El cifrado de WhatsApp aviva polémica sobre la seguridad

El anuncio de WhatsApp de robustecer el cifrado en sus comunicaciones y garantizar globalmente que ningún contenido será accesible a terceros ha avivado la polémica mundial sobre la seguridad tecnológica en las telecomunicaciones.

El popular servicio de mensajería instantánea en internet WhatsApp, propiedad de Facebook, con mil millones de usuarios en el mundo, ha ampliado a todos sus usuarios y servicios el cifrado "extremo a extremo" en sus comunicaciones, que hasta ahora funcionaba en chats individuales para mensajes de texto.

Esta tecnología, que garantiza automáticamente que solo el emisor y el receptor de la conversación puedan leer lo enviado y nadie más, ni siquiera WhatsApp, se aplica ahora en conversaciones grupales, llamadas y archivos compartidos. Cada cifrado es único.

Los mensajes llevan una especie de "candado" del que solo los sujetos involucrados en la comunicación tienen su código o llave para abrirlo, explica la empresa en un comunicado. Esto es posible gracias a un protocolo llamado Signal y diseñado por Open Whisper Systems, una comunidad de voluntarios que se dedica a desarrollar software de código abierto y gratuito. Para WhatsApp participaron 15 ingenieros.

¿Se puede desactivar? La respuesta es no. No es posible desactivar la opción de encriptado.

Ajustes

Para comprar que los chats son seguros, hay que acceder a Ajustes > Cuenta > Seguridad y Activar las notificaciones de seguridad. Una vez hecho esto, en la "información de contacto" se podrá ver la sección de "Cifrado". En esta aparece un candado que puede estar abierto y en color gris o bien en azul y cerrado. Si está de la segunda forma significa que el cifrado de extremo a extremo está funcionando de forma correcta.

Código QR

El código QR que da WhatsApp es, sencillamente, una segunda comprobación. No es necesario para activar el cifrado. En el código hay tres datos clave: la versión, el identificador de ambas partes y una clave pública completa.

El motivo

Este movimiento de WhatsApp era previsible dada la fuerte presión en el negocio ante la pujanza de plataformas similares de telecomunicaciones más seguras, como Telegram. En esta no se puede ver el número telefónico de otro usuario de un mismo grupo. En WhatsApp se comparte esta información y se puede contactarlo para chatear directamente con él.

La decisión de WhatsApp fue bien recibida por los profesionales de seguridad y organizaciones vinculadas a la protección de derechos.Amnistía Internacional, por ejemplo, calificó la medida como un "gran impulso" para la libertad de expresión. El cofundador de WhatsApp, Brian Acton, explicó a la revista Wired que, con mensajes encriptados, inclusive alguien podría ser un delator sin tener que preocuparse de que pueda conocerse su identidad.

El paso dado por WhatsApp era asimismo esperable después de que la plataforma hubiera manifestado su respaldo a Apple, como la mayoría de las grandes tecnológicas, en el reciente caso del móvil cifrado del autor del tiroteo de San Bernardino (Syed Farook), que el FBI quería desbloquear frente al rechazo de la empresa de la manzana a facilitar las claves de acceso bajo el argumento de la privacidad de los datos.

Más allá del conflicto privacidad-seguridad de este suceso, con efectos de dimensiones mundiales, y una vez demostrado que el FBI ha ganado el pulso a Apple tras desbloquear el móvil de la discordia sin su ayuda, el debate que parece surgir ahora es si las tecnológicas son garantes realmente de la seguridad de la que presumen.

El mensaje lanzado "al mundo entero" por el FBI es "la debilidad de los mecanismos de seguridad de la empresa de la manzana", precisa Enrique Fojón, subdirector de Thiber, en el informe de abril sobre ciberseguridad del Real Instituto Elcano, recién publicado.

El acceso del FBI al móvil cifrado de Syed Farook, que se habría producido supuestamente gracias a una empresa israelí, "no solo supone un duro revés para Apple, sino también un claro aviso al resto de las grandes tecnológicas", cuyos sistemas de seguridad podrían parecer en entredicho, según el experto.

En el mundo del software es conocido que existen empresas dedicadas a la compra-venta de las llamadas vulnerabilidades "Día Cero" o fallos en los sistemas, cuyos fabricantes desconocen y que permiten colarse en los mismos a terceros mientras los agujeros están abiertos.

La información sobre estas "puertas traseras" para el acceso a sistemas informáticos que dejarían así de ser supuestamente infranqueables suele comercializarse en ocasiones a precios astronómicos, explica a Efe el experto en ciberseguridad Chema Alonso, de Telefónica.

Para casos como el iPhone, suelen implicar desembolsos de un mínimo de un millón de dólares, aunque en esta ocasión "podría haberse pagado mucho más", si se confirmara que el FBI hubiera accedido al móvil del terrorista con este procedimiento.