El 62 % de los usuarios no cree que los servicios de mensajería sean seguros, el 61 % no confía en los servicios VoIP y el 60 % no se siente protegido al hablar por un vídeo chat. Además, el 37 % de los participantes prefieren usar la mensajería online, el 25 % utiliza las herramientas de mensajería de las redes sociales y el 15 % utiliza los servicios VoIP de forma frecuente.
Son datos del último estudio sobre Digital Lives (EN) que B2B International realizaba para Kaspersky, y en el que intentaban fijar los riesgos a los que los usuarios de este tipo de tecnologías acaban estando expuestos.
La idea, al menos en esencia, es sencilla. Los servicios de mensajería instantánea y videoconferencia que más se usan, son además, y salvando honrosas excepciones, los menos seguros y menos privados.
Prácticamente ningún servicio generalista se salva de la quema a la que la EFF exponía en otro estudio, navegable vía web (EN), y que pretendo explicar al detalle en esta pieza.
Aunque el informe date de Noviembre del 2014, está siendo continuamente actualizado, como se puede comprobar en el changelog (EN), con última fecha Noviembre del 2015.
Índice de contenido
- Los 7 pilares de la seguridad de las comunicaciones digitales
- Nivel 0: Mxit y QQ
- Nivel 1: Yahoo!, Skype, Blackberry y AIM
- Nivel 2: Snapchat, Hangouts, Facebook Messenger, WhatsApp, Viber
- Nivel 3: Virtru
- Nivel 4: Telegram, iPGMail
- Nivel 5: PGP (Windows y OS X), iMessage, FaceTime, BlackBerry Protected
- Nivel 6: Jitsy, Mailvelope, Adium, RetroShare y Subrosa
- Nivel 7: ChatSecure, CryptoCat, Chats privados de Telegram y las apps de WhisperSystems
Los 7 pilares de la seguridad de las comunicaciones digitales
La EFF otorga una puntuación entre 0 y 7 a cada servicio de comunicación, dependiendo del número de “Síes” que este servicio obtiene como respuesta a estas siete preguntas:
- ¿Están codificados los datos en tránsito?
- ¿Están codificados los datos de manera que ni el proveedor del servicio pueda leerlos?
- ¿Se puede identificar la verdadera identidad de los contactos?
- ¿Cumple el proveedor con lo que se conoce como la confidencialidad directa perfecta (perfect forward secrecy), esto es, que las claves de cifrado son efímeras y, por lo tanto, una clave robada no podría descifrar comunicaciones existentes?
- ¿Está el código de la aplicación abierto y disponible para el análisis público?
- ¿Se documentan los procedimientos y procesos de implementación de cifrado?
- ¿Ha tenido alguna auditoría de seguridad independiente en los últimos 12 meses?
De esta manera, se establecen niveles de seguridad y privacidad, siendo el más bajo el nivel 0 (aplicaciones que no cumplen ninguna de estas secciones) y el más alto el nivel 7, con aquellas que cumplen absolutamente todas.
Nivel 0: Mxit y QQ
Al menos en occidente no son tan habituales, lo que de paso es afortunado. De los servicios analizados, estas dos herramientas no cumplen absolutamente ninguno, lo que quiere decir que los datos viajan sin cifrar, que los servidores guardan también la información en bruto, y en definitiva, que son de lo más inseguro que ofrece el mundo de las comunicaciones digitales.
Nivel 1: Yahoo!, Skype, Blackberry y AIM
Estas cuatro herramientas solo cumplen uno de los siete must del EFF.
A saber, las cuatro cifran los datos en tránsito, pero almacenan en sus servidores las conversaciones sin cifrar, y de paso, sus claves de cifrado son permanentes en el tiempo.
Nivel 2: Snapchat, Hangouts, Facebook Messenger, WhatsApp, Viber
El nivel dos está copado de herramientas muy, muy populares en la actualidad.
Pese a esa supuesta efimeridad de Snapchat (que en su día expliqué al detalle), el servicio únicamente recibió dos puntos. Uno por cifrar en tránsito, y otro por haber tenido una auditoría de seguridad en el último año.
Hangouts y Facebook Messenger obtienen dos puntos por los mismos motivos, y es sabido que las conversaciones por estos hilos son utilizadas por las compañías que tienen detrás (Google y Facebook) para alimentar su maquinaria de inteligencia artificial y publicitaria. No hay privacidad en Google y Facebook. Al menos no de cara a la máquina.
