X lanza chat encriptado y plantea cuestiones de seguridad

TLDRs:

• X lanza Chat encriptado, pero la falta de salvaguardias genera preocupaciones de privacidad para los usuarios.
• Los usuarios pueden editar, eliminar o hacer desaparecer mensajes, aunque persisten limitaciones.
• Los usuarios financieros y corporativos enfrentan riesgos de cumplimiento al usar la nueva herramienta de mensajería de X.
• Expertos advierten que las características de encriptación faltantes podrían exponer metadatos y mensajes anteriores.

X, la plataforma de redes sociales anteriormente conocida como Twitter, ha presentado oficialmente un nuevo servicio de mensajería encriptada llamado Chat.

La función promete conversaciones y compartición de archivos con encriptación de extremo a extremo, permitiendo a los usuarios editar, eliminar o configurar mensajes para que desaparezcan. Además, la plataforma incluye bloqueo de capturas de pantalla, alertando a los usuarios cuando alguien intenta capturar un mensaje. X confirmó que el servicio no incluirá anuncios ni seguimiento.

A pesar del entusiasmo, la compañía no ha revelado un cronograma completo de lanzamiento ni cuándo todos los usuarios podrán acceder a Chat. Esta ambigüedad ha dejado a expertos en seguridad y defensores de la privacidad cuestionando el enfoque de la plataforma.

Faltan salvaguardias de encriptación

Aunque Chat ofrece un paso hacia la comunicación segura, carece de varias protecciones estándar en plataformas encriptadas establecidas. Por ejemplo, ambas partes deben pagar para habilitar la encriptación, excluyendo a algunos grupos como periodistas o activistas que dependen de mensajería segura gratuita.

X ha admitido que Chat actualmente no se defiende contra ataques de intermediarios, lo que significa que un informante interno o una orden legal potencialmente podrían acceder a las conversaciones.

Además, los archivos adjuntos como videos y fotos se almacenan sin encriptar en los servidores de X, y los metadatos que detallan quién se comunica con quién y cuándo permanecen expuestos. Los expertos también señalan la ausencia de Perfect Forward Secrecy (PFS), una característica crítica que evita la desencriptación de mensajes anteriores si las claves privadas se ven comprometidas.

Complicando aún más la seguridad, las claves privadas de Chat están protegidas por un simple PIN de 4 dígitos y residen en los servidores de X sin Módulos de Seguridad de Hardware (HSMs) verificados, aumentando el riesgo interno.

Riesgos de cumplimiento para empresas

El momento del lanzamiento de Chat podría presentar desafíos para empresas financieras y usuarios corporativos. Desde 2021, los reguladores de EE.UU. como la Comisión de bolsa y valores de EE.UU. (SEC) y la Comisión de Comercio de Futuros de Productos Básicos (CFTC) han multado a empresas por más de $3.5 mil millones por fallas en el mantenimiento de registros relacionadas con aplicaciones encriptadas no autorizadas como WhatsApp y Signal.

Notablemente, JPMorgan enfrentó una multa de $200 millones después de que el personal usara WhatsApp para comunicaciones laborales, mientras que Goldman Sachs, Bank of America y Citigroup incurrieron en un total combinado de $1.8 mil millones en multas.

El nuevo Chat de X podría exponer inadvertidamente a las empresas a violaciones de cumplimiento si los empleados usan la plataforma para comunicación profesional. Los reguladores típicamente esperan que las empresas implementen políticas y controles técnicos para prevenir el uso no autorizado de aplicaciones, lo que puede requerir gestión de dispositivos móviles o soluciones de archivo de comunicaciones electrónicas para monitorear o bloquear Chat en dispositivos de trabajo.

Expertos en privacidad instan a la precaución

Los analistas de seguridad advierten que, si bien el movimiento de X hacia la mensajería encriptada señala una intención de mejorar la privacidad del usuario, la implementación actual deja vulnerabilidades críticas.

Los usuarios que confían en Chat para conversaciones sensibles deben ser conscientes de que la exposición de metadatos, los archivos adjuntos sin encriptar y la falta de secreto hacia adelante podrían comprometer la seguridad.

Los observadores de la industria también señalan que la decisión de X de vincular la encriptación a un modelo de pago puede limitar la adopción entre individuos y organizaciones que no pueden permitirse suscripciones, potencialmente socavando la promesa de seguridad más amplia. A medida que se intensifica la competencia con plataformas como Signal y WhatsApp, X necesitará abordar estas deficiencias para ganar la confianza de los usuarios y cumplir con las expectativas regulatorias.

Conclusión

El Chat encriptado de X representa un paso significativo hacia la comunicación segura en la plataforma, ofreciendo características como edición de mensajes, eliminación y notificaciones de capturas de pantalla.

Sin embargo, la ausencia de salvaguardias de encriptación estándar, protección incompleta de metadatos y preocupaciones regulatorias destacan los desafíos por delante. Se aconseja a usuarios y empresas que aborden la función con precaución hasta que X aborde estas brechas críticas de seguridad y cumplimiento.

La publicación X lanza Chat encriptado y plantea cuestiones de seguridad apareció primero en CoinCentral.