¿Puede WhatsApp ver tus mensajes? La Ilusión del E2EE y el rastro del gobierno: Cómo SocialNet monitorea nuestras vidas en más de 200 plataformas

Durante esta semana que he estado algo ausente han surgido demasiadas cosas, mismas de las que cada día pensaba ¿Será que mañana puede haber un titular que supere al anterior? Y lo sorprendente es que sucedió, pues ahora he venido a escribir un poco sobre ello, trayendo algo de ese contenido al español y bajo mi perspectiva para entender un poco cual es el panorama en el que vivimos actualmente y sí digitalmente estamos “seguros” cuestión de dudar con cada día que pasa.

WhatsApp: se lo que deaseas

De lo primero que leí fue: ‘¿Puede WhatsApp ver tus mensajes? La ilusión E2EE’, de Uğur Toprakdeviren, un conocido investigador de cifrado E2EE, quien ha tenido un papel importante en otros protocolos de cifrado y, de hecho, propone un nuevo concepto de cifrado seguro, cosa que les contaré más adelante. El caso es que en su artículo mencionado anteriormente describe cuáles son las partes de la arquitectura de WhatsApp por las que se debe desconfiar y, en sí, desmontar su cifrado de extremo a extremo. En resumen:

  1. Clave Pública Compartida: WhatsApp utiliza claves públicas para cifrado resistente a computadoras cuánticas, pero no se puede verificar si la clave pública de un contacto es auténtica, lo que podría permitir ataques Man-In-The-Middle (MITM). La verificación requiere servidores independientes que WhatsApp no implementa.
  2. Múltiples Dispositivos: Al usar WhatsApp en varios dispositivos, la información sobre el inicio de sesión proviene de sus servidores, lo que podría permitirles leer mensajes. Sin un protocolo seguro como el “Algoritmo Sesame” de Signal, esto genera vulnerabilidades.
  3. Reenvío de Archivos: WhatsApp elimina archivos grandes al reenviarlos instantáneamente, lo que sugiere que podría tener acceso a contenido sin cifrar, en lugar de requerir un nuevo cifrado.
  4. Mensajería Grupal: WhatsApp no utiliza el protocolo MLS para cifrado en grupos, sino una solución menos segura que distribuye una clave grupal, lo que introduce vulnerabilidades en la gestión de claves.
  5. Videoconferencia Grupal: En videoconferencias, WhatsApp combina y envía video a través de sus servidores, lo que requiere acceso a datos sin cifrar. Signal, en cambio, cifra las transmisiones individualmente, manteniendo la privacidad.
  6. Modelo de Ingresos: WhatsApp envía 100 mil millones de mensajes diarios de forma gratuita, lo que plantea la pregunta de cómo financian sus operaciones. Se sugiere que Meta podría estar utilizando datos de usuarios para monetizar la información.
  7. Metadatos: A pesar del cifrado, WhatsApp procesa metadatos que pueden revelar patrones de comunicación, lo que puede ser muy informativo sobre los usuarios.
  8. Anomalías en la Vida Real: Existen casos documentados donde las autoridades han accedido a correspondencia de WhatsApp sin el conocimiento de los usuarios. Aunque WhatsApp afirma que no rastrea a individuos, los datos se analizan en conjunto para fines de marketing.

Aclaro que lo anterior es solo un resumen, para entender cada punto te manera extensa deben de redirigirse al artículo original en cuestión que he anclado al inicio de estás líneas. Respecto a la pregunta del titulo, si aun no quedo claro: sí.

Y sí… de verdad que no me extrañaría para nada que esto fuese real, por la misma razón en que está construido WhatsApp. Osea, aunque el protocolo de cifrado en sí es accesible y puede ser auditado por la comunidad, la implementación específica de WhatsApp de este protocolo es parte de su código cerrado. Esto significa que, aunque los principios y la seguridad del protocolo Signal pueden ser verificados y revisados por expertos en seguridad, la forma en que WhatsApp lo ha integrado en su aplicación y cómo maneja otros aspectos de la seguridad y la privacidad de los datos no puede ser auditada de manera independiente.

Ya había momentos en los que yo pensaba: ¿Cómo es posible que WhatsApp pueda mover tanta cantidad de datos en cuestión de segundos? Y sí, pueden decir “sus grandes datacenters”, pero he notado cómo otras compañías que adoptan cifrado de extremo a extremo y tienen una cantidad de usuarios mucho menor pueden, fácilmente, tener problemas en sus servidores al momento de intercambiar información, lo que suele tardarse bastantes segundos, lo cual es apreciable. Todo esto, mientras internamente las operaciones matemáticas juegan entre sí para que el usuario pueda obtener un archivo descifrado de quién corresponde. De ahí que se note la diferencia a primera vista… siempre esa ha sido mi sensación, la razón por la que suelo desconfiar de este tipo de mensajerías que hacen todo tan rápido sin importar todos esos procesos complejos que hay de fondo.

