Algunas de las aplicaciones para mandar mensajes ampliamente utilizadas Google Hangouts, Facebook chat, Yahoo Messenger y Snapchat, reprobaron la prueba de seguridad de las mejores prácticas, por el grupo de defensa Electronic Frontier Foundation (EFF).
La organización evaluó 39 productos de mensajes basados en siete criterios que considera dichas herramientas deben alcanzar, con el fin de asegurar la privacidad y seguridad de las comunicaciones digitales.
Los productos revisados incluyen aplicaciones de móviles de texto, clientes de mensajería instantánea, software de video llamadas y servicios de correo electrónicos. Los resultados fueron publicados el martes bajo el formato de una tabla de puntajes de mensajería segura.
La EFF no realizó pruebas de vulnerabilidad, o análisis demasiado técnicos de las implementaciones de encriptamiento de los productos reseñados. En vez de eso, los juzgo basado en principios y características que consideró deben ser necesarias para proteger las comunicaciones de la vigilancia de los gobiernos, que incluye una colección de información en tránsito o de proveedores de servicios en línea.
Cuando revisaron las aplicaciones, la EFF se preguntó lo siguiente:
— ¿La aplicación encripta información en tránsito?
— ¿La comunicación es encriptada con una llave a la que el proveedor de servicios no tiene acceso?
— ¿Pueden los usuarios independientemente verificar a sus contactos con los que estén platicando incluso si el proveedor de los servicios se encuentra comprometido?
— ¿Las comunicaciones pasadas se mantienen seguras incluso cuando las llaves de acceso han sido comprometidas?
— ¿El código de comunicación y encriptación se encuentra disponible para revisiones independientes?
— ¿Está el diseño criptográfico del producto bien documentado?
— ¿El diseño del producto y su implementación han sido objeto de una auditoría independiente de seguridad en los últimos doce meses?
Seis aplicaciones, la mayoría de código abierto, satisfacen los requerimientos de la EFF: CryptoCat, una aplicación basada en navegador de mensajería instantánea, ChatSecure, un cliente de chat encriptado para iPhone e Android; TextSecure, una aplicación de mensajes de texto para Android; RedPhone, una aplicación para llamadas encriptadas para Android y Signal, su versión para iOS; Silent Text y Silent Phone, las aplicaciones para llamar y mandar mensajes por el proveedor de comunicaciones seguras: Silent Circle.
Hubo otras que estuvieron cerca, fallando por solo un criterio- la auditoria anual del código, o el seguimiento de los requerimientos de secrecía. Los productos fueron Mailvelope, RetroShare, Subrosa, Jitsi, Adium y Pidgin.
De los productos masivos, iMessage y FaceTime de Apple fueron los mejor calificados, fallando solamente dos requerimientos, la habilidad de codificar para revisiones independientes, y la verificación de contactos fuera de banda. Esto significa que no proveen protección completa contra formas sofisticadas de vigilancia, comentó la EFF.
Otra herramienta ampliamente utilizada fue calificada de forma más severa, alcanzando sólo uno de los siete requerimientos. Este fue el caso de Google Hangouts, Facebook chat, Yahoo Messenger, Snapchat, WhatsApp, Viber, AIM, BlackBerry Messenger y muchos otros. Ninguno de estos productos ofrece encriptación de lado a lado, haciendo estas comunicaciones susceptibles a la vigilancia desde el lado del proveedor.