Newsletter 2: 24 de enero de 2024 (en español)
Gracias por leer este boletín (y por su paciencia esta semana; me enfermé durante el fin de semana, lo que explica el ligero retraso). Si alguien te envió este boletín, es muy amable de su parte. No olvides darle las gracias. Puedes suscribirte aquí para recibir el boletín en tu bandeja de entrada.
Una buena noticia para los hispanohablantes, Diego Morábito ha tenido la amabilidad de comenzar a traducir estos boletines al español. Hasta que encuentre una mejor manera de compartirlos, los subiré directamente al sitio web. Puedes encontrar el primero aquí.
Martijn
(martijn@lapsedordinary.net)
Necesitamos hablar de WhatsApp. ¿O no?
A principios de este mes, el investigador en seguridad Tal Be'ery informó sobre un problema de seguridad en WhatsApp que revela cuántos dispositivos vinculados (si los hay) alguien ha conectado a su cuenta de WhatsApp. Esta información es visible para cualquier persona que conozca el número de teléfono del objetivo, incluso si ha sido bloqueada.
En otras palabras, puedes usar la versión web de WhatsApp para ver las "identity keys" de los contactos, cada una de las cuales se corresponde con un dispositivo. Por lo tanto, si hay más de una clave de este tipo, el usuario está utilizando varios dispositivos. (Be'ery explica cómo hacer esto en un navegador. Confirmé que funciona y que no es difícil de hacer).
Para poder establecer el cifrado de extremo a extremo con múltiples dispositivos, WhatsApp crea un par de claves únicas para cada dispositivo, cuya clave pública es la identity key que todos los contactos deben usar para enviar y cifrar los mensajes. Puedes pensarlo así: cada dispositivo es un participante distinto en un chat (grupal) y, por lo tanto, cada instancia de WhatsApp necesita almacenar todas las claves públicas de los contactos para cada dispositivo que se usa.
Es cierto que esta implementación es poco ideal. Platicando sobre el tema en TechCrunch, Runa Sandvik (Granitt) dice que lo anterior podría ser útil para recopilar información para planear un ataque. De hecho, un adversario que sea muy hábil puede usar esta información para utilizar un exploit que solo funcione en el navegador si sabe que su objetivo usa WhatsApp web.
Se trata, por supuesto, de un caso extremo. Sin embargo, escribo este boletín para aquellos que tienen una razón para estar preocupados por los casos extremos, aunque no creo que esta sea una preocupación demasiado importante, incluso para las personas en situación de riesgo. Dicho esto, generalmente recomiendo Signal, que es una mejor opción para las personas en situación de riesgo. Y de todos modos, es un buen principio, si realmente te preocupan los casos extremos, limitar tu exposición en línea *. Un ejemplo de esto es no utilizar una cuenta de mensajería en más de un dispositivo.
* en ciberseguridad, que desafortunadamente toma prestado los conceptos militares, a esto se le llama "reducir la superficie de ataque"
Es posible que WhatsApp solucione este "problema" (en una publicación posterior Be 'ery explica cómo), pero sospecho que no va a ser una prioridad alta para los desarrolladores. Ciertamente, no es un problema que deba considerarse suficientemente grave como para que la gente abandone WhatsApp por alternativas menos seguras (como ha sucedido en el pasado). Aunque no es la ideal en algunos aspectos, sigo creyendo que la seguridad de WhatsApp es bastante impresionante para una aplicación de mensajería tan utilizada.
¿Qué más?
En una publicación en el blog del investigador de seguridad Troy Hunt se analiza una base de datos masiva de credenciales robadas de sitios web que se descubrió recientemente. La publicación proporciona una idea de cómo se roban comúnmente las contraseñas en estos días: no se roban de sitios web o servicios, ya que la mayoría de ellos las almacenan de una manera más o menos decente *, sino a través de malware que roba las credenciales en máquinas infectadas. (El phishing también desempeña un papel relevante, aunque supongo que podría ser menos efectivo a la hora de robar contraseñas que el malware). Hunt señala que muchas de las credenciales en la base de datos tienen más de una década de antigüedad, por lo que también es un recordatorio que Internet nunca olvida. En cualquier caso, es una buena oportunidad para recomendar el servicio gratuito de Hunt Have I Been Pwned? que le permite a los usuarios verificar y monitorear si su dirección de correo electrónico ha aparecido en una filtración de datos.
*mediante el uso de hashes y salts, lo que hace que las contraseñas sean significativamente más difícil de recuperar una vez robadas.
7amleh, el Arab Center for the Advancement of Social Media, publicó su noveno informe anual 'Hashtag Palestina 2023' sobre las violaciones de los derechos digitales de los palestinos y sus partidarios y cómo estas violaciones han ido en aumento tras el inicio de la guerra israelí en la Franja de Gaza.
El Great Firewall de China es bien conocido por utilizarse para evitar que información externa a China ingrese al país, pero el Tibetan Action Institute describe cómo también se usa un "cortafuegos" para evitar que la información del Tíbet, ocupado por China, salga de la región, ya que los tibetanos se ven obligados a vigilarse entre sí, lo que crea un tipo de cortafuegos interno.
El becario ICFP del Open Technology Fund, Beau Kujath, trabajó junto con SocialTIC de México para analizar nueve* aplicaciones móviles populares en América Latina y descubrió que tenían fallas de seguridad que van desde el envío de datos a través de HTTP en texto plano hasta el envío de los datos personales de los usuarios a muchos servidores de terceros. Estos problemas de seguridad no significan que cualquiera pueda tener acceso a tu cuenta, pero ciertamente no se pueden desestimar y son otro buen argumento para que las personas en situación de riesgo adopten un enfoque minimalista a la hora de instalar aplicaciones.
*o, como lo llama el informe: ocho.
Cosas no relacionadas con la seguridad
Un libro que disfruté: conozco el concepto de 'multiverso' gracias a algunas películas bastante confusas, pero no fue hasta que leí Before the Big Bang: The Origin of the Universe and What Lies Beyond de Laura Mersini-Houghton que me di cuenta que también es un concepto utilizado en una rama de la física teórica que argumenta que nuestro universo es uno de muchos. Me encantan las situaciones donde la física se cruza con la filosofía y Mersini-Houghton logra explicar las ideas de manera clara, aunque a veces, en mi caso, me facilitó a tener conocimientos en matemáticas. Como un plus, la autora entreteje escenas de su vida personal referentes a crecer en la Albania comunista.
Una canción que me gustó: Del Shannon - Runaway (Spotify - YouTube)El año pasado, finalmente me di a la tarea de leer la larga historia de la música pop de Bob Stanley Yeah Yeah Yeah. Es un excelente libro y un excelente recurso para descubrir "nueva" música, especialmente la de los albores de la música pop. El éxito de 1961 de Del Shannon, Runaway, es uno de mis favoritos por la forma irresistible en que Shannon canta wo-wo-wo wonder y por el solo del sintetizador musitrón que divide perfectamente a la canción en dos.
