HistoriasTecnología

WhatsApp vs. Telegram: ¿cuál es más segura para tu empresa?

¿Cuántas veces has compartido información confidencial a través de mensajería instantánea? Los expertos dicen que todavía no existe un sistema integral que garantice la seguridad de ese tipo de datos.

18-05-2016, 4:50:05 PM
WhatsApp vs. Telegram: ¿cuál es más segura para tu empresa?
Altonivel

La competencia por la herramienta más segura para mensajería instantánea inició hace varios años y resurgió hace poco cuando WhatsApp anunció que había completado la implementación de su encriptación end-to-end.

En los círculos de investigación en seguridad, este tema se ha traducido en interesantes debates entre WhatsApp y Telegram. Muy parecido a lo que sucedió entre Emacs vs Vi (Editores de texto) todos los participantes tienen una sólida opinión, pero no existe un consenso general.

Signal, WhatsApp y Telegram se han destacado como las soluciones de mensajería instantánea más seguras, gracias a la encriptación end-to-end o Perfect Forward Secrecy (PFS), pero ¿estás herramientas cubre la seguridad de las empresas?

WhatsApp pone candado antiFBI a tus mensajes

Mensajería instántanea para empresas

David Ramírez, Director México System Engineers de Fortinet, señala que si bien estas herramientas son seguras aún no existe una aplicación de mensajería instántanea que cumpla con las exigencias de seguridad de las empresas.

“La realidad es que el hecho de trabajar con dispositivos ‘no confiables’ se vuelve más delicado con los smartphones y/o Bring Your Own Device BYOD (una tendencia en que las empresas permiten a los trabajadores llevar al trabajo sus dispositivos portátiles personales para realizar tareas coporativas y conectarse a la red) en general”, explica el experto.

Son pocas las empresas que cuentan con un gobierno de Tecnologías de la Información integral que les permita controlar el 100% de los programas/aplicaciones instalados en las computadoras de la empresa, incluyendo la capacidad de controlar que no se instale nada adicional. Extender esto a los dispositivos de BYOD al día de hoy es prácticamente imposible.

Los sistemas operativos base de los dispositivos móviles son pocos, en su apertura (que es el caso de Android y/u otras alternativas) es imposible aún controlar las extensiones y/o características que el fabricante del móvil modifica del sistema base. Como consecuencia, aunque existen alternativas en la industria de Mobile Device Management (MDM), mientras no exista una plataforma 100% controlable, de tal forma que pueda determinarse al más bajo nivel, que el móvil es efectivamente de la empresa, es muy difícil eliminar el riesgo inherente de usar una plataforma que las empresas no pueden controlar.

No compartas información confidencial

Cuando se desean compartir datos importantes, como estrategias de negocio o códigos fuente (entre otros), con los colegas, no conviene hacerlo a través de un teléfono inteligente o tablet, y desafortunadamente:

1. WhatsApp funciona principalmente en smartphones en plataformas iOS o Android, aunque ya tiene aplicación para computadora de escritorio, pero casi nadie la usa.

2. Telegram no respalda chats privados, que son los únicos con encriptación end-to-end. Por lo que significa que las conversaciones pueden ser “descifrables” en los servidores de Telegram (y siempre alguien tiene acceso a ello).

3. Signal solo tiene una aplicación beta para Chrome y funciona si se enlaza con un teléfono Android.

Así que, por ahora no existe una solución integral. Además, y por muchas razones, no nos interesa vincular una cuenta de mensajería instantánea con un número de teléfono celular.

Primero, por privacidad, ¿con quién querrías compartir tu número de teléfono? ¿contactos?, ¿terceras personas?, ¿la ubicación del teléfono sería rastreable? Y segundo, por razones de separación: las personas no siempre tienen un teléfono celular exclusivo para su trabajo, lo que significa que terminan usando su propio dispositivo y, por consiguiente, su propia cuenta de mensajes instantáneos en el trabajo. Debemos de recordar que la implementación de seguridad está basada en riesgos y su mitigación sobre los activos críticos.

Recomendación

Con esto en mente y debido a como ha permeado la tecnología actualmente la principal pregunta que debemos hacernos es: ¿La información que estoy compartiendo podría llegar a manos extrañas? La respuesta a esta pregunta debe siempre estar acompañada de una evaluación objetiva, si es posible con apoyo de un tercero. Considerando que no se debe de perder la disponibilidad por la confidencialidad de la información, si el criterio de la misma lo amerita.

Este miércoles, Google anunció durante su conferencia para desarrolladores i/O Google 2016,  su propio sistema de mensajería llamado Allo que competirá directamente con Whatsapp. Habrá que ver en qué consiste su sistema de seguridad.

Aquí los pros y contras que en FORTINET hemos reunido para esta situación:

WhatsApp

PROS

CONTRAS

Buena Encriptación

Requiere un teléfono celular

PFS

No tiene código abierto, le pertenece a Facebook

 

Grupos de Chat Seguros

Utiliza Curve 25519. Aunque se ha dicho que es segura, es mucho menos investigada que RSA

 

Los metadatos no están seguros

 

La encriptación end-to-end solo está disponible en la actualización más reciente

Telegram

PROS

CONTRAS

Código abierto en su mayoría

Encriptación end-to-end y PFS*

 

El historial es almacenado en servidores (a excepción de los chats privados)

 

Utiliza SHA1 cuando es preferible SHA256

 

Usa KDF no estandarizado

 

Los metadatos no están seguros

 

*Solo disponible en “chats privados” (no para chats normales o grupos)

Signal

PROS

CONTRAS

Código abierto

Requiere un teléfono celular

 

Buena encriptación

Solo tiene una aplicación beta para Chrome en computadoras de escritorio (¿qué pasa si el navegador está comprometido?)

 

PFS

Utiliza Curve 25519. Aunque se ha dicho que es segura, es mucho menos investigada que RSA

Nada se almacena en los servidores

La comparación de key fingerprints no es muy conveniente*

 

Grupos de chat seguros

*Key fingerprints:

https://github.com/WhisperSystems/Signal-iOS/wiki/FAQ#can-i-verify-my-contacts-key

Relacionadas

Comentarios