El cifrado de extremo a extremo no se lo inventó WhatsApp
Fue un poco raro. Es como si el Gran Hermano dijese que ya no mira o que un circuito cerrado de vigilancia deja de grabar. La cara que se nos quedaba ayer a todos al leer que los mensajes en WhatsApp -una empresa propiedad de Facebook- estaban seguros con cifrado “de extremo a extremo” fue una mezcla entre el gesto de Tobey Maguire en Spiderman y la cara de Tommy Lee Jones en No es país para viejos. Pero es cierto. La compañía creada hace siete años por el ucraniano Jan Koum ahora cifra por defecto los mensajes. “El cifrado de extremo a extremo asegura que solo tú y el receptor puedan leer lo que es enviado, y que nadie en el medio; ni siquiera WhatsApp, lo pueda hacer”, dicen en su web.
Es un plato que llevan cocinando desde noviembre del 2014. Por aquel entonces, Moxie Marlinspike, creador del proyecto Open Whispers System, hablaba con Wired sobre la idea de aumentar el cifrado en WhatsApp integrando Textsecure, un software de código abierto que enmascara los mensajes con una clave criptográfica a la que solo el usuario puede acceder y que no se almacena en el teléfono. Tampoco es que WhatsApp haya descubierto la pólvora. Así lo confirma Elena García, responsable de contenidos e investigación en seguridad del INCIBE: “Han recurrido a una librería de código libre implantada en Signal para incorporarla a sus servicios”.
Textsecure fue añadido a Signal el año pasado pero el software llevaba dando vueltas por Internet desde 2010. En 2011 su código fuente fue liberado y pasó a llamarse Open Whisper System. Dos años después, Edward Snowden, que por aquel entonces trabajaba en la NSA, revelaba que las grandes compañías de tecnología estadounidenses nos espiaban bajo la Ley FISA y el mundo daba un vuelco en aras de proteger la privacidad de todos y cada uno de los usuarios de Internet. Mientras todo eso pasaba, dos rusos fundaban Telegram, que ya incluía un sistema de cifrado de extremo a extremo como el que WhatsApp implantó el martes.
“Telegram dio la opción al usuario de incluir el punto a punto. Es decir, el intercambio de una clave de cifrado entre dos teléfonos que solo conocemos él receptor y yo. Ni WhatsApp, ni Telegram, ni ningún servidor intermedio”, dice Adolfo Hernández de Thiber, un think tank de ciberseguridad localizado en el campus de la Universidad Autónoma de Madrid. Aunque según WhatsApp, ellos nunca almacenan la información; hasta ayer, los mensajes viajaban en texto plano hasta sus servidores. Desde allí eran reenviados al dispositivo de destino, dejando abierta la posibilidad de que la propia empresa -bajo un mandato judicial por ejemplo- o cualquier atacante externo accediese a ellos. Pero ¿podrán seguir accediendo a los mensajes? “La posibilidad de entrar siempre está ahí. La había, la hay y la habrá, tanto en WhatsApp como en cualquier servicio que nos presta un operador”, dice Elena.
La privacidad y los gobiernos
Técnicamente WhatsApp no ha inventado nada, pero ha mejorado lo que ya tenía. Ahora “el mensaje se encripta haciendo uso del clásico modelo de cifrado por clave publica”, dice Elena. El cifrado por clave pública se basa en una doble llave de cifrado: tanto el emisor como el receptor cuentan con un código público y uno privado. “Al aplicar el cifrado en el origen del mensaje, ese cifrado tiene en cuenta que esa información solo puede descifrarla el usuario destino para el que se genera”, explica Elena.
Ahora, cada conversación en WhatsApp cuenta con un conjunto de doce códigos de cinco números cada uno. Esa clave está contenida, a su vez, en el código QR. Para comprobar el cifrado de la conversación se puede escanear el código y comparar el conjunto de número que aparece en cada ventana de chat. Lo bueno de todo esto es que “a priori, un mensaje de WhatsApp es más seguro que un mensaje de texto. Y también a priori, una llamada realizada a través de este servicio será más segura que una llamada convencional de teléfono”, dice Adolfo.
El extremo a extremo de WhatsApp es el sistema con el que Signal cifra sus comunicaciones. Snowden, en 2014, elogiaba las bondades de las aplicaciones de la firma OWS por su alto nivel de seguridad. Un concepto que está más en entredicho que nunca debido al caso de Apple contra el FBI.
Y es que ni Tim Cook ha ganado contra el FBI ni James Comey lo ha hecho para el Gobierno de los EEUU. Apple ha protegido la privacidad de sus usuarios en una improvisada campaña de marketing. Ahora, apenas una semana después del último capítulo del “caso tecnológico de la década” según Snowden, WhatsApp anuncia que blinda sus mensajes. Y es que nunca se sabe cuando puede llamar a la puerta el gobierno. De hecho, el de los EEUU ya se ha quejado de que, con la implementación del cifrado de extremo a extremo han dejado de tener acceso al tráfico de WhatsApp, así como a los datos que corren entre los servidores y a las llamadas a través de la aplicación.