En pleno debate sobre la seguridad de las telecomunicaciones, la popular aplicación de mensajería instantánea WhatsApp, verdadera reina del teléfono móvil inteligente, ha acelerado los pasos para convertirse en una herramienta más robusta. Y ahora, por fin, será equiparable a otras como Signal y Telegram, líderes en este terreno. Así lo reseña abc.es
La «app» propiedad de Facebook ha implementado por defecto un sistema de cifrado de extremo a extremo –«end to end», en inglés–, que permite a sus más de mil millones de usuarios mantener conversaciones seguras y privadas, tanto en los mensajes de texto como en las llamadas. Para ello ha trabajado con la firma especializada Open Whisper System. Y, tras dos años de colaboración, ha sido ahora –en el marco de la polémica en torno al caso del iPhone de la matanza de San Bernardino (California), que ha enfrentado a Apple y al FBI– cuando se ha hecho extensible este sistema.
Clave secreta y única
Esta tecnología garantiza automáticamente que únicamente emisor y receptor de la conversación pueden leer los mensajes enviados. Ninguna otra persona, ni siquiera la propia compañía, tiene acceso a estos, pues están cifrados con una contraseña que solo conocen los interlocutores. El mecanismo, que no se puede desactivar, consiste en la creación de una clave única y temporal accesible salvo para los usuarios que mantienen la conversación.
Esas claves se almacenan en el dispositivo de cada uno. El servicio es incapaz de generar o almacenar estas claves de cifrado. Tampoco se guardan de forma visible fotos, vídeos o mensajes de audio. Su funcionamiento es simple: un mensaje escrito por un usuario A se enviará cifrado a un servidor propiedad de WhatsApp y, tras procesarlo, llegará a un usuario B en ese mismo estado. Para tener acceso al contenido de los chats se debería disponer del propio terminal desbloqueado.
Cuando nos comunicamos con cualquier persona en internet es fácil imaginarse que el mensaje viaja como una llamada de teléfono que igualmente puede ser espiada. «Cuando añades el cifrado a una comunicación de este tipo, lo más sencillo es hacerlo de extremo a extremo, es decir, mezclar la señal en nuestro teléfono para que si alguien la intercepta solo oiga ruido, y cuando llega al teléfono del receptor, este la descodificará reproduciendo nuestra voz como si nada hubiera pasado», explica Pablo Teijeira, director general de la firma de seguridad Sophos Iberia.
En las últimas versiones, la aplicación utilizaba una mezcla entre el cifrado que ha estado usando desde 2012 (RC4) y el sistema que acaban de implantar (Signal Protocol). El primero protegía todas las comunicaciones entre el teléfono y los servidores. Cuando se enviaba un mensaje se aplicaba una capa extra de cifrado sobre el texto del mensaje que utilizaba Signal, logrando así tener un cifrado «más robusto». Esto implica, según el experto de Telefónica Pablo San Emeterio, «un paso más en la seguridad e intimidad de las comunicaciones».
«Aplicar este tipo de mecanismo criptográfico implica que, además de garantizar la inviolabilidad de las comunicaciones en tránsito (del cliente al servidor), se aumenta la seguridad haciendo que las claves necesarias para descifrar las comunicaciones residan en los propios clientes», señala a este diario Yago Jesús, experto en seguridad informática del sitio especializado Security by Default. «En principio –dice– resulta muy fiable» y «supone una capa extra de seguridad que beneficia al usuario final», aunque considera llamativo el hecho de que una de las medidas de seguridad añadidas a WhatsApp, la verificación de identidad de extremo a extremo, que permite avisar al usuario ante un ataque de suplantación, «esté deshabilitada por defecto».
En la misma línea se sitúa Sergio Carrasco, abogado especializado en derecho tecnológico en Fase Consulting, quien apunta que la decisión de WhatsApp de blindar los mensajes «es muy importante porque lo que está haciendo es garantizar que no va a haber intromisiones dentro de la conversación». Según este experto, en los servidores de WhatsApp no se guardan los mensajes. «Una vez que han sido entregados, se borra del servicio y no quedan en un servidor central».
No tan anónimo
Más crítico se muestra Carlos Aldama, perito informático, quien considera que el sistema protege el envío y no el mensaje. «La base de datos del smartphone sigue siendo la misma y se puede acceder a través del terminal. Lo que se ha implantado sirve para ir en contra de los que se “cuelan” en el momento en el que estamos transmitiendo la comunicación». A su juicio, es importante tener en cuenta que WhatsApp todavía no hace borrados seguros como su principal rival, Telegram, y que no se cifra en sus servidores. Con esto, ¿podemos decir que ahora «wasapear» ofrece un mayor anonimato? «Lo cierto es que no», asegura, porque el número de teléfono, receptor, destinatario, día y hora «van a seguir almacenados en los servidores».
Al fin y al cabo, la seguridad en internet al cien por cien no existe. «Jamás debemos pensar eso», recuerda San Emeterio. «Los elementos de seguridad que hace diez años nos parecían infalibles ahora no lo parecen tanto. La seguridad es una cadena de varios eslabones, y si se consigue romper uno de ellos es suficiente para dejar de estar seguros», concluye.