1 puntos por GN⁺ 2025-06-19 | 1 comentarios | Compartir por WhatsApp
  • La TV estatal iraní instó el martes por la tarde a la población a eliminar WhatsApp de sus smartphones, afirmando que la app recopila información de los usuarios y la envía a Israel, pero sin presentar pruebas concretas
  • WhatsApp respondió que se trata de un reporte falso y advirtió que podría usarse como pretexto para bloquear el servicio en un momento en que la gente más lo necesita
  • El servicio usa cifrado de extremo a extremo, por lo que los proveedores intermedios no pueden leer los mensajes, y WhatsApp afirmó que no rastrea la ubicación exacta, no conserva registros de con quién habla cada persona, no rastrea mensajes privados ni entrega información masiva a gobiernos
  • Gregory Falco, experto en ciberseguridad de Cornell University, considera que ya se ha demostrado que incluso los metadatos no cifrados permiten inferir información sobre cómo se usa la app
  • Irán ha bloqueado varias plataformas de redes sociales, pero muchos usuarios han accedido mediante proxies y VPN; WhatsApp y Google Play fueron prohibidos en 2022 y la restricción se levantó a fines del año pasado

El llamado de la TV estatal a borrar la app y la falta de evidencia

  • La TV estatal iraní instó el martes por la tarde a la población a eliminar WhatsApp de sus smartphones
  • Como motivo, sostuvo que WhatsApp recopila información de los usuarios y la envía a Israel, pero no presentó pruebas concretas que respalden esa afirmación

La respuesta de WhatsApp y la estructura de cifrado

  • WhatsApp calificó el reporte como falso y expresó preocupación de que pueda servir como excusa para bloquear el servicio en un momento en que la gente más lo necesita
  • El servicio utiliza cifrado de extremo a extremo
    • Los proveedores de servicios intermedios no pueden leer los mensajes
    • Los mensajes se codifican para que solo el remitente y el destinatario puedan verlos, y aunque un tercero los intercepte, solo verá contenido imposible de descifrar sin la clave
  • WhatsApp explicó lo siguiente sobre su manejo de datos
    • No rastrea la ubicación exacta de los usuarios
    • No conserva registros sobre quién le envía mensajes a quién
    • No rastrea los mensajes privados que las personas se envían entre sí
    • No entrega información masiva a ningún gobierno

Los metadatos que quedan fuera del cifrado

  • Gregory Falco, profesor asistente de ingeniería y experto en ciberseguridad de Cornell University, dijo que ya se ha demostrado que se pueden entender los metadatos que no están cifrados en WhatsApp
  • A través de esos metadatos, se puede inferir información sobre cómo las personas usan la app, y por eso considera que algunos usuarios han sido reacios a usar WhatsApp

Soberanía de datos y ubicación de la infraestructura

  • Falco también señaló como otro tema la soberanía de los datos
  • El centro de datos que hospeda la información de WhatsApp de un país determinado no necesariamente está dentro de ese país
    • Por ejemplo, dijo que es totalmente posible que los datos de WhatsApp de Irán no estén alojados dentro de Irán
  • Considera que cada país debería almacenar sus datos dentro de su territorio y procesarlos localmente con sus propios algoritmos
  • También añadió que cada vez es más difícil confiar en la red global de infraestructura de datos

Servicios propiedad de Meta y el historial de bloqueos en Irán

  • WhatsApp pertenece a Meta Platforms, empresa matriz de Facebook e Instagram
  • Irán ha bloqueado durante años el acceso a varias plataformas de redes sociales, pero muchos usuarios han seguido entrando mediante proxies y VPN
  • En 2022, durante las protestas masivas contra el gobierno por la muerte de una mujer que estaba detenida por la policía de la moral, prohibió WhatsApp y Google Play
  • Esa prohibición se levantó a fines del año pasado
  • WhatsApp era una de las apps de mensajería más populares en Irán, junto con Instagram y Telegram

1 comentarios

 
GN⁺ 2025-06-19
Opiniones de Hacker News
  • Lo más interesante del comunicado de Meta es la elección de palabras
    Dijeron: “No rastreamos la ubicación exacta de los usuarios, no guardamos registros de con quién se mensajea todo el mundo, y no rastreamos los mensajes privados que las personas se envían entre sí”, y agregaron que “no entregamos información masiva a ningún gobierno”.

    • Leyendo entre líneas, suena como que sí rastrean la ubicación aproximada, registran mensajes grupales y, si hay una solicitud gubernamental, entregan cierta información específica.
    • Eso es simplemente mentira. Conozco personalmente a alguien que trabajó en Meta y dijo que había equipos dedicados a crear herramientas para exportar datos en masa según las condiciones consultadas por gobiernos.
      No sé exactamente qué gobierno tenía qué tipo de acceso, si era con orden judicial, de qué país se trataba, ni dónde estaba la línea entre terroristas reales y represión de periodistas.
      Pero las exportaciones masivas sin duda existían, y el hecho de que mientan sobre eso hace que uno asuma lo peor.
    • Sobre la parte de “no guardamos registros de con quién se mensajea todo el mundo”, en https://faq.whatsapp.com/444002211197967/?locale=en_US dice lo siguiente:
      En el curso normal de la prestación del servicio, WhatsApp no almacena mensajes entregados ni registros de transacciones de mensajes entregados, y los mensajes no entregados se eliminan de sus servidores después de 30 días.
      Pero también dice que, si determina de buena fe que es necesario para la seguridad de los usuarios, para detectar, investigar y prevenir actividades ilegales, para responder a procesos legales o solicitudes gubernamentales, o para hacer cumplir sus términos y políticas, puede recopilar, usar, conservar y compartir información de usuarios, lo que puede incluir información sobre cómo interactúan algunos usuarios con otros usuarios en el servicio.
      Ese texto entra en conflicto con la afirmación de que no guardan registros de quién se mensajea con quién.
    • Esta es la empresa que creó un listener localhost secreto en Android para intentar rastrear usuarios entre sitios web incluso en modo privado. No hay que creerles ni por un segundo.
      De hecho, es más plausible asumir que rastrean todo con alta precisión y que también hacen ataques de intermediario (MITM) a los mensajes. Sobre todo ahora que incluso están metiendo anuncios.
    • Parece un juego de decir la misma frase, pero enfatizando una palabra distinta cada vez.
      Nosotros no guardamos registros de con quién se mensajea todo el mundo…”
      “Nosotros no guardamos registros de con quién se mensajea todo el mundo…”
      “Nosotros no guardamos registros de con quién se mensajea todo el mundo…”, y así.
  • Hay muchas especulaciones poco fundamentadas sobre que WhatsApp hace ataques de intermediario a chats cifrados de extremo a extremo, pero la vía más probable para que un gobierno acceda ya está a la vista.
    WhatsApp empuja con fuerza a los usuarios a hacer copias de seguridad de sus chats en iCloud o Google Drive. Esas copias, por defecto, no están cifradas o, al menos, están cifradas con una clave que Meta conoce, y la mayoría de los usuarios deja los valores predeterminados.
    iMessage es igual. Si “iCloud Backup” y “iMessage in the cloud” están activados, los mensajes recibidos se suben a Apple con una clave a la que Apple puede acceder, a menos que también actives “Advanced Data Protection”. Y eso tampoco es el valor predeterminado.
    El usuario puede salirse de los valores predeterminados, pero para que una conversación sea realmente privada, ambas partes tienen que hacerlo. Si tienen ese nivel de motivación, más bien ya deberían usar Signal.

  • Tiene sentido. Israel parece haber usado metadatos de WhatsApp para identificar como objetivos a palestinos en Gaza: https://www.972mag.com/lavender-ai-israeli-army-gaza/
    Según el contenido citado, la solución es inteligencia artificial, y el libro incluye una breve guía para construir una “máquina de objetivos” similar a Lavender, basada en inteligencia artificial y algoritmos de aprendizaje automático.
    Entre los ejemplos de los “cientos o miles” de características que pueden elevar la puntuación de una persona se incluyen estar en el mismo grupo de WhatsApp que militantes conocidos, cambiar de celular cada pocos meses y cambiar de dirección con frecuencia.

  • Israel ni siquiera necesita que WhatsApp esté instalado.
    La Unit 8200[1] de las IDF probablemente pueda hackear la mayoría de los celulares de Irán y, si no, están las empresas privadas de spyware como NSO Group[2][3].
    [1] https://en.wikipedia.org/wiki/Unit_8200
    [2] https://en.wikipedia.org/wiki/NSO_Group
    [3] https://mepc.org/commentaries/israeli-cyber-companies-overvi...

    • Tuve un colega de Irán que decía que allá todas las computadoras corrían el mismo Windows XP pirateado, traducido al farsi. Fácil de explotar.
    • No sé cómo se envían SMS “invisibles” a la red móvil de otro país sin que los detecten. Y menos aún a gran escala.
      He hecho ingeniería inversa de OMA DM, actualizaciones/accesos FOTA y binarios que algunas operadoras de EE. UU. preinstalan en teléfonos o módems para acceso remoto.
      Aun así, me cuesta creer que puedan volverlos invisibles para el operador de la red móvil del país objetivo.
    • Creo que esto es una excusa del régimen actual de Irán para impedir que los iraníes coordinen un golpe.
      “Casualmente”, el príncipe heredero legítimo en el exilio, es decir, una figura de la dinastía Pahlavi, está reapareciendo en redes sociales y diciendo que el régimen iraní actual va a caer.
      En línea se habla mucho de cómo se está derrumbando el régimen actual, y hay mucha gente que se alegraría si desaparecieran esos hombres barbudos que gobiernan con la ley sharía.
      Lo que menos quieren los fanáticos religiosos en la cima de ese Estado islámico es que los propios iraníes aprovechen esta oportunidad para derrocar al régimen.
      El verdadero significado de “borra WhatsApp si no quieres ayudar a Israel a encontrar tu ubicación” se parece más a “no compartas el video del príncipe heredero prometiendo una vida sin castigos de la sharía”.
  • Hay razones para creer que muchas apps occidentales tienen puertas traseras, y a países como Irán incluso podrían entregarles puertas traseras específicas a través de las tiendas de apps.
    Lo mismo aplica a la tecnología automotriz y a las cámaras. Si trabajas en inteligencia, literalmente son herramientas de ensueño. Porque hacen posible la vigilancia en tiempo real de calles, algo que antes era extremadamente difícil.
    No sé cuántas veces necesité una foto reciente de una calle o una casa a varias millas de distancia. Con cámaras vehiculares de 360 grados, puedes rastrear a una persona y ver incluso cambios de hace unos minutos.
    No entiendo por qué estos países no bloquean esas funciones o no obligan a que se apaguen por completo.

