Una vez puede ocurrirle a cualquiera. Dos veces puede ser un despiste. Pero a partir de ahí, hay un patrón innegable de que está pasando algo con WhatsApp. No es normal que estén apareciendo tantas vulnerabilidades tan graves en tan poco tiempo, y ahora se está empezando a afirmar que WhatsApp está introduciendo puertas traseras en la aplicación por las presiones recibidas de Estados Unidos.
Pavel Durov, CEO de Telegram, critica duramente a WhatsApp
Una de las voces más críticas con WhatsApp ha sido, como no podía ser de otra manera, Pavel Durov, CEO y creador de Telegram. En sus seis años de existencia, Telegram no ha tenido ni una sola vulnerabilidad ni ningún fallo de seguridad grave, mientras que WhatsApp en ese mismo periodo ha tenido incontables vulnerabilidades a pesar de contar con el apoyo económico de Facebook, con un presupuesto mucho mayor que el que tiene Telegram.
Y la presencia de Facebook es una de las cosas que más critica Durov sobre WhatsApp. Ya en mayo, Durov lanzó una dura crítica contra WhatsApp por permitir hackear un móvil al completo con sólo hacer una videollamada, y el usuario ni siquiera tenía que cogerla. En esas fechas, también criticaba que WhatsApp no esté prohibido en ningún país, mientras que Telegram sí lo está en Rusia e Irán por no haber cedido las claves de cifrado ni haber cedido ante presiones de países.
Esta semana se desveló una nueva vulnerabilidad en WhatsApp, donde podían hackearte el móvil con sólo recibir un archivo en formato MP4, exponiendo todos los datos de tu móvil. Casualmente, es el mismo efecto que causó la vulnerabilidad de la llamada hace unos meses, y la presencia de ese patrón asusta porque indica que WhatsApp podría estar colándolas de una en una para permitir que gobiernos y agencias de espionaje puedan acceder a los terminales de sus objetivos.
Durov dice que tener WhatsApp en tu móvil es como tener un troyano, y que está en la naturaleza de Facebook el poder espiar contenido que incluso no sea de la app a través de estas vulnerabilidades. Actualmente las copias de seguridad de nuestros chats se almacenan en Drive o en iCloud y no están cifradas. Si el FBI le pide a Google o a Apple acceso a esos archivos, Google se lo da, y el FBI puede descifrarlos.
Facebook no puede saber si hay hackers que se hayan aprovechado de las vulnerabilidades
Facebook dijo que no había encontrado evidencias de que la puerta trasera hubiera sido explotada por hackers, pero es que no tienen manera de saberlo porque no pueden analizar los vídeos compartidos por los usuarios de la aplicación, y la app no almacena permanentemente los archivos en sus servidores.
Como es lógico, esta vulnerabilidad ha sido usada con casi total seguridad por agencias de espionaje. La de las llamadas quedó demostrado que había sido usada contra activistas y periodistas, donde algunos explicaron cómo recibieron llamadas en sus móviles una vez, y cuando resetearon el móvil o incluso lo cambiaban, volvían a recibirlas para que estas agencias volvieran a tener acceso al móvil.
Por tanto, de todo esto se desprende una conclusión muy grave: WhatsApp no ha sido nunca impenetrable al 100%. No lo era cuando no cifraba sus mensajes, y desde que los cifra casi que fuerza a los usuarios a almacenar sus mensajes sin cifrar en la nube, además de ofrecer estas puertas traseras a las agencias de espionaje. Por tanto, es una app que hay que evitar usar en la medida de lo posible, ya que no es casual que aparezcan estas vulnerabilidades cada pocos meses de manera «accidental» y que permitan acceso completo a los móviles de quienes tienen instalada la app. Es casi imposible que una app tan grande como WhatsApp introduzca esas puertas traseras por error.