La Cámara de Representantes de Estados Unidos ha vetado completamente la aplicación de mensajería WhatsApp en todos los dispositivos gubernamentales utilizados por su personal. Esta medida representa un endurecimiento notable en los protocolos de ciberseguridad a nivel federal.
La directriz fue emitida el lunes por el Director Administrativo (CAO), quien justificó la decisión citando serias vulnerabilidades en los sistemas de protección de datos de WhatsApp y la falta de transparencia de la plataforma, propiedad de Meta.
Esta acción se alinea con una estrategia gubernamental más amplia para reducir los riesgos de seguridad derivados del uso de aplicaciones de origen extranjero y de protocolos de comunicación no verificados en la infraestructura gubernamental sensible.
La Oficina de Ciberseguridad de la Cámara de Representantes clasificó a WhatsApp como una aplicación de alto riesgo debido a múltiples deficiencias técnicas en su arquitectura de seguridad.
La evaluación de la CAO identificó tres preocupaciones principales: transparencia inadecuada en los protocolos de protección de datos de los usuarios, ausencia de un cifrado integral de los datos almacenados más allá del cifrado de tránsito y vulnerabilidades de seguridad inherentes dentro del código base de la aplicación.
Estas limitaciones técnicas plantean riesgos importantes para las comunicaciones gubernamentales, exponiendo potencialmente datos confidenciales del Congreso a acceso no autorizado o interceptación.
La prohibición abarca todos los formatos de implementación de WhatsApp, incluidas aplicaciones móviles, clientes de escritorio e implementaciones de navegadores web.
Se ha ordenado a los administradores de TI del gobierno que realicen auditorías integrales de los dispositivos para identificar y eliminar las instalaciones existentes de WhatsApp.
Este enfoque sistemático garantiza la eliminación completa de la aplicación de la infraestructura administrada por House, evitando una posible filtración de datos a través de archivos de aplicaciones residuales o comunicaciones en caché.
Reuters informó que para mantener las capacidades de comunicación esenciales, la CAO ha aprobado varias plataformas de mensajería alternativas como Microsoft Teams, Wickr, Signal, iMessage y FaceTime como alternativas.
Microsoft Teams, que aprovecha el cifrado de nivel empresarial y la integración de Azure Active Directory, sirve como la principal plataforma de comunicación institucional.
Signal, reconocida por su protocolo Signal de código abierto, que implementa el cifrado Double Ratchet, proporciona capacidades de mensajería personal segura.
Otras aplicaciones aprobadas incluyen Wickr, que utiliza cifrado AES-256 con secreto directo perfecto, iMessage de Apple con cifrado de extremo a extremo y FaceTime para comunicaciones de video seguras.
Estas alternativas demuestran el cumplimiento de los estándares criptográficos federales, incluida la validación FIPS 140-2 y el cumplimiento de los marcos de seguridad del NIST.
Las aplicaciones aprobadas mantienen pistas de auditoría integrales y proporcionan los controles administrativos necesarios para la supervisión gubernamental y el seguimiento del cumplimiento.
El portavoz de Meta, Andy Stone, cuestionó firmemente la evaluación de seguridad de la Cámara, enfatizando la implementación por parte de WhatsApp del cifrado de extremo a extremo utilizando el Protocolo de Señal.
Stone argumentó que el cifrado predeterminado de WhatsApp proporciona una seguridad superior en comparación con muchas aplicaciones aprobadas por la CAO que carecen de una protección integral de los mensajes.
Meta destacó que la arquitectura de cifrado de WhatsApp impide que incluso la empresa acceda a los mensajes de los usuarios, implementando el cifrado del lado del cliente con enrutamiento de mensajes del lado del servidor únicamente.
La controversia subraya el conflicto actual entre los requisitos gubernamentales de ciberseguridad y las plataformas de mensajería comerciales.
Si bien Meta sostiene que WhatsApp cumple con los estándares de cifrado de la industria, las agencias federales examinan cada vez más las aplicaciones basándose en auditorías de seguridad integrales, preocupaciones sobre la soberanía de los datos y la transparencia en la implementación de la seguridad, en lugar de depender únicamente de características criptográficas individuales.
