Skip to content
Volver a noticias
Jan 28

Seguridad en mensajería instantánea: ¿WhatsApp, Signal o Telegram? @avast_es

Seguridad en mensajería instantánea: ¿WhatsApp, Signal o Telegram? @avast_es

</strong></p>

Lo que necesitas saber cuando estás eligiendo la mejor aplicación de mensajería

Por Adolf Streda, Investigador de Malware para Avast

Hace mucho ya de los días en los que usábamos los SMS para comunicarnos con nuestros amigos y familia. El beneficio de las aplicaciones de mensajería multimedia nos ha hecho alejarnos del servicio básico de texto en red y acercarnos más a las aplicaciones que nos permiten no sólo chatear, sino también llamar, formar grupos, enviar fotos, audios, GIFs, etc.

Sin embargo, en un momento en que nuestro mundo digital puede tener las claves de nuestro éxito o fracaso, la seguridad estrecha alrededor de todo lo que enviamos a Internet, o incluso a través de Internet, es esencial.

A medida que vemos más notas en los medios sobre violaciones de datos y mensajes filtrados cada semana, y que las personas se han vuelto más conscientes de su privacidad y de lo que las corporaciones hacen con sus datos, comenzamos a hacernos preguntas sobre cuán seguros son nuestros medios de comunicación. ¿Alguien lee mis mensajes de texto? ¿Qué tan seguras son las aplicaciones de mensajería y cómo funcionan exactamente?

WhatsApp y su nueva política

A principios de este mes, WhatsApp se volvió el centro de las noticias cuando actualizó sus términos y condiciones de servicio y política de privacidad. Los usuarios de la aplicación no se tomaron los cambios, que incluían cómo se tratarán los datos de los usuarios a partir de ahora, de forma muy positiva. Los principales puntos de preocupación son los cambios de WhatsApp con relación a "cómo las empresas pueden utilizar los servicios alojados en Facebook para almacenar y gestionar sus chats", así como "cómo WhatsApp y Facebook se asocian para ofrecer integraciones de productos de las empresas de Facebook". Esto significa que WhatsApp puede recopilar datos como contactos, datos comerciales, identificadores de dispositivos, dirección IP (no rastreable en caso de que utilice una VPN) y otros datos directamente vinculados a sus usuarios, dependiendo del país.

72 horas después de que los nuevos términos de WhatsApp fueran anunciados a sus usuarios, Telegram informó un aumento de 25 millones de nuevos usuarios llegando a un total de 500 millones de usuarios en todo el mundo. Además, líderes de opinión influyentes como Julian Assange y Elon Musk extendieron sus recomendaciones para usar Signal, un servicio de mensajería encriptado y multiplataforma con énfasis en privacidad y seguridad.

Como resultado de las preocupaciones planteadas por los usuarios de WhatsApp, esta semana la compañía hizo una declaración compartiendo que: WhatsApp nunca leerá conversaciones, escuchará llamadas o compartirá las ubicaciones de los chats. También dijeron que no guardan ni comparten registros sobre las personas con las que uno interactúa dentro de WhatsApp que no son compartidos con Facebook, y que su uso es sólo interno para mejorar la experiencia de chat. La compañía declaró que sus contactos se cargan desde los servidores de WhatsApp sin compartirlos con Facebook.

A pesar de esta comunicación, el número de personas que migran fuera de WhatsApp no parece haberse ralentizado, así que, ¿qué hacen Signal y Telegram de manera diferente?

¿Cómo Signal difiere de Telegram y otras aplicaciones de mensajería?

La mayoría de las aplicaciones de mensajería hoy en día utilizan métodos de cifrado en diferentes formas. Esto es lo que ayuda a mantener los mensajes que envías seguros y a garantizar que nadie más pueda leer tus conversaciones. Cuando un servicio de mensajes de texto utiliza cifrado de extremo a extremo, la información enviada se cifra desde el momento en que el usuario toca ENVIAR hasta el momento en que la otra parte la recibe en su dispositivo. El cifrado de extremo a extremo garantiza que los datos permanezcan cifrados hasta que lleguen a su destino.

La mayoría de los mensajeros de hoy en día, como Allo, WhatsApp, Facebook Messenger y Skype, utilizan el llamado protocolo Signal (un protocolo criptográfico no federado que se puede utilizar para proporcionar cifrado de extremo a extremo para llamadas de voz, videollamadas y conversaciones de mensajería instantánea). Sin embargo, algunas plataformas, como WhatsApp, sacrifican parte de la seguridad proporcionada por el protocolo en nombre de ciertas características o funciones, por ejemplo cuando se incluye un teclado GIF o herramientas similares que utilizan un proveedor externo para proporcionar, en este caso, GIFs para la comunicación, o copias de seguridad de mensajes - haciendo que su cifrado no sea completamente de extremo a extremo.

El desarrollo del protocolo Signal fue iniciado por el cripto-ingeniero Trevor Perrin y Moxie Marlinspike, el creador de la aplicación del mismo nombre. El hecho de que el creador de Signal ha sido una de las personas involucradas en el desarrollo del protocolo más utilizado hoy en día, es lo que hace que esta app sea tan popular entre la comunidad de ciberseguridad, además de lo siguiente:

En primer lugar, es muy fácil de usar y su funcionalidad es tan amigable como otras plataformas en el mercado. En segundo lugar, es de código abierto, lo que significa que si se colocan elementos defectuosos en su código, la transgresión será marcada y corregida inmediatamente por la comunidad de desarrolladores de Signal. En tercer lugar, a diferencia de otras aplicaciones, Signal no sólo cifra los mensajes y las llamadas, sino también los metadatos, lo que mantiene la información personal de los usuarios segura. La compañía lo demostró en un caso de 2016 cuando fue citada para proporcionar todo tipo de información digital sobre uno de sus usuarios, y no pudo satisfacer la solicitud. Esto se debe a que los únicos datos que conserva la empresa son la fecha de creación de la cuenta y la fecha de la última vez que el usuario se conectó al servidor de Signal. Por último, la aplicación es de uso gratuito, funciona con Android e iOS, y está libre de la influencia de cualquier empresa comercial, ya que es una organización sin fines de lucro financiada por donaciones. Por lo tanto, en la era actual de problemas y preocupaciones de privacidad de datos, es un match perfecto comparado con las otras aplicaciones de mensajería disponibles.

Telegram también ofrece cifrado de extremo a extremo, sin embargo, no lo hace de forma predeterminada, es necesario utilizar la función de "chat secreto" de Telegram para habilitar el cifrado de extremo a extremo. El sistema de mensajería de chat en la nube predeterminado de Telegram almacena los mensajes y tu libreta de direcciones en los servidores de Telegram y los respalda en la nube. Esto significa que Telegram podría obtener acceso a tus mensajes y contactos.

La aplicación utiliza su propio protocolo llamado MTProto en lugar del protocolo Signal. Aunque no se conoce que el protocolo en sí sea vulnerable, algunas decisiones poco comunes fueron tomadas en el diseño del protocolo.

Dos ejemplos de estas decisiones poco comunes son el uso del modo de cifrado Infinite Garble Extension (IGE) -no tan ampliamente probado y, por lo tanto, menos alentado por la industria de seguridad- y el uso de MAC-then-encrypt (un tipo de cifrado que no impide que sea infalsificable). Si bien estas opciones pueden no ser ideales por sí mismas, el propio MTProto (al menos a partir de la versión 2.0 que trató de abordar los problemas presentados por las auditorías de seguridad de la versión anterior) puede ser lo suficientemente seguro. Sin embargo, estas decisiones de diseño todavía levantan dudas entre la comunidad de seguridad, dando la ventaja a Signal en términos de seguridad.

Aparte de eso, la aplicación también es gratuita, y está financiada por donaciones y se puede añadir un usuario en Telegram sin necesidad de usar su número de teléfono.

Tanto el protocolo signal utilizado por Signal como MTProto utilizados por Telegram (si la función de chat secreto está habilitada) proporcionan un "cifrado de extremo a extremo" completo, lo que significa que ni el proveedor de servicios (siendo, por ejemplo, Telegram o Signal), ni tu compañía telefónica, ni el gobierno pueden leer tus mensajes. Sólo el remitente y el receptor pueden leer los mensajes en ambos.

Tips para elegir tu aplicación de mensajería

Sin importar cuál sea la aplicación de mensajería que decidas usar o que funcione mejor para tu estilo de vida, aquí hay algunas recomendaciones para ayudarte a elegir una aplicación de mensajería segura mientras cuidas tu privacidad.

  1. Asegúrate de que tu servicio de mensajería utiliza cifrado de extremo a extremo.
  2. Revisa las políticas de privacidad y seguridad del servicio. Comprueba tanto la configuración de las aplicaciones como la de tu propio dispositivo.
  3. Sé analítico con los permisos que concedes, ¿la aplicación realmente necesita que tu ubicación siempre esté habilitada para funcionar?
  4. Activa la verificación en 2 pasos.
  5. Revisa y limita la visibilidad de tu información sólo a los contactos, si eso es lo que deseas.
  6. Mantén siempre tu aplicación de mensajería actualizada, esto reduce los riesgos de posibles violaciones de datos.
  7. Algunas aplicaciones te permiten verificar la identidad de tu contacto comparando los códigos que tu teléfono y el del contacto generaron, por ejemplo, en persona. Si bien puede ser difícil de manejar hacerlo para cada contacto, puede ser útil cuando realmente quieres estar seguro de con quién estás hablando.

Cuando encuentres una aplicación de mensajería con cifrado de extremo a extremo que funcione para ti, comienza a usarla y disfruta de la sensación de paz que llega cuando tu mente se siente tan segura y a salvo como tus mensajes.