Viber, aquel intento de los fabricantes por conquistar el mercado de la comunicación digital, está en esta misma línea.
El caso de WhatsApp es paradójico. Por un lado, la herramienta fue hace tiempo comprada por Facebook, que aunque a priori aseguró que el modelo de negocio seguiría siendo el mismo, recientemente ha dado su brazo a torcer y apunta a seguir los pasos de Facebook Messenger (ES). Por otro lado, WhisperSystems, la compañía detrás de algunos de los sistemas de comunicación más seguros, parece que estaban trabajando para compatibilizar el desarrollo de WhatsApp con el protocolo Open Whisper Systems (EN). Sinceramente, no sé en qué ha quedado el asunto, aunque espero que la iniciativa siga en pie y pronto pueda decir con la boca llena que WhatsApp es seguro y privado.
Porque hoy en día, sigue sin serlo.
Nivel 3: Virtru
El nivel 3 corresponde a Virtru (EN), una herramienta que asegura un email cifrado y seguro (que no privado), y que además de los dos puntos anteriores, cuenta con una documentación lo suficientemente extensa como para ganarse el tercero.
Nivel 4: Telegram, iPGMail
iPGMail (EN), la app de iOS para envío de mails mediante protocolo PGP, entraría dentro de este nivel.
El caso de Telegram merece mención aparte. Como explican en el changelog, han decidido degradar el nivel del servicio un punto ya que en verdad opera de dos maneras distintas, dependiendo del tipo de chat que hayamos creado.
Los mensajes enviados en las salas convencionales no cuentan con un cifrado de punto a punto (el proveedor podría leerlos). Por contra, los mensajes enviados en las salas privadas sí, lo que hace que según usemos la herramienta, esta pueda considerarse de nivel 4 o de nivel 7.
El que sea open source hace que gane uno respecto al nivel anterior.
Nivel 5: PGP (Windows y OS X), iMessage, FaceTime, BlackBerry Protected
Tanto las herramientas de OS X como las de Windows de PGP han recibido cinco puntos, siendo el quinto la capacidad de identificar quien envía realmente un mensaje.
Además, tenemos en este grupo las dos herramientas de comunicación de Apple. Tanto FaceTime como iMessage anteponen la privacidad y la seguridad en sus servicios de comunicación, echando únicamente en falta la capacidad de identificar la autoría de un mensaje y el que ninguno de los dos sean proyectos abiertos al escrutinio de terceros.
Para terminar, el servicio de comunicación corporativo de BlackBerry ofrece este mismo nivel, a diferencia de Apple en que en este caso sí se puede identificar la autoría pero no cuenta con cifrados efímeros.
A partir de ahora, las herramientas son generalmente desconocidas para el grueso de la sociedad.
Jitsi (EN) es una aplicación de videoconferencia, VoIP y mensajería instantánea de código abierto, compatible con un gran parte de los servicios de mensajería más populares. Falla curiosamente en la falta de una auditoría externa (lo más sencillo, a priori, de pasar…).
Mailvelope (EN) es una extensión del navegador para enviar emails codificados bajo la codificación estándar de OpenPGP. Le falta una clave de cifrado efímera.
Adium (EN), el servicio de mensajería para Mac con protocolo OTR y la versión Pidgin para Windows, están en este mismo nivel. Sin auditoría este último año (ni el anterior, por cierto).
RetroShare (EN) es un servicio de código abierto, multiplataforma, y descentralizado. Y tampoco ha pasado una auditoría recientemente.
Subrosa (EN) es otra plataforma de comunicación codificada de extremo a extremo, a la que le falta, al igual que en el caso de Mailvelope, un cifrado efímero.
Nivel 7: ChatSecure, CryptoCat, Chats privados de Telegram y las apps de WhisperSystems
Que cumplan todos los requisitos solo hay unas pocas.
Chatsecure (EN) es una aplicación gratuita de chat de código abierto para iPhone y Android. Cumple todos los elementos siempre que use como plugin Orbot, que utiliza Tor para las comunicaciones.
CryptoCat (el proyecto ya ha sido cancelado, tienes por aquí otras alternativas (EN)) es un servicio de mensajería codificado y de código abierto, disponible tanto para los navegadores de Chrome, Firefox, Safari y Opera, como para el sistema operativo de Mac OS X y de iPhone. Parece que siguen trabajando en la versión para Android.
Signal, RedPhone y Textsecure, de WhisperSystems (EN), son tres plataformas para el envío gratuito de mensajes seguros tanto para iOS, como para el envío de mensajes y realización de llamadas seguras para Android.
Como puede ver, aún hay margen de mejora. La mayoría de servicios de mensajería privados y seguros apenas son conocidos por los usuarios. Y los hay gratuitos, por lo que no podemos poner de excusa el precio que cuesta contratarlos.
A sabiendas que muy pocos usuarios se preocupan por estos temas, habrá que poner toda la carne en el asador en la espera de que quizás ese posible acuerdo entre WhisperSystems y Facebook (actual dueño de WhatsApp y Facebook Messenger) acabe cuajando.
Y que al menos este artículo le pueda servir a un periodista o a cualquier tipo de profesional para conocer de primera mano alternativas que quizás le ayuden a la hora de realizar comunicaciones que de verdad necesita que sean tanto privadas como seguras.
Solo por eso, habrá merecido la pena el trabajo :).
________
Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.
Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
Excelente análisis Pablo. Más razones para estar lejos del WhatsApp. Y buenas razones para seguir confiando en Telegram. Por aquí se habla de otras como Soma, relativamente nueva que se supone ser muy segura. Otra aplicación interesante para enviar mensajes seguros que se auto destruyen es Qlink.it. Pero lo que se puede concluir es una cosa dicen los desarrolladores y otra cosa es la realidad de cada aplicación.
Eso suele pasar jajaja.
Yo tengo todavía esperanza (fíjate lo iluso que soy) en que WhatsApp siga en negociaciones con WhisperSystems. De hecho, si al final quieren apuntar al mercado corporativo, como parecen estar interesados en hacer, no les va a quedar más remedio.
En caso contrario, dime qué empresa va a apostar por WhatsApp como modelo de comunicación, a sabiendas que tiene detrás a Facebook.
En fin, que sin duda de los servicios masivos Telegram es hoy en día la mejor alternativa. Y me da que va a seguir siéndolo por mucho tiempo…
¿Que qué empresa va a apostar por Whatsapp? ¿Es España dices? ¿El país de los mandamases catetos? Ya te respondo yo: el 99.9% de ellas. Es más, yo tengo conocidos de la Guardia Civil y Policía Nacional y ¿qué te crees que usan para comunicarse entre ellos (y no te quepa duda de que se comunican \”cualquier cosa\”, no oficialmente, claro)? Y si sales de España el porcentaje no es tan alto, pero sigue pasando del 50% seguro.
La seguridad está reñida con la practicidad, y los usuarios van a lo más fácil y sencillo… siempre.
Pues también es verdad… Aunque quiero pensar que el departamento que lleve la parte técnica tenga al menos más luces en esto de la tecnología que el resto. Eso sí, al final seguramente quien decida sea gente que no tiene ni idea, desoyendo lo que digan los técnicos, y ahí estará el problema…
A mi me sigue preocupando la instrumentación de redes sociales como canales de atención de atención al cliente por parte de toda clase de entidades que acceden a perfiles privados y tramitan aspectos contractuales y consultas de los clientes. Hasta que punto esto ofrece unas mínimas garantías de seguridad y privacidad al usuario.
Cada vez son mas las compañías que utilizan a WhatsApp, faceboock o twitter como canales de comunicación alternativos. Hace tiempo ya escribí sobre las limitaciones que ofrecen algunas de estas plataformas en sus propios términos para las comunicaciones comerciales y las limitaciones de uso solo para particulares, y en ningún caso empresas, como es el caso de WhatsApp, pero no obstante, siguen proliferando estos usos ¿que opinas tu del uso empresarial Pablo?
Pues exactamente lo mismo. Hay que considerar que son productos creados para el consumo generalista, no enfocados en el mundo corporativo.
El problema es que por primera vez en el mundo digital se han estandarizado como canales de comunicación, y de ahí que las empresas, por comodidad, aceptan pasar por el aro.
La alternativa es forzar al cliente a utilizar otros canales que requieren un compromiso inicial más alto para estos, y eso ya sabes que en negocios suele ser sinónimo de fracaso.
Entiendo (o quiero pensar…) que esa futura versión corporativa de WhatsApp tenga un contrato distinto. Porque como bien señala Manuel, puede que a un porcentaje significativo de las compañías estos temas les den igual. Pero habrá otras en las que, bien sea por ser conscientes de la debilidad técnica del servicio, bien sea por el propio riesgo legal (es decir, económico) asociado al uso de tecnologías que no protegen los derechos de sus clientes… a su nombre, no apuesten por ellas masivamente, y fuercen a Facebook a tomar medidas específicas.
Es dpto que lleva la parte técnica suele funcionar de la misma forma en todas las empresas con jefes mal formados: detecta una deficiencia, la comunica, el jefe pasa de ella (es muy engorrosos solucionar el problema, para qué voy a hacer dos clics si puedo hacer uno solo), un día pasa algo grave, el jefe pregunta cómo ha podido pasar eso, el técnico explica que eso ya se avisó, dependiendo del problema (pérdida de datos, robo, espionaje…) el técnico tendrá el doble o más de trabajo a realizar en la mitad de tiempo o menos para implementar lo que en su día propusiera mientras el jefe se cabrea (y si no ha hundido la empresa mejor que mejor) porque va a cobrar menos bonus. El técnico puede incluso perder su trabajo si necesitan a un cabeza de turco y no ha sido suficientemente espabilado para comunicar todo por escrito y tener pruebas, nunca se sabe.
Y así, señores, es como se implantan las medidas de seguridad en nuestro país.
No te voy a debatir lo obvio. Lamentablemente siempre vamos a encontrar situaciones semejantes.
Igualmente, y como bien señala Marina, el aspecto legal también es una fuerza a considerar dentro de una empresa. Que cuando por una decisión semejante, te juegas una futura multa por mala praxis en materia de privacidad del cliente, ojito.
Al menos son ya dos departamentos que deberían poner peros a iniciativas de este tipo.
Esta semana, si puedo, tengo pensado escribir un artículo al respecto de este tema. No solo enfocado a WhatsApp, sino en general a toda esta nueva generación de tecnológicas basadas en estandarizar la experiencia de consumo, con los riesgos asociados, entre los que están estos que comentáis.
Solo dejare esto por aca y me ire tranquilo sin hacer ruido…. “¿privacidad en whatsapp?” solo si no se cometen errores xD
“El portavoz de Gobierno, Heinz Heimann, dejó en evidencia que la administración de Jimmy Morales sí recibió medicamentos vencidos de donantes, al confirmar de forma involuntaria esa información, por error, en un grupo de Whatsapp de periodistas” (ES)
A ver si vamos a tener que agradecer a Facebook esta política insegura… :D.
Buen aporte dbillyx.
Lo que se me ha faltado por agregarle a mi comentario es…… No importa el nivel o tipo de seguridad que se le de y ofrezca tanto a un programa o algoritmo, pero mientras el usuario (sea el eterno fallo) no lo use bien, terminara haciendo las cosas mal y el programa no tendra la culpa.
Y si, lo he mencionado antes aca o en otros blogs, aunque whatsapp tenga por el momento cierta “popularidad” al referirse a seguridad con relacion al suceso en Brasil, siempre tendra esa espina clavada llamada “facebook”.
Pablo!!!! vas a flipar, esto que me pasa es un poco dinámica corre ve y dile, pero es que tenía que venir corriendo a contarte. Resulta que a propósito de WhatsApp y el debate que tuvimos aquí, veo ojiplática que la Agencia de Protección de Datos en su propia home, (corre a mirar) a puesto a disposición de adolescentes, padres y profes, un servicio de contacto vía WhatsApp, si, como lo oyes, se trata de un programa de guías para prevenir conductas delictivas en internet, y la herramienta para informarse es nada menos que WhatsApp ¿como te quedas?
¿Y te sorprende Marina? Con gobiernos de medio mundo queriendo imponer Facebook At Work como modelo de comunicación… Lo decían muy acertadamente en comentarios. Una cosa es que aquellos que están enterados tengan potestad de hacer llegar este tipo de situaciones a los de arriba, y otra es que los de arriba hagan caso.
WhatsApp, en España, es el servicio por defecto de mensajería instantánea. Lo que es Facebook Messenger para los estadounidenses. Y luchar por apuestas más adecuadas, como Telegram, pese a que en todos los sentidos es sencilla y llanamente mejor (no solo en seguridad y privacidad, sino en usabilidad y en funcionalidades), es perder la batalla de antemano.
La APD simplemente ha habilitado un canal que es el que usa todo el mundo para comunicarse, pese a que seguramente son conscientes de lo poco seguro y privado que es este canal. Pero la alternativa hará que todavía menos usuarios lo usen, lamentablemente…
Con su permiso, dire algo que se me hace familiar con respecto a lo comentario en estos comentarios…
Lo veo casi a lo mismo que pasa con los sistemas linux, cuando se dice que “Nadie lo usa” y con windows que “Todo el mundo lo usa”… cuando microsoft con ciertos arreglos (monopolio) facilita a algunos gobiernos o escuelas puedan obtener en con precio reducido y en todo caso hasta gratis algun lote de equipo de computo… ah! pero como condicion y obvia, que tenga windows predeterminado… y de ahi que todos lo usan… lo veo igual con whatsapp, dado que las empresas le dan importancia por que escuchan que todos lo usan, que ellos mismos generan aumento a esa frase “Todo el mundo lo usa”.
P.D. Discrepo sobre el que todo el mundo lo usa al referirnos a las redes sociales o servicios de mensajeria, cuando facebook y whatsapp son mas usados en un solo continente (America) y bien como decian los dos son los predilectos en estadosunidos.
Hombre, todo el mundo todo el mundo está claro que no. Hablamos de los países desarrollados, y cada uno con sus diferencias. Como te comentaba, por ejemplo, en EEUU Messenger se usa más que WhatsApp. El caso de España es curioso, ya que hay muchísima gente utilizando WhatsApp respecto a otras alternativas, hasta el punto de prácticamente no haber competencia en este mercado.
No sera que por el asunto de Brasil y whatsapp, este ultimo gano popularidad al demostrar que su endtoend si era fiel a la privacidad que buscan algunos, dado que la empresa en sus servidores no guardaba nada… y eso le gusto a la Agencia de Protección de Datos que mencionaron en el comentario.
Claro que me sorprende, de hecho me parece el colmo, estamos hablando del organismo encargado de regular, vigilar y sancionar en nivel de cumplimiento con los estándares de protección y de promover una cultura de respeto por la privacidad y confidencialidad de los datos personales y proponen nada menos que Whats App como canal de comunicación para adolescentes, padres y profes que quieran evitar conductas delictivas en Internet….contado así parece un chiste, gran parte de las conductas de delictivas y el cyberacoso se produce por WhatsApp, debería ser la propia agencia la que proponga canales mas seguros de comunicación y marque el camino a otros.
Yo me paso el día desaconsejando a mis clientes que descarten esa aplicación como canal de atención al cliente y comercialización y ahora va la propia agpd y lo utiliza, imagina como me quedo y como le explico a mis clientes que no deben utilizarlo si quieren cumplir la LOPD.
En fin….
Que Marina, míralo del lado bueno. Te queda mucho negocio que explotar :). Ya verás cuando empiecen a venir los problemas… :).
Mira Pablo, lo mismo ya lo sabes, pero no por eso deja ser inquietante:
WhatsApp permitirá compartir tus datos personales con Facebook (ES).
Créeme que ando al loro. Escribí sobre ello (ES) cuando saltó la noticia.
En este tema está la posición predominante de mercado de Facebook para negociar y llegar a acuerdos con las operadoras donde estas favorecen la aplicación WhatsApp. En mi país se venden diversos planes para teléfonos móviles que incluyen WhatsApp gratis, sin límite de mensajes o datos. Así es muy difícil que otra aplicación pueda competir en igualdad de condiciones. Y al usuario común poco o nada le interesa que le hablen de seguridad. Y así, en sectores empresariales o institucionales terminan usando la aplicación aunque unos raritos, los especialistas, les digan que no es adecuado. Terminan pensando \”…y a quien le importa si todo mundo la utiliza…\”. Un saludo.
Ains, y lo que nos queda… Leía hace un rato que por Reino Unido, Three (una telco del país) estaba ofreciendo un servicio anti-publicidad por defecto a sus usuarios.
Es decir, un servicio que segmenta el ancho de banda y elimina aquella que viene de publicidad. Una ruptura de la neutralidad de la red, que se “vende” como beneficioso para el usuario, cuando es justo lo contrario.
Porque hoy son los banners molestos que nos ponen en las páginas, y mañana quizás sea Netflix, o ese foro que tanto visitas, o Facebook,…