Uno de los principales caballos de batalla de las aplicaciones de mensajería instantánea que podemos utilizar con nuestros teléfonos móviles es la seguridad en conversaciones y en el trasiego de datos. Telegram y WhatsApp llevan años luchando en una guerra intestina para ver quién puede ofrecer mayor seguridad en las comunicaciones.

A pesar de ello, a día de hoy, la aplicación de mensajería instantánea más segura es Signal, aplicación que apadrina el ex agente de la NSA Edward Snowden y que se encuentra gestionada por Open Whisper.

Signal tiene detrás, como CEO, al que fuera jefe de seguridad de Twitter, Moxie Marlinspike, y aunque los sistemas de mensajería instantánea más populares – Facebook Messenger, Google Allo o la propia WhatsApp – utilizan el mismo protocolo de seguridad que Signal, no es lo mismo.

Tal como escribe Marta Peirano en El Diario son muchos los gurús de las telecomunicaciones que llevan años empeñados en crear sistemas de mensajería instantánea invulnerables ante las intrusiones.

Schilling y Steinmetz y su protocolo Threema

Imagen - Pixabay

Una de estas aproximaciones ha sido la de dos profesores de la Universidad Técnica de Hamburgo, Roland Schilling y Frieder Steinmetz, que han desarrollado el protocolo Threema que permite, al menos así lo venden sus creadores, tener conversaciones por teléfono móvil – voz y datos – verdaderamente seguras.

El protocolo Threema acaba de ser presentando en el Chaos Communication Congress celebrado en la misma ciudad alemana. A grandes rasgos el protocolo Threema permite asegurar los tres rasgos que tiene que tener una conversación para poder ser calificada como segura: confidencialidad, autenticidad e integridad.

Con ello Threema también evita intrusiones como que alguien extraño a la conversación escuche parte de la conversación – intrusión Secreto Adelante – que ese mismo extraño escuche a partir de un determinado momento pero no el fin de la conversación – Secreto Futuro – con lo cual el mensaje se ve comprometido.

Al mismo tiempo existen otras características subordinadas a las principales que intensifican la seguridad de las comunicaciones, como son la consistencia, la validación de destino, la conservación de la causalidad o la asincronicidad, por citar solo unas cuantas.

Man in the Middle

Sin embargo en cualquier comunicación telemática o cibernética siempre existe un tercero que escucha la conversación: nuestro proveedor de servicios telefónicos y/o telemáticos. Mientras está pasando por los medios de transmisión de nuestro ISP – en el caso de internet – nuestro mensaje puede ser desde manipulado hasta transformado completamente.

Por si fuera poco nuestro proveedor de servicios telefónicos y/o telemáticos va a guardar tres copias de cada uno de nuestros mensajes. Para solventar ese problema se acude al cifrado de las comunicaciones.

Cifrado simétrico de comunicaciones

Imagen -  Karen Horton

El cifrado puede ser de muchas formas distintas, aunque las principales técnicas de cifrado son el simétrico y el simétrico – asimétrico. El simétrico es aquel tipo de cifrado en el cual el emisor cifra la comunicación con una clave que es la misma con la que la descifra el receptor. Se denomina simétrico porque la clave de cifrado y descifrado es la misma.

El principal método de cifrado simétrico es aquel en el que existe una clave pública, que conoce todo el mundo, y una clave privada que solo conoce el receptor y le va a servir para descifrar el mensaje.

Cifrado simétrico / asimétrico en comunicaciones con código QR

Imagen - Individual Design

De cara a un Smartphone y aunque los teléfonos móviles cada vez tienen más capacidad de proceso, utilizar un sistema de clave pública / clave privada es muy farragoso por lo que en los programas de mensajería instantánea orientados a móviles lo que se utiliza una clave pública con la que se cifra el mensaje, pero a la hora de descifrar el mensaje se utiliza una clave privada de un solo uso que ha sido generada a partir de la clave pública.

Estamos por tanto ante lo que se llama una sistema de cifrado simétrico / asimétrico. Se trata de un sistema criptográfico que compromete muchos menos servicios del Smartphone además de proporcionar confidencialidad, integridad, autenticidad, y también negación creíble.

Un último problema para los sistemas de cifrado simétricos / asimétricos consiste en saber que la clave pública con la que vamos a cifrar el mensaje es verdaderamente la clave pública verdadera y no ha sido hurtada por algún intruso.

