• 05 de Julio de 2024
  • Se lee en 32 minutos

El mundo es cada vez más digital, y las aplicaciones de mensajería instantánea se han convertido en una parte inherente de nuestra vida cotidiana. Queremos estar en contacto con nuestros amigos, responder a asuntos de trabajo, intercambiar archivos y compartir nuestras historias en el momento, sin importar dónde estemos. Aunque la gran comodidad de los mensajeros es innegable, cada vez más personas se preocupan por su privacidad y han empezado a buscar alternativas más seguras, como las aplicaciones de mensajería cifrada.

La mayoría de los programas de mensajería instantánea son gratuitos, pero ¿lo son realmente? ¿Estamos cambiando nuestros datos personales por la comodidad de la comunicación en tiempo real? Como empresa de desarrollo de aplicaciones móviles y creadora de BAMM, un protocolo de transporte de capa 3 con cifrado de extremo a extremo y enrutamiento cebolla, sabemos lo que hace falta para que la comunicación sea segura.

Permanezca atento para descubrir qué funciones de mensajería pueden exponerle, las mejores opciones de mensajería cifrada y cómo elegir y configurar su mensajero seguro.

Tabla de Contenido

Cómo los mensajeros filtran tus datos

Comprender qué características de los mensajeros te hacen vulnerable a la filtración de datos es el primer paso para proteger tu privacidad en Internet. Estos son los aspectos esenciales que debes tener en cuenta al utilizar un mensajero instantáneo.

Conceder acceso a los contactos

Para empezar a intercambiar mensajes, suele ser esencial conceder a la aplicación permiso para acceder a la lista de contactos: de esta forma, todos los contactos se cargan en los servidores de la app. Este proceso se denomina descubrimiento de contactos móviles, y simplifica el uso de la aplicación. Sin embargo, si los servidores son pirateados, los ciberdelincuentes tendrán acceso a los datos sensibles. Incluso los números de teléfono de personas que no utilizan la aplicación pueden verse afectados, ya que se encuentran en la lista de contactos.

Lo más obvio que puedes hacer para evitar la filtración es no permitir que la aplicación acceda a tus contactos e introducir los números necesarios manualmente. En caso de que esto no sea posible para tu mensajero en particular, considera descargar una aplicación diferente que no requiera acceso a la lista de contactos.

Ignorar la configuración de privacidad

Otro error común de los usuarios novatos es ignorar la configuración de privacidad. La configuración por defecto no es tan respetuosa con la privacidad como se podría pensar. En primer lugar, incluso los mensajeros que ofrecen comunicación cifrada pueden no tener esta función activada por defecto. Así que lo más sensato es investigar un poco sobre la aplicación de tu elección y explorar la configuración para asegurarte de que la encriptación está activada. Algunos mensajeros sólo encriptan los chats entre dos personas, mientras que otros lo hacen también con los chats de grupo.

En segundo lugar, si existe la opción de activar la autenticación de dos factores, asegúrate de hacerlo. Este paso es una capa de seguridad adicional contra actores malintencionados que pueden tener ya algunos datos personales e intentar acceder a tu cuenta.

En tercer lugar, el robo de identidad es más fácil cuando los usuarios proporcionan su información real, como fotos, nombres y apellidos, fecha de nacimiento, etc. Es mejor utilizar un alias y considerar mensajeros que no requieran tu número de teléfono o correo electrónico para el registro.

Si tu mensajero depende de un número de teléfono, asegúrate de desactivar la función Buscar usuario por número de teléfono. En este caso, incluso si tu número de teléfono apareciera en un volcado de datos en la web oscura, el delincuente no podrá encontrar fácilmente tu perfil.

Aquí tienes una lista de comprobación sobre cómo utilizar la mensajería instantánea de forma segura:

Permanecer en el anonimato
  • Utilizar datos ficticios para su perfil
  • Negar el acceso a su geolocalización
  • Utilizar chats secretos o mensajes efímeros para información confidencial
  • Borre el historial de chat con regularidad
Capa de
seguridad
  • Utilice la autenticación de dos factores
  • Activar el bloqueo mediante contraseña
  • Utilizar VPN
  • Asegúrese de que el cifrado está activado
  • Desactive la descarga automática de archivos
Educar a
los demás
  • Asegúrese de que sus contactos y confidentes más frecuentes han implantado los mismos controles de seguridad
  • Antes de hacer clic en el enlace enviado por un amigo, verifique su contenido con él
  • Recuerde que lo que entra en Internet, ahí se queda
Ejercer el menor privilegio
  • Garantizar que sólo los contactos puedan ver tu número de teléfono
  • Garantizar que sólo los contactos puedan ver tu foto de perfil
  • Garantizar que sólo los contactos puedan llamarte y enviarte mensajes
  • Garantizar que sólo los contactos o nadie pueda ver tu marca de tiempo.
  • Garantizar que sólo los contactos puedan añadirte a grupos y canales
Sea
proactivo
  • Lea los cambios en las políticas de seguridad
  • Mantén tu aplicación actualizada
  • Nunca añadas extraños a tu lista de contactos
  • Nunca utilices la aplicación en redes Wi-Fi públicas

