La última de WhatsApp ya parece una broma de mal gusto, pero lo han vuelto a hacer: la app de mensajería más famosa del mundo (y la app más cara de la historia) ha dejado una puerta trasera como una de chiqueros en su código, permitiendo, literalmente que las supuestas comunicaciones encriptadas sean fácilmente legibles. Pero como decimos, no es la primera.
Esta noticia saltó a la prensa el otro día en un artículo de The Guardian que indica que, a pesar de que en la web de WhatsApp dicen claramente que no tendrán acceso a ningún mensaje de los usuarios enviados con su plataforma, en realidad no es así, porque como veremos después, el agujero de seguridad es bastante grande. Y lo más preocupante de todo es que dicen que lo han hecho así por diseño. Ya veremos luego que sí, pero no porque sean unos torpes.
El problema fundamentalmente es que para realizar las comunicaciones encriptadas, en general las apps suelen intercambiar las claves de cifrado en el envío de mensajes, y cuando estas claves caducan, hay que solucionar el problema de qué ocurre para que los usuarios puedan entender los mensajes de los demás usuarios (no se pueden tener eternamente las mismas claves porque entonces el sistema se vuelve inseguro). Bien, los señores de WhatsApp han optado por la vía fácil, chusca y menos complicada para ellos: con la excusa de evitar que lo mensajes se pierdan cuando los usuarios están desconectados (debido a que no se pueden intercambiar las claves de cifrado nuevas si han caducado las antiguas), los mensajes viajan sin cifrar. Ole. Cómo que sería tan fácil como guardar los mensajes en servidor con las claves antiguas y esperar a renovar las claves para volver a enviar los datos de forma segura, entre otras posibles soluciones. Otras aplicaciones de mensajería simplemente intentan, por otras vías, seguir manteniendo la seguridad (y suponemos que sin perder mensajes), pero los señores de WhatsApp son más listos que nadie y pensaron que nadie se daría cuenta, o algo. Claro.
Técnicamente, más que la chapuza en si misma, lo que más me preocupa es que, como han demostrado en otras ocasiones, su arquitectura de aplicación está tan mal construida que permite problemas de este tipo. Pero no nos engañemos: el problema aquí no está en la arquitectura o en un diseño de comunicaciones defectuoso. Es evidente que se trata de un problema político. Facebook no quiere tener problemas con las fuerzas de seguridad y simplemente ha decidido construir un sistema deficiente a propósito. Como bien indican los compañeros de iPhoneros.com, te prometen que nunca, nunca y nunca mirarán tus mensajes… Excepto si se lo pide alguien. Estupendo. Así se quieren evitar conflictos que la gente que hace apps de verdad como Apple ha tenido con el famoso caso de San Bernardino entre otros. Pues no, señores, seguridad a cambio de libertad no, que eso ya nos avisaron hace mucho que no funcionaba.
Recuerdo perfectamente el día, hace un tiempo, que limpiando la tarjeta de memoria del Android de mi pareja nos encontramos con un archivo relativamente voluminoso. Para saber qué era, lo abrimos y vimos que eran las conversaciones de WhatsApp almacenadas… En la tarjeta externa, y sin encriptar. Para empezar, lo suyo sería que esos datos estuvieran en la zona de memoria interna especialmente reservada para las apps, pero si por algún motivo había que dejarlo en la externa… Por favor, al menos codificad los datos de alguna manera para que no sea posible leer el contenido. Si a eso le añadimos que las fotos descargadas se pueden ver también sin problema accediendo a la tarjeta y otras lindezas, la verdad es que da un poco de vergüenza como desarrollador encontrar que la app más famosa del mundo está tan malamente construida…
Mi recomendación siempre es usar la mensajería del teléfono (iMensajes en iPhone y iPad con otros usuarios Apple) o bien una aplicación como Telegram (las hay más especializadas en seguridad como Signal, pero Telegram vale también ya que tiene un nivel de seguridad muy alto), que también se está haciendo muy popular. Muchos diréis que os da igual que vean vuestros mensajes. Cuando os deis cuenta de que los están usando para saber que anunciaros la próxima vez que uséis el navegador del móvil (entre otras cosas) a lo mejor os hace menos gracia. O no. La ignorancia es la felicidad, ¿verdad?
PD: para los que no hayan pillado la referencia cultural de la entradilla, una puerta de chiqueros es por donde pasa el toro cuando sale a la plaza. Vamos, que pequeña no es.