Spaceship Blog

¿Es seguro WhatsApp y qué aplicaciones de mensajería son las más seguras?

Escribir que «la seguridad se vuelve más importante cada año» se ha vuelto tan obvio que casi parece pasado de moda. Todos los organismos que miden la ciberdelincuencia tienen estadísticas que demuestran que aumenta año tras año, y la mayoría de nosotros probablemente percibimos este hecho de forma inherente mientras observamos la (a veces) inquietante explosión de la IA.

Cuando pensamos en datos que podrían usarse en nuestra contra, pensamos inmediatamente en los datos de nuestra tarjeta de crédito, historiales médicos e incluso direcciones, pero rara vez pensamos en nuestro historial de chats. Y, sin embargo, abre los chats con tus amigos más cercanos y te garantizo que contendrán algunos, si no todos, esos datos personales.

Una vez que abres la caja de Pandora, enseguida te preguntas si estás depositando tu confianza en las aplicaciones correctas. Después de todo, hay una razón por la que aplicaciones marginales como Telegram proliferaron a principios de la década de 2020. Pero nos estamos adelantando. Empecemos por observar más de cerca al pez más grande, WhatsApp.

¿A quién no le gusta WhatsApp?

WhatsApp. Su enorme escala es alucinante.

Es la única aplicación que se me ocurre que intentó —y logró— sustituir al mensaje de texto como nuestra opción predeterminada. Con el tiempo hubo algunos competidores (¿alguien recuerda BBM de BlackBerry?), y algunos argumentarían que, incluso hoy, iMessage le planta cara…

Pero enséñame a alguien con iMessage y te garantizo que también tiene WhatsApp instalado. Porque WhatsApp no discrimina por plataforma. Su naturaleza universal es probablemente lo que hizo que WhatsApp capturara el mercado de los SMS en un espacio de tiempo relativamente corto. De hecho, «te escribo por WhatsApp» es ahora casi tan ubicuo como lo era antes «te mando un mensaje».

Pero ¿es segura?

Depende de cómo definas «seguro». La privacidad tiene muchas facetas, especialmente cuando implica algo tan matizado como los chats. Desglosemos algunos de los elementos clave y luego volvamos a la pregunta.

El cifrado de WhatsApp

WhatsApp presume de cifrado de extremo a extremo mediante el Protocolo Signal. Tiene sentido explorar esto primero, ya que podría ser su función de seguridad más comentada, y luego volver a la pregunta principal.

WhatsApp usa el Protocolo Signal desde 2014 (y lo implementó por completo en 2016). Su colaboración con Signal (más sobre ellos más adelante) estuvo impulsada, ya en 2014, por la necesidad de una mayor seguridad en su aplicación.

El hecho de que WhatsApp eligiera un protocolo de terceros quizá demuestra que estaban, al menos en parte, comprometidos con mejorar la seguridad. El Protocolo Signal significa esencialmente que los mensajes, los datos e incluso las videollamadas/llamadas de voz se cifran desde el momento en que salen de tu teléfono, y solo pueden descifrarse en el teléfono del destinatario.

Ni siquiera el propio WhatsApp tiene la clave de descifrado. Además, no almacenan los mensajes (más allá del almacenamiento temporal de los mensajes que no pueden entregarse de inmediato). En pocas palabras, tus mensajes siguen siendo bloques ilegibles de texto cifrado en lo que respecta a WhatsApp.

Pero, por muy bien que suene esto, como ya hemos analizado antes, viene con algunas salvedades bastante importantes. En primer lugar, si un usuario denuncia un mensaje, se enviará a los moderadores de WhatsApp, junto con varios mensajes anteriores (presumiblemente para dar contexto). Así que, aunque tengan que ser invitados a entrar, WhatsApp aún puede ver mensajes que quizá preferirías que siguieran siendo privados.

