Esta semana saltaba a la fama la aplicación de mensajería instantánea Signal por ser la utilizada por Carles Puigdemong y el ex conceller de ERC en la Generalitat de Catalunya Toni Común para comunicarse en el exilio. Esta app era la vía por la que intercambiaban mensajes como los que han trascendido esta semana al ser fotografiada la pantalla del móvil de Comín, lo que ha permitido conocer que Puigdemont calificaba el procés como “terminado”.
Son tan seguras como el sistema operativo, el software y el hardware del movil o dispositivo en que lo instales.
Si mediante una vulnerabilidad del hardware del movil (cualquiera de las partes internas de los chips del movil y sus memorias reescribibles, firmware y otros asuntos supuestamente dentro de lo que se llama hardware, por ejemplo las vulnerabilidades spectre y meltdown son de las cpu de intel, los moviles tienen otras pero tambien serán vulnerables algunas a estas o a otras vulnerabilidades), del sistema operativo (basado en android o en ios, versiones diferentes), o cualquier otra app o software que has instalado y que ni sabes que hace realmente (te dice que hace una cosa, pero realmente igual hace otra), o con cualquier otra vulnerabilidad del s.o. o app con servidor, te instalan alguna especie de troyano que espia tu movil, da igual la app (signal, whatsapp, telegram, ...) , espiarán todo lo que hagas en tu movil.
Si te instalan en tus gafas o en la solapa, o en un botón, una minicamara que no te enteras, tambien es igual de vulnerable.
Si te engañan por ingenieria social para que instales una app que te espia, es igual de vulnerable. Por ejemplo, te llama alguien que dice ser de la compañia de telecomunicaciónes que tienes contratada y te dice que tienes que instalar una app para que el sistema funcione mejor, o funcione a plena velocidad 7G. Te dice las instrucciones para instalar esa app, o te dice una dirección desde la que se instalará con las instrucciones que te dice y tu solo tienes que dar permisos o quitar temporalmente el check de apps seguras del store porque es una app nueva que no compartimos con la store (google o apple) porque es solo para clientes vip.
O te llama uno que dice ser el asistente o empleado del area de seguridad informatica de tu empresa o partido político y te dice que con el que sueles hablar (te dice el nombre y le conoces) está de baja o enfermo o de vacaciones y que es el sustituto. Bueno, pues este te dice que tienes que instalar una app actualizacion de seguridad inmediatamente con estas instrucciones. Para mayor facilidad te pide hacerte un control remoto y te dice las instrucciones para que se lo permitas, y te dice que el se encargará de instalar lo que haya que instalar.
Si mientras estás distraido se acerca una persona, te clona el movil en uno identico (forma, modelo, pantalla, carcasa, y si la pantalla está rajada pues tambien lo intentan rajar para que sea igual) pero pinchadisimo (con hardware metido dentro para espiarte y seguirte) y sustituye el tuyo. Tu piensas que estás utilizando tu supuestamente seguro movil, pero es otro diferente que te espia.
#10 Mientras la espia Mata Hari te está dando "cariñito", asi por accidente tira el movil al suelo y se rompe o se le cae en una jarra de agua. Tu pides uno nuevo al operador o a tu empresa, pero el nuevo que te mandan lo sustituyen en ruta por uno pinchadisimo.
#6 Cierto, con seguridadse refieren normalmente a seguridad frente a terceras personas. Si no te fías de la segunda persona, no mandes mensajes problemáticos. Por eso la opción de enviar mensajes autoborrables me parece curiosa. Da una falsa sensación de seguridad: la otra persona podría copiar perfectamente ese mensaje.
Entre otras opciones, Signal permite enviar mensajes que desaparecen del teléfono del receptor una vez leídos, y también avisa al emisor del texto si la persona que lo recibe realiza una captura de pantalla para conservarlo.
En Telegram también se puede hacer eso mismo
Sería interesante que se añadiera la opción en menéame a que los usuarios tuvieran asociada una llave pública en su perfil. O un repositorio de llaves públicas.
Comentarios
Si tienes un móvil con tapa, pues igual.
#2 O un teléfono de Góndola
Yo me he acostumbrado a Colgate.
Aunque se suele colgar, no siempre me da signal.
Si las usas delante de periodistas con cámaras, son todas igual de seguras.
Son tan seguras como el sistema operativo, el software y el hardware del movil o dispositivo en que lo instales.
Si mediante una vulnerabilidad del hardware del movil (cualquiera de las partes internas de los chips del movil y sus memorias reescribibles, firmware y otros asuntos supuestamente dentro de lo que se llama hardware, por ejemplo las vulnerabilidades spectre y meltdown son de las cpu de intel, los moviles tienen otras pero tambien serán vulnerables algunas a estas o a otras vulnerabilidades), del sistema operativo (basado en android o en ios, versiones diferentes), o cualquier otra app o software que has instalado y que ni sabes que hace realmente (te dice que hace una cosa, pero realmente igual hace otra), o con cualquier otra vulnerabilidad del s.o. o app con servidor, te instalan alguna especie de troyano que espia tu movil, da igual la app (signal, whatsapp, telegram, ...) , espiarán todo lo que hagas en tu movil.
Si te instalan en tus gafas o en la solapa, o en un botón, una minicamara que no te enteras, tambien es igual de vulnerable.
Si te engañan por ingenieria social para que instales una app que te espia, es igual de vulnerable. Por ejemplo, te llama alguien que dice ser de la compañia de telecomunicaciónes que tienes contratada y te dice que tienes que instalar una app para que el sistema funcione mejor, o funcione a plena velocidad 7G. Te dice las instrucciones para instalar esa app, o te dice una dirección desde la que se instalará con las instrucciones que te dice y tu solo tienes que dar permisos o quitar temporalmente el check de apps seguras del store porque es una app nueva que no compartimos con la store (google o apple) porque es solo para clientes vip.
O te llama uno que dice ser el asistente o empleado del area de seguridad informatica de tu empresa o partido político y te dice que con el que sueles hablar (te dice el nombre y le conoces) está de baja o enfermo o de vacaciones y que es el sustituto. Bueno, pues este te dice que tienes que instalar una app actualizacion de seguridad inmediatamente con estas instrucciones. Para mayor facilidad te pide hacerte un control remoto y te dice las instrucciones para que se lo permitas, y te dice que el se encargará de instalar lo que haya que instalar.
Si mientras estás distraido se acerca una persona, te clona el movil en uno identico (forma, modelo, pantalla, carcasa, y si la pantalla está rajada pues tambien lo intentan rajar para que sea igual) pero pinchadisimo (con hardware metido dentro para espiarte y seguirte) y sustituye el tuyo. Tu piensas que estás utilizando tu supuestamente seguro movil, pero es otro diferente que te espia.
Así posibilidades casi infinitas.
#10 Vaya curso nos has dado!
Genial
#10 Mientras la espia Mata Hari te está dando "cariñito", asi por accidente tira el movil al suelo y se rompe o se le cae en una jarra de agua. Tu pides uno nuevo al operador o a tu empresa, pero el nuevo que te mandan lo sustituyen en ruta por uno pinchadisimo.
Un discreto microbloging en los nombres propios.
Ninguna aplicación de mensajería es segura si una de las partes decide hacer público los mensajes.
#6 Cierto, con seguridadse refieren normalmente a seguridad frente a terceras personas. Si no te fías de la segunda persona, no mandes mensajes problemáticos. Por eso la opción de enviar mensajes autoborrables me parece curiosa. Da una falsa sensación de seguridad: la otra persona podría copiar perfectamente ese mensaje.
La verdad que si quieres que no te lean nunca, y no quiero hacer publicidad, Confidente funciona genial.
Aunque haya que pagar
Entre otras opciones, Signal permite enviar mensajes que desaparecen del teléfono del receptor una vez leídos, y también avisa al emisor del texto si la persona que lo recibe realiza una captura de pantalla para conservarlo.
En Telegram también se puede hacer eso mismo
Totalmente segura, si no tienes con quién hablar no hay riesgo.
Sería interesante que se añadiera la opción en menéame a que los usuarios tuvieran asociada una llave pública en su perfil. O un repositorio de llaves públicas.
#1 https://github.com/gallir/Meneame/issues pedir es facil, que te hagan caso dificil