Non só o fiscal xeral: o que fan WhatsApp e Google coas mensaxes que borras

Un mozo consulta o WhatsApp no seu teléfono CC-BY-SA Viralyft / Unsplash

Hemeroteca

A causa aberta  por presunta revelación de segredos contra o fiscal xeral do Estado, Álvaro García Ortiz, pola filtración do correo electrónico do avogado de Alberto González Amador, parella de Isabel Díaz Ayuso, abriu de novo o debate sobre a privacidade dixital. Alén das cuestións políticas e xudiciais ao redor desta investigación do Tribunal Supremo, dous dos seus últimos autos provocaron que o foco se poña en WhatsApp -propiedade do imperio de Mark Zuckerberg- e en Google.

En concreto, o pasado xaneiro, o xuíz Ángel Hurtado pediu a Meta e Google que achegasen os datos que tivesen de García Ortiz entre os días 8 e 14 de marzo de 2024 para tentar recuperar os chats que enviou durante este período. A decisión produciuse tras coñecerse que os investigadores da Garda Civil non atoparan unha soa mensaxe no terminal intervido durante os rexistros. Nun segundo auto, deste mesmo mes de marzo, e despois de que a UCO informase que ambas empresas accedían a conservar esta información, o maxistrado detallou que información lles solicitaba.

Con estes dous autos e a petición do maxistrado a WhatsApp e Google, o foco volveuse poñer sobre unha controvertida verdade relacionada coa tecnoloxía que non todos os usuarios perciben, incluído o propio García Ortiz: borrar mensaxes ou correos dos nosos móbiles, computadores ou contas non significa que desaparezan completamente da face da terra. "Isto é un tema histórico. Por exemplo, cando un usuario entra nunha web tamén pasa e deixa un rastro: a dirección IP, que outras páxinas visitou...", explica Javier Casares, administrador de sistemas.

Álvaro García Ortiz, fiscal xeral do Estado, ante o xuíz Marchena e a presidenta do Poder Xudicial, en setembro de 2024 na apertura do ano xudicial na sede do Supremo © Pool / Fiscalía Xeral do Estado

"A protección de datos é moi importante, pero se hai un xuíz que pide estes datos téñenos que fornecer. O dereito á privacidade cede ante unha petición xudicial que ten que xustificar por que pide a información que pide", argumenta Eduardo Valpuesta, catedrático de Dereito Mercantil e director do Máster de Dereito Dixital da Universidade de Navarra. Para este experto, este caso deixa unha ensinanza clara: "Aínda que pensemos que temos moita privacidade en Internet, ao final é case nula. A pesar de que un borre o contido do teléfono, hai información gardada nos servidores das tecnolóxicas".

Aplicacións de mensaxería e servizos de correo conservan rexistros e copias de seguridade que permanecen alén dun borrado local do propio dispositivo

No caso das aplicacións de mensaxería e os servizos de correo como Gmail, conservan rexistros e copias de seguridade que persisten alén dun borrado local do propio dispositivo por moi exhaustivo ou profesional que sexa. A clave, tal e como sinala Casares, son os metadatos, é dicir, "a información que hai ao redor dos datos reais" e que vai desde información dos remitentes e destinatarios, pasando por data e hora, a frecuencia de comunicación, duración das interaccións até localización grazas á dirección IP.

Uns metadatos que as tecnolóxicas gardan fragmentados e divididos a recado nos seus servidores. En Europa, Meta ten centros de datos localizados en Dinamarca, Irlanda e Suecia. Os de Google, pola súa banda, están en Irlanda, Países Baixos, Dinamarca, Finlandia e Alemaña.

O cifrado "end to end" de WhatsApp

O que non gardan, ou iso din, é o contido destas conversas. É dicir, descoñecen se o usuario escribiu "ola", "adeus" ou "pásoche esta imaxe". Eduardo Valpuesta compárao con Correos: "Pode certificar unha carta, pero non a len".

WhatsApp instalado nun teléfono © Whatsapp

No caso de WhatsApp, Meta presume desde 2016 de ter implantado o cifrado "end to end" ou "extremo a extremo" que impide o acceso non autorizado ás conversas privadas dos usuarios. "Non temos maneira de escoitar as chamadas nin ver o contido das mensaxes", detalla a plataforma. É dicir, a información sae cifrada do móbil do emisor e só se descifra ao chegar ao destinatario, quedando oculta mesmo para a empresa propietaria do servidor.

"Ninguén, nin sequera WhatsApp, pode lelos nin escoitalos", explica o servizo de mensaxería na súa política de privacidade. "Todo o que hai ao redor si que está dispoñible", matiza Casares que lembra que en cambio en Signal, a aplicación onde a Administración de Donald Trump compartiu cun xornalista os seus plans de guerra en Iemen, está absolutamente todo cifrado.

Teñen daquela asegurado así os usuarios que as súas conversas sexan totalmente privadas? Non e por dúas razóns principais. A primeira é que, aínda que o cifrado "end to end" sexa ultraseguro, no caso de WhatsApp o contrasinal deste sistema gárdao a plataforma, é dicir, que pode chegar a descifrar as mensaxes. En cambio, Signal, que tamén usa este cifrado, conserva esta clave no propio dispositivo. 

A fenda: as copias de seguridade

WhatsApp presume dun cifrado que impide o acceso non autorizado ás mensaxes. No entanto, si que deixa pistas como destinatario, hora, data e situación ou tamaño da mensaxe

A segunda razón son as copias de seguridade do propio WhatsApp: fanse automaticamente, en segundo plano, en ocasións sen coñecemento explícito do usuario e en aplicacións de terceiros como Google Drive ou iCloud de Apple. "Ao final, as conversas están en varios sitios: no dispositivo do usuario, nos servidores de Meta e nos de Google ou Apple", indica Casares. E aquí está a cerna da cuestión e o gran buraco de seguridade.

No caso de Google Drive, onde se garda a copia de seguridade, tal e como lembra Casares, había opcións para cifrar o contido que gardaban na copia de seguridade pero "cambiárono e agora practicamente toda a información está sen cifrar". Apple, en cambio, di que iCloud utiliza "métodos de seguridade sólidos" e "é pioneiro no sector no uso de tecnoloxías de seguridade para protexer a privacidade, como a encriptación de punto a punto dos teus datos". 

"Non se borra nunca nada"

Canto tempo se garda todo isto? "De forma ilimitada. Como non teñen o contido, non se consideran datos sensibles", admite Casares que lembra que as tecnolóxicas son empresas que viven por e para saber todo e máis dos seus usuarios para vender a súa principal forma de financiamento: anuncios.  

Aplicación de correo de Google nun teléfono móbil CC-BY-SA Solen Feyissa / Unsplash

E que pasa cando se borra unha conversa? "Gárdase de forma local no móbil e nas copias de seguridade poden chegar a conservarse", afirma Casares. E no caso de ter activado nun chat as mensaxes temporais, que desaparecen automaticamente despois dun período de tempo establecido? "En xeral, todo se garda no dispositivo, até o punto de que pode ser recuperable", apunta este experto. E se se borra a conta? "Non se borra nunca nada. En xeral, é a regra de ouro das tecnolóxicas. 

E os correos electrónicos?

Agora que xa sabemos o que pasa en WhatsApp, o que pasa cos e-mails é algo moi similar. No caso de Gmail, por exemplo, "o correo está cifrado en tránsito, pero non o contido", sostén Casares. É dicir, "Google pode ler o que o usuario escribiu".

Iso si, isto podería ter solución. Aínda que a tería que buscar o propio usuario. "Podería utilizarse un cifrado á parte", sinala Casares.

"Recollemos información para proporcionar os mellores servizos a todos os nosos usuarios: desde determinar información básica, como o idioma que falas, até datos máis complexos, como os anuncios que che resultarán máis útiles ou os vídeos de YouTube que che poden gustar", explica Google na súa política de privacidade

Meta responde ao 66,3% dos requirimentos, Google, ao 85%

Pero xa sexa un whatsapp ou un correo, tal e como apuntabamos máis arriba, estas empresas non poden eliminar toda esta información, mesmo cando unha persoa borra a conta, por motivos legais. "Por lei, durante un ano, teñen que gardar dos usuarios a quen mandou mensaxes, en que hora, desde que dispositivos... Supostamente, nin Google nin WhatsApp teñen acceso ao contido en si. Pasado este ano, xa non os teñen porque gardar e pódenos borrar", detalla Eduardo Valpuesta que lembra que, moito antes das tecnolóxicas, as operadoras telefónicas xa facían o mesmo.

