La polémica de la filtración de WikiLeaks sobre la CIA no ha hecho más que empezar. Más de 8.000 documentos sobre las técnicas de espionaje de la Agencia Central de Inteligencia (CIA en inglés) de Estados Unidos han salido a la luz de la mano de Edward Snowden, y de esta tormenta no se ha librado ninguna aplicación de mensajería: WhatsApp, Telegram e incluso Signal están en el punto de mira.
Los documentos filtrados de la CIA que ha sacado a la luz WikiLeaks hablan con pelos y señales de las herramientas que esta agencia utiliza para espiar móviles, ordenadores e incluso Smart TVs sin que el usuario tenga la más mínima sospecha de que todo lo que hace con su dispositivo está siendo intervenido por otra persona. Eso, por supuesto, afecta también a las aplicaciones de mensajería instantánea.
Pero es importante aclarar varios puntos acerca de lo que la CIA puede hacer con nuestro WhatsApp. Para empezar, ni la CIA ni ningún otro organismo del mundo han conseguido saltarse el cifrado de WhatsApp -o al menos nadie ha llegado más allá de complejos “trucos” que permiten “engañar” este cifrado-, y el mensaje que WikiLeaks ha publicado en su Twitter ha llevado a una importante confusión. Es hora de aclarar algunos puntos en esta polémica.
Lo que está expuesto son los propios sistemas operativos de Android e iOS, no WhatsApp
Ni WhatsApp ha sido “hackeado” ni aplicaciones como Telegram o la ultra-segura Signal han dejado de ser recomendables para mantener conversaciones privadas con otras personas. Lo que sí ha sido comprometido, y además de forma muy seria, son los dos sistemas operativos móviles más populares del planeta. Tanto Android como iOS han estado durante años en el punto de mira de las herramientas que la CIA utilizaba para espiar a las personas.
Si partimos de la base de que el sistema operativo que utilizamos en nuestro móvil tiene una puerta trasera que le permite a la CIA acceder a todo lo que hacemos con el teléfono, la triste realidad es que no existe cifrado que pueda proteger nuestros mensajes de WhatsApp -ni los de cualquier otra aplicación-.
Los mensajes se envían cifrados desde nuestro teléfono, pero si alguien consigue interceptarlos antes siquiera de que los hayamos enviado, el cifrado no sirve para absolutamente nada.
Para entenderlo mejor, pongamos un ejemplo: todos tenemos una tarjeta de crédito (o débito) con un código PIN que evita que otra persona pueda quitarnos la tarjeta, ir al cajero más cercano y sacar sin pestañear toda nuestra fortuna en efectivo. Pero, ¿de qué sirve el PIN si, cuando nos llega la tarjeta del banco a casa, esa misma persona intercepta la carta y hace una foto del código secreto? Eso es, grosso modo, lo que está sucediendo en este caso de espionaje de la CIA.
Telegram lo ha explicado muy bien en su blog oficial. Lo que ha descubierto esta filtración de WikiLeaks no es un problema de una aplicación en concreto, sino un agujero que afecta a dispositivos enteros con sistemas operativos tales como el de Android o el de iOS. Teniendo eso en cuenta, la respuesta a la pregunta del artículo es un rotundo “sí”: sí, pueden leer tu WhatsApp, pero también pueden saber dónde vas a comer, dónde has aparcado el coche y qué día tienes cita en el médico.
Es responsabilidad de los fabricantes empezar a trabajar a destajo para solucionar inmediatamente los agujeros de seguridad que se ha descubierto que afectan a sus aparatos o sistemas operativos. Los desarrolladores de las aplicaciones, al menos en este caso, han hecho todo lo que estaba en sus manos para garantizar la seguridad de sus servicios.
Apple, por ejemplo, ha sido una de las primeras compañías en pronunciarse al respecto. Ha dicho que las últimas versiones de iOS ya han corregido buena parte de los agujeros de seguridad que se mencionan en los documentos de la CIA, aunque no especifica cuántos de los 14 fallos de seguridad de iOS mencionados en la filtración ha solucionado hasta la fecha.
La filtración de WikiLeaks sobre la CIA es seria, muy seria
Toda esta cuestión, la de si pueden o no espiar nuestro WhatsApp, es en realidad secundaria. Lo que es realmente importante es no perder el foco del verdadero debate que se debería generar alrededor de esta filtración: ¿qué permiso tiene la CIA para espiar la vida de cualquier persona? ¿Hasta qué punto han colaborado los fabricantes en esta tarea? ¿Qué medidas se van a tomar al respecto? Y, lo más importante de todo, ¿quién nos garantiza que estas herramientas de espionaje están fuera de servicio ahora mismo?
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad