La aplicación de mensajería WhatsApp vuelve a salir a la palestra informativa debido a su seguridad. Y no, no se ha vuelto a descubrir un fallo que ponga en peligro la privacidad de los mensajes de los usuarios. Más bien todo lo contrario. Una conocida empresa de seguridad ha hecho pública su colaboración con esta aplicación para tratar de proteger efectivamente sus comunicaciones. Una buena noticia para aquellos usuarios más preocupados por evitar que hackers, cibercriminales y cotillas puedan acceder a datos sensibles de su vida privada. Pero ¿es tan efectiva esa barrera seguridad como dicen? ¿Es útil ante el espionaje de los gobiernos? En definitiva, ¿qué seguridad ofrece WhatsApp?
La noticia surge a partir del blog de la compañía Open WhisperSystems, conocida por crear aplicaciones móviles seguras, con protocolos y sistemas de seguridad capaces de evitar el robo de información. Una organización formada por expertos en seguridad ya conocidos por sus ataques a Facebook y otros servicios. Algo bastante habitual en este ámbito de la ciberseguridad. De sus creaciones, el más conocido y famoso es TextSecure. Un sistema que se distingue por aplicar un cifrado de usuario a usuario. Es decir, que codifica el texto de los mensajes que viaja entre los usuarios con una contraseña que, en teoría, únicamente poseen los propios usuarios. Por tanto, supone toda una seguridad saber que, aunque se produzca el robo de información, sin dicha clave no es posible ver lo que se transmite.
El mismo sistema, pero mejorado, es en el que han estado trabajando para adaptar ahora a WhatsApp. Algo que afecta a los usuarios de la plataforma Android, codificando los mensajes escritos para que, en caso de un ataque o robo de datos, el atacante no puedo descifrar esa información. Un sistema que por el momento sólo se aplica a los chats individuales, pero en el que se está trabajando para llevar a las conversaciones en grupo y al resto de plataformas móviles en las que está presente WhatsApp. Ahora bien ¿Qué asegura realmente este protocolo de seguridad?
Muchos medios han llegado a afirmar que el nuevo sistema escaparía a los controles y herramientas de espionaje del FBI, incluso de la propia WhatsApp, ya que el código para desencriptar las comunicaciones sólo estaría presente en los terminales de los usuarios. Sin embargo, el perito y forense informático Carlos Aldama, tras realizar sus propias comprobaciones, afirma que este sistema no es tan efectivo en cuanto a la seguridad total de la aplicación.
Al parecer TextSecure funciona como debe, pero sólo encriptando los mensajes de los usuarios. Es decir, meramente los mensajes de texto y emoticonos Emoji, dejando fuera de su protección todas las fotografías, videos, ubicaciones e información de contactos compartidos. Cuestión bastante llamativa después de los escándalos en los que se han filtrado imágenes privadas de famosas.
Pero el verdadero problema es que esto sólo es una parte de la comunicación de WhatsApp, cubriendo sólo uno de los procesos que se llevan a cabo para hacer llegar un mensaje a otro usuario. Por medio quedan otros pasos como la identificación del usuario y el contacto del terminal con los servidores de WhatsApp por donde viajan los mensajes. Procesos completamente desprotegidos y que ofrecen al atacante datos como el número de teléfono de la víctima.
Por ello, y con conocimientos informáticos avanzados y el código de cifrado de sistema TextSecure, sería posible captar y leer efectivamente los mensajes de ese usuario. Todo ello teniendo en cuenta que el código que encripta la comunicación es parte de una compleja ecuación matemática. Una clave que, con el tiempo, y si no es actualizada de forma periódica, acabará siendo descubierta por los expertos en seguridad. Lo que se traduciría no sólo en la posibilidad de acceder a la información de un solo chat, sino a la de cualquiera. Y es que, según Aldama, este cifrado de usuario a usuario no cuenta en realidad con una contraseña única para cada terminal. Bastaría con descifrar dicho código para llegar a cualquier chat al estar protegidos todos bajo el mismo mecanismo.
En definitiva, esta nueva barrera de seguridad protege los mensajes del usuario, pero no supone la panacea ante los problemas de seguridad de WhatsApp. De hecho, sus debilidades más frecuentemente utilizadas siguen al descubierto. Así, la comunicación textual propiamente dicha queda protegida para que nadie pueda descifrar lo que se envían los usuarios de la aplicación, pero sigue sin tapar el resto de agujeros por los que es posible atacar la privacidad de todos aquellos que utilizan WhatsApp.
Los verdaderos problemas de seguridad de WhatsApp
A pesar de que las nuevas medidas de seguridad aporten más protecciones a la comunicación de WhatsApp, aún existen puntos controvertidos que ponen en riesgo la privacidad de los usuarios. Eso sí, no significa que sea la aplicación más insegura del mundo, ni que estos problemas se den continuamente y supongan la filtración constante de información sensible.
