Cómo y por qué Signal se transformó en la aplicación de mensajería más segura en una época de miedo y desconfianza

El servicio es similar a WhatsApp o iMessage pero está cifrado de extremo a extremo y es propiedad de una fundación sin fines de lucro, en lugar de una corporación

26 de Septiembre de 2020. Infobae.

Mientras las protestas contra el racismo en EEUU se intensificaron, las descargas de Signal aumentaron un 50%

“Uso Signal todos los días”, dijo el topo de la NSA Edward Snowden en 2015. La frase es la apertura del sitio web de la aplicación y, ahora, en medio de un convulsionado año, cada vez más gente común la está usando.

Signal es un servicio de mensajería cifrada de extremo a extremo, similar a WhatsApp o iMessage, pero que es propiedad y está gestionado por una fundación sin ánimo de lucro en lugar de una corporación, y con protecciones de seguridad más amplias.

La revista norteamericana TIME grafica con un pequeño pero significativo episodio de dos jóvenes afromaericano -Ama Russell y Evamelo Oleita- cómo su uso se está extendiendo por EEUU. Ninguno de los dos había participado jamás de una protesta pero cuando las manifestaciones contra el racismo y la brutalidad policial comenzaron a extenderse por los Estados Unidos a principios de este año, los jóvenes de 17 años de Michigan, organizaron una propia. Buscando ayuda, Oleita se acercó a Michigan Liberation, un grupo local de derechos civiles. Allí un activista le dijo que descargara la aplicación de mensajería Signal. “Decían que para estar seguros, estaban usando Signal y, la verdad, resultó ser un consejo útil. Creo que Signal se convirtió en la herramienta más importante de protesta para nosotros”, contó.

En el plazo de un mes, Oleita y Russell organizaron una ocupación nocturna no violenta en un centro de detención en las afueras de Detroit, en protesta por un caso en el que un juez había puesto a una colegiala negra de 15 años en detención juvenil por no haber completado sus tareas escolares mientras estaba en libertad condicional. Usaron Signal para discutir las tácticas, y para comunicarse con sus equipos, reuniendo a los manifestantes y actuando de enlace con la policía. “No creo que nada de lo que decimos sea incriminatorio, pero no confiamos en las autoridades”, dice Russell. “No queremos que sepan dónde estamos, así no pueden detenernos en ningún momento. Con Signal nos comunicamos eficientemente sabiendo que nada está siendo rastreado, me hace sentir muy seguro.”

“Cada vez que hay algún tipo de disturbios o una elección polémica, parece haber una oportunidad para que construyamos nuestra audiencia”, dice Brian Acton, cofundador y presidente ejecutivo de la Signal Foundation, en una entrevista con TIME. “Es un poco agridulce, porque muchas veces nuestros picos provienen de malos eventos. Lo estamos haciendo muy bien, pero el mundo está en llamas”, ironiza.

La revista, de hecho, detalla que mientras las protestas en EEUU contra el racismo se intensificaron, las descargas aumentaron un 50% en comparación con los seis meses anteriores, según los datos de la empresa de análisis App Annie, que rastrea la información de las tiendas de aplicaciones de Apple y Google. En Hong Kong, agregan, subieron un 1.000% entre marzo y agosto, coincidiendo con la imposición por parte China de una controvertida ley de seguridad nacional

“Estamos viendo mucha más gente que asiste a sus primeras acciones o protestas este año, y una de las primeras cosas que les digo que hagan es que descarguen Signal”, dice Jacky Brooks, un activista con sede en Chicago que lidera la seguridad y la protección de Kairos, un grupo que capacita a los afromaericanos para utilizar las herramientas digitales para organizarse para el cambio social. “Signal y otras tecnologías de encriptación de extremo a extremo se han convertido en herramientas vitales para proteger a los organizadores y activistas”.