Espera… tengo un teléfono nuevo y todo mi historial de mensajes estaba allí

Este es quizá el mayor fallo de todos. Si usas WhatsApp en Android o iPhone, se te animará a hacer una copia de seguridad de tus mensajes. Pero estas copias de seguridad pueden no estar cifradas. Si no lo están, WhatsApp, o incluso Apple/Google, podrían acceder a estos registros si un tribunal o un gobierno lo exige mediante citación.

Es bastante fácil solucionarlo:

  1. Ve a la configuración de WhatsApp de tu dispositivo.

  2. Ve a Chats > Copias de seguridad del chat

  3. Toca Copia de seguridad cifrada de extremo a extremo

Y, si puedes, asegúrate de que tus amigos también lo hagan: basta con una sola copia de seguridad sin cifrar.

Privacidad avanzada del chat

A principios de este año, WhatsApp comenzó a implementar Advanced Chat Privacy. Descrita como algo «para tus conversaciones más sensibles», está pensada para «ayudar a evitar que otros saquen contenido fuera de WhatsApp», sea lo que sea que eso signifique. Está dirigida principalmente a conversaciones de grupos grandes (lo cual tiene sentido), y evita que la gente exporte la conversación y descargue automáticamente los archivos adjuntos.

Tras probar esta función yo mismo, parece que sigue permitiendo hacer capturas de pantalla y copiar y pegar mensajes, así que no tengo del todo claro qué soluciona. Si te preocupan los chats grupales, los mensajes que desaparecen podrían seguir siendo una opción más segura (aunque algo puntillosa) para una mayor tranquilidad.

La crisis de los metadatos de 2021

Como mencioné al principio, a comienzos de la década de 2020 hubo un éxodo masivo de WhatsApp hacia alternativas como Telegram. Nada fue más destacado que en 2021, cuando WhatsApp cambió su política de privacidad.

Los cambios permitieron a WhatsApp compartir sus metadatos con su empresa matriz, Meta (también conocida como Facebook). Este cambio fue recibido con mucha hostilidad, en parte por la forma en que se implementó (una simple notificación en la aplicación, cuyo mensaje básico era «Acepta o vete») y, por supuesto, por las implicaciones del intercambio de datos.

Se creía que WhatsApp utilizaba estos datos adicionales para monetizar aún más a sus usuarios. También permitió a los usuarios empresariales almacenar sus conversaciones con clientes con terceros, lo que muchos vieron como una ligera marcha atrás respecto a su anterior postura férrea sobre el cifrado. Las empresas podrían (teóricamente) vender estos datos para segmentación publicitaria y análisis.

¿Qué son los metadatos?

En el caso de WhatsApp, se trata esencialmente de números de teléfono, información del dispositivo, direcciones IP, contactos y patrones de uso. Individualmente, puede que no parezcan tan interesantes, pero juntos pueden ofrecer información bastante detallada si se analizan correctamente.

Jamie, hombre, 34

  • Pasa tiempo en Exeter, Reino Unido.

  • Interactúa con frecuencia con Penhaligons Ltd.

  • Tiene una proporción significativa de amigos en Londres.

  • Suele estar activo de 8AM a 10PM (definitivamente no es lo que diría, pero puedo soñar).

En este caso hipotético, vemos rápidamente cómo WhatsApp puede usar los pequeños fragmentos de mis metadatos para construir un miniperfil sobre mí. Ignorando cualquier dato que puedan recopilar de Facebook e Instagram, ya podrían dirigirme anuncios:

  • Cuando es más probable que esté activo.

  • Relacionados con fragancias o jabones.

  • Que sean locales de Exeter.

  • Que siembren la idea de una visita a Londres, incluyendo viajes, lugares donde alojarse y cosas que hacer.

Y todas estas son ideas muy superficiales. No es difícil imaginar que me alimenten a un algoritmo complejo que exprima hasta el último valor monetario de los limitados datos que han recopilado de WhatsApp. Y esto es lo que muchos comprendieron en 2021.

Otras preocupaciones sobre WhatsApp

Pagos y transacciones

Si usas WhatsApp para procesar pagos, es posible que esas transacciones no estén cifradas de extremo a extremo de la misma manera que las conversaciones.

