Diferencia entre revisiones de «Trabajo:Comparación de privacidad y seguridad entre aplicaciones de mensajería»

Última revisión de 19:22 20 ene 2018

Integrantes

Somos el grupo de ELP de 4ºA formado por:

 - Alejandro Rodríguez Chacón
 - Daniel Francisco Bastarrica Lacalle
 - Ederson Aldair Funes Castillo
 - Javier Antón Alonso
 - Nicolás Nahuel Alcaine Camilli

Introducción

En esta edad digital en la que vivimos cada vez es más difícil conocer todos los entresijos de la tecnología que utiizamos en nuestro día a día, y no toda la información que encontramos es de fiar o está completa. Por ello si queremos disfrutar de los beneficios del progreso sin incurrir en riesgos que podrían ser fatales, es necesario desarrollar guias que informen de forma objetiva sobre el estado de los programas informáticos que utiliza la mayoría de la gente.

Descripción del Trabajo

El objetivo de nuestro trabajo es arrojar algo de luz en el campo de las aplicaciones informáticas desde el punto de vista de la seguridad y privacidad de los datos que los usuario podrían depositar en ellas. Por tanto lo primero que haremos será analizar el estado de seguridad de las principales aplicaciones de mensajería y reflejar todo ello en un informe.

Somos coscientes de la existencia de organizaciones de fama internacional cuyo objetivo es similar al nuestro. Un ejemplo de este tipo de entidades es la EFF, cuyo trabajo desde su nacimiento ha sido proteger los derechos y libertades de los ciudadanos en el mundo de las nuevas tecnologías. Por ello una de nuestras principales metas es poder unir esfuerzos con esta organización para poder difundir nuestro trabajo al mayor número de personas y por consecuente generar un impacto y cambio en la sociedad. De no lograr contactar con esta institución o de no lograr convencerles, lo que haremos será divulgar nuestro trabajo por todos aquellos medios que encontremos que están a nuestra disposición.

Planificación

• Recopilar información sobre el estado actual de las aplicaciones incluidas en el artículo de la EFF.
• Creación de una nueva tabla que incluya la información actualizada sobre estas aplicaciones, e incluir otras aplicaciones que hayan surgido en los últimos años o no hayan sido consideradas por la EFF.
• Publicación de la nueva tabla comparativa y difusión.

Sobre la EFF

La EFF (Electronic Frontier Foundation) es una organización sin ánimo de lucro fundada el 6 de julio de 1990 con sede en San Francisco, Estados Unidos. Su objetivo es luchar por las libertades civiles y por la conservación del derecho a libertad de expresión en el ámbito de las tecnologías de la era digital mediante la educación de la sociedad civil en estos temas.

La organización ha logrado un gran impacto social gracias a su trabajo, que consiste principalmente en:

• Proporcionar asesoramiento.
• Organizar acciones políticas.
• Apoyar a las tecnologías que respetan las libertades del individuo, frente a aquellas que no lo hacen.
• Proporcionar financiación y defensa legal en los tribunales.
• Distribuir guías y analizar las propiedades de las nuevas tecnologías emergentes.

En 2014 publicaron un artículo en el que comparaban la seguridad de las aplicaciones de mensajería más usadas, y asignaban una calificación (de 0 a 7) a cada una dependiendo de si cumplían unos criterios que la EFF consideraba necesarios para que una aplicación sea considerada segura. En su día era la mejor referencia a la hora de buscar aplicaciones con buenas políticas de seguridad y privacidad, pero dejó de actualizarse en marzo del 2016, por lo que la información ha quedado desfasada, y además no incluye aquellas aplicaciones que han surgido en los últimos 2 años.

Investigación

La investigación ha sido llevada a cabo por distintos miembros del grupo, y ha consistido mayormente en la búsqueda de artículos que apoyasen/negaran algunos aspectos de seguridad mencionados en el artículo original, comunicados oficiales de los desarrolladores/compañías, documentación y auditorías del código fuente.

A lo largo de esta fase, nos encontramos con distintos escenarios:

• Muchas aplicaciones cambiaron sus políticas de privacidad/seguridad, y apostaron por la implementación de mejores protocolos criptográficos para proteger la información de los usuarios
• Otras aplicaciones, por el contrario, siguen utilizando las políticas/protocolos que utilizaban en 2016
• Las aplicaciones emergentes en los últimos 2 años sí tenían en cuenta la seguridad, y casi todas ofrecían encriptación punto-a-punto por defecto
• Algunas aplicaciones dejaron de ofrecer sus servicios (parcial o completamente)

También cabe destacar que muchas aplicaciones no contaban con páginas que explicasen los protocolos criptográficos empleados, o el tratamiento que hacían de los datos de usuario, y solo se limitaban a mencionar que la información de sus usuarios estaba 'protegida' frente a terceros.

Impacto

Tras completar la tabla, decidimos crear una página web en WordPress para hacer accesibles los resultados al público general. Actualmente, la página cuenta con +250 visitas, pero esperamos que este número aumente en los próximos días tras compartir el enlace por redes sociales.

Tabla comparativa (basada en la scorecard de la EFF y actualizada por nosotros en 2018)

En esta tabla se estudian diversos puntos entre diferentes plataformas de mensajería:

1. ¿Comunicaciones encriptadas?

   Todas las comunicaciones que realiza el usuario están encriptadas para cualquier enlace usado por él mismo

2. ¿Encriptación punto a punto?

   Cualquier mensaje o dato sensible está encriptado de cara a los administradores del sistema, sólo los propios usuarios de la comunicación

   tienen la clave para descifrar

3. ¿La aplicación cuenta con verificación de cuentas?

   Cada cuenta tiene un mecanismo de verificación de usuario. Posibles mecanismos:

   • Interfaz que permita acceder al hash de cada correspondiente clave pública
   • Protocolo de intercambio de claves con una pequeña autenticación de caracteres

4. ¿Las comunicaciones realizadas en el pasado están protegidas si las claves son robadas?

   Cada comunicación está encriptada con claves efímeras ó de corto plazo, borradas constantemente.

   Hay que tener en cuenta que esta característica está relacionada con la segunda

5. ¿El código está abierto a revisiones de entidades independientes?

   El código fuente publicado debe ser suficiente para que otras entidades puedan realizar revisiones de bugs, back-doors, problemas estructurales, etc

6. ¿El diseño de la criptografía empleada está bien documentado?

   Todos los mecanismos criptográficos que usa la aplicación están explicados de forma clara y detallada en documentos,

   preferiblemente en formato papel. De esta forma podría ser revisado por una audiencia de criptógrafos profesionales

7. ¿Hubo recientemente alguna auditoría?

   Para este punto se estudia si la aplicación fue auditada por alguna organización independiente dentro de los 12 meses anteriores a la evaluación del mismo.

   Esta revisión debe cubrir tanto el diseño como la implementación de la app, al igual que debe haberse realizado por alguna empresa auditora con renombre

   e independiente de su equipo de desarrollo

   Cabe destacar que cuando las empresas trabajan con código abierto tienden a prescindir de auditorías ya que las personas que miran el código suelen corregir

   los fallos y dar el visto bueno a las implementaciones