jueves, 16 de mayo de 2019

Acusan a WhatsApp de tener puertas traseras para espiar


WhatsApp ha sufrido una semana para olvidar. Si el lunes supimos que la compañía comparte información de los enlaces que se pasan por la app con terceros, el día siguiente supimos de una gravísima vulnerabilidad que permitía a un hacker meter spyware en nuestro móvil con sólo una llamada y robar imágenes y mensajes. Y Pavel Durov, CEO y fundador de Telegram, se ha pronunciado sobre el caso y cómo WhatsApp trata la privacidad.

WhatsApp no ha sido segura nunca, según el CEO de Telegram


Durov ha publicado un mensaje en su blog alertando de que WhatsApp no es segura a propósito. Cuando subsanan una vulnerabilidad, aparece otra. El año pasado una vulnerabilidad parecida afectó a las videollamadas de WhatsApp, permitiendo a un hacker acceder a todos los datos. Ahora, de manera similar, y mediante desbordamiento de buffer, es posible acceder a todos los datos del móvil con sólo una llamada de audio. Y no hace falta ni descolgarla.

Aunque parezcan simples vulnerabilidades asociadas a despistes, Durov dice que esto son puertas traseras camufladas como vulnerabilidades. El principal problema radica en que WhatsApp, a diferencia de Telegram, es de código cerrado (y hacen todo lo posible por ocultarlo), y nadie puede analizar su código en busca de vulnerabilidades.

Operar en Estados Unidos no es fácil, y Telegram estuvo unas semanas operando en el país, donde el equipo de la app recibió tres intentos de infiltración por parte del FBI. Por ello, Durov afirma que WhatsApp comparte sus claves de cifrado con el FBI, o que directamente implementa esas puertas traseras para que ellos puedan acceder a los mensajes e información de sus objetivos.

Para apoyar esta idea, Durov afirma que Telegram está prohibido en Rusia e Irán, donde ambos gobiernos le pidieron las claves de cifrado para acceder a los mensajes de la plataforma. Al negarse, la app fue prohibida en el país. WhatsApp, por el contrario, y a pesar de ser estadounidense, sí opera en ambos países con normalidad.

La existencia de puertas traseras es algo que las agencias de espionaje hacen con fines antiterroristas o intereses geopolíticos, para espiar a determinadas personas que puedan suponer un peligro para el país. Es lícito que hagan eso, pero ese hecho abre la puerta a que hackers descubran esa vulnerabilidad.

WhatsApp ha tenido hasta esta semana tres vías para que las autoridades puedan acceder a tus mensajes


Durov llega incluso a afirmar que WhatsApp nunca ha sido seguro. En 2012, cuando empezó a trabajar en Telegram, WhatsApp enviaba los mensajes en texto plano, permitiendo que un gobierno, hackers, operadores o administradores de redes WiFi pudieran leer los mensajes.

A pesar de añadir cifrado posteriormente tras el lanzamiento de Telegram, Durov afirma que esto fue una maniobra de marketing, ya que la clave para descifrar los mensajes está en poder de gobiernos como el de Rusia.
Curiosamente, a pesar de tener el cifrado, WhatsApp empezó a insistir a los usuarios a que almacenaran copias de seguridad de sus mensajes en Google Drive, estando éstos en texto plano (y WhatsApp no lo alertaba). Con ello, el FBI puede obligar mediante orden judicial a Google a que les dé acceso a la cuenta de una persona y poder leer esos mensajes sin problemas. Y si tú no has subido los mensajes, pueden buscar la conversación que hayas tenido con otras personas y que sí estén subidas, ya que WhatsApp puede dar acceso a los metadatos y saber con quién se está hablando y cuándo has hablado con esa persona. A eso se le suman las vulnerabilidades para acceder a los mensajes.

Con esto, tenemos un historial bastante preocupante de WhatsApp, donde las autoridades pueden acceder a los mensajes por tres vías: teniendo la clave de cifrado, con los mensajes almacenados en Drive, o a través de puertas traseras camufladas como vulnerabilidades. WhatsApp nunca ha sido impenetrable al 100%, a diferencia de Telegram, que no ha tenido ni un solo problema de seguridad grave desde que arrancó hace 6 años y que haya puesto en peligro la privacidad de los usuarios, así como tampoco ha habido filtraciones de datos.

Tanto es así, que los fundadores de WhatsApp dejaron la compañía porque «la app estaba vendiendo la privacidad de los usuarios». Por tanto, Durov alienta, como es lógico, a que los usuarios utilicen su app en lugar de WhatsApp, o que al menos usen alternativas a WhatsApp por su propia seguridad. También deja una última puteada a WhatsApp diciéndoles que le copian todas las funciones que lanzan, y que Telegram no se gasta ni un martinelli en publicidad.