¿Cuáles son las apps de mensajería mas seguras?
Noticias relacionadas
- Cuando veas porno vigila la puerta... y la privacidad: Google y Facebook saben lo que ves
- Los datos de casi todos los ciudadanos de Bulgaria han sido robados
- En Japón ya tienen "consignas para redes sociales", que te bloquean la cuenta el tiempo que quieras desconectar
- Por primera vez, un servicio de música online promete la calidad de sonido de los máster
En el mercado hay disponibles decenas de aplicaciones de mensajería, cada una prometiendo mas privacidad que la otra. Esta es una moda nacida hace año y medio, a la que ya se han sumado hasta los gigantes de la industria, aquellos que hasta no hace tanto no les importaba demasiado qué pasaba con nuestros datos; por el camino también se han sumado startups construidas en base a la palabra “privacidad” que esperan ganar usuarios con alguna función llamativa. Pero, ¿realmente suponen una diferencia para nuestra privacidad? Esto depende de muchos aspectos, no solo que nuestras comunicaciones estén “cifradas”; esa funcionalidad debería ser básica para todas las aplicaciones, pero por si sola no hace gran cosa.
La EFF está de acuerdo, y ante tanto ruido provocado por una app tras otra que promete privacidad, ha decidido recopilar datos brutos sobre la manera en la que cada alternativa protege nuestros datos y conversaciones. El resultado es una página web en la que se muestran todos los programas de mensajería del mercado y se dividen los diferentes métodos de privacidad en diferentes apartados. Así de un vistazo podemos saber si la app da la talla o si por contra deberíamos huir de ella. Estos son los apartados:
Comunicación cifrada
Evidentemente el primer requisito necesario para considerar una app “segura” es que las comunicaciones estén cifradas una vez que salgan del dispositivo del usuario. Esto dificulta los ataques Man-in-the-middle, en los que un atacante captura nuestras comunicaciones y obtiene todo lo que transmitimos por la red; si el contenido está cifrado el atacante solo verá una ristra de caracteres sin sentido y se verá obligado a intentar “crackearlo”, un proceso muy costoso y largo dependiendo de la fortaleza del cifrado. Normalmente este es el punto en el que la mayoría de hackers abandona ya que no merece la pena la inversión, y solo continuarán si están seguros de lo que pueden conseguir.
Sorprendentemente, aún hay apps en el mercado que no cifran sus conexiones, pero estas son pocas y desconocidas como QQ (centrada en la traducción) y Mxit.
Comunicación cifrada para el creador de la app
Cuando hablamos con un amigo a través de una app de mensajería en realidad la comunicación no es directa, sino que suele pasar antes por los servidores del creador de la app, que se encargan de redirigir el mensaje al dispositivo adecuado. En algunos casos estos servidores descifran el mensaje, y la vuelven a cifrar al mandárselo al otro usuario; hay muchos motivos por los que quieran hacer eso, como por ejemplo para analizar los mensajes para ofrecer servicios añadidos (como traducción o publicidad relacionada), o simplemente para que podamos acceder a nuestros mensajes antiguos.
El problema es que nuestros mensajes acaban descifrados en un servidor externo, y hackers, agentes de la ley, o los propios empleados de la empresa pueden leerlos. Hay muchas apps que prometen el cifrado de los mensajes pero que en realidad los descifran en sus servidores. Entre ellas están Whatsapp, Snapchat, o Blackberry Messenger, tres de las apps mas usadas del sector.
Verificación de contactos
De nada sirve que nuestros mensajes estén cifrados si la persona que los lee no es la que queremos. Lo ideal sería que la app contase con algún método para verificar que realmente los interlocutores de una conversación son quienes dicen ser, incluso si el servicio se cae o los servidores son atacados. Esto también sirve para garantizar la seguridad de una conversación. Hay muchos métodos para conseguir esto, el mas simple de todos que podamos ver la clave pública usada y compararla con la que tenemos guardada manualmente.
Aquí es donde apps muy famosas como Google Hangouts, Skype, Facebook Chat o iMessage fallan estrepitosamente, ya que siempre suponen que no hay problemas en la conexión o el servicio y abren la puerta a que atacantes se hagan pasar por alguno de nuestros contactos. No es algo que pase todos los días, y no es fácil ejecutar este ataque, por supuesto, pero eso no quita que sea importante en algunas situaciones.
