Ya sea que esté compartiendo información confidencial o intercambiando ideas de películas con un amigo, las personas recurren a aplicaciones de mensajería privada que ofrecen cifrado de extremo a extremo para proteger el contenido de sus conversaciones.
Cuando los datos se comparten a través de Internet, a menudo atraviesan una serie de redes para llegar a su destino. Las aplicaciones como WhatsApp, propiedad del gigante de las redes sociales Meta (anteriormente Facebook), brindan un nivel de privacidad que incluso desafía a las agencias gubernamentales a acceder a conversaciones cifradas.
Sin embargo, con las aplicaciones cambiando constantemente sus políticas de seguridad y privacidad, ¿los mensajes aún están a salvo de ser descifrados?
En mayo de 2021, la desaprobación de la comunidad en línea con los cambios en la política de privacidad de WhatsApp para entidades comerciales que usan la plataforma hizo que muchos usuarios cambiaran a otras aplicaciones de mensajería privada como Signal y Telegram.
El experto en seguridad cibernética, el Dr. Arash Shaghaghi de la Facultad de Informática e Ingeniería de la UNSW y el Instituto de Seguridad Cibernética de la UNSW, compara el cifrado con tener una conversación secreta entre usted y otra persona.
«Para mantener nuestra información alejada de miradas indiscretas, confiamos en algoritmos criptográficos para cifrar nuestros datos. El cifrado implica convertir texto sin formato legible por humanos en un formato codificado y los datos solo se pueden leer después de haber sido descifrados», dice.
«El cifrado implica el uso de una clave para bloquear un mensaje, mientras que el descifrado utiliza una clave para desbloquear un mensaje.
«En teoría, si un extraño observara una conversación cifrada, no podría encontrarle sentido y necesitará la clave adecuada para descifrarla.
«Curiosamente, con algunos protocolos de cifrado de extremo a extremo, como Signal, incluso si alguien roba las claves de cifrado y toca la conexión, no puede descifrar los mensajes ya enviados. En lenguaje criptográfico, esto se denomina confidencialidad directa».
¿Nuestros mensajes son totalmente seguros?
Los algoritmos de cifrado modernos se han probado en batalla y se ha demostrado que no tienen vulnerabilidades conocidas. Si bien no significa que sea imposible de descifrar, el proceso requiere una gran capacidad de procesamiento y podría llevar mucho tiempo. Las computadoras cuánticas, si maduran lo suficiente, podrán descifrar gran parte del cifrado actual.
Los atacantes suelen tener como objetivo los puntos finales y sus vulnerabilidades. Esto es mucho más fácil que el criptoanálisis, que es el proceso utilizado para violar los sistemas de seguridad criptográficos.
Por ejemplo, el año pasado, los atacantes atacaron una vulnerabilidad relacionada con la función de filtrado de imágenes de WhatsApp que se activaba cuando un usuario abría un archivo adjunto que contenía un archivo de imagen creado con fines malintencionados. Se han informado vulnerabilidades más graves y menos complicadas dirigidas a clientes de WhatsApp que se ejecutan en iOS y Android.
El Dr. Shaghaghi dice que cuando realiza una copia de seguridad de sus mensajes en algunas de las plataformas de mensajería, sus mensajes se envían a la nube. Esto significa que todos sus mensajes ahora están almacenados en la computadora de otra persona.
«La implementación del cifrado de extremo a extremo por parte del proveedor de servicios juega un papel importante en la seguridad y privacidad de una aplicación de mensajería contra el proveedor y los atacantes», dice.
«WhatsApp solía mantener una copia de seguridad de los mensajes en un formato no cifrado en iCloud para los usuarios de Apple y Google Drive para aquellos que usaban WhatsApp en Android. Aunque WhatsApp adoptó un modelo de cifrado de extremo a extremo en 2016, las copias de seguridad no cifradas eran vulnerables a solicitudes del gobierno, piratería de terceros y divulgación por parte de los empleados de Apple o Google».
En 2021, WhatsApp lanzó una opción para que los usuarios habilitaran el cifrado de extremo a extremo de sus copias de seguridad. Si bien esto fue recibido como un paso adelante positivo, debería ser el valor predeterminado para todos los usuarios, no ofrecido como una opción, dice el Dr. Shaghaghi.
«Los usuarios preocupados por la seguridad y la privacidad de sus datos deben asegurarse de habilitar la copia de seguridad de cifrado de extremo a extremo para WhatsApp y otras plataformas de mensajería».
