Telegram, computacionalmente, apesta. Aun así lo prefiero a Whatsapp.

 El título de este texto es un resumen de mi postura, vamos a desgranar un poco la cuestión de porqué digo que Telegram apesta.

Desde el punto de vista computacional, WhatsApp, como programa, es muy seguro. Tiene un sistema de garantía de privacidad que es de los más confiables en este momento. Esta basado en un tipo de cifrado de datos que se llama "punto a punto", o de "lado a lado". Cada conversación está cifrada en cada teléfono participante en la conversación. Una llave privada que está asociada al número telefónico, aparato y usuario es requerida para descifrar la conversación, incluyendo fotos, videos y ubicaciones. Las llaves privadas son muy complejas, no son claves escogidas por el usuario, y el algoritmo de cifrado pertenece a una serie de resultados matemáticos de cifrado sobre los cuales está demostrada su seguridad. Los algoritmos son difíciles de explicar sin meternos en teoría de números profunda, pero baste decir que las llaves ni siquiera se tienen que compartir entre los puntos de la comunicación. Las llaves de cifrado y descifrado solo tienen que "ser compatibles" en un sentido matemático, pero cada usuario tiene las suyas.  Otra cuestión a favor de WhatsApp es que la compañía no guarda las conversaciones en servidores, hasta ahora. Todo se guarda en los aparatos telefónicos, es por ello que no podemos acceder a una conversación en la compu sin "sincronizarla" con el teléfono. Estas dos maniobras hacen que WhatsApp, como aplicación, sea bastante fiable.

Pero WhatsApp como empresa no lo es y por eso el público reaccionó desfavorablemente ante los cambios del contrato. En quien no debemos de confiar es en Facebook, Inc., una empresa monstruosamente grande y con un poder totalmente desbalanceado y fuera de control (legal, ético, y cualquier otro control). En un momento vamos a eso, primero, Telegram.

Telegram, es, como empresa, una empresa privada también, gobernada por los mismos principios capitalistas de maximizar ganancias, y como App, es bastante más pobre en cuestiones de seguridad y privacidad. Empecemos por lo segundo: Telegram no usa encriptación punto a punto en las conversaciones a menos que explícitamente lo pidamos, las llamadas conversaciones secretas. Las conversaciones están cifradas en un servidor central y la llave de cifrado esta asociada al password del usuario, cosa bastante mala: es relativamente fácil robar passwords, adivinarlos o encontrarlos probando a lo güey.  Las conversaciones están almacenadas en servidores centrales, en manos de los dueños de la empresa. En principio eso nos permite acceder a nuestras conversaciones sin necesidad de sincronizar un teléfono, pero tiene obvias desventajas en seguridad. Telegram tiene otros fallos que son anunciados como virtudes: los grupos y canales no tienen límite de personas, es fácil crear bots de espam (aunque son también fácilmente destruidos), y es fácil interactuar con sistemas fuera de la aplicación. Es todo un estuche de monerías. 

Pero hay otra que nos debemos fijar: no es en la privacidad de nuestras conversaciones donde está el jugo para FB/Telegram... es en otros datos y metadatos que pueden extraer de nuestro uso de la app.  Hay una tabla rondando por Internet que muestra que datos recopilan diversos sistemas de mensajería. Aquí les pongo una versión muy extensa donde no aparece Signal, aunque aparece el mensajero de Apple a la extrema izquierda. La imagen es grande, piquenla pa' verla bien.

Telegram aparentemente no abusa de ordeñar datos de uso del usuario, WhatsApp tiene un montón de cosas ligadas aparentemente a "marketing", y el mensajero de FB... bueno, eso ni cuenta. FB nunca tuvo como enfoque la privacidad, sino "au contraire, mon ami". FB quiere que todas tus interacciones sean públicas y ordeñables por empresas de marketing. El pancho aquí es que Fb es dueña de WhatsApp desde el 2014. 

El mayor ordeñamiento de datos de WhatsApp está en la interacción con cuentas de negocios (no en tenerlas, en interactuar con ellas). Ahí se recopilan datos de información financiera y hábitos de gastos, contactos, y el famoso "otros datos del contacto", que nunca es nada claro. Uno de los avisos del cambio de contrato de este año fue que avisaron que las cuentas de negocio pueden ser almacenadas en servidores privados de los negocios... y estudiadas y ordeñadas a su vez, pues estás por default no están encriptadas. Por cierto, nada de esto es oculto: está en el contrato. WhatsApp/Fb nos garantizan que esto se hace con respeto a los usuarios y que es para "mejorar la interacción con las app y con los diversos productos de FB". A estas alturas del partido (empezó en el 2007, eh) ya sabemos que no es para nada el interés del usuario lo que gana con el ordeñamiento de datos. Fb ha estado involucrado en escándalos monstruosos de extracción no ética de datos, y de permitirles a terceros explotar esos datos con fines no sólo de lucro, sino de tomas de poder políticas (Cambridge Analítica, cof cof). Creer que Fb integrará algunas funciones de WA en Fb para "mayor comodidad del usuario", o "mejor experiencia de uso" es un poco inocente en estos momentos. Además, dicha cuestión pone en duda el cifrado punto a punto. Los mensajes de Fb no están cifrados,  y están en servidores centrales así que ¿como van a unir los sistemas? Al final parecen haber reculado mucho de estos cambios, y se la han pasado mandado avisos y entrevistas sobre como nuestras conversaciones están seguras. Buen punto, de acuerdo. Pero Fb, como empresa, no es confiable ya. Cada vez que han tenido un escándalo de "fuga" de datos, hacen la misma rutina. Mark Zuckerberg pide disculpas mecánicamente, dice que no volverá a pasar, y que nuestra privacidad es muy importante para Fb. Hacen alguna correcciones, cierran algunas puertas explotables... y cambian políticas para extraer más info de sus usuarios y hacerlos más y más dependientes de la plataforma. La gran jugada es ahora convertir a WhatsApp en un medio de pago. Muy conveniente ...¡para ellos! Darle además ahora control financiero a Fb es,  a mi parecer, una idea terrible. Citando a Molotov, "si le das más poder al poder, mas duro te van a venir a joder".

¿Como está Telegram FZ LLC (la empresa que controla la app) en  estas cuestiones? Pues... dado todos los fallos de seguridad que tiene, está sorprendentemente bien. Para ello hay que entender que los hermanitos Durov, y Axel Neff, son personas muy diferentes de Mark Zuckerber: tienen una ideología y una ética. No estoy de acuerdo con ellos (son libertarios) pero claramente tienen principios. Cuando a Pavel Durov las agencias de seguridad rusas le pidieron los datos de los protestantes en Ucrania, en el 2014, se negó y defendió legalmente su postura frente a los gobiernos ruso y ucraniano. En aquel entonces la empresa era otra, se llamaba VK. Finalmente VK fue adquirida por aliados de Putin, Durov fue obligado a renunciar y vender su parte, y finalmente, orillado a abandonar Rusia.  La biografía de los tres jefes de Telegram muestra que están mucho más dispuestos a aliarse con sus usuarios que con los anunciantes y  otras formas de ingreso que pululan en Telegram. Por otra parte, la historia de la app muestra hasta ahora tres "escandalos de seguridad", uno en 2016 y dos en 2020. Todos están vinculados al gobierno de Iran. Telegram ha hecho todo lo posible por cerrar esas vías de ataque, protegiendo, no a los inversionistas, sino a disidentes políticos en Iran. 

Así que... como sistema de seguridad computacional, Telegram apesta, y WA es muy bueno... hasta ahora. Como empresa, Fb es absolutamente indigna de mi confianza, y Telegram, hasta ahora  se ha comportado con decencia. 

 

 

Para cerrar hablaré un poco de otras plataformas. El mensajero de Apple es bastante fiable, y aunque Apple como empresa me caiga muuuuy mal, nunca ha cedido a la presión del gobierno gringo de abrir puertas de entrada traseras en sus sistemas. Son bastante conscientes de que eso minaría uno de su puntos de venta más fuerte... y sería una pesadilla para sus desarrolladores, que se les pagan millones de dolares por cerrar vias de ataque, no por abrirlas. 

Finalmente Signal: Signal es lo mejor de WhatsApp sin Fb o Mark Zuckerberg. Es, en este momento, absolutamente la mejor opción. Cifrado lado a lado, no hay copias de las pláticas en servidores centrales, integración con SMS tradicional, código abierto... ¿Código abierto es seguro?. Si, claro. A diferencia el código cerrado, en código abierto todos los programadores del  mundo pueden examinar tu programa. Quienquiera pueda hackear, crackear, violar, cualquier puerta de seguridad... y por ende es mucho más rápido encontrar las fallas. La misma exposición a los ojos y teclados del mundo entero te hace fuerte. Lo que hace que un cifrado sea bueno no es que sea secreto, au contraire, mon amí:Es que todo mundo sepa como funciona y que la teoría matemática que lo soporta esté bien demostrada. Después de eso solo es generar claves de cifrado y no compartirlas. 

Yo estaré usando Telegram mientras no tenga suficientes amigos que usen Signal. Dado que una app de mensajería requiere también una comunidad, me gustaría que más gente probara ambas opciones, pero Telegram ya es muy popular y no necesita mi apoyo tanto.

PostData:

Enviando videos por Telegram descubrí otra característica que revela que algo de lo que nos dicen en WhatsApp no es completamente cierto. En Telegram los videos y fotos se envian "como son", y llegan "como son", no son recodificados (reencoded) a formatos más ligeros y de menor calidad. En WhatsApp las fotos y los videos llegan con calidad disminuida siempre, aunque no tanto como para que sea molesto. Mucha gente ve en eso una virtud, dado que que en Telegram las imagenes y video resultan muy pesados y lentos de descargar. Pero hay algo raro: cambiarle la codificación a un video es una tarea computacionalmente intensiva, que requiere mucho poder de CPU... y eso no ocurre en el teléfono. Aparentemente eso ocurre en los servidores que redirigen los mensajes a los usuarios. Ahora bien, WhatsApp asegura que no mantienen una copia y si el emisor borra el video/foto, ya no está disponible para los demás. Creamosle eso. Sin embargo, aunque no mantengan una copia, si saben que mandaste video o fotos. Entonces, al menos, esa info de tu conversación si la pueden detectar. 

Porque yo voy a dejar de usar Whatsapp.

 Este Enero del segundo año del Covid19, Whatsapp "actualizó" (es decir, modificó unilateralmente) sus términos de uso y condiciones. La reacción de muchos usuarios no fue positiva, y varios empezarón a instalar aplicaciones de mensajería diferentes, principalmente Telegram y Signal.

Mucha gente decidió probar las alternativas por la noción de que Whatsapp/Facebook estaba espiando las conversaciones, o otras formas de espionaje. Esta noción es errada, o al menos muy imprecisa, y por lo tanto se refuta fácilmente por aquellos que creen que prefieren continuar usando Whatsapp o que trabajan en Whatsapp. Es notorio que muchas veces los usuarios son mejores defensores de la aplicación que la compañía misma. 

 Aclaremos como funciona el sistema de encriptación de conversaciones de Whatsapp.  La aplicación cifra las pláticas entre dos usuarios de forma que las llaves para desencriptarlas y poder leerlas están en los teléfonos mismos involucrados en una conversación. Las conversaciones, asimismo, están guardadas únicamente en los teléfonos involucrados. Esto se llama cifrado de lado a lado, o más coloquialmente, de cabo a rabo.  Es por eso que para usar Whatsapp web tienes que tener el telefono activado y conectado a internet: el aparato de mano envía la conversación a la compu a traves del Internet, y si esté se desactiva no hay manera de acceder a la conversación. Estamos partiendo de que lo que nos dice la compañia es cierto, por supuesto, y que ellos no tienen copia de las conversaciones ni de las llaves de cifrado. Yo estoy bastante convencido de que es cierto, dado que esto forma un protocolo de seguridad bastante confiable y hasta ahora no hemos visto mayores escándalos de fuga de datos de Whatsapp, a diferencia de otras plataformas. Además, Whatsapp fue desarrollada fuera de Facebook, por personas muy interesadas en este tipo de mensajería segura, y cambiar el protocolo después de la compra por parte de Fb hubiera sido difícil y básicamente tirar a la basura su compra. El éxito de Whatsapp era precisamente porque era una forma segura y barata de mandar mensajes, sin depender mucho de servidores centrales. Así que dudo mucho que Fb esté espiando las conversaciones directamente. El interés por encontrar un fallo de seguridad es muy alto, no es como que no haya incentivos para lograrlo. 

Dicen varios críticos de la migración, "¿tu crees que a Whatsapp le interesan tus conversaciones pendejas y tus memes y fotos de chichis? Tal vez si fueras famoso pero no la mayoría no lo somos, no les interesa lo que ponemos." Esta afirmación es equivocar el punto totalmente. Efectivamente no les interesa nuestra conversación exacta, ni aunque fueramos famosos o importantes nivel Carlos Slim o Presidente del Bank of America. Su negocio no es chantajear como si fueran mafiosillos de tercera. ¿ O alguién cree que le habla Mark Zuckenberg a Angela Merkel diciendo que va a soltar su plática erótica con Putin si no le da... no se... un billon de euros? El poder de la recopilación de datos no funciona así. Además, dado que la compañia de la que estamos hablando es Facebook, que  básicamente funciona publicando nuestros actos privados o semi privados, ¿porqué tendrían que espiar nuestras conversaciones, si tenemos cuentas en Fb e Instagram? Usar estos servicios es básicamente decidir ( espero que como ente consciente ) en renunciar a tu privacidad, al menos en cierto grado. Por cierto, el chat de fb y su aplicación movil no usan cifrado de cabo a rabo. No es que Zuckenberg necesite realmente revisar nuestras pláticas en Whatsapp pa saber de que hablamos. Ese no es lo que me molestó a mi y a muchos otros. Pero incluso en esto no podemos confiar que respeten, como veremos más adelante.

 La forma en que Whatsapp recopila datos de los usuarios es sutil, tecnologicamente compleja, y muy dependiente de grandes números de uso. El cambio que hicieron era el siguiente. Originalmente uno podía negarle a Whatsapp compartir cierta información con Fb. El nuevo contrato especificaba que eso ya no iba a ser posible, y que se iban a compartir:

• La información del registro, incluyendo el número de teléfono
• Información sobre el aparato telefónico
• Dirección IP
  
• Las conversaciones ya NO iban a estar encriptadas por default. Un caso de "tulle tu propio producto".
  
• Cito lo siguiente (la traducción es mía) : "Algunos negocios podrán usar la compañía madre de whatsapp, Fb, para guardar mensajes y responder a clientes. Si bien Fb no podrá acceder a esos mensajes, los mensajes podrán ser usados por dichos negocios para propósitos de marketing". 
• Información sobre como interactúas con otros, incluyendo negocios.

Lo más  gracioso, creo yo, es el punto que resalté en negritas. La conversaciones se van a comenzar a guardar en servidores de Fb en los USA, con el propósito de "integrar mejor los servicios", es decir, poderles vender más servicios a otros negocios. Hago notar que estos cambios no aplican en Europa: resulta que las leyes anti monopolio de Europa le impiden a Fb "integrar eficientemente" sus servicios usando estos métodos. Considérese esto. 

Whatsapp no quiere  espiar específicamente a mí o a tí o a Angela Merkel. Pero con acceso integrado a muchas cuentas de usuarios, puede obtener patrones definidos de acción, y eso es lo que le interesa. Además, lo hace con mucha alevosía, dado que sabe que la gente es comodina y prefiere "lo fácil" y "conveniente" a hacer un acto de resistencia mínimo, o que simplemente ignoran otras opciones. 

 Una razón más para resistirme a estos cambios de contrato es que Fb ya tiene muchísimo poder, ¿porqué habría yo de asistirlo voluntariamente en tener más? No es una entidad que haya demostrado usarlo responsablemente hasta ahora... más bien al contrario, si recordamos los abusos emocionales en los que está basada la adicción al Fb, el escándalo con Cambridge Analítica, o con los Peña Bots aquí en México, etc etc.

Whatsapp/Facebook no respetan a sus usuarios, en la misma forma en que una compañia minera no respeta las vetas mineras: las explota. Los usuarios de Whatsapp son material crudo que Fb usa para ganar mas poder. A estos niveles, ya no es dinero lo que buscan: es poder en el sentido más maligno del término. Fb ya cuenta con el poder de cambiar régimenes de gobierno y lo ejerce.  Sin embargo eso no quiere decir que no tengamos nosotros un poder frente a Fb.Ni siquiera mucha gente ha desinstalado el programa y ya sintieron un pequeño desajuste de sus cuentas. La mera descarga e instalación de Telegram y Signal en este mes asustó a Zuckenberg y Cia: sus acciones bajaron de valor  y recularon en sus términos de contrato, mandando mensajes de conciliación muy ridículos por medio del mismo Whatsapp. También publicaron un enorme FAQ insistiendo mucho en que no tenía acceso a las conversaciones que estuvieran previamente cifradas, incluso resaltando que usaban el mismo cifrado que Signal. Pero la extracción de datos puede ser mucho más sutil que leer mensajes o buscar patrones de movilidad. La forma en que whatsapp está tratando de convencencernos de que nos respeta es confusa. ¿Qué van entonces a "integrar" a las "otras compañías de Fb"?

No me cuesta nada usar aplicaciones de mensajería alternativas, y en otro texto discutiré sobre sus ventajas o desventajas. Baste ahora mencionar que Telegram es peor aplicación desde el punto de vista de privacidad computacional. Sin embargo yo lo uso ya desde hace tiempo y lo seguiré usando. ¿La razón más fuerte para mí? Que no es Fb. Dado que esta cosa es un monopolio de la conversación en Internet, cualquier mella que le podamos hacer cuenta. Los monopolios son malignos por su misma configuración: no les interesa evolucionar sino preservarse a toda costa. ¿No recuerdan el desesperado intento de Google y FB de aplastar a Zoom al inicio de la pandemia? Zoom ofrecía un servicio ligeramente diferente a Google Hangouts y llamadas de Facebook. Bueno, este par de monstruos no pudieron tolerar que alguien nuevo llegara a lo que ellos creen que es su rancho. Ni siquiera competía con ellos, pero hicieron todo lo posible por aplastar a Zoom desde una postura encumbrada, ofreciendo copias del servicio de Zoom. Eso es absolutamente deplorable. 

Fb insiste en ser el único regulador de la conversación por internet. Ha tenido mucho éxito hasta ahora, y no por las mejores razones. No necesita mi sometimiento, alias, uso.