Damián Digital

Signal está finalmente llevando sus mensajes seguros a las masas

La aplicación de encriptación pone 50 millones de dólares del cofundador de WhatsApp para llegar a ser popular.

El mes pasado, el criptógrafo y codificador conocido como Moxie Marlinspike se estaba instalando en un avión cuando su compañero de asiento, un hombre de aspecto medio-occidental de unos 60 años, le pidió ayuda. No pudo averiguar cómo activar el modo avión en su viejo teléfono Android. Pero cuando Marlinspike vio la pantalla, se preguntó por un momento si estaba siendo perseguido: Entre un puñado de aplicaciones instaladas en el teléfono estaba Signal.

Marlinspike lanzó Signal, considerada la aplicación de mensajería encriptada de extremo a extremo más segura del mundo, hace casi cinco años, y hoy en día dirige la fundación sin fines de lucro Signal Foundation que la mantiene. Pero el hombre del avión no sabía nada de eso. No era, de hecho, el trolador Marlinspike, que educadamente le mostró cómo activar el modo avión y le devolvió el teléfono.

«Trato de recordar momentos como ese en la construcción de Signal», dijo Marlinspike a Wired en una entrevista a través de una llamada telefónica habilitada para Signal el día después de ese vuelo. «Las elecciones que estamos haciendo, la aplicación que estamos tratando de crear, tiene que ser para las personas que no saben cómo activar el modo de avión en su teléfono», dice Marlinspike.

Marlinspike siempre ha hablado de hacer que las comunicaciones encriptadas sean lo suficientemente fáciles de usar para cualquiera. La diferencia, hoy en día, es que Signal está llegando finalmente a esa audiencia masiva a la que siempre estuvo destinada -no sólo a los fanáticos de la privacidad, los activistas y los empollones de la ciberseguridad que formaron su base principal de usuarios durante años- gracias en parte a un esfuerzo concertado para hacer la aplicación más accesible y atractiva para la corriente principal.

Inyección de efectivo

Esa nueva fase en la evolución de la Señal comenzó hace dos años este mes. Fue cuando el cofundador de WhatsApp, Brian Acton, a pocos meses de haber dejado la aplicación que construyó en medio de los choques post-adquisición con la administración de Facebook, inyectó 50 millones de dólares en el proyecto de mensajería encriptada de extremo a extremo de Marlinspike. Acton también se unió a la recién creada Signal Foundation como presidente ejecutivo. El emparejamiento tenía sentido; WhatsApp había utilizado el protocolo de código abierto de Signal para cifrar todas las comunicaciones de WhatsApp de forma integral de forma predeterminada, y Acton se había descontento con lo que él veía como intentos de Facebook de erosionar la privacidad de WhatsApp.

Desde entonces, la organización sin ánimo de lucro de Marlinspike ha puesto en marcha los millones de Acton y su experiencia en la creación de una aplicación con miles de millones de usuarios. Después de años de trabajar con sólo tres empleados a tiempo completo, la Signal Foundation tiene ahora 20 empleados. Durante años, una aplicación de llamadas y mensajes de texto sin más, Signal se ha convertido cada vez más en una plataforma de comunicaciones con todas las funciones. Con su nuevo músculo de codificación, ha desplegado características a una velocidad vertiginosa: en sólo los últimos tres meses, Signal ha añadido soporte para el iPad, imágenes efímeras y vídeo diseñados para desaparecer después de una sola visualización, «pegatinas» personalizables descargables y reacciones emoji. Más significativamente, anunció planes para desplegar un nuevo sistema de mensajería de grupo, y un método experimental para almacenar contactos encriptados en la nube.

«La principal transición que ha experimentado la Señal es pasar de un pequeño esfuerzo de tres personas a algo que ahora es un proyecto serio con capacidad para hacer lo que se requiere para construir software en el mundo actual», dice Marlinspike.

Muchas de esas características pueden parecer triviales. Ciertamente no son del tipo que atrajo a los primeros usuarios de Signal. En cambio, son lo que Acton llama «características de enriquecimiento». Están diseñadas para atraer a la gente normal que quiere una aplicación de mensajería tan multifuncional como WhatsApp, iMessage o Facebook Messenger, pero que aún así valoran la seguridad ampliamente confiable de Signal y el hecho de que prácticamente no recoge datos de los usuarios. «Esto no es sólo para los investigadores de seguridad hiperparanoica, sino para las masas», dice Acton. «Esto es algo para todos en el mundo».

LEER  El servidor de impresión CUPS cambiará su licencia de GPL a Apache

Incluso antes de esas características de placer de las masas, la señal estaba creciendo a un ritmo que la mayoría de las startups envidiarían. Cuando Wired hizo el perfil de Marlinspike en 2016, sólo confirmó que Signal tenía al menos dos millones de usuarios. Hoy en día, sigue siendo muy reservado sobre la base total de usuarios de Signal, pero ha tenido más de 10 millones de descargas sólo en Android según el recuento de Google Play Store. Acton añade que otro 40 por ciento de los usuarios de la aplicación están en iOS.

Su adopción se ha extendido desde Black Lives Matters y activistas pro-elección en América Latina por políticos y asistentes políticosinclusive gente técnicamente incompetentes como Rudy Giuliani– hasta jugadores de la NBA y la NFL. En 2017, apareció en el programa de hackers Mr. Robot y en la película de suspense política House of Cards. El año pasado, en un signo de su cambiante audiencia, apareció en el drama adolescente Euphoria.

Identificar las características que el público masivo quiere no es tan difícil. Pero construir incluso mejoras sencillas dentro de las restricciones de privacidad de Signal, incluyendo una falta de metadatos que ni siquiera WhatsApp promete, puede requerir importantes hazañas de ingeniería de seguridad y, en algunos casos, nuevas investigaciones en criptografía.

Toma las pegatinas, una de las más simples actualizaciones de la Señal. En una plataforma menos segura, ese tipo de integración es bastante sencilla. Para Signal, requería diseñar un sistema donde cada «paquete» de pegatinas se encripta con una «llave de paquete». Esa clave es en sí misma encriptada y compartida de un usuario a otro cuando alguien quiere instalar nuevas pegatinas en su teléfono, de modo que el servidor de Signal nunca puede ver las pegatinas desencriptadas o incluso identificar al usuario de Signal que las ha creado o enviado.

LEER  Skygofree: descubrimiento de un potente spyware de Android

Credenciales anónimas

La nueva mensajería de grupo de Signal, que permitirá a los administradores añadir y eliminar personas de los grupos sin que un servidor de Signal sepa nunca quiénes son los miembros de ese grupo, requería ir más lejos aún. Signal se asoció con Microsoft Research para inventar una novedosa forma de «credenciales anónimas» que permiten a un servidor vigilar quién pertenece a un grupo, pero sin conocer nunca la identidad de los miembros. «Se requería llegar a algunas innovaciones en el mundo de la criptografía», dice Marlinspike. «Y al final, es simplemente invisible. Es sólo grupos, y funciona como esperamos que funcionen los grupos.»

Signal también se está replanteando la forma en que realiza el seguimiento de los gráficos sociales de sus usuarios. Otra nueva característica que está probando, llamada «recuperación de valor seguro», te permitiría crear una libreta de direcciones de tus contactos de Signal y almacenarlos en un servidor de Signal, en lugar de depender simplemente de la lista de contactos de tu teléfono. Esa lista de contactos almacenada en el servidor se conservaría incluso cuando cambies a un nuevo teléfono. Para evitar que los servidores de Signal vean esos contactos, los encriptaría con una clave almacenada en el enclave seguro SGX, que tiene por objeto ocultar ciertos datos incluso del resto del sistema operativo del servidor.

