Ya hemos hablado largo y tendido de ambos servicios por estos lares:
- WhatsApp, además de ser el servicio de mensajería instantánea más utilizado en occidente, ofrece cifrado de punto a punto. Y pese a que ello no suponga, de facto, que Facebook, la empresa que está detrás, explote información de nuestros hábitos de consumo en la plataforma, es cierto que a priori arroja un sistema de mensajería instantánea donde lo que compartimos lo hacemos única y exclusivamente con los receptores del mensaje.
- Protonmail es un servicio online de email centrado en la privacidad. Es, de hecho, el que desde CyberBrainers recomendamos para todos aquellos que tengan que enviarnos datos confidenciales, o comunicarse con nosotros si hay sospecha de que las comunicaciones podrían estar comprometidas.
Son, por tanto, dos sistemas relativamente seguros en cuanto a privacidad de las comunicaciones. Pero esto no significa que no puedan exponer nuestra identidad, o las propias comunicaciones, si se dan algunos de estos condicionales.
Los límites de la privacidad de las comunicaciones vía WhatsApp
Como decía, todo lo que enviamos desde WhatsApp va cifrado de punto a punto, lo que quiere decir que, en esencia, solo los emisores (es decir, nosotros) y los receptores (a quien o quienes vaya dirigido el mensaje) pueden verlo.
El resto, la propia compañía incluida, a lo sumo puede ver el contenedor de esos mensajes cifrados, es decir, un código ilegible e incapaz de descifrarlo a no ser que nosotros y los receptores les demos explícitamente la semilla.
Hasta aquí, todo correcto.
La cuestión es que, como ya expliqué en su día, hay mucha más información que se puede obtener de una conversación pese a que la conversación en sí no la podamos ver o escuchar.
En el mundo real el simil sería que, pese a que no puedas oír lo que están diciendo dos personas en la calle, sí puedes saber que esas dos personas en particular están hablando. Y que además lo hacen a tal hora, de camino a tal sitio. La ropa que llevan, qué caras están poniendo…
¿Ves por dónde voy?
Esto, en el mundo digital, se obtiene mediante los llamados metadatos, que en el caso de WhatsApp NO están cifrados, y por tanto son explotados por Facebook para entender mejor nuestros hábitos de consumo, con quién solemos hablar, a qué horas, qué tipo de contenido (texto, imagen, foto, documentos…) enviamos… e incluso si recompartimos un contenido en particular. Esto último, por cierto, muy útil para evitar la proliferación de fake news virales como las que utiliza el populismo patrio, como ya vimos en el pasado.
El corolario de todo esto es que, si buscas realmente privacidad en mensajería instantánea, hay otras aplicaciones como Signal que sí están diseñadas para ello. En WhatsApp tenemos un punto medio entre usabilidad, seguridad y privacidad. Punto.
¿Y el mejor ejemplo?
Pues el que hace unas horas exponía ProPublica en un reportaje (EN), en el cual aseguraban que Facebook estaba minando la privacidad de los dos mil millones de usuarios que tiene actualmente WhatsApp.
Bajo ese esperable sensacionalismo de un medio de comunicación que vive de esto, lo cierto es que ese supuesto backdoor que tiene Facebook para acceder a nuestras conversaciones no es otro que… el sistema de reporting de la plataforma.
Es decir, que cuando un usuario denuncia un mensaje, el cifrado de ese mensaje se rompe… porque es el propio usuario quien está denunciando el mensaje, y por tanto, cediendo temporalmente las claves de descifrado.
- Facebook en el ticket recibe cinco mensajes (el reportado y los cuatro anteriores de la conversación, por eso de dotar de contexto a la denuncia), y es uno de sus moderadores quien decide si en efecto la denuncia es o no procedente.
- Mientras tanto, la IA analiza esos metadatos de los que antes hablaba, y busca patrones potencialmente identificativos de abusos o mensajes sospechosos. Datos como los nombres y las imágenes de perfil de los grupos de WhatsApp de un usuario, su número de teléfono, la foto de perfil, el mensaje de estado, el nivel de batería del teléfono, el idioma y la zona horaria, el identificador único del teléfono móvil y la dirección IP, la intensidad de la señal inalámbrica y el sistema operativo del teléfono, una lista de sus dispositivos electrónicos previamente usados asociados a la cuenta, cualquier cuenta de Facebook e Instagram relacionada, la última vez que utilizó la aplicación y cualquier historial de infracciones anteriores.
- Al término de la investigación, el contenido se vuelve a cifrar con otra clave, y la conversación sigue ya sin capacidad de Facebook de acceder a ella.
Es decir, algo totalmente esperable de un sistema de reporting.
Si Facebook no pudiera ver el mensaje supuestamente infractor… tampoco podría moderar su plataforma cuando, explícitamente, es uno de los interlocutores el que ha pedido que lo haga.
Que al menos, en este caso, no veo que Facebook esté haciendo nada extraño.
Los límites de la privacidad en Protonmail
De WhatsApp, que recordemos que no deja de ser un servicio de uso masivo, pasamos a Protonmail, un servicio mucho más enfocado a la privacidad.
¿Es protonmail privado y seguro de usar? Pues hombre, todo lo privado y seguro que puede llegar a ser un servicio online. El servicio se ha creado con esa intención, y es cierto que tiene una política de acceso muy restringida.
Ahora bien, esto no significa que el supuesto anonimato de la herramienta pueda ser utilizado para ocultar nuestras fechorías.
De hecho, esto mismo ha quedado claro tras un caso que conocíamos esta semana gracias a TechCrunch (EN). A saber:
- Protonmail ofrece comunicaciones cifradas de extremo a extremo, y no registra direcciones IP de forma predeterminada, pero si pueden obtener la dirección IP de sus usuarios si lo solicita la ley.
- Una investigación de la policía suiza estaba persiguiendo un grupo que realizaba y organizaba protestas sobre especulación inmobiliaria, ocupando inmuebles de manera ilegal. Ocuparon el año pasado varios locales en los alrededores de Place Sainte-Marthe.
- Protonmail, petición judicial en mano, entregó la dirección de correo electrónico, la dirección IP vinculada, el dispositivo usado, y el número con el que se identificaba el dispositivo del grupo.
- Es más, el servicio no notificó inmediatamente al usuario de que las autoridades habían solicitado sus datos. De hecho, pueden retrasar esa notificación si la ley así lo ordena, como fue el caso.
Otro ejemplo de guión de cómo existen límites claros en la privacidad de las plataformas online.
Como curiosidad, es bastante probable que si estos delincuentes hubieran utilizado un sistema de VPN (como puede ser el propio de Protonmail) en sus conexiones al servicio, el mismo Protonmail no podría haber accedido a la IP final, por eso de que realmente la conexión que le llegaría al servicio de correo vendría encapsulada en la propia IP de su servicio VPN.
Que no es por dar ideas, vaya. Pero un ejemplo más de que si quieres hacer maldades, lo mismo primero deberías entender cómo funcionan las herramientas tecnológicas que estás utilizando…
Y, si no, ya puestos, también.
