Tras las revelaciones del caso Snowden y los programas de espionaje masivo, los usuarios nos hemos concienciado sobre la importancia del secreto de nuestras comunicaciones y, por tanto, comenzamos a tomar en consideración el grado de privacidad a la hora de usar un servicio u otro.
Google anunció el cifrado extremo a extremo entre los usuarios de Gmail, precisamente, para garantizar a los usuarios de su servicio el secreto de sus comunicaciones. Siguiendo esta senda han surgido extensiones como ShadowCrypt para cifrar mensajes o el desarrollo de proyectos como Dark Mail para implementar un sistema de correo electrónico seguro e “inmune” al espionaje e intromisiones no autorizadas.
Si tenemos en cuenta que a través de conversaciones telefónicas, o incluso a través de servicios de mensajería, podemos llegar a intercambiar información sensible, tiene bastante sentido que tomemos en consideración la privacidad de nuestras conversaciones y, por tanto, que busquemos aplicaciones y servicios que garanticen el cifrado “extremo a extremo” en los dispositivos que usamos a diario.
La EFF (Electronic Frontier Foundation) publicó, el pasado mes de noviembre, un informe en el que evaluaba la seguridad de los servicios de mensajería más utilizados por los usuarios de smartphones que, precisamente, no dejaba en demasiado buen lugar a los servicios más utilizados (WhatsApp, BlackBerry Messenger, etc.).
Que un servicio ofrezca un canal cifrado entre nuestro terminal y sus servidores no garantiza el secreto de nuestras comunicaciones, debe existir un canal cifrado “extremo a extremo” (de terminal a terminal), es decir, en los servidores del servicio no debería estar accesible nuestra conversación.
Otro detalle importante es la posibilidad de hacer auditorías a los servicios que usamos, si el código fuente está accesible, al menos se puede revisar por terceros independientes y verificar que las especificaciones declaradas se cumplen y que no hay “funcionalidades ocultas” no declaradas.
Llamadas cifradas desde el móvil: Android y iOS
Afortunadamente, cada vez tenemos más opciones disponibles tanto para iOS como para Android.
Signal es uno de los productos que han desarrollado desde Open Whisper Systems y que está orientado a realizar llamadas telefónicas seguras entre dispositivos iOS (basándose en una comunicación cifrada extremo a extremo).
El uso es extremadamente sencillo: instalar la aplicación e indicar nuestro número de teléfono. Acto seguido la aplicación exporta nuestra agenda de contactos para verificar qué contactos usan el servicio y, a partir de ahí, podremos llamarles (aunque, eso sí, será una comunicación sobre la red de datos puesto que es una llamada IP sobre canal seguro).
En el caso que usemos un dispositivo Android, la misma compañía nos ofrece la aplicación RedPhone para que podamos realizar también llamadas de voz sobre un canal seguro de comunicaciones (usando, igualmente, nuestra conexión de datos o bien a través de una conexión Wi-Fi).
¿Y qué pasa si queremos establecer una comunicación entre iOS y Android? No hay ningún problema, Signal y RedPhone son interoperables; por tanto, desde Signal se pueden realizar llamadas a usuarios de RedPhone y viceversa. En ambos casos, el código de las aplicaciones está disponible para ser auditados y las comunicaciones se apoyan sobre el protocolo seguro ZRTP por lo que, a priori, es un servicio confiable.
Mensajería cifrada tanto desde escritorio como en dispositivos móviles
Hay varias opciones para proteger nuestros mensajes, algunas tan conocidas como Telegram que, en su modalidad de chat secreto, ofrece cifrado extremo a extremo y en esta opción las conversaciones no están accesibles desde los servidores de Telegram.
Otra opción conocida, y extendida en el mercado, son los servicios iMessage y FaceTime de Apple; disponibles en OS X e iOS, estos servicios de mensajería y videollamadas ofrecen también cifrado extremo a extremo aunque, eso sí, el código fuente no está accesible a terceros, y debemos confiar en Apple para su secreto.
Si lo que queremos cifrar son los SMS, una tercera alternativa para comunicarnos de manera segura desde Android es Text Secure aunque, eso sí, está orientada únicamente a mensajería instantánea vía texto.
En el caso de iOS, Signal incluye tanto llamadas como mensajería escrita; en Android, hay que recurrir a dos aplicaciones distintas, por un lado RedPhone para llamadas y, por otro lado, a Text Secure para mensajes de texto (puesto que esta aplicación sustituye al contenedor de SMS del terminal para usar un almacén seguro y cifrado y que requiere de contraseña para acceder a los mensajes almacenados).
Otro servicio interesante, y además multiplataforma, es CryptoCat. Disponible tanto para iOS como para navegadores de escritorio, este servicio de chat (mensajería escrita) nos permite cifrar los mensajes que se intercambian los usuarios (salen cifrados y no se descifran hasta que la información llega al cliente destino) y, además, es un proyecto en código abierto por lo que se puede someter a auditoría para verificar su funcionalidad. En principio, el canal de comunicación es seguro aunque desde el servicio intentan ser algo conservadores y advierten claramente que “no es una herramienta infalible a la que debas confiar tu vida” (un dato a tener en cuenta).
Cryptocat lanzó el año pasado una campaña de crowdfunding con el objetivo de poder extender sus funcionalidades pero, finalmente, lo consiguió la cantidad que se había marcado (así que, por ahora, los chats de audio y vídeo y la aplicación para Android tendrán que esperar).
BitTorrent hace tiempo que desarrolla un sistema de mensajería instantánea segura y descentralizada que, al no depender de la nube, hace que la información circule de manera directa entre los usuarios sin necesidad de pasar por servidores intermedios. Bleep, que es como se llama este servicio, pretende ser una alternativa segura y descentralizada a WhatsApp o Telegram, ofreciendo cifrado extremo a extremo y disponible tanto en iOS como en Android.
Que la comunicación sea directa entre los usuarios y, además cifrada, colocan a Bleep como una de las mejores opciones a tener en cuenta a la hora usar una aplicación para establecer comunicaciones seguras (al no pasar por servidores intermedios).
Finalmente, los usuarios de dispositivos Android deberían tener en cuenta a Surespot que podría considerarse una especie de combinación entre WhatsApp y Snapchat con cifrado de comunicaciones. El servicio nos permite intercambiar imágenes, texto o mensajes de voz mediante un canal seguro (comunicaciones cifradas punto a punto con clave simétrica AES-GCM de 256 bits utilizando claves creadas con 521 bits ECDH) y con la posibilidad de poder borrar, a voluntad, mensajes que ya hemos enviado (manteniendo siempre el control de la información que intercambiamos).
El servicio de Surespot se apoya sobre servidores intermedios, por tanto, es un factor a tener en cuenta a la hora de evaluar su uso.