Avui parlem de
Iñigo Martínez
Josep Barberà
Xavi Nolla
Ictus
Felip VI
Grifols
Marine Le Pen
Javier Cercas
Wayne Griffiths Seat
Dani Alves
Joana Sanz
Jubilació i feina
Científics d'Estats Units
Brigitte Bardot
Carlos Mazón
Wordle en català
Amagamots
Embassaments a Catalunya
Cat Cast Eng
Mèdia
Dígits i Andròmines

WhatsApp és menys privat del que et vol fer creure

Tot i que els missatges estiguin xifrats durant la transmissió, les aplicacions mòbils guarden dades als dispositius i les còpies al núvol són també vulnerables

L'aplicació de WhastApp en una mobil.
L'aplicació de WhastApp en una mobil. Marc Rovira
Albert Cuesta
29/03/2025
4 min
4
Regala aquest article

BarcelonaEl Tribunal Suprem espanyol ha reclamat a Meta Platforms i a Google que conservin i facilitin els missatges de WhatsApp del fiscal general de l'Estat, Álvaro García Ortiz, en el marc d'una investigació per revelació de secrets relacionada amb el cas de la parella d'Isabel Díaz Ayuso. Les dues empreses han confirmat que mantenen els missatges i correus del fiscal, tot i que els hagi esborrat del seu telèfon.

Inscriu-te a la newsletter Sèries Totes les estrenes i altres perles
Inscriu-t’hi

Aquest cas ha desvelat un fet que molts usuaris desconeixen: esborrar missatges o correus dels nostres dispositius no significa que desapareguin completament dels servidors de les empreses tecnològiques, que poden ser obligades a recuperar-los mitjançant ordres judicials.

La falsa sensació de privadesa a WhatsApp

La majoria d'usuaris de WhatsApp, l'aplicació de missatgeria més popular, creu que els seus missatges només poden ser llegits pel destinatari gràcies al xifratge d'extrem a extrem (E2EE, per les sigles en anglès). I si bé és cert que el contingut dels missatges està protegit en trànsit, molts usuaris no tenen present que guarden al núvol (Google Drive en el cas d'Android i iCloud en el cas d'iPhone) una còpia de seguretat dels seus xats per no perdre'ls quan canvien de telèfon.

El problema és que aquestes còpies de seguretat no estan xifrades per omissió, cosa que fa que Google pugui proporcionar als jutges una còpia en obert dels missatges que el fiscal general va esborrar del seu telèfon. Per aquest motiu, és recomanable activar a la configuració de WhatsApp el xifratge de la còpia al núvol... si s'insisteix a fer-la, tot i que el més segur seria no realitzar aquestes còpies.

A més, segons ha divulgat la Guàrdia Civil, l’apli mòbil de WhatsApp emmagatzema localment les dades, la qual cosa permetria fer un procés de recuperació de missatges esborrats mitjançant l'ús de programari informàtic forense.

Les metadades: el que WhatsApp sí que sap de nosaltres

Meredith Whittaker, presidenta de la Signal Foundation, ha criticat durament Will Cathcart, màxim responsable de WhatsApp, per afirmar que no hi ha diferències entre les dues aplicacions quant a privadesa. Tot i que WhatsApp utilitza la tecnologia de xifratge d'extrem a extrem de Signal per protegir el contingut dels missatges, continua recollint en paral·lel enormes quantitats d'informació personal rellevant no xifrada.

"WhatsApp recull i lliura, quan se li requereix, enormes quantitats d'informació íntima que, a diferència de Signal, no està protegida amb xifratge d'extrem a extrem", afirma Whittaker. Aquesta informació inclou ubicació, llistes de contactes, quan comences a enviar missatges a algú, quan pares de fer-ho, qui forma part dels teus xats de grup, la teva foto de perfil i molt més. A més, mentre que Signal és de codi obert, cosa que permet verificar les seves afirmacions, WhatsApp és de codi tancat i ningú no sap exactament què fa el seu codi.

La pressió governamental contra el xifratge

És emblemàtica l’exigència de l’FBI a Apple per accedir a les dades de l’iPhone d’un assassí. En els darrers mesos diversos governs –fins i tot europeus– estan intentant que les empreses tecnològiques obrin en els seus sistemes de xifratge una porta del darrere perquè les autoritats puguin inspeccionar contingut potencialment delictiu, des de terrorisme fins a pedofília.

França ha estat a punt d'aprovar una llei que obligaria les aplicacions de missatgeria xifrada a crear aquesta porta del darrere que permeti al govern afegir-se a qualsevol grup o xat que vulgui. Aquesta modificació de la llei contra el narcotràfic ha estat finalment rebutjada per l'Assemblea Nacional francesa, per a alegria dels defensors de la privadesa digital.

Per la seva banda, la Unió Europea porta anys intentant implantar el sistema Chat Control, que obligaria les plataformes a escanejar tots els missatges privats per detectar material d'abús infantil. Aquesta proposta ha estat fortament criticada pels defensors de la privadesa i encara no ha aconseguit ser aplicada.

El Regne Unit ha pressionat Apple fins al punt que l'empresa ha decidit retirar la seva eina de protecció de dades avançada (ADP) als clients britànics. Aquesta mesura afecta específicament nou categories de dades d'iCloud que abans estaven protegides amb xifratge d'extrem a extrem: còpies de seguretat d'iCloud, iCloud Drive, fotos, notes, recordatoris, adreces d'interès de Safari, dreceres de Siri, notes de veu i passis de Wallet. No obstant això, Apple assegura que altres serveis com iMessage i FaceTime continuaran xifrats d'extrem a extrem globalment, incloent-hi el Regne Unit, i que altres categories com la de Salut i el clauer d’iCloud també mantindran la seva protecció completa.

Els riscos de les 'portes del darrere'

Sovint s'ha advertit sobre els perills d'aquestes portes del darrere. En un article al Financial Times, l'esmentada Whittaker comparava aquesta situació amb un govern que ordenés a un fabricant de cotxes debilitar secretament l'eficàcia dels frens en tots els cotxes que ven, posant en perill imprudentment la seguretat de milions de persones.

A més, s'ha assenyalat el cas del ciberatac Salt Typhoon, en què hackers vinculats a la Xina van accedir a registres de trucades, missatges de text i altra informació íntima de milions de ciutadans dels EUA. Com ho van aconseguir els hackers? Gràcies a les portes del darrere obertes per les operadores de telecomunicacions. El problema fonamental és simple: el xifratge són matemàtiques, i les matemàtiques no discriminen entre un investigador policial i un delinqüent: una porta del darrere és una porta del darrere, i si existeix qualsevol pot entrar-hi, afirmen els especialistes en ciberseguretat.

L'amenaça de la IA a la privadesa

Darrerament creix la preocupació per com la intel·ligència artificial està amplificant el risc de vigilància. En concret, es parla dels perills dels anomenats "agents" autònoms d'IA en els nostres dispositius, que necessitarien accés a grans quantitats de dades delicades, potencialment sense xifrar, i que podrien comprometre la privadesa de les comunicacions.

Aquesta situació s'ha comparat amb "posar el cervell en un pot", ja que aquests agents necessitarien permisos d'accés a tot el nostre sistema, incloent-hi navegador, informació de targetes de crèdit, calendari i aplicacions de missatgeria. La majoria dels especialistes conclouen que la millor manera de protegir les dades és no recopilar-ne..

La baula més feble sempre és l'humà

Malgrat totes les mesures tècniques de seguretat, cal recordar que la baula més feble en la cadena de privadesa sempre és l'humà, aquest mateix humà que no activa el xifratge de les còpies de seguretat ni els missatges efímers. L’any 2018 es van publicar uns missatges de Signal entre Carles Puigdemont i Toni Comín, captats per una càmera de TV de la pantalla del telèfon de l’exconseller. I aquesta setmana els màxims responsables polítics de defensa dels EUA han inclòs per error un periodista de The Atlantic en un xat de Signal on es debatien els detalls dels bombardejos al Iemen.

stats