Así que, bueno, sorpresa como tal no es; es inseguro hasta que se demuestre lo contrario, cosa que no creo. Sin embargo, ya se ha convertido en un monstruo con el que tenemos que convivir día tras día, y sí, tanto en el ámbito laboral como personal. Por lo tanto, siempre mi recomendación será: cuidado con lo que compartes por dicho medio y trata de evitar conversaciones demasiado privadas.

Ahora, respecto al nuevo concepto que introduce este autor, cito:

“Ninguna aplicación de mensajería conectada a un servidor es realmente segura. Como ya he escrito, lo que necesitamos no es E2EE, sino P2PE (cifrado punto a punto). La verdadera seguridad reside en eliminar el servidor como posible punto de vulnerabilidad.

En un sistema P2PE, los mensajes se transmitirían directamente entre usuarios sin pasar por servidores centrales ni almacenarse en ellos. Esto eliminaría muchas de las vulnerabilidades descritas anteriormente y daría a los usuarios un control real sobre sus comunicaciones.

Hasta que logremos eso, debemos mantener un sano escepticismo sobre las afirmaciones de encriptación “inquebrantable” de cualquier servicio que mantenga servidores centrales y un modelo de negocios que no explique de manera transparente cómo cubren sus enormes costos operativos”.

El gran hermano nos vigila

Otra cuestión de la que leí recientemente y de la que finjo “sorpresa” fue la de enterarme de que en USA se está utilizando una herramienta llamada SocialNet para acceder a datos públicos de usuarios de más de 200 plataformas y mapear las actividades, movimientos y relaciones de los individuos. Esto no es del todo sorpresa debido a que gracias a las filtraciones y demás artículos periodísticos nos hemos estado enterado que USA siempre ha andado a la vanguardia en términos de OSINT, que significa Open Source Intelligence (Inteligencia de Fuentes Abiertas), se refiere a la recopilación y análisis de información disponible públicamente para obtener inteligencia útil. Esta información puede provenir de diversas fuentes, como:

  • Internet: Sitios web, redes sociales, blogs, foros y otros recursos en línea.
  • Medios de comunicación: Artículos de noticias, informes y publicaciones de medios.
  • Documentos públicos: Registros gubernamentales, informes de auditoría, documentos legales y otros registros accesibles al público.
  • Publicaciones académicas: Artículos de investigación, tesis y otros trabajos académicos. Datos de empresas: Información sobre empresas, como informes anuales, datos de mercado y análisis de la competencia.
Imagen sacada de acá.

OSINT es utilizado en diversas áreas, incluyendo la seguridad nacional, la ciberseguridad, la investigación de mercado, la inteligencia empresarial y la investigación criminal. La ventaja de OSINT es que se basa en información accesible y legal, lo que permite a los analistas obtener datos valiosos sin necesidad de recursos clandestinos o ilegales. Básicamente es similar a lo que se hace en el bando contrario con el famoso doxing, que de hecho fue muy popular años atrás en el que, con pocos datos podías obtener gran cantidad de información sobre un individuo o una organización.

Lo nuevo acá es que, en ese mapeo salen aplicaciones de las que se consideraban “seguras” al menos poco loables a ser recopiladas, dentro de ellas: Signal.

Cito una parte del artículo “Los más de 200 sitios que monitorea un contratista de vigilancia de ICE” de José Cox:

“Un contratista del Servicio de Inmigración y Control de Aduanas (ICE) y muchas otras agencias gubernamentales de EE. UU. ha desarrollado una herramienta que facilita a los analistas la extracción simultánea de datos públicos de una persona objetivo de una amplia gama de sitios web, redes sociales, aplicaciones y servicios, incluyendo Bluesky, OnlyFans y varias plataformas Meta, según una lista filtrada de sitios obtenida por 404 Media. La lista incluye más de 200 sitios de los que el contratista, llamado ShadowDragon, extrae datos y los pone a disposición de sus clientes gubernamentales, lo que les permite rastrear la actividad, los movimientos y las relaciones de una persona.

La noticia llega después de que el Servicio de Inmigración y Control de Aduanas (ICE) detuviera el sábado a Mahmoud Khalil , un destacado manifestante de la Universidad de Columbia y residente permanente legal de Estados Unidos con tarjeta de residencia permanente (Green Card), con la intención de deportarlo. También se produce cuando, según informes, el secretario de Estado, Marco Rubio, está lanzando una iniciativa de “Captura y Revocación” basada en inteligencia artificial para escanear las cuentas de redes sociales de decenas de miles de titulares de visas de estudiante, en busca de lo que Axios informó como extranjeros que parecen apoyar a Hamás u otros grupos terroristas”.

