Dentro de las comunidades de privacidad existe una discusión que parece repetirse cada pocos meses. Aparece una nueva aplicación de mensajería, algún usuario influyente la recomienda, se analizan sus protocolos criptográficos y, tarde o temprano, surge la misma pregunta de siempre: ¿es más segura que las demás?
El problema es que la pregunta está mal planteada desde el principio.
La seguridad no es una característica absoluta que pueda medirse con una puntuación universal. Una aplicación puede ser extraordinaria para protegerse de la vigilancia masiva y resultar poco adecuada frente a la confiscación física de un dispositivo. Otra puede ofrecer una excelente protección contra el análisis de metadatos, pero sacrificar comodidad o facilidad de uso. Incluso dos herramientas que utilizan cifrado de extremo a extremo pueden perseguir objetivos completamente distintos y, por tanto, haber sido diseñadas para afrontar amenazas diferentes.
Por esta razón, los proyectos más serios dentro del ecosistema de privacidad suelen publicar un documento que rara vez recibe la atención que merece: el modelo de amenaza.
Un modelo de amenaza es, en esencia, una descripción de aquello que una herramienta intenta proteger, contra quién intenta hacerlo y cuáles son las limitaciones que reconoce en su diseño. Más que una lista de funciones o algoritmos, representa una declaración de principios sobre los riesgos que sus desarrolladores consideran relevantes. También es un ejercicio de honestidad, porque obliga a identificar no solo las fortalezas de una solución, sino aquellos escenarios en los que simplemente no puede ofrecer garantías.
Para entenderlo de forma sencilla, imagine dos personas preocupadas por su privacidad. La primera quiere evitar que las empresas construyan perfiles publicitarios sobre sus hábitos. La segunda es un periodista que investiga corrupción en un país donde las comunicaciones son vigiladas. Ambas necesitan privacidad, pero enfrentan amenazas completamente distintas. Aunque utilicen la misma aplicación, sus necesidades de seguridad no serán las mismas. El modelo de amenaza existe precisamente para responder a esa diferencia.
Privacy Guides traduce y agrega conceptos referentes a el modelado de amenazas como el proceso de identificar los activos que queremos proteger, los posibles adversarios, las capacidades que estos poseen y las consecuencias de una eventual pérdida o exposición de la información. Dicho de otra forma, antes de preguntarse qué herramienta utilizar, es necesario comprender cuál es el problema que se intenta resolver. La privacidad efectiva no comienza instalando una aplicación; comienza entendiendo de qué se quiere proteger uno y qué tan probable es que dicha amenaza llegue a materializarse.
Un ejemplo clásico son los metadatos. Si alguien observa una conversación de WhatsApp cifrada probablemente no pueda leer el contenido de los mensajes, pero aún podría saber que dos personas se comunican todos los días a las 11 de la noche, durante aproximadamente una hora y desde determinadas ubicaciones. En muchas situaciones esa información resulta tan valiosa como el contenido mismo de la conversación.
Básicamente se tiene cómo pilar responder estás cinco preguntas al inicio del todo:
- ¿Qué quiero proteger?
- ¿De quién quiero protegerlo?
- ¿Qué tan probable será que necesite protegerlo?
- ¿Qué tan graves serían las consecuencias si fallo?
- ¿Cuánto esfuerzo estoy dispuesto a dedicar para prevenir posibles consecuencias?
Esta perspectiva resulta particularmente interesante cuando se analizan algunos de los proyectos de mensajería más orientados a la privacidad. Aunque todos comparten la intención de proteger las comunicaciones de sus usuarios, cada uno interpreta el problema desde una óptica distinta y, como consecuencia, desarrolla soluciones radicalmente diferentes.
Uno de los ejemplos más llamativos es SimpleX Chat. A diferencia de la mayoría de aplicaciones modernas, SimpleX parte de una idea poco habitual: los identificadores permanentes son un problema. Mientras plataformas tradicionales dependen de números telefónicos, direcciones de correo electrónico o nombres de usuario únicos para identificar a sus usuarios, SimpleX intenta eliminar por completo la necesidad de mantener una identidad global dentro de la red. La razón es sencilla. Si una plataforma nunca almacena identificadores persistentes, resulta considerablemente más difícil construir un mapa de relaciones entre las personas que la utilizan.
El modelo de amenaza de SimpleX se centra principalmente en los metadatos, es decir, toda aquella información que existe alrededor de una conversación sin formar parte directa de su contenido. Saber quién habla con quién, cuándo lo hace, con qué frecuencia y desde qué ubicación suele resultar extremadamente valioso para cualquier actor interesado en vigilar una red de comunicaciones. Aunque el proyecto reconoce que determinados elementos del tráfico siguen siendo observables por los servidores o por terceros capaces de monitorizar la red, su arquitectura busca minimizar la capacidad de correlacionar usuarios y reconstruir relaciones sociales. La propuesta de SimpleX no consiste únicamente en cifrar mensajes, sino en dificultar que alguien pueda demostrar que dos personas se encuentran comunicándose entre sí.
Una analogía útil sería imaginar una ciudad donde todas las cartas postales llevan nombre y dirección del remitente. Aunque nadie pueda abrirlas, sigue siendo posible saber quién intercambia correspondencia con quién. SimpleX intenta eliminar tantas etiquetas como sea posible para que reconstruir esas relaciones resulte mucho más complicado.
Una preocupación similar puede encontrarse en Cwtch, aunque su aproximación es diferente. El proyecto dedica buena parte de su documentación a explicar cómo los metadatos pueden convertirse en una fuente de información incluso más valiosa que el contenido de las conversaciones. Un atacante no necesita necesariamente leer mensajes para identificar líderes de una organización, descubrir comunidades de interés o detectar patrones de comportamiento.
Las redes sociales ofrecen un ejemplo cotidiano de este fenómeno. Si una persona interactúa constantemente con determinados perfiles, participa en ciertos grupos y aparece vinculada de forma recurrente a otros usuarios, es posible inferir muchas cosas sobre ella sin haber leído una sola conversación privada. El análisis de metadatos funciona bajo una lógica similar.
Desde esta perspectiva, Cwtch considera que el análisis de redes sociales constituye una de las amenazas más importantes para la privacidad moderna. Su diseño intenta dificultar la recopilación de información relacional, limitando la exposición de datos que puedan utilizarse para reconstruir conexiones entre usuarios o grupos. Sin embargo, el proyecto también reconoce riesgos que otras plataformas apenas mencionan. Uno de ellos es la posibilidad de suplantación de identidad. Al operar sin una autoridad central encargada de verificar usuarios, la responsabilidad de confirmar que una persona es quien dice ser recae directamente sobre quienes participan en la conversación. Lejos de ocultar esta limitación, la documentación de Cwtch la expone de forma explícita, recordando que ningún sistema descentralizado puede eliminar completamente ciertos riesgos humanos.
Mientras SimpleX y Cwtch concentran gran parte de sus esfuerzos en proteger la privacidad frente al análisis de metadatos, Briar aborda un problema distinto. Su modelo de amenaza fue concebido pensando en escenarios donde la infraestructura de comunicaciones puede encontrarse bajo vigilancia, censura o incluso sufrir interrupciones deliberadas. Periodistas, activistas y personas que operan en entornos represivos representan algunos de los perfiles que inspiraron gran parte de su diseño.
Esta diferencia de enfoque tiene consecuencias importantes. Briar no solo intenta proteger el contenido de los mensajes, sino también garantizar que la comunicación continúe siendo posible cuando las condiciones son especialmente adversas. Por esa razón incorpora mecanismos que permiten intercambiar información utilizando Tor, redes locales o conexiones Bluetooth cuando Internet no está disponible o resulta inseguro. En lugar de asumir que la conectividad siempre estará garantizada, Briar contempla la posibilidad de que alguien intente bloquearla activamente. Su modelo de amenaza no gira únicamente alrededor de la vigilancia, sino también de la resiliencia frente a la censura y la interrupción de servicios.
En la práctica, esto significa preguntarse qué ocurriría si una protesta, un desastre natural o una decisión gubernamental dejara sin acceso a Internet a una comunidad durante varias horas o incluso días. Mientras la mayoría de aplicaciones simplemente dejarían de funcionar, Briar fue diseñado contemplando esa posibilidad desde el principio.
En el extremo más radical del espectro se encuentra Tinfoil Chat, un proyecto que adopta una filosofía significativamente distinta al resto. La mayoría de aplicaciones de mensajería asumen que el dispositivo del usuario es razonablemente confiable y que las principales amenazas provienen de actores externos que intentan interceptar las comunicaciones. Tinfoil Chat cuestiona directamente esta premisa. Su diseño parte de la posibilidad de que un equipo conectado a Internet pueda verse comprometido y, por tanto, busca reducir la confianza depositada en cualquier sistema expuesto a una red.
