¿Qué hace que una aplicación de mensajería instantánea sea segura?

Cómo proteger los chats en tu teléfono y por qué el cifrado por sí solo no es suficiente.

¿Qué hace que una aplicación de mensajería instantánea sea segura?

Hemos publicado varias comparaciones de aplicaciones de mensajería instantánea seguras con cifrado de extremo a extremo, compartido ajustes recomendados y descrito los respectivos fallos de estas aplicaciones. Ahora bien, ¿qué pasa con las personas que buscan servicios de mensajería instantánea seguros, pero que no son expertos en tecnología? Este artículo es para ellos, ya que se basa en un estudio extenso y un informe publicado con el título ¿Qué es seguro?, llevado a cabo por un grupo de expertos de las agencias Tech Policy Press y Convocation Research and Design.

El informe incluye recomendaciones tanto para usuarios como para desarrolladores. Pero como no todo el mundo leerá las 86 páginas de texto, resumimos las principales conclusiones del artículo a continuación.

Objeto de estudio

Los investigadores entrevistaron a grupos de usuarios de Luisiana, Estados Unidos, y Delhi, India, para determinar los puntos más fuertes y más débiles de las aplicaciones de mensajería instantánea actuales. Se examinaron las siguientes aplicaciones populares:

  • iMessage de Apple
  • Messenger de Meta (Facebook)
  • Mensajes de Google
  • Signal
  • Telegram
  • WhatsApp

El estudio se centró en la forma en que los humanos responden a los consejos en la aplicación y la forma en la que entienden el significado de cada función. Más importante aún, se preguntó a los encuestados acerca de sus temores específicos y de qué manera creen que las aplicaciones de mensajería segura son o podrían ser útiles en sus vidas. Algunos de los entrevistados dijeron que están preocupados por la posible violencia física, como la violencia doméstica, en relación con los mensajes, mientras que otros temen ser perseguidos por las autoridades. Esto tuvo un efecto importante en su percepción de lo que es “seguro”.

Hallazgo clave

El cifrado de extremo a extremo constituye solo un aspecto de la seguridad. La mensajería cifrada no resolverá todos los problemas que tiene un usuario amenazado. Por lo tanto, se necesita pensar en una estrategia contra adversarios motivados. ¿Existe el riesgo de que alguien tome tu teléfono? ¿Existe el riesgo de que te obliguen a desbloquearlo? ¿Temes que alguien intente obtener tus datos a través de la empresa propietaria de la aplicación, mediante un litigio o una orden judicial? ¿O que infecte tu teléfono con spyware? ¿Sería más fácil para los atacantes intentar quitarle esos datos a la persona con la que intercambias mensajes? Para muchos, la respuesta a cada una de las preguntas anteriores es no, por lo que una aplicación de mensajería instantánea cifrada proporciona suficiente seguridad por sí misma. E incluso aunque la respuesta sea afirmativa, no es razón para renunciar al cifrado y la mensajería segura: solo tienen que ser una de las capas de las defensas.

Como consejos adicionales, los investigadores recomiendan que los grupos de usuarios vulnerables mencionados anteriormente tomen varias medidas técnicas (más información al respecto a continuación), pero, lo que es más importante, que no lleven sus teléfonos a lugares donde alguien pueda tomarlos físicamente o desbloquearlos a la fuerza. En su lugar, sugieren adquirir un segundo teléfono para llevar a estos lugares peligrosos y dejar el dispositivo principal al cuidado de una persona de confianza.

Consejos generales sobre mensajería segura

Lo más conveniente es compartir los mayores secretos cara a cara. Ningún método de comunicación digital es completamente seguro. Por lo tanto, la información más arriesgada, en especial si representa una amenaza para la salud o incluso la vida, debe discutirse personalmente y no a través de un chat.

No tomes decisiones a ciegas. Los usuarios hacen esfuerzos conscientes para proteger su privacidad, pero en ocasiones, confían en la opinión popular sobre la seguridad, en lugar de basarse en fuentes verificadas. Pocas personas leen los documentos que acompañan a las aplicaciones de mensajería instantánea: términos de uso o informes de transparencia y de intercambio de datos con gobiernos. Investiga bien qué datos almacena realmente el servicio de mensajería y dónde, así como con quiénes los comparte y los ha compartido en el pasado. Esta información está disponible en informes de transparencia y en los medios de comunicación.

Revisa bien la configuración de la aplicación. Trata de entender cada ajuste y activa todas las opciones más seguras. Ten en cuenta que los ajustes de privacidad pueden encontrarse en la configuración general del teléfono (esto sucede por ejemplo en las aplicaciones iMessage, en iOS, y Mensajes de Google, en Android) o bien en secciones de la configuración de la aplicación (como suele ocurrir con Telegram).

Evita los modos híbridos. Varias aplicaciones de mensajería admiten mensajes cifrados y no cifrados. En iMessage y Mensajes de Google, puedes enviar textos abiertos y mensajes cifrados en el mismo chat; sin embargo, no es recomendable, ya que este tipo de mensajes siempre se confunden. Tanto Messenger como Telegram tienen chats cifrados y no cifrados independientes, y utilizan el modo no cifrado de manera predeterminada. El documento recomienda usar aplicaciones de mensajería basadas en cifrado completo: Signal o WhatsApp.

Cuantas más funciones, mayor es el riesgo. Las funciones adicionales, como historias, bots o enlaces a servicios de redes sociales, proporcionan canales adicionales de vigilancia y filtración de datos. Es mejor desactivar este tipo de funciones o evitar usar la aplicación por completo.

Desactiva las vistas previas de enlaces, el uso compartido de geolocalización y los GIF. Estas funciones pueden ser útiles, pero distintos agentes pueden usarlas para rastrearte, incluidos los sitios web vinculados. Otro posible canal de filtración es buscar y compartir GIF en los chats.

Las aplicaciones de mensajería que funcionan sin un número de teléfono son convenientes. Estas incluyen, hasta cierto punto, Telegram, iMessage y Messenger, aunque resulta algo arduo configurar cada una de ellas para usar tu nombre de usuario interno o correo electrónico como identificador al chatear. Según el informe, WhatsApp y Signal también planean añadir una función como esta.

Usa mensajes que desaparecen. Las personas más aprensivas pueden hacer que las conversaciones se eliminen automáticamente después de un breve período, como un minuto. Por desgracia, no todas las aplicaciones de mensajería instantánea tienen opciones como esta y, en algunas de ellas, el período de visibilidad más corto es de 24 horas. Los mensajes que desaparecen no contribuyen demasiado a protegerte de las capturas de pantalla u otras formas en que se pueden guardar las conversaciones. La eliminación automática de mensajes es útil si crees que algún desconocido podría revisar tu teléfono pronto.

Cifra las copias de seguridad de los chats. Las copias de seguridad predeterminadas en la nube son un canal de filtración frecuente; por eso, es fundamental que estén cifradas (algo que debe habilitarse de forma manual, tanto en WhatsApp como en iMessage), que se guarden de manera local (por ejemplo, en una tarjeta SD si usas un teléfono Android) o que se inhabiliten. De igual manera, todas las copias de seguridad locales deben cifrarse.

Compara las claves de cifrado con las personas con las que intercambias mensajes instantáneos. Este procedimiento se llama Verificación de clave de contacto (en iMessage), Números de seguridad (en Signal), Código de seguridad (en WhatsApp) y Clave de cifrado (en Telegram), y te ayuda a asegurarte de que estás conversando con la persona adecuada, utilizando el dispositivo correcto. Las claves de cifrado se pueden verificar para cada conversación, al comparar códigos o reunirse personalmente.

Protégete contra el secuestro de cuentas al activar la autenticación de dos factores. Esta característica puede tener varios nombres, como verificación en dos pasos o PIN de registro, entre otros, pero la esencia es la misma: para iniciar sesión en la misma cuenta en un dispositivo nuevo se necesita un paso de verificación adicional.

Entrena a las personas con las que conversas. Esto es fundamental para los grupos que hablan sobre temas confidenciales. Es necesario que todos los miembros compartan y respeten las siguientes reglas de ética y seguridad:

  • No reenviar información confidencial.
  • No hacer capturas de pantalla u otras copias de la información que se intercambia en el chat.
  • Apoyar una cultura de privacidad dentro de la comunidad.
  • Usar la configuración de la aplicación sabiamente.
  • Deshabilitar funciones de chat potencialmente riesgosas.

¿Cuál es la aplicación de mensajería instantánea más segura?

Signal es el claro líder en el estudio, pero el requisito de exponer el número de teléfono complica un poco la situación. La siguiente tabla contiene una comparación de las características de seguridad de las principales aplicaciones de mensajería instantánea, con la opción más segura de cada fila resaltada en verde.

iMessage de Apple Messenger de Meta (FB) Mensajes de Google Signal Telegram WhatsApp
Cifrado de extremo a extremo en chats individuales En algunos casos* Tipo especial de chat En algunos casos* Siempre Solo en chats secretos Siempre
Cifrado de extremo a extremo en chats grupales En algunos casos* Tipo especial de grupo En algunos casos* Siempre Nunca Siempre
Protocolo de cifrado verificado No No
Copias de seguridad cifradas Sí, opcional Sin copias de seguridad No Sí, activadas de manera predeterminada Sin copias de seguridad Sí, opcional
Comparación manual de claves de cifrado No
Registro sin número de teléfono Sí (complicado) No No No No
Ocultamiento del número de teléfono de los contactos No No No
Enlaces con otros servicios o cuentas en estos No No No
Ocultamiento de metadatos** Parcial Parcial Parcial Parcial Parcial
Almacenamiento de metadatos** No
Mensajes autodestructivos No Cinco segundos o más No Un segundo o más Un segundo o más 24 horas o más y visualización única
Desactivación de vistas previas de enlaces No No No Solo en chats secretos No
Bloqueo de capturas de pantalla No No No Solo en chats secretos No
Alerta de captura de pantalla No No No No No
* Disponible siempre que todas las partes utilicen la misma plataforma (iOS o Android) y la configuración de la aplicación adecuada.
** Configuración de confidencialidad para evitar mostrar a otros usuarios los siguientes metadatos parcial o totalmente: la fotografía del usuario, los otros contactos del usuario, las membresías de chats y grupos, la dirección IP y los tiempos de chats.
La tabla se basa en los datos del informe ¿Qué es seguro?
Consejos