• 5/11/2024

¿Mito o realidad en WhatsApp?: así funciona su cifrado de extremo a extremo

¿Tus chats de WhatsApp son realmente privados? Aquí encontrarás todo lo que necesitás saber sobre la seguridad de tus comunicaciones
12/02/2024 - 14:10hs
¿Mito o realidad en WhatsApp?: así funciona su cifrado de extremo a extremo

WhatsApp es la aplicación de chat más utilizada en el mundo, superando cómodamente a rivales como Messenger, Signal y Telegram. Dada la cantidad de datos confidenciales que tendemos a compartir en las conversaciones en línea, ¿es segura la aplicación?

Además, ¿deberías preocuparte por posibles ataques o fugas de datos, incluso con el cifrado que WhatsApp dice ofrecer? Para responder esas preguntas, repasemos más de cerca a las medidas de seguridad de WhatsApp, incluido el cifrado de extremo a extremo.

También analizaremos algunas funciones adicionales que podés aprovechar para mantener tus chats a salvo de miradas indiscretas. WhatsApp es seguro y mejor que enviar mensajes de texto, ya que todos los chats se cifran automáticamente. Esto significa que nadie puede leer ni escuchar sus mensajes, incluidos WhatsApp y su empresa matriz Meta.

¿Qué es el cifrado de extremo a extremo?

La mensajería instantánea existe desde los albores de Internet, pero las primeras implementaciones estaban lejos de ser seguras. Por un lado, muchos de ellas intercambiaron mensajes a través de Internet en texto plano.

Esto significaba que cualquier persona con acceso a los servidores de la empresa podía leer tus mensajes, al igual que cualquier intermediario o actor malicioso. Y aunque muchos servicios implementaron el cifrado en tránsito a finales de la década de 2000, las empresas que operaban aplicaciones de chat tenían en general las claves para descifrar las comunicaciones de los usuarios.

En pocas palabras, tus chats nunca fueron privados por completo. Sin embargo, más recientemente, muchas plataformas adoptaron el cifrado de extremo a extremo (E2EE, sigla en inglés) para mejorar la confidencialidad de los mensajes y la privacidad del usuario.

Tus chats de WhatsApp permanecen cifrados y confidenciales en todo momento.
Tus chats de WhatsApp permanecen cifrados y confidenciales en todo momento.

En un canal de comunicación cifrado de extremo a extremo, sólo el remitente y el receptor tienen las claves necesarias para descifrar los mensajes de cada uno. Nadie más (ni siquiera la plataforma, su proveedor de servicios de Internet o incluso un pirata informático con acceso a los datos cifrados) puede leer tus mensajes.

WhatsApp utiliza cifrado de extremo a extremo para todos los mensajes y llamadas de forma predeterminada. Desde 2014, el sistema de cifrado de extremo a extremo de WhatsApp se basa en el protocolo Signal de código abierto de Open Whisper Systems.

Quizás conozcas a la empresa como desarrolladora de la aplicación de chat Signal, un competidor de WhatsApp que se enorgullece de anteponer la seguridad y la privacidad.

Según la documentación de WhatsApp, prácticamente todas tus comunicaciones en la plataforma están protegidas con cifrado de extremo a extremo. Esto incluye mensajes, medios, notas de voz, llamadas e incluso actualizaciones de estado.

¿Qué es el cifrado de comunicaciones?

El protocolo de cifrado Signal utilizado por WhatsApp combina múltiples técnicas criptográficas, empezando por el cifrado de clave pública. En pocas palabras, implica que cada usuario posea un par de claves generadas aleatoriamente: una que permanece privada y otra que se distribuye públicamente.

La idea aquí es que un remitente utilice la clave pública del destinatario para cifrar los mensajes. Por otro lado, el destinatario utiliza su clave privada para descifrarlo. Dado que tu dispositivo genera la clave privada, WhatsApp nunca tiene acceso a ella.

WhatsApp implementó la capacidad de cifrar las copias de seguridad del chat con una contraseña o clave de cifrado.
WhatsApp implementó la capacidad de cifrar las copias de seguridad del chat con una contraseña o clave de cifrado.

Esta sencilla técnica criptográfica se ha utilizado durante décadas, con versiones modificadas que protegen todo, desde correos electrónicos hasta carteras de criptomonedas. El protocolo Signal utilizado por WhatsApp se considera universalmente como el estándar de oro para la mensajería cifrada.

Sin embargo, el cifrado de clave pública estándar no es lo suficientemente seguro por sí solo. Sufre de un único punto de falla. Si tu clave privada alguna vez se ve comprometida, un atacante podría descifrar tus chats pasados, presentes y futuros sin ningún control.

Para remediar esto, los desarrolladores detrás del protocolo de Signal idearon una técnica novedosa llamada cifrado de doble trinquete. En lugar de utilizar un conjunto estático de claves para cada usuario, el protocolo utiliza una combinación de claves permanentes y temporales.

Este último cambia cada vez que enviás un mensaje nuevo. Esto significa que si un atacante teórico obtuviera acceso a una clave en particular, no podría descifrar más que unos pocos mensajes.

Renovar constantemente las claves parece una solución exagerada, pero también es lo suficientemente simple como para que nuestros teléfonos móviles "inteligentes" puedan manejarlo sin esfuerzo.

Por supuesto, hay mucho más sobre el sistema de cifrado de WhatsApp, que podés encontrar en el documento técnico de la compañía sobre el tema. Sin embargo, el quid de la cuestión es que el cifrado es lo suficientemente sólido y robusto como para protegerte de escuchas y ataques básicos similares.

WhatsApp no almacena tus chats, medios y otros datos privados.
WhatsApp no almacena tus chats, medios y otros datos privados.

¿WhatsApp está a salvo de los piratas informáticos?

WhatsApp te permite verificar que tus chats y llamadas individuales estén cifrados de extremo a extremo. Simplemente abrí un chat dentro de la aplicación, tocá el nombre del contacto y, finalmente, la etiqueta Cifrado.

Se te presentará un código QR y un número de 60 dígitos. Ahora, seguí los mismos pasos en el teléfono móvil del destinatario y compará los valores. Siempre que el número coincida en ambos dispositivos, tu chat estará correctamente cifrado de extremo a extremo.

WhatsApp llama a esto un código de seguridad, pero es simplemente una forma más sencilla de representar la clave pública de la que hablamos antes. Completar este paso también ayuda a garantizar que tu comunicación llegue a la persona adecuada y no a un impostor malicioso que se hace pasar por tu contacto.

También responsabiliza a WhatsApp: si las claves no coinciden, pondría a la empresa bajo un tremendo escrutinio. La función de verificación clave de WhatsApp garantiza que su chat no sea secuestrado ni interceptado en el camino hacia vos.

Dicho esto, WhatsApp no es perfecto: registra una buena cantidad de información sobre vos fuera de la interfaz de chat. Los datos recopilados incluyen tu lista de contactos, ubicación, identificadores de dispositivos e historial de transacciones, entre otros.

Sin embargo, Signal es la única alternativa que afirma recopilar menos datos y enfatiza la seguridad con auditorías de seguridad independientes. Otras aplicaciones de chat populares como Messenger y Telegram ni siquiera ofrecen cifrado de extremo a extremo de forma predeterminada.

El sistema de cifrado de extremo a extremo de WhatsApp se basa en el protocolo Signal.
El sistema de cifrado de extremo a extremo de WhatsApp se basa en el protocolo Signal.

Por esta razón, los investigadores de seguridad recomiendan WhatsApp sobre la mayoría de la competencia. La Electronic Frontier Foundation critica abiertamente las prácticas de intercambio de datos de la aplicación.

Sin embargo, sostiene que "WhatsApp todavía utiliza un cifrado sólido de extremo a extremo y no hay razón para dudar de la seguridad del contenido de sus mensajes en WhatsApp".

El cofundador de Signal y renombrado criptógrafo Moxie Marlinspike también respondió por la aplicación. En una publicación en 2017 , dijo: "Nosotros (Signal) creemos que WhatsApp sigue siendo una excelente opción para los usuarios preocupados por la privacidad del contenido de sus mensajes".

¿Cómo recopila y utiliza WhatsApp mis datos?

