Tecnología > PRIVACIDAD
Ojo con los chats: la débil seguridad de la mensajería
Expertos advierten que ninguna de las aplicaciones de chat de uso masivo protege al usuario frente a posibles amenazas y mucho menos respetan su privacidad
Tiempo de lectura: -'
22 de agosto de 2015 a las 05:00
Piense cuál fue el último mensaje que envió a través de cualquier servicio de mensajería instantánea (llámese Whatsapp, Messenger de Facebook o Skype). Ahora imagínese la situación en la que una persona, de cualquier parte del mundo y con intenciones dudosas, tiene acceso a todos esos datos, fotos, archivos y contactos que usted compartió desde que utiliza la aplicación. Si bien parece uno de esos casos en los que se niega que algo así pueda pasarle a uno, sucede todos los días en todos lados, en cualquier momento y por cualquier persona que tenga acceso a internet y pueda interpretar algo tan simple como un tutorial de YouTube.
Según el informe Who has your back protecting your data from government requests ("¿Quién te apoya a la hora de proteger tus datos de los gobiernos?"), la EFF concluye que WhatsApp carece de las políticas más básicas para mantener privados los datos de sus usuarios.
De los cinco aspectos que califica la EFF –si sigue las buenas prácticas de la industria, si informa a sus usuarios sobre las peticiones del gobierno, si deja explícitas sus políticas de retención de datos, si revela si se le pide que deje de alojar contenidos y si se ha manifestado en contra de las 'puertas traseras' que permiten a los gobiernos acceder a los datos directamente desde los servicios–, WhatsApp solo aprobó el último.
"La EFF le dio todo un año a WhatsApp para prepararse para la inclusión en el reporte, pero no adoptó ninguna de las buenas prácticas", se lee en el informe. El organismo ya había evaluado la app un año antes y la nota fue incluso peor.
En respuesta, la empresa añadió el cifrado punto a punto (es decir, de persona a persona), lo que impide la lectura de los mensajes por terceros maliciosos o la misma compañía. "Si estabas en el shopping mandando (datos) por wifi (abierto) y alguien estaba 'escuchando' en esa red, podía leer tus mensajes de WhatsApp", explicó Pablo Giordano, director de la empresa de seguridad informática uruguaya Arcanus. Fue tan importante el cambio que este experto dijo que el cifrado ya "no es una de las debilidades" de la aplicación pero tampoco es infalible. En el informe Mensajería segura en internet: ¿es una ficción?, de la empresa rusa de seguridad informática Kaspersky Lab, se dice: "A decir verdad, ¿quién puede garantizar que el protocolo, especialmente si utiliza un algoritmo de cifrado común, será completamente invulnerable?"
Aunque esta característica es estándar en servicios de mensajería centrados en la privacidad, como Open Whisper o Telegram, no está presente en otros servicios masivos de chat. El propio Edward Snowden, exempleado de la Agencia de Seguridad Nacional de Estados Unidos (NSA), aseguró que el cifrado punto a punto "hace casi imposible la vigilancia masiva".
No obstante, los hackers tienen formas de intervenir a pesar del cifrado. El momento es hacerlo antes, es decir, en el momento en que la aplicación se conecta con el servidor para encriptar el mensaje. De esa forma, el atacante puede conseguir "la llave" con la que puede vulnerar la información más tarde.
Otro problema que Giordano ve en WhatsApp es su sistema de autenticación. El sistema solo requiere verificar el número de teléfono para iniciar su operación; no pide ninguna cuenta de correo, usuario o contraseña.
"La facilidad de WhatsApp tiene un costo en la seguridad", afirmó Pablo Giordano, director de Arcanus.
La culpa no le cae solo a la aplicación, sino que el técnico fue categórico: "Los usuarios no saben cuidar su número de teléfono". Un chip viejo que puede ser clonado o conceder el número para acceder a otras apps es dejar la puerta abierta para que se instale un malware que robe, entre otras cosas, los chats (ver Otras culpas).
