En su mayor parte, Threema y WhatsApp ofrecen las mismas funciones, y apenas hay diferencias en términos de funcionalidad. Sin embargo, en cuestión de seguridad y privacidad de los datos, los dos servicios difieren en casi todos los aspectos. Threema se diseñó desde su origen teniendo en cuenta un alto nivel de seguridad y la reducción de datos, mientras que el modelo de negocio de WhatsApp se basa en el uso de los datos personales con fines de marketing.
Para utilizar los servicios de chat convencionales, es necesario revelar información personal identificable. WhatsApp, por ejemplo, requiere que los usuarios proporcionen su número de teléfono. Threema, en cambio, no obliga a los usuarios a revelar ningún tipo de información personal. En vez de un número de teléfono, la ID de Threema (es decir, una cadena de caracteres aleatoria) sirve como identificador único. La vinculación de un número de teléfono o de una dirección de correo electrónico con el ID de Threema es posible pero opcional. Por lo tanto, Threema se puede utilizar de forma completamente anónima, lo cual es una característica crucial en términos de protección de la privacidad: si no hay datos personales, no es posible usarlos de forma indebida.
WhatsApp requiere el acceso a la libreta de direcciones del usuario. Los datos de los contactos se transmiten a un servidor donde se almacenan permanentemente. Sin acceso a la libreta de direcciones, el servicio no se puede utilizar (sin importantes limitaciones). Threema, en cambio, permite a los usuarios decidir si conceden o no acceso a la libreta de direcciones. La aplicación es totalmente funcional sin acceso a la libreta de direcciones. Si un usuario decide sincronizar la libreta de direcciones para encontrar contactos en Threema, los datos de los contactos se codifican, se envían al servidor y se eliminan inmediatamente del servidor una vez completada la sincronización.
Para garantizar una total transparencia, las aplicaciones de Threema son de código abierto. Con las compilaciones reproducibles, cualquiera puede verificar que el código publicado (en Android, por el momento) se corresponde con las aplicaciones disponibles para su descarga. Además, Threema encarga regularmente a expertos externos la realización de auditorías de seguridad exhaustivas. En cambio, WhatsApp no es de código abierto y no se han publicado auditorías de seguridad independientes. Es decir, no hay forma de verificar las afirmaciones de la empresa sobre la seguridad y la protección de la privacidad.
Los metadatos son todos los datos que intervienen en la comunicación aparte del contenido real, por ejemplo, cualquier información disponible sobre el remitente y el destinatario, las propiedades del mensaje, además de la fecha y la hora y otras circunstancias de la transmisión. Facebook, propietario y operador de WhatsApp, se financia mediante la venta de anuncios dirigidos y, por tanto, tiene un interés económico en que los metadatos sean lo más reveladores posible. Al recopilar sistemáticamente los metadatos y combinarlos con los datos de otros servicios (por ejemplo, Instagram), se pueden crear perfiles de usuario detallados. Gracias a estos perfiles de usuario, los anuncios se pueden vender a precios elevados porque se pueden dirigir a grupos demográficos concretos.
Threema se basa en un modelo de negocio transparente que es compatible con el credo «Privacy by Design». El servicio se financia con la venta de la aplicación, es decir, los usuarios pagan por el servicio. El sistema se diseñó desde su origen teniendo en cuenta la seguridad y la reducción de los metadatos. Solo se generan los datos necesarios para el funcionamiento del servicio y nunca se almacenan más tiempo del técnicamente necesario.
Resumen de las diferencias más importantes entre Threema y WhatsApp en términos de seguridad y privacidad de datos
Threema
El servicio se puede usar de forma anónima.
Aparte del destinatario previsto, nadie (ni siquiera el operador del servicio) puede leer los mensajes normales del chat.
No es posible eludir el cifrado de extremo a extremo con copias de los mensajes sin cifrar en el dispositivo, no hay huella digital ni función de estado en el lado del servidor y las URL recibidas no se abren automáticamente.
El proveedor del servicio opera y dirige todos los servidores y no hay servicios de nube o de alojamiento (como Amazon AWS o Google Cloud) involucrados.
Los mensajes se borran inmediata e irrevocablemente del servidor una vez que se entregan al destinatario.
Los datos de los usuarios no se utilizan para publicidad dirigida ni para otros fines de marketing.
No es necesario conceder acceso a la libreta de direcciones para utilizar el servicio (sin rodeos ni limitaciones).
Las listas de contactos, los grupos y los perfiles de usuario se gestionan directamente en los dispositivos de los usuarios, no en un servidor central.
La identidad de los contactos se puede verificar a través de otro canal, por ejemplo, escaneando un código QR, y esta verificación es permanente.
El servicio cumple con el Reglamento General de Protección de Datos (RGPD) europeo.
El código fuente de la aplicación es de acceso público y se pueden utilizar compilaciones reproducibles para verificar que efectivamente se corresponde con la aplicación disponible para descarga.
¿Cuándo se realizó la última auditoría sobre seguridad por parte de expertos externos?
Nadie da nada gratis. Si no paga dinero por un servicio, paga con sus datos.
