La privacidad y la seguridad son dos términos polémicos cuando se encuentran en la misma frase con WhatsApp. Y es que la aplicación de mensajería más utilizada a lo largo y ancho de todo el mundo no ha sido, precisamente, la más segura del panorama de la comunicación. Hasta ahora. El anuncio de su total encriptación (o codificación para los menos técnicos) ha llamado la atención de usuarios, expertos en seguridad y muchos agentes del mundo tecnológico. Todo un paso adelante en la historia de esta aplicación, pero también en cuanto a la historia de la seguridad de los usuarios móviles. Pero ¿cómo funciona en realidad esta encriptación? ¿Es realmente seguro? ¿Qué es lo que ha cambiado desde 2014, cuando aplicó sus primeras barreras? En este artículo despejamos todas esas dudas.
Un poco de historia
Comenzando por el principio, hay que hablar de una aplicación surgida de la mente de Jan Koum y Brian Acton, ex trabajadores de Yahoo, y que poco o nada tenía que ver con la mensajería de hoy en día. En realidad, los orígenes de WhatsApp se centraban en mostrar el estado de los contactos, sabiendo así si estaban disponibles para recibir llamadas o mensajes SMS. Ante la reacción de los primeros usuarios, que empezaron a utilizar la frase de estado para intercambiar mensajes, los creadores fueron desarrollando el potencial de lo que ahora es WhatsApp. Actualización a actualización. Cambio a cambio. Parche a parche. Algo que dio gusto a los usuarios más comunicativos, pero que impidió crear un sistema básico y seguro desde el inicio, dejando muchos flecos sueltos respecto a la seguridad.
Tanto es así que ha llegado a protagonizar noticias en los que expertos en seguridad, hackers y crackers lograban suplantar la identidad de personas a través de la aplicación. O incluso lograban alterar los mensajes de otros usuarios sin que ellos lo supieran. Situaciones que pueden poner los pelos de punta los más celosos de su privacidad, y que servían para mostrar cómo el crecimiento de WhatsApp no acompañaba a las necesidades reales de los usuarios. Un aumento del éxito que atraía aún más las miradas de cibercriminales, quienes encontraban diferentes formas de atacar el sistema y hacerse con datos que no estaban protegidos ni dentro del terminal, ni durante su envío.
En este punto, antes del 2014, la aplicación WhatsApp no cifraba sus comunicaciones, ni tampoco sus contenidos en el terminal. Sin embargo, los más de 500 millones de usuarios de aquél momento seguían utilizando esta aplicación para su comunicación diaria, intercambiando todo tipo de datos, e incluso información sensible como cuentas bancarias, direcciones o incluso fotografías y vídeos comprometidos. Además, cada vez más, estos mensajes eran presentados como pruebas en procesos judiciales. Todo ello sabiendo que existían formas de modificar los mensajes ya enviados de un historial o borrarlos desde un terminal intervenido. Un proceso que puede ser descubierto por peritos informáticos.
La situación era grave, y WhatsApp necesitaba tomar medidas serias en cuanto a la privacidad. Un concepto que tomó aún más valor para los usuarios después del destape de Edward Snowden y el servicio de espionaje del gobierno de Estados Unidos, y otros escándalos más relacionados con escuchas y robo de información. Es aquí donde comienza el plan para asegurar WhatsApp. Es el momento de entablar relaciones con Open Whisper Systems.
Y llegó la encriptación de mensajes
Fue en noviembre de 2014 cuando WhatsApp anunció la encriptación de parte de su sistema. Lo harían con la plataforma Android y sólo en las conversaciones individuales, en un principio. Para ello utilizarían el protocolo TextSecure, desarrollado en la compañía de seguridad Open Whisper Systems, cuyo máximo representante es Moxie Marlinspike. Este encriptador se ha dedicado a crear toda suerte de barreras de seguridad y es el verdadero artífice de lo que hoy muchos celebran en WhatsApp. De esta manera, y de forma paulatina, la encriptación ha ido extendiéndose a más funciones del servicio de WhatsApp, resultando una verdadera obra de ingeniería informática, y protegiendo al fin los mensajes, pero también las llamadas, las fotografías, los vídeos e incluso los documentos compartidos a través de los chats.
Para evitar entrar en tecnicismos, diremos que este sistema de seguridad adaptado a WhatsApp consiste en el uso de un código que codifica el mensaje del emisor antes de salir de su móvil, pasando temporalmente por los servidores de la compañía ya cifrado, y descodificándose una vez que entra en el móvil del receptor con el mismo código. Con esto en mente, lo realmente interesante de este sistema reside en la clave de codificación, la cual solo es conocida por el terminal emisor y por el terminal receptor. De extremo a extremo. Esto se traduce en la imposibilidad de que terceros, e incluso la propia WhatsApp, puedan leer la información que se transmite en los mensajes o en cualquier otro contenido enviado, ya sea mediante un chat individual o grupal. Pero ahondemos un poco más.
Esta encriptación, denominada de extremo a extremo, además, crea un código diferente para cada mensaje que se envía y que, de nuevo, sólo puede ser descifrado por el receptor. Entre medias, otros sistemas se encargan de crear pasos de seguridad que impidan a los más cotillas como cibercriminales, hackers o crackers acceder al código o al mensaje. En definitiva, una estructura de seguridad que resulta prácticamente imposible de penetrar. Y, en caso de que así fuera, tal y como explica a tuexperto.com el perito informático y experto en seguridad, Carlos Aldama, solo lograrían invertir mucho tiempo para leer un único mensaje, ya que la protección se actualiza para cada contenido enviado, creando nuevas barreras que “llevarían muchos años y mucha suerte descifrar”, según comenta.
