Vivimos en tiempos en los que asuntos como la privacidad del usuario son siempre un tema candente. Desde que Edward Snowden destapó el programa PRISM en 2013, se ha dado lugar a una nueva era de las comunicaciones online. Cada vez estamos más concienciados con la importancia de un buen cifrado, algo que no ocurriría si no estuviésemos al tanto de que ciertas agencias gubernamentales lo espían prácticamente todo.
Precisamente por eso, muchos usuarios cada vez confían más en clientes de mensajería cifrados para comunicarse por Internet. En el blog especializado en seguridad Hackernoon han publicado una tabla con los distintos clientes seguros, con la cual podemos comprobar cuales son las que ofrecen una mejor privacidad.
Este artículo en concreto ha sido escrito por Marcel Ackermann, un experto en seguridad informática del equipo de Amazon Machine Learning en Alemania. Para ello se ha basado en distintos documentos sobre los protocolos de cifrado que usan estas aplicaciones, como por ejemplo el de Signal. También comprobó si estas apps habían pasado alguna auditoría de seguridad recientemente, algo que apareció publicado por la EFF.
Es muy posible que la mayoría de las aplicaciones que aparecen en la tabla no te suene, pero que haya cada vez más interés en el cifrado y en ellas es algo que nos beneficia a todos, aunque no lo sepamos. Gracias a su empuje, aplicaciones como WhatsApp han implementado el cifrado entre extremos.
¿Qué ofrecen estas aplicaciones seguras?
| Nombre de la aplicación | Protocolo utilizado | Sistema operativo | ¿Está descentralizada? | ¿Permite chats en grupo? | ¿Es multidispositivo? | ¿Permite mensajes offline? | ¿Cuenta con PFS? | ¿Ha pasado por auditorías de seguridad? | ¿Ofrece anonimato? |
|---|---|---|---|---|---|---|---|---|---|
| Conversations | XMPP + Omemo | Android | Sí | Sí | Sí | Sí | Sí | Sí | Sí |
| Riot | Matrix + Olm | Android / iOS | Sí | Sí | Sí | Sí | Sí | Sí | Sí |
| ChatSecure | XMPP + Omemo | iOS | Sí | Sí | Sí | Sí | Sí | Sí | Sí |
| Jitsi | XMPP + OTR | Unix, Win, Mac | Sí | No | No | No | Sí | Sí | Sí |
| Pidgin | XMPP + PGP | Unix, Win, Mac | Sí | Sí | Sí | Sí | No | Sí | Sí |
| Signal | SignalProtocol | Android, iOS, Navegador | No (los desarrolladores no quieren) | Sí | Sí | Sí | Sí | Sí | Sí |
| Wire | Proteus | Unix, Win, Mac, navegador, iOS, Android | No (los desarrolladores no quieren) | Sí | Sí | Sí | Sí | No | Sí |
| Converse.js | XMPP + OTR | Navegador | Sí | No | No | No | Sí | Sí | Sí |
| Gajim | XMPP + Omemo | Unix, Win, Mac | Sí | Sí | Sí | Sí | Sí | Sí | Sí |
| Psi | XMPP + PGP | Unix, Win, Mac | Sí | Sí | Sí | Sí | No | Sí | Sí |
| Salut à Toi | XMPP + OTR | Navegador | Sí | No | No | No | Sí | Sí | Sí |
| Xabber | XMPP + OTR | Android | Sí | No | No | No | Sí | Sí | Sí |
| Jbother | XMPP + PGP | Unix, Win, Mac | Sí | Sí | Sí | Sí | No | Sí | Sí |
| Jeti/2 | XMPP + PGP | Unix, Win, Mac | Sí | Sí | Sí | Sí | No | Sí | Sí |
| Tkabber | XMPP + PGP | Unix, Win, Mac | Sí | Sí | Sí | Sí | No | Sí | Sí |
| RetroShare | RetroShare | Unix, Win, Mac | Sí | Sí | Sí | Sí | Sí | No | Sí |
| Antitode | Tox Procotol | iOS | Sí | No | Sí | No | Sí | No | Sí |
| Antox | Tox Procotol | Android | Sí | No | Sí | No | Sí | No | Sí |
| Cryptocat | XMPP + Omemo | Unix, Win, Mac | No | No (implementándose actualmente) | Sí | Sí | Sí | Sí | Sí |
| qTox | Tox Procotol | Unix, Win, Mac | Sí | No | Sí | No | Sí | No | Sí |
| Silent Phone | ZRTP | iOS, Android | No | No | Sí | Sí | Sí | Sí | No |
| Telegram | Telegram Protocol | iOS, Android, Win, Mac, Unix | No (los desarrolladores no quieren) | No (no cifrado) | No (no cifrado) | Sí | Sí | Sí | No |
| uTox | Tox Procotol | Unix, Win, Mac | Sí | No | Sí | No | Sí | No | Sí |
| Surespot | Surespot Protocol | iOS, Android | No | No | No | No | Sí | No | Sí |
| Ricochet | Ricochet Protocol | Unix, Win, Mac | Sí | No | No | No | Sí | Sí | Sí |
A la hora de analizar la tabla, es importante tener claro cuáles son los criterios que refleja. En primer lugar, se recogen únicamente aplicaciones de código abierto, porque son las más transparentes, cualquiera puede mirar su código y podemos estar más seguro que cumplen únicamente con lo que prometen sin incluir ningún añadido. Además y como ya comentamos al principio, es recomendable que hayan pasado por distintas auditorías de seguridad.
