Se supone que la mensajería segura es solo eso: segura. Eso significa que no hay puertas traseras, cifrado sólido, mensajes privados que permanecen privados y, para algunos usuarios, la capacidad de comunicarse de forma segura sin entregar toneladas de datos personales.

Por lo tanto, cuando se produjera la noticia, el paria de privacidad en línea y escándalo de Facebook expandiría la mensajería segura a través de sus aplicaciones Messenger, WhatsApp e Instagram, una amplia comunidad de criptógrafos, legisladores y usuarios preguntaron: ¿Espere, qué?

La tecnología no solo es difícil de implementar, sino que la compañía que la implementa tiene un historial deficiente tanto en la privacidad del usuario como en la seguridad en línea.

El 25 de enero, el New York Times informó que el CEO de Facebook, Mark Zuckerberg, había comenzado los planes para integrar las tres plataformas de mensajería de la compañía en un solo servicio, permitiendo a los usuarios comunicarse entre ellos a través de aplicaciones móviles separadas. Según el New York Times, Zuckerberg «ordenó que todas las aplicaciones incorporen cifrado de extremo a extremo».

La respuesta inicial fue dura.

En el extranjero, la Comisión de Protección de Datos de Irlanda, que regula Facebook en la Unión Europea, solicitó de inmediato una «sesión informativa urgente» de la compañía, advirtiendo que las propuestas anteriores de intercambio de datos plantearon «problemas importantes de protección de datos».

En los Estados Unidos, el senador demócrata Ed Markey de Massachusetts dijo en una declaración : «No podemos permitir que la integración de la plataforma se convierta en una desintegración de la privacidad».

Los tecnólogos de seguridad cibernética oscilaron entre el optimismo cauteloso y la simple cautela.

Algunos profesionales se enfocaron en los beneficios claros de habilitar el cifrado de extremo a extremo en las plataformas de mensajería de Facebook, enfatizando que cualquier cifrado de extremo a extremo es mejor que ninguno.

El ex ingeniero de software de Facebook Alec Muffet, quien dirigió el equipo que agregó el cifrado de extremo a extremo a Facebook Messenger , dijo en Twitter que el plan de integración «claramente maximiza la privacidad que se brinda a la mayor cantidad de personas y es una buena idea». ”

Otros cuestionaron los motivos y la reputación de Facebook, examinando el modelo de negocios establecido por la compañía de la recolección de cantidades masivas de datos de usuarios para entregar anuncios dirigidos.

El profesor asociado y criptógrafo de la Universidad John Hopkins, Matthew Green, dijo en Twitter que «este movimiento podría ser bueno o malo para la seguridad / privacidad. Pero dada la historia reciente y las motivaciones financieras de Facebook, no apostaría el dinero de mi almuerzo en «bueno».

El 30 de enero, Zuckerberg confirmó el plan de integración durante una llamada trimestral de ganancias. La compañía espera completar el proyecto este año o a principios de 2020.

Va a ser una batalla cuesta arriba.

Tres aplicaciones, una mala reputación.

Fusionar tres aplicaciones de mensajería separadas es más fácil decirlo que hacerlo.

En una entrevista telefónica, Green dijo que el obstáculo tecnológico inmediato de Facebook será la integración de «tres sistemas diferentes, uno que no tenga ningún cifrado de extremo a extremo, uno donde sea predeterminado y otro con una función opcional».

Actualmente, los servicios de mensajería en WhatsApp, Facebook Messenger e Instagram tienen diversos grados de encriptación de extremo a extremo. WhatsApp proporciona cifrado de extremo a extremo predeterminado, mientras que Facebook Messenger proporciona cifrado de extremo a extremo opcional si los usuarios activan las «Conversaciones secretas». Instagram no ofrece cifrado de extremo a extremo en su servicio de mensajería.

Además, Facebook Messenger, WhatsApp e Instagram tienen características separadas, como la capacidad de Facebook Messenger para admitir más de un dispositivo y el soporte de WhatsApp para conversaciones grupales, junto con clientes de escritorio o web independientes.

Green dijo que se imagina que alguien utilice el cliente web de Facebook Messenger, que actualmente no admite el cifrado de extremo a extremo, iniciando una conversación con un usuario de WhatsApp, donde el cifrado se establece de forma predeterminada. Estos lapsos en el cifrado predeterminado, dijo Green, podrían crear vulnerabilidades. El desafío está en reunir todos esos sistemas con todas esas variables.

«Primero, es probable que Facebook tenga que crear una plataforma y luego mover todos esos sistemas diferentes a un sistema un tanto compatible, que, por lo que puedo decir, incluiría la centralización de servidores clave, usando el mismo protocolo y un montón de desarrollo técnico. Eso tiene que pasar ”, dijo Green. «No es imposible. Solo duro «.

Pero hay más en el éxito de Facebook que el conocimiento técnico de sus ingenieros. También está su reputación, que, en los últimos tiempos, presenta a la empresa como un barón de los datos de hoy en día, planteándose en fallas en la privacidad después de una falla en la privacidad.

Después de las elecciones presidenciales de los Estados Unidos de 2016, Facebook se negó a calificar la » subrepticia colección de información personal de 50 millones de usuarios » cuando fue presentada ante el Congreso para testificar sobre el papel de su compañía en una potencial campaña internacional de desinformación. La empresa no «vende» datos de usuario a los anunciantes. Pero menos de un año después, un comité parlamentario británico publicó documentos que mostraban cómo Facebook dio a algunas compañías, entre ellas Airbnb y Netflix, acceso a su plataforma a cambio de favores, sin necesidad de venta.

Hace cinco meses, la aplicación Onavo de Facebook se inició desde la App Store de Apple para recopilar datos, y a principios de este año, se dice que Facebook les pagó a usuarios de tan solo 13 años para que instalaran la aplicación “Facebook Research” en sus propios dispositivos, una aplicación destinada estrictamente para el uso de los empleados de Facebook. Facebook retiró la aplicación, pero Apple tenía en mente repercusiones adicionales: eliminó el certificado empresarial de Facebook, en el que la empresa confiaba para ejecutar sus aplicaciones internas de desarrollador.

Estas repetidas fallas en la privacidad son suficientes para que algunos usuarios eviten por completo el experimento de encriptación de extremo a extremo de Facebook.

«Si no confías en Facebook, el lugar de preocupación no es si arruinan el cifrado», dijo Green. “Quieren saber quién está hablando con quién y cuándo. El cifrado no protege eso en absoluto «.

Si no es Facebook, ¿entonces quién?

Reputacionalmente, hay al menos dos compañías que los usuarios buscan tanto para un cifrado de extremo a extremo sólido y un respaldo sólido para la privacidad y seguridad del usuario: Apple y Signal, que ejecutan respectivamente las aplicaciones iMessage y Signal Messenger.

En 2013, Open Whisper Systems desarrolló el protocolo de señal. Este protocolo de encriptación proporciona encriptación de extremo a extremo para llamadas de voz, videollamadas y mensajería instantánea, y es implementado por WhatsApp, Facebook Messenger, Allo de Google y Skype de Microsoft en diversos grados. Periodistas, defensores de la privacidad, criptógrafos e investigadores de seguridad cibernética elogian habitualmente a Signal Messenger, Signal Protocol y Open Whisper Systems.

«Use cualquier cosa de Open Whisper Systems», dijo el ex contratista de defensa de la NSA y el denunciante del gobierno Edward Snowden.

«[Signal es] mi primera opción para una conversación encriptada», dijo el investigador en seguridad cibernética y defensor de la privacidad digital Bruce Schneier.

Por otra parte, Apple ha demostrado su compromiso con la privacidad y seguridad del usuario a través de declaraciones hechas por ejecutivos de la compañía, actualizaciones para solucionar vulnerabilidades y acciones legales tomadas en los tribunales de EE. UU.

En 2016, Apple contraatacó una solicitud del gobierno de que la compañía diseñara un sistema operativo capaz de permitir que el FBI descifre un iPhone individual. Un argumento así, argumentó Apple, sería demasiado peligroso de crear. A principios del año pasado, cuando una empresa estadounidense comenzó a vender dispositivos para descifrar el iPhone, llamado GrayKey, Apple solucionó la vulnerabilidad a través de una actualización de iOS.

En repetidas ocasiones, el CEO de Apple, Tim Cook, ha apoyado la seguridad y privacidad del usuario, y dijo en 2015: «Creemos que las personas tienen un derecho fundamental a la privacidad. El pueblo estadounidense lo exige, la constitución lo exige, la moral lo exige ”.

Pero incluso con estas reputaciones esterlinas, la verdad es que la seguridad cibernética es difícil de hacer bien.

El año pasado, los investigadores de ciberseguridad encontraron una vulnerabilidad crítica en la aplicación de escritorio de Signal que permitía a los actores de amenazas obtener los mensajes de texto sin formato de los usuarios. Los desarrolladores de Signal arreglaron la vulnerabilidad dentro de las cinco horas reportadas .

La semana pasada, la aplicación FaceTime de Apple, que encripta las videollamadas entre usuarios, sufrió un error de privacidad que permitió a los actores de amenazas espiar brevemente a las víctimas . Apple corrigió el error luego de que se difundiera la noticia de la vulnerabilidad.

De hecho, varias aplicaciones de mensajería seguras, incluyendo Telegram , Viber , Confide , Allo y WhatsApp, han reportado vulnerabilidades de seguridad, mientras que otras, incluyendo Wire , se han visto afectadas por las prácticas de almacenamiento de datos.

Pero las vulnerabilidades no deben asustar a las personas para que no utilicen el cifrado de extremo a extremo. Por el contrario, deberían alentar a las personas a que encuentren la aplicación de mensajería cifrada de extremo a extremo adecuada para ellas.

No hay una talla única para todos, y eso está bien

No existe tal cosa como una aplicación de mensajería segura perfecta, de talla única, dijo la Directora Asociada de Investigación de Electronic Frontier Foundation, Gennie Gebhart, porque no existe una definición de seguridad perfecta, de talla única. .

«En la práctica, para algunas personas, seguro significa que el gobierno no puede interceptar sus mensajes», dijo Gebhart. “Para otros, seguro significa que un socio en su espacio físico no puede tomar su dispositivo y leer sus mensajes. Esas son dos tareas completamente diferentes para una aplicación ”.

Al elegir la aplicación de mensajería segura adecuada para ellos, Gebhart dijo que las personas deberían preguntar qué necesitan y qué quieren . ¿Están preocupados de que los gobiernos o los proveedores de servicios intercepten sus mensajes? ¿Están preocupados de que las personas en su entorno físico obtengan acceso a sus mensajes? ¿Están preocupados por dar su número de teléfono y perder el anonimato?

Además, vale la pena preguntar: ¿Cuáles son los riesgos de un accidente, como, por ejemplo, el envío erróneo de un mensaje no cifrado que debería estar cifrado? Y, por supuesto, ¿qué aplicación están usando los amigos y la familia?

En cuanto a las constantes noticias de vulnerabilidades en las aplicaciones de mensajería segura, Gebhart aconsejó no reaccionar de forma exagerada. La buena noticia es que, si está leyendo acerca de una vulnerabilidad en una herramienta de mensajería segura, entonces las personas que crean esa herramienta también conocerán la vulnerabilidad. (De hecho, los desarrolladores solucionaron la mayoría de las vulnerabilidades de seguridad enumeradas anteriormente). El mejor consejo en esa situación, dijo Gebhart, es actualizar su software.

«Ese es el número uno», dijo Gebhart, explicando que, aunque esta línea de defensa es «tediosa y quizás aburrida», a veces los consejos aburridos simplemente funcionan. «Cepille sus dientes, cierre su puerta, actualice su software».

La ciberseguridad es muchas cosas. Es difícil, es complejo, y es un deporte de equipo. Ese equipo te incluye a ti, el usuario. Antes de utilizar un servicio de mensajería, o conectarse en línea, recuerde seguir los consejos aburridos. Será mejor que se asegure su privacidad.