Desde que WhatsApp actualizó sus condiciones de uso y su política de privacidad en 2021, todo el mundo tiene claro que la verdadera diferencia entre las distintas aplicaciones de mensajería instantánea ya no son las funcionalidades incorporadas, sino el nivel de privacidad de las conversaciones que son capaces de garantizar: en este sentido, Signal puede considerarse la alternativa más segura a las ‘habituales’ WhatsApp y Telegram.
Índice de temas
Qué es Signal
Signal Private Messenger (su nombre completo) es una aplicación de software gratuita y de código abierto para Android, iOS y ordenadores de sobremesa Windows, Mac y Linux que utiliza el cifrado de extremo a extremo para proteger los mensajes de texto, imagen, audio y vídeo, así como las conversaciones telefónicas entre los usuarios de la aplicación.
Además, Signal es el único sistema de mensajería que combina el protocolo Extended Triple Diffie-Hellman (X3DH), el algoritmo Double Ratchet, las pre-claves y utiliza Curve25519, AES-256 y HMAC-SHA256 como primitivas criptográficas.
Signal: un poco de historia
“Mucho antes de saber que se iba a llamar Signal, ya sabíamos lo que queríamos que fuera. En lugar de compararnos con la criptografía del resto del mundo, queríamos ver si podíamos desarrollar una criptografía que funcionara para el resto del mundo. En aquel momento, el consenso de la industria era en gran medida que la criptografía seguiría siendo inutilizable, pero nosotros empezamos con la idea de que la comunicación privada podía ser sencilla“, dicen Moxie Marlinspike y Brian Acton, fundador y promotor respectivamente de la primera empresa sin ánimo de lucro dedicada a la innovadora solución de comunicación que ahora se considera “más segura” que las demás.
Las fechas son importantes: Signal nació en realidad en 2013 y se basa en el protocolo Open Whisper System al igual que WhatsApp y nació para complementar a este último.Pero Brian salió de WhatsApp en 2017 y en 2018, gracias a 50.000.000 de dólares de financiación sin ánimo de lucro, se unió a Signal con la que desarrolló una solución de comunicación segura que tiene ciertas reglas de juego, definitivamente en competencia con WhatsApp y a favor de la seguridad.
La seguridad de los mensajes como primera regla
Signal no puede descifrar ni acceder al contenido de los mensajes o las llamadas. La aplicación pone en cola los mensajes encriptados de extremo a extremo en sus servidores exclusivamente para su entrega a dispositivos temporalmente desconectados (por ejemplo, un teléfono con poca batería). El historial de mensajes se almacena en los dispositivos de los usuarios y no en los servidores.
Obviamente, en los servidores se almacena parte de la información técnica, incluidos los tokens de autenticación generados aleatoriamente, las claves criptográficas, los tokens push y otro material necesario para establecer llamadas y transmitir mensajes. Signal limita esta información técnica adicional al mínimo necesario para el funcionamiento de los servicios.
Además de permitir la comunicación con cualquier usuario en cualquier parte del mundo con mensajes y llamadas de voz o vídeo en alta definición, Signal cuenta con una función adicional, denominada remitente sellado, que reduce aún más la información “visible” en tránsito durante una llamada. Mientras que las aplicaciones normales de mensajería y comunicación exponen al menos los datos del emisor y del receptor, Signal planea ocultar estos datos incluso en la fase inicial de la llamada, y gracias a lo que se denomina en broma “Deus SGX machina”, garantiza un nivel de cifrado mucho más sólido que el de sus competidores.
SGX (Software Guard Extensions) permite a las aplicaciones disponer de un “Securenclave” aislado del sistema operativo y el kernel del host, similar a tecnologías como TrustZone de ARM. Las “zonas de claves seguras” de SGX también admiten la atestación remota que proporciona una garantía criptográfica del código que se ejecuta en un enclave remoto a través de una red. Y partiendo de la frase de paso o el PIN del usuario, los clientes utilizan Argon2 para ampliarla en una clave de 32 bytes.
Para los no iniciados, Argon2 es una función de derivación de claves criptográficas que permite derivar una o más claves criptográficas a partir de una clave maestra u otra información disponible, como una contraseña o frase de paso. Como muestra de su seguridad, Argon 2 fue el ganador en el Concurso de Hashing de Contraseñas en julio de 2015, ofreciendo la mejor resistencia al cracking de la GPU y a los ataques del lado del cliente.
Seguridad y privacidad de los contactos
Opcionalmente, Signal puede averiguar qué contactos de la libreta de direcciones del usuario son ya usuarios de Signal, utilizando un servicio diseñado para proteger la privacidad de los contactos de los usuarios, pero no lo hace por defecto. La aplicación también funciona sin acceso a la libreta de direcciones, que era única en sus inicios. No exigía permisos especiales, no pedía geolocalización y se cuidaba mucho de no compartir nada con nadie.
