La causa abierta por presunta revelación de secretos contra el fiscal general del Estado, Álvaro García Ortiz, por la filtración del correo electrónico del abogado de Alberto González Amador, pareja de Isabel Díaz Ayuso, ha abierto de nuevo el debate sobre la privacidad digital. Más allá de las cuestiones políticas y judiciales alrededor de esta investigación del Tribunal Supremo, dos de sus últimos autos han provocado que el foco se ponga en WhatsApp —propiedad del imperio de Mark Zuckerberg— y en Google.

En concreto, el pasado enero, el juez Ángel Hurtado pidió a Meta y Google que aportasen los datos que tuviesen de García Ortiz entre los días 8 y 14 de marzo de 2024 para intentar recuperar los chats que envió durante este período. La decisión se produjo tras conocerse que los investigadores de la Guardia Civil no habían encontrado un solo mensaje en el terminal intervenido durante los registros. En un segundo auto, de este mismo mes de marzo, y después de que la UCO informase que ambas empresas accedían a conservar esta información, el magistrado detalló qué información les solicitaba.

Con estos dos autos y la petición del magistrado a WhatsApp y Google, el foco se ha vuelto a poner sobre una controvertida verdad relacionada con la tecnología que no todos los usuarios perciben, incluido el propio García Ortiz: borrar mensajes o correos de nuestros móviles, ordenadores o cuentas no significa que desaparezcan completamente de la faz de la tierra. "Esto es un tema histórico. Por ejemplo, cuando un usuario entra en una web también pasa y deja un rastro: la dirección IP, qué otras páginas ha visitado…", explica Javier Casares, administrador de sistemas.

"La protección de datos es muy importante, pero si hay un juez que pide estos datos los tienen que suministrar. El derecho a la privacidad cede ante una petición judicial que tiene que justificar por qué pide la información que pide", argumenta Eduardo Valpuesta, catedrático de Derecho Mercantil y director del Máster de Derecho Digital de la Universidad. Para este experto, este caso deja una enseñanza clara: "Aunque pensemos que tenemos mucha privacidad en Internet, al final es casi nula. A pesar de que uno borre el contenido del teléfono, puede hay información guardada en los servidores de las tecnológicas".

En el caso de las aplicaciones de mensajería y los servicios de correo como Gmail, conservan registros y copias de seguridad que persisten más allá de un borrado local del propio dispositivo por muy exhaustivo o profesional que sea. La clave, tal y como señala Casares, son los metadatos, es decir, "la información que hay alrededor de los datos reales" y que va desde información de los remitentes y destinatarios, pasando por fecha y hora, la frecuencia de comunicación, duración de las interacciones hasta ubicación gracias a la dirección IP.

Unos metadatos que las tecnológicas guardan fragmentados y divididos a buen recaudo en sus servidores. En Europa, Meta tiene centros de datos localizados en Dinamarca, Irlanda y Suecia. Los de Google, por su parte, están en Irlanda, Países Bajos, Dinamarca, Finlandia y Alemania.

El cifrado "end to end" de WhatsApp

Lo que no guardan, o eso dicen, es el contenido de estas conversaciones. Es decir, desconocen si el usuario ha escrito "hola", "adiós" o "te paso esta imagen". Eduardo Valpuesta lo compara con Correos: "Puede certificar una carta, pero no la leen".

En el caso de WhatsApp, Meta presume desde 2016 de tener implantado el cifrado "end to end" o "extremo a extremo" que impide el acceso no autorizado a las conversaciones privadas de los usuarios. "No tenemos manera de escuchar las llamadas ni ver el contenido de los mensajes", detalla la plataforma. Es decir, la información sale cifrada del móvil del emisor y sólo se descifra al llegar al destinatario, quedando oculta incluso para la empresa propietaria del servidor.

