¿Por qué les dije a mis amigos que dejaran de usar WhatsApp y Telegram?

Incluso con cifrado de extremo a extremo, Big Brother todavía está en su teléfono: metadatos

Esta mañana les dije a mis amigos que dejaran de usar WhatsApp y les envié una invitación para cambiar a la aplicación de mensajería Signal.

Este es el por qué.

Protocolos de cifrado: el protocolo de señal frente al MTProto de Telegram

Es posible que no se dé cuenta, pero probablemente ya esté utilizando el Protocolo de señal, junto con más de mil millones de personas todos los días.

El protocolo de señal es utilizado por WhatsApp, Facebook Messenger, Google Allo y la propia aplicación de mensajería de Signal.

Pero, ¿qué es el protocolo de señal?

El Protocolo de señal es un protocolo criptográfico no federado que proporciona cifrado de extremo a extremo para conversaciones de mensajería instantánea. - Wikipedia

El cifrado de extremo a extremo garantiza que su mensaje sea convertido en un mensaje secreto por su remitente original, y luego solo lo decodifique su destinatario final.

Eso es lo que WhatsApp comenzó a usar hace unos meses cuando mostraron este mensaje en su conversación:

Credito de imagen

El Protocolo de señal fue creado por Open Whisper System, un grupo sin fines de lucro que fue fundado en 2013 por el ex jefe de seguridad de Twitter Moxie Marlinspike. En 2011, la plataforma de mensajería de 140 caracteres adquirió la primera compañía de mensajería segura de Marlinspike, Whisper System.

Open Whisper System se enfoca en el desarrollo de Signal Protocol y también mantiene una aplicación de mensajería llamada Signal. La organización sin fines de lucro se financia mediante una combinación de donaciones y subvenciones.

En octubre de 2016, un equipo internacional de investigadores de seguridad revisó el protocolo de señal y obtuvo excelentes críticas.

Al leer lo anterior, puede pensar que está bien, ya que WhatsApp, Facebook Messenger y Google Allo también usan el Protocolo de señal.

Pues no lo eres.

Facebook Messenger y Google Allo no habilitan el cifrado de extremo a extremo de forma predeterminada. Los usuarios de Facebook Messenger deben habilitar "Conversaciones secretas" y los usuarios de Google Allo deben habilitar el modo de incógnito.

Telegram, la aplicación de 100 millones de usuarios creada por el fundador de la red social VK, Pavel Durov, utiliza su propio protocolo de cifrado: MTProto. Telegram fue objeto de algunas controversias menores sobre su protocolo de encriptación. Luego, en 2015, un investigador de seguridad publicó un artículo de investigación que detalla las debilidades teóricas * en MTProto. Telegram refutó este documento en un blog donde aclararon por qué MTProto es seguro.

Luego tenemos WhatsApp y Signal, las únicas dos aplicaciones que usan el Protocolo de señal de forma predeterminada para todos los mensajes enviados *.

Tal vez se pregunte: ¿por qué no seguir con WhatsApp entonces?

La razón radica en la colección de metadatos de WhatsApp.

Recolección de datos y metadatos.

Los metadatos y la recopilación de datos a menudo han estado en el centro de los debates, y las partes a menudo reclaman algunas declaraciones en la línea de:

No podemos escuchar / leer el contenido de su comunicación porque usamos cifrado de extremo a extremo, solo podemos recopilar metadatos.

Los metadatos a menudo han sido un término borroso. Para su conveniencia, a continuación hay una definición aclarada de metadatos:

Si aún no tiene claro qué son los metadatos, lea la publicación de EFF de Kurt Opsahl. Da ejemplos de lo que las empresas o los gobiernos saben cuando recopilan metadatos:

Saben que llamó a un servicio de sexo telefónico a las 2:24 de la mañana y habló durante 18 minutos. Pero no saben de qué hablaste.
Saben que llamó a la línea directa de prevención del suicidio desde el puente Golden Gate. Pero el tema de la llamada sigue siendo un secreto.
Saben que habló con un servicio de pruebas de VIH, luego con su médico y luego con su compañía de seguro médico en la misma hora. Pero no saben lo que se discutió.

Ahora que sabe qué son los metadatos, permítame reiterarlo: el uso de cifrado de extremo a extremo no impide que los servicios de mensajería recopilen metadatos.

