Skip to content

De Smartphones, aplicaciones y privacidad, el caso Whatsapp

4 marzo, 2012

No hace mas de 10 años que aparecieron (Se viene a considerar que el primer smartphone semejante a lo que ahora conocemos como tal apareció allá por el año 2002 Después del Nokia 7650, pero esto es discutible y harina de otro costal) pero se han convertido en parte de nuestro día a día hasta llegar a generar en muchos casos dependecia de los mismos, los smartphones nos proporcionan la posibilidad de gestionar correo electrónico, navegación por internet y acceso a redes Sociales desde la palma de la mano, no obstante, y probablemente por el desmesurado crecimiento de los mismos, hemos dejado en el camino un aspecto sumamente importante, nuestra privacidad, así, hemos tomado como algo plenamente normal facilitar a todos nuestra geolocalización a traves de Tuenti, Facebook o especialmente, con los Check In de Foursquare, o tener toda nuestra información almacenada en un terminal sin más seguridad que su almacenamiento físico en el telefono.

Esta falta de privacidad se hace especialmente patente con respecto a las aplicaciones móviles (Apps), que en muchos casos, no pasan un filtro de privacidad mínimo o necesario, al menos desde mi punto de vista, dejando la información plenamente visible, en este caso, vamos a centrarnos en una de las aplicaciones más usadas (Por no decir la más extendida) entre los usuarios de smartphones, Whatsapp.

La controversia y la generalización de uso de esta aplicación han venido de la mano desde el comienzo, recordemos, que no hace mucho, la propia Apple la inhabilitó en Itunes por defectos de seguridad, no obstante en este caso no nos vamo a referir a ese problema de seguridad, sino a un posible incuplimiento de la normativa española en función a distintas circunstancias:

En primer termino, debemos pararnos en el cifrado de la información que se transmite a través de la aplicación, en este caso, dado el caracter de los datos que son susceptibles de ser enviados (cualquier tipo de información), hace necesario que dicha información esté protegida con el máximo nivel de protección posible, es decir, acudiendo al Art 104 del  RD 1720/2007, por el que se desarrolla la Ley orgánica de Protección de Datos es necesario que la información que se transmita a través de esta aplicación este cifrada (Y no sólo codificada). Claro este requisito, watsapp no cumple en todo caso con este requerimiento, toda vez que si dicho cifrado si que se lleva a cabo cuando la transferencia de datos se realiza a través de la red móvil (Ya sea GSM o 3G), dado el cifrado propio de las mismas redes, cuando la vía de transferencia se refiere a redes Wi-Fi, dicho cifrado es inexistente, por lo que se puede acceder a dicha información con un simple programa informático y acceso a la red wifi que se esté utilizando, como bien explican en Security By Default, toda vez que los mensajes se envían sobre paquetes codificados, pero en texto plano, es decir, sin cifrar.

Esta interpretación del requerimiento de cifrado la considero aplicable, en primer término, desde un punto de vista de seguridad del usuario, ya que el mismo debe tener, siempre desde mi punto de vista, la mayor seguridad posible, en segundo término, haciendo una interpretación extensiva del concepto de telecomunicación y entendiendo que es la de arrolladora de la aplicación la que al establecer un canal de transmisión de la información, debe velar por la seguridad de la misma, no obstante, como bien me comentaba el compañero David González Calleja, esta obligación no es de la aplicación, sino del usuario de la misma a la hora de transmitir datos especialmente protegidos siempre y cuando no se haga dentro del ámbito domestico. No obstante en este sentido, la aplicación ni realiza, ni permite este cifrado de datos (Salvo que el mismo se haga a través de un archivo adjunto, cuestión que habría que comprobar) y en tercer término, siempre y cuando la propia Whatsapp se considere sujeta a la normativa nacional (Cuestión que personalmente dudo, ya que casi ninguna compañía extranjera lo hace) Lo que si es cierto, que esta falta de privacidad, debemos de tener en cuenta que es peligrosa para nuestros intereses y debemos hacer un uso responsable de la misma como bien indican los compañeros de Desa Consultores.