Con esto responderíamos a una de las preguntas iniciales de este artículo, afirmando que se trata de una barrera realmente segura y eficaz en sí misma. Una opción con la que ni WhatsApp, ni los gobiernos, ni los cibercriminales pueden leer nuestros mensajes, escuchar nuestras conversaciones o ver nuestras fotos. Claro que existen ciertos puntos excepcionales a tener en cuenta. También existe un coste, como el de la reducción de la calidad en las llamadas a través de Internet mediante WhatsApp, que serían menos nítidas por culpa del nuevo cifrado.
Las excepciones
El sistema es seguro, de acuerdo. Sin embargo, no hay que perder de vista qué es lo que WhatsApp protege y qué es lo que no. Así, aunque la comunicación es segura y totalmente privada, existen otras partes de WhatsApp que no lo son tanto. Un buen ejemplo es el almacenamiento de datos en el dispositivo, que no cuenta con tanta seguridad y cuyos datos se pueden leer siempre y cuando se tenga acceso al terminal de forma física, además de los conocimientos informáticos y las herramientas necesarios.
También están todos esos datos acerca del terminal, la cuenta del usuario, su conexión, sus horas de actividad en la aplicación y otras cuestiones que esta aplicación también registra. En este caso hablamos de metadatos que WhatsApp no sólo conoce, sino que también almacena en sus servidores y que no están cifrados. Es decir, que en caso de ser intervenidos por un tercero, pueden ser leídos por no llevar ningún tipo de protección. Algo que es muy poco probable que mejore en el futuro, ya que implicaría un gran cambio de sistema y una obra de ingeniería aún mayor que la desarrollada en los dos últimos años para aplicar la encriptación a todo WhatsApp.
De esta forma, la aplicación sigue siendo vulnerable ante ataques de aplicaciones espía o ante el robo de información cuando se tiene acceso directo al terminal, pudiendo conocer los contenidos e incluso realizar el borrado de mensajes (aunque es un proceso que deja huellas). Eso sí, una vulnerabilidad relativa. Del mismo modo, la compañía WhatsApp falla a la hora de proteger los metadatos que puede llegar a facilitar ante peticiones particulares por cuestiones idiomáticas o de filtro de seguridad, según afirma el perito informático consultado por Tuexperto.com.
Además, cabe la duda de si WhatsApp está aplicando una encriptación de extremo a extremo propiamente dicha. O de si ha dicho toda la verdad acerca de su sistema de seguridad. Según Carlos Aldama, este tipo de sistema de protección no debería permitir que un usuario con el móvil apagado pudiera recibir de forma correcta un mensaje encriptado y leerlo sin problemas al encenderlo después de varios días. Al fin y al cabo, WhatsApp no almacena los mensajes ni conoce la clave de encriptación. Por tanto ¿cómo puede darse esta situación con la actual protección?
Pero, entonces ¿pueden espiarnos o no?
WhatsApp ha dejado claro que su sistema es a prueba de mirones. Tanto es así que ni sus responsables pueden acceder a la información que pasa por los servidores de la compañía, ya que desconocen el código de encriptación de cada mensaje.
En España, los servicios de inteligencia y los cuerpos de seguridad del estado usan el servicio Sitel de escuchas telefónicas y lectura de mensajes SMS, entre otras virtudes más. Con él, y previa orden judicial, pueden interceptar comunicaciones. Sin embargo, WhatsApp quedaba fuera de las posibilidades de espionaje o escucha del sistema ya desde 2014. Ahora, el refuerzo de la encriptación solo supone un aumento de la privacidad de los usuarios, sin que el Gobierno, ni las fuerzas de seguridad del estado ni los más avanzados métodos de espionaje puedan acceder a nuestras conversaciones.
Desde luego, si los gobiernos no pueden acceder a nuestros mensajes, fotos y llamadas, los cibercriminales, hackers y crackers tampoco. Según confirma el perito Aldama, el sistema base en el que se funda la encriptación de WhatsApp ya ha sido vulnerado hace tiempo, pero la adaptación a esta aplicación y sus diferentes barreras intermedias hacen que sea una tarea casi imposible en este caso.
Privacidad vs. Seguridad ¿cuál es más importante?
Ante esta situación de seguridad casi total, se plantea un importante dilema: ¿es mejor proteger la privacidad de todos o apostar por la seguridad? Recientemente, el FBI ha solicitado a Apple que desbloquee un iPhone relacionado con un atentado terrorista para investigar la información que contenía. Apple se ha enrocado en su posición proteccionista, impidiendo abrir puertas traseras o ceder ante el FBI, quien finalmente ha podido acceder a la información “sospechosamente rápido”, tal y como apunta Aldama. Para Apple, abrir una puerta trasera significa poner en riesgo a la larga a todos sus usuarios, pudiendo allanar el terreno para la creación de herramientas con las que espiar a sus usuarios.
Los responsables de WhatsApp y de Facebook (propietaria de aquella) también han defendido la privacidad por encima de la seguridad nacional en este caso. Pero ¿conviene en un estado de alerta por terrorismo como España proteger las comunicaciones del espionaje de gobiernos y cuerpos de seguridad? Nuestro experto consultado, con una larga experiencia desarrollada en procesos judiciales, opina que la privacidad es necesaria, pero también dar acceso a la información en pos de la seguridad como medida de garantía y seguridad ciudadana. La clave, afirma, está en “quién y cómo puede tener acceso a nuestros datos”, entendiendo que sólo los responsables de investigaciones policiales con órdenes judiciales deberían poder hacerlo.