Veamos qué están recolectando estos tipos:

WhatsApp

Las preguntas frecuentes de WhatsApp indican que su aplicación tiene acceso a todos los números de teléfono en su libreta de direcciones y que recopila una gran cantidad de información sobre usted.

Lo interesante es que WhatsApp no ​​almacena sus mensajes en sus servidores. En cambio, sus mensajes se almacenan en su teléfono, y finalmente en los servidores donde realiza una copia de seguridad de su teléfono. Por ejemplo, si usa un iPhone, todos sus mensajes de WhatsApp se almacenan en iCloud, si lo usa como respaldo.

En cuanto a la información que WhatsApp recopila sobre cuándo, dónde y con quién te comunicas, es mucho más vago. Esto es lo que dicen:

Uso e información de registro. Recopilamos información relacionada con el servicio, diagnóstico y rendimiento. Esto incluye información sobre su actividad (como la forma en que usa nuestros Servicios, cómo interactúa con otras personas que usan nuestros Servicios y similares), archivos de registro y registros e informes de diagnóstico, bloqueo, sitio web y rendimiento.

WhatsApp también recopila información específica del dispositivo cuando instala, accede o utiliza su servicio, como el modelo de su teléfono, su sistema operativo e información de su navegador, dirección IP y red móvil, incluido su número de teléfono.

Y si no pueden recopilar esa información a través de su teléfono, la obtendrán cuando la gente le envíe un mensaje, ya que WhatsApp también tiene acceso a los datos de actividad de sus amigos.

Además de las copias de seguridad no cifradas, Electronic Frontier Foundation describió otras preocupaciones sobre la notificación de cambios clave, la aplicación web de WhatsApp y el intercambio de datos con Facebook, que adquirió WhatsApp en 2014.

Hablando de Facebook ...

Facebook Messenger

MIT Technology Review escribió:

Facebook está recopilando el conjunto de datos más extenso jamás reunido sobre el comportamiento social humano.

No necesito desglosar qué datos recopila Facebook. Facebook es tu amigo, por lo que te facilitó la comprensión de cuán cercanos son:

Redacción de la explicación oficial de privacidad de Facebook

Google Allo

Google Allo ha sido ampliamente criticado por expertos en seguridad.

Google no solo puede leer cada mensaje que dices, sino que también almacenará todas las conversaciones.

Es así de simple.

Aquí está el anuncio irónico de Edward Snowden para Allo:

Telegrama

Los mensajes, fotos, videos y documentos se cifran y almacenan en los servidores de Telegram (excepto los mensajes de Chat Secreto, que no se almacenan en los servidores de Telegram). Al igual que WhatsApp y Facebook, Telegram accede y almacena su lista de contactos en su servidor. Así es como pueden enviarle una notificación cuando alguien nuevo de su lista de contactos se une a Telegram.

Señal

Los únicos datos que conserva Signal son el número de teléfono con el que se registró y la última vez que inició sesión en su servidor.

Eso es.

Ni siquiera registra la hora, minuto o segundo, solo el día.

Si te sientes travieso, Signal incluso tiene mensajes que desaparecen.

Y Signal es gratis. Realmente gratis. Lo que significa que no están tratando de convertir sus globos oculares en un producto para anunciantes como Facebook o Google que desean hacer con sus aplicaciones de mensajería. Puedes donar a Signal aquí.

Por cierto, el código de señal es gratuito y de código abierto, disponible en GitHub para que lo compruebes.

¿Por qué debería preocuparte por tu privacidad?

Puede sentirse tentado a decir algo como:

¿A quien le importa? No tengo nada que esconder.

Si no cree que la privacidad sea tan importante: vea la charla TED de Glenn Greenwald sobre Por qué es importante la privacidad.

Si encuentra útil este artículo, puede leer:

Editar 24/01/2017: * anteriormente declaramos que "el protocolo de cifrado [de Telegram] [no era] seguro". Telegram Messenger aportó algunas aclaraciones al publicar una publicación en el blog comentando el hallazgo de J. Jakobsen.

Si esta publicación de blog fue útil para usted, haga clic en ese pequeño corazón verde a continuación. Eso seria genial. Gracias.

Artículo también disponible en francés, italiano, alemán, español y turco.

Este artículo también fue publicado en holandés en el periódico belga Knack.