• 25 septiembre, 2019

Whatsapp y protección de datos personales

La plataforma de mensajería Whatsapp es la aplicación de chat dominante en España y en buena parte de los países europeos. Una posición más relativa en otros ámbitos geográficos como los Estados Unidos donde el mercado se encuentra más repartido. En estos países donde ha triunfado, prácticamente lo ha hecho con efecto red, lo cual, como se verá, puede llegar a ser un elemento menos beneficioso de lo que parece en términos de ciberseguridad.

Su éxito ha sobrepasado la dimensión personal para haberse instalado como chat de usos corporativos, pese a lo poco recomendable que esto es. De hecho, no solamente existe una versión empresarial de Whatsapp, sino que, además, existen SAAS de terceros que permiten instalar un script en la web corporativa para poder usar la plataforma de mensajería como aplicación chat-web, por ejemplo.

Pese a su facilidad de uso y su extendido empleo, el uso de la aplicación tiene importantes contrapartidas que lo hacen desaconsejable. Estas son las razones por las que todo usuario, sobre todo el profesional, debería replantearse su uso: 

Whatsapp accede a la totalidad de contactos de la agenda del dispositivo del usuario sin posibilidad de limitación

La aplicación tiene acceso a la totalidad de contactos de la agenda del usuario, de manera que la dueña de la plataforma conoce los contactos de todos los usuarios de su aplicación, tengan o no la aplicación en sus móviles, puesto que no se encuentra programada para que el acceso sea limitado al mínimo imprescindible, más bien al contrario. Ya se crucen conversaciones de chat con unos pocos, la aplicación está configurada para acceder a todos los contactos por defecto.

Esto permite no solo almacenar datos personales que antes podría no tener, sino también metadatos relativos a las relaciones entre dichos contactos. La aplicación crea un grafo social que representa todas las relaciones e interacciones sociales de la agenda. De esta manera puede saber con quién se comunica cada uno.

De hecho, en el Sistema Operativo Android (Comprobado en un Xiaomi únicamente), cuando configuramos el sistema para que la agenda de contactos no sea accesible a la aplicación y volvemos de nuevo a ella, observamos que han desaparecido todos los nombres de usuarios con los que hemos estado intercambiando mensajes.

La aplicación, por tanto, está configurada para tener acceso permanente a nuestras personas de contacto y te penaliza si usas la configuración del sistema para limitar dicho acceso. En cambio, otras aplicaciones de intercambio de mensajes permiten restringir el acceso a los contactos de modo que se puedan añadir uno a uno.

En este sentido, la aplicación incumple claramente la normativa de protección de datos personales, pues accede a los datos personales y potencialmente confidenciales de los usuarios, como los contactos y, por tanto, a la información de terceros que no han autorizado la cesión de sus teléfonos a los servidores de Whatsapp.

Con Whatsapp se pueden recibir mensajes de desconocidos sin opción a impedirlo por defecto

Recientemente se hacía pública esta problemática justamente. Se denunciaba en las Redes Sociales la situación que sufrían muchos usuarios por la que recibían mensajes de desconocidos bajo el pretexto de ser “vecino de número de Whatsapp”, es decir, que el que enviaba la comunicación lo hacía con la única excusa de ser el número superior o inferior siguiente al receptor del mismo.

Del mismo modo que no dejamos entrar en nuestro domicilio a un extraño con el pretexto de ser nuestro vecino, no deberíamos mantener una aplicación que deja una puerta abierta por terceros de ese modo.

Esto que puede parecer anecdótico, en cambio, puede resultar de los más problemático. Efectivamente, los menores de edad, más maleables que los adultos, suelen disponer de móvil a edades cada vez más tempranas. La posibilidad de que una persona no deseable, suplantando a un niño, que intente contactar con menores no es desdeñable. El riesgo es mayor si se considera que, dado que la aplicación se basa en el número de móvil, el usuario no tiene tan fácil hacer un cambio de contraseña de usuario (se puede hacer pero es otro obstáculo).

Utilizar Whatsapp es delegar en un silo ajeno el control de nuestras comunicaciones

Vale la pena tomar conciencia de que los usuarios usan la aplicación para todo tipo de finalidades. Los Abogados cada vez recibimos más capturas de pantalla de este chat con comunicaciones que pueden ser esenciales para probar algún extremo de gran importancia.

El riesgo de que dichas comunicaciones se pierdan con el paso de los años al cambiar de terminal, realizar una mala exportación o salvaguardado de los mensajes puede acabar siendo crítico.

