No es que yo sea muy fan de WhatsApp, pero debo reconocer que desde ayer voy a tener mucho más complicado criticar a esta compañía. La integración del cifrado extremo a extremo que anunciaron sus responsables es todo un hito para una empresa a la que siempre la estábamos criticando por esto o por aquello. Ahora lo de echar pestes de WhatsApp será mucho más complicado.
Lo explicaba esta mañana en plan un poco más técnico en Xataka. Allí hablaba de cómo el mérito no es de WhatsApp -ya la pifiaron varias veces al intentar proporcionar un cifrado medio decente- sino de Open Whisper Systems, una empresa que entre otras cosas es responsable de Signal, un cliente de mensajería recomendado -redoble de tambores- por Edward Snowden.
Precisamente el protocolo bajo el que funciona ese cliente es el mismo que el utilizado ahora en WhatsApp. Comunicaciones cifradas punto a punto que no podrán leer más que el emisor y el receptor. Nada se queda en los servidores de WhatsApp -ni siquiera metadatos que identifiquen a ambas partes-, así que por lo que parece tenemos ante nosotros una solución bastante brutal en lo que se refiere a la protección de nuestra privacidad.
Esa era una de las pegas que se podían achacar a WhatsApp, pero ahora nos quedamos sin poder machacar a los responsables del servicio por el tema. Existen algunas pegas más, desde luego: el cliente web mola por poder escribir en el ordenador, desde luego, pero sigue siendo una patata en cuanto a implementación.
En Wired hacían ayer una pequeña hagiografía de Jan Koum y Brian Acton en la que aparecen datos curiosos, como el hecho de que cuentan con 50 ingenieros, y solo 15 se encargaron de llevar el cifrado a los 1.000 millones de usuarios de WhatsApp. No me extraña que así tarden en llegar tanto las cosas, pero lo que es curioso -por decir algo- es ver las pinturris de Koum y Acton en las fotos. Si veo a Koum en el metro intentaré acordarme de dejarle un eurillo para que pueda comer algo, si eso. Madre mía.
El mérito en el proceso puede no ser de estos dos desgarramantillas, pero lo cierto es que esta decisión logra algo que parece fácil de hacer, pero que debe ser enormemente complejo de conseguir. Lo decían en Forbes:
All of this is now coming to a billion people’s pockets without them having to do anything about it
Ahí le has dado. De forma transparente, sin historias, de repente tenemos acceso a un nivel de privacidad que hasta ahora no existía en la aplicación. Hacer eso para cuatro gatos no tiene por qué ser tan complicado. Hacerlo para 1.000 millones de gatos debe complicar el problema un pelín. Que es precisamente por lo que esto es tan importante. Un milagrito, diría yo, si lo comparo con aquello que escribí de ‘El milagro Microsoft‘.
Qué fuerte. Jamás pensé que diría esto, pero bien por ti, WhatsApp.
Puede que no lo sepas: puedes colaborar con una propinilla en Incognitosis a través de Patreon: suscríbete y aporta una cantidad mensual si esto de leer mis entradas te compensa. Y si no lo hace, ¡pues también, hombre!
Más que bien por WhatsApp, yo diría que bien por nosotros, que somos lo verdaderos beneficiados. Ahora bien, no creo que tengamos tampoco que felicitar a WhatsApp por esto, no está haciendo las cosas bien, simplemente ha dejado de hacerlas mal. Y ya.
Aún tiene muchas críticas que recibir porque, aunque al menos ya tiene lo básico en seguridad, aún le faltan muchas cosas por añadir en términos de funcionalidad: GIFs, usernames, menciones en los grupos para recibir notificaciones aunque lo tengas silenciado, bots, stickers… Que sí, que no son cosas primordiales, pero enriquecen muchísimo la experiencia y una plataforma con más de mil millones de usuarios debería tenerlas, sobre todo cuando la mucho más humilde competencia ya las tiene.
Como todos, sigo y seguiré usando WhatsApp porque es donde está la gente, que al final es lo importante. Pero quejas hay para rato.
Todo es criticable, desde luego, y yo de hecho envidio lo que tienen en WeChat, lo he visto en funcionamiento en unos amigos que viven en China y el tema de pagos por ejemplo es asombroso. Es como ver el futuro. Todo llegará (espero).
Lo mejor de todo es criticar y no pagar un duro por el servicio. Vaya país de jetas y quejicas que tenemos.
Hasta dónde yo sé, WhatsApp es un servicio de pago. Barato, sí, pero oye, el precio lo ponen ellos eh.
» Nada se queda en los servidores de WhatsApp -ni siquiera metadatos que identifiquen a ambas partes»
Segun entiendo de este artículo de Gizmodo, si que pueden indentificar a ambas partes y lo aclaran en sus términos de servicio
http://es.gizmodo.com/la-letra-pequena-del-nuevo-cifrado-de-whatsapp-no-prot-1769370517
¿Eso es bueno o malo? No lo se, en Gizmodo comentan que así se curan en salud por posibles solicitudes del FBI.
Me has hecho dudar, pero lo que he leído en el documento técnico parece desmentir eso:
De todos modos habría que investigar más, porque ciertamente lo de los metadatos sería preocupante.
Yo creo que el detalle es «from unathorized network observers»
¿Las agencias gubernamentales con autorización judicial entrarían en ese supuesto?
Uhm, buen punto. Puede ser.
No se, no me cierra por ningun lado, si en verdad implementa el cifrado punto a punto, eso debería impedir a cualquiera incluso a la propia compañía (aka Facebook Inc.) «leer» los mensajes de sus usuarios y eso va directo contra el modelo de negocio de estas empresas (facebook, google, etc.) y por lo tanto resultaría insostenible en el tiempo asumir los gastos de comunicar a millones de usuarios.
Supongamos que facebook inc. solo tiene intereses altruistas, entonces vamos al lado de las «autoridades» que en algún momento requieran acceso a los datos de un «sospechoso de terrorismo», cual es el impedimento de que facebook inc. entregue las claves públicas y privadas siendo que las tienen y administran para que funcione whattsapp?
Hombre, se supone que WhatsApp es de pago precisamente para poder ofrecer el servicio sin usar los datos y permitiendo que Facebook gane dinero igualmente.
Pues no, justamente la clave para que whatsapp deje de tener un costo pago es la compra por parte de facebook inc.
¿De pago? Creo que anunciaron la gratuidad hace unos meses.
No tienen las claves privadas: esas se generan en el dispositivo, y además se generan por sesión (y mensaje, al menos he entendido eso yo en el documento técnico).
¿Qué ganan WhatsApp y Facebook? Reputación, marca, y a futuro, negocio porque confías en ellas. Si no lo haces peligra esa reputación y el salto a otras alternativas. Con esto lo ponen mucho más difícil.
Van a ganar, el modelo de nogeocio de Whatsapp lo revelaron hace poco. CUentas de servicio (bots en otras palabras)
Hace unos meses en Alemania lo publicaron.
Pues a mí no me queda claro su uso:
¿Tengo que hacer algo con cada usuario (escanear el QR) para iniciar la comunicación cifrada?
¿O verificar significa «experimentar la comprobación del hecho»? Es decir, que lo del QR es para ver que efectivamente funciona ¿?
Lo dicho, me ha resultado confuso y todavía no lo tengo claro.
Si tu y tu conversador tenéis el whatsapp actualizado y activáis la encriptacion listo no hace falta más el qr es para comprobar que está correcto no hay que hacer nada más sólo activarlo en la configuración en wp 7.8 me costó un poco más pero es facil
No tienes que hacer absolutamente nada. Si ambos extremos tienen soporte para cifrado en sus clientes se activa y listo. Ahora mismo no todo el mundo ha actualizado pero acabarán haciéndolo. Y si no lo hacen probablemente se pierdan otras novedades y puede que pasen cosas como advertencias («Esta comunicación no es segura») o incluso no poder contactar con gente que no lo tenga actualizado, a saber.
El problema como dicen es que a partir de ahora traficantes terroristas y demás calaña lo van a tener más fácil o se lea pilla infraganti y cojes el tlf o para descifrar , unos 1500 años más o menos, los mensajes las autoridades lo llevaran crudo yo soy un amante de la seguridad pero…… Poner las cosas fáciles a delincuentes y corruptos…… Respecto al cifrado ole por facebook sólo desencriptable si se echa mano del periférico en cuestión.
Es una herramienta, y como tal puedes hacer buen o mal uso de ella, pero los malos siempre van a tener sus propias alternativas para hacer lo que hacen. En mi opinión dar esa opción (a todos) es brutal. Súper importante.
A mí lo que no me mola es eso de «verificar» el cifrado mediante el código QR… ¿es necesario para cifrarlas? Aquí creo, entonces, sería un garrafal error de la App.
Sino, en ¡hora buena! Aunque habrá que ver qué tan «no guardamos metadatos» es verdad.
Saludos!
Que yo sepa no hay que verificar nada, insisto. Si los clientes de ambos usuarios lo soportan, el cifrado se activa sin más. Me da a mí que lo del código QR es una simple comprobación para que uno esté tranquilo de que lo que está diciendo a otro está efectivamente protegido.
Exacto, no se requiere activar nada.
El código QR es para los paranóicos (o los que tienen informacion de empresas en paraisos fiscales cof cof Panama cf cof) que no creen que la conversación este realmente cifrada.
Pingback: Desencanto – Adrián Perales
Esto parece que es descubrir cosas nuevas y darles un bombo que la verdad, no merecen mucho.
XMPP+OTR está más que probado y requeteprobado, nos empeñamos en reinventar la rueda
El problema es el de siempre jc. A ver si convences a mi madre de que lo use. La gente va donde va Vicente. O sea, a WhatsApp.