16 Abr 2014

Mensajería Segura En Internet: ¿Es Una Ficción?

Consejos Seguridad

Difícilmente exista alguna persona que no haya enviado alguna vez mensajes por Internet. Solamente Whatsapp cuenta hoy con millones de usuarios alrededor del mundo y procesa miles de millones de mensajes diarios. Y esto sin contar otras plataformas como Skype, Viber, ICQ y las herramientas de chat de Facebook, LinkedIn, Twitter, etc. No obstante, teniendo en cuenta la gran popularidad que poseen los servicios de mensajería instantánea, los problemas de la privacidad de los mensajes hacen su aparición. Quizás parezca absurdo tomar medidas extremas en esto, dado que usualmente compartimos una gran cantidad de información personal públicamente en Internet. Pero existen casos en los que la privacidad debe ser total, sin la posibilidad de que algún tercero nos esté espiando. ¿Es posible comunicarse a través de internet, sin que nadie “apeste a Snowden”? Observemos.

calls

Prólogo

Para analizar desde cerca este punto, primero debemos considerar las formas en que una cadena de mensajes o una comunicación oral puede ser expuesta a un tercero. Las opciones no son tantas. Primero, todos los mensajes (cualquiera sea su naturaleza: texto, video, foto o voz) son grabados en el registro local de volúmenes en el sistema del emisor y del receptor. Luego, son transferidos por la red y, por último, procesados por el servidor (aunque esto no es obligatorio). Si alguien pudiera, de alguna manera, acceder al control de los historiales de mensajes, el resto del camino que atraviesan los mensajes se descontrolaría. Si bien es cierto que la encriptación puede ahorrar algunos dolores de cabeza en estos casos, lo cierto es que no es completamente eficiente. A decir verdad, ¿Quién puede garantizar que el protocolo, especialmente si utiliza un algoritmo de cifrado común, será completamente invulnerable?

Tomemos a Skype como ejemplo. Hasta hace un tiempo era considerado -además de una muy buena plataforma de mensajería privada- una fortaleza inexpugnable que no le permitía el paso a nadie, ni siquiera a los hackers o a las organizaciones gubernamentales. Pero desde que Skype Ltd. Perdió su independencia luego de ser adquirido por Microsoft, las cosas cambiaron y, hoy en día, no podemos asegurar de que se trate de un software 100 por ciento seguro.

El hecho de que WhatsApp procese miles de millones de mensajes diarios hace realmente difícil que esta plataforma sea completamente segura. Las noticias sobre las vulnerabilidades (Incluso si tenemos en cuenta sólo la versión de Android) aparecen, al menos, una vez por mes. Un estudio reciente de esta aplicación demostró que, con un simple script, el historial completo de mensajes puede ser hackeado en cuestión de segundos. Asimismo, la reciente adquisición de WhatsApp por parte de Facebook no le hizo ningún favor a la privacidad de los mensajes. Esto se puede ver claramente reflejado en el hecho de que Mark Zuckerberg pagó miles de millones de dólares para mejorar el equipo de desarrolladores y de tecnología, pero no para optimizar la protección de los datos de los usuarios.

Para ser justos con los servicios ya mencionados, es necesario decir que otras plataformas gratuitas de mensajería instantánea, como Viber o iMessage, tienen el mismo tipo de problemas. Todas ellas brindan varias formas sencillas de acceder a la correspondencia privada. En cierto forma, es mejor que estos servicios pertenezcan a grandes corporaciones, ya que deben rendir cuentas a las autoridades. Afortunadamente, para una acción siempre hay una reacción de la misma intensidad. Dada la gran cantidad de servicios de mensajería inseguros existentes, en el último tiempo comenzaron a surgir mucho mejores programas. ¿Son éstos capaces de preservar la privacidad de los usuarios de manera efectiva? ¡Averigüémoslo! Pero primero debes decidir qué nivel de seguridad necesitas.

Hoy en día es muy difícil confiar en las plataformas de mensajería instantánea cuando se trata de preservar la privacidad de la información. Obviamente existen alternativas mucho más seguras, pero ¿Pueden éstas sustituir a Skype o WhatsApp?

Existe un concepto divertido: “El teatro de la seguridad”.  Este concepto básicamente se explica por sí mismo, comprende medidas ostensibles de seguridad que se utilizan para brindar una ilusión de acción, pero sin considerar la eficiencia del esfuerzo. Si fueramos a dibujar analogías, es como si habláramos de medidas de seguridad antiterroristas en las terminales de transporte público: los objetos e individuos sospechosos sólo son chequeados en estaciones específicas. La misma característica puede ser aplicada en el mundo del software, especialmente en los de mensajería instantánea. No significa que algunas apps de mensajería sean completamente inútiles.  Es posible que algunas sean una buena alternativa para los usuarios que no buscan un alto grado de privacidad. Los guardias que se encargan de la inspección antiterrorista en el metro ofrecen algún nivel de seguridad, después de todo. Habiendo dicho esto, debemos reconocer que aún se puede seguir utilizando los servicios de mensajería que alguna vez fallaron.

Echémosle un vistazo a las diferentes opciones, divididas en dos categorías.

La ilusión de seguridad

En esta lista incluimos todos aquellos servicios de mensajería que no llevan adelante las medidas de seguridad correspondientes o no garantizan una protección frente a ataques “man-in-the-middle“.


Confide

En cierto sentido, Confide es una plataforma de mensajería única. Todos los mensajes de Confide son organizados en cajas rectangulares que esconden el texto y que sólo se puede visibilizar con un comando touch. Además, esta aplicación no almacena el historial de mensajes a largo plazo, así que si algún criminal consiguiera robar tu teléfono, no sería capaz de revisar tu correspondencia. Además, si el usuario desea tomar una captura de pantalla de algún mensaje, su interlocutor es notificado de esto. Estas utilidades fueron altamente resaltadas por los desarrolladores de esta aplicación. Sin embargo, existe un problema. Si el usuario quisiera guardar la conversación, no necesita tomar sí o sí una captura de pantalla. Puede, por el contrario, utilizar una cámara para registrar todo la charla, palabra por palabra. En este sentido, esta aplicación puede ser categorizada como un programa de “seguridad ficcional”: el arte de la protección y la deshabilitación de las capturas de pantalla son sólo una ilusión de seguridad, interesante quizás para aquellos que quieren jugar a ser agentes del servicio secreto.
Confide

Wickr

No es una app muy elegante en términos de diseño, pero si es bastante ambiciosa. Esta aplicación se posiciona a sí misma como una solución que no deja ningún registro de la correspondencia en el dispositivo. El historial de mensajes es eliminado (en algunos casos, de manera irrevocable) tanto del móvil como del servidor. Protege los mensajes con algoritmos de seguridad de altos niveles, proporciona herramientas para analizar el período de almacenamiento de los mensajes en el receptor y deshabilita la copia de los mensajes. Al igual que en la app anterior, Wickr se basa en las limitaciones de las funciones del Smartphone. Un enfoque que es inútil, dada la cámara integrada en casi todos los dispositivos de la tierra.

Wickr

Telegram

Cuando hablamos de la seguridad en los programas de mensajería instantánea, ¿Cómo podríamos ignorar a Telegram? Esta app es probablemente la plataforma más publicitada en términos de seguridad. ¿Por qué la incluimos en nuestra lista de seguridad ficcional? Bueno, tomemos el hecho de que nunca fueron probadas las medidas de seguridad “sin precedentes” que tanto promocionaros los desarrolladores de la aplicación.

Telegram

Muchos recordarán la recompensa de $200.000 que los creadores de esta solución ofrecían a quien fuera capaz de hackear el protocolo MTProto de Telegram. De hecho, para muchos, esta podría ser un poderoso motivo para creer en la confiabilidad de esta plataforma. Sin embargo, la trampa de este concurso radicaba en que cualquier intento de descifrar un mensaje transferido desde un emisor a un receptor, sería como intentar demostrar la dureza de un tanque disparando con una pistola de bajo calibre, cuando, en realidad, lo lógico sería usar un arma antitanques. En otras palabras, las herramientas para hackear Telegram eran ineficientes para poner a prueba el protocolo. Un representante de cryptofails.com, advirtió que MTProto es un algoritmo altamente inseguro, que “ignora los estudios más significativos en criptografía publicados durante los últimos 20 años”. Asimismo, les recomendó a los desarrolladores de Telegram que contratasen a un experto real en criptografía.

