El título de este texto es un resumen de mi postura, vamos a desgranar un poco la cuestión de porqué digo que Telegram apesta.
Desde el punto de vista computacional, WhatsApp, como programa, es muy seguro. Tiene un sistema de garantía de privacidad que es de los más confiables en este momento. Esta basado en un tipo de cifrado de datos que se llama "punto a punto", o de "lado a lado". Cada conversación está cifrada en cada teléfono participante en la conversación. Una llave privada que está asociada al número telefónico, aparato y usuario es requerida para descifrar la conversación, incluyendo fotos, videos y ubicaciones. Las llaves privadas son muy complejas, no son claves escogidas por el usuario, y el algoritmo de cifrado pertenece a una serie de resultados matemáticos de cifrado sobre los cuales está demostrada su seguridad. Los algoritmos son difíciles de explicar sin meternos en teoría de números profunda, pero baste decir que las llaves ni siquiera se tienen que compartir entre los puntos de la comunicación. Las llaves de cifrado y descifrado solo tienen que "ser compatibles" en un sentido matemático, pero cada usuario tiene las suyas. Otra cuestión a favor de WhatsApp es que la compañía no guarda las conversaciones en servidores, hasta ahora. Todo se guarda en los aparatos telefónicos, es por ello que no podemos acceder a una conversación en la compu sin "sincronizarla" con el teléfono. Estas dos maniobras hacen que WhatsApp, como aplicación, sea bastante fiable.
Pero WhatsApp como empresa no lo es y por eso el público reaccionó desfavorablemente ante los cambios del contrato. En quien no debemos de confiar es en Facebook, Inc., una empresa monstruosamente grande y con un poder totalmente desbalanceado y fuera de control (legal, ético, y cualquier otro control). En un momento vamos a eso, primero, Telegram.
Telegram, es, como empresa, una empresa privada también, gobernada por los mismos principios capitalistas de maximizar ganancias, y como App, es bastante más pobre en cuestiones de seguridad y privacidad. Empecemos por lo segundo: Telegram no usa encriptación punto a punto en las conversaciones a menos que explícitamente lo pidamos, las llamadas conversaciones secretas. Las conversaciones están cifradas en un servidor central y la llave de cifrado esta asociada al password del usuario, cosa bastante mala: es relativamente fácil robar passwords, adivinarlos o encontrarlos probando a lo güey. Las conversaciones están almacenadas en servidores centrales, en manos de los dueños de la empresa. En principio eso nos permite acceder a nuestras conversaciones sin necesidad de sincronizar un teléfono, pero tiene obvias desventajas en seguridad. Telegram tiene otros fallos que son anunciados como virtudes: los grupos y canales no tienen límite de personas, es fácil crear bots de espam (aunque son también fácilmente destruidos), y es fácil interactuar con sistemas fuera de la aplicación. Es todo un estuche de monerías.
Pero hay otra que nos debemos fijar: no es en la privacidad de nuestras conversaciones donde está el jugo para FB/Telegram... es en otros datos y metadatos que pueden extraer de nuestro uso de la app. Hay una tabla rondando por Internet que muestra que datos recopilan diversos sistemas de mensajería. Aquí les pongo una versión muy extensa donde no aparece Signal, aunque aparece el mensajero de Apple a la extrema izquierda. La imagen es grande, piquenla pa' verla bien.
Telegram aparentemente no abusa de ordeñar datos de uso del usuario, WhatsApp tiene un montón de cosas ligadas aparentemente a "marketing", y el mensajero de FB... bueno, eso ni cuenta. FB nunca tuvo como enfoque la privacidad, sino "au contraire, mon ami". FB quiere que todas tus interacciones sean públicas y ordeñables por empresas de marketing. El pancho aquí es que Fb es dueña de WhatsApp desde el 2014.
El mayor ordeñamiento de datos de WhatsApp está en la interacción con cuentas de negocios (no en tenerlas, en interactuar con ellas). Ahí se recopilan datos de información financiera y hábitos de gastos, contactos, y el famoso "otros datos del contacto", que nunca es nada claro. Uno de los avisos del cambio de contrato de este año fue que avisaron que las cuentas de negocio pueden ser almacenadas en servidores privados de los negocios... y estudiadas y ordeñadas a su vez, pues estás por default no están encriptadas. Por cierto, nada de esto es oculto: está en el contrato. WhatsApp/Fb nos garantizan que esto se hace con respeto a los usuarios y que es para "mejorar la interacción con las app y con los diversos productos de FB". A estas alturas del partido (empezó en el 2007, eh) ya sabemos que no es para nada el interés del usuario lo que gana con el ordeñamiento de datos. Fb ha estado involucrado en escándalos monstruosos de extracción no ética de datos, y de permitirles a terceros explotar esos datos con fines no sólo de lucro, sino de tomas de poder políticas (Cambridge Analítica, cof cof). Creer que Fb integrará algunas funciones de WA en Fb para "mayor comodidad del usuario", o "mejor experiencia de uso" es un poco inocente en estos momentos. Además, dicha cuestión pone en duda el cifrado punto a punto. Los mensajes de Fb no están cifrados, y están en servidores centrales así que ¿como van a unir los sistemas? Al final parecen haber reculado mucho de estos cambios, y se la han pasado mandado avisos y entrevistas sobre como nuestras conversaciones están seguras. Buen punto, de acuerdo. Pero Fb, como empresa, no es confiable ya. Cada vez que han tenido un escándalo de "fuga" de datos, hacen la misma rutina. Mark Zuckerberg pide disculpas mecánicamente, dice que no volverá a pasar, y que nuestra privacidad es muy importante para Fb. Hacen alguna correcciones, cierran algunas puertas explotables... y cambian políticas para extraer más info de sus usuarios y hacerlos más y más dependientes de la plataforma. La gran jugada es ahora convertir a WhatsApp en un medio de pago. Muy conveniente ...¡para ellos! Darle además ahora control financiero a Fb es, a mi parecer, una idea terrible. Citando a Molotov, "si le das más poder al poder, mas duro te van a venir a joder".
¿Como está Telegram FZ LLC (la empresa que controla la app) en estas cuestiones? Pues... dado todos los fallos de seguridad que tiene, está sorprendentemente bien. Para ello hay que entender que los hermanitos Durov, y Axel Neff, son personas muy diferentes de Mark Zuckerber: tienen una ideología y una ética. No estoy de acuerdo con ellos (son libertarios) pero claramente tienen principios. Cuando a Pavel Durov las agencias de seguridad rusas le pidieron los datos de los protestantes en Ucrania, en el 2014, se negó y defendió legalmente su postura frente a los gobiernos ruso y ucraniano. En aquel entonces la empresa era otra, se llamaba VK. Finalmente VK fue adquirida por aliados de Putin, Durov fue obligado a renunciar y vender su parte, y finalmente, orillado a abandonar Rusia. La biografía de los tres jefes de Telegram muestra que están mucho más dispuestos a aliarse con sus usuarios que con los anunciantes y otras formas de ingreso que pululan en Telegram. Por otra parte, la historia de la app muestra hasta ahora tres "escandalos de seguridad", uno en 2016 y dos en 2020. Todos están vinculados al gobierno de Iran. Telegram ha hecho todo lo posible por cerrar esas vías de ataque, protegiendo, no a los inversionistas, sino a disidentes políticos en Iran.
Así que... como sistema de seguridad computacional, Telegram apesta, y WA es muy bueno... hasta ahora. Como empresa, Fb es absolutamente indigna de mi confianza, y Telegram, hasta ahora se ha comportado con decencia.
Para cerrar hablaré un poco de otras plataformas. El mensajero de Apple es bastante fiable, y aunque Apple como empresa me caiga muuuuy mal, nunca ha cedido a la presión del gobierno gringo de abrir puertas de entrada traseras en sus sistemas. Son bastante conscientes de que eso minaría uno de su puntos de venta más fuerte... y sería una pesadilla para sus desarrolladores, que se les pagan millones de dolares por cerrar vias de ataque, no por abrirlas.
Finalmente Signal: Signal es lo mejor de WhatsApp sin Fb o Mark Zuckerberg. Es, en este momento, absolutamente la mejor opción. Cifrado lado a lado, no hay copias de las pláticas en servidores centrales, integración con SMS tradicional, código abierto... ¿Código abierto es seguro?. Si, claro. A diferencia el código cerrado, en código abierto todos los programadores del mundo pueden examinar tu programa. Quienquiera pueda hackear, crackear, violar, cualquier puerta de seguridad... y por ende es mucho más rápido encontrar las fallas. La misma exposición a los ojos y teclados del mundo entero te hace fuerte. Lo que hace que un cifrado sea bueno no es que sea secreto, au contraire, mon amí:Es que todo mundo sepa como funciona y que la teoría matemática que lo soporta esté bien demostrada. Después de eso solo es generar claves de cifrado y no compartirlas.
Yo estaré usando Telegram mientras no tenga suficientes amigos que usen Signal. Dado que una app de mensajería requiere también una comunidad, me gustaría que más gente probara ambas opciones, pero Telegram ya es muy popular y no necesita mi apoyo tanto.
PostData:
Enviando videos por Telegram descubrí otra característica que revela que algo de lo que nos dicen en WhatsApp no es completamente cierto. En Telegram los videos y fotos se envian "como son", y llegan "como son", no son recodificados (reencoded) a formatos más ligeros y de menor calidad. En WhatsApp las fotos y los videos llegan con calidad disminuida siempre, aunque no tanto como para que sea molesto. Mucha gente ve en eso una virtud, dado que que en Telegram las imagenes y video resultan muy pesados y lentos de descargar. Pero hay algo raro: cambiarle la codificación a un video es una tarea computacionalmente intensiva, que requiere mucho poder de CPU... y eso no ocurre en el teléfono. Aparentemente eso ocurre en los servidores que redirigen los mensajes a los usuarios. Ahora bien, WhatsApp asegura que no mantienen una copia y si el emisor borra el video/foto, ya no está disponible para los demás. Creamosle eso. Sin embargo, aunque no mantengan una copia, si saben que mandaste video o fotos. Entonces, al menos, esa info de tu conversación si la pueden detectar.
Nenhum comentário:
Postar um comentário