Por qué es peligroso usar WhatsApp.

Hace unos meses escribí sobre una puerta trasera de WhatsApp que permite que los piratas informáticos accedan a todos los datos en cualquier teléfono con WhatsApp [1] . Facebook, su empresa matriz, detectaron en ese momento que no tenía pruebas de que la falla había sido detectada por los atacantes [2] . 

La semana pasada quedó claro que esta puerta trasera había sido explotada para extraer comunicaciones privadas y fotos de Jeff Bezos, la persona más rica del planeta, que desafortunadamente dependía de WhatsApp [3] . Dado que el ataque aparentemente se originó en un gobierno extranjero, es probable que muchos otros líderes líderes y gobiernos hayan sido atacados [4] .

En mi publicación de noviembre, predije que esto sucedería [5] . Las Naciones Unidas ahora recomiendan que sus empleados remuevan WhatsApp de sus dispositivos [6] , mientras que las personas cercanas a Donald Trump se les ha aconsejado que cambien sus teléfonos [7] . 

Dada la gravedad de la situación, uno esperaría que Facebook / WhatsApp se disculpe y se comprometa a no plantar puertas traseras en sus aplicaciones en el futuro. En cambio, anunciaron que Apple, no WhatsApp, tenía la culpa. El vicepresidente de Facebook había declarado que iOS, en lugar de WhatsApp, había sido pirateado [8] .

Si sigues mi blog, sabes que no soy exactamente un fanático de Apple [9] . Los dispositivos iOS tienen muchos problemas relacionados con la privacidad. Pero este no era uno de ellos, por dos razones:

1) La vulnerabilidad de "video corrupto" de WhatsApp estaba presente no solo en iOS, sino también en dispositivos Android e incluso Windows Phone. Es decir, en todos los dispositivos móviles con WhatsApp instalado.

2) Este error de seguridad no estaba presente en otras aplicaciones de mensajería en iOS. Si Jeff Bezos hubiera confiado en Telegram en el lugar de WhatsApp, no habría sido chantajeado por personas que se comprometieron con sus comunicaciones [10] .

En consecuencia, el problema no era específico de iOS, sino específico de WhatsApp.

En su publicidad, WhatsApp usa las palabras "cifrado de extremo a extremo" como un encantamiento mágico que solo se supone que automáticamente garantiza todas las comunicaciones [11] . Sin embargo, esta tecnología no es una bala de plata que puede garantizarle una privacidad absoluta por sí misma.

Telegrama implementó el cifrado de extremo a extremo para la comunicación masiva años antes de que WhatsApp hiciera lo mismo, y hemos sido conscientes no solo de las fortalezas, sino también de las limitaciones de esta tecnología. Otros aspectos de una aplicación de mensajería pueden hacer que el cifrado de extremo a extremo sea inútil. A continuación hay tres ejemplos de lo que puede salir mal.

Primero, hay copias de seguridad. Los usuarios no quieren perder sus chats cuando cambian de dispositivo, por lo que hacen una copia de seguridad de los chats en servicios como iCloud, a menudo sin darse cuenta de que sus copias de seguridad no están encriptadas. El hecho de que Apple fue forzado por el FBI a abandonar los planes de cifrado para iCloud es revelador [12] . Esa es una de las razones por las que Telegram nunca se basa en copias de seguridad en la nube de terceros, y los chats secretos nunca se respaldan en ningún lado. 

En segundo lugar, hay puertas traseras. Las agencias de aplicación no están muy contentas con el cifrado, lo que obliga a los desarrolladores de aplicaciones a plantar en secreto vulnerabilidades en sus aplicaciones. Lo sé porque algunos de ellos nos han contactado, y nos hemos negado a cooperar. Como resultado, Telegram está prohibido en algunos países donde WhatsApp no ​​tiene problemas con las autoridades, más sospechosamente en Rusia e Irán [13] . 

Las puertas traseras suelen estar camufladas como fallas de seguridad "accidentales". Solo en el último año, encontramos 12 defectos de este tipo en WhatsApp. Siete de ellos fueron críticos, como el que tuvo problemas Jeff Bezos [14] . Algunas veces decir que WhatsApp sigue siendo "muy seguro" a pesar de tener 7 puertas traseras expuestas en los últimos 12 meses, pero eso es estadísticamente improbable. Telegram, una aplicación utilizada por cientos de millones de personas, incluidos jefes de estado y grandes empresas, no ha tenido problemas de esa gravedad en los últimos 6 años. 

Tercero, hay fallas en la implementación del cifrado. ¿Cómo puede alguien estar seguro de que el cifrado que WhatsApp dice usar es el que realmente está implementado en sus aplicaciones? Su código fuente está oculto y los binarios de las aplicaciones están ofuscados, lo que dificulta su análisis. Por el contrario, las aplicaciones de Telegram han sido de código abierto y su cifrado está completamente documentado desde 2013. Telegram admite compilaciones verificables tanto para iOS como para Android, lo que significa que cualquiera puede admitir el código fuente en GitHub y la aplicación de Telegram que descargue sean lo mismo [15] . Ninguna otra aplicación de mensajería está haciendo eso para ambos sistemas operativos móviles, y uno podría comenzar a una pregunta por qué.

No se deje engañar por el equivalente tecnológico de los magos de circo a quienes les gustaría centrar su atención en un aspecto aislado mientras realizan sus trucos en otro lugar. Quieren que piense en el cifrado de extremo a extremo como lo único que debe tener en cuenta para la privacidad. La realidad es mucho más complicada. 

Algunos podrían decir que, como fundador de una aplicación rival, puedo ser parcial al criticar WhatsApp. Claro que soy yo. Por supuesto, considere los Chats secretos de Telegram son más seguros que cualquier otro medio de comunicación de la competencia. ¿Por qué si no podríamos usar y usar Telegram? 

Sin embargo, las declaraciones en esta publicación se basan en hechos, no en las observaciones personales. Y, al igual que el código de las aplicaciones de Telegram, estos hechos son verificables y respaldados por las fuentes de terceros a continuación. Cuando se trata de seguridad, nadie debe dar por sentado la palabra de nadie. 

Fuentes

[1] Techspot: Hackers can use a WhatsApp flaw in the way it handles video to take control of your phone – November 19, 2019

[2] ZDNet: Attackers using WhatsApp MP4 video files vulnerability can remotely execute code – November 18, 2019

[3] Popular Mechanics: How Jeff Bezos Got Hacked on WhatsApp—and How It Could Happen to You – January 26, 2020

[4] Forbes: If Jeff Bezos’ iPhone Can Be Hacked Over WhatsApp, So Can Yours – January 22, 2020

[5] Pavel Durov: A New Backdoor Was Quietly Found In WhatsApp – November 20, 2019 

[6] Reuters: U.N. says officials barred from using WhatsApp since June 2019 over security – January 23, 2020

[7] CNN: UN expert recommends Kushner change his phone after suspected Saudi hack – January 23, 2020

[8] Gizmodo: Facebook Gives Unintelligible Response to Jeff Bezos Hack, Deciding to Blame iOS – January 26, 2020 

[9] Pavel Durov: iCloud Is Now Officially a Surveillance Tool – January 21, 2020

[10] Jeff Bezos: No thank you, Mr. Pecker – February 7, 2020

[11] BBC Radio 4: We're as sure as you can be that the technology of end-to-end encryption cannot be hacked into: Facebook’s Nick Clegg – January 24, 2020 

[12] Reuters: Apple dropped plan for encrypting backups after FBI complained – January 21, 2020

[13] (a) The Verge: Russia orders immediate block of Telegram messaging app – April 13, 2018

(b) New York Times: Russian Court Bans Telegram App After 18 Minute Hearing – April 13, 2018

[14] Business Insider: WhatsApp disclosed 12 security flaws last year, including 7 classified as 'critical,' after Jeff Bezos phone was reportedly hacked – January 28, 2020

[15] Telegram: Verifiable Builds, New Theme Editor, Send When Online and So Much More – December 31, 2019

Artículo original en inglés.