Por qu¨¦ grandes organizaciones recomiendan no usar WhatsApp

La pregunta de un periodista en la rueda de prensa diaria a un portavoz del secretario general de Naciones Unidas fue poco com¨²n: "?El secretario general se comunica con otros l¨ªderes del mundo por WhatsApp?" El d¨ªa antes hab¨ªa estallado el presunto hackeo saud¨ª al m¨®vil de Jeff Bezos, fundador de Amazon. El portavoz respondi¨® dubitativo que "los altos cargos de Naciones Unidas hab¨ªan recibido instrucciones de no usar WhatsApp No est¨¢ aprobado como un mecanismo seguro". Y a?adi¨®: "As¨ª que no, no creo que el secretario general lo use".

Naciones Unidas no es la ¨²nica gran organizaci¨®n que batalla para asegurar las comunicaciones de sus altos cargos. La polic¨ªa espa?ola tiene desde 2017 una alternativa a WhatsApp llamada Imbox para usar, especialmente, durante operaciones. Su uso real es sin embargo residual, salvo en mensajes muy oficiales. Uno de los grandes bancos espa?oles ha pedido a sus altos cargos que eviten WhatsApp para sus comunicaciones delicadas.

?Cu¨¢l es el problema con WhatsApp? Sobre todo, su popularidad

?Cu¨¢l es el problema con WhatsApp? Sobre todo, su popularidad. Los creadores de vulnerabilidades buscan c¨®mo atacar la herramienta m¨¢s empleada para dar mejor servicio a sus clientes: "Siempre que una compa?¨ªa vende tecnolog¨ªas para hackear buscar¨¢ dedicar sus esfuerzos a las plataformas m¨¢s populares", dice John Scott Railston, investigador de Citizen Lab, adscrito a la Munk School de la Universidad de Toronto. "Ninguna app de mensajer¨ªa es totalmente segura. Es importante entender que con una inversi¨®n suficiente todo es vulnerable", a?ade por tel¨¦fono a EL PA?S.

Un m¨¦todo sencillo de evitar que los l¨ªderes o agentes clave de una organizaci¨®n sean hackeados es sacar sus comunicaciones de la aplicaci¨®n en la que m¨¢s se invierte para buscar sus agujeros. Esto es algo m¨¢s f¨¢cil de decir que de hacer. La comodidad es uno de los grandes enemigos de la seguridad en los dispositivos m¨®viles. Si es la app m¨¢s usada es por algo, todo el mundo est¨¢ ah¨ª y tiene una interfaz sencilla e imbatible. ?C¨®mo escribi¨® Bezos a Mohamed bin Salman, el pr¨ªncipe heredero saud¨ª? Por WhatsApp. Es la app global por defecto, con m¨¢s de 1.500 millones de usuarios.

Este es el problema principal. Pero hay m¨¢s. WhatsApp es de Facebook. Nadie ha demostrado que la compa?¨ªa de Mark Zuckerberg recopile los mensajes cifrados para personalizar mejor sus anuncios. Pero la aplicaci¨®n antes de encriptar los mensajes para mandarlos a la red tiene que leer los inputs del teclado. Hace igual cuando lo saca del canal encriptado y lo imprime en pantalla. En esos instantes puede ocurrir de todo.

WhatsApp lo niega, seg¨²n su portavoz, Carl Woog: "Cada mensaje privado est¨¢ protegido por cifrado punto a punto para ayudar a prevenir que WhatsApp u otros vean los chats". "Ayudar a prevenir" es distinto de simplemente "prevenir". Sea como sea, hay organizaciones p¨²blicas que deben esforzarse para que sus mensajes importantes queden fuera de esa tentaci¨®n y en servidores de otro pa¨ªs.

Sea como sea, es seguro que Facebook ve el tipo de tr¨¢fico que circula: red de amistades, hora y modo de los mensajes, frecuencia de uso, localizaci¨®n. Hay informaci¨®n ¨²til ah¨ª. A WhatsApp adem¨¢s hay que pedirle expresamente que no conserve una copia de seguridad en la nube de los mensajes, aunque est¨¦n cifrados. Es otra posible vulnerabilidad.

Otras apps como Telegram, Signal, Wire, Threema a?aden variantes de seguridad que WhatsApp de momento no ofrece

El problema de WhatsApp no es por tanto su cifrado. Usa el mismo que Signal. Adem¨¢s reaccion¨® notablemente cuando se descubri¨® una vulnerabilidad, seg¨²n Citizen Lab: "WhatsApp admiti¨® el problema, dedic¨® una inversi¨®n importante. Incluso denunci¨® a la empresa [que hab¨ªa aprovechado la vulnerabilidad, NSO] en los tribunales", dice Scott Railston. NSO us¨® una vulnerabilidad de WhatsApp para entrar en 1.400 m¨®viles de personas de 20 pa¨ªses, seg¨²n Citizen Lab.

Pero una app es mucho m¨¢s que el cifrado. "Primero hay que evaluar la seguridad del protocolo de cifrado, el algoritmo que dice c¨®mo cifrar comunicaciones", dice Silvia Puglisi, ingeniera de sistemas de la red Tor. Pero luego est¨¢ la app en s¨ª: "Aqu¨ª es donde Signal y WhatsApp son diferentes. Todo el c¨®digo del servidor de Signal y la misma aplicaci¨®n son abiertos. De WhatsApp no sabemos mucho de c¨®mo funciona y a lo largo de la historia se han descubierto fallos de seguridad", a?ade.

Otras aplicaciones como Telegram, Signal, Wire o Threema a?aden variantes de seguridad que WhatsApp de momento no ofrece: borrado inmediato de mensajes, ocultaci¨®n del n¨²mero de tel¨¦fono, ninguna copia de seguridad como defecto. ?Son entonces una mejor soluci¨®n? En parte s¨ª, porque son menos populares. Pero en el fondo, no: todo es in¨²til si los atacantes logran entrar en el dispositivo. "Si el tel¨¦fono no es seguro, un atacante puede acceder a los datos de las aplicaciones sin tener que buscar una vulnerabilidad en la aplicaci¨®n", dice Puglisi.

?Una soluci¨®n adecuada?

Una opci¨®n razonable para las empresas "es separar por completo tu trabajo, con programas menos populares", como dice Sergio de los Santos, director de innovaci¨®n en Eleven Paths, unidad de ciberseguridad de Telef¨®nica. Pero hay un paso a¨²n m¨¢s profundo: "Compartimentar tus identidades", dice Enric Luj¨¢n, profesor de Ciencia Pol¨ªtica de la Universidad de Barcelona y miembro del grupo Cr¨ªptica. Es decir, usar n¨²meros de tel¨¦fono distintos para ocio y trabajo es importante: "Si tienes un adversario, no sabr¨¢ d¨®nde apuntar", a?ade Luj¨¢n.

Android permite tener varios usuarios en un mismo dispositivo. Compa?¨ªas como Twilio disponen de n¨²meros de tel¨¦fono virtuales que permiten crear cuentas de mensajer¨ªa distintas a la de la tarjeta SIM. Es un modo de no dar el n¨²mero personal, que es pr¨¢cticamente equiparable al DNI hoy. As¨ª, el alto cargo tiene su WhatsApp com¨²n para hablar con la familia, los amigos, los colegas del trabajo y un n¨²mero secundario para la comunicaci¨®n confidencial. Si es en un dispositivo distinto, a¨²n mejor. Hay empresas que tienen un protocolo donde el aparato secundario es un iPod Touch, que no tiene tarjeta SIM. As¨ª no hay tentaciones.

Todas estas precauciones est¨¢n pensadas para comunicaciones que conviene mantener confidenciales. "La primera pregunta importante es de qu¨¦ quieres protegerte", dice Luj¨¢n. Cualquier ciudadano no muy preocupado por su privacidad deber¨ªa estar al margen de estas finuras. Pero de momento la industria no deja tantas alternativas: "No se trata de que ciudadanos normales deban comportarse como si fueran altos funcionarios para proteger su seguridad", explica Scott Ralston. "Como sociedad necesitamos una manera de comunicarnos de manera segura. No hay una varita m¨¢gica para arreglarlo todo. Necesitamos respeto, una cultura de seguridad", a?ade.