Por qué WhatsApp nunca será seguro

Por qué WhatsApp nunca será seguro

Pavel Durov (traducción al español por Sven)

El mundo parece estar en shock por la noticia que WhatsApp convirtió cualquier teléfono en spyware. Todo lo que tenías en tu teléfono, incluyendo fotos, emails y mensajes de texto era accesible por atacantes sólo porque tenías WhatsApp instalado [1]

Sin embargo, esta noticia no me sorprendió. El año pasado WhatsApp tuvo que admitir que tuvieron un problema muy similar - una sola-video llamada vía WhatsApp era todo lo que un hacker necesitó para obtener acceso a toda la información de tu teléfono [2]

Cada vez que WhatsApp tiene que reparar una vulnerabilidad crítica en su app, otra nueva parece surgir en su lugar. Todos sus problemas de seguridad son convenientemente oportunos para la vigilancia, y lucen y trabajan mucho como puertas traseras.

A diferencia de Telegram, WhatsApp no es de código abierto, por lo que no hay forma en que un investigador en seguridad pueda corroborar fácilmente si efectivamente hay puertas traseras en su código. No solo WhatsApp no publica su código, sino que hacen exactamente lo contrario: WhatsApp deliberadamente ofusca los archivos binarios de su app para asegurarse que nadie pueda estudiarlos a fondo.

Es posible que WhatsApp, y su compañía matriz Facebook, incluso sean requeridas a implementar puertas traseras - a través de procesos secretos como las órdenes mordaza del FBI [3]. No es fácil correr una app de comunicaciones segura desde los Estados Unidos. Una semana que nuestro equipo pasó en los Estados Unidos en 2016 nos consiguió 3 intentos de infiltración por el FBI [4][5]. Imagina lo que 10 años en ese ambiente puede traerle a una compañía con base en Estados Unidos.

Entiendo que las agencias de seguridad justifiquen plantar puertas traseras por esfuerzos anti-terroristas. El problema es que tales puertas traseras también pueden ser utilizadas por criminales y gobiernos autoritarios. No es de extrañar que los dictadores parecieran amar WhatsApp. Su falta de seguridad les permite espiar a su propia gente, por lo que WhatsApp continúa siendo abiertamente disponible en lugares como Rusia o Irán, donde Telegram está prohibido por las autoridades [6].

De hecho, yo comencé a trabajar en Telegram como una respuesta directa a la presión de las autoridades rusas. En ese entonces, en 2012, WhatsApp todavía estaba transfiriendo mensajes en texto plano en tránsito. Eso era una locura. No solo los gobiernos o hackers, pero también los proveedores de servicios móviles y administradores de redes WiFi tenían acceso a todos los mensajes de WhatsApp [7][8]

Luego, WhatsApp añadió algo de cifrado, que pronto resultó ser una táctica de marketing: La llave para descifrar mensajes estaba disponible para unos cuantos gobiernos, incluyendo el ruso [9]. Más tarde, a medida que Telegram comenzó a ganar popularidad, los fundadores de WhatsApp vendieron su compañía a Facebook y declararon que la "Privacidad estaba en su ADN" [10]. Si fuese cierto, debe haber estado en un gen latente o recesivo.

Hace 3 años WhatsApp anunció que implementaron cifrado de punto-a-punto por lo que "ningún tercero puede acceder a los mensajes". Eso coincidió con un impulso agresivo para que todos sus usuarios hagan un respaldo de sus chats en la nube. Al hacer este impulso, WhatsApp no le dijo a sus usuarios que al respaldar sus mensajes, los mismos ya no están protegidos por cifrado punto-a-punto y pueden ser accedidos por hackers y agencias gubernamentales. Marketing brillante, y algunas personas ingenuas sirviendo tiempo en la cárcel como resultado [11].

Aquellos lo suficientemente resilientes a no caer en los popups constantes diciéndoles que respalden sus chats, aún pueden ser rastreados por un buen número de trucos - desde acceder a los respaldos de sus contactos, hasta cambios invisibles de la llave de cifrado [12]. Los metadatos generados por los usuarios de WhatsApp - registros describiendo quién chatea con quién y cuándo - son filtrados a todo tipo de agencias en grandes volúmenes por la compañía matriz de WhatsApp [13]. Además de eso, tienes un mix de vulnerabilidades críticas sucediéndose una a otra.
WhatsApp tiene una historia consistente - de cero cifrado en sus inicios a una sucesión de problemas de seguridad extrañamente oportuna para fines de vigilancia. Viendo hacia atrás, no ha habido un solo día a lo largo la jornada de 10 años de WhatsApp en que éste servicio haya sido seguro. Por eso es que ya no creo que simplemente actualizar la app móvil de WhatsApp la hará segura. Para que WhatsApp se convierta en un servicio orientado a la privacidad, debe arriesgar perder mercados enteros y chocar con autoridades en su país de origen. No parecen estar listos para eso. [14].

El año pasado, los fundadores de WhatsApp dejaron la compañía debido a preocupaciones sobre la privacidad de los usuarios [15]. Ellos están definitivamente atados por órdenes mordaza o acuerdos de no divulgación, por lo que no pueden discutir sobre puertas traseras públicamente, sin arriesgar perder sus fortunas y libertad. Pudieron admitir, sin embargo, que “ellos vendieron la privacidad de sus usuarios” [16]

Puedo entender la reluctancia de los fundadores de WhatsApp a proveer más detalles – no es sencillo poner en riesgo tu comfort. Hace varios años yo tuve que abandonar mi país tras negarme a cumplir con filtraciones de la privacidad de los usuarios de VK sancionadas por el gobierno [17]. No fue agradable. Pero ¿haría algo así de nuevo? Con gusto. Cada uno de nosotros va a morir eventualmente, pero nosotros como especie seguiremos por aquí por un buen rato. Por eso es que creo que acumular dinero, fama o poder es irrelevante. Servir a la humanidad es la única cosa que realmente importa a largo plazo.

Y aun así, a pesar de nuestras intenciones, siento que defraudamos a la humanidad en toda esta historia del spyware de WhatsApp. Muchas personas no pueden dejar de usar WhatsApp, porque sus amigos y familiares todavía siguen allí. Eso significa que nosotros, en Telegram, hicimos un mal trabajo en persuadir a las personas a cambiarse. Aunque sí atrajimos a cientos de millones de usuarios en los últimos cinco años, esto no fue suficiente. La mayoría de los usuarios de internet aún son rehenes del imperio de Facebook/WhatsApp/Instagram. Muchos de aquellos que utilizan Telegram también están en WhatsApp, lo que significa que sus teléfonos siguen siendo vulnerables. Incluso aquellos que abandonaron WhatsApp completamente, probablemente están usando Facebook o Instagram, dos plataformas que creen que está bien almacenar tus contraseñas en texto plano [18][19] (todavía no puedo creer que una compañía tecnológica pueda hacer algo así y salirse con la suya).

En casi 6 años de su existencia, Telegram no tuvo ninguna filtración mayor de información o falla de seguridad del tipo que WhatsApp demuestra cada ciertos meses. En los mismos 6 años, hemos entregado exactamente cero bytes de información a terceros, mientras Facebook/WhatsApp han estado compartiendo prácticamente todo con todo aquel que haya afirmado trabajar para un gobierno [13].

Pocas personas fuera de la comunidad de fanáticos de Telegram se dan cuenta que la mayoría de las nuevas funcionalidades en mensajería instantánea aparecen primero en Telegram, y luego son copiadas idénticamente por WhatsApp hasta el más mínimo detalle. Más recientemente estamos siendo testigos del intento de Facebook de tomar prestada la filosofía entera de Telegram, con Zuckerberg repentinamente declarando en su discurso en la conferencia F8 sobre la importancia de la privacidad y velocidad, prácticamente citando la descripción de la app de Telegram palabra por palabra.

Pero quejarse sobre la hipocresía y falta de creatividad de FB no ayudará. Debemos admitir que Facebook está ejecutando una estrategia eficiente. Mira lo que le hicieron a Snapchat [20]

Nosotros en Telegram debemos reconocer nuestra responsabilidad en formar el futuro. Somos nosotros o el monopolio de Facebook. Es la libertad y la privacidad o la avaricia y la hipocresía. Nuestro equipo ha estado compitiendo con Facebook por los últimos 13 años. Ya los vencimos una vez, en el mercado de redes sociales de Europa del Este [21]. Los venceremos nuevamente en el mercado global de mensajería instantánea. Debemos hacerlo.

No será fácil. El departamento de marketing de Facebook es enorme. Nosotros en Telegram, sin embargo, hacemos cero marketing. No queremos pagarle a periodistas e investigadores para que le hablen al mundo sobre Telegram. Para eso, confiamos en ustedes – los millones de usuarios. Se te gusta Telegram lo suficiente, le dirás a tus amigos sobre él. Y si cada usuario de Telegram persuade a 3 de sus amigos a borrar WhatsApp y cambiarse permanentemente a Telegram, Telegram ya será más popular que WhatsApp.

La era de la avaricia y la hipocresía terminará. Una era de libertad y privacidad comenzará. Está más cerca de lo que parece.


Texto original publicado en el canal oficial de Pavel Durov.
Traducido al español por @SantiSven

Referencias

[1] Business Insider WhatsApp was hacked and attackers installed spyware on people’s phonesMay 15, 2019

[2] Security Today WhatsApp Bug Allowed Hackers to Hijack AccountsOctober 12, 2018

[3] Wikipedia Gag order – United States

[4] Neowin FBI asked Durov and developer for Telegram backdoor – September 19, 0271

[5] The Baffler The Crypto-Keepers – September 17, 2017

[6] New York Times What Is Telegram, and Why Are Iran and Russia Trying to Ban It? – May 2, 2019

[7] YourDailyMac Whatsapp leaks usernames, telephone numbers and messages – May 19, 2011

[8] The H Security Sniffer tool displays other people's WhatsApp messages – May 13, 2012

[9] FilePerms WhatsApp is broken, really broken – September 12, 2012

[10] International Business Times Respect for Privacy Is Coded Into WhatsApp's DNA: Founder Jan Koum – March 18, 2014

[11] Slate https://slate.com/technology/2018/06/paul-manafort-how-did-fbi-access-whatsapp-messages.html – June 5, 2018

[12] AppleInsider WhatsApp backdoor defeats end-to-end encryption, potentially allows Facebook to read messages – January 13, 2017

[13] Forbes Forget About Backdoors, This Is The Data WhatsApp Actually Hands To Cops – January 22, 2017

[14] New York Times Facebook Said to Create Censorship Tool to Get Back Into China – November 22, 2016

[15] The Verge WhatsApp co-founder Jan Koum is leaving Facebook after clashing over data privacy – April 30, 2018

[16] CNET WhatsApp co-founder: 'I sold my users' privacy' with Facebook acquisition – September 25, 2018

[17] New York Times Once celebrated in Russia, programmer Pavel Durov chooses exile – December 2, 2014

[18] TechCrunch Facebook admits it stored ‘hundreds of millions’ of account passwords in plaintext – March 21, 2019

[19] Engadget Facebook stored millions of Instagram passwords in plain text – 18 April, 2019

[20] Vanity Fair Snapchat is doing so badly, the feds are getting involved – November 14, 2018

[21] HuffPost Vkontakte, Facebook Competitor In Russia, Dominates – October 26, 2012