WhatsApp es menos privado de lo que te quiere hacer creer
Aunque los mensajes estén cifrados durante la transmisión, las aplicaciones móviles guardan datos en los dispositivos y las copias en la nube son también vulnerables
BarcelonaEl Tribunal Supremo español ha reclamado a Meta Platforms y Google que conserven y faciliten los mensajes de WhatsApp del fiscal general del Estado, Álvaro García Ortiz, en el marco de una investigación por revelación de secretos relacionada con el caso de la pareja de Isabel Díaz Ayuso. Ambas empresas han confirmado que mantienen los mensajes y correos del fiscal, aunque los haya borrado de su teléfono.
Este caso ha desvelado un hecho que muchos usuarios desconocen: borrar mensajes o correos de nuestros dispositivos no significa que desaparezcan completamente de los servidores de las empresas tecnológicas, que pueden ser obligadas a recuperarlos mediante órdenes judiciales.
La falsa sensación de privacidad en WhatsApp
La mayoría de usuarios de WhatsApp, la aplicación de mensajería más popular, cree que sus mensajes sólo pueden ser leídos por el destinatario gracias al cifrado de extremo a extremo (E2EE, por sus siglas en inglés). Y si bien es cierto que el contenido de los mensajes está protegido en tráfico, muchos usuarios no tienen en cuenta que guardan en la nube (Google Drive en el caso de Android e iCloud en el caso de iPhone) una copia de seguridad de sus chats para no perderlos cuando cambian de teléfono.
El problema es que estas copias de seguridad no están cifradas por omisión, lo que hace que Google pueda proporcionar a los jueces una copia en abierto de los mensajes que el fiscal general borró de su teléfono. Por este motivo, es recomendable activar en la configuración de WhatsApp el cifrado de la copia en la nube... si se insiste en hacerla, aunque lo más seguro sería no realizar estas copias.
Además, según ha divulgado la Guardia Civil, el aplique móvil de WhatsApp almacena localmente los datos, lo que permitiría realizar un proceso de recuperación de mensajes borrados mediante el uso de software informático forense.
Los metadatos: lo que WhatsApp sí sabe de nosotros
Meredith Whittaker, presidenta de la Signal Foundation, ha criticado duramente a Will Cathcart, máximo responsable de WhatsApp, por afirmar que no hay diferencias entre ambas aplicaciones en cuanto a privacidad. Aunque WhatsApp utiliza la tecnología de cifrado de extremo a extremo de Signal para proteger el contenido de los mensajes, sigue recogiendo en paralelo enormes cantidades de información personal relevante no cifrada.
"WhatsApp recoge y entrega, cuando se le requiere, enormes cantidades de información íntima que, a diferencia de Signal, no está protegida con cifrado de extremo a extremo", afirma Whittaker. Esta información incluye ubicación, listas de contactos, cuando empiezas a enviar mensajes a alguien, cuando paras de hacerlo, quien forma parte de tus chats de grupo, tu foto de perfil y mucho más. Además, mientras Signal es de código abierto, lo que permite verificar sus afirmaciones, WhatsApp es de código cerrado y nadie sabe exactamente qué hace su código.
La presión gubernamental contra el cifrado
Es emblemática la exigencia del FBI en Apple para acceder a los datos del iPhone de un asesino. En los últimos meses varios gobiernos –incluso europeos– están intentando que las empresas tecnológicas abran en sus sistemas de cifrado una puerta trasera para que las autoridades puedan inspeccionar contenido potencialmente delictivo, desde terrorismo hasta pedofilia.
Francia ha estado a punto de aprobar una ley que obligaría a las aplicaciones de mensajería cifrada a crear esta puerta trasera que permita al gobierno añadirse a cualquier grupo o chat que desee. Esta modificación de la ley contra el narcotráfico fue finalmente rechazada por la Asamblea Nacional francesa, para alegría de los defensores de la privacidad digital.
Por su parte, la Unión Europea lleva años intentando implantar el sistema Chat Control, que obligaría a las plataformas a escanear todos los mensajes privados para detectar material de abuso infantil. Esta propuesta ha sido fuertemente criticada por los defensores de la privacidad y todavía no ha logrado ser aplicada.
El Reino Unido ha presionado a Apple hasta el punto de que la empresa ha decidido retirar su herramienta de protección de datos avanzada (ADP) a los clientes británicos. Esta medida afecta específicamente a nueve categorías de datos de iCloud que antes estaban protegidas con cifrado de extremo a extremo: copias de seguridad de iCloud, iCloud Drive, fotos, notas, recordatorios, marcadores de Safari, atajos de Siri, notas de voz y pases de Wallet. Sin embargo, Apple asegura que otros servicios como iMessage y FaceTime continuarán cifrados de extremo a extremo globalmente, incluido Reino Unido, y que otras categorías como la de Salud y el llavero de iCloud también mantendrán su protección completa.
Los riesgos de las 'puertas traseras'
A menudo se ha advertido sobre los peligros de éstas puertas traseras. En un artículo en Financial Times, la mencionada Whittaker comparaba esta situación con un gobierno que ordenara a un fabricante de coches debilitar secretamente la eficacia de los frenos en todos los coches que vende, poniendo en peligro imprudentemente la seguridad de millones de personas.
Además, se ha señalado el caso del ciberataque Salt Typhoon, en los que hackers vinculados a China accedieron a registros de llamadas, mensajes de texto y otra información íntima de millones de ciudadanos de EE.UU. ¿Cómo lo consiguieron los hackers? Gracias a las puertas traseras abiertas por las operadoras de telecomunicaciones. El problema fundamental es simple: el cifrado son matemáticas, y las matemáticas no discriminan entre un investigador policial y un delincuente: una puerta trasera es una puerta trasera, y si existe cualquiera puede entrar, afirman los especialistas en ciberseguridad.
La amenaza de la IA a la privacidad
Últimamente crece la preocupación por cómo la inteligencia artificial está amplificando el riesgo de vigilancia. En concreto, se habla de los peligros de los llamados "agentes" autónomos de IA en nuestros dispositivos, que necesitarían acceso a grandes cantidades de datos delicados, potencialmente sin cifrar, y que podrían comprometer la privacidad de las comunicaciones.
Esta situación se ha comparado con "poner el cerebro en un bote", ya que estos agentes necesitarían permisos de acceso a todo nuestro sistema, incluyendo navegador, información de tarjetas de crédito, calendario y aplicaciones de mensajería. La mayoría de los especialistas concluyen que la mejor manera de proteger los datos es no recopilarlos.
El eslabón más débil siempre es el humano
A pesar de todas las medidas técnicas de seguridad, cabe recordar que el eslabón más débil en la cadena de privacidad siempre es el humano, ese mismo humano que no activa el cifrado de las copias de seguridad ni los mensajes efímeros. En 2018 se publicaron unos mensajes de Signal entre Carles Puigdemont y Toni Comín, captados por una cámara de TV de la pantalla del teléfono del exconseller. Y esta semana los máximos responsables políticos de defensa de EEUU han incluido por error a un periodista de The Atlantic en un chat de Signal donde se debatían los detalles de los bombardeos en Yemen.
