10 Mar WhatsApp ha lanzado una extensión que te advierte si te están espiando en su versión Web: así funciona Code Verify
La World Wide Web se construyó mucho antes de que surgieran las primeras apps móviles. Y esto abre la puerta a que las versiones web de algunas apps móviles populares resulten ser notablemente más vulnerables que éstas: “hay muchos factores que podrían debilitar la seguridad de un navegador web que no existen en el espacio de las aplicaciones móviles, como las extensiones del navegador”.
“A diferencia de una aplicación móvil descargada de una de confianza, la web no ofrece el mismo grado de garantía de que el código no ha sido manipulado”.
Una nueva extensión para reforzar tu WhatsApp Web
Así, WhatsApp, que ve cómo van creciendo los accesos a su plataforma a través de la versión web, se ha propuesto reforzar también las protecciones de seguridad de ésta. Y, por ello, se ha aliado con Cloudflare para anunciar la adición de una nueva capa de seguridad a WhatsApp, concretamente a WhatsApp Web, y que llega en forma de extensión para el navegador.
Su nombre es Code Verify, y ofrece la posibilidad de verificar automáticamente y en tiempo real la autenticidad del código que el navegador recibe a la hora de abrir WhatsApp Web, con el fin de poder estar seguros de que no ha sido alterado en modo alguno.
Code Verify es compatible con los navegadores Mozilla FireFox (el enlace aún no está disponible), Microsoft Edge (descargar) y Google Chrome (descargar): una vez instalada la extensión, ésta se anclará automáticamente en los navegadores Firefox o Edge (si bien los usuarios de Chrome “tendrán que anclarla para un uso óptimo”).
Así funciona
El papel de Cloudflare es servir como tercero verificador independiente: cada vez que alguien use WhatsApp Web, la extensión comparará automáticamente el ‘hash’ (‘huella digital’) del código recibido en el navegador con el ‘hash’ del código de WhatsApp Web que la aplicación de mensajería comparte con CloudFlare.
Si los hashes no coinciden entre sí, esto indicaría que el código que se ejecuta en el navegador del usuario es diferente del código que WhatsApp pretende que se ejecute en todos los navegadores de sus usuarios. Y por ello, indicará también que el usuario tiene un problema de seguridad.
Esta idea no es nueva (ya se utiliza el ‘hash’, por ejemplo, a la hora de verificar la integridad de archivos descargados, sobre todo de los *.ISO)… “pero sí lo es automatizarla, desplegarla a gran escala y asegurarse de que es fácil de usar para los usuarios de WhatsApp”.
“Si los usuarios tuvieran que buscar, calcular y comparar manualmente los hashes, la detección de manipulaciones sería posible sólo para una pequeña fracción de usuarios expertos”.
Desde Cloudflare dejan muy claro que ellos nunca reciben una copia de “los mensajes, chats u otro tipo de tráfico entre usuarios de WhatsApp; permanecen privados y cifrados de extremo a extremo”.
Según afirman sus creadores, una buena forma de entender Code Verify es verlo como si fuera un semáforo de la seguridad de WhatsApp Web:
- Si el código coincide y se valida, el icono de Code Verify en el navegador se pondrá verde.
- Si el icono de Code Verify en su navegador se vuelve naranja cuando se carga WhatsApp Web, significa que otra extensión del navegador está interfiriendo con la capacidad de verificar WhatsApp Web, o bien que la solicitud se agotó y hay que actualizar la página.
- Si el icono de verificación se pone en rojo, hay un posible problema de seguridad con el código de WhatsApp que se está sirviendo. Se pueden entonces tomar medidas, como pausar las otras extensiones, cambiar a una versión móvil de WhatsApp, o descargar el código fuente y dárselo a una organización de terceros para que lo analice.
Code Verify, además, no tiene por qué reforzar únicamente la seguridad de WhatsApp: sus creadores afirman que es de código abierto (está disponible en GitHub) no sólo para garantizar su transparencia, sino para que “otros servicios de mensajería puedan usarlo también”.
[genbeta.com]