Aunque hoy en día prácticamente todo el mundo utiliza WhatsApp para comunicarse con sus contactos, no significa que este sea el mejor cliente de mensajería, y mucho menos el más seguro, teniendo en cuenta que este cliente de mensajería es propiedad de Facebook. Tras el temor a que grandes empresas pudieran estar controlando los clientes de mensajería, han aparecido otros clientes alternativos que aseguran ser totalmente seguros y privados y utilizar sistemas de cifrado blindados, como es el caso de la conocida plataforma Signal.
Signal es un cliente de mensajería instantánea para Android y iOS creado por la compañía OpenWhisperSystems, compañía conocida por haber creado un sistema de cifrado de datos seguro e infranqueable, a día de hoy, y por el que grandes compañías, como WhatsApp, han apostado para proteger las comunicaciones de sus usuarios. Esta aplicación es el resultado de la fusión de dos aplicaciones, TextSecure (para mensajería instantánea totalmente segura) y RedPhone (aplicación para realizar llamadas IP cifradas imposibles de escuchar) de manera que, con Signal, los usuarios puedan tener centralizada tanto la mensajería de voz como de texto en una única app.
Uno de los aspectos de Signal que más gustó a los usuarios era la su facilidad de uso y, sobre todo, el poder tener el control sobre el cifrado de la plataforma. Sin embargo, existen varios problemas con esta plataforma que, por una razón u otra, pueden hacer que no sea tan segura como en realidad pensamos.
Problemas por los que Signal no puede ser una plataforma 100% segura
Uno de los aspectos que debemos tener en cuenta es que los responsables de Signal quieren que su plataforma sea solo para ellos. Aunque este puede ser un movimiento normal en plataformas opacas como WhatsApp, cuando estás ofreciendo una plataforma gratuita y transparente en cuanto a seguridad de mensajería, lo normal sería permitir a otros usuarios hacer uso de la plataforma a través de clientes mucho más seguros y privados como LibreSignal, un cliente para Android que eliminaba las dependencias privativas de Google y que, al poco de empezar a funcionar, fue bloqueado por Moxie, fundador de OpenWhisperSystems.
Otro punto a tener en cuenta es que el cliente oficial de Signal depende de plataformas privativas como Google Cloud Message, o GCM. A través de esta plataforma, Google puede acceder de forma remota a los dispositivos Android (por ejemplo, para distribuir actualizaciones de seguridad) y permite a los dispositivos comunicarse con los servidores. Por ello, es posible que Google pueda acceder a la información de Signal a través de este protocolo.
La lista de contactos de nuestro dispositivo no es privada, sino que se envía (aunque con grandes medidas de seguridad) a los servidores de la compañía. Además, todos los usuarios de Signal se deben registrar con su número de teléfono y, por lo tanto, al final pueden ser fácilmente identificados.
Por último, debemos recordar que RedPhone, la plataforma de llamadas IP seguras y cifradas, no es de código abierto, así que, volviendo a lo que hemos dicho en otras ocasiones, no podemos saber con certeza qué pasa dentro de los servidores ni cómo funciona la plataforma, aunque está claro que, si no lo liberan, por algo será.
Es una pena que una plataforma tan, supuestamente, segura, tenga unas políticas tan cerradas con los clientes realmente libres, como el desaparecido LibreSignal, y que se niegue a liberar el código fuente de sus plataformas. Este es un caso similar al de Telegram, quien se promocionó como una alternativa libre a WhatsApp pero que, en realidad, lo único que tiene libre es el cliente y la API, pero no sabemos cómo funciona el servidor.
A pesar de todo, el algoritmo de cifrado de OpenWhisperSystems, utilizado en este cliente de mensajería y en otros, como WhatsApp, es totalmente fiable y seguro y, hasta hoy, no se ha conseguido romper.
Fuente: https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