Esto plantea un par de problemas. Los pagos en sí no están cifrados de extremo a extremo, sino que los gestionan bancos de terceros. Aunque esto en sí mismo no es necesariamente un problema, si tu dispositivo se ve comprometido por spyware o malware, el cifrado de Meta no te protegerá. También existe la preocupación de que Meta pueda usar los metadatos de compra para reforzar aún más el perfil personal que ya hemos mencionado.

Datos de grupos

Aunque los datos de grupos no son en sí mismos un «problema», en WhatsApp hay menos opciones que en otras plataformas para ocultar tus datos personales. Si participas en un chat grupal grande en el que preferirías que tu nombre, número y foto no fueran visibles, esto es una desventaja de WhatsApp.

Corrupción gubernamental y de las fuerzas del orden

Aunque muchos se alejaron de WhatsApp por las preocupaciones sobre la privacidad de los metadatos, para otros eso es solo una parte de la historia. Para algunos, una aplicación más segura es una necesidad, no un lujo, y elegir la adecuada podría marcar una gran diferencia.

Algunos gobiernos son corruptos y pueden usar medios ilícitos para obtener, o incluso simplemente supervisar, más datos de los que tienen derecho a recopilar sobre sus ciudadanos. De los 5 mil millones de personas con acceso a Internet, el 79% vive en países donde se arrestó o encarceló a personas por publicar contenido sobre cuestiones políticas, sociales o religiosas.

Un artículo reciente sugiere que incluso el FBI de Estados Unidos puede obtener considerablemente más de WhatsApp e iMessage que de Telegram y Signal. Es un texto interesante, pero tómalo con cautela porque depende en gran medida de una sola fuente.

Con esto en mente, echemos un vistazo a algunas de las otras aplicaciones y a por qué las personas con más que perder podrían elegirlas. Un pequeño adelanto: todos los mensajeros que vamos a mencionar (excepto Telegram) tienen cifrado de extremo a extremo por defecto. Como referencia en seguridad de mensajería, esto no sorprende, así que lo daremos por sentado y nos centraremos en las demás funciones.

En teoría, ninguna aplicación de mensajería es más segura que otra solo por el cifrado. Gran parte de esto se reduce a los metadatos y a cómo se usan. Así que la seguridad diferenciadora se basa principalmente en su supervisión de metadatos, pero, más exactamente, se reduce a la creencia: si los usuarios creen que estas empresas colaborarían con fuerzas del orden corruptas para entregar datos que no tendrían por qué entregar.

Telegram

Cuando pensamos en aplicaciones alternativas, Telegram probablemente encabeza la lista. Sin embargo, este es un caso interesante de percepción frente a realidad. Porque, si estabas prestando atención antes, habrás notado que Telegram es en realidad la única de las que vamos a ver que no está cifrada de extremo a extremo, y que en su lugar depende de un método de cifrado cliente-servidor. Esto significa que Telegram sí puede descifrar los mensajes, a diferencia de otras plataformas.

Solo los Chats Secretos de Telegram cuentan con cifrado completo. Entonces, ¿por qué se ha ganado la reputación de ser más segura (aunque la realidad quizá no lo respalde)?

Gran parte de ello tiene que ver con el marketing. Los fundadores de Telegram han enfatizado a menudo que no es con ánimo de lucro, pero eso no es lo mismo que ser una organización sin ánimo de lucro, y esa es una distinción crucial.

Sin embargo, sí tiene controles más «granulares» en materia de privacidad que WhatsApp no tiene. Por ejemplo, puedes ocultar tu número de teléfono y elegir quién ve los datos del perfil, como tu foto. También hay un modo de administrador anónimo que puedes usar para publicar sin revelar tu identidad. Así que hay formas de hacer Telegram más segura, pero es menos automático de lo que cabría esperar de un nombre tan sinónimo de seguridad.

