Investigación: casi todos los mensajeros instantáneos que usas son seguros

Un mensajero, predominantemente utilizado en China, ha filtrado más de 130.000 imágenes, videos y grabaciones de audio altamente explícitos de sus usuarios. Aunque este servicio de mensajería estaba asociado a una empresa que ofrecía una supuesta “red social privada" y por lo tanto tenía una pequeña base de usuarios.

Los chicos de CyberNews en su nuevo estudio evaluaron las características de seguridad de las grandes aplicaciones de mensajería, lo hemos traducido y te invitamos a echarle un vistazo.

Tenemos buenas noticias para los usuarios de los mensajeros más populares: 11 de cada 13 aplicaciones, todas excepto Telegram y Facebook Messenger, tienen funciones de seguridad habilitadas de forma predeterminada. Esto parece prometedor y la industria de la mensajería va claramente en la dirección correcta.

Los investigadores también descubrieron que la mayoría de las aplicaciones usan encriptación RSA y AES y hashing de claves, que son los métodos de encriptación más seguros y eficientes disponibles en la actualidad.

En general, el cifrado es necesario no solo para proteger los mensajes "privados". Estos mensajeros seguros permiten a los activistas de todo el mundo luchar contra la injusticia y el régimen autoritario sin temor a ser perseguidos, como las protestas contra Lukashenko en Bielorrusia.

Objetos de análisis

Para realizar el análisis, los investigadores observaron varios aspectos de 13 aplicaciones populares de mensajería segura:

• Señal
• Engánchame
• Mensajero
• WhatsApp
• Telegrama
• Cable
• Viber
• polvo cibernético
• iMessage
• Privado
• Qtox
• Sesión
• Brezo

Resultados clave

El análisis incluyó los protocolos de comunicación utilizados y los estándares de encriptación de varias aplicaciones, principios de intercambio de claves y primitivas criptográficas.

• 2 aplicaciones no utilizan funciones de seguridad de forma predeterminada, el usuario debe activarlas él mismo en la configuración
• 4 aplicaciones utilizan el cifrado de señal estándar de la industria
• solo 2 aplicaciones usan el protocolo P2P para el intercambio de datos
• iMessage no cifra los mensajes si se envían a través de GSM (usando redes 2G y 3G)
• 3 de cada 13 aplicaciones tienen una suscripción que le permite usar funciones avanzadas
• la mayoría de las aplicaciones utilizan RSA y AES, algunos de los algoritmos de cifrado más seguros disponibles en la actualidad, para cifrar y codificar claves

Cómo funcionan los mensajeros seguros

Si bien la atención se centra en las aplicaciones de mensajería más populares, como Signal, Messenger, Viber, Telegram y WhatsApp, los investigadores ampliaron el análisis para incluir otras aplicaciones de mensajería para brindar información integral sobre la industria misma. También hablaremos de Session, Briar, Wickr Me, Wire y Cyber ​​Dust.

Lo que se encontró es mayormente alentador: todas las aplicaciones, excepto dos, brindaban seguridad de forma predeterminada, y Telegram y Messenger podían protegerse fácilmente cambiando la configuración del usuario.

Cuatro aplicaciones, Signal, Messenger, WhatsApp y Session, utilizaron el protocolo Signal para el cifrado de extremo a extremo. Con el cifrado de extremo a extremo, solo el remitente y el destinatario pueden ver los mensajes, mientras que sin el cifrado de extremo a extremo, el servidor de aplicaciones de mensajería que se encuentra entre el remitente y el destinatario puede leer los mensajes. El protocolo Signal se ha convertido en el estándar de la industria para comunicaciones seguras de mensajería, voz y video.

Un aspecto interesante en el caso de la app iMessage, que se usa en los dispositivos de Apple, es que solo cifra los datos cuando se envían a través de HTTPS. Al enviar vía GSM (2G y 3G), los datos no están encriptados.