La información de los contactos en el dispositivo del usuario puede ser encriptada y transmitida de forma segura al servidor para determinar qué contactos están ya registrados, pero de nuevo solo si el usuario lo desea.
Sin embargo, en aras de la equidad, hay que señalar que hay casos en los que Signal puede tener que compartir los datos de un usuario:
- para cumplir con cualquier ley, reglamento, proceso legal o solicitud gubernamental aplicable;
- hacer cumplir las condiciones aplicables aceptadas por los usuarios, incluida la investigación de posibles infracciones;
- para detectar, prevenir o abordar de otro modo el fraude, la seguridad o los problemas técnicos;
- para proteger contra daños a los derechos, la propiedad o la seguridad de la propia Signal, sus usuarios o el público, según lo requiera o permita la ley.
Así que incluso Signal, en los casos mencionados, podría tener o querer compartir datos de algunos usuarios, pero desde luego no parece querer hacerlo con ánimo de lucro, a diferencia del resto de apps de mensajería, y en cualquier caso no puede proporcionar lo que no tiene. Esta es también una de las razones por las que la Comisión Europea dice que es más seguro (seguridad, privacidad) que WhatsApp.
Cómo descargar y registrarse en Signal
La aplicación Signal está disponible para Android, iOS y Desktop: entonces puedes descargarla desde las distintas tiendas y markets, solo tienes que buscar ‘Signal’ y seleccionar la propia aplicación -comprobando que es la versión original, es decir, el Private Messenger de Open Whisper Systems, sin olvidar que es propiedad de Twitter.
Dependiendo de la plataforma elegida, solo tienes que pulsar en GET para descargar la aplicación y luego en INSTALL para que la aplicación se ejecute en tu dispositivo. Evidentemente, hay que registrarse y activar el sistema.
En concreto, los usuarios de iPhone deben introducir su número de teléfono y pulsar Activar este dispositivo. Recibirás un código de seis dígitos por SMS que deberás copiar en la aplicación, confirmando la operación con Enviar código de verificación.
Los usuarios de Android, por su parte, tendrán que introducir su número de teléfono, pulsar Registro y esperar a que la aplicación verifique el número de teléfono. Al terminar, se te preguntará si quieres establecer Signal como tu aplicación de mensajería por defecto: esto te permitirá enviar, recibir y leer tanto mensajes de Signal como de los SMS clásicos. Sin embargo, es importante recordar que Signal no cifrará las conversaciones realizadas con mensajes de texto SMS antiguos.
Desde un punto de vista práctico, el procedimiento de instalación y activación de Signal es por tanto muy sencillo y transparente para el usuario.
Sin embargo, técnicamente las cosas son mucho más complejas. En el momento de la instalación (y periódicamente después), todos los agentes de Signal generan una serie de claves criptográficas y se registran en un servidor de distribución de claves. En concreto, cada agente genera las siguientes claves privadas DH:
- clave de “identidad” a largo plazoikP;
- un prekP a medio plazo “firmado prekey”;
- un eprek múltiple a corto plazo “de una sola vez”. Las claves públicas correspondientes a estos valores se suben al servidor, junto con una firma onprekusingik. Estos se denominan colectivamente “paquetes de pre-llaves”.
Signal y WhatsApp: las diferencias
Como ya se ha escrito, es evidente que la primera diferencia entre Signal y WhatsApp está en los conceptos de privacidad que Signal potencia y gestiona a favor del usuario, mientras que WhatsApp todavía deja algunas dudas sobre cómo se “interpretan” y reutilizan los datos.
Signal y Telegram: las diferencias
De nuevo, al igual que con Confide u otras apps similares (hay muchas), los conceptos de seguridad de Telegram son superiores a los de WhatsApp, pero el uso de diferentes tipos de chat hace que Telegram sea menos fácil de usar para el usuario medio.
En Telegram, de hecho, tienes Chats en la nube y Chats secretos, así como diferentes parámetros para cada uno: en resumen, es ciertamente menos práctico, aunque no necesariamente menos seguro.
Conclusiones
A la luz de lo dicho hasta ahora, cabe una discusión: ¿por qué es gratuita una aplicación que le costó a Brian Acton al menos 50 millones de dólares? No olvidemos tampoco que una cadena de seguridad es tan fuerte como su eslabón más débil: si el generador de números aleatorios se volviera predecible, ¿podría comprometer las comunicaciones con futuros colegas?
La respuesta es potencialmente sí, pero antes de que eso ocurra, Signal seguramente añadirá criterios de seguridad adicionales
Prohibida su reproducción total o parcial.