Reducción de daños en Whatsapp

Agradecemos a Gabriela Ivens, la Fellow de Mozilla en WITNESS por contribuir en la sección de respaldos en línea y a todxs lxs colaboradorxs de WITNESS y defensorxs de derechos humanos que han compartido experiencias sobre el uso de WhatsApp en este artículo.

Cómo tal vez ya has leído en nuestro post “Whats Up, WhatsApp?”, activistas y periodistas de todo el mundo están utilizando esta herramienta para comunicar y compartir contenidos e información sensible sobre derechos humanos. Mientras que WhatsApp no es necesariamente la opción más segura, creemos que es increíblemente importante compartir recomendaciones para la reducción de daños en esta app.

WhatsApp es increíblemente popular, cuenta con cifrado de extremo a extremo, y en ocasiones es incluso hasta gratuito o muy barato con paquetes móviles ofrecidos por proveedores de muchos países. Pero WhatsApp está olvidándose de funcionalidades importantes, como lo hablaremos a continuación, y si no la estás usando de forma apropiada, puede ser que te estés poniendo en riesgo a ti y a otrxs.

¿Así que sigues usando Whatsapp? Úsalo tan seguro como sea posible 🙏

WhatsApp cuenta con cifrado de extremo a extremo disponible a nivel individual y grupos. Esto significa que el contenido de los mensajes sólo puede ser leído por quienes los escriben y reciben, y nadie más en el camino, ni siquiera por agencias responsables de cumplimiento de la ley, quienes podrían pedir incluso los datos a WhatsApp con orden judicial en mano.

Sin embargo, hay muchas maneras en que este cifrado no es infalible.

La seguridad es un problema de comunidad 👨‍👩‍👧

Primero, independientemente de cuán fuerte sea tu propia seguridad, también dependes de la seguridad de otras personas con quienes te comunicas, y ellxs confían en ti. Como escribimos en la sección de riesgos legales y de seguridad de nuestra guía para crear bases de datos de violencia policial, es importante hablar sobre seguridad con los demás y pensar quién está en mayor riesgo y cómo se puede tener especial cuidado con esas personas.

Recomendaciones:

• Eliminar periódicamente de mensajes, videos e imágenes
• Guardar la información de contactos con nombres código
• Hablar acerca del proceso de ingresar a nuevos integrantes al grupo
• Establecer acuerdos de seguridad como los anteriores es especialmente útil con grupos que tienen muchos integrantes o que son públicos.
• Si dentro del grupo hay periodistas, se puede también aclarar exactamente cómo pueden ellxs interactuar con las persons del grupo.
• Estos acuerdos pueden comunicarse a través de un mensaje que se comparta en el grupo cada vez que hay un integrante nuevo. Por ejemplo:

Bienvenidx al grupo para organizar la grabación de las acciones de la policía en nuestro vecindario. No agregues a ningún miembro nuevo sin antes obtener la aprobación de al menos tres miembros. Borra los mensajes y los archivos, especialmente videos, de este chat grupal después de 3 días. No utilices la copia de seguridad en línea para tus mensajes de WhatsApp. Por favor, no discutas las ubicaciones físicas en este grupo. La seguridad es solidaridad. ¡Gracias por entender!

Sé claro en los metadatos 🔎

Si bien WhatsApp no tiene acceso al contenido de sus mensajes, aún así recopila información de suscriptores que puede decir mucho sobre quién eres tú, quiénes son sus amigos y comunidad, a dónde vas y cuándo estás utilizando la aplicación.

No está del todo claro a qué tiene acceso WhatsApp, pero sus páginas de “Información para las autoridades policiales” indican que pueden proporcionar a las autoridades policiales “nombre, fecha de inicio del servicio, última fecha de visualización, dirección IP y dirección de correo electrónico”, así como “ “números bloqueados o bloqueados por el usuario”, e “información sobre el usuarix”, fotos de perfil, información de grupo y libreta de direcciones. Un reportero revisó los materiales de la corte en los Estados Unidos y descubrió solicitudes de datos de ubicación también.

Lo más seguro es pensar que la privacidad de WhatsApp solo se aplica al contenido de esos mensajes.

