Por Santi Vallazza*

Los cambios del Acuerdo de Licencia de Whatsapp generaron una incomodidad e incertidumbre en muchos usuarios que comenzaron a instalarse otras aplicaciones de mensajería, entre ellas Telegram y Signal. En esta nota hablaremos de estas 3 aplicaciones, profundizando en la privacidad y la seguridad con que cada una trata nuestros datos y nuestros mensajes.

Antes que nada, vemos como algo positivo esta curiosidad de millones de personas por conocer otras aplicaciones, ya que pone en debate y análisis las herramientas y la tecnología que usamos para gestionar nuestra vida digital. ¿De dónde viene? ¿Tiene un costo? ¿Cómo estoy pagando?

Lamentablemente muchos no podremos desinstalar whatsapp por diversas razones, mi recomendación es reducir al mínimo posible el uso de esta aplicación, reemplazandola gradualmente por alguna de las otras opciones hasta que pueda eliminarse completamente.

¿Por qué dejar de usar Whatsapp? Esta aplicación pertenece a Facebook, que es una corporación que se dedica a recopilar y hacernos producir datos, para analizarlos, estudiarlos, venderlos e incluso generar cambios de estado de ánimo en personas o grupos de personas, para obtener beneficios comerciales o políticos. Por lo tanto, cuanta menos información le demos, menos Poder tendrán sobre nosotros y nuestra sociedad. Si la mitad de mis comunicaciones las realizo utilizando otra aplicación, entonces sabrán la mitad sobre mí y mis relaciones.

No olvidemos que si tenemos instalado en nuestro teléfono alguna de las otras aplicaciones: Facebook / Instagram / Mesenger, ya estamos entregando mucha información. Una mejora a la privacidad es desinstalar la App de facebook y solo utilizar la versión web, accesible desde http://m.facebook.com

El documental “El dilema social” nos advertía: La tecnología que nos conecta, también nos controla, nos manipula, nos polariza, nos distrae, nos monetiza, nos divide.

Pero mucho más contundente fue unos años antes Edward Snowden, quien nos demostró que las agencias de seguridad de EEUU “vigilan todo el tiempo a todas las personas del mundo, sin importar si son sospechosas o no” y lo hacen a través de metabuscadores que examinan todas las comunicaciones que realicemos utilizando servicios de corporaciones con sede en ese país, entre ellos los servicios provistos por las empresas GAFAM (Google, Apple, Facebook, Amazon, Microsoft). Estas empresas brindan acceso a las agencias de seguridad para que puedan analizar nuestras comunicaciones e interacciones. Para conocer un poco más te recomiendo este documental y esta película.

¿Quién es quién?

Para analizar los intereses atrás de cada aplicación, es bueno conocer de dónde viene cada una:

Whatsapp fue adquirida por Facebook en 2014, permitiéndole a Facebook quedarse con los usuarios de la aplicación más utilizada para comunicaciones en occidente.

Telegram es una empresa creada y financiada por dos hermanos rusos, que se relocalizaron en otros países por presiones de las autoridades locales para que entregaran información sobre sus usuarios. Esto da cierta tranquilidad, ya que está fuera del radio de presión de las agencias norteamericanas, y porque anteriormente se negaron a entregar información a las autoridades locales.

Por otro lado, por más que sus fundadores digan que nunca van a vender la empresa, y que nunca van a entregar información, no tenemos ninguna seguridad de que esto no ocurra en el futuro.

Signal es una empresa sostenida por la Fundación Signal, enfocada en la privacidad y la seguridad. Esto hace que sea menos influenciable y menos probable que sea absorbida por otra empresa, pero también es importante saber que sus aplicaciones no están diseñadas para recolectar nuestra información, sino todo lo contrario: reducen al mínimo la recolección y el almacenamiento de esta. Pero no todo es perfecto, y acá vas a encontrar algunas discusiones que se están dando sobre esta app.

Whatsapp fue adquirida por Facebook en 2014, permitiéndole a Facebook quedarse con los usuarios de la aplicación más utilizada para comunicaciones en occidente.

Sobre proveedores, preferencias y condicionamientos

Para continuar es necesario conocer algunos términos, que desarrollo en los siguientes párrafos:

Vamos a llamar Proveedor de acceso a la red, a la empresa u organización que nos provee el servicio de internet. En Argentina podrían ser, para internet DOMICILIARIA: Fibertel, Speedy, o algún proveedor local a través de Arsat, y para internet MÓVIL: Claro, Personal, Movistar (o Tuenti, que también pertenece a Movistar)

Vamos a llamar Proveedor del servicio de mensajería, a la empresa u organización que nos provee del servicio para comunicarnos, por ejemplo Telegram, Whatsapp o Signal. Ellos proveen el software o programa que usamos en nuestro dispositivo, y también el software y los servidores “en la nube” necesarios para que el servicio funcione. Estas “nubes” son computadoras reales que están ubicadas físicamente en algún lugar del mundo, estos proveedores (y sus computadoras) están alcanzados por las legislaciones vigentes en ese territorio, por las presiones gubernamentales que pudieran existir, y por los intereses geopolíticos de estos gobiernos y de ellas mismas.

La Neutralidad en la red  propone que los usuarios sean libres de elegir para qué usan internet, para esto plantea que los proveedores de acceso a la red traten de igual forma a todos los sitios y servicios, y no condicionen a los usuarios dependiendo a qué sitio o servicio están accediendo.

Esta Neutralidad no existe en Argentina (y otros países de nuestro continente) ya que las empresas de telefonía móvil brindan planes de acceso “zero rating” con “Whatsapp ilimitado” (y/o Facebook y/o Twitter) haciendo que los usuarios “gasten datos móviles” si usan otros servicios (como Signal o Telegram), pero puedan usar “gratis” estas plataformas definidas por el proveedor de acceso a la red, beneficiándolas con un mayor uso y permitiendoles una mayor recolección de datos. Desde el lado de los usuarios, por una cuestión económica (consumo de datos) perdemos la posibilidad de elegir la herramienta con la que nos vamos a comunicar: el proveedor de internet nos condiciona y direcciona nuestro consumo.

Analizando las aplicaciones

Message Apps - Social networking chat application (Whatsapp, Signal, Telegram, wechat, line)
Que hoy estemos discutiendo sobre distintos tipos de cifrado y seguridad es un gran avance y eleva el piso del análisis que podamos hacer sobre nuestras comunicaciones.

Cuando analizamos los servicios de mensajería, tendremos que mirar la menos estos puntos:

  • Análisis y manipulación de comportamiento
  • Privacidad con respecto a terceros
  • Privacidad con respecto al proveedor de servicio de mensajería
  • Cifrado
  • Almacenamiento de nuestros mensajes
  • Métodos de autenticación

Análisis y manipulación de comportamiento y venta de datos con fines publicitarios o políticos. A esto se dedica Facebook. Cuánto más saben sobre nosotros, más poder tiene para vender nuestra información o utilizarla para manipular nuestro estado de ánimo y el comportamiento de la sociedad.

Privacidad de nuestros mensajes

Hace algunos años había pocos servicios de mensajería que incluyeran cifrado o codificación para ocultar el contenido de nuestros mensajes. En general poca gente se cuestionaba que fuera posible que nuestros mensajes sean leídos por el proveedor del servicio de mensajería. Por ejemplo, el Correo Electrónico, que hoy utilizamos para intercambiar cualquier tipo de información sensible, es un servicio no-cifrado, accesible por nuestro proveedor de correo.

Que hoy estemos discutiendo sobre distintos tipos de cifrado y seguridad es un gran avance y eleva el piso del análisis que podamos hacer sobre nuestras comunicaciones de ahora en adelante.

Cuando se incluye encriptación, generalmente se utiliza alguna de estas 2, que detallaremos y ejemplificaremos a continuación:

  1. Encriptación Cliente-Servidor Servidor-Cliente
  2. Encriptación Extremo a Extremo

Privacidad con respecto a terceros

¿Es posible que el contenido de los mensajes sea leído por alguien que no sea:

  • 1) “los interlocutores” ?
  • 2) “el proveedor del servicio de mensajería”?

Este acceso se evita si la aplicación incluye algún tipo de encriptación o cifrado en los mensajes que salen del teléfono. Actualmente las 3 aplicaciones encriptan de alguna forma los mensajes que salen del teléfono, haciendo difícil que sean leídos por terceros mientras viajan de un teléfono al otro.

Como comparación, los mensajes SMS no viajan encriptados: Pueden ser leídos por ojos curiosos, empresas de telefonía o agencias gubernamentales. Lo mismo ocurre con las llamadas “de línea”.

Privacidad con respecto a terceros y al proveedor del servicio de mensajería

¿Dónde están nuestros mensajes? ¿Puede leerlos un tercero? ¿Puede leerlos el proveedor del servicio de mensajería?

Si esto último fuera posible, entonces el proveedor de mensajería podría:

  • Analizarlos con fines propios
  • Entregarlos a empresas o gobiernos por acuerdos, presiones o dinero
  • Ser vulnerable a ataques externos que accedan al contenido de esos mensajes.

Telegram guarda nuestros mensajes y nuestra lista de contactos en “la nube de Telegram”, permitiendo de esa forma que podamos acceder a ellos desde cualquier dispositivo (teléfono, versión web, etc.), incluso si nuestro teléfono está apagado. Para esto utiliza por defecto una encriptación cliente-servidor servidor-cliente. Esto significa que la empresa tiene acceso a nuestro historial de mensajes, y podrían leerlos, venderlos o entregarlos a las autoridades, también podrían ser accedidos por alguien que vulnere sus servidores. En su web declaran que nunca lo van a hacer y que se fueron de Rusia y de otros países porque los presionaban para que entreguen datos.

Whatsapp y Signal no guardan nuestros mensajes en sus servidores: los mensajes se guardan en nuestro teléfono, esto es bueno desde el punto de vista que estamos analizando porque los proveedores de mensajería no tienen copia de nuestros mensajes.

Un punto en contra de esta política, es que sea común “perder todos los mensajes” al cambiar o resetar el dispositivo, aunque no es tan grave si pensamos que es para cuidar nuestra privacidad. Para intentar evitar esta pérdida de mensajes al cambiar de teléfono, Whatsapp ofrece la posibilidad de hacer backup periódico de nuestros mensajes, el problema es que “a veces” esos backups se guardan sin cifrar, por lo que alguien podría acceder a nuestro almacenamiento de backups y así a nuestro historial de mensajes. Aquí una nota interesante sobre el caso de Iphone.

Para que Telegram no tenga acceso a nuestros mensajes, es necesario utilizar la función “Chat Secreto” al iniciar un nuevo chat. Los chats que se hayan iniciado utilizando esa función utilizarán cifrado de Extremo a Extremo y no serán almacenados en la nube de Telegram, pero solo podrán ser accedidos desde el dispositivo que lo inició (no estarán disponibles en la interfaz web).

Cifrado Extremo a Extremo (“End to End” o “E2E”)

En este tipo de encriptación, el mensaje se codifica antes de salir del dispositivo emisor, con una clave que solo tiene el dispositivo receptor, haciendo imposible la lectura del contenido del mensaje, incluso para el proveedor del servicio de mensajería.

Este es el tipo de encriptación que utilizan por defecto para TODOS los mensajes Whatsapp y Signal. En Telegram esta encriptación no se utiliza por defecto, y solo se activa utilizando la funcionalidad llamada “Chats secretos”.

Este tipo de cifrado ha sido cuestionado por algunos gobiernos, que plantean que los gobiernos deberían tener una forma de acceder al contenido de los mensajes, por cuestiones de seguridad, aunque muchas veces se use para espiar periodistas, militantes populares, opositores, o minorías.

Mensajes y Metadatos

Aunque no sea posible acceder al contenido de los mensajes, es posible obtener mucha información de los llamados Metadatos, que es la información extra sobre una comunicación: quiénes se hablaron, durante cuánto tiempo, a qué hora, la ubicación del teléfono, modelo, dirección IP,  etc.

Whatsapp recopila y almacena gran cantidad de Metadatos.

Signal reduce al mínimo la recolección de metadatos. Signal sabe que te conectaste a su nube, pero no sabe qué hiciste mientras estuviste conectado, si hablaste con alguien, y tampoco guardan tu lista de contactos.

Anonimato, Chip y Segundo factor de Seguridad

Para utilizar cualquiera de estas 3 aplicaciones necesitamos un número de teléfono, usualmente usamos un número de telefonía móvil, pero también podría ser un fijo. Esto atenta contra el anonimato, porque en muchos países el número telefónico está registrado a nombre de una persona, pero además es una vulnerabilidad ya que si alguien tiene acceso a nuestro chip, podría recibir el SMS de verificación y robarnos nuestra cuenta de Whatsapp o Signal, y en el caso de Telegram también tendría acceso a todo nuestro historial de mensajes, que están almacenados en su nube.

Alguien podría acceder a nuestro chip si perdemos el teléfono, nos lo roban, o nos lo secuestra la policía. También se podría acceder a nuestro chip clonandolo o pidiendo uno nuevo a la empresa de telefonía.

Para evitar que solo teniendo el chip accedan a nuestras cuentas, es necesario activar el 2do factor de autenticación. Las 3 aplicaciones cuentan con esta opción y en la práctica lo que ocurrirá es que cada vez que queramos iniciar sesión en un dispositivo nuevo, nos será solicitada una clave que actuará como un factor de autenticación extra, además del SMS.

Software Libre

Por último, un breve comentario sobre cómo se construye cada una de las aplicaciones. Cuando el software está disponible como Software Libre, permite que cualquier persona pueda acceder al código fuente (“la receta”) y estudiar cómo funciona, para detectar errores o funciones maliciosas.

Whatsapp no utiliza software libre. Tanto el “servidor” como los “clientes” están desarrollados con software “cerrado”, impidiendo que sepamos qué hacen al ejecutarlos.

Telegram utiliza software “cerrado” en el servidor, pero dispone de APIs abiertas y de clientes “software libre”, que permiten estudiar cómo funcionan y adaptarlos.

Signal utiliza Software Libre tanto en el servidor como en los clientes. Si bien esto es bueno y cualquiera podría instalarse su propio “servidor aislado” de signal, en la práctica los servidores principales que utilizará la mayoría de la gente serán los oficiales, y en ellos se centralizará el flujo de las comunicaciones.

Imagen de Gerd Altmann en Pixabay

Conclusiones

  1. Tenemos que ir reduciendo progresivamente el uso de Whatsapp, pero ¡ojo con la privacidad y la seguridad de las otras aplicaciones!
  2. Signal es la mejor opción de estas 3 en cuanto a privacidad y seguridad: Guarda muy pocos datos y tiene casi las mismas opciones básicas de usabilidad que Whatsapp (chats, grupos, stickers). Aún la usa poca gente, por lo que inicialmente tendremos pocos contactos y tendremos que ir invitando más gente.
  3. Telegram recopila menos metadatos que Whatsapp, y por el momento no se sabe que los comparta con otras empresas, pero no tiene cifrado E2E por defecto. Para garantizar cifrado, hay que utilizar “Chats secretos”
  4. En las 3 aplicaciones: activar el 2do factor de autenticación para evitar el robo de la cuenta. En Telegram es FUNDAMENTAL activarlo, ya que si nos roban la cuenta también tienen acceso a nuestro historial de mensajes no cifrados.

Otros enlaces

Comparativa más profundo sobre los 3 mensajeros y sus opciones de seguridad y privacidad https://www.xatakandroid.com/seguridad/whatsapp-vs-telegram-vs-signal-comparativa-cual-app-mensajeria-segura

Facebook y WhatsApp, las promesas incumplidas y los cambios del 2021” (Análisis sobre Whatsapp, los datos y metadatos que consume, el problema del “zero rating”) https://web.karisma.org.co/facebook-y-whatsapp-las-promesas-incumplidas-y-los-cambios-del-2021/

Por qué Signal es mucho más privado que WhatsApp aunque Facebook tampoco pueda leer tus mensajes https://www.genbeta.com/mensajeria-instantanea/que-signal-mucho-privado-que-whatsapp-facebook-tampoco-pueda-leer-tus-mensajes

WhatsApp vs. Signal vs. Telegram vs. Facebook: What data do they have about you? https://www.zdnet.com/article/whatsapp-vs-signal-vs-telegram-vs-facebook-what-data-do-they-have-about-you/

* Apasionado por la tecnología, la soberanía y la sustentabilidad. Ingeniero de Sistemas.

Imagen de portada: de Adem AY en Unsplash