iProfesional

¿Tus chats de WhatsApp son realmente privados?: aquí está todo lo que necesitás saber

WhatsApp te permite verificar que tus chats y llamadas individuales estén encriptados de extremo a extremo. con cualquier receptor
10/05/2022 - 11:21hs
¿Tus chats de WhatsApp son realmente privados?: aquí está todo lo que necesitás saber

WhatsApp es la aplicación de chat más utilizada en el mundo y supera con facilidad a rivales como Messenger, Signal y Telegram. Dada la cantidad de datos confidenciales que solemos compartir en las conversaciones en línea, ¿es segura la aplicación?

Además, ¿deberías estar preocupado por posibles ataques o fugas de datos, incluso con el cifrado que WhatsApp afirma ofrecer? En esta respondemos esas preguntas con un análisis más de cerca de las medidas de seguridad de WhatsApp, incluido el cifrado de extremo a extremo.

También analizamos algunas características adicionales que podés aprovechar para mantener tus chats a salvo de miradas indiscretas.

WhatsApp es la aplicación de mensajería instantánea más popular del orbe.
WhatsApp es la aplicación de mensajería instantánea más popular del orbe.

Seguridad de WhatsApp: ¿qué es el cifrado de extremo a extremo?

La mensajería instantánea existe desde hace muchos años en Internet, pero las primeras implementaciones estaban lejos de ser seguras. Por un lado, se intercambiaron mensajes entre usuarios en texto sin formato.

Esto significaba que cualquier persona con acceso a los servidores de la empresa podía leer tus mensajes, incluidos los intermediarios o actores maliciosos.

Y aunque muchos servicios implementaron el cifrado a fines de la década de 2000, las empresas tenían en general las claves para descifrar las comunicaciones de los usuarios.

Sin embargo, más recientemente, muchas plataformas adoptaron el cifrado de extremo a extremo (E2EE) para mejorar la confidencialidad de los mensajes y la privacidad del usuario.

En un canal de comunicación cifrado de extremo a extremo, solo el remitente y el receptor tienen las claves necesarias para descifrar los mensajes del otro.

Nadie más, incluida la plataforma, su proveedor de servicios de Internet (ISP, sigla en inglés) o incluso un pirata informático con acceso a los datos cifrados, puede leer tus mensajes.

WhatsApp implementó la capacidad de cifrar las copias de seguridad de chat con una contraseña o clave de cifrado.
WhatsApp implementó la capacidad de cifrar las copias de seguridad de chat con contraseña o clave de cifrado.

El rol de Signal en la seguridad de WhatsApp

WhatsApp utiliza cifrado de extremo a extremo para todos los mensajes y llamadas de forma predeterminada. Desde 2014, el sistema de cifrado de extremo a extremo de WhatsApp se basa en el protocolo Signal de código abierto de Open Whisper Systems.

Es posible que conozcas a la empresa como los desarrolladores de la aplicación de chat Signal, un competidor de WhatsApp que se enorgullece de anteponer la seguridad y la privacidad.

Según la documentación de WhatsApp, todas tus comunicaciones en la plataforma están protegidas con encriptación de extremo a extremo. Esto incluye mensajes, medios, notas de voz, llamadas e incluso actualizaciones de estado.

El contenido de tus chats de WhatsApp se mantiene confidencial.
El contenido de tus chats de WhatsApp se mantiene confidencial.

¿Cómo funciona el cifrado de WhatsApp?

El protocolo de encriptación Signal utilizado por WhatsApp combina múltiples técnicas criptográficas, comenzando con la encriptación de clave pública.

En pocas palabras, implica que cada usuario posee un par de claves generadas en forma aleatoria, una que permanece privada y otra que se distribuye en público.

La idea aquí es que un remitente use la clave pública del destinatario para cifrar los mensajes. Por otro lado, el destinatario usa su clave privada para descifrarlo. Dado que tu dispositivo genera la clave privada, WhatsApp nunca tiene acceso a ella.

Esta técnica criptográfica simple se ha utilizado durante décadas, con versiones modificadas que aseguran todo, desde correos electrónicos hasta billeteras de criptomonedas .

El protocolo Signal utilizado por WhatsApp se considera en forma universal como el estándar de oro para la mensajería cifrada.

Si bien tus chats nunca serán interceptados en su camino hacia vos, están bastante expuestos una vez que llegan a su destino.
Si bien tus chats nunca serán interceptados en su camino hacia vos, están expuestos una vez que llegan a su destino.

La encriptación de doble trinquete

Sin embargo, el cifrado de clave pública estándar no es lo suficientemente seguro por sí solo. Sufre de un único punto de falla. Si tu clave privada alguna vez se ve comprometida, un atacante podría descifrar tus chats pasados, presentes y futuros sin control alguno.

Para remediar esto, los desarrolladores detrás del protocolo de Signal idearon una técnica novedosa llamada encriptación de doble trinquete. 

En lugar de utilizar un conjunto estático de claves para cada usuario, el protocolo utiliza una combinación de claves permanentes y temporales. Este último cambia cada vez que enviás un nuevo mensaje.

Esto significa que si un atacante teórico obtuviera acceso a una clave en particular, no podría descifrar más que unos pocos mensajes.

Renovar en forma constante las claves parece una solución exagerada, pero también es lo suficientemente simple como para que nuestros teléfonos inteligentes puedan manejarlo sin esfuerzo.

Por supuesto, hay mucho más en el sistema de encriptación de WhatsApp, que podés encontrar en el documento técnico de la compañía sobre el tema.

Sin embargo, el quid de la cuestión es que el cifrado es sólido y lo suficientemente robusto como para protegerte de las escuchas y ataques básicos similares.

Tu teléfono y el dispositivo de cualquier destinatario son objetivos mucho más fáciles para posibles ataques.
Tu teléfono y el dispositivo de cualquier destinatario son objetivos mucho más fáciles para posibles ataques.

Chat privado encriptado de WhatsApp

WhatsApp te permite verificar que tus chats y llamadas individuales estén encriptados de extremo a extremo. Para ello, abrí un chat dentro de la aplicación, tocá el nombre del contacto y, finalmente, la etiqueta "Cifrado".

Te encontrarás con un código QR y un número de 60 dígitos. Ahora, seguí los mismos pasos en el teléfono del destinatario y compará los valores. Siempre que el número coincida en ambos dispositivos, su chat está encriptado en forma correcta de extremo a extremo.

WhatsApp llama a esto un "código de seguridad", pero es solo una forma más fácil de representar la clave pública mencionada arriba. Completar este paso también ayuda a garantizar que tu comunicación llegue a la persona adecuada y no a un impostor malicioso que pretende ser tu contacto.

También mantiene a WhatsApp responsable: si las claves no coinciden, colocaría a la empresa bajo un tremendo escrutinio. La función de verificación de la clave de WhatsApp te permite asegurarte de que tu chat no haya sido secuestrado o interceptado por un tercero malicioso.

Si perdés tu teléfono un atacante con acceso físico podría copiar tu base de datos de mensajes de WhatsApp del dispositivo.
Si perdés tu teléfono un atacante con acceso físico podría copiar tu base de datos de mensajes de WhatsApp del dispositivo.

Esto es lo que WhatsApp sabe de vos

Pese a estos servicios de encriptación, WhatsApp registra una buena cantidad de información sobre vos fuera de la interfaz de chat. Los datos recopilados incluyen tu lista de contactos, ubicación, identificadores de dispositivos e historial de transacciones, entre otros.

Signal es la única alternativa que afirma recopilar menos datos y enfatiza la seguridad con auditorías de seguridad independientes. Otras aplicaciones de chat populares como Messenger y Telegram ni siquiera ofrecen cifrado de extremo a extremo de forma predeterminada.

¿WhatsApp es realmente seguro?

Ya está claro que el contenido de tus chats de WhatsApp se mantiene confidencial. Sin embargo, todavía existen algunos peligros potenciales de seguridad que debés tener en cuenta.

Si bien tus chats nunca serán interceptados en su camino hacia vos, están bastante expuestos una vez que llegan a su destino. En otras palabras, tu teléfono y el dispositivo de cualquier destinatario son objetivos mucho más fáciles para posibles ataques.

Si perdés tu teléfono inteligente, por ejemplo, un atacante con acceso físico podría copiar tu base de datos de mensajes de WhatsApp del dispositivo. WhatsApp encripta este archivo y la recuperación de la clave requiere acceso de raíz en Android.

Si no sabés qué es eso, es probable que no tengas nada de qué preocuparte. Dicho esto, aún podrían acceder a archivos multimedia como imágenes y videos. Todo esto se puede remediar fácilmente con un simple bloqueo de pantalla en tu teléfono inteligente.

Messenger y Telegram ni siquiera ofrecen cifrado de extremo a extremo de forma predeterminada.
Messenger y Telegram ni siquiera ofrecen cifrado de extremo a extremo de forma predeterminada.

Cuidado con las copias de seguridad de WhatsApp

Tu teléfono y tu cuenta de almacenamiento en la nube son objetivos más fáciles para la mayoría de los atacantes, así que asegurá bien tus copias de seguridad.

Otro vector de ataque potencial muy publicitado implica copias de seguridad en la nube en Google Drive e iCloud. De forma predeterminada, WhatsApp realizará una copia de seguridad de tus chats en estos servicios sin ningún tipo de cifrado.

Esto significa que si un atacante de alguna manera obtiene acceso a tu cuenta de almacenamiento en la nube, teóricamente también podría obtener tus datos de WhatsApp.

WhatsApp implementó la capacidad de cifrar las copias de seguridad de chat con una contraseña o clave de cifrado. Esta última es una clave de 64 dígitos generada en forma aleatoria.

Podés almacenarla en un administrador de contraseñas para máxima seguridad. Esta es una función opcional, así que aseguráte de habilitarla en Configuración > Chats > Copia de seguridad de chat dentro de la aplicación WhatsApp en Android.

WhatsApp te permite verificar que tus chats y llamadas individuales estén encriptados de extremo a extremo.
WhatsApp te permite verificar que tus chats y llamadas individuales estén encriptados de extremo a extremo.

Autenticación de dos factores en WhatsApp

En cuanto a las funciones de seguridad opcionales de WhatsApp, considerá activar también la autenticación de dos factores. Podés encontrarla en Configuración de WhatsApp > Cuenta > Verificación en dos pasos.

Esto requerirá que ingresés un PIN cuando registrés tu cuenta en un nuevo teléfono. No evitará fugas de datos, pero podría evitar intentos de inicio de sesión fraudulentos por parte de actores malintencionados.

Temas relacionados