¿Es realmente segura su aplicación de mensajería?

Las aplicaciones de mensajería son una de las aplicaciones más importantes, si no la(the ) más importante, que usamos todos los días. Ya sea para mantenerse en contacto con familiares y amigos(family and friends) en todo el mundo, comunicarse con compañeros de trabajo o realizar operaciones comerciales, las aplicaciones de mensajería como WhatsApp , iMessage, Skype y Facebook Messenger(Skype and Facebook Messenger) juegan un papel importante en nuestras comunicaciones diarias.

A menudo compartimos cosas como fotos personales, secretos comerciales y documentos legales en aplicaciones de mensajería, información que no queremos poner a disposición de las personas equivocadas. Pero, ¿hasta qué punto podemos confiar en sus aplicaciones de mensajería para proteger todos nuestros mensajes confidenciales e información confidencial?

Las siguientes son algunas pautas que lo ayudarán a evaluar el nivel de seguridad que proporcionará su aplicación de mensajería(messaging app) favorita .

Algunas palabras sobre el cifrado

Por supuesto, todas las plataformas de mensajería afirman cifrar sus datos. El cifrado utiliza ecuaciones matemáticas para codificar sus datos en transición para evitar que los intrusos puedan leer sus mensajes.

El cifrado adecuado garantiza que solo el remitente y el destinatario de un mensaje conozcan su contenido. Sin embargo, no todos los tipos de cifrado son iguales.

Las aplicaciones de mensajería(messaging apps) más seguras son las que ofrecen cifrado de extremo a extremo ( E2EE ). Las aplicaciones E2EE almacenan(store decryption) claves de descifrado solo en los dispositivos de los usuarios. E2EE no solo protege sus comunicaciones contra los espías, sino que también se asegura de que la empresa que aloja la aplicación no pueda leer sus mensajes. Esto también significa que sus mensajes estarán protegidos contra violaciones de datos y órdenes intrusivas por parte de agencias de tres letras.

Cada vez más aplicaciones de mensajería proporcionan cifrado de extremo a extremo. Signal fue una de las primeras plataformas en admitir E2EE . En los últimos años, otras aplicaciones han adoptado el protocolo de cifrado de (encryption protocol)Signal o han desarrollado su propia tecnología E2EE(E2EE technology) . Los ejemplos(Examples) incluyen WhatsApp , Wickr e iMessage.

Facebook Messenger y Telegram(Facebook Messenger and Telegram) también son compatibles con la mensajería E2EE(E2EE messaging) , aunque no está habilitada de forma predeterminada, lo que los hace menos seguros. Skype también agregó recientemente una opción de "Conversación privada" que le brinda cifrado de extremo a extremo en una conversación de su elección.

Hangouts de Google no es compatible con el cifrado de extremo a extremo, pero la empresa ofrece Allo y Duo(Allo and Duo) , aplicaciones de mensajería de texto y(text messaging and video) videoconferencia que están cifradas de extremo a extremo.

Eliminación de mensajes

La seguridad es más que solo cifrar mensajes. ¿Qué sucede si su dispositivo o el dispositivo de la persona con la que está chateando es pirateado o cae en las manos equivocadas? En ese caso, el cifrado será de poca utilidad, ya que el malintencionado podrá ver los mensajes en su formato no cifrado.

La mejor manera de proteger sus mensajes es deshacerse de ellos cuando ya no los necesite. Esto asegura que incluso si su dispositivo se ve comprometido, los actores malintencionados no tendrán acceso a sus mensajes confidenciales y sensibles.

Todas las aplicaciones de mensajería brindan algún tipo de eliminación de mensajes(message deletion) , pero nuevamente, no todas las funciones de eliminación de mensajes(message removal) son igualmente seguras.

Por ejemplo, Hangouts e iMessage(Hangouts and iMessage enable) te permiten borrar tu historial de chat. Pero aunque los mensajes se eliminarán de su dispositivo, permanecerán en los dispositivos de las personas con las que ha estado chateando.

Por lo tanto, si sus dispositivos se ven comprometidos, aún perderá el control de sus datos confidenciales. A su favor, Hangouts tiene una opción para deshabilitar el historial de chat, que eliminará automáticamente los mensajes de todos los dispositivos después de cada sesión.

En Telegram , Signal , Wickr y Skype(Wickr and Skype) , puede eliminar mensajes para todas las partes de una conversación. Esto puede garantizar que las comunicaciones confidenciales no permanezcan en ninguno de los dispositivos involucrados en una conversación.

WhatsApp también agregó una opción de "eliminar para todos" en 2017, pero puede usarla para eliminar solo los mensajes que envió en las últimas 13 horas. Facebook Messenger también agregó recientemente una función de "no enviar", aunque solo funciona durante 10 minutos después de enviar un mensaje.

Signal , Telegram y Wickr(Telegram and Wickr) también brindan una función de autodestrucción de mensajes(message feature) , que eliminará inmediatamente los mensajes de todos los dispositivos después de que pase un período de tiempo configurado. Esta función es especialmente buena para conversaciones confidenciales y le ahorra el esfuerzo de borrar mensajes manualmente.

metadatos

Cada mensaje viene con una cantidad de información auxiliar, también conocida como metadatos, como las identificaciones del remitente y el destinatario(sender and receiver IDs) , la hora en que se envió, recibió y leyó un mensaje, direcciones IP, números de teléfono, identificaciones(IDs) de dispositivos , etc.

Los servidores de mensajería almacenan y procesan ese tipo de información para asegurarse de que los mensajes se entreguen a los destinatarios correctos ya tiempo, y para permitir que los usuarios exploren y organicen sus registros de chat.

Si bien los metadatos no contienen texto de mensaje(t contain message text) , en las manos equivocadas, pueden ser muy dañinos y revelar mucho sobre los patrones de comunicación de los usuarios, como su ubicación geográfica, las veces que usan sus aplicaciones, las personas con las que se comunican, etc.

En caso de que el servicio de mensajería(messaging service) sea víctima de una filtración de datos(data breach) , este tipo de información puede allanar el camino para ciberataques como el phishing y otros esquemas de ingeniería social.

La mayoría de los servicios de mensajería recopilan una gran cantidad de metadatos y, lamentablemente, no existe una forma segura de saber qué tipo de información almacenan los servicios de mensajería . (information messaging)Pero por lo que sabemos, Signal tiene el mejor historial(track record) . Según la empresa, sus servidores solo registran el número de teléfono(phone number) con el que creaste tu cuenta y la última fecha en la que iniciaste sesión en tu cuenta.

Transparencia

Cada desarrollador le dirá que su aplicación de mensajería es segura, pero ¿cómo puede estar seguro? ¿Cómo sabes que la aplicación no oculta una puerta trasera implantada por el gobierno? ¿Cómo sabe que el desarrollador ha hecho un buen trabajo probando la aplicación?

Las aplicaciones ponen a disposición del público el código fuente(source code) de su aplicación, también conocido como "código abierto", son más confiables porque los expertos en seguridad independientes pueden examinar y confirmar si son seguras o no.

Signal , Wickr y Telegram son (Wickr and Telegram)aplicaciones de mensajería(messaging apps) de código abierto , lo que significa que han sido revisadas por expertos independientes. Signal en particular cuenta con el apoyo de expertos en seguridad como Bruce Schneier y Edward Snowden.

WhatsApp y Facebook Messenger son de código cerrado, pero utilizan (WhatsApp and Facebook Messenger)Signal Protocol de código abierto para cifrar sus mensajes. Esto significa que al menos puede estar seguro de que Facebook , propietario de ambas aplicaciones, no investigará el contenido de sus mensajes.

Para aplicaciones totalmente de código cerrado como iMessage de Apple, debe confiar plenamente en el desarrollador para evitar cometer errores de seguridad desastrosos.

Para ser claros, el código abierto no significa seguridad absoluta. Pero al menos puede asegurarse de que la aplicación no(app isn) oculte nada desagradable debajo del capó.



About the author

Soy un científico informático con más de 10 años de experiencia trabajando en el campo de los navegadores, Microsoft Office y OneDrive. Me especializo en desarrollo web, investigación de experiencia de usuario y desarrollo de aplicaciones a gran escala. Mis habilidades son utilizadas por algunas de las principales empresas del mundo, incluidas Google, Facebook y Apple.



Related posts