversacion, aunque seguro que los de Wassap pueden hacer algo al igual que han hecho WassapWeb
Jodeerr en que quedamos???
resulta que ahora Whatsapp es seguro.... por lo tanto windows/facebook/mierdas-sociales/etc tambien lo seran (digo yo)

creo que he visto demasiados creepypastas de conspiraciones [carcajad]
Se os ve entendidos a los que seguían pensando que Whatsapp no era seguro.


De finales de 2014...

El único que NO encripta los mensajes por defecto es el propio Telegram :-|
tiene pinta de noticia para que la gente crea que es seguro y lo sigan usando, a saber si la encriptacion es de 1 o 2 bits( exagerando un poco )xDD, saludos
porroman escribió:tiene pinta de noticia para que la gente crea que es seguro y lo sigan usando, a saber si la encriptacion es de 1 o 2 bits( exagerando un poco )xDD, saludos

Usan TextSecure con encriptación de 256 bits.

https://eprint.iacr.org/2014/904.pdf
https://en.wikipedia.org/wiki/TextSecur ... n_protocol

Encryption protocol

The TextSecure encryption protocol is an end-to-end encrypted messaging protocol with deniability guarantees[44] and message-level forward secrecy, similar to the Off-the-Record Messaging (OTR) protocol.[45] It uses Curve25519, AES-256, and HMAC-SHA256 as primitives.[46][45]

There have been two major releases of the TextSecure protocol. The first version used the OTR ratchet (with ECC keys instead of DSA keys) and custom binary structures.[47] The TextSecure protocol also compressed some data structure formats[47] and allowed the ephemeral key negotiation to work asynchronously.[48] The second version uses the no header keys variation of the Axolotl key management protocol and protobuf records.[45]


Desde luego es infinitamente más seguro que Telegram, que usa una encriptación muy pobre y arcaica.

http://www.cryptofails.com/post/7054672 ... is-contest
http://unhandledexpression.com/2013/12/ ... now-maths/
http://thoughtcrime.org/blog/telegram-crypto-challenge/
txeriff escribió:Por favor, esos cifrados los rompe la NSA con un chorrazo, si no estan rotos o tinen backdoors. Otra cosa es que en una investigacion media no sea posible y que la NSA no puede ir y decirles, "ala, toma ahi teneis todo"

Hay pocas opciones que ofrecen en interner verdadero anonimato y seguridad.

Hasta el propio gobierno de españa puede leer tus whatsapp u otros mensajes con una orden judicial, supongo que a traves de SITEL u otro software.

Puedes decirme en que te basas para decir eso? Simple curiosidad, porque yo de esto, ni idea.
Chechuty escribió:Se os ve entendidos a los que seguían pensando que Whatsapp no era seguro.


De finales de 2014...

El único que NO encripta los mensajes por defecto es el propio Telegram :-|


En realidad está encriptado (por lo visto) en las últimas betas únicamente, supongo que por eso se quejan ahora.
Si te pones la última beta, y chateas con alguien que se actualiza también, desde ese momento aparece un mensaje en el chat que dice "los mensajes enviados a este chat ahora están cifrados de extremo a extremo. Toca para más información" :P
En fin...,una noticia para desinformar,no lo digo por el que la ha puesto aqui (solo se informan de las noticias que salen),sino por parte de ellos... [discu]

El problema no es que tenga un cifrado alto y tal,sino de la compañia por el que lo esta llevando...(facebook o google,etc = club bilderberg),fiate...

Saludos.
txeriff escribió:...Hasta el propio gobierno de españa puede leer tus whatsapp u otros mensajes con una orden judicial, supongo que a traves de SITEL u otro software.


Es cierto se sabe de casos donde han pillado al "pequeño Nicolás" mirando por encima del hombro cuando, escribes un whatsapp.... XD XD XD .

En serio, es curioso como la tecnología no entiende de conveniencias....
Jajajaja el que se crea esto es que es muuuuuuuuuuuuy ingenuo [+risas]

Whathsapp es de Facebook, solo con eso nos podemos hacer una idea de por donde van los tiros, aparte de que tiene su propia encriptacion privada, así que no sería de extrañar que tenga no una puerta sino un portal trasero como el de la plaza de toros de las ventas.

Será por alternativas mas seguras....

A otro con este cuento
jnderblue escribió:
porroman escribió:tiene pinta de noticia para que la gente crea que es seguro y lo sigan usando, a saber si la encriptacion es de 1 o 2 bits( exagerando un poco )xDD, saludos

Usan TextSecure con encriptación de 256 bits.

https://eprint.iacr.org/2014/904.pdf
https://en.wikipedia.org/wiki/TextSecur ... n_protocol

Encryption protocol

The TextSecure encryption protocol is an end-to-end encrypted messaging protocol with deniability guarantees[44] and message-level forward secrecy, similar to the Off-the-Record Messaging (OTR) protocol.[45] It uses Curve25519, AES-256, and HMAC-SHA256 as primitives.[46][45]

There have been two major releases of the TextSecure protocol. The first version used the OTR ratchet (with ECC keys instead of DSA keys) and custom binary structures.[47] The TextSecure protocol also compressed some data structure formats[47] and allowed the ephemeral key negotiation to work asynchronously.[48] The second version uses the no header keys variation of the Axolotl key management protocol and protobuf records.[45]


Desde luego es infinitamente más seguro que Telegram, que usa una encriptación muy pobre y arcaica.

http://www.cryptofails.com/post/7054672 ... is-contest
http://unhandledexpression.com/2013/12/ ... now-maths/
http://thoughtcrime.org/blog/telegram-crypto-challenge/


Lo malo es cuando sacas la sd del telefono o te copias la carpeta de whatsapp y te haces con los mensajes en 3 minutos, y las fotos, videos, audios y tal no tienes ni que tocarlas
Y pienso yo, no seria "facil" para estas persona entrar en el iphone, usar un pc con lo del whatssap web, escanean el qr con el iphone y les saldra todas las conversaciones, como hacemos todos cuando lo usamos en el pc, solo tendrian que encender el movil y hacerlo funcionar, cosa que seguro, seguro que saben hacer o que apple puede hacer; ¿o es demasiado lo que pienso?

Un saludete

PD: Recuerdo que hace mucho tiempo, perdi unas conversaciones que necesitaba por tener la informacion de un contacto en ellas, pues con phyton y la copia de las conversaciones de la sd pasadas al pc me lo descifro, era demasiado facil, imagino que esto ya lo mejoraron, de ahi la cuestion de esta noticia, menos mal, por que si querias saber algo de alguien con clonar su sd, o meter el backup de la conver en tu pc ya llegabas a todo.

Sobre la seguridad de otras cosas, Telegram, Confide, Facebook... ni idea, pero claro esta que todo, incluido Whatsapp tendra brechas, el unico dispositivo seguro en el mundo es un pc sin conexion a internet y con el teclado, unidades lectoras, usb... bajo llave, ese es inviolable xD
Namco69 escribió:
txeriff escribió:Por favor, esos cifrados los rompe la NSA con un chorrazo, si no estan rotos o tinen backdoors. Otra cosa es que en una investigacion media no sea posible y que la NSA no puede ir y decirles, "ala, toma ahi teneis todo"

Hay pocas opciones que ofrecen en interner verdadero anonimato y seguridad.

Hasta el propio gobierno de españa puede leer tus whatsapp u otros mensajes con una orden judicial, supongo que a traves de SITEL u otro software.

Puedes decirme en que te basas para decir eso? Simple curiosidad, porque yo de esto, ni idea.



No tengo pruebas obviamente ni se en que supuesta encriptacion se basa pero si quieres algo realmente seguro o usas la mensajeria que usa snowden, que debe de llamarse "SIGNAL" o redes tipo "Tor" que dan bastante fiabilidad. Sino, ya te pueden decir que tienes una encriptacion de chorricientos bits que nadie te asegura que no tenga un backdoor ya sea la APP o el cifrado.
txeriff escribió:No tengo pruebas obviamente ni se en que supuesta encriptacion se basa pero si quieres algo realmente seguro o usas la mensajeria que usa snowden, que debe de llamarse "SIGNAL" o redes tipo "Tor" que dan bastante fiabilidad. Sino, ya te pueden decir que tienes una encriptacion de chorricientos bits que nadie te asegura que no tenga un backdoor ya sea la APP o el cifrado.

Si sabes qué encriptación usa, sabrás que Signal y Whatsapp usan exactamente la misma.
jnderblue escribió:
porroman escribió:tiene pinta de noticia para que la gente crea que es seguro y lo sigan usando, a saber si la encriptacion es de 1 o 2 bits( exagerando un poco )xDD, saludos

Usan TextSecure con encriptación de 256 bits.

https://eprint.iacr.org/2014/904.pdf
https://en.wikipedia.org/wiki/TextSecur ... n_protocol

Encryption protocol

The TextSecure encryption protocol is an end-to-end encrypted messaging protocol with deniability guarantees[44] and message-level forward secrecy, similar to the Off-the-Record Messaging (OTR) protocol.[45] It uses Curve25519, AES-256, and HMAC-SHA256 as primitives.[46][45]

There have been two major releases of the TextSecure protocol. The first version used the OTR ratchet (with ECC keys instead of DSA keys) and custom binary structures.[47] The TextSecure protocol also compressed some data structure formats[47] and allowed the ephemeral key negotiation to work asynchronously.[48] The second version uses the no header keys variation of the Axolotl key management protocol and protobuf records.[45]


Desde luego es infinitamente más seguro que Telegram, que usa una encriptación muy pobre y arcaica.

http://www.cryptofails.com/post/7054672 ... is-contest
http://unhandledexpression.com/2013/12/ ... now-maths/
http://thoughtcrime.org/blog/telegram-crypto-challenge/

gracias por la aclaración, pero no me fio un pelo igualmente :)
Liriko está baneado por "Troll"
Lo único claro es que esto es un ZAS para todos los que alardeaban a los 4 vientos en cada noticia lo poco seguro que era wasap blablabla.

Un mito menos, solo queda el de que facebook vende los datos (que no eslo mismo que el espionaje de la NSA o incluso de google) , hablo de vender a empresas privadas. Si cae ese mito EOL será MUUUY aburrida sin gente inventandose conspiraciones.
¿El mismo Whatsapp cuyo cliente de PC es un teclado remoto? Ya veo..
Este tipo de noticias (Whatsapp, Apple etc..) me da que el único sentido que quieren "publicitar" es decirle a la gente que su Software y sus datos están muy bien protegidos y muy seguros, cosa que dudo y mucho.
sixsilum escribió:Watshap no era insegura de cojines??

Que raro...

jajajajaja.....yo nunca doy datos en watsapp ni de broma
Vaya, ahora WhatsApp ya es mas segura que Telegram :(
Por eso Telegram no la usa ni el tato, y en mi lista de contactos la tengo llena de "usuario borrado" (no es coña)
Y yo que pensaba que escribir en wasap era como escribir en un libro abierto.
Aquí algunos confunden cosas, que un programa use codificación de sus mensajes no significa que el programa no sea inseguro (de hecho WhatsApp tiene vulnerabilidades que no tienen nada que ver con si codifica o no los mensajes o los contenidos que se transmiten por él, por ejemplo el tema de las vCard).

Sobre lo que comenta algún compañero, sobre el cifrado y si la NSA puede o no romper tal o cual cifrado. Hace poco salió una noticia alertando que los ordenadores cuánticos romperían cualquier cifrado normal. El caso es que la propia NSA expuso ahora mismo cuales son los cifrados seguros y cuales no:

https://www.deepdotweb.com/2016/02/08/n ... ptography/

Eso como mínimo da indicios de los que la propia NSA puede romper o no.

En todo caso como decís WhatsApp pertenece a Facebook, y hace un tiempo Facebook dijo que permitiría cifrar, pero que ellos se quedarían con las claves, con lo cual tampoco lo veo muy seguro.

Salu2
Si queréis seguridad usad un iPhone con Whatsapp señores jajaja
Cuanto enterado hay por aquí

Whatsapp cifra los mensajes evidentemente el problema es que la clave de cifrado es la misma de los inicios y se conoce con lo cual que cifre o no los mensajes es indiferente

Y al igual que las bases de datos locales están cifradas el el dispositivo la clave es conocida también así que más de lo mismo

Y ya que estamos en la base local del dispositivo parte de guardar los mensajes,teléfonos,contactos etc e guarda la posición gps de cuando los mandas

Vamos súper seguridad
jnderblue escribió:
txeriff escribió:No tengo pruebas obviamente ni se en que supuesta encriptacion se basa pero si quieres algo realmente seguro o usas la mensajeria que usa snowden, que debe de llamarse "SIGNAL" o redes tipo "Tor" que dan bastante fiabilidad. Sino, ya te pueden decir que tienes una encriptacion de chorricientos bits que nadie te asegura que no tenga un backdoor ya sea la APP o el cifrado.

Si sabes qué encriptación usa, sabrás que Signal y Whatsapp usan exactamente la misma.



y porque Snowden no usaria whatsapp ni por el forro? Porque no todo es la encriptacion, la APP puede tener backdoors voluntarios.
Antes de decir que ahora de golpe WhatsApp es seguro y el tema de Telegram... dedicaros 30 minutos a informaros.
Yo creo que la NSA está llena de pervertidos cotillas que se pajean viendo las conversaciones de los demas.
txeriff escribió:Por favor, esos cifrados los rompe la NSA con un chorrazo, si no estan rotos o tinen backdoors. Otra cosa es que en una investigacion media no sea posible y que la NSA no puede ir y decirles, "ala, toma ahi teneis todo"

A veces nos creemos que la NSA son super hombres, cuando no son más que una organización con más presupuesto y ya.

Las matemáticas son muy puñeteras, no distingue entre personas ni organizaciones.
amchacon escribió:
txeriff escribió:Por favor, esos cifrados los rompe la NSA con un chorrazo, si no estan rotos o tinen backdoors. Otra cosa es que en una investigacion media no sea posible y que la NSA no puede ir y decirles, "ala, toma ahi teneis todo"

A veces nos creemos que la NSA son super hombres, cuando no son más que una organización con más presupuesto y ya.

Las matemáticas son muy puñeteras, no distingue entre personas ni organizaciones.



Sinceramente, creo que eres demasiado optimista.

No pienses que porque en tu URL pone https ya es una conexion segura porque no es asi, siempre hay agujeros de seguridad que a veces son voluntarios y otras no.

Whatsapp es tan de fiar para enviar mensajes seguros como poner un anuncio en un periodico.

Y ya te digo que paso tambien con un sistema de encriptacion , creo que fue el truecript que un dia dijeron que no podian garantizar la seguridad, habia agujeros como caballos:
https://en.wikipedia.org/wiki/TrueCrypt ... y_concerns

(Individual ciphers supported by TrueCrypt are AES, Serpent, and Twofish. Additionally, five different combinations of cascaded algorithms are available: AES-Twofish, AES-Twofish-Serpent, Serpent-AES, Serpent-Twofish-AES and Twofish-Serpent.[36] The cryptographic hash functions available for use in TrueCrypt are RIPEMD-160, SHA-512, and Whirlpool.[37])

Y todo ello con los algoritmos que te de la gana, pero si el software tiene fallos, sean intencionados o no, estas vendido
Me haceis gracia cuando os veo discutir sobre que aplicación mas segura. No entiendo pa que tanta mierda, si total, te meten un troyano en el SO que haga capturas de pantalla y se las mande a la NSA y a hacer puñetas toda encriptación que haya [poraki].

A mi me vale con que no pueda leer mis conversaciones mi vecino. La NSA y todos estos pues hombre, gracia no me hace, pero tengo claro que si quisiera evitar que me leyeran entraria en modo paranoico con un gorro de aluminio en la cabeza, asi que prefiero no pensar en ello. Es una frase muy gastada pero "no tengo nada que esconder" por lo tanto, no tengo nada que les interese y no tienen razón para espiarme.
txeriff escribió:No pienses que porque en tu URL pone https ya es una conexion segura porque no es asi, siempre hay agujeros de seguridad que a veces son voluntarios y otras no.

Eso ya depende de la implementación que tenga en el otro lado. Por ejemplo se descubrió que Apache usaba la misma contraseña en todas las conexiones :-|

Una buena implementación (Google por ejemplo) no se la salta así de fácil.

txeriff escribió:Y ya te digo que paso tambien con un sistema de encriptacion , creo que fue el truecript que un dia dijeron que no podian garantizar la seguridad, habia agujeros como caballos:
https://en.wikipedia.org/wiki/TrueCrypt ... y_concerns

No seré yo quien defienda a TrueCrypt, pero ningunos de esos agujeros tiene nada que ver con él:

- Encryption keys stored in memory: Pff, esta vulnerabilidad es más bien a nivel teórico. Tendrías que tener acceso físico al pc, y tendría que ser tan solo unos segundos más tarde de introducir la clave, antes de que se desgrade la información.
- Physical security: Lógico. Si tienes acceso físico al ordenador, puedes instalarle un keylogger y ya.
- Malware: Si te instalan un keylogger, pues pueden coger la clave cuando la tecleas claro. Tienes que complementarlo con otro sistema que impida eso.
- The "Stoned" bootkit: Ok este es más serio, pero se necesita una de estas dos cosas:

1º Privilegios administrativos.
2º Acceso físico al ordenador.

Quizás lo más fácil de conseguir sea lo primero. Sobre todo porque la mayoría de usuarios de Windows usa la cuenta de administrador para todo :-|
amchacon escribió:
txeriff escribió:No pienses que porque en tu URL pone https ya es una conexion segura porque no es asi, siempre hay agujeros de seguridad que a veces son voluntarios y otras no.

Eso ya depende de la implementación que tenga en el otro lado. Por ejemplo se descubrió que Apache usaba la misma contraseña en todas las conexiones :-|

Una buena implementación (Google por ejemplo) no se la salta así de fácil.

txeriff escribió:Y ya te digo que paso tambien con un sistema de encriptacion , creo que fue el truecript que un dia dijeron que no podian garantizar la seguridad, habia agujeros como caballos:
https://en.wikipedia.org/wiki/TrueCrypt ... y_concerns

No seré yo quien defienda a TrueCrypt, pero ningunos de esos agujeros tiene nada que ver con él:

- Encryption keys stored in memory: Pff, esta vulnerabilidad es más bien a nivel teórico. Tendrías que tener acceso físico al pc, y tendría que ser tan solo unos segundos más tarde de introducir la clave, antes de que se desgrade la información.
- Physical security: Lógico. Si tienes acceso físico al ordenador, puedes instalarle un keylogger y ya.
- Malware: Si te instalan un keylogger, pues pueden coger la clave cuando la tecleas claro. Tienes que complementarlo con otro sistema que impida eso.
- The "Stoned" bootkit: Ok este es más serio, pero se necesita una de estas dos cosas:

1º Privilegios administrativos.
2º Acceso físico al ordenador.

Quizás lo más fácil de conseguir sea lo primero. Sobre todo porque la mayoría de usuarios de Windows usa la cuenta de administrador para todo :-|



Ya pero es que la mayoria de veces se tira por agujeros de seguridad que hacen que la encriptacion caiga o backdoors que no nos dicen que tienen pero ahi estan.

que en tu conexion ponga https no te garantiza que la NSA no sepa que coño estas transmitiendo. A dia de hoy que yo sepa lo unico que les toca las pelotas un poco es la red Tor y si consiguen llegar a saber alguna vez algo de alguien (como el caso del que tenia la web esa de silkroad) fue porque se le debio de escapar años atras a traves de una pregunta en un foro de chichinabo con el mismo usuario que usaba en Tor.
Luego otros casos pues ya sabes, flash que siempre se ha dicho que es un coladero, bugs en el navegador... y eso hace que por mucha encriptacion que uses o tires de Tor no sea anonimo
A mi me da la sensación que estas noticias son para hacernos creer a los usuarios que nuestra privacidad está a salvo con las empresas americanas, avalistas de las libertades
41 respuestas