January 9, 2017

Por qué he pedido a mis amigos que dejen de usar WhatsApp y Telegram

Original blog post in English.

Translation by Pedro Paredes.

Una comparación de las capacidades de privacidad de las distintas aplicaciones de mensajería

---

Esta mañana le he pedido a mis amigos que dejen de usar WhatsApp y Telegram y les he enviado una invitación para que se pasen a la aplicación de mensajería Signal.

Este es el porqué.

Protocolos de cifrado: el protocolo Signal vs MTProto de Telegram

Es posible que no te hayas dado cuenta, pero es muy probable que ya estés usando el protocolo Signal —junto a más de mil millones de personas todos los días.

El protocolo Signal es usado por WhatsApp, Facebook Messenger, Google Allo y la propia aplicación de mensajería Signal.

Pero ¿qué es el protocolo Signal?

El Protocolo Signal es un protocolo criptográfico no federado que proporciona cifrado de extremo a extremo para las conversaciones de mensajería instantánea. — Wikipedia

El cifrado de extremo a extremo asegura que tus mensajes sean secretos desde el momento en que se envían hasta que el receptor los decodifica.

Eso es lo que WhatsApp comenzó a usar hace unos meses cuando empezaron a mostrar este mensaje en tus conversaciones:

WhatsApp encryption announcement message

El protocolo Signal fue creado por Open Whisper System, un grupo sin fines lucrativos que fue fundado en 2013 por el exjefe de seguridad de Twitter, Moxie Marlinspike, después de que la plataforma de mensajería de 140 caracteres adquiriera la primera compañía de mensajería segura de Open Whisper.

Open Whisper System se centra en el desarrollo del protocolo Signal y mantiene a su vez una aplicación de mensajería llamada Signal. La organización es financiada a través de una combinación de donaciones y subvenciones.

En octubre de 2016, el protocolo Signal fue revisado por un equipo internacional de investigadores en seguridad y obtuvo brillantes críticas¹.

Leyendo lo anterior, podrías pensar que estás a salvo puesto que WhatsApp, Facebook Messenger, y Google Allo también usan el protocolo Signal.

Pues no, no lo estás.

Facebook Messenger y Google Allo no tienen activado el cifrado extremo a extremo por defecto. Los usuarios de Facebook Messenger tienen que activar las «Conversaciones secretas» y los usuarios de Google Allo tienen que activar el Modo incógnito.

Telegram, la aplicación de 100 millones de usuarios creada por Pavel Durov, fundador de la red social VK, utiliza su propio protocolo de cifrado: MTProto. Telegram fue objeto de una gran cantidad de controversias sobre su protocolo de cifrado. Después, en 2015, un investigador de seguridad publicó un documento revelando teóricas vulnerabilidades importantes* en MTProto y llegó a la conclusión de que Telegram no debería haber intentado usar su propio cifrado.

Así que esto nos deja entre WhatsApp y Signal, las únicas dos aplicaciones que usan el protocolo Signal por defecto para todos los mensajes que se envían.

Quizás te preguntes entonces, ¿por qué no seguir usando WhatsApp?

La principal razón es la recolección de metadatos por parte de WhatsApp.

Recolección de datos y metadatos

Los metadatos y la recopilación de datos han estado a menudo en el centro de los debates, con alguna de las partes esgrimiendo argumentos como el siguiente:

No podemos escuchar/leer el contenido de tus comunicaciones porque usamos cifrado de extremo a extremo, solo podemos recopilar metadatos.

El término metadatos ha sido siempre un término algo difuso. Por tu comodidad, aquí te dejo una clara definición de metadato:

¿Sus lectores tienen problemas para entender el término «metadatos»? Sustitúyalo por «registros de actividad». Eso es lo que son. #claridad

Si todavía no tienes claro qué son los metadatos, puedes leer el siguiente artículo de EFF publicado por Kurt Opsahl. Proporciona distintos ejemplos de lo que las empresas o los gobiernos saben cuando recogen metadatos²:

“Saben que llamaste a un servicio de sexo telefónico a las 2:24 A. M. y hablaste durante 18 minutos. Pero no saben de lo que hablaste.

Saben que llamaste a la línea directa de prevención de suicidios desde el puente Golden Gate. Pero el tema de la llamada sigue siendo un secreto.

Ellos saben que hablaste con un servicio de pruebas de VIH, después con tu médico, luego con tu compañía de seguros de salud, todo ello en la misma hora. Pero no saben lo que se discutió.”

Ahora que ya sabes lo que son los metadatos déjame repetirte algo: usar cifrados de extremo a extremo no evita que los servicios de mensajería recolecten tus metadatos.

Veamos lo que están recopilando.

WhatsApp

Las preguntas frecuentas de WhatsApp indicans³ que su aplicación tiene acceso a todos los números de teléfono de tus contactos y que recopila ⁴ miríada de información sobre ti.

Lo interesante es que WhatsApp no almacena tus mensajes en sus servidores. En su lugar, los mensajes se almacenan en el teléfono y luego en los servidores donde realiza una copia de seguridad del teléfono. Por ejemplo, si utilizas un iPhone, todos tus mensajes de WhatsApp se almacenan en iCloud.

En cuanto a la información que WhatsApp recopila sobre cuándo, dónde y con quién se comunica, es mucho más difusa. Esto es lo que dicen:

Uso e información de registro. Recopilamos información relacionada con el rendimiento, diagnóstico y servicio. Esto incluye información sobre tu actividad (como la forma en que usas nuestros Servicios, la forma en que interactúas con otros mediante nuestros Servicios y datos similares), archivos de registro, así como informes y registros de rendimiento, sitio web, fallos y diagnóstico.

WhatsApp también recopila información específica del dispositivo al instalar, acceder o utilizar su servicio, como el modelo de su teléfono, su sistema operativo e información de su navegador, dirección IP y red móvil, incluido su número de teléfono.

Y si no pueden recopilar esa información a través de su teléfono, lo obtendrán cuando te envíen mensajes, ya que WhatsApp también tiene acceso a los datos de actividad de tus amigos.

Además de las copias de seguridad no cifradas, Electronic Frontier Foundation describió otras preocupaciones sobre la notificación de cambios clave, la aplicación web de WhatsApp y el intercambio de datos con Facebook, que adquirió WhatsApp en 2014.

Y hablando de Facebook …

Facebook Messenger

MIT Technology Review escribió:

“Facebook está recopilando el conjunto de datos más extenso jamás montado sobre el comportamiento social humano.”⁵

No necesito explicarte qué tipo de datos recolecta Facebook. Facebook es tu amigo, así que lo ha dejado muy fácil para que entiendas lo buen amigo que es:

facebook data collection policy

Google Allo

Google Allo ha sido ampliamente criticado⁶ por los expertos en seguridad.

Google no sólo puede leer cada mensaje que escribes, sino que almacenará todas las conversaciones.

Es así de simple.

Aquí está el anuncio irónico de Edward Snowden para Allo:

Descárgalas gratis hoy: Google Mail, Google Maps y Google Espía. Eso es #Allo. No uses Allo

Telegram

Telegram es complicado ya que como mencioné, su protocolo de cifrado no es seguro. Pero dejémoslo a un lado y miremos lo que recogen sobre ti.

Los mensajes, fotos, vídeos y documentos se cifran y almacenan en los servidores de Telegram (excepto los mensajes de Chat secreto, que no se almacenan en los servidores de Telegram). Al igual que WhatsApp y Facebook, Telegram accede y almacena su lista de contactos en su servidor. Así es como son capaces de enviarle una notificación cuando alguien nuevo de su lista de contactos se une a Telegram. Que majos ellos, ¿verdad?

Signal

Edit June 2022: I no longer use Signal. I deleted my account, mainly because it is a walled garden.

Los únicos datos que guarda Signal⁷ es el número de teléfono con el que te registras y cuándo fue la última vez que te logueaste en sus servidores.

Ya está.

Si aun así no te fías, Signal también tiene mensajes que se borran automáticamente.

Y Signal es gratis. Totalmente gratis. Lo que significa que no están tratando de convertirte en un producto para los publicistas como Facebook, Telegram o Google quieren hacer con sus aplicaciones de mensajería. Puedes donar a Signal aquí.

Por cierto, el código de Signal es totalmente libre y open-source, disponible en GitHub⁸.

¿Por qué debería importarme la privacidad?

Puede que pienses:

¿Qué más da? No tengo nada que ocultar.

Si crees que no tienes nada que ocultar, intenta una cosa: comparte la contraseña de tu buzón con tus amigos.

Editado el 24/01/2017: anteriormente se comentó que “El protocolo criptográfico [de Telegram] no era seguro”. Telegram ha aclarado este articulo de J. Jakobsen en la siguiente entrada de blog.⁹

---

---

1. https://www.cyberscoop.com/signal-security-audit-encryption-facebook-messenger-whatsapp/↩︎

2. https://www.eff.org/deeplinks/2013/06/why-metadata-matters↩︎

3. https://faq.whatsapp.com/en/general/20971813↩︎

4. https://www.whatsapp.com/legal/#privacy-policy-information-we-collect↩︎

5. https://www.technologyreview.com/s/428150/what-facebook-knows/↩︎

6. www.independent.co.uk/life-style/gadgets-and-tech/news/google-allo-should-be-deleted-and-never-used-says-edward-snowden-a7320861.html↩︎

7. https://signal.org/legal/↩︎

8. https://github.com/signalapp↩︎

9. https://telegra.ph/mtproto-security-01-17↩︎

✍✍✍✍✍✍✍✍✍✍✍✍✍✍

I do self-funded research and I'm writing a book.

> What's the book about?

About technologies and agency.

Meaning, technologies can foster agency. No doubt. But I am also asking:

Can usage of technologies give us a sense of empowerment while in fact undermining our abilities?

I posted a summary of the prologue on the homepage: https://yctct.com/

✍✍✍✍✍✍✍✍✍✍✍✍✍✍

blog post personal computing