cómo funciona la seguridad de WhatsApp

La privacidad y la seguridad son dos términos polémicos cuando se encuentran en la misma frase con WhatsApp. Y es que la aplicación de mensajerí­a más utilizada a lo largo y ancho de todo el mundo no ha sido, precisamente, la más segura del panorama de la comunicación. Hasta ahora. El anuncio de su total encriptación (o codificación para los menos técnicos) ha llamado la atención de usuarios, expertos en seguridad y muchos agentes del mundo tecnológico. Todo un paso adelante en la historia de esta aplicación, pero también en cuanto a la historia de la seguridad de los usuarios móviles. Pero ¿cómo funciona en realidad esta encriptación? ¿Es realmente seguro? ¿Qué es lo que ha cambiado desde 2014, cuando aplicó sus primeras barreras? En este artí­culo despejamos todas esas dudas.

Un poco de historia

Comenzando por el principio, hay que hablar de una aplicación surgida de la mente de Jan Koum y Brian Acton, ex trabajadores de Yahoo, y que poco o nada tení­a que ver con la mensajerí­a de hoy en dí­a. En realidad, los orí­genes de WhatsApp se centraban en mostrar el estado de los contactos, sabiendo así­ si estaban disponibles para recibir llamadas o mensajes SMS. Ante la reacción de los primeros usuarios, que empezaron a utilizar la frase de estado para intercambiar mensajes, los creadores fueron desarrollando el potencial de lo que ahora es WhatsApp. Actualización a actualización. Cambio a cambio. Parche a parche. Algo que dio gusto a los usuarios más comunicativos, pero que impidió crear un sistema básico y seguro desde el inicio, dejando muchos flecos sueltos respecto a la seguridad.

Tanto es así­ que ha llegado a protagonizar noticias en los que expertos en seguridad, hackers y crackers lograban suplantar la identidad de personas a través de la aplicación. O incluso lograban alterar los mensajes de otros usuarios sin que ellos lo supieran. Situaciones que pueden poner los pelos de punta los más celosos de su privacidad, y que serví­an para mostrar cómo el crecimiento de WhatsApp no acompañaba a las necesidades reales de los usuarios. Un aumento del éxito que atraí­a aún más las miradas de cibercriminales, quienes encontraban diferentes formas de atacar el sistema y hacerse con datos que no estaban protegidos ni dentro del terminal, ni durante su enví­o.

cómo funciona la seguridad de WhatsApp
Brian Acton y Jan Koum, cofundadores de WhatsApp

En este punto, antes del 2014, la aplicación WhatsApp no cifraba sus comunicaciones, ni tampoco sus contenidos en el terminal. Sin embargo, los más de 500 millones de usuarios de aquél momento seguí­an utilizando esta aplicación para su comunicación diaria, intercambiando todo tipo de datos, e incluso información sensible como cuentas bancarias, direcciones o incluso fotografí­as y ví­deos comprometidos. Además, cada vez más, estos mensajes eran presentados como pruebas en procesos judiciales. Todo ello sabiendo que existí­an formas de modificar los mensajes ya enviados de un historial o borrarlos desde un terminal intervenido. Un proceso que puede ser descubierto por peritos informáticos.

La situación era grave, y WhatsApp necesitaba tomar medidas serias en cuanto a la privacidad. Un concepto que tomó aún más valor para los usuarios después del destape de Edward Snowden y el servicio de espionaje del gobierno de Estados Unidos, y otros escándalos más relacionados con escuchas y robo de información. Es aquí­ donde comienza el plan para asegurar WhatsApp. Es el momento de entablar relaciones con Open Whisper Systems.

Y llegó la encriptación de mensajes

Fue en noviembre de 2014 cuando WhatsApp anunció la encriptación de parte de su sistema. Lo harí­an con la plataforma Android y sólo en las conversaciones individuales, en un principio. Para ello utilizarí­an el protocolo TextSecure, desarrollado en la compañí­a de seguridad Open Whisper Systems, cuyo máximo representante es Moxie Marlinspike. Este encriptador se ha dedicado a crear toda suerte de barreras de seguridad y es el verdadero artí­fice de lo que hoy muchos celebran en WhatsApp. De esta manera, y de forma paulatina, la encriptación ha ido extendiéndose a más funciones del servicio de WhatsApp, resultando una verdadera obra de ingenierí­a informática, y protegiendo al fin los mensajes, pero también las llamadas, las fotografí­as, los ví­deos e incluso los documentos compartidos a través de los chats.

Para evitar entrar en tecnicismos, diremos que este sistema de seguridad adaptado a WhatsApp consiste en el uso de un código que codifica el mensaje del emisor antes de salir de su móvil, pasando temporalmente por los servidores de la compañí­a ya cifrado, y descodificándose una vez que entra en el móvil del receptor con el mismo código. Con esto en mente, lo realmente interesante de este sistema reside en la clave de codificación, la cual solo es conocida por el terminal emisor y por el terminal receptor. De extremo a extremo. Esto se traduce en la imposibilidad de que terceros, e incluso la propia WhatsApp, puedan leer la información que se transmite en los mensajes o en cualquier otro contenido enviado, ya sea mediante un chat individual o grupal. Pero ahondemos un poco más.

cómo funciona la seguridad de WhatsApp
Infografí­a ví­a Wired: El usuario A pide a un servidor de WhatsApp una clave pública que se aplica también al usuario B. A continuación, el usuario A utiliza la clave pública para cifrar el mensaje. La clave privada del usuario B (sólo disponible en su teléfono) desencripta el mensaje.

Esta encriptación, denominada de extremo a extremo, además, crea un código diferente para cada mensaje que se enví­a y que, de nuevo, sólo puede ser descifrado por el receptor. Entre medias, otros sistemas se encargan de crear pasos de seguridad que impidan a los más cotillas como cibercriminales, hackers o crackers acceder al código o al mensaje. En definitiva, una estructura de seguridad que resulta prácticamente imposible de penetrar. Y, en caso de que así­ fuera, tal y como explica a tuexperto.com el perito informático y experto en seguridad, Carlos Aldama, solo lograrí­an invertir mucho tiempo para leer un único mensaje, ya que la protección se actualiza para cada contenido enviado, creando nuevas barreras que “llevarí­an muchos años y mucha suerte descifrar”, según comenta.

Con esto responderí­amos a una de las preguntas iniciales de este artí­culo, afirmando que se trata de una barrera realmente segura y eficaz en sí­ misma. Una opción con la que ni WhatsApp, ni los gobiernos, ni los cibercriminales pueden leer nuestros mensajes, escuchar nuestras conversaciones o ver nuestras fotos. Claro que existen ciertos puntos excepcionales a tener en cuenta. También existe un coste, como el de la reducción de la calidad en las llamadas a través de Internet mediante WhatsApp, que serí­an menos ní­tidas por culpa del nuevo cifrado.

Las excepciones

El sistema es seguro, de acuerdo. Sin embargo, no hay que perder de vista qué es lo que WhatsApp protege y qué es lo que no. Así­, aunque la comunicación es segura y totalmente privada, existen otras partes de WhatsApp que no lo son tanto. Un buen ejemplo es el almacenamiento de datos en el dispositivo, que no cuenta con tanta seguridad y cuyos datos se pueden leer siempre y cuando se tenga acceso al terminal de forma fí­sica, además de los conocimientos informáticos y las herramientas necesarios.

También están todos esos datos acerca del terminal, la cuenta del usuario, su conexión, sus horas de actividad en la aplicación y otras cuestiones que esta aplicación también registra. En este caso hablamos de metadatos que WhatsApp no sólo conoce, sino que también almacena en sus servidores y que no están cifrados. Es decir, que en caso de ser intervenidos por un tercero, pueden ser leí­dos por no llevar ningún tipo de protección. Algo que es muy poco probable que mejore en el futuro, ya que implicarí­a un gran cambio de sistema y una obra de ingenierí­a aún mayor que la desarrollada en los dos últimos años para aplicar la encriptación a todo WhatsApp.

