Estado del arte en materia de seguridad en mensajería instantánea

instant messaging apps

El 62 % de los usuarios no cree que los servicios de mensajería sean seguros, el 61 % no confía en los servicios VoIP y el 60 % no se siente protegido al hablar por un vídeo chat. Además, el 37 % de los participantes prefieren usar la mensajería online, el 25 % utiliza las herramientas de mensajería de las redes sociales y el 15 % utiliza los servicios VoIP de forma frecuente.

Son datos del último estudio sobre Digital Lives (EN) que B2B International realizaba para Kaspersky, y en el que intentaban fijar los riesgos a los que los usuarios de este tipo de tecnologías acaban estando expuestos.

La idea, al menos en esencia, es sencilla. Los servicios de mensajería instantánea y videoconferencia que más se usan, son además, y salvando honrosas excepciones, los menos seguros y menos privados.

Prácticamente ningún servicio generalista se salva de la quema a la que la EFF exponía en otro estudio, navegable vía web (EN), y que pretendo explicar al detalle en esta pieza.

Aunque el informe date de Noviembre del 2014, está siendo continuamente actualizado, como se puede comprobar en el changelog (EN), con última fecha Noviembre del 2015.

Los 7 pilares de la seguridad de las comunicaciones digitales

La EFF otorga una puntuación entre 0 y 7 a cada servicio de comunicación, dependiendo del número de “Síes” que este servicio obtiene como respuesta a estas siete preguntas:

  1. ¿Están codificados los datos en tránsito?
  2. ¿Están codificados los datos de manera que ni el proveedor del servicio pueda leerlos?
  3. ¿Se puede identificar la verdadera identidad de los contactos?
  4. ¿Cumple el proveedor con lo que se conoce como la confidencialidad directa perfecta (perfect forward secrecy), esto es, que las claves de cifrado son efímeras y, por lo tanto, una clave robada no podría descifrar comunicaciones existentes?
  5. ¿Está el código de la aplicación abierto y disponible para el análisis público?
  6. ¿Se documentan los procedimientos y procesos de implementación de cifrado?
  7. ¿Ha tenido alguna auditoría de seguridad independiente en los últimos 12 meses?

De esta manera, se establecen niveles de seguridad y privacidad, siendo el más bajo el nivel 0 (aplicaciones que no cumplen ninguna de estas secciones) y el más alto el nivel 7, con aquellas que cumplen absolutamente todas.

Nivel 0: Mxit y QQ

Al menos en occidente no son tan habituales, lo que de paso es afortunado. De los servicios analizados, estas dos herramientas no cumplen absolutamente ninguno, lo que quiere decir que los datos viajan sin cifrar, que los servidores guardan también la información en bruto, y en definitiva, que son de lo más inseguro que ofrece el mundo de las comunicaciones digitales.

Nivel 1: Yahoo!, Skype, Blackberry y AIM

Estas cuatro herramientas solo cumplen uno de los siete must del EFF.

A saber, las cuatro cifran los datos en tránsito, pero almacenan en sus servidores las conversaciones sin cifrar, y de paso, sus claves de cifrado son permanentes en el tiempo.

Nivel 2: Snapchat, Hangouts, Facebook Messenger, WhatsApp, Viber

El nivel dos está copado de herramientas muy, muy populares en la actualidad.

Pese a esa supuesta efimeridad de Snapchat (que en su día expliqué al detalle), el servicio únicamente recibió dos puntos. Uno por cifrar en tránsito, y otro por haber tenido una auditoría de seguridad en el último año.

Hangouts y Facebook Messenger obtienen dos puntos por los mismos motivos, y es sabido que las conversaciones por estos hilos son utilizadas por las compañías que tienen detrás (Google y Facebook) para alimentar su maquinaria de inteligencia artificial y publicitaria. No hay privacidad en Google y Facebook. Al menos no de cara a la máquina.

Viber, aquel intento de los fabricantes por conquistar el mercado de la comunicación digital, está en esta misma línea.

El caso de WhatsApp es paradógico. Por un lado, la herramienta fue hace tiempo comprada por Facebook, que aunque a priori aseguró que el modelo de negocio seguiría siendo el mismo, recientemente ha dado su brazo a torcer y apunta a seguir los pasos de Facebook Messenger (ES). Por otro lado, WhisperSystems, la compañía detrás de algunos de los sistemas de comunicación más seguros, parece que estaban trabajando para compatibilizar el desarrollo de WhatsApp con el protocolo Open Whisper Systems (EN). Sinceramente, no sé en qué ha quedado el asunto, aunque espero que la iniciativa siga en pie y pronto pueda decir con la boca llena que WhatsApp es seguro y privado.

