WhatsApp vs. Telegram: ¿cuál es más segura para tu empresa?
¿Cuántas veces has compartido información confidencial a través de mensajería instantánea? Los expertos dicen que todavía no existe un sistema integral que garantice la seguridad de ese tipo de datos.
La competencia por la herramienta más segura para mensajería instantánea inició hace varios años y resurgió hace poco cuando WhatsApp anunció que había completado la implementación de su encriptación end-to-end.
En los círculos de investigación en seguridad, este tema se ha traducido en interesantes debates entre WhatsApp y Telegram. Muy parecido a lo que sucedió entre Emacs vs Vi (Editores de texto) todos los participantes tienen una sólida opinión, pero no existe un consenso general.
Signal, WhatsApp y Telegram se han destacado como las soluciones de mensajería instantánea más seguras, gracias a la encriptación end-to-end o Perfect Forward Secrecy (PFS), pero ¿estás herramientas cubre la seguridad de las empresas?
WhatsApp pone candado antiFBI a tus mensajes
Mensajería instántanea para empresas
David Ramírez, Director México System Engineers de Fortinet, señala que si bien estas herramientas son seguras aún no existe una aplicación de mensajería instántanea que cumpla con las exigencias de seguridad de las empresas.
“La realidad es que el hecho de trabajar con dispositivos ‘no confiables’ se vuelve más delicado con los smartphones y/o Bring Your Own Device BYOD (una tendencia en que las empresas permiten a los trabajadores llevar al trabajo sus dispositivos portátiles personales para realizar tareas coporativas y conectarse a la red) en general”, explica el experto.
Son pocas las empresas que cuentan con un gobierno de Tecnologías de la Información integral que les permita controlar el 100% de los programas/aplicaciones instalados en las computadoras de la empresa, incluyendo la capacidad de controlar que no se instale nada adicional. Extender esto a los dispositivos de BYOD al día de hoy es prácticamente imposible.
Los sistemas operativos base de los dispositivos móviles son pocos, en su apertura (que es el caso de Android y/u otras alternativas) es imposible aún controlar las extensiones y/o características que el fabricante del móvil modifica del sistema base. Como consecuencia, aunque existen alternativas en la industria de Mobile Device Management (MDM), mientras no exista una plataforma 100% controlable, de tal forma que pueda determinarse al más bajo nivel, que el móvil es efectivamente de la empresa, es muy difícil eliminar el riesgo inherente de usar una plataforma que las empresas no pueden controlar.
No compartas información confidencial
Cuando se desean compartir datos importantes, como estrategias de negocio o códigos fuente (entre otros), con los colegas, no conviene hacerlo a través de un teléfono inteligente o tablet, y desafortunadamente:
1. WhatsApp funciona principalmente en smartphones en plataformas iOS o Android, aunque ya tiene aplicación para computadora de escritorio, pero casi nadie la usa.
2. Telegram no respalda chats privados, que son los únicos con encriptación end-to-end. Por lo que significa que las conversaciones pueden ser “descifrables” en los servidores de Telegram (y siempre alguien tiene acceso a ello).
3. Signal solo tiene una aplicación beta para Chrome y funciona si se enlaza con un teléfono Android.
Así que, por ahora no existe una solución integral. Además, y por muchas razones, no nos interesa vincular una cuenta de mensajería instantánea con un número de teléfono celular.
Primero, por privacidad, ¿con quién querrías compartir tu número de teléfono? ¿contactos?, ¿terceras personas?, ¿la ubicación del teléfono sería rastreable? Y segundo, por razones de separación: las personas no siempre tienen un teléfono celular exclusivo para su trabajo, lo que significa que terminan usando su propio dispositivo y, por consiguiente, su propia cuenta de mensajes instantáneos en el trabajo. Debemos de recordar que la implementación de seguridad está basada en riesgos y su mitigación sobre los activos críticos.
Recomendación
Con esto en mente y debido a como ha permeado la tecnología actualmente la principal pregunta que debemos hacernos es: ¿La información que estoy compartiendo podría llegar a manos extrañas? La respuesta a esta pregunta debe siempre estar acompañada de una evaluación objetiva, si es posible con apoyo de un tercero. Considerando que no se debe de perder la disponibilidad por la confidencialidad de la información, si el criterio de la misma lo amerita.
Este miércoles, Google anunció durante su conferencia para desarrolladores i/O Google 2016, su propio sistema de mensajería llamado Allo que competirá directamente con Whatsapp. Habrá que ver en qué consiste su sistema de seguridad.
Aquí los pros y contras que en FORTINET hemos reunido para esta situación:
PROS |
CONTRAS |
Buena Encriptación |
Requiere un teléfono celular |
PFS |
No tiene código abierto, le pertenece a Facebook |
Grupos de Chat Seguros |
Utiliza Curve 25519. Aunque se ha dicho que es segura, es mucho menos investigada que RSA |
|
Los metadatos no están seguros |
|
La encriptación end-to-end solo está disponible en la actualización más reciente |
Telegram
PROS |
CONTRAS |
Código abierto en su mayoría |
Encriptación end-to-end y PFS* |
|
El historial es almacenado en servidores (a excepción de los chats privados) |
|
Utiliza SHA1 cuando es preferible SHA256 |
|
Usa KDF no estandarizado |
|
Los metadatos no están seguros |
|
*Solo disponible en “chats privados” (no para chats normales o grupos) |
Signal
PROS |
CONTRAS |
Código abierto |
Requiere un teléfono celular |
Buena encriptación |
Solo tiene una aplicación beta para Chrome en computadoras de escritorio (¿qué pasa si el navegador está comprometido?) |
PFS |
Utiliza Curve 25519. Aunque se ha dicho que es segura, es mucho menos investigada que RSA |
Nada se almacena en los servidores |
La comparación de key fingerprints no es muy conveniente* |
Grupos de chat seguros |
*Key fingerprints: https://github.com/WhisperSystems/Signal-iOS/wiki/FAQ#can-i-verify-my-contacts-key |