Quão seguro e privado é o WhatsApp? Especialistas explicam
App de mensagens adotou recursos ao longo dos anos, como criptografia e autenticação de dois fatores; mas eles são o suficiente?
Desde o surgimento do WhatsApp, em 2009, o aplicativo adotou diferentes medidas para proteger os dados dos usuários, garantindo a privacidade das conversas. Nem mesmo a plataforma pode ter acesso às mensagens, fotos, vídeos ou áudios trocados nela, graças à criptografia de ponta a ponta. Já o recurso de verificação em dois fatores poderia ser melhor, na visão de analistas ouvidos por Byte.
A privacidade do WhatsApp já rendeu até problemas com a Justiça brasileira, que levou o app a ser bloqueado por não ter conseguido liberar dados pessoais de criminosos para uma investigação policial, em 2015. Em período eleitoral, a criptografia também permite não saber com clareza quantos e quais usuários propagam fake news, restando à plataforma realizar mitigações como reduzir o alcance de compartilhamentos.
Concorrentes do WhatsApp, como o Telegram e o Signal, também trazem seus recursos de segurança. No caso do Telegram, houve alguma controvérsia na época da Vaza Jato, escândalo em que um hacker acessou mensagens de Deltan Dallagnol — o conteúdo obtido era do perfil do procurador no app. Já o Signal, elogiado até mesmo pelo ativista Edward Snowden, nunca passou por nada parecido.
WhatsApp: o quanto a sua criptografia é segura?
A criptografia do WhatsApp só chegou em 2016, sete anos após sua criação — e meses depois do bloqueio do app no Brasil pela Justiça. Para especialistas, ela é muito importante para proteger a privacidade do público.
"Pense na criptografia como se fosse uma tecnologia avançada de embaralhar informações – quando você envia mensagens, faz uma chamada, envia fotos ou vídeos com o WhatsApp, as suas mensagens são aleatoriamente embaralhadas e protegidas. Somente a pessoa que recebe a sua mensagem tem a chave para desembaralhá-la de maneira que possa ser lida", diz Vojtěch Boček, pesquisador de segurança sênior da Avast.
Isso significa que, caso as mensagens sejam interceptadas por criminosos (ou mesmo por autoridades do governo), elas estarão ilegíveis, visto que o leitor não tem aquele código único (possuído somente pelo aparelho do destinatário) que permite decifrar a mensagem.
"O que eles [do WhatsApp] têm é o histórico de conversação: um número falou com outro em determinado dia, em determinado horário", afirma Thiago Bordini, diretor de inteligência cibernética da Axur Brasil. Esses dados (assim como o número do telefone, informações sobre o dispositivo móvel e endereço IP) são chamados de metadados — e alguns deles são coletados pelo WhatsApp e compartilhados com a Meta.
Apesar de todos os benefícios, Boček aponta para uma desvantagem causada pela privacidade aprimorada: os mensageiros criptografados de ponta-a-ponta geralmente estão vinculados a um único aparelho. Isso pode tornar impossível para a pessoa descriptografar as mensagens caso deseje, em caso de perda ou quebra do telefone.
O Signal também tem criptografia de ponta a ponta. Já no Telegram, as mensagens são todas armazenadas em nuvem, o que permite sua recuperação em mais de um aparelho — com a devida exceção para o recurso "chat secreto", que criptografa as mensagens por desejo da pessoa.
Verificação em duas etapas: outro trunfo, mas com ressalvas
Além da criptografia, a verificação em duas etapas chegou ao WhatsApp em 2017 busca evitar que contas sejam hackeadas ou clonadas, consiste em uma verificação dupla do número de telefone por meio do envio de um código para o smartphone via SMS ou mensagem de voz.
Ao confirmar o recebimento do código, o usuário também pode criar um PIN, tipo de senha de seis dígitos, que é solicitada de tempos em tempos pelo app. Sem ela, não é possível voltar a acessar a tela inicial do WhatsApp. Também não é possível desativar essa solicitação sem que a confirmação em duas etapas também seja desativada com a entrada do PIN.
Para Bordini, embora esse seja um importante passo para melhorar a segurança, ele poderia ser aprimorado. "O segundo fator de autenticação, sendo por SMS, é suscetível ao SIM swap, técnica bastante usada", diz. O SIM swap é um tipo de golpe em que o criminoso clona o número do chip de celular — sendo capaz, portanto, de receber um código por SMS.
Por isso, Bordini acredita que um fator de autenticação que não seja o SMS (ou um terceiro fator de autenticação) poderia aprimorar a segurança. Ainda assim, considera a medida como importante e recomendada para todos os usuários.
Uma alternativa para o SMS seria os apps de tokens (senhas temporárias) como o Google Authenticator. Mas o app não manifestou intenção de usar algo assim até o momento.
Mensagens temporárias: a novidade do "Zap"
Outra ação tomada pelo WhatsApp com o intuito de dar ao usuário mais controle e privacidade foi a opção de mensagens temporárias, disponíveis desde dezembro de 2021. Com esse recurso, é possível escolher que a mensagem fique visível por 24 horas, sete dias ou até três meses; depois disso, ela é permanentemente excluída, sem possibilidade de recuperação.
O Telegram e o Signal, porém, contam com o recurso há mais tempo, desde o começo de 2021.
WhatsApp é mais seguro que Signal e Telegram?
Para Bordini, uma vantagem do Signal sobre o WhatsApp e o Telegram é a transparência, pois trata-se de uma iniciativa não-lucrativa. "O Signal utiliza uma criptografia diferenciada, não tem uma empresa por trás, tem um código-fonte aberto, então, fica mais fácil de auditar, ter o controle sobre o código", comenta.
O Telegram, por sua vez, também tem a sua criptografia reconhecida, principalmente após casos em que autoridades governamentais solicitaram dados à plataforma e tiveram seus pedidos negados. Já o SMS, sem nenhum tipo de autenticação ou criptografia, pode ser considerado como um dos meios de troca de mensagens mais vulneráveis.
"Ao procurar por um aplicativo de mensagens seguro, é importante buscar saber quais são os interesses da empresa e qual é a sua reputação", afirma Boček, que também considera a criptografia de ponta-a-ponta um fator importante na hora de optar por uma plataforma.
"Organizações sem fins lucrativos, como Signal, ou aplicativos de mensagens que custam uma taxa, como Threema, são menos propensos a lucrar com os dados de seus usuários do que as empresas que oferecem serviços gratuitos", considera.