¿Qué pasa con Signal y Telegram?
A diferencia de WhatsApp y Signal, Telegram no tiene el cifrado de extremo a extremo habilitado de forma predeterminada. Solo cuando la función de «chat seguro» está habilitada, Telegram aplica el protocolo MTProto, un protocolo de código abierto y desarrollado a medida por el proveedor de mensajería.
«Hasta donde sabemos, Signal, Telegram y WhatsApp son seguros al proporcionar cifrado de extremo a extremo, si la opción está habilitada», dice el Dr. Shaghaghi.
«Sin embargo, Signal está construido con la privacidad y la seguridad como la motivación principal. El código fuente de punto final de Signals también está disponible para el público, lo que permite que cualquier persona inspeccione el código e identifique vulnerabilidades.
«Creo que el consenso es que Signal es una solución de mensajería más segura y respetuosa con la privacidad en comparación con WhatsApp, Telegram o Facebook Messenger».
Con tantas plataformas de mensajería disponibles en el mercado, el Dr. Shaghaghi dice que hay algunos pasos simples a seguir para ayudar a salvaguardar la privacidad del usuario.
«Las plataformas de mensajería contienen mucha información privada, por lo que vale la pena asegurarse de que la plataforma que usamos tenga una buena reputación para garantizar la seguridad y la privacidad de sus usuarios», dice.
«También vale la pena dedicar unos minutos adicionales para habilitar algunas de las funciones de seguridad más avanzadas que ofrecen estas plataformas, como el cifrado de copia de seguridad de extremo a extremo o la autenticación multifactor.
«Y sea cual sea la plataforma que decida usar, es una buena práctica asegurarse de que usamos la última versión de las aplicaciones y evitar descargar aplicaciones de tiendas de terceros».
Moderación del contenido intercambiado a través de plataformas de mensajería encriptada de extremo a extremo
Ha habido fuertes llamados por parte de diferentes organizaciones gubernamentales para que estas aplicaciones incluyan puertas traseras que proporcionen acceso a los datos cuando las autoridades lo consideren necesario.
Filtraciones recientes de la Oficina Federal de Investigaciones (FBI) de EE. UU. demostraron que, incluso con una citación, las entidades gubernamentales poderosas tienen acceso limitado a los mensajes intercambiados a través de aplicaciones que usan encriptación de extremo a extremo.
Este argumento es especialmente preocupante para muchos usuarios a quienes les preocupa que sea el primer paso para alejarse de los sólidos principios de encriptación en los que confían para garantizar la seguridad y privacidad de sus datos.
Ha habido debates en curso en Australia y en el extranjero con respecto a este tema.
«Desde la perspectiva de la ingeniería de seguridad, implementar una puerta trasera nunca es una buena idea», dice el Dr. Shaghaghi.
«No hay garantía de que los hackers maliciosos no descubran estas puertas traseras y las exploten.
«Sin embargo, los que están a favor de una solución que permita el acceso a las fuerzas del orden argumentan que necesitan acceso dado el uso cada vez mayor de estas plataformas por parte de los delincuentes».
Algunos proveedores de mensajería y empresas de tecnología han respondido realizando cambios en la funcionalidad de la plataforma.
«Para cumplir con los requisitos reglamentarios, WhatsApp ahora permite a los usuarios marcar un mensaje para que lo revisen sus moderadores. Esto debe ser iniciado por un usuario y cuando se marca un mensaje, los pocos mensajes anteriores también se reenvían a los moderadores de WhatsApp», dice. Dra. Shaghaghi.
«Apple ha promovido la mensajería encriptada en todo su ecosistema y ha luchado contra las agencias de aplicación de la ley que buscan registros.
«En 2021, anunciaron funciones de seguridad para niños que incluyen la detección de imágenes sexualmente explícitas en iMessage, otra plataforma que usa encriptación de extremo a extremo. Para implementar esta función, Apple planea implementar la detección en el dispositivo y no a través de una puerta trasera de encriptación.
«Creo que podemos equilibrar la necesidad de moderar el contenido criminal y los requisitos de seguridad y privacidad dividiendo el problema en casos de uso más específicos y desarrollando soluciones innovadoras».
Citación: Desbloqueo del secreto de las aplicaciones de mensajería privada (29 de agosto de 2022) recuperado el 29 de agosto de 2022 de https://techxplore.com/news/2022-08-secret-private-messaging-apps.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.