En febrero, el investigador holandés Maikel Zweerink puso a WhatsApp en el banquillo. Creó la herramienta WhatsSpy Public para demostrar que, al instalarla, un fisgón podía rastrear cualquier foto de perfil de un usuario, sus configuraciones de privacidad, mensajes de estado y disponibilidad online u offline, incluso aunque la cuenta esté configurada para ocultar esa información; solo tiene que conocer el número de teléfono. Un poco antes, empresas de seguridad informática revelaron dos bugs en WhatsApp Web que también dejaban al descubierto la foto de perfil y fotos que el usuario ya había borrado en la versión móvil.
"Las opciones de privacidad de WhatsApp actúan como si te dieran total control sobre tu estado", escribió Zweerink en su blog. "En verdad solo tienen un alcance limitado. Por supuesto, las opciones de última conexión, foto de perfil y estado funcionan, pero probablemente no como el usuario tenía la intención de que lo hicieran. La posibilidad de que un completo desconocido siga tu estado dentro de la app es algo escalofriante y podría haber sido explotada ya", agregó el investigador.
Ahora, los mayores problemas de WhatsApp, según la EFF, pueden resumirse en cuatro aspectos: no requiere una orden judicial para entregar datos de sus usuarios a autoridades, no tiene publicado un reporte de transparencia, no informa a usuarios si un gobierno demanda sus datos en el servicio y el usuario no sabe por cuánto tiempo y qué datos son retenidos por el servicio.
En definitiva, WhatsApp no da suficientes garantías al usuario. Por ejemplo, al no saber por cuánto tiempo quedan almacenadas las charlas en sus servidores, no es posible saber si fueron, son o serán espiadas. "Nunca vamos a estar 100% seguros de que, a pesar de todo lo que podemos hacer para cuidarnos, mañana no surja una vulnerabilidad por la que pueden estar leyéndome los mensajes", apuntó Giordano. Es más, son frecuentes las noticias sobre fallas, pero también son recurrentes las actualizaciones del sistema. Lo que no se ha podido arreglar, según el técnico, no es por mala voluntad, sino porque requiere desarrollos complejos. "Siempre es una pelea entre la usabilidad y la seguridad", reflexionó.
Otros servicios, como Viber, Facebook Messenger, Snapchat, Google Hangouts y Skype tampoco cumplen todos los criterios señalados por la EFF, pero sí cifran los mensajes. iMessage, de Apple, sale mejor parado al ofrecer, además de cifrado de punto a punto y proteger conversaciones pasadas, su código ha sido auditado por terceros. No obstante, la EFF ha dicho: "Ninguna de ellas provee seguridad completa frente a formas sofisticadas y dirigidas de vigilancia".
Skype, al igual que Hangouts, posee un sistema de seguridad que también se ha ido desarrollando con el tiempo aunque, según el artículo de Kaspersky, desde que fue adquirido por Microsoft la "fortaleza inexpugnable" dejó de serlo y la calidad de su seguridad decayó notablemente.
Las aplicaciones que, al igual que Whatsapp, ofrecen un mecanismo sencillo de mensajería instantánea, lograron su momento de fama cuando el actual rey de la categoría tuvo grandes fallas de seguridad y funcionamiento y los usuarios tuvieron que buscar alternativas a gastar los minutos de sus celulares.
Line es una de las aplicaciones que caen en esta casilla, con más de 200 millones perfiles registrados por mes (aunque no necesariamente activos). Giordano afirmó que, si bien esta aplicación ha tenido algunas fallas de seguridad, el número de usuarios que utilizan este servicio es muy reducido (y, por ende, los datos disponibles para ser robados) comparado con el de otras aplicaciones más populares, por lo que las posibilidades de que se encuentre alguna falla de seguridad o de que a alguien le interese encontrarla, es mucho menor.
Telegram, por otro lado, fue presentada como la aplicación de mensajería instantánea segura por excelencia, aunque tal vez la publicidad que se le hizo fue un poco exacerbada. Según Kaspersky, el protocolo de seguridad del que se ufanaban los desarrolladores de esta aplicación podía ser fácilmente vulnerado si se utilizaban las herramientas correctas. Además, Telegram es propensa a sufrir ataques directos por su pobreza en los factores de autenticación: como Whatsapp, la aplicación envía un mensaje de texto con el código de autenticación para activarla, por lo que si un hacker intenta acceder a los mensajes de texto (ningún desafío para quien sabe vulnerar una red pública) puede usar el código para activar la cuenta del usuario en otro dispositivo y recibir una copia de los mensajes.
Es una aplicación de mensajería instantánea que encripta los mensajes del usuario. ChatSecure permite crear cuentas de Google o Facebook o acceder a ellas en servidores públicos o en un servidor propio, para mayor seguridad.
chatsecure.org
iOS Y Android
Gratis
CryptoCat
Cryptocat es una aplicación de chat para smartphones y navegadores que encripta las conversaciones de los usuarios, aunque también puede asociarse a una conversación del chat de Facebook. Los mensajes son codificados antes de dejar el dispositivo desde el que se envían, de manera que ni siquiera los desarrolladores de la aplicación pueden leer los textos.
crypto.cat
Chrome, Firefox, Safari, Opera, OS X, iOS
Gratis
RedPhone
Si lo que se quiere mantener en privado son conversaciones telefónicas, RedPhone es una de las opciones para evitar escuchas indeseadas. Para hacer llamadas con esta aplicación se deberá tener el servicio de datos activado o estar conectado a una red de wifi, ya que no utiliza los minutos del plan del usuario, algo conveniente para llamadas internacionales.
whispersystems.org
iOS y Android
Gratis
TextSecure
TextSecure es otra aplicación de mensajería instantánea segura, desarrollada por el mismo estudio que creó RedPhone. Así como su contraparte para llamadas telefónicas, TextSecure solamente precisa una conexión a internet, ya que no utiliza el saldo del usuario. Con esta aplicación se pueden crear grupos y compartir archivos de manera segura.
whispersystems.org
iOS y Android
Gratis
SilentText y Phone
SilentPhone y SilentText son dos aplicaciones hermanas que permiten mantener conversaciones de texto y telefónicas encriptadas de punto a punto. Son de las más seguras que existen por la tecnología que utilizan pero, si bien la instalación de la app así como las llamadas y los mensajes dentro de ella son gratis, para utilizarla el usuario debe subscribirse al plan por un costo de al menos US$ 13 por mes.
silentcircle.com
iOS, Android
Una posibilidad es que el chip, si es uno viejo, pueda ser clonado por un cibercriminal. Según explicó el técnico, el proceso es sencillo. Como WhatsApp solo necesita del número telefónico para funcionar y eso está almacenado en el chip, el hacker tiene acceso a eso y mucho más. Podrá ver todo el contenido que el propietario pasa por la aplicación. De esta forma, no importa si la plataforma está cifrada.
El número de teléfono también se concede con irresponsabilidad para acceder a diversas aplicaciones, en particular juegos, que pueden descargar algún código malicioso y hacerse de los mensajes y del contenido audiovisual. “Aunque es cierto que WhatsApp se lleva la culpa, a veces el problema es que los usuarios no saben cuidar su número de teléfono”, indicó Giordano.
Mala nota
WhatsApp, la aplicación de mensajería con más de 800 millones de usuarios activos en el mundo, ha sido clasificada como una de las peores empresas a la hora de proteger la privacidad de sus usuarios, según la Electronic Frontier Foundation (EFF), organización que defiende los derechos de libertad de expresión en internet.Según el informe Who has your back protecting your data from government requests ("¿Quién te apoya a la hora de proteger tus datos de los gobiernos?"), la EFF concluye que WhatsApp carece de las políticas más básicas para mantener privados los datos de sus usuarios.
De los cinco aspectos que califica la EFF –si sigue las buenas prácticas de la industria, si informa a sus usuarios sobre las peticiones del gobierno, si deja explícitas sus políticas de retención de datos, si revela si se le pide que deje de alojar contenidos y si se ha manifestado en contra de las 'puertas traseras' que permiten a los gobiernos acceder a los datos directamente desde los servicios–, WhatsApp solo aprobó el último.
