Indicación de actividades:

1. Realice la lectura del eje 2 del módulo de criptografía, y reflexione a partir del siguiente
interrogante; ¿se puede garantizar la privacidad y confidencialidad de una comunicación
cuando el intermediario conserva copias de sus archivos y mensajes?

R Las actividades que desarrollamos en la cotidianidad a través de los servicios de

comunicación que prestan empresas destinadas al manejo y la administración de las redes
sociales como Facebook, WhatsApp, Tinder, Telegram, Twitter, Instagram, entre otras
aplicaciones, las cuales son utilizadas de forma recurrente y de obligatorio uso, a nivel
corporativo, personal, gubernamental, académico, industrial etc. Y es por esto, que las
aplicaciones que definen su utilidad en la transmisión de mensajes, cobran gran relevancia
en nuestro entorno diario y por medio de las cuales necesariamente enviamos y recibimos
información tanto crítica como trivial, un ejemplo de ello es el envío y recepción de
imágenes, fotografías, conceptos propios, ideas, gustos, costumbres y en ocasiones
posiciones políticas son transmitidas por múltiples canales de información. Nuestra
dependencia es tan alta que por lo menos las tres cuartas partes de las personas en el
mundo utilizamos algún tipo de redes sociales indistintamente de su función o aplicación.
“Usuarios de redes sociales: actualmente hay 4.650 millones de usuarios de redes sociales en
todo el mundo, lo que equivale al 58,7% de la población mundial total. Sin embargo, si nos
enfocamos solo en las audiencias «elegibles» de 13 años o más, los datos sugieren que
aproximadamente las tres cuartas partes de todas las personas que pueden usar las redes
sociales ya lo hacen.” MÁS DE 5 MIL MILLONES DE PERSONAS ya usan INTERNET - We Are Social
Spain

Las políticas de seguridad en muchas empresas no reducen para nada los ataques
informáticos que se puedan realizar por elementos externos o internos, los individuos que
laboran en grandes, medianas o pequeñas compañías aumentan en alto grado las
vulnerabilidades de los sistemas de información, esto debido a la escaza o nula
capacitación frente a los indicadores de fallos o “descuidos” intencionales o no que
impactan negativamente la estabilidad de cualquier tipo de negocio. Sumado a esto, las
personas envían información privilegiada y de alto valor a sus amigos, familiares o
conocidos, sin medir las consecuencias futuras que generan errores de divulgación masiva,
generando altísimos riesgos vulnerando muchas veces la intimidad de millones de personas
usuarias de este tipo de servicios. Con base en los conceptos anteriores podemos
evidenciar claramente que la interfaz del usuario permite en gran porcentaje la filtración de
muchos aspectos sensibles a todo nivel, sin embargo; debemos sumar a esta ecuación
todos y cada uno de los procesos que integran la transmisión de la información, desde la
arquitectura del hardware utilizado, seguido por las características lógicas de los sistemas
operativos, luego; por la transmisión de paquetes mediante la infraestructura de conexión
en redes WAN, LAN, MAN y los ISP que correspondan de acuerdo a las asignaciones de
transmisión de datos público y privada, se suman también las empresas particulares que
ofrecen servicios de hosting, VPS, Cloud Computing, canales dedicados de transmisión de
datos por antivirus VPN, y por múltiples empresas dedicadas al manejo y administración de
bases de datos, minería de datos entre otros. Si bien es cierto las políticas que se
determinan en Colombia, para mantener a salvo los tres pilares fundamentales de la
información como lo son: la confidencialidad, integridad y disponibilidad de los recursos.
Aún así no es del todo seguro enviar información privada, vital o de cualquier aspecto que
pueda ser utilizado por empresas dedicadas a secuestrar información, pedir rescates por no
publicar fotografías comprometedoras, etc. Es responsabilidad de todas las personas que
trabajen o no en actividades de información y tecnología, un documento recomendado
para evitar ser victima de personajes siniestros es NORMA TÉCNICA NTC-ISO/IEC
COLOMBIANA 27001 2006_03_22_NTC-ISO-IEC 27001.pdf (serviciocivil.gov.co) En suma no es
100% seguro dejar que terceros realicen backup de nuestra información privilegiada, lo mejor que
se puede hacer al respecto es utilizar todas las medidas de seguridad posibles, alcanzables y
medibles por nuestra cuenta, por ejemplo discos duros externos, con archivos encriptados,
realizar el envío de información NO vital, más bien trivial, si es necesario encriptar mensajes en
imágenes; Hacking Tutorial: Como ocultar informacion en imagen | OpenWebinars.
R. Ximena Camero Coral:

Para garantizar la seguridad y privacidad con los años se han generado nuevos retos para las
nuevas tecnologías, programas, especialmente las redes sociales. Es una responsabilidad mutua
tanto del proveedor de alguno de los servicios ya mencionados como de la persona que hace uso
de la información. Por ambas partes considero que no hay una garantía concreta, en muchas
partes se firma que todo es “hackeable” y que ya no existe una barrera inquebrantable, sino que
ahora todo está en el tiempo que se demore alguien en violar un sistema. La falta de dicha
garantía se ha convertido en un problema social, las personas estamos expuestas a amenazas
informáticas como virus “maleware”, suplantación de identidad o “Phishing” como modalidad de
fraude que se deriva de diferentes estafas. El robo de identidad se presta para averiguar
información bancaria que es sensible, como números de cuenta, números de tarjeta de crédito; el
dato de las tarjetas de crédito es el dato que mayor oportunidad de robos se ha tenido en
internet, Etc. Los usuarios o personas comunes que usan todo tipos de sistemas, no tienen una
cultura de autocuidado con las claves, registro de información en links o páginas no autorizadas,
no solo se han visto estafadas por las formas que ya se mencionaron sino también afectando su
privacidad como la divulgación de fotos privadas, pensamientos, conversaciones / mensajes que
pueden prestarse para exponerse y sufrir ataques sociales. Los menores están expuestos a ser
extorsionados para divulgar contenido para pornografía infantil.

PUNTO 2

2. Haga la lectura del documento que se sugiere en el módulo, el libro blanco de WhatsApp,
y a partir de la información que usted maneja en referencia al tema, trate de encontrar
algún punto vulnerable en el cifrado extremo a extremo que hace la aplicación de
mensajería.
R: Para el año 2021 WhatsApp presentó una Vulnerabilidad, la cual fue corregida a la fecha:

“Fuga de datos confidenciales: El exploit requería una serie de pasos complejos para ejecutarse
además de necesitar una amplia interacción del usuario parara que los atacantes pudieran acceder
a los datos. En caso de que todos los pasos se ejecutasen correctamente se podría leer
información confidencial de la memoria de WhatsApp. Además de una serie de paso complejos, el
exploit requería que los atacantes enviasen un archivo adjunto que contenía una imagen
maliciosa. Abierta la imagen y aplicado un filtro concreto, se ejecutaba el código malicioso. De esta
forma, los datos del usuario quedan expuesto al ser enviada la imagen de vuelta al atacante.
Provocando un bloqueo de la memoria: La vulnerabilidad estaba relacionada con la funcionalidad
del filtro de imágenes de WhatsApp y se desencadenaba cuando un usuario abría un adjunto que
contenía un archivo de imagen creado con fines malintencionados, luego aplicaba un filtro y
enviaba la imagen con el filtro aplicado de nuevo al atacante. Una vulnerabilidad grave de
WhatsApp permitía robar información (hipertextual.com)”

ANALISIS: La descripción del protocolo de cifrado a grandes rasgos permite dar análisis al cifrado
E2EE, de extremo a extremo , lo cual permite que sólo el emisor y el receptor puedan leer los
mensajes que son enviados, también indica que el servicio de WhatsApp no puede leer los
mensajes enviados a través de este cifrado.
WhatsApp vs Telegram 2021: ¿cuál es la mejor aplicación de mensajería? (xatakandroid.com)

El cifrado de extremo a extremo de WhatsApp para mayor protección, por cada mensaje
que se envía tiene su propio candado y código único, es decir, no se puede descifrar un
mensaje del pasado con la "llave" del mensaje actual. Además, una vez llegado el mensaje
al receptor este es borrado del servidor de WhatsApp.

