El cifrado de WhatsApp no es el problema, los metadatos sí lo son
Una vez más, WhatsApp está bajo la mira por supuestamente poner en riesgo los datos de sus más de dos mil millones de usuarios. Recientemente han aparecido en las noticias dos historias distintas, aunque relacionadas, que probablemente le harán temer por su privacidad.
Vayamos en orden. El 22 de mayo de 2024, The Intercept reveló el contenido de una evaluación de amenazas interna en la que los ingenieros de WhatsApp discutieron algunas vulnerabilidades que podrían permitir a las agencias gubernamentales «evitar nuestro cifrado».
Tres días después, llegó el momento de que el multimillonario Elon Musk subiera al escenario, afirmando desde su cuenta X que la popular aplicación de mensajería «exporta tus datos de usuario todas las noches».
En ambos casos, el director de WhatsApp, Will Cathcart, recurrió a la plataforma de redes sociales para aclarar tales acusaciones. Tiene razón en algo: el cifrado de WhatsApp es seguro y sus mensajes son completamente privados. Sin embargo, ambas historias no tratan sobre cifrado sino sobre metadatos. Ni siquiera se trata de WhatsApp, pero aún puede haberlos algo puedes hacer al respecto, como usar las mejores VPN y otros trucos para minimizar el riesgo.
WhatsApp utiliza cifrado de extremo a extremo para proteger tus comunicaciones. Para ello, encapsula los datos en un formato ilegible para que nadie excepto el remitente y el receptor pueda acceder a ellos, ni siquiera la propia Meta. Al mismo tiempo, sin embargo, recopila periódicamente algunos detalles aparentemente menos importantes adjuntos a sus actividades de mensajería: los metadatos.
Esta información incluye direcciones IP, números de teléfono, con quién habló y cuándo, entre otros. Puede que no parezca tan importante, pero incluso pequeños rastros digitales como estos pueden actuar como identificadores. Por ejemplo, fue exactamente un fragmento de metadatos (un correo electrónico de recuperación de Proton Mail) lo que llevó al arresto de un activista catalán.
Según la Política de privacidad de WhatsApp, la aplicación registra una gran cantidad de registros de uso que incluyen «el tiempo, la frecuencia y la duración de sus actividades e interacciones». También se recopilan otros datos identificables, como los detalles de su red, el navegador que utiliza, el ISP y otros identificadores vinculados a otros productos Meta (como Instagram y Facebook) asociados con el mismo dispositivo o cuenta.
WhatsApp también registra tu dirección IP cuando utilizas el servicio. Esto es interesante porque tu IP puede usarse para rastrear tu ubicación. Como explicó la compañía, incluso si mantiene desactivadas las funciones relacionadas con la ubicación, las direcciones IP y otra información recopilada, como el código de área del número de teléfono, se pueden usar para estimar su «ubicación general».
WhatsApp está obligado por ley a compartir esta información con las autoridades durante una investigación. Las autoridades analizarán los datos para encontrar patrones, y eso es algo que está fuera del control de WhatsApp. «Incluso suponiendo que el cifrado de WhatsApp sea inquebrantable», dice el memorando de la compañía revelado por The Intercept, «los continuos ataques de ‘recopilación y correlación’ siguen violando nuestro modelo de privacidad previsto».
El fallo que puede eludir el cifrado está vinculado a una «explotación continua de las vulnerabilidades del análisis del tráfico». De nuevo, los metadatos. Sin embargo, esto no es nada nuevo y la empresa lo indica claramente en su política.
¿Sabías?
Si bien WhatsApp ha sido consciente de esta amenaza desde el año pasado, The Intercept revela que se ha convertido en un punto de discordia dentro de la compañía luego de las revelaciones de abril de que el ejército de Israel supuestamente usa una herramienta de inteligencia artificial centrada en datos de identificación conocida como Lavender para seleccionar automáticamente sus objetivos. .
Entonces, ¿por qué los ingenieros de WhatsApp están preocupados por esto recién ahora?
El problema es que las técnicas de vigilancia son cada vez más sofisticadas. El equipo de seguridad interna de WhatsApp ha identificado muchos casos de los llamados ataques de correlación en los que un análisis más inteligente de datos cifrados (conectados a su contraparte de metadatos altamente visible) puede evadir las protecciones de privacidad de la aplicación.
Peor aún, señalan que los mismos tipos de seguimiento también funcionan con otras aplicaciones de mensajería similares.
«Los servicios de mensajería actuales no fueron diseñados para ocultar estos metadatos a un adversario que puede ver todos los lados de la conexión», dijo a The Intercept Matthew Green, profesor de criptografía en la Universidad Johns Hopkins. «Proteger el contenido es sólo la mitad de la batalla. ¿Con quién te comunicas? [with] y cuando la otra mitad lo sea.»
Los mensajes de WhatsApp están cifrados de extremo a extremo, pero los datos de los usuarios no se refieren sólo a los mensajes. Eso también incluye metadatos como la ubicación del usuario, con qué contactos se comunica el usuario, los patrones de cuándo el usuario está en línea, etc. Estos metadatos según su política de privacidad… https://t.co/mCn1akAMg4 pic.twitter. es/zfQObgLhgl27 de mayo de 2024
Aunque de naturaleza muy diferente, la afirmación de Musk también se refiere a los metadatos. Lo que ahora está bajo escrutinio es cómo la propia Meta utiliza estos preciosos detalles con fines comerciales.
Nuevamente, esto está claramente establecido en la política de privacidad y los términos de uso de WhatsApp. «Podemos utilizar la información que recibimos de ella. [other meta companies]y podemos usar la información que compartimos con ellos para ayudar a operar, proporcionar, mejorar, comprender, personalizar, respaldar y comercializar nuestros Servicios y sus ofertas», se lee en la política.
Esto significa que sí, tus mensajes siempre son privados, pero WhatsApp recopila activamente tus metadatos para construir tu personalidad digital en otras metaplataformas. Seamos realistas, ¿cuántos de nosotros tenemos una cuenta de Instagram o Facebook?
El nivel de amenaza es claramente diferente entre las dos historias. Sin embargo, el llamado capitalismo de vigilancia de facto socava su privacidad y seguridad, ya que permite publicidad dirigida mucho más efectiva, ataques de terceros e incluso manipulación política en algunos casos; piense en Cambridge Analytica, por ejemplo.
La buena noticia es que, por difícil que sea, todavía hay opciones para cortar algunos vínculos con este modelo de negocio invasivo.
Cómo aumentar la privacidad de las comunicaciones
Como hemos visto, un cifrado sólido no es suficiente para proteger verdaderamente sus comunicaciones e identidad en línea. Otro poderoso recordatorio de que los metadatos también son importantes. En caso de que aún quieras seguir usando tu cuenta de WhatsApp, hay algunos pasos que puedes seguir para minimizar la cantidad de metadatos recopilados.
Para empezar, sugiero usando software VPN cada vez que accedes a WhatsApp. Una VPN, abreviatura de red privada virtual, es una herramienta que falsifica su dirección IP real. Esto significa que podrá, como mínimo, ocultar este fragmento de metadatos y hacer que sea un poco más difícil rastrear su ubicación. WhatsApp VPN también es vital para utilizar la aplicación en países donde está prohibida.
También recomiendo encenderlo. La función de privacidad avanzada de WhatsApp para minimizar la recopilación de datos. Por ejemplo, desde el año pasado la aplicación te permite ocultar tu IP durante las llamadas. Para activar la opción, vaya a la pestaña Configuración, haga clic en Privacidad y luego en Avanzado. Asimismo, puede optar por desactivar las vistas previas de enlaces para evitar compartir su IP con sitios web de terceros. Tu también deberías administrar permisos de aplicaciones por lo tanto, permitir que WhatsApp recopile solo detalles esenciales. Esto significa que debes desactivar todas las funciones opcionales, como tu ubicación precisa.
Si bien estos pasos pueden ayudar a reducir la cantidad de metadatos recopilados, es fundamental tener en cuenta que es es imposible evitar por completo la recopilación de metadatos en la aplicación Meta-property. Quizás lo más importante es que no puede escapar del seguimiento multiplataforma en caso de que esté utilizando otras plataformas de redes sociales además del grupo.
Para mayor privacidad y seguridad, sugiero cambiar a la aplicación de mensajería más segura Firmar. Completamente de código abierto, esto significa que cualquiera puede verificar su código en busca de vulnerabilidades.
Signal es propiedad de Signal Technology Foundation, una organización sin fines de lucro registrada que se opone firmemente a los métodos del capitalismo de vigilancia. Como establecen sus Términos de servicio, «Signal no vende, alquila ni monetiza sus datos personales o contenido de ninguna manera, nunca».
En febrero, Signal abandonó oficialmente los números de teléfono (los únicos datos identificables que la aplicación necesitaba para crear una cuenta) en nombre de la privacidad. Lo más importante es que Signal ha estado implementando una tecnología conocida como Sealed Sender desde 2018 para proteger sus metadatos. Vale la pena mencionar, sin embargo, que algunos expertos han encontrado algunas fallas en este sistema, pero probablemente todavía sea un paso adelante en la dirección correcta.