    • En este hilo es común el sentimiento de que “muchas apps occidentales tienen puertas traseras”.
      Tanto mi intuición como mi experiencia práctica me dicen que, hasta cierto punto, es cierto, pero me pregunto cómo distingue la gente entre teorías conspirativas y conjeturas legítimas.
  • Me sorprende que la preocupación del régimen iraní se centre en que WhatsApp comparte información con Israel. Es mucho más probable que, en vez de que WhatsApp la comparta activamente, el Mossad esté usando vulnerabilidades de día cero de WhatsApp para obtener información.

    • Si se considera que “Irán prohibió WhatsApp y Google Play durante las protestas masivas antigubernamentales de 2022”, queda claro que teme más a una población con canales de comunicación cifrados que la policía no puede interceptar que a Israel. Eso explica muchas cosas.
    • Lo más probable es que les preocupe que se convierta en la plataforma elegida para que la gente se comunique durante una revolución que Israel intenta promover públicamente.
    • Se reportó varias veces que, cuando soldados rusos que participaron en la SMO intercambiaban mensajes y fotos con sus familias por WhatsApp, al día siguiente esa información, incluidas las fotos, llegaba al cuartel general militar ucraniano. También se dijo que luego se usaba para acosar a las familias de los soldados.
      Podría ser otro mecanismo. Por ejemplo, Google Drive u otro tipo de malware.
      En un mundo donde, desde las revelaciones de Snowden en 2011, la NSA y la CIA colocan bugs por todas partes, desde hardware hasta firmware, es difícil estar seguro.
  • No sé si las afirmaciones de Irán son ciertas, pero, francamente, siempre me ha inquietado qué registran realmente estas apps. El cifrado de extremo a extremo es excelente, pero no protege los metadatos.
    El verdadero problema es que todavía estamos especulando. ¿Hay alguien que pueda hablar de esto con verdadera seguridad?

    • No. Si Meta está involucrada, seguramente está sacando provecho de todas las formas posibles.
      La promoción de que WhatsApp tiene “cifrado de extremo a extremo” puede ser cierta, pero eso también significa que no hacen otras cosas buenas que podrían hacer por la privacidad y por ser más amigables con el consumidor.
  • ¿Alguien que esté dentro de Irán puede hablar sobre esto? ¿Cómo ven WhatsApp los ciudadanos locales?

    • Soy de Irán. La mayoría de los iraníes usa Telegram o WhatsApp, y ambos están bloqueados actualmente; solo pueden usarse con VPN.
      Llevaban años bloqueados, y WhatsApp se desbloqueó hace unos meses, pero volvió a bloquearse después del ataque de Israel.
      No creo que muchos iraníes crean o les importe lo que dice el régimen. Aunque una minoría de simpatizantes del régimen podría creerlo, probablemente ellos ni siquiera usaban WhatsApp desde el principio.
      Aun así, el propio régimen parece creerlo de verdad. Por ejemplo, también hubo noticias de que altos funcionarios ya no pueden usar dispositivos electrónicos conectados a internet, como teléfonos móviles.
    • No sé mucho, pero existen alternativas locales. Irán tiene un protocolo puente que federa varios servicios: https://en.wikipedia.org/wiki/Message_Exchange_Bus
  • Todas las grandes plataformas de redes sociales y mensajería están comprometidas y se usan como herramientas de vigilancia, así que el gobierno iraní no está diciendo solo cosas falsas.

    • No está equivocado, pero Meta en particular suele cooperar de forma inusualmente diligente con las solicitudes de actores estatales.
    • En comparación con el nivel necesario para derribar a las fuerzas armadas, milicias y gobierno de Irán, Irak y Gaza fueron de una escala completamente ridícula.
      Una parte considerable del terreno es similar a Afganistán. Las alianzas islámicas de base tribal resisten bien incluso ante la pérdida del gobierno central. También hay enormes fronteras montañosas porosas con al menos dos países que podrían hacer la vista gorda ante ciertos grupos armados islamistas.
      Entiendo que todos quieran tragarse una campaña de superioridad aérea total y derrocamiento de la dirigencia, y quieran creer que WhatsApp podría separar al régimen de 52 vírgenes. Pero esto es una campaña de propaganda.
      La propaganda inicial solo sirve para fabricar consentimiento durante el tiempo suficiente para que los ciudadanos metan los pies en la sangre y ya no puedan dar marcha atrás. Nos están engañando.