El primer punto a tener en cuenta es el de si una aplicación está descentralizada. En pocas palabras, una app descentralizada es la que no nos limita la comunicación a su grupo de usuarios. Es decir, suele incluir la integración con distintos servicios de mensajes, que podemos utilizar sin salir de ella.
Por otra parte, hay que tener en cuenta el protocolo de cifrado utilizado. De entre todos el que mejores prestaciones ofrece es OMEMO, una extensión de XMPP que permite codificar conversaciones entre dos o más extremos.
En la tabla también se observa si ofrecen o no soluciones de anonimato. Hay entre los usuarios un grupo cada vez mayor de personas que dan mucha importancia a permanecer anónimos. Esto significa que sus cuentas no pueden ser conectadas de ninguna manera con un número de teléfono, o con una dirección de correo electrónico.
Lo más importante, sobre todo de cara al cifrado, es que implementen un buen sistema de verificación de claves. Es el encargado de verificar que, efectivamente, se está comunicando con quien el cliente dice que está al otro lado de la pantalla. De otra manera, un atacante podría hacerse pasar por la persona con la que queremos hablar, dejándonos en una situación de riesgo.
En este sistema de verificación de claves entra algo conocido como Perfect Forward Secrecy o PFS, que es el término que aparece en la tabla, y sirve para que un atacante no pueda descifrar las comunicaciones entre dos o más personas en caso de que la clave de una de ellas se vea comprometida.
También es interesante ver si las aplicaciones permiten ser usadas en distintos dispositivos, a la par que mantienen el cifrado en todos ellos. De esta forma tendremos siempre la seguridad de que nuestras comunicaciones no son fáciles de intervenir, ya sea en el móvil o en un ordenador.
Estas son las aplicaciones más seguras y completas
Basándonos en los datos que recoge la tabla, y atendiendo a los criterios que hemos establecido, las aplicaciones más completas en móviles serían Conversations, ChatSecure y Gajim. Estas tres usan el cifrado OMEMO, con lo que además incorporan PFS, implementan opciones de anonimato y dan la posibilidad de enviar mensajes offline por defecto.
A estas tres les sigue de cerca Riot, cuyo protocolo (Matrix con Olm) es muy similar al anterior. Entre otras cosas, también incluye PFS y opciones de anonimato por defecto. Como última opción dentro de las aplicaciones más seguras entraría Signal, que a día de hoy sigue siendo el cliente de chat favorito de Snowden.
En lo que respecta al mundo del escritorio, además de la ya citada Signal (que quedaría como ganadora por sus prestaciones) entrarían otras como Pidgin, Psi, Jbother, Jeti/2 o Tkabber, que representarían las mejores opciones en cuanto a cifrado, a persar de no contar con PFS.
Hay otras con buenas ideas, pero que no brillan con tanta luz propia, bien porque no se han realizado auditorías de seguridad de forma reciente (Wire, RetroShare, Tox, Surespot), o bien porque su protocolo tiene importantes carencias (no mantiene el cifrado entre dispositivos, o no cifra los chats de grupo, por ejemplo).
Vía | Hackernoon
Imagen | StockVault
En Genbeta | Signal, la app de mensajería segura, lanza en beta su sistema videollamadas cifradas
Ver 8 comentarios