La Confidencialidad en plataformas de mensajería
Vivimos en una sociedad en la que el conocimiento y los flujos de información resultan fundamentales tanto en las relaciones individuales como en las colectivas.
Cada día se genera y almacena en la nube una cantidad ingente de datos, surgiendo la necesidad de explotar la información públicamente disponible, desde una visión global (Big Data).
Son conocidos los problemas de este tipo de plataformas cuya información no está suficientemente protegida y cada día aparecen noticias de agujeros de seguridad que dificultan el uso de estas aplicaciones en el entorno profesional.
Diversos expertos advierten que ninguna de las aplicaciones de chat de uso masivo protege al usuario frente a posibles amenazas y tampoco respetan su privacidad, pudiendo poner a disposición de personas malintencionadas todos los datos, fotos, archivos y contactos que usted compartió desde que utiliza la aplicación.
La mayor parte de las aplicaciones de mensajería instantánea no cumplen con las normativa y análisis de la EFF ( Electronic Frontier Foundation ) que es la organización sin ánimo de lucro con sede en San Francisco, Estados Unidos con el objetivo declarado de dedicar sus esfuerzos a conservar los derechos de libertad de expresión.
Varios son los aspectos que sirven de evaluación de las aplicaciones de mensajería:
- Cifrado en tránsito: Comunicación cifrada en el camino. Cifrado de datos y metadatos no obligatorios para obtener un “Sí” en esta categoría.
- Cifrado de tal forma que el proveedor no puede leerlo: Cifrado completo de punto a punto, claves privadas generadas y almacenadas en los dispositivos de los usuarios sin que salgan en ningún momento.
- Verificación de la identidad del contacto: Existencia de un método para verificar la autenticidad del contacto y la integridad del canal, aunque alguna de las partes se encuentre comprometida.
- Conversaciones pasadas seguras en caso de robo de claves: Requerimiento de que las claves cuenten con “fecha de caducidad” y sea imposible utilizarlas después de esa fecha. El cifrado de punto a punto es un requisito para poder hacer esto.
- Código abierto a análisis independientes: La existencia de suficiente código publicado para detectar posibles problemas, fallos de seguridad, y problemas estructurales.
- Diseño de la seguridad bien documentado: Explicaciones claras y detalladas de la criptografía empleada por la aplicación
- Auditorías de código recientes: Si alguna empresa externa e independiente ha realizado un análisis del código en los últimos 12 meses.
Como ha demostrado la EFF hay mucho camino por recorrer. Y es necesario proteger la información considerada sensible, es decir, aquella dirigida única y exclusivamente a un colectivo restringido, y de cuya protección depende la seguridad de activos y bienes que de otra forma podrían ver menoscabado su valor o suponer algún tipo de riesgo para la organización.
En el entorno empresarial, la información es uno de los principales activos de la organización, susceptible de ser protegido para preservar sus objetivos estratégicos, garantizando a la vez, su distribución entre los usuarios autorizados, en tiempo real, mediante el uso de las modernas tecnologías de comunicaciones disponibles a día de hoy, garantizando su disponibilidad y sincronización en todas las plataformas (PC’s, smartphones, tablets, etc.).