Menú principal

miércoles, 23 de julio de 2014

Wickr: Mensajería instantanea con seguridad militar en iOS

WhatsApp ha tenido un gran impacto en nuestras vidas y en nuestra forma de entender la mensajería instantánea, gracias al auge de los smartphones. En el mundo de los que quieren espiar WhatsApp también ha tenido un gran impacto debido a los problemas de seguridad, sobretodo referente a la privacidad. Es difícil comenzar un artículo de una herramienta de mensajería instantánea sin hablar de WhatsApp o Telegram, pero hoy queremos hablaros de Wickr, que es promocionada como la única aplicación de envío de mensajes para móviles con grado de seguridad militar. Su creadora es Nico Sell, fundadora de r00tz y una de las organizadoras de la DEFCON.

La comunicación es realizada utilizando un modelo entre pares (peer-to-peer) cifrados. No existen servidores centralizados, por lo que se evita, a priori, que los datos queden almacenados en servidores pertenecientes a la empresa. El identificador (ID) e información del dispositivo son hasheadas con varias iteraciones de SHA256 más un salt. Los datos que se almacenan en el dispositivo son cifrados con AES-256, pero además se dispone de una característica que es la destrucción de información.

Figura 1: Nico Sell hablando de Wickr

A los datos se les configura un TTL, Time To Live, con el que una vez pasado ese tiempo los datos son eliminados del dispositivo. Este borrado se hace de manera forense, también denominado wipping. Los mensajes también son cifrados en tránsito con AES-256, es decir, cuando el emisor envía un mensaje al receptor, la información viaja cifrada en todo momento.

Un dato muy importante es que la contraseña y los hashes de la contraseña no se alojan en el dispositivo. Las claves de cifrado se utilizan una única vez y son regeneradas en cada mensaje. Hemos podido probar la herramienta y nos ha parecido realmente interesante, por las capas de seguridad y privacidad que aporta.

Creación, configuración y uso de Wickr

Lo primero de todo es crear una cuenta, para ello solamente se debe utilizar un ID y una contraseña. El ID es importante, ya que posteriormente nos podrán buscar gracias él. Una vez creada la cuenta, se pedirá confirmación vía e-mail para validar la creación. Este e-mail se debe facilitar en un paso previo al mostrado en la imagen.

Figura 2: Creación del id de Wickr

En la parte de configuración  se dispone de las opciones configurables que se mencionaban anteriormente. Tanto en la parte de cuenta como de conexiones ID podemos configurar más emails o números de teléfono asociados a la cuenta. Cabe destacar el listado de bloqueos, a modo de lista negra que dispone la herramienta.

Figura 3: Configuración de la cuenta de Wickr

El apartado de Default Destruction permite configurar el TTL de los mensajes en el dispositivo. Esto no es novedad en este tipo de herramientas, pero es algo que sigue sorprendiendo a muchos usuarios, no involucrados en el mundo de la seguridad. Es importante tener presente de que esta característica no aportaría si los mensajes quedasen copiados en alguna otra ubicación, como por ejemplo un servidor intermedio. En teoría, y gracias al cifrado en tránsito, esto no ocurrirá, existiendo dos copias de los mensajes, una la tuya y otra la del receptor.

Figura 4: Configuración de la autodestrucción de mensajes

Cuando escribimos un mensaje a otro destinatario, se dispone de un área en el que se van almacenando los mensajes. En la imagen se puede visualizar un ejemplo de ello. Si se pulsa sobre el icono de la aplicación se obtienen otras funcionalidades para anexar archivos o realizar fotografías que pueden ser enviadas a través de la aplicación.

Figura 5: Envío de mensajes por Wickr con autodestrucción

Una vez que transcurre el TTL configurado en el dispositivo, podemos observar como se van eliminando los mensajes. En la imagen siguiente se puede observar este hecho.

Figura 6: El mensaje se autodestruye cuando se acaba el TTL

Tras probar la herramienta podemos decir que las funcionalidades que nos encontramos no son novedosas, aunque si hace hincapié en asignar un gran número de medidas de seguridad para asegurar la privacidad de los usuarios. Estas medidas están bien elegidas y los usuarios a los que les gusta el modo paranoico para proteger su privacidad le recomendamos su uso.

2 comentarios:

  1. Hola,

    Muy interesante el artículo. Una cosilla nada más, se escribe instantánea (con tilde).

    un saludo!

    ResponderEliminar
  2. hola buenas tardes, es que descargue la app en mi iphone pero no me quiere aceptar las claves que le he ingresado y he seguido las instrucciones al pie de la letra....que podrá ser.....gracias

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares