El descubrimiento de que los piratas informáticos podían espiar en WhatsApp debería alertar a los usuarios de las aplicaciones de mensajería supuestamente seguras a una verdad incómoda: el "cifrado de extremo a extremo" suena bien, pero si alguien puede ingresar al sistema operativo de su teléfono, podrá leer sus mensajes sin tener que descifrarlos.
Según un informe publicado el martes en el Financial Times, el software espía que vulneró la seguridad fue Pegasus, creado por la compañía israelí NSO. El malware podría acceder a la cámara y al micrófono de un teléfono, abrir mensajes, capturar lo que aparece en la pantalla de un usuario y registrar las pulsaciones de teclas, lo que hace que el cifrado no tenga sentido. Funciona en todos los sistemas operativos, incluido el iOS de Apple, el Android de Google y la versión de Windows que raramente se usa en dispositivos móviles de Microsoft.
La comunidad de seguridad cibernética lo ha sabido durante años, y los activistas han criticado su uso contra disidentes y periodistas en docenas de países, aunque NSO dice que no vende Pegasus a regímenes indeseables y que la aplicación está deshabilitada en EE.UU.
Anteriormente se suponía que para que Pegasus funcionara, la víctima tenía que hacer clic en un enlace de phishing para instalar el malware. Pero según una breve descripción técnica del hackeo publicada por el propietario de WhatsApp, Facebook Inc., ahora parece que los piratas informáticos pueden instalar el malware simplemente llamando al objetivo.
Este no es el primer caso de vulnerabilidad de este tipo que se descubre en una aplicación de mensajería supuestamente segura. El año pasado, el investigador de seguridad argentino Iván Ariel Barrera Oro escribió sobre una falla en Signal, una aplicación utilizada por el informante Edward Snowden. En ese caso, un pirata informático podría enviar una dirección de internet especialmente diseñada en un mensaje de Signal que descargaría el malware.
Sin embargo, es importante darse cuenta de que el software espía que puede instalarse sin ninguna acción por parte del usuario puede llegar a través de cualquier canal, ya sea un servicio de mensajería cifrado, un navegador, un correo electrónico o un cliente de SMS con una vulnerabilidad no descubierta que permita tal ataque.
Estas son simples aplicaciones que se ejecutan sobre un sistema operativo, y una vez que una parte del malware se introduce en este último, puede controlar el dispositivo de muchas maneras. Con un keylogger, o registrador de teclas, un hacker puede ver solo un lado de una conversación. Pero también puede realizar una captura de pantalla de un usuario y ver la discusión completa, independientemente de las precauciones de seguridad incorporadas en la aplicación que está utilizando.
El "cifrado de extremo a extremo" es un dispositivo de marketing utilizado por compañías como Facebook para tranquilizar a los consumidores que desconfían de la cibervigilancia en una falsa sensación de seguridad.
La lucha entre las empresas de tecnología que promocionan el cifrado de extremo a extremo como una forma de evitar el espionaje gubernamental y las agencias estatales que protestan por su uso es una cortina de humo. Los hackers gubernamentales y privados trabajan frenéticamente en nuevos métodos para implementar malware con privilegios en todo el sistema operativo. Compañías como NSO están a la vanguardia de este importante trabajo, que puede ayudar a atrapar terroristas y prevenir ataques, o encarcelar a disidentes e interrumpir revoluciones contra regímenes dictatoriales.
Es probable que el episodio de WhatsApp fomente las reacciones contra NSO y la licencia de exportación que posee del gobierno israelí para vender Pegasus. Pero si esta empresa en particular deja de desarrollar el malware, otros tomarán su lugar.
La dura verdad para los activistas y periodistas que necesitan mensajes seguros es que cuanto más expertos en tecnología son, más seguras pueden hacer sus comunicaciones digitales. Uno puede, por ejemplo, cifrar mensajes en un dispositivo sin red antes de enviarlos a través del teléfono. Pero incluso eso no garantizaría una seguridad completa ya que las respuestas podrían ser robadas a través de una captura de pantalla.
La comunicación verdaderamente segura solo es posible en el mundo analógico y, después, se aplican todas las técnicas de espionaje de la vieja escuela.