Si está buscando enviar mensajes personales de forma segura, la señal es una excelente opción. ¿Si usted es un funcionario del gobierno que discute información clasificada? No tanto.
También lo es el caso con los funcionarios de la administración Trump: el mes pasado, supimos que los planes de guerra altamente sensibles estaban siendo discutidos en los chats del grupo de señales, después de que Jeffrey Goldberg, editor en jefe del Atlántico, fue agregado accidentalmente a la conversación por el entonces asesor de seguridad nacional de Estados Unidos, Mike Waltz. (Desde entonces, Trump despidió a Waltz, y luego lo nominó para ser embajador de la ONU).
‘Signalgate’ continúa
Hay muchas razones por las cuales la “estrategia de señal” de la administración es problemática, pero los problemas no terminaron allí. El jueves, Reuters publicó una fotografía de Mike Waltz durante una reunión del gabinete en la Casa Blanca. Si bien hay muchas personas importantes en la fotografía a las que prestar atención, 404 medios se concentraron en vals, específicamente, su iPhone. La salida vio que Waltz tenía lo que parecía ser un hilo abierto con funcionarios como Tulsi Gabbard (director de inteligencia nacional), Marco Rubio (Secretario de Estado) y JD Vance (Vicepresidente), con el mensaje de verificación de PIN que la señal enviará a los usuarios para mantener sus credenciales frescas en sus mentes.
Sin embargo, 404 Media vieron que esta no era la ventana emergente habitual de verificación de PIN de Signal: el mensaje dice “TM SGNL PIN”, que es la pantalla de verificación de pin para Telemessage, un “clon” de señal que se anuncia como una forma de archivar sus mensajes de señal. Si bien la aplicación afirma que no rompe el sistema de mensajería segura de Signal para archivar mensajes, 404 Media informa que el servicio como anunciado tiene muchas vulnerabilidades de seguridad.
Tampoco tardó mucho en que esas vulnerabilidades se manifiesten en un desastre. El domingo, 404 Media informó que un hacker irrumpió en las redes de Telemessage y robó los datos de los clientes. Si bien el hacker no tomó todo, obtuvieron algunos DMS y chats grupales, además de datos de versiones modificadas de otras aplicaciones de chat, como WhatsApp, Telegram y WeChat, todo en aproximadamente 15 a 20 minutos de piratería. 404 Media dice que el hacker no accedió a los chats de Waltz ni a las conversaciones de ningún miembro del gabinete, pero sí accedieron a los nombres de los funcionarios del gobierno y la información de contacto, las credenciales para iniciar sesión en el panel de backend de Telemessage (la herramienta que permite a los administradores de telemessage administrar el servicio), así como información que señala qué agencias podrían usar Telemessage.
Algunos de los mensajes robados parecían mostrar una discusión sobre un esfuerzo continuo para generar votos en apoyo de un proyecto de ley de criptomonedas. Un texto decía: “Acabo de hablar con un miembro del personal de D en el lado del Senado: 2 copatrocinadores (Alsobrooks y Gillibrand) no firmaron la carta de oposición, por lo que piensan que el proyecto de ley todavía tiene buenas posibilidades de aprobar el Senado con 5 DS más que lo respaldan”. El truco no expone información clasificada, pero sí reveló conversaciones políticas de que los remitentes probablemente nunca tuvieron la intención de imprimir en la prensa.
¿Por qué es inseguro de telemessage?
Para comprender por qué el telemessage no es un servicio seguro, y por qué es increíble que una agencia gubernamental confíe en él para conversaciones clasificadas, debe comprender qué hace que la señal sea segura.
Los chats de señal están encriptados de extremo a extremo. Eso significa que cuando hablas con alguien sobre la aplicación, solo tú y el destinatario pueden acceder a la conversación. Cuando envía un mensaje, ese texto está encriptado en tránsito y se descifra cuando llega al dispositivo del otro usuario. Si alguien interceptara el mensaje en tránsito, parecería una lucha de código, solo los dispositivos de las personas en el chat pueden descifrar el mensaje y devolverlo a una forma legible.