Sin embargo, como nos cuenta el perito ingeniero informático Carlos Aldama, con las herramientas y conocimientos necesarios, es posible captar los datos, llegar a usurpar una identidad o incluso modificar el contenido de los mensajes entre dos usuarios. Eso sí, siempre que ambos estén conectados a la misma red WiFi que el hacker que está atacando, o si se utilizan programas de malware o virus.
Otro de los problemas es la falta de seguridad con los contenidos que almacenan WhatsApp en los dispositivos. Y es que, de poco sirve que utilicen la encriptación de los mensajes si todos ellos quedan almacenados pero desprotegidos en el terminal. Es aquí donde entra en juego el tipo de ataque más común para el robo de información: los virus troyanos. Se trata de un tipo de malware que se hace pasar por un programa o aplicación diferente para colarse en el móvil y que tiene como objetivo acceder a los archivos internos del terminal y enviarlos a un hacker. De esta forma, y sin la protección necesaria, existen muchos casos en los que se infecta un terminal para conseguir la información del usuario como sus mensajes, fotos o ubicación actual. Todo ello de forma prácticamente ajena a WhatsApp. Casos como el de una joven que denunció a su novio después de sospechar que le había instalado uno de estos virus en su terminal.
Y es que WhatsApp forma parte ya de nuestra vida cotidiana. Una herramienta de comunicación que ha llegado incluso a los juzgados por ser prueba de la actividad, hechos y comentarios entre usuarios. Algo que Aldama conoce bien por su trabajo como perito y forense informático. Casos en los que el robo de información o el envío de fotografías ajenas acaban incurriendo en delito por atentar contra el Derecho a la Intimidad. Pero también otros casos en los que se presentan conversaciones de WhatsApp para demostrar hechos. Conversaciones que, sin la protección necesaria, pueden ser editadas y modificadas, por lo que se exige un peritaje experto de dichas pruebas. Hechos que acrecientan su importancia cuando se utilizan en casos de violencia de género, separaciones, custodias y otras situaciones difíciles.
Es por ello que la seguridad de WhatsApp debería ir más allá de encriptar la comunicación, centrándose en bloquear ante terceros todos los datos que se almacenan en el terminal, así como el resto de pasos de comunicación de la aplicación. Y es que, un detalle a tener muy en cuenta, es que WhatsApp guarda incluso los mensajes eliminados. Cuestiones de seguridad que pondrían más difícil el robo de información a los cibercriminales, aunque nunca siendo una barrera lo suficientemente fuerte ante las herramientas de espionaje de los gobiernos, quienes pueden acceder a casi cualquier información. Ya sea por sus propios métodos (Sitel es el nombre de la herramienta de espionaje española), o pidiendo a WhatsApp directamente tal información.
La historia y la fama de WhatsApp, el origen de sus problemas
Los agujeros de seguridad de WhatsApp son producto de una notable evolución de su servicio sin un rumbo fijo. Su origen fue el de una aplicación que permitía conocer el estado del usuario y saber así si estaba disponible o no para recibir llamadas. Sin embargo, sus creadores descubrieron al poco tiempo que los usuarios empezaban a escribir un mensaje e intercambiar información en este pequeño espacio para los estados. Por eso, poco a poco los cambios fueron llegando para que la información fluyera de forma más natural y cómoda, llegando transformarse en mensajes propiamente dichos. Y así añadiendo mejoras hasta transformarse en la aplicación que es hoy en día, incluyendo polémicas herramientas como el doble check azul.
Sin embargo, en esta evolución quedaron muchos huecos por tapar. Y es que, al no ser creada como una aplicación de mensajería segura desde un principio, como sí ha sucedido con Telegram, hay cuestiones de seguridad que no sólo escapan a su planteamiento, sino que tampoco podría llevarse a cabo debido al volumen de contenido que gestiona este servicio. No hay que olvidar que por sus servidores pasan miles de millones de mensajes diarios de todo tipo. Una tarea titánica de ingeniería que, seguramente, necesitaría el parón del servicio durante un tiempo, así como la renovación completa de las aplicaciones y su funcionamiento. Algo que no parece factible en su situación actual.
Es por eso que WhatsApp nunca llegará a ser la aplicación de mensajería más segura disponible para móviles, a pesar de los esfuerzos que parecen estar llevando a cabo para cambiar la fama que arrastra. Además, contando con más de 600 millones de usuarios activos al mes, también supone el blanco más acertado de toda clase de ataques, sabiendo que aquí podrían encontrarse los datos de casi cualquier usuario. Un caramelo demasiado dulce para los ciberdelincuentes.