Whatsapp, dudoso testigo de cargo

Dos 'hackers' españoles consiguen falsear el remitente del popular servicio de mensajería.

 El País TV

Ver trabajar a un hacker no es lo más excitante del mundo. Sobre una mesa, dos teléfonos móviles y un ordenador portátil con la pantalla negra llena de un código ilegible para el no iniciado. Jaime Sánchez y Pablo San Emeterio, dos ingenieros informáticos expertos en ciberseguridad, han conseguido quebrar el código de WhatsApp para modificar el remitente de un mensaje; para simular que alguien envió unas líneas a nuestro teléfono móvil. La suya es una magia pequeña, pero poderosa. Una grieta en un servicio de mensajería que tiene 500 millones de usuarios, un tráfico diario de 10.000 millones de mensajes, y que acaba de ser adquirida por Facebook por 19.000 millones de dólares (14.000 millones de euros). Usando una metáfora de un mundo que desaparece, lo que han logrado estos hackers buenos sería comparable a colarse en el sistema de Correos para poder recibir falsas cartas certificadas y atribuibles a una persona que nunca las escribió.

Tres remitentes, un mismo móvil

Los expertos en ciberseguridad Jaime Sánchez y Pablo San Emeterio en la redacción de EL PAÍS.

Los expertos en ciberseguridad Jaime Sánchez y Pablo San Emeterio realizaron para EL PAÍS una prueba de la grieta que han encontrado en el servicio de mensajería WhatsApp. En una situación normal, un mensaje del teléfono A al B pasa por el servidor de WhatsApp y un sistema de cuatro contraseñas lo valida al entrar y al salir. Lo que hacen  Sánchez y San Emeterio es colocarse en medio. El mensaje pasa por los dominios de WhatsApp, pero antes de llegar al teléfono B, es interceptado. Los hackers teclean en su ordenador el nombre y el teléfono de la persona a la que quieren suplantar. Cuando el mensaje aterriza en el teléfono B, este no solo no lo rechaza, sino que no hay manera de saber que el remitente ha sido modificado. Y como WhatsApp no almacena datos en sus servidores, es imposible encontrar el remitente original. En un minuto, los hackers mandan tres mensajes desde el teléfono A que llegan al B como si hubiesen sido enviados de tres números distintos. El de verdad y otros dos, a los que, por razones narrativas, han bautizado como "jefe" y "expareja", para insinuar el tipo de falsas amenazas que uno podría alegar haber recibido.

“Nuestro día a día es buscar vulnerabilidades que pueden ser explotadas por delincuentes para afectar la seguridad de personas y empresas”, dice la pareja, que lleva un par de años explorando los fallos de WhatsApp. Desde entonces han descubierto cómo espiar conversaciones, han descifrado contraseñas, fabricado mensajes malignos que consiguen que un móvil deje de funcionar… Todas estas debilidades, que han hecho públicas en distintas ponencias internacionales, han sido parcheadas por la empresa con más o menos rapidez.

Pero a su último descubrimiento aún no se ha puesto solución. “Modificar el remitente de un mensaje podría tener todo tipo de implicaciones, tanto cotidianas como legales, en temas de divorcios, de extorsiones…”, explican los expertos. “Por ejemplo, se podría presentar una denuncia por amenazas ofreciendo como prueba falsos mensajes de alguien a cuyo teléfono ni siquiera hemos tenido acceso físico”. Basta con saber su número. El teléfono que se hackea es el receptor del mensaje, que hace ver que han llegado mensajes de números que jamás enviaron nada.

El portal de descargas Softonic.com (125 millones de usuarios únicos al mes) publicó el trabajo de Sánchez y San Emeterio en marzo y consiguió arrancar una reacción al esquivo Jan Koum, fundador de WhatsApp. Koum contestó entonces que los españoles no habían comprometido la seguridad de sus servidores ya que el mensaje se modificaba al llegar al teléfono receptor. Un portavoz de la compañía ha manifestado a EL PAÍS que “la seguridad es prioritaria para WhatsApp”.

Se trata, en todo caso, de una grieta de difícil acceso para el usuario medio. “No es algo que pueda hacer nuestro amigo informático de turno”, añadía la información de Softonic. “Pero pone en entredicho la seguridad de WhatsApp y, desde luego, lo descarta como un medio válido para probar algo a nivel legal”.

Solo hay que googlear las palabras “WhatsApp” y “sentencia” para asomarse al agujero. Julio de 2011, la Audiencia Provincial de Las Palmas ratifica una sentencia por injurias basada en parte en una conversación de WhatsApp entre la acusada y el novio de la denunciante; marzo de 2013, cuatro chicas de Vigo son condenadas a pagar multas de 100 y 200 euros por amenazar a otra tras agregarla a un grupo de WhatsApp; noviembre de 2013, un hombre es condenado por un juzgado de Ferrol a un año y nueve meses de cárcel por mandar 2.147 mensajes de WhatsApp (y hacer 53 llamadas perdidas) a su expareja; febrero de 2014, el Tribunal Supremo admite como prueba de cargo en un caso de tráfico de cocaína las conversaciones por WhatsApp de los acusados; junio de 2014, un juzgado de Pontevedra instruye un caso contra un hombre que difundió por WhatsApp los controles de carretera de la Guardia Civil; el 2 de julio un juez examinó las transcripciones de las conversaciones de WhatsApp entre un profesor imputado por abusos y sus alumnas…

ampliar foto
La mensajería instantánea se usa como prueba cada vez en más juicios.

“El creciente uso de WhatsApp como prueba en los juicios es una pasada”, dice Carlos Aldama, ingeniero informático que trabaja como perito informático judicial. Hace un año, peritaba una prueba de WhatsApp al mes, ahora son seis al mes, en casos de todo tipo, infidelidades, divorcios, custodias, temas de negocios, pederastia… “Aproximadamente una de cada 20 pruebas está falseada”, explica Aldama. Se ha encontrado de todo: burdas capturas de pantalla de una conversación retocadas como imágenes, sencillas manipulaciones de la geolocalización de un envío, o suplantaciones más complejas ejecutadas con troyanos (software malicioso que infecta un dispositivo). “Todo esto lo muestran ante notario… y claro, el notario da fe de lo que ve, pero no sabe si lo que ve está o no manipulado”, dice el perito, que asegura que en los mercados de la Deep Web (una capa profunda y libre de Internet de difícil acceso en la que se trafica con armas, droga o pornografía) se puede contratar gente que por unos 50 dólares falsean mensajes de WhatsApp.

En esta maraña de mentiras digitales, la falsificación del remitente que plantean Sánchez y San Emeterio, supone hilar muy fino. “Para detectarla el perito tendría que tener acceso a los dos terminales, al informe de transferencia de datos o al router por el que se conectó”, explica el perito judicial. “De ser impugnada por la otra parte, un perito no admitiría los mensajes como prueba irrefutable, pero, aun así, lo que han detectado los dos españoles es un fallo de seguridad”. Según Aldama, si la Justicia quiere ofrecer garantías de defensa, tendrá que contar cada vez más con los ingenieros informáticos.

“Aproximadamente una de cada 20 pruebas electrónicas está falseada”, dice Carlos Aldama, Ingeniero Informático que trabaja como Perito Informático Judicial y De Parte

“La justicia no está preparada, no existe a día de hoy la figura de un Juez 2.0”, opina Federico Bueno de Mata, profesor de Derecho Procesal de la Universidad de Salamanca y premio extraordinario de tesis sobre la prueba electrónica. El gran escollo es que las pruebas se rigen por la Ley de Enjuiciamiento Civil del año 2000 (y WhatsApp se fundó en 2009). “La tecnología evoluciona a un ritmo completamente distinto que el sistema judicial”, dice el abogado. “Lo que nos lleva ante una justicia tecnológicamente obsoleta a nivel probatorio”. El problema de fondo para este doctor en Derecho es que “la valoración de la prueba electrónica por parte del juez está totalmente condicionada a lo dicho por el perito informático”. Al final, decide el técnico. Para devolver la “sana crítica” a sus señorías, las oposiciones a judicatura deberían incorporar conocimientos tecnológicos, según el abogado, y se deberían fomentar los cursos de reciclaje para que los jueces se pongan al día.

Abogados, peritos y expertos en ciberseguridad coinciden en que las empresas de mensajería también tienen parte de responsabilidad. “Algunas ven la seguridad más como una inversión que como un coste, algo que retrasa el tiempo de desarrollo de un producto en un mercado que se mueve muy rápido”, dicen Sánchez y San Emeterio. “La mayoría de las veces van a rebufo de los hackers, arreglando los errores a medida que son expuestos”. Agujeros en la seguridad que se hacen públicos mundialmente en minutos. “El primero que falsea un servicio como WhatsApp, tiene el mérito”, opina Carlos Aldama. “Pero una vez se publica la información de cómo se ha hecho, paso a paso, cualquiera con conocimientos medios puede repetirlo; por ello, las empresas deberían tomar medidas inmediatas”.