- El gobierno federal reveló recientemente una campaña de piratería masiva llamada Salt Typhoon que comprometió a las empresas de telecomunicaciones más grandes del país, incluidas AT&T y Verizon, y que agencias como la Oficina Federal de Investigaciones dicen que fue orquestada por China.
- Si bien los objetivos del ciberataque eran en su mayoría "de alto valor", como funcionarios del gobierno, el FBI, CISA y la Agencia de Seguridad Nacional publicaron una guía conjunta para ayudar a proteger a los estadounidenses después del ataque.
- Una sugerencia es utilizar el cifrado de extremo a extremo, un método que hace que las comunicaciones sean más seguras.
- Piénselo dos veces antes de enviar su próximo mensaje de texto. O mejor aún, asegúrese de estar utilizando un método de cifrado de extremo a extremo.
Los consumidores utilizan habitualmente distintos tipos de tecnología de mensajería de las mayores empresas de tecnología, como Apple, Alphabet y Meta Platforms, entre ellas iMessage, Google Messages, WhatsApp y SMS, pero el nivel de protección varía. Ahora, el gobierno de Estados Unidos está expresando una mayor preocupación tras un reciente ataque masivo a las mayores empresas de telecomunicaciones del país.
El mes pasado, la Agencia de Seguridad Cibernética y de Infraestructura y el Buró Federal de Investigaciones revelaron una campaña de piratas informáticos asociados con China, Salt Typhoon, que comprometió a AT&T y Verizon, entre otras, y fue uno de los mayores ataques a la infraestructura estadounidense de la historia. Tras esa advertencia, la CISA, la Agencia de Seguridad Nacional, el FBI y socios internacionales publicaron una guía conjunta para ayudar a proteger a los estadounidenses. Una sugerencia es utilizar el cifrado de extremo a extremo, un método que hace que las comunicaciones sean más seguras.
El cifrado de extremo a extremo (end-to-end encrypted messaging) ayuda a garantizar que solo los destinatarios previstos puedan leer sus mensajes mientras viajan entre su teléfono y el teléfono de otra persona. Las aplicaciones de mensajería segura utilizan cifrado de extremo a extremo para proteger las comunicaciones de piratas informáticos, vigilancia y acceso no autorizado, por lo que ni siquiera los proveedores de aplicaciones de mensajería pueden leer sus mensajes.
"En igualdad de condiciones, si tiene la oportunidad de utilizar una plataforma que esté cifrada de extremo a extremo, debería hacerlo", dijo Michael Hughes, director comercial de Duality Technologies, que permite a las organizaciones compartir y analizar datos confidenciales mediante cifrado.
Muchos consumidores no conocen sus opciones para comunicarse de forma segura a través de aplicaciones de mensajería. Estos son los conceptos básicos.
WhatsApp y Signal, entre las mejores opciones de extremo a extremo
Los consumidores utilizan diferentes aplicaciones de mensajería para diversos fines, a menudo sin pensar dos veces en la seguridad. Sin embargo, existen diferencias notables entre las plataformas que las personas deben conocer.
Desde una perspectiva de seguridad, las aplicaciones de mensajería gratuitas como WhatsApp de Meta y Signal (cuyo cofundador fue uno de los creadores de WhatsApp) se consideran las mejores porque incorporan cifrado de extremo a extremo. Eso hace que estas aplicaciones sean muy preferibles a los SMS y MMS, dos métodos de mensajería más antiguos que no ofrecen cifrado de extremo a extremo, dijo Trevor Horwitz, fundador de TrustNet, un proveedor de servicios de ciberseguridad y cumplimiento normativo.
Incluso las plataformas consideradas las mejores en cifrado de extremo a extremo tienen desventajas. Signal es una de las favoritas entre muchos entusiastas de la privacidad porque su misión enfatiza no recopilar ni almacenar información confidencial. Esto puede ser especialmente atractivo para las personas que desconfían de Facebook, la empresa matriz de WhatsApp, y sus prácticas de privacidad. La desventaja de Signal es que no se usa tanto como WhatsApp y, si tus contactos no están en ella, no puedes comunicarte, dijo Roger Grimes, analista de KnowBe4, un proveedor de plataformas de seguridad.
También hay aplicaciones de mensajería pagas que están cifradas de extremo a extremo, como Threema. Es privacidad por diseño y no se requiere número de teléfono ni dirección de correo electrónico, pero cuesta unos pocos dólares y conseguir que tus amigos y familiares se unan cuando hay opciones gratuitas que ya son populares puede ser un desafío.
La mayoría de las personas usarán el cifrado "si es predeterminado y no tienen el más mínimo inconveniente", dijo Grimes.
RCS e iMessage
Muchas plataformas de mensajería ahora usan RCS, que significa Rich Communication Services. Es un sucesor de SMS y MMS que tiene características mejoradas y también ofrece la capacidad de cifrado de extremo a extremo, aunque no de forma predeterminada en todos los dispositivos. Por ejemplo, los mensajes RCS que usan Google Messages se actualizan automáticamente a cifrado de extremo a extremo, pero la implementación de RCS de Apple en iPhones no está cifrada de extremo a extremo, dijo Horwitz.
Para cualquier usuario de dispositivo Apple, la aplicación iMessage patentada de la compañía está cifrada de extremo a extremo, pero para los usuarios que envían mensajes RCS a través de otro plan de texto, la aplicación RCS es una opción segura y confiable.
En el caso de los mensajes de texto, como por ejemplo la opción de mensajes de texto de un operador de telefonía móvil, no se ofrece cifrado de extremo a extremo. Como explica Apple sobre el envío de mensajes a través de opciones RCS que no sean iMessage: "No están protegidos de que un tercero los lea mientras se envían entre dispositivos".
Además, no todos los dispositivos son compatibles con RCS y no es universalmente compatible con los operadores. Además, existen problemas de compatibilidad entre algunos dispositivos iPhone y Android que todavía se están resolviendo, dijo Horwitz.
Brechas de cifrado de Facebook Messenger
Es aún más complicado porque las empresas de tecnología tienen múltiples productos de mensajería y no todas las aplicaciones de un proveedor en particular admiten el cifrado de extremo a extremo de la misma manera. Por ejemplo, Facebook Messenger ofrece mensajes cifrados de extremo a extremo, pero no en todos los casos. Según Facebook, algunos productos actualmente no admiten el cifrado de extremo a extremo, como los chats comunitarios para grupos de Facebook, los chats con empresas o cuentas que utilizan herramientas de mensajería empresarial, los chats de Marketplace y otros.
Los consumidores deberían intentar investigar más a fondo las aplicaciones que están usando para entender cómo funciona el cifrado de extremo a extremo para una aplicación en particular, dijo Deirdre Connolly, ingeniera de investigación de estandarización de criptografía en SandboxAQ, un desarrollador de aplicaciones de IA. Esta información suele estar disponible en la sección de soporte o privacidad del sitio web de un proveedor. Pero incluso así, puede ser difícil de encontrar y descifrar. "Hay que leer la letra pequeña", dijo Connolly.
Google vs. Apple
Google Messages es la aplicación de mensajería predeterminada en muchos dispositivos que ejecutan el sistema operativo Android y muchas personas la usan para comunicarse, pero los consumidores deben comprender que no todos los mensajes enviados o recibidos mediante la aplicación están cifrados de extremo a extremo. La aplicación admite el cifrado de extremo a extremo cuando se envían mensajes a otros usuarios que usan Google Messages a través de RCS, según la empresa. Pero los mensajes no están cifrados de extremo a extremo cuando se comunican con un usuario de iPhone, por ejemplo. Los mensajes de texto aparecen en azul oscuro en el estado RCS y azul claro en el estado SMS/MMS. Los usuarios también verán un símbolo de candado cuando el cifrado de extremo a extremo esté activo en una conversación.
En el caso de Apple, las comunicaciones entre dos usuarios de iMessage están cifradas de extremo a extremo, pero iMessage es una plataforma específica de Apple. Eso significa que, en la actualidad, las comunicaciones entre usuarios de iMessage y usuarios de dispositivos Android no están cifradas de extremo a extremo. Una burbuja de mensaje verde en lugar de una azul indica que el mensaje se envió mediante MMS/SMS en lugar de iMessage.
De hecho, un caso antimonopolio del Departamento de Justicia contra Apple hace hincapié en el hecho de que no se ofrezca cifrado de extremo a extremo fuera de su aplicación de mensajería iOS como un problema de monopolio.
Se están desarrollando protocolos para permitir el cifrado de extremo a extremo entre diferentes plataformas de comunicación mediante RCS, pero eso todavía es un trabajo en progreso. "El trabajo con los principales interesados de la industria está progresando bien y esperamos actualizar el mercado en los próximos meses", dijo un portavoz de GSMA, una organización de la industria que encabeza este esfuerzo.
Configuración del teléfono y riesgo continuo de ataques
Una cosa que la gente debería hacer es comprobar la configuración de sus teléfonos. Muchos consumidores tienen teléfonos antiguos y aquellos que no tienen habilitadas las actualizaciones automáticas pueden perderse actualizaciones de seguridad críticas, que podrían incluir aplicaciones de mensajería que permiten el cifrado de extremo a extremo, dijo Chris Henderson, director sénior de operaciones de amenazas en Huntress, una empresa de ciberseguridad. Además, con un teléfono nuevo, es posible que la configuración de las aplicaciones transferidas no se migre. Si ha habilitado el cifrado de extremo a extremo para las aplicaciones en su teléfono anterior, también es una buena idea comprobar que la configuración también esté habilitada en el nuevo teléfono, dijo Henderson.
El cifrado de extremo a extremo no es infalible porque los piratas informáticos pueden interceptar las comunicaciones de los usuarios de otras formas, como si el dispositivo en sí está comprometido, dijo Horwitz. Por motivos de seguridad, también es importante mantener sus dispositivos en buen estado instalando todas las actualizaciones de software, evitando descargas dudosas y realizando reinicios periódicos.
Aun así, utilizar el cifrado de extremo a extremo es una buena práctica, cuando esté disponible. "Los actores de amenazas van adonde van las masas", dijo Kory Daniels, CISO global de Trustwave, un proveedor de servicios de seguridad administrada y ciberseguridad. "Si las masas siguen utilizando métodos de comunicación no cifrados, [los actores maliciosos] seguirán explotando la oportunidad hasta que los usuarios comiencen a evolucionar sus comportamientos digitales".
