El "caso Sánchez-Ábalos" pone en jaque a WhatsApp: ¿Son tus mensajes privados realmente seguros?

A lo largo de los últimos años la aplicación de mensajería instantánea WhatsApp se ha convertido en el primer método de comunicación para la gran mayoría de la población, actuando de “pegamento” intergeneracional y permitiendo una comunicación asíncrona y menos intrusiva que las llamadas telefónicas (para goce y disfrute de las generaciones más jóvenes).

En los últimos días, hemos asistido con sorpresa a la filtración de mensajes de WhatsApp entre el presidente del gobierno Pedro Sánchez y el exministro José Luis Ábalos. Si bien esta filtración parece proceder de fuentes policiales o judiciales y estos mensajes seguramente han sido extraídos directamente de un terminal bajo el marco de una investigación judicial no deja de ser un hecho que puede preocupar a gran parte de la ciudadanía y poner en tela de juicio la seguridad e integridad de este tipo de comunicaciones.

¿Cómo protege WhatsApp los mensajes?

WhatsApp implementa varios mecanismos para garantizar la seguridad en las comunicaciones:

Cifrado de extremo a extremo: pensemos en los mensajes como cartas dentro de una caja fuerte donde sólo la persona que la envía y la que la recibe tienen la llave. Ni WhatsApp ni ningún posible interceptor del mensaje pueden abrir la caja mientras viaja por la red.

Copia de seguridad cifrada: es bastante común sincronizar nuestra cuenta de WhatsApp con Google Drive para así poder tener siempre una opción de respaldo y restauración disponible y asegurarnos de mantener nuestras conversaciones en caso de cambio de terminal. Esta opción permite que, aunque tu cuenta en la nube sea hackeada, el archivo de copia de seguridad no pueda ser abierto por nadie.

Verificación en dos pasos: esta opción consiste en poner un control adicional a la cuenta. Además de recibir un SMS de verificación para acceder a ella, disponemos de un PIN que solo nosotros conocemos. Esta medida permite hacer frente a intentos de hackeo a través de técnicas de SIM swapping.

Control de dispositivos vinculados: disponemos de un listado con todos los dispositivos conectados a nuestra cuenta (por ejemplo a través de WhatsApp Web) y, en unos pocos clics podemos desvincular cualquier dispositivo extraño o que no conozcamos.

Actualizaciones al día: Meta actualiza con regularidad su aplicación para ir cubriendo aquellos errores o agujeros de seguridad encontrados. Mantener nuestra aplicación a la última versión ofrece una garantía extra de seguridad.

¿Y cómo podrían colarse los malos?

Existen diversas técnicas para poder acceder bien a la cuenta de WhatsApp, bien a los mensajes que ésta contiene. Las más comunes son:

SIM swapping (robo de número): en este tipo de ataque, el hacker convence a tu operadora de que es tú y le pide que migre tu número a otra tarjeta SIM para recibier el SMS de verificación y acceder a tu cuenta de WhatsApp. Como hemos explicado más arriba, la doble autenticación es la solución definitiva contra este tipo de intrusos.

Spyware tipo Pegasus o Paragon: estos programas maliciosos aprovechan vulnerabilidades para instalarse en tu teléfono sin que te enteres. En 2019 WhatsApp demandó a NSO Group por Pegasus, y sólo en los últimos meses detectó intentos de Paragon contra unas noventa cuentas. Si bien no hay una manera 100% segura de estar protegido contra estas intrusiones debemos tener en cuenta dos cosas: sólo unas pocas personas públicas pueden ser interesantes para aquellos operadores que disponen de estas herramientas y que una política de actualización constante (tanto de las aplicaciones como del propio sistema operativo del teléfono) deberían mitigar lo máximo posible la probabilidad de este tipo de intrusiones.

Descuidos con copias de seguridad: si no tenemos activado el cifrado en la nube, cualquiera que consiga acceso a tu Google Drive o iCloud leerá todos tus mensajes como si fueran un libro abierto. Una vez más, un simple gesto que no lleva más de dos segundos (activar el cifrado) puede evitarnos futuros problemas.

Phishing y engaños de ingeniería social: recibimos un mensaje con un enlace o un archivo que parece inocente, de alguien que conocemos (o que suplanta a un conocido) pero, finalmente, instala malware o roba credenciales.

Fallo en dispositivos vinculados: una vez más, los descuidos, puede ser fatales. Dejar una sesión abierta en un ordenador público o compartido en el que hemos accedido con nuestra cuenta de WhatsApp puede proporcionarnos serios disgustos.

En resumen: WhatsApp cuenta con un sólido cifrado de extremo a extremo y varias capas de seguridad que deberían hacernos sentir seguros. Aún así, ni la mejor tecnología puede sustituir al sentido común y no debemos olvidar que el principal agujero de seguridad de la mayoría de sistemas suele estar sentado entre la silla y el monitor así combinar las garantías internas de la app con hábitos seguros (PIN de doble autenticación, copias cifradas, chequeo periódico de dispositivos conectados y una mirada crítica ante los enlaces recibidos) ayudan a reducir a su mínima expresión el riesgo de que alguien pueda interceptar y espiar tus conversaciones.