Además, al igual que WhatsApp, está vinculada a un número de teléfono. Esto significa que, a un nivel más profundo, tus comunicaciones pueden rastrearse hasta ti. Lo cual es malo si realmente necesitas pasar desapercibido. Esto es algo que será menos común a medida que avancemos en la lista.

Quizá, bajo esa apariencia de seguridad, Telegram ha triunfado más por las comunidades que fomenta y por la idea de poder hablar libremente con personas afines. Pero aun así se gana su lugar como alternativa a WhatsApp.

Signal

Ya hemos mencionado Signal, ya que su protocolo de cifrado de extremo a extremo es el que protege WhatsApp. En su día fue respaldado por Edward Snowdon, lo que dice mucho sobre sus niveles de seguridad. Al igual que con WhatsApp, el cifrado hace imposible el acceso a los mensajes a nivel de servidor.

Con Signal, necesitas un número de móvil para registrarte, pero después puedes optar por un nombre de usuario, lo que dificulta más el rastreo. La filosofía de Signal en torno a la seguridad es sólida y, aunque no es imposible rastrear los mensajes hasta ti, está diseñada para que resulte difícil.

Lo que conservan también es famosamente mínimo. Conocen tu número, la fecha en que registraste tu cuenta, cuándo te conectaste por última vez y si estás conectado actualmente. No guardan ningún otro metadato e incluso cifran los detalles de a quién escribes mediante Sealed Sender. El servidor sabe dónde entregarlo, pero no quién lo envió.

Un pequeño inconveniente es que Signal puede bloquearse con más facilidad por países y jurisdicciones debido a cómo funciona entre bastidores. Por ejemplo, sufrió bloqueos en algunos países, incluidos Irán y Egipto.

Esto se debe a queSignal depende de servidores centralizados para la entrega de mensajes y el registro, lo que significa que los gobiernos pueden identificar y bloquear esas direcciones IP específicas. En segundo lugar, Signal requiere verificación por SMS o voz durante la configuración, lo que da a los proveedores de telecomunicaciones la oportunidad de interceptar o bloquear por completo el proceso de registro.

Pero Signal es una opción sólida en la mayoría de los territorios y, a diferencia de Telegram, Signal es una organización sin ánimo de lucro, lo que ofrece cierta tranquilidad sobre sus motivaciones financieras.

Session

Session es como Signal con esteroides. No conserva metadatos y, a diferencia de las aplicaciones mencionadas hasta ahora, tampoco necesita un número de teléfono ni una dirección de correo electrónico para registrarse.

En su lugar, asigna a tu dispositivo un ID mediante una ingeniosa combinación de cookies y métodos de identificación entre bastidores, lo que significa que puedes permanecer realmente anónimo (se aplican términos y condiciones). Del mismo modo, elimina los servidores que las otras aplicaciones usan para transferir y procesar físicamente los datos de los mensajes, y en su lugar opta por una estructura descentralizada que utiliza nodos, de forma similar al navegador TOR.

Esto significa que no hay un ordenador central procesando los datos, lo que hace que sea mucho más difícil rastrearlos.

Entonces, ¿por qué no usamos todos Session? Bueno, hay algunos inconvenientes. La falta de servidores centrales (y la dependencia de nodos) crea problemas de velocidad, tanto para las llamadas como para los mensajes de texto.

Los identificadores únicos pueden plantear riesgos. El anonimato tiene dos caras, y Session facilita la suplantación de identidad o el encubrimiento de otras actividades maliciosas. No solo eso, sino que resultan algo engorrosos en la mayoría de los entornos cotidianos. Tienes que compartir manualmente tu ID de sesión alfanumérico de 66 dígitos, lo que puede dar lugar a errores.

Te gusten o no, los números de teléfono y sus riesgos asociados vienen con ventajas, como poder encontrar fácilmente a tus amigos (a través de sus vínculos con tus otras cuentas) o simplemente la sencillez de dar un número.

En definitiva, Session es genial si lo que necesitas es un anonimato real debido a una amenaza inminente, pero resulta bastante poco práctica para el uso diario. Ese es el precio del verdadero anonimato.

