Por Lucas Teixeira y Joana Varon | #Boletín15
y Joana Varon y Lucas Teixeira

A lo largo de nuestro día, pegados a nuestros celulares, intercambiamos noticias, nos actualizamos sobre las turbulencias políticas, mandamos fotos de bebés y mascotas, mandamos nudes, decimos guarangadas, intercambiamos confidencias, agendamos y cancelamos reuniones, bromeamos irónicamente sobre situaciones del día a día y, como resultado, la mayor parte del tiempo que pasamos en nuestros celulares estamos en alguna aplicación de chat. Y a través de los chats pasan muchas de las situaciones presentadas en el texto “Mi celular me traicionó, me delató, casi me destruyó”  de este boletín.

Dada la importancia creciente de ese rincón nuestro, hemos prestado atención a observar en qué medida está protegido ese espacio que, detrás de los teclados, parece íntimo. Y podemos decir que, desde que comenzamos la Oficina Antivigilancia, inmediatamente después de las revelaciones de Snowden, allá por el 2013, muchas cosas cambiaron en nuestros canales de comunicación. El cambio principal es la integración del cifrado en las aplicaciones de chat.

Ese mismo año surgió el Telegram, en la época lanzado como una alternativa más amigable para la privacidad que el WhatsApp, justamente por permitir el cifrado de extremo a extremo (además de no ser desarrollado por una empresa en los EE. UU.).  Al año siguiente, a mediados del 2014, Open Whisper Systems, organización que desarrolla software libre y abierto, anunció que la aplicación de chat  se unificaría con su aplicación de llamadas telefónicas cifradas, Redphone, lo que resultó en el Signal, lanzado en 2015.

Frente a esas tendencias, al WhatsApp no le quedó otra salida. Adquirido por Facebook en octubre de 2014, al mes siguiente la empresa hizo alianza con Open Whisper Systems para incorporar gradualmente cifrado en todos los chats de la aplicación. La versión con cifrado de extremo a extremo se lanzó en 2016, lo que incluyó a sus más de mil millones de usuarios en el universo de las comunicaciones cifradas.

Claro que no podemos ser ingenuas y pensar que ese movimiento fue por mera y simple pasión por la privacidad de los usuarios; a final de cuentas todo es business para el Sr Zuckerberg. Debemos recordar que ese mismo año, la empresa empezó a orientar a los usuarios que trataban de acceder al chat del Facebook en el navegador de los celulares a bajar su Messenger, forzando un crecimiento de la descarga de la aplicación. El resultado:  hoy, ambos, el WhatsApp y el Messenger, dominan ampliamente el mercado de apps, cada uno con más de mil millones de usuarios. Y el Messenger no tiene cifrado by default, a pesar de que puede habilitarse en la versión app.

De cualquier manera, el hecho es que el cifrado de extremo a extremo se difundió entre los chats. El cifrado de extremo a extremo o de punta a punta (end-to-end encryption) significa que las claves que protegen la comunicación se generan y se guardan en los propios dispositivos de las personas que participan de la conversación. Al contrario del modelo tradicional, donde las comunicaciones son protegidas entre el cliente y el servidor, pero este último puede acceder a los mensajes, esa técnica protege la comunicación incluso hasta de quien está intermediando el intercambio.

¿Eso quiere decir que todos los chats se volvieron seguros? ¡No! Hay otras cuestiones para tomar en cuenta con respecto a la seguridad de una app de mensajería. Sin contar con otras configuraciones de seguridad de tu propio teléfono, como tener contraseñas fuertes, etc., pensando solo en la app, tenemos que considerar cuestiones como la apertura del código, la posibilidad de autenticación de dos factores, la posibilidad de autodestrucción de conversaciones, el bloqueo de la pantalla, etc.

Entonces, para facilitar tu elección de cuál app usar, les echamos un vistazo a las apps que se preocupan de alguna manera por la privacidad y son las más usadas en América Latina. El Messenger del Facebook quedó fuera del análisis porque ya fue usado por el Facebook hasta para oír las conversaciones de quien tiene la aplicación instalada en el teléfono. A continuación ofrecemos algunos consejos y consideraciones:

WhatsApp: tú eres el producto

Para comenzar, siempre debemos recordar que WhatsApp Inc., empresa que desarrolló la aplicación de mensajería usada por 9 de cada 10 médicos en Brasil, es propiedad de Facebook. Y que la compañía de Mark Zuckerberg es conocida por su “modelo de negocios de vigilancia” y tus pasos son vigilados para dirigir publicidad de acuerdo con tu comportamiento. A pesar de que, por ahora, el WhatsApp esté concentrado en expandir su base de usuarios, el valor de compra de 19 mil millones de dólares deja entrever que hay un gran valor en intermediar las conversaciones de todo el mundo. Y cualquier análisis de la aplicación debe encuadrarse dentro de ese contexto.

En abril de 2016, cuando concluyó la transición hacia el cifrado de extremo a extremo, el WhatsApp publicó una guía detallada de cómo funciona la protección de las conversaciones en la aplicación. También se incluyó recientemente un sistema de autenticación en dos pasos (2FA) que permite configurar una contraseña para acceder a la cuenta, además de un token de SMS.

La versión web del WhatsApp permite usar el mensajero a través del navegador, siempre que el celular que tiene la aplicación ya autenticada también esté online. Como el historial de chats anteriores se sincroniza, podría pensarse que la empresa, efectivamente, está almacenando los mensajes de una manera que permita el acceso; detrás del telón, sin embargo, el navegador establece una conexión protegida de extremo a extremo con tu propio aparato (usando los servidores de WhatsApp como medio, pero nuevamente sin que tengan acceso a las claves), y es la aplicación móvil la que, de hecho, encamina el contenido de los mensajes para que el WhatsApp, finalmente, lo dirija hacia el celular de la persona destinataria (por eso es necesario que el celular también esté conectado).

Como el código fuente de la aplicación permanece cerrado, no es posible verificar hasta qué punto la implementación del protocolo seguridad es fiel con relación a las (excelentes, en teoría) especificaciones técnicas publicadas. Si consideramos la frustración de los organismos judiciales y de investigación (como el FBI en los EE. UU. y la Suprema Corte y el Ministerio Público federales en Brasil), la tecnología viene utilizándose correctamente.

Hasta donde se sabe, no hay ninguna backdoor (“puerta trasera”) presente en el programa, pero es importante habilitar las notificaciones de cambio de clave de tus contactos, que aparecen cuando ellos cambian de aparato o en caso de que alguien (o el propio WhatsApp) haya clonado el número para tomar el control de la cuenta.

Sin embargo, no solo del contenido de los mensajes vive un chupadatos. Incluso sin acceso a lo que las personas están diciendo, el WhatsApp tiene acceso a quién habla con quién y, desde septiembre de 2016, Facebook puede acceder a esos datos e integrarlos con su banco de datos.

Telegram: cuidado con las expectativas

Por tener el código fuente de la aplicación abierto y ser financiado directamente por una pequeña fortuna de un empresario ruso con orientaciones favorables a la privacidad, Pavel Durov, muchas personas lo consideran una alternativa segura a las aplicaciones desarrolladas por startups enfocadas en monetizar los datos personales, o grandes corporaciones conocidas por poner a disposición backdoors o incluso proporcionar acceso directo a los datos a agencias de inteligencias de los EE. UU., el Reino Unido y otros países de la alianza “Five Eyes” (la sede de la organización está en Berlín).

La realidad, sin embargo, es que el Telegram puede ser la opción más insegura entre las apps más usadas. Esta app usa un protocolo de cifrado “casero”, el MTProto, creado por el propio equipo de desarrollo para apoyar mejor su arquitectura de múltiples data centers.  Las soluciones de cifrado homebrew, como se las conoce, son bastante peligrosas (“preguntar por qué no es bueno crear su propio cifrado es más o menos como preguntar por qué no es bueno crear su propio motor de avión”, como dice la investigadora de seguridad Runa Sandvik).

A pesar de que el protocolo todavía no haya sido quebrado públicamente, la calidad del código ya fue criticada algunas veces por especialistas (“Like seriously. Wtf is even going on here” — Dr. Matthew Green) y tiene una serie de otros problemas, como no cifrar las conversaciones de extremo a extremo de manera predeterminada, permitir la fuga de metadatos y mandar toda su lista de contactos a los servidores de los hermanos Durov (“¡Marquitos Zuckerberg entró en el equipo del Telegram!”).