La base de usuarios de Signal -en alguna parte de las decenas de millones, según los datos de App Store- sigue siendo una fracción de su principal competidor, WhatsApp’s, que tiene unos 2.000 millones de usuarios y es propiedad de Facebook. Pero es cada vez más claro que entre los manifestantes, disidentes y periodistas de investigación, Signal es la nueva referencia por la poca información que guarda sobre sus usuarios. En el fondo, ambas aplicaciones utilizan la criptografía para asegurarse de que los mensajes, imágenes y vídeos que llevan sólo pueden ser vistos por el remitente y el destinatario, y no por los gobiernos, espías, ni siquiera los diseñadores de la propia aplicación. Pero en Signal, a diferencia de WhatsApp, los metadatos de sus mensajes están cifrados, lo que significa que ni siquiera las autoridades con una orden judicial pueden obtener su libreta de direcciones, ni ver con quién está hablando y cuándo, ni ver sus mensajes.

“Históricamente, cuando se procesa a la fuente de un periodista de investigación como represalia por algo que ha publicado, los fiscales van tras los registros de metadatos y los registros de llamadas sobre quién ha estado llamando a quién”, dice Harlo Holmes, director de seguridad digital de la sala de redacción de la Fundación para la Libertad de Prensa.

WhatsApp declara en su sitio web que no almacena registros de quién está enviando mensajes a quién, “en el curso normal de la prestación de nuestro servicio”. Sin embargo, tiene la capacidad técnica para hacerlo. En algunos casos, incluso cuando creen que es necesario para mantener a los usuarios seguros o cumplir con procesos legales, declaran que pueden “recopilar, utilizar, preservar y compartir información de los usuarios”, incluyendo “información sobre cómo algunos usuarios interactúan con otros en nuestro servicio”.

Signal, por el contrario, no puede cumplir con la aplicación de la ley aunque quisiera. En 2016, un gran jurado de Virginia citó a Signal para obtener datos sobre un usuario, pero como encripta prácticamente todos sus metadatos, la única información que Signal pudo proporcionar en respuesta fue la fecha y la hora en que el usuario descargó la aplicación, y cuándo la había utilizado por última vez. “Signal trabaja muy, muy duro para proteger a sus usuarios limitando la cantidad de metadatos disponibles en caso de una citación”, dice Holmes.

EL periodista Billy Perrigo explica que el sistema de valores de Signal se alinea perfectamente con la creencia, popular en los primeros días de Silicon Valley, de que la encriptación es la única clave para la libertad individual en un mundo en el que las autoridades usarán la tecnología para promover sus objetivos inevitablemente autoritarios. Conocida como criptoanarquismo, esta filosofía surgió a finales de los años 80 entre los informáticos libertarios e influyó en el pensamiento de muchos programadores, incluido Moxie Marlinspike, el enigmático creador de Signal.

Como joven en la década de 1990, Marlinspike – que no da notas periodísticas – pasó su vida al margen de la sociedad, aprendiendo de manera autodidacta informática, hackeando servidores inseguros y haciendo autostop ilegalmente en trenes de carga a través de los Estados Unidos. Siempre desconfió de la autoridad, pero las filtraciones de Snowden fueron una bisagra en su pensamiento.TIME recuerda que en un post publicado en su blog en junio de 2013, a la que ya no se puede acceder en línea, Marlinspike escribió sobre el peligro que estas nuevas capacidades de vigilancia representaban cuando eran ejercidas por un estado en el que no se podía confiar. “La policía ya abusa del inmenso poder que tiene, pero si todas las acciones de todos estuvieran siendo vigiladas… entonces el castigo se vuelve puramente selectivo”, escribió. “Los que están en el poder tendrán esencialmente lo que necesitan para castigar a quien quieran, cuando quieran, como si no hubiera ninguna regla”. Pero, Marlinspike argumentó que este problema no era irresoluble. “Es posible desarrollar soluciones técnicas fáciles de usar que obstaculicen este tipo de vigilancia”, escribió.

Esa “solución técnica fácil de usar” es su Protocolo de Seguridad de Textos -más tarde el Protocolo de Signal- una especie de receta para una fuerte encriptación de extremo a extremo que podía asegurar que sólo el remitente y el destinatario de un mensaje fueran capaces de leer su contenido, y no las autoridades. En 2010 Marlinspike lanzó dos aplicaciones, una para mensajes de texto y otra para llamadas telefónicas basadas en el protocolo. En 2014 las fusionó y nació Signal.

La aplicación se mantuvo a flote gracias a los casi 3 millones de dólares de financiación del Open Technology Fund, una organización sin ánimo de lucro financiada por el Congreso que financia proyectos destinados a contrarrestar la censura y la vigilancia. De acuerdo con las mejores prácticas de seguridad, el Protocolo Signal es de código abierto, lo que significa que está disponible públicamente para que los analistas de todo el mundo lo auditen y sugieran mejoras.

El otro principal competidor de Signal, Telegram, no está cifrado de extremo a extremo por defecto, y los investigadores de seguridad han planteado inquietudes acerca de su protocolo de cifrado, que a diferencia del de Signal no es de código abierto. Pero aunque por lo visto es seguro, Signal en 2014 no era muy fácil de usar. Tenía una base de usuarios relativamente pequeña, compuesta en su mayor parte por geeks de la seguridad digital. No era el tipo de influencia que Marlinspike quería.

Así que Marlinspike buscó a Acton, que había cofundado WhatsApp en 2009 junto con Jan Koum. Desde entonces, la habían convertido en la mayor aplicación de mensajería del mundo, y en 2014 Facebook la compró por un valor récord de 19.000 millones de dólares. Los puntos de vista de Marlinspike sobre la privacidad coincidían con los suyos (Koum había crecido bajo la vigilancia constante de la Ucrania soviética) y en 2016, con el beneplácito de Facebook, trabajaron para integrar el Protocolo de señales en WhatsApp, cifrando miles de millones de conversaciones en todo el mundo. Fue un gran paso hacia el sueño de Marlinspike de una Internet que rechazara, en lugar de permitir, la vigilancia. “La gran victoria es cuando mil millones de personas utilizan WhatsApp y ni siquiera saben que está cifrado”, dijo a la revista Wired en 2016. “Creo que ya hemos ganado el futuro”.

Pero Acton, que ya era multimillonario gracias a la compra, pronto entraría en una agria disputa con los ejecutivos de Facebook. Le preocupaban los planes de Facebook de agregar anuncios y rastrear aún más datos de los usuarios. En septiembre de 2017, se alejó de la compañía, dejando atrás 850 millones de dólares en acciones de Facebook que se habrían invertido en los próximos meses si se hubiera quedado. “Estoy en paz con eso”, dice Acton sobre su decisión de irse. “Soy más feliz haciendo lo que hago en este ambiente, y con la gente con la que trabajo”, dice.

Poco después de renunciar, Acton se asoció con Marlinspike una vez más. Sabían que aunque cifrar todos los mensajes enviados a través de WhatsApp había sido un gran logro, no era el final. Querían crear una aplicación que lo cifrara todo. Así que Acton invirtió 50 millones de dólares de su fortuna en Facebook para crear la Signal Foundation, una organización sin ánimo de lucro que podría apoyar el desarrollo de Signal como rival directo de WhatsApp.

Los millones de Acton permitieron que Signal triplicara su personal, muchos de los cuales ahora se centran en hacer la aplicación más fácil de usar. Recientemente añadieron la capacidad de reaccionar a los mensajes con emojis, por ejemplo, justo a tiempo para atraer a una nueva generación de manifestantes como Oleita y Russell. Y a diferencia de otros que se habían acercado a Signal ofreciendo financiación, el dinero de Acton llegó sin requisitos para monetizar la aplicación añadiendo rastreadores que podrían comprometer la privacidad del usuario.

El objetivo de Marlinspike siempre fue combatir el efecto secundario del capitalismo de vigilancia: el rastro de datos. Ya en 2013, el creador de Signal explicaba que en lugar de intervenir las conversaciones telefónicas, los cambios en la naturaleza de la Internet significaron que “el gobierno sólo va a los lugares donde la información se ha estado acumulando por su cuenta, como proveedores de correo electrónico, motores de búsqueda, redes sociales”.

Una técnica de vigilancia a la que WhatsApp sigue siendo vulnerable debido a sus metadatos no encriptados. Es imposible saber cuántos datos de usuario proporciona WhatsApp por sí solo a las autoridades, porque Facebook sólo pone a disposición esos datos para todos sus servicios combinados, agrupando WhatsApp con Instagram y la propia plataforma de Facebook. Pero aún así, esos datos agregados muestran que en la segunda mitad de 2019, Facebook recibió más de 51.000 solicitudes de las autoridades de EE.UU. de datos relativos a más de 82.000 usuarios, y produjo “algunos datos” en respuesta al 88% de esas solicitudes.

Por el contrario, Signal no ha recibido ninguna solicitud de las autoridades para datos de usuarios desde la del gran jurado de Virginia en 2016. “Creo que la mayoría de los gobiernos y abogados saben que realmente no sabemos nada”, le dice un portavoz de Signal a TIME. “Así que, ¿por qué molestarse?”.

Otra razón, apunta la revista norteamericana, es que Signal tiene muchísimos menos usuarios que WhatsApp. Pero Acton también lo atribuye a la aplicación más amplia de encriptación de Signal. “Pueden hacer ese tipo de cosas en WhatsApp porque tienen acceso al remitente, al receptor, a la marca de tiempo, ya sabes, de estos mensajes”, dice Acton. “No tenemos acceso a eso en Signal. No queremos saber quién eres, qué estás haciendo en nuestro sistema. Así que o bien no recogemos la información, no la almacenamos, o si tenemos que hacerlo, la encriptamos. Y cuando la encriptamos, la encriptamos de tal manera que no podemos revertirla”.

En Signal los metadatos de sus mensajes están cifrados, lo que significa que ni siquiera las autoridades con una orden judicial pueden obtener su libreta de direcciones, ni ver con quién está hablando y cuándo, ni ver sus mensajes.

El Departamento de Justicia quiere enmendar el artículo 230 de la Ley de Decencia en las Comunicaciones, que actualmente permite a las empresas tecnológicas evitar la responsabilidad legal por las cosas que los usuarios dicen en su plataforma. El cambio propuesto es en parte una represalia del Presidente Trump contra lo que él ve como plataformas de medios sociales que censuran injustamente a los conservadores, pero también podría amenazar los servicios encriptados. La enmienda significaría que las empresas tendrían que “ganarse” las protecciones de la Sección 230 siguiendo un conjunto de mejores prácticas que, según Signal, “es extraordinariamente improbable que permitan el cifrado de extremo a extremo”.

“Mientras que una fuerte encriptación proporciona enormes beneficios a la sociedad y es indudablemente necesaria para la seguridad y privacidad de los estadounidenses, la tecnología de encriptación de extremo a extremo está siendo abusada por depredadores de niños, terroristas, traficantes de drogas e incluso hackers para perpetrar sus crímenes y evitar ser detectados”, dijo el Fiscal General William Barr el 23 de junio. “La encriptación a prueba de garantías permite a estos criminales operar con impunidad. Esto es peligroso e inaceptable”.

Aún así, a pesar del riesgo existencial que una ley que socave la encriptación supondría para Signal, Acton dice que ve la posibilidad como una amenaza de “bajo medio”. “Me sorprendería mucho que el público americano aprobara una ley como esta que resistiera el paso del tiempo”, dice. Si eso ocurriera, añade, Signal trataría de encontrar formas de evitar la ley, posiblemente incluyendo la salida de los Estados Unidos. Eso podría significar tener que reincorporarse en algún lugar”.

 

 304 total views,  2 views today