Telegram no cifra sus mensajes por defecto y no tiene grupos cifrados; Signal requiere tener un teléfono con Google/Big brother/Skynet instalado; y Whatsapp, aunque recientemente ha habilitado el cifrado y tiene grupos seguros por defecto, tiene un pobre soporte para gifs, no tiene stickers y demás monerías básicas para los chats actuales.
¿Qué se tiene que hacer para tener chats de grupos seguros, prácticos y divertidos que además sean de código abierto y amigables con GNU/Linux?
El panorama actual
Déjenme dar un poco de contexto: antes de 2013 sólo unos pocos «paranoicos» creíamos que era importante cifrar todas nuestras comunicaciones; después de ese año, Edward Snowden nos mostró bastantes razones contundentes de por qué deberíamos cifrar nuestras comunicaciones todo el tiempo, por lo que algunas aplicaciones se empezaron a tomar más en serio la seguridad que antes, aunque no de la manera que a los cypherpunks o criptopunks nos hubiera gustado.
Telegram, código abierto con servidores centralizados.
Hace relativamente poco la mejor solución parecía ser Telegram, una aplicación de código abierto con la desventaja de que los servidores están centralizados y en poder de los hermanos Durov en Berlín (dueños rusos en territorio alemán, ¡la pesadilla estadounidense!). Sin embargo, es necesario confiar en que estas personas no van a espíar las conversaciones y que no van a vender el acceso a estos datos a cualquier corporación o gobierno, y por más que nos juren con la mano sobre cualquier libro sagrado, no hay certezas absolutamente confiables que nos den entera tranquilidad.
Como el cifrado por grupos es técnicamente muy complejo y produce desventajas prácticas, si usamos Telegram tendremos que dejar sin cifrar esas conversaciones.
Whatsapp, conversaciones cifradas con código cerrado.
Whatsapp ha empezado al revés: comenzó operaciones antes de las revelaciones de Snowden por lo que no se preocupaba para nada de la seguridad. Antes de 2012 ni siquiera mandaba datos por conexiones seguras, por lo que cualquier ataque básico tipo man in the middle se hacía con las conversaciones.
Actualmente ha trabajado con Whisper Systems, para implementar un protocolo que cifre por defecto cualquier conversación, incluso las de grupos, aunque esto le quita practicidad pues los clientes de escritorio dependen por fuerza de la conexión con el teléfono, lo que hace lento, tedioso y poco práctico el uso de Whatsapp en la computadora.
Otro problema es que, por mucho que Whatsapp diga que las conversaciones están cifradas de punto a punto, el software es de código cerrado y el dueño de ese código es Facebook, por lo que no se necesita ser demasiado paranoico para saber que algo no está del todo bien ahí. Puedo llegar a confiar en Moxie Marlinspike, pero no en Facebook.¹
Signal, de los más seguros pero posiblemente con google como observador.
Hablando de Moxie, él es la cabeza detrás de Whysper Systems y es quien salió con la idea de una aplicación que cifrara mensajes personales y en grupo, además de cifrar SMS y llamadas a través de las operadoras de celular (por si no lo sabías, las operadoras pueden ver y escuchar cualquier información a través de su red celular); esta aplicación se llama Signal.
Una de las grandes ventajas de Signal es que no sincroniza nada con sus servidores, por lo que ni siquiera nuestra agenda se ve comprometida (caso contrario a lo que pasa con Whatsapp). Esto hace que, en caso de que Whysper System se vea comprometido o que el gobierno de EU les demande datos resguardados (lo cual ya pasó en una ocasión), en realidad no hay nada qué entregar porque ellos no llevan registro de nada.
La contraparte de esta gran app (alabada por Snowden, incluso) es que utiliza Firebase Cloud Messaging (antes Google Cloud Message) que, como supones, depende de Google. Aunque digan que en este caso Google sólo entrega y recibe los datos y no puede leerlos (lo que no exime que tengan un registro de quién habla con quién), pasar mis conversaciones por los servidores de Alphabet es algo innecesario y riesgoso desde mi punto de vista, sin contar con que, aunque creyéramos que los datos están seguros, implica tener un teléfono con Google metido hasta las entrañas, lo que conlleva todo otro mundo de implicaciones (lo mismo si tenemos un iPhone que evite usar FCM).
A alguien se le ocurrió la maravillosa idea de hacer un fork de Signal sin usar FCM (LibreSignal), pero fue abandonado después de que Moxie expusiera sus razones detrás del uso de FCM, lo que nos deja de nuevo donde empezamos: ¿qué aplicación utilizar para tener grupos grandes, seguros, prácticos y divertidos?
¿Por qué es tan complicado tener grupos cifrados por defecto?