"Nadie, ni siquiera WhatsApp, puede leerlos ni escucharlos", explica el servicio de mensajería en su política de privacidad. "Todo lo que hay alrededor sí que está disponible", matiza Casares que recuerda que en cambio en Signal, la aplicación donde la Administración de Donald Trump compartió con un periodista sus planes de guerra en Yemen, está absolutamente todo cifrado.

¿Tienen entonces asegurado así los usuarios que sus conversaciones sean totalmente privadas? No y por dos razones principales. La primera es que, aunque el cifrado "end to end" sea ultraseguro, en el caso de WhatsApp la contraseña de este sistema la guarda la plataforma, es decir, que puede llegar a descifrar los mensajes. En cambio, Signal, que también usa este cifrado, conserva esta clave en el propio dispositivo.

La brecha: las copias de seguridad

La segunda razón son las copias de seguridad del propio WhatsApp: se hacen automáticamente, en segundo plano, en ocasiones sin conocimiento explícito del usuario y en aplicaciones de terceros como Google Drive o iCloud de Apple. "Al final, las conservaciones están en varios sitios: en el dispositivo del usuario, en los servidores de Meta y en los de Google o Apple", indica Casares. Y aquí está el meollo de la cuestión y el gran agujero de seguridad.

En el caso de Google Drive, donde se guarda la copia de seguridad, tal y como recuerda Casares, había opciones para cifrar el contenido que guardaban en la copia de seguridad pero "lo cambiaron y ahora prácticamente toda la información está sin cifrar". Apple, en cambio, dice que iCloud utiliza "métodos de seguridad sólidos" y "es pionero en el sector en el uso de tecnologías de seguridad para proteger la privacidad, como la encriptación de punto a punto de tus datos".

"No se borra nunca nada"

¿Cuánto tiempo se guarda todo esto? "De forma ilimitada. Cómo no tienen el contenido, no se consideran datos sensibles", admite Casares que recuerda que las tecnológicas son empresas que viven por y para saber todo y más de sus usuarios para venderles su principal forma de financiación: anuncios.

¿Y qué pasa cuando se borra una conversación? "Se guarda de forma local en el móvil y en las copias de seguridad pueden llegar a conservarse", afirma Casares. ¿Y en el caso de tener activado en un chat los mensajes temporales, que desaparecen automáticamente después de un periodo de tiempo establecido? "En general, todo se guarda en el dispositivo, hasta el punto de que puede ser recuperable", apunta este experto.

¿Y si se borra la cuenta? "No se borra nunca nada. En general, es la regla de oro de las tecnológicas. Y legalmente tampoco lo pueden hacer", reconoce Casares que recuerda que la información que estas plataformas se guardan en sus servidores de forma "ilimitada". "Cómo no tienen el contenido, no se consideran datos sensibles", asegura al tiempo que recuerda que son empresas que viven por y para saber todo y más de sus usuarios para venderles su principal forma de financiación: anuncios.

¿Y los correos electrónicos?

Ahora que ya sabemos lo que pasa en WhatsApp, lo pasa con los emails es algo muy similar. En el caso de Gmail, por ejemplo, "el correo está cifrado en tránsito, pero no el contenido", sostiene Casares. Es decir, "Google puede leer lo que el usuario ha escrito".

Eso sí, esto podría tener solución. Aunque la tendría que buscar el propio usuarios. "Podría utilizarse un cifrado a parte", señala Casares.

"Recogemos información para proporcionar los mejores servicios a todos nuestros usuarios: desde determinar información básica, como el idioma que hablas, hasta datos más complejos, como los anuncios que te resultarán más útiles o los vídeos de YouTube que te pueden gustar", explica Google en su política de privacidad.

Meta responde al 66,3% de los requerimientos, Google, al 85%

Pero ya sea un whatsapp o un correo, tal y como apuntábamos más arriba, estas empresas no pueden eliminar toda esta información, incluso cuando una persona se borra la cuenta, por motivos legales. "Por ley, durante un año, tienen que guardar de los usuarios a quién ha mandado mensajes, en qué hora, desde qué dispositivos… Supuestamente, ni Google ni WhatsApp tienen acceso al contenido en sí. Pasado este año, ya no los tienen porque guardar y los pueden borrar", detalla Eduardo Valpuesta que recuerda que, mucho antes de las tecnológicas, las operadoras telefónicas ya habían lo mismo.

Por ejemplo, si reciben una "solicitud legal válida", como "una orden de conservación o una orden de registro" por parte de una autoridad gubernamental, policiales o judicial. "En realidad, en estos servidores, no hay nadie mirando esta información más allá de herramientas automatizadas, a no ser que alguien denuncie y se presente estos requerimientos", reconoce Casares. Es lo que pasa ahora en el caso del fiscal general.

"Es un procedimiento completamente normal. Estas empresas responden automáticamente y después ya miran si la ha registrado un juez legítimo, los acuerdos entre países…Tienen un departamento que mira lo que se tiene que responder", indica Valpuesta que apunta que en un 80% de los casos se ofrecen datos.

En concreto, según los datos del último informe publicado por Meta correspondientes con el periodo de enero a junio de 2024, la tecnológica recibió desde España 3.100 peticiones en procesos legales correspondientes a 5.765 cuentas o usuarios que incluyen a WhatsApp pero también a Facebook o Instagram. Un 66,3% de las solicitudes produjeron "algunos datos".

Según las últimas cifras de su informe de transparencia correspondiente con el periodo de enero hasta junio de 2024, Google recibió desde España 7.180 solicitudes gubernamentales de información sobre 11.368 usuarios De ellas, el 85% generaron datos.

¿Qué piden los jueces a las tecnológicas?

El juez Hurtado, en el caso de WhatsApp, solicita en la comisión rogatoria datos como mensajes recibidos y/o enviados por los usuarios "indicando los detalles básicos asociados a estas comunicaciones (emisor, receptor, día, hora, etc), copias de seguridad de los chats y/o archivos multimedia, registro de las comunicaciones realizadas "incluyendo fecha, hora, origen, destino y tipo de comunicación".

Según detalla la plataforma en el Centro de Ayuda, "WhatsApp no divulga el contenido de los mensajes de sus usuarios en respuesta a solicitudes gubernamentales, y tampoco puede hacerlo" por su protocolo de cifrado: "El contenido sólo se conserva en tu teléfono (y, si lo eliges, en la copia de seguridad de tu teléfono basada en la nube)". En función de la solicitud, la respuesta puede incluir "información básica del suscriptor (como su nombre, fecha de inicio del servicio, fecha de última vez, dirección IP, tipo de dispositivo y dirección de correo electrónico) e información de la cuenta (como fotos del perfil, información de grupos y lista de contactos)".

Incluso, tal y como puntualiza Javier Casares, WhatsApp puede facilitar información sobre el tamaño de la comunicación, es decir, si es un texto largo, corto o si contenía archivos multimedia o documentos. También podrían facilitar información sobre los chats temporales. "El mensaje en sí no, pero sí que se podrá informar sobre que tal persona mandó un mensaje temporal", reconoce este experto.

En el caso de Google, el juez Hurtado le solicita los datos almacenados en los diversos servicios y productos vinculados a la cuenta, copias de seguridad de los dispositivos vinculados a la cuenta, copias de seguridad de aplicaciones de terceros, copias de seguridad de los chats y/o archivos multimedia, y log o registro de las comunicaciones realizadas "incluyendo fecha, hora, origen, destino y tipo de comunicación".

Es decir, no se centra en los posibles correos que envió García Ortiz durante estos días si no en la posibilidad de que tenga una copia de seguridad de WhatsApp con las conversaciones que tuvo ese día. Si el magistrado solicitara información sobre los emails de Gmail, Google podría ofrecer información del suscriptor, como las direcciones de IP de inicio de sesión; metadatos no relacionados con el contenido como la información de la cabecera; como el contenido de los propios mensajes porque, como se explicó previamente, no están cifrados.