Lastimosamente el artículo como tal es de pago, por lo que no se puede acceder a el completamente, pero las listas han sido difundidas por otros medios, puedes verla: acá. En la que se destacan Signal, Protonmail, Wire, DuckDuckGo, BlueSky, WhatsApp, VirusTotal, Telegram, Pastebin, las principales redes sociales rusas, sitios porno bien conocidos, sitios de donaciones, Gab, Minds y el Fediverso en general. ¡Están por todos lados! Si no cifras nada realmente privado y utilizas alguna de esas aplicaciones, ya estás en su gran base de datos; de hecho, confirman lo que sospeché hace mucho: el Fediverso ha sido integrado en el ojo del Gran Hermano y, hasta que no integren el cifrado de extremo a extremo, será un sitio potencialmente inseguro.

Respecto a esto, leía un interesante cuestionamiento de un usuario en la red:

  1. No controlas la plataforma (en la mayoría de los casos); incluso los cárteles lo entienden, por lo que usan mensajeros personalizados en teléfonos personalizados bbc.com/news/articles/clyljp… y eso no los salvó. Incluso considerando que la aplicación, por ejemplo, Signal de código abierto, descargada de la App Store, la aplicación que no compilaste 🤡 es segura, no tiene puertas traseras y es segura (quién sabe, quizás sí). ¿Cómo puedes estar seguro de que tu teléfono de 12-16 GB/1 TB no crea una instantánea discreta y la envía por la red 5G de GBits a su antojo? ¿Qué te hace pensar que nada intercepta los APN o la alternativa de Android?
  2. Probablemente estemos subestimando la capacidad de cómputo y almacenamiento de los grandes estados. Para ponerlo en perspectiva, OpenAI logró rastrear internet para entrenar sus modelos de IA; la empresa literalmente no existía hace una década. Bueno, la NSA tiene 72 años, hasta 50 mil empleados, acceso a la infraestructura de internet y posiblemente a cientos de plataformas que les proporcionan datos en tiempo real. A esto hay que sumarle las competencias de análisis de datos de Palantir y otras corporaciones menos conocidas.
  3. Simplemente busca en Google qué son las CNN, date cuenta de la pequeña cantidad de vértices que se necesitan para reconocer tu rostro, súbelo a una de esas aplicaciones de reconocimiento facial y luego cuenta todas las cámaras que encuentras en un día (teléfonos, portátiles, cámaras de vigilancia en el ascensor, la entrada de casa, en la calle, parpadeos, timbres, etc.).
  4. Incluso con todo súper seguro de tu lado, nunca sabes qué hay del otro lado. – Alex Lem

Tiene datos interesantes que cobran mucho sentido, aunque otros no tanto, de hecho el fundador de Brave le respondió referente a la afirmación de OpenIA y es que estos llevan bastante tiempo, aunque muy bajo perfil.

Conclusión

Lo más importante es no ‘alarmarse’ y esperar las diferentes declaraciones por parte de los entes que se ven envueltos en esta ‘filtración’, si se le puede llamar así. Aunque también hay que tener en cuenta el método de obtención de los datos, bajo el modelo OSINT del que ya expliqué líneas arriba cómo es su proceder. Por lo tanto, no han ‘afectado’ como tal a ninguna plataforma; son datos a los que cualquiera, minuciosamente y con el conocimiento y el software indicados, puede acceder. Sin embargo, en este caso, ellos, por medio de un tercero, han automatizado todo este proceso para generar un mapa de conectividad entre sí en más de 200 plataformas. Esa es la cuestión: el cómo van de avanzados en este material y a saber qué más tienen de manera confidencial.

Ya veo a mucha gente criticando las diferentes organizaciones sin entender mucho el cómo y el por qué sucede esto. Además, hay que tener en cuenta el grado de culpabilidad de las diferentes plataformas. Desde ya he visto a quiénes andan recomendando migrar de Signal a otras plataformas europeas. De hecho, ayer escribí sobre las alternativas europeas, que muchas aún no le llegan a los talones de Signal. Recientemente, la agencia estadounidense CISA y luego las Fuerzas Armadas suecas han recomendado fuertemente su adopción ¿Por qué? Porque han entendido la importancia de poseer un mensajero seguro debido a tanto enemigo en línea, piratas informáticos de diferentes naciones representando a un patrón, que efectivamente lleva una bandera; gana quién conozca más del otro.

Recientemente también me hago eco de que Signal amenaza con abandonar Francia si se requiere una puerta trasera de cifrado… y miren que he escrito recientemente sobre la doble moral de Francia con su “alternativa segura” Olvid, de la que sacan pecho, en ser la única mensajería certificada en el país (auto echarse flores ja ja) y aclaro, que Olvid no es precisamente una alternativa estatal, solo proviene de allá, pero lo parecen con las tácticas que han manejado.

En fin, cómo dicen en mi tierra “amanecerá y veremos”… no afirmes nada y cuestiona todo.

¡Muchas gracias por leer! Quedo atento a cualquier corrección y/o aporte; saludos.

Imagen sacada de acá.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *