La competencia por la herramienta más segura para mensajería instantánea inició hace varios años y resurgió hace poco cuando WhatsApp anunció que había completado la implementación de su encriptación end-to-end.
Curiosamente, en los círculos de investigación en seguridad, este tema se ha traducido en interesantes debates entre WhatsApp y Telegram. Muy parecido a lo que sucedió entre Emacs vs Vi (Editores de texto) todos los participantes tienen una sólida opinión, pero no existe un consenso general.
David Ramírez, Director México System Engineers de Fortinet señala que la realidad es que todos estamos de acuerdo en que Signal, WhatsApp y Telegram han destacado como las soluciones de mensajería instantánea más seguras, gracias a la encriptación end-to-end o Perfect Forward Secrecy (PFS).
Aun así, David Ramírez considera que todavía no existe una herramienta de mensajes instantáneos ideal para las empresas, la realidad es que el hecho de trabajar con dispositivos “no confiables” se vuelve más delicado con los smartphones y/o BYOD en general.
Son pocas las empresas que cuentan con un gobierno de IT integral que les permita controlar el 100% de los programas/aplicaciones instalado en las computadoras de una organización, incluyendo la capacidad de controlar que no sea posible instalar nada adicional.
Extender esto a los dispositivos de BYOD al día de hoy es prácticamente imposible. La principal razón de esto es que aunque los sistemas operativos base de los dispositivos móviles son pocos, en su apertura (que es el caso de Android y/u otras alternativas) es imposible aún controlar las extensiones y/o características que el fabricante del móvil modifica del sistema base.
Como consecuencia, aunque existen alternativas en la industria de Mobile Device Management (MDM), mientras no exista una plataforma 100% controlable, de tal forma que pueda determinarse al más bajo nivel, que el móvil es efectivamente de la empresa, es muy difícil eliminar el riesgo inherente de usar una plataforma que las empresas no pueden controlar.
Es por esto que hay que tener mucho cuidado cuando se desean compartir datos importantes, como estrategias de negocio o códigos fuente (entre otros), con los colegas, no conviene hacerlo a través de un teléfono inteligente o tablet, y desafortunadamente:
WhatsApp no tiene una aplicación como tal para computadoras de escritorio o laptops. Solo aplicaciones para plataformas iOS o Android.
Telegram sí la tiene, pero no respalda chats privados, que son los únicos con encriptación end-to-end. Por lo que significa que las conversaciones pueden ser “descifrables” en los servidores de Telegram.
Signal solo tiene una aplicación beta para Chrome y funciona si se enlaza con un teléfono Android.
Así que, por ahora, refiere David Ramírez, no existe una solución integral. Además, y por muchas razones, no nos interesa vincular una cuenta de mensajería instantánea con un número de teléfono celular.
Primero, por razones de privacidad, ¿con quién querrías compartir tu número de teléfono? ¿contactos?, ¿terceras personas?, ¿la ubicación del teléfono sería rastreable? Y segundo, por razones de separación: las personas no siempre tienen un teléfono celular exclusivo para su trabajo, lo que significa que terminan usando su propio dispositivo y, por consiguiente, su propia cuenta de mensajes instantáneos en el trabajo. Debemos de recordar que la implementación de seguridad está basada en riesgos y su mitigación sobre los activos críticos.
Con esto en mente y debido a como ha permeado la tecnología actualmente la principal pregunta que debemos hacernos es: ¿La información que estoy compartiendo podría llegar a manos extrañas? La respuesta a esta pregunta debe siempre estar acompañada de una evaluación objetiva, si es posible con apoyo de un tercero. Considerando que no se debe de perder la disponibilidad por la confidencialidad de la información, si el criterio de la misma lo amerita.
Aquí compartimos una lista con los pros y contras que en FORTINET ha reunido para esta situación:
PROS
Buena Encriptación
Nada se almacena en los servidores
PFS
Grupos de Chat Seguros
CONTRAS
Requiere un teléfono celular
No tiene aplicación para computadoras de escritorio
No tiene código abierto, le pertenece a Facebook
Utiliza Curve 25519. Aunque se ha dicho que es segura, es mucho menos investigada que RSA
Los metadatos no están seguros
La encriptación end-to-end solo está disponible en la actualización más reciente
Telegram
PROS
Código abierto en su mayoría
Aplicación para computadoras de escritorio
CONTRAS
Encriptación end-to-end y PFS
Requiere un teléfono celular
El historial es almacenado en servidores (a excepción de los chats privados)
Utiliza SHA1 cuando es preferible SHA256
Usa KDF no estandarizado
Los metadatos no están seguros
Signal
PROS
Código abierto
Buena encriptación
PFS
Nada se almacena en los servidores
Grupos de chat seguros
CONTRAS
Requiere un teléfono celular
Solo tiene una aplicación beta para Chrome en computadoras de escritorio
Utiliza Curve 25519. Aunque se ha dicho que es segura, es mucho menos investigada que RSA
La comparación de key fingerprints no es muy conveniente
¿Con cuál de ellos crees que tu información esté más segura?