Desde que Facebook compró WhatsApp en 2014, las preguntas sobre la privacidad de esta aplicación de mensajería y si Facebook lee los mensajes de Whatsapp son recurrentes. La compañía de Mark Zuckerberg, la plataforma que permitió que un tercero, Cambridge Analytica, recolectase datos de 87 millones de usuarios sin informarles, no inspira confianza.
La última polémica ha surgido tras la publicación de un reportaje de ProPublica, titulado “Cómo Facebook socava la privacidad de sus dos mil millones de usuarios de WhatsApp”. La organización ha revelado la existencia de un grupo de 1.000 trabajadores de la compañía que revisa millones de mensajes, imágenes y vídeos para detectar fraude, spam, terrorismo o abuso sexual infantil, y dejó planear la sospecha sobre la declaración de la compañía que se refiere a que nadie, ni siquiera WhatsApp puede leer o escuchar los mensajes de sus usuarios.
Varios medios -algunos especializados como 9to5mac– reprodujeron esas palabras de forma errónea, lo que ha llevado a conclusiones falsas sobre el cifrado punta a punta del que siempre ha hecho gala WhatsApp. En Newtral.es hemos recibido consultas de usuarios que preguntan si Facebook lee tus mensajes en esta app o si se ha roto el cifrado. Explicamos quién puede acceder al contenido de un chat en WhatsApp, quién a los metadatos, y cómo gestiona Facebook los datos personales en esta app y en las redes sociales que son de su propiedad, Instagram y la misma Facebook.
¿Facebook lee tus mensajes de WhatsApp?: sólo 5 y si te reportan
¿De dónde viene esta confusión? El artículo de ProPublica sugería que Facebook podía leer los mensajes cifrados de WhatsApp. Al día siguiente de su publicación tuvo que rectificar, editando todo el reportaje para eliminar ambigüedades y dejar claro que los únicos mensajes que lee Facebook son los que los usuarios de WhatsApp reportan como contenido inapropiado o posiblemente abusivo.
WhatsApp tiene un sistema de denuncia de mensajes que puede utilizar cualquier usuario que considere que un usuario envía mensajes que incumplen el uso legal y aceptable que definen sus términos de uso. Este procedimiento implica el envío de los últimos 5 mensajes del usuario a WhatsApp para que los revisen. El cifrado no se ha roto, y Facebook lee tus mensajes de WhatsApp de la misma manera en que si alguien te mira la pantalla mientras lees puede acceder a los mensajes que te han enviado de forma cifrada. Simplemente estás enviando tú a WhatsApp los mensajes del usuario que denuncias.
ProPública afirma, entre otras cosas, que los empleados que Facebook ha destinado a la revisión de los mensajes reportados en WhatsApp tienen bastantes similitudes con los equipos de moderación de contenidos en Instagram y Facebook que ha contratado esta compañía.
La cuestión de los moderadores
Las redes sociales con una cantidad masiva de usuarios se han visto convertidas en medios de distribución de la información y en plataformas en las que cada vez más personas se informan. Es el caso de Facebook, y también la red social que compró en 2012, Instagram. Con su dependencia del contenido aportado por usuarios, se encuentran ante uno de los grandes dilemas de todo editor: la necesidad de moderar los contenidos, ante la posibilidad de consecuencias negativas o incluso muertes. El problema se intensifica cuando el poder multiplicador de la tecnología hace que estos mensajes puedan tener un alto impacto negativo a nivel social, como las campañas de desinformación o los mensajes falsos sobre la pandemia.
Facebook e Instagram tienen moderadores y publican informes de transparencia cada tres meses, donde detallan sobre cuántas cuentas de cada plataforma se ha tomado acción por contenidos abusivos. Este tipo de informe no existe para WhatsApp y en la compañía no se considera que sean “moderadores”, ni utilizan esta palabra para referirse a ellos.
Según ProPublica, el equipo de revisores de WhatsApp está formado por más de 1.000 trabajadores subcontratados con Accenture al igual que sus contrapartes en Facebook e Instagram, y localizados en Austin, Texas, Dublín y Singapur. Los empleados, que trabajan por horas, utilizan software especializado de Facebook para filtrar millones de mensajes, imágenes y vídeos. Y al igual que los moderadores en Facebook e Instagram, deben cumplir unos objetivos de rapidez y precisión, auditados por Accenture.
La lista de los datos que WhatsApp no cifra
Pero estos revisores sólo acceden a una porción de los mensajes privados de WhatsApp: aquellos que son reportados por otros usuarios. Según han explicado a ProPublica, un sistema de inteligencia artificial procesa todos los datos no cifrados del usuario para compararlo con información sospechosa y patrones de mensajes que han sido confirmados como abusivos.
La lista de información no cifrada sobre un usuario abarca los nombres e imágenes de perfil de los grupos de un usuario, su número de teléfono, su foto de perfil, su mensaje de status, el nivel de batería de su teléfono móvil, idioma, zona horaria, el número único de identificador de su teléfono, dirección IP, nivel de señal de wifi y sistema operativo del teléfono, listado de sus dispositivos electrónicos, cualquier cuenta de Facebook o Instagram relacionada, la última hora a la que se utilizó la app y cualquier registro histórico previo de infracciones.
Los revisores de Whatsapp tienen tres opciones cuando se encuentran ante un ticket: no hacer nada, poner al usuario bajo vigilancia para un escrutinio posterior, o cerrar la cuenta. El hecho de que no puedan eliminar publicaciones individuales es citado por Facebook como una de las diferencias entre los revisores de WhatsApp y los moderadores de otras plataformas, según ProPublica.