cómo funciona la seguridad de WhatsApp

De esta forma, la aplicación sigue siendo vulnerable ante ataques de aplicaciones espí­a o ante el robo de información cuando se tiene acceso directo al terminal, pudiendo conocer los contenidos e incluso realizar el borrado de mensajes (aunque es un proceso que deja huellas). Eso sí­, una vulnerabilidad relativa. Del mismo modo, la compañí­a WhatsApp falla a la hora de proteger los metadatos que puede llegar a facilitar ante peticiones particulares por cuestiones idiomáticas o de filtro de seguridad, según afirma el perito informático consultado por Tuexperto.com.

Además, cabe la duda de si WhatsApp está aplicando una encriptación de extremo a extremo propiamente dicha. O de si ha dicho toda la verdad acerca de su sistema de seguridad. Según Carlos Aldama, este tipo de sistema de protección no deberí­a permitir que un usuario con el móvil apagado pudiera recibir de forma correcta un mensaje encriptado y leerlo sin problemas al encenderlo después de varios dí­as. Al fin y al cabo, WhatsApp no almacena los mensajes ni conoce la clave de encriptación. Por tanto ¿cómo puede darse esta situación con la actual protección?

Pero, entonces ¿pueden espiarnos o no?

WhatsApp ha dejado claro que su sistema es a prueba de mirones. Tanto es así­ que ni sus responsables pueden acceder a la información que pasa por los servidores de la compañí­a, ya que desconocen el código de encriptación de cada mensaje.

En España, los servicios de inteligencia y los cuerpos de seguridad del estado usan el servicio Sitel de escuchas telefónicas y lectura de mensajes SMS, entre otras virtudes más. Con él, y previa orden judicial, pueden interceptar comunicaciones. Sin embargo, WhatsApp quedaba fuera de las posibilidades de espionaje o escucha del sistema ya desde 2014. Ahora, el refuerzo de la encriptación solo supone un aumento de la privacidad de los usuarios, sin que el Gobierno, ni las fuerzas de seguridad del estado ni los más avanzados métodos de espionaje puedan acceder a nuestras conversaciones.

cómo funciona la seguridad de WhatsApp

Desde luego, si los gobiernos no pueden acceder a nuestros mensajes, fotos y llamadas, los cibercriminales, hackers y crackers tampoco. Según confirma el perito Aldama, el sistema base en el que se funda la encriptación de WhatsApp ya ha sido vulnerado hace tiempo, pero la adaptación a esta aplicación y sus diferentes barreras intermedias hacen que sea una tarea casi imposible en este caso.

Privacidad vs. Seguridad ¿cuál es más importante?

Ante esta situación de seguridad casi total, se plantea un importante dilema: ¿es mejor proteger la privacidad de todos o apostar por la seguridad? Recientemente, el FBI ha solicitado a Apple que desbloquee un iPhone relacionado con un atentado terrorista para investigar la información que contení­a. Apple se ha enrocado en su posición proteccionista, impidiendo abrir puertas traseras o ceder ante el FBI, quien finalmente ha podido acceder a la información “sospechosamente rápido”, tal y como apunta Aldama. Para Apple, abrir una puerta trasera significa poner en riesgo a la larga a todos sus usuarios, pudiendo allanar el terreno para la creación de herramientas con las que espiar a sus usuarios.

Los responsables de WhatsApp y de Facebook (propietaria de aquella) también han defendido la privacidad por encima de la seguridad nacional en este caso. Pero ¿conviene en un estado de alerta por terrorismo como España proteger las comunicaciones del espionaje de gobiernos y cuerpos de seguridad? Nuestro experto consultado, con una larga experiencia desarrollada en procesos judiciales, opina que la privacidad es necesaria, pero también dar acceso a la información en pos de la seguridad como medida de garantí­a y seguridad ciudadana. La clave, afirma, está en “quién y cómo puede tener acceso a nuestros datos”, entendiendo que sólo los responsables de investigaciones policiales con órdenes judiciales deberí­an poder hacerlo.