Las 11 apps de mensajería menos seguras

La semana pasada vimos las puntuaciones de las aplicaciones de mensajería más seguras, esta semana le echaremos un vistazo a los que han obtenido una baja puntuación.

La semana pasada vimos las puntuaciones de las aplicaciones de mensajería más seguras, según la Fundación Fronteras Electrónicas (en inglés Electronic Frontier Foundation o EFF),  que describían las principales características de nueve de estas apps. Esta semana le echaremos un vistazo a los que han obtenido una baja puntuación.

11 APP

Si el listado de la semana pasada, donde salen los mejores servicios de mensajería en cuanto a privacidad y seguridad es desconocido para la mayoría de la gente, vale la pena señalar que, por el contrario, el listado de aplicaciones y servicios de esta semana, que no tienen mucha seguridad, es muy popular. Por esta razón, nos centraremos en las más generalizadas, aunque también mencionaremos otras menos utilizados.

Contexto

La EFF ha emitido puntuaciones altas y bajas para cada servicio según 7 categorías. De acuerdo a nuestros objetivos, los proveedores de servicios tienen puntuaciones suspensas al recibir 0, 1 ó 2 “Síes” dentro de las siguientes categorías:

  1. ¿Están codificados los datos en tránsito?
  2. ¿Están codificados los datos de manera que ni el proveedor de los servicios pueda leerlos?
  3. ¿Puedes identificar la verdadera identidad de los contactos?
  4. ¿Cumple el proveedor con lo que se conoce como la confidencialidad directa perfecta (perfect forward secrecy), que significa que las claves de cifrado son efímeras y, por lo tanto, una clave robada no podría decodificar comunicaciones existentes?
  5. ¿Está el código de la aplicación abierto y disponible para el análisis público?
  6. ¿Se documentan los procedimientos y procesos de implementación de cifrado?
  7. ¿Ha tenido alguna auditoría de seguridad independiente en los últimos 12 meses?

En conjunto, estos siete puntos están diseñados para medir qué servicios ofrecen la mejor protección contra la vigilancia gubernamental, los espías criminales y la recopilación de información por las grandes empresas. Dicho esto, ni la EFF, ni Kaspersky Daily respaldan oficialmente ninguno de estos programas. Este listado simplemente indica qué aplicaciones y servicios siguen de manera consistente los puntos anteriores.

Muy malos: Cero Puntos

Sólo los servicios de mensajería Mxit y QQ han recibido cero puntos, aunque seguramente nunca los has utilizado. Dadas las 7 categorías, el hecho es que Mxit y QQ no codifican datos en tránsito y, por esta razón, no te recomendamos que utilices ninguno de los dos porque tu comunicación a través de estas aplicaciones puede ser vista mientras viajan de emisor a receptor.

Aún malas: Un Punto

Desafortunadamente hay cuatro servicios de mensajería que la mayoría de nosotros ha utilizado y que sólo han cumplido uno de los 7 puntos del listado.

La codificación ha sido un tema atrasado para el servicio de mensajería de Yahoo, y ahora sólo codifica la comunicación en tránsito de los usuarios. Esto significa que Yahoo (la compañía) puede leer tus mensajes o compartirlos con las fuerzas del orden. Para ser justos, hacen informes de transparencia bianuales donde detallan cuánta información conceden por petición al gobierno.

No puedes verificar la identidad de tus contactos con la mensajería de Yahoo!, puesto que no practica la confidencialidad directa perfecta (perfect forward secrecy). Además, no tiene el código abierto para cualquier revisión independiente, ni documenta su diseño de seguridad apropiadamente. Finalmente, la compañía no ha tenido ninguna auditoría. Sin embargo, durante los dos últimos años, Yahoo! ha recorrido un largo camino en términos de encriptación web, por lo que es probable que en el futuro pueda hacer las modificaciones pertinentes dentro del servicio de mensajería.

A pesar de los servicios de Microsoft con sus llamadas por internet y servicios de mensajería, Skype ha obtenido la misma puntuación que Yahoo! Messenger, con sólo un punto por su codificación de datos en tránsito. No ha cumplido ninguno de los otros 7 puntos. Skype tiene un mal historial en términos de integridad de comunicación y denuncias de vigilancia, con fuertes críticas específicamente sobre la susceptibilidad de ser espiado. Microsoft ha negado estas afirmaciones.

