Últimamente, estoy teniendo títulos mucho más extensos, ¿saben por qué? Yo mismo lo he estado analizando y comparando, resulta que siempre entro a aprovechar la IA en pro de la mejora del contenido, en este caso de los títulos, incurriendo en mejoras acerca de mi interpretación de un título correcto para determinado tema. Originalmente, tenía pensado colocarle “los avances sobre tecnología y privacidad que han ocurrido esta semana, ¿por qué debería interesarnos?”. Esa es mi clave, un dato curioso sobre mi elaboración creativa, por lo que resalto este complemento cómo una ayuda extra, en la que, sirve cómo un amigo para saber que está bien o mal y que debería de corregir (en este caso esa fue la mejor recomendación para el buen SEO del blog).

En fin, datos más, datos menos… vamos al grano.

La convergencia de las apps de mensajería, ¿realidad? Y desafíos

Para el 12 de septiembre de 2023, leía en mi FeedRSS un artículo en el medio Xataca en donde en resumidas cuentas redactaban acerca de la posibilidad de que WhatsApp, Telegram, Signal y otras aplicaciones de mensajería sean interoperables entre sí. Con el nuevo marco europeo, los gigantes tecnológicos están obligados a abrir sus servicios a terceros. En la última versión beta de WhatsApp, se muestra una nueva función llamada “third-party chats” que permitirá a los usuarios chatear con usuarios de otras aplicaciones de mensajería. Meta, la empresa detrás de WhatsApp, tiene hasta marzo de 2024 para permitir la compatibilidad con otras aplicaciones de mensajería, de lo contrario, enfrentarían multas.

A mí de verdad me alegra esta noticia, aunque tengo también un porcentaje de escepticismo, debido a que todo suena muy ideal. De hecho, fue lo que siempre quisimos desde los inicios de la red y no es que lo haya vivido yo, sino más bien así lo describe la historia. Por lo mismo, es tan veterano el protocolo XMPP que incluso Google llegó a utilizar. Entonces, siguiendo la trama idealista, todo parece muy bonito, pero en la práctica puede ser un tanto complicado, no sé… falta mucho más sustento al respecto para no adelantarnos felizmente a los hechos.

Creo que lo ideal de todo esto es que la interoperabilidad entre mensajerías sea tal que no limite ni la libertad y/o privacidad de los usuarios, siendo estos protegidos siempre por el cifrado. Un ejemplo: si desde Signal me comunico con alguien de WhatsApp, ese canal debería siempre estar cifrado para asegurar que la comunicación esté protegida desde el momento en que sale de Signal hasta que llega a WhatsApp y sea solo legible por mí. De lo contrario, no tendría ningún valor técnico, ya que no representaría un avance (siendo idealistas).

Otra de las dudas es si solo será habilitado para los países que conforman la Unión Europea que es donde se aplica dicha norma, porque de ser así el resto de personas nos quedaríamos en el pasado (de ser buena la implementación) quedaríamos como Homo Sapiens.

Destaco el comentario más votado de dicho artículo, tiene una buena reflexión:

“Esto es parte de aquello por lo que habíamos luchado muchos al principio de Internet (y seguimos luchando en la actualidad): formatos únicos y libres, no sólo en redes sociales -que entonces no existían como tales- sino en todo: tratamiento de textos, hojas de cálculo, etc. Es decir, que cada cual pudiera operar cualquier tipo de archivo con el programa que más le cuadrase. En vez de eso, se permitió que los mercaderes crearan sus propios formatos -y los acerrojaran a continuación- para consolidar sus mono/oligopolios. Ahí tenemos a Microsoft como ejemplo principal y más tóxico. Es de celebrar, pero aún queda mucho trabajo hasta alcanzar un universo de formatos libres”. Fuente.

Resistencia cuántica y protocolo de Signal

Para el 19 de septiembre leía en el blog de Signal un artículo en donde se destaca la amenaza creciente que representa la computación cuántica para los sistemas de seguridad criptográfica actuales. Según los autores, los algoritmos utilizados actualmente, como RSA y ECC (Elliptic Curve Cryptography), podrían ser vulnerables a los ataques de computación cuántica en el futuro.

Para abordar esta amenaza, Signal ha adoptado  PQXDH como su algoritmo criptográfico.  PQXDH es una variante del algoritmo de firma digital EdDSA, pero diseñado para ser resistente a los ataques de computación cuántica. Proporciona firmas digitales seguras y también es eficiente en términos de recursos computacionales.

Los autores explican cómo han integrado PQXDH en la infraestructura de Signal. Mencionan que no se trata de una actualización única, sino de un esfuerzo continuo de migración de claves X3DH a claves PQXDH. Sin embargo, aseguran que los usuarios de Signal no necesitan realizar ninguna acción adicional, ya que la migración se realiza automáticamente en segundo plano.

Los autores enfatizan que han llevado a cabo extensas pruebas para garantizar la seguridad y eficacia de su implementación de PQXDH. Señalan que han llevado a cabo evaluaciones exhaustivas y han colaborado con expertos en criptografía de renombre para garantizar que su implementación sea confiable y resistente a los ataques.

¡Vaya que es una buena noticia! De hecho, una muy buena evitando la nefasta práctica: coseche ahora, descifre más tarde. De hecho, desde el 2022 se hicieron las primeras publicaciones acerca de la aprobación del NIST (National Institute of Standards and Technology) de los algoritmos criptográficos resistentes a la computación cuántica, siendo CRYSTALS-Kyber, CRYSTALS-Dilithium, FALCON y SPHINCS+ algunas de ellas… por lo que en el futuro no estaremos tan desprotegidos.

Proton a la carga

Entre el 14 y el 21 de septiembre, en Proton se hicieron varias publicaciones en su página oficial que tienen bastante mérito, dejan mucho que analizar y reflexionar acerca del mundo de la privacidad. Resumiendo bastante, mucho, pero mucho… no me quiero extender tanto en este apartado: lanzaron un captcha que no te sniffa los datos en lo absoluto, por lo que, de ser implementado por los diferentes espacios de la red, sería una victoria más para nuestros datos. Por otro lado, uno de los líderes principales de Proton, Andy Yen, criticó y nos comentó lo que pasó con la Unión Europea y su propuesta del chat control. En resumidas cuentas, es una propuesta de ley que busca que las diferentes compañías que prestan servicios de mensajería escaneen los mensajes de sus usuarios en busca de minimizar y mitigar los diferentes delitos, entre ellos, el contenido de abuso sexual infantil, cosa que todos rechazamos contundentemente. Pero acá va el chiste: la UE admitió que no existe tecnología que pueda escanear la actividad en línea de todos y al mismo tiempo brindar seguridad y privacidad, por lo que es un proyecto que no puede avanzar en lo absoluto.

Si avanza, sería, una vez más, dale poderes al Estado para atacar a diestra y siniestra a sus objetivos políticos con la argumentación de “seguridad nacional” cómo lo hicieron por años.

Y por último, un artículo en donde muestran la verdadera cara de Google referente a un lanzamiento qué hicieron, en donde se echaban flores acerca de una actualización en pro de la privacidad de sus usuarios de Google Chrome, mientras que en lo que en realidad hacía era, transcribo: “Privacy Sandbox, en la que Chrome bloquea las cookies de terceros mientras continúa monitoreando la navegación web de las personas. En lugar de dejar que los sitios web te observen, Google se encarga de hacerlo. Luego infiere tus intereses, te agrupa “anónimamente” en grupos de personas con intereses similares y vende tu atención como un paquete a los anunciantes. (Es posible que los sitios web aún puedan identificarlo“.

Telegram entregando datos a la policía holandesa

Para 18 de septiembre leía una noticia, en la que Telegram, la aplicación de mensajería que promociona la privacidad del usuario, puede no ser tan segura como afirma. Documentos revelados recientemente por la policía holandesa muestran que pueden solicitar a Telegram la revelación de números de teléfono y direcciones IP ocultos. Esto contradice la política de privacidad de Telegram que asegura nunca compartir información personal con las autoridades. La paradoja de la privacidad de Telegram se hace evidente, ya que sus directrices solo consideran estas solicitudes en casos de “amenaza inmediata a la vida” según comunicación interna.

Acá entro en un dilema que he destacado en muchas conversaciones en la red debido a que soy usuario de Telegram, a pesar de que Telegram tiene una política bastante transparente, no es del todo segura, imagino que por presiones internas, pero lo único seguro en Telegram son sus chats secretos, de resto todo lo otro no lo es (hipotéticamente) debido a que el resto de información de canales y mensajes normales son cifrados con un protocolo creado por ellos mismos, todo muy bien, pero aun así, las llaves para llegar a ellos lo tienen ellos mismos, por lo que es un disparo en la cabeza en determinados casos.  Además, de ser claros en colaborar con la justicia en casos donde la “amenaza inmediata a la vida” se vea comprometido, por lo que, teniendo está primicia, solicitudes de esta índole llegaran, con tal de mantener la “seguridad nacional” una excusa perfecta para cumplir su cometido (El Estado). En lo que a mi respecta, siempre lo he dejado bastante claro, Telegram sigue siendo una excelente alternativa para las redes tradicionales, pero al lado de Signal, Session, Matrix y SimpleX  no es nada, yo particularmente voy a intentar desligarme poco a poco de tal mensajería hasta que pueda eliminarla por completo. 

Tanto es de cierto lo que comento, que releyendo sus políticas, puedo sacar los siguientes textos:

• ¿Qué tan seguro es Telegram? Telegram es más seguro que los mensajeros del mercado masivo como WhatsApp y Line (tremenda comparativa jajajja).
• ¿Telegram puede protegerme contra todo? Si tiene motivos para preocuparse por su seguridad personal, le recomendamos encarecidamente que utilice únicamente chats secretos en aplicaciones oficiales o al menos verificables de código abierto para obtener información confidencial, preferiblemente con un temporizador de autodestrucción (es evidente la intensión).

Mullvad migra a una infraestructura VPN de solo RAM

La mejora en la infraestructura VPN consiste en eliminar por completo los rastros de los discos utilizados, migrando hacia una infraestructura sin disco con el gestor de arranque “stboot”. Esta mejora ha permitido reducir el peso del sistema operativo a poco más de 200 MB, y garantiza que los servidores se reinicien con un kernel recién construido y sin rastros de archivos de registro. Esto es importante porque mejora la seguridad y el rendimiento de la infraestructura VPN, al eliminar la posibilidad de acceso no autorizado a información almacenada en los discos y garantizar que el sistema operativo esté actualizado y libre de vulnerabilidades.

Una excelente noticia para los usuarios de Mullvad, de seguro C3PO estará feliz de ello y será una razón más para querer migrar allí… veré si me animo.

Eso es todo, ¿los abrumé? Quizás la otra semana ya ni estemos.