Ciberseguridad 101: Cómo elegir y usar una app de mensajería encriptada

@zackwhittaker/11:00 am PST – December 25, 2018

Créditos de la imagen: Getty Images

Los mensajes de texto han existido desde los albores de la tecnología celular, y desencadenaron su propio y único lenguaje. Pero ya es hora de dejar de enviar mensajes SMS normales.

Si tienes un iPhone, ya estás en camino. Los iPhones (así como los iPads y los Macs) utilizan iMessage para enviar mensajes entre dispositivos Apple. Es un sistema de mensajería basado en datos que depende de 3G, 4G y Wi-Fi, en lugar de la mensajería SMS, que utiliza una red celular 2G antigua y anticuada pero universal. iMessage ha crecido en popularidad, pero ha dejado a los dispositivos Android y a otros equipos fuera de juego.

Ahí es donde otros servicios de mensajería han llenado un vacío en el mercado.

Aplicaciones como Signal, WhatsApp, Wire y Wickr también están basadas en datos y funcionan en todas las plataformas. Lo mejor de todo es que están encriptadas de extremo a extremo, lo que significa que los mensajes enviados se codifican en un extremo de la conversación -el dispositivo- y se descifran en el otro extremo, en el dispositivo del destinatario. Esto hace que sea casi imposible que alguien -incluso el creador de la aplicación- vea lo que se dice.

Muchas aplicaciones populares, como Instagram, Skype, Slack y Snapchat no ofrecen ningún tipo de cifrado de extremo a extremo. Facebook Messenger tiene la opción de utilizar mensajería cifrada de extremo a extremo «secreta», pero no está activada por defecto.

Esto es lo que debes saber.

¿Por qué odiar la mensajería SMS?

El SMS, o servicio de mensajería corta, tiene más de tres décadas. En general es fiable, pero es anticuado, arcaico y caro. También hay varias razones por las que la mensajería SMS es insegura.

Los mensajes SMS no están encriptados, lo que significa que el contenido de cada mensaje de texto es visible para las compañías de telefonía móvil y los gobiernos, e incluso puede ser interceptado por hackers organizados y semicalificados. Esto significa que, aunque utilices los SMS para proteger tus cuentas online con la autenticación de dos factores, tus códigos pueden ser robados. Igual de malo es que los mensajes SMS filtran metadatos, es decir, información sobre el mensaje pero no el contenido del mismo, como el número de teléfono del remitente y del destinatario, lo que puede identificar a las personas implicadas en la conversación.

Los mensajes SMS también pueden ser falsificados, lo que significa que nunca se puede estar completamente seguro de que un mensaje SMS procede de una persona concreta.

Y una reciente resolución de la Comisión Federal de Comunicaciones otorga ahora a las operadoras de telefonía móvil mayores poderes para bloquear los mensajes SMS. La FCC dijo que reducirá el spam de SMS, pero a muchos les preocupa que pueda utilizarse para reprimir la libertad de expresión.

En todos estos casos, la respuesta es una aplicación de mensajería cifrada.

¿Cuáles son las mejores aplicaciones de mensajería cifrada?

La respuesta sencilla es Signal, una app de mensajería encriptada de extremo a extremo y de código abierto considerada como el estándar de oro de los servicios de mensajería segura para consumidores.

Signal admite y encripta todos tus mensajes, llamadas y chats de vídeo con otros usuarios de Signal. Algunos de los profesionales de la seguridad y expertos en criptografía más inteligentes del mundo han examinado y verificado su código, y confían en su seguridad. La aplicación utiliza tu número de teléfono móvil como punto de contacto, algo que algunos han criticado, pero es fácil configurar la aplicación con un número de teléfono dedicado sin perder tu propio número de móvil. Aparte de tu número de teléfono, la aplicación está construida desde cero para recopilar la menor cantidad de metadatos posible.

