Los «whatsapps» y el peligro del monopolio
Al hilo de la noticia aparecida en algunos medios sobre que dos expertos en seguridad han conseguido falsear el remitente de un mensaje, el cual se une a la larga lista de despropósitos de este engendro, pienso que la decisión correcta es, efectivamente, no usarlo, pese a que «es lo que tiene todo el mundo».
Todavía está por ver de cuantas maneras nos puede perjudicar el hecho de que confiar la vida misma a esta aplicación mal hecha, agravado por el hecho de que tu usuario queda ligado a tu número de teléfono, el cual queda ligado a tu persona. Es decir, que no es posible utilizar un seudónimo.
Alguien podría argumentar que, dado que la aplicación ha tenido tanto éxito, hay más ojos encima de ella buscando errores y por eso salen más vulnerabilidades. Y estaría en lo cierto, pero eso lo único que viene a demostrar es que no podemos confiar las comunicaciones en un sistema cerrado y no basado en estándares que propicien la interoperabilidad.
El ejemplo perfecto es el correo electrónico y es comparable a la estructura de whatsapp. ¿Qué pasaría con el correo electrónico si funcionara igual que whatsapp?
- No podrías utilizar el cliente que quisieras: Thunderbird, Outlook, Kmail, Webmail de cualquier clase, etc.
- Una vez que te decidieras por un cliente, solo podrías comunicarte con gente con ese cliente. Es decir, si vas con Thunderbird, solo puedes enviar correos a gente con Thunderbird… ¿NO ES ESTO MUY ABSURDO?
- Si se cae el servicio «central» se ha caído todo el correo del mundo mundial, ya que el sistema no confía en una jerarquía de servidores.
- Las empresas no podrían tener su propio servicio de correo aislado de Internet, con lo que todo el mundo podría husmear.
- Nunca podrías cerrar la conexión con el correo, solo podrías hacerlo apagando el ordenador, móvil, tablet, etc.
Pues esa parece ser la tendencia, usar mierdapps que «tiene todo el mundo» porque se han contagiado fácilmente debido a que idearon un sistema que espiaba tu agenda del móvil y hacía que la propagación fuera rápida (a mi esto me suena a virus). ¿qué podemos hacer entonces?
Usar redes libres, abiertas y descentralizadas
El protocolo XMPP/Jabber (http://www.jabberes.org/) es abierto y libre. En él se basan disimuladamente casi todas las aplicaciones de chat porque es muy estable y maduro. Algunas veces implementan el protocolo con modificaciones -whatsapp, gmail- para evitar la interoperabilidad. Así que sí, en teoría sería muy posible hablar desde tu cuenta de chat de gmail hacia whatsapp, telegram y viceversa, pero simplemente no les da la gana.
En la página www.jabberes.org te lo explican mejor, pero el servicio de XMPP/Jabber conforma una jerarquía de servidores, con lo cual:
- Aumenta la disponibilidad del servicio
- Puedes instalarte el cliente que te dé la gana (hay para todas las plataformas, libres y gratis: http://xmpp.org/xmpp-software/clients/)
- Un cliente cualquiera de un sistema operativo cualquiera hablará con otro cliente cualquiera de otros sistema operativo cualquiera (si uno no te gusta o es inseguro, te pones otro)
- Permiten envío de audio, vídeo, imágenes, etc.
- Permiten el cifrado punto a punto de las conversaciones con protocolos de cifrado reconocidos y no comprometidos.
- Te puedes instalar tu propio servidor y por tanto tener tu sistema cerrado de chat, por ejemplo en tu empresa. Así puedes tener «un whatsapp» empresarial pero basado en software que tú controlas.
- Evidentemente, puedes cerrar la sesión.
También hay personas que podrían argumentar que «para cuatro chorradas que digo» les da igual que la app sea una mierdapp. Pero no es cierto, cada vez más empresas confían en esta basura, cada vez más gente dice cosas más importantes y lo que es peor, cada vez más decisiones judiciales se asientan sobre conversaciones extraídas de whatsapp. Así que, hay que replantearse de qué manera nos estamos comunicando.
Y aquí os dejo con un enlace de un buen blog de seguridad, que os explicarán a que nos enfrentamos mucho mejor que yo: Categoría WhatsApp en Un Informático en el lado del Mal y que Dios nos pille confesaos.
Perpetrado el 08 de julio de 2014 por una IN (Inteligencia Natural), la mia, con cierto esfuerzo.
Archivado en categoría(s) Divagaciones, GNU/Linux, Internet, Legal
Oye Daniel, ¿y qué opinión tienes del Telegram?
¡buenas!
de telegram… un poco mejor. Parece que tienen buenas intenciones y se piensan mejor la seguridad y han hecho algunos avances. De hecho hasta insinuan la posibilidad de que te puedas instalar tu propio servidor y montar un entorno federado.
Por ahora, en términos de apertura van un poco mejor, aunque todavía no tenemos control de la parte del servidor, no sabemos lo que está pasando ahí ni podemos garantizar que el cifrado end-to-end esté realmente funcionando, aunque al menos se ofrece.
Por otra parte, me gusta el hecho de que me haya podido instalar un cliente de consola en linux que funciona muy bien, ya que no tengo tarifa de datos y no quiero depender siempre del movil. Lo tengo instalado en una wildfire viejuna sin SIM, que va solo con wifi y la verdad es que bien.
Yo lo consideraría un paso en la dirección correcta, pero lo suyo sería que pudiéramos tener control del servidor, como pasa con las redes libres xmpp/jabber.
Saludos y ¡gracias por comentar!
Buenas Daniel.
Ahora que wasap supuestamente ha implementado el cifrado extremo a extremo, ¿sigue siendo la misma mierda o mejora?
Habría que preguntarse ¿cifrado con qué algoritmos? ¿se reservan una puerta trasera para descifrarlo? ¿es de hecho verdad que lo están cifrando?
En este tipo de programas, no te puedes cifrar de ningún cifrado que hagan ellos (ni siquiera de Telegram), solo te puedes fiar del cifrado que tú harías con tus propias claves GPG, con tu propio programa de cifrado (como OTR).
Solo me creería este movimiento si hubieran permitido que el cifrado lo hicieras tú, o que al menos te dejaran la posibilidad de hacerlo tú con tu propio plugin y con tus propias claves.
Para mi, todo sigue igual.