Privacidad en WhatsApp y Telegram, ¿se pueden espiar las conversaciones?

La privacidad en las redes sociales es un tema complejo. Su gratuidad o costo mínimo, se compensa con publicidad y con información personal. Facebook es un gran ejemplo, ya que la compañía cuenta con los datos de más de 2.271 millones de usuarios activos. Otro caso reciente es FaceApp, la plataforma que permite envejecer a los usuarios. El modelo es el mismo, gratis, pero entregando acceso a datos e información personal. Estos procedimientos, si bien son cuestionados, son bajo consentimiento de cada persona.

En Puerto Rico, se reveló otro caso que involucra redes sociales e información confidencial. El Centro de Periodismo Investigativo de ese país, obtuvo 889 páginas de chats del servicio de mensajería Telegram, que daban a conocer conversaciones sexistas y homofóbicas del gobernador de ese país, Ricardo Roselló y sus ministros, desde fines de 2018 hasta enero de 2019. Además, se podían observar bromas sobre las muerte que dejó el huracán María en 2017.

[caption id="attachment_748802" align="alignnone" width="900"]

En Puerto Rico piden la renuncia de Ricardo Roselló, después del escándalo por mensajes sexitsas y homofóbicos. EFE/ Thais Llorca[/caption]

Ciudadanos y un grupo de reconocidos artistas, como Ricky Martin, Marc Anthony o Bad Bunny, se agruparon para pedir la renuncia inmediata de Roselló. Este se manifestó públicamente señalando que no renunciará, pero estaba dispuesto a asumir un juicio político y que no se presentará a la reelección gubernamental en 2020.

Frente a esto, surgen cuestionamientos técnicos sobre el modus operandis para poder obtener conversaciones privadas.

Manu Chatlani, director ejecutivo Agencia Digital Jelly, señala que tanto Telegram como WhatsApp, cifran las conversaciones cuando el mensaje se envía y cuando se recibe, lo que no permite ver el contenido, "pero lo que sí pueden haber hecho, es acceder al teléfono. Yo creo que le hackearon el teléfono, le pueden haber metido un tipo de virus y así entrar al chat y ver el todo el historial de conversaciones, completo. Esto puede ser desde una ubicación remota, no necesariamente con el teléfono en la mano".

Jaime Santana, ingeniero civil informático Universidad Técnica Federico Santa María y experto en nuevas tecnologías, establece que "una conversación de WhatsApp o Telegram, técnicamente son datos que viajan desde el emisor hacia el receptor en una red de dispositivos (internet). Si me preguntas si se pueden interceptar, la respuesta es sí. El tema es que no es trivial hacerlo y cada vez los sistemas son más conscientes del ítem de la seguridad, y dentro de sus diseños incorporan ciertas condiciones mínimas, como autenticación de doble factor, validación de datos personales o encriptación de los datos".

"Los teléfonos, como todo dispositivo inteligente, son hackeables. Por ende, si alguien le hackeó el teléfono al político en cuestión, pudo haber accedido a todo lo que el tipo habló. Es demasiado que le hayan hackeado 900 páginas de Telegram, huele más a que le hackearon el teléfono y tuvieron todo el tiempo del mundo para llevarse la información. Es más fácil eso, que haber hackeado el servidor de Telegram", añade Chatlani.

Rodrigo González Azolas, ingeniero en Computación e Informática UNAB y gerente de Ciberseguridad de CompuNet, aclara que si bien hoy Whatsapp o Telegram cuentan con distintos tipos de protección de la privacidad de los usuarios y tienen una serie de controles técnicos que aseguran la confidencialidad completa de los mensajes, "son vulnerables a un factor que es dificil de controlar, que es el factor humano, a través de por ejemplo, los ataques de ingeniería social. Las aplicaciones de mensajerias tienen la factibilidad de utilizar sus versiones web en un equipo de escritorio o notebook, las que  están propensas a ser utilizadas de formas para las cuales no fueron diseñadas, como por ejemplo, exportar conversaciones o guardar imágenes".

"En relación a lo ocurrido en Puerto Rico, técnicamente se ve más factible intervenir algún computador de los involucrados con malware y a partir de eso, tener acceso a archivos de audio, imagen o texto directamente desde el emisor o uno de los destinatarios. También puede darse el caso que alguno de los receptores venda el contenido a un tercero. Como siempre en el tema de la ciberseguridad, el usuario es el eslabón más débil de vulnerar. Finalmente, con las herramientas adecuadas, esto es totalmente periciable y se puede saber la causa raíz de la filtración", explica Santana.

[caption id="attachment_131835" align="alignnone" width="900"]

Telegram supera los 200 millones de usuarios en todo el mundo. Foto: EFE.[/caption]

González establece que estos ataques virtuales en las versiones web de los chats, se realizan "facilmente utilizando URL's de Spear Phishing (dirigido), y  falsificando el codigo QR de Whatsapp Web, obtener mediante ingeneniería social el código de autorización que genera Telegram o mediante ataques avanzados que puedan robar "cookies" en los navegadores de los usuarios".

"Todos tenemos algún grupo de Whatsapp o Telegram en donde se comparte cualquier tipo de información, que en algunos casos puede ser confidencial y privada. Consideremos que algún miembro de estos grupos guarda una copia (respaldo) de la información contenida en estos grupos, en sus computadores personales y decide hacerla pública. O, por negligencia, si ese respaldo (no resguardado) cae en manos de personas maliciosas, esta información (por más controles de seguridad aplicados técnicos como cifrado de extremos y otros), finalmente se extrae y se hace publica, vulnerando toda la seguridad aplicada en las plataformas de mensajería instantánea", señala González.

Chatlani cree que hubo ciertos errores de seguridad. "En Telegram hay una opción para establecer que un chat, después de una conversación, se pueda borrar, y no quede en el teléfono. Pero este no fue el caso. No solamente está el error de hablar temas sensibles por chat, sino también que no se borraron. En Estados Unidos pasó con Hillary Clinton, cuando confesó que había utilizado su correo personal para mandar correos de trabajo".

El ingeniero de la UNAB, comparte que es complejo espiar conversaciones, y es mucho más fácil y menos costoso realizar ataque dirigidos a determinadas personas. "Por ejemplo, instalando un malware en el equipo que permita grabar pantalla, almacenar las teclas que presiona el usuario, tomar fotografías de la pantalla del móvil y las aplicaciones de mensajería y otros. Esta acción podría parcialmente espiar parte de las conversaciones o hackear los respaldos automáticos que realizan estas plataformas de mensajería, en Google Drive, iCloud, etc. Estos respaldos generalmente no están debidamente encriptados y se pueden acceder con las cuentas de los usuarios".