Una de las razones es que, para que un grupo sea práctico, es necesario que sea asincrónico (si no, no habría cómo ver los mensajes anteriores ni cómo poder «entrar y salir» del grupo sin perder acceso a los datos), pero eso hace mucho más complejo el proceso de cifrado.
De igual manera el cifrado tiene que ser punto a punto, por lo que si iniciamos el chat seguro en nuestro celular, por ejemplo, no podemos ver los mensajes en la PC después, lo que robaría practicidad a un grupo con miembros muy activos.
En el mejor de los casos, Whatsapp y Signal (que usan el mismo protocolo) utilizan las aplicaciones de la PC como espejos, no como clientes independientes, lo que evita este problema pero hace que el uso en PC dependa totalmente del celular (algo menos práctico).
Aplicaciones con perspectiva laboral
Desde otro punto de vista, también están las aplicaciones pensadas para grupos de trabajo como Slack, aunque es de uso comercial, de cliente cerrado y todo lo que eso implica.
Existen alternativas libres y descentralizadas como Rocket, Mattermost o Riot, pero dependen de que alguien en el grupo aloje la aplicación en un servidor privado (lo que implica que todo el grupo tiene que confiar en él) o pagar por utilizar los servidores de los desarrolladores de la aplicación (lo que implica confiar en ellos); además de que estas aplicaciones, en general, como están enfocadas en el ambiente laboral, carecen de utilidades simplemente por diversión (como gifs o stickers).
La visión general sobre las app de mensajería para grupos
Actualmente las aplicaciones siguen evolucionando y cambiando prácticas en pos de una seguridad más concisa y completa, pero la complejidad inherente en estos procesos (sumado a los intereses comerciales en algunas aplicaciones) hace que la carrera por la aplicación segura definitiva no sea fácil.
La lista de la Electronic Frontier Foundation respecto de qué aplicaciones son las más seguras se encuentra desactualizada y está en espera de una nueva versión, además de que casi todos los días nuevas aplicaciones hacen aparición y gala de ser las mejores entre la miríada de opciones.
Una aplicación nueva que vale la pena resaltar es Allo de Google, y digo que es resaltable porque originalmente había dicho que cifraría todas las comunicaciones por defecto, pero el día de su presentación dijo que siempre no, que daría la opción de iniciar un chat seguro pero no de manera automática (lo que incluso le valió una mención de Snowden). Esto es entendible, pues el negocio de Alphabet son nuestros datos, por lo que una aplicación que no genere riqueza para ellos es una aplicación desperdiciada (mismo caso con Whatsapp y Facebook).
Parece que tendremos que esperar todavía más por una aplicación confiable y práctica, pues actualmente todas las aplicaciones tienen fallas en cuanto a practicidad o seguridad. Parecería que hasta hoy no hemos podido deslindarnos de la fórmula matemática de dicta que «la seguridad es indirectamente proporcional a practicidad» e, incluso aunque logremos superar esa barrera, todavía tenemos que lidiar con la omnipresente resistencia del público no especialisado en adoptar nuevas tecnologías y protocolos aunque se demuestre un absoluto mejoramiento general (el caso de Tox y Ring, por mencionar dos ejemplos recientes e interesantes).
Para bien y para mal, lo que el usuario común utiliza es siempre lo más práctico (condicionado casi siempre por intereses comerciales), no lo mejor en sentido técnico. Los más resitentes a esta tendencia contamos con el resiliente protocolo XMPP acompañado del plugin OTR que, como era de suponerse, todavía está a la espera de poder implementar grupos que cuenten con cifrado seguro.
Muy buen post! La verdad que yo utilizo muchas de ellas. Whatsapp «porque no me queda más remedio». Bueno, claro que tengo elección, pero como no quiero renunciar a estar comunicado con amigos y conocidos que únicamente utilizan esta app pues la tengo instalada. Telegram principalmente por algunos grupos de proyectos de Software Libre y por los bots. Signal para hablar con unos pocos amigos «frikis» (los mismos que utilizan GPG para cifrar sus correos jeje). Slack para un grupo de una empresa y Riot lo utilizo desde hace un par de semanas para conectarme a los IRC de Freenode y a los grupos de Chakra Linux.
PD: suerte en el concurso de blogs!
Se les olvida mencionar que los mensajes salientes de WatsApp son cifrados, pero no cuando son guardados en el telefono, por lo que poner el telefono en recovery mode, y conectarlo a la computadora es lo unico que hace falta para sacar todas esas conversaciones supuestamente cifradas… Aun asi la mejor aplicacion es la que nos es util y en definitiva aqui en mexico el 95% de los telefonos tienen watsapp lo que hace casi imposible educar a los usuarios a cambiar o usar otra app
Saludos
y se le olvidó poner wire… también open source y multiplataforma
Muy buen analisis