Si alguien pretende atacar un dispositivo móvil seguramente se preguntará: ¿Qué servicio de mensajería usa el usuario? ¿Toma recaudos para proteger su información? ¿Sabe al menos qué datos tiene allí almacenados y lo fácil que es acceder a ellos?
Otros, como yo, creen que la información es un negocio en crecimiento y no debería salir de un entorno controlado
A excepción de un breve lapso en 2012 en el que tuve un iPhone, siempre usé teléfonos Android, por lo que ya tengo mucha experiencia con distintos tipos de aplicaciones de mensajería de este sistema operativo. Por eso quisiera compartir con ustedes algunos problemas de seguridad que tienen los dispositivos Android y las posibles soluciones. Si bien el sistema operativo ya trae cargadas algunas aplicaciones de mensajería de texto, hay algunas opciones mejores, que ofrecen una mayor seguridad y privacidad, y otras que van incluso un paso más allá e incorporan tres protocolos criptográficos en sus aplicaciones para garantizar la seguridad de las comunicaciones.
Para analizarlas, voy a usar un Samsung Galaxy Note 5 y un Samsung Galaxy S5 liberado, que tiene instalado CyanogenMod 12.x OS (Android 5.x).
Aplicaciones de mensajería SMS predeterminadas en Android
Si observamos la configuración inicial del sistema y leemos algún fragmento de la política de privacidad de Android, vamos a descubrir que las aplicaciones de mensajería predeterminadas privilegian la funcionalidad por sobre la seguridad. Entre las opciones, no figuran palabras clave como “cifrado” ni “seguridad” en ninguna de las aplicaciones; para colmo, si leemos la política de privacidad, nos enteramos de que recopilan datos sobre nuestra ubicación.
Además, la política de privacidad indica que la aplicación de mensajería recopilará distintos tipos de información, como la ubicación y los sitios web visitados, para mejorar los programas de publicidad. Incluso hay una opción para enviar continuamente los datos de ubicación, que esperamos que solo se utilice por el servicio de Glympse para compartir tu ubicación en tiempo real con otra persona de tu propia elección. Mi crítica es que la opción está activada por defecto, a pesar de que uno quizá no quiera tenerla activa, y además está enterrada en los confines del menú de configuración avanzada, donde no hay muchos usuarios que se aventuren a ingresar.
Algo interesante que debemos notar es la base de datos back-end donde se almacenan los mensajes. Si nos ponemos en el lugar del atacante, nos sería complicado, aunque no imposible desde el punto de vista técnico, infiltrarnos en un teléfono mediante las redes 3G y 4G, ya que necesitaríamos un equipo especial. Una opción más sencilla que está habilitada en muchos smartphones (por ejemplo, los vinculados a un smartwatch) es el Bluetooth, porque, si está activo, puede convertirse en una vía de acceso que solo requiere un código de vinculación de, por lo general, unos cuatro dígitos.
Simulé, entonces, una posible vulnerabilidad del Bluetooth y, al conectarme al S5 de manera remota, pude ver todo el sistema de archivos. Una vez allí, me llevó tan solo tres minutos encontrar la base de datos de la aplicación de mensajería SMS, a pesar de que no tenía idea de dónde podía estar. Al parecer, las bases de datos de este tipo de aplicación se almacenan en una base de datos SQLite, que, una vez abierta, permite acceder a los mensajes (con sus fechas y horas) y otros datos que podrían ser de utilidad para un atacante o para alguien que tenga mucho interés por saber a quién le escribimos. Aunque esta simulación se hizo de manera remota, los resultados pueden ser igual de peligrosos si la violación es directa (por ejemplo, si uno pierde el teléfono).
WhatsApp: una aplicación de mensajería que se basa en la privacidad y la seguridad
Después de mi experimento, quise ver cuáles serían los beneficios de utilizar una aplicación que tuviera como mantra enfocarse en “la privacidad y la seguridad”, así que instalé WhatsApp. Ya desde la instalación todo es más seguro, porque la aplicación no solo se instala sino que también se vincula al número de teléfono del dispositivo y, por lo tanto, ya queda registrada así en los servidores. Además, los mensajes están cifrados de punto a punto (es decir, todo el trayecto entre los servidores y el dispositivo final), funcionalidad creada por el mismo desarrollador de Signal, la tercera aplicación que analizo en este artículo.
Otra característica a favor es que los mensajes no se almacenan ni en los servidores de la aplicación ni en los de la empresa, lo que es muy reconfortante si tenemos en cuenta que estamos en la era de la filtración de datos y que es muy importante hacernos responsables de nuestra propia información. La aplicación también permite hacer llamadas y tiene un mecanismo similar al de los mensajes para cifrarlas de punto a punto. Lo que más me gusta es que nos muestra un candadito que nos asegura que la conexión y la información que se transmiten están cifradas. Realmente me sorprendió mucho el hincapié que hace en la privacidad y la seguridad, si bien me topé con algunos problemas menores en la etapa de investigación y a medida que seguí utilizando la aplicación.
Un detalle que quizá limite su uso y alcance es que para enviarle un mensaje a alguien, esa persona también tiene que tener la aplicación instalada. De lo contrario, no se le puede enviar ningún mensaje, aunque sí se le puede enviar una invitación para que la instale. Sin embargo, no es tan sencillo persuadir a los usuarios (incluso si son amigos), sobre todo si están conformes con las aplicaciones predeterminadas y no consideran necesario proteger la privacidad… aunque, con probar, no se pierde nada. Algo que no me pareció adecuado es que resulta fácil acceder a la información almacenada en la base de datos. Si alguien consiguiera desbloquear el teléfono, bastaría realizar una búsqueda rápida para encontrar información valiosa de los mensajes enviados y recibidos.
Por último, un problema importante que tuve luego de que Facebook adquiriera WhatsApp en 2014 fue la integración de las dos aplicaciones, que aún sigue tomando forma. Tras la compra, WhatsApp comenzó a enviar información a Facebook para refinar las publicidades que el usuario recibe y, así, obtener algún rédito del servicio, que es (por lo demás) gratuito. En mi caso particular, como no uso mucho Facebook, preferiría que las aplicaciones no compartieran mi información sin tener que configurarlo manualmente; por eso, comencé a utilizar la que ahora es mi aplicación predeterminada: Signal.
Signal: aplicación de código abierto, se reciben donaciones
Conocí a Signal (antes llamada TextSecure) cuando usaba una aplicación para Linux del mismo desarrollador para hacer pruebas de penetración (SSL Strip). Como me resultó útil, decidí probar también la aplicación de mensajería para Android. Hasta ahora, no tengo ninguna queja importante. Al instalarlo (al igual que en el caso de WhatsApp), el dispositivo y los datos de usuario se registran en los servidores de OpenWhisperSystems y se vinculan a través de un mensaje de texto enviado al teléfono para corroborar la identidad.
Una vez finalizada la instalación, ya es posible empezar a enviar mensajes. Otra similitud que guarda con WhatsApp es que tanto los SMS como los MMS utilizan los datos móviles en lugar del crédito disponible para mensajes en el plan de telefonía celular. En teoría, si uno se queda sin datos móviles (3G o 4G), puede seguir enviando mensajes mientras disponga de una conexión a Internet. Una ventaja es que se pueden enviar mensajes a personas que no tienen instalada la aplicación, lo que incentiva al usuario a hacer la transición. Además, no limita la funcionalidad sino que la incrementa, puesto que permite agregar otras funciones a las básicas, como el cifrado de punto a punto si la otra persona también utiliza Signal.
El cifrado de extremo a extremo es una combinación de tres algoritmos criptográficos: Curve25519, AES-256 y HMAC-SHA256. Se trata de los mismos algoritmos en los que se basa el cifrado de WhatsApp pero sin el envío de información a Facebook. Algo que merece la pena destacar es que, como Signal es una aplicación de código abierto, se puede acceder a todo el código en GitHub, por lo que podemos ver todos los detalles de la aplicación para asegurarnos de que hace lo que tiene que hacer, no lo que nos dicen que hace.
Por último, la base de datos de Signal no es demasiado útil: si bien es fácil de ingresar, no se puede obtener más que números de teléfono. La información de los mensajes enviados y recibidos es incomprensible porque la base de datos misma está cifrada, así que los números de teléfono constituyen la única información útil que se puede recabar.
Conclusión
Determinar cuál es la mejor aplicación de mensajería es algo que depende de cada usuario. Hay quienes creen que lo importante es la funcionalidad y no la privacidad, y no creen que haya nadie que quiera robar la información ni sacarle algún beneficio. Hay otros —como yo— que creen que la información es un negocio en crecimiento y quieren que no salga de un entorno controlado, es decir, que no cualquiera pueda obtenerla de Internet.
Hay muchos criterios válidos para decidir qué aplicación utilizar, pero no nos engañemos: el robo de información está aumentando, y un dato en mano vale más que cien volando. O que 1 TB volando. Mejor prevenir que curar.
