Signal, Threema, Session: las apps cifradas que usa Alvise para pedir fondos que “no controle el Tribunal de Cuentas”

Alvise Pérez necesitaba entre 300.000 y 360.000 euros para su campaña del 9J, según le confesó a Álvaro Romillo, alias Luis CryptoSpain. Terminó consiguiendo al menos 100.000 en metálico de este empresario de las criptomonedas tras prometerle influencia en el Parlamento Europeo y legislación beneficiosa para su “negocio” en España. Esta relación, desvelada por elDiario.es a través de los mensajes y llamadas entre ambos, empezó a fluir con un mensaje de WhatsApp. “Quería hacerte una consulta. ¿Puedes hablar hoy?”, le dice Alvise al empresario cripto. “¿Utilizas Threema, Signal o Session?”, pregunta justo a continuación.

Las tres aplicaciones que sugiere el agitador ultra son servicios de mensajería instantánea encriptada. Se caracterizan por ofrecer la máxima privacidad y seguridad en las comunicaciones que se puede alcanzar con un teléfono móvil corriente. La más conocida de ellas es Signal, que es por la que se termina desarrollando la conversación entre Alvise y Romillo y a través de la que se coordina la entrega de los 100.000 euros.

Alvise empleó Signal para exponer que requería “fondos que no requieran ser controlados por el Tribunal de Cuentas” de manera “urgente”. El ahora eurodiputado puso encima de la mesa la posibilidad hacerlo con Sentinel, una empresa propiedad de Romillo que dispone de 5.000 cajas de seguridad fortificadas en un búnker del centro de Madrid. Sentinel permite hacer intercambios de dinero bajo una promesa de total confidencialidad: a espaldas de Hacienda y sorteando las medidas antifraude a las que están obligadas las entidades financieras.

“100.000 gracias”, escribió Alvise en otro mensaje de Signal tras recoger el dinero. La Fiscalía investiga ahora si esos fondos se usaron para costear sus gastos de campaña y pueden constituir un delito de financiación ilegal, castigado con hasta seis años de prisión.

Las especiales características de confidencialidad de Signal hacen que sea una app a la que suelen recurrir todos aquellos que desean ocultar sus actividades a las autoridades. Esto no significa que Signal, Threema o Session estén diseñadas para su uso criminal. Las mismas protecciones que atraen a los delincuentes hacen que esta app sea popular entre opositores a regímenes autoritarios que violan los derechos humanos, activistas, periodistas y sus fuentes, denunciantes de corrupción o personas preocupadas por la vigilancia masiva. Pero, ¿cuáles son esas características?

En WhatsApp las paredes oyen

WhatsApp ofrece el blindaje del contenido de las comunicaciones más robusto de la industria: el cifrado de extremo a extremo desarrollado por la propia Signal. Se trata de una tecnología que protege los mensajes ante cualquier ataque para que solo el remitente y el destinatario puedan leerlos.

Cuando un mensaje es cifrado de extremo a extremo, se convierte en un código que solo el destinatario, usando una clave especial, puede descifrar. Esto significa que, aunque este sea interceptado por fuerzas de seguridad o ciberdelincuentes, no podrán acceder a su contenido si no disponen de la clave. Ni siquiera la empresa que proporciona el servicio de mensajería puede hacerlo. Threema y Session también utilizan sus propios protocolos de cifrado de extremo a extremo.

Pero la confidencialidad de las comunicaciones va más allá del contenido de los mensajes. En el entorno digital cada mensaje deja un rastro de información que incluye quién escribe a quién, con qué frecuencia, a qué horas, dónde se encuentra el usuario que envía el mensaje y dónde el que lo recibe o qué dispositivo utiliza cada uno. Son los denominados metadatos, que pueden resultar muy relevantes para un tercero con interés en las actividades de los interlocutores. Cómo se gestionan es una política clave en las apps de mensajería, ya que no quedan cubiertos por el cifrado de extremo a extremo.

Ahí es donde Signal, Threema o Session marcan la diferencia con WhatsApp. Las tres apps sugeridas por Alvise a Romillo impiden la generación de archivos digitales de metadatos. No se puede consultar un archivo de metadatos que nunca se creó. También bloquean que cualquier metadato individual salga del dispositivo del usuario aparejado a un mensaje. No es posible interceptar un metadato que nunca viajó por Internet. Este tipo de medidas se denominan privacidad por diseño.

En WhatsApp la situación es diferente. Los metadatos de las conversaciones se incluyen en ficheros que se transfieren directamente a Meta, la propietaria de la app, como expone su política de privacidad. Este viaje por la red los hace vulnerables a la interceptación por parte de un tercero. Además, al almacenarse en las bases de datos propiedad de la corporación de redes sociales, pueden ser objeto de requerimiento de una orden judicial, ciberataques u operaciones de espionaje.