"La EFF le dio todo un año a WhatsApp para prepararse para la inclusión en el reporte, pero no adoptó ninguna de las buenas prácticas", se lee en el informe. El organismo ya había evaluado la app un año antes y la nota fue incluso peor.
En respuesta, la empresa añadió el cifrado punto a punto (es decir, de persona a persona), lo que impide la lectura de los mensajes por terceros maliciosos o la misma compañía. "Si estabas en el shopping mandando (datos) por wifi (abierto) y alguien estaba 'escuchando' en esa red, podía leer tus mensajes de WhatsApp", explicó Pablo Giordano, director de la empresa de seguridad informática uruguaya Arcanus. Fue tan importante el cambio que este experto dijo que el cifrado ya "no es una de las debilidades" de la aplicación pero tampoco es infalible. En el informe Mensajería segura en internet: ¿es una ficción?, de la empresa rusa de seguridad informática Kaspersky Lab, se dice: "A decir verdad, ¿quién puede garantizar que el protocolo, especialmente si utiliza un algoritmo de cifrado común, será completamente invulnerable?"
Aunque esta característica es estándar en servicios de mensajería centrados en la privacidad, como Open Whisper o Telegram, no está presente en otros servicios masivos de chat. El propio Edward Snowden, exempleado de la Agencia de Seguridad Nacional de Estados Unidos (NSA), aseguró que el cifrado punto a punto "hace casi imposible la vigilancia masiva".
No obstante, los hackers tienen formas de intervenir a pesar del cifrado. El momento es hacerlo antes, es decir, en el momento en que la aplicación se conecta con el servidor para encriptar el mensaje. De esa forma, el atacante puede conseguir "la llave" con la que puede vulnerar la información más tarde.
Otro problema que Giordano ve en WhatsApp es su sistema de autenticación. El sistema solo requiere verificar el número de teléfono para iniciar su operación; no pide ninguna cuenta de correo, usuario o contraseña.
"La facilidad de WhatsApp tiene un costo en la seguridad", afirmó Pablo Giordano, director de Arcanus.
La culpa no le cae solo a la aplicación, sino que el técnico fue categórico: "Los usuarios no saben cuidar su número de teléfono". Un chip viejo que puede ser clonado o conceder el número para acceder a otras apps es dejar la puerta abierta para que se instale un malware que robe, entre otras cosas, los chats (ver Otras culpas).
En febrero, el investigador holandés Maikel Zweerink puso a WhatsApp en el banquillo. Creó la herramienta WhatsSpy Public para demostrar que, al instalarla, un fisgón podía rastrear cualquier foto de perfil de un usuario, sus configuraciones de privacidad, mensajes de estado y disponibilidad online u offline, incluso aunque la cuenta esté configurada para ocultar esa información; solo tiene que conocer el número de teléfono. Un poco antes, empresas de seguridad informática revelaron dos bugs en WhatsApp Web que también dejaban al descubierto la foto de perfil y fotos que el usuario ya había borrado en la versión móvil.
"Las opciones de privacidad de WhatsApp actúan como si te dieran total control sobre tu estado", escribió Zweerink en su blog. "En verdad solo tienen un alcance limitado. Por supuesto, las opciones de última conexión, foto de perfil y estado funcionan, pero probablemente no como el usuario tenía la intención de que lo hicieran. La posibilidad de que un completo desconocido siga tu estado dentro de la app es algo escalofriante y podría haber sido explotada ya", agregó el investigador.
Ahora, los mayores problemas de WhatsApp, según la EFF, pueden resumirse en cuatro aspectos: no requiere una orden judicial para entregar datos de sus usuarios a autoridades, no tiene publicado un reporte de transparencia, no informa a usuarios si un gobierno demanda sus datos en el servicio y el usuario no sabe por cuánto tiempo y qué datos son retenidos por el servicio.
En definitiva, WhatsApp no da suficientes garantías al usuario. Por ejemplo, al no saber por cuánto tiempo quedan almacenadas las charlas en sus servidores, no es posible saber si fueron, son o serán espiadas. "Nunca vamos a estar 100% seguros de que, a pesar de todo lo que podemos hacer para cuidarnos, mañana no surja una vulnerabilidad por la que pueden estar leyéndome los mensajes", apuntó Giordano. Es más, son frecuentes las noticias sobre fallas, pero también son recurrentes las actualizaciones del sistema. Lo que no se ha podido arreglar, según el técnico, no es por mala voluntad, sino porque requiere desarrollos complejos. "Siempre es una pelea entre la usabilidad y la seguridad", reflexionó.
undefined
undefined
Las otras implicadas
Aunque WhatsApp es una de las aplicaciones más utilizadas en el mundo, no es la única elegida por los usuarios. En el momento en que una persona crea una cuenta de Gmail automáticamente tiene acceso a Hangouts, la plataforma de mensajería instantánea de Google, que puede utilizarse tanto desde la página principal del servicio de mail en un navegador como mediante las aplicaciones móviles. Hangouts incluso tiene una página web propia, creada recientemente, y que funciona de manera similar que el servicio web de WhatsApp. Acerca de esta opción, Giordano dijo que Google ha ido mejorando paulatinamente los factores de autenticación del usuario a raíz de brechas de seguridad que han ocurrido desde hace más de 15 años. En el momento en que lanzó su propio servicio de mensajería instantánea, el gigante de las búsquedas en internet aplicó lo aprendido durante su carrera e hizo necesario el doble factor de autenticación.Otros servicios, como Viber, Facebook Messenger, Snapchat, Google Hangouts y Skype tampoco cumplen todos los criterios señalados por la EFF, pero sí cifran los mensajes. iMessage, de Apple, sale mejor parado al ofrecer, además de cifrado de punto a punto y proteger conversaciones pasadas, su código ha sido auditado por terceros. No obstante, la EFF ha dicho: "Ninguna de ellas provee seguridad completa frente a formas sofisticadas y dirigidas de vigilancia".
Skype, al igual que Hangouts, posee un sistema de seguridad que también se ha ido desarrollando con el tiempo aunque, según el artículo de Kaspersky, desde que fue adquirido por Microsoft la "fortaleza inexpugnable" dejó de serlo y la calidad de su seguridad decayó notablemente.
Las aplicaciones que, al igual que Whatsapp, ofrecen un mecanismo sencillo de mensajería instantánea, lograron su momento de fama cuando el actual rey de la categoría tuvo grandes fallas de seguridad y funcionamiento y los usuarios tuvieron que buscar alternativas a gastar los minutos de sus celulares.
Line es una de las aplicaciones que caen en esta casilla, con más de 200 millones perfiles registrados por mes (aunque no necesariamente activos). Giordano afirmó que, si bien esta aplicación ha tenido algunas fallas de seguridad, el número de usuarios que utilizan este servicio es muy reducido (y, por ende, los datos disponibles para ser robados) comparado con el de otras aplicaciones más populares, por lo que las posibilidades de que se encuentre alguna falla de seguridad o de que a alguien le interese encontrarla, es mucho menor.
Telegram, por otro lado, fue presentada como la aplicación de mensajería instantánea segura por excelencia, aunque tal vez la publicidad que se le hizo fue un poco exacerbada. Según Kaspersky, el protocolo de seguridad del que se ufanaban los desarrolladores de esta aplicación podía ser fácilmente vulnerado si se utilizaban las herramientas correctas. Además, Telegram es propensa a sufrir ataques directos por su pobreza en los factores de autenticación: como Whatsapp, la aplicación envía un mensaje de texto con el código de autenticación para activarla, por lo que si un hacker intenta acceder a los mensajes de texto (ningún desafío para quien sabe vulnerar una red pública) puede usar el código para activar la cuenta del usuario en otro dispositivo y recibir una copia de los mensajes.
