Problemas de seguridad de WhatsApp

Hace un tiempo instalé WhatsApp porque necesitaba comunicarme urgentemente con @simbilla y era el único sistema que tuve en aquella ocasión.

Al comienzo me pareció un sistema, simplemente, redundante.

Para mandar mensajes instantáneos ya estaba el correo electrónico. Para mandar mensajes cortos, ya estaba twitter (si, también tiene mensajes privados, chicos, no hace falta que hableis por menciones todo el rato), y para la mensajería instantánea ya estaba la mensajería instantánea (de acuerdo, tal vez esta frase también es algo redundante).

El caso es que ya existía GTalk, basado en XMPP, un estándar abierto; GMail, compatible con cualquier otra estafeta de correo electrónico, tal vez uno de los servicios más usados a lo ancho y largo de Internet, y ya teníamos Twitter, que tiene un API abierta y todo.

Y apareció WhatsApp. Y se convirtió en algo imprescindible para los usuarios de iOS.

Había una razón: la conveniencia.

WhatsApp hacía lo mismo que el resto de servicios también hacían (incluso menos), pero con una interfaz más bonita y refinada, y una filosofía de “el usuario no tiene que hacer nada más que hablar”. Y además con notificaciones push, con lo que los mensajes se recibían correctamente en tiempo real, aún cuando iOS no incluía la multitarea como feature.

Pronto se expandió al resto de público potencial: las BlackBerry de RIM, los Google Android, e incluso los Nokia N60. Era lógico: ¿por qué uno iba a poder hablar instantáneamente y sin pagar nada solo si el otro tenía otro iPhone? ¿Para eso no estaba ya Facetime, por ejemplo?

Aunque para estos usuarios no tenía tanta importancia: a día de hoy estas cuatro plataformas soportan Push Email Notifications, con lo que la notificación de un mensaje que llega a tu buzón también resulta instantánea en estos casos, sin recurrir a terceras partes.

Aún así, WhatsApp soporta algo que ningún otro mensajero con tanto público tiene: el emisor puede ver cuándo le ha llegado un mensaje al destinatario. Asi como cuándo cada persona se ha conectado por última vez.

— ¿Pero entonces como dices que funciona WhatsApp?

Muy sencillo.

Paso uno: introduces tu número de teléfono.

— ¿Por qué he de confiar mi número de teléfono a una tercera parte que no conozco?

Porque.. paso dos: ya está. Ahora escoges tu destinatario en WhatsApp y automágicamente aparecerán todos los contactos de los que tengas número de teléfono y que se hayan registrado alguna vez en la aplicación.

— ¿Y cómo es que aparecen ya todos mis contactos si ellos no me han aceptado?

De eso se trata. Si tienes su número de teléfono se supone que te lo han dado porque quieren que puedas contactar con ellos.

— ¿Pero y como aparecen ya?

Porque en realidad, entre el paso 1 y el paso 2, WhatsApp envía toda tu agenda (al menos todos los números de teléfono) a sus servidores, donde los procesan y devuelven una lista con aquellos que son usuarios de la aplicación, sus fotos de perfil y sus frases de estado. El otro no tiene siquiera porqué tenerte en tu agenda telefónica. (Tech: Además, la primera vez WhatsApp te envía un SMS gratuíto al móvil para comprobar que el número es tuyo).

— ¿Y no puedes no aparecerle a alguien?

No, desde que inicias sesión una vez no siquiera botón de cerrarla. Lo más parecido en Android es detener el servicio. O en cualquiera de las plataformas: desinstalar la aplicación.

Aun así seguirás apareciendo como usuario y la gente podrá mandarte mensajes aunque jamás los leas.

 

Bueno, pues yo soy de aquellos a los que les da igual que un tercero tenga los datos de mis contactos, la aplicación es genial.

Bueno, tus amigos tal vez no crean lo mismo, pero si quieres seguir adelante, tampoco es un camino de rosas.

Porque a pesar de que la aplicación se comunica por el puerto 443 (típicamente designado para servicios sobre SSL, una capa de seguridad a nivel de red), toda la comunicación que se realiza entre tu móvil y los servidores americanos de WhatsApp viaja en claro.

— ¿Qué quiere decir esto?

Pues que cada vez que mandas un mensaje a alguien, cualquiera en tu misma red wifi, en tu misma oficina, en tu casa, portal, red, o en cualquier nodo de todo Internet por el que pase tu información, pueden ver con pelos y señales quién le manda qué a quién y a qué hora y desde qué móvil.

 

Y además WhatsApp tiene como información tuya:

Los mensajes y posibles ficheros adjuntos que hayas podido mandar. Los contactos que te tienen añadido y a los que tú tienes añadido en la agenda de tu móvil (hables o no con ellos por WhatsApp).
Tu número de teléfono.

Y una política de privacidad que dice que pueden cambiarla cuando quieran en cualquier momento y sin avisar a sus usuarios. Osea, que de hoy para mañana pueden vender todos tus datos y no tienes tiempo ni a borrarlos.

Esto se basa en este post de SecurityByDefault en el que analizan únicamente estos últimos detalles sobre el (carente) cifrado de WhatsApp (aunque sí hacen toda la pesca de establecer el protocolo seguro, para después mandar las cosas en plano..).

Deja un comentario