Una reciente demanda del gobierno sobre los datos de Signal demostró que el fabricante de la aplicación no tiene casi nada que entregar. No sólo tus mensajes están encriptados, sino que cada persona en la conversación puede configurar los mensajes para que caduquen, de modo que incluso si un dispositivo se ve comprometido, los mensajes pueden configurarse para que ya desaparezcan. También puedes añadir una pantalla de bloqueo independiente en la aplicación para mayor seguridad. Y la aplicación se hace cada vez más fuerte. Recientemente, Signal lanzó una nueva función que enmascara el número de teléfono del remitente de un mensaje, lo que mejora el anonimato del remitente.

Pero en realidad, hay una respuesta mucho más matizada que «solo Signal».

Cada persona tiene diferentes necesidades, deseos y requisitos. Dependiendo de quién seas, cuál sea tu trabajo y con quién hables determinará qué app de mensajería encriptada es la mejor para ti.

Signal puede ser la app favorita para trabajos de alto riesgo -como el periodismo, el activismo y los trabajadores del gobierno-. Muchos encontrarán que WhatsApp, por ejemplo, es lo suficientemente bueno para la gran mayoría que sólo quiere hablar con sus amigos y familiares sin preocuparse de que alguien lea sus mensajes.

Puede que hayas escuchado algunas cosas mal informadas sobre WhatsApp en los últimos años, provocadas en gran parte por informes incorrectos y engañosos que afirmaban que había una «puerta trasera» que permitía a terceros leer los mensajes. Esas afirmaciones no tenían fundamento. WhatsApp recopila algunos datos sobre sus 1.500 millones de usuarios, como metadatos sobre quién contacta con quién y cuándo. Esos datos pueden entregarse a la policía si ésta los solicita con una orden legal válida. Pero los mensajes no pueden leerse, ya que están cifrados de extremo a extremo. WhatsApp no puede entregar esos mensajes aunque quiera hacerlo.

Aunque muchos no saben que WhatsApp es propiedad de Facebook, que se ha enfrentado a una serie de escándalos de seguridad y privacidad en el último año, Facebook ha dicho que se ha comprometido a mantener los mensajes de WhatsApp cifrados de extremo a extremo por defecto. Dicho esto, es posible que Facebook cambie de opinión en el futuro, según los investigadores de seguridad. Es correcto mantener la cautela, pero sigue siendo mejor utilizar WhatsApp para enviar mensajes encriptados que no hacerlo.

El mejor consejo es que nunca escribas y envíes algo en una aplicación de mensajería encriptada de extremo a extremo que no quieras que aparezca en un tribunal, por si acaso.

Wire también es disfrutada por muchos que confían en la aplicación multiplataforma de código abierto para compartir chats y llamadas de grupo. La aplicación no requiere un número de teléfono, sino que opta por nombres de usuario, lo que muchos que quieren un mayor anonimato encuentran más atractivo que las aplicaciones alternativas. Wire también ha respaldado sus afirmaciones de cifrado de extremo a extremo pidiendo a los investigadores que lleven a cabo una auditoría externa de su criptografía, pero los usuarios deben ser conscientes de que una contrapartida al uso de la aplicación en otros dispositivos es que la aplicación guarda un registro de todas las personas con las que has contactado en texto plano.

iMessage también está encriptado de extremo a extremo y lo utilizan millones de personas en todo el mundo que probablemente ni siquiera se dan cuenta de que sus mensajes están encriptados.

Otras aplicaciones deben tratarse con cuidado o evitarse por completo.

Aplicaciones como Telegram han sido criticadas por los expertos por su criptografía propensa a errores, que ha sido descrita como «ser apuñalada en el ojo con un tenedor». Y los investigadores han descubierto que aplicaciones como Confide, que en su día fue una de las favoritas del personal de la Casa Blanca, no codifican correctamente los mensajes, lo que facilita que los creadores de la aplicación puedan espiar secretamente la conversación de alguien.

Cómo verificar la identidad de alguien

Una cuestión central en la mensajería cifrada de extremo a extremo es: ¿cómo sé que una persona es quien dice ser?

Cada aplicación de mensajería cifrada de extremo a extremo maneja la identidad de un usuario de forma diferente. Signal lo llama «número de seguridad» y WhatsApp lo llama «código de seguridad». En todos los casos, es lo que llamamos «verificación de clave»

Cada usuario tiene su propia «huella digital» única que está asociada a su nombre de usuario, número de teléfono o su dispositivo. Suele ser una cadena de letras y números. La forma más fácil de verificar la huella digital de alguien es hacerlo en persona. Es sencillo: ambos sacan sus teléfonos, abren una conversación en la aplicación de mensajería encriptada de su elección y se aseguran de que las huellas dactilares de los dos conjuntos de dispositivos son exactamente iguales. Por lo general, se pulsa el botón «verificar» y ya está.

Verificar la huella digital de un contacto de forma remota o a través de Internet es más complicado. A menudo requiere compartir su huella digital (o una captura de pantalla) a través de otro canal -como un mensaje de Twitter, en Facebook o por correo electrónico- y asegurarse de que coinciden. (Micah Lee, de The Intercept, tiene un sencillo tutorial sobre cómo verificar una identidad.)

Una vez que verifiques la identidad de alguien, no será necesario volver a verificarla.

Si tu aplicación te avisa de que la huella dactilar de un destinatario ha cambiado, podría ser por una razón inocua: puede tener un nuevo número de teléfono o haber enviado un mensaje desde un nuevo dispositivo. Pero también podría significar que alguien está intentando suplantar a la otra persona en su conversación. Harías bien en ser precavido y tratar de reverificar su identidad de nuevo.

Algunas aplicaciones no se molestan en verificar la identidad de un usuario en absoluto. Por ejemplo, no hay forma de saber que alguien no está fisgoneando en secreto en tus conversaciones de iMessage porque Apple no te notifica si alguien está monitorizando tu conversación en secreto o si no ha sustituido de alguna manera el destinatario de un mensaje por otra persona.

Puedes leer más sobre cómo Signal, WhatsApp, Telegram y Wire te permiten verificar tus claves y te avisan de los cambios de clave. (Alerta de spoiler: Signal es la opción más segura.)

Hay algunos otros consejos que debes conocer:

Las copias de seguridad de los mensajes cifrados no suelen estar cifradas en la nube: Un punto muy importante aquí: a menudo, tus mensajes encriptados no están encriptados cuando se hace una copia de seguridad en la nube. Esto significa que el gobierno puede exigir a tu proveedor de la nube -como Apple o Google- que recupere y entregue tus mensajes cifrados de sus servidores. No deberías hacer una copia de seguridad de tus mensajes en la nube si esto te preocupa.

Cuidado con las aplicaciones de escritorio: Una de las ventajas de muchas apps de mensajería cifrada es que están disponibles en multitud de plataformas, dispositivos y sistemas operativos. Muchas también ofrecen versiones de escritorio para responder más rápido. Sin embargo, en los últimos años, la mayoría de las principales vulnerabilidades se han producido en el software de escritorio con errores. Asegúrate de estar al tanto de las actualizaciones de las aplicaciones. Si una actualización requiere que reinicies la aplicación o tu ordenador, debes hacerlo de inmediato.

Configura tus mensajes para que caduquen: El cifrado no es magia; requiere conciencia y consideración. La mensajería cifrada de extremo a extremo no te salvará si tu teléfono se ve comprometido o te lo roban y pueden acceder a su contenido. Deberías considerar firmemente la posibilidad de establecer un temporizador de caducidad en tus conversaciones para asegurarte de que los mensajes más antiguos se borrarán y desaparecerán.

Mantén tus aplicaciones actualizadas: Una de las mejores maneras de asegurarte de que te mantienes seguro (¡y de que consigues nuevas funciones!) es asegurarte de que tus aplicaciones de escritorio y móviles se mantienen actualizadas. Los errores de seguridad se encuentran a menudo, pero no siempre te enteras de ellos. Mantener tus aplicaciones actualizadas es la mejor manera de asegurarte de que estás recibiendo esas correcciones de seguridad tan pronto como sea posible, disminuyendo el riesgo de que tus mensajes puedan ser interceptados o robados.

Ciberseguridad 101 - TechCrunch

{{título}}

{fecha}{autor}}