Aspectos a tener en cuenta en la seguridad de tu aplicación de mensajería instantánea
WhatsApp, Messenger,
Facetime, iMessage, Allo, Telegram,
Hangouts, Skype; en la actualidad tenemos docenas de aplicaciones de mensajería instantánea entre las que elegir, cada una con decenas o cientos de millones de usuarios en todo el mundo y con funciones que satisfagan las necesidades de estos en el entorno de la comunicación.
Sin embargo, tal y como sucede en multitud de aspectos relacionados con la
tecnología, uno de los apartados que más preocupa a la comunidad es todo aquello que esté relacionado con la seguridad y privacidad de los datos que vayamos a transmitir en este caso. Es por ello que no todas estas
aplicaciones de mensajería son igual de fiables a la hora de garantizar nuestra
privacidad y seguridad, apartados que cada vez se están poniendo más difíciles de conseguir.
Cómo guardar todos los datos de WhatsApp y pasarlos al ordenador
A pesar de todo, a día de hoy usamos todo tipo de
aplicaciones de mensajería para intercambiar grandes cantidades de información sensible, ya sea personal,
política, sexual o relacionada con nuestros
negocios. Llegado el caso, en la mayoría de las ocasiones damos por sentado que las
medidas de seguridad implementadas en estas aplicaciones son más que suficientes, todo hasta que nos llevamos el gran disgusto, al menos es lo que sucede en algunas ocasiones. Muchas veces nos excusamos para quitar hierro a este asunto de suma importancia, con la afirmación de que nosotros no tenemos nada que esconder, pero eso es falso en la mayoría de los casos, al menos desde el punto de vista de los posibles
atacantes, que pueden usar nuestra información personal de muchas maneras, llegando incluso a la
extorsión.
Es por ello que a continuación os vamos a hablar de algunos de los apartados más importantes a tener en cuenta a la hora de valorar la
seguridad que nos proporciona realmente nuestra app de mensajería instantánea, válidos para todo tipo de sistemas operativos móviles como
Android o
iOS.
(https://www.softzone.es/app/uploads/2017/06/mensajeria-movil.jpg)
Cifrado
En primer lugar vamos a referirnos al cifrado que se debería hacer de los datos que transmitimos por estas vías, sean del tipo que sean. Este sistema se centra en el uso de determinados
algoritmos matemáticos que se utilizan para codificar los
datos compartidos en estas redes, por lo que se consideran como una de las mejores maneras de evitar que elementos no deseados puedan dar sentido a los
mensajes que enviamos. Es precisamente por ello que la gran mayoría de las principales aplicaciones de mensajería usan algún tipo de cifrado para proteger nuestra privacidad.
Sin embargo hay que tener en cuenta que no todos los
métodos de cifrado se realizan de la misma manera, de hecho hay algunos de estos servicios que deliberadamente mantienen las llaves para descifrar los mensajes previamente
cifrados para poder acceder a su contenido. Esto es algo que se utiliza en algunos casos para, por ejemplo, analizar nuestra información y así poder crear anuncios mejor orientados a cada caso, o para «alimentar» a sus algoritmos de
aprendizaje máquina y así mejorarlo. Llegados a este punto cabe mencionar que por esto las aplicaciones de este tipo consideradas como más seguras son aquellas que utilizan un sistema encriptación de
extremo a extremo, también conocido como E2EE. Así se usa una forma de cifrado que asegura que solo el remitente y el destinatario de un determinado mensaje podrán leer su contenido. Además con
E2EE ni siquiera el proveedor del servicio que almacena los mensajes en sus
servidores, podrá descifrarlos ni leerlos.
El actual estándar mas utilizado en este sentido hoy día es
Open Whisper Systems Signal Protocol, que se utiliza en la aplicación de mensajería respaldada por
Edward Snowden o por el famoso experto en criptografía,
Bruce Schneier. Otras aplicaciones de mensajería que también hacen uso de este son Facebook Messenger,
WhatsApp o Telegram. Sin embargo hay que tener en cuenta que algunas aplicaciones no habilitan el E2EE de forma predeterminada, por lo que tendríamos que hacerlo nosotros mismos en el caso de que lo soporten.
(https://www.softzone.es/app/uploads/2017/06/E2EE.jpg)
Código abierto
Por otro lado diremos que en los últimos años, la
transparencia ha surgido como un elemento crítico para el desarrollo de
software seguro, por lo que la mayoría considera que los desarrolladores que «abren» el código fuente de sus propios proyectos para que otros lo vean, son mucho más fiables. Decir que el
Open-sourcing de una aplicación no lo hace intrínsecamente seguro, sin embargo también es cierto que ofrece la oportunidad a los
expertos de seguridad de revisar el código y así poder encontrar posibles
bugs o
puertas traseras en la nueva herramienta. Este es el caso de
Telegram o
Signal, dos alternativas de mensajería de
código abierto, por ejemplo.
Por el contrario, aquellas aplicaciones que hacen uso exclusivo e interno de su propio
código fuente dejando al resto de
expertos en el tema en la más total oscuridad, obligan a los usuarios de sus desarrollos a confiar en que la propia empresa haya probado de manera conveniente a la vez que efectiva y depurado su propio código contra posibles ataques externos.
¿Por qué nos cuesta tanto cambiar WhatsApp por otra app de mensajería?
Eliminación de mensajes
En el desafortunado caso de que nuestro
teléfono móvil caiga en otras manos indeseadas y no lo tengamos convenientemente protegido, o por alguna razón nuestra cuenta de usuario de la aplicación de mensajería instantánea se vea comprometida, hay que tener muy en consideración que ningún tipo de de cifrado será capaz de proteger nuestra
información confidencial llegado el momento. Es por todo ello que el hecho de ser capaz de eliminar los mensajes almacenados en la propia
herramienta, se le puede considerar como una medida extra relacionada con la seguridad.
Precisamente por estas razones, la mayoría de las aplicaciones nos permitirán eliminar mensajes individuales o
chats completos de nuestras propias cuentas y, por lo tanto, de los dispositivos móviles. Sin embargo estas mismas aplicaciones de mensajería segura deben permitir a los remitentes borrar todos los mensajes confidenciales de los
dispositivos pertenecientes a todas las partes involucradas en una misma conversación. Así podemos poner el ejemplo de las propuestas de Telegram,
Signal o
Wickr, ya que cuentan de serie con una función de
autodestrucción de mensajes que, en el caso de estar activa, eliminará automáticamente todos los mensajes de los
dispositivos después de que haya transcurra cierto tiempo, lo que seguro será de agradecer por muchos en determinadas circunstancias.
(https://www.softzone.es/app/uploads/2017/06/Seguridad-de-la-Informaci%C3%B3n-655x278.jpg)
Almacenamiento de metadatos
Además del contenido de nuestros mensajes, cada
servicio de mensajería almacena un conjunto de información propia que alberga datos como la hora a la que se envió un mensaje, a quién se le mandó, etc; lo que se suele denominar como
metadatos o "datos sobre datos". Aunque a primera vista el contenido de estos metadatos podría no ser tan sensible como el mensaje real, sí que se puede deducir bastante de los mismos como los contactos que tenemos, los
patrones de uso o nuestra
ubicación, entre otras cosas. A esto hay que sumarle que los metadatos nunca están encriptados o protegidos como sucede con el contenido del mensaje.
De hecho para algunos expertos los metadatos son mucho más íntimos incluso que nuestras
conversaciones, ya que muestran dónde vamos, nuestros
intereses, relaciones o quiénes somos en realidad. Es más, estos en ocasiones se han utilizado a la hora de identificar y atrapar
criminales o terroristas, mientras que algunos militares confían en los metadatos a la hora de llevar a cabo ataques aéreos, todo basado en la
información que recogen los mencionados metadatos.
Por lo tanto es información que se podría considerar como de extrema importancia y muy perjudicial si llega a caer en manos equivocadas. De este modo podemos llegar a la conclusión de que cuantos menos metadatos almacene una
aplicación de mensajería instantánea, más segura será en este sentido. Así es recomendable revisar las políticas de almacenamiento de esta información que la aplicación de mensajería que usemos de manera habitual haga, al menos para que al menos seamos conscientes de todo ello. Sirva como ejemplo que Signal almacena tan solo la última vez que cada
usuario se conecta al
servidor, que es la más restrictiva de las principales aplicaciones de mensajería en este sentido.
Telegram anuncia oficialmente la llegada de las llamadas de voz
Estos son algunos de los aspectos más importantes a la hora de evaluar la
fiabilidad de cada una de las aplicaciones de estos entornos que usemos, lo que no significa que debemos descartarla si no se ajusta a los criterios anteriormente mencionados. Sin embargo sí que nos puede servir para no dar por sentados ciertos hechos relacionados con la privacidad y seguridad de nuestros datos y tomar las medidas necesarias en cada caso.
El artículo Aspectos a tener en cuenta en la seguridad de tu aplicación de mensajería instantánea (https://www.softzone.es/2017/06/19/seguridad-aplicaciones-mensajeria-instantanea/) se publicó en SoftZone (https://www.softzone.es).