La privacidad de WhatsApp parecía a prueba de bombas. Hasta que un fiscal del estado intentó borrar mensajes incriminatorios

El fiscal general del Estado, Álvaro García Ortiz, creyó haber eliminado mensajes que podrían ayudar a incriminarle en un delito de revelación del secretos. En realidad no fue así, porque da igual que borres tus mensajes en WhatsApp: Google los guarda igual. Ahora el Tribunal Supremo ha recibido documentación de Google/Meta que ayudará en el proceso.

El auto es de momento secreto y no sabemos exactamente qué información han remitido estas compañías, pero podemos elaborar varias hipótesis para contestar a dos preguntas. La primera, ¿se ha logrado acceso a los mensajes borrados?. Y la segunda ¿cómo se han logado leer dichos mensajes?

Qué ha pasado. El fiscal general del Estado, Álvaro García Ortiz, fue imputado en octubre de un delito de revelación de secretos, como indicaron entonces en El Confidencial. La imputación está referida a la supuesta filtración a la prensa de los correos de la pareja de Isabel Díaz Ayuso o de haber dado órdenes a otros fiscales para que lo hicieran. El mismo diario informó en febrero de que el mismo día en el que se abrió la causa, García Ortiz borró los mensajes de WhatsApp de su móvil, lo restauró y cambió de dispositivo.

Petición a Google y Meta. El Tribunal Supremo, indicaban en El País en enero, lleva tiempo intentando recopilar información sobre el caso.  Se realizó una petición a las delegaciones irlandesas de Google y WhatsApp (Meta) a través de Eurojust, una agencia para la cooperación judicial en casos criminales. La petición realizada intentaba recuperar "la información vinculada a aplicaciones de mensajería instantánea instaladas en dos dispositivos móviles de Álvaro García Ortiz, así como en una cuenta de correo electrónico". Según El Mundo, esa petición acabó siendo reenviada a Estados Unidos después de que Irlanda le indicase que la petición de información debía hacerse a este país. 

Una carpeta ZIP. Según El Confidencial, el magistrado del Tribunal Supremo Ángel Luis Hurtado ha indicado que la recuperación de los datos parece haber sido exitosa. Google o Meta (no se especifica cuál) remitieron documentación en forma de una carpeta comprimida con formato ZIP. Estos nuevos datos, indica el magistrado en la resolución a la que ha tenido acceso El Confidencial, se analizarán pericialmente, y el resultado de esa investigación confirmará si la recuperación de los datos ha sido efectivamente "exitosa". es si han podido leer esos mensajes y cómo lo han conseguido. Hay varias hipótesis.

Hipótesis 1: metadatos. Durante la investigación, la UCO también registró los dispositivos electrónicos de la fiscal jefa provincial de Madrid, Pilar Rodríguez, señalan en 20Minutos. Rodríguez fue la persona con la que supuestamente mantuvo contacto García Ortiz en la imputación por el delito de revelación de secretos. Ella no borró sus mensajes ni restauró su móvil, así que la UCO sí pudo acceder a las conversaciones a través de su dispositivo, como señalan en El Confidencial. El contenido de la carpeta ZIP en poder del magistrado también podría haber sido remitido por Meta/WhatsApp, que no habría enviado los mensajes —no puede, teóricamente no tiene acceso a ellos—, pero sí los metadatos de esas conversaciones de García Ortiz. Dichos metadatos podrían servir para cotejar y contrastar los mensajes de Rodríguez, aportando así pruebas para la imputación del fiscal general.

Hipótesis 2: copias de seguridad sin cifrar. En WhatsApp los usuarios pueden hacer copias de seguridad de sus mensajes en servicios en la nube como los de Google Drive o Apple iCloud, pero atención: por defecto esas copias de seguridad no están cifradas. Son los usuarios los que deben proactivamente habilitar el cifrado en las copias de seguridad, y quizás García Ortiz no lo hizo. Eso hubiera provocado que Google, a la que se solicitó ayuda, pudiera acceder a esos datos para remitírselos al magistrado del caso.

Hipótesis 3: acceso físico al dispositivo. La forma más obvia de acceder a los mensajes de WhatsApp de un usuario es la de tener acceso físico a su dispositivo móvil. En ese caso expertos forenses pueden, con las herramientas oportunas, obtener la clave para descifrar los mensajes de la base de datos de WhatsApp, incluso si estos han sido borrados. Aquí García Ortiz borró los mensajes y restauró el terminal a su estado de fábrica, lo que probablemente hizo imposible recuperarlos desde el dispositivo aun teniendo acceso físicamente.

El cifrado de extremo a extremo está ahí. Hay que aclarar que WhatsApp lleva años haciendo uso de un protocolo de cifrado de extremo a extremo para todas las conversaciones. Solo quien envía el mensaje y quien (o quienes) lo reciben pueden leerlos, pero ninguna otra persona o entidad puede descifrar esos mensajes. Ni siquiera Meta, a través de cuyos servidores se envían y reenvían textos, imágenes, vídeo o cualquier otro tipo de contenido. 

Si quieres borrar tus mensajes, cuidado con las copias de seguridad. Los usuarios de WhatsApp no pueden hacer nada con los metadatos, que sí guarda Meta, pero sí con los mensajes si quieren borrarlos de forma efectiva. Como nos enseña este caso, no basta con borrarlos de nuestro teléfono: si hacemos copias de seguridad de nuestros mensajes, es importante activar el cifrado de dichas copias de seguridad.

Pero aviso especial sobre las copias de seguridad. Cuidado especial con el cifrado de las copias de seguridad, porque no funciona como el cifrado extremo a extremo. Las copias se cifran con una clave/contraseña que solo conoces tú, y que por tanto conviene que sea fuerte para no poder ser rota con ataques de fuerza bruta, por ejemplo. WhatsApp de hecho da la opción de crear una clave de 64 dígitos, pero... lo hace ella. 

Suspicacias. Aquí entra el debate sobre cómo gestionan esa contraseña de cifrado en Google/Apple/Meta, y si pueden descifrarla de algún modo para potenciales peticiones judiciales. Sea como fuere, la otra solución, por supuesto, es no hacer copias de seguridad de los mensajes a no ser que lo consideres absolutamente imprescindible. Todo este proceso levanta suspicacias sobre si la copia de seguridad es realmente vulnerable por parte de las propias Meta y Google/Apple.

Imagen | Consejo de Estado | Brett Jordan

En Xataka | Si la pregunta es si tu empresa puede añadirte a un grupo de WhatsApp del trabajo, la ley no deja dudas: depende de quién paga