Otro detalle curioso: más allá del complejo protocolo que sirve de base para Telegram, la aplicación es vulnerable a ataques directos. No estamos hablando del robo del tráfico de datos, sino de algo mucho más simple. Durante el registro, los usuarios reciben en su dispositivo un mensaje de texto con un código de seguridad que sirve para activar la aplicación. En esta situación, si un hacker consiguiera intervenir los mensajes de texto del usuario, podría activar una copia de la aplicación y recibir los mensajes que se le envían a la víctima. Considerando el hecho de que la opción de “chat seguro” no viene activada por defecto, la privacidad de los mensajes está altamente comprometida.

Lo que es bueno de Telegram es su velocidad. Los mensajes son literalmente entregados instantáneamente. Entonces, ¿Es una plataforma rápida? ¡Sí! ¿Es segura? Bueno, eso es relativo.

Seguridad Honesta

Esta categoría incluye aplicaciones y servicios que proveen un  nivel de seguridad confiable, con algunas características admirables y que pueden protegerte de posibles ataques online.

Threema

Se trata de un proyecto suizo que fue ganando popularidad luego de que Facebook adquiriera WhatsApp. Los desarrolladores garantizan la seguridad de la correspondencia de la siguiente forma: el software encripta los datos de manera fiable en la transferencia y, además, protege la privacidad del usuario a través de una confirmación cara a cara al momento de añadir un nuevo contacto.

Los usuarios tienen que aparecer en persona y escanear códigos QR para añadir otros teléfonos. Si bien esta idea puede resultar interesante desde el punto de vista de la seguridad, en muchos casos bastante resulta bastante complicada. Por supuesto, puedes agregar un nuevo contacto a la vieja usanza (escribiendo manualmente la ID de usuario) pero, en estos casos, el nivel de seguridad es menor. Debe tenerse en cuenta que los desarrolladores no pueden volverse locos buscando formas de demostrar que su producto ofrece un nivel de seguridad “sin precedentes”, como tampoco pueden hacer falsas promesas. Una cosa más: la aplicación vale apenas dos dólares, en un solo pago.

Threema

Silent Circle

Se trata de un proyecto desarrollado por los gurús de la criptografía. En este caso, el equipo de desarrollo incluye a Phil Zimmerman, autor de la tecnología de encriptación PGP. De manera similar a Telegram, el servicio de Silent Circle se basa en un algoritmo hecho para este fin, llamado SCIMP. Su ventaja radica en la capacidad de borrar completamente los mensajes enviados sin dejar rastro: ni el remitente ni el destinatario pueden recuperar la correspondencia de los dispositivos. Esta utilidad se activa de forma manual y automática: después de un cierto período de tiempo, los mensajes se eliminan solos. Pero el mérito principal de esta plataforma es que el software aplica una encriptación muy poderosa en el tráfico de datos, por lo que  intentar comprometer la app es inutil. Por cierto, la solución ofrece una transferencia cifrada de dadtos, lo cual incluye, mensajes de texto, audio y video. En cuanto al resto, este software está, por desgracia, lleno de defectos. Empezando por el ambiguo proceso de registro que tiene y su precio: la suscripción de un año para Silent Circle ¡vale 100 dólares!

Silent Text

TextSecure

La aplicación gratuita TextSecure fue bien recibida por el público, y su desarrollador, WhisperSystems, fue muy nombrado por Edward Snowden. El programa es, en realidad, un software de mensajería muy simple, sin campanas, silbidos molestos o configuraciones complejas, que proporciona un cifrado de gran alcance tanto para la ida como para la vuelta de mensajes almacenados localmente. Para citar un par de pequeños inconvenientes, la aplicación no tiene una muy buena funcionalidad y es sólo compatible con Android, lo cual es una grave imperfección. La compañía desarrolladora de este software pertenece a Twitter y a uno de sus fundadores, Moxy Moulinsart, es un famoso especialista en cifrado.

TextSecure

SJ

$50 este es el precio que se debe pagar por este software que es, probablemente, el más caro, pero el más confiable programa de mensajería para iOS. Su principal ventaja es la capacidad de utilizar, de forma individual, algunas claves complementarias para enviar un mensaje. Su principal desventaja depende de la alfabetización técnica del usuario. Para aquellos que se acostumbraron a usar regularmente Skype y WhatsApps, SJ puede parecer muy complejo, de manera que la elección es tuya: o un nivel de seguridad sin precedentes o facilidad de uso.