Debido a esta configuración, ni siquiera la señal puede acceder a sus mensajes. Ninguna autoridad puede obligar a la señal a liberar sus mensajes, ya que la empresa en sí no tiene acceso a lo único que puede descifrar los mensajes: su dispositivo. Incluso si alguien pirateó la base de datos de Signal, no tendrían suerte.
Telemessage, por otro lado, rompe esa cadena de seguridad. Para archivar esos mensajes, Telemessage primero debe interceptarlos como texto sin formato y almacenarlos. Si bien la compañía dice que lo hace mientras mantienen la seguridad, el hecho de que este hacker pudo obtener DMS demuestra que el cifrado de extremo a extremo se rompe. La información robada se tomó de los datos capturados para “fines de depuración”, una filtración no deseada de datos descifrados en la cadena de seguridad de Telemessage. No importa si el servicio almacena todos los mensajes en un archivo encriptado: la compañía maneja los datos descifrados de maneras inseguras, lo que deja abierto para que los hackers accedan.
Incluso antes del hack, 404 Media era escéptico sobre la seguridad del servicio, ya que anunciaron archivando estos mensajes “encriptados de extremo a extremo” en Gmail, una plataforma que infamemente no está encriptada de extremo a extremo. (Aunque Telemessage dijo que el aspecto de Gmail era solo para una “demostración”). La salida también destaca cómo la señal no garantiza la privacidad y la seguridad de las versiones no oficiales de su aplicación.
¿Qué piensas hasta ahora?
La señal es excelente para uso personal, no información clasificada
La señal, y otros servicios cifrados de extremo a extremo como este, son excelentes para la seguridad personal. No pueden acceder a sus mensajes a nadie sin acceso físico a los dispositivos de confianza involucrados, lo que contribuye en gran medida a proteger su privacidad digital.
Pero el cifrado no es la única preocupación de seguridad aquí. Todavía hay muchas vulnerabilidades y puntos débiles cuando se trata de comunicación digital de cualquier tipo, incluido el cifrado de fin a extremo.
Los piratas informáticos saben que estos mensajes solo pueden ser descifrados por los dispositivos involucrados. Entonces, una excelente manera de romper esa seguridad es piratear los dispositivos mismos. Los piratas informáticos usan malware como “Pegasus” para guardar silenciosamente en el dispositivo de un objetivo y acceder a datos confidenciales, datos encriptados incluidos.
Los piratas informáticos rutinariamente se dirigen a personas de alto perfil con este tipo de malware, tanto que Apple emite una advertencia regular a los usuarios afectados. Waltz no es una excepción: en opinión de Mike Casey, el ex director de contrainteligencia y centro nacional, existe un “cero por ciento de posibilidades de que alguien no haya intentado instalar Pegasus o algún otro spyware en el teléfono (Mike Waltz) … Es uno de los cinco principales, probablemente, probablemente, la mayoría de las personas dirigidas en el mundo por espionaje”.
Por supuesto, esa es solo la preocupación con su propio dispositivo personal. También tienes que preocuparte por el otro extremo de la conversación. Si está chatando con alguien en una aplicación de chat cifrada, y su teléfono está comprometido, no importa cuán seguro sea: sus mensajes son vulnerables. Ni siquiera necesitan ser pirateados: podrían dejar su teléfono desbloqueado para que cualquiera pueda recoger y acceder. Y si está hablando en chats grupales, como lo han sido los funcionarios de la administración de Trump, las implicaciones de seguridad solo se multiplican.
Existe un riesgo involucrado en toda la comunicación digital: depende de usted decidir qué nivel de riesgo vale los datos que está transfiriendo. Para la mayoría de las conversaciones personales, probablemente esté bien pegarse con un servicio encriptado como una señal. Sin embargo, si está discutiendo detalles que podrían poner vidas en riesgo, podría ser mejor mantenerlo en el SCIF.
