¿Es seguro WhatsApp? Parece que no

Cuando una app afirma ser muy segura, tenemos dos opciones: fiarnos de su palabra o investigar. En el caso de WhatsApp, el veredicto es “insegura“: cualquiera puede leer nuestros mensajes con los medios adecuados.

WhatsApp declara en su página que la comunicación entre teléfono y servidor está cifrada y que no se guardan historiales en el servidor. Y es así: WhatsApp cifra los mensajes con un sistema técnicamente muy seguro, en el que los mensajes se cifran antes de ser enviados al servidor donde se almacenan temporalmente. El problema está en la forma en que WhatsApp cifra los mensajes, que no es nada segura.

Ya hay programas que descifran mensajes de WhatsApp

Thijs Alkemade, un estudiante holandés, descubrió que es posible descifrar los mensajes de WhatsApp debido a que usa las mismas claves de cifrado en dos direcciones. Es un fallo de manual que afecta las versiones Android y Symbian de WhatsApp. Y de momento no se le ha puesto solución. La conclusión del experto holandés es demoledora: “considera inseguras todas las conversaciones que hayas tenido previamente”.

Al llegarles noticia de este fallo, el CEO de WhatsApp, Jan Koum, contestó lo siguiente:

WhatsApp se toma la seguridad en serio y está pensando constantemente en formas de mejorar el producto. Aunque apreciamos el comentario, nos preocupa que el artículo describa un escenario que es más bien teórico. Decir que todos los chats han de considerarse inseguros es inexacto. Es sensacionalista y exagerado.”

¿Todo normal? ¿Inseguridad solo teórica? Pues no. Dos investigadores españoles, Jaime Sánchez y Pablo San Emeterio, demostraron con su aplicación WhatsApp Message Decoder que la vulnerabilidad explicada por Thijs Alkemade es fácilmente explotable.

Sánchez y San Emeterio fueron más allá y presentaron una posible solución, consistente en sustituir el cifrado de WhatsApp por otro más seguro, evitando los servidores oficiales. Su intención, como explican en una entrevista al diario español El Mundo, es evitar que alguien tenga acceso a nuestras conversaciones.

Diagrama de la mejora presentada por Sánchez y San Emeterio (fuente)

Esto deja a WhatsApp en una posición precaria. Por su historial, no parece que la seguridad haya sido una preocupación central de la compañía. Ya en 2012, WhatsApp Sniffer, una aplicación capaz de interceptar mensajes de WhatsApp, evidenció la falta de cifrado de la aplicación. WhatsApp arregló el fallo, pero el daño ya estaba hecho.

Las alternativas son más seguras, pero no las usa nadie

La inseguridad de WhatsApp ha provocado la aparición de una nueva generación de apps de mensajería cuyo plato fuerte es la seguridad. A diferencia de las aplicaciones de envío de mensajes seguros, más enfocadas en el envío de SMS, las nuevas apps de chat seguro se parecen mucho a WhatsApp.

La primera de la que hemos tenido noticia es Heml.is, del creador del polémico buscador de descargas PirateBay. Mientras escribo esto, Heml.is no ha sido lanzada todavía, pero promete ser una alternativa muy interesante -y gratuita- a WhatsApp, con una interfaz luminosa y atractiva y, sobre todo, una mayor seguridad, que se basará en una combinación de técnicas, desde mensajes con fecha de caducidad hasta el uso de cifrado fuerte.

Otra opción que ya está operativa es Telegram, una app de mensajería segura creada por los fundadores de VK, el Facebook ruso. Lanzada poco después del estallido del escándalo NSA, Telegram Messenger, que está disponible para Android y iPhone, cifra los mensajes y permite que se autodestruyan. Sus servidores están repartidos por todo el mundo. Además, los chats secretos no se almacenan en la nube de Telegram.

Desde España llega Woowos, que no solo cifra los mensajes, sino que además comunica, a través de divertidos iconos, si el mensaje ha sido entregado, leído, borrado antes de haberse leído o borrado después de haberse leído. Es un intento de simplificar las complejidades propias de los sistemas de comunicación seguros, donde no solo hay que tener en cuenta a quién va dirigido el mensaje, sino también qué se hace con él.

El caso es que ninguna de estas aplicaciones cuenta con una sólida base de usuarios. ¿Por qué? Una de las razones puede ser precisamente la mayor complicación a la hora de usarlas. El éxito de WhatsApp se debe a la sencillez: la carga mental que ejerce sobre nuestro cerebro es mínima, porque han descartado todo lo que no es esencial. Si enviar un mensaje es complicado, difícilmente una app puede tener éxito.

Threema indica la seguridad de las conversaciones mediante un sencillo semáforo (fuente)

Por otro lado, las únicas aplicaciones capaces de quitarle cuota de mercado a WhatsApp, o bien cuentan con el respaldo de un sistema operativo o fabricante (Skype, BBM, ChatON), o bien ponen sobre la mesa multitud de funciones adicionales, como el vídeo de Viber o los stickers y juegos de LINE. Ninguna de las aplicaciones de mensajería segura añade valor a lo que WhatsApp ya otorga; la motivación para cambiarse es mínima.

¿Por qué WhatsApp no mejora la seguridad?

Parafraseando una conocida frase, la seguridad está en los ojos de quien vigila. A mí no me importa que una aplicación de mensajes sea poco segura si no tengo nada que ocultar o si considero que la probabilidad de que mis mensajes sean interceptados y usados contra mí es baja. Mis comunicaciones por chat no son importantes ni críticas. Si necesitase proteger el secreto, usaría un sistema de comunicación diferente.

El problema es que hay mensajes sobre los que yo no tengo ningún poder: los que me envían y los que otros envían sobre mí. En la India, por ejemplo, los doctores usan WhatsApp para enviar radiografías y fotos que deberían estar protegidas por el secreto médico. Si uno de mis contactos me pasa información confidencial sin que yo se la haya pedido, me expone a riesgos enormes. ¿Moraleja? Que proteger la privacidad es necesario.

Hay médicos que envían radiografías y otros datos confidenciales a través de WhatsApp

Además, la seguridad en las comunicaciones no solo es una cuestión personal, sino también una cuestión de principios: un servicio tiene la obligación moral -y legal- de proteger la privacidad de sus usuarios frente a escuchas e intentos de robo de información. Incluso si la mayoría de usuarios no se preocupan por la seguridad, la compañía que presta el servicio sí debe hacerlo. Proteger la privacidad es del interés de todos (excepto de la NSA).

Entonces, si es tan importante, ¿por qué WhatsApp no tiene una seguridad fuerte?

Porque la seguridad máxima es costosa de aplicar y mantener, y a menudo incómoda para los usuarios. Fortificar WhatsApp implicaría cambiar los cimientos de una aplicación usada por cientos de millones de personas. No es trivial; hay que ir pasito a pasito y asegurarse de que nada se rompe por el camino. Porque, no lo olvidemos, el objetivo principal de WhatsApp es la comunicación rápida y simple, no la comunicación a prueba de escuchas.

Parece, en suma, como si la seguridad no le importase a la mayoría de usuarios y aplicaciones de mensajería. Yo no creo que sea este el caso, pero sí opino que en la medida en que la seguridad se vuelve un obstáculo de cara a hacer algo rápidamente, su atractivo desciende. Es por eso que las alternativas seguras a WhatsApp no prosperan y que WhatsApp no apuesta por una seguridad a prueba de hackers.

Hemos contactado tanto WhatsApp como los expertos Alkemade, Sánchez y San Emeterio para que nos aportasen sus comentarios sobre el estado de la seguridad en WhatsApp, pero no hemos recibido respuesta todavía.

¿Qué opinas de los problemas de seguridad de WhatsApp?

Enlaces relacionados:

Sígueme en Twitter: @remoquete

Cargando comentarios