- Verificación de dispositivo: una nueva forma de detectar conexiones potencialmente sospechosas.
- Transparencia clave: una función que permite verificar automáticamente si los chats están encriptados de extremo a extremo.
- Implementación y mejoras: cómo WhatsApp planea implementar estas nuevas funciones de seguridad en el futuro.
WhatsApp lanza nuevas funciones de seguridad para proteger la privacidad de los usuarios y prevenir ataques de apropiación de cuenta (ATO) causados por malware en dispositivos móviles.
Una de estas funciones es la Verificación de dispositivo, que bloquea la conexión del actor de amenazas para permitir que los objetivos de la infección de malware usen la aplicación sin interrupción. Otra función es la Transparencia clave, que permite verificar automáticamente si los chats están encriptados de extremo a extremo mediante un nuevo directorio de claves auditables (AKD), que se basa en protocolos existentes como CONIKS y SEEMless.
Función de Verificación de dispositivo
La función de Verificación de dispositivo introduce un token de seguridad que se almacena localmente en el dispositivo y un desafío de autenticación que actúa como un «ping invisible» del servidor al dispositivo de un usuario.
El cliente debe enviar el token de seguridad cada vez que se conecta al servidor para detectar conexiones potencialmente sospechosas. Si no hay respuesta del cliente, el proceso se vuelve a intentar «algunas veces más«, después de lo cual la conexión se bloqueará si el cliente aún no responde.
Función de Transparencia clave
Esta función permite verificar automáticamente si los chats están encriptados de extremo a extremo mediante un nuevo directorio de claves auditables (AKD), que se basa en protocolos existentes como CONIKS y SEEMless.
Actualmente, la verificación requiere que los usuarios en un chat comparen manualmente el código de seguridad (que existe como un código QR y un número de 60 dígitos) enviándolo al participante en el otro extremo a través de SMS o correo electrónico, o alternativamente escaneando el código QR si las partes están físicamente una al lado de la otra.
Key Transparency agiliza el proceso de verificación al hacer uso de un flujo automatizado que evita la necesidad de un código largo y, en cambio, mantiene un registro de los cambios de clave pública en un directorio y permite que un cliente los verifique.
Implementación y mejoras
La función de Verificación de dispositivo ya está disponible para todos los usuarios de Android y está en proceso de implementación para los usuarios de iOS. Además, WhatsApp tiene la intención de implementar la función de Transparencia clave en los próximos meses.
Estas funciones son parte de un conjunto más amplio de nuevas mejoras que están diseñadas para autenticar y verificar las identidades de los usuarios, incluida la visualización de alertas cuando se intenta migrar una cuenta de WhatsApp de un dispositivo a otro.