Crédito: Dominio público de Pixabay/CC0
Cuando envía un mensaje a través de WhatsApp o iMessage, puede pensar que solo usted y el destinatario pueden leerlo. Gracias al cifrado de extremo a extremo (E2EE), eso generalmente es cierto, pero no es toda la historia, dice el Dr. Nitesh Saxena, experto en ciberseguridad en la Universidad de Texas A&M.
Saxena, profesora de informática e ingeniería y directora asociada del Instituto de Investigación Cibernética Global de Texas A&M, lidera el Laboratorio de Spies, donde, entre otros proyectos, los investigadores exploran cómo el trabajo seguro de mensajes y llamadas como Signal, WhatsApp y Telegram y cómo se pueden mejorar. “Spies” significa seguridad y privacidad en los sistemas emergentes de informática y redes.
El trabajo se publica en las Actas de la Decimocuarta Conferencia ACM sobre datos y seguridad y privacidad de aplicaciones.
Cifrado de extremo a extremo
E2EE asegura que solo el remitente y el destinatario de un mensaje puedan leerlo. “Incluso la compañía que ejecuta la aplicación, ya sea meta para WhatsApp o Apple para iMessage, no puede ver lo que se dice”, dijo Saxena. Los mensajes están encriptados en su dispositivo y se descifran solo en el dispositivo del destinatario, sin pasar por los servidores que podrían verse comprometidos.
Esto es especialmente importante en países con una vigilancia estricta. “Las aplicaciones como la señal están prohibidas o restringidas en China, Arabia Saudita y los Emiratos Árabes Unidos”, dijo Saxena. “A algunos gobiernos no les gusta que se los excluan”.
Pero el cifrado no es infalible.
¿Las aplicaciones seguras son realmente seguras?
Si bien la mayoría de estas aplicaciones protegen contra el espejo casual, Saxena dice que los ataques más sofisticados, como el “hombre en el medio”, son más difíciles de prevenir. En este tipo de ataque, un hacker intercepta sus mensajes y finge ser su contacto en el momento en que agrega un nuevo contacto.
Las aplicaciones intentan evitar esto con “ceremonias de autenticación”, donde los usuarios se verifican entre sí comparando códigos de seguridad a través de un teléfono/videollamada o escaneando códigos QR en persona. El problema es que la mayoría de las personas se saltan este paso, dijo Saxena, y si lo intentan, a menudo se equivocan.
Su laboratorio estudia cómo los usuarios interactúan, y faltan, estos pasos y está desarrollando herramientas de verificación más simples y automatizadas. “Idealmente, deberías poder presionar un botón, y la aplicación verifica todo por ti. Estamos trabajando hacia eso”, dijo.
Error humano en chats grupales
Algunos errores de mensajería ocurren debido al error del usuario, y Saxena dijo que el problema radica en el diseño. “En los chats de grupos grandes, es fácil pasar por alto quién está incluido. Tal vez sea solo un número de teléfono, sin nombre, sin foto. Eso es arriesgado”, dijo.
Su equipo está explorando los cambios de diseño para reducir tales errores, como mostrar imágenes de perfil de todos los destinatarios antes de que se pueda enviar un mensaje.
Cifrado y acceso gubernamental
El cifrado no es solo un problema técnico, es político. Las agencias de aplicación de la ley argumentan que necesitan acceso a chats encriptados para combatir el crimen. Un método propuesto es el “escaneo del lado del cliente”, donde las aplicaciones escanean los mensajes para contenido ilegal antes de estar encriptados.
“Estados Unidos no ha implementado esto (todavía)”, dijo Saxena, explicando que la preocupación es que una vez que existe una puerta trasera, los piratas informáticos, corporaciones o gobiernos pueden abusar de la puerta trasera.
Para contrarrestar esto, el laboratorio de Saxena está desarrollando teclados cifrados que evitan escanear antes de que se compone un mensaje.
Mensajes en todos los dispositivos
Los usuarios modernos a menudo envían mensajes de teléfonos, tabletas y computadoras portátiles, lo cual es conveniente, pero presenta desafíos de seguridad. “Sincronizar mensajes de forma segura en todos los dispositivos no es fácil”, dijo Saxena, y agregó que los métodos actuales como el escaneo de código QR no siempre son seguros.
Su equipo está trabajando en nuevas técnicas criptográficas que permiten la sincronización segura sin exponer mensajes o claves de cifrado.
AI y mensajes
La investigación de Saxena también mira hacia el futuro, donde la IA juega un papel más importante en la comunicación, como ayudar a resumir, escribir respuestas o filtrar spam. Pero, ¿cómo puede el modelo AI, que se ejecuta típicamente en un servidor remoto, si no puede leer sus mensajes?
“Estamos trabajando en técnicas eficientes de cálculo multipartidista, de camino para calcular sobre datos encriptados sin descifrarlo o filtrar algo significativo al respecto”, dijo Saxena. Esto permitiría características inteligentes sin comprometer la privacidad.
Un futuro seguro
En última instancia, Saxena enfatiza que el cifrado solo no es suficiente. “Podemos construir el cifrado más fuerte del mundo, pero si las personas cometen errores, los piratas informáticos explotan las lagunas o las empresas engañan a los usuarios, entonces no importa”.
Su consejo es usar aplicaciones seguras como Signal y WhatsApp, pero comprender sus limitaciones. “Y si su aplicación ofrece una forma de verificar su contacto, tómese un minuto para hacerlo. Vale la pena”.
Más información: Mashari Alatawi et al, automatización de comparaciones clave de huellas digitales en aplicaciones seguras de mensajería móvil: un estudio de caso de señal, procedimientos de la Decimotercera Conferencia ACM sobre datos y seguridad y privacidad de aplicaciones (2024). Doi: 10.1145/3626232.3653251
Proporcionado por la Universidad de Texas A&M
Cita: Spy vs. Spy: los investigadores trabajan para asegurar mensajes (2025, 5 de mayo) Recuperado el 5 de mayo de 2025 de https://techxplore.com/news/2025-05 spy-messaging.html
Este documento está sujeto a derechos de autor. Además de cualquier trato justo con el propósito de estudio o investigación privada, no se puede reproducir ninguna parte sin el permiso por escrito. El contenido se proporciona solo para fines de información.
