Comparación entre messengers

Existen muchos messengers con varios niveles de seguridad. Vamos a analizar algunos messengers. Hay varios criterios en los que hay que pensar, y varios casos de uso, que varían de persona en persona.

SimpleX

  • Usa E2EE (cifrado extremo a extremo)
  • Código abierto (AGPLv3)
  • Federado/descentralizado
  • Privado -> no necesita registrarse con un número telefónico u otro identificador
  • F-Droid
  • Versiones para linux
  • Puede usar TOR

SimpleX podría ser el messenger más privado y seguro que existe actualmente. A diferencia de los otros, no contiene identificadores únicos (como usuarios/id etc) que pueden ser utilizados para rastrear el usuario, e incluso identificar el usuario.

Conclusión: Muy Recomendado

Signal

  • Usa E2EE
  • X: Código parcialmente cerrado (notificaciones push, actualizar, y otras cosas de Google)
  • X: Centralizado
  • X: No es privado
  • X: Usa servicios/se comunica con Google
  • X: No hay versión F-droid, solo google play o 'apk'

Signal es un messenger que ha crecido bastante en popularidad, y algunos "genios" de ciberseguridad lo promueven como un messenger seguro y privado. Sin embargo, no lo es en lo absoluto. Lo único bueno es que usa E2EE. El código de signal está parcialmente cerrado, ya que usa los servicios de Google, y se comunica con Google (y NSA) HQ para recibir mensajes de push. Signal no se encuentra en F-Droid. En vez, está en el playstore de Google, y el 'apk' que se descarga también contiene código no-libre de google. Signal usa sus servidores centralizados, y requiere un número telefónico para registrarse, que lo hace no proteger su privacidad. Hasta dentro de la aplicación, esconde Captchas etc. Signal ha compartido la información sobre los números telefónicos con agencias de espías de los estados unidos.

Proton (la compañía detrás de Proton Mail/VPN/...) ha escrito un artículo sobre la (in)seguridad de signal. Proton menciona otros problemas con Signal adicionales:

Tienen razón. Signal no protege su privacidad porque no pueden aseguran los metadatos (quién habla con quién, a qué hora, por cuánto, en dónde etc). Y aunque no lo parezca, esos metadatos son una información igual de importante como el propio contenido de los mensajes. Tanto, que los agentes del CIA dicen "Nosotros matamos basado en los metadatos".

Ahora, Signal "promete" que no usan/guardan los metadatos. Pero Whatsapp también "prometieron" que no iban a dejar a Facebook coleccionar datos sobre los usuarios. Es evidente qué rápido rompieron esa promesa.

El problema con la "promesa" es que no la van a poder cumplir. Cualquier día, los Estados Unidos puede ordenarle a Signal que empiecen a guardar y compartir los metadatos con el CIA/NSA, y como Signal cae bajo la jurisdicción de EEUU., va a tener que obedecer. Y si les dan una orden de silencio, al menos que haya un nuevo Edward Snowden, nadie sabrá.

Pero aún sin que el gobierno les ordene, hay otros problemas.

Signal intenta usar SGX para asegurar los metadatos, pero es vulnerable. Signal también usa los servicios de Amazon y Cloudflare para sus servidores. Estas empresas no son privadas, y como son basadas en los Estados Unidos, cualquier día les pueden ordenar revelar los datos.

Conclusión: NO recomendado.

Alternativas a Signal en el caso que necesiten comunicarse con otros que usan signal:

Molly: Molly es un fork de Signal que arregla algunos de los problemas:

  • Molly se encuentra en F-Droid
  • Quita el código cerrado de Google
  • Incluye otras mejoras de seguridad
  • Mejoras de privacidad: se puede usar con Unified Push para no estar llamando a Google HQ cada rato

Conclusión: Mucho mejor que Signal, aunque todavía promueve (y usa) la red de Signal, y requiere un número telefónico para registrarse.

Telegram

  • E2EE*
  • Código abierto (GPLv2)
  • F-Droid
  • Muy popular: es probable que sus amigos también tengan Telegram
  • Contiene muchos canales públicos; tiene aspectos como una red social
  • X: Centralizado
  • X: No privado: necesita un número telefónico
  • X: La E2EE No está usada por defecto

Telegram es un messenger muy popular, que se usa por todo el mundo. Varios "genios" de ciberseguridad fabricaron/se inventaron unos problemas imaginarios, pero seguro que son los mismos "genios" que recomendan usar programas de fuente cerrada y no privados como Signal entonces.... Bueno, si al empezar una conversación, espichan en "crear chat secreto" en vez de el simple "crear chat", entonces Telegram es Más privado y seguro que Signal. A diferencia de Signal, Telegram está en F-Droid y tiene el código abierto. Además, no utiliza los servicios de Google para notificaciones, ni código cerrado de Google para actualizar. Además, Telegram es más fácil de usar (no se imaginan cuántos bugs tuve con Signal), y tiene muchos canales públicos donde se puede encontrar mucha información.

Conclusión: No recomendado si lo usan como un mensajero privado y seguro. Pero, si no pueden usar SimpleX por alguna razón (ej sus amigos solo tienen Telegram), o para ver canales públicos, no es una mala opción.

Alternativas:

Forkgram es un fork de Telegram con mejoras en la privacidad y seguridad del programa. Es compatible con Unified Push, que le da mejor privacidad, seguridad, y es mas ligero con la batería. Mercurygram es un fork de Telegram con varias mejoras de privacidad y seguridad. Sin embargo, no ha sido actualizado en mucho tiempo, por lo cual no es recomendad. También se puede usar con Unified Push, aunque las notificaciones unas veces no llegan. Tiene:

  • Mejoras en seguridad (usando librerías más nuevas)
  • Mejoras en privacidad

Session/Briar/Matrix/XMPP/Conversations etc

Existen muchísimos de esos messengers, y aún muchos más forks y clientes etc etc. En general, en términos de seguridad/privacidad son mejores que Molly/Mercurygram, pero tienen debilidades.

Conclusión: Mejor usar SimpleX

Discord/Whatsapp/Skype/FB messenger/Insta etc etc

Son de código cerrado, no son privados ni seguros. Se puede asumir que cada mensaje llega a google/FB/microsoft/FBI/NSA HQ

Conclusión: No usar