Foi un pouco raro. É coma se o Gran Irmán dixese que xa non mira ou que un circuíto pechado de vixilancia deixa de gravar. A cara que se nos quedaba esta semana ao ler que as mensaxes en WhatsApp -unha empresa propiedade de Facebook- estaban seguros con cifrado "de extremo a extremo" foi unha mestura entre o xesto de Tobey Maguire en Spiderman e a cara de Tommy Lee Jones en Non é país para vellos. Pero é certo. A compañía creada hai sete anos polo ucraíno Jan Koum agora cifra por defecto as mensaxes. "O cifrado de extremo a extremo asegura que só ti e o receptor poidan ler o que é enviado, e que ninguén no medio; nin sequera WhatsApp, o poida facer", din na súa web.
É un prato que levan cociñando desde novembro do 2014. Daquela Moxie Marlinspike, creador do proxecto Open Whispers System, falaba con Wired sobre a idea de aumentar o cifrado en WhatsApp integrando Textsecure, un software de código aberto que enmascara as mensaxes cunha clave criptográfica á que só o usuario pode acceder e que non se almacena no teléfono. Tampouco é que WhatsApp descubrise a pólvora. Así o confirma Elena García, responsable de contidos e investigación en seguridade do INCIBE: "Recorreron a unha libraría de código libre implantada en Signal para incorporala aos seus servizos".
Textsecure foi engadido a Signal o ano pasado pero o software levaba dando voltas por Internet desde 2010. En 2011 o seu código fonte foi liberado e pasou a chamarse Open Whisper System. Dous anos despois, Edward Snowden, que por aquel entón traballaba na NSA, revelaba que as grandes compañías de tecnoloxía estadounidenses nos espiaban baixo a Lei FISA e o mundo daba un xiro en aras de protexer a privacidade de todos e cada un dos usuarios de Internet. Mentres todo iso pasaba, dous rusos fundaban Telegram, que xa incluía un sistema de cifrado de extremo a extremo como o que WhatsApp implantou o martes.
"A posibilidade de entrar sempre está aí. Habíaa, haina e vaina haber, tanto en WhatsApp como en calquera servizo que nos presta un operador"
"Telegram deu a opción ao usuario de incluír o punto a punto. É dicir, o intercambio dunha clave de cifrado entre dous teléfonos que só coñecemos el receptor e eu. Nin WhatsApp, nin Telegram, nin ningún servidor intermedio", di Adolfo Hernández de Thiber, un think tank de ciberseguridade localizado no campus da Universidade Autónoma de Madrid. Aínda que segundo WhatsApp, eles nunca almacenan a información; até esta semana, as mensaxes viaxaban en texto plano até os seus servidores. Desde alí eran reenviadas ao dispositivo de destino, deixando aberta a posibilidade de que a propia empresa -baixo un mandato xudicial por exemplo- ou calquera atacante externo accedese a eles. Pero poderán seguir accedendo ás mensaxes? "A posibilidade de entrar sempre está aí. Habíaa, haina e vaina haber, tanto en WhatsApp como en calquera servizo que nos presta un operador", di Elena.
A privacidade e os gobernos
Tecnicamente WhatsApp non inventou nada, pero mellorou o que xa tiña. Agora "a mensaxe encríptase facendo uso do clásico modelo de cifrado por clave publica", di Elena. O cifrado por clave pública baséase nunha dobre chave de cifrado: tanto o emisor como o receptor contan cun código público e un privado. "Ao aplicar o cifrado na orixe da mensaxe, ese cifrado ten en conta que esa información só pode descifrala o usuario destino para o que se xera", explica Elena.
Cada conversa conta agora cun conxunto de doce códigos de cinco números: "A priori, é máis seguro que unha SMS"
Agora, cada conversa en WhatsApp conta cun conxunto de doce códigos de cinco números cada un. Esa clave está contida, á súa vez, no código QR. Para comprobar o cifrado da conversa pódese escanear o código e comparar o conxunto de número que aparece en cada xanela de chat. O bo de todo isto é que "a priori, unha mensaxe de WhatsApp é máis segura que unha mensaxe de texto. E tamén a priori, unha chamada realizada a través deste servizo será máis segura que unha chamada convencional de teléfono", di Adolfo.
O extremo a extremo de WhatsApp é o sistema co que Signal cifra as súas comunicacións. Snowden, en 2014, eloxiaba as bondades das aplicacións da firma OWS polo seu alto nivel de seguridade. Un concepto que está máis en dúbida que nunca debido ao caso de Apple contra o FBI.
Estados Unidos xa se queixou de que deixou de ter acceso ao tráfico de WhatsApp
E é que nin Tim Cook gañou contra a FBI nin James Comey o fixo para o Goberno dos EUA. Apple protexeu a privacidade dos seus usuarios nunha improvisada campaña de mercadotecnia. Agora, apenas unha semana despois do último capítulo do "caso tecnolóxico da década" segundo Snowden, WhatsApp anuncia que blinda as súas mensaxes. E é que nunca se sabe cando pode chamar á porta o goberno. De feito, o dos EUA xa se queixou de que, coa implementación do cifrado de extremo a extremo deixaron de ter acceso ao tráfico de WhatsApp, así como aos datos que corren entre os servidores e ás chamadas a través da aplicación.