Cada vez son más las apps de mensajería que tenemos a disposición para comunicarnos con nuestros círculos de amigos. Aunque aparentemente todas estas aplicaciones son seguras, algunas de ellas recogen más datos de los necesarios a la hora de enviar y recibir mensajes.

Por este motivo, hoy vamos a ver una comparativa de apps de mensajería con la que conocerás qué apps registran metadatos de tu dispositivo, y hasta qué punto pueden ser seguras o no, si primas tu privacidad ante cualquier otra cosa.

Gira tu smartphone para ver el contenido de la siguiente tabla.
 ElementSignalTelegramWhatsappSession
App recomendada para proteger mensajes y archivos?NoSiNoNoSi
Porqué razones se recomienda (o no) la app

y


Mejoras que deberían hacerse
No hay un análisis independiente del código ni de seguridad.Elimina el requisito obligatorio para que los usuarios se registren con un número de teléfono móvil

Proporcionar evaluaciones independientes más completas de seguridad/privacidad.
Criptografía a medida

Cifrado no habilitado por defecto

No todos los datos están protegidos
Nombrado socio de la NSA en las revelaciones de Snowden

Los mensajes pueden ser leídos por Facebook si están marcados como «abusivos»

Ganan dinero con datos personales

No todos los datos están protegidos

Sin auditoría de código ni análisis de seguridad independientes y recientes

Código cerrado
Confidencialidad en la capa de cifrado de extremo a extremo

Proporcionar análisis independientes más completos de seguridad/privacidad.
País de jurisdicciónReino UnidoEstados UnidosEstados Unidos / Reino Unido / Belize / Emirato Árabes UnidosEstados UnidosAustralia
Jurisdicción de InfraestructuraReino Unido (y potencialmente todos los países dado que es un sistema descentralizado)Estados UnidosReino Unido, Singapur, Estados Unidos, FinlandiaEstados Unidos (Posiblemente otros lugares)Mensajes: Todo el mundos (uso de servidores descentralizados)

Archivos adjuntos: Canadá
Implicado en cese de datos de usuarios a agencias de inteligenciaNoNoNoSiNo
App con capacidad de vigilanciaNoNoNoNoNo
La compañía provee un informe de transparencia?NoSiNoSiSi
Postura general de la compañía sobre la privacidad de los usuariosBuenaBuenaMalaMalaBuena
FinanciaciónNew Vector LimitedFreedom of the Press Foundation / the Knight Foundation / the Shuttleworth Foundation / the Open Technology Fund / Signal Foundation (Brian Acton)Pavel DurovFacebookLAG Foundation Ltd
La empresa recopila los datos de los clientes?NoNoSiSiNo
La aplicación recopila los datos de los clientes?Información de contacto / contactos /
identificadores /
diagnósticos /
contenido de usuario

(La información de contacto no se envía al usarlo de forma anónima)
Información de contactoInformación de contacto /
contactos /
identificadores
Compras/
información financiera /
ubicación /
información de contacto /
contactos /
contenido del usuario /
identificadores /
datos de uso /
diagnósticos
No
Se envían datos de usuario y/o metadatos a la empresa matriz y/o a terceros?No

(Los datos del usuario se envían a un tercero si se realiza un pago)
Mínimo
(número de móvil obligatorio enviado a un tercero para registro y recuperación)
SiSiNo
El cifrado está activado de forma predeterminada?SiSiNoSi (si el dispositivo lo permite)Si
Algoritmos de cifradoCurve25519 / AES-256 / HMAC-SHA256Curve25519 / AES-256 / HMAC-SHA256RSA 2048 / AES 256 / SHA-256Curve25519 / AES-256 / HMAC-SHA256X25519 / XSalsa20 256 / Poly1305
La aplicación y el servidor son completamente de código abierto?Si (clientes Element / Riot, Servidore /API matrix.org)SiNo ( solo cliente y API)NoSi
Se utilizan compilaciones reproducibles para verificar las aplicaciones con el código fuente?NoSi
(solo en Android)
Si
(iOS y Android)
NoNo
Puedes registrarte en la aplicación de forma anónima?SiNoNoNoSi
Puedes agregar un contacto sin necesidad de confiar en un servidor de directorio?NoNoNoNoSi
Puedes verificar manualmente las huellas dactilares de los contactos?SiSiNo (solo sesión, no proporciona información de huellas dactilares de los usuarios)SiSi
Se podría modificar el servicio de directorio para permitir un ataque MITM?SiSiSiSiSi
Recibes una notificación si cambia la huella digital de un contacto?SiSiNo (solo sesión, no proporciona información de huellas dactilares de los usuarios)No (ajuste desactivado por defecto)N/A
Se codifica la información personal (número de teléfono móvil, lista de contactos, etc.)?SiUna gran parteNoNoN/A
La aplicación genera y mantiene una clave privada en el propio dispositivo?SiSiSiSiSi
Los mensajes pueden ser leídos por la empresa?NoNoSiSiNo
La app impone el Secreto de avance perfecto PFS?SiSiNo (las claves de sesión cambian después de usarse 100 veces)SiNo
La aplicación cifra los metadatos?SiNoNoSi
La aplicación utiliza TLS/Noise para cifrar el tráfico de red?SiSiNoSiSi
La aplicación utiliza la fijación de certificados?SiSi
La aplicación cifra los datos en el dispositivo? (Solo iOS y Android)SiSi (si la contraseña está habilitada)Si
La aplicación permite un factor secundario de autenticación?NoSiSiSiSi
Se cifran los mensajes cuando se realiza una copia de seguridad en la nube?SiN/A, Signal excluye iCloud/iTunes & copias de AndroidiOS: Si
Android: Si
N/A, Session excluye iCloud/iTunes & copias de Android
La empresa registra marcas de tiempo/direcciones IP?NoSiSiNo
Ha habido una auditoría de código reciente y un análisis de seguridad independiente?No

(Se ha revisado solo la librería de cifrado de Matrix por una parte independiente)
Si
(Octubre de 2014)
Si
(Noviembre de 2015)
NoSi
(Abril de 2021)
Está bien documentado el diseño de la app?LigeramenteLigeramenteLigeramenteLigeramenteLigeramente
La aplicación tiene mensajes con autodestrucción?NoSiSiSiSi

Después de haber detallado la tabla superior, vamos a enumerar puntos críticos de ciertas apps, y los principales motivos por los que no deberías usar dichos servicios:

Razones principales por las que no se recomienda las siguientes aplicaciones

Element:

  • No ha habido una auditoría de código ni un análisis de seguridad independiente y, por lo tanto, debemos confiar en la palabra de Element.
  • Matrix ha tenido al menos una brecha de seguridad vergonzosa, lo que indica que falta seguridad en su infraestructura.

Telegram:

  • La criptografía a medida no es una buena idea, y los criptógrafos han criticado la implementación del cifrado de Telegram.
  • El cifrado no está habilitado de forma predeterminada.
  • Los datos del usuario (números de teléfono, información de contacto) no están protegidos y, por lo tanto, Telegram tiene acceso a números de teléfono móvil y nombres de contactos y números de teléfono móvil.
  • La jurisdicción legal de Telegram no es del todo clara.
  • A pesar de lo que dicen muchos artículos, Telegram no debe considerarse seguro.

WhatsApp:

  • Facebook estuvo implicado como socio de la NSA en las filtraciones de Snowden.
  • El modelo comercial de Facebook se basa en la recopilación de información de los usuarios y, por lo tanto, hay pocos incentivos para que Facebook realmente asegure la información de los usuarios.
  • El historial general de Facebook en privacidad digital es pobre, considerando que su modelo comercial se basa en la recopilación de información del usuario.
  • Los metadatos no están encriptados y, por lo tanto, las marcas de tiempo/ubicación/remitente/receptor/etc. no están encriptadas. Los metadatos brindan a las agencias de inteligencia una gran cantidad de datos para deducir qué están haciendo las personas por su ubicación, a quién están enviando mensajes, cuándo están enviando mensajes, etc.
  • Los datos del usuario (números de teléfono, información de contacto) no están protegidos y, por lo tanto, Whatsapp tiene acceso a números de teléfono móvil y nombres de contactos y números de teléfono móvil.
  • La aplicación y los servidores back-end no son de código abierto y, por lo tanto, nadie sabe la calidad del código, si el cifrado se implementa correctamente o si existen vulnerabilidades graves.
  • No ha habido una auditoría de código ni un análisis de seguridad independiente y, por lo tanto, debemos confiar en la palabra de Facebook.
  • Los mensajes pueden ser leídos por Facebook si están marcados como «abusivos».

Qué app de mensajería es las más segura en este momento?

Tras haber analizado toda la información, por el momento podríamos deducir que en este momento la app ‘Session‘ es la que nos ofrece mayor seguridad y privacidad, tanto para los datos como para el usuario.

Te puede interesar:  Google ha registrado 18 millones de mensajes con malware sobre el coronavirus

Session no va a pedirte ninguna información personal para utilizar su servicio, y no tratará ninguno de tus datos ni metadatos del dispositivo.

Su funcionamiento es idéntico al uso de wallets de criptomonedas. A la hora de ‘crear una cuenta’, recibirás una ‘frase semilla’ que deberás guardar en el sitio más seguro que tu consideres. Dicha frase te servirá para identificarte con el mismo usuario en otros dispositivos. Si pierdes u olvidas esta frase, no podrás recuperar ninguna información, ni identificarte en otros dispositivos. La propia fundación que hay detrás de Session tampoco podrá ayudarte a recuperar la frase semilla, dado que ellos no la almacenan.

¿Qué aplicación utilizas tú en tu día a día?

¿Consideras que tu app de mensajería es segura?

¡Cuéntanoslo en un comentario!