WhatsApp será menos segura en Europa por la nueva Ley DMA según los expertos

El año pasado, WhatsApp se ‘desangró’. A inicios de 2021, una modificación en su política de Condiciones y Privacidad que supone la compartición de datos con Facebook y otras empresas de Meta provocó un éxodo masivo de usuarios a otras apps de mensajería como Telegram, Signal, etc, aplicaciones consideradas más seguras.

Y aunque WhatsApp sigue ofreciendo el cifrado de extremo a extremo en sus conversaciones entre usuarios, una nueva ley de la Unión Europea podría afectar a esta encriptación y provocar por tanto que la app sea menos segura.

DMA Act: Mercados Digitales

La semana pasada, el 24 de marzo, los órganos de gobierno de la UE anunciaron que habían llegado a un acuerdo sobre la legislación más radical contra las grandes empresas tecnológicas en Europa, conocida como Ley de Mercados Digitales (DMA). Considerada una ley ambiciosa con implicaciones de gran alcance, la medida más llamativa del proyecto de ley exigiría que todas las grandes empresas tecnológicas -definidas como las que tienen una capitalización de mercado de más de 75.000 millones de euros o una base de usuarios de más de 45 millones de personas en la UE- creen productos que sean interoperables con plataformas más pequeñas.

En el caso de las aplicaciones de mensajería, eso significaría permitir que los servicios cifrados de extremo a extremo, como WhatsApp, se mezclen con protocolos menos seguros, como los SMS, lo que, según los expertos en seguridad, socavará los logros alcanzados con tanto esfuerzo en el campo del cifrado de mensajes.

Reducir el alcance de las grandes tecnológicas

Según un extracto de la web del Parlamento Europeo, “el objetivo del reglamento es igualar las condiciones para todas las empresas digitales, independientemente de su tamaño. Para acabar con las prácticas injustas sobre las empresas y consumidores, la Ley de mercados digitales fijará reglas claras sobre lo que las grandes plataformas de internet pueden y no hacer en la UE. Las plataformas guardianas de acceso ya no podrán clasificar más favorablemente sus propios servicios y productos que otros similares ofrecidos por terceros en la misma página web. Tampoco podrán impedir que los usuarios desinstalen programas o aplicaciones preinstaladas si así lo desean".


Las normas, que buscan promover la innovación, el desarrollo y la competitividad, "ayudarán a las empresas más pequeñas y a las nuevas empresas a competir con las grandes. La nueva ley establecerá los criterios para considerar a una gran plataforma en línea como "guardiana de acceso". Además, permitirá a la Comisión Europea llevar a cabo investigaciones de mercado y prever medidas correctoras para hacer frente a infracciones sistemáticas a las normas".

WhatsApp menos seguro

Ampliar

Pero, ¿y qué sucede con aplicaciones como WhatsApp, que basan mucho de su tirón en ofrecer conversaciones con un alto grado de encriptación en materia de seguridad? Según expertos en criptografía será difícil, si no imposible, mantener el cifrado entre aplicaciones, con implicaciones potencialmente enormes para los usuarios. Signal es lo suficientemente pequeña como para no verse afectada por las disposiciones de la DMA, pero WhatsApp -que utiliza el protocolo de Signal y es propiedad de Meta- sí lo estaría.

El resultado podría ser que parte, si no toda, la encriptación de extremo a extremo de la mensajería de WhatsApp se debilitara o se eliminara, lo que afectaría a miles de millones de usuarios activos de la app. Según varios expertos han confirmado al site The Verge, no hay una solución sencilla que pueda conciliar la seguridad y la interoperabilidad de los servicios de mensajería cifrados, por lo que “no habría forma de fusionar distintas formas de cifrado en aplicaciones con características de diseño diferentes” como afirma Steven Bellovin, investigador de seguridad en Internet y profesor de informática en la Universidad de Columbia.

"Intentar conciliar dos arquitecturas criptográficas diferentes es sencillamente imposible; una u otra parte tendrá que hacer cambios importantes. Un diseño que funcione sólo cuando ambas partes estén en línea será muy diferente a uno que funcione con mensajes almacenados .... ¿Cómo hacer que esos dos sistemas interoperen? Tratar de conciliar dos arquitecturas criptográficas diferentes simplemente no puede hacerse”.

Según Bellovin, hacer compatibles diferentes servicios de mensajería puede llevar a un enfoque de diseño de mínimo común denominador, en el que “las características únicas que hicieron que ciertas aplicaciones fueran valiosas para los usuarios se eliminan hasta que se alcanza un nivel compartido de compatibilidad. Por ejemplo, si una aplicación admite la comunicación multipartita encriptada y otra no, el mantenimiento de las comunicaciones entre ellas requerirá normalmente que se elimine la encriptación”.

Descifrar y re-cifrar

La UE está al tanto de esto, y la Ley DMA sugiere como alternativa satisfactoria el que los mensajes enviados entre dos plataformas con esquemas de cifrado incompatibles se descifraen y se vuelvan a cifrar al pasar de una a otra. El problema es que esto rompería directamente la cadena de cifrado "de extremo a extremo" y crearía un punto de vulnerabilidad para la interceptación por parte de cualquier cibercriminal al acecho.

Alec Muffett, experto en seguridad de Internet y antiguo ingeniero de Facebook que recientemente ayudó a Twitter a lanzar un servicio encriptado de Tor, dijo a The Verge que sería un error pensar que Apple, Google, Facebook y otras empresas tecnológicas fabrican productos idénticos e intercambiables que pueden combinarse fácilmente. Y puso un ejemplo con la popular McDonalds: “Si entraras en un McDonald's y dijeras: 'En aras de romper los monopolios corporativos, exijo que incluyan un plato de sushi de algún otro restaurante con mi pedido', con razón se quedarían mirándote".

"¿Qué ocurre cuando el sushi solicitado llega por mensajero a McDonald's desde el restaurante de sushi supuestamente solicitado? ¿Puede y debe McDonald's servir ese sushi al cliente? ¿Era legítimo el servicio de mensajería? ¿Se preparó de forma segura?".

En la actualidad, cada servicio de mensajería asume la responsabilidad de su propia seguridad, y Muffett y otros han argumentado que, al exigir interoperabilidad, los usuarios de un servicio se exponen a las vulnerabilidades que pueda haber introducido otro. La Unión Europea quiere limitar el poder de las tecnológicas, como dice “acabar con las prácticas injustas sobre las empresas y consumidores”, y la Ley DMA sigue adelante.

¿Provocará esto que WhatsApp sea menos seguro y veamos un nuevo éxodo?