Whatsapp, dudoso testigo de cargo

Ver trabajar a un hacker no es lo m¨¢s excitante del mundo. Sobre una mesa, dos tel¨¦fonos m¨®viles y un ordenador port¨¢til con la pantalla negra llena de un c¨®digo ilegible para el no iniciado. Jaime S¨¢nchez y Pablo San Emeterio, dos ingenieros inform¨¢ticos expertos en ciberseguridad, han conseguido quebrar el c¨®digo de WhatsApp para modificar el remitente de un mensaje; para simular que alguien envi¨® unas l¨ªneas a nuestro tel¨¦fono m¨®vil. La suya es una magia peque?a, pero poderosa. Una grieta en un servicio de mensajer¨ªa que tiene 500 millones de usuarios, un tr¨¢fico diario de 10.000 millones de mensajes, y que acaba de ser adquirida por Facebook por 19.000 millones de d¨®lares (14.000 millones de euros). Usando una met¨¢fora de un mundo que desaparece, lo que han logrado estos hackers buenos ser¨ªa comparable a colarse en el sistema de Correos para poder recibir falsas cartas certificadas y atribuibles a una persona que nunca las escribi¨®.

Tres remitentes, un mismo m¨®vil

Los expertos en ciberseguridad Jaime S¨¢nchez y Pablo San Emeterio realizaron para EL PA?S una prueba de la grieta que han encontrado en el servicio de mensajer¨ªa WhatsApp. En una situaci¨®n normal, un mensaje del tel¨¦fono A al B pasa por el servidor de WhatsApp y un sistema de cuatro contrase?as lo valida al entrar y al salir. Lo que hacen? S¨¢nchez y San Emeterio es colocarse en medio. El mensaje pasa por los dominios de WhatsApp, pero antes de llegar al tel¨¦fono B, es interceptado. Los hackers teclean en su ordenador el nombre y el tel¨¦fono de la persona a la que quieren suplantar. Cuando el mensaje aterriza en el tel¨¦fono B, este no solo no lo rechaza, sino que no hay manera de saber que el remitente ha sido modificado. Y como WhatsApp no almacena datos en sus servidores, es imposible encontrar el remitente original. En un minuto, los hackers mandan tres mensajes desde el tel¨¦fono A que llegan al B como si hubiesen sido enviados de tres n¨²meros distintos. El de verdad y otros dos, a los que, por razones narrativas, han bautizado como "jefe" y "expareja", para insinuar el tipo de falsas amenazas que uno podr¨ªa alegar haber recibido.

¡°Nuestro d¨ªa a d¨ªa es buscar vulnerabilidades que pueden ser explotadas por delincuentes para afectar la seguridad de personas y empresas¡±, dice la pareja, que lleva un par de a?os explorando los fallos de WhatsApp. Desde entonces han descubierto c¨®mo espiar conversaciones, han descifrado contrase?as, fabricado mensajes malignos que consiguen que un m¨®vil deje de funcionar¡­ Todas estas debilidades, que han hecho p¨²blicas en distintas ponencias internacionales, han sido parcheadas por la empresa con m¨¢s o menos rapidez.

Pero a su ¨²ltimo descubrimiento a¨²n no se ha puesto soluci¨®n. ¡°Modificar el remitente de un mensaje podr¨ªa tener todo tipo de implicaciones, tanto cotidianas como legales, en temas de divorcios, de extorsiones¡­¡±, explican los expertos. ¡°Por ejemplo, se podr¨ªa presentar una denuncia por amenazas ofreciendo como prueba falsos mensajes de alguien a cuyo tel¨¦fono ni siquiera hemos tenido acceso f¨ªsico¡±. Basta con saber su n¨²mero. El tel¨¦fono que se hackea es el receptor del mensaje, que hace ver que han llegado mensajes de n¨²meros que jam¨¢s enviaron nada.

El portal de descargas Softonic.com (125 millones de usuarios ¨²nicos al mes) public¨® el trabajo de S¨¢nchez y San Emeterio en marzo y consigui¨® arrancar una reacci¨®n al esquivo Jan Koum, fundador de WhatsApp. Koum contest¨® entonces que los espa?oles no hab¨ªan comprometido la seguridad de sus servidores ya que el mensaje se modificaba al llegar al tel¨¦fono receptor. Un portavoz de la compa?¨ªa ha manifestado a EL PA?S que ¡°la seguridad es prioritaria para WhatsApp¡±.

Se trata, en todo caso, de una grieta de dif¨ªcil acceso para el usuario medio. ¡°No es algo que pueda hacer nuestro amigo inform¨¢tico de turno¡±, a?ad¨ªa la informaci¨®n de Softonic. ¡°Pero pone en entredicho la seguridad de WhatsApp y, desde luego, lo descarta como un medio v¨¢lido para probar algo a nivel legal¡±.

Solo hay que googlear las palabras ¡°WhatsApp¡± y ¡°sentencia¡± para asomarse al agujero. Julio de 2011, la Audiencia Provincial de Las Palmas ratifica una sentencia por injurias basada en parte en una conversaci¨®n de WhatsApp entre la acusada y el novio de la denunciante; marzo de 2013, cuatro chicas de Vigo son condenadas a pagar multas de 100 y 200 euros por amenazar a otra tras agregarla a un grupo de WhatsApp; noviembre de 2013, un hombre es condenado por un juzgado de Ferrol a un a?o y nueve meses de c¨¢rcel por mandar 2.147 mensajes de WhatsApp (y hacer 53 llamadas perdidas) a su expareja; febrero de 2014, el Tribunal Supremo admite como prueba de cargo en un caso de tr¨¢fico de coca¨ªna las conversaciones por WhatsApp de los acusados; junio de 2014, un juzgado de Pontevedra instruye un caso contra un hombre que difundi¨® por WhatsApp los controles de carretera de la Guardia Civil; el 2 de julio un juez examin¨® las transcripciones de las conversaciones de WhatsApp entre un profesor imputado por abusos y sus alumnas¡­

¡°El creciente uso de WhatsApp como prueba en los juicios es una pasada¡±, dice Carlos Aldama, ingeniero inform¨¢tico que trabaja como perito inform¨¢tico judicial. Hace un a?o, peritaba una prueba de WhatsApp al mes, ahora son seis al mes, en casos de todo tipo, infidelidades, divorcios, custodias, temas de negocios, pederastia¡­ ¡°Aproximadamente una de cada 20 pruebas est¨¢ falseada¡±, explica Aldama. Se ha encontrado de todo: burdas capturas de pantalla de una conversaci¨®n retocadas como im¨¢genes, sencillas manipulaciones de la geolocalizaci¨®n de un env¨ªo, o suplantaciones m¨¢s complejas ejecutadas con troyanos (software malicioso que infecta un dispositivo). ¡°Todo esto lo muestran ante notario¡­ y claro, el notario da fe de lo que ve, pero no sabe si lo que ve est¨¢ o no manipulado¡±, dice el perito, que asegura que en los mercados de la Deep Web (una capa profunda y libre de Internet de dif¨ªcil acceso en la que se trafica con armas, droga o pornograf¨ªa) se puede contratar gente que por unos 50 d¨®lares falsean mensajes de WhatsApp.

En esta mara?a de mentiras digitales, la falsificaci¨®n del remitente que plantean S¨¢nchez y San Emeterio, supone hilar muy fino. ¡°Para detectarla el perito tendr¨ªa que tener acceso a los dos terminales, al informe de transferencia de datos o al router por el que se conect¨®¡±, explica el perito judicial. ¡°De ser impugnada por la otra parte, un perito no admitir¨ªa los mensajes como prueba irrefutable, pero, aun as¨ª, lo que han detectado los dos espa?oles es un fallo de seguridad¡±. Seg¨²n Aldama, si la Justicia quiere ofrecer garant¨ªas de defensa, tendr¨¢ que contar cada vez m¨¢s con los ingenieros inform¨¢ticos.

¡°Aproximadamente una de cada 20 pruebas electr¨®nicas est¨¢ falseada¡±, dice Carlos Aldama, Ingeniero Inform¨¢tico que trabaja como Perito Inform¨¢tico Judicial y De Parte

¡°La justicia no est¨¢ preparada, no existe a d¨ªa de hoy la figura de un Juez 2.0¡±, opina Federico Bueno de Mata, profesor de Derecho Procesal de la Universidad de Salamanca y premio extraordinario de tesis sobre la prueba electr¨®nica. El gran escollo es que las pruebas se rigen por la Ley de Enjuiciamiento Civil del a?o 2000 (y WhatsApp se fund¨® en 2009). ¡°La tecnolog¨ªa evoluciona a un ritmo completamente distinto que el sistema judicial¡±, dice el abogado. ¡°Lo que nos lleva ante una justicia tecnol¨®gicamente obsoleta a nivel probatorio¡±. El problema de fondo para este doctor en Derecho es que ¡°la valoraci¨®n de la prueba electr¨®nica por parte del juez est¨¢ totalmente condicionada a lo dicho por el perito inform¨¢tico¡±. Al final, decide el t¨¦cnico. Para devolver la ¡°sana cr¨ªtica¡± a sus se?or¨ªas, las oposiciones a judicatura deber¨ªan incorporar conocimientos tecnol¨®gicos, seg¨²n el abogado, y se deber¨ªan fomentar los cursos de reciclaje para que los jueces se pongan al d¨ªa.

Abogados, peritos y expertos en ciberseguridad coinciden en que las empresas de mensajer¨ªa tambi¨¦n tienen parte de responsabilidad. ¡°Algunas ven la seguridad m¨¢s como una inversi¨®n que como un coste, algo que retrasa el tiempo de desarrollo de un producto en un mercado que se mueve muy r¨¢pido¡±, dicen S¨¢nchez y San Emeterio. ¡°La mayor¨ªa de las veces van a rebufo de los hackers, arreglando los errores a medida que son expuestos¡±. Agujeros en la seguridad que se hacen p¨²blicos mundialmente en minutos. ¡°El primero que falsea un servicio como WhatsApp, tiene el m¨¦rito¡±, opina Carlos Aldama. ¡°Pero una vez se publica la informaci¨®n de c¨®mo se ha hecho, paso a paso, cualquiera con conocimientos medios puede repetirlo; por ello, las empresas deber¨ªan tomar medidas inmediatas¡±.