A estas alturas, está claro que WhatsApp no almacena tus chats, medios y otros datos privados. Pero, ¿qué más sabe la aplicación sobre vos y cómo almacena estos datos? Revisamos la política de privacidad de WhatsApp y aquí están los aspectos más destacados en forma simplificada:

  • Vos proporcionás tu número de teléfono móvil y datos básicos, como nombre, estado y foto de perfil, cuando te registrás para obtener una cuenta de WhatsApp.
  • Si aceptás el permiso de ubicación y utilizás una función como Live Location, WhatsApp puede potencialmente ver y recopilar datos de geolocalización. También puede deducir tu ubicación aproximada en función de tu conexión a Internet y el código de región de tu número de teléfono móvil.
  • Si utilizás WhatsApp Payments, la plataforma puede ver datos de la transacción como el destinatario, los detalles de envío y el monto.
  • La plataforma no recopila ni almacena tu lista de contactos. Sin embargo, mantiene un registro una vez que detecta que un contacto ya tiene una cuenta de WhatsApp.
  • WhatsApp recopila detalles sobre la actividad de uso, como la última vez que se vio, la actividad en línea, el modelo del dispositivo, la intensidad de la señal y la zona horaria.

La mayor parte de esta información parece inofensiva en la superficie. Sin embargo, WhatsApp es sólo una de muchas plataformas. Por lo tanto, incluso los datos básicos pueden ser de gran ayuda para identificarte como individuo cuando se combinan con tus perfiles de Facebook e Instagram.

WhatsApp es seguro y mejor que enviar mensajes de texto, ya que todos los chats se cifran automáticamente.
WhatsApp es seguro y mejor que enviar mensajes de texto, ya que todos los chats se cifran automáticamente.

Por ejemplo, Meta puede usar números de teléfono móvil para recomendar nuevos amigos en Facebook basándose en conversaciones frecuentes de WhatsApp. No puede ver el contenido de tus mensajes, pero aún sabe que se produjo alguna comunicación.

Cómo mantener tu cuenta de WhatsApp a salvo de los piratas informáticos

Tus chats de WhatsApp permanecen cifrados y confidenciales en todo momento. Sin embargo, todavía existen algunos problemas de seguridad potenciales que debés tener en cuenta.

Si bien tus chats nunca serán interceptados en su camino hacia vos, quedan bastante expuestos una vez que llegan a su destino. En otras palabras, tu teléfono móvil y el dispositivo de cualquier destinatario son objetivos mucho más fáciles para posibles ataques.

Si perdés tu celular, por ejemplo, un atacante con acceso físico podría copiar tu base de datos de mensajes de WhatsApp del dispositivo. Afortunadamente, WhatsApp cifra este archivo y recuperar la clave requiere acceso de raíz en Android. Si no sabés qué es eso, probablemente no tengas nada de qué preocuparte.

Dicho esto, aún podrían acceder a archivos multimedia como imágenes y videos. Todo esto se puede solucionar fácilmente con un simple bloqueo de pantalla en tu teléfono móvil inteligente.

Tu teléfono y tu cuenta de almacenamiento en la nube son objetivos más fáciles para la mayoría de los atacantes, así que protegé bien tus copias de seguridad. Otro posible vector de ataque muy publicitado implica las copias de seguridad en la nube en Google Drive e iCloud.

De forma predeterminada, WhatsApp realizará una copia de seguridad de tus chats en estos servicios sin ningún tipo de cifrado. Esto significa que si un atacante de alguna manera obtiene acceso a tu cuenta de almacenamiento en servidores de acceso remoto (computación en la nube, en la jerga informática), en teoría también podría obtener sus datos de WhatsApp.

Afortunadamente, WhatsApp ya implementó la capacidad de cifrar las copias de seguridad del chat con una contraseña o clave de cifrado. Esta última es una clave de 64 dígitos generada aleatoriamente.

Podés almacenarlo en un administrador de contraseñas para máxima seguridad. Esta es una función opcional, así que aseguráte de habilitarla en Configuración o Ajustes> Chats > Copia de seguridad del chat dentro de la aplicación WhatsApp en Android.

En cuanto al tema de las funciones de seguridad opcionales de WhatsApp, considerá activar también la autenticación de dos factores. Podés encontrarlo en Configuración o Ajustes de WhatsApp > Cuenta > Verificación en dos pasos.

Esto requerirá que ingreses un PIN al registrar tu cuenta en un teléfono móvil nuevo. No evitarás la filtración de datos, pero podrías evitar intentos de inicio de sesión fraudulentos por parte de actores malintencionados.

Temas relacionados