La seguridad de WhatsApp, la aplicación de mensajería móvil propiedad de Facebook, quedó cuestionada en agosto por dos filtraciones de sus comunicaciones que provocaron la suspensión del director nacional de Aduanas, Juan José Gómez Centurión, y una denuncia penal contra el fiscal federal Guillermo Marijuan.

La privacidad de la plataforma de mensajería más popular de la Argentina está bajo sospecha luego de que estos dos personajes públicos compartieran mensajes a las que accedieron terceros, ajenos a esas comunicaciones.

El presidente Mauricio Macri desplazó al director de la Aduana, un amigo suyo y ex combatiente de la guerra por las islas Malvinas por una denuncia que le acercó la ministra de Seguridad, Patricia Bullrich. 

La acusación estaba basada en una grabación clandestina, que incluye tramos de mensajes de voz de Gómez Centurión en WhatsApp, que revelaría irregularidades en aquella dependencia. 

El director de Aduanas denunció ser víctima de una maniobra mafiosa. Carlos Barreiro Laborda, su mano derecha también denunciado por Bullrich, responsabilizó a agentes de inteligencia. 

La grabación que acercó Bullrich fue editada, porque incorporó incluso tramos de algunos mensajes del celular de Gómez Centurión a través de la “app”. 

Al ex funcionario aduanero espiado se le sumó Marijuan, quien fue grabado clandestinamente cuando hablaba por WhatsApp con un periodista sobre su decisión de pedir la indagatoria de la ex presidenta Cristina Fernández de Kirchner y prohibirle la salida del país por ocultar millonarios giros al exterior durante el conflicto con los fondos buitre. 

“Esto puede terminar con su detención”, arriesgó el fiscal federal, en referencia a la ex mandataria: 

Un par de días después de la revelación de sus dichos, el funcionario judicial fue denunciado penalmente por el diputado nacional kirchnerista Rodolfo Tailhade, por cometer los delitos de “abuso de autoridad” y “violación de los deberes de funcionario público”.

Popular pero ¿segura?El uso de WhatsApp está impulsado en la Argentina por la masificación del "smartphone", y porque resulta atractiva al combinar la omnipresencia que le da su popularidad, y la ubicuidad de la movilidad.

Según el informe “Usuario online 2016”, publicado por Carrier y Asociados, la “app” fue elegida como la red favorita por el 47% de los usuarios, superando a Facebook, ubicada en segundo lugar con un 39%. 

Tanto quienes eligen a WhatsApp como Facebook privilegian la capacidad de mantenerse en contacto con amigos y relaciones, como sucede con Gómez Centurión y Marijuan y millones de personas. 

Sin embargo, la plataforma tiene antecedentes en cuanto a episodios de "agujeros". En mayo de 2011 se le descubrió una vulnerabilidad crítica.

Este problema hacía que las sesiones de usuarios pudieran ser "secuestradas" y que el ciberatacante pudiera tener acceso a información.

Aunque la empresa publicó una actualización, los datos seguían transmitiéndose en texto plano, sin cifrado alguno. 

En 2012 el sitio web WhatsAppStatus.net permitía a cualquier usuario cambiar el estado de cualquier usuario de la “app”.

Ese  año el servicio dejó de usar texto plano para la transmisión de datos, pero el método de cifrado que se integró por parte del servicio de mensajería no era lo suficientemente seguro.

La situación mejoró a principios de abril pasado con la actualización y que permite contar con un cifrado seguro para los mensajes. 

La Electronic Frontier Foundation, que analiza siete parámetros clave de esos mecanismos, indicaba en noviembre de 2014 que la plataforma sólo cumplía dos de las siete grandes condiciones de un buen sistema de cifrado. 

Hoy cumple todos menos una: que el código es propietario y no está disponible para revisión pública.

Luego del último cambio, WhatsApp gestiona las claves de cifrado. En lugar de almacenarlas en un servidor centralizado y gestionado por personal de la empresa, el cifrado extremo a extremo funciona mediante el almacenamiento de esas claves en el dispositivo de cada usuario.

Al ser combinado con TextSecure, que utiliza un protocolo que emite una nueva clave por cada nuevo mensaje, se logra que esos mensajes no puedan ser interceptados por nadie. 