El cifrado de extremo a extremo de WhatsApp
WhatsApp declara en su política de privacidad que ofrece cifrado de extremo a extremo en sus servicios y que con este “tus mensajes se cifran de modo que no pueden ser leídos ni por nosotros ni por terceros”. ¿Es verdad esto?
La información es correcta: todos los mensajes enviados a través de la aplicación están cifrados, por lo que no pueden ser leídos por terceros que intercepten los paquetes de datos, ni siquiera por el mismo WhatsApp, ya que no poseen la clave criptológica para descifrarlos que sólo tienen emisor y receptor del mensaje. Esto la hace ser una de las herramientas de comunicación consideradas más seguras y recomendadas por los expertos en privacidad, como la Electronic Frontier Foundation, entre otros.
El cifrado de extremo a extremo es actualmente uno de los métodos más seguros de transmitir información sin ser espiados, como hemos explicado antes en Newtral.es. Al ser matemáticamente imposible que terceras partes accedan a las comunicaciones, las compañías que ofrecen este servicio, como Signal o Apple, además de WhatsApp, tampoco pueden entregar esos mensajes a las autoridades.
☷
Seguridad y cifrado E2EE
Qué son las puertas traseras
Pero el cifrado es como todo, una parte de la cadena de la seguridad, y no implica que al descifrar el mensaje, cualquiera pueda leer tu conversación, por ejemplo, mirando tu pantalla. Si un usuario al que mandaste un mensaje decide reportarte a WhatsApp, él autoriza al reenvío de los cinco últimos mensajes que le enviaste. El cifrado no se ha roto, pero un empleado de Facebook sí puede acceder ahora a esos mensajes.
No hay cifrado en las copias de seguridad (por ahora)
Aunque el cifrado extremo a extremo ha sido desde el principio una de las banderas de WhatsApp, Facebook ha sido notablemente impreciso al dar información sobre los metadatos que recolecta de sus usuarios de WhatsApp, y cuánto comparte con las autoridades. Los metadatos, como hemos contado en un reportaje sobre geolocalización, pueden revelar mucho sobre la actividad de un usuario. Por eso, algunas apps de mensajería, como Signal, recogen muchos menos metadatos para no comprometer la privacidad de sus usuarios.
Signal tampoco permite copias de seguridad o backups de las conversaciones en la nube. El servicio de copia de seguridad que ofrece WhatsApp a sus usuarios en la actualidad permite que ellos puedan guardar una copia periódica de sus registros históricos de conversaciones en iCloud (para iPhones) o en Google Drive (para Android), muy útiles en caso de pérdida o destrucción del teléfono.
El problema de estas copias de seguridad es que, aunque WhatsApp no tiene acceso a ellos, Apple y Google sí lo tienen. Drive, el sistema de alojamiento de estos archivos en Google, no está cifrado; y Apple tampoco ha cifrado iCloud por el momento. Su último intento de hacerlo terminó revertido después de recibir quejas del FBI, como hemos contado en un reportaje sobre la actualización de escaneo de imágenes que pretendía instalar en todos los iPhones.
Por lo tanto, las copias de seguridad que se suban a estas plataformas no están cifradas, lo que significa que son vulnerables a hackeos, pedidos de información del Gobierno o acceso por parte de empleados de Google o Apple.
Sin embargo esta vulnerabilidad terminará pronto, porque WhatsApp ya está habilitando una opción para que los usuarios puedan cifrar los backups de los mensajes. Para ello los usuarios deberán guardar una clave de cifrado de 64 dígitos o crear una contraseña asociada a esa clave.
Según ha publicado The Verge, WhatsApp guardará esas claves en un módulo de seguridad de hardware (o HSM, que es una especie de caja de seguridad para cifrar y descifrar claves) mantenido por Facebook y que se desbloqueará sólo cuando la contraseña correcta sea ingresada en WhatsApp. Estos dispositivos físicos están localizados en centros de datos pertenecientes a Facebook para protegerlos de cortes de internet. La medida ha sido aplaudida la Electronic Frontier Foundation, que había señalado los backups como una de las debilidades de WhatsApp hasta ahora en materia de privacidad.
☷
Cables y centros de datos
Estas son las tripas de internet
Fuentes
- How Facebook undermines privacy protections for its 2 billion Whatsapp users, ProPublica
- Transparency Reports, Facebook
- WhatsApp is adding encrypted backups, The Verge
- ProPublica WhatsApp report acknowledges ‘unintended confusion’, 9to5mac
- Cifrado extremo a extremo en WhatsApp
- Política de privacidad de WhatsApp
Bastante información tienen con los metadatos que generamos y que no están cifrados: ubicación de cada mensaje, contactos, horario de actividad, marca modelo de teléfono, .... Luego le pueden comprar/acordar con Google el contenido en claro de sus mensajes para analizar los metáfisis del contenido: emociones, ideas políticas, ...
Y todo resto sin necesidad de leer/entender el texto literal de un mensaje. Solo con motores de reconocimiento de patrones.
Hacer una reflexión, cuantos mensajes se envían en todo el mundo, en un día? Bastantes millones.
Es texto, libre y muy probablemente en mil idiomas, "lengua coloquial" en el mejor de los casos. Los que no son informáticos no se pueden hacer idea, de la cantidad de potencia que haría falta para procesar y leer esta información. No hay esa capacidad, honradamente, que no os llenen la cabeza con ideas raras.