Si no quiere que el gobierno, los hackers, el proveedor de servicios de Internet o cualquier otra persona puedan interceptar y leer sus comunicaciones privadas, debe emplear una aplicación de mensajería segura. Concretamente, una que utilice mensajería cifrada.

Como tal vez haya observado (a no ser que viva debajo de una roca, algo que cada vez parece más atrayente), la privacidad en Internet se ha convertido en una de las cuestiones más candentes de la década. El año pasado, el Congreso de los Estados Unidos derogó una normativa que servía para proteger los datos de los usuarios e impedía que las empresas proveedoras de banda ancha y tecnología inalámbrica los vendieran. En 2016, el Parlamento del Reino Unido promulgó la Ley de Poderes de Investigación (también denominada «Carta de los fisgones»), que amplía los poderes de vigilancia de la policía y el servicio de inteligencia de este país. Por no hablar de la que está cayendo últimamente en las noticias sobre la privacidad. Si todavía no lo ha hecho, ahora es una buenísima ocasión para empezar a preguntarse qué grado de seguridad tienen sus comunicaciones digitales.

¿Qué hace que una aplicación de mensajería sea segura?

El cifrado de extremo a extremo

Lo más importante en que debemos fijarnos al elegir una aplicación de mensajería es en si usa el cifrado de extremo a extremo o no. Este cifrado implica que los mensajes de chat privados se codifican, y solo el remitente y el destinatario de los mensajes disponen de las «claves» para leerlos. Sirve para garantizar que nadie, aparte de usted y su interlocutor, pueda descifrar los mensajes.

Irónicamente, antes se creía que el cifrado era algo que solo usaban los paranoicos o las personas con una necesidad acuciante de secretismo, como los disidentes políticos. Hasta que el informante Edward Snowden filtró documentos clasificados que dejaban al descubierto el programa de vigilancia global de la NSA (Agencia de Seguridad Nacional) de EE. UU., el mundo no comenzó a comprender la importancia del cifrado y la privacidad en la red. Desde entonces, muchas compañías (entre ellas, Facebook, Apple y Google) han mejorado la protección de su software mediante el cifrado.

Configuración predeterminada de cifrado

El simple hecho de que una aplicación ofrezca el cifrado de extremo a extremo no significa que esta sea la configuración predeterminada. En algunas aplicaciones de mensajería, hay que ir a la configuración y activar la función de cifrado, mientras que otras solo cifran los mensajes en ciertos casos (por ejemplo, los mensajes azules de iMessage frente a los verdes). Debido a que la importancia del cifrado es relativamente reciente, muchas personas suponen que una aplicación es segura sin saber si los mensajes se cifran ni cuándo.

Código fuente abierto

Aunque los temores que suscitan la ingeniería inversa o las puertas traseras del código pueden hacer creer que es contraproducente que un fabricante revele el código fuente de una aplicación, actualmente es algo que se suele considerar como un indicador de la integridad de esta. El código fuente abierto permite que la aplicación sea sometida a rendición de cuentas y auditoría externas por parte de expertos, lo cual puede servir para llamar la atención sobre los puntos débiles o las vulnerabilidades del código.

Recogida de datos

Si bien muchas aplicaciones de mensajería ya han empezado a usar el cifrado de extremo a extremo, todavía hay algunas que recopilan datos sobre el usuario, denominados «metadatos». Los metadatos son algo así como una huella digital electrónica. Engloban datos como con quién hablamos (a través de la lista de contactos), durante cuánto tiempo y a qué hora, así como información sobre el dispositivo que usamos, la dirección IP, el número de teléfono y otros aspectos. Instalar una aplicación de VPN en el dispositivo móvil, como AVG Secure VPN para Android o AVG Secure VPN para iOS, es una forma sencilla de proteger este tipo de información.

Aplicaciones populares de mensajería clasificadas según el grado de seguridad

1. Signal

Logotipo de la aplicación de mensajería Signal

El criptógrafo Bruce Schneier y Edward Snowden han presentado Signal, originalmente bautizada como TextSecure Private Messenger, como la máxima expresión de la seguridad en mensajería. Aunque se encuentra disponible como aplicación de mensajería gratuita en los teléfonos iPhone y Android, Signal se considera más bien una plataforma de mensajería, ya que envía mensajes a través de su propia infraestructura de datos.

Funciones de seguridad de Signal

  • Cifrado de extremo a extremo: como sucede en WhatsApp, los mensajes que se envían por Signal solo los pueden ver el remitente y el destinatario; ni siquiera la empresa propietaria de la aplicación, Open Whisper Systems, es capaz de descifrar los mensajes. Además de enviar mensajes instantáneos, se pueden hacer llamadas de voz, enviar mensajes en grupo y realizar videollamadas cifradas.
  • Código abierto: Signal tiene un código fuente abierto que cualquiera puede ver. Este grado de transparencia permite efectuar auditorías periódicas y garantiza que la seguridad de la aplicación esté siempre al día.
  • Mensajes que desaparecen: para mayor seguridad, Signal cuenta con una opción para hacer que los mensajes enviados y recibidos «desaparezcan» cuando haya transcurrido un tiempo determinado.
  • Almacenamiento de datos: a diferencia de muchas otras aplicaciones de mensajería, Signal solo guarda los metadatos que se precisan para que la aplicación funcione, como el número de teléfono, claves aleatorias e información de perfil.
  • Seguridad de las contraseñas: la aplicación también permite establecer una contraseña para bloquearla. Así, aunque el teléfono caiga en las manos equivocadas, los mensajes estarán protegidos.

Riesgos de seguridad de Signal

Lo mejor de Signal es que su uso no entraña prácticamente ningún riesgo de seguridad. Mientras los desarrolladores de la aplicación sigan subsanando las vulnerabilidades con tanta diligencia, Signal permanecerá a la cabeza de las aplicaciones de mensajería.

2. Wickr Me

Logotipo de la aplicación de mensajería Wickr Me

Wickr, disponible en iPhone y Android, sobresale entre las demás por ofrecer opciones de mensajería segura tanto para uso personal (Wickr Me) como para negocios y empresas (Wickr Pro). Wickr Me es gratuita, pero Wickr Pro es un servicio de pago que ofrece una prueba gratuita de 30 días.

Funciones de seguridad de Wickr Me

  • Cifrado de extremo a extremo: este año, además de la mensajería cifrada, Wickr ha anunciado que el servicio «Me» también va a ofrecer llamadas y mensajes de voz cifrados (que ya existen en la versión Pro).
  • Detección de capturas de pantalla: hace poco, fuentes de Wickr anunciaron que se va a ofrecer una función nueva que permitirá a los usuarios detectar las capturas de pantalla. Esto significa que el usuario recibirá una notificación si alguien hace una captura de un mensaje que haya enviado.
  • Protección contra la superposición de pantallas: En los dispositivos Android, Wickr ha incorporado una función nueva que permite a los usuarios desactivar la superposición de pantallas. Esto impide que interaccionen con la aplicación cuando se detecte una superposición y protege la aplicación del tapjacking.
  • Teclados de terceros: En iOS, Wickr permite bloquear los teclados de terceros. Esto sirve para proteger la información, pues impide que dichos teclados registren nombres de usuario, contraseñas y otros datos que se escriban en la aplicación.
  • Destructor seguro: esta función añade una capa extra de seguridad para garantizar que los archivos que se hayan eliminado no se puedan recuperar con herramientas o tecnologías especiales. Aunque Wickr lo hace de forma regular, el usuario también tiene la opción de borrar manualmente la información del teléfono.

Riesgos de seguridad de Wickr Me

Como Signal, Wickr se considera, por lo general, casi infalible desde la perspectiva de la seguridad. Aunque ha recibido críticas por ser de código cerrado, el año pasado, por fin, Wickr publicó su protocolo criptográfico en GitHub. Si quiere indagar en los aspectos técnicos de la seguridad de la aplicación, eche un vistazo a Wickr’s Customer Security Promises (Promesas de seguridad para los clientes de Wickr).

3. Dust

Logotipo de la aplicación de mensajería Dust

La aplicación de mensajería Dust, que antes se llamaba Cyber Dust y que es creación de Mark Cuban, está disponible en iOS y en Android. El propósito principal de la aplicación es enviar mensajes privados denominados «Dusts» a los contactos (admite fotos y vídeos). Haciendo honor al nombre de la aplicación, que se traduce por «polvo», los mensajes desaparecen y «se convierten en polvo» 100 segundos después de haberse leído. Los «Blasts» son otro tipo de mensajes que se envían a un grupo de personas, pero se leen de forma privada. Asimismo, pueden iniciarse chats de grupo, que se denominan «Groups».

Funciones de seguridad de Dust

  • Cifrado de extremo a extremo: El modelo de cifrado de Dust se explica en su sitio web, pero el código no está disponible para consulta. Se pueden enviar mensajes cifrados de texto, foto o vídeo, pero la aplicación no permite realizar llamadas de voz o vídeo.
  • Sin almacenamiento permanente: Los mensajes no se guardan de forma permanente en el teléfono ni en los servidores de la empresa (sino que se envían a la memoria RAM de la aplicación hasta que el destinatario accede a ellos) y, además, el usuario puede borrarlos en los dispositivos de las otras personas.
  • Alertas de capturas de pantalla: Si alguien trata de realizar una captura de pantalla en un teléfono Android, el nombre de la persona que envió el mensaje se borra, lo cual es una forma eficaz de eliminar contexto de la conversación. Apple impide a las aplicaciones bloquear las capturas de pantalla, de modo que, si alguien hace una captura de los mensajes de un usuario de iPhone, este recibe una notificación.
  • Autodestrucción: los mensajes se borran automáticamente a las 24 horas o en cuanto se leen. El usuario elige.

Riesgos de seguridad de Dust

Aparte de los posibles riesgos derivados del hecho de que el código de la aplicación no sea abierto y de la falta de transparencia consiguiente, no existen riesgos de seguridad significativos asociados a Dust.

4. WhatsApp

Logotipo de la aplicación de mensajería WhatsApp

WhatsApp, que atesora más de mil millones de usuarios, es una de las aplicaciones de mensajería más populares hoy en día. No cabe duda de que la fama de la aplicación, junto con el hecho de que esté disponible de forma gratuita en iPhone y en Android, y de que no tenga anuncios, es una de sus mejores bazas. Es muy fácil enviar mensajes de texto, fotos y mensajes cortos de vídeo y voz. ¿Pero los chats de WhatsApp son privados?

Funciones de seguridad de WhatsApp

  • Cifrado de extremo a extremo: En abril de 2016, WhatsApp implantó un protocolo de cifrado superseguro desarrollado por Open Whisper Systems (la compañía creadora de Signal, la aplicación de mensajería segura) en todas las plataformas móviles. Gracias a este protocolo, solo el remitente y el destinatario tienen las claves para descifrar los mensajes que se envían por WhatsApp, y esto significa que ninguna otra persona puede verlos ni leerlos. Las llamadas de voz y vídeo también están cifradas.
  • Confirmar cifrado: WhatsApp también cuenta con la pantalla «Confirmar código» en la pantalla de información de un contacto. Sirve para confirmar que las llamadas y los mensajes están cifrados de extremo a extremo. El código se muestra en formato QR y como un número de 60 dígitos.
  • Verificación en dos pasos: La verificación en dos pasos, función opcional, permite añadir más seguridad a la cuenta configurando un número PIN que se debe introducir para comprobar el número de teléfono en cualquier dispositivo.
  • Los mensajes no se almacenan: El único momento en que un mensaje se guarda en un servidor de WhatsApp es durante el tiempo que pasa desde que se envía hasta que el destinatario lo recibe. Si, por alguna razón, no se puede entregar, el mensaje se elimina del servidor transcurridos 30 días.

Riesgos de seguridad de WhatsApp

  • Copias de seguridad no cifradas: los mensajes de WhatsApp no se pueden interceptar durante la trasmisión, ¿pero y las copias de seguridad de los mensajes que se guardan en iCloud o Google Drive? La buena noticia para los usuarios de iPhone es que WhatsApp añadió protección mediante cifrado a las copias de seguridad de iCloud a finales de 2016. Sin embargo, las copias de seguridad de los teléfonos Android que se guardan en Google Drive no se cifran, con lo que quedan expuestas a los hackers, a gobiernos que podrían obligar judicialmente a Google a entregar los mensajes de los usuarios o al mismísimo Google. ¿Entonces cómo puede proteger su privacidad en WhatsApp un usuario de Android? Por suerte, existe la opción de desactivar las copias de seguridad de los mensajes de WhatsApp en Google Drive.
  • Problemas de privacidad de Facebook: Facebook compró WhatsApp en 2014, con lo cual las inquietudes en torno al grupo de redes sociales, conocido por su recogida de datos agresiva, pasaron a recaer sobre la aplicación de mensajería. Aunque fuentes de Facebook han asegurado a los usuarios que no existe ningún modo de poder ver los mensajes de WhatsApp, WhatsApp declaró su intención de compartir metadatos de los usuarios con Facebook con diversos fines, como la segmentación publicitaria.

5. Telegram

Logotipo de la aplicación de mensajería Telegram

Telegram, con más de 200 millones de usuarios de iPhone y Android, ha ido creciendo en popularidad paulatinamente desde su estreno en 2013. Entre sus características, destaca la función exclusiva de chat grupal, que admite 100.000 personas. No obstante, a principios de año, un encontronazo con el gobierno ruso tras la negativa de los creadores de la aplicación a ceder las claves de cifrado tuvo como resultado su prohibición total en Rusia. Además, Telegram ha sido objeto de controversia por considerarse la aplicación de mensajería preferida del grupo terrorista Estado Islámico. Esto ha abierto un debate sobre la responsabilidad de las aplicaciones de mensajería de cooperar con las fuerzas del orden y la protección de los datos de los usuarios.

Funciones de seguridad de Telegram

  • Cifrado de extremo a extremo: Telegram ofrece una función que se llama «Chat secreto» y permite proteger los mensajes con el cifrado de extremo a extremo. Sin embargo, no es una característica predeterminada, así que hay que saber cómo activarla.
  • Bloqueo con código de acceso: Se puede configurar un código de 4 dígitos para impedir que los intrusos accedan a los mensajes, algo útil en caso de pérdida o robo del teléfono.
  • Verificación en dos pasos: Para la verificación en dos pasos, que se encuentra en los ajustes, hay que usar un código SMS y una contraseña (es importante que sepa lo que debe evitar al crear una contraseña) para iniciar sesión en la aplicación. También se puede configurar una dirección de correo de recuperación por si olvida la contraseña.
  • Código fuente abierto: cualquiera puede ver el código fuente, el protocolo y la API de Telegram para comprobar que todo esté correcto.
  • Concurso para descifrar Telegram: Telegram desafía a los hackers a que intenten franquear su cifrado y descifrar los mensajes. Ofrecen una recompensa de 300.000 $ al que sea capaz de hacerlo.
  • Mensajes que se autodestruyen: Como muchas otras aplicaciones de mensajería, Telegram también dispone de un temporizador de autodestrucción (solo para los chats secretos) que elimina los mensajes de texto, las fotos y los vídeos en un límite de tiempo preestablecido.
  • Cierre de sesión remoto: Como se puede iniciar sesión en Telegram desde varios dispositivos a la vez (web, PC, tableta, smartphone, etc.), la aplicación ofrece la posibilidad de cerrar otras sesiones desde el dispositivo que se esté usando en un momento dado a través del menú Ajustes. De este modo, si le roban el dispositivo o lo pierde, podrá asegurarse de que nadie acceda a los mensajes.
  • Autodestrucción de la cuenta: Cuando lleva inactiva un cierto tiempo (seis meses de forma predeterminada), la cuenta se autodestruye automáticamente y se borran completamente todos los mensajes, las fotos y los vídeos.

Riesgos de seguridad de Telegram

  • El cifrado de extremo a extremo no es predeterminado: hay que activar manualmente la función «Chat secreto» de Telegram; si no, los chats solo se cifran entre el dispositivo y el servidor de Telegram.
  • Registro de los datos de chat: Si no activa la función «Chat secreto», los datos de chat se guardan en los servidores de Telegram. La empresa sostiene que se hace así por si acaso el usuario pierde el dispositivo y desea recuperar los mensajes, pero, desde el punto de vista de la seguridad, esto es inadmisible.
  • Tecnología de cifrado posiblemente imperfecta: Telegram ha creado su propio protocolo, MTProto, en lugar de utilizar alguno de los que han demostrado ser seguros, como el de Signal. Muchos expertos han cuestionado las razones de esto y han expresado su escepticismo acerca de la falta de transparencia que rodea al protocolo.

6. iMessage de Apple

Logotipo de la aplicación iMessage

El servicio de mensajería instantánea de Apple Inc., iMessage, es compatible con la aplicación Messenger en la versión 5.0 de iOS y en las posteriores. Con iMessage, tan popular entre los usuarios de iPhone (y que solo pueden utilizar entre ellos), se pueden enviar mensajes de texto, documentos, vídeos, fotos, información de contacto y mensajes de grupo por Internet. Ya hemos dado varios consejos para proteger un iPhone, ¿pero iMessage es seguro de verdad?

Funciones de seguridad de iMessage

  • Cifrado de extremo a extremo: Sin embargo, el cifrado de extremo a extremo de iMessage solo protege los mensajes que se envían entre usuarios de iPhone (que aparecen en azul). Es decir, los mensajes que se envían a usuarios de Android se transmiten como mensajes de texto normales (en verde) y no se cifran. A diferencia de muchas otras aplicaciones de la lista, no parece que Apple vaya a lanzar iMessage para Android. iMessage no permite directamente las llamadas de vídeo o voz, pero su hermana FaceTime sí (con protección cifrada).
  • Mensajes que se autodestruyen: Muchos usuarios de iMessage no saben que la aplicación ofrece una función que sirve para controlar el tiempo que una foto, un vídeo o un mensaje se pueden ver antes de desaparecer. También es posible elegir la cantidad de veces que el receptor puede ver el mensaje. No obstante, la función solo está disponible en iOS 10 y versiones posteriores.
  • Los mensajes se eliminan de los servidores: los mensajes cifrados solo permanecen en los servidores de Apple siete días antes de eliminarse.

Riesgos de seguridad de iMessage

  • Deficiencias en el cifrado: En 2016, unos investigadores de la Universidad Johns Hopkins pusieron de relieve un fallo en la implementación del cifrado de Apple que podía llegar a permitir que los mensajes de iMessage se descifraran. A pesar de que el fallo se subsanó enseguida, el incidente planteó dudas sobre el nivel de seguridad del protocolo de cifrado que empleaba la aplicación, cuyo código fuente es cerrado y no puede ser objeto de auditoría por terceros.
  • Copias de seguridad de iCloud: Al hacer una copia de seguridad del contenido de iMessage en iCloud, los mensajes se cifran en esta plataforma con una clave que controla la empresa, no el usuario. Esto significa que, si alguien le hackea la cuenta de iCloud o un tribunal exige su presentación, el contenido podría revelarse. Y, si bien Apple se ha negado rotundamente a crear «puertas traseras» en su sistema o debilitar el cifrado, tanto esta como otras empresas tecnológicas tienen antecedentes de haber cooperado con las autoridades entregando información almacenada en la nube.

7. Facebook Messenger

Logotipo de la aplicación Facebook Messenger

La aplicación de mensajería de Facebook está disponible para teléfonos iPhone y Android, y es una forma cómoda de mantener el contacto con amigos y familiares gracias a su gran popularidad.

Funciones de seguridad de Facebook Messenger

  • Cifrado de extremo a extremo: En 2016, Facebook incorporó la función Conversaciones secretas a fin de proteger los mensajes con el protocolo de cifrado de extremo a extremo de Signal (que también usa WhatsApp). Signal y WhatsApp, por su parte, cuentan con este cifrado de forma predeterminada, pero Conversaciones secretas se tiene que activar.
  • Mensajes que se autodestruyen: los mensajes de Facebook Messenger se pueden configurar para que se autodestruyan después de un tiempo (entre cinco segundos y 24 horas).

Riesgos de seguridad de Facebook Messenger

  • El cifrado no es predeterminado: Como hemos señalado, el cifrado de extremo a extremo de los mensajes lo tiene que activar el usuario. Esto quiere decir que los mensajes que se envían sin esta función solo se cifran cuando se transmiten al servidor de Facebook y nuevamente cuando se envían al destinatario (mientras que el cifrado de extremo a extremo se efectúa directamente entre el remitente y el destinatario). La conclusión es que una copia del mensaje permanece en los servidores de Facebook.

Aplicación que se debe evitar: Google Hangouts

Logotipo de la aplicación de mensajería Google Hangouts

Pese a estar disponible de forma gratuita tanto en iOS como en Android, Google Hangouts está plagada de problemas de privacidad y seguridad. Aunque cifra las conversaciones, el cifrado no es de extremo a extremo, sino que los mensajes se cifran «en tránsito». Eso significa que solo se cifran entre el dispositivo y los servidores de Google. Cuando llegan a un servidor, Google tiene acceso total a ellos. Si se le ordena, Google puede obtener acceso a las sesiones privadas de comunicación y transmitir la información a organismos gubernamentales. Teniendo en cuenta que, según se indica en el Informe de transparencia de Google, la compañía recibe y, a menudo, atiende solicitudes de información sobre los clientes, este problema es muy real.

Además, las imágenes que se envían por Hangouts se comparten mediante direcciones URL públicas, y esto implica que prácticamente cualquier persona (que sepa un par de cosillas sobre URL) puede ver sus imágenes privadas. Está claro que esta no es la aplicación idónea para enviar... fotos... íntimas.

¿Cómo me puedo proteger?

Creemos que todo el mundo tiene derecho a la privacidad en la red, pero, en ocasiones, se necesita un poco de proactividad para proteger ese derecho frente a aquellos que querrían un acceso sin cortapisas a nuestra intimidad. En un mundo ideal, todos usaríamos aplicaciones de mensajería superseguras para comunicarnos, como Signal o Wickr, pero, dada la popularidad de aplicaciones menos seguras o más cuestionables en cuanto a seguridad, como Facebook Messenger o WhatsApp, a veces es más adecuado adoptar una postura intermedia.

Si decide utilizar una aplicación de mensajería menos segura, instale también un programa de protección VPN, como AVG Secure VPN, con el fin de garantizar todo lo posible la seguridad de la información.

Pruebe AVG Secure VPN de forma GRATUITA

 

AVG Secure VPN Pruébelo GRATIS