Aspectos a tener en cuenta en la seguridad de tu aplicación de mensajería instantánea
WhatsApp, Messenger, Facetime, iMessage, Allo, Telegram, Hangouts, Skype; en la actualidad tenemos docenas de aplicaciones de mensajería instantánea entre las que elegir, cada una con decenas o cientos de millones de usuarios en todo el mundo y con funciones que satisfagan las necesidades de estos en el entorno de la comunicación.
Sin embargo, tal y como sucede en multitud de aspectos relacionados con la tecnología, uno de los apartados que más preocupa a la comunidad es todo aquello que esté relacionado con la seguridad y privacidad de los datos que vayamos a transmitir en este caso. Es por ello que no todas estas aplicaciones de mensajería son igual de fiables a la hora de garantizar nuestra privacidad y seguridad, apartados que cada vez se están poniendo más difíciles de conseguir.
A pesar de todo, a día de hoy usamos todo tipo de aplicaciones de mensajería para intercambiar grandes cantidades de información sensible, ya sea personal, política, sexual o relacionada con nuestros negocios. Llegado el caso, en la mayoría de las ocasiones damos por sentado que las medidas de seguridad implementadas en estas aplicaciones son más que suficientes, todo hasta que nos llevamos el gran disgusto, al menos es lo que sucede en algunas ocasiones. Muchas veces nos excusamos para quitar hierro a este asunto de suma importancia, con la afirmación de que nosotros no tenemos nada que esconder, pero eso es falso en la mayoría de los casos, al menos desde el punto de vista de los posibles atacantes, que pueden usar nuestra información personal de muchas maneras, llegando incluso a la extorsión.
Es por ello que a continuación os vamos a hablar de algunos de los apartados más importantes a tener en cuenta a la hora de valorar la seguridad que nos proporciona realmente nuestra app de mensajería instantánea, válidos para todo tipo de sistemas operativos móviles como Android o iOS.
Cifrado
En primer lugar vamos a referirnos al cifrado que se debería hacer de los datos que transmitimos por estas vías, sean del tipo que sean. Este sistema se centra en el uso de determinados algoritmos matemáticos que se utilizan para codificar los datos compartidos en estas redes, por lo que se consideran como una de las mejores maneras de evitar que elementos no deseados puedan dar sentido a los mensajes que enviamos. Es precisamente por ello que la gran mayoría de las principales aplicaciones de mensajería usan algún tipo de cifrado para proteger nuestra privacidad.
Sin embargo hay que tener en cuenta que no todos los métodos de cifrado se realizan de la misma manera, de hecho hay algunos de estos servicios que deliberadamente mantienen las llaves para descifrar los mensajes previamente cifrados para poder acceder a su contenido. Esto es algo que se utiliza en algunos casos para, por ejemplo, analizar nuestra información y así poder crear anuncios mejor orientados a cada caso, o para «alimentar» a sus algoritmos de aprendizaje máquina y así mejorarlo. Llegados a este punto cabe mencionar que por esto las aplicaciones de este tipo consideradas como más seguras son aquellas que utilizan un sistema encriptación de extremo a extremo, también conocido como E2EE. Así se usa una forma de cifrado que asegura que solo el remitente y el destinatario de un determinado mensaje podrán leer su contenido. Además con E2EE ni siquiera el proveedor del servicio que almacena los mensajes en sus servidores, podrá descifrarlos ni leerlos.
El actual estándar mas utilizado en este sentido hoy día es Open Whisper Systems Signal Protocol, que se utiliza en la aplicación de mensajería respaldada por Edward Snowden o por el famoso experto en criptografía, Bruce Schneier. Otras aplicaciones de mensajería que también hacen uso de este son Facebook Messenger, WhatsApp o Telegram. Sin embargo hay que tener en cuenta que algunas aplicaciones no habilitan el E2EE de forma predeterminada, por lo que tendríamos que hacerlo nosotros mismos en el caso de que lo soporten.
Código abierto
Por otro lado diremos que en los últimos años, la transparencia ha surgido como un elemento crítico para el desarrollo de software seguro, por lo que la mayoría considera que los desarrolladores que «abren» el código fuente de sus propios proyectos para que otros lo vean, son mucho más fiables. Decir que el Open-sourcing de una aplicación no lo hace intrínsecamente seguro, sin embargo también es cierto que ofrece la oportunidad a los expertos de seguridad de revisar el código y así poder encontrar posibles bugs o puertas traseras en la nueva herramienta. Este es el caso de Telegram o Signal, dos alternativas de mensajería de código abierto, por ejemplo.
Por el contrario, aquellas aplicaciones que hacen uso exclusivo e interno de su propio código fuente dejando al resto de expertos en el tema en la más total oscuridad, obligan a los usuarios de sus desarrollos a confiar en que la propia empresa haya probado de manera conveniente a la vez que efectiva y depurado su propio código contra posibles ataques externos.
Eliminación de mensajes
En el desafortunado caso de que nuestro teléfono móvil caiga en otras manos indeseadas y no lo tengamos convenientemente protegido, o por alguna razón nuestra cuenta de usuario de la aplicación de mensajería instantánea se vea comprometida, hay que tener muy en consideración que ningún tipo de de cifrado será capaz de proteger nuestra información confidencial llegado el momento. Es por todo ello que el hecho de ser capaz de eliminar los mensajes almacenados en la propia herramienta, se le puede considerar como una medida extra relacionada con la seguridad.
Precisamente por estas razones, la mayoría de las aplicaciones nos permitirán eliminar mensajes individuales o chats completos de nuestras propias cuentas y, por lo tanto, de los dispositivos móviles. Sin embargo estas mismas aplicaciones de mensajería segura deben permitir a los remitentes borrar todos los mensajes confidenciales de los dispositivos pertenecientes a todas las partes involucradas en una misma conversación. Así podemos poner el ejemplo de las propuestas de Telegram, Signal o Wickr, ya que cuentan de serie con una función de autodestrucción de mensajes que, en el caso de estar activa, eliminará automáticamente todos los mensajes de los dispositivos después de que haya transcurra cierto tiempo, lo que seguro será de agradecer por muchos en determinadas circunstancias.
Almacenamiento de metadatos
Además del contenido de nuestros mensajes, cada servicio de mensajería almacena un conjunto de información propia que alberga datos como la hora a la que se envió un mensaje, a quién se le mandó, etc; lo que se suele denominar como metadatos o «datos sobre datos». Aunque a primera vista el contenido de estos metadatos podría no ser tan sensible como el mensaje real, sí que se puede deducir bastante de los mismos como los contactos que tenemos, los patrones de uso o nuestra ubicación, entre otras cosas. A esto hay que sumarle que los metadatos nunca están encriptados o protegidos como sucede con el contenido del mensaje.
De hecho para algunos expertos los metadatos son mucho más íntimos incluso que nuestras conversaciones, ya que muestran dónde vamos, nuestros intereses, relaciones o quiénes somos en realidad. Es más, estos en ocasiones se han utilizado a la hora de identificar y atrapar criminales o terroristas, mientras que algunos militares confían en los metadatos a la hora de llevar a cabo ataques aéreos, todo basado en la información que recogen los mencionados metadatos.
Por lo tanto es información que se podría considerar como de extrema importancia y muy perjudicial si llega a caer en manos equivocadas. De este modo podemos llegar a la conclusión de que cuantos menos metadatos almacene una aplicación de mensajería instantánea, más segura será en este sentido. Así es recomendable revisar las políticas de almacenamiento de esta información que la aplicación de mensajería que usemos de manera habitual haga, al menos para que al menos seamos conscientes de todo ello. Sirva como ejemplo que Signal almacena tan solo la última vez que cada usuario se conecta al servidor, que es la más restrictiva de las principales aplicaciones de mensajería en este sentido.
Estos son algunos de los aspectos más importantes a la hora de evaluar la fiabilidad de cada una de las aplicaciones de estos entornos que usemos, lo que no significa que debemos descartarla si no se ajusta a los criterios anteriormente mencionados. Sin embargo sí que nos puede servir para no dar por sentados ciertos hechos relacionados con la privacidad y seguridad de nuestros datos y tomar las medidas necesarias en cada caso.