WhatsApp ha tenido un gran impacto en nuestras vidas y en nuestra forma de entender la mensajería instantánea, gracias al auge de los smartphones. En el mundo de los que quieren
espiar WhatsApp también ha tenido un gran impacto debido a los problemas de seguridad, sobretodo referente a la privacidad. Es difícil comenzar un artículo de una herramienta de mensajería instantánea sin hablar de
WhatsApp o
Telegram, pero hoy queremos hablaros de
Wickr, que es promocionada como la única aplicación de envío de mensajes para móviles con grado de seguridad militar. Su creadora es
Nico Sell, fundadora de
r00tz y una de las organizadoras de la
DEFCON.
La comunicación es realizada utilizando un modelo entre pares
(peer-to-peer) cifrados. No existen servidores centralizados, por lo que se evita, a priori, que los datos queden almacenados en servidores pertenecientes a la empresa. El identificador
(ID) e información del dispositivo son
hasheadas con varias iteraciones de
SHA256 más un
salt. Los datos que se almacenan en el dispositivo son cifrados
con
AES-256, pero además se dispone de una característica que es la destrucción de información.
|
Figura 1: Nico Sell hablando de Wickr |
A los datos se les configura un
TTL, Time To Live, con el que una vez pasado ese tiempo los datos son eliminados del dispositivo. Este borrado se hace de manera forense, también denominado
wipping. Los mensajes también son cifrados en tránsito con
AES-256, es decir, cuando el emisor envía un mensaje al receptor, la información viaja cifrada en todo momento.
Un dato muy importante es que la contraseña y los
hashes de la contraseña no se alojan en el dispositivo. Las claves de cifrado se utilizan una única vez y son regeneradas en cada mensaje. Hemos podido probar la herramienta y nos ha parecido realmente interesante, por las capas de seguridad y privacidad que aporta.
Creación, configuración y uso de Wickr
Lo primero de todo es crear una cuenta, para ello solamente se debe utilizar un
ID y una contraseña. El
ID es importante, ya que posteriormente nos podrán buscar gracias él. Una vez creada la cuenta, se pedirá confirmación vía
e-mail para validar la creación. Este
e-mail se debe facilitar en un paso previo al mostrado en la imagen.
|
Figura 2: Creación del id de Wickr |
En la parte de configuración se dispone de las opciones configurables que se mencionaban anteriormente. Tanto en la parte de cuenta como de conexiones
ID podemos configurar más emails o números de teléfono asociados a la cuenta. Cabe destacar el listado de bloqueos, a modo de lista negra que dispone la herramienta.
|
Figura 3: Configuración de la cuenta de Wickr |
El apartado de
Default Destruction permite configurar el
TTL de los mensajes en el dispositivo. Esto no es novedad en este tipo de herramientas, pero es algo que sigue sorprendiendo a muchos usuarios, no involucrados en el mundo de la seguridad. Es importante tener presente de que esta característica no aportaría si los mensajes quedasen copiados en alguna otra ubicación, como por ejemplo un servidor intermedio. En teoría, y gracias al cifrado en tránsito, esto no ocurrirá, existiendo dos copias de los mensajes, una la tuya y otra la del receptor.
|
Figura 4: Configuración de la autodestrucción de mensajes |
Cuando escribimos un mensaje a otro destinatario, se dispone de un área en el que se van almacenando los mensajes. En la imagen se puede visualizar un ejemplo de ello. Si se pulsa sobre el icono de la aplicación se obtienen otras funcionalidades para anexar archivos o realizar fotografías que pueden ser enviadas a través de la aplicación.
|
Figura 5: Envío de mensajes por Wickr con autodestrucción |
Una vez que transcurre el
TTL configurado en el dispositivo, podemos observar como se van eliminando los mensajes. En la imagen siguiente se puede observar este hecho.
|
Figura 6: El mensaje se autodestruye cuando se acaba el TTL |
Tras probar la herramienta podemos decir que las funcionalidades que nos encontramos no son novedosas, aunque si hace hincapié en asignar un gran número de medidas de seguridad para asegurar la privacidad de los usuarios. Estas medidas están bien elegidas y los usuarios a los que les gusta el modo paranoico para proteger su privacidad le recomendamos su uso.
Hola,
ResponderEliminarMuy interesante el artículo. Una cosilla nada más, se escribe instantánea (con tilde).
un saludo!
hola buenas tardes, es que descargue la app en mi iphone pero no me quiere aceptar las claves que le he ingresado y he seguido las instrucciones al pie de la letra....que podrá ser.....gracias
ResponderEliminar