Telegram i Signal: aplicacions que compliquen la vida a la policia
El sumari d’una de les causes contra l’1-O revela les capacitats de les dues eines de missatgeria
BarcelonaEl sumari de la causa contra l’1 d’octubre que arrenca a partir de les declaracions de l’exjutge Santi Vidal, dirigida pel jutge José Antonio Ramírez Sunyer, deixa veure fins a quin punt l’ús de certes eines en la comunicació mòbil pot arribar a complicar les coses a les forces policials. Demostra que telèfons xifrats i aplicacions de missatgeria com Signal i Telegram es poden convertir en un autèntic maldecap per a qui pretengui rebuscar en les comunicacions d’algú conscient de les possibilitats que tenen.
Quan la Guàrdia Civil va arrestar el responsable de riscos del Centre de Seguretat de la Informació de Catalunya (Cesicat), Joan Manel Gómez, en la macrooperació del 20 de setembre, li va confiscar un telèfon Samsung Galaxy S5. Els policies en van bolcar totes les dades, però quan les van analitzar es van adonar que l’aparell tenia instal·lada l’aplicació Signal “per mantenir comunicacions amb altres dispositius de manera segura”. Havien comprovat que cada vegada que Gómez “necessitava comunicar alguna informació que considerava rellevant, indicava que la remetria a través d’aquesta aplicació”.
Quan van intentar accedir als missatges que s’hauria intercanviat a través de Signal, van comunicar al jutge que “per les característiques peculiars d’aquesta aplicació, la informació transmesa i rebuda no s’ha bolcat”. Per això van demanar permís per tornar a revisar el telèfon -que ja estava precintat amb la resta de proves- i, si calia, enviar-lo a Madrid, al Servei de Criminalística de la Guàrdia Civil. El jutge ho va autoritzar, però al sumari encara no consta que n’hagin tret res.
Un altre document de la Guàrdia Civil destaca que, en una conversa punxada al secretari general de la Vicepresidència d’Economia i Hisenda, Josep Maria Jové, van descobrir que intercanviava informació a través de Telegram “amb destrucció en segons”. Es referien a la capacitat, que també té Signal, de marcar un termini d’autodestrucció dels missatges d’una conversa dels dos aparells que hi participen. Així, als mòbils no en queda cap rastre.
El director tècnic d’Ackcent Cybersecurity, Àlex Soler, afirma que, a diferència del que molta gent pensa, WhatsApp té un nivell de seguretat equiparable al de Signal i Telegram. “De fet, WhatsApp fa servir el mateix protocol de xifratge que Signal”, recorda. Tot i això, també admet que els especialistes externs a l’empresa només poden revisar aquesta part de l’aplicació, en el cas de WhatsApp, perquè és l’única de codi obert. “Però la diferència clau entre les tres aplicacions és el grau de privacitat”, afegeix.
La teva informació que té Whatsapp
WhatsApp registra i guarda una gran quantitat de metadades dels seus usuaris: quan estan en línia i quan no, amb qui conversen, l’hora en què s’envien cada missatge i amb qui ho fan, etc. Tot i això, Soler insisteix que el contingut de les converses passa xifrat pels seus servidors, de manera que ni tan sols l’empresa hi pot accedir, però afegeix que l’aplicació és propietat de Facebook, que és públic que fa negoci amb les dades dels seus usuaris: “Si et preocupa la privacitat, el WhatsApp és millor que l’oblidis”, avisa.
Dos activistes amb formació tècnica especialitzada del col·lectiu Críptica -que prefereixen mantenir-se anònims- afegeixen que WhatsApp, a més, guarda per defecte i sense xifrar còpia de totes les converses als núvols d’Apple i Google -segons si es fa servir un iPhone o un aparell amb sistema Android-, i asseguren que aquest és un punt dèbil crucial. Críptica és una entitat dedicada a promoure tècniques per mantenir la privacitat i la seguretat a internet.
Telegram, afegeix Soler, permet a l’usuari configurar el nivell de privacitat que vol. Els xats secrets estan xifrats d’aparell a aparell, com per defecte ho estan tots els de WhatsApp i Signal, i inclouen l’opció d’autodestrucció dels missatges. Això sí, els membres de Críptica avisen que les converses dels grups i dels xats que no són secrets queden emmagatzemades als servidors de Telegram, on la policia, amb autorització judicial, les podria reclamar. Però aquesta aplicació impedeix que els membres d’un grup vegin el número de telèfon dels altres membres, si no és que ja el tenen a l’agenda.
De totes tres eines, tant Soler com els activistes destaquen Signal -que també permet fer trucades de veu xifrades- com la que ofereix per defecte més privacitat a l’usuari. El xifratge que fa servir és tan bo que WhatsApp en va contractar l’empresa responsable, no guarda metadades i tot el programari és de codi obert. Fins i tot l’exanalista de l’Agència de Seguretat Nacional dels EUA Edward Snowden recomana l’ús de Signal. Tot i així, els membres de Críptica avisen que “no és definitiva”, i citen alternatives menys esteses com Conversations.im i Riot.im.
És probable que les dificultats de la Guàrdia Civil per accedir a la informació enviada per Signal al mòbil de Gómez siguin perquè tenia activada l’opció de protegir l’aplicació amb una contrasenya. Signal l’inclou als dispositius Android perquè no es xifren per defecte, a diferència dels iPhone.
De fet, al sumari la Guàrdia Civil també demana enviar l’iPhone 6S de Jové a una empresa especialitzada d’Alemanya, perquè no hi poden accedir: el telèfon està xifrat i protegit amb una contrasenya. Si això es fa activant l’opció que després de deu intents fallits s’esborrin les dades de l’aparell, expliquen els activistes de Críptica, es fa molt més complicat accedir a la informació que conté.