Dos 'hackers' españoles consiguen falsear el remitente del popular servicio de mensajería.
Ver trabajar a un hacker no es lo más excitante del mundo. Sobre
una mesa, dos teléfonos móviles y un ordenador portátil con la pantalla
negra llena de un código ilegible para el no iniciado. Jaime Sánchez y Pablo San Emeterio, dos ingenieros informáticos expertos en ciberseguridad, han conseguido quebrar el código de WhatsApp
para modificar el remitente de un mensaje; para simular que alguien
envió unas líneas a nuestro teléfono móvil. La suya es una magia
pequeña, pero poderosa. Una grieta en un servicio de mensajería que
tiene 500 millones de usuarios, un tráfico diario de 10.000 millones de
mensajes, y que acaba de ser adquirida por Facebook
por 19.000 millones de dólares (14.000 millones de euros). Usando una
metáfora de un mundo que desaparece, lo que han logrado estos hackers buenos
sería comparable a colarse en el sistema de Correos para poder recibir
falsas cartas certificadas y atribuibles a una persona que nunca las
escribió.
Nuestro día a día es buscar vulnerabilidades que pueden ser
explotadas por delincuentes para afectar la seguridad de personas y
empresas”, dice la pareja, que lleva un par de años explorando los
fallos de WhatsApp. Desde entonces han descubierto cómo espiar
conversaciones, han descifrado contraseñas, fabricado mensajes malignos
que consiguen que un móvil deje de funcionar… Todas estas debilidades,
que han hecho públicas en distintas ponencias internacionales, han sido parcheadas por la empresa con más o menos rapidez.
Pero a su último descubrimiento aún no se ha puesto solución.
“Modificar el remitente de un mensaje podría tener todo tipo de
implicaciones, tanto cotidianas como legales, en temas de divorcios, de
extorsiones…”, explican los expertos. “Por ejemplo, se podría presentar
una denuncia por amenazas ofreciendo como prueba falsos mensajes de
alguien a cuyo teléfono ni siquiera hemos tenido acceso físico”. Basta
con saber su número. El teléfono que se hackea es el receptor del mensaje, que hace ver que han llegado mensajes de números que jamás enviaron nada.
El portal de descargas Softonic.com (125 millones de usuarios únicos
al mes) publicó el trabajo de Sánchez y San Emeterio en marzo y consiguió arrancar una reacción al esquivo Jan Koum,
fundador de WhatsApp. Koum contestó entonces que los españoles no
habían comprometido la seguridad de sus servidores ya que el mensaje se
modificaba al llegar al teléfono receptor. Un portavoz de la compañía ha
manifestado a EL PAÍS que “la seguridad es prioritaria para WhatsApp”.
Se trata, en todo caso, de una grieta de difícil acceso para el
usuario medio. “No es algo que pueda hacer nuestro amigo informático de
turno”, añadía la información de Softonic. “Pero pone en entredicho la
seguridad de WhatsApp y, desde luego, lo descarta como un medio válido
para probar algo a nivel legal”.
Solo hay que googlear las palabras “WhatsApp” y “sentencia” para
asomarse al agujero. Julio de 2011, la Audiencia Provincial de Las
Palmas ratifica una sentencia por injurias basada en parte en una
conversación de WhatsApp entre la acusada y el novio de la denunciante;
marzo de 2013, cuatro chicas de Vigo son condenadas a pagar multas de
100 y 200 euros por amenazar a otra tras agregarla a un grupo de
WhatsApp; noviembre de 2013, un hombre es condenado por un juzgado de
Ferrol a un año y nueve meses de cárcel por mandar 2.147 mensajes de
WhatsApp (y hacer 53 llamadas perdidas) a su expareja; febrero de 2014,
el Tribunal Supremo admite como prueba de cargo en un caso de tráfico de
cocaína las conversaciones por WhatsApp de los acusados; junio de 2014,
un juzgado de Pontevedra instruye un caso contra un hombre que difundió
por WhatsApp los controles de carretera de la Guardia Civil; el 2 de
julio un juez examinó las transcripciones de las conversaciones de
WhatsApp entre un profesor imputado por abusos y sus alumnas…
“El creciente uso de WhatsApp como prueba en los juicios es una
pasada”, dice Carlos Aldama, ingeniero informático que trabaja como
perito informático judicial. Hace un año, peritaba una prueba de
WhatsApp al mes, ahora son seis al mes, en casos de todo tipo,
infidelidades, divorcios, custodias, temas de negocios, pederastia…
“Aproximadamente una de cada 20 pruebas está falseada”, explica Aldama.
Se ha encontrado de todo: burdas capturas de pantalla de una
conversación retocadas como imágenes, sencillas manipulaciones de la
geolocalización de un envío, o suplantaciones más complejas ejecutadas
con troyanos (software malicioso que infecta un dispositivo). “Todo esto
lo muestran ante notario… y claro, el notario da fe de lo que ve, pero
no sabe si lo que ve está o no manipulado”, dice el perito, que asegura
que en los mercados de la Deep Web (una capa profunda y libre de Internet
de difícil acceso en la que se trafica con armas, droga o pornografía)
se puede contratar gente que por unos 50 dólares falsean mensajes de
WhatsApp.
En esta maraña de mentiras digitales, la falsificación del remitente
que plantean Sánchez y San Emeterio, supone hilar muy fino. “Para
detectarla el perito tendría que tener acceso a los dos terminales, al
informe de transferencia de datos o al router por el que se conectó”,
explica el perito judicial. “De ser impugnada por la otra parte, un
perito no admitiría los mensajes como prueba irrefutable, pero, aun así,
lo que han detectado los dos españoles es un fallo de seguridad”. Según
Aldama, si la Justicia quiere ofrecer garantías de defensa, tendrá que
contar cada vez más con los ingenieros informáticos.
“La justicia no está preparada, no existe a día de hoy la figura de
un Juez 2.0”, opina Federico Bueno de Mata, profesor de Derecho Procesal
de la Universidad de Salamanca y premio extraordinario de tesis sobre la prueba electrónica.
El gran escollo es que las pruebas se rigen por la Ley de
Enjuiciamiento Civil del año 2000 (y WhatsApp se fundó en 2009). “La
tecnología evoluciona a un ritmo completamente distinto que el sistema
judicial”, dice el abogado. “Lo que nos lleva ante una justicia
tecnológicamente obsoleta a nivel probatorio”. El problema de fondo para
este doctor en Derecho es que “la valoración de la prueba electrónica
por parte del juez está totalmente condicionada a lo dicho por el perito
informático”. Al final, decide el técnico. Para devolver la “sana crítica” a sus señorías,
las oposiciones a judicatura deberían incorporar conocimientos
tecnológicos, según el abogado, y se deberían fomentar los cursos de
reciclaje para que los jueces se pongan al día.
Abogados, peritos y expertos en ciberseguridad coinciden en que las
empresas de mensajería también tienen parte de responsabilidad. “Algunas
ven la seguridad más como una inversión que como un coste, algo que
retrasa el tiempo de desarrollo de un producto en un mercado que se
mueve muy rápido”, dicen Sánchez y San Emeterio. “La mayoría de las
veces van a rebufo de los hackers, arreglando los errores a medida que
son expuestos”. Agujeros en la seguridad que se hacen públicos
mundialmente en minutos. “El primero que falsea un servicio como
WhatsApp, tiene el mérito”, opina Carlos Aldama. “Pero una vez se
publica la información de cómo se ha hecho, paso a paso, cualquiera con
conocimientos medios puede repetirlo; por ello, las empresas deberían
tomar medidas inmediatas”.
