WhatsApp, DIT y la falacia de la privacidad

Ladrón de datos
Ladrón de datos

Intro

Como ya sabréis, estoy un tanto obsesionado con el tema de la privacidad (no tanto en WhatsApp).

En un mundo en el que nos encanta exponernos públicamente en redes sociales y donde nuestros datos son fuente de ingresos de grandes corporaciones, como Meta o Alphabet, que nos dan gratuitamente servicios a cambio de despojarnos de nuestra privacidad, mantener un perfil bajo de exposición, para mí y mi familia, se ha convertido en mi campo de batalla, cavando trincheras para mantener una posición defensiva estable frente al enemigo.

Por recordarte, la falta de privacidad se traduce en lo que se denomina la sombra digital, es decir, la cantidad de información que se recoge, se registra y se vincula a cada uno de nosotros en diferentes sistemas. Con toda esa información, y de forma agregada, somos identificados y perfilados ( preferencias, gustos o costumbres, etc).

No dedicaré este artículo de opinión a explicarte cuáles son esas defensas que uso en esta mi guerra personal (lo dejo para otro momento), pero sí quiero arrojar algo de luz sobre lo que considero una mentira a voces.

Contexto

WhatsApp es la tercera app social más utilizada en el mundo. Podéis ver el ranking, obtenido desde este artículo, en esta gráfica:

Pero es que resulta que es la segunda mundial favorita:

A nivel de corporaciones, Meta posee Facebook, Instagram, WhatsApp y Threads.

No, no pagas ni un euro por usar esas redes sociales, ¿verdad? Claro, el producto eres tú; pagas con tus datos, con tu desnudez: qué webs visitas, en qué productos o servicios estás interesado, con quién te comunicas, por dónde te mueves, qué intereses -políticos, religiosos, científicos, etc- tienes… ¿sigo o tienes ya la boca abierta más de un palmo?

DIT

En 2021, Meta incorporaba en WhatsApp un mecanismo de anonimización de los datos recopilados por esta aplicación de mensajería: DIT.

DIT (De-identifiyed Telemetry), según Meta, es un método de recopilación de datos de uso cuyo objetivo es minimizar los metadatos vinculados a una persona o número de teléfono para hacer de WhatsApp una app más privada.

Uno lee esta frase y creo que se queda satisfecho, tranquilo, en paz consigo mismo y con el mundo que le rodea; uno apacigua sus temores arropado por ese halo de privacidad con el que envuelven un producto casi básico para la comunicación diaria.

Cierto es que para dar un servicio adecuado, los desarrolladores usamos la denominada «telemtería» para comprender cómo está funcionando el servicio. Para hacer esto, WhatsApp (y cualquiera) necesita ciertas métricas.

Según Meta, DIT se basa en un sistema de credenciales anónimo diseñado para autenticar datos sin que su servidor sepa de dónde o quién se recopila la información. La idea detrás de DIT es obtener datos analíticos no identificados de aplicaciones cliente de manera que, también, esté autenticada.

Esto puede parecernos contradictorio. La autenticación es el proceso de identificación de un individuo sobre la base de sus credenciales (normalmente nombre de usuario y contraseña). Si sabes quién soy y, a la vez, recopilas información sobre mi comportamiento y uso de una app… pues blanco y en botella, ¿no?

Qué datos son recopilados, depende de cada app, pero en líneas generales: información de uso, rendimiento, versión de la aplicación, si un mensaje se envió correctamente o no, qué sistema operativo usas, modelo de tu terminal telefónico, posicionamiento, etc.

Ahora fíjate en el tipo de datos que maneja esta aplicación y que queda, por políticas de Apple, explicitado en la tienda de aplicaciones:

Recopilar estos datos analíticos de forma anónima y autenticada requiere que el registro de los clientes en la plataforma no contenga tu identidad, ni ninguna información identificable, como la dirección IP asignada a tu teléfono. Para garantizar este punto, aparece DIT.

Haciendo una inspección de todo el tráfico saliente de los teléfonos móviles que tenemos en casa, se ve que se hacen continuas peticiones a la URL dit.whatsapp.net. El número de peticiones que realiza uno solo de los dispositivos es, sencillamente, abrumador.

Si te preguntas cómo lo sé, te animo a leer este artículo sobre la instalación de Adguard Home. Desde ahí puedo ver todas las peticiones que hacen todos los dispositivos y bloquear lo que no me mola.

Log Adguard

La mentira que subyace

Según investigaciones realizadas, es posible reidentificar correctamente al 99,98% de las personas en conjuntos de datos anónimos.

Existen modelos bajo los que conjuntos de datos complejos de información personal no pueden protegerse contra la reidentificación vía los métodos actuales de «anonimización» de datos, como la publicación de muestras (subconjuntos) de la información. Bajo estos modelos, ningún conjunto de big data “anonimizado” y publicado puede considerarse a salvo de una reidentificación, no sin aplicar estrictos controles de acceso.

Vamos, que hablando claro, las técnicas de anonimización de datos son reversibles.

El problema

El problema del «tracking», de la supervisión continua que se hace de ti, sea de forma directa, como con la telemetría de la que hemos hablado, sea con otros mecanismos como las cookies de terceros, es algo de lo que no nos podemos desprender.