Sin embargo, WhatsApp tiene una vulnerabilidad aún mayor en lo que denomina “copias de seguridad” de los chats. La plataforma las genera para permitir, por ejemplo, recuperar las conversaciones que se tuvieron en teléfonos antiguos. Las copias de seguridad incluyen el contenido íntegro de todas los chats y archivos compartidos, se almacenan en la nube y al contrario que los mensajes, no están cifradas por defecto. Esta práctica expone las conversaciones de WhatsApp y hace que el usuario pierda el control sobre ellas, ya que la decisión de almacenar copias de seguridad corresponde a cada interlocutor, que puede hacerlo sin la autorización del resto de participantes en sus chats y sin establecer una contraseña para encriptarlas.

En Signal, Threema y Session no se generan copias de seguridad en la nube ni se almacena ningún tipo de historial de conversaciones o archivos compartidos. Esos solo se quedan en el teléfono del usuario. Como el resto de su paquete de protecciones, estas medidas de seguridad se confirman gracias a que las tres son de código abierto. Esto implica que no es necesario confiar en que funcionan como aseguran las organizaciones que las gestionan, sino que cualquier persona puede acceder a su código informático y comprobarlo por sí misma. WhatsApp no tiene su código abierto al público.

Threema, una app de pago pensada para entornos corporativos

Aunque es la app más recomendada por las organizaciones de defensa de los derechos digitales (está prohibida en China, Irán o Rusia), Signal hace algunas concesiones para facilitar su accesibilidad por el usuario medio. La principal es el registro mediante el número de teléfono, lo que permite saber qué contactos almacenados en la agenda utilizan la aplicación. Aunque Signal no almacena listas de contactos en sus servidores, la vinculación de la cuenta a un número de teléfono hace posible el rastreo de la identidad del interlocutor.

Threema y Session van un paso más allá y no requieren de un número de teléfono para registrarse. Utilizan una identificación única y anónima. Si no se conoce el código de cada miembro, es imposible localizar a otros usuarios y establecer comunicación.

En el caso de Threema esta política se basa en que su servicio está pensado para entornos corporativos y gubernamentales como herramienta de comunicación interna. Es de pago y tiene su sede en Suiza. Según explica en su web, compañías como Mercedes-Benz, la aerolínea Fly Emirates o entes públicos como el Banco Central de Alemania, el ejército suizo o numerosos hospitales y ayuntamientos alemanes, austriacos y suizos recurren a sus servicios. En su lista de 8.000 organizaciones aparece el Consorcio de Compensación de Seguros, empresa pública dependiente del Ministerio de Economía español.

Se estima que Signal tiene unos 70 millones de usuarios en todo el mundo, mientras que Threema cuenta con alrededor de 10 millones. Session, sin embargo, no llega al millón. Se trata de una app de nicho “diseñada y construida para personas que desean privacidad absoluta y libertad frente a cualquier forma de vigilancia”, explican sus creadores, Oxen, una organización australiana que también desarrolló la criptomoneda del mismo nombre.

Session, privacidad hasta la “paranoia”

Session incorpora una capa más de privacidad y anonimato porque utiliza la misma tecnología descentralizada de la criptomoneda de Oxen para enviar sus mensajes. Estos nodos son operados por personas que apuestan o invierten en esta cripto para ganar recompensas, lo que incentiva a mantener la red funcionando de manera estable y segura. Ni siquiera es necesario crear una cuenta para usarla. Tiene todas las medidas de seguridad... pero ese es precisamente su mayor problema.

“La aplicación es 100% privada, no te coge metadatos, no necesita crear un usuario ni un número de teléfono, los servidores son descentralizados. Además, está con código abierto. A nivel de privacidad es bueno de lo mejor que hay”, expone Rafael López, experto de la firma de ciberseguridad Perception Point: “Pero por contra es 0% usable para el usuario medio, incluso para el usuario avanzado”.

Todas las protecciones de Session hacen que sea muy complicada de utilizar y encontrar a otros que lo hagan. “Es para algo que tiene que ser súper específico y muy puntual, porque para hablar con alguien tienes que compartir un hash [un código alfanumérico generado mediante algoritmo muy utilizado en ciberseguridad o criptomonedas] que al final es un número larguísimo, y la otra persona tiene que saber lo que es un hash”, continúa López. “Es un poco pesadilla, no es usable ahora mismo”, zanja el especialista: “Es de un nivel de paranoia absoluto”.