Seguridad en las aplicaciones de mensajería

En una investigación reciente, el equipo de CyberNews descubrió que un servicio de chat, probablemente con sede en China, había filtrado más de 130.000 imágenes, videos y grabaciones de audio extremadamente (Not Safe / Suitable for Work ) NSFW de sus usuarios. Si bien este servicio de mensajería estaba conectado a una empresa que ofrecía una "red social privada" y, por lo tanto, con una base de usuarios pequeña, CyberNews quiso ver las características de seguridad de las aplicaciones de mensajería más grandes.

Para los usuarios de estas aplicaciones de mensajería más grandes, hay buenas noticias: el 86% de las aplicaciones (11 de 13) que analizaron eran seguras de forma predeterminada. Solo dos aplicaciones, Telegram y Facebook Messenger, no tenían estas funciones seguras habilitadas de forma predeterminada. En general, estos resultados son prometedores, ya que significa que la industria de la mensajería segura va en la dirección correcta.

También descubrieron que la mayoría de las aplicaciones usa variaciones de RSA y AES para el cifrado y los hashes de claves, que son algunos de los algoritmos de cifrado más seguros disponibles en la actualidad.

En general, esto es bueno no solo para sus mensajes "nocturnos" (NSFW o no), sino también para otras actividades importantes. Esto significa que para las personas que participan en protestas en todo el mundo, ya sea Black Lives Matter en los EE.UU. O Anti-Lukashenko en Bielorrusia, pueden usar servicios de mensajería segura para coordinar actividades y brindar apoyo.

La investigación muestra que esos usuarios harían bien en utilizar las mejores aplicaciones de mensajería segura como Signal, Wire, Cyber ​​Dust y otras de nuestra lista.

Para realizar el análisis, se analizaron varios aspectos de 13 aplicaciones populares de mensajería segura:

• Señal
• Wickr Me
• Mensajero
• WhatsApp
• Telegrama
• Cable
• Viber
• Polvo cibernético
• iMessage
• Pryvate
• Qtox
• Sesión
• Brezo

Conclusiones clave

El análisis incluyó los estándares de cifrado y transporte de las diversas aplicaciones, los principios de intercambio de claves y las primitivas criptográficas utilizadas.

• 2 de las aplicaciones de mensajería no eran seguras de forma predeterminada, y los usuarios deberán activar esta seguridad en la configuración.
• 4 de las aplicaciones de mensajería segura utilizan el protocolo Signal para el cifrado. El protocolo Signal se ha convertido en el estándar de la industria para proteger las comunicaciones de mensajería, voz y video
• Solo 2 de las aplicaciones usan P2P para su mecanismo de transporte. Briar y Qtox, utilizan un mecanismo de transporte Peer-to-Peer, lo que significa que no hay un servidor en el medio entre el remitente y el receptor: los mensajes van directamente de un dispositivo a otro. Si bien Briar ofrece otros mecanismos de transferencia, Qtox solo usa su TOX P2P y, por lo tanto, no tiene una política de privacidad, no la necesita, ya que nunca toca los datos del usuario.
• iMessage no cifra los mensajes si se envían a través de GSM. Un aspecto interesante es que iMessage de Apple, ya sea en iPhone, iPad, Apple Watch y Mac, solo usa cifrado en HTTPS. Cuando los mensajes se envían a través de GSM, un protocolo para dispositivos 2G y 3G, no están cifrados.
• 3 tienen planes de pago que permiten que los usuarios accedan a funciones adicionales. Solo Wired requiere una suscripción. Esto se debe a que este servicio de mensajería está diseñado para uso corporativo, algo como Slack o Microsoft Teams, pero con cifrado de extremo a extremo.
• La mayoría de las aplicaciones utilizan RSA y AES, algunos de los algoritmos de cifrado más seguros disponibles en la actualidad, para cifrado y hashes de claves.

Es suficiente decir: ninguna de estas aplicaciones ofrece seguridad absoluta, y ninguna lo hará, ya que siempre habrá una solución por una persona o un grupo con suficiente tiempo y recursos. Incluso si una aplicación fuera absolutamente segura en sí misma, no podría mitigar sus errores.

La mayoría de estos servicios de mensajería han fallado o fallarán. Y esa es simplemente la naturaleza del software: todos los programas tienen errores, algunos más graves que otros. Un ejemplo famoso es WhatsApp, que ha tenido numerosas vulnerabilidades a lo largo de los años. Esto incluye software espía israelí Pegasus que podría instalar software de vigilancia en el teléfono de un objetivo simplemente llamándolo a través de WhatsApp. iMessenger también tuvo su parte de problemas, donde los atacantes podían ver con quién había estado enviando mensajes.

Incluso Signal, probablemente la aplicación de mensajería más recomendada por los profesionales de la ciberseguridad, fue víctima de un ataque bastante complejo en el que alguien podía escuchar su entorno haciendo una especie de llamada fantasma: llamándolo a través de Signal y luego presionando silencio sin que se viera la llamada, para escuchar a escondidas sus conversaciones.

Y eso es solo uso por parte de los ciberdelincuentes para atacar a personas. Las fuerzas del orden han estado utilizando varios métodos a lo largo de los años para espiar a grupos de personas. En Hong Kong, el gobierno chino aprovechó un error de Telegram para filtrar los números de teléfono de los usuarios. Los investigadores alemanes también descubrieron que WhatsApp, Signal y Telegram estaban exponiendo los datos personales de los usuarios a través del descubrimiento de contactos.

Como lo expresa la FAQ de Telegram:

No podemos protegerte de tu propia madre si ella toma tu teléfono desbloqueado sin una contraseña. O de su departamento de TI si acceden a su computadora en el trabajo. O de cualquier otra persona que tenga acceso físico o root a sus teléfonos o computadoras que ejecutan Telegram.
Si te comportas de manera insegura, ninguna aplicación de mensajería segura te salvará.

Fuente: CyberNews

Suscríbete a nuestro Boletín