ZAK DOFFMAN* / FORBES
El reciente desastre de relaciones públicas de WhatsApp ha visto a decenas de millones acudir en masa a otras plataformas. Millones más ahora planean hacer lo mismo, luego de una reacción violenta por el intercambio de datos con Facebook. Pero tenga cuidado, no todos los mensajeros son iguales y podría estar tomando un riesgo más «peligroso» de lo que cree. Entonces, ¿qué deberías hacer ahora?
«Usar WhatsApp es peligroso», advirtió el fundador de Telegram, Pavel Durov , en enero pasado, citando ciberataques contra WhatsApp que se ejecuta en teléfonos pertenecientes a objetivos clave, incluido Jeff Bezos . Un año después, Durov está celebrando ahora «la migración digital más grande en la historia de la humanidad», y escribe que «en la primera semana de enero, Telegram superó los 500 millones de usuarios activos mensuales: 25 millones de nuevos usuarios se unieron a Telegram solo en las últimas 72 horas».
En su advertencia, Durov citó una vulnerabilidad de WhatsApp en su manejo de archivos de video , así como presuntos ataques de estados nacionales como el que tenía como objetivo a Bezos. Durov afirmó que «las puertas traseras generalmente se camuflan como fallas de seguridad ‘accidentales’; solo en el último año, se han encontrado 12 fallas de este tipo en WhatsApp». Durov también ( correctamente ) señaló los riesgos para los usuarios que hacen copias de seguridad de sus historiales de chat de WhatsApp en nubes públicas y cuestionó la legendaria seguridad de WhatsApp. «¿Cómo puede alguien estar seguro de que el cifrado que WhatsApp afirma usar es el que realmente está implementado en sus aplicaciones?»
WhatsApp ahora está luchando para reparar la herida autoinfligida de un cambio forzado en los términos de servicio que se produjo justo después de que las etiquetas de privacidad de Apple expusieran su extensa colección de datos . Fue una pesadilla fortuita de relaciones públicas para la empresa. Y aunque ha retrocedido en su ultimátum de «tómalo o déjalo» antes del 8 de febrero , todavía no hay arrepentimiento por el alcance de la recopilación de datos en sí. Uno no puede evitar pensar que WhatsApp tendrá que hacer más, ya que sus competidores dan la bienvenida a suficientes usuarios de WhatsApp que huyen para llevar sus backends al límite .
Los dos competidores de WhatsApp que más se han beneficiado de su tropiezo son Signal y Telegram . Pero son muy diferentes entre sí, y el debate de WhatsApp versus Telegram versus Signal ha expuesto cuán inconscientes son la mayoría de los usuarios de esas diferencias críticas. Peor aún, muchos de los artículos que explican los problemas de WhatsApp y las alternativas no aclaran nada de esa confusión. Esto te pone en riesgo.
La oleada de nuevos usuarios a Telegram es quizás el aspecto más interesante del éxodo de WhatsApp. Seamos muy claros: mientras Signal es un tipo más seguro de WhatsApp, Telegram no es nada por el estilo. Es una plataforma completamente diferente, diseñada para un propósito completamente diferente. Y aunque Durov dice «Considero que los chats secretos de Telegram son significativamente más seguros que cualquier medio de comunicación de la competencia», el hecho es que Telegram no está cifrado de extremo a extremo de forma predeterminada, y esos chats secretos funcionan solo entre dos dispositivos: no se extienden a grupos y deben seleccionarse manualmente.
Telegram ha sido descrito como parte de redes sociales y parte de mensajería. Es una plataforma basada en la nube que fue diseñada para entregar mensajes » sin problemas en cualquier número de sus teléfonos, tabletas o computadoras «. El caso de uso inicial de Telegram apoyaba a disidentes y grupos de protesta. Al alojar mensajes fuera del alcance del estado, se podría usar cualquier dispositivo para acceder al repositorio. Y aunque sus datos pueden estar fuera del alcance de las autoridades, Telegram y sus empleados pueden acceder técnicamente a ellos.
Telegram opera grandes grupos y canales, como tal, aloja contenido de la misma manera que Facebook y Twitter, enviado a los miembros suscriptores. Esta funcionalidad llevó a que la reputación de Telegram se viera contaminada por el supuesto uso de la plataforma por parte de delincuentes, terroristas y grupos de odio. Esta misma semana, ha sido demandado «por no haber reprimido una conversación extremista violenta tras el ataque al Capitolio de los Estados Unidos».
