En una investigación reciente, el equipo de CyberNews descubrió que un
servicio de chat, probablemente con sede en China,
había filtrado más de 130.000 imágenes, videos y grabaciones de audio
extremadamente (Not Safe / Suitable for Work ) NSFW de sus usuarios. Si bien este servicio de mensajería estaba conectado a una empresa que
ofrecía una "red social privada" y, por lo tanto, con una base de usuarios
pequeña, CyberNews quiso ver las características de seguridad de las
aplicaciones de mensajería más grandes.
Para los usuarios de estas aplicaciones de mensajería más grandes, hay buenas
noticias: el 86% de las aplicaciones (11 de 13) que analizaron eran seguras de
forma predeterminada. Solo dos aplicaciones, Telegram y Facebook Messenger, no
tenían estas funciones seguras habilitadas de forma predeterminada. En
general, estos resultados son prometedores, ya que significa que la industria
de la mensajería segura va en la dirección correcta.
También descubrieron que la mayoría de las aplicaciones usa variaciones de RSA
y AES para el cifrado y los hashes de claves, que son algunos de los
algoritmos de cifrado más seguros disponibles en la actualidad.
En general, esto es bueno no solo para sus mensajes "nocturnos" (NSFW o no),
sino también para otras actividades importantes. Esto significa que para las
personas que participan en protestas
en todo el mundo, ya sea Black Lives Matter en los EE.UU. O Anti-Lukashenko en
Bielorrusia, pueden usar servicios de mensajería segura para coordinar
actividades y brindar apoyo.
La investigación muestra que esos usuarios harían bien en utilizar las
mejores aplicaciones de mensajería segura como Signal, Wire, Cyber Dust y
otras de nuestra lista.
Para realizar el análisis, se analizaron varios aspectos de 13 aplicaciones
populares de mensajería segura:
- Señal
- Wickr Me
- Mensajero
- WhatsApp
- Telegrama
- Cable
- Viber
- Polvo cibernético
- iMessage
- Pryvate
- Qtox
- Sesión
- Brezo
Conclusiones clave
El análisis incluyó los estándares de cifrado y transporte de las diversas
aplicaciones, los principios de intercambio de claves y las primitivas
criptográficas utilizadas.
-
2 de las aplicaciones de mensajería no eran seguras de forma predeterminada,
y los usuarios deberán activar esta seguridad en la configuración.
-
4 de las aplicaciones de mensajería segura utilizan el
protocolo Signal
para el cifrado. El protocolo Signal se ha convertido en el estándar de la
industria para proteger las comunicaciones de mensajería, voz y video
-
Solo 2 de las aplicaciones usan P2P para su mecanismo de transporte. Briar y
Qtox, utilizan un mecanismo de transporte Peer-to-Peer, lo que significa que
no hay un servidor en el medio entre el remitente y el receptor: los
mensajes van directamente de un dispositivo a otro. Si bien Briar ofrece
otros mecanismos de transferencia, Qtox solo usa su TOX P2P y, por lo tanto,
no tiene una política de privacidad, no la necesita, ya que nunca toca los
datos del usuario.
-
iMessage no cifra los mensajes si se envían a través de GSM. Un aspecto
interesante es que iMessage de Apple, ya sea en iPhone, iPad, Apple Watch y
Mac, solo usa cifrado en HTTPS. Cuando los mensajes se envían a través de
GSM, un protocolo para dispositivos 2G y 3G, no están cifrados.
-
3 tienen planes de pago que permiten que los usuarios accedan a funciones
adicionales. Solo Wired requiere una suscripción. Esto se debe a que este
servicio de mensajería está diseñado para uso corporativo, algo como Slack o
Microsoft Teams, pero con cifrado de extremo a extremo.
-
La mayoría de las aplicaciones utilizan RSA y AES, algunos de los algoritmos
de cifrado más seguros disponibles en la actualidad, para cifrado y hashes
de claves.
Es suficiente decir: ninguna de estas aplicaciones ofrece seguridad absoluta,
y ninguna lo hará, ya que siempre habrá una solución por una persona o un
grupo con suficiente tiempo y recursos. Incluso si una aplicación fuera
absolutamente segura en sí misma, no podría mitigar sus errores.
La mayoría de estos servicios de mensajería han fallado o fallarán. Y esa es
simplemente la naturaleza del software: todos los programas tienen errores,
algunos más graves que otros.
Un ejemplo famoso es WhatsApp, que ha tenido numerosas vulnerabilidades a lo largo de los años. Esto
incluye software espía israelí
Pegasus
que podría instalar software de vigilancia en el teléfono de un objetivo simplemente llamándolo a través de WhatsApp.
iMessenger también
tuvo su parte de problemas, donde los atacantes podían ver con quién había
estado enviando mensajes.
Incluso Signal, probablemente la aplicación de mensajería más recomendada por
los profesionales de la ciberseguridad,
fue víctima de un ataque bastante complejo
en el que alguien podía escuchar su entorno haciendo una especie de llamada
fantasma: llamándolo a través de Signal y luego presionando silencio sin que
se viera la llamada, para escuchar a escondidas sus conversaciones.
Y eso es solo uso por parte de los ciberdelincuentes para atacar a personas.
Las fuerzas del orden han estado utilizando varios métodos a lo largo de los
años para espiar a grupos de personas. En Hong Kong,
el gobierno chino aprovechó un error de Telegram
para filtrar los números de teléfono de los usuarios. Los investigadores
alemanes también descubrieron que
WhatsApp, Signal y Telegram estaban exponiendo los datos personales de los
usuarios
a través del descubrimiento de contactos.
Como lo expresa la
FAQ de Telegram:
No podemos protegerte de tu propia madre si ella toma tu teléfono
desbloqueado sin una contraseña. O de su departamento de TI si acceden a su
computadora en el trabajo. O de cualquier otra persona que tenga acceso
físico o root a sus teléfonos o computadoras que ejecutan Telegram.
Si te comportas de manera insegura, ninguna aplicación de mensajería segura
te salvará.
Fuente:
CyberNews