Hoy vengo a escribir sobre una aplicación de mensajería que lleva relativamente bastante tiempo en línea, con actuaciones de fondo que de verdad nunca me esperé. En este blog vengo, desde hace años, escribiendo sobre alternativas de mensajería cifrada, muchas de ellas testeadas y recomendadas por expertos informáticos, ya sean desarrolladores, hackers éticos, divulgadores, periodistas y un largo etcétera; pero… esta me ha llamado tremendamente la atención, y es que presume ser el equivalente a esas alternativas de las que he escrito en su momento, aunque esta vez recomendadas por el crimen organizado.
Todo surgió de una forma de lo más inusual. Hasta no hace mucho tiempo estuve vinculado a una empresa que no mencionaré, la misma de la que desde el principio llegué a tener conocimiento de que tenía ciertos nexos con X grupo, del cual desconozco quiénes son (para buenos entendedores), y teniendo en cuenta que en esta nación en ocasiones es difícil trabajar y evitar a ese “compañero” problemático, por lo que, si te nace hacerlo; el hecho de emprender implica que debas convivir con él.
El caso es que, para mi sorpresa, siempre veía que estas personas protegían muy poco su privacidad y seguridad; de hecho, en algunos momentos específicos se veían muy expuestos y, pues, parecían comunicarse comúnmente por WhatsApp y el sistema de llamadas tradicional, aunque sí lo hacían con claves (muy simples, la verdad), como “El Halcón en sitio”, sobre alguien de rango alto con “pasteles” para entregar, cosas muy evidentes la verdad. Aunque… todo cambió con el tiempo. A medida que observaba movimientos más complejos y cruce de información, es acá donde se da a conocer Zangi, el medio que actualmente están utilizando.
Y no me malinterpretes, honorable criminal (xD), no señalo a la app ni a ustedes; lo que me llama la atención es:¿por qué no Signal, Matrix, Session, SimpleX Chat, Tox, etc., cuando se ha documentado su efectividad? ¿Qué cambia con esta mensajería? Por ende nace este artículo, mismo que fue posible gracias a la colaboración y posterior investigación por parte de mi amigo Cris (gracias, bro).
Así que decidimos hacer lo que cualquier persona obsesiva con la privacidad termina haciendo tarde o temprano: investigar cómo funciona realmente esta aplicación.
¿Qué es Zangi?
Sobre el papel, la aplicación parece diseñada para atraer a cualquiera que busque anonimato. No pide número telefónico, no exige correo electrónico para registrarse y asegura que los datos de comunicación se mantienen únicamente en el dispositivo del usuario. En un mundo donde cada plataforma parece pedir cada vez más información personal, la propuesta suena casi refrescante.
Además, la aplicación presume utilizar cifrado de extremo a extremo basado en AES-GCM de 256 bits, un estándar criptográfico moderno que, en teoría, impediría que terceros puedan acceder al contenido de los mensajes o llamadas. Ese tipo de especificación técnica suele ir acompañada de la famosa frase que el marketing tecnológico repite como un mantra: “cifrado de grado militar”.
Sobre el papel, nada de esto es incorrecto. AES-256 es un algoritmo sólido y ampliamente utilizado en múltiples sistemas de seguridad. Pero aquí aparece una de las reglas más antiguas de la criptografía moderna: no basta con decir que algo es seguro, hay que poder demostrarlo.
Y ahí es donde Zangi empieza a volverse… opaca.