El servicio de mensajería de BlackBerry ha tenido la misma puntuación que Yahoo! y Skype. El servicio operado por la compañía conocida como “Research In Motion” o RIM, sí codifica la comunicación en tránsito, lo cual es bueno. Sin embargo, no codifica la comunicación para que el proveedor (BlackBerry) no pueda leerlo, no abre su código para una revisión independiente, no documenta apropiadamente el diseño de seguridad y tampoco ha permitido una auditoría en el último año.

AIM probablemente más conocido como mensajería instantánea de América Online, ha existido por mucho tiempo. Se puede decir que desde finales de los 90´s hasta mediados de los 2000, la mensajería instantánea de AOL ha sido incomparable. Ya no tiene el mismo nivel de popularidad que tenía antes, aunque entre niños sigue siendo muy utilizado.

Desafortunadamente todos los antes y después mencionados, solo codifican datos en tránsito, y nada más.

La aplicación de multiplataforma Secret Message junto con Hushmail que presumen ser seguras y privadas, solo codifican datos en tránsito. Las plataformas de Kik e Ebuddy XMS no presumen de seguridad, pero las dos han recibido la misma puntuación que todas dentro de esta misma categoría.

Mejores, pero aún malas: 2 Puntos

La aplicación popular para compartir fotos y vídeos llamada SnapChat, ha obtenido 2 puntos. Uno es por codificar datos en tránsito entre emisor y receptor pasando por el servidor de SnapChat. Y el segundo punto es por haber tenido auditoría durante el último año. Como muchos de los servicios de este listado, SnapChat ha sido tema de mucha crítica, no por la falta de seguridad, sino por no seguir su premisa central.

La idea central detrás de SnapChat es que los mensajes, fotos o vídeos aparezcan durante un determinado periodo de tiempo que predetermina el emisor, y luego, desaparezca para siempre. Sin embargo, el receptor puede guardar las imágenes haciendo capturas de pantalla, notificando al emisor. Aún más problemática es una aplicación llamada SnapHack que elude por completo lo efímero de Snapchat dejando a los receptores simplemente guardar los “snaps” (así es como los llaman). Finalmente, investigadores han reclamado que las imágenes realmente no desaparecen, simplemente son más difíciles de encontrar.

En el top tres de las puntuaciones en cuanto a popularidad de aplicaciones para la EFF, está Google Hangouts que ha recibido 2 puntos. Hangouts es una multiplataforma. No sólo es el chat integrado de Gmail, sino que también es el chat nativo de Google Plus para dispositivos Android. Google codifica datos en tránsito para Hangouts y ha tenido auditoría en el último año, pero puede leer tus mensajes, los usuarios no pueden verificar la identidad de sus contactos, no practica la confidencialidad directa perfecta, su código no está abierto a revisiones independientes y su diseño de seguridad no está documentado apropiadamente.

El chat de Facebook, el cual es utilizado más como un servicio de mensajería para móvil, también ha obtenido dos puntos. Este chat codifica datos en tránsito y ha sido auditado, pero fracasa dentro de las otras categorías.

Viber es el servicio menos popular dentro de la categoría de los 2 puntos, aunque aparentemente es conocido como mensajería privada, solo codifica datos en tránsito y cuenta con una auditoría.

Esto nos lleva al curioso caso de WhatsApp. WhatsApp es un servicio popular de mensajería para móvil. WhatsApp es tan prometedor, que Facebook lo compró por $19 billones de dólares a principios de año. Es una especie de alternativa a los “viejos” SMS (aunque éste funciona con Internet más que con el propio servicio de red). A pesar de que la EFF le ha dado la misma puntuación junto con los otros servicios de la misma categoría, creo que podrán haber cambios.

La razón para este cambio sería la nueva asociación entre WhatsApp y Open Whisper Systems, añadiendo la codificación a su aplicación de Android. Como referencia tenemos las asociaciones de Whisper System´s Signal, RedPhone, SilentText y SiletPhone, las cuales cumplen los 7 puntos de la EFF, en otras palabras parece que WhatsApp se volverá considerablemente más seguro en los próximos meses.

Por el momento, la codificación sólo ha sido implementada en dispositivos Android para comunicaciones de usuarios individuales. Así que los usuarios de iPhone y los mensajes de grupo tendrán que esperar para ser seguros. Sin embargo, WhisperSystems ha dicho que ya está trabajando para resolver estos problemas.

La conclusión, teniendo en cuenta la codificación de WhatsApp, es la siguiente: WhatsApp se encuentra dentro de los servicios de mensajería más populares y valiosos. También se están tomando en serio la seguridad y la privacidad, lo cual es una buena noticia y esperemos que la competencia de WhatsApp siga su ejemplo.

Consejos