Mensajes guardados seguros
En el caso de que nos roben la clave de cifrado un atacante podría tener acceso a nuestras conversaciones; para los mensajes futuros no sería un problema porque solo tenemos que generar una nueva clave, el problema está en los mensajes pasados guardados en los servidores de la compañía. Por lo tanto la mejor práctica es que los mensajes guardados estén cifrados con claves con fecha de caducidad, que sean borradas cada cierto tiempo. De esta forma solo quedarían los mensajes guardados en nuestro dispositivo.
Aún hay algunas apps famosas que no siguen esta política, como Secret, Facebook Chat Hangouts le acompañan.
Código abierto para análisis independientes
Lo bueno que tiene el código libre es que cualquiera puede mirar las entrañas de los programas y encontrar vulnerabilidades. Por muy segura que sea una app, tarde o temprano sufrirá un bug de seguridad grave, así que lo mejor que pueden hacer las compañías es prepararse para ello e intentar cazarlos lo antes posible. Y cuantos mas ojos miren el código, mas rápidamente se encontrará. No es necesario publicar todo el código ni usar una licencia libre (aunque es lo deseable), sino que solo estén disponibles las partes de comunicación y cifrado para auditorías externas y revisiones.
Sin embargo liberar el código es una decisión que también reporta sus problemas y que muchas empresas no están dispuestas a tomar para no hacer públicos sus secretos a los competidores. Facetime, Hushmail, Hangouts, y muchos mas han tomado esa decisión. En cambio proyectos como Telegram o Cryptocat son mas abiertos con su comunidad de usuarios.
Documentación
La transparencia no solo es importante en lo que respecta al código, sino también al funcionamiento general del servicio y a las políticas de la empresa. Es importante que los usuarios sepan con todo lujo de detalles qué se hace con sus datos, por dónde pasan sus conversaciones y qué medidas se han implementado para evitar su filtración. Es mejor aún cuando toda esa información está disponible para que expertos criptógrafos puedan comparar, aprender y sugerir cambios.
Pero lo mas importante es dejar las cosas claras al usuario con algún tipo de declaración de intenciones, qué es lo que pretende la app y qué amenazas concretas evita. De nuevo los programas comerciales mas famosos como Hangouts, Whatsapp o Snapchat evitan meterse en ese tipo de compromisos con su comunidad: por eso llama la atención que tanto iMessage como Facetime si que se tomen en serio este apartado.
Auditoría de código
Todo el mundo sabe que un creador no puede ser objetivo con su obra, y de la misma manera en el desarrollo de software a veces es necesario que alguien repase lo que estás haciendo para asegurarte de que todo va bien. Este tipo de auditorías son especialmente importantes en términos de seguridad, y un buen desarrollador permitirá una cada cierto tiempo; sin embargo en la vida real las compañías mas grandes prefieren hacer este tipo de auditorías con un equipo interno, lo que pone en peligro su análisis y abre la puerta a presiones.
Lo mejor es que sea un equipo independiente el que haga la auditoría, pero de nuevo apps como Skype no han recibido ninguna en los últimos doce meses, y en el caso de otras como Snapchat se han realizado de manera interna. Telegram también está en la lista, pero en este caso es comprensible ya que es de código libre y por lo tanto ya recibe las miradas de cientos de expertos.
Las apps mas seguras
Finalmente, con todos estos datos recopilados por la EFF podemos llegar a ciertas conclusiones, como por ejemplo que hay apps hablan mucho de privacidad pero no hacen gran cosa para mejorarla, como Secret. Por el lado positivo, solo dos servicios han fallado en todos los apartados, QQ y Mxit, por lo que como mínimo podemos decir que la mayoría de las apps cifran sus comunicaciones. Sin embargo, eso no es suficiente en estos tiempos y hay muchos malos ejemplos de servicios que hacen lo mínimo posible, como Blackberry Messenger o Snapchat. También hay apps que cumplen con honores con todos los apartados pero que un fallo tonto echa a perder los esfuerzos, como iMessage que es muy competente en todos los apartados pero no permite la verificación de los contactos.
¿Y cuáles son las apps que cumplen con todos los apartados? No son muchas, pero son todas recomendables, al menos para probarlas:
- Cryptocat para Chrome, Firefox, Safari, Opera, Mac OS X y iOS.
- Signal para iOS.
- Redphone para Android.
- TextSecure para Android.
- Silent Text para iOS y Android, además de Blackphone, su teléfono móvil.
- Chatsecure para iOS y para Android.