Desde que WhatsApp adoptó el protocolo de Signal para su cifrado de extremo a extremo (E2EE), se ha posicionado como una de las aplicaciones más seguras del mercado en cuanto a la protección de los contenidos de los mensajes. Sin embargo, ¿es suficiente esta capa de seguridad para mantener nuestra información verdaderamente a salvo? Si tu ciberseguridad fuera una ecuación, la única incógnita que les queda a los hackers por despejar en lo que respecta a tu privacidad son los metadatos.
No se puede negar que el cifrado de extremo a extremo de WhatsApp es uno de sus puntos más robustos en lo que respecta a la privacidad. Utiliza el protocolo de Signal, reconocido mundialmente como uno de los estándares más avanzados y seguros para la protección de datos en comunicaciones. Este protocolo asegura que solo los participantes de una conversación puedan leer los mensajes. Es decir, evita que cualquier otra entidad, incluida la propia WhatsApp, pueda acceder a su contenido. Sin embargo, hay un “pero” en esta ecuación que no se debe pasar por alto.
La gestión de los metadatos en Whatsapp
Nos referimos a la gestión de los metadatos en WhatsApp, uno de los aspectos más polémicos de la plataforma de Meta. Aunque el contenido de los mensajes esté cifrado, la plataforma sigue recopilando información sobre las interacciones del usuario. Como quién se comunica con quién, la frecuencia de esos mensajes, las marcas de tiempo, e incluso las direcciones IP desde donde se conectan.
Dicho de otro modo, aunque no saben qué dices, saben perfectamente cómo, cuándo, dónde y con quién hablas. Puede que esta ecuación parezca inocua. Pero si nos basamos en las matemáticas más simples, parece que a WhatsApp sólo le queda despejar una de las incógnitas para revelar la ecuación de la privacidad de todos los individuos.
La incógnita de la “x”
Cierto es que la “x” que les queda por despejar no se adivina con una simple fórmula matemática. Pero aun sin esa “incógnita” quien se haga con los metadatos de una persona, tiene mina de oro con la que analizar los patrones de comportamiento de todo ser humano que tenga WhatsApp instalado en su teléfono o su ordenador de casa.
Podría pensarse que esta información podría caer en manos malintencionadas, que es perfectamente posible. Pero no es necesario que esto ocurra para que la información personal de cientos de millones de personas se utilice para sacar provecho.
Es cierto que si se le da un “buen” uso a todos los metadatos que guarda WhatsApp, la plataforma podría usarlos para servirnos publicidad muy segmentada o mejoras en nuestra usabilidad cuando nos relacionamos con muchas personas y grupos. Pero, es también una fuente de información privada muy sensible si se quiere hacer ingeniería social para el phishing. Nos advierte Hervé Lambert, Global Consumer Operations Manager de Panda Security, a WatchGuard brand.
El hecho de que estos datos puedan ser correlacionados con la información de Facebook. Recordemos que WhatsApp es propiedad de Meta. Supone un verdadero dolor de cabeza para aquellos que valoran su privacidad online. En un mundo donde la privacidad se ha convertido en un bien tan escaso como el oro, el enfoque que los grandes agentes digitales dan a los datos de las personas es, como mínimo, cuestionable.
Renegociación de claves: ¿conveniencia o riesgo?
Pero volvamos a WhatsApp. Uno de los puntos más controvertidos de la arquitectura de su seguridad es su capacidad para renegociar claves de cifrado cuando un dispositivo está fuera de línea o se está utilizando un nuevo teléfono.
Es cierto y todos hemos vivido en alguna ocasión lo útil que es esta funcionalidad cuando hemos necesitado recuperar mensajes antiguos al instalar la app en un teléfono nuevo. Pero, a su vez, esta solución introduce un riesgo significativo. Ya que, al menos en teoría, este proceso podría permitir a la plataforma, acceder a mensajes cifrados que deberían haber permanecido inaccesibles. Aún más preocupante sería que esta información cayera en manos de un grupo organizado de atacantes con las herramientas adecuadas.
“Es importante recalcar que no hablamos de ciencia ficción. Este tipo de ciber riesgos no son solo posibles. Ocurren. Sin ir más lejos WhatsApp ya se vio envuelta hace algunos años en un serio problema de seguridad, cuando se descubrió una vulnerabilidad que permitía a los atacantes instalar spyware en dispositivos, simplemente realizando una llamada”, recuerda Hervé Lambert.
Aunque la empresa lanzó rápidamente un parche para solucionar el problema, el incidente dejó claro que incluso las aplicaciones más utilizadas no están exentas de fallos de seguridad .
Este tipo de vulnerabilidades no son nuevas en el mundo de la ciberseguridad. Pero cuando afectan a una aplicación que utilizan más de 2.000 millones de personas en todo el mundo, la magnitud del problema es alarmante.
¿Sigue siendo WhatsApp la opción más segura?
En este sentido, es importante que haya un acuerdo generalizado entre todos los actores involucrados en la comunicación entre personas. Ya sean empresas privadas como organizaciones públicas para asegurar una libertad tan fundamental como la privacidad.
Aunque se están dando algunos pasos para regular la privacidad de los datos. Como el reglamento “chat control” de la Unión Europea para combatir la difusión de pornografía infantil desde los teléfonos móviles. Hay una gran controversia entre los defensores de la privacidad y los proveedores de servicios.
La UE y la regulación de las comunicaciones
En junio de este año, la UE aplazó indefinidamente una votación clave sobre la regulación de las comunicaciones. La medida se pospuso debido a la oposición de varios países, como Alemania y Austria. El aplazamiento también surgió en respuesta a las críticas. Ya que algunos sectores advertían sobre el riesgo de comprometer la privacidad de las comunicaciones.
Aunque la nueva versión del reglamento, apoyada por Hungría y España, propone analizar los contenidos cuando se cargan en aplicaciones como WhatsApp o Messenger, los metadatos podrían ser clave para localizar a los criminales que los comparten.
Sin embargo, la realidad es que estos metadatos representan solo un pequeño porcentaje de los mensajes enviados desde la plataforma. Es decir, hay muchas personas que consideran que esta solución supone “matar moscas a cañonazos”.
Es común asociar la ciberseguridad de los metadatos con grupos organizados de hackers que los usan para planear ataques de ingeniería social avanzada. También solemos pensar en las fuerzas policiales tratando de rastrear a estos hackers a través del análisis de metadatos.
El problema que muchos no ven es que los metadatos pueden ser combinados con información de otras plataformas. Al fusionar datos de sitios como Facebook o Instagram, es posible realizar fraudes personalizados a través de acciones publicitarias. Al mismo tiempo, si las conocidas como “cloacas” de los Estados acceden a esta información, podríamos estar viviendo una versión 5.0. del Gran Hermano de Orwell.