Enviado por Edu4rdSHL el Lun, 23/04/2018 - 21:12
Threema

Como todos conocemos cada día el avance tecnológico es mayor, las redes de comunicación son cada día mas grandes, hay mas posibilidades de estar "conectados" con las personas que queremos. Por supuesto hay miles de alternativas para lograrlo, cada día existe mas software, mas servidores, mas protocolos de comunicación, mas personas desarrollando, etc. Para los usuarios "normales", aquellas personas que no conocen nada de protocolos de seguridad, privacidad y/o temas relacionados con lo mencionado anteriormente, solo les gusta que se puedan ver, llamar, enviar imágenes, archivos, etc. sin importarles lo que en realidad están haciendo con sus datos personales, sin saber de que manera están ayudando al mercado publicista, sin saber que muchos saben lo que están haciendo entre otras cosas mas. Por otro lado estamos quienes nos preocupamos por nuestra seguridad, por la encriptación de datos, los que conocemos diferentes protocolos de cifrado, protocolos de comunicación y demás cosas. En nuestro post anterior explicamos la manera de navegar de manera segura y evitar ser rastreado, ademas de incluir un link a otro post donde habíamos explicado como mantener nuestra anonimidad en la red, en cuanto a nuestra dirección IP concierne. Pues bueno el día de hoy nos vamos a dedicar a llevarles a todos ustedes esa misma privacidad pero no a nivel de navegación, sino a nivel de nuestra manera de comunicarnos, sea por mensajes de texto o llamadas, ademas de explicar algunos tips extra para mantener un control sobre lo que hacemos cada vez que usamos aplicaciones de mensajería instantánea y/o videollamadas.

## ¿Cómo funciona la mensajería instantánea (IM)? ##

La mensajería instantánea se basa en el uso de programas conocidos como clientes de IM (IM clients, en inglés) que se instalan en una computadora o dispositivo móvil. Para que dos personas se puedan comunicar usando IM, cada uno debe tener instalado uno de estos programas, que se conectan entre sí mediante un servidor para enviar mutuamente mensajes de texto e imágenes pequeñas. La forma en que la comunicación ocurre se puede describir como sigue:

1) Usando un cliente de IM, tecleas tu usuario y contraseña.

2) El cliente se conecta a un servidor usando Internet y algún protocolo de comunicación, que es usualmente específico para el servicio que estés usando.

3) El servidor verifica tu identidad y crea un registro temporal de tu conexión y los contactos que tienes en tu lista.

4) El servidor verifica quiénes de tu lista de contactos está en línea y le da esa información al cliente, que a su vez hará lo necesario para mostrártelos (usualmente cambiando su estado a “en línea”). Asimismo, les indicará a los clientes de esos contactos que tú estás en línea.

5) Seleccionas una persona a la que le enviarás un mensaje. Tecleas tu mensaje y lo envías. En este momento tu software cliente sabe a qué IP y puerto enviar el mensaje y el cliente de tu contacto le muestra el mensaje.

6) La otra persona te escribe un mensaje, repitiendo el proceso y así llevando a cabo una conversación.

7) Cuando cierras tu cliente, el servidor se da cuenta de que estás fuera de línea y le comunica a los clientes de tus contactos que ya no estás en línea. El servidor destruye el registro temporal que se había creado cuando te conectaste (En el mejor de los casos) o simplemente cambia tu estado sin eliminar nada (Como hacen la mayoría).

## ¿Que problemas tiene usar el software incorrecto para IM (Mensajería Instantanea)? ##

Cada vez que estableces una conexión a un servidor, este exige una serie de requisitos para verificar tu identidad, entre ellos se encuentran:

1) El tipo de dispositivo que estas usando para iniciar sesión.

2) La dirección IP de la que se origina la peticion al servidor.

3) Tu dirección de correo electronico, contraseña, DNI y/o numero de telefono movil en caso de ser requerido.

4) El fingerprint de tu dispositivo, entre otras cosas de menor importancia.

Ya lo sé, mucha charla pero ¿Cual es el problema? El problema se enfoca en que con el solo hecho de iniciar sesión estamos enviando una cantidad de información impresionante a nuestro proveedor de dicho servicio. Puede no parecer importante, pero hoy en día son tan comunes los ataques a servidores que proveen este tipo de servicios como Whatsapp, Telegram, VK, Instagram, Linkedin, y otras más. Puede ser que nuestro software cifre todos nuestros datos, como puede ser que los envíe en texto plano, como lo hacía Whatsapp hace unos años, en este ultimo caso, una persona que logre hacer algun tipo de ataque en la red que estas conectado, obtendría acceso a toda tu información sin ningun problema. Este es el apartado menos significativo por así decirlo, puesto que hoy día la mayoría de clientes IM cifran tus datos al enviarlos. ¡Ahora viene lo mas importante LAS POLÍTICAS DE PRIVACIDAD Y USO que usan tus proveedores!.

¿Qué es una política de privacidad?

En este espacio se debe ser claro en cuanto al uso que los encargados del sitio le darán a la información que el usuario proporcione. Principalmente si hacemos uso de formularios en donde se solicitan datos personales del mismo. También, está política debe aclarar sobre el uso de sus datos para garantizar que no se le enviará spam ni información no solicitada por el usuario. En cuanto a la publicidad se le debe aclarar al usuario sobre la misma, de qué forma se utiliza y cuando la encontrará en el sitio. Un aviso de privacidad es también una promesa, no es suficiente con simplemente poner tal aviso, se debe cumplir y explicar claramente que SI se hará con sus datos. Para promover de manera eficaz la seguridad y la confianza en usted y en su sitio web, las disposiciones de un aviso de privacidad también debe ser aplicado plenamente en el marco de un concepto más amplio de política de privacidad. En resumidas palabras es donde se dirá que se hará con tus datos.

¿Qué es una política de uso?

Está debe aclarar al usuario con un texto bien redactado y de manera muy formal, los términos de uso que el usuario puede hacer del contenido, fotografía, herramientas y servicios que el sitio proporciona. Se debe ser claro en cuento al uso de licencias y derechos de autor, la manera adecuada para promover o manejar el contenido del sitio en otros medios. Este espacio busca aclarar todas las dudas de los usuarios con respecto al uso que este puede darle al software o sitio. Además, existen sitios web o programas que utilizan este espacio, para aclarar sobre el uso de los servicios y herramientas que proporcionan al usuario. Dejando claro cuales son incluso las consecuencias de un mal uso del mismo. Es resumen, te diran de que no se hacen responsables los desarrolladores de dicho software. Habiendo entendido que significa cada una, es momento de decir claramente en que nos afecta esto. Una política de privacidad en la cual solo se nos muestre que NO harán con tus datos pero no te dirán que SI harán con tus datos, es una política de privacidad dudosa, expuesta a monitoreos por parte del gobierno, espionaje masivo, etc. donde colocaran en riesgo tus datos e integridad. Por otra parte una política de uso en la cual se nos limite abusivamente el uso que le damos al software, no nos digan que seremos llenados de anuncios, que se nos bloqueara por X circunstancia y demás, es una mala política de uso, aunque no nos enfocaremos en ella ahora mismo.

## CLIENTES DE MENSAJERÍA INSTANTÁNEA Y VOIP QUE PROTEGEN TUS DATOS Y TU PRIVACIDAD. ##

1) Signal Private Messenger:

Signal

 

 

 

 

Signal es una aplicación móvil y que puede ser usada para escritorio tambien mediante una aplicación de Chrome, desarrollada por Open Whisper Systems. La aplicación ofrece cifrado de extremo a extremo  de mensajería instantánea y llamadas telefónicas.. Signal es libre y de código abierto, permitiendo que cualquiera pueda comprobar su seguridad recurriendo a la revisión del código. También se admiten grupos de chat cifrados de extremo a extremo. El equipo de desarrollo está apoyado por donaciones y subsidios de la comunidad. No hay anuncios, y no cuesta nada para usar. Los desarrolladores de Signal han estado trabajando en la mejora de nuestro protocolo de chat asíncrono cifrado para TextSecure. El protocolo TextSecure fue originalmente un derivado de la OTR (Off The Record Messaging), con cambios menores para acomodarlo para transportes con limitaciones como SMS o Push. Algunos de los recientes cambios que han hecho incluyen la simplificación y mejora del OTR, así como la creación de un mecanismo de intercambio de claves asíncrono. Su cambio más reciente incorpora lo que creen que es una mejora sustancial para reenviar las claves secretas de OTR. OTR (Off The Record Messaging) es un protocolo criptográfico que proporciona un cifrado extremadamente fuerte para conversaciones de mensajería instantánea. OTR utiliza una combinación del algoritmo AES de claves simétricas, el protocolo de intercambio de claves Diffie-Hellman y la función hash SHA-1. Además de la autenticación y el cifrado, OTR aporta una confidencialidad directa perfecta y cifrado maleable. Signal Private Messenger puede ser descargada des su pagina web oficial para clientes de escritorio y en la Play Store/App Store para Android/iOS respectivamente. Si deseas descargar el cliente para android que no requiera los Google Apps Services lo puedes hacer desde https://signal.org/android/apk, si quieres conocer a fondo cómo funciona la aplicación puedes leer esta publicación.

2) Escritorio - Mensajería XMPP con Gajim (Cifrado OMEMO): Gajim es un cliente de mensajería instantanea (IM) de codigo abierto que soporta la mayoría de protocolos de comunicacion. Para configurar OMEMO revise esto https://wiki.archlinux.org/index.php/Gajim#OMEMO_Support. Gajim esta disponible actualmente para GNU/Linux y Windows, para MAC OS están disponibles Adium, Dino y Monal.

3) Celular - Mensajería XMPP con Conversations (Cifrado OMEMO):

Conversations

Conversations es una aplicación de mensajería de código abierto que cuenta con cifrado OMEMO sobre XMPP. Puede conectarse a su cuenta existente en Google, crear nuevas cuentas de los servidores públicos XMPP (incluso a través de Tor), o incluso conectarse a su propio servidor para mayor seguridad. Conversations sólo utiliza las bibliotecas criptográficas de código abierto conocido para mantener sus conversaciones privadas. Para instalarlo se puede hacer desde su pagina web oficial. No explicaremos como configurarse puesto que trae OMEMO por defecto. Si deseas conocer más acerca del protocolo OMEMO, lee https://securityhacklabs.net/articulo/que-es-omemo-el-protocolo-de-cifr…

4) Threema

Threema

Threema es una aplicación de mensajería instantánea , con cifrado de extremo a extremo, para iOS, Android y Windows Phone. Además de los mensajes de texto, los usuarios pueden hacer llamadas de voz para enviar mensajes multimedia, ubicaciones, mensajes de voz y archivos.

La aplicación Threema se puede utilizar de forma anónima, ya que no requiere ninguna información de identificación personal, como un número de teléfono o una dirección de correo electrónico. Para conocer porque a pesar de ser de cpodigo cerrado, recomendamos Threema, lee esto: https://github.com/edu4rdshl/blog/blob/master/why-use-threema.md

No recomendamos el uso de Whatssap, Telegram, Instagram, Facebook, ni cosas relacionadas con Google, Microsoft y Facebook por razones de seguridad. Explicare brevemente las razones.

1) Whatssap: Whatssap a pesar de que ha ido evolucionando y a llegado a cierto grado de seguridad (No se sabe que tan cierto sea), a llegado al punto de querer usar tus datos para promover anuncios "adecuados" para ti en facebook, lo cual es una grave falta de respeto a nuestra privacidad, es vulnerable al ataque SS7 lo cual permite desde leer tus mensajes hasta escuchar tus llamadas.

2) Telegram: A pesar de la gran influencia de Telegram en el mundo de la mensajería, y sabiendo que es enfocado a la seguridad, es de código abierto y demás, no es muy seguro debido a las siguientes razones: Es vulnerable al SS7 con lo cual se pueden robar sesiones, códigos de inicio de sesión entre otros. Su criptografía es facilmente vulnerable hasta el punto de poder interceptar "chats secretos". Ha sido hackeado en varias ocasiones (Solo 15 millones de cuentas). Almacena  todos tus mensajes en sus servidores, así que si se tiene acceso a sus servidores se tiene acceso a todos los logs, etc y no encripta conversaciones (personales/grupales) por defecto.

3) Instagram: Es parte de facebook, malas politicas de privacidad, múltiples fallos de seguridad.

4) Facebook: Usa recolección de tu información para ofrecerte anuncios. Su política de privacidad es de las peores (no respeta en nada al usuario al punto de meterse en whatssap). Muchas cosas mas.

## NUESTRAS RECOMENDACIONES ##

Como es habitual al final de cada post siempre hacemos un apartado de nuestras recomendaciones personales y basadas en nuestra experiencia, estas són:

1) Use Signal en su móvil y PC para cualquier tipo de comunicación.

2) Use TOR con Ricochet para chats anónimos sin necesidad de dar ningún dato personal tuyo.

3) Use Pidgin + OTR + TOR para conversaciones 100% seguras en tu computadora.

4) Use Conversations + OMEMO + TOR para conversaciones 100% seguras en tu celular.

Aunque estas aplicaciones hagan mucho por si mismas, recuerda que el mejor método de protección depende de ti.

Síguenos en Facebook, Twitter, unete a nuestra charla en Riot, únete a IRC o únete a Telegram y no olvides compartirnos en las redes sociales. También puede hacernos una donación.

Acerca del autor

Especialista en Seguridad Informática bajo certificación OSCP, experto en técnicas de privacidad y seguridad en la red, analista de criptografía, Fundador de Security Hack Labs. Desarrollador de BlackArch Linux. Twitter: @edu4rdshl XMPP: edu4rdshl@conversations.im Threema ID: 736WU8VV