No solamente no existe la confiabilidad absoluta en un fabricante de productos tecnológicos o de prestación de servicios digitales, sino que hoy día absolutamente todo realiza un seguimiento de ti… Desde la inocente TV de tu salón (que informa de cuándo ves la tele, qué canal pones, el tiempo en que estás en cada uno de ellos, etc) hasta tu ISP (que conoce y vende todas las URLs a las que te conectas).

Si me sigues, sabrás que he empezado una serie de artículos sobre IoT y que uno de mis objetivos es el control local de la domótica. Imagino que ya deduces el porqué. Sí, el fabricante puede inferir que estás en paro o enfermo, porque enciendes luces o enchufes en tramos horarios en los que antes estaban apagados. O puede saber que estás de vacaciones porque no se abre y cierra la puerta de entrada, no enciendes luces y la «Rumba» no te aspira la casa desde hace una semana… ¿no se te ponen los pelos de punta?

Actúa

¿Qué puedes hacer tú para evitarlo? Más bien nada, pero puedes poner dificultades. Te lanzo algunas ideas desordenadas:

  1. Minimiza el uso de redes sociales. En este tema, «menos es más».
  2. No subas fotos con metadatos (ojo, que van geoposicionadas) y mucho menos con elementos claramente reconocibles (el Coliseo Romano, la Catedral de Notre Dame, …), si es que te has ido de viaje.
  3. Usa aplicaciones de mensajería con un nivel de intrusión mínimo. Es casi imposible huir de WhatsApp, lo sé, pero hay alternativas como iMessage o Signal.
  4. Examina la información de privacidad que declara el desarrollador de una app (te pongo un ejemplo de Signal para que veas la diferencia respecto de WhatsApp).
  1. No concedas permisos a las apps para el acceso a tu carrete de fotos, micro, cámara o GPS. Si lo necesitas puntualmente, se lo das por el tiempo estrictamente necesario para luego, retirarle el permiso.
  2. Activa el bloqueo de rastreo y seguimiento cruzado en tu navegador.
  3. Activa la ocultación de IP en tu navegador.
  4. Borra frecuentemente el historial de navegación y cookies. Por si te lo preguntas, no, la navegación «privada» no sirve para que no te hagan seguimiento (es para ocultar nuestra actividad a otras personas que utilicen el mismo navegador).
  5. Usa navegadores especialmente diseñados para proteger tu privacidad. Hay muchas alternativas donde escoger como Safari, Brave, Tor, etc.
  6. Sírvete de sistemas alternativos de DNS (o pseudo DNS) como Pi Hole, Adguard Home , NextDNS, Lockdown, etc basados en el uso de aplicaciones ex profeso. También puedes optar por sustituir los DNS típicos de Google o de tu ISP por otros de cifrados como el de Cloudflare, Quad9, NextDNS, etc.
  7. Utiliza VPNs o sistemas de frame relay.
  8. No des tu correo electrónico real en los procesos de registro o suscripción; tira de servicios de generación de direcciones de correo electrónico virtuales para ocultarla.
  9. Configura tus dispositivos para que, en vez de usar la dirección MAC real de tu adaptador de red, usen una MAC virtual.
  10. La IoT, siempre en local.
  11. Usa tu propia nube para tus fotos o documentos (incluso tu calendario).
  12. Lee, investiga y toma decisiones informadas sobre las apps que instalas y los servicios «gratuitos» que usas. ¡No abandones! ¡Resiste!

2 comentarios

  1. Espectacular tu informe. He llegado aquí precisamente porque he instalado adguardhome en mi router asus y me ha llamado la atención la cantidad de llamadas a la web de wahtssapp.

    Una duda, en tus recomendaciones si tienes IOT en local, como accedes desde fuera a activar el roomba? ¿O como enciendes la luz? Yo tengo en mi asus ax88u-pro un servidor vpn wireguard activado y conecto mis dispositivos moviles a traves de la vpn.

    • Hola! Toda mi domótica está basada en HomeKit. Con él pudo, directamente, acceder a la IoT desde fuera de mi casa. También tengo instalado Home Assistant, para fines experimentales. En este caso, dispones de una app con la que puedes acceder desde el exterior de tu IoT. Mi recomendación, sea cual sea el sistema domótico que uses es no acceder, si puedes, desde el exterior. En mi caso tengo una VPN y todos mis dispositivos, cando estoy fuera de casa, establecen una conexión con esa VPN, de manera que siempre estroy conectado a mi red (a mi LAN).

      Respecto a la Rumba, yo no tengo ningún aparato de estos pero, si usas Homekit y la Rumba tiene integración con HomeKit (vía Matter, porque que yo recuerde por protocolo HomeKit no lo hace), puedes manejarla desde la app Casa. Si usas Home Assistant, por ejemplo, seguramente la Rumba tiene un plugin de integración (por ejemplo, los altavoces Sonos o amplificador Yamaha o las luces led de Govee lo tienen, y hay muchos otros dispsitivos con integración). Con ese plugin ya tendrías los servicios de la Rumba en Home Assistant.

      COn lo de AdGuard, sí, si te pones a invesrtigar, asusta la cantidad de invocaciones externas que hacen todos los dispositivos de casa. La TV, por ejemplo, o los altavoces Echo de Amazon, son unos campeones… Mira bien los logs de acceso y aplica los filtros que estimes oportunos. Todo sigue funcionando igual de bien, pero con mucha más privacidad y sin tanta publicidad.

      Saludos!!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.