Usa Tor, usa Signal…es un mantra que se repite en las redes sociales cuando surge el tema de la inseguridad informática. A menudo de forma sarcástica, dando a entender que un asunto se aborda de forma superflua, remitiéndose a tópicos y limitándose a recomendar determinada aplicación, sin mayores explicaciones o análisis técnicos de la cuestión. Sería el equivalente en GNU/Linux, al “eres novato, instala Linux Mint”.
Ello no nos impide reconocer que Signal es posiblemente la aplicación de mensajería más segura, con cifrado de extremo a extremo y con la ventaja adicional de que es software libre, además de multiplataforma, incluyendo un cliente para escritorio en fase beta que funciona razonablemente bien.
A nivel personal me gustaría una mezcla entre Signal y Telegram. Es decir la seguridad y política de cero conocimiento de Signal (para desgracia del FBI y sus citaciones) a la hora de proteger la privacidad de sus usuarios, con todas las capacidades de Telegram.
En todo caso, Signal lo está haciendo cada vez mejor en cada nueva versión, incorporando características que la hacen más atractiva. Entre ellas una tan básica como la capacidad de hacer desaparecer nuestros mensajes al cabo de un tiempo. Algo que en la traducción española del menú figura como “mensajes desvanecentes”.
Lo suficiente para que le de tiempo a leerlos al receptor. Algo que podemos establecer en un tiempo mínimo de 5 segundos o ampliarlo hasta un máximo de una semana.
Es más una cuestión de “higiene” en nuestro dispositivo que otra cosa, porque nada impide al receptor hacer una captura de imagen de la conversación antes de su desaparición.
Aún así en la mayoría de los casos el receptor no debería ser una amenaza (en ese caso quizás no deberías tenerlo en tu lista de contactos…) y puede ser útil a la hora de prevenir que terceros accedan a los datos de nuestras conversaciones, por ejemplo en caso de que cualquiera de los dispositivos sea intervenido, sustraído o simplemente –como en aquella tira de xkcd– te amenacen con golpearte con un palo de $5 hasta que reveles tus indestructibles claves de cifrado 🙂
Verificación de seguridad de cifrado
Otra novedad reciente de la aplicación incluye una mejora en la verificación de la seguridad del cifrado de extremo a extremo con nuestro interlocutor.
Ello se hace comparando una serie de dígitos de identificación con los de nuestro contacto o bien escaneando un código QR. Anteriormente se utilizaba un método más complejo basado en código hexadecimal.
Si todavía no habéis probado Signal, os sugiero que os paséis por Open Whisper Systems –la organización que lleva el desarrollo de este software– y descarguéis la aplicación correspondiente (iOS, Android).
Veo perfecto que empiecen a existir opciones de mensajería instantánea cada vez más funcionales capaces de hacerle frente a whatsapp e incluso a telegram, pero siempre me he preguntado porqué no han proliferado los clientes basados en el protocolo XMPP; aplicaciones como conversations, que ofrecen cifrado punto a punto (en su servidor dedicado) no suelen ser conocidas por el gran público. Yo la uso y si bien no llega al nivel de telegram en cuanto a usabilidad, es una opción más que recomendable en términos de privacidad. Siempre hay que preguntarse quién está detrás de la aplicación y qué fines persigue. Desde mi humilde punto de vista, creo que habría que apoyar los protocolos libres preestablecidos y desdeñar la «comodidad» que nos ofrecen otras aplicaciones cuyos fines pueden ser dudosos. Aprovecho para felicitarte por el blog, que leo casi a diario, y animarte a que sigas así.
Un único protocolo independiente de la aplicación utilizada sería lo ideal, es más sería lo normal. Lo de ahora es una locura. Es como si cuando nació la WWW, cada navegador fuera compatible con un lenguaje html diferente…un atraso total.
Es una pena que XMPP no se haya posicionado entre el gran público y se haya convertido en un estándar. Supongo que nunca tuvo la publicidad, la app de moda o el impulso comercial adecuado.
Un saludo y gracias a ti por seguir el blog 🙂
Ahora tambien ha aparecido Wire…Que hasta se anima a comparativas https://wire.com/privacy/
Gracias, muy interesante, no lo conocía. Lo probaré.
A mi también me parece interesante Wire. Mencionar que comparte el mismo protocolo de cifrado que Signal, aunque para su construcción han utilizado diferente lenguaje de programación (Rust en su caso).
Dicho esto la última vez que miré la parte del servidor todavía la tenían cerrada y era open source unicamente la del cliente. En Signal lo son ambas.
Mi problema con SIgnal y por lo que ni siquiera lo he usado es porque no está en F-droid y no distribuyen la apk de la aplicación por ninguna parte. Todo es única y estrictamente por la tienda de Google la cual por obvias razones no uso.
La única opción que me dan seria compilarla yo mismo pero por el momento desconozco como compilar para Android y no vale la pena ponerme a aprender a ello (quizá en un futuro, ya que me encuentro aprendiendo Java) solo para simplemente PROBAR una aplicación de mensajería.
Signal no está en F-Droid por expreso deseo de sus desarrolladores que no quieren que su software se distribuya fuera de los canales «oficiales». Por otra parte y más importante para mí que lo anterior, es su dependencia de las Google Apps. Como usuario de Cyanogen sin Google Apps no puedo instalar Signal ya que no funciona sin éstas, así que para mi, forzosamente, descartado.
No sabía que era tan dependiente de las Google Apps, ahora me interesa aún menos.
El asunto es que Google no ve lo que haces con la aplicación y los contenidos van cifrados, pero claro si lo que buscas es una independencia total de los servicios de Google, está claro que signal no sirve.
No creo que Wire esté en mejor situación en ese aspecto, aunque se distribuye de forma independiente, también hace uso de los Google Play Services (y cuando no lo hace, no es plenamente funcional)
https://github.com/wireapp/wire-android/issues/5
Google no ve lo que pasa por la aplicación pero el hecho de que utilice Firebase Cloud Messaging (que es el servicio de Google para administrar mensajes en Android) obliga a tener instalado Google Play Services, que sí ve absolutamente todo lo que haces y no haces en el celular.
Yo tengo Wire sin Google y funciona bien porque no usa Firebase Cloud Messaging, así que funciona en todos lados con cifrado de punto a punto, como debe ser.
Por lo que comenta un desarrollador en ese hilo que has puesto, Wire usa Google Play Services para GCM (notificaciones) y para el envío de la localización. En caso de que no tengamos instalado Google Play Services lógicamente no funcionará GCM ni el envío de localización pero Wire en ese caso (y a diferencia de Signal que en ningún caso funciona sin los Play Services) nos provee las notificaciones a través de websocket. Lo he probado y excepto la localización lo demás funciona correctamente.
Justo venía a decir eso. Y no creo que la solución sea compilar tú misma la app, porque de todos modos se utilizan los servidores de Whisper System y el servicio de mensajes de Google.
«A nivel personal me gustaría una mezcla entre Signal y Telegram. Es decir la seguridad y política de cero conocimiento de Signal (para desgracia del FBI y sus citaciones) a la hora de proteger la privacidad de sus usuarios, con todas las capacidades de Telegram.»
¿Y esa alternativa no podría ser Retroshare? Es seguro, multiplataforma, te permite chatear con tus contactos (el chat tiene casi tantas opciones como el viejo MSN/Windows Live Messenger), enviarles archivos e imágenes a tus contactos e incluso se puede conocer gente a través de los «chats públicos» (aunque no parece haber mucha gente en el chat en español).
Todavía no tienen aplicación para Android pero según F-Droid, están trabajando en ello.
Enviame un mensaje a este face
tengo el «soft» de «sistema de loteria» asi lo estudiamos y vemos si de verdad tiene el sistema de algoritmo que tanto dice, vi un comentario tuyo por ahi y esto fue lo mas reciente que encontre tuyo
https://www.facebook.com/Jamaicaa.no.problemm
En el blog de Whisper Systems anunciaron pequeñas mejoras para Signal, entre ellas los stickers. También el uso de «domain fronting» como medida anti-censura para los usuarios de Egipto y de los Emiratos Árabes:
https://whispersystems.org/blog/doodles-stickers-censorship/