Sin embargo en cualquier comunicación telemática o cibernética siempre existe un tercero que escucha la conversación: nuestro proveedor de servicios telefónicos y/o telemático

Para solventar ese último quebradero de cabeza para los criptógrafos lo que se ha ideado, después de descartar como método de validación el número de teléfono móvil o una dirección de correo electrónico, es el uso de códigos QR, artificio que utiliza el protocolo Threema.

¿Y qué hacemos con los metadatos?

Todavía queda el tema de los metadatos generados en una conversación que puede ser perfectamente confidencial. Ya sabemos que solo analizando los metadatos de una conversación se pueden descubrir muchas cosas. De hecho este es el sistema que utiliza la NSA para su espionaje.

Recordemos que sobre los metadatos no tenemos ningún control. Eso es gestionado por nuestro ISP que muy bien puede, como hacen algunos servicios de mensajería instantánea, venderlos a los anunciantes para que mediante técnicas de Big Data utilicen esos metadatos para sus campañas de ventas.

WhatsApp con puerta trasera

Imagen - Microsiervos

La puesta en solfa de la seguridad de las comunicaciones, como en el caso del agujero de seguridad que se ha descubierto en WhatsApp, ha abierto una polémica sobre si se trata de un fallo de seguridad o una puerta trasera que existe en ese popular programa de mensajería instantánea para espiar las comunicaciones.

Tal como informa La Vanguardia, desde que en abril del 2016 la empresa que ya pertenece a Facebook instauró el cifrado de extremo a extremo, WhatsApp se había convertido prácticamente en una red infranqueable desde el punto de vista de la seguridad.

Sin embargo un experto en seguridad informática, Tobias Boelter, ha descubierto un fallo de seguridad en aplicación que diseñase Jam Koum. El fallo de seguridad permitiría a la empresa o a un pirata informático el acceso a cualquier conversación mediante el cambio de las claves de seguridad.

El fallo de seguridad fue descubierto pocos días después de que WhatsApp introdujera el cifrado de extremo a extremo que se anunció como un sistema infalible para evitar las intrusiones en las conversaciones.

Agujero de seguridad en WhatsApp: Agencias gubernamentales las más beneficiadas

Imagen - Microsiervos

A día de hoy, el agujero de seguridad todavía persiste, algo que además de por hackers de todo tipo también puede ser utilizado por agencias gubernamentales, como puedan ser servicios de inteligencia. Saber el contenido de una conversación sería tan sencillo como preguntar a Facebook por el contenido de la misma.

De cualquier modo son muchos los que niegan, desde expertos en seguridad de Microsoft hasta periodista especializados como Zack Whittaker, que se trate de una puerta trasera que podría ser utilizada por la empresa de Mark Zuckberg para espiar las comunicaciones de los usuarios.

El problema surge cuando el usuario de WhatsApp cambia su tarjeta SIM y vuelve a ingresar en WhatsApp: a partir de ese momento el código de cifrado cambia, dejando al desnudo todas las conversaciones anteriores. El cifrado que utiliza WhatsApp es manufacturado por la empresa Open Whisper System, que también proporciona tecnología de cifrado para Facebook Messenger.

Signal, el sistema más seguro

Imagen - Open Whisper System

Open Whisper System es la misma empresa que patrocina Signal, un nuevo sistema de mensajería instantánea, aunque se ha sabido que fue la propia WhatsApp la que modificó esta tecnología de cifrado para permitir la existencia de una puerta trasera.

Desde WhatsApp se justificó el tuneado del sistema de cifrado aduciendo que en muchas latitudes muchas personas cambian habitualmente su tarjeta SIM y por eso se produce el cambio de las contraseñas de cifrado.

Algunos opinan que detrás de la puerta trasera podrían estar diversas agencias gubernamentales estadounidenses que habría presionado a WhatsApp. No queda lejos la polémica que enfrento al FBI con Apple, cuando los primeros solicitaron la desencriptación de los mensajes que se habían enviado desde un iPhone en un caso de homicidio múltiple.

Hoy por hoy, si lo que se quiere es tener unas comunicaciones completamente seguras, lo mejor es utilizar Signal, que además de haber sido recomendada por Edward Snowden, presenta por ahora una fiabilidad en seguridad del 100%, si bien es cierto que por hora la aplicación solo la conocen cuatro y el tambor.

XXX