Análisis en profundidad

Threema: Qué es y cómo funciona la alternativa a WhatsApp

Threema es una aplicación de mensajería instantánea que se diferencia de otras en que le permite comunicarse mediante chat, llamadas y videollamadas de forma totalmente anónima y segura gracias a eficaces algoritmos criptográficos. Aquí cómo funciona y cuál es la mejor manera de utilizarlo

Publicado el 10 Feb 2023

Threema.

Threema (fundada en 2012 en Suiza) está considerada una de las aplicaciones de mensajería instantánea más seguras disponibles actualmente en las distintas tiendas de aplicaciones: al igual que sus principales competidoras, está disponible tanto para Android como para iOS.

También existe una versión de escritorio para Windows y macOS, denominada Threema.Web, que, sin embargo, es una aplicación web que puede activarse escaneando el código QR mediante la aplicación instalada en el teléfono inteligente.

En cuanto a la seguridad de los chats en Threema, es importante señalar que los servidores utilizados por la aplicación se encuentran en Suiza y, por lo tanto, están sujetos a las estrictas normas de protección de datos vigentes allí (no está sujeta a las leyes de seguridad de Estados Unidos).

Es posible inscribirse de forma anónima

Threema no exige una dirección de correo electrónico ni un número de teléfono para crear una cuenta: uno puede registrarse de forma anónima, ya que solo se necesita proporcionar un apodo.

Durante el registro, se crea un ID de Threema aleatorio, compuesto por 8 caracteres entre A-Z/0-9. Representa el código que identifica al usuario y que se utiliza en la encriptación. Este ID es el identificador único en Threema, no depende de un número de teléfono y permite utilizar Threema de forma totalmente anónima, sin revelar ninguna información personal.

No obstante, el correo electrónico o el número de teléfono también pueden añadirse posteriormente, a discreción del usuario.

Además, Threema no almacena metadatos y no revela información sobre los mensajes intercambiados con otros usuarios (remitente, destinatario, hora de envío y recepción, etc.).

Cómo funciona la copia de seguridad de los ajustes

En Threema también es posible realizar copias de seguridad (que se activan accediendo a los ajustes de la aplicación) de datos importantes como chats, claves, lista de contactos, etc. utilizando la función Threema Safe.

Esto crea una copia de seguridad automática encriptada (protegida por una contraseña establecida por el usuario y conocida sólo por él) que se almacena únicamente en el dispositivo (no en servidores externos).

También por este motivo, Threema advierte de que en caso de pérdida de la contraseña o pérdida del dispositivo, no podrá ayudarnos a recuperar esta copia de seguridad.

Las llamadas y videollamadas también son anónimas

Por último, la aplicación permite realizar llamadas y videollamadas sin revelar su número de teléfono. Las llamadas de Threema están encriptadas de extremo a extremo y, por tanto, a prueba de interceptaciones.

La calidad es excelente (entre las mejores) y puede ser ajustada por el usuario en tres niveles (equilibrado, bajo, máximo) en función del ancho de banda disponible.

Cifrado y seguridad en Threema

La encriptación E2E empleada por Threema utiliza componentes de código abierto y se detalla en este whitepaper, donde se explican los algoritmos y el diseño de la encriptación.

Se emplea el algoritmo asimétrico de curva elíptica Diffie-Hellman (ECDH) y el cifrado simétrico con XSalsa20. La aplicación almacena los datos locales (como el historial de mensajes entrantes y salientes y la lista de contactos) de forma encriptada en el propio dispositivo.

Threema también afirma someterse a exhaustivas auditorías de seguridad. Las auditorías más recientes figuran en la página web:

-2020: Pentest y Auditoría de Cure53.

-2019: Auditoría del Laboratorio de Seguridad Informática de la Universidad de Ciencias Aplicadas de Münster.

Threema utiliza dos niveles diferentes de encriptación para proteger los mensajes entre el remitente y el destinatario:

1- Nivel de cifrado de extremo a extremo (e2E): este nivel se da entre el remitente y el destinatario;

2- nivel de transporte: cada mensaje cifrado de extremo a extremo se vuelve a cifrar para el transporte entre el cliente y el servidor con el fin de proteger la información de la cabecera del mensaje.

Chats siempre seguros con encriptación de extremo a extremo

Todos los mensajes (ya sean simples mensajes de texto o contengan medios como imágenes, vídeos o grabaciones de audio) se encriptan de extremo a extremo.

Para ello, cada usuario de Threema dispone de un par de claves asimétricas único formado por una clave pública y otra privada basada en la criptografía de curva elíptica (Curve25519). Cuando un usuario de Threema configura la aplicación por primera vez, se realiza el siguiente proceso:

1- La aplicación genera un nuevo par de claves eligiendo una clave privada al azar, almacenándola de forma segura en el dispositivo y calculando la clave pública correspondiente en Curve25519.

2- La aplicación envía la clave pública al servidor.

3- El servidor almacena la clave pública y asigna un nuevo Threema ID aleatorio, compuesto por 8 caracteres entre A-Z/0-9.

4- La aplicación almacena el Threema ID recibido junto con la clave pública y privada en una memoria segura del dispositivo.

La aplicación muestra una huella clave para cada contacto y para la propia identidad del usuario. Puede utilizarse para comparar manualmente claves públicas entre distintos usuarios escaneando el código QR del otro usuario. Si se realiza este paso, el usuario será “verificado” y se le identificará con tres puntos verdes.

Para la encriptación de mensajes, Threema utiliza el modelo ‘Box’ de la Biblioteca de Redes y Criptografía NaCl, desarrollado por Daniel J. Bernstein (Universidad de Illinois) para encriptar y autenticar mensajes.

Threema está diseñado para manejar la menor cantidad posible de metadatos en los servidores. Los grupos y las listas de contactos se gestionan exclusivamente en los dispositivos de los usuarios, no en el servidor, los mensajes se eliminan inmediatamente después de su entrega, no se crean archivos de registro y no se recopila información personal identificable.

Máxima atención a la privacidad del usuario

Esto también lo confirma un examen de la etiqueta de privacidad que aparece en la App Store de iOS (figura inferior): los “Datos vinculados a usted” son mínimos, sólo el correo electrónico y el número de teléfono: pero sólo estarán presentes si el usuario ha decidido -a su discreción- revelarlos, ya que, como hemos explicado, no son necesarios para el registro.

Todas las versiones de Threema

La aplicación Threema es paga. No existe versión gratuita. A nivel empresarial, se ofrece la solución Threema.Work, cpm una prueba gratuita de 60 días.

Con esta versión, el administrador del sistema dispone de un panel de gestión a través del cual puede ver la lista completa de todas las licencias y usuarios activos, gestionar sus privilegios y credenciales de acceso y revocar el acceso a la aplicación y a los chats.

Ventajas y desventajas del uso de Threema

PRO

  • Cifrado seguro
  • Interfaz sencilla y fácil de usar
  • Dispone de aplicación de escritorio para macOS y Windows
  • Copia de seguridad encriptada con contraseña establecida por el usuario
  • Llamadas y videollamadas con encriptación E2E y excelente calidad
  • No requiere número de teléfono para el registro
  • El código fuente es abierto
  • Dispone de una aplicación web para macOS y Windows
  • La empresa propietaria de Threema tiene su sede en Suiza

CONTRA

  • No muy extendido
  • No hay versión gratuita disponible
  • No tiene mensajes emergentes

Por Giorgio Sbaraglia

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Artículos relacionados

Artículo 1 de 2