WhatsApp implementó una nueva capa de seguridad en su versión web denominada Code Verify, una extensión de navegador de código abierto que verifica automáticamente la autenticidad del código web de la aplicación de mensajería.
A través de un comunicado, Meta, matriz de WhatsApp, anunció que tomó esta medida de seguridad con motivo del crecimiento del número de personas que acceden a la aplicación a través de la web gracias a la capacidad multidispositivo que introdujo hace un año.
Para reforzar la protección de los datos de los usuarios, Code Verify trabaja en asociación con la empresa de seguridad e infraestructura web Cloudflare con el objetivo de proporcionar una «verificación independiente y transparente» del código que recibe en WhatsApp Web.
La compañía también comunicó que Code Verify se ofrece como código abierto para que otros servicios también puedan utilizarlo y explicó cómo funciona la verificación.
En primer lugar, señaló que Code Verify amplía el concepto de integridad de subrecursos (SRI, por sus siglas en inglés), una característica de seguridad que permite a los navegadores web constatar que los recursos que obtienen no han sido manipulados.
Esta función se aplica solo a archivos individuales, pero Code Verify verifica los recursos incluidos en toda la página web de la aplicación de mensajería.
Además, para reforzar la seguridad, cuenta con la colaboración de Cloudflare, al que se le asigna una fuente de ‘hash’ criptográfico o huella digital para el código JavaScript de WhatsApp Web.
«Cuando alguien usa Code Verify, la extensión compara automáticamente el código que se ejecuta en WhatsApp Web con la versión del código verificado por WhatsApp y publicado en CloudFlare», subrayó Meta, que informó que, si hay alguna inconsistencia, esta extensión notifica al usuario.
Todo este proceso tiene lugar en tiempo real, de modo que, siempre que se actualice el código de la aplicación web, la fuente de “hash” criptográfico y la extensión también se actualizan automáticamente.
Esta verificación de código, que no registra metadatos o datos de usuario ni comparte información con la aplicación, estará disponible en las tiendas oficiales de extensiones de navegador para Google Chrome, Microsoft Edge y Mozilla Firefox.
Meta asegura que Code Verify tampoco lee ni accede a los mensajes que se envían o se reciben ni figura en ningún sitio cuando algún usuario se ha descargado la extensión. Tampoco interviene en los mensajes ni en los chats entre usuarios.
Por tanto, una vez se haya instalado, se ejecutará de forma automática en el momento en que se abra la versión web de la aplicación y actuará como un sistema de alerta en tiempo real.
También se puede anclar esta extensión a la barra de herramientas del navegador web, para que los usuarios puedan comprobar fácilmente en qué estado se encuentra la seguridad de sus conversaciones.
Si el código web está completamente validado, el icono aparecerá de color verde en el navegador. Sin embargo, si se muestra en color naranja indica que se necesita refrescar la página web o bien que hay otra extensión del navegador que está interfiriendo en su trabajo.
Por último, si el icono de Code Verify aparece en color rojo indicará que existe un problema de seguridad con el código de WhatsApp que está recibiendo a través de la web.
Meta informó que esta extensión de verificación se encuentra en el portal GitHub y que, al tratarse de un código abierto, otras empresas, grupos o individuos pueden utilizarla para aplicar «el mismo nivel de transparencia a sus propias aplicaciones y compartan libremente nuevas ideas».
Además, subrayó que, dado que está abierta al público, la comunidad de usuarios puede utilizarla para beneficiarse de su protección, vigilar posibles errores y su mantenimiento.
Por el momento, Code Verify solo se puede descargar en Google Chrome y Microsoft Edge. Meta ya ha anunciado que llegará a Mozilla Firefox próximamente.