undefined
undefined
Fuente infinita de información
Con solo mirar los números de usuarios presentes en las distintas plataformas de mensajería, publicados por el sitio de estadística internacional Statista, es difícil no tratar de imaginar la cantidad de información que circula por la red en cada segundo. A los 800 millones de usuarios que utilizan Whatsapp se agregan los 700 millones del Messenger de Facebook. Al servicio de la red social de Zuckerberg le sigue QQ Mobile, la red social china, con 603 millones de usuarios, casi alcanzada por los 600 milones de la internacional WeChat. Sigue Skype, con 300 millones de usuarios y así se podría seguir con las miles de plataformas de mensajería que todos los días son depositadas en las tiendas de aplicaciones de los distintos dispositivos. Con una meca así de información disponible, es solo una cuestión de azar ser víctima de un ataque cibernético.Cinco alternativas seguras
ChatSecureEs una aplicación de mensajería instantánea que encripta los mensajes del usuario. ChatSecure permite crear cuentas de Google o Facebook o acceder a ellas en servidores públicos o en un servidor propio, para mayor seguridad.
chatsecure.org
iOS Y Android
Gratis
CryptoCat
Cryptocat es una aplicación de chat para smartphones y navegadores que encripta las conversaciones de los usuarios, aunque también puede asociarse a una conversación del chat de Facebook. Los mensajes son codificados antes de dejar el dispositivo desde el que se envían, de manera que ni siquiera los desarrolladores de la aplicación pueden leer los textos.
crypto.cat
Chrome, Firefox, Safari, Opera, OS X, iOS
Gratis
RedPhone
Si lo que se quiere mantener en privado son conversaciones telefónicas, RedPhone es una de las opciones para evitar escuchas indeseadas. Para hacer llamadas con esta aplicación se deberá tener el servicio de datos activado o estar conectado a una red de wifi, ya que no utiliza los minutos del plan del usuario, algo conveniente para llamadas internacionales.
whispersystems.org
iOS y Android
Gratis
TextSecure
TextSecure es otra aplicación de mensajería instantánea segura, desarrollada por el mismo estudio que creó RedPhone. Así como su contraparte para llamadas telefónicas, TextSecure solamente precisa una conexión a internet, ya que no utiliza el saldo del usuario. Con esta aplicación se pueden crear grupos y compartir archivos de manera segura.
whispersystems.org
iOS y Android
Gratis
SilentText y Phone
SilentPhone y SilentText son dos aplicaciones hermanas que permiten mantener conversaciones de texto y telefónicas encriptadas de punto a punto. Son de las más seguras que existen por la tecnología que utilizan pero, si bien la instalación de la app así como las llamadas y los mensajes dentro de ella son gratis, para utilizarla el usuario debe subscribirse al plan por un costo de al menos US$ 13 por mes.
silentcircle.com
iOS, Android
Otras culpas
“Hay cosas que van más allá y WhatsApp se lleva la culpa”, dijo a Cromo Pablo Giordano, director de la empresa de seguridad informática Arcanus. Los mensajes enviados y recibidos a través de la aplicación pueden caer en las manos equivocadas si el usuario no toma medidas de seguridad generales en el uso de su dispositivo, por ejemplo por la instalación de aplicaciones con potencial dañino o si accede a redes inalámbricas abiertas (sin contraseña).Una posibilidad es que el chip, si es uno viejo, pueda ser clonado por un cibercriminal. Según explicó el técnico, el proceso es sencillo. Como WhatsApp solo necesita del número telefónico para funcionar y eso está almacenado en el chip, el hacker tiene acceso a eso y mucho más. Podrá ver todo el contenido que el propietario pasa por la aplicación. De esta forma, no importa si la plataforma está cifrada.
El número de teléfono también se concede con irresponsabilidad para acceder a diversas aplicaciones, en particular juegos, que pueden descargar algún código malicioso y hacerse de los mensajes y del contenido audiovisual. “Aunque es cierto que WhatsApp se lleva la culpa, a veces el problema es que los usuarios no saben cuidar su número de teléfono”, indicó Giordano.
