WhatsApp vs Telegram

La competencia por la herramienta más segura para mensajería instantánea inició hace varios años y resurgió hace poco cuando WhatsApp anunció que había completado la implementación de su encriptación end-to-end. Curiosamente, en los círculos de investigación en seguridad, este tema se ha traducido en interesantes debates entre WhatsApp y Telegram. Muy parecido a lo que sucedió entre Emacs vs Vi (Editores de texto) todos los participantes tienen una sólida opinión, pero no existe un consenso general.

David Ramírez, Director México System Engineers de Fortinet señala que la realidad es que todos estamos de acuerdo en que Signal, WhatsApp y Telegram han destacado como las soluciones de mensajería instantánea más seguras, gracias a la encriptación end-to-end o Perfect Forward Secrecy (PFS). El scorecard de EFF resume esta situación bastante bien.

Aun así, David Ramírez considera que todavía no existe una herramienta de mensajes instantáneos ideal para las empresas, la realidad es que el hecho de trabajar con dispositivos “no confiables” se vuelve más delicado con los smartphones y/o BYOD en general.

Son pocas las empresas que cuentan con un gobierno de IT integral que les permita controlar el 100% de los programas/aplicaciones instalado en las computadoras de una organización, incluyendo la capacidad de controlar que no sea posible instalar nada adicional. Extender esto a los dispositivos de BYOD al día de hoy es prácticamente imposible. La principal razón de esto es que aunque los sistemas operativos base de los dispositivos móviles son pocos, en su apertura (que es el caso de Android y/u otras alternativas) es imposible aún controlar las extensiones y/o características que el fabricante del móvil modifica del sistema base.

Como consecuencia, aunque existen alternativas en la industria de Mobile Device Management (MDM), mientras no exista una plataforma  100% controlable, de tal forma que pueda determinarse al más bajo nivel, que el móvil es efectivamente de la empresa, es muy difícil eliminar el riesgo inherente de usar una plataforma que las empresas no pueden controlar.

Es por esto que hay que tener mucho cuidado cuando se desean compartir datos importantes, como estrategias de negocio o códigos fuente (entre otros), con los colegas, no conviene hacerlo a través de un teléfono inteligente o tablet, y desafortunadamente:

• WhatsApp no tiene una aplicación para computadoras de escritorio o laptops. Solo aplicaciones para plataformas iOS o Android.
• Telegram sí la tiene, pero no respalda chats privados, que son los únicos con encriptación end-to-end. Por lo que significa que las conversaciones pueden ser “descifrables” en los servidores de Telegram (y siempre alguien tiene acceso a ello).
• Signal solo tiene una aplicación beta para Chrome y funciona si se enlaza con un teléfono Android.

Así que, por ahora, refiere David Ramírez, no existe una solución integral. Además, y por muchas razones, no nos interesa vincular una cuenta de mensajería instantánea con un número de teléfono celular.

Primero, por razones de privacidad, ¿con quién querrías compartir tu número de teléfono? ¿contactos?, ¿terceras personas?, ¿la ubicación del teléfono sería rastreable? Y segundo, por razones de separación: las personas no siempre tienen un teléfono celular exclusivo para su trabajo, lo que significa que terminan usando su propio dispositivo y, por consiguiente, su propia cuenta de mensajes instantáneos en el trabajo. Debemos de recordar que la implementación de seguridad está basada en riesgos y su mitigación sobre los activos críticos.

Con esto en mente y debido a como ha permeado la tecnología actualmente la principal pregunta que debemos hacernos es: ¿La información que estoy compartiendo podría llegar a manos extrañas? La respuesta a esta pregunta debe siempre estar acompañada de una evaluación objetiva, si es posible con apoyo de un tercero. Considerando que no se debe de perder la disponibilidad por la confidencialidad de la información, si el criterio de la misma lo amerita.

Aquí compartimos una lista con los pros y contras que FORTINET ha reunido para esta situación:

¿Con cuál de ellos crees que tu información esté más segura?