-
El eterno debate ¿qué aplicación de mensajería instantánea es más segura? Whatssapp o Telegram. Por increíble que parezca la respuesta es contundente, ninguna plataforma es 100% segura.
La competencia por la herramienta más segura para mensajería instantánea inició hace varios años y resurgió hace poco cuando WhatsApp anunció que había completado la implementación de su encriptación end-to-end.
Curiosamente, en los círculos de investigación en seguridad, este tema se ha traducido en interesantes debates entre Whatsapp vs Telegram. Todos tenemos una opinión, pero no existe un consenso general.
David Ramírez, Director México System Engineers de Fortinet señala que la realidad es que todos estamos de acuerdo en que Signal, WhatsApp y Telegram han destacado como las soluciones de mensajería instantánea más seguras, gracias a la encriptación end-to-end o Perfect Forward Secrecy (PFS).
Aun así, el experto considera que todavía no existe una herramienta de mensajes instantáneos ideal para las empresas, el hecho de trabajar con dispositivos “no confiables” se vuelve más delicado con los smartphones y/o BYOD en general.
Son pocas las empresas que cuentan con reglas de IT integral que les permita controlar el 100% de los programas/aplicaciones instalado en las computadoras de una organización, incluyendo la capacidad de controlar que no sea posible instalar nada adicional. Extender esto a los dispositivos de BYOD al día de hoy es prácticamente imposible.
Como consecuencia mientras no exista una plataforma 100% controlable, que pueda determinarse al más bajo nivel, que el móvil es efectivamente de la empresa, es muy difícil eliminar el riesgo inherente de usar una plataforma que las empresas no pueden controlar.
Es por esto que hay que tener mucho cuidado cuando se desean compartir datos importantes, como estrategias de negocio o códigos fuente (entre otros), no conviene hacerlo a través de un teléfono inteligente o tablet, y desafortunadamente:
- WhatsApp no tiene una aplicación para computadoras de escritorio o laptops. Solo aplicaciones para plataformas iOS o Android.
- Telegram sí la tiene, pero no respalda chats privados, que son los únicos con encriptación end-to-end. Por lo que significa que las conversaciones pueden ser “descifrables” en los servidores de Telegram (y siempre alguien tiene acceso a ello).
- Signal solo tiene una aplicación beta para Chrome y funciona si se enlaza con un teléfono Android.
Así que, por ahora no existe una solución integral. Además, y por muchas razones, no nos interesa vincular una cuenta de mensajería instantánea con un número de teléfono celular;
- Por razones de privacidad, ¿con quién querrías compartir tu número de teléfono? ¿contactos?, ¿terceras personas?, ¿la ubicación del teléfono sería rastreable?
- Por razones de separación: las personas no siempre tienen un teléfono celular exclusivo para su trabajo, lo que significa que terminan usando su propio dispositivo y, por consiguiente, su propia cuenta de mensajes instantáneos en el trabajo.
Aquí compartimos una lista con los pros y contras que de las plataformas de mensajería instantánea más seguras de acuerdo a Fortinet:
| PROS | CONTRAS |
| Buena Encriptación | Requiere un teléfono celular |
| Nada se almacena en los servidores | No tiene aplicación para computadoras de escritorio |
| PFS | No tiene código abierto, le pertenece a Facebook |
 Grupos de Chat Seguros |
Utiliza Curve 25519. Aunque se ha dicho que es segura, es mucho menos investigada que RSA |
| Los metadatos no están seguros | |
| La encriptación end-to-end solo está disponible en la actualización más reciente |
Telegram
| PROS | CONTRAS |
| Código abierto en su mayoría | Encriptación end-to-end y PFS* |
| Aplicación para computadoras de escritorio | Requiere un teléfono celular |
| El historial es almacenado en servidores (a excepción de los chats privados) | |
| Utiliza SHA1 cuando es preferible SHA256 | |
| Usa KDF no estandarizado | |
| Los metadatos no están seguros | |
| *Solo disponible en “chats privados” (no para chats normales o grupos) |
Signal
| PROS | CONTRAS |
| Código abierto | Requiere un teléfono celular |
|
Buena encriptación |
Solo tiene una aplicación beta para Chrome en computadoras de escritorio (¿qué pasa si el navegador está comprometido?) |
|
PFS |
Utiliza Curve 25519. Aunque se ha dicho que es segura, es mucho menos investigada que RSA |
| Nada se almacena en los servidores | La comparación de key fingerprints no es muy conveniente* |
|
Grupos de chat seguros |
*Key fingerprints:
https://github.com/WhisperSystems/Signal-iOS/wiki/FAQ#can-i-verify-my-contacts-key |
