A propósito del uso de chats privados en televisión nacional para desacreditar a activistas y opositores políticos; usuarios de WhatsApp se cuestionan cómo fue posible que lograran acceder a estos chats. ¿No se asegura por parte de Facebook que nuestros mensajes están protegidos por cifrado punto a punto?

En la web circulan varios artículos en los cuales se explican las vías más usadas para comprometer la seguridad de aplicaciones de mensajería como WhatsApp. Un ejemplo sería «WhatsApp: así pueden espiar tus chats sin que te des cuenta», el cual expone de forma resumida cómo pueden ser usadas las copias de seguridad, los llamados spywares e incluso Whatsapp Web para espiar tus conversaciones. Si bien cualquier sistema informático puede ser vulnerable, no es algo fácil de hacer por cualquier hacker. Muchas veces las filtraciones son producto de alguna persona con acceso a la información o de que las autoridades consiguen acceso físico a un teléfono desprotegido.

En este texto analizamos qué métodos pueden ser utilizados para acceder a nuestros mensajes y cómo podemos protegernos de estas amenazas.

WhatsApp Web

La primera vulnerabilidad podría provenir del uso de WhatsApp Web, pues alguien podría agregar nuestra cuenta y solo se nos enviaría una notificación que el mismo usuario puede eliminar.

Es importante resaltar que para sincronizar nuestra cuenta con la versión web o desktop de WhatsApp se necesita acceso físico al dispositivo, desde el cual habría que escanear un código QR dentro de la aplicación. Adicionalmente, la aplicación envía una notificación permanente a nuestro dispositivo en la cual nos alerta del acceso a esta funcionalidad mientras está siendo utilizada. Dichas sesiones pueden ser administradas al acceder a la opción WhatsApp Web/Desktop que se muestra en el menú principal en la esquina superior derecha para dispositivos Android y en la opción Configuración en los dispositivos iOS. Ahí veremos un listado de todas las sesiones configuradas con información sobre la última vez que se usó, así como el dispositivo o navegador utilizado. En caso de que no reconozcamos una de ellas como propia podemos eliminarla y se perderá el acceso a nuestra cuenta.

Copias de seguridad

Las copias de seguridad han presentado múltiples vulnerabilidades que son explotadas para acceder a las conversaciones. Debemos tener en cuenta que la compañía no ofrece la opción de manera nativa, sino que se apoya en el almacenamiento de Google Drive que se asocia a nuestra cuenta de Google. Además, estas se podrán encontrar también en el almacenamiento del teléfono.

La propia compañía alerta a los usuarios que estos archivos no serán protegidos por el cifrado punto a punto, los cuales pueden ser interceptados y posteriormente procesados con múltiples herramientas que se pueden encontrar en la web; algunas más o menos complejas, pero a precios «asequibles» para alguien interesado en espiarnos.

Software de espionaje

Los softwares de espionaje (spywares) son herramientas creadas con el propósito de aprovechar vulnerabilidades en nuestros dispositivos y así ganar acceso a estos.

Múltiples compañías se dedican a este polémico y lucrativo negocio bajo la justificación de ser armas para apoyar la lucha contra el crimen y el terrorismo; pero como ya se conoce, son usadas a su vez contra disidentes, activistas por los derechos humanos, periodistas, empresarios y directivos de organizaciones como las Naciones Unidas.

Si bien Edward Snowden advertía del uso de este tipo de software en sus famosas revelaciones, en el caso relacionado con Pegasus, el spyware propiedad de la compañía israelí NSO Grupo —descubierto en un intento fallido de penetrar el dispositivo de un defensor de los derechos humanos en Arabia Saudita— nos mostró el impacto y la capacidad reales de estas armas al ser usadas contra los usuarios de Internet. Las posteriores investigaciones revelaron que fue vendido en secreto por millones de dólares a La Guardia Real saudí y usado para espiar a cientos de personas, entre ellas el periodista Jamal Khashoggi, quien tiempo después sería asesinado en Turquía por presuntos operativos saudíes.

Desde periodistas mexicanos hasta políticos catalanes, han sido víctimas de este u otros spywares similares, lo que demuestra su rápida expansión y uso por distintos Gobiernos y organizaciones de inteligencia. No puede descartarse, por tanto, el uso en Cuba de alguna herramienta similar que haga posible el acceso a las comunicaciones privadas de las redes sociales, aunque su precio es bastante elevado.

«Clonar» tu línea telefónica

Otra forma de acceder a la mensajería privada es que el propio proveedor de servicios telefónicos (en nuestro caso Etecsa) intercepte los mensajes que contienen los códigos de seguridad que envía Whatsapp por SMS al intentar iniciar sesión. Si tenemos en cuenta que en nuestro país el sector de las telecomunicaciones está monopolizado por una única empresa estatal, la cual en no pocas ocasiones ha suspendido sus servicios de forma temporal o definitiva a varios activistas; no sería extraño que se utilizara además para intervenir las comunicaciones privadas.

Acceso físico al dispositivo

Otro tema clave a tener en cuenta es el acceso físico a los dispositivos de activistas que son arrestados por la policía o la Seguridad del Estado. Durante el tiempo que son detenidos, sus teléfonos pueden ser intervenidos y analizados con disímiles herramientas que brinda la informática forense. Si logran el acceso a cualquiera de los dispositivos, pueden copiar la información existente como mensajes de chats, contactos, audios, contraseñas guardadas en el navegador; pueden a su vez crear una sesión de Whatsapp Web para espiar posteriormente e incluso instalar software avanzado de seguimiento.

