Mensajería privada segura? Piensa nuevamente.

22 de diciembre de 2013

En los últimos meses he visto gran cantidad de aplicaciones que están saliendo a la luz que intentan resolver un problema: comunicarte con otras personas, a través de un canal seguro, evitando que ajenos a la conversación puedan leer lo que escribes.

Luego de Snapchat y su obvio buen resultado, muchos han entrado al juego de proveer canales seguros de comunicación.

La necesidad existe: en gobiernos, empresas de alto perfil, etc., pero me lleva a una interrogante: ¿es realmente seguro?. Es complicado.

#.No explican su sistema de seguridad? No lo uses.

Así de simple.

Las empresas que manejan datos de usuarios, más cuando venden seguridad, deben ser lo más transparentes al usuario como sea posible. Un ejemplo típico es LastPass, un servicio de alojamiento seguro y central de contraseñas. Es decir, LastPass vive de la seguridad de sus datos y por ende, su sitio es bastante explícito de como manejan las contraseñas, como las guardan, como se comunican con el usuario, entre otras tantas.

¿Está LastPass siendo menos seguro por ser transparentes? Todo lo contrario.

Hay múltiples preguntas que me vienen a la mente cuando una aplicación me dice que me podré comunicar con otros usuarios de manera segura:

  • En qué forma viajan mis datos?
  • Está viajando por un canal seguro?
  • Qué tipo de encriptación manejan?
  • Cómo se guardan los datos en su servidor?
  • Si utilizan encriptación: dónde se encripta y desencripta la información: en sus servidores o en mi terminal?
  • Dónde está alojado su servidor?
  • Está todo centralizado?
  • Qué datos maneja su servidor y que otros no?
  • Quién se puede comunicar con su servidor?
  • Dónde están sus instalaciones?
  • Son seguras sus instalaciones y las de su servidor?
  • Cómo se maneja el servicio de notificaciones?
  • Es necesario utilizar notificaciones, realmente?
  • … y podría escribir 100 más

Confiar en una empresa o aplicación que no es transparente sobre el manejo de tu información privada es confiar en la palabra de un perfecto extraño.

Lo único que me queda por decir es que si tu organización necesita manejar datos sensitivos, por medio de canales seguros, como mensajería privada segura, pienses dos veces como lo vas a hacer. Quizás tu medicina pueda ser peor que la enfermedad.