Thunderbolt

Thunderbolt es una aplicación de comunicación centrada en la seguridad que pone la privacidad en primer lugar de una forma similar, aunque no idéntica, a Session y Signal.

De una forma similar a Session, busca eliminar tus datos personales, pero de un modo algo menos poco práctico. En lugar de sustituir simplemente un número de teléfono o un correo electrónico por un código infinitamente largo, utiliza un dominio como identificador. Esto es claramente diferente de una dirección de correo electrónico, tanto en su aspecto como en su funcionamiento. En cuanto al aspecto, es la parte que introduces en una barra de direcciones, sin el nombre ni el símbolo @. Funcionalmente, permite una mayor seguridad, sin dejar de ser útil y práctico siempre que quieras compartirlo.

De este modo, Thunderbolt también está descentralizada. Aunque no utiliza los «nodos» completamente independientes que usa Session (y opta en su lugar por servidores centralizados más fiables), sí se apoya en una identidad descentralizada mediante la propiedad de dominios. Al utilizar DNS, Thunderbolt también es algo más difícil de prohibir para los países.

La identidad basada en DNS significa que los usuarios se verifican mediante la propiedad del dominio, que está descentralizada y, por tanto, es más difícil de regular (que los sistemas centralizados de números de teléfono). Bloquear la infraestructura DNS también conlleva el riesgo de daños colaterales: los gobiernos tendrían que interferir en la propia resolución de dominios, lo que podría interrumpir servicios y sitios web no relacionados. Realmente no merece la pena el riesgo.

Se pueden lograr mayores niveles de anonimato con Thunderbolt si optas por un dominio Handshake o ENS. Esto utiliza una red descentralizada de estilo blockchain que sitúa el anonimato en el centro del proceso de registro del dominio. A diferencia de Session, puedes no figurar en directorios y seguir compartiendo tu dominio (identificador) con facilidad.

Una ventaja añadida de este método, que no es comparable con las otras aplicaciones, es que el DNS también hace más difícil que te suplanten. Tanto los números de teléfono como las direcciones de correo electrónico son notoriamente fáciles de falsificar. Como una cuenta de dominio suele estar protegida por autenticación de dos factores (2FA) y una contraseña segura, esto la hace inherentemente más segura y difícil de hackear o falsificar.

Thunderbolt combina este sistema de ID único con valores fundamentales de seguridad y privacidad. Por lo tanto, podría verse como un escenario de «lo mejor de ambos mundos», ofreciendo lo mejor del anonimato y, al mismo tiempo, siendo accesible y con entrega rápida.

Aunque Thunderbolt conserva niveles de metadatos similares a los de Signal, afirma claramente que estos datos nunca se monetizarán ni se usarán de otro modo.

Presentado como tabla

Había mucho que desentrañar, así que hemos condensado los puntos principales en una tabla útil.

Aplicación

Puntos fuertes

Debilidades / Salvedades

Telegram(Chats Secretos)

• Cifrado de extremo a extremo opcional• Funciones como mensajes autodestructivos y ajustes granulares de permisos del perfil.

• Los chats normales no están cifrados de extremo a extremo por defecto• La percepción puede ocultar debilidades• Se conservan algunos metadatos

Signal

• Cifrado de extremo a extremo por defecto• Retención mínima de metadatos• Organización sin ánimo de lucro y filosofía clara

• Requiere número de teléfono para registrarse• Ha sufrido bloqueos temporales en países como Irán y Egipto debido a su funcionamiento• Se conservan algunos metadatos

Session

• No requiere número de teléfono ni correo electrónico• Servidores descentralizados• Anónima por diseño

• Entrega de mensajes más lenta; funciones limitadas• Compartir el ID es relativamente complejo

Thunderbolt

• Cifrado de extremo a extremo por defecto• Identificador de dominio robusto protegido por DNS• Política de privacidad y filosofía claras.

