Adiós Telegram, hola Signal: las dos aplicaciones de mensajería 'ultraseguras' que pelean por el trono de WhatsApp

1

Tras la investidura fallida de Pedro Sánchez del pasado mes de julio, muchos expertos y analistas políticos señalaron que una de las múltiples causas detrás del no entendimiento entre PSOE y Unidas Podemos estuvo estrechamente relacionada con su elección del canal de comunicación. La gran mayoría de los dirigentes socialistas usan WhatsApp, pero en la formación morada prefieren usar Telegram. ¿La razón? La percepción de seguridad de la aplicación de mensajería creada por los hermanos rusos Nikolái y Pável Dúrov y cuya sede actual se encuentra en Dubái (Emiratos Árabes), frente al servicio propiedad desde 2014 —fecha también del nacimiento del partido de Pablo Iglesias— del imperio del estadounidense Mark Zuckerberg.

Esta división de nuestros políticos entre WhatsApp y Telegram suma desde hace un par de meses una tercera vía: Signal. "En principio las tres hacen lo mismo, enviar mensajes entre usuarios y grupos. De por sí no tienen muchas diferencias en lo básico, aunque sí en los servicios añadidos y las funcionalidades", explica Javier Casares, experto y administrador de sistemas, que apunta a que lo importante es saber quién está detrás. "En el caso de WhatsApp sabemos que está Facebook –una empresa cotizada en bolsa y que se debe al único elemento de ganar dinero a costa de sus usuarios–, en el caso de Telegram a una persona, y en el de Signal a una Fundación", asegura.

Nacida en julio de 2014 como fruto de la unión de RedPhone con TextSecure y promovida directamente por Open Whispers System, Signal se hizo popular tras ser recomendada en varias ocasiones a lo largo de 2015 por Edward Snowden, el exanalista de seguridad que denunció el espionaje electrónico masivo de la Agencia Nacional de Inteligencia de EEUU (NSA). En España, su nombre saltó a los medios de comunicación en enero de 2018. En plena crisis catalana, El programa de Ana Rosa captó, al grabar la pantalla del teléfono móvil del exconseller Toni Comín, unos mensajes del expresident Carles Puigdemont: "Esto se ha terminado, los nuestros nos han sacrificado".

A pesar de esta filtración, que se podría haber evitado si se tuviese configurado la opción de borrado automático de los mensajes, Signal es famosa por ofrecer a sus usuarios la máxima privacidad y seguridad en las comunicaciones evitando el temido espionaje electrónico. Al ser una plataforma de código abierto, permite analizar el código y comprobar que todas las funcionalidades son correctas. "Que el código sea libre y abierto permite que el nivel de transparencia sea mucho más alto porque se sabe perfectamente cómo funciona la aplicación en sí misma, algo que no ocurre en el resto de casos", argumenta Javier Casares.

Las claves de esta esta app ultrasegura, cuya sede está localizada en la misma localidad californiana donde están Google o Microsoft y a unos doce kilómetros de Facebook, residen en su cifrado y en los datos que guarda ya que tanto a nivel de diseño como de funcionamiento las tres son bastante parecidas. Aunque en el caso de Signal, según Casares, se trata de "un sistema simple, focalizado en la mensajería e intercambio de información básicos, sin stickers y sin pijadaspijadas".

La importancia del cifrado

Aunque sin duda, el buque insignia de Signal es el cifrado de las comunicaciones. El cifrado "end to end" o "extremo a extremo" impide el acceso no autorizado a las conversaciones privadas de los usuarios: la información sale cifrada del móvil del emisor y sólo se descifra al llegar al destinatario, quedando oculta para el propietario del servidor.

La idea quizás te suene ya que WhatsApp lo implantó en 2016. Y lo hizo gracias a la tecnología de Open Whispers System, que forma parte de Signal y que ya estaba "verificado por la comunidad de desarrolladores", recuerda Casares. "El hecho de que usen el mismo sistema de cifrado y que sea abierto da cierto control a verificar que es seguro", explica este experto y administrador de sistemas.

Las estrechas relaciones entre las dos aplicaciones no se terminan aquí: uno de los fundadores de WhatsApp, Brian Acton —uno de los impulsores del movimiento de borrar Facebook—, creó, tras abandonar la compañía de Zuckerberg en 2017, una fundación sin ánimo de lucro, la Signal Foundation, para proteger esta plataforma donando 50 millones de dólares y así "apoyar, acelerar y ampliar la misión de hacer la comunicación privada accesible y ubicua".

Eso sí, a pesar de compartir cifrado y que uno de sus fundadores se hayan sumado al equipo Signal, lo cierto es que WhatsApp es propiedad de Facebook y tal y como recuerda Susana Pérez Soler, periodista y doctora de Comunicación Digital por la Universitat Ramon Llull, existe "cierta inseguridad acerca de los datos de los usuarios que pueden compartirse entre las compañías". Y más ahora que el imperio tecnológico tiene entre sus planes próximos unir los servicios de mensajería de sus tres redes sociales.

Y mientras Signal y WhatsApp comparten tecnología en todas sus conversaciones, Telegram tiene su propio cifrado de "extremo a extremo" diseñado "a partir de algoritmos probados a lo largo del tiempo para hacer que la seguridad sea compatible con la entrega de mensajes a alta velocidad y la fiabilidad en conexiones débiles". Para Javier Casares, este cifrado "es más privado" pero tiene "algunas deficiencias desde el punto de vista puro de seguridad". El MTProto, que así se llama la creación, no está activado en todos los chats. Las conversaciones normales están cifradas, pero no de "extremo a extremo". Para hacer uso de esta funcionalidad hay que usar los chats secretos con los que cuenta esta app de origen ruso.

Eso sí, desde Telegram defienden estos dos niveles de cifrado alegando que para aquellos datos que no están cubiertos con el cifrado "end-to-end" usan "una infraestructura repartida": "Los datos de los chats en la nube son almacenados en múltiples centros de datos alrededor del mundo, que son controlados por diferentes entidades legales y que se extienden en diferentes jurisdicciones. Las claves de cifrado relevantes son divididas en partes y nunca se mantienen en el mismo lugar que los datos protegidos". "Gracias a esta estructura, podemos asegurar que ningún gobierno o bloque de países afines puedan entrometerse en la privacidad de las personas y su libertad de expresión", explican.

El almacenaje de los metadatos

Otro de los puntos en los que Signal saca pecho frente a sus competidores es en su gestión de los metadatos, aquella información que habla de los datos y que se utilizan para ubicar datos. "Esta información es igual o más crucial que el contenido del propio mensaje", apunta Pérez Soler. Este concepto es equivalente al uso de índices para localizar objetos. Por ejemplo, en una biblioteca se usan fichas con el autor, título o editorial para localizar un libro. Estas fichas serían los metadatos en la red.

Signal, según explica esta periodista y doctora por la Universitat Ramon Llull, "reduce al mínimo los metadatos que guarda". Esta plataforma sólo archiva en sus servidores la última vez de conexión —ojo, sólo el día, sin especificar hora— y el número de teléfono. A mayores, según advierte Javier Casares, los metadatos en esta app "se encriptan" y "en el resto no"app : "aquí se ve que hay 'movimiento' pero se tiene muy poca información de qué o quién lo realiza, pero en el caso de WhatsApp o Telegram ese movimiento queda disponible y se sabe quién escribe a quién y cuándo".

 

WhatsApp, además de la última vez de conexión y el número de móvil, recopila las direcciones IP, el operador de red, el modelo del teléfono, el identificador único del dispositivo, la ubicación y la agenda de contactos. Es decir, no pueden ver lo que hay dentro del mensaje, pero pueden ver quién está enviado un mensaje a quién y cuándo. Según explican en su web, no guardan los mensajes una vez han sido entregados, ni los registros de transacción de esos mensajes entregados. Además, los mensajes no entregados son eliminados de los servidores pasados 30 días. Eso sí, tal y como se especifica en su Política de privacidad, pueden "recopilar, usar, conservar y compartir información del usuario".

Telegram, por su parte, no informa exactamente qué metadatos registra en sus servidores. "Hay cierta opacidad acerca de cuántos metadatos, pero es seguro que guarda los contactos, tipo de dispositivo y direcciones IP", asegura Pérez Soler. Se puede suponer que, al usar un modelo basado en guardar contenido en la nube "con una sincronización constante", prácticamente todo lo que se hace en este servicio de mensajería está almacenado. Aunque, eso sí, cifrado.

Los permisos y la verificación en dos pasos

Con respecto a los permisos que se les conceden a estas aplicaciones una vez se descargan en los dispositivos de los usuarios, WhatsApp y Telegram tiene como obligatorios poder acceder a los contactos de la agenda. Signal, por su parte, esta autorización es opcional: se puede iniciar una conversación escribiendo el número de teléfono de forma manual.

En el apartado de ajustes de privacidad y seguridad, las tres cuentan con la verificación en dos pasos. Según explican WhatsApp y Telegram en sus ajustes, "para mayor seguridad" se establece un PIN o "una contraseña adicional" para cuando se vuelva a "registrar tu número de teléfono" o se inicie sesión en "un nuevo dispositivo". En el caso de Signal, también lo tienen habilitado pero llaman a esta funcionalidad "PIN de bloqueo de registro".

Como impedir que vean los mensajes en el propio móvil

Tanto Telegram como Signal añaden a su configuración la posibilidad de los mensajes que se autodestruyen, es decir, se puede establecer un periodo de tiempo antes de que el contenido se elimine de ambos dispositivos. En el caso de la aplicación rusa, esta funcionalidad sólo está disponible en los chats secretos. Por su parte, WhatsApp no solo no permite esta opción sino que realiza de forma automática copias de seguridad de las conversaciones.

Telegram y Signal también tienen la opción de evitar hacer captura de pantalla. En la aplicación de mensajería de los hermanos Dúrov se matiza que "puede que aún sea posible hacer capturas de pantalla silenciosamente" pero que están haciendo todos los esfuerzos para alertar sobre ellas en los "chats secretos". "Después de todo, nadie puede impedir que una persona tome una foto de la pantalla con un dispositivo diferente o una cámara fotográfica", advierten desde la web de este servicio. Signal las bloquea en toda la app. A mayores, a todas estas funcionalidades incorpora la opción de ocultar la dirección IP en llamadas y el autoborrado de mensajes antiguos.

Abandonando el entorno digital, en cuanto a la seguridad de los datos en el propio teléfono, sólo Telegram y Signal permiten bloquear los chats, aunque hay que activar esta funcionalidad. En el caso de la app rusa, la protección va más allá ya que puede hacerse mediante un código PIN que al estar configurado coloca un candado en la pantalla de chats. En WhatsApp, no hay ninguna protección.

¿Signal es la más segura?

Sumando lo que ofrecen o dejan de ofrecer, parece evidente que la plataforma de mensajería más segura entre las tres más populares es Signal. Aunque, tal y como recuerda Javier Casares, "depende mucho del dispositivo en el que se encuentre instalada". Sin embargo, los analistas no están muy de acuerdo en esta afirmación. Concretamente porque detectan en esta app varios defectos –que también tienen WhatsApp y Telegram–.

Uno de sus problemas es que se trata de una aplicación no descentralizada (DApps). Para convertirse en una plataforma de este estilo no pueden depender de terceros para funcionar, por lo que tu información no está regulada por nadie, y deben integrar distintos servicios de mensajes.

Otro de sus agujeros de seguridad es que Signal usa los números de teléfono como sistema de identificación, es decir, sí que saben que se generan mensajes entre usuarios aunque se supone que son anónimos. "El hecho de que sea necesario un identificador telefónico para registrarte te permite validar en la red y por tanto, a través de la compañía telefónica, podrían saber quién eres", argumenta Javier Casares.

Whatsapp se cae en varias partes del mundo y no permite enviar fotos, vídeos ni audios

Ver más

Desde la propia plataforma se defienden alegando que no tienen "conocimiento de tus contactos". Las notificaciones de registro "nunca se transmiten a nadie, es tu propio teléfono el que las genera", explican desde Signa que también argumenta que "envía periódicamente números de teléfono cifrados con hash para detectar contactos. Los nombres nunca se transmiten y la información no se almacena en los servidores". Así, según asegura este experto este sistema también permite "validar de alguna forma que la persona con la que estás contactando es la propietaria de ese número de teléfono".

Además, para poder descargar la app hay que hacerlo desde Google Play en Android o desde App Store de Apple, es decir, hay que estar registrado con una cuenta en ambas tiendas para poder acceder a esta aplicación.

Por ello, en el blog especializado en seguridad Hackernoon, recomendaban en 2017, además de Signal, otras apps ultraseguras como Conversations para Android, ChatSecure en iOS o Gajim para Windows, Mac y Linux. Entre otras cosas porque usan el protocolo de cifrado OMEMO, una extensión de XMPP que permite codificar conversaciones entre dos o más extremo, ofrecen anonimato y son plataformas descentralizadas.

Tras la investidura fallida de Pedro Sánchez del pasado mes de julio, muchos expertos y analistas políticos señalaron que una de las múltiples causas detrás del no entendimiento entre PSOE y Unidas Podemos estuvo estrechamente relacionada con su elección del canal de comunicación. La gran mayoría de los dirigentes socialistas usan WhatsApp, pero en la formación morada prefieren usar Telegram. ¿La razón? La percepción de seguridad de la aplicación de mensajería creada por los hermanos rusos Nikolái y Pável Dúrov y cuya sede actual se encuentra en Dubái (Emiratos Árabes), frente al servicio propiedad desde 2014 —fecha también del nacimiento del partido de Pablo Iglesias— del imperio del estadounidense Mark Zuckerberg.

Más sobre este tema
>