Por qué grandes organizaciones recomiendan no usar WhatsApp
La pregunta de un periodista en la rueda de prensa diaria a un portavoz del secretario general de Naciones Unidas fue poco común: “¿El secretario general se comunica con otros líderes del mundo por WhatsApp?” El día antes había estallado el presunto hackeo saudí al móvil de Jeff Bezos, fundador de Amazon. El portavoz respondió dubitativo que “los altos cargos de Naciones Unidas habían recibido instrucciones de no usar WhatsApp No está aprobado como un mecanismo seguro”. Y añadió: “Así que no, no creo que el secretario general lo use”.
Naciones Unidas no es la única gran organización que batalla para asegurar las comunicaciones de sus altos cargos. La policía española tiene desde 2017 una alternativa a WhatsApp llamada Imbox para usar, especialmente, durante operaciones. Su uso real es sin embargo residual, salvo en mensajes muy oficiales. Uno de los grandes bancos españoles ha pedido a sus altos cargos que eviten WhatsApp para sus comunicaciones delicadas.
¿Cuál es el problema con WhatsApp? Sobre todo, su popularidad. Los creadores de vulnerabilidades buscan cómo atacar la herramienta más empleada para dar mejor servicio a sus clientes: “Siempre que una compañía vende tecnologías para hackear buscará dedicar sus esfuerzos a las plataformas más populares”, dice John Scott Railston, investigador de Citizen Lab, adscrito a la Munk School de la Universidad de Toronto. “Ninguna app de mensajería es totalmente segura. Es importante entender que con una inversión suficiente todo es vulnerable”, añade por teléfono a EL PAÍS.
Un método sencillo de evitar que los líderes o agentes clave de una organización sean hackeados es sacar sus comunicaciones de la aplicación en la que más se invierte para buscar sus agujeros. Esto es algo más fácil de decir que de hacer. La comodidad es uno de los grandes enemigos de la seguridad en los dispositivos móviles. Si es la app más usada es por algo, todo el mundo está ahí y tiene una interfaz sencilla e imbatible. ¿Cómo escribió Bezos a Mohamed bin Salman, el príncipe heredero saudí? Por WhatsApp. Es la app global por defecto, con más de 1.500 millones de usuarios.
Este es el problema principal. Pero hay más. WhatsApp es de Facebook. Nadie ha demostrado que la compañía de Mark Zuckerberg recopile los mensajes cifrados para personalizar mejor sus anuncios. Pero la aplicación antes de encriptar los mensajes para mandarlos a la red tiene que leer los inputs del teclado. Hace igual cuando lo saca del canal encriptado y lo imprime en pantalla. En esos instantes puede ocurrir de todo.
WhatsApp lo niega, según su portavoz, Carl Woog: “Cada mensaje privado está protegido por cifrado punto a punto para ayudar a prevenir que WhatsApp u otros vean los chats“. “Ayudar a prevenir” es distinto de simplemente “prevenir”. Sea como sea, hay organizaciones públicas que deben esforzarse para que sus mensajes importantes queden fuera de esa tentación y en servidores de otro país.
Sea como sea, es seguro que Facebook ve el tipo de tráfico que circula: red de amistades, hora y modo de los mensajes, frecuencia de uso, localización. Hay información útil ahí. A WhatsApp además hay que pedirle expresamente que no conserve una copia de seguridad en la nube de los mensajes, aunque estén cifrados. Es otra posible vulnerabilidad.
El problema de WhatsApp no es por tanto su cifrado. Usa el mismo que Signal. Además reaccionó notablemente cuando se descubrió una vulnerabilidad, según Citizen Lab: “WhatsApp admitió el problema, dedicó una inversión importante. Incluso denunció a la empresa [que había aprovechado la vulnerabilidad, NSO] en los tribunales”, dice Scott Railston. NSO usó una vulnerabilidad de WhatsApp para entrar en 1.400 móviles de personas de 20 países, según Citizen Lab.
Pero una app es mucho más que el cifrado. “Primero hay que evaluar la seguridad del protocolo de cifrado, el algoritmo que dice cómo cifrar comunicaciones”, dice Silvia Puglisi, ingeniera de sistemas de la red Tor. Pero luego está la app en sí: “Aquí es donde Signal y WhatsApp son diferentes. Todo el código del servidor de Signal y la misma aplicación son abiertos. De WhatsApp no sabemos mucho de cómo funciona y a lo largo de la historia se han descubierto fallos de seguridad”, añade.
Otras aplicaciones como Telegram, Signal, Wire o Threema añaden variantes de seguridad que WhatsApp de momento no ofrece: borrado inmediato de mensajes, ocultación del número de teléfono, ninguna copia de seguridad como defecto. ¿Son entonces una mejor solución? En parte sí, porque son menos populares. Pero en el fondo, no: todo es inútil si los atacantes logran entrar en el dispositivo. “Si el teléfono no es seguro, un atacante puede acceder a los datos de las aplicaciones sin tener que buscar una vulnerabilidad en la aplicación”, dice Puglisi.
¿Una solución adecuada?
Una opción razonable para las empresas “es separar por completo tu trabajo, con programas menos populares”, como dice Sergio de los Santos, director de innovación en Eleven Paths, unidad de ciberseguridad de Telefónica. Pero hay un paso aún más profundo: “Compartimentar tus identidades”, dice Enric Luján, profesor de Ciencia Política de la Universidad de Barcelona y miembro del grupo Críptica. Es decir, usar números de teléfono distintos para ocio y trabajo es importante: “Si tienes un adversario, no sabrá dónde apuntar”, añade Luján.
Android permite tener varios usuarios en un mismo dispositivo. Compañías como Twilio disponen de números de teléfono virtuales que permiten crear cuentas de mensajería distintas a la de la tarjeta SIM. Es un modo de no dar el número personal, que es prácticamente equiparable al DNI hoy. Así, el alto cargo tiene su WhatsApp común para hablar con la familia, los amigos, los colegas del trabajo y un número secundario para la comunicación confidencial. Si es en un dispositivo distinto, aún mejor. Hay empresas que tienen un protocolo donde el aparato secundario es un iPod Touch, que no tiene tarjeta SIM. Así no hay tentaciones.
Todas estas precauciones están pensadas para comunicaciones que conviene mantener confidenciales. “La primera pregunta importante es de qué quieres protegerte”, dice Luján. Cualquier ciudadano no muy preocupado por su privacidad debería estar al margen de estas finuras. Pero de momento la industria no deja tantas alternativas: “No se trata de que ciudadanos normales deban comportarse como si fueran altos funcionarios para proteger su seguridad”, explica Scott Ralston. “Como sociedad necesitamos una manera de comunicarnos de manera segura. No hay una varita mágica para arreglarlo todo. Necesitamos respeto, una cultura de seguridad”, añade.