Entonces, ¿es fácil hackear Whatsapp? Quizá no puede catalogarse de fácil, todos los métodos que hemos visto conllevan cierto grado de dificultad; se necesita un personal calificado para estas tareas, sin mencionar que las soluciones más avanzadas de espionaje digital pueden ser altamente costosas.

El acceso físico a los dispositivos podría ser el método más factible con que cuente el Estado cubano para obtener los datos privados de opositores y activistas que luego presentan a la opinión pública. WhatsApp, debido a su popularidad, siempre estará expuesta a que sea constantemente analizada en busca de fallos y vulnerabilidades que permitan el acceso a los datos de los usuarios; incluso, pueden pasar años para que los profesionales descubran estas amenazas y se comuniquen con la empresa para que sean corregidas.

Para quienes están bajo asedio constante por las autoridades, lo más recomendable es no usar la aplicación y migrar a alternativas más seguras como Signal o los chats secretos de Telegram. En caso de que te sea imprescindible su uso, te sugerimos algunas buenas prácticas que puedes seguir para minimizar el riesgo de exposición.

Buenas prácticas

No uses dispositivos con jailbreaks o rooteados. Los fabricantes de dispositivos suelen restringir por defecto el acceso de los usuarios a los permisos más avanzados de administración del terminal por motivos comerciales y de seguridad. No obstante, es posible saltarse las restricciones si usamos herramientas de escalado de privilegios, como el jailbreak para iOS o el rooting en Android, las cuales permitirán acceder tanto a los datos privados de las aplicaciones, como al propio sistema operativo.

Si bien estas opciones están pensadas para usuarios avanzados, testers y desarrolladores, es común que en Cuba se usen estas herramientas para sortear alguna restricción o incompatibilidad; incluso, es probable que muchos ni siquiera sean conscientes de su uso. El peligro radica precisamente en perder el sistema la capacidad de aislar los datos internos de las aplicaciones. En el caso de WhatsApp, podrían acceder a los archivos sin encriptar que la propia aplicación crea con tus mensajes para su funcionamiento básico.

No uses aplicaciones, tanto de escritorio como móviles, que pidan activar las características de desarrollo. A no ser que seas desarrollador de software, estas opciones también pueden ser usadas para vulnerar el dispositivo. Puedes comprobar si están activadas estas características en la configuración avanzada del dispositivo en el cual podrás deshabilitarlas.

No uses la función de Copia de Seguridad en Google Drive. Si bien puede resultarnos cómodo recuperar los chats al cambiar de dispositivo, la realidad es que conlleva un alto riesgo de que puedan extraer nuestra información con herramientas disponibles para ello. Esta opción la puedes desactivar al acceder a Ajustes / Chats / Copias de Seguridad / Guardar en Google Drive y seleccionar la opción Nunca; en dispositivos iOS vas a Configuración / Chats / Copia de Seguridad de Chat / Copia de Seguridad Automática y seleccionas la opción No. Puedes consultar además esta guía para eliminar las que se encuentren en el almacenamiento del dispositivo.

No abras enlaces, documentos o archivos multimedia que te envíen contactos en los que no confíes o sean desconocidos para ti, ya que estos pueden contener el código malicioso que permitirá el control del dispositivo. Esta fue la vía a través de la que Pegasus se introdujo en los dispositivos de los usuarios afectados.

Usa la verificación de dos pasos. Al activar esta función, siempre que se quiera iniciar sesión, la aplicación pedirá un pin o código que solo nosotros conocemos; de esta forma, podemos garantizar que aunque sea «clonada» nuestra SIM será imposible entrar en nuestra cuenta.

Mantén la aplicación actualizada con la última versión disponible. Aunque no notes cambios en la interfaz de usuario, cada vez que se publica una nueva versión de la aplicación, siempre traerá correcciones de errores y parches de seguridad que harán la aplicación más estable y segura.

No instales mods o versiones que procedan de tiendas no oficiales. Cada cierto tiempo se publican clones no oficiales que traen características tentadoras que no soporta la aplicación de forma oficial, pero estos mods pueden además traer integrado malware que afecte el dispositivo. Tampoco se recomienda instalar versiones que vengan de tiendas no oficiales como Apklis o páginas desconocidas en la web; estas no podrán ser comprobadas ni analizadas por los mecanismos de seguridad con que cuenta la Play Store de Google o la App Store de Apple.

Restaura el sistema operativo en caso de que creas que tu dispositivo está comprometido. Esta opción, además de tus datos y aplicaciones, eliminará cualquier otro software que haya sido introducido sin tu conocimiento. Consulta esta guía si quieres aprender a usar esta funcionalidad.

Revisa de manera frecuente las sesiones web que están abiertas y activas, desactiva la previsualización de mensajes en las notificaciones y, si te es posible, utiliza un número que no sea de Cuba.

Si deseas conocer más sobre cómo usar Whatsapp de la forma más segura posible, te dejamos las guías para Android e iOS del proyecto Surveillance Self-Defense que lleva la Electronic Frontier Foundation, una de las organizaciones sin ánimo de lucro más activas y longevas en la defensa de los derechos civiles en el mundo digital.

También te sugerimos

GOBIERNO CUBANO APRUEBA VIGILANCIA ELECTRÓNICA SIN NECESIDAD DE AUTORIZACIÓN JUDICIAL PREVIA

¿CÓMO PROTEGERNOS DE VIGILANCIAS Y HACKEOS EN LÍNEA?