Esa característica podría algún día incluso permitir a Signal deshacerse de su actual sistema de identificación de usuarios basado en sus números de teléfono, una característica que muchos defensores de la privacidad han criticado, ya que obliga a cualquiera que quiera ser contactado a través de Signal a entregar un número de teléfono móvil, a menudo a extraños. En cambio, podría almacenar identidades persistentes para los usuarios de forma segura en sus servidores. «Sólo diré que esto es algo en lo que estamos pensando», dice Marlinspike. La recuperación de valor seguro, dice, «sería el primer paso para resolverlo».

Con las nuevas características viene una complejidad adicional, que puede añadir más posibilidades de que las vulnerabilidades de seguridad se cuelen en la ingeniería de Signal, advierte Matthew Green, un criptógrafo de la Universidad Johns Hopkins. Dependiendo de la característica SGX de Intel, por ejemplo, podría permitir a los hackers robar secretos la próxima vez que los investigadores de seguridad expongan una vulnerabilidad en el hardware de Intel. Por esa razón, dice que algunas de las nuevas características de Signal deberían idealmente venir con un interruptor de exclusión. «Espero que esto no sea todo o nada, que Moxie me dé la opción de no usar esto», dice Green.

Pero en general, Green dice que está impresionado con la ingeniería que Signal ha puesto en su evolución. Y hacer que Signal sea más amigable para la gente normal sólo se vuelve más importante a medida que las empresas de Silicon Valley se ven bajo la creciente presión de los gobiernos para crear puertas traseras de encriptación para la aplicación de la ley, y a medida que Facebook insinúa que sus propios planes ambiciosos de encriptación de extremo a extremo están todavía a años de distancia de llegar a buen puerto.

LEER  El error de WhatsApp podría permitir que los atacantes espíen en grupos encriptados

«Signal está pensando mucho en cómo dar a las personas la funcionalidad que quieren sin comprometer demasiado la privacidad, y eso es realmente importante», añade Green. «Si considera que Signal es importante para la comunicación segura en el futuro -y posiblemente no considere que Facebook o WhatsApp sean fiables-, entonces definitivamente necesita que Signal sea utilizable por un grupo más amplio de personas. Eso significa tener estas características».

Brian Acton no oculta su ambición de que Signal pueda, de hecho, crecer hasta convertirse en un servicio del tamaño de WhatsApp. Después de todo, Acton no solo fundó WhatsApp y ayudó a que creciera hasta alcanzar los miles de millones de usuarios, sino que antes de eso se unió a Yahoo en sus primeros y explosivos días de crecimiento a mediados de los 90. Cree que puede volver a hacerlo. «Me gustaría que la señal llegara a miles de millones de usuarios. Sé lo que se necesita para hacer eso. Yo lo hice», dice Acton. «Me encantaría que ocurriera en los próximos cinco años o menos.»

Esa ambición salvaje, de conseguir que Signal se instale en una fracción significativa de todos los teléfonos del planeta, representa un cambio, si no para Acton, entonces para Marlinspike. Hace tan solo tres años, el creador de Signal meditó en una entrevista con Wired que esperaba que Signal pudiera algún día «desvanecerse», idealmente después de que su cifrado se hubiera implementado ampliamente en otras redes de miles de millones de usuarios como WhatsApp. Ahora, parece que Signal espera no sólo influir en los gigantes de la tecnología, sino convertirse en uno de ellos.

Pero Marlinspike sostiene que los objetivos fundamentales de Signal no han cambiado, sólo su estrategia y sus recursos. «Este siempre ha sido el objetivo: crear algo que la gente pueda usar para todo», dice Marlinspike. «Dije que queríamos hacer la comunicación privada simple, y la encriptación de extremo a extremo omnipresente, y empujar los límites de la tecnología de preservación de la privacidad. Esto es lo que quise decir.»

Fuente: https://arstechnica.com/

1 comentario en «Signal está finalmente llevando sus mensajes seguros a las masas»

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: