Entrevista: Anticipe que ciertos departamentos gubernamentales comenzarán a explorar la mensajería descentralizada, dice el cofundador de Session, Kee Jefferys

La reciente advertencia del Auditor Certificado de Sistemas de Información (CISA) sobre dos vulnerabilidades críticas en TeleMessage TM SGNL, que están siendo explotadas activamente por actores de amenazas, ha llevado a las partes interesadas a sentarse y tomar nota.

La agencia federal de ciberseguridad de EE. UU. instó encarecidamente a las organizaciones a implementar de inmediato cualquier mitigación proporcionada por el proveedor, subrayando la gravedad de las fallas.

"En el caso de TM SGNL, las vulnerabilidades surgieron de múltiples errores graves de diseño e implementación, socavando la seguridad prevista y dando lugar a lo que mejor se puede describir como 'teatro de seguridad'", dijo Kee Jefferys, cofundador de Session, una aplicación de mensajería encriptada de código abierto, en una conversación con Invezz.

El crecimiento de las aplicaciones de mensajería descentralizada está siendo impulsado por una convergencia de factores: la creciente preocupación por la privacidad, la creciente desconfianza en las grandes tecnologías, los avances en la cadena de bloques y la arquitectura peer-to-peer, y los cambios en los entornos regulatorios.

Si bien Session se ha ganado elogios por su compromiso con el anonimato y la resistencia a los metadatos, algunos críticos de tecnología argumentan que Signal, otra plataforma de mensajería encriptada, logra un equilibrio más convencional al combinar protocolos de privacidad sólidos con funciones fáciles de usar y de creación de comunidades.

"En el caso de Session, está diseñado para usuarios que necesitan anonimato y resistencia a los metadatos, incluso si eso significa hacer algunas concesiones en las características o la experiencia de usuario", dijo Jefferys.

También se refirió al creciente interés institucional en las plataformas de mensajería descentralizada y por qué cree que es probable que departamentos como el de seguridad nacional y el servicio exterior exploren estas tecnologías más seriamente en los próximos años, especialmente para las comunicaciones internas que involucran escenarios sensibles o de alto riesgo.

Extractos:

Sobre la CISA que señala vulnerabilidades en TM SGNL

Invezz: La directiva CISA destaca las vulnerabilidades en TM SGNL. En su opinión, ¿qué hizo que estos fallos fueran tan peligrosos a pesar del uso del cifrado de extremo a extremo?

El cifrado de extremo a extremo, cuando se implementa correctamente, evita que cualquier persona ajena a la conversación acceda a los mensajes de los usuarios.

Sin embargo, en el caso de TM SGNL, las vulnerabilidades surgieron de múltiples errores graves de diseño e implementación, lo que socavó la seguridad prevista y dio lugar a lo que mejor se puede describir como "teatro de seguridad".

Más que un único fallo aislado, fue una cadena de malas decisiones de diseño las que finalmente expusieron los datos de los usuarios.

Primero, TM SGNL creó una copia no cifrada de cada mensaje enviado en una conversación y luego almacenó esta copia en un servidor.

Esta práctica creó efectivamente un honeypot de datos confidenciales, lo que lo hace muy atractivo para los atacantes.

En segundo lugar, el servidor expuso públicamente una URL desde la que cualquiera podía descargar el estado actual de su memoria.

A medida que el servidor recibía y procesaba estos mensajes sin cifrar, los almacenaba en la memoria junto con detalles de autenticación confidenciales, incluidas las contraseñas con hash débil de los usuarios.

Combinadas, estas vulnerabilidades permitían a un atacante, incluso uno con una sofisticación relativamente limitada, descargar rutinariamente la memoria del servidor, extraer información de autenticación, violar cuentas de usuario y acceder a conversaciones de texto sin formato.

Este escenario subraya un punto crítico: los protocolos seguros son tan fuertes como la calidad del código subyacente y la implementación de la infraestructura.

Cómo la descentralización reduce el riesgo estructuralmente

Invezz: Usted ha argumentado que el control de un solo proveedor es la verdadera amenaza. ¿Puede explicarnos cómo la descentralización reduce estructuralmente este riesgo?

Absolutamente. Cuando una empresa controla todo, incluido el código, los servidores, las actualizaciones, incluso un solo error puede poner a todos en riesgo.

La descentralización extiende ese control, lo que reduce la capacidad de dirigirse a un servidor para lograr un compromiso completo de la red.

En redes como Session, no hay un servidor central al que atacar, ni una sola entidad que contenga todos los mensajes.

En su lugar, la red consta de nodos operados de forma independiente distribuidos por todo el mundo, y el código fuente está disponible abiertamente para que cualquiera pueda inspeccionarlo.

Como resultado, en lugar de depender de la confiabilidad de un solo proveedor, tiene un sistema diseñado específicamente para funcionar sin necesidad de confianza en absoluto.

Diferencia entre Sesión y Señal

Invezz: Session a menudo se promociona como un mensajero totalmente descentralizado y resistente a los metadatos. ¿En qué se diferencia fundamentalmente su infraestructura de Signal u otras aplicaciones cifradas?

La mayoría de los mensajeros todavía dependen de una infraestructura centralizada, Session es diferente.

Session opera en una red descentralizada de enrutamiento de cebolla inspirada en Tor, diseñada específicamente para la mensajería.

En lugar de depender de servidores centrales, Session enruta los mensajes a través de una serie de nodos operados por la comunidad, ocultando eficazmente las direcciones IP de los usuarios de cualquier nodo que almacene sus mensajes.

Además, Session no requiere un número de teléfono, correo electrónico ni ningún otro identificador del mundo real para crear una cuenta.

Todos los mensajes están encriptados de extremo a extremo y, a diferencia de TM SGNL tradicional, Session nunca envía un registro de auditoría no cifrado de las comunicaciones de los usuarios a un servidor central.

Caso de uso de la sesión y esfuerzos continuos para mejorar la usabilidad

Invezz: Algunos críticos de tecnología han dicho que, si bien Session ofrece un nivel de privacidad que es excelente para fines de seguridad, Signal combina políticas de privacidad sólidas con funciones útiles para la creación de comunidades, lo que lo hace atractivo para un público más amplio. ¿Qué opina al respecto?

Esa es una opinión justa. Signal ha hecho un trabajo increíble haciendo que la mensajería privada se sienta perfecta, especialmente para las personas que no son expertos en privacidad.

En el caso de Session, está diseñado para usuarios que necesitan anonimato y resistencia a los metadatos, incluso si eso significa hacer algunas concesiones en las funciones o la experiencia de usuario.

Pero Session definitivamente no está ignorando la usabilidad, los colaboradores de Session han estado trabajando arduamente para mejorar la UX, simplificando la jerga técnica y facilitando el inicio de la mensajería sin tener que preocuparse por los detalles técnicos.

Sobre la demanda institucional de mensajería descentralizada

Invezz: ¿Cree que está creciendo la demanda institucional o empresarial de mensajería descentralizada? Si es así, ¿qué verticales están mostrando tracción temprana?

Absolutamente. La sesión está experimentando un creciente interés por parte de periodistas, ONG, denunciantes y profesionales del derecho, básicamente cualquier persona que maneje información confidencial o necesite mantener la comunicación privada.

Algunas DAO y startups centradas en la privacidad también están empezando a explorar la mensajería descentralizada.

Todavía es pronto, pero el denominador común es que todos quieren una privacidad e infraestructura sólidas que no tengan un solo punto de fallo o control.

A medida que las regulaciones se endurecen y las violaciones de datos se acumulan, la descentralización comienza a parecer menos un nicho y más una necesidad.

Es probable que las ramas del gobierno, como la seguridad nacional y el servicio exterior, exploren la mensajería descentralizada

Invezz: ¿Cree que los gobiernos alguna vez adoptarán seriamente los protocolos de mensajería descentralizada, o seguirán dependiendo de los proveedores que puedan supervisar?

Esa es una pregunta difícil. Naturalmente, los gobiernos prefieren el control y la auditabilidad, lo que a menudo los lleva hacia sistemas propietarios o administrados por proveedores.

Sin embargo, como lo ilustra claramente el incidente de TM SGNL, este enfoque centralizado conlleva riesgos inherentes.

Anticipo que ciertas ramas del gobierno, en particular las que se ocupan de la seguridad nacional o el servicio exterior, explorarán cada vez más soluciones descentralizadas para comunicaciones internas sensibles o escenarios de alto riesgo.

Probablemente no veremos una adopción inmediata y generalizada de la noche a la mañana, pero el aumento del costo y el impacto de las violaciones de seguridad son lo suficientemente convincentes como para hacer que incluso las instituciones tradicionalmente reacias al riesgo reconsideren su enfoque.