La solución propuesta resulta tan interesante como extrema. El proyecto utiliza una arquitectura basada en la separación física de funciones críticas, empleando sistemas aislados y canales de comunicación unidireccionales para evitar que una intrusión remota alcance determinados componentes. Se trata de una aproximación más cercana a los entornos de alta seguridad utilizados en operaciones sensibles que a las aplicaciones de mensajería convencionales. Aunque este nivel de protección se encuentra muy por encima de las necesidades de la mayoría de usuarios, ilustra perfectamente cómo un modelo de amenaza puede transformar por completo el diseño de una herramienta. Cuando el adversario potencial es capaz de comprometer dispositivos completos, las prioridades cambian de manera radical.
Es una situación comparable a proteger una caja fuerte cuando existe la posibilidad de que alguien ya tenga acceso al edificio donde se encuentra. En ese escenario la preocupación deja de ser únicamente la cerradura y pasa a ser cómo aislar físicamente los elementos más sensibles para reducir el impacto de una intrusión.
Analizar estos proyectos en conjunto permite comprender una realidad que suele perderse en los debates sobre privacidad. Ninguno de ellos intenta resolver exactamente el mismo problema. SimpleX busca reducir la exposición de metadatos eliminando identidades globales. Cwtch se centra en dificultar la construcción de grafos sociales y en limitar la información disponible para el análisis de relaciones. Briar prioriza la continuidad de las comunicaciones incluso bajo condiciones de censura o interrupción de infraestructura. Tinfoil Chat, por su parte, se preocupa por escenarios donde el propio dispositivo ya no puede considerarse completamente confiable.
Las diferencias entre estas plataformas no reflejan desacuerdos sobre criptografía ni errores de diseño. Reflejan prioridades distintas. Cada proyecto identifica amenazas específicas, evalúa riesgos concretos y construye su arquitectura alrededor de ellos. Compararlas únicamente a partir de una lista de características resulta tan absurdo como intentar decidir si un submarino es mejor que un avión sin especificar primero cuál es la misión que deben cumplir.
Quizá esa sea la lección más importante que ofrecen los modelos de amenaza. La privacidad no consiste en encontrar una herramienta universalmente superior, sino en comprender el contexto en el que será utilizada. Una aplicación excelente para un periodista que trabaja bajo censura puede resultar innecesariamente compleja para un usuario que solo desea reducir el rastreo comercial. Del mismo modo, una solución adecuada para proteger conversaciones cotidianas puede quedarse corta frente a adversarios con capacidades avanzadas.
Por eso resulta preocupante que tan pocas personas lean estos documentos. Mientras las campañas de marketing destacan algoritmos, auditorías y promesas de seguridad, los modelos de amenaza suelen permanecer ocultos en repositorios, wikis o páginas de documentación que rara vez reciben visitas. Sin embargo, son precisamente esos documentos los que contienen la información más valiosa sobre cualquier herramienta de privacidad. Allí se encuentran las preguntas incómodas, las limitaciones reconocidas y las decisiones que realmente definen qué tan útil puede resultar una solución en el mundo real.
La mayoría de personas jamás necesitará una arquitectura extrema como la propuesta por Tinfoil Chat, del mismo modo que pocas necesitarán comunicarse bajo condiciones similares a las que contempla Briar. Sin embargo, comprender por qué estas herramientas existen ayuda a entender una realidad frecuentemente ignorada: la privacidad no es un producto que se compra ni una aplicación que se instala. Es un proceso de evaluación constante sobre los riesgos que estamos dispuestos a asumir y aquellos que consideramos inaceptables.
Antes de instalar una nueva aplicación de mensajería, quizás convenga dedicar unos minutos a leer aquello que normalmente se ignora. No para descubrir qué herramienta es la más segura, sino para entender si fue diseñada para enfrentar las mismas amenazas que preocupan al usuario. Después de todo, la seguridad nunca ha consistido en eliminar todos los riesgos. Consiste en conocer cuáles existen, cuáles son relevantes y cuáles estamos dispuestos a asumir. Los modelos de amenaza no prometen respuestas universales, pero sí ofrecen algo mucho más valioso: una visión honesta de la realidad.
¡Quedo atento a cualquier aporte y/o corrección, si tienes modelos de amenazas de otras mensajerías o programas, déjalo en lo comentarios para analizarlos! Saludos.