• Aplicación nueva con una base de usuarios limitada• Se conservan algunos metadatos

¿Qué aplicación es la más segura?

En resumen, la mayoría de las aplicaciones presumen de cierto grado de privacidad, y el resto depende de la confianza individual que tengas en la empresa. Del grado en que creas que podrían cooperar con fuerzas del orden o gobiernos corruptos.

Todos los que llevamos con orgullo nuestro título en True Crime de Netflix sabremos que ni siquiera el cifrado más fuerte del mundo te protege si alguien ha hackeado tu dispositivo o simplemente te lo quita. En estas situaciones, a menudo se examina mucho más que los mensajes. Así que las aplicaciones de comunicación, y sus ventajas de seguridad, siempre son relativas al mundo más amplio en el que vives, y solo una parte de la ecuación.

Para la mayoría de nosotros, se trata más de que se monetizan nuestros datos que de que se usen en nuestra contra, y hacer un cambio sencillo a algo como Signal o Thunderbolt puede reforzar tu seguridad sin los inconvenientes de aplicaciones de mensajería más cerradas.

Preguntas frecuentes

Depende de lo que entiendas por segura. Está cifrada de extremo a extremo, lo que significa que WhatsApp como empresa no puede descifrar (y por tanto ver) los mensajes. Sin embargo, WhatsApp sí conserva muchos metadatos sobre tus actividades, que pueden monetizarse y usarse para mostrarte publicidad.

Sí. Es fácil de hacer y corrige una vulnerabilidad que, de otro modo, puede comprometer tu seguridad. Ve a la configuración de WhatsApp de tu dispositivo. Ve a Chats > Copias de seguridad del chat Toca Copia de seguridad cifrada de extremo a extremo

Al contrario de lo que mucha gente percibe sobre Telegram, no es la aplicación más segura. De hecho, ni siquiera los chats están cifrados de extremo a extremo por defecto, lo que significa que la empresa podría leerlos potencialmente. Sin embargo, sí enfatizan su postura sobre la privacidad y la seguridad, y es una alternativa sólida a WhatsApp, con una funcionalidad similar y controles más granulares para los datos del perfil.

Signal está cifrada de extremo a extremo y te permite seleccionar un nombre de usuario en lugar de usar un número de teléfono o una dirección de correo electrónico (aunque se requiere un número de teléfono para registrarse). Se considera una de las opciones más seguras, sin añadir complejidad a su uso. Sin embargo, Signal ha sido prohibida en ciertos países.

Session se considera una de las aplicaciones de mensajería más seguras que existen. Puede permitir un anonimato casi total y no requiere un número de teléfono ni una dirección de correo electrónico para registrarse. En su lugar, utiliza tu propio dispositivo. Esto puede generar algunas dificultades a la hora de encontrar amigos. También está descentralizada, lo que significa que tus mensajes no se transmiten mediante servidores (sino mediante nodos), pero esto sí provoca algunos problemas de velocidad. Debido a estos factores, a menos que necesites una privacidad extrema por una buena razón, Session puede resultar un poco engorrosa.

Thunderbolt utiliza cifrado de extremo a extremo y fue creada como una solución de mensajería pensada para quienes se preocupan por la seguridad. Tiene la ventaja añadida de usar dominios en lugar de números de teléfono y direcciones de correo electrónico, beneficiándose así de la seguridad adicional inherente al sistema DNS. Es rápida y utiliza un identificador fácil de recordar (un nombre de dominio), por lo que es fácil de compartir. Esto la convierte en una solución ideal para las personas que quieren ser conscientes de la seguridad sin los inconvenientes de aplicaciones como Session.


Artículos sugeridos

Comparte tus ideas

Se requieren más de 10 caracteres.
Tu identidad para mostrar públicamente.
Proporcionar tu dirección de correo electrónico es opcional. No se compartirá con terceros.

Ayúdanos a mejorar nuestro blog

Comparte tu opinión en una breve encuesta de dos minutos.

Se requiere un correo electrónico válido