Por otra parte, las meras capturas de pantalla, que es el modo en que habitualmente los usuarios creen poder probar sus comunicaciones, pueden llegar a ser cuestionadas como prueba ante los Tribunales. Tanto por la contraparte como por quien tenga poder para decidir. No han faltado casos en los que se han aportado pruebas manipuladas de este tipo.

En Ucelay no asesoramos nunca por Whatsapp o por aplicación de mensajería precisamente por esto ya que nuestros criterios y acuerdos con las contrapartes tienen consecuencias para los interesados, razón por la que no permitimos el uso a estos fines y requerimos que los intercambios de asesoramiento escrito con nuestros clientes y contrapartes se produzca mediante comunicaciones de mail puesto que permiten tener un control más accesible de todo ello y cada parte almacena una copia de las comunicaciones en un servidor de su elección, así como en local a través de distintos clientes de correo electrónico.

Debe añadirse que, además, no se trata solo de dónde están los mensajes, sino que un cambio en la configuración de la plataforma puede tener perniciosos efectos para los usuarios.

Sería el caso de la actual posibilidad de borrar los mensajes enviados para todos los usuarios. Esta función habilitada en los últimos tiempos en la aplicación de mensajería puede dar lugar a la eliminación de indicios de prueba que pueden resultar importantes a efectos de reclamar o de plantear una defensa. Este tipo de funcionalidad está pensada para conversaciones sin trascendencia jurídica o económica, sin embargo, los usuarios la usan sin saber el alcance que podrá tener después y con este riesgo evidente de pérdida de prueba. Imaginemos recibir una amenaza por Whatsapp que es borrada al cabo de cierto tiempo por el usuario que la vertió, para el denunciado será más problemático probar que existió si no tomó medidas a tiempo, precisamente porque el emisor la borró. También cabe pensar que borrar el mensaje es signo de arrepentimiento, pero quién dice que enviar una amenaza por Whatsapp y luego borrarla sea un signo de retractación en lugar de ser una forma de borrar pruebas o de convertir una amenaza seria en otra cosa.

La ambigüedad es problemática, cuando los mensajes no se pueden borrar, lo escrito, escrito está y obliga, en su caso, a un acto expreso de rectificación.

Otra funcionalidad que podría dar problemas a los efectos que estamos exponiendo es la posibilidad de que en un futuro cercano la aplicación, como ya hacen otras, pueda impedir la realización de capturas de pantalla de los chats. En este caso, la posibilidad de tomar pruebas rápidamente se ve obstaculizada nuevamente y todo porque es la plataforma la que, en cada caso, define sus funcionalidades sin que los usuarios tengan posibilidad de evitarlo.

Un cambio en la configuración de la plataforma puede tener perniciosos efectos para los usuarios.

Recientemente la aplicación de mensajería bloqueó el uso de la app a usuarios que formaban parte de grupos que la plataforma había calificado como posibles pederastas porque algunos de sus usuarios, para gastar una broma, cambiaron el nombre del grupo por términos que la Inteligencia Artificial de la plataforma toma como base para rastrear usos delictivos de ese tipo. Cuando la plataforma localiza resultados que califica de perniciosos adopta una medida de seguridad rástica impidiendo no solo el acceso al grupo, sinon a la propia aplicación entera. Esto conlleva que los mensajes que no se hayan salvaguardado correctamente no podrán ser accedidos de nuevo.

Utilizar Whatsapp es emplear un sistema chat con un historial de brechas de datos personales acreditada

El hecho de que Whatsapp haya conseguido una posición de dominio absoluto en algunos países y que, en todo caso, acumule millones de usuarios en todo el mundo, hace casi imposible que los usuarios decidan usar otra aplicación alternativa pues son cautivos del éxito de la aplicación. Si los usuarios no tienen más aplicaciones alternativas para comunicarse, se produce un efecto cautividad. El usuario que pretende usar una alternativa choca con la limitación de que sus contactos no encuentran incentivo a usar una app distinta si ya tienen una en la que están todos y que es funcional.

Sin embargo, la falta de alternancia en sistemas de chat conlleva un mayor riesgo puesto que los hackers tienden a enfocarse en las plataformas con mayor número de usuarios para obtener un rendimiento mejor en sus intentos de robo de credenciales, suplantación y robos de información.

La falta de conciencia sobre estos riesgos o el hecho de que el usuario se deje llevar por entender que el riesgo es lejano o improbable, implica, en realidad, un mayor riesgo.

De hecho, en los últimos tiempos, las actividades delictivas que tienen como medio o fin Whatsapp se han incrementado de forma sustancial. Entre dichas actividades punibles nos encontramos intentos de estafa a través de phishing; suplantación de identidad mediante la técnica del SimSwap; robos de cuenta simulando un código QR legítimo cuando se accede a través del cliente de navegador; instalaciones no autorizadas de software espía de alto nivel (lo que ya no resulta tan improbable vistos los casos de espionaje que se tramitan en los Juzgados españoles últimametne) u otros.

Whatsapp usa Google Drive para almacenar las copias de seguridad

El usuario de Whatsapp puede hacer un backup de sus comunicaciones, sin embargo, debe hacerlo en Google Drive con quien tiene un convenio de colaboración para esta funcionalidad. Por tanto, se está externalizando en una nueva nube pública todas las comunicaciones que pasan por la aplicación de mensajería instantánea y sus datos de contacto y demás datos personales en ellas contenidas.

Si ya de por sí, usar dos nubes aumenta el riesgo, a ello hay que añadir que WhatsApp ha advertido a sus usuarios de que si realizan una copia de seguridad de sus mensajes en la unidad de Google, las comunicaciones guardadas dejarán de estar sujetas al proceso de cifrado de WhatsApp y avisa de que cualquiera podría leer los mensajes.

Efectivamente, Whatsapp tardó años en usar el cifrado en la aplicación de mensajería. A día de hoy utiliza el conocido protocolo de cifrado desarrollado por Open Whisper Systems, los desarrolladores de la aplicación de mensajería segura Signal, la app de chat precisamente recomendada por el ex analista y espía de la CIA, Edward Snowden, para proteger nuestras comunicaciones.

Cuando se envía un mensaje entre usuarios a través de la plataforma, el teléfono de una persona configura un cifrado mientras que el otro guarda la clave del mensaje enviado. Sin embargo, una vez que el mensaje sale de la plataforma o de su dispositivo, por ejemplo; para ser guardado en una nube, ya no es parte del proceso de encriptación de extremo a extremo y está en un formato legible. De hecho, la información almacenada en la nube de Google no está cifrada y la propia compañía puede acceder y accede a ella como ha reconocido múltiples veces.

El número de teléfono como riesgo para la soberanía sobre la identidad digital

Whatsapp hace pivotar la aplicación en torno a nuestra identidad, lo que en absoluto debería ser así. Nuestra identidad debería estar siempre bajo nuestro control (Identidad Soberana). En cambio, al usar esta aplicación de mensajería estamos haciendo que nuestro número sea visible lo que no es estrictamente necesario como demuestra el hecho de que otras aplicaciones de chat prescinden del mismo.

La falta de conciencia sobre estos riesgos o el hecho de que el usuario se deje llevar por entender que el riesgo es lejano o improbable, implica, en realidad, un mayor riesgo.

Facebook Inc. es la propietaria de Whatsapp y ha demostrado que explota la privacidad en lugar de protegerla

El escándalo de Cambridge Analytica no ha sido el único en el que se ha visto envuelto Facebook en los últimos años. De esta empresa proceden algunas de las brechas de protección de datos personales de la historia. Expertos como Schneier, toda una autoridad en ciberseguridad, desaconsejan su utilización.

A pesar de que Whatsapp afirma que cifra las comunicaciones de extremo a extremo, hasta hace bien poco sus condiciones de servicio indicaban que compartían datos con terceros. Entre ellos, Facebook.

Cada vez más instituciones públicas y privadas prohíben el uso de Whatsapp

Renombradas empresas y bancos europeos, sobre todo alemanes como Continental, Bosch, Daimler AG, han tomado conciencia de todos los riesgos y aspectos que venimos exponiendo y han optado por abandonar o prohibir el uso de Whatsapp a sus empleados y migrar las comunicaciones internas y externas de chat a otras aplicaciones de mensajería.

Este movimiento de las multinacionales citadas se funda, entre otras razones, en que Whatsapp no otorga garantías suficientes sobre los procesamientos de datos personales que realiza, así como de las medidas de seguridad que adopta para evitar brechas de seguridad; lo que unido a que incumple el principio de acceso mínimo de datos personales al tener acceso a la totalidad de la agenda de contactos y no ser este granular, se produciría un incumplimiento de la normativa de protección de datos personales regulada por el RGPD (Reglamento General de Protección de Datos Personales).

En consecuencia, Whatsapp no deberá ser utilizado con fines profesionales para no incurrir en una infracción sancionable por la Autoridad de Control de protección de datos, así como por la propia contingencia que supone usar una aplicación que reviste tantos problemas de confidencialidad. A nuestros clientes les asesoramos sobre las alternativas que tienen disponibles que sean acordes con el cumplimiento normativo de protección de datos personales a la par que resulten usables para sus procesos internos e interacciones con sus clientes y partners.

Consulte

91 445 03 07