Los 11 Servicios de Mensajería Más Inseguros de Internet

La semana pasada echamos un vistazo al proyecto “Secure Messaging Scorecard” de la Fundación Electronic Frontier (EFF, por sus siglas en inglés) e hicimos una lista de nueve aplicaciones de mensajería

La semana pasada echamos un vistazo al proyecto “Secure Messaging Scorecard” de la Fundación Electronic Frontier (EFF, por sus siglas en inglés) e hicimos una lista de nueve aplicaciones de mensajería instantánea que  obtuvieron un buen ranking en cuanto a privacidad y seguridad. En esta ocasión vamos a hacer lo mismo, pero con las que sacaron una mala puntuación.

11-Insecure-Mobile-and-Internet-Messaging-Apps

Si la lista de servicios de mensajería posteada la semana pasada que priorizan la seguridad y la privacidad te parecieron extrañas, entonces la de esta semana –que hacen exactamente lo contrario- te parecerá (desafortunadamente) familiar. Es por ello que pondremos la lupa en las que son más populares, aunque también vamos a tomar en cuenta las que obtuvieron la menor puntuación.

Contexto

La EFF emitió diversas calificaciones para cada servicio de mensajería, en siete categorías. Kaspersky Daily dio un “cero”, así como uno o dos “sí”, a aquellas apps que tuvieron una mala calificación, de acuerdo a las siguientes categorías:

  1. ¿Los datos encriptados están en tránsito?
  2. ¿ El proveedor de servicios no puede leer los datos encriptados?
  3. ¿Puedes identificar la verdadera identidad de los contactos?
  4. ¿El proveedor del servicio ejecuta lo que se conoce como perfect forward secrecy, haciendo que una clave hurtada no descifre las comunicaciones existentes?
  5. ¿Está el servicio de código de fuente abierto disponible para revisión pública?
  6. ¿Los procedimientos de implementación criptográfica y los procesos debidamente documentados?
  7. ¿Se ha ejecutado alguna auditoría se seguridad independiente en los últimos 12 meses?

En conjunto, estos siete puntos están diseñados para medir cuáles servicios ofrecen la mejor protección contra la vigilancia gubernamental, el espionaje penal y la recopilación corporativa de datos. Dicho esto, ni la EFF ni Kaspersky Daily respaldan de forma oficial ninguno de los siguientes programas. La lista se limita a indicar qué aplicaciones no siguen de manera consistentes las mejores prácticas.

Cero estrellas: el peor

Sólo MXit y QQ mobile messengers obtuvieron cero estrellas. De hecho, es muy posible que nunca los hayas usado ¡Y si lo piensas hacer, no lo hagas! estas aplicaciones no son nada seguras.

Una estrella: todavía sigue siendo malo

Por desgracia, existen cuatro servicios de mensajería que recibieron sólo una de las siete estrellas y que casi todos solemos usar.

Desde hace mucho tiempo el servicio de mensajería de Yahoo! encripta únicamente las comunicaciones de los usuarios en tránsito. Esto quiere decir que dicha compañía puede leer tus mensajes o entregarlos a las autoridades si así lo quisiera. Con el objetivo de ser transparente, Yahoo! emite reportes de transparencia bianuales que detallan la cantidad de información que revelan a solicitud del gobierno.

No es posible verificar las identidades de tus contactos con Yahoo! Messenger. Tampoco las prácticas de confidenciales, ni abrir el código para llevar una revisión de manera independiente  ni documentar su diseño de seguridad. Finalmente, la empresa no ha realizado recientemente auditoría alguna. Para ser justos, la oferta Web más amplia de Yahoo! ha recorrido un largo camino desde que comenzó a encriptar hace dos años, lo cual hace pensar que su servicio de mensajería también podría incluirlo.

skype-logo

Si bien Skype es uno de las plataformas de mensajería más utilizados de Internet, su puntaje en la evaluación de EFF fue igual de malo que el de Yahoo! Messenger. El servicio de mensajería y videollamadas de Microsoft recibió sólo una estrella (y la misma) que la app de Yahoo! por su encriptación de datos en tránsito. Sin embargo, no logró pasar ninguna de las otras categorías. Por otra parte, Skype cuenta con un amplio registro de acusaciones de participar en programas de vigilancia y espionaje, aunque Microsoft ha negado categóricamente todas estas denuncias.

Blackberry-Messenger-Logo

BlackBerry Messenger recibió el mismo puntaje que Yahoo! Messenger y Skype. El servicio creado por la compañía conocida formalmente como RIM (Research In Motion) también encripta sus comunicaciones en tránsito, pero no cifra sus comunicaciones de forma completa. Por esta razón, BlackBerry podría leer las comunicaciones de sus usuarios si así lo quisiera. La app de BlackBerry también falla en las cinco categorías restantes.

AIM-Logo

El servicio de mensajería AIM (American Online’s Instant Messenger) existe desde 1997. Y, si bien su popularidad ya no es lo que era hace quince años atrás, todavía es utilizado por miles de personas. Desafortunadamente, al igual que las aplicaciones ya nombradas, el Messenger de AOL sólo encripta las comunicaciones en tránsito y nada más.

Finalmente, vale la pena mencionar los casos de Kik y eBuddy que, al igual que el resto, sólo recibieron una estrella en el test de EFF. Y no queríamos dejar de destacar los casos “no honorables” de Secret Message app y Hushmail que se autoproclaman “seguras y privadas” y, al igual que las aplicaciones anteriores, sólo encriptan sus comunicaciones en tránsito.

Un poco más seguras, aunque no tanto: 2 estrellas

SnapchatLogo

La popular aplicación para compartir fotos y videos auto-destructibles, SnapChat, obtuvo dos estrellas en el ranking de EFF. Una por encriptar las comunicaciones en tránsito, es decir, desde que salen del remitente, pasan por los servidores de SnapChat y llegan al destinatario. Y la otra estrella se le otorgó por haber recibido una auditoría de seguridad en los últimos doce meses. Al igual que muchos de los servicios en esta lista, SnapChat fue objeto de muchas críticas en el pasado, no tanto por sus fallas de seguridad, sino más bien por fallar en ser fiel a su premisa principal.

La idea central de SnapChat era que los mensajes que se enviaban a través de esta app (fotos y videos) sólo sobrevivían por unos cuantos segundos. Sin embargo, el problema es que el receptor de estos mensajes puede guardar las imágenes tomando capturas de pantalla, a pesar de que el remitente recibirá una notificación si esto ocurre. Asimismo, una aplicación conocida como SnapHack permite que los usuarios puedan guardar los snaps por fuera de la aplicación de SnapChat. Por otra parte, un grupo de investigadores aseguró en varias oportunidades que las imágenes de SnapChat, en realidad, no desaparecen del todo sino que sólo se vuelven más difíciles de localizar.

Hangouts_Icon

Otro servicio que obtuvo 2 estrellas fue Hangouts de Google. Hangouts no sólo es el chat integrado en todas las cuentas de Gmail, sino que también es el chat nativo de Google Plus y todos los dispositivos de Android. Google encripta las comunicaciones en tránsito y fue auditado el año pasado. Sin embargo, puede leer tus mensajes, los usuarios no pueden verificar las identidades reales de los contactos, su código no está disponible para ser analizado públicamente y su seguridad no está documentada como corresponde.

FacebookMessenger

Facebook Messenger -la versión para móviles del chat de Facebook- también obtuvo sólo dos estrellas en el ranking de EFF. Al igual que el resto de las apps de esta lista, Facebook Messenger encripta las comunicaciones en tránsito y fue auditado el año pasado, pero falla en el resto de los puntos.

Viber

Viber es, probablemente, el servicio menos popular entre los que obtuvieron 2 estrellas. Si bien Viber es publicitado como una aplicación de mensajería “segura”, sólo encripta sus comunicaciones en tránsito y fue auditado una única vez en el último año.

WhatsApp-Logo

Por último, llegamos al curioso caso de WhatsApp. Esta aplicación es enormemente reconocida y valorada por los usuarios de dispositivos móviles, básicamente debido a que reemplazó el sistema de mensajería de SMS. Sin embargo, tan sólo recibió dos estrellas en la evaluación de EFF. Aunque, según se rumorea, esta realidad podría cambiar en poco tiempo.

La razón de este cambio radica en que WhatsApp dio a conocer esta semana su alianza con la compañía Open Whisper Systems, que tiene por principal objetivo establecer una encriptación por defecto en la aplicación de WhatsApp para Android. Asimismo, no debemos olvidar que OWP es la compañía creadora de las aplicaciones Signal, RedPhone, Silent Text y Silent Phone y todas ellas recibieron siete estrellas en el test de EFF. Por lo tanto, todo parecería indicar que WhatsApp está a punto de aumentar considerablemente su seguridad de cara a los días y meses que vendrán.

Esta es una muy buena noticia, dado que si uno de los servicios de mensajería más populares de Internet está a punto de mejorar su seguridad y privacidad, es posible que sus competidores directos quieran seguir sus pasos.

Consejos