Signal es una aplicación de mensajería segura encriptada que en los últimos días todos piensan en ello como una alternativa más privada a WhatsApp, Facebook Messenger, Skype, iMessenge y SMS.
Inclusive es considerado como uno de los programas de chat más seguros en la actualidad y el cual está tomando mucha más fuerza en comparación a sus programas hermanos como WhatsApp o Telegram, aunque Cellebrite ha dado a conocer que puede que no sea tan seguro como ellos presumen.
La firma de seguridad israelí Cellebrite ha afirmado que puede descifrar mensajes de la aplicación de llamada de voz y chat altamente segura de Signal, y se jacta de que podría interrumpir las comunicaciones de “miembros de pandillas, traficantes de drogas e incluso manifestantes”.
Un blog en su sitio web que detalla cómo lo hizo ha sido modificado desde entonces. Según un experto en ciber seguridad, las afirmaciones sonaban “creíbles”.
Pero otros, incluidos el fundador de Signal, los han descartado por ser ridículos.
¿Qué tan cierto es que los mensajes de Signal pueden espiarse?
La BBC se ha puesto en contacto con Cellebrite y Signal para que den a conocer sus versiones. Signal no respondió, pero luego público un blog en el que describió a la publicación original de Cellebrite como “bastante vergonzosa”.
Las aplicaciones altamente encriptadas como Signal y Telegram se han vuelto populares entre las personas interesadas en mantener la privacidad de sus mensajes. Las tasas de adopción han preocupado a las agencias de aplicación de la ley, que sienten que están obstaculizando su capacidad para investigar delitos.
“Aplicaciones como estas hacen que el análisis de datos para el análisis forense sea extremadamente difícil” escribe Cellebrite.
La firma tiene una serie de productos, incluido el UFED (Universal Foresenic Extraction Device), un sistema que permite a las autoridades desbloquear y acceder a los datos de los teléfonos de los sospechosos.
Cellebrite proporciono una explicación técnica de como encontró una clave de descifrado que le permitió acceder a los mensajes que Signal almacena en su base de datos. Luego describió como buscó en el código fuente abierto de Signal pistas sobre como violar la base de datos.
“Finalmente encontramos lo que estábamos buscando” escribe, con una explicación completa de como lo hizo, que desde entonces ha sido eliminado.
Su afirmación sugiera que podría “descifrar” el cifrado de Signal en teléfonos Android para revelar mensajes y archivos adjuntos, pero no mencionó que fuese igual para los dispositivos de Apple.
En respuesta a las personas que cuestionaron las afirmaciones de Cellebrite, el creador de Signal, Moxa Marlinspike, descartó la idea de que la aplicación se hubiera visto comprometida.
“Este fue un artículo sobre técnicas avanzadas que Cellebrite usó para decodificar un mensaje de Signal en un dispositivo Android desbloqueado”.
John Scott-Railton, investigador principal de Citizen Lab, un perro guardián de Internet con sede en la Universidad de Toronto, se movió para asegurar a los usuarios que Signal “sigue siendo una de las formas más seguras y privadas de comunicarse”.
“Si les preocupa que sus conversaciones se extraigan de un dispositivo confiscado, pueden permitir la desaparición de mensajes”, agregó.
Signal trata de ganar credibilidad luego de las declaraciones de hackeó
Signal, propiedad de Signal Technology Foundation, se jacta de poner la privacidad en el corazón de su sistema, utilizando un sistema que se creía casi imposible de romper. La aplicación de mensajería está respaldada por el denunciante Edward Snowden, quien afirma usarla “todos los días”.
En su sitio web, dice que utiliza un cifrado de punta a punta de última generación para mantener seguras todas las conversaciones. “No podemos leer sus mensajes ni escuchar sus llamadas y nadie más puede hacerlo”.
Alan Woordward, profesor de informática en la Universidad de Surrey, dijo que Signal era “uno de los servicios de mensajería más seguros, sino el más seguro, disponible al público”.
“Signal emplea cifrado de extremo a extremo, pero va más allá que aplicaciones como WhatsApp al ocultar los metadatos: quien hablo con quién, cuándo y durante cuánto tiempo”, explicó.
“Cellebrite parece haber podido recuperar la clave de descifrado, lo que parece extraordinario ya que normalmente está muy bien protegidas en los dispositivos móviles modernos”. Añadió que si esto fuera cierto, no era de extrañar que Cellebrite hubiera alterado su blog.
“Sospecho que alguien con autoridad les dijo que lo hicieran, o se dieron cuenta de que pudieron haber proporcionado suficientes detalles para permitir que otros, que no solo suministran a las agencias de aplicación de la ley, logren el mismo resultado”.
