La popular aplicación de mensajería instantánea WhatsApp anunció el jueves una nueva función de verificación de cuenta que garantiza que el malware que se ejecuta en el dispositivo móvil de un usuario no afecte su cuenta.
“El malware para dispositivos móviles es una de las mayores amenazas para la privacidad y la seguridad de las personas en la actualidad porque puede aprovecharse de su teléfono sin su permiso y usar su WhatsApp para enviar mensajes no deseados”, dijo la empresa propiedad de Meta. dicho en un anuncio.
Llamado Verificación del dispositivola medida de seguridad está diseñada para ayudar a prevenir ataques de apropiación de cuentas (ATO) al bloquear la conexión del actor de amenazas y permitir que el objetivo use la aplicación sin ninguna interrupción.
En otras palabras, el objetivo es impedir que los atacantes utilicen malware para robar claves de autenticación y secuestrar las cuentas de las víctimas y, posteriormente, hacerse pasar por ellas para distribuir spam y enlaces de phishing.
Esto, a su vez, se logra mediante la introducción de un token de seguridad que se almacena localmente en el dispositivo, un nonce criptográfico para identificar si un cliente de WhatsApp se está comunicando con el servidor para recuperar los mensajes entrantes y un desafío de autenticación que actúa como un «ping invisible». » del servidor al dispositivo de un usuario.
El cliente debe enviar el token de seguridad cada vez que se conecta al servidor. El token de seguridad, por su parte, se actualiza cada vez que obtiene un mensaje fuera de línea del servidor.
Un desafío de autenticación se considera una falla cuando el cliente responde al desafío desde un dispositivo diferente, lo que indica una conexión anómala que se origina en un atacante. Esto hace que la conexión se bloquee.
Si no hay respuesta del cliente, el proceso se vuelve a intentar «algunas veces más», después de lo cual la conexión se bloqueará si el cliente aún no responde.
WhatsApp dijo que la verificación de dispositivos se ha implementado para todos los usuarios de Android y que está en proceso de implementación para los usuarios de iOS.
La función es parte de un conjunto más amplio de nuevas mejoras que están diseñadas para autenticar y verificar las identidades de los usuarios, incluida la visualización de alertas cuando se intenta migrar una cuenta de WhatsApp de un dispositivo a otro.
También lanzado por WhatsApp es un «Transparencia clave» función para confirmar automáticamente si los chats están encriptados de extremo a extremo sin requerir ninguna acción adicional por parte del usuario.
Para hacerlo, está implementando un nuevo directorio de claves auditable (AKD) que se basa en protocolos existentes como CONIKS y PARECIDO para ayudar a los usuarios a verificar la seguridad de sus conversaciones.
«AKD permitirá a los clientes de WhatsApp validar automáticamente que la clave de cifrado de un usuario es genuina y permite que cualquier persona verifique las pruebas de auditoría de la corrección del directorio», dijo la compañía.
Domina el arte de la recolección de inteligencia de la Dark Web
Aprenda el arte de extraer inteligencia de amenazas de la web oscura. ¡Únase a este seminario web dirigido por expertos!
Verificación actualmente requiere usuarios en un chat para comparar manualmente el código de seguridad (que existe como un código QR y un número de 60 dígitos) enviándolo al participante en el otro extremo a través de SMS o correo electrónico, o alternativamente escaneando el código QR si las partes están físicamente uno al lado del otro.
El código de seguridad no es más que un hash único del par de claves pública/privada que se genera para facilitar la mensajería cifrada de extremo a extremo. Puede cambiar cuando los usuarios cambian de dispositivo o reinstalan WhatsApp.
Key Transparency agiliza el proceso de verificación al hacer uso de un flujo automatizado que mantiene un registro de los cambios de clave pública en un directorio, lo que permite que un cliente lo verifique.
WhatsApp tiene la intención de implementar esta función en los próximos meses, aunque ya está alojando y operando un directorio de claves auditable de todos sus usuarios. «Este es un mecanismo importante que permite a los usuarios conscientes de la seguridad verificar rápidamente una conversación personal cifrada de extremo a extremo», agregó la compañía.