Pero aquí no acaban los problemas legales con respecto a Whatsapp, hay algo que desde mi punto de vista es incluso más importante, la identidad del usuario, de quien envía los mensajes, ya que, en el registro de la aplicación en tu terminal, se requiere para la misma la introducción del número de teléfono, para identificarte como usuario del servicio, no obstante, dicha identificación es sólo a nivel formal y no a nivel material, es decir, la aplicación no vincula sobre el número de teléfono, sino sobre sobre el terminal, es decir, un terminal con watsapp instalado, aun sin SIM, y con acceso a red wifi, va a continuar enviando mensajes desde el usuario original, sin ningún tipo de corroboración de la identidad del mismo, esto se debe a que como indicaba, la identidad del sujeto se hace sólo a nivel formal, y no a nivel material, que podría lograrse, por ejemplo, vinculando la aplicación al número de tarjeta SIM (Acceso que la aplicación puede tener fácilmente, dado que los terminales smartphones te facilitan dicha información)

A nivel legal son muchas las consecuencias posibles, en primer caso, una vía posible de Phishing o suplantación de identidad, especialmente relevante con las nuevas políticas de determinadas compañías que empiezan a usar esta aplicación para realizar comunicaciones comerciales con sus clientes y su vinculación con el requisito de identificación del Art. 20 de la Ley de Servicios de la Sociedad de la información.

A pesar de todo esto, y de otras graves vulnerabilidades de seguridad que posee la aplicación, no van a hacer que dejemos de usarla, dada la difusión que la misma tiene entre los usarios, pero al menos, debemos saber las reglas con las que jugamos, para próximos post, los riesgos de las aplicaciones de correo electrónico o de la propia Foursquare, sin olvidarnos de Facebook.

8 comentarios
  1. Muy interesante, Rubén. Me gustaría comentar que en lo relativo a la falta de cifrado de las comunicaciones Whatsapp no incumple ninguna normativa, el que lo hace es aquel que utilice esta aplicación para enviar datos personales fuera del ámbito doméstico. Que parece lo mismo, pero no es igual😉

    Un saludo.

    • Correcto, en todo caso sería el uso no domestico por parte de un usuario lo que incumpliría la normativa, no obstante, en mi interpretación (Aunque la verdad es que no lo he dejado muy claro, todo sea dicho)incluso la propia whatsapp podría entenderse que la incumple si hacemos una interpretación extensiva de la norma (Ya que realmente está funcionando como una entidad de Telecomunicaciones desde un punto de vista, como digo, muy extensivo y siempre en pos de la privacidad del usuario), pero tienes toda la razón.

  2. Lo decía sólo como aclaración para que el que lo use no piense que el incumple es Whatsapp, que no se “lave las manos”, vaya.🙂

    • Como te decía, estoy de acuerdo contigo en ese sentido, pero voy más allá, si una app se desarrolla, y no tiene un uso exclusivo para particulares, como es el caso, no debería hacer previsto esa posibilidad y proceder al cifrado de los datos amparandola en que se van a poder tratar transmitir datos de cualquier tipo. No obstante, esto no son más que castillos en el aire ya que probablemente la propia watsapp dira que no esstá sujeta por la normativa nacional, así que… De todas formas, muchas gracias por la aclaración🙂

  3. Como siempre es un tema de sentido común. El usar o no este tipo de app para el envío de información medianamente sensible, es decisión del usuario final, que es finalmente quién tiene la potestad o no de usar el servicio.

    La aplicación pone el canal y el mensaje lo ponemos nosotros. Es igual que las postales de correo, podemos enviar una postal para decir que está fenomenal la playa de nuestras vacaciones o enviar un número de cuenta corriente, es decisión nuestra.

    Pero lo mismo que no enviaríamos el pin de la tarjeta en una postal de correos, tampoco se debería enviar esa info a través de app como esta. Aunque como digo, es una decisión personal.

    No se trata (no digo que tu lo hagas, ni mucho menos) de demonizar las app, si no de cultivar sentido común. Nos falta mucha cultura tecnológica para ser conscientes de lo que hacemos.

    Saludos

    • Comletamente de acuerdo, el problema no está en la api, sino en el uso que se le pueda dar a la misma, y que dependiendo de como se use, que conozcamos la seguridad que la misma nos puede llegar a dar.

  4. María (@meryglezm) permalink

    Muy interesante el post Ruben.

    En cuanto a la responsabilidad de la app vs la responsabilidad del usuario, volvemos a un tema clave en todo esto de la privacidad que es la Concienciaón… queda mucho por hacer todavia en este sentido.

    Con respecto a Whatsapp, personalmente me preocupa más o me parece más relevante el tema de la autenticación más que el cifrado de las comunicaciones, por temas de suplantación de identidad, etc… Personalmente sufrí este hecho al reconfigurarle a mi madre un terminal que antes habia sido de mi padre… cambiar los datos de identificación del whatsapp no resulto tan sencillo.

    Saludos

Trackbacks & Pingbacks

  1. La privacidad en la sociedad de la información

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: