Cada vez son más las apps de mensajería que tenemos a disposición para comunicarnos con nuestros círculos de amigos. Aunque aparentemente todas estas aplicaciones son seguras, algunas de ellas recogen más datos de los necesarios a la hora de enviar y recibir mensajes.
Por este motivo, hoy vamos a ver una comparativa de apps de mensajería con la que conocerás qué apps registran metadatos de tu dispositivo, y hasta qué punto pueden ser seguras o no, si primas tu privacidad ante cualquier otra cosa.
Gira tu smartphone para ver el contenido de la siguiente tabla.
| Element | Signal | Telegram | Session | ||
|---|---|---|---|---|---|
| App recomendada para proteger mensajes y archivos? | No | Si | No | No | Si |
| Porqué razones se recomienda (o no) la app y Mejoras que deberían hacerse | No hay un análisis independiente del código ni de seguridad. | Elimina el requisito obligatorio para que los usuarios se registren con un número de teléfono móvil Proporcionar evaluaciones independientes más completas de seguridad/privacidad. | Criptografía a medida Cifrado no habilitado por defecto No todos los datos están protegidos | Nombrado socio de la NSA en las revelaciones de Snowden Los mensajes pueden ser leídos por Facebook si están marcados como «abusivos» Ganan dinero con datos personales No todos los datos están protegidos Sin auditoría de código ni análisis de seguridad independientes y recientes Código cerrado | Confidencialidad en la capa de cifrado de extremo a extremo Proporcionar análisis independientes más completos de seguridad/privacidad. |
| País de jurisdicción | Reino Unido | Estados Unidos | Estados Unidos / Reino Unido / Belize / Emirato Árabes Unidos | Estados Unidos | Australia |
| Jurisdicción de Infraestructura | Reino Unido (y potencialmente todos los países dado que es un sistema descentralizado) | Estados Unidos | Reino Unido, Singapur, Estados Unidos, Finlandia | Estados Unidos (Posiblemente otros lugares) | Mensajes: Todo el mundos (uso de servidores descentralizados) Archivos adjuntos: Canadá |
| Implicado en cese de datos de usuarios a agencias de inteligencia | No | No | No | Si | No |
| App con capacidad de vigilancia | No | No | No | No | No |
| La compañía provee un informe de transparencia? | No | Si | No | Si | Si |
| Postura general de la compañía sobre la privacidad de los usuarios | Buena | Buena | Mala | Mala | Buena |
| Financiación | New Vector Limited | Freedom of the Press Foundation / the Knight Foundation / the Shuttleworth Foundation / the Open Technology Fund / Signal Foundation (Brian Acton) | Pavel Durov | LAG Foundation Ltd | |
| La empresa recopila los datos de los clientes? | No | No | Si | Si | No |
| La aplicación recopila los datos de los clientes? | Información de contacto / contactos / identificadores / diagnósticos / contenido de usuario (La información de contacto no se envía al usarlo de forma anónima) | Información de contacto | Información de contacto / contactos / identificadores | Compras/ información financiera / ubicación / información de contacto / contactos / contenido del usuario / identificadores / datos de uso / diagnósticos | No |
| Se envían datos de usuario y/o metadatos a la empresa matriz y/o a terceros? | No (Los datos del usuario se envían a un tercero si se realiza un pago) | Mínimo (número de móvil obligatorio enviado a un tercero para registro y recuperación) | Si | Si | No |
| El cifrado está activado de forma predeterminada? | Si | Si | No | Si (si el dispositivo lo permite) | Si |
| Algoritmos de cifrado | Curve25519 / AES-256 / HMAC-SHA256 | Curve25519 / AES-256 / HMAC-SHA256 | RSA 2048 / AES 256 / SHA-256 | Curve25519 / AES-256 / HMAC-SHA256 | X25519 / XSalsa20 256 / Poly1305 |
| La aplicación y el servidor son completamente de código abierto? | Si (clientes Element / Riot, Servidore /API matrix.org) | Si | No ( solo cliente y API) | No | Si |
| Se utilizan compilaciones reproducibles para verificar las aplicaciones con el código fuente? | No | Si (solo en Android) | Si (iOS y Android) | No | No |
| Puedes registrarte en la aplicación de forma anónima? | Si | No | No | No | Si |
| Puedes agregar un contacto sin necesidad de confiar en un servidor de directorio? | No | No | No | No | Si |
| Puedes verificar manualmente las huellas dactilares de los contactos? | Si | Si | No (solo sesión, no proporciona información de huellas dactilares de los usuarios) | Si | Si |
| Se podría modificar el servicio de directorio para permitir un ataque MITM? | Si | Si | Si | Si | Si |
| Recibes una notificación si cambia la huella digital de un contacto? | Si | Si | No (solo sesión, no proporciona información de huellas dactilares de los usuarios) | No (ajuste desactivado por defecto) | N/A |
| Se codifica la información personal (número de teléfono móvil, lista de contactos, etc.)? | Si | Una gran parte | No | No | N/A |
| La aplicación genera y mantiene una clave privada en el propio dispositivo? | Si | Si | Si | Si | Si |
| Los mensajes pueden ser leídos por la empresa? | No | No | Si | Si | No |
| La app impone el Secreto de avance perfecto PFS? | Si | Si | No (las claves de sesión cambian después de usarse 100 veces) | Si | No |
| La aplicación cifra los metadatos? | Si | No | No | Si | |
| La aplicación utiliza TLS/Noise para cifrar el tráfico de red? | Si | Si | No | Si | Si |
| La aplicación utiliza la fijación de certificados? | Si | Si | |||
| La aplicación cifra los datos en el dispositivo? (Solo iOS y Android) | Si | Si (si la contraseña está habilitada) | Si | ||
| La aplicación permite un factor secundario de autenticación? | No | Si | Si | Si | Si |
| Se cifran los mensajes cuando se realiza una copia de seguridad en la nube? | Si | N/A, Signal excluye iCloud/iTunes & copias de Android | iOS: Si Android: Si | N/A, Session excluye iCloud/iTunes & copias de Android | |
| La empresa registra marcas de tiempo/direcciones IP? | No | Si | Si | No | |
| Ha habido una auditoría de código reciente y un análisis de seguridad independiente? | No (Se ha revisado solo la librería de cifrado de Matrix por una parte independiente) | Si (Octubre de 2014) | Si (Noviembre de 2015) | No | Si (Abril de 2021) |
| Está bien documentado el diseño de la app? | Ligeramente | Ligeramente | Ligeramente | Ligeramente | Ligeramente |
| La aplicación tiene mensajes con autodestrucción? | No | Si | Si | Si | Si |
Después de haber detallado la tabla superior, vamos a enumerar puntos críticos de ciertas apps, y los principales motivos por los que no deberías usar dichos servicios:
Razones principales por las que no se recomienda las siguientes aplicaciones
Element:
- No ha habido una auditoría de código ni un análisis de seguridad independiente y, por lo tanto, debemos confiar en la palabra de Element.
- Matrix ha tenido al menos una brecha de seguridad vergonzosa, lo que indica que falta seguridad en su infraestructura.
Telegram:
- La criptografía a medida no es una buena idea, y los criptógrafos han criticado la implementación del cifrado de Telegram.
- El cifrado no está habilitado de forma predeterminada.
- Los datos del usuario (números de teléfono, información de contacto) no están protegidos y, por lo tanto, Telegram tiene acceso a números de teléfono móvil y nombres de contactos y números de teléfono móvil.
- La jurisdicción legal de Telegram no es del todo clara.
- A pesar de lo que dicen muchos artículos, Telegram no debe considerarse seguro.
WhatsApp:
- Facebook estuvo implicado como socio de la NSA en las filtraciones de Snowden.
- El modelo comercial de Facebook se basa en la recopilación de información de los usuarios y, por lo tanto, hay pocos incentivos para que Facebook realmente asegure la información de los usuarios.
- El historial general de Facebook en privacidad digital es pobre, considerando que su modelo comercial se basa en la recopilación de información del usuario.
- Los metadatos no están encriptados y, por lo tanto, las marcas de tiempo/ubicación/remitente/receptor/etc. no están encriptadas. Los metadatos brindan a las agencias de inteligencia una gran cantidad de datos para deducir qué están haciendo las personas por su ubicación, a quién están enviando mensajes, cuándo están enviando mensajes, etc.
- Los datos del usuario (números de teléfono, información de contacto) no están protegidos y, por lo tanto, Whatsapp tiene acceso a números de teléfono móvil y nombres de contactos y números de teléfono móvil.
- La aplicación y los servidores back-end no son de código abierto y, por lo tanto, nadie sabe la calidad del código, si el cifrado se implementa correctamente o si existen vulnerabilidades graves.
- No ha habido una auditoría de código ni un análisis de seguridad independiente y, por lo tanto, debemos confiar en la palabra de Facebook.
- Los mensajes pueden ser leídos por Facebook si están marcados como «abusivos».
Qué app de mensajería es las más segura en este momento?
Tras haber analizado toda la información, por el momento podríamos deducir que en este momento la app ‘Session‘ es la que nos ofrece mayor seguridad y privacidad, tanto para los datos como para el usuario.
Session no va a pedirte ninguna información personal para utilizar su servicio, y no tratará ninguno de tus datos ni metadatos del dispositivo.
Su funcionamiento es idéntico al uso de wallets de criptomonedas. A la hora de ‘crear una cuenta’, recibirás una ‘frase semilla’ que deberás guardar en el sitio más seguro que tu consideres. Dicha frase te servirá para identificarte con el mismo usuario en otros dispositivos. Si pierdes u olvidas esta frase, no podrás recuperar ninguna información, ni identificarte en otros dispositivos. La propia fundación que hay detrás de Session tampoco podrá ayudarte a recuperar la frase semilla, dado que ellos no la almacenan.
¿Qué aplicación utilizas tú en tu día a día?
¿Consideras que tu app de mensajería es segura?
¡Cuéntanoslo en un comentario!
