Estamos expuestos
Hoy una parte substancial, mayoritaria, de las informaciones e ideas que intercambiamos con nuestros amigos, enamorados, colegas, socios, correligionarios o cómplices pasa por
dispositivos electromagnéticos y, a menudo, la parte más sensible va por mensaje de celular.
Las revelaciones de Edward Snowden nos han quitado toda ilusión, si alguna nos quedaba, de que los mensajes y la conversaciones en claro, los documentos y las cartas que viajan por la red no sean interceptados, leídos, analizados y almacenados indefinidamente por diversos servicios de inteligencia de varios países, EE.UU. entre otros.
Además, los mensajes que quedan almacenados en los servidores y en nuestras computadoras y teléfonos son pasibles de requisa. Todo lo que está en claro en nuestros teléfonos y computadoras puede llegar a los ojos de los servicios de inteligencia y/o las organizaciones ilegales de piratas informáticos, incluso sin que ni siquiera nos enteremos.
Digo “en claro” por oposición a “encriptado” o “cifrado”, porque es una distinción decisiva. Lo que está cifrado no puede ser leído sin aplicar la llave o clave adecuada, para eso se encripta. Y hoy existen cifras fuertes al alcance del público de a pie.
Necesitamos privacidad, para vivir, para actuar
Si queremos expresarnos sin temor a ser escuchados por oídos malevolentes, si queremos reflexionar individualmente o en grupo sobre ideas políticas o religiosas, si queremos contarnos chistes salados incorrectos, si tenemos algún chisme o secreto picante para transmitir, y no queremos que nuestras confidencias y reflexiones sean utilizadas en un futuro contra nosotros, debemos recurrir a una herramienta que se llama encriptado o cifrado de los mensajes. (Ver abajo Nota sobre el cifrado de mensajes).
La comunicación cifrada
Para la comunicación segura, cifrada, entre dos o más personas, de celular a celular, por voz o mensajes, se ofrecen en el mercado de las apps varios productos. Los que conozco son Signal, Whatsapp, iMessage y Telegram. Apple produce iMessage para sus sistemas iOS, exclusivamente. Google prepara Allo. Me refiero hoy solamente a las mensajerías que utilizamos para enviar mensajes de texto, imágenes, mensajes de voz o videos, generalmente desde nuestros teléfonos celulares “inteligentes”, es decir, conectados a internet y capaces de ejecutar programas como una computadora. No hablamos ahora del cifrado de los mensajes de correo electrónico (email) o de los documentos, que es posible encriptar con herramientas como PGP, aquí aludo solamente a los mensajes enviados y recibidos por la telefonía celular.
Es la app más difundida, tiene mil millones de usuarios (!), es gratuita, y ahora encripta todos los mensajes y conversaciones desde abril de 2016. Pertenece a Facebook, y a primera vista parece perfecta.
Es muy importante saber qué protocolos de encriptado utiliza para poder evaluar su seguridad. En efecto, Whatsapp implementa los mismos protocolos que Signal, ellos fueron producidos por Open Whispers Systems, y son abiertos y reconocidos, es decir, protocolos estándar probados por el colectivo mundial de criptógrafos, y sometidos a duras pruebas por el colectivo que trata de quebrarlos de todas maneras.
Insisto que solamente un sistema de cifrado que puede ser puesto a prueba por una multiplicidad de investigadores, que sea examinado por los pares de los criptógrafos que lo crearon, puede ser considerado confiable. El sistema de encriptado que uno se inventa en el laboratorio y cree inexpugnable, generalmente no lo es.
Todos tendemos a usar Whatsapp, naturalmente, y es una cosa buena. Whatsapp encripta los mensajes sin que se lo pidamos, por defecto, y la tiene casi todo el mundo. Sin embargo, hay algunas fallas en los bordes que pueden tendernos una trampa.
Si el gobierno o un juez pide el contenido de un mensaje enviado por Whatsapp, como fue el caso recientemente en Brasil, no lo obtendrá, porque el mensaje está encriptado y la empresa no tiene la clave. Estamos bien por ese lado.
Pero, pero, como lo dice la misma empresa, si bien no ve el contenido de los mensajes, sí ve el envoltorio, lo que se llama “metadata”, es decir los datos de quién le escribe a quién y cuándo. Si bien actualmente no conserva registros de las transacciones, podría en el futuro hacerlo y no promete nada al respecto. Explícitamente.
Ya no estamos tan bien.
Siguen los puntos en contra: Whatsapp retiene la lista de contactos de los suscriptores (que entregamos voluntariamente, si queremos), con el fin de facilitar la comunicación. Las retiene y podría entregarlas, de grado o por fuerza, en alguna circunstancia judicial u otra, como hackeo o dictadura (todavía no estamos seguros de que no gane Trump).
La frutilla de la torta es el respaldo de los mensajes en la nube por Whatsapp. Los mensajes almacenados en el teléfono están en claro, en él su seguridad depende de la del propio teléfono. Si se los respalda en la nube (cualquiera, Google o iCloud) estamos entregando el contenido de los mensajes en claro al proveedor del servicio. Whatsapp permite borrar los chats de la nube, si uno quiere, pero hay que tomarse el trabajo. Un trabajo recomendado si se trata de información sensible.
Signal
Signal utiliza los mismos protocolos estándar, realizados por el mismo equipo de Open Whispers Systems, pero se distingue de Whatsapp (y otras) porque es open source, programados en código abierto y verificable, es decir que el programa de la aplicación está disponible para su inspección por los expertos y se puede investigar si hay errores o backdoors ("puertas traseras" que dan acceso a la cifra).
Su modelo de negocios también es único: ¡no tiene! Open Whisper Systems se mantiene con donaciones, sin anuncios, y por eso no tiene necesidad de buscar un blanco de la publicidad, almacena la menor cantidad de datos posible.
Signal encripta los mensajes de punta a punta, de usuario a usuario, como Whatsapp y, como ésta, tampoco tiene la clave para leer los mensajes que encamina.
Signal tiene como política declarada no guardar nada de los metadatos de los mensajes. La única excepción es la fecha (día, no la hora) de la última conexión del usuario.
Para encontrar otros usuarios, Signal manda la lista de contactos pasada previamente por una función de hash criptográfica, con los números telefónicos truncos, el servidor busca las coincidencias y luego la descarta.
En cualquier resguardo, Signal no incluye ninguna de sus conversaciones, lo cual tiene el inconveniente de que se pueden perder los datos, pero no abre la brecha del resguardo en claro que tiene Whatsapp.
Una orden judicial que emplace o un pirata que entre al servidor de Signal no tiene nada que llevarse, no hay ningún rastro de los mensajes intercambiados por los usuarios, ni en el servidor ni en la nube.
Signal es nuestra preferida y la recomendamos, porque es abierta, independiente, gratuita y sin grietas (conocidas).
Sobre todo, mis principales referentes la utilizan y recomiendan: Bruce Schneier, criptógrafo, autor de varios libros ya clásicos como Applied Criptography (Wiley, 1996), Edward Snowden, Laura Poitras y otros.
El inconveniente de Signal es que la utilizan solamente entre 1 y 5 millones de usuarios, contra por ejemplo Whatsapp que tiene mil veces más. Eso hace que si queremos comunicar con alguien primero tenemos que convencerlo de que lo instale, de ahí este artículo.
Telegram
Recomendamos leer el artículo que citamos abajo, Why you should stop using Telegram right now, donde dice en síntesis que Telegram no es tan segura como pretenden sus fabricantes, que no encripta por defecto (es decir que hay que configurar para que mande los mensajes cifrados) y utiliza protocolos caseros cuya seguridad no está suficientemente probada. También filtra metadatos.
LINKS:
Open Whispers System, la organización que provee los protocolos y programas de cifrado estándar recomendados por figuras como Edward Snowden, Bruce Scheier y Laura Poitras, y que también produce Signal. Sin publicidad, sin costo. Estos programas de encriptado son utilizados por Whatsapp, son de código abierto y libre.
Whatsapp compañía propiedad de Facebook.
Google Allo app aún en desarrollo, pero de la cual se conocen algunas opciones.
Telegram Messenger sitio web con toda la información.
Artículo sobre Whatsapp, Allo, Signal:
Sobre Telegram:
Nota sobre el cifrado o encriptado de mensajes
El encriptado o cifrado de los mensajes se ha practicado desde que se tiene memoria, es y fue siempre de gran importancia militar, y está en la lógica dialéctica de todas las armas, ofensiva y defensiva, la lanza y el escudo, cifrado y descifrado. (Aunque la metáfora puede invertirse en este caso y considerar al cifrado como el escudo que protege nuestro mensaje del tercero que pretende leerlo.)
Hoy el fiel de la balanza se ha inclinado del lado de la ofensiva, del cifrado. El estado del arte permite cifrar mensajes, conversaciones e imágenes de manera que ninguna potencia del mundo es aún capaz de descifrarlos sin la clave apropiada. Esta es la oportunidad de recuperar algo de nuestra privacidad.
No hay comentarios:
Publicar un comentario