Por que les dije a mis amigos que dejaran de usar WhatsApp y Telegram

Incluso con el cifrado de extremo a extremo, Big Brother todavía está en su teléfono: metadatos

Esta mañana les dije a mis amigos que dejaran de usar WhatsApp y les envié una invitación para que se cambiaran a la aplicación de mensajería Signal.

Este es el por qué.

Protocolos de cifrado: el protocolo de señal VS MTProto de Telegram

Es posible que no se dé cuenta, pero probablemente ya esté utilizando el Protocolo de señales, junto con más de mil millones de personas todos los días.

El protocolo de señal es utilizado por WhatsApp, Facebook Messenger, Google Allo y la propia aplicación de mensajería de Signal.

Pero, ¿qué es el Protocolo de señales?

El Protocolo de señal es un protocolo criptográfico no federado que proporciona cifrado de extremo a extremo para conversaciones de mensajería instantánea. - Wikipedia

El cifrado de extremo a extremo garantiza que su remitente original convierta su mensaje en un mensaje secreto y, luego, solo el destinatario final lo decodifique.

Eso es lo que WhatsApp empezó a usar hace unos meses cuando mostraron este mensaje en su conversación:

El Protocolo de señal fue creado por Open Whisper System, un grupo sin fines de lucro que fue fundado en 2013 por el exjefe de seguridad de Twitter, Moxie Marlinspike. En 2011, la plataforma de mensajería de 140 caracteres adquirió la primera compañía de mensajería segura de Marlinspike, Whisper System.

Open Whisper System se centra en el desarrollo del protocolo de señal y también mantiene una aplicación de mensajería llamada Signal. La organización sin fines de lucro se financia a través de una combinación de donaciones y subvenciones.

En octubre de 2016, un equipo internacional de investigadores de seguridad revisó el protocolo Signal y obtuvo críticas entusiastas.

Al leer lo anterior, podría pensar que está bien, ya que WhatsApp, Facebook Messenger y Google Allo también usan el Protocolo de señal.

Bueno, no lo eres.

Facebook Messenger y Google Allo no habilitan el cifrado de extremo a extremo de forma predeterminada. Los usuarios de Facebook Messenger deben habilitar "Conversaciones secretas" y los usuarios de Google Allo deben habilitar el modo incógnito.

Telegram, la aplicación de 100 millones de usuarios creada por el fundador de la red social VK, Pavel Durov, utiliza su propio protocolo de cifrado: MTProto. Telegram fue objeto de algunas controversias menores sobre su protocolo de cifrado. Luego, en 2015, un investigador de seguridad publicó un artículo de investigación que detalla las debilidades teóricas * en MTProto. Este artículo fue refutado por Telegram en un blog donde aclararon por qué MTProto es seguro.

Luego tenemos WhatsApp y Signal, las únicas dos aplicaciones que utilizan el Protocolo de señal de forma predeterminada para todos los mensajes enviados *.

Es posible que se pregunte: ¿por qué no seguir con WhatsApp entonces?

La razón radica en la colección de metadatos de WhatsApp.

Recopilación de datos y metadatos

Los metadatos y la recopilación de datos a menudo han estado en el centro de los debates, y las partes a menudo reclaman algunas declaraciones en la línea de:

No podemos escuchar / leer el contenido de su comunicación porque usamos cifrado de extremo a extremo, solo podemos recopilar metadatos .

Los metadatos a menudo han sido un término borroso. Para su comodidad, a continuación se muestra una definición aclarada de metadatos:

Si aún no tiene claro qué son los metadatos, lea la publicación de EFF de Kurt Opsahl. Da ejemplos de lo que las empresas o los gobiernos saben cuando recopilan metadatos:

Saben que llamó a un servicio sexual telefónico a las 2:24 am y habló durante 18 minutos. Pero no saben de qué hablaste. Saben que llamaste a la línea directa de prevención del suicidio desde el puente Golden Gate. Pero el tema de la llamada sigue siendo un secreto. Saben que usted habló con un servicio de pruebas de VIH, luego con su médico y luego con su compañía de seguro médico en la misma hora. Pero no saben de qué se habló.

Ahora que sabe qué son los metadatos, permítame reiterarlo: el uso de cifrado de extremo a extremo no impide que los servicios de mensajería recopilen metadatos.

