El FBI, la CIA y la NSA son algunas de las agencias de inteligencia y espionaje más avanzadas del mundo. Cada gran potencia tiene a multitud de hackers y espías dedicados a obtener la mayor cantidad de información posible de cualquier parte. Las aplicaciones de mensajería son uno de los medios de comunicación más usados, y si no se protegen debidamente, pueden dar lugar a accesos indebidos. Y un nuevo documento filtrado del FBI demuestra cuáles son las apps más fáciles de espiar.
Así lo ha publicado el medio Rolling Stone, que ha accedido en exclusiva a un documento filtrado del FBI que demuestra lo fácil que es para la agencia obtener datos de WhatsApp y de iMessage si obtiene una orden judicial para ello. Ambas aplicaciones de mensajería son las más usadas en todo el mundo, y también son las más permisivas en cuanto a la recopilación de datos se refiere.
iMessage y WhatsApp, las que más datos ceden
En el pasado, WhatsApp contaba con vulnerabilidades que gente como Edward Snowden o Pavel Durov calificaron directamente de puertas traseras. La realidad es que tampoco les hacían falta, ya que las copias de seguridad de los chats almacenadas en la nube (iCloud o Google Drive) no estaban cifradas. Con ello, un juez podía obligar a Google a dar acceso a esos archivos, y poder leer todos los mensajes de los usuarios.
Sin embargo, estas vulnerabilidades se han llegado a usar para espiar a periodistas, activistas o críticos con el gobierno de multitud de países. Por ello, usar un servicio de mensajería instantánea 100% seguro es, literalmente, una cuestión de vida o muerte.
Y si de vida o muerte se trata, mejor no utilizar WhatsApp o iMessage, y sí utilizar alternativas como Telegram o Signal. Aunque en el documento podemos leer que todas las apps tienen mecanismos para proteger ante hackers y espionaje, también se detalla cómo las agencias tienen vías legales para extraer información sensible de las aplicaciones.
De hecho, el documento se llama “Lawful Access”, o Acceso Legal. Está fechado a 7 de enero de 2021 y detalla la situación a noviembre de 2020, por lo que está bastante actualizado. Uno de los pocos cambios que hemos visto desde entonces es la introducción del cifrado en las copias de seguridad de WhatsApp que almacenemos en la nube, aunque ese cifrado es opcional.
De todas las apps, sólo WhatsApp es la única que ofrece información en tiempo real de un usuario. Una citación judicial puede ofrecer información básica de los usuarios, pero con una orden de registro, WhatsApp ofrecerá el listado de todos los contactos de ese usuario, así como de otros usuarios que tengan al investigado entre sus contactos.
WhatsApp permite conocer al emisor y receptor
Además, WhatsApp conoce el emisor y el receptor de los mensajes de todo momento, y en tiempo real. El resto de apps no pueden hacer esto, y las que lo permiten, ofrecen esa información con mucho retraso, lo cual afecta a las investigaciones. WhatsApp argumenta que permitir el acceso a estos datos demuestra que no hace falta romper el cifrado de extremo a extremo en los mensajes, algo que el FBI lleva años defendiendo que hay que hacer.
No obstante, esos metadatos dan mucha información al FBI, ya que permiten saber con quién habla cada usuario, cuándo lo hace, y qué contactos tiene añadidos en su móvil, por lo cual estamos ante una app que, aunque protege los mensajes, dista mucho de ser anónima. Por ejemplo, pueden llegar a conocer fuentes confidenciales de periodistas, o acabar con redes de activistas.
A principios de 2020, Natalie Edwards, extrabajadora de FinCEN, fue condenada a seis meses de cárcel por filtrar documentos a un periodista. El FBI supo que ella había intercambiado cientos de mensajes con ese periodista a través de WhatsApp porque la aplicación cedió esos datos. Ambas partes creían que la app era segura, pero esto demuestra que no.
Utiliza sólo apps seguras para información sensible
Con iMessage, Apple debe ofrecer información básica de los usuarios, y 25 días de datos del usuario en la app, incluyendo gente buscada. No obstante, no se ceden ni mensajes ni con qué usuarios se intercambiaron. Sin embargo, los mensajes almacenados en iCloud no están cifrados, y el FBI puede, mediante orden judicial, acceder a todos ellos, ya que la clave de cifrado la tiene Apple.
El resto de apps son bastante seguras. La mejor de todas es Signal, donde el FBI sólo puede conocer la fecha y hora en la que un usuario se registró, y la última fecha de conexión del usuario a la app. En el caso de Telegram, la app sólo cede la IP y el número de teléfono a autoridades en el caso de que los investigados sean terroristas confirmados.
Curiosamente, en el listado no aparecen ni Instagram Direct ni Facebook Messenger, probablemente por el hecho de que ninguna de las dos apps utiliza cifrado en los mensajes. Por ello, el FBI puede acceder a todo el contenido sin problema, de ahí que sea recomendable que evitéis usarlas para comunicaciones privadas, y utilicéis otras como Signal o Telegram.