El Facebook de Meta finalmente admite el fin

ACTUALIZADO 18:42 EDT / 25 DE AGOSTO DE 2023

ANÁLISIS por David Strom

La importancia del cifrado de extremo a extremo de los mensajes digitales está recibiendo nueva atención con el anuncio de que Facebook de Meta Platforms Inc. agregará parcialmente la función a su producto Messenger ahora y, eventualmente, para todos los casos de uso, como los chats grupales, por año. -fin.

Es un paso importante, ya que E2EE, como se lo conoce para abreviar, es un método crítico para proporcionar una comunicación segura que evita que partes externas accedan a los datos mientras se transfieren entre sistemas o dispositivos. Pero el anuncio tampoco es toda la historia, porque Facebook está tratando de ponerse al día con muchos de sus competidores, como Signal y Telegram, que han ofrecido productos de mensajería E2EE desde hace años.

El anuncio fue hecho por Timothy Buck, gerente de producto de Messenger, en este blog del 22 de agosto. Admite que cuando la empresa empezó a pensar en la idea, “la transición de nuestros servicios a E2EE sería un rompecabezas de ingeniería increíblemente complejo y desafiante. Tendríamos que reescribir casi todo el código base de mensajes y llamadas desde cero”. Ese resultó ser el caso.

Parte del problema era que el software original no cifraba los mensajes en los servidores de Facebook (en la foto de al lado), una laguna importante que esencialmente hacía que cualquier cifrado fuera discutible. Otro problema fue que Messenger se ejecuta en múltiples plataformas de escritorio, móviles y de navegador. Todo ese código no servía y tuvo que ser reescrito.

Otro factor que complica la situación es que los usuarios son mucho más exigentes con sus requisitos de mensajería. Ya no es sólo un simple mensaje de texto uno a uno: hay mensajes de texto grupales, contenido multimedia compartido, emojis y pegatinas e incluso llamadas de voz que forman parte de nuestros requisitos diarios de mensajería. Además, hay archivos adjuntos compartidos, enlaces web y enlaces a conversaciones en redes sociales.

A menudo, los mensajes se utilizan como preludio a una compra en línea o como posdata una vez recibida la compra. También hay muchos mensajes en el contexto corporativo, y estos mensajes se transmiten a personas de todo el mundo.

La mensajería se ha disparado como mecanismo de comunicación desde que AOL apareció en escena en la década de 1980 y comenzó a enviar por correo CD con su software. Desde entonces, las empresas se interesaron en la mensajería como herramienta de comunicación fundamental, como escribí para el New York Times en 2006.

Hoy en día existen docenas de proveedores de mensajería orientados a los negocios, incluidos Teams de Microsoft Corp. y Slack de Salesforce Inc., para unir a una fuerza laboral remota.

Aunque felicito a Facebook por intentar esta actualización E2EE al por mayor, muestra cuán atrasado ha estado en esta área en particular. Éstas no son cuestiones nuevas. Durante años, las empresas (y algunos consumidores sensibles a la privacidad) han tenido preocupaciones particulares sobre la seguridad de sus aplicaciones de mensajería.

No quieren que se recopile ningún dato del usuario, incluidos los metadatos del mensaje que no están directamente involucrados en la entrega del mensaje. No quieren que quede ningún residuo en los servidores del proveedor de mensajería después de que se haya entregado el mensaje.

Esa fue una tarea difícil para Facebook, que se metió en problemas en 2020 y 2021, cuando comenzó a alterar las políticas de intercambio de datos de WhatsApp. Esa historia de The Verge cita la “reputación de Facebook por ocultar los cambios en sus diversos términos de acuerdos de servicio”, una buena manera de decir que la compañía ha tenido un historial irregular en lo que respecta a proteger la privacidad de sus usuarios. Los cambios desencadenaron un éxodo masivo de 25 millones de usuarios, según el New York Times, que en su lugar se registraron en cuentas de Signal y Telegram.

WeChat tampoco ha sido un picnic: SiliconANGLE revisó sus propias políticas de privacidad deficientes a principios de este verano y las encontró deficientes.

Pero pasemos a los detalles del cifrado, que es quizás el aspecto más importante de cualquier aplicación de mensajería. Los detalles son críticos y la mejor fuente para comprender el alcance del problema es un informe publicado a principios de este mes por Iria Puyosa, investigadora del Digital Forensic Research Lab y publicado por el Atlantic Council. Observó 40 de estas aplicaciones de mensajería y se centró en el meollo de la cuestión de Telegram, WeChat y WhatsApp.

Hay dos protocolos de seguridad específicos involucrados: E2EE y seguridad de la capa de transporte, o TLS, que implica el cifrado de datos y metadatos de mensajería a medida que todo esto se mueve a través de la infraestructura del proveedor.

El informe tiene este desglose detallado de las características de privacidad y seguridad de 15 aplicaciones de mensajería de uso común en los EE. UU.. En el cuadro (a continuación) se muestra si una aplicación utiliza total o parcialmente estas tecnologías de cifrado.

Hay muchas advertencias en este gráfico, incluso entre los pocos proveedores que ofrecen la promesa total de E2EE. Por ejemplo, iMessage de Apple Inc. emplea E2EE entre cualquiera de sus usuarios de iPhone, pero no cuando una de las partes usa un teléfono Android o algún otro terminal que no sea de Apple. Otra laguna es tener copias de seguridad cifradas de iCloud: Apple tardó hasta diciembre de 2022 en ofrecer esta función.

Hay otro problema relacionado con el uso empresarial de la mensajería, como escribe Puyosa en su informe: “Las grandes organizaciones empresariales pueden proporcionar a terceros en sus cadenas de suministro acceso a sus registros de conversaciones y, en algunos casos, incluso pueden delegar el funcionamiento completo de sus mensajes. comunicación a un tercero.” Esto podría significar que el tráfico de mensajes no cifrados, incluidos los datos de registro del servidor, podría compartirse sin el conocimiento de los usuarios.

"Telegram tiene una política de contenido permisiva, pero la plataforma ha ido añadiendo restricciones en los últimos años tras la presión de las autoridades en diferentes países", añadió. “WhatsApp tiene una lista cada vez mayor de contenidos inaceptables considerados dañinos o ilegales. WeChat es la aplicación de mensajería más restrictiva en cuanto a contenido aceptable, prohibiendo incluso el contenido político”.

Estos antecedentes son útiles para los gerentes de tecnología de la información corporativa, especialmente aquellos que están preocupados por cómo se almacenan y transmiten sus datos utilizando estas redes de mensajería, o que desean proteger a sus usuarios si operan en lugares problemáticos en todo el mundo. Hay varias cuestiones.

En primer lugar, la seguridad de la mensajería, especialmente cuando se utilizan dispositivos móviles, está literalmente en manos del usuario individual. Atrás quedaron en gran medida aquellos días en los que los teléfonos administrados por las empresas podían preconfigurarse de forma centralizada para aplicar políticas de seguridad estrictas.

Con los teléfonos no administrados, cada usuario debe tomarse el tiempo para configurar docenas de parámetros de privacidad y seguridad, y tomarse más tiempo después de cada actualización del sistema operativo del teléfono para asegurarse de que no se haya colado algo nuevo en la mezcla. Los administradores de TI deben publicar boletines periódicos cuando estos cambien y sugerir cómo mantenerse al tanto de las cosas.

En segundo lugar, las empresas deberían considerar adoptar una política que impida el uso de mensajes de texto SMS en conversaciones corporativas. Ciertamente, las posibles amenazas de phishing son casi una certeza semanal en estos días. Aunque es imposible controlarlo, las empresas deberían al menos explicar los problemas y por qué es mejor utilizar un servicio E2EE preferido.

En tercer lugar, debe quedar claro que esas redes ofrecen sólo un cifrado parcial y que esos límites también se comunican a los usuarios. También será útil una revisión cuidadosa del informe del Atlantic Council.

Finalmente, está el problema de que, debido a su inmediatez inherente, el tráfico de mensajes a menudo incluye contenido dañino, información errónea o desinformación que es difícil de analizar y examinar en el momento. Las políticas corporativas deberían cubrir estos abusos y ofrecer sugerencias sobre qué hacer cuando se enfrenten a ellos.

GRACIAS

En theCUBE Pod: opiniones sobre el extraordinario viaje de VMware y la adquisición de Broadcom

Microsoft revoca una vez más los certificados digitales de VeriSign: he aquí por qué es importante

La startup de pruebas de software automatizadas Qualiti obtiene 6,5 millones de dólares en financiación inicial

La plataforma de análisis de datos aumentada ConverSight recauda 9 millones de dólares en financiación Serie A

Los gigantes de la nube ven una posible ganancia inesperada en la IA en el borde de la red

Snowflake tiene impulso con AWS y Microsoft, y por qué Google puede no ser el próximo

En theCUBE Pod: opiniones sobre el extraordinario viaje de VMware y la adquisición de Broadcom

AI - POR RYAN STEVENS . HACE 29 MINUTOS

Microsoft revoca una vez más los certificados digitales de VeriSign: he aquí por qué es importante

SEGURIDAD - POR DAVID STROM . 1 HORA ANTES

La startup de pruebas de software automatizadas Qualiti obtiene 6,5 millones de dólares en financiación inicial

AI - POR MIKE WHEATLEY. HACE 3 HORAS

La plataforma de análisis de datos aumentada ConverSight recauda 9 millones de dólares en financiación Serie A

GRANDES DATOS - POR MIKE WHEATLEY. HACE 5 HORAS

Los gigantes de la nube ven una posible ganancia inesperada en la IA en el borde de la red

NUBE - POR PAUL GILLIN . HACE 17 HORAS

Snowflake tiene impulso con AWS y Microsoft, y por qué Google puede no ser el próximo

NUBE - POR AUTOR INVITADO. HACE 2 DÍAS