As acusações recentes contra o WhatsApp reacenderam o debate sobre privacidade digital e encriptação, numa altura em que a aplicação é usada por milhares de milhões de pessoas em todo o mundo, e milhões de portugueses. Um especialista em criptografia analisou as alegações e explica o que está realmente em causa e por que motivo recomenda alternativas.
Com cerca de 3 mil milhões de utilizadores ativos mensais, o WhatsApp é a aplicação de mensagens mais utilizada a nível global.
No entanto, uma ação coletiva apresentada nos Estados Unidos acusa a empresa-mãe, a Meta, de ter mentido sobre a encriptação de ponta a ponta e de poder ler secretamente mensagens enviadas desde 2016, de acordo com o portal especializado em tecnologia Pplware.
A ação judicial e as acusações de fraude
O processo foi apresentado pelo escritório de advogados Quinn Emanuel e baseia-se em alegações de denunciantes não identificados. Segundo a acusação, a Meta teria acesso ao conteúdo das mensagens, com exceção de algumas figuras públicas.
As alegações foram amplificadas nas redes sociais por Elon Musk e por Pavel Durov, ambos ligados a plataformas concorrentes. De acordo com informações divulgadas pela Bloomberg, o Departamento de Justiça dos Estados Unidos estará a analisar o caso. A ironia, segundo vários analistas, é que durante anos diferentes governos pressionaram o WhatsApp pelo motivo oposto: considerarem que a aplicação está demasiado encriptada e dificulta investigações criminais.
Especialista considera o cenário improvável
Matthew Green, especialista em criptografia da Johns Hopkins University, analisou as acusações e considera-as tecnicamente improváveis. Segundo explica, citado pela mesma fonte, a encriptação de ponta a ponta é executada na própria aplicação instalada no telemóvel do utilizador. Se existisse uma porta traseira que enviasse mensagens ou chaves de encriptação para os servidores da Meta, essa funcionalidade estaria presente no código da aplicação.
Green recorda que qualquer investigador pode descarregar versões antigas do WhatsApp e proceder à engenharia inversa do código compilado. Uma fraude desta dimensão, com provas potencialmente acessíveis a especialistas independentes, seria, nas suas palavras, “extremamente estúpido”.
O WhatsApp implementou entre 2014 e 2016 o chamado protocolo Signal, um sistema amplamente reconhecido na comunidade de cibersegurança e sujeito a auditorias externas.
O que a encriptação protege e o que não protege
A encriptação de ponta a ponta impede que terceiros, incluindo a própria empresa, leiam o conteúdo das mensagens trocadas entre utilizadores. Contudo, isso não significa que a aplicação seja totalmente privada. O WhatsApp pode aceder a metadados, como quem comunica com quem, quando as mensagens são enviadas e a duração das conversas. Este tipo de informação pode ter valor comercial ou ser solicitado por autoridades judiciais.
Outro ponto sensível são as cópias de segurança na nuvem. Se as conversas forem guardadas no iCloud ou na Google Cloud, podem não estar protegidas pela mesma encriptação, dependendo das definições escolhidas pelo utilizador. No caso do iCloud, a proteção integral só é assegurada se estiver ativada a funcionalidade de Proteção de Dados Avançada da Apple, refere a mesma fonte.
Pressão política e desconfiança
O WhatsApp tem sido alvo de pressão por parte de governos nos Estados Unidos, no Reino Unido e na União Europeia, que defendem mecanismos de acesso a comunicações encriptadas em investigações criminais.
Esta pressão é apontada por alguns especialistas como um sinal de que a encriptação é efetiva. Caso a empresa tivesse acesso direto às mensagens, não faria sentido a insistência pública de várias autoridades em obter acesso legal. Ainda assim, Green reconhece que existem motivos legítimos para desconfiar do WhatsApp, não por teorias de conspiração, mas pelo facto de ser uma aplicação de código fechado, de acordo com a mesma fonte.
Por que motivo recomenda o Signal
O Signal é uma aplicação de código aberto, o que permite a qualquer especialista auditar o código-fonte e verificar o seu funcionamento. Pertence a uma fundação sem fins lucrativos e não depende de publicidade nem da monetização de dados dos utilizadores. Utiliza o mesmo protocolo de encriptação adotado pelo WhatsApp, mas com maior transparência na implementação.
Além disso, recolhe o mínimo de metadados e as cópias de segurança são encriptadas por defeito. A principal limitação é a dimensão da base de utilizadores, estimada em cerca de 40 milhões, muito distante dos milhares de milhões que utilizam o WhatsApp, de acordo com o Pplware.
Perante as acusações e o debate crescente sobre privacidade digital, o especialista conclui que, embora as alegações de fraude em massa pareçam improváveis, a escolha da aplicação de mensagens continua a depender do nível de confiança que cada utilizador está disposto a depositar na empresa que a gere.
Leia também: Reiniciar ou desligar o telemóvel? FBI recomenda a melhor opção para a sua segurança
