Las aplicaciones de mensajería son una de las aplicaciones más importantes, si no la más importante, que usamos todos los días. Ya sea para estar en contacto con familiares y amigos de todo el mundo, contactar a colegas o administrar operaciones comerciales, las aplicaciones de mensajería como WhatsApp, iMessage, Skype y Facebook Messenger juegan un papel importante en nuestras comunicaciones diarias.
A menudo compartimos cosas como fotos personales, secretos comerciales y documentos legales en aplicaciones de mensajería, información que no queremos poner a disposición de las personas equivocadas. Pero, ¿qué tan bien podemos confiar en sus aplicaciones de mensajería para proteger todos nuestros mensajes confidenciales e información sensible?
A continuación, se incluyen algunos consejos que le ayudarán a evaluar el nivel de seguridad proporcionado por su aplicación de mensajería favorita.
Algunas palabras sobre el cifrado
Por supuesto, todas las plataformas de mensajería afirman cifrar sus datos. El cifrado utiliza ecuaciones matemáticas para codificar sus datos durante la transición para evitar que las escuchas lean sus mensajes.
El cifrado adecuado asegura que solo el remitente y el destinatario de un mensaje serán informados de su contenido. Sin embargo, no todos los tipos de cifrado son iguales.
Las aplicaciones de mensajería más seguras son las que ofrecen cifrado de extremo a extremo (E2EE). Las aplicaciones E2EE almacenan claves de descifrado solo en los dispositivos del usuario. E2EE no solo protege sus comunicaciones de escuchas, sino que también asegura que la empresa que aloja la aplicación no podrá leer sus mensajes. También significa que sus mensajes estarán protegidos contra violaciones de datos y mandatos intrusivos por parte de agencias de tres letras.
Cada vez más aplicaciones de mensajería ofrecen cifrado de extremo a extremo. Signal fue una de las primeras plataformas en admitir E2EE. En los últimos años, otras aplicaciones han adoptado el protocolo de cifrado de Signal o han desarrollado su propia tecnología E2EE. Los ejemplos incluyen WhatsApp, Wickr e iMessage.
Facebook Messenger y Telegram también admiten la mensajería E2EE, aunque no está habilitado de forma predeterminada, lo que los hace menos seguros. Skype también agregó recientemente una opción de «Chat privado» que le brinda encriptación de extremo a extremo en una conversación de su elección.
Los Hangouts de Google no admiten el cifrado de extremo a extremo, pero la empresa proporciona Allo y Duo, aplicaciones de videoconferencia y mensajería de texto cifradas de extremo a extremo.
Eliminación de mensajes
La seguridad va más allá del simple cifrado de mensajes. ¿Qué pasa si usted o la persona con la que está chateando es pirateado o cae en las manos equivocadas? En este caso, el cifrado será de poca utilidad, ya que el actor malintencionado podrá ver los mensajes en su formato no cifrado.
La mejor forma de proteger sus mensajes es deshacerse de ellos cuando ya no los necesite. Esto asegura que incluso si su dispositivo está comprometido, los actores malintencionados no tendrán acceso a sus mensajes confidenciales y sensibles.
Todas las aplicaciones de mensajería ofrecen algún tipo de eliminación de mensajes, pero nuevamente, no todas las funciones de eliminación de mensajes son igualmente seguras.
Por ejemplo, Hangouts e iMessage te permiten borrar tu historial de chat. Pero aunque los mensajes se eliminarán de su dispositivo, permanecerán en los dispositivos de las personas con las que chateó.
Por lo tanto, si sus dispositivos se ven comprometidos, siempre perderá el control de sus datos confidenciales. En su honor, Hangouts tiene una opción para desactivar el historial de chat, que eliminará automáticamente los mensajes de todos los dispositivos después de cada sesión.
En Telegram, Signal, Wickr y Skype, puede eliminar mensajes de todas las partes de una conversación. Esto puede garantizar que las comunicaciones confidenciales no permanezcan en ninguno de los dispositivos involucrados en una conversación.
WhatsApp también agregó una opción de «eliminar para todos» en 2017, pero puede usarla para eliminar solo los mensajes que ha enviado en las últimas 13 horas. Facebook Messenger también agregó recientemente una función «Cancelar envío», aunque solo funciona 10 minutos después de enviar un mensaje.
Signal, Telegram y Wickr también proporcionan una función de mensaje de autodestrucción, que eliminará inmediatamente los mensajes de todos los dispositivos después de un período de tiempo configurado. Esta función es especialmente útil para conversaciones delicadas y le ahorra la molestia de eliminar mensajes manualmente.
Metadatos
Cada mensaje viene con una cantidad de información auxiliar, también conocida como metadatos, como las identificaciones del remitente y del destinatario, la hora en que se envió, recibió y leyó un mensaje, direcciones IP, números de teléfono, identificadores de teléfono, dispositivos, etc.
Los servidores de correo almacenan y procesan este tipo de información para garantizar que los mensajes se entreguen a los destinatarios correctos y a tiempo, y para permitir a los usuarios navegar y organizar sus registros de chat.
Aunque los metadatos no contienen mensajes de texto, en las manos equivocadas pueden ser muy dañinos y revelar mucho sobre cómo se comunican los usuarios, como dónde están, cuándo usan sus aplicaciones, quiénes son, con qué se comunican, etc.
En el caso de que el servicio de correo electrónico sea víctima de una violación de datos, este tipo de información puede allanar el camino para ataques cibernéticos como phishing y otros programas de ingeniería social.
La mayoría de los servicios de correo electrónico recopilan una gran cantidad de metadatos y, lamentablemente, no existe una forma segura de saber qué tipo de información almacenan los servicios de correo electrónico. Pero por lo que sabemos, Signal tiene el mejor historial. Según la compañía, sus servidores solo registran el número de teléfono con el que creó su cuenta y la última fecha en que inició sesión en su cuenta.
Transparencia
Todos los desarrolladores le dirán que su aplicación de mensajería es segura, pero ¿cómo puede estar seguro? ¿Cómo sabe que la aplicación no esconde una puerta trasera implementada por el gobierno? ¿Cómo sabe que el desarrollador ha probado bien la aplicación?
Las aplicaciones hacen que el código fuente de su aplicación esté disponible públicamente, también conocido como «código abierto», son más confiables porque los expertos en seguridad independientes pueden revisar y confirmar si son seguras o no.
Signal, Wickr y Telegram son aplicaciones de mensajería de código abierto, lo que significa que han sido revisadas por expertos independientes. Signal, en particular, cuenta con el apoyo de expertos en seguridad como Bruce Schneier y Edward Snowden.
WhatsApp y Facebook Messenger son de código cerrado, pero utilizan el protocolo de señal de código abierto para cifrar sus mensajes. Esto significa que al menos puede estar seguro de que Facebook, que posee ambas aplicaciones, no investigará el contenido de sus publicaciones.
Para aplicaciones completamente cerradas como iMessage de Apple, debe confiar completamente en el desarrollador para evitar cometer errores de seguridad desastrosos.
Para ser claros, el código abierto no significa seguridad absoluta. Pero al menos puedes asegurarte de que la aplicación no esconda nada malo debajo del capó.