Extracto mixto resumido sacado de su página de seguridad y preguntas frecuentes:
“Zangi es un mensajero diseñado para ofrecer la máxima privacidad y seguridad en la comunicación, combinando un cifrado de tres capas —incluido el extremo a extremo con algoritmos AES-256 y Curve25519—, un modelo descentralizado y tecnología peer-to-peer que elimina cualquier servidor central, asegurando que los mensajes y llamadas solo existan en los dispositivos de los usuarios y se borren permanentemente sin dejar rastro en internet. La plataforma no recopila ni almacena datos, no tiene puertas traseras ni perfiles de usuario, y permite comunicaciones privadas incluso en conexiones lentas o saturadas, consumiendo hasta seis veces menos datos que otras aplicaciones. Zangi es totalmente libre, sin anuncios ni suscripciones, y ofrece soluciones tanto para usuarios individuales preocupados por la privacidad como para empresas y comunidades que necesitan mensajería segura, voz y video con integración empresarial y personalización, manteniendo el control absoluto sobre sus comunicaciones y la protección de su información personal”.
La aplicación se presenta como desarrollada en Armenia, pero al rastrear información empresarial aparece otro detalle interesante: la compañía vinculada al proyecto figura como Secret Phone Inc., registrada en Estados Unidos, específicamente en el estado de Delaware. Esto no es extraño en el mundo corporativo —muchas empresas tecnológicas utilizan Delaware por sus ventajas legales— pero introduce un pequeño juego de jurisdicciones que vale la pena observar con calma.
Los propios términos de licencia del software establecen que el uso de la aplicación se rige por las leyes del estado de Delaware, mientras que cualquier disputa relacionada con Zangi queda bajo jurisdicción exclusiva de los tribunales de la República de Armenia. Dos marcos legales diferentes rodeando el mismo producto. Nada ilegal ni extraordinario, pero sí un recordatorio de que la estructura corporativa detrás de la aplicación no es tan simple como podría parecer.
Intentar averiguar quiénes están detrás del proyecto tampoco resultó particularmente sencillo. Después de cruzar distintas fuentes, aparecen algunos nombres asociados al desarrollo de la plataforma. Entre ellos figura Vahram Martirosyan, señalado como CEO y cofundador de Zangi y Secret Phone. Junto a él aparece Aram Hovsepyan, CTO y cofundador, responsable de la infraestructura tecnológica de la aplicación. En el área de negocio se menciona a Anna Karadjian, vinculada al desarrollo de soluciones comerciales B2B y B2C.
Otros nombres aparecen orbitando alrededor del proyecto, como Levon Mikayelyan, descrito en algunos lugares como asesor, o Tatev Har, relacionado con estrategias de marketing digital y presencia en redes. Nada fuera de lo común para una startup tecnológica, aunque sí resulta curioso lo dispersa que está la información pública sobre estas personas y sobre la propia empresa.
En una industria donde la transparencia suele ser una carta de presentación importante —especialmente cuando se trata de software que promete privacidad— esa falta de información termina generando más preguntas que respuestas.
Pero quizá el punto más delicado de todo este asunto no sea la empresa, ni los nombres detrás del proyecto, sino la arquitectura técnica que no podemos ver.
A diferencia de muchas aplicaciones de mensajería centradas en privacidad, Zangi es software de código cerrado. Eso significa que nadie fuera de la empresa puede revisar su funcionamiento interno. La compañía argumenta que mantener el código privado forma parte de su estrategia de seguridad, pero dentro del mundo de la criptografía moderna ese argumento suele generar más escepticismo que tranquilidad.
La razón es bastante simple.
Los sistemas realmente seguros no dependen del secreto de su implementación. Dependen de que sus algoritmos sean lo suficientemente robustos como para resistir incluso cuando todo el mundo puede analizarlos. Por eso herramientas como Signal, Matrix o SimpleX Chat optaron por un modelo completamente distinto: código abierto, auditorías públicas y revisión constante por parte de la comunidad.
Zangi, en cambio, funciona bajo un modelo de confianza. El usuario debe asumir que todo lo que la empresa afirma sobre su sistema es correcto, aunque no exista una forma pública de verificarlo.
Y cuando uno revisa su política de privacidad, aparecen algunos detalles que matizan la narrativa de anonimato absoluto que a veces se asocia con la aplicación.