El protocolo de seguridad fue desarrollado por Open Whisper System, su arquitectura es de

código abierto, para mensajes cifrados para una sesión, permite entonces generar una Key o llaves
de la siguiente forma: “PreKeys, al momento de la instalación del servicio para luego
trabajar con un protocolo de establecimiento de claves que es un método de intercambio
seguro de claves criptográficas, Diffie–Hellman (DH), combinado con el algoritmo
Double Ratchet al momento de realizar la comunicación segura entre dos o más clientes
en una "sesión"” ELO322: Redes de Computadores I - Agustín González, Carina Flores,
Paula Nieto, Paul Rojas, Nicolas Villanueva Universidad Técnica Federico Santa María;
Agosto 2018

WhatsApp realiza los protocolos de encriptación de la siguiente manera:

 Utiliza 6 llaves
 3 llaves son públicas y se almacenan en un servidor: Identity Key Pair, Signed Pre
Key y One-Time Pre Key
 Utilizan la primitiva Curve 25519, que corresponden al cifrado de las anteriores
keys y genera una “Master Secret”
 Este proceso genera 3 llaves de sesión: Root Key, Chain Key y Message Key.
Al establecer la sesión, pueden iniciar a intercambiar mensajes que son protegidos por la
llave : Message Key la cual usa un estándar de cifrado avanzado AES256 en modo CBC
(Encadenamiento de bloque de cifrado) para cifrar/descifrar y HMAC-SHA256 para la
autenticación, por lo tanto, la llave no se puede reconstruir para recuperar un mensaje
enviado o recibido ya que una llave Chain Key, funciona de forma unidireccional, es decir;
no puede ser devuelta. “esta llave es efímera ya que la "sesión" no puede reconstruir la
llave para recuperar un mensaje ya enviado/recibido, esto se logra con Chain Key, ya
que esta avanza (en un solo sentido) para generar Message Key y asi un DH Handshake
se debe hacer por cada mensaje enviado/recibido, permitiendo solo el avance y no
retroceso para recuperar” ELO322: Redes de Computadores I - Agustín González, Carina
Flores, Paula Nieto, Paul Rojas, Nicolas Villanueva Universidad Técnica Federico Santa
María; Agosto 2018
 una llave previa.
Estos protocolos pertenecen a la capa de aplicación de la PILA

Para realizar las pruebas utilizaron wireshark: el cual es un analizador de protocolos

utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para
análisis de datos y protocolos, y como una herramienta didáctica. “Concepto: Wireshark -
Wikipedia, la enciclopedia libre”

La seguridad que tiene WhatsApp con respecto a los mensajes enviados, se organiza de la
siguiente forma:

 El paquete es enviado: Emisor

 El paquete llega al servidor de WhatsApp, allí se tiene en cuenta que se realiza un proceso
de desencriptación que sólo guarda metadatos como la fecha, hora, numero del emisor,
pero no interviene en el contenido del mensaje, sin embargo, el mensaje original es
enviado con un peso “(n + 1)” de este modo el paquete continuo su curso hacia el
receptor disminuyendo su peso en bytes “(n-1)”, por las consideraciones anteriormente
descritas.

Los mensajes llegan al servidor solo por la captura de la metadata, por lo tanto; es posible que la
seguridad en este proceso en específico se aplique de forma correcta, de hecho ; al momento de
transmitir la información las llaves como se explicó anteriormente no devuelven la información y
por ende es efímero “desaparece sin dejar rastro alguno de la trazabilidad del mensaje”.

La posible brecha de seguridad que puede resultar en una gran vulnerabilidad no se encuentra en
los servidores, posiblemente en el transcurso del envió del mensaje, pero, aun así, no sería posible
ver o abrir el paquete. La vulnerabilidad real se encuentra en el “backup” alojado en Google
Drive, dado que allí reposan los mensajes con extensión .txt o archivos planos sin encriptar, es en
este punto donde creemos es posible que se capture información valiosa, confidencial y sensible
para cualquier usuario.