SJ

Pidgin

Es un programa de mensajería abierto, bastante popular, que tiene  un conjunto completo de protocolos de seguridad. Es gratuito y compatible con Windows, Linux y Mac. Sin embargo, los desarrolladores recomiendan a los usuarios de Apple aprovechar Adium, que soporta protocolos de encriptación de hasta 4096 bits, lo cual es más que suficiente. El software soporta perfectamente el protocolo OTR (Off-the-Record Messaging) que sirve para asegurar la privacidad de la correspondencia, y también tiene una gran cantidad de plug-ins. La ventaja significativa de esta solución, teniendo en cuenta el tema del artículo, es el soporte para XMPP / Jabber, la flexibilidad del sistema (al ser descentralizado), la caja de seguridad y la mensajería instantánea.

Pidgin

Cryptocat

Al igual que otras soluciones que pusimos en la lista, Cryptocat es un software de mensajería con una gran capacidad de cifrado de mensajes. Sin embargo, a diferencia de los demás, funciona como un plugin para el navegador de escritorio de Chrome, Firefox, Safari y Opera. Para los usuarios de Mac OS X y de iPhone, sin embargo, está disponible como una aplicación independiente. Hace algún tiempo, el servicio intentó comprometer los datos entrantes y salientes, por lo que el equipo de desarrollo puso un inmenso esfuerzo en aumentar el nivel de seguridad. El hecho notable de Cryptocat es que se actualiza constantemente: la última versión estaba disponible a principios de abril. Es curioso que el creador del proyecto publicó el siguiente texto en la página web del proyecto: “Cryptocat no es una bola mágica. Aunque Cryptocat proporciona un nivel de encriptación útil, nunca debes confiar tu vida a cualquier pieza de software. Cryptocat no es la excepción”.

Cryprocat

Próximamente

Hicimos una lista de algunas de las soluciones dentro de esta categoría, aunque sus creadores  todavía no han puesto en marcha completamente el producto, pero sí han divulgado ciertas características. Vamos a ver si estos servicios están a la altura de las expectativas establecidas por sus desarrolladores.

Heml.is

Independientemente de que el servicio Heml.is está todavía en desarrollo, ya atrajo bastante la atención. No es una sorpresa, pero uno de los participantes del proyecto es Peter Sunde, uno de los padres fundadores de The Pirate Bay, el buscador de torrents. Entre las características del servicio se encuentra el protocolo PGO y una biblioteca de cifrado basada en XMPP. Entre las ventajas inmediatas, podemos enumerar un diseño agradable (a juzgar por las presentaciones disponibles) y la compatibilidad entre plataformas.

En resumen: un programa de mensajería prometedor aunque no disponible aún.

Hemlis

Tor Instant Messaging Bundle (TIMB)

La noticia de que el equipo de desarrollo de Tor estaba trabajando en el desarrollo de un software de mensajería es de finales de febrero. Inicialmente, se supone que el producto se generó sobre la base de la aplicación Pidgin antes mencionada, pero más tarde se eligió el nombre de InstantBird. TIMB, como noción, también adoptará el protocolo OTR  del que hablámos antes. El enfoque de distribución de la aplicación es probable que se ejerza como parte del paquete de lanzamiento de Tor, pero aún no se sabe sobre la disponibilidad de aplicación. En cualquier caso, TIMB se hace esperar: ¿qué otro mensajero no sólo cifra tu correspondencia, sino que también mantiene tu anonimato?

TIMB

Epílogo

Es obvio que la encriptación de los mensajes es ideal. Sin embargo, para conseguir esto, muchas veces debes comprometer tu bolsillo, resignar facilidad de uso o, peor, seguridad. La protección en línea nunca está asegurada por un único programa, sino que depende de una combinación de medios de seguridad. Por otra parte, ningún software es capaz de ofrecer 100% de garantía en términos de privacidad, ni puede saber si su red se controla desde el exterior, o si algún malware de espionaje se infiltró en el dispositivo: un keylogger. Teniendo en cuenta esto, la solución para el primer problema no es inmediata, pero el resto de los items son fáciles de tratar con o bien un acceso VPN de aproximadamente $ 5 al mes que te salve de las amenazas procedentes de las redes Wi-Fi públicas o nuestras suites de protección para keyloggers y otros programas maliciosos. Con esta protección, sólo tienes que añadir cualquier software de mensajes basado en Jabber/XMPP y ya puedes estar seguro de que tus comunicaciones a través de Internet serán seguras.

 

 

Traducido por: Guillermo Vidal Quinteiro y Berenice Taboada Díaz