WhatsApp refuerza seguridad para el respaldo de sus chats

La seguridad en internet se torna un tema cada vez más presente en el día a día. En la misma línea, las compañías se han vuelto más conscientes y toman sus propios resguardos para proteger la integridad de los usuarios. A mediados de 2016 WhatsApp comenzó con una estrategia progresiva, aplicando algunas de sus medidas como el cifrado de conversaciones de extremo a extremo. Tiempo después sumó el desbloqueo de la app con huella dactilar y, a inicios de este año, partió solicitando autenticación biométrica para ingresar a la versión web, con huella o datos de rostro.

Recientemente sumó una versión beta, en la que se puede utilizar la misma cuenta en distintos dispositivos que no sean un celular y a esta añadió otra, en la que los usuarios, al respaldar sus conversaciones en la nube, lo harán de manera encriptada y con un código de 64 dígitos y que evitará la fuga de información. Si bien aún no son servicios definitivos, porque aún se encuentran en etapa beta -de prueba-, distintos medios y especialistas proponen que lo que está haciendo WhatsApp, propiedad de Facebook, es intentar darle mayor seguridad a los usuarios y eliminar la fuga de estos mismos, entregándoles más confianza y privacidad.

“Lo que están tratando de hacer es revertir una mala imagen que tienen y se ganaron en el último tiempo y lo que estamos viendo es un blanqueo, diciendo públicamente ‘estamos preocupados porque la gente tenga mayor privacidad en sus datos personales’”, señala Ubaldo Taladriz, director de la Alianza Chilena de Ciberseguridad. El ingeniero civil en computación afirma a que desde el punto de vista de la privacidad de los datos, es un avance y podría ayudar directamente a los usuarios.

El servicio, al que aún no tienen acceso la gran parte de los usuarios, permite que cuando se realicen copias de seguridad -generalmente hechas automáticamente por la aplicación o por los mismos usuarios- estas se hagan de forma encriptada en la nube. Para poder ser recuperadas en caso de pérdida del equipo o reinstalación de WhatsApp, solicitarán una clave de 64 dígitos entregada al usuario y que ni Google, Apple o WhatsApp guardarán. Antes los backups de los chats quedaban guardados en los servicios cloud, pero si la cuenta era secuestrada o el equipo robado, la persona podía perfectamente leer las conversaciones pasadas y sacar información privada y sensible desde ahí. Ahora será imposible, porque los interesados deberán tener la contraseña para poder desencriptar el respaldo.

Taladriz dice que esto ayudará a los usuarios, e incluso puede entorpecer también ciertos procesos judiciales, por ejemplo. “Antes sucedía que cualquier Gobierno, a través de una orden judicial, podía solicitar esos respaldo a Google y acceder a ellos y a tus mensajes, pero de todas maneras esto será algo que no esté disponible en todos los países”, señala el ingeniero, quien añade que en caso que un determinado régimen no permita estas nuevas medidas, Facebook tendrá que acatar.

“No hay que olvidar que algunos Gobiernos, como dictaduras, se aprovechan de estos respaldos a través de procedimientos judiciales dudosos, para así tener acceso a esa información que de otra manera no podrían tener y son muy pocas las compañías que se oponen al poder”, apunta Taladriz. Con respecto al tema, recuerda un caso de 2016, en el que Apple se opuso a desencriptar un teléfono celular para el FBI y que pertenecía a uno de los atacantes de San Bernardino, ocurrido en diciembre de 2015. Al final la policía logró acceder al dispositivo, y a la tecnológica se le sumaron compañías como Google mismo.

“Además de que las organizaciones refuercen la seguridad de sus equipos, es importante adoptar nuevos protocolos a medida que avanzan en su proceso de transformación digital”, dice el director de Claro empresas, Francisco Guzmán. “Una solución para enfrentar este escenario es agregar el poder de la inteligencia artificial (IA) y el aprendizaje automático a plataformas que operen de manera integrada y automatizada en la red principal, así como en entornos cloud e, incluso, en los hogares de quienes trabajan remotamente”, añade. Luego, Guzmán define como prioritario “establecer herramientas que permitan actualizar sistemas y plataformas de manera permanente, pero además las organizaciones deben promover entre sus colaboradores una cultura digital de seguridad para potenciar este cambio de mirada, ya sea trabajen en forma presencial o a distancia”.

El gran problema, recalca Hugo Galilea, experto en ciberseguridad y socio director de la empresa de soluciones tecnológicas y de recuperación de datos Kepler, es que antes las conversaciones no estaban encriptadas y el riesgo el doble para los usuarios. Particularmente, el especialista se refiere a los casos de “secuestro de WhatsApp” y que se han incrementado durante la pandemia. Estos se refieren a cuando los criminales se hacen pasar, por ejemplo, por un servicio de entrega a domicilio, instalan WhatsApp con el número del usuario y lo llaman “solicitando el código para realizar la entrega”. Así logran clonar la cuenta y acceder a su información.

“WhatsApp, finalmente, está trabajando como debiesen hacer todas las empresas de software, encontrando vulnerabilidades y parchándolas con actualizaciones constantemente. Y las actualizaciones son para agregar funciones y seguridad, por eso siempre lo principal es tener las aplicaciones actualizadas”, apunta Galilea, quien señala que todas las redes sociales y aplicaciones tienen la potencialidad de ser inseguras, y mientras más masivas sean, mayores peligros y personas estarán buscando vulnerabilidades.

Según los expertos, los usuarios tendrán que tomar diferentes resguardos. Si bien antes uno podía exponerse a la fragilidad de la privacidad en las conversaciones guardadas en la nube, también existen los riesgos de la clave en sí misma y la extensión de esta. Primero que todo, afirma Galilea, hay que tener el debido cuidado para tener claves de al menos 16 dígitos, y que no sean una palabra o algo vinculado directamente a la persona. “Que no sea menor a eso, porque hoy día la velocidad computacional permite crackear estas claves rápidamente”, precisa.

Los usuarios tendrán que poner clave a todos sus dispositivos y procurar que no contengan fecha de nacimiento, nombres o datos de ese tipo. Además, dicen que para generar estas claves únicas y que las redes y dispositivos sean algo inviolable, existen aplicativos que bajo una clave única resguardan todas las que uno quiera. Tal es el caso de 1Password, que es el más conocido en el área. Pero existen otros, como LastPass o KeePassXC, que funcionan en base a membresías mensuales. E incluso las mismas compañías desarrolladoras han lanzado las suyas propias. Por ejemplo, Google tiene su Password Manager y Apple su Llavero de iCloud, en el que la misma empresa explicita que no tiene acceso a la información debido a que esta está encriptada.

Justamente son estas plataformas -que además de aplicación son sitios web, por lo que no es necesario tener un teléfono a mano en caso de pérdida- las que permitirían tomar resguardo de la clave de 64 dígitos. La extensión, explica Ubaldo Taladriz, de la Alianza Chilena de Ciberseguridad, es porque los PC’s van aumentando su capacidad de cómputo y “un ataque antes tomaba un año, pero ahora podría demorar unas horas”. “Por eso es que se van complejizando los algoritmos, para hacer más dificultoso esto”, señala. Galilea, a esto, añade que WhatsApp, sin tener respaldo de la contraseña, entrega la responsabilidad a los usuarios sobre lo que les suceda y de guardar su password.

Taladriz apuesta a que las medidas de WhatsApp responden a que “hay una presión”. “Esto no sucede de manera casual y ha habido una pérdida de competitividad por la plataforma, pero es precisamente porque la gente adquirió más conciencia de lo importante que es la privacidad de sus datos y la seguridad de estos”, dice el ingeniero, y recuerda cómo aplicaciones como Telegram y Signal ganaron terreno en el último periodo. “Por primera vez estamos viendo un fenómeno en que la gente les molesta que sus datos anden dando vueltas, que hice click en determinado lado y luego me llaman sin consentimiento porque tienen una promoción. Y es bueno que tomen medidas, porque si no la competencia de los va a comer”, cierra.