Aunque Zangi no exige número telefónico ni correo electrónico para crear una cuenta, la aplicación sí registra distintos identificadores técnicos. Entre ellos se incluyen la dirección IP del usuario, el modelo del dispositivo, el sistema operativo, la versión de la aplicación, un identificador único del dispositivo y los llamados tokens de notificación utilizados por el sistema.
Según su propia política de privacidad, estos datos se almacenan en los servidores con fines técnicos y de soporte. Además, en caso de requerimientos legales, la empresa puede compartir información como la fecha de registro de la cuenta, la última actividad del usuario, el modelo del dispositivo, el identificador del dispositivo y otros datos asociados al perfil.
Nada particularmente extraño en términos de funcionamiento técnico —muchas aplicaciones manejan registros similares— pero sí suficiente para desmontar la idea de que el sistema ofrece una forma de anonimato absoluto.
Porque incluso cuando no existe un número telefónico vinculado a la cuenta, siempre quedan rastros técnicos.
Después de revisar toda la información disponible, la conclusión termina siendo menos dramática de lo que algunos podrían esperar, pero más incómoda de lo que otros quisieran admitir.
Zangi podría ser perfectamente una aplicación legítima con buenas intenciones en materia de seguridad. Su uso de criptografía moderna sugiere que al menos existe una base técnica razonable detrás del sistema.
Pero al mismo tiempo, la combinación de código cerrado, auditorías inexistentes y escasa transparencia sobre su arquitectura interna obliga a colocarla en una categoría distinta dentro del ecosistema de privacidad digital.
No es necesariamente una aplicación insegura; pero tampoco es una aplicación verificable.
Y cuando hablamos de privacidad, esa diferencia es enorme.
Mi pregunta sigue siendo ¿Por qué los grupos al margen de la ley siguen confiando en ella? De hecho el Clarin saco un artículo titulado: “Zangi, la app armenia con cifrado nivel militar usada por el Tren de Aragua y que es furor en el mundo narco rosarino” Cito:
“Zangi, la app armenia de mensajería con cifrado de nivel militar, ha sido detectada en múltiples operaciones de grupos al margen de la ley, destacándose su uso por el Tren de Aragua, banda criminal transnacional originada en cárceles de Venezuela, y por la organización narco rosarina Los Menores, liderada por Matías Gazzani y su entorno. La aplicación permite comunicarse sin necesidad de números telefónicos, usando códigos aleatorios de 12 dígitos y con mensajes irreversibles, lo que facilita que estas organizaciones operen de forma segura y eludan investigaciones gubernamentales y judiciales. Además, su utilización se ha registrado en redes criminales de Ecuador, en reclutamiento de sicarios en Suecia por Irán y en la fuga del capo colombiano Carlos Rodríguez Agudelo, demostrando que Zangi se ha convertido en un recurso recurrente para maniobras ilícitas de grupos organizados y mafias internacionales”.
Esto me hace pensar en una loca teoría ¿Qué tal y si realmente lo que conocemos no es lo que dice ser? Y sí todas esas montañas de documentación/código libre recubren algo y aquellos quienes corren de ese “algo” con el suficiente poder e influencias pueden crear algo que precisamente pueda eludirlos… No es fundamentado, pero todo puede pasar y sospechas de backdoors en todos lados nunca han parado.
El hecho de reiventar la rueda ya deja mucho que pensar.
Aun asi, personalmente, sigo inclinándome por herramientas como SimpleX Chat, donde el software libre y código abierto, existen auditorías públicas y cualquiera con conocimientos técnicos puede analizar cómo funciona realmente el sistema. En ese modelo, la seguridad no depende de confiar en la palabra de una empresa.
Depende de algo mucho más sólido: la posibilidad de comprobarlo por uno mismo.
En el mundo de la criptografía hay una regla simple: la seguridad que no puede ser verificada termina siendo, tarde o temprano, una cuestión de fe.
Cómo siempre: no duden en aportar, criticar, difundir este artículo y espero que haya sido de su agrado. Siempre estoy atento a las correcciones de la comunidad 😀