La mayor ventaja con relación al WhatsApp sigue siendo su modelo de financiamiento sin fines lucrativos y, claro, los stickers, paquetes de imágenes que cualquier persona puede crear o copiar y usar en lugar de emoticons y emojis. El chat “secreto”, cifrado de extremo a extremo, es una forma conveniente de proteger los mensajes, permitiendo incluso establecer un plazo para que se autodestruyan en ambos dispositivos. Lamentablemente, esa funcionalidad no existe para grupos ni puede accederse a ella mediante la versión del Telegram para el navegador (que, al contrario del WhatsApp Web, no tiene un mecanismo sagaz para cambiar las claves y sincronizar los historiales).

 Signal: sigue siendo nuestra recomendación

El Signal es, sin ninguna duda, la mejor opción para comunicaciones seguras por el celular. Desarrollado por Open Whisper Systems, y al mismo tiempo un pequeño equipo de desarrollo dedicado financiado por “grants”, al mismo tiempo no se encuadra en modelos de financiamiento que usan a sus usuarios y usuarias como cobayos e implementa estándares criptográficos muy fuertes, como incluso la NSA lo reconoció en slides secretos de 2012, revelados por el periódico alemán Der Spiegel: el RedPhone, software de llamadas cifradas recientemente incorporado al Signal, era considerado como una “enorme amenaza” a su misión.

El Signal, que permite tanto chats (con texto, audio, emojis y GIF) como llamadas de audio y video, también facilita la autenticación de los dispositivos: dos personas pueden simplemente escanear el QRCode de un chat en un encuentro en vivo, y en las interacciones online podrán estar seguros de que la conversación no está sufriendo un ataque de interceptación tipo “Man-in-the-Middle”, que nadie se apropió de la línea telefónica y creó otra cuenta Signal, o que la propia Open Whisper Systems no está forjando un intercambio de claves comprometidas. Además, admite mensajes que se autodestruyen (con tiempo de destrucción configurable). EFF tiene un tutorial muy bueno para la instalación y el uso: Cómo utilizar Signal – aplicación de mensajería privada.

El Signal está disponible en la App Store (iOS) y en Google Play (Android). Todo el código está disponible en su repositorio; es posible donar bitcoins a través de su plataforma BitHub, que distribuye las donaciones acumuladas entre las personas que colaboran con el código, o dólares a través de la Freedom of the Press Foundation.

El Signal Desktop está bastante maduro y funciona bien, a pesar de eventuales bugs que pueden surgir en la integración con el Signal del celular. Lamentablemente, todavía es necesario instalarlo por la Chrome Web Store, pero la aplicación funciona de forma independiente (y sin contacto con las partes más vulnerables) del resto del navegador.

Entonces, resumiendo:

Amenaza judicial a la implementación de cifrado de chat

Si por un lado avanzamos en lo que se refiere al desarrollo de chat cifrado, es bueno recordar que eso ya provocó polémicas en el ámbito de la reglamentación. En Brasil, por ejemplo, durante el transcurso de 2016, varias decisiones judiciales ordenaron el bloqueo temporal del WhatsApp debido a disputas para acceder a conversaciones cifradas de usuarios. En julio del año pasado, la aplicación llegó a quedar fuera del aire por algunas horas: en esa ocasión la orden judicial solicitó expresamente que el cifrado de la aplicación fuera deshabilitado para permitir un monitoreo en tiempo real de sospechosos. Debido a esas controversias, la Suprema Corte Federal discutirá en una audiencia pública cómo lidiar con el cifrado en caso de solicitudes de acceso a contenido de comunicaciones. Aunque el debate pueda ser técnico y político, como usuario y directamente interesado en lo que hacen o quieren permitir hacer con tus datos, ¡vale la pena mantenerte alerta!

Joana Varon es abogada e investigadora, creadora y directora de la Coding Rights. Licenciada en Relaciones Internacionales con ub Máster en Ley y Desarrollo, se ha dedicado a desarrollar investigaciones aplicadas en la discusión de parametros institucionales legales para la inovación en las TICs y a la vez buscando la protección de los derechos fundamentales y el derecho al desarrollo. 

Lucas Teixeira desarrolla y administra sistemas, organiza talleres y hace investigación en áreas de monitoreo y privacidad en línea, protección de datos personales y seguridad digital. Actua en la dirección de tecnología de  Coding Rights y en el consejo editorial del Boletim Antivigilância.