Hay muchas aplicaciones de mensajería, WhatsApp, Telegram, Signal, Hangouts, Facebook Messenger, … Pero si nos centramos en nuestra privacidad y seguridad, el cerco se reduce bastante. ¿Qué aplicación nos da más privacidad? Existe una falsa realidad en torno a Telegram, que en muchas ocasiones deriva en una guerra WhatsApp Vs Telegram, entre la comunidad geek. Y se tiende a recomendar esta última por sus virtudes y su privacidad, cuando hay otras alternativas más seguras, pero con menos virtudes. ¿Pero qué diferencias hay entre uno y otro?
Es evidente que cada uno de los servicios que he mencionado tiene sus virtudes y debilidades, sus beneficios e inconvenientes, pero todos tienen algo en común: el cifrado o encriptado. Esto significa que los mensajes que se envía están codificados, pero de qué modo? Es aquí donde se ven las principales diferencias en cuanto a privacidad y seguridad.
Este tema es bastante técnico, voy a intentar ser lo más cercano y ameno posible, para que todo el mundo pueda entenderlo. Creo que todos debemos tener el control de nuestra propia privacidad. Voy a ser bastante extenso, y espero que no te explote la cabeza en la lectura xD.
Indice de contenidos
¿Que es el cifrado de extremo a extremo?
Sin andarnos por las ramas, y sin nombrar las claves públicas y privadas: El cifrado de extremo a extremo garantiza que tu mensaje sea convertido en un mensaje secreto y codificado por su remitente original, y tan solo lo decodifique su destinatario final. No hay ningún man on the middle, no hay nadie por medio que pueda leer el mensaje.
Esto es lo que en ciberseguridad se conoce como un protocolo severo, en el que solo el emisor y el receptor pueden leer los mensajes, por lo que, no pueden acceder a ellos ni nuestros proveedores de telecomunicaciones ni los dueños de la aplicación.
Este protocolo de señal cifrada de extremo a extremo, lo estas utilizando prácticamente todos los días junto con más de mil millones de personas. Lo usan por ejemplo WhatsApp, Facebook Messenger o Hangouts, por ejemplo.
Este protocolo fue creado por Open Whisper System, un grupo sin animo de lucro, que fue fundado por el ex responsable de seguridad de Twitter Moxie Marlinspike.
Open Whisper Systems se centra en el desarrollo del Protocolo de seguridad, con código abierto, pero también tiene una aplicación de mensajería llamada Signal. ¿Cómo se financia este grupo? lo hace mediante una combinación de donaciones y subvenciones.
Que aplicaciones de mensajería utilizan realmente el cifrado de extremo a extremo
Al leer lo anterior, puedes pensar que estas seguro y que tu privacidad esta a salvo, ya que WhatsApp, Facebook Messenger o Google Hangouts usan este protocolo de cifrado de extremo a extremo. Pero la realidad es bien distinta.
Facebook Messenger y Google Hangouts no nos ofrecen el cifrado de extremo a extremo de forma predeterminada. Si eres usuario de Facebook Messenger debes habilitar «Conversaciones secretas» y si eres usuario de Hangouts debes habilitar el «modo incógnito».
Luego tenemos WhatsApp y Signal, las únicas aplicaciones que usan el Protocolo de señal cifrado end to end de forma predeterminada para todos los mensajes enviados. En el caso de WhatsApp desarrollado en conjunto con Open Whisper System, usando su protocolo.
El protocolo MTProto de Telegram
La aplicación de mensajería creada por el ruso Pavel Durov, utiliza su propio protocolo de cifrado: MTProto. Telegram tuvo bastantes controversias por su protocolo de encriptación MTProto. A día de hoy siguen estos duelos, investigadores mostrando las debilidades del protocolo de Telegram y Telegram contestando y afirmando que MTProto es seguro.
Puntos a destacar del MTProto:
- Para conectarse en lugar de iniciar sesión + contraseña, tan solo usa una contraseña.
- El tráfico no es muy diferente del habitual HTTPS/TLS
- La contraseña no se transmite al servidor cuando estás conectado.
- Todo el tráfico está encriptado.
Pero Telegram tiene una gran debilidad, en cuanto a privacidad se refiere. En los chats normales no aplica cifrado de extremo a extremo, esto quiere decir que almacena nuestras conversaciones en sus servidores, cifradas eso si, pero las almacena. Tan solo aplica cifrado de extremo a extremo si usamos el chat secreto.
En los chats secretos de Telegram podemos hablar con otra persona, definir si queremos que nuestros mensajes se auto destruyan pasado un tiempo, y ademas es imposible que reenvíen lo que escribamos. Tampoco permite hacer capturas de pantalla. Es el chat que usarían en Mision Imposible xD.
Al igual que WhatsApp y Facebook Messenger, Telegram accede y almacena tu lista de contactos en su servidor. Así es como pueden enviarte una notificación cuando alguien nuevo de tu lista de contactos se une a Telegram.
Este año un tribunal de Moscu ordeno el bloqueo de Telegram en Rusia, ya que su CEO, Pavel Durov, se negó a entregar el código y protocolo al Servicio Federal de Seguridad Ruso, tal como estipula la ley. Algo a destacar de esta compañía.
Esto quiere decir que Whatsapp es la aplicacion de mensajeria mas segura? NO
En las propias preguntas frecuentes de WhatsApp dicen que su aplicación tiene acceso a todos los números de teléfono de tu libreta de direcciones, y que recopila una gran cantidad de información sobre ti.
Lo interesante de WhatsApp es que no almacena tus mensajes en sus servidores. Pero lo que no dicen, es que tus mensajes se almacenan en tu teléfono, y finalmente en los servidores donde realicemos la copia de seguridad. Por ejemplo, si usas un iPhone, todos tus mensajes de WhatsApp se almacenan en iCloud. Esto es un riesgo para nuestra privacidad.
Pero con respecto a la información que WhatsApp recopila sobre nosotros es donde menos abiertos son. Esto es lo que dicen:
Uso e información de registro. Recopilamos información relacionada con el servicio, diagnóstico y rendimiento. Esto incluye información sobre su actividad (como la forma en que usa nuestros Servicios, cómo interactúa con otras personas que usan nuestros Servicios y similares), archivos de registro y registros e informes de diagnóstico, bloqueo, sitio web y rendimiento.
Que lectura hacemos de esto? Básicamente que WhatsApp recopila información específica del dispositivo cuando instalas, accedes o utilizas su servicio. Como que teléfono móvil tienes, sistema operativo que usas e información de tu navegador, dirección IP y red móvil, incluido tu número de teléfono.
Y si no pueden recopilar esa información a través de tu teléfono, la obtendrán cuando la gente te envíe un mensaje, ya que WhatsApp también tiene acceso a los datos de actividad de sus amigos.
Además de las copias de seguridad no cifradas que hemos mencionado antes, la EFF (Electronic Frontier Foundation) planteo una serie de preocupaciones sobre la notificación de cambios de clave, la aplicación WhatsApp Web y el intercambio de datos con Facebook.
Los metadatos en Whatsapp
La definición mas técnica de los metadatos es qué son “datos acerca de los datos” y sirven para suministrar información sobre los datos producidos. Los metadatos consisten en información que caracteriza a los propios datos, describen el contenido, calidad, condiciones, historia, disponibilidad y otras características de los datos.
Los metadatos y la recopilación de datos, siempre han estado presentes en los debates sobre Whatsapp, ¿que datos recopila Whatsapp de nosotros?
Se puede afirmar que Whatsapp no puede leer / escuchar el contenido de nuestra comunicación porque usa cifrado de extremo a extremo, pero puede recopilar metadatos.
Imaginemos que estamos en el supermercado, cogemos un bote de ketchup. A través de los metadatos en la etiqueta, podríamos responder las siguientes preguntas:
- ¿Dónde se creo?
- ¿Qué pasos se siguieron para fabricarlo?
- ¿Qué ingredientes contiene?
- ¿Cómo se realizo la mezcla de los ingredientes?
- ¿De qué área geográfica es el sello de sanidad?
- ¿A que lote de fabricación pertenece? etc.
Para que entendáis mejor que tipo de metadatos se pueden recopilar, nada mejor que ejemplos de la vida real:
- Saben que hablaste con un servicio de sexo a las 3:24 de la mañana, la conversación duro 17 minutos. Pero no saben de qué hablaste.
- Saben que hablaste con las líneas de asistencia de prevención del suicidio desde un puente. Pero el tema de la conversación sigue siendo un secreto.
- Saben que buscaste información sobre «positivo test embarazo», a los minutos hablaste con tu novio y a la hora hablaste con un ginecólogo. Pero las conversaciones siguen siendo un secreto.
Ahora que sabes lo qué son los metadatos, permiteme decir algo en voz alta: EL USO DE UN PROTOCOLO DE CIFRADO DE EXTREMOS A EXTREMO NO IMPIDE QUE LOS SERVICIOS DE MENSAJERÍA RECOPILEN METADATOS.
Que datos recopila Facebook sobre nosotros
Mucha gente desconoce que Whatsapp, al igual que Instagram, pertenece a Facebook. Y que Facebook está recopilando el conjunto de datos más extenso jamás reunido sobre el comportamiento social humano.
Pero, que datos recopila Facebook sobre nosotros? Pues son tan majos y abiertos, que ellos mismo nos lo dicen en su Politica de datos.
No te asustes, por desgracia Facebook no es la única que recopila tal cantidad de datos.
¿Que es Signal?
Llegados a este punto permitirme hablar de Signal, es una aplicación de mensajería, muy minoritaria y que muy poca gente usa, creada por Open Whisper Systems. Usa el propio protocolo de cifrado de extremo a extremo de la compañía, y a día de hoy se puede afirmar que es la aplicación de mensajería mas segura. Los únicos datos que conserva Signal son el número de teléfono con el que se registró, y la última vez que inició sesión en su servidor.
Esto se traduce en que no registra la hora, minuto o segundo, solo el día, los números de teléfono que usamos son cifrados con hash, Signal nunca los conoce. Ademas de que no necesita tener una copia de nuestra agenda de teléfonos. Actualmente Signal se encuentra en su versión 3.0 y es totalmente gratis.
Y lo mejor de todo es que el código de Signal es de código abierto, disponible en GitHub para que lo compruebes.
Como curiosidad comentar que esta app la recomendó el propio Snowden. Y a raíz de esta recomendación ha tenido mas notoriedad y la usan muchos políticos. ¿Que tendrán que esconder? XD
Conclusiones sobre las aplicaciones de mensajería y su privacidad
Siendo claro, ninguna aplicación de mensajería nos puede asegurar la privacidad al 100%, esto es una normal básica en la ciberseguridad, y por mucho que digan los CEOs de las compañías, también se cumple en la mensajería instantánea.
Aplicaciones como Whatsapp o Facebook Messenger usan el cifrado de extremo a extremo como una campaña de marketing, diciéndote: Tranquilo somos los mas seguros, nunca sabemos lo que hablas, tan solo recopilamos pequeños datos.
Telegram tiene sus debilidades, guarda nuestros números de teléfono, los chats normales no son cifrados de extremo a extremo o el hecho de que guarde en sus servidores nuestros datos, aunque estén cifrados. Pero si usas el chat secreto en tus conversaciones, es una aplicaron bastante segura.
Y después nos encontramos con Signal, para mi un gran descubrimiento. No recopila metadatos, usa cifrado de extremo a extremo y no guarda nuestros números de teléfono. A día de hoy es la mas segura con respecto a nuestra privacidad, pero la menos conocida.
Existen mas alternativas, si, pero en este articulo me he centrado en las que yo conozco y uso. Si te gusto no dudes en compartirlo en tus redes sociales.