La privacidad se encuentra a la orden del día, y más cuando la informática cuenta con un papel tan fundamental en nuestras vidas: son muchos los mensajes que mandamos a través de nuestro móvil o nuestro ordenador. Y ninguno de nosotros querrá que esos mensajes caigan en las manos equivocadas, ya sea porque contienen información sensible, o porque no nos haga ni pizca de gracia que se metan en nuestra vida.
Por esas razones, mucha gente busca a día de hoy una alternativa segura en esto de los mensajes: que nos prometa mantener nuestra privacidad, ante cualquier atacante o incluso ante la justicia. Y no son pocas las alternativas que existen para eso, pero nos encontramos con un problema: ¿cuál escogemos para proteger nuestros mensajes de miradas indeseadas?
Cómo valorar la seguridad de una aplicación
La conocida Electronic Frontier Foundation (EFF) es uno de los protectores de la privacidad para los usuarios, y con el propósito de ayudarnos, tienen una extensa lista con los verdaderos grados de seguridad que tiene cada servicio de mensajería. Y de estos datos podemos sacar conclusiones bastante interesantes. Los criterios que se han utilizado para valorar a las aplicaciones son los siguientes:
- Cifrado en tránsito | Comunicación cifrada en el camino. Cifrado de datos y metadatos no obligatorios para obtener un «Sí» en esta categoría.
- Cifrado de tal forma que el proveedor no puede leerlo | Cifrado completo de punto a punto, claves privadas generadas y almacenadas en los dispositivos de los usuarios sin que salgan en ningún momento.
- Verificación de la identidad del contacto | Existencia de un método para verificar la autenticidad del contacto y la integridad del canal, aunque alguna de las partes se encuentre comprometida.
- Conversaciones pasadas seguras en caso de robo de claves | Requerimiento de que las claves cuenten con «fecha de caducidad» y sea imposible utilizarlas después de esa fecha. El cifrado de punto a punto es un requisito para poder hacer esto.
- Código abierto a análisis independientes | La existencia de suficiente código publicado para detectar posibles problemas, fallos de seguridad, y problemas estructurales.
- Diseño de la seguridad bien documentado | Explicaciones claras y detalladas de la criptografía empleada por la aplicación
- Auditorías de código recientes | Si alguna empresa externa e independiente ha realizado un análisis del código en los últimos 12 meses.
Empezamos con el gigante de la mensajería, que acaba de anunciar que contará con cifrado de fin a fin por defecto. Antes de esta futura llegada, podemos encontrarnos con cifrado en el tránsito, pero no nos ofrece ninguna garantía más: ni cifrado de fin a fin (de momento), ni verificación de identidades, ni código abierto o documentación sobre la seguridad. Por suerte, el código supone una excepción y se ha auditado hace poco.
Telegram
El aspirante tiene mucho que decir en esto de la seguridad: Telegram destaca por su seguridad, ofreciendo cifrado de punto a punto desde su lanzamiento, además de verificar la identidad del usuario y estar documentado en el apartado de seguridad. Las únicas pegas que podemos encontrar es que nuestras claves no dejan de ser funcionales con el tiempo, y que no se ha auditado el código recientemente.
Hangouts
Pasamos a la apuesta de Google por la seguridad, una apuesta que debería mejorar mucho de cara a la seguridad. Nos encontramos con un caso igual al de WhatsApp: mensajes cifrados en tránsito pero no de fin a fin, y una auditoría de código reciente. Ni verificación de identidades, ni claves con fecha de caducidad, ni abierto a revisiones independientes, ni documentado debidamente…
Facebook Messenger
Y casi podríamos hacer un copiar-pegar con Facebook Messenger, porque cuenta con la misma seguridad que WhatsApp (ahora mismo) y Google Hangouts. Tenemos cifrado en tránsito y auditoría externa para verificar su seguridad, pero nos chocamos con un negativo en el resto de apartados. Esperemos que los dueños de WhatsApp tomen ejemplo y apliquen el mismo cifrado de fin a fin que con WhatsApp.
BlackBerry Messenger
BlackBerry supone el caso conocido más flagrante de toda la comparativa, porque BlackBerry Messenger ni siquiera ha sido auditado por otra empresa en los últimos 12 meses. La única medida de seguridad que nos encontramos es el cifrado en tránsito, mientras que el resto de apartados permanecen desiertos. Si queremos más seguridad, tendremos que pagar por la seguridad empresarial de RIM para empresas.
Skype
Tranquilos, porque la segura BlackBerry no es la única en ocupar la lista de las menos seguras: Microsoft con su Skype también tiene el dudoso honor de tener cifrado en tránsito, pero no contar con ninguna otra protección que nos garantice su seguridad.
Comparativa: la seguridad de la mensajería más popular en Android
Cifrado en tránsito | Cifrado de tal forma que el proveedor no puede leerlo | Verificación de la identidad del contacto | Conversaciones pasadas seguras en caso de robo de claves | Código abierto a análisis independientes | Diseño de la seguridad bien documentado | Auditorías de código recientes | |
---|---|---|---|---|---|---|---|
Si | No (temporalmente) | No | No | No | No | Si | |
Telegram | Si | Si | Si | No | Si | Si | No |
Hangouts | Si | No | No | No | No | No | Si |
Facebook Chat | Si | No | No | No | No | No | No |
BlackBerry Messenger | Si | No | No | No | No | No | No |
Skype | Si | No | No | No | No | No | No |
Actualizado > Noviembre de 2014 | Fuente > EFF |
Si estáis chafados con que tengamos tan pocas aplicaciones conocidas que cumplan con los requisitos de seguridad, tranquilos, porque hay una buena selección de aplicaciones para Android que cumplen todos esos apartados, apartados que ninguna de las aplicaciones conocidas consigue alcanzar sin excepción.
Sin orden en concreto, las aplicaciones de comunicación que cumplen con todos los apartados son las siguientes:
- ChatSecure, mensajería segura compatible con Jabber y XMPP
- Silent Phone y Silent Text, de los creadores del Blackphone en colaboración con Geeksphone
- RedPhone y TextSecure, aplicaciones de los creadores del código abierto de cifrado para WhatsApp
Más información | Omicrono > EFF