Desde hace varios años, WhatsApp se enorgullece de su seguridad inigualable gracias al cifrado de extremo a extremo. Sin embargo, dos revelaciones recientes han vuelto a plantear dudas sobre la protección de la privacidad de los usuarios. En contra de lo que podría pensarse, el problema no radica en el cifrado en sí, sino en los metadatos que acompañan a cada mensaje.

Revelaciones alarmantes

El 22 de mayo de 2024, The Intercept publicó una evaluación interna de amenazas de WhatsApp, revelando que las vulnerabilidades podrían permitir a las agencias gubernamentales y a varios terceros saltarse el cifrado para acceder a los metadatos de los usuarios.

Pocos días después, Elon Musk afirmó en su plataforma X que WhatsApp «exporta tus datos de usuario cada noche».

El jefe de WhatsApp, Will Cathcart, respondió subrayando que el cifrado sigue siendo fuerte y que los mensajes son privados. Sin embargo, estas discusiones no tienen que ver con el cifrado de los mensajes, sino con los metadatos.

La naturaleza de los metadatos

Los metadatos incluyen información como las direcciones IP, los números de teléfono, los contactos con los que se han intercambiado mensajes y las horas de estos intercambios.

Aunque estos datos puedan parecer triviales, son esenciales para identificar a los usuarios y seguir sus actividades. Por ejemplo, en el caso de la detención de un activista catalán, bastó con recuperar una dirección de email.

WhatsApp también recopila registros de uso, en los que se anotan detalles como la hora, la frecuencia y la duración de las actividades. Estos datos, combinados con otros productos de Meta como Instagram y Facebook, permiten crear un perfil digital detallado de cada usuario.

Es más, aunque las funciones de localización estén desactivadas, la dirección IP y otros datos permiten estimar la ubicación general del usuario.

Implicaciones de los metadatos

Los metadatos pueden utilizarse para ataques de correlación, permitiendo deducir quién habla con quién y cuándo, a pesar del cifrado de los mensajes.

Estos ataques son especialmente preocupantes en el contexto de la vigilancia mundial. Las implicaciones para la privacidad son alarmantes.

Por ejemplo, esta información podría permitir a un gobierno o a una empresa rastrear el comportamiento y las interacciones de las personas, incluso sin tener acceso al contenido de los mensajes.

Los documentos internos de WhatsApp indican que las vulnerabilidades en el análisis del tráfico pueden aprovecharse para vigilar las comunicaciones. La magnitud de esta vigilancia y las posibilidades de abuso ponen de relieve la importancia de reforzar la protección de los metadatos.

La recopilación y el análisis de metadatos plantean graves amenazas a la privacidad, exponiendo a las personas a los riesgos de la elaboración de perfiles, la discriminación y la vigilancia injustificada.

Reacciones y soluciones

Meta ha sido criticada por su lentitud a la hora de responder a los problemas de seguridad hasta que se vuelven inmanejables, como demuestra su historial de respuestas tardías a los problemas de privacidad de los usuarios.

En el caso de WhatsApp, mejorar la seguridad contra los ataques de correlación podría poner en peligro el rendimiento y la accesibilidad de la aplicación, creando un dilema entre la protección del usuario y la rentabilidad.

Las sugerencias incluyen la inclusión de un modo de seguridad mejorado para los usuarios de riesgo, similar al Modo Aislamiento de Apple para iOS. Sin embargo, esta opción podría atraer la misma atención que Telegram.

Conclusión

Las recientes revelaciones demuestran que el verdadero problema de la seguridad de las comunicaciones no reside únicamente en el cifrado de los mensajes, sino también en la protección de los metadatos. WhatsApp y otras plataformas necesitan encontrar un equilibrio entre el rendimiento de la aplicación y la privacidad del usuario.

Tomás Gutiérrez
Tomás Gutiérrez

Experto en tecnología y defensor de la protección de datos, combinando pasión por la innovación y compromiso con la seguridad digital