“Lo siento amigos, pero mientras que los expertos dicen que la encriptación funciona en WhatsApp, parece que la versión más reciente de la app deja un rastro forense de todos tus chats, incluso después de que los hayas borrado, limpiado o archivado. De hecho, la única forma de deshacerse de ellos parece ser borrar la app completamente”.Seguir a @tecnoycienciaEC !function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0],p=/^http:/.test(d.location)?'http':'https';if(!d.getElementById(id)){js=d.createElement(s);js.id=id;js.src=p+'://platform.twitter.com/widgets.js';fjs.parentNode.insertBefore(js,fjs);}}(document, 'script', 'twitter-wjs');
Con este veredicto, el experto en seguridad digital del sistema iOS, Jonathan Zdziarski, desató una minitormenta alrededor de uno de los servicios de mensajería más populares del mundo, con más de 1.000 millones de usuarios activos mensualmente.
La preservación de la privacidad es uno de los aspectos clave para los servicios de mensajería. Hasta hace poco, WhatsApp se consideraba uno de los menos seguros. Pero en abril, la popular app introdujo un cambio, pocas semanas después de que el FBI le pidiera a Apple acceso a datos en el iPhone en un caso criminal.
“Nos enorgullece anunciar que hemos completado un desarrollo tecnológico que hace que WhatsApp se convierta en líder en la protección de tu comunicación privada: el cifrado extremo a extremo”, decía la compañía en una entrada de blog entonces.
“Ni WhatsApp ni terceros pueden leer o escuchar los mensajes y llamadas”, señalaba el servicio de mensajería.
A raíz de la investigación de Zdziarski, no ha faltado quien haya tildado a la encriptación de WhatsApp de mito o hasta de mentira.
Hasta ahora la compañía no ha respondido a las afirmaciones del experto. Así que, ¿hasta dónde es verdad una afirmación o la otra?
-Quedan en el aparato-
De acuerdo con Zdziarski, WhatsApp sí borra los mensajes, es decir, “no parece que esté tratando de preservar datos intencionalmente”.
Pero según con la investigación que llevó a cabo en los teléfonos iPhone -su especialidad- “el registro mismo no es purgado ni borrado de la base de datos, lo que deja un artefacto forense que puede ser recuperado y reconstruido a su forma original”.
En la práctica, lo que esto significa es que rastros del mensaje se quedan en el teléfono. “La comunicación efímera no es efímera en el disco”, dice el experto.
En consecuencia, “las autoridades pueden potencialmente emitir una orden exigiéndole a Apple que obtenga tus registros de chat, que pueden incluir mensajes borrados” pero respaldados en la nube. O incluso reconstruirlos a partir de información encontrada en el aparato. Y el problema no es exclusivo de WhatsApp.
“En teoría, la encriptación total, bien sea relativa a aplicaciones de mensajería u otro tipo de comunicación, es completamente segura y capaz de proteger la seguridad de quien la está usando”, le explica a BBC Mundo Lee Munson, investigador de seguridad del sitio Comparitech.com.
“En la práctica, sin embargo, el problema es que la encriptación total solo es una frase para describir complejas operaciones matemáticas muy difíciles de romper (…). Pero la posibilidad de lograrlo se incrementa con el tiempo”.
Y son los mensajes que residen en el teléfono o en la computadora los que representan el mayor riesgo, explica Richard Cassidy, evangelista de ciberseguridad de la firma Alert Logic.
“Sin entrar en la cuestión de que personas entren a tu teléfono o computadora por técnicas perversas, si borras conversaciones quedarán rastros que pueden ser recuperados con las herramientas correctas de búsqueda”, afirma.
De acuerdo con el especialista, la encriptación hará la tarea más difícil, aunque no imposible. Y desafortunadamente, las soluciones para los teléfono son comparativamente menos efectivas que para los computadores.
-¿Qué hacer?-
Ninguna solución parece ser perfecta. En principio, la solución de WhatsApp en materia de seguridad “es lo suficientemente buena para el consumidor típico”, afirma Munso.
“Quien se sienta preocupado debe asegurarse de que sus equipos sean lo suficientemente seguros. Eso significa contraseñas fuertes y evitar sistemas de autenticación que se basan en aspectos biométricos”.
Las recomendaciones específicas de Zdziarski incluyen:
1) Utiliza iTunes para establecer un a contraseña de respaldo larga y compleja.
2) Inhabilita los respaldos en la nube.
3) De vez en cuando borra la aplicación (WhatsApp) de tu teléfono y reinstálala, para limpiar así la base de datos. “Esta parece ser la única forma de borrar los registros y comenzar ese el principio”.
“Los individuos que usan este tipo de apps deben entender que cualquier encriptación puede romperse”, le dice a BBC Mundo Stephen Gates, jefe de investigación de inteligencia de la firma NSFOCUS. “No hay encriptación a prueba de balas, solo encriptación más fuerte”, agrega.