Activar la vista previa de enlaces

Las previsualizaciones de enlaces son muy útiles, pero dan a los usuarios una falsa sensación de confianza. Todos somos conscientes de que hacer clic en los enlaces puede infectar tu dispositivo con malware, por lo que las vistas previas de enlaces deben ser una salida: un breve fragmento del contenido del sitio web te permite verificar rápidamente la credibilidad del sitio web antes de seguir ese enlace.

¿Y si te decimos que es posible que tu messenger ya haya abierto ese enlace para mostrarte la vista previa? Todo se reduce a la forma en que se implementa la vista previa del enlace en tu aplicación. Normalmente, la previsualización de enlaces se hace de cualquiera de las dos maneras:

  • La vista previa del enlace la genera el remitente. Este enfoque puede considerarse seguro, ya que el receptor no abre automáticamente el enlace. En caso de que un malhechor envíe un enlace malicioso, el usuario no se verá afectado a menos que decida hacer clic en el enlace.
  • La vista previa del enlace la genera el receptor. Aquí es donde las cosas pueden torcerse. En primer lugar, la aplicación receptora abre automáticamente el enlace para generar la vista previa, por lo que el usuario no tiene control sobre ella. En segundo lugar, para que la aplicación reciba los datos, tiene que revelar la dirección IP del usuario al servidor. Por último, si el enlace enviado conduce a un archivo de gran tamaño, el mensajero pondrá automáticamente a prueba tu batería y consumirá tu plan de datos.
  • La vista previa del enlace la genera el servidor. En este caso, ni el receptor ni el remitente abren el enlace; en su lugar, el enlace se reenvía a un servidor externo, y el servidor envía entonces la vista previa tanto al remitente como al receptor. El problema con este enfoque es que no quieres que un servidor corporativo haga una copia de tus archivos privados y los almacene.

Lo que puedes hacer ahora mismo es comprobar la configuración de tu app y desactivar la previsualización de enlaces si es posible. Otra opción es elegir una app que genere vistas previas en el dispositivo del remitente.

Envío de archivos

Otro peligro potencial es que los servidores de aplicaciones pueden ver y almacenar enlaces a material privado (por ejemplo, documentos subidos a tu cuenta de OneDrive) durante un periodo indeterminado. Mensajeros como Facebook e Instagram cargan archivos en su totalidad aunque su tamaño supere varios gigabytes. Y lo que es peor, si los servidores son pirateados, los ciberdelincuentes pueden acceder a tu información privada.

Algunos mensajeros también pueden ejecutar cualquier JavaScript contenido en el enlace enviado. El problema es que los usuarios no tienen medios para comprobar la seguridad del código JavaScript del sitio y no pueden esperar que los mensajeros instantáneos tengan la misma protección contra exploits que los navegadores modernos.

Para evitar que esto ocurra, investigue para responder a las siguientes preguntas:

  • ¿Los mensajes viajan a un servidor centralizado o se enrutan a través de una red P2P?
  • ¿Se almacenan localmente en el dispositivo o en el servidor?
  • ¿Durante cuánto tiempo se almacenan los datos?
  • ¿Los medios y archivos también están cifrados de extremo a extremo?

Mensajeros inseguros a evitar

Es importante recordar que el éxito comercial de un mensajero no equivale a su seguridad. Sin embargo, miles de millones de personas siguen utilizando mensajeros inseguros sin pensárselo dos veces. ¿Por qué? Pues porque son divertidos, cómodos y cuentan con una tasa de adopción masiva, lo que facilita la comunicación con amigos y personas de otros países sin necesidad de instalar otro mensajero.

Source: Statista

He aquí algunos mensajeros conocidos y de éxito de los que aconsejamos alejarse. Veamos por qué.

Messenger

Messenger

Facebook, que ahora se llama Meta, es tristemente célebre por su negligente actitud hacia la privacidad y la seguridad de los datos de los usuarios. Rastrea cada paso del usuario para mejorar su servicio de entrega de anuncios: los botones que pulsa, los vídeos que ve, los anuncios que visualiza, sus datos biométricos, y la lista continúa. Además, ha sido noticia en varias ocasiones por filtraciones de datos que han dejado expuestos a millones de usuarios.

Los desarrolladores de software y arquitectos Talal Haj Bakry y Tommy Mysk descubrieron que los servidores de Facebook habían estado descargando todos los datos, independientemente del volumen, de cualquier enlace enviado a través de Instagram o Messenger. Actualmente, los servidores no generan previsualizaciones, sino sólo para los usuarios de Europa, mientras que los datos del resto del mundo se siguen descargando.

No obstante, Messenger es utilizado por 1,3 bln de usuarios en todo el mundo, al parecer por su gran base de usuarios, su aspecto moderno y sus geniales funciones, como los chats de vídeo en grupo o los divertidos efectos AR. Desde el punto de vista de la seguridad, Messenger no es recomendable por las siguientes razones:

  • El cifrado de extremo a extremo no está activado por defecto
  • Requiere correo electrónico o número de teléfono para registrarse
  • El modelo de negocio se basa en la recopilación de datos de los usuarios
  • Los metadatos de los usuarios no están cifrados
  • La empresa puede acceder a los medios ofensivos denunciados
  • Los informes de auditoría de seguridad no se divulgan
  • Fuente cerrada

WhatsApp

WhatsApp logo, icon

WhatsApp es el servicio de mensajería móvil más popular del mundo: en octubre de 2021 contaba con 2.000 millones de usuarios activos mensuales. La aplicación se posiciona como un servicio de mensajería muy seguro y fiable gracias al cifrado de extremo a extremo activado por defecto. Otras funciones de seguridad que ofrece son la desaparición de archivos multimedia, la autenticación de dos factores, los bloqueos de pantalla y opciones estándar para mejorar la privacidad, como ocultar el estado de actividad o la foto de perfil.

Al mismo tiempo, WhatsApp es propiedad de Facebook desde 2014, y en 2021 fue multada con 225 millones de euros por el Comisionado de Protección de Datos de Irlanda por violaciones del GDPR. Los cambios de 2021 en su política de privacidad abrieron los ojos a muchos usuarios de WhatsApp sobre cómo se manejan sus datos. No dispuestos a compartir aún más datos con Facebook, miles de usuarios se pasaron a Signal y Telegram. Las tasas de abandono de WhatsApp se dispararon aún más después de un tuit sucinto pero muy persuasivo:

En 2019, WhatsApp estuvo en todas las noticias por su vulnerabilidad de día cero explotada por el spyware Pegasus de NSO Group, infectando a unos 1400 usuarios de WhatsApp. Todos estos sucesos generan dudas sobre la seguridad de la app y la privacidad de los usuarios. En resumen, estas son las razones por las que clasificamos WhatsApp como un mensajero inseguro:

  • Comparte los datos de los usuarios con Facebook
  • Requiere número de teléfono para registrarse
  • Los archivos multimedia visibles una sola vez no están protegidos contra capturas o grabaciones de pantalla.
  • Los archivos multimedia cifrados View-once se almacenan en los servidores de WhatsApp durante unas semanas y no se eliminan instantáneamente
  • Los metadatos del usuario no están cifrados
  • La empresa puede acceder a los contenidos ofensivos denunciados
  • Fuente cerrada

Telegram

Telegramm logo, icon

Telegram sigue aumentando su popularidad, ocupando el quinto puesto mundial y el segundo en Rusia, el país natal de su fundador, Pavel Durov. El equipo no ha dejado de ofrecer funciones pioneras y reacciona al instante a las cambiantes demandas de los usuarios. Se pueden mover historiales de chat de otras aplicaciones, disfrutar de una amplia lista de emojis animados, permanecer en el anonimato como administrador de grupo, organizar charlas en directo para millones de oyentes, formatear texto como spoiler, entre otras muchas funciones útiles.

En términos de seguridad, Telegram permite crear chats secretos específicos para cada dispositivo con cifrado de extremo a extremo y mensajes que se autodestruyen, ofrece verificación en dos pasos, bloqueos de pantalla y múltiples configuraciones de privacidad.

Al mismo tiempo, la funcionalidad de descubrimiento de contactos de Telegram la hace vulnerable a ataques de rastreo. Investigadores de Alemania descubrieron que Telegram transfiere toda la lista de contactos del usuario a sus servidores. Con recursos limitados y herramientas bastante sencillas, consiguieron recopilar los números de teléfono de los usuarios de Telegram y los números de aquellos que ni siquiera utilizan la aplicación: sólo estaban en las listas de contactos de los usuarios registrados.

Otro punto débil es que el contenido de los chats estándar y de grupo se almacena en la nube. Esto es cómodo para los usuarios, ya que pueden acceder a esos chats desde cualquier dispositivo, pero al mismo tiempo pone en riesgo los datos. Además, en Internet se pueden encontrar tutoriales sobre cómo extraer datos de grupos y canales, que pueden ayudar a los administradores a recopilar información relevante, pero al mismo tiempo pueden ser utilizados por hackers. Aquí es donde Telegram se queda corto en cuanto a seguridad:

  • El cifrado no está activado por defecto
  • Requiere número de teléfono para registrarse
  • Los datos del chat se almacenan en los servidores de Telegram
  • Depende de criptografía a medida criticada por expertos en seguridad
  • Los chats de grupo no están cifrados de extremo a extremo, a pesar de que el 51% de los usuarios de Telegram confían en los chats de grupo
  • No es totalmente de código abierto

Viber

Viber logo

Viber no está entre los 5 mensajeros más populares del mundo, pero tiene un alto índice de penetración en Ucrania, Grecia, Bulgaria y Rusia. La aplicación ofrece una amplia selección de funciones para la comunicación instantánea: mensajes de texto, voz y vídeo, chats y llamadas de grupo, llamadas de voz y vídeo, pegatinas y GIF, intercambio de archivos, grupos públicos, pantalla compartida (desde el escritorio durante las videollamadas). La cuenta puede utilizarse en múltiples dispositivos, y las plataformas compatibles incluyen Android, iOS, Windows, macOS y Linux.

Las características de seguridad de los datos incluyen cifrado de extremo a extremo por defecto, mensajes que se autodestruyen, chats ocultos (acceso con un PIN), chats con número oculto y notificaciones de capturas de pantalla para mensajes que desaparecen.

Aunque Viber afirma que no puede leer el contenido de tus mensajes, recopila todo tipo de datos del usuario: nombre, correo electrónico, número de teléfono, fecha de nacimiento, perfiles en redes sociales, libreta de direcciones, estado de la conexión, duración de las llamadas, quién te ha enviado mensajes o te ha llamado, cuánto tiempo pasas en Viber, el identificador único de tu dispositivo, dirección IP, datos de localización WPS, etc. Según su política de privacidad, Viber también puede combinar todos estos datos con información de registros externos, aparentemente para crear avatares de consumidores muy detallados y ofrecerte anuncios muy personalizados.

  • Recoge toneladas de datos de los usuarios: todo lo que introducen voluntariamente
  • Comparte los datos del usuario con terceros
  • Configuración de privacidad por defecto poco amigable
  • Requiere un número de teléfono para registrarse
  • Conserva algunos datos personales incluso después de desactivar la cuenta
  • No menciona una auditoría de seguridad independiente
  • Fuente cerrada

Wickr

Wickr Me

Wickr Me es una aplicación de mensajería dirigida principalmente a organismos gubernamentales, estructuras militares y grandes empresas. Wickr Me también ofrece un plan gratuito con funciones limitadas para usuarios individuales.

A primera vista, la aplicación está repleta de funciones de seguridad: cifrado de extremo a extremo, mensajes efímeros, previsualización segura de enlaces, detección de capturas de pantalla, autenticación multifactor. Otra ventaja es que puedes crear una cuenta Wickr sin necesidad de facilitar tu número de teléfono o tu correo electrónico. Además, el equipo de Wickr proporciona un informe de transparencia y ofrece una suculenta recompensa a los cazadores de bugs que consigan encontrar un fallo de seguridad en su sistema: hasta 100.000 dólares.

Todo en Wickr Me habla de seguridad; sin embargo, hay un hecho que nos hace dudar a la hora de incluirla entre las mejores aplicaciones de mensajería encriptada: las personas que están detrás de la empresa. Originalmente desarrollada por expertos en seguridad y defensores de la privacidad, Wickr Me recibió financiación de múltiples inversores, entre ellos la Agencia Central de Inteligencia. La empresa también prestó servicios a la Oficina de Aduanas y Protección de Fronteras de Estados Unidos.

En 2021 Wickr fue adquirida por Amazon, una afiliación más que incita a los usuarios particulares a reconsiderar su actitud hacia Wickr como el mensajero que da prioridad a la privacidad.

Wickr Me tiene las siguientes carencias:

  • Financiado por la CIA y propiedad de Amazon
  • No se publican las auditorías de seguridad recientes
  • No hay autenticación de dos factores en un plan gratuito
  • Código cerrado; sólo el protocolo criptográfico es de código abierto

Las mejores aplicaciones de mensajería encriptada

Como se puede ver en los ejemplos anteriores, el cifrado por sí solo ya no es una característica de valor añadido, sino más bien un elemento imprescindible. Hoy en día, las aplicaciones de mensajería cifrada tienen que dar un paso más y ofrecer a los usuarios más opciones para proteger su identidad. Veamos algunas alternativas decentes a las aplicaciones de mensajería más populares.

Session


session logo

Session es una aplicación de mensajería cifrada de extremo a extremo desarrollada por Oxen Privacy Tech Foundation, una organización sin ánimo de lucro que apoya el desarrollo de software libre y de código abierto para la comunicación segura en línea.

La comunidad de Session cuenta con más de 300.000 usuarios, y eso sin tener en cuenta las instalaciones de escritorio, F-droid o APK. Así que el número total de usuarios puede ser significativamente mayor. En términos de funcionalidad, la aplicación ofrece chats uno a uno, chats de grupo, llamadas de voz y vídeo y transferencia de archivos. El equipo de Oxen también planea lanzar Session Pro con un montón de características de lujo, como el almacenamiento cifrado de copia de seguridad de la cuenta, opciones de autoalojamiento, registro multicuenta, emojis personalizados y conjuntos de pegatinas, entre otros.

Plataformas: iOS, Android, F-Droid, Windows, macOS, Linux

Precios: gratuito

Ventajas
CONTRAS
  • Encriptación de extremo a extremo para chats individuales y de grupo
  • No se requiere número de teléfono ni correo electrónico para registrarse
  • La recopilación de metadatos es mínima
  • Posibilidad de eliminar los metadatos antes de enviar los archivos.
  • Enrutamiento cebolla
  • Secreto hacia delante (las sesiones anteriores están a salvo si se compromete una clave de cifrado a largo plazo)
  • Secreto futuro (en caso de que la clave se vea comprometida, el hacker pierde el acceso a las sesiones futuras tras unas cuantas rondas de comunicación)
  • PIN para cifrar la base de datos local de sesiones
  • Arquitectura descentralizada
  • La auditoría de seguridad se hace pública
  • Código abierto
  • Aún no se realizan copias de seguridad
  • La frase de recuperación de la identidad debe almacenarse de forma segura

Briar


Briar

Briar es un mensajero de código abierto desarrollado por un equipo de desarrolladores experimentados, consultores de seguridad y activistas por la libertad de expresión. Briar es una herramienta de comunicación imprescindible para periodistas, activistas de derechos humanos y cualquier persona cuyo trabajo requiera un alto nivel de anonimato. Más de 100.000 personas utilizan actualmente la aplicación Briar para Android, y creemos que su adopción seguirá aumentando.

Briar ofrece varias capas de protección contra la vigilancia y la censura. Por ejemplo, para garantizar que los adversarios no puedan interceptar los metadatos del usuario, Briar utiliza la red Tor. Todos los mensajes y listas de contactos se cifran de extremo a extremo y se almacenan en el dispositivo del usuario. Otra función que salva vidas de Briar es la posibilidad de utilizar la aplicación incluso durante cortes de Internet, ya que funciona a través de Bluetooth.

Plataformas: Android, F-Droid

Precios: gratis

Ventajas
CONTRAS
  • Cifrado de extremo a extremo para mensajes y lista de contactos
  • No requiere número de teléfono ni correo electrónico
  • Los metadatos se ocultan a través de la red Tor
  • Arquitectura totalmente descentralizada
  • Secreto hacia adelante (las sesiones pasadas son seguras si se compromete una clave de cifrado a largo plazo)
  • Secreto futuro (en caso de que la clave se vea comprometida, el hacker pierde el acceso a las sesiones futuras tras unas pocas rondas de comunicación)
  • El contenido se almacena localmente en el dispositivo del usuario
  • Verificación del contacto mediante un código QR
  • Bloqueo de pantalla
  • La auditoría de seguridad es pública
  • Código abierto
  • No hay opción de recuperar la cuenta en caso de pérdida de la contraseña o desinstalación de la aplicación
  • Sin llamadas de voz ni intercambio de archivos

Threema


Threema

Threema es una startup con sede en Suiza fundada en 2012 por tres desarrolladores de software preocupados por la privacidad de sus datos y la vigilancia masiva. En 2020, la aplicación fue utilizada por más de 8 millones de usuarios, y sus tasas de adopción siguen aumentando. El modelo de negocio de Threema no depende de los datos de los usuarios; por lo tanto, no es gratuito. Threema también ofrece soluciones SaaS y autoalojadas para pequeñas y grandes empresas.

Threema proporciona todas las funciones esenciales para una aplicación de mensajería: mensajes de texto y voz, chats de grupo, llamadas de voz y vídeo, encuestas, bots, menciones, cita de mensajes.

Plataformas: iOS, Android, Windows, macOS, Linux

Precio: $3.99, pago único

Ventajas
CONTRAS
  • Cifrado de extremo a extremo para mensajes, llamadas, medios y archivos
  • El número de teléfono o el correo electrónico son opcionales
  • Sincronización de contactos opcional
  • Conformidad con GDPR
  • La recopilación de metadatos es mínima
  • Sin servicios de alojamiento o en la nube de terceros
  • Los mensajes se eliminan permanentemente del servidor en el momento de la entrega
  • Verificación de contactos
  • Auditorías de seguridad periódicas
  • Código abierto
  • Base de usuarios reducida
  • No totalmente descentralizado
  • Expone la dirección IP del usuario al operador

Signal


Signal

Signal está desarrollada por la fundación sin ánimo de lucro Signal Development Foundation y Signal Messenger LLC. Las personas que están detrás de estas organizaciones son Moxie Marlinspike, criptógrafa, investigadora de seguridad y antigua jefa del equipo de seguridad de Twitter, y Brian Acton, cofundador de WhatsApp que dejó WhatsApp tras su adquisición por Facebook. Signal se basa en donaciones y promete una experiencia de usuario sin publicidad y respetuosa con la privacidad.

El protocolo de cifrado de Signal se ha convertido desde hace tiempo en el estándar del sector, ya que también lo toman prestado otros mensajeros como WhatsApp, Facebook Messenger y Skype. En mayo de 2021, 105 millones de personas habían descargado la aplicación Signal.

Con Signal, uno puede intercambiar mensajes de texto y de voz, fotos, gifs, pegatinas, vídeos y archivos; hacer llamadas de voz y de vídeo; comunicarse en chats de grupo e invitar a otros a unirse. La aplicación también admite muchas funciones populares, como pines de chat, reenvío de mensajes y reacciones a mensajes.

Plataformas: iOS, Android, Windows, macOS, Linux

Precios: gratis

Ventajas
CONTRAS
  • Cifrado de extremo a extremo para mensajes, llamadas y perfiles de usuario
  • El modelo de negocio no se basa en la monetización de los datos de los usuarios
  • La previsualización de enlaces es opcional
  • La detección de contactos puede desactivarse
  • Desaparición de mensajes
  • Visualización única de medios
  • Bloqueo de pantalla
  • Pantalla de privacidad que oculta los mensajes en el conmutador de aplicaciones
  • Bloqueo de registro (PIN de señal)
  • Código abierto
  • Requiere un número de teléfono para registrarse
  • Arquitectura centralizada
  • Expone la dirección IP del usuario al operador
  • Sin auditorías de seguridad recientes

Wire



Wire fue desarrollado por algunos de los antiguos fundadores de Skype centrándose en la protección de los usuarios frente a los ciberataques. Desde 2017, el equipo de Wire ha puesto énfasis en los clientes B2B y B2G, desarrollando funciones principalmente para este público.

Sin embargo, Wire todavía se puede considerar para uso personal, ya que proporciona la funcionalidad de comunicación estándar de forma gratuita: mensajes de texto, voz y video, chats grupales, llamadas de voz y video, pantalla compartida, acceso de invitados y uso compartido de archivos.

La base de usuarios de Wire es bastante pequeña, con unos 500.000 usuarios en 2021.

Plataformas: iOS, Android, Windows, macOS, Linux

Precios:

  • Gratis para uso personal / equipos pequeños
  • Desde 7,65 $ para empresas, por usuario al mes
Ventajas
CONTRAS
  • Cifrado de extremo a extremo para mensajes, llamadas, medios y archivos
  • Los datos de los usuarios no se utilizan para publicidad de terceros
  • Puede autoalojarse
  • Autoborrado de mensajes
  • Cumple con GDPR / CCPA
  • Proporciona un informe de transparencia
  • Auditorías de seguridad periódicas
  • Código abierto
  • Requiere número de teléfono o correo electrónico para registrarse
  • Arquitectura centralizada
  • Falta la autenticación de dos factores
  • Base de usuarios reducida

Comparación de otros mensajeros cifrados

Los mensajeros mencionados no son las únicas aplicaciones de comunicación instantánea que ofrecen cifrado. Aunque no podemos analizar todas las soluciones del mercado, hemos comparado otros mensajeros de código abierto y cerrado para que tengas una selección más completa de alternativas.

Mensajero Mensajes autodestruibles No requiere número de teléfono ni correo electrónico Descentralizado Sin anuncios Funciona sin conexión Plataformas Se instala en
Sylo iOS
Android		 100K+
Jami iOS
Android
F-Droid
macOS
Windows
Linux		 100K+
Status iOS
Android
F-Droid		 1 mln+
iOS
Android
F-Droid
macOS
Windows
Linux		 500K+
iOS
Android
macOS
Windows		 1 mln+
iOS
Android		 500K+

Cómo elegir Secure Messenger

El mercado de la mensajería instantánea basada en la seguridad se está desarrollando rápidamente, con aplicaciones que compiten ferozmente por una amplia adopción por parte de los usuarios. Es fácil sentirse abrumado ante una oferta tan abundante y tomar una decisión equivocada, sobre todo para los usuarios no técnicos que miden la fiabilidad de la aplicación simplemente por su popularidad.

Dejando a un lado todo el galimatías del marketing, he aquí lo esencial que hay que tener en cuenta a la hora de elegir un mensajero seguro.

¿A quién pertenece la empresa?

¿Confías en la empresa que está detrás de la aplicación de mensajería que has elegido? ¿Ha comprometido dicha empresa su fiabilidad en el pasado? ¿Es una organización comercial o sin ánimo de lucro?

Cuando se trata de la privacidad de los datos, las soluciones de código abierto tienen ventaja sobre las aplicaciones propietarias de código cerrado. La razón es evidente: las empresas comerciales dependen en gran medida de los datos de los usuarios para mejorar sus servicios, por lo que tienen motivos claros para recopilar y almacenar cantidades ingentes de datos. Por el contrario, los proyectos de código abierto se guían por la pasión de la comunidad de desarrolladores. Son revisados por miles de colaboradores, incluidos investigadores y consultores de seguridad, lo que hace que sus conceptos sean más transparentes y auténticos para su misión.

¿Qué datos se recogen?

Otro aspecto que hay que investigar es qué datos recopila la aplicación, dónde se almacenan y con qué facilidad se pueden recuperar o eliminar. Normalmente, esta información se facilita en la sección de preguntas frecuentes o en la política de privacidad de la aplicación.

Por ejemplo, si echamos un vistazo a la política de privacidad de Viber, veremos que la aplicación recopila una gran cantidad de datos, empezando por la libreta de direcciones, la información de actividad, los perfiles de redes sociales (si se utilizaron para registrarse) y terminando con las cookies y las tecnologías de seguimiento compartidas con socios publicitarios.

¿Dónde se almacenan los datos?

El lugar donde la aplicación almacena tus datos dice mucho de su actitud real hacia la seguridad y la privacidad del usuario. La mayoría de los mensajeros comerciales almacenan los datos del usuario en sus servicios, es decir, de forma centralizada. Esta última no es la mejor opción desde el punto de vista de la seguridad, ya que los servidores pueden ser potencialmente pirateados, y todo el poder de decisión lo acumula una única autoridad: la corporación que ha desarrollado o adquirido la app.

Los sistemas descentralizados, por el contrario, dirigen los datos a través de una serie de nodos aleatorios de la red. Este enfoque garantiza un mayor anonimato a los usuarios y dificulta el acceso de los piratas informáticos a la red. Incluso si un nodo se ve comprometido, la brecha sólo afectará a una pequeña fracción de los usuarios, mientras que la brecha de un servidor centralizado puede dejar expuestas a millones de personas.

Por ejemplo, los mensajeros P2P como Briar no dependen de la nube y almacenan todos los mensajes en el dispositivo del usuario. La posibilidad de autoalojar la aplicación también debe considerarse una ventaja, ya que el usuario decide dónde y cómo almacenar sus datos.

¿Cuándo se realizó la última auditoría de seguridad?

Las evaluaciones periódicas de seguridad son la columna vertebral de las empresas tecnológicas que dan prioridad a la seguridad y al cumplimiento de la normativa sobre datos. Sin embargo, es importante que las revisiones del código y las auditorías de seguridad sean independientes y totalmente imparciales.

Por ejemplo, CoyIM, un cliente de chat de escritorio, es abierto sobre el hecho de que no se ha sometido a una auditoría de seguridad exhaustiva; sólo la biblioteca que garantiza el cifrado de extremo a extremo fue auditada en 2020 por Radically Open Security. Si tienes problemas para encontrar información sobre la última evaluación de seguridad de la aplicación, es una señal de alarma.

