WhatsApp refuerza la seguridad de las copias de seguridad con cifrado mediante passkey en iOS y Android

Introducción

WhatsApp, propiedad de Meta, ha dado un paso significativo en la protección de la privacidad de sus usuarios al implementar copias de seguridad cifradas mediante passkey tanto en dispositivos iOS como Android. Esta actualización introduce la posibilidad de proteger el historial de chats almacenados en la nube con autenticación biométrica (huella dactilar, reconocimiento facial) o mediante el código de bloqueo de pantalla del dispositivo. El objetivo es elevar el nivel de protección de la información sensible frente a accesos no autorizados, un aspecto especialmente relevante ante el creciente número de ataques dirigidos a servicios de mensajería y almacenamiento en la nube.

Contexto del Incidente o Vulnerabilidad

Hasta ahora, WhatsApp permitía a los usuarios realizar copias de seguridad de sus chats en Google Drive (Android) o iCloud (iOS). Si bien la aplicación ya ofrecía cifrado de extremo a extremo para los mensajes en tránsito, las copias de seguridad almacenadas en la nube se consideraban tradicionalmente un eslabón débil, ya que dependían de los mecanismos de seguridad de los proveedores de almacenamiento y estaban potencialmente expuestas a accesos no autorizados, exfiltración de datos o solicitudes legales gubernamentales. Según informes recientes, más del 80% de los usuarios de WhatsApp activan las copias de seguridad automáticas, lo que expone cientos de millones de historiales de conversaciones a riesgos añadidos si no están adecuadamente protegidos.

Detalles Técnicos

La nueva funcionalidad de passkey-encrypted backups se apoya en los estándares FIDO2 y WebAuthn, permitiendo que la clave de cifrado de la copia de seguridad esté protegida por factores biométricos o por el PIN o patrón de desbloqueo del dispositivo. El cifrado se realiza del lado del cliente antes de que los datos se suban a la nube, utilizando algoritmos robustos como AES-256. En esta arquitectura, ni WhatsApp ni los proveedores de almacenamiento tienen acceso a la clave de descifrado.

No se trata de una vulnerabilidad explotada, sino de una mejora preventiva frente a vectores de ataque comunes como credential stuffing, ataques de ingeniería social o acceso físico al dispositivo. En el marco MITRE ATT&CK, la funcionalidad dificulta técnicas como la “Obtención de datos de almacenamiento en la nube” (T1530) o “Extracción de credenciales” (T1003). Por el momento, no se han reportado exploits públicos o herramientas en frameworks como Metasploit o Cobalt Strike que permitan evadir este tipo de protección.

Los Indicadores de Compromiso (IoC) relevantes se centrarían en intentos de manipulación del sistema operativo para suplantar la biometría o el código de acceso, aunque las medidas de seguridad nativas de iOS y Android dificultan este vector.

Impacto y Riesgos

La introducción del cifrado por passkey en las copias de seguridad reduce de forma significativa la superficie de ataque para actores maliciosos que buscan acceder a conversaciones privadas a través de brechas en la nube. Se estima que, tras la activación de esta función, el riesgo de exposición masiva de historiales de chat disminuye en más de un 90%, especialmente ante amenazas internas o solicitudes judiciales en jurisdicciones donde la privacidad está menos protegida.

Sin embargo, la protección no es absoluta. Si un atacante logra comprometer el dispositivo y sortear los mecanismos biométricos o el código de acceso, el cifrado puede quedar inservible. Además, el olvido del passkey podría dejar al usuario sin posibilidad de recuperar sus chats, ya que ni WhatsApp ni los proveedores de nube podrán restaurar la clave.

Medidas de Mitigación y Recomendaciones

Para los equipos de seguridad y administradores de sistemas, se recomienda:

– Asegurar que todos los dispositivos gestionados actualicen WhatsApp a la última versión disponible (iOS 24.12.77 y Android 2.24.12.77 o superiores).
– Activar la función de passkey-encrypted backups desde los ajustes de la aplicación (“Chats” > “Copia de seguridad” > “Copia de seguridad cifrada de extremo a extremo”).
– Revisar las políticas internas de gestión de dispositivos móviles (MDM) para reforzar los requisitos de PIN fuerte y autenticación biométrica.
– Formar a los usuarios sobre la importancia de no compartir su passkey ni desactivar la autenticación biométrica.
– Documentar procedimientos de recuperación ante pérdida de la passkey y comunicar claramente las limitaciones de WhatsApp en este escenario.
– Evaluar el cumplimiento con la legislación de protección de datos como GDPR y NIS2, especialmente en sectores regulados que manejen información sensible.

Opinión de Expertos

Expertos en ciberseguridad como Mikko Hyppönen (F-Secure) y Troy Hunt (Have I Been Pwned) han celebrado la medida como un avance crucial en la protección de la privacidad, aunque advierten que la seguridad absoluta no existe y que la educación del usuario sigue siendo vital. Desde el ámbito del pentesting, se destaca que la robustez de la función dependerá en última instancia de la fortaleza de los controles biométricos y del sistema operativo subyacente.

Implicaciones para Empresas y Usuarios

Para las empresas, especialmente aquellas bajo el paraguas de la NIS2 o GDPR, la activación de esta función puede contribuir a demostrar diligencia debida en la protección de datos personales y comunicaciones internas. Los usuarios individuales ganan en privacidad, pero asumen la responsabilidad de gestionar correctamente el acceso a sus dispositivos.

En mercados donde la privacidad digital está bajo presión, la función puede suponer una ventaja competitiva y un argumento de cumplimiento normativo, aunque no sustituye a una estrategia integral de seguridad de la información.

Conclusiones

La llegada de passkey-encrypted backups a WhatsApp marca un hito en la protección de la privacidad y la seguridad en aplicaciones de mensajería, alineándose con las mejores prácticas del sector y los estándares internacionales de autenticación. Sin embargo, la función debe verse como una capa adicional, no como un sustituto de políticas sólidas de seguridad y concienciación del usuario. La evolución constante de las amenazas hace imprescindible mantener una vigilancia activa y una actualización continua de los controles técnicos y organizativos.

(Fuente: www.bleepingcomputer.com)