Skip to content

De Whatsapp, Privacidad y costes: O los distintos problemas con la legalidad que tiene Whatsapp

8 marzo, 2013

Que la aplicación Whatsapp se ha convertido en algo prácticamente imprescindible en nuestra vida diaria es algo que ya a nadie le llama la atención, la aplicación estadounidense ha llegado para quedarse y quitarle el sitio a los mensajes de texto. No obstante, esta aplicación de mensajería instantánea disponible para los principales sistemas operativos móviles (Windows Phone, Blackberry, Android e IOS) no viene sola, ya que los distintos problemas de legalidad que la misma trae aparejada son foco común de consultas y reclamaciones por parte de sus usuarios.

Diario de un e-letrado

Actualmente han aparecido dos nuevos ejemplos de la misma, que viene a sumarse  así a los ya consabidos errores con respecto a encriptación de datos que hasta hace menos de una año no fueron resueltos o los problemas de identificación con el usuario.

Así, será mejor que vayamos haciendo un repaso por la breve historia de whatsapp. hasta llegar a los últimos hechos que le han vuelto a sacar a la palestra.

El primero de los grandes fallos de legalidad se centra en la transmisión de información por la aplicación cuando para ello se utilizan redes wifi, toda vez que la información que se envía a través de las mismas, pasa a enviarse sobre texto plano (Es decir, sin encriptar), de tal modo que cualquiera que obtuviese acceso a dicha red wifi, podía obtener y visualizar toda la información que a través de la misma se enviaba.  Hace aproximadamente un año, la compañía con una de sus numerosas actualizaciones, por fin, procedió a la encriptación, asociando, en el caso de Android, dicha información al IMEI del terminal, y en el caso de IOS, a la dirección MAC del mismo, es decir, parcheando un poco la aplicación que posee los fallos propios de su arquitectura de funcionamiento, que data de allá por 1989, ya que dichos sistemas de encriptación fácilmente accesibles por terceros, en especial en el caso de que se tenga acceso al terminal. A nivel legal, este fallo contradice las medidas de seguridad que nuestra ley orgánica de protección de datos requiere para la transferencia de datos conforme al artículo 9 de la misma, al igual que se va a repetir en los siguientes ejemplos que se exponen a continuación, así como lo recogido por el Real Decreto 1720/2007 .

La historia de whatsapp y sus problemas legales y de seguridad no queda ahí, toda vez que por el mismo error, es decir, enviar la información sobre texto plano se encontró otro grave fallo de seguridad para el supuesto de envío de comunicaciones por Wifi, el inicio de sesión de la aplicación al enviar la información de su identificación de usuario (Que para el que no lo sepa es tan fácil como [número de teléfono]@whatsapp.com) se envía también en texto plano, la contraseña, es decir, es como tener un maletín con contraseña y el lomo del mismo viene grabado la contraseña, absurdo. Con esto, no es complicado buscar programas terceros que permitan el acceso a la aplicación en los que identificarte con esos datos y proceder a la suplantación de identidad. Que supone esto a nivel legal, pues en primer término, al igual que en el caso anterior, nos encontramos con una falta de seguridad en la transmisión de información, pero más aun, si entendiésemos que se llevase a cabo una suplantación de identidad, que en este caso, sería más que posible, ya que nada haría que se presumiese lo contrario, dada la presunción de veracidad que da el uso normal de la aplicación, podríamos incluso llegar a entender que la aplicación, por falta de seguridad, ya que no cumple con los estándares mínimos al respecto, pueda ser un cooperador necesario de la misma. Para ello y aunque siendo un tanto rebuscados en la argumentación se podría esgrimir lo siguiente, en función de los requisitos legales y jurisprudenciales marcados para esta figura penal:

– Por parte de la compañía americana se suministra un elemento necesario e imprescindible para llevar a cabo la suplantación de identidad, la aplicación. Por lo que se podría encuadrar dentro de la doctrina del Tribunal Supremo al respecto, “De los bienes escasos” reconocida en sentencias como la  STS 6869/1994, de 26 de octubre. En la misma, el alto tribunal viene a definir esta doctrina como

“Será cooperador necesario aquel que contribuya al hecho con una actividad difícil de conseguir esto es, escasa.”

En este sentido, debemos entender que para que se produzca una  suplantación de identidad a través de servicios de mensajería móvil, y a pesar de existir bastantes aplicaciones en este sentido, actualmente con la única que es posible realizar este tipo de actividades es Whatsapp, por lo que encuadraría dentro de lo requerido por el Tribunal Supremo para ello.

– Whatsapp conoce las fallas de seguridad de su aplicación y no ha realizado la actividad necesaria (Una buena encriptación en la transferencia de los archivos, y un sistema más seguro de identificación del usuario) para que no se pueda llevar a cabo dicha actividad a través de la misma, esta circunstancia, si bien no es propiamente activa, podría entenderse que por omisión en sus obligaciones, podría dar lugar a responsabilidad penal en este sentido.

