“Lo siento, amigos, pero mientras que los expertos dicen que la encriptación funciona en WhatsApp, parece que la versión más reciente de la app deja un rastro forense de todos tus chats, incluso después de que los hayas borrado, limpiado o archivado. Aun si le das a ‘Borrar todos los Chats’. De hecho, la única forma de deshacerse de ellos parece ser borrar la app completamente”.
Con este veredicto, el experto en seguridad digital del sistema iOS, Jonathan Zdziarski, desató una minitormenta alrededor de uno de los servicios de mensajería más populares del mundo, con más de 1000 millones de usuarios activos mensualmente.
“Por el 10% de esto los expertos en seguridad destrozarían a Telegram con miles de tuits diciendo NO LO USES NUNCA”, escribió en Twitter el director ejecutivo de la aplicación rival Telegram, Pavel Durov.
La preservación de la privacidad es uno de los aspectos clave para los servicios de mensajería. Hasta hace poco, WhatsApp se consideraba uno de los menos seguros. Pero en abril, la popular aplicación introdujo un cambio, pocas semanas después de que el FBI le pidiera a Apple acceso a datos en el iPhone en un caso criminal.
“Nos enorgullece anunciar que hemos completado un desarrollo tecnológico que hace que WhatsApp se convierta en líder en la protección de tu comunicación privada: el cifrado extremo a extremo”, decía la compañía en una entrada de blog entonces. “Ni WhatsApp ni terceros puede leer o escuchar los mensajes y llamadas”, señalaba el mensaje que comenzaron a recibir entonces los usuarios de la aplicación.
A raíz de la investigación de Zdziarski, no ha faltado quien haya tildado de la encriptación de WhatsApp de “mito” o hasta de “mentira”. Hasta ahora la compañía no ha respondido a las afirmaciones de Zdziarski. Así que, ¿hasta dónde es verdad una afirmación o la otra?
Los mensajes quedan en el aparato
De acuerdo con Zdziarski, WhatsApp sí borra los mensajes, es decir, “no parece que esté tratando de preservar datos intencionalmente”. Pero de acuerdo con la investigación que llevó a cabo en los teléfonos iPhone -su especialidad- “el registro mismo no es purgado ni borrado de la base de datos, lo que deja un artefacto forense que puede ser recuperado y reconstruido a su forma original”.
En la práctica, lo que esto significa es que rastros del mensaje se quedan en el teléfono. “La comunicación efímera no es efímera en el disco”, dice el experto.
En consecuencia, “las autoridades pueden potencialmente emitir una orden exigiéndole a Apple que obtenga tus registros de chat, que pueden incluir mensajes borrados” pero respaldados en la nube. O incluso reconstruirlos a partir de información encontrada en el aparato.
Y el problema no es exclusivo de WhatsApp.
“En teoría, la encriptación total, bien sea relativa a aplicaciones de mensajería u otro tipo de comunicación, es completamente segura y capaz de proteger la seguridad de quien la está usando”, le explica a BBC Mundo Lee Munson, investigador de seguridad del sitio Comparitech.com.
“En la práctica, sin embargo, el problema es que la encriptación total sólo es una frase para describir complejas operaciones matemáticas muy difíciles de romper (.). Pero la posibilidad de lograrlo se incrementa con el tiempo”.
Y son los mensajes que residen en el teléfono o en la computadora los que representan el mayor riesgo, explica Richard Cassidy, evangelista de ciberseguridad de la firma Alert Logic. “Sin entrar la cuestión de que personas que entren a tu teléfono o computadora por técnicas perversas, si borrás conversaciones quedarán rastros que pueden ser recuperados con las herramientas correctas de búsqueda”, afirma.
De acuerdo con el especialista, la encriptación hará la tarea más difícil, aunque no imposible. Y desafortunadamente, las soluciones para los smartphones son comparativamente menos efectivas que para las computadoras.
¿Qué hacer?
Ninguna solución parece ser perfecta. En principio, la solución de WhatsApp en materia de seguridad “es lo suficientemente buena para el consumidor típico”, afirma Munso.
“Quien se sienta preocupado debe asegurarse de que sus equipos sean lo suficientemente seguros. Eso significa usar contraseñas fuertes y evitar sistemas de autenticación que se basan en aspectos biométricos”.
Las recomendaciones específicas de Zdziarski incluyen:
Utilizá iTunes (en el caso del iPhone) para establecer una contraseña de respaldo larga y compleja.
Inhabilitá los respaldos en la nube.
De vez en cuando borrá la aplicación (WhatsApp) de tu teléfono y reinstalala, para limpiar la base de datos. “Esta parece ser la única forma de borrar los registros y comenzar ese el principio”.
Pero en todo caso, no te llames a engaño. “Los individuos que usan este tipo de aplicaciones deben entender que cualquier encriptación puede romperse”, le dice a BBC Mundo Stephen Gates, jefe de investigación de inteligencia de la firma NSFOCUS. “No hay encriptación a prueba de balas, solo ‘encriptación más fuerte'”.