Fallo en WhatsApp: a grandes errores, peores conclusiones

Los sucesos que ocurren (malos o buenos) nos permiten avanzar y mejorar gracias a las conclusiones, enseñanzas o experiencias que podemos extraer de ellos. Sin aprendizaje, los eventos propios o ajenos quedarían como simples anécdotas en lugar de servirnos como experiencias enriquecedoras. Por tanto es interesante extraer las conclusiones adecuadas de cada hecho relevante para sacar el máximo provecho a todo lo que ocurre a nuestro alrededor. Esta semana hemos conocido que un gravísimo fallo en WhatsApp permitía ejecutar código en el teléfono con solo realizar una llamada a la víctima. Las conclusiones en los medios han sido diversas.

Algunos han dado a entender que cualquier usuario de WhatApp podía estar infectado. En realidad, siendo prácticos, nadie “malgastaría” un fallo tan jugoso en “gente corriente”. Los atacados son pocos y escogidos así que, si bien por supuesto es necesario actualizar para estar protegidos en el futuro por si se revelan los detalles, lo más probable es que tu teléfono esté a salvo por esta vía de ataque.

Por otro lado, el creador de Telegram no podía dejar pasar esta oportunidad para poner sobre la mesa las bondades de su propio software que, casualmente, es competencia directa de WhatsApp. Si bien en su entrada de blog explica muy correctamente algunos puntos (y es indudable que Telegram priorizó desde el primer momento la privacidad y la seguridad) no puede evitar mencionar que por el hecho de que WhatsApp no abre su código, nadie podrá estar seguro de que no contiene puertas traseras. Lamentablemente, incluso en código abierto se han detectado fallos que parecían verdaderas puertas traseras por su simplicidad, hay muchos ejemplos. O código abierto complejo como el de TrueCrypt necesitó de una gran financiación y enormes dosis de paciencia para ser auditado. El código abierto facilita, pero no garantiza nada.  Incluso aunque fuese código totalmente abierto (y compilable en casa…, pues eso es otra historia), al transitar los mensajes por ciertos servidores de los que se desconoce su código interno, o por dependencia de librerías de terceros, ya se podría especular sobre puertas traseras si se quisiera.

El premio con respecto a la noticia de WhatsApp se lo lleva Bloomberg, que titulaba que el cifrado punto a punto era un timo, por culpa de este incidente. Confundía así a posibles usuarios sin demasiados conocimientos y demostraba de paso que ellos tampoco tenían ni idea de lo que hablaban. Todo software sufre graves fallos de seguridad, sin excepción, y confundir medidas como el cifrado destinadas a la privacidad (e inviolable matemáticamente) con vulnerabilidades en el código, tiene delito. Tanto, que ante el cachondeo general intentó mejorar su titular, sin demasiado éxito, de nuevo poniendo el acento en el cifrado, y que “no era tan seguro como pensabas”. Tanto si el motivo es desconocimiento, como si son decisiones políticas, este tipo de ligerezas no hacen bien a nadie.

¿Qué conclusiones son más acertadas, entonces?
Un evento de este tipo ha saltado a los medios generalistas, y eso siempre es un arma de doble filo. Si bien alerta a la población, también puede confundir y asustar. Un fallo tan grave en un software tan masivo no es ninguna novedad. Cada poco encontramos desde APTs específicos que han atacado a compañías muy concretas gracias a 0-days (muchos en Windows), hasta ransomware común que paraliza, por ejemplo, hospitales u organizaciones sensibles. Sin embargo, no están en el día a día de los telediarios. Mientras una situación análoga (sin duda también noticiable), pero en dispositivos móviles, sorprende a la población. Recibe la noticia como una gran novedad (casi como una especie de magia negra), a pesar del trabajo de concienciación realizado durante años sobre los peligros del malware y la necesidad de actualizar en todas las plataformas, móviles incluidos. Con los titulares inadecuados, esto del WhatsApp se convertirá con el tiempo en una simple anécdota en el imaginario colectivo, no una experiencia. El próximo gran fallo en sistemas populares (¿llegaremos al punto de algo gusanable a través del móvil?), probablemente sea recibido con igual sorpresa, extrañeza e… inexperiencia. Lo que nos hace preguntarnos, si bien existen demasiadas carencias en el trabajo de concienciación previo, o bien estamos fracasando en el trabajo de concienciación actual sobre los nuevos sistemas o plataformas ya ubicuos, y nos veremos avocados a recorrer de nuevo el mismo camino para llegar no se sabe muy bien dónde.

En ciberseguridad, donde parece que siempre vamos un paso por detrás de los atacantes, donde las tecnologías se nos echan encima antes que las fórmulas para protegerlas, resulta especialmente importante saber extraer grandes conclusiones de grandes errores. Evitamos así pasos en falso y esa querencia por golpearnos repetidamente con la misma piedra.