«Las aplicaciones de chat que ofrecen una funcionalidad más allá de la mensajería a menudo comprometen la privacidad en favor de funciones adicionales», advierte el investigador de seguridad Tommy Mysk. “Telegram ofrece una función como los canales, que son feeds públicos. Esto hace que Telegram sea más una alternativa a Twitter que Signal. Telegram mezcla métodos de mensajería que están encriptados de extremo a extremo con otros, como chats y canales normales, que no lo están. Un lego no notará la diferencia y podría terminar optando por una función que es menos segura «.
Con la excepción de sus chats secretos limitados, Telegram no cifra los mensajes desde usted hasta sus contactos, sino que cifra los mensajes entre su dispositivo y su nube, y nuevamente entre su nube y sus contactos. Puede usar varios dispositivos para acceder a su repositorio de mensajería basado en la nube, y Telegram tiene las claves de todo ese cifrado.
Por el contrario, tanto la señal como WhatsApp hacen de extremo a extremo por defecto cifrar. Y aunque Durov tiene razón, WhatsApp no hace que su encriptación sea de código abierto, se basa en el propio protocolo de Signal, que es completamente de código abierto. Nunca ha habido afirmaciones creíbles de vulnerabilidades en este transporte de mensajes cifrados en sí, solo con terminales comprometidos, es decir, atacando teléfonos con malware.
“Cuando arrojas capacidades a nivel de estado nacional y la capacidad de atacar puntos finales”, dice el CISO de Cyjax, Ian Thornton-Trump, “todas las apuestas están canceladas y la conversación (al menos un lado de ella) es tan vulnerable como si fuera solo texto claro.
Pero resulta que, si bien los supuestos ataques de software espía israelíes y varias vulnerabilidades técnicas no pudieron debilitar la confianza de la amplia base de usuarios de WhatsApp, la combinación de las etiquetas de privacidad de Apple y un cambio en sus términos de servicio, se informó erróneamente ya que WhatsApp comparte sus datos con Facebook. , provocó una reacción violenta. Facebook siempre ha sido el talón de Aquiles de WhatsApp, y esto ha sido un riesgo desde 2014.
Hay razones legítimas para que los usuarios quieran cambiar de WhatsApp a las alternativas de la plataforma hace cobrar demasiados datos, no se comparte algunos de esos datos con Facebook, que es el desarrollo de ofertas comerciales, mientras que en condiciones de ofrecer la funcionalidad de múltiples dispositivos y totalmente seguro en la nube copias de seguridad. Y, sobre todo, por la integración planificada con Facebook Messenger e Instagram.
Pero la única razón para no moverse de WhatsApp es la preocupación por la seguridad de sus mensajes. WhatsApp se atribuye el mérito de universalizar el acceso al cifrado de extremo a extremo, y aunque cualquier plataforma de su escala estará sujeta a sofisticados ataques de estados nacionales, basta con mirar a Apple, el cifrado de extremo a extremo de WhatsApp está bien. La ironía es que los millones que cambian WhatsApp por Telegram serán menos seguros al hacerlo; eso no es una cuestión de opinión, eso se debe a que no tiene cifrado de extremo a extremo por defecto.
No se fíe de mi palabra, veamos lo que dice Telegram. «¿Necesito confiar en Telegram para que esto sea seguro?» pregunta la plataforma en sus propias preguntas frecuentes . «Cuando se trata de chats secretos, no es así», dice. Y a la pregunta, «¿por qué no hacer que todos los chats sean ‘secretos’?» Telegram argumenta que tiene seguridad equilibrada, velocidad y acceso a múltiples dispositivos, además de restaurar mensajes cuando se pierde un teléfono. Se ha comprometido con «mensajes en Secret Chats que utilizan cifrado cliente-cliente, mientras que los Cloud Chats utilizan cifrado cliente-servidor / servidor-cliente y se almacenan cifrados en Telegram Cloud».
Telegram tiene razón: si los usuarios optan por utilizar la nube pública de WhatsApp (copias de seguridad de Apple o Google), pierden la protección de su seguridad de extremo a extremo. Pero con WhatsApp puede intercambiar el riesgo de pérdida del dispositivo por comprometer la seguridad de los mensajes. No puede tomar esa decisión con Telegram, a menos que se ciña a los chats secretos 1: 1.
Debido a que la mayoría de sus mensajes de Telegram no están encriptados de extremo a extremo, confía en las políticas y la seguridad internas de Telegram. “Para proteger los datos que no están cubiertos por el cifrado de extremo a extremo”, dice, “Telegram utiliza una infraestructura distribuida. Los datos de chat en la nube se almacenan en múltiples centros de datos en todo el mundo que están controlados por diferentes entidades legales distribuidas en diferentes jurisdicciones. Las claves de descifrado relevantes se dividen en partes y nunca se guardan en el mismo lugar que los datos que protegen «.
Tenga en cuenta los orígenes de Telegram: se trata de ocultar datos a las autoridades. Como resultado de esta estructura, dice, “se requieren varias órdenes judiciales de diferentes jurisdicciones para obligarnos a ceder cualquier dato … Podemos asegurarnos de que ningún gobierno o bloque de países con ideas afines pueda inmiscuirse en la privacidad y libertad de las personas. expresión. Telegram puede verse obligado a ceder datos solo si un problema es lo suficientemente grave y universal como para pasar el escrutinio de varios sistemas legales diferentes en todo el mundo «. Todo lo cual, dice, significa «hemos revelado 0 bytes de datos de usuario a terceros, incluidos los gobiernos».
MÁS DE FORBESPor qué debería dejar de usar su aplicación Facebook MessengerPor Zak Doffman
Pero Mysk advierte que “Telegram se destaca de Signal e incluso de WhatsApp en la forma en que persistentemente pide acceso a los contactos. Telegram hace que sea inconveniente usar la aplicación sin otorgar acceso a los contactos. Además, ofrece a sus usuarios la posibilidad de conectarse sin intercambiar números de teléfono. Sin embargo, al agregar un nuevo contacto por nombre de usuario, la opción de compartir el número de teléfono del usuario con el nuevo contacto está activada de forma predeterminada «.
Como usuario de Telegram, si desea igualar la seguridad de mensajería real que usa WhatsApp, debe ceñirse a esos chats secretos. Pero, a diferencia de WhatsApp, Signal e iMessage, entre otros, esos chats secretos no pueden incluir grupos ni nada más allá de los chats 1: 1 seleccionados. Con los chats secretos, dice Telegram, “todos los datos están encriptados con una clave que solo usted y el destinatario conocen; no hay forma de que nosotros o cualquier otra persona sin acceso directo a su dispositivo sepa qué contenido se envía en esos mensajes … Secreto los chats no forman parte de la nube de Telegram y solo se puede acceder a ellos desde sus dispositivos de origen ”.
Esto puede sonar familiar para los usuarios de WhatsApp, que dice, “el cifrado de extremo a extremo garantiza que solo usted y la persona con la que se está comunicando puedan leer o escuchar lo que se envía, y nadie en el medio, ni siquiera WhatsApp. Esto se debe a que con el cifrado de extremo a extremo, sus mensajes están protegidos con un candado, y solo el destinatario y usted tienen la clave especial necesaria para desbloquearlos y leerlos. Todo esto sucede automáticamente: no es necesario activar ninguna configuración especial para proteger sus mensajes «.
Telegram no es una plataforma de alto riesgo. Pero no es el paso adelante de WhatsApp, en cuanto a seguridad, lo que afirma. En realidad, ambas plataformas tienen problemas, aunque diferentes, y son razonablemente seguras. Saltar el barco de uno a otro tiene poco sentido.
Si desea dejar WhatsApp por cuestiones de seguridad y privacidad, debe pasar a Signal, no a Telegram. Signal es el más parecido a WhatsApp. No vincula ningún dato a sus usuarios, aunque utiliza su número de teléfono para identificar su cuenta.
Pero, ¿qué pasa con otras plataformas de mensajería? ¿Cómo se comparan?
La arquitectura de mensajería más sofisticada es la de Apple. iMessage se basa en algunos trucos muy inteligentes que permiten a los usuarios ejecutar un repositorio central de mensajes de iCloud que se sincroniza en todos sus dispositivos Apple de confianza, sin perder nunca el cifrado de extremo a extremo. En el lenguaje de Telegram, esto es lo mejor de ambos mundos. Para habilitar esto, debe tener » Mensajes en iCloud habilitados». Sin embargo, hay una salvedad. Si también tiene habilitadas las copias de seguridad de iCloud, se incluirá una copia de su clave de cifrado de extremo a extremo.
El principal problema con iMessage, por supuesto, es que no funciona en varias plataformas. Por lo tanto, si bien es la opción de mensajería más inteligente para los usuarios de Apple, no puede ser la opción de mensajería de su dispositivo. La alternativa cuando envía mensajes a usuarios que no son de Apple es SMS, y los SMS son un espectáculo de terror de seguridad.
Android Messages no es una buena alternativa a WhatsApp. Es esencialmente un cliente de SMS que ahora ha evolucionado a RCS para agregar las funciones de chat disponibles en WhatsApp e iMessage. no está encriptado de un extremo a otro por el momento, aunque Google tiene esta actualización en beta . Pero en este momento, solo funciona para mensajes 1: 1, al igual que Telegram, no se extiende a grupos y necesita ambos lados de un chat en la aplicación beta.
Facebook Messenger es aún más prohibido . Ofrece una opción de chat «secreta» 1: 1 similar a Telegram, que está cifrada de extremo a extremo, pero todo lo demás no tiene ese nivel de seguridad. También tiene una política de privacidad lamentable: Facebook recopila una amplia gama de metadatos y la plataforma admite monitorear el contenido, incluidos los enlaces de archivos y los archivos adjuntos. El mejor consejo para los usuarios de Messenger es cambiar.
Hay otras opciones menos conocidas disponibles ahora, incluido Viber, que agrega mensajería cifrada de extremo a extremo a su plataforma VoIP y Wickr, que se describe mejor como una versión empresarial de Signal, diseñada para uso corporativo. También está Threema, con sede en Suiza, que se ha convertido en el favorito de los más preocupados por la seguridad. Esa plataforma es incluso más segura que Signal: no usa números de teléfono como identificadores y, por lo tanto, puede mantener las cuentas en el anonimato total. Sin embargo, tiene una base de usuarios mucho más pequeña, por lo que es poco probable que encuentre muchos de sus contactos (si los hay) a bordo.
De manera algo tópica, le pregunté a Flavio Aggio, CISO de la Organización Mundial de la Salud, qué mensajero recomendaría. No abogaría por ninguno, pero mencionó a Signal, Threema y Telegram como buenas opciones. Tuve la sensación de que estaría satisfecho con Threema si lo empujaban; el hecho de que se puede usar sin un número de teléfono, lo vio como una gran ventaja.
Si se muda, está bien con cualquiera de las alternativas cifradas de extremo a extremo que he mencionado. También está bien con Telegram, pero asegúrese de comprender las diferencias y los riesgos; se comprometerá a almacenar la mayor parte de su contenido en la nube de Telegram, y eso no será para todos. La mayoría de los usuarios nuevos no lo saben y asumen que es una versión más segura de WhatsApp. Ese simplemente no es el caso.
Para Jake Moore de ESET, «Signal parece estar ganando la carrera contra Telegram», según los contactos que ve en movimiento. “Creo que eso puede continuar debido a su encriptación predeterminada de extremo a extremo que se ofrece”, dice, “en mi opinión, una necesidad para cualquier servicio de mensajería. La migración de personas a aplicaciones centradas en la privacidad no sucede de la noche a la mañana. Sin embargo, WhatsApp estuvo disponible durante años antes de convertirse en la plataforma de mensajería número uno «.
Este dilema de desinformación quedó perfectamente ilustrado por uno de los muchos correos electrónicos que recibí esta semana de plataformas de mensajería que buscaban conectar sus productos. «Las aplicaciones de mensajería, como Telegram y Signal, están encriptadas de extremo a extremo», decía el correo electrónico. «WhatsApp, aunque está cifrado de extremo a extremo, tiene una serie de lagunas que permiten almacenar o compartir conversaciones».
Todo esto es peligrosamente engañoso y muestra las pocas posibilidades que tienen los usuarios cotidianos de seleccionar la información errónea para obtener los hechos. Signal y WhatsApp están encriptados de extremo a extremo de forma predeterminada, Telegram no. Y aunque la implementación de Signal es completamente de código abierto y, por lo tanto, teóricamente más segura, no hay «lagunas» en WhatsApp, por lo que el correo electrónico significa puertas traseras que permiten a Facebook monitorear contenido.
Como señala el ex oficial de inteligencia Philip Ingram, «el debate sobre la seguridad continua con diferentes aplicaciones de mensajería después del éxodo masivo de WhatsApp apuntala que muchos que usan la excusa de la privacidad parecen querer seguir hábitos inducidos por el rebaño en lugar de pensar por sí mismos». Como era de esperar, Ingram usa Threema. “Una aplicación de mensajería verdaderamente anónima basada en Suiza”, dice. «No he mirado atrás».
*Director ejecutivo de Digital Barriers
Fuente: https://www.forbes.com/sites/zakdoffman/2021/01/19/if-you-quit-whatsapp-for-imessage-signal-or-telegram-beware-this-dangerous-mistake/?sh=31872a5e2cd9