Mensajería instantánea y privacidad

20
Mensajería instantánea y privacidad

Desde los inicios de los servicios de mensajería instantánea, y mucho más desde que llegaron a los teléfonos móviles, la conversación en la que se cuestiona se ha mantenido bastante viva. la forma en que estos servicios más que prácticos pueden afectar negativamente la privacidad de sus usuarios. Y es que si bien ya los hemos incorporado a nuestra vida y, en muchos casos, sería difícil dejar de tenerlos, nunca está de más estar atento al posible efecto que puedan tener en nuestra privacidad, así como en el medidas que podemos adoptar cuando respetemos. Mensajería instantánea sí, pero privacidad también.

El cifrado de endpoint en conversaciones es una función que debemos tener en cuenta a la hora de elegir uno u otro servicio, descartando aquellos que no tengan esta función. Y un punto muy importante, aquí es fundamental distinguir entre quienes afirman que ofrecen cifrado, con los que hacen explícito que esto ocurre de punta a punta, es decir, que los datos se encriptan antes de salir del teléfono (o PC). del remitente, y no se descifran hasta que llegan al dispositivo del destinatario. Cualquier otro modelo, en el que en algún momento los datos permanecen sin cifrar, debe considerarse inseguro.

MS recomienda

Administre los dispositivos de su empresa de manera inteligente Leer

Y hay otro punto importante en este sentido, y está relacionado con la gestión de las claves. Las claves privadas deben permanecer siempre, y exclusivamente, en el dispositivo del titular de las mismas, hablemos de mensajería instantánea o cualquier otro servicio de comunicación Una clave pública, como su nombre lo indica, puede y debe estar disponible para todos aquellos que quieran enviar un mensaje encriptado al dueño de la misma, pero la privada no debe estar en otro lugar que el teléfono inteligente (u otro dispositivo) de su propietario.

Y menciono esto, que puede parecer obvio, porque ha sido precisamente una de las polémicas en las que se ha visto envuelto el popular servicio de videoconferencia Zoom. Y es que su modelo ha sido que las claves se guardaban en los servidores de la empresa. Sí, exactamente, eso significa que, si lo desea, la empresa podrá descifrar y revisar las comunicaciones mantenidas por sus usuarios sin ningún tipo de limitación. Y lo mismo para todo aquel que, de alguna manera, logró acceder al repositorio de claves privadas que gestiona la empresa. Suena mal, ¿verdad?

En un intento por mejorar en este sentido, Zoom adquirió KeyBase, para que las claves públicas se distribuirán a través de este servicio, y que los privados estaban, ahora, bajo el control de sus dueños. El problema es que, en un principio, la empresa dijo que este servicio solo estaría disponible para cuentas de pago, un anuncio que generó tanta (y tan merecida) polémica que, al final, Zoom tuvo que rectificar y confirmar que la encriptación de extremo a extremo con control de usuario de las claves sería una función universal del servicio.

Por suerte, los servicios de mensajería instantánea más populares tienen cifrado de extremo a extremo con administración de clave privada propietaria. Los dos más utilizados, WhatsApp y Facebook Messenger (ambos propiedad de Facebook) lo incorporan por defecto, respectivamente desde 2016 y 2019, y los preferidos por los usuarios que buscan más su privacidad, Telegram y Signal, ambos cuentan con esta función desde su nacimiento. , ya que este ha sido siempre uno de los puntos en los que se han centrado. Ahora bien, si está considerando utilizar algún otro servicio de este tipo, asegúrese de que ofrezca esta función.

Mensajería instantánea, perfiles sociales y metadatos

Algo que entiendo en parte, pero que llama mi atención por otro, es cómo han evolucionado los perfiles públicos que los usuarios pueden compartir a través de las redes de mensajería instantánea, y que en cierta medida los acercan un poco más al concepto muy global de red social, en el que tienen cabida desde servicios como Facebook y Twitter, hasta plataformas temáticas pero con funciones sociales, como YouTube y Twitch. Y digo que lo entiendo porque el posicionamiento y visibilidad de los servicios de mensajería instantánea es bueno, pero el de las redes sociales es uno de los más cotizados en la actualidad.

Así, lo que hace unos años se limitaba a poder poner un nombre y una fotografía, ahora también incluye frases, videos, enlaces, estados, etc., que se mostrarán de una manera similar a Cuentos de Instagram, un modelo de comunicación muy, muy exitoso en esa red, hasta el punto de que ha sido adoptado por muchos otros servicios, pero que, personalmente, no puedo ver qué encaje puede tener en el contexto de la mensajería instantánea.

Otro elemento que resulta práctico, pero que puede ir en contra de nuestra privacidad, es la información generada por nuestra propia interacción con el servicio. Me refiero a elementos como mostrar la hora de la última conexión, confirmación de recepción y lectura de mensajes, etc. Elementos que, combinados entre sí, y más si los sumamos a los que se pueden agregar a los perfiles, hacen que los servicios de mensajería instantánea sean mucho más intrusivos de lo que parece en un principio.

La configuración de privacidad

Una idea muy extendida, y lamentablemente errónea, es que solo nuestros contactos pueden acceder a toda esta información. El funcionamiento de estos programas es sencillo: una vez instalados en el dispositivo, analizar permanentemente la misma lista de contactos, con el fin de encontrar otros usuarios de contacto del servicio. Puedes hacer la prueba, solo tienes que agregar un nuevo número de teléfono a la agenda para ir inmediatamente a tu aplicación de mensajería instantánea y comprobar si aparece en tu lista de contactos. Si esa persona lo usa, verá que está ahí.

Además, algunos servicios de mensajería instantánea como Telegram, Te avisan cuando uno de tus contactos se registra en el mismo, para que sepas que desde ese momento podrás comunicarte con él a través del servicio. Algo que no es nuevo, de hecho recuerdo haberlo visto hace muchos años, incluso antes de la llegada de Telegram, en la antes exitosa y ahora algo olvidada LINE.

Y ahora, teniendo en cuenta ambos puntos, es momento de mirar un estudio referenciado por HelpNetSecurity, y en el que se manifiesta que, debido al sistema que utilizan estos servicios de mensajería instantánea (específicamente se refiere a WhatsApp, Telegram y Signal) para cruzar las listas de contactos de un usuario con su base de datos, solo tenga el número de teléfono de un usuario para verificar si usa el servicio y, de ser así, acceder a su perfil.

Daré un ejemplo para que se entienda mejor: cada cierto tiempo tenemos noticias de que se ha filtrado el número de teléfono personal de una celebridad pública, y una de las operaciones más habituales que realizan las personas que tienen acceso a él es agréguelo a sus listas de contactos para verificar si tiene una cuenta con algún servicio mensajería instantánea para contactar a esa persona. Algo relativamente inofensivo, pero ciertamente muy, muy molesto.

El problema es que dicha información también se puede utilizar para acechar, especialmente si la persona a la que se espía es activa en términos de su perfil de usuario. A diferencia de las redes sociales, donde los usuarios son más conscientes de lo peligrosa que puede ser la exposición pública, en los perfiles de usuario de los servicios de mensajería instantánea, estos problemas se tratan con mucha más laxitud, tanto por los usuarios como por las empresas que los ofrecen.

Así, un hipotético atacante con un sistema relativamente sencillo podría, por ejemplo, escanear toda una gama de números de teléfonos móviles, averiguar qué servicios utiliza cada uno y, en muchos casos, obtener fotos, nombres, horas de la última conexión y otra información. . Esto se debe a que, aunque recientemente han introducido algunos cambios en este sentido, La configuración predeterminada para los servicios de mensajería instantánea es mucho más abierta de lo que recomendaría cualquier experto en privacidad..

En su estudio, los investigadores encontraron que aproximadamente el 50% de los usuarios de WhatsApp de EE. UU. Tienen una imagen de perfil pública y el 90% tiene un texto público «Acerca de». Curiosamente, El 40% de los usuarios de Signal, que se puede suponer que están más preocupados por la privacidad en general, también utilizan WhatsApp., y la gran mayoría de ellos tiene una imagen de perfil público en WhatsApp.

Antes de hacer público el estudio, sus autores contactaron con los responsables de los tres servicios de mensajería instantánea probados, WhatsApp, Telegram y Signal, que ha realizado algunos cambios en las funciones que pueden afectar la privacidad del usuario. No obstante, siempre es recomendable revisar la configuración de privacidad de cada app y servicio y, en caso de duda, si no sabemos a quién llegará lo que publicamos, es mejor no publicar.

Dejar respuesta

Please enter your comment!
Please enter your name here