Tomado de WeLiveSecurity by ESET
Desde que WhatsApp anunció a comienzos de este año la actualización de sus términos y condiciones, una gran cantidad de usuarios han decidido migrar a otras aplicaciones de mensajería como Telegram o Signal. Si bien desde el laboratorio de ESET ya hemos mencionado que eliminar WhatsApp no es la solución para evitar eventuales problemas de privacidad y el uso de información por parte de las empresas, esta es una gran oportunidad para que repasemos las principales características de estas tres aplicaciones y que puedas elegir la que mejor se adapte a tus necesidades.
Quienes están detrás de cada aplicación
Antes de comenzar con el análisis de las funcionalidades y medidas de seguridad de cada una de estas aplicaciones es importante conocer el contexto de cada una de estas apps:
Por un lado, WhatsApp, líder actual en mensajería con más de 2000 millones de usuarios, fue comprada en 2014 por Facebook. A partir de esta compra la aplicación ha ido creciendo en funcionalidades como canales y chats grupales, videollamadas, cifrado de extremo a extremo, y recientemente un sistema de pagos. Es decir, es la aplicación más utilizada, con amplias funcionalidades y que pertenece a uno de los mayores conglomerados empresariales de Internet.
Por otro lado, Telegram, su eterno rival con más de 500 millones de usuarios, pertenece a una organización autofinanciada y sin fines de lucro fundada por los hermanos rusos Nikolái y Pável Dúrov y con sede actual en Dubai. Es una aplicación gratuita y si bien buscan monetizarla en el 2021 para cubrir los gastos de infraestructura, aseguran que no será a través de publicidad ni vendiendo la aplicación a una corporación sino con funcionalidades especiales para usuarios comerciales o premium. Además, los códigos de esta app están públicamente disponibles en su sitio web. Esto hace que la implementación de la app y sus protocolos de seguridad puedan ser fácilmente verificables por toda la comunidad.
Por último, Signal, también es una aplicación de código abierto, cuyas librerías y protocolos se encuentran publicados en github. Si bien Signal comenzó a tomar relevancia en 2015 luego de que Edward Snowden elogiara su privacidad y seguridad en una conferencia, actualmente cuenta con mas de 10 millones de usuarios y un crecimiento exponencial gracias a las recomendaciones de varios expertos y figuras conocidas como Elon Musk.
Este contexto nos ayudará a entender mejor la posición que tiene cada aplicación frente a la privacidad y servicios que ofrece a sus usuarios, así como también las ventajas y desventajas de cada una de ellas.
Qué dicen los términos de servicio y políticas de privacidad de estas apps
Como primer paso, te recomiendo que leas atentamente los términos de servicio y la política de privacidad de cada una de estas aplicaciones, las cuales puedes encontrar aquí:
- Política de privacidad de WhatsApp
- Política de privacidad de Telegram
- Política de privacidad de Signal
Si bien esta tarea puede resultar tediosa, hay que destacar que en los tres servicios los textos son claros y brindan toda la información acerca del uso del servicio.
Si de todas maneras prefieres acudir a un resumen, el sitio Terms of Service; Didn’t Read (o ToSDR) permite obtener información instantánea sobre los puntos principales de los términos y condiciones de los servicios más populares de Internet. Con un buen diseño y colores claros (verde, amarillo, naranja y rojo) nos permite identificar los riesgos a los que exponemos nuestra información en los servicios más utilizados de forma clara y rápida.
Este portal categoriza a Whats App con grado ‘E’, categoría que agrupa a plataformas cuyos términos de servicio plantean preocupaciones de privacidad muy serias. Entre ellos que los datos recopilados pueden ser compartidos con terceros y utilizados con fines publicitarios.
Por otro lado, Telegram y Signal están categorizadas con grado ‘B’, que significa que los términos de los servicios son justos para el usuario, pero podrían mejorarse. Sin embargo, ambas comparten un punto en común a tener en cuenta, ya que aclaran que los términos y condiciones podrían cambiar en cualquier momento y el usuario deberá estar de acuerdo para utilizar el servicio.
Qué información recopila WhatsApp, Telegram y Signal
Dentro de los términos del servicio se detalla también qué información recopila cada aplicación:
Telegram | Signal | |
---|---|---|
Número de teléfono móvil | Número de teléfono móvil | Número de teléfono móvil |
Números de tus contactos (los que usan WhatsApp y los que no) | Nombre de perfil, foto y descripción | |
Nombre de perfil, foto y mensaje de estado | Correo electrónico (para utilizar la verificación de dos pasos y la recuperación de la cuenta) | |
Correo electrónico (para utilizar la verificación de dos pasos y la recuperación de la cuenta) | Números de tus contactos (los que usan Telegram y los que no) | |
Grupos a los que te uniste y listas de difusión en las que estas asociado | Ubicación mediante el GPS (al utilizar las funciones de compartir ubicación) | |
Ubicación aproximada (a través de la IP y el número de teléfono) | ||
Ubicación mediante el GPS (al utilizar las funciones de compartir ubicación) | ||
Información sobre el dispositivo y la conexión: modelo, sistema operativo, navegador, idioma, zona horaria, dirección IP e información de la red móvil (potencia de la señal y proveedor). | ||
Actividad: cómo y cuándo utilizas el servicio (incluido cuando interactúas con una empresa) y el tiempo, la frecuencia y la duración de tus actividades e interacciones. Archivos de registro, informes de diagnóstico, error, y rendimiento |
A simple vista sorprende la cantidad de datos que recopila WhatsApp frente a Telegram o Signal. Esta claro que hay datos esenciales que facilitan el funcionamiento de estas apps, como el número de teléfono, el perfil del usuario o los contactos. Si bien el resto de los datos que WhatsApp recolecta son utilizados para mejorar la experiencia del usuario, proveer soporte e integrarlo con otras aplicaciones de Facebook, entre otras cosas, también resulta un poco excesivo en términos de privacidad.
Por otro lado, si te estas preguntando cómo hace Signal para sincronizar tus contactos con la app sin recopilar esta información y preservando la privacidad, puedes leer este artículo publicado en su blog sobre la implementación del cifrado y filtros bloom para su función de ‘Contact Discovery’. Otro aspecto de privacidad interesante es que tanto la foto como la información de perfil de cada usuario es compartida a través de un canal cifrado con el resto de los contactos, por lo que tampoco es accesible para el servidor.
Principales funcionalidades de privacidad y seguridad de WhatsApp, Telegram y Signal
Revisemos entonces las funcionalidades de cada aplicación en términos de seguridad. En esta sección no vamos a entrar en detalle acerca de las funcionalidades prácticas para el usuario, como las llamadas grupales o el uso de emojis, ya que las tres aplicaciones resultan bastante similares en estos términos y cada uno puede tener sus propias preferencias en cuando a estas características. Lo que analizaremos son las funcionalidades y aspectos relevantes a la privacidad y protección de la seguridad de los mensajes y datos enviados.
Funcionalidad | Telegram | Signal | |
Cifrado ‘Extremo a extremo’ | Mensajes Si. Metadatos No | Solo en chats secretos | Si, incluso metadatos |
Eliminar mensajes | Si | Si | Si |
Mensajes temporales (Autodestrucción) | Si, después de 7 días. | Si. En 1 o 7 días en chats normales. A partir de 1 segundo en chats secretos. | Si |
Backup | Si. Sin cifrar en Google Drive | Si. En nube propia. | Solo local |
Verificación en dos pasos | PIN opcional | PIN opcional | PIN de bloqueo por defecto |
Bloqueo de aplicación | Si, por huella | Si, pin y huella | Si, bloqueo Android |
Bloqueo de capturas de pantalla | No | Solo en chats secretos | Si |
Enmascarar IP en Videollamadas | No | Si | Si |
Remitente confidencial | No | Parcial | Si |
Notificaciones sin contenido | No | Si | Si |
El primer aspecto de seguridad que es importante destacar es que las tres aplicaciones cuentan con cifrado de extremo a extremo en sus mensajes. Esto quiere decir que los mensajes son cifrados en el dispositivo del emisor y descifrados en el del receptor. Es decir, que los mensajes viajan cifrados durante toda la comunicación, por lo que ni siquiera los servidores de la propia aplicación son capaces de descifrar y leer esos mensajes. En las tres aplicaciones tus conversaciones son privadas. Sin embargo, WhatsApp no cifra los metadatos, es decir, información adicional como por ejemplo a quien está dirigido el mensaje (y los datos mencionados al principio) y este tipo de información puede utilizarse para deducir con quien hablas, a que hora, cuanto tiempo, etc.
En el caso de Telegram el cifrado de extremo a extremo sólo está disponible en mensajes secretos. Sin embargo, las comunicaciones normales también están cifradas entre el cliente y el servidor con un protocolo propio de Telegram llamado MTProto que está disponible en su sitio y ha resultado ser muy seguro. Esto se debe principalmente a que Telegram es un servicio basado en la nube, lo cual tiene algunas ventajas, como almacenar un backup cifrado y no depender de la conexión del teléfono para utilizar su versión web o de escritorio. Si te roban el teléfono o te quedas sin batería, podrás seguir usando el mensajero en tu computadora sin ningún problema.
Dentro de otros aspectos destacables en las tres aplicaciones tenemos la verificación de dos pasos, configuración esencial para que no nos clonen o roben la cuenta. Las tres aplicaciones cuentan con la posibilidad de bloquear la aplicación con un pin o la huella digital, para evitar que otros lean nuestros mensajes cuando el teléfono se encuentra desbloqueado. Además, Telegram y Signal suman a esto la opción de recibir notificaciones sin contendido para no develar textos ni remitentes cuando recibimos un mensaje.
En lo que respecta a eliminar mensajes enviados, las tres aplicaciones cuentan con esta opción. Además, en Signal y Telegram se suma la posibilidad de ‘autodestruir’ un mensaje una vez que fue leído por el receptor. En el caso de Whats App esta opción esta disponible una vez que pasaron 7 días de la recepción del mensaje, un tiempo demasiado prolongado frente a los minutos o segundos que ofrecen sus competidores. Además, tanto en Telegram como en Signal se provee de un sistema de bloqueo de capturas de pantalla, lo que si bien no asegura que no se saque una foto desde otro dispositivo, agrega una protección extra y permiten anonimizar la dirección IP del remitente en videollamadas.
Por último, Signal suma algunos puntos extras ya que permite enviar mensajes sin revelar el número de teléfono o perfil del emisor.
Conclusión
Cada aplicación tiene ventajas y desventajas. WhatsApp cuenta con amplias funcionalidades de comunicación y es la aplicación más utilizada, por lo que probablemente sea mas práctica para comunicaciones diarias o con aquellos contactos que no utilizan otra aplicación. Sin embargo, al utilizarla estas cediendo datos e información que está siendo utilizada por el conglomerado Facebook. Telegram se ubicaría en un lugar intermedio entre Signal y WhatsApp, con una cantidad de usuarios en aumento y cada vez mas popular. Si bien pertenece a una empresa privada, recopila muchísima menos información y tiene las mismas (o incluso más) prestaciones que WhatsApp. Sin embargo, si decides utilizarla recuerda usar los chats secretos para tus comunicaciones privadas.
Por último, Signal es claramente la aplicación que mejores funcionalidades de seguridad posee, además de garantizar la privacidad de tu información. Sin embargo, aún es una aplicación poco difundida y quizás muchos de tus contactos no la estén utilizando.