Veamos qué están recolectando estos tipos:

WhatsApp

Las preguntas frecuentes de WhatsApp indican que su aplicación tiene acceso a todos los números de teléfono de su libreta de direcciones y que recopila una gran cantidad de información sobre usted.

Lo interesante es que WhatsApp no ​​almacena sus mensajes en sus servidores. En cambio, sus mensajes se almacenan en su teléfono y, finalmente, en los servidores donde realiza una copia de seguridad de su teléfono. Por ejemplo, si usa un iPhone, todos sus mensajes de WhatsApp se almacenan en iCloud, si lo usa como respaldo.

En cuanto a la información que recopila WhatsApp sobre cuándo, dónde y con quién se comunica, es mucho más vaga. Esto es lo que dicen:

Información de uso y registro. Recopilamos información relacionada con el servicio, diagnóstico y rendimiento. Esto incluye información sobre su actividad (por ejemplo, cómo usa nuestros Servicios, cómo interactúa con otros que usan nuestros Servicios, y similares), archivos de registro y registros e informes de diagnóstico, fallas, sitio web y rendimiento.

WhatsApp también recopila información específica del dispositivo cuando instala, accede o usa su servicio, como el modelo de su teléfono, su sistema operativo e información de su navegador, dirección IP y red móvil, incluido su número de teléfono.

Y si no pueden recopilar esa información a través de su teléfono, la obtendrán cuando la gente le envíe un mensaje, ya que WhatsApp también tiene acceso a los datos de actividad de sus amigos.

Además de las copias de seguridad no cifradas, Electronic Frontier Foundation describió otras preocupaciones sobre la notificación de cambio de clave, la aplicación web de WhatsApp y su intercambio de datos con Facebook, que adquirió WhatsApp en 2014.

Hablando de Facebook ...

Facebook Messenger

MIT Technology Review escribió:

Facebook está recopilando el conjunto de datos más extenso jamás reunido sobre el comportamiento social humano.

No necesito desglosar qué datos recopila Facebook. Facebook es tu amigo, por lo que hicieron que sea muy simple para que entiendas qué tan cercanos son sus amigos:

Google Allo

Google Allo ha sido ampliamente criticado por expertos en seguridad.

Google no solo puede leer cada mensaje que diga, sino que almacenará todas las conversaciones.

Es así de simple.

Aquí está el anuncio irónico de Edward Snowden para Allo:

Telegrama

Los mensajes, fotos, videos y documentos se cifran y almacenan en los servidores de Telegram (a excepción de los mensajes de chat secreto , que no se almacenan en los servidores de Telegram). Al igual que WhatsApp y Facebook, Telegram accede y almacena su lista de contactos en su servidor. Así es como pueden enviarte una notificación cuando alguien nuevo de tu lista de contactos se une a Telegram.

Señal

Los únicos datos que Signal conserva es el número de teléfono con el que se registró y la última vez que inició sesión en su servidor.

Eso es.

Ni siquiera registra la hora, los minutos o los segundos, solo el día.

Si te sientes travieso, Signal incluso tiene mensajes que desaparecen.

Y Signal es gratis. Realmente gratis. Lo que significa que no están tratando de convertir sus ojos en un producto que los anunciantes como Facebook o Google quieran hacer con sus aplicaciones de mensajería. Puedes donar a Signal aquí.

Por cierto, el código de Signal es gratuito y de código abierto, disponible en GitHub para que lo compruebes.

WhatsApp eligió la conveniencia sobre la privacidad y la seguridad, pero así es como puede solucionarlo

Hace unas semanas, The Guardian informó sobre la llamada "puerta trasera" de WhatsApp. medium.freecodecamp.com

¿Por qué debería preocuparse por su privacidad?

Podría tener la tentación de decir algo como:

¿A quien le importa? No tengo nada que ocultar.

Si no cree que la privacidad sea tan importante:

  • Vea la charla TED de Glenn Greenwald sobre por qué es importante la privacidad .
  • Lea el artículo de Quincy Larson sobre cómo cifrar su vida en menos de una hora.
  • Y aquí hay más información sobre por qué el cifrado es un derecho humano por parte de Amul Kalia de Electronic Frontier Foundation.

Edición 24/01/2017: * anteriormente dijimos que “el protocolo de cifrado [de Telegram] [no era] seguro”. Telegram Messenger trajo algunas aclaraciones al publicar una publicación de blog comentando el hallazgo de J. Jakobsen.