Porque a día de hoy, sigue sin serlo.

Nivel 3: Virtru

El nivel 3 corresponde a Virtru (EN), una herramienta que asegura un email cifrado y seguro (que no privado), y que además de los dos puntos anteriores, cuenta con una documentación lo suficientemente extensa como para ganarse el tercero.

Nivel 4: Telegram, iPGMail

iPGMail (EN), la app de iOS para envío de mails mediante protocolo PGP, entraría dentro de este nivel.

El caso de Telegram merece mención aparte. Como explican en el changelog, han decidido degradar el nivel del servicio un punto ya que en verdad opera de dos maneras distintas, dependiendo del tipo de chat que hayamos creado.

Los mensajes enviados en las salas convencionales no cuentan con un cifrado de punto a punto (el proveedor podría leerlos). Por contra, los mensajes enviados en las salas privadas sí, lo que hace que según usemos la herramienta, esta pueda considerarse de nivel 4 o de nivel 7.

El que sea open source hace que gane uno respecto al nivel anterior.

Nivel 5: PGP (Windows y OS X), iMessage, FaceTime, BlackBerry Protected

Tanto las herramientas de OS X como las de Windows de PGP han recibido cinco puntos, siendo el quinto la capacidad de identificar quien envía realmente un mensaje.

Además, tenemos en este grupo las dos herramientas de comunicación de Apple. Tanto FaceTime como iMessage anteponen la privacidad y la seguridad en sus servicios de comunicación, echando únicamente en falta la capacidad de identificar la autoría de un mensaje y el que ninguno de los dos sean proyectos abiertos al escrutinio de terceros.

Para terminar, el servicio de comunicación corporativo de BlackBerry ofrece este mismo nivel, a diferencia de Apple en que en este caso sí se puede identificar la autoría pero no cuenta con cifrados efímeros.

Nivel 6: Jitsy, Mailvelope, Adium, RetroShare y Subrosa

A partir de ahora, las herramientas son generalmente desconocidas para el grueso de la sociedad.

Jitsi (EN) es una  aplicación de videoconferencia, VoIP y mensajería instantánea de código abierto, compatible con un gran parte de los servicios de mensajería más populares. Falla curiosamente en la falta de una auditoría externa (lo más sencillo, a priori, de pasar…).

Mailvelope (EN) es una extensión del navegador para enviar emails codificados bajo la codificación estándar de OpenPGP. Le falta una clave de cifrado efímera.

Adium (EN), el servicio de mensajería para Mac con protocolo OTR y la versión Pidgin para Windows, están en este mismo nivel. Sin auditoría este último año (ni el anterior, por cierto).

RetroShare (EN) es un servicio de código abierto, multiplataforma, y descentralizado. Y tampoco ha pasado una auditoría recientemente.

Subrosa (EN) es otra plataforma de comunicación codificada de extremo a extremo, a la que le falta, al igual que en el caso de Mailvelope, un cifrado efímero.

Nivel 7: ChatSecure, CryptoCat, Chats privados de Telegram y las apps de WhisperSystems

Que cumplan todos los requisitos solo hay unas pocas.

Chatsecure (EN) es una aplicación gratuita de chat de código abierto para iPhone y Android. Cumple todos los elementos siempre que use como plugin Orbot, que utiliza Tor para las comunicaciones.

CryptoCat (EN) es un servicio de mensajería codificado y de código abierto, disponible tanto para los navegadores de Chrome, Firefox, Safari y Opera, como para el sistema operativo de Mac OS X y de iPhone. Parece que siguen trabajando en la versión para Android.

Signal, RedPhone y Textsecure, de WhisperSystems (EN), son tres plataformas para el envío gratuito de mensajes seguros tanto para iOS, como para el envío de mensajes y realización de llamadas seguras para Android.

Como puede ver, aún hay margen de mejora. La mayoría de servicios de mensajería privados y seguros apenas son conocidos por los usuarios. Y los hay gratuitos, por lo que no podemos poner de excusa el precio que cuesta contratarlos.

A sabiendas que muy pocos usuarios se preocupan por estos temas, habrá que poner toda la carne en el asador en la espera de que quizás ese posible acuerdo entre WhisperSystems y Facebook (actual dueño de WhatsApp y Facebook Messenger) acabe cuajando.

Y que al menos este artículo le pueda servir a un periodista o a cualquier tipo de profesional para conocer de primera mano alternativas que quizás le ayuden a la hora de realizar comunicaciones que de verdad necesita que sean tanto privadas como seguras.

Solo por eso, habrá merecido la pena el trabajo :).

 

________

Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias