 |
| Álvaro Marcos, reponsable de seguridad de Spotbros. |
Álvaro, "Spotbros es un Whatssap más seguro" ¿Es un buen eslogan para darse a conocer o realmente a los usuarios no les importa demasiado la seguridad?
En las primeras apariciones en los medios, que fueron prensa digital, se habló de Spotbros como el "Whatsapp seguro" y similares. Había habido recientemente varias fallos de seguridad de Whatsapp de los que se hablaba bastante, y en ese momento la comparativa en ese sentido era inevitable y también una buena forma de darse a conocer, sí. La seguridad en Spotbros se ha tenido en cuenta desde el primer momento a la hora del diseño y eso se nota. No sabría decir con certeza en qué medida los usuarios valoran la seguridad como un factor diferenciador a la hora de elegir Spotbros como aplicación de mensajería, pero sea como fuere, nosotros siempre hemos tenido claro que no es una opción: ser seguros es una obligación.
La seguridad es solo unos de los aspectos diferenciadores. Spotbros es más que un Whatsapp seguro, porque tenemos muchas otras funcionalidades novedosas como son el shout, los spots, las aplicaciones, incluso un timeline propio.
¿Falta conciencia ciudadana en relación a la importancia de la seguridad?
El concepto de seguridad en los teléfonos inteligentes está cambiando y va a cambiar más a medida que la gente se de cuenta de que cada vez se centraliza más información privada y sensible en ellos. Cuentas de sus redes sociales, fotos personales, conversaciones privadas, canales de compra con tarjeta de crédito... Todo esto en un dispositivo móvil, que es relativamente fácil de perder, de robar, y que cada vez tiene más conectividad con la red .
Es importante que los sistemas operativos y