Cifrado extremo a extremo en Whatsapp ¿de qué va esto?

Seguramente a muchso ayer os apareció un mensaje tal que así si sois usuarios de Whatsapp:

actualización seguridad whatsapp

Por culpa del mensaje me pasé el día hablando de esto, así que creo que lo mejor es comentarlo por aquí. Whatsapp añade cifrado de extremo a extremo ¿esto qué significa?

Bueno, empezamos recordando que Whatsapp en sus inicios no era una aplicación que destacara por su seguridad ya que enviaba sus mensajes en texto plano. Las constantes publicaciones sobre los fallos de seguridad del popular servicio de mensajería llevaron a que en 2011 la compañía se decidiera a mejorar la seguridad aplicando un sistema de cifrado en tránsito. Esta solución evitaba que un atacante pudiera ver los mensajes mientras se enviaban, pero no protegía los mensajes almacenados a nivel local.

Ya a finales de 2014 Whatsapp anunció que comenzaría a aplicar un sistema de cifrado extremo a extreo, o end to end, para mejorar la seguridad en ese sentido, delegando del desarrollo y la implementación en una tercera empresa: Open Whisper Systems. Dicha empresa se ha basado en el software de código abierto de su creación TextSecure, que fue la base para el software de mensajería seguro Signal (nota: un amigo mío, experto en seguridad, me recomienda encarecidamente dicho software).

El funcionamiento del nuevo sistema de seguridad es el siguiente: se crea una clave privada vinculada al dispositivo cada vez que se envía un mensaje, que sólo se almacena en dicho dispositivo. El mensaje es cifrado con una clave pública y sólo puede ser descifrado con dicha clave privada. De esta forma ni la propia compañía podría tener acceso a los mensajes, al menos en teoría (luego en la práctica ya veremos).

¿Cómo se activa? En principio viene activado por defecto en la última versión, así que si actualizáis ya lo veréis. Si queréis saber si lo tenéis activado os vais a los ajustes de Whatsapp:

ajustes cuenta whatsapp

Y ahí pulsáis en Seguridad:

Pestaña seguridad

Debería estar tal que así. Para que esto funcione el usuario con el que os comunicáis debe tener también el whatsapp actualizado. Para saber si podéis comunicaros con esa persona de forma segura podéis pulsar en su nombre para ver sus datos, y por allí os aparecerá un mensaje tal que así para confirmaros si la conexión está cifrada:

whatsapp confirma cifrado

Pulsando este código además podrás confirmar que los mensajes se están enviando cifrados. Si el contacto está presente físicamente puedes hacerlo mediante el escaneo de un código QR en pantalla, y si no mediante la comparación de un código de 60 dígitos que aparece bajo el código.

En resumen, que Whatsapp es sensiblemente más seguro que antes de esta actualización, y probablemente en cuatro días tendrá una pelotera tremenda con el FBI por esto, sobre todo tras la polémica que también tuvieron con Apple. ¿Significa esto que puedes mandar fotos tuyas en pelotas por este medio? Yo no te lo recomendaría.

Anuncios

OsmAnd: alternativa a GoogleMaps en Android

Hace un tiempo que Google permite descargar mapas de GoogleMaps para utilizarlos offline, pero si no quieres depender de la empresa del buscador existe una alternativa Open Source, bajo licencia GPLv3: OsmAnd.

OsmAnd es un software para consulta de mapas y para navegación sirviéndose de GPS que se sirve de los mapas de Open Street Maps. Puedes encontrar dos versiones en el Play Store: una gratis, con algunas limitaciones, y una de pago. Por otra parte también está disponible completa en el repositorio F-Droid y en github puedes obtener el código del proyecto.

OsmAnd Compostela

Como navegador funciona muy bien: te da la opción de descargar los mapas completos o, si quieres ahorrar espacio y consumo de datos, sólo las carreteras. Al igual que GoogleMaps te irá guiando por voz y recalculará la ruta en caso de un cambio en el itinerario. Permite señalar puntos de interés en el mapa, buscar lugares ya sea por dirección o por coordenadas y, en la versión completa, obtener datos interesantes de la zona extraídos de la Wikipedia almacenándolos para su uso offline, una más que interesante funcionalidad si lo quieres utilizar para hacer turismo . En determinadas zonas incluso te avisará si estás superando el límite de velocidad en tu coche (esta funcionalidad creo que no está todavía disponible en todo el mapa, sólo en determinados puntos).

osmandstore

En las últimas versiones se le incluyeron interesantes opciones para rutas pedestres y ciclistas, una cantidad de rutas que aumenta dado que los usuarios pueden subir sus rutas GPX directamente desde la aplicación. De hecho la aplicación permite un modo de visualización diferente para rutas ciclistas. Y en algunhas ciudades se ha incluído la información sobre paradas y frecuencias del transporte público.

OsmAnd es un proyecto colaborativo todavía en expansión y tiene ciertas cosas que pulir. De hecho muchos usuarios señalan que HERE, que fue elegido mejor navegador del 2015 por Autobild, todavía ofrece unas opciones mejores. Pero creo que se trata de un proyecto interesante que seguir y con el que intentar colaborar, aunque sea un poquito. La versión completa está cargada de funcionalidades interesantes, e incluso la gratuíta es muy completa. Tal vez le pueda echar en falta que puede resultar poco intuitivo al primer uso, teniendo una curva de aprendizaje un pelín más marcada que GoogleMaps. Por el resto, según mi experiencia, chapeau.

Probando alternativas ligeras al app de Facebook en Android

Lo has leído en mil sitios: el app de Facebook para Android es lo peor. La han cargado de librerías propias hasta el infinito y más allá, su optimización es nula y chupa recursos que da gusto: almacena datos en la memoria interna que da gusto, se merienda la RAM con patatillas y la batería te dura menos que una caja de donuts en una cafetería de polígono.

¿Alternativas? Hemos (realmente he) probado cuatro, y aquí te las comento:

  • Facebook Lite: A su favor tiene que ocupa poco, apenas un mega, consume pocos datos, poca batería y te permite utilizar los menajes directos sin tener que utilizar messenger. En su contra que es muy poco fluída, proporciona una experiencia de usuario horrible y el diseño es más feo que pegarle a un padre. Conclusión: te da buen rendimiento, pero hay opciones mejores.Facebook Lite
  • Metal for Facebook: Me la vendieron como la panacea… y no. La he utilizado durante aproximadamente un mes y sí es cierto que el diseño está bien y que incluso te permite usarla como cliente de Twitter y prescindir del Messenger igual que la Lite. Pero presentaba problemas en ambas facetas: en Facebook no me permitía subir fotos (y me consta que a más usuarios tampoco) y si entraba en un artículo externo al volver al app se quedaba en blanco y tenía que cerrar y volver a abrir para que recargara. Como cliente de Twitter no me enviaba notificaciones. Reconozco el esfuerzo que hacen sus desarrolladores para mantener este proyecto grátis… pero no quedé nada contento de la experiencia. Metal for facebook
  • Tinfoil for Facebook: Realmente Tinfoil lo que hace es abrir la versión web de facebook dentro un sandbox para, en teoría, mejorar la privacidad del usuario, evitando el rastreo de su historial de navegación. No se hasta qué punto puede ser efectivo, pero puede resultar interesante para los que opten por usar simplemente la versión web de facebook.Tinfoil
  • Toffeed: Es la última aplicación que he probado y la que ha sustituído a Metal en mi teléfono. De momento no puedo analizar mucho. Me ha dado la impresión de que carga un poco más lenta que Metal o Lite, pero pude que sólo sea paranoia mía. Tiene opciones interesantes como activar la mensajería para poder prescindir del Messenger o desactivar la carga de fotos para que tire de caché y consuma menos datos y no he acusado los problemas que me daba Metal. De momento, se queda en mi teléfono.Toffeed
  • Bonus track: Realmente no necesitas un app para Facebook. Puedes acceder vía web a través del navegador del teléfono. Y es más, hasta puedes configurar Chrome para tenerlo en favoritos (de forma que en dos taps puedas acceder) y recibir notificaciones del navegador si te interesa. Existen otras alternativas como Folio for Facebook (un contenedor similar a Tinfoil) o Fast for Facebook (tiene buenas críticas, pero no la he probado así que no voy a opinar)

CONAN mobile: herramienta de seguridad para tu Android

CONAN mobile es una herramienta gratuita desarrollada por los técnicos de INTECO que te permitirá chequear el estado de la seguridad de tu móvil o tablet, proporcionándote consejos y soluciones para mejorarla.

Funciona en Android 2.2 y superiores, y te muestra información sobre diferentes ámbitos:

  • Configuración: Te mostrará los ajustes de tu configuración que pueden ser potencialmente peligrosas, las redes WIFI inseguras a la que estés conectado o los dispositivos Bluetooth con los que estés emparejado.
  • Aplicaciones: Listará las aplicaciones que están reconocidas como maliciosas, las que podrían serlo, las que no están actualizadas a la última versión y las que no están registradas. También te mostrará los permisos de la aplicación organizados por su nivel de inseguridad.
  • Servicio de seguridad proactivo: Alerta de comportamientos anómalos en el dispositivo tales como cambios en el fichero /etc/host, llamadas y sms a servicios de pago, conexiones a la red realizadas por las aplicaciones… y además analiza las redes WIFI a las que nos conectamos y las apps que descargamos.

Al momento de escribir esto la aplicación se encuentra en fase beta, por lo que todavía puede presentar fallos en su funcionamiento, además de sólo estar disponible para el mercado español. Para profundizar en su uso tenéis este videotutorial. Podéis descargarla desde GooglePlay

Cryptonite para Android: Cifrar carpetas locales y archivos de Dropbox

Cryptonite se trata de un proyecto de software libre (GPLv2) que te permite encriptar archivos y carpetas tanto en tu teléfono como en el conocido servicio de almacenamiento online. Está basado en TrueCrypt y EncFS y de momento todavía está en fase de desarrollo, por lo que puede que algunas funcionalidades no estén operativas, pero con todo ya te da las herramientas necesarias para tener un extra de privacidad en tu dispositivo.

Lo primero es descargar desde Google Play la aplicación, verás que sólo te va a pedir dos permisos (al menos así era cuando la descargué yo): acceso a internet (lógico por la compatibilidad con Dropbox) y al almacenamiento (lógico también), ambas justificadas. El resto, bussines as usual, aceptar y tirar p’alante como con cualquier app. Ya te advertirá que se trata de software en fase de desarrollo y que viene sin garantía, así que si te explota el teléfono no les puedes reclamar (ujejeje).

Una vez instalado verás que tiene tres pestañas con opciones (como en esta imagen sacada de la web original del proyecto):

Cryptonite
Cryptonite, pantalla principal

La primera te permite conectar el programa con Dropbox. La sincronización es inmediata y simple, basta meter tus credenciales. Si tienes un volumen encriptado con EncFS en Dropbox podrás trabajar con él a través del teléfono.

En cuanto a la pestaña Local verás varias opciones: Desencriptar directorio local, navegar por el directorio desencriptado, crear volumen local y montar un volumen EncFS (esto último sólo para teléfonos rooteados).

Si lo que quieres es crear un volumen nuevo en el teléfono, lo más habitual, entonces pulsas en Create Local Volume. Lo primero será que tengas que elegir el tipo de encriptación (como en la imagen):

Tipos encriptación Cryptonite
Tipos de encriptación

Yo me movería entre Paranoia y Standard, dependiendo ya de tu nivel de (valga la rebuznancia) paranoia.

Allí te llevará a un menú donde podrás elegir una carpeta ya existente o crear una nueva como directorio para guardar tus archivos encriptados. Tras seleccionar o crear una carpeta te pedirá que insertes la clave (recuerda, la fuerza de un buen algoritmo reside en la fuerza de la clave, así que no pongas 1234). Tras esto ya tienes tu directorio encriptado. Ahora ¿cómo metemos archivos dentro para que estén protegidos? No es cuestión de arrastrar a dentro de la carpeta y vía (pero casi, es fácil).

Para añadir nuevos archivos tendrás que pulsar “Decrypt Local Folder“. Allí os llevará a un navegador de archivos, seleccionáis la carpeta a usar e introducís la clave cuando os la pida. Con la carpeta temporalmente desencriptada basta pulsar Upload Files To This Folder para añadir nuevos archivos. Como puedes ver en la foto, está abajo a la derecha:

Añadir Archivos Carpeta Segura Cryptonite
Añadiendo archivos a carpeta encriptada

Cuando hayas acabado de añadirlos basta con pulsar Forget Decryption para que la carpeta vuelva a su estado de encriptado. Y ya ves, así de fácil tienes tus archivos protegidos.

Muchos dirán las babosadas de siempre: “Esto es para paranoicos”, “si alguien necesita tanta privacidad es que algo esconde”… En fin, ya no es hablar de espionaje ni de ese tipo de historias, simplemente piensa que si te roban el teléfono puede que haya algún archivo que lleves encima que no quieras que caiga en manos de otra persona. Incluso si lo usas para trabajar y por lo que sea tienes que llevar ahí documentos de un cliente (te mangan el móvil, se filtran y encima de comprar un teléfono nuevo y seguramente perder al cliente te chupas un multazo por no cumplir la LOPD).

Priyanka (Whatsapp): Evitar infección o eliminarlo.

En fin, esta mañana Priyanka es la palabra de moda. Si estás aquí mucho me temo que ya sabes por qué: el virus de Whatsapp ya está en tu teléfono…

Este malware, no un virus propiamente dicho, en principio (tampoco es que se sepa mucho sobre él) lo único que hace es aprovecharse de un error de programación en la versión para Android de Whatsapp para cambiar el nombre de todos tus contactos por el de Priyanka. Parece que no roba datos y no hace nada más destructivo, sólo eso, que es una tocada de huevos pero poco más.

Su transmisión es simple: desde uno de tus amigos te llegará un nuevo contacto llamado Priyanka. NO LO AGREGUES!!!!! Si lo haces, contagio al canto.

Si ya estás infectado tampoco es tan grave: basta con desinstalar Whatsapp y volverlo a instalar, y todo volverá a la normalidad. En este caso los antivirus de momento no valen para nada, así que sólo el sentido común te protegerá. Por si las mutaciones, ándate con ojo si te envían algún otro contacto con nombre raro, no vaya a ser que aparezca una nueva versión cuando todo el mundo se conozca el nombre de Priyanka.

Edito  para comentar que además de desinstalar y reinstalar Whatsapp me han comentado por facebook otra opción: detener el servicio y borrar los datos.

MirQ: App para preparar el MIR gamificada

Hoy toca una entrada un pelín publicitaria, ya que estoy colaborando en este proyecto como consultor y tester (aunque código no he tocado), pero creo que puede tratarse de un producto interesante para muchos: MirQ, un app gamificada que te ayudará a preparar el examen del MIR.

La aplicación viene de la mano de Questionarity, un joven proyecto gallego, y la idea es que permita a los usuarios preparar el examen del MIR pero siendo a la vez una aplicación divertida, en la que podrás competir con tus amigos.

mirq1Tiene un funcionamiento muy simple e intuitivo, por lo que el jugador desde el primer segundo verá de forma sencilla cómo jugar, sin necesidad de pesados tutoriales. Podréis decir “OK, ya existen otras apps para preparar el MIR”. Desde luego, pero ninguna con el espíritu lúdico y con la cuidada estética de esta.

De momento se trata de una beta con pocas preguntas, pero podéis seguir el proyecto en Twitter para ir enterándoos de las novedades. Podéis descargar la versión beta desde Google Play para vuestro Android (de momento no existe versión para otros sistemas operativos). Poco a poco se añadirán preguntas y modos de juego hasta llegar a la versión definitiva.