WhatsApp dio un paso importante en la seguridad de su servicio cuando implementó el cifrado de extremo a extremo de sus chats. Eso hacía muy difícil que un posible ciberatacante lograra "ver" esos mensajes, y protegía a los usuarios de intromisiones en sus comunicaciones.
El servicio ahora plantea una mejora más que está dirigida a quienes usan WhatsApp Web en el navegador. Una extensión desarrollada por WhatsApp y Cloudflare permitirá verificar que esa versión de WhatsApp no ha sido manipulada ni tiene código malicioso.
Una extensión opcional para garantizar que el WhatsApp Web que estás usando es seguro y privado
Como explicaban los responsables de Cloudflare, cuando nuestro navegador se descarga código de un sitio web es difícil saber si ese código es o no legítimo.
Las tiendas de aplicaciones móviles permiten que Google o Apple puedan verificar el código de esas apps es legítimo y seguro, pero incluso ellas no siempre logran controlar ese apartado: en la web esto es aún más complicado.
Precisamente eso es lo que quieren resolver WhatsApp y Cloudflare con Code Verify, una extensión para navegadores como Chrome o Firefox que se encarga de comprobar que esa sesión de WhatsApp Web que estamos usando hace uso de un código seguro y no manipulado.
Los ingenieros de WhatsApp explicaban que el funcionamiento de Code Verify se basa en una característica de seguridad llamada Subresource integrity (SRI), y que permite a los navegadores verificar que los recursos que recolectan (por ejemplo, de un CDN) no han sido manipulados.
Cloudflare, que es muy conocida por sus CDN y por sus servidores DNS, ya se encargó en el pasado de mitigar ataques DDoS gigantescos, y tiene una amplia experiencia en este ámbito.
La extensión es totalmente opcional —podéis instalarla o no hacer nada y seguir como hasta ahora— y ha sido desarrollada por Meta y su división Open Source —el código es por tanto susceptible de ser auditado en cualquier momento— y está disponible para Google Chrome, Mozilla Firefox y Microsfot Edge.
No recolecta ningún tipo de datos ni comparte información con WhatsApp, y de hecho ni allí ni en Meta sabrán que nos hemos descargado la extensión.
El funcionamiento de Code Verify es muy sencillo, y su actividad se señaliza como un semáforo: si el código es válido, el icono de Code Verify está en verde. Si se pone en amarillo ha habido alguna interferencia en el proceso de validación y es conveniente actualizar la página. Si se pone en rojo, hay un posible problema de seguridad con el código de WhatsApp Web que se está sirviendo.
En este último caso se pueden tomar medidas como pausar las otras extensiones, cambiar a una versión móvil de WhatsApp o descargar el código fuente y que una organización de terceros lo analice.
Ver 4 comentarios