Ni siquiera el personal de la compañía de Facebook puede tener acceso a esas comunicaciones, salvo que alguien robara el dispositivo y la víctima lo tuviera desbloqueado, porque es en el teléfono donde se produce el mecanismo de descifrado de la información.

El sistema de cifrado, basado en el protocolo Signal diseñado por Open Whisper Systems, está diseñado para evitar que terceras partes y WhatsApp tengan acceso al texto plano de las llamadas o los mensajes. 

Incluso si las claves de cifrado de un dispositivo de usuario se ven comprometidas físicamente, no podrán ser usadas para volver atrás en el tiempo y descifrar mensajes transmitidos con anterioridad.

A principios de abril los usuarios de la aplicación observaron que aparecía en cada chat un aviso de que los mensajes que envían y reciban serían cifrados. 

 “Ni cibercriminales. Ni hackers. Ni regímenes opresivos. Ni siquiera nosotros”, dijo la empresa en su blog cuando hizo el anuncio.

Los fundadores de WhatsApp, utilizado por más de mil millones de personas en todo el mundo, describieron el deseo de proteger las comunicaciones privadas como una de sus “creencias básicas”. 

La conexión SSL, además, implica que los datos transmitidos sean descifrados por el receptor solamente cuando los recibe.

En abril la empresa afirmaba: “Cada día vemos historias de registros sensibles que son robados o a los que se accede en forma inapropiada. Si no se hace nada, más información y comunicación digital de las personas será vulnerable a ataques en los años venideros. Afortunadamente, el cifrado de punto a punto nos protege de estas vulnerabilidades”.

WhatsApp trabajó con una persona de renombre dedicado a la codificación y la criptografía, Moxie Marlinspike, para implementar este cambio. 

Marlinspike es el fundador de Open Whisper, un proyecto de software de código abierto que trabaja con servicios de mensajería para proveer cifrado.  También es jefe de seguridad en Twitter y autor del sistema de autenticación Convergence SSL.

Equipos y redes“De nada sirven el cifrado ni las aplicaciones seguras ni las claves seguras, ni la autenticación de doble factor ni medida alguna de seguridad si su dispositivo está infectado”, advirtió Juan Andrés Guerrero-Saade, senior security researcher de la empresa Kaspersky, porque a través de un virus  un espía “puede ver todo lo que hace” el usuario.

Para no sufrir una infección, conviene ser paranoico con los archivos que se reciben, debido a que el atacante del equipo requiere de la interacción del usuario para la ejecución del código malicioso.

En estos casos, puede recurrir a Google Docs si necesita abrir un archivo desconocido o revisar información de una fuente desconocida, o si tiene la más mínima duda de un archivo nuevo.

Si el atacante ve dificultado el acceso remoto a un equipo, puede regresar a los métodos originales del hampa y robarlo. 

Ante posibles hurtos o robos, conviene cifrar el teléfono, con herramientas como BitLocker o FileVault 2, en el caso del iPhone.

Las comunicaciones de Gómez Centurión y Marijuan a través de WhatsApp habrían sido espiadas con herramientas que permiten escuchar las llamadas, leer los mensajes de texto y, además, tener un conocimiento preciso de los movimientos de las víctimas y de su red de contactos, e incluso leer sus e-mails.

¿Cómo lo consiguen? Guerrero-Saade enumeró los siguientes medios:

* Malware móvil.

* Interceptación pasiva de líneas telefónicas.

* Interceptación de datos.

* Recolección de fuentes abiertas.

* Vulnerando las cuentas del dispositivo de quien recibe la comunicación.

Hay diferentes formas de proteger la integridad del móvil. Con antivirus, y teniendo cuidado con las aplicaciones de terceros, además de ser sigilosos con los permisos que exigen las aplicaciones.

No son convenientes técnicas como el “rooteo” y el “jailbreak”, que alteran las configuraciones de fábrica del teléfono.

En cuanto a las comunicaciones, el especialista de Kaspersky recomendó cifrar las llamadas de voz. Los usuarios “no son dueños de las líneas por las que se comunican”, recordó.

Para cifrar las llamadas punto a punto, se pueden utilizar estas aplicaciones: Silent Phone y Signal (RedPhone).

También hay aplicaciones alternativas a WhatsApp como Threema, Wickr, TextSecure y SilentText.