Facebook está conectado a WhatsApp 😨

WhatsApp es parte de la “Familia de Facebook”. En 2016, WhatsApp cambió sus términos de servicio para tener en cuenta que comenzaría a “conectar su número de teléfono con los sistemas de Facebook”. WhatsApp tiene algunas limitaciones especiales establecidas en la Unión Europea debido al GDPR, pero en otros lugares esto sí está pasando. Eso significa que sus contactos en WhatsApp pueden, y lo más probable es que sean analizados y conectados con sus contactos en Facebook.

La política de privacidad de WhatsApp indica que su información puede usarse para hacer “sugerencias de productos (por ejemplo, de amigos o conexiones, o de contenido interesante)”. Esto significa que si está en un grupo de WhatsApp con alguien, puede sugerirlo como contacto en Facebook. 

Recomendaciones:

• Puedes reducir el peligro asegurándote de que tu número de teléfono no esté asociado con Facebook y que no tengas la aplicación de Facebook en tu teléfono.
• Si ya has compartido tu número con Facebook o has instalado la aplicación en tu teléfono, tu única opción puede ser utilizar WhatsApp con un número diferente, especialmente porque WhatsApp no ​​tiene forma de optar por no compartir esta información.

Cuida la seguridad física🙅

La seguridad digital y física están interelacionadas, y WhatsApp es un ejemplo perfecto. En muchos países, es una práctica común que fuerzas policiales obligen a defensores de derechos humanos a abrir WhatsApp y compartir contenido y contactos. Esa información se utiliza para hostigar a otros activistas o miembros de comunidades marginadas, como los rohingya o los residentes de las favelas de Brasil.

Recomendaciones:

• Eiminar regularmente los mensajes de WhatsApp después de realizar una copia de seguridad de cualquier contenido importante (más información sobre cómo hacerlo más adelante).
• Puedes eliminar un mensaje del teléfono de todxs hasta una hora después de haber enviado el mensaje, pero después de eso no tienes control sobre lo que has enviado, y ellos tienen que eliminar los mensajes por su cuenta.
• Considera los riesgos de seguridad física que conlleva mantener y traer contigo los archivos que has exportado o respaldado localmente en algún dispositivo móvil.
• Considera cifrar tus dispositivos, aunque sabemos que el cifrado no ayuda cuando se amenaza con violencia física o detención si no se entrega las contraseñas.

¿Son ellxs quienes crees que son? Verificar contactos 👀

Primero, es importante usar el sentido común aquí. En grandes grupos de WhatsApp, es probable que te encuentres con personas que no has conocido físicamente.

• Usa los métodos que usarías normalmente para determinar quién es esa persona, como preguntar al administrador de un grupo o buscar en otro lugar como Facebook para ver si tienes amigos comunes con esa persona.

Esto es especialmente importante porque WhatsApp tiene un defecto de seguridad que le permitiría a alguien tener acceso a los servidores de WhatsApp y unirse a un grupo sin ser invitado.

• Si estás tratando con un periodista en un grupo grande, busca información sobre esa persona en línea o pídele enlaces a artículos que haya escrito. En general, la mejor manera de confirmar quién es realmente alguien es conocerlo en persona, y consultando con tu red de confianza.

Una vez que hayas verificado el contacto, asegúrarte de que realmente estés enviándole un mensaje a esa persona. El cifrado de extremo a extremo de WhatsApp utiliza “claves” para verificar que el mensaje que estás recibiendo realmente proviene de esa persona. Cuando esto funciona, es un sistema muy fuerte.

• Primero, verifica su clave. Echa un vistazo a las excelentes instrucciones de EFF para la seguridad de la clave de WhatsApp en Android o iOs, el proceso toma solo un minuto.
• Una vez que hayas verificado la clave de esa persona, también debes activar las notificaciones de seguridad para ver si alguien “cambia tu clave”. Esto sucede cuando la gente reinstala WhatsApp en un teléfono nuevo, pero también puede significar que alguien está tratando de hacerse pasar por su contacto, por lo que Si recibe ese mensaje, debe consultar con las personas a través de otro canal, como una llamada de voz.

No pases por alto el cifrado de extremo a extremo con respaldos en la nube ⛔ ☁️

No habilites las copias de seguridad automáticas de iCloud en las copias de seguridad de iOs o Google Drive en Android. Estas copias de seguridad están cifradas en los servidores de Google o Apple, pero este almacenamiento de terceros de sus mensajes hace que el cifrado de extremo a extremo de la aplicación no tenga sentido, ya que Google, Apple y cualquier persona que pueda obligarlos legalmente u obtener acceso, pueden leer, descargar, o analizar tus mensajes de WhatsApp.

Apple proporcionará los datos de iCloud a la policía, y Google también responderá a las solicitudes legales de datos. Al realizar una copia de seguridad a través de la nube, pierdes la protección contra órdenes judiciales y citaciones para obtener acceso a los datos de WhatsApp en servidores de terceros. Si esto sucediera, es posible que los usuarios ni siquiera se enteren, dependiendo del tipo de orden utilizado.

Para aquellos que usan WhatsApp para comunicarse sobre temas delicados o con comunidades marginadas, este almacenamiento de mensajes, videos, imágenes, detalles de contacto e información detallada de la red por parte de terceros es un problema importante de seguridad y privacidad.

Si no deseas realizar una copia de seguridad de tu WhatsApp, sino que desea un registro de sus conversaciones y medios para fines de responsabilidad o preservación, puedes exportarlos y guardarlos fuera de la aplicación. WITNESS publicará una guía sobre cómo guardar copias de contenido importante, como videos, imágenes, voz y mensajes de chat de WhatsApp lo antes posible, y actualizaremos esta publicación con un enlace a esa guía.

WhatsApp realizó dos cambios para los usuarios de Android que entraron en vigencia hace unas semanas. La primera es que el 12 de noviembre, Google eliminó cualquier copia de seguridad de WhatsApp que no se haya “respaldado” en el último año en Google Drive. La segunda actualización es que, en el futuro, WhatsApp y Google ofrecerán a los usuarios de Android un almacenamiento ilimitado y gratuito de las copias de seguridad de WhatsApp en Google Drive sin que ello cuente para su cuota de almacenamiento en Google Drive. Si bien esto puede ser tentador, almacenar este contenido en Google Drive anula el punto de tener un cifrado de principio a fin en primer lugar.

• Recomendamos encarecidamente que los usuarios nunca utilicen Google Drive para las copias de seguridad de WhatsApp. En su lugar, puede usar un administrador de archivos en su teléfono para encontrar la copia de seguridad local como se describe en este tutorial de WhatsApp, y puede usar nuestra próxima guía para obtener contenidos de chats y medios de la aplicación.

Mejorando WhatsApp  ⚠️⚠️⚠️

WhatsApp carece de algunas características que serían realmente útiles para los defensores de los derechos humanos y mejorarían la privacidad y la seguridad de todos.

1. En primer lugar, WhatsApp debería agregar “mensajes que desaparecen“, lo que significa que debería ser posible enviar mensajes que se eliminen a sí mismos después de un período de tiempo establecido. Esto significa que puedes confiar menos en la buena higiene digital de los demás.
2. En segundo lugar, WhatsApp debería permitir a los usuarios optar por no compartir datos con Facebook en cualquier momento. Esto disminuye el peligro de que se realicen conexiones no deseadas. De manera similar, WhatsApp debería aclarar exactamente qué metadatos recopila para que los usuarios puedan tomar decisiones informadas sobre cómo usan la aplicación.
3. En tercer lugar, WhatsApp debería habilitar el cifrado “sin conocimiento” (también conocido como “conocimiento cero”) para las copias de seguridad, lo que significa que estas copias de seguridad aún serían legibles para los usuarios. Si WhatsApp no ​​está listo para hacer esto, debería proporcionar advertencias más claras dentro de la aplicación que aclaren que las copias de seguridad de iCloud y Google no están cifradas al mismo nivel que los mensajes protegidos por cifrado de extremo a extremo.
4. Finalmente, independientemente de si realiza mejoras, WhatsApp no ​​debe deshacerse del cifrado de extremo a extremo.

Asegúrate de revisar nuestra otra publicación de blog, “What’s Up, WhatsApp?” Para obtener sugerencias sobre cómo abordar la desinformación en WhatsApp. Comparte tus ideas con nosotrxs en las redes sociales utilizando la etiqueta #WhatsUpWhatsApp o en es(arroba)witness.org

Este blog fue escrito originalmente en inglés por Dia Kayyali. Crédito de la imagen: JESHOOTScom