A vueltas con la seguridad de WhatsApp, Telegram y cia

A vueltas con la seguridad de WhatsApp, Telegram y cia

Durante mucho tiempo WhatsApp no implementaba ningún tipo de cifrado en las comunicaciones, y cuando lo hizo, tampoco fue un portento de diseño. Yo mismo he identificado y publicado dos vulnerabilidades que permitían secuestrar cualquier número de teléfono en la red de WhatsApp.

Últimamente las aplicaciones de mensajería para móviles son uno de los temas más candentes en el mundo IT. La compra de WhatsApp por parte de Facebook o el lanzamiento de Telegram, han copado muchos sesudos análisis sobre este fenómeno.

Incluso cada vez más se empiezan a escuchar tímidos comentarios sobre temas relacionados con privacidad y seguridad en más medios no técnicos. En este punto me gustaría detenerme y tratar de explicar por qué este tipo de plataformas se han vendido mal al gran público dándoles a entender cosas que no son.

De entrada la gran falacia simplista que se ha repetido una y otra vez ha sido Whatsapp es el sustituto gratuito de los SMS. Negativo e incorrecto.

Empezando por las consideraciones más técnicas, uno y otro no tienen nada que ver. Los SMS van incluidos dentro del protocolo GSM y si bien este protocolo también adolece de problemas de seguridad, es mucho más robusto que Whatsapp y cualquier otro que funcione a través de Internet donde intervienen servidores con direcciones IP públicas y en ocasiones la comunicación se produce a través de conexiones Wifi. Principalmente porque los conocimientos y dispositivos que hacen falta para hackear GSM son bastante más sofisticados que los necesarios para hacer lo propio con Whatsapp y similares. En este punto aplica decir que durante mucho tiempo WhatsApp no implementaba ningún tipo de cifrado en las comunicaciones, y cuando lo hizo, tampoco fue un portento de diseño.

Yo mismo he identificado y publicado dos vulnerabilidades que permitían secuestrar cualquier número de teléfono en la red de WhatsApp. En un caso debido a un fallo en el registro (publicado en Security By Default) y en el segundo de los casos por un fallo dentro del protocolo (hecho público en el congreso Rootedcon)

Y eso no es todo, otros muchos investigadores han encontrado un montón de vulnerabilidades en WhatsApp y otros sistemas de mensajería.

Por ejemplo, un fallo relacionado con la privacidad permitió saber la cifra exacta de móviles españoles registrados en WhatsApp.

Si nos vamos a la parte meramente de privacidad, cuando se envía un SMS a través de un operador radicado en España usted puede tener la seguridad de que los encargados de tratar esa información se encuentran perfectamente regulados, deben cumplir normativas como la Ley Orgánica de Protección de Datos y la forma en la que almacenan y procesan los datos son públicos y auditados.

En el caso de compañías que operan lejos de España, toda esa seguridad jurídica se esfuma. En realidad no se puede saber con certeza qué pasa con esas fotos que se transmiten, los datos que se envían y la información compartida.

Entonces, ¿se debe desconfiar de la mensajería instantánea para móviles? No, claro que no, es indudable que han supuesto un avance muy considerable y han destruido el modelo de negocio abusivo de los SMS/MMS. Tal vez el objetivo sea encontrar una aplicación en la que seguridad y privacidad puedan dejarnos razonablemente tranquilos.

En este sentido y barriendo para casa, SpotBros es una aplicación española, con los servidores aquí. Y otra alternativa bastante bien considerada es Cryptocat, creada con la seguridad en mente y que aplica una capa de cifrado, en teoría, impenetrable.