Hace tres meses que WhatsApp lanzó su versión web y honestamente, no he podido dejar de usarla. Poder responder mensajes desde la computadora mientras trabajo es una comodidad que no sabía que necesitaba. Pero como desarrollador web, también no he podido dejar de preguntarme qué diablos está pasando con mi información cada vez que abro web.whatsapp.com.
Después de investigar durante semanas cómo funciona realmente WhatsApp Web, tengo noticias que no van a gustarte si eres de los que cree que sus conversaciones son privadas.
Spoiler: son menos privadas de lo que piensas.
Cómo funciona WhatsApp Web (y por qué eso importa)
Para entender los problemas de seguridad, primero necesitas entender cómo funciona esta cosa.
WhatsApp Web no es realmente una aplicación independiente. Es más como un espejo de lo que está pasando en tu teléfono. Tu teléfono sigue siendo el que se conecta a los servidores de WhatsApp, y tu navegador se conecta a tu teléfono através de esos mismos servidores.
Es como si tu teléfono fuera un radio y tu computadora fuera un altavoz conectado a ese radio. El problema es que ese altavoz está transmitiendo através de internet, where cualquiera con las herramientas correctas puede escuchar.
El proceso de conexión
Cuando escaneas el código QR para conectar WhatsApp Web, esto es lo que pasa:
Tu teléfono genera una sesión única y se la comunica a los servidores de WhatsApp. Luego tu navegador se conecta a esos mismos servidores usando esa sesión. A partir de ahí, todo lo que escribes en el navegador pasa por los servidores de WhatsApp antes de llegar a tu teléfono, y viceversa.
¿Ves el problema? Tus mensajes están pasando por servidores de una empresa que pertenece a Facebook, una empresa que literalmente gana dinero analizando comunicaciones privadas para vender publicidad.
Los vectores de ataque que me quitan el sueño
Como alguien que pasa el día configurando servidores web, veo múltiples formas en que esto puede salir mal.
Tu sesión en una computadora pública
El mes pasado vi a un tipo en un café en Quito usar WhatsApp Web en una computadora del local. Cuando terminó, simplemente cerró la pestaña y se fue.
¿Sabes qué no hizo? Cerrar sesión. Su WhatsApp quedó conectado en esa computadora hasta que alguien más la usara o hasta que él manualmente desconectara la sesión desde su teléfono.
Durante ese tiempo, cualquier persona que usara esa computadora podía leer todos sus mensajes, ver su lista de contactos, y hasta enviar mensajes en su nombre.
JavaScript malicioso
WhatsApp Web funciona enteramente en JavaScript que se descarga desde los servidores de WhatsApp cada vez que abres la página.
Esto significa que si alguien compromete los servidores de WhatsApp, o si logra interceptar tu conexión y servir JavaScript modificado, podría potencialmente leer todos tus mensajes en tiempo real.
Sí, esto requiere un ataque sofisticado. Pero después de todo lo que hemos visto con la NSA y compañía, ya no me parece imposible.
Malware en tu computadora
Si tu computadora tiene malware, WhatsApp Web se convierte en una puerta directa a todas tus conversaciones.
Un keylogger puede capturar todo lo que escribes. Un software de captura de pantalla puede fotografiar tus conversaciones. Y como WhatsApp Web no tiene protecciones adicionales más allá de HTTPS básico, no hay mucho que te proteja.
La ilusión de cifrado
WhatsApp dice que usa cifrado end-to-end, pero eso es para la aplicación móvil. WhatsApp Web opera en un modelo completamente diferente.
Cifrado de transporte no es cifrado end-to-end
Cuando usas WhatsApp Web, tus mensajes están cifrados entre tu navegador y los servidores de WhatsApp (HTTPS), y entre los servidores de WhatsApp y tu teléfono. Pero en los servidores de WhatsApp, existe un momento donde los mensajes están descifrados.
Esto significa que WhatsApp, y por extensión Facebook, técnicamente puede leer tus mensajes si quiere. No están protegidos por cifrado verdadero end-to-end.
Las llaves de cifrado
En la aplicación móvil, las llaves de cifrado se generan y almacenan en tu teléfono. En WhatsApp Web, parte del proceso de cifrado sucede en JavaScript que se ejecuta en tu navegador.
El problema con JavaScript es que es código que puedes inspeccionar, pero que también cambia cada vez que recargas la página. No hay forma de verificar que el código que se ejecutó ayer es el mismo que se ejecuta hoy.
Mi experimento personal con WhatsApp Web
Decidí hacer mis propias pruebas para ver qué tan expuesto está realmente mi tráfico cuando uso WhatsApp Web.
Análisis de tráfico de red
Configuré Wireshark para capturar todo el tráfico entre mi computadora y los servidores de WhatsApp mientras usaba la versión web.
Los mensajes están cifrados en tránsito, eso es cierto. Pero pude ver metadatos interesantes: a qué hora envío mensajes, cuántos caracteres tienen, a quién les escribo más frecuentemente, y patrones de cuando estoy más activo.
Esos metadatos son oro para cualquiera que quiera perfilar tu comportamiento.
Sesiones persistentes
Descubrí que WhatsApp Web mantiene tu sesión activa por mucho más tiempo del que esperarías. Aunque cierres el navegador, la sesión puede seguir activa por horas.
Esto significa que si alguien tiene acceso físico a tu computadora, puede potencialmente reabrir WhatsApp Web sin necesidad de escanear el código QR nuevamente.
Almacenamiento local del navegador
WhatsApp Web guarda información en el almacenamiento local de tu navegador. Aunque está cifrada, es información que persiste en tu disco duro hasta que manualmente limpies los datos del navegador.
Si alguien tiene acceso a tu computadora, hay fragmentos de conversaciones que pueden ser recuperables del almacenamiento local.
Comparando con alternativas
Para poner esto en perspectiva, he estado probando otras opciones de mensajería web.
Telegram Web
Telegram Web tiene problemas similares, pero al menos es más transparente sobre el hecho de que los mensajes pasan através de sus servidores.
También Telegram no pertenece a Facebook, que es una ventaja desde mi perspectiva de privacidad.
Skype en el navegador
Skype web es un desastre de seguridad aún peor que WhatsApp Web. Microsoft tiene acceso completo a todas las conversaciones y además el rendimiento es terrible.
Email tradicional
Por irónico que suene, el email tradicional con PGP sigue siendo más seguro que cualquiera de estas opciones de mensajería web.
Claro, es menos conveniente, pero al menos tienes control completo sobre las llaves de cifrado.
Casos reales que he visto
No estoy siendo paranoico por diversión. He visto problemas reales relacionados con WhatsApp Web.
El empleado espiado
Un conocido me contó que su jefe había estado leyendo sus conversaciones personales de WhatsApp porque había usado WhatsApp Web en una computadora de la oficina y olvidó cerrar sesión.
El jefe no necesitó hackear nada. Simplemente abrió el navegador al día siguiente y ahí estaba todo.
La novia celosa
Otro caso: una chica instaló un keylogger en la computadora de su novio para leer sus conversaciones de WhatsApp Web.
Como WhatsApp Web no tiene verificación de dos factores ni ninguna protección adicional, ella tenía acceso completo a todo sin que él se diera cuenta.
El café con WiFi comprometido
En un café en el norte de Quito, alguien había configurado un punto de acceso WiFi falso con el mismo nombre que el WiFi real del café.
Cualquier persona que se conectara al WiFi falso y usara WhatsApp Web estaba potencialmente exponiendo sus conversaciones a quien controlara ese punto de acceso.
Los riesgos específicos para Ecuador
Viviendo en Quito, hay consideraciones adicionales sobre privacidad digital.
Infraestructura de internet local
El tráfico de internet desde Ecuador pasa através de relativamente pocos puntos de interconexión internacional. Esto hace más fácil para actores sofisticados monitorear comunicaciones a gran escala.
Si usas WhatsApp Web, tus mensajes están pasando através de estos puntos de interconexión sin las mismas protecciones que tendrían en la aplicación móvil.
Computadoras públicas
En Ecuador es común usar computadoras en cafés internet o universidades. WhatsApp Web en computadoras públicas es especialmente riesgoso porque no tienes control sobre qué software está instalado o quién más usa esas computadoras.
Regulaciones locales
Aunque Ecuador no tiene las mismas capacidades de surveillance que países más desarrollados, eso podría cambiar. Usar WhatsApp Web crea registros adicionales de tus comunicaciones que podrían ser accesibles a autoridades locales en el futuro.
Las mentiras convenientes que nos decimos
La realidad es que la mayoría de nosotros seguimos usando WhatsApp Web a pesar de estos riesgos porque es conveniente.
"No tengo nada que ocultar"
Este es el argumento más común y más peligroso. La privacidad no se trata de tener algo que ocultar; se trata de tener derecho a conversaciones privadas.
¿Le darías a un extraño acceso a todas tus conversaciones personales? ¿Por qué es diferente cuando ese extraño es una corporación?
"WhatsApp nunca leería mis mensajes"
WhatsApp puede prometer que no lee mensajes, pero pertenece a Facebook. Y Facebook literalmente gana dinero analizando comunicaciones privadas.
Aunque WhatsApp no lea contenido específico ahora, nada garantiza que esa política no cambie en el futuro.
"Mis conversaciones son aburridas"
Los metadatos de comunicaciones aburridas siguen siendo valiosos. Con quién hablas, cuándo, por cuánto tiempo, desde dónde. Esa información construye un perfil detallado de tu vida que tiene valor comercial y potencial para ser usado en tu contra.
Mi estrategia personal
Después de todo este análisis, sigo usando WhatsApp Web ocasionalmente, pero con precauciones específicas.
Solo en computadoras personales
Nunca uso WhatsApp Web en computadoras públicas o computadoras de trabajo. Solo en mi laptop personal donde tengo control completo sobre la seguridad.
Sesiones de corta duración
No dejo WhatsApp Web abierto permanentemente. Lo abro cuando necesito responder mensajes rápido desde la computadora, y luego cierro sesión manualmente.
Conversaciones no sensibles
Para conversaciones que requieren privacidad real - temas de trabajo sensibles, asuntos personales importantes, información financiera - sigo usando solo la aplicación móvil o mejor aún, métodos completamente diferentes.
Monitoreo de sesiones activas
Reviso regularmente las sesiones activas de WhatsApp Web desde mi teléfono y desconecto cualquier sesión que no reconozca o que haya olvidado cerrar.
Alternativas más seguras
Si realmente necesitas mensajería desde tu computadora con mejor seguridad, hay opciones.
Signal Desktop
Signal tiene una aplicación de escritorio que, aunque no es perfecta, es significativamente más segura que WhatsApp Web. El cifrado end-to-end se mantiene incluso en la versión de escritorio.
El problema es que casi nadie en Ecuador usa Signal todavía.
Email con PGP
Para comunicaciones realmente importantes, email con cifrado PGP sigue siendo la opción más segura que tengo disponible.
Es mucho menos conveniente, pero para conversaciones que realmente importan, vale la pena el esfuerzo extra.
Reuniones cara a cara
Para los temas más sensibles, no hay substituto para conversaciones cara a cara sin dispositivos electrónicos presentes.
Suena paranoico, pero es la única forma de estar completamente seguro de que nadie más está escuchando.
El futuro de la mensajería web
WhatsApp Web es solo el comienzo. Cada vez más servicios de mensajería van a ofrecer versiones web, y todos van a tener trade-offs similares entre conveniencia y seguridad.
La pregunta no es si estos servicios van a ser perfectamente seguros - no lo van a ser. La pregunta es si estamos dispuestos a aceptar los riesgos a cambio de la conveniencia.
Mi respuesta personal es: depende. Para conversaciones casuales con amigos, el riesgo es aceptable. Para cualquier cosa realmente importante, prefiero métodos que me den más control sobre mi privacidad.
WhatsApp Web es una herramienta útil, pero es importante usarla con los ojos abiertos sobre qué estás sacrificando en términos de privacidad y seguridad.
La conveniencia siempre tiene un precio. En este caso, el precio es que tus conversaciones privadas ya no son tan privadas como pensabas.
Comentarios 1
Comparte tu opinión
Luis Flores