En el panorama de las aplicaciones móviles de mensajería se libra una guerra cruenta protagonizada por diversos bandos. Unos mayoritarios, como WhatsApp o Messenger; otros minoritarios, como Telegram, Line o Skype, por ejemplo. También existen opciones increíblemente populares en un territorio concreto, como lo es WeChat en China. Ahora bien, son WhatsApp y Telegram las que roban el «corazoncito» tecnológico de los occidentales.

Las guerras entres WhatsApp y Telegram en términos de popularidad son absurdas ya que hay un claro ganador: WhatsApp. En cantidad de opciones o mejoras tenemos otro ganador igual de indiscutible: Telegram. Ahora bien: ¿y si hiciéramos la pregunta en términos de seguridad y de privacidad? Fijándonos en que WhatsApp pertenece a Facebook resulta lógico que se nos tuerza el gesto, pero la realidad no tiene por qué ser así.

La última polémica dentro de la mensajería instantánea la protagoniza Pavel Durov, cocreador de Telegram y una persona que no acostumbra a callarse lo que piensa. Así lo demuestra en un artículo publicado en el blog de Telegram: «Por qué WhatsApp nunca será seguro».

WhatsApp en el punto de mira por un grave fallo en la aplicación

La denuncia de Pavel Durov parte después de que se descubriese un grave fallo de seguridad en la aplicación de WhatsApp, un fallo que ha sido corregido y del que aún no se conoce ni el alcance en número de usuarios afectados ni cuánto tiempo llevaba explotándose. Con una simple llamada de WhatsApp, y sin que el usuario debiera descolgarla, los atacantes podían inyectar código en el móvil de la víctima aprovechando la vulnerabilidad para espiar su uso y comunicaciones.

Un error grave de WhatsApp permitía la inyección de código malicioso

No hay paliativos ante el alcance del error ya que es sumamente grave y podría haber afectado a millones de usuarios; por más que el software de inyección no era público y solo se utilizaba en labores de vigilancia y espionaje. Pavel critica, y con razón, los errores, pero deja la puerta abierta a que, en realidad, podrían ser intencionados. Como una puerta trasera o backdoor abierta en WhatsApp para que gobiernos y organizaciones de espionaje pudiesen controlar a los usuarios.

Como es lógico, el fundador de Telegram compara su aplicación con WhatsApp ensalzando sus bondades en materia de privacidad y seguridad con respecto a su competidora. Ahora bien, no todos los argumentos resultan igual de plausibles y acertados.

«Al contrario que Telegram, WhatsApp no es de código abierto»

Pavel Durov hace defensa de las aplicaciones open source clamando que pueden investigarse públicamente para demostrar su eficacia y seguridad. WhatsApp no es de código abierto porque es propiedad de Facebook y esta no ha liberado dicho código; Telegram sí lo es en su mayoría, no al completo.

WhatsApp está basado en el protocolo de comunicación de Signal, creado por Open Whispers System. Dicha aplicación, incluido su protocolo al completo, es de código abierto y puede consultarse (y modificarse) en su GitHub. Por contra, y pese a que Telegram también es Open Source (aquí se puede encontrar toda la documentación), el código de los servidores no se ha liberado públicamente. Además, Telegram no libera puntualmente el código de las apps oficiales, el protocolo MTProto o la API ya que no se actualiza con la misma frecuencia que las aplicaciones.

Si bien las ventajas del código abierto son múltiples, como bien comenta Pavel alegando que permiten una auditoría independiente, el open source no tiene por qué añadir más seguridad por defecto ya que gran parte del software que mueve desde operaciones bancarias a servicios gubernamentales es privativo y nadie pone en duda su seguridad.

«WhatsApp, y su compañía matriz Facebook, podrían haberse visto obligadas a implementar puertas traseras»

El cocreador de Telegram erige su argumentación en torno a la posibilidad de que tanto Facebook como WhatsApp hayan tenido que implementar puertas traseras debido a requerimientos gubernamentales. Esto lleva rumoreándose desde después de que WhatsApp implementase el cifrado de extremo a extremo, pero, por más que ha tratado de probarse, ha resultado imposible. A día de hoy no hay ninguna certeza de que WhatsApp albergue un backdoor con acceso a los mensajes encriptados.

Es cierto que WhatsApp sufrió filtraciones de mensajes e información de usuario, tal y como documenta Pavel Durov en su artículo, pero dicha información filtrada sucedió antes de que la empresa, con los dos creadores de WhatsApp a los mandos, instaurara la encriptación por defecto en WhatsApp. A día de hoy no existe manera de interceptar y leer los mensajes de la aplicación ya que ni la propia WhatsApp, ni sus servidores, conocen las claves con las que la app comunica a sus usuarios.

WhatsApp cifra todos los mensajes por defecto; Telegram solo aquellos que se abran como secretos

Telegram no ha sufrido filtraciones graves a lo largo de su historia, tal y como reseña Pavel. Tampoco ha habido errores graves en la app oficial, algo en lo que WhatsApp no puede defenderse ya que recientemente ha tenido que parchear uno (y no ha sido el único). No obstante, esto no es un indicativo real de que las comunicaciones de Telegram sea más seguras que WhatsApp ya que el nivel de seguridad por defecto dentro de la aplicación es mucho mayor en la segunda: todos sus mensajes van cifrados y sus servidores no albergan información de los usuarios, al contrario que Telegram.

Uno de los mayores problemas de WhatsApp es su enorme popularidad y que la utilicen desde usuarios anónimos a dirigentes políticos y económicos de alto nivel. Esto hace que los esfuerzos en vulnerar su código sean mucho mayores, también es superior la inversión por parte de las agencias de espionaje. En este sentido, no es cierto que WhatsApp deje puertas traseras abiertas de manera intencionada, tal y como sugiere el texto de Durov. Sí lo es el hecho de que su seguridad se ha vulnerado en más de una ocasión.

El mayor problema de WhatsApp es que sus metadatos son accesibles por cualquiera, lo cual supone una pérdida de privacidad para los usuarios. Horas de conexión, cuándo se envían los mensajes, números de teléfono que intervienen en las comunicaciones… Esto resulta visible y es muy fácil de espiar. El contenido de los mensajes no lo es.

El núcleo de WhatsApp no tiene por qué ser menos seguro que el de Telegram, el resto de la aplicación sí

Pavel tiene razón en una buena parte de su comunicado, pero también deja en el aire numerosas dudas que no tienen por qué ser ciertas. Y es que a día de hoy los mensajes enviados desde WhatsApp son por defecto más seguros que las comunicaciones de Telegram. Otra cosa es la aplicación ya que, como hemos visto, sí ha sufrido brechas de seguridad y de privacidad, hechos documentados y fidedignos.

Afirmar que WhatsApp nunca será seguro es expresar una opinión personal. Ninguna aplicación móvil tiene 100 % de garantías, tampoco un sistema es completamente seguro ni lo son todos los smartphones: si una app es susceptible de almacenar información valiosa siempre habrá alguien que invierta lo necesario en vulnerarla. Así que la única solución para estar 100 % seguros es no utilizar el smartphone: cambiar de WhatsApp a Telegram tampoco será de demasiada ayuda.