No obstante, dudo mucho que casi ningún tribunal aceptase, ya no sólo la suplantación de identidad, sino, y aun menos, la figura de la compañía estadounidense como cooperador necesario para ello.

Continuando con el tránsito por el desierto de esta compañía californiana con respecto al ámbito normativo, sus penurias no acaban ahí, toda vez que el ultimo frente se lo han abierto los gobiernos canadiense y Holandés a través de sus respectivas Agencias de protección de datos, al investigar el almacenamiento que hace de los números de teléfono la aplicación, ya que tanto en el caso de terminales Android, como en el caso de Iphone, salvo que tengan la versión de IOS 6 o superior, la aplicación accede a toda la información de contactos del terminal y los almacena en sus servidores. Obviamente, esto es algo que aparece en las condiciones  y términos de la app que aparecen al descargarla en nuestro terminal, y que por tanto no debe de sorprender a nadie, ya que todos las leemos, no obstante, lo planteado por las mencionadas agencias estriba en la proporcionalidad y necesidad de dar acceso a esa información, por el hecho de descargar la misma, cuestión que tendremos que esperar para conocer.

Por último y no menos importante, es una nueva falla de seguridad encontrada en la aplicación con respecto a lineas que se han dado de baja, es decir, el caso de lineas móviles, donde, previa instalación de watsapp, se produce con posterioridad la baja de la linea, para posteriormente, ser dada a un nuevo usuario. En este sentido, la app no rastrea el uso del servicio (es decir, que esté sin uso a lo largo de un periodo de tiempo amplio determinado), o que se haya producido la baja de la linea (Información que podría obtener de la operadora), sino que mantiene activo el servicio hasta que finalice la licencia (Con carácter indefinido para Iphone por ejemplo o anualmente para Android) con la consecuencia directa de ello, al volver a activar una linea móvil que fue dada de baja con la app instalada, al volver a activarla, todos los mensajes que durante ese tiempo debió haber recibido el usuario, se vuelvan en el nuevo usuario de la linea. Esto en principio, que podemos entender como un error por parte del usuario original de la linea al no dar de baja el servicio de mensajería instantánea, puede llegar a tener trascendencia jurídica, ya que se está facilitando información y contenido personal a un tercero sin consentimiento de su titular, algo semejante a lo que recoge el Art. 197.4 del Código penal:

Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores. Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.

Es decir, podemos llegar a entender, al igual que en el caso anterior, por omisión, y sólo para supuestos especialmente relevantes, que cabría aplicar este precepto del código penal, aunque como en el caso anterior, a nivel práctico, esto se me haga casi imposible.

Intentaré en próximos post ahondar en la responsabilidad por omisión, ya no sólo para este supuesto, sino para los casos de aplicaciones móviles en general

Ya para acabar, y sólo como nota informativa, el servicio de mensajería instantánea que hemos comentado desde sus orígenes se ha denominado como de pago, con la salvedad que el servicio, de manera automática, procedía a ampliar la licencia sin tener que abonar importe alguno, por lo que es perfectamente legal que se cobre por ello.

4 comentarios
  1. Interesante entrada Rubén, no obstante difiero un poco en relación al último de los “fallos” comentados. Yo creo que es el usuario el que, antes de dar de baja la línea, debería cancelar los servicios asociados a la misma, y en todo caso veo sumamente difícil que se pudiera imputar a whatsapp responsabilidad penal alguna por el 197.4, puesto que la revelación de la información o los datos se produce con la permisividad del titular anterior de la línea.

    Es cierto que algunas apps, y whatsapp se lleva la palma, cuidan poco o nada la privacidad de sus usuarios, y que habrá que exigirles más responsabilidad al respecto, pero también nos la debemos exigir a nosotros mismos, empezando por saber cómo funciona cada app que nos instalemos, ser conscientes de los términos y condiciones que estamos aceptando, siempre que éstos sean bien accesibles y claros (y si no los leemos asumir las consecuencias), y de los efectos que conllevan nuestra forma de usarlas.

    Un saludo.

    • Lo primero, gracias Ruth por comentar.
      Lo segundo, estoy completamente de acuerdo con lo que comentas, es prácticamente imposible imputar responsabilidad penal a Whatsapp por este motivo, no obstante, si entendemos que el servicio tiene acceso al estado de la linea (Al cual puede acceder, ya que le damos permiso para ello), puede confirmar el estado de la linea como activa o no, con lo cual podría proceder a la baja automática del servicio cuando se produzca una desactivación permanente del servicio, al no hacerlo, abre la posibilidad a lo que comento, no obstante, como bien comentas, actualmente, es algo impensable. Un saludo.

  2. Daniel permalink

    hola muy interesante el reportaje con respecto al uso Whatsapp a la hora de presentar mensajes de evidencia es todo un debate ya que el perito debe desincriptar para degrabar los mensajes que opinas como se debe tomar como hilo de una investigación o como una prueba de evidencia.

Trackbacks & Pingbacks

  1. UNIVERSO LOPD: Boletín-Noticias nº3 – 8 a 14 de marzo. | Universo LOPD: tu blog de protección de datos

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: