Desgraciadamente, los estándares de las redes de servicios para móviles siguen permitiendo el uso de algoritmos de cifrado muy débiles, por lo que esas redes no pueden considerarse del todo seguras. Cuando te comunicas mediante SMS, por ejemplo, los atacantes pueden romper el cifrado fácilmente y, tal vez, leer tus mensajes. En las redes móviles, solo se suele cifrar el tráfico que va del teléfono a la estación base, donde se descifra el cifrado y el mensaje se transmite como texto en claro.
Hoy en día, cada vez hay más aplicaciones que admiten el cifrado de extremo a extremo. Con este sistema, una vez cifrado el tráfico en el ordenador (o en el teléfono), la información se transmite cifrada hasta que el destinatario recibe el mensaje y lo descifra. Si el cifrado se aplica de forma segura, las demás personas no pueden descifrar el mensaje sin la clave, que solo está en el ordenador del receptor. Para que un atacante pudiera descifrar el mensaje, tendría que entrar en tu ordenador o en el del receptor y controlar la comunicación. Considerando los ejemplos de criptografía del capítulo anterior, si el sistema de cifrado es seguro y la clave se mantiene en secreto, solo pueden descifrar los mensajes los destinatarios previstos.
Estos son algunos ejemplos de aplicaciones de comunicación que utilizan el cifrado de extremo a extremo:
Signal
Telegram
WhatsApp
Facebook Messenger
De entre estas aplicaciones, Signal emplea implementaciones de código abierto, lo que significa que cualquiera puede ver cómo se ha aplicado el sistema (es lo contrario de la seguridad por oscuridad). Los algoritmos que usa Signal se suelen consideran seguros y han sido muy estudiados. La ventaja de las implementaciones verificadas y de código abierto es que, una vez demostrada su seguridad, otras personas pueden usar la misma implementación. Por ejemplo, el protocolo de Signal se utiliza también en la aplicación WhatsApp.
Debido al funcionamiento de los grupos de WhatsApp, los miembros que se añaden a un grupo ya creado no están protegidos de extremo a extremo y, si un atacante logra acceder a los servidores de WhatsApp, puede llegar a interceptar sus mensajes.
Telegram, en cambio, hizo lo que muchos consideran que es incumplir la primera regla de la criptografía (no aplicar tu propio sistema criptográfico) y creó su propio protocolo. Dicho protocolo ha sido muy criticado y algunos investigadores lo consideran roto. Ya se han encontrado algunas vulnerabilidades en él. Y, aunque Telegram ha corregido las vulnerabilidades detectadas, algunos siguen defendiendo que no hay que fiarse de que la implementación criptográfica de Telegram sea realmente confidencial. Actualmente, no se conoce ninguna vulnerabilidad en la implementación criptográfica de Telegram.
Facebook Messenger dispone de un modo llamado conversaciones secretas, que está cifrado de extremo a extremo. Sin embargo, es opcional, no el que se aplica de forma predeterminada. Los chats de grupo no están cifrados de extremo a extremo y no se puede confiar en su seguridad.
Si quieres usar una aplicación de mensajería que sea confidencial, ahora mismo, Signal o —con algunas salvedades— WhatsApp parecen ser las alternativas más seguras. Los mensajes SMS no deben utilizarse para ningún tipo de comunicación confidencial.
¿Por qué necesito que la mensajería sea segura?
Quizá te preguntes por qué molestarte en proteger tus comunicaciones, si no estás haciendo nada ilegal. Piensa un momento en el contenido de tus comunicaciones. Aunque la mayoría de la información no sea confidencial, puede haber fragmentos que, juntos, proporcionen a un atacante suficiente información como para cometer un robo de identidad o incluso acceder a tus cuentas.
Estos son algunos ejemplos de los datos que puedes estar exponiendo:
Información bancaria
Números de tarjetas de crédito
Combinaciones de correo electrónico y contraseña
Números de DNI
Direcciones
Números de teléfono
Respuestas a preguntas de seguridad con las que has protegido tus cuentas
Cookies con las que un atacante podría ser capaz de robar tu sesión y acceder a tu cuenta
Los elementos de esta lista son datos que puedes dejar tú como rastro, pero también deberías pensar en la cantidad de información que recopilan tus dispositivos. Puede tratarse de datos como las coordenadas GPS, el uso que haces de las aplicaciones, las horas a las que estás más activo/a y datos de salud como la frecuencia cardíaca. Con esta información, el atacante puede hacerse una idea bastante completa de tu vida cotidiana, desde tu domicilio hasta los lugares que visitas a menudo, la gente con la que vas, dónde es posible que trabajes, si tienes algún problema de salud, etc.
Se sabe que algunos países monitorizan las comunicaciones de sus propios ciudadanos para controlar el flujo de información y vigilar a los disidentes. Algunos incluso prohíben el cifrado de extremo a extremo. Los Gobiernos también pueden ordenar que se incluyan puertas traseras o puntos débiles en la tecnología para que puedan romper el cifrado y la confidencialidad de los mensajes. Si quieres saber si estos riesgos te afectan, infórmate sobre las leyes del país donde te encuentras, al que vayas a enviar datos o del que vayas a recibirlos.
Qué debes hacer para protegerte y qué no debes hacer
Sí
Comprueba que estás usando conexiones cifradas. Por ejemplo, asegúrate de que aparezca el icono del candado en el navegador.
Piensa en dónde vas a usar tu tarjeta de crédito: ¿es un sitio en el que puedas confiar?
Sé consciente de los datos que exponen tus aplicaciones.
No
No uses preguntas de seguridad: son muy fáciles de averiguar.
No dejes que las aplicaciones te rastreen sin que lo sepas y desactiva el uso compartido de datos si la aplicación te lo permite.
No reveles ningún dato ni información personal confidencial a través de mensajes SMS, ya que no son seguros.