Ventajas y desventajas de Secure Messenger

Cambiar a un mensajero más seguro es una decisión acertada para cualquiera que se preocupe por la integridad de sus datos y su privacidad en Internet. Al mismo tiempo, los mensajeros que proporcionan un nivel tangible de protección y anonimato tienden a ofrecer una funcionalidad limitada, sacrificando la facilidad de uso, la diversión y la comodidad general por una mayor seguridad. Esta es probablemente una de las principales razones por las que los mensajeros realmente seguros son menos populares que los inseguros.

Tras analizar la funcionalidad de las mejores aplicaciones de mensajería encriptada, hemos destacado varias ventajas y desventajas que pueden influir en tu decisión. Este es el precio que pagas por mantener tus datos en secreto:

El molesto restablecimiento de contraseñas y la recuperación de cuentas. Las aplicaciones como Jami no requieren tu número de teléfono o correo electrónico para el registro. Es más, todos los datos se almacenan en el dispositivo del usuario, no en un servidor, lo que significa que mientras tu hardware no se vea comprometido, estás súper seguro. Suena genial hasta que te das cuenta de que has olvidado tu contraseña – la recuperación es imposible en este caso. ¿Por qué? Porque una cuenta Jami es un simple archivo con claves criptográficas almacenadas localmente en tu dispositivo. Si borraste prematuramente tu cuenta y no la has instalado en otros dispositivos o creado copias de seguridad, tu cuenta habrá desaparecido. Y no se trata sólo de Jami; aplicaciones como Surespot y Briar también advierten de la imposibilidad de recuperar una contraseña.

Falta de herramientas gráficas. Seamos sinceros. Todos nos encariñamos fácilmente con divertidos emojis, gifs y pegatinas que nos ayudan a transmitir mejor nuestras emociones por escrito. A primera vista, la ausencia de estas herramientas empeora significativamente la experiencia del chat. Sin embargo, las bibliotecas de procesamiento de imágenes pueden contener errores y vulnerabilidades que los actores maliciosos pueden explotar en el futuro. Por ello, los clientes de chat como CoyIM optan por reducir al mínimo las representaciones gráficas. Threema parece compartir la misma opinión, ya que no ofrece integraciones con plataformas de gifs.

Onboarding más largo. Las aplicaciones que no requieren un número de teléfono o un correo electrónico para registrarse tienen que hacer las cosas de forma diferente. Por ejemplo, en lugar de la consabida búsqueda por número, los usuarios pueden tener que intercambiar enlaces especiales o conocerse en persona y escanear los códigos QR del otro para proceder a chatear. Así que el descubrimiento de contactos y la verificación del usuario requieren un par de pasos más y, probablemente, echar un vistazo al manual del usuario antes de entablar conversaciones confidenciales.

Sin duda, la seguridad impone limitaciones a la funcionalidad de los mensajeros. Actualmente, ningún producto puede garantizar al 100% el anonimato y la seguridad de los datos. Cada persona debe decidir por sí misma qué es más importante para ella: la máxima comodidad o una mayor privacidad.

También hay que tener en cuenta que todo depende de los casos de uso. Si para ti un mensajero es una herramienta para conversaciones informales, no relacionadas con el trabajo, e intercambios de memes con amigos, o quizás sólo un almacén para tus listas de la compra, entonces no hay mucho de qué preocuparse. Sí, las empresas utilizarán tus metadatos para mejorar sus servicios, con suerte, de una forma no directamente atribuible a ti. Las cosas son radicalmente distintas para los periodistas, activistas sociales, políticos, empresarios y otras figuras influyentes cuyas identidades son de especial interés para las agencias de vigilancia y los estafadores.

Reflexiones finales

En el mundo de la mensajería instantánea no hay soluciones en blanco y negro. Cada producto tiene sus ventajas y sus inconvenientes, e incluso las aplicaciones que van más allá del cifrado y ofrecen varias capas de seguridad no pueden garantizar una protección de los datos del 100%. La fuga de datos es inevitable si el dispositivo del usuario se ve comprometido por un programa espía. Recuerde que el cifrado no es una panacea, ya que los hackers pueden acceder a las claves de cifrado y descifrar así los datos. En primer lugar, tiene sentido revisar nuestro comportamiento en línea, nuestros hábitos y nuestra actitud hacia la privacidad para comunicarnos de forma segura y disminuir las posibilidades de exponernos. Lee la política de privacidad de tu mensajero, cambia la configuración de privacidad por defecto y piénsatelo dos veces antes de enviar información sensible a través de un mensajero.