Logotipo de Meta, empresa matriz de Facebook, WhatsApp e Instagram CC-BY-SA Dima Solomin / Unsplash

Por exemplo, se reciben unha "solicitude legal válida", como "unha orde de conservación ou unha orde de rexistro" por parte dunha autoridade gobernamental, policial ou xudicial. "En realidade, nestes servidores, non hai ninguén mirando esta información alén de ferramentas automatizadas, a non ser que alguén denuncie e se presenten estes requirimentos", recoñece Casares. É o que pasa agora no caso do fiscal xeral.

"É un procedemento completamente normal. Estas empresas responden automaticamente e despois xa miran se a rexistrou un xuíz lexítimo, os acordos entre países... Teñen un departamento que mira o que se ten que responder", indica Valpuesta que apunta que nun 80% dos casos se ofrecen datos.

En concreto, segundo os datos do último informe publicado por Meta correspondentes co período de xaneiro a xuño de 2024, a tecnolóxica recibiu desde España 3.100 peticións en procesos legais correspondentes a 5.765 contas ou usuarios que inclúen a WhatsApp pero tamén a Facebook ou Instagram. Un 66,3% das solicitudes produciron "algúns datos".

Segundo as últimas cifras do seu informe de transparencia correspondente co período de xaneiro até xuño de 2024, Google recibiu desde España 7.180 solicitudes gobernamentais de información sobre 11.368 usuarios Delas, o 85% xeraron datos. 

Que piden os xuíces ás tecnolóxicas?

"WhatsApp non divulga o contido das mensaxes dos seus usuarios en resposta a solicitudes gobernamentais", pero si pode incluír "información básica" da persoa usuaria e da súa conta

O xuíz Hurtado, no caso de WhatsApp, solicita na comisión rogatoria datos como mensaxes recibidas e/ou enviadas polos usuarios "indicando os detalles básicos asociados a estas comunicacións (emisor, receptor, día, hora, etc.), copias de seguridade dos chats e/ou arquivos multimedia, rexistro das comunicacións realizadas "incluíndo data, hora, orixe, destino e tipo de comunicación".

Segundo detalla a plataforma no Centro de Axuda, "WhatsApp non divulga o contido das mensaxes dos seus usuarios en resposta a solicitudes gobernamentais e tampouco pode facelo" polo seu protocolo de cifrado: "O contido só se conserva no teu teléfono (e, se o elixes, na copia de seguridade do teu teléfono baseada na nube)". En función da solicitude, a resposta pode incluír "información básica do subscritor (coma o seu nome, data de inicio do servizo, data de última vez, enderezo IP, tipo de dispositivo e dirección de correo electrónico) e información da conta (como fotos do perfil, información de grupos e lista de contactos)".

Mesmo, tal e como puntualiza Javier Casares, WhatsApp pode facilitar información sobre o tamaño da comunicación, é dicir, se é un texto longo, curto ou se contiña arquivos multimedia ou documentos. Tamén poderían facilitar información sobre os chats temporais. "A mensaxe en si non, pero si que se poderá informar sobre que tal persoa mandou unha mensaxe temporal", recoñece este experto.

No caso de Google, o xuíz Hurtado solicítalle os datos almacenados nos diversos servizos e produtos vinculados á conta, copias de seguridade dos dispositivos vinculados á conta, copias de seguridade de aplicacións de terceiros, copias de seguridade dos chats e/ou arquivos multimedia, e log ou rexistro das comunicacións realizadas "incluíndo data, hora, orixe, destino e tipo de comunicación".

É dicir, non se centra nos posibles correos que enviou García Ortiz durante estes días, senón na posibilidade de que teña unha copia de seguridade de WhatsApp coas conversacións que tivo ese día. Se o maxistrado solicitase información sobre os emails de Gmail, Google podería ofrecer información do subscritor, como os enderezos de IP de inicio de sesión; metadatos non relacionados co contido como a información da cabeceira; coma o contido das propias mensaxes porque, como se explicou previamente, non están cifrados.  

Grazas ás socias e socios editamos un xornal plural

As socias e socios de Praza.gal son esenciais para editarmos cada día un xornal plural. Dende moi pouco a túa achega económica pode axudarnos a soster e ampliar a nosa redacción e, así, a contarmos máis, mellor e sen cancelas.
Quero ser de Praza