Solo dos aplicaciones, Briar y Qtox, usan el protocolo P2P para transferir datos a través de una red peer-to-peer. P2P le permite transferir datos directamente de usuario a usuario sin utilizar el servidor como intermediario. Si bien Briar ofrece otros protocolos de transferencia, Qtox solo usa su propio P2P TOX. Por eso no tienen política de privacidad, porque no tienen acceso a los datos de los usuarios.

Todos los mensajeros revisados ​​​​son gratuitos o tienen una versión gratuita, solo Wire requiere una suscripción paga. La razón es que está hecho para necesidades corporativas, como Slack o Microsoft Teams, solo admite cifrado de extremo a extremo.

En general, los investigadores concluyeron que puede comunicarse de forma segura utilizando estos mensajeros, solo recuerde que para Facebook Messenger o Telegram, debe habilitar las funciones de seguridad en la configuración de la aplicación o en un chat separado.

Esto es necesario no solo por seguridad, sino también para mantener la privacidad, porque los servidores de Facebook y Telegram tampoco podrán ver tus mensajes.

¿Qué se entiende por seguridad en los mensajeros y para qué no brindan seguridad?

Es importante entender que existen algunas limitaciones cuando hablamos de seguridad en los mensajeros. A la larga, depende de cómo los vayas a usar exactamente.

Para un uso normal, es importante que su mensajero cifre los datos, preferiblemente de forma predeterminada. Pero más allá de eso, hay usuarios que quieren la mayor seguridad posible, lo que significa un anonimato completo, o casi completo. Para que nadie más que ellos pueda ver los mensajes, rastrear su intercambio o incluso saber sus nombres. A la luz de esto, la mayoría de estos servicios fallan. Al menos porque las aplicaciones no son perfectas, al igual que las personas que las escriben. Una aplicación puede usar todas las funciones de seguridad más sólidas, pero ninguna aplicación es inmune a un error.

Uno de los ejemplos más claros de esto es WhatsApp, que tiene vulnerabilidades desde hace muchos años. Por ejemplo, el software espía israelí permitía la instalación de software espía solo llamando a la víctima a través de WhatApp. Facebook Messenger también tenía vulnerabilidades que permitían a los hackers escuchar en secreto tus conversaciones sin mucho esfuerzo.

Incluso Signal, recomendado por profesionales de la ciberseguridad, fue víctima de un sofisticado hackeo que les permitía espiarte con una especie de llamada fantasma. Hicieron una llamada e inmediatamente presionaron el botón de silencio. La llamada no era visible, pero podrían haber espiado tu entorno.

Y estos son solo casos en los que los piratas informáticos utilizan vulnerabilidades para atacar a las personas. A lo largo de los años, los organismos gubernamentales y encargados de hacer cumplir la ley han utilizado varios métodos para espiar a grupos enteros de personas. En Hong Kong, el gobierno chino supuestamente usó un error de Telegram para obtener los números de teléfono de los usuarios. Los investigadores alemanes también descubrieron que WhatsApp, Signal y Telegram expusieron los datos personales de los usuarios a través de los contactos.

Ninguna de estas aplicaciones ofrece seguridad absoluta y nunca lo hará, ya que una persona o grupo de personas con suficiente tiempo y recursos siempre encontrará una solución. Incluso si la aplicación fuera completamente segura por sí sola, no podría corregir sus propios errores.

Como bien se dijo en las preguntas frecuentes de Telegram:

“No podemos protegerte de tu propia madre si ella toma tu teléfono desbloqueado sin contraseña. O de su departamento de TI si tienen acceso a su computadora en el trabajo. O de cualquier otra persona que obtenga acceso físico o de raíz a sus teléfonos o computadoras que tengan instalado Telegram”.

Si actúas inseguro, ninguna aplicación de mensajería segura puede salvarte.

Tabla de resultados

En la imagen a continuación, encontrará todos los detalles sobre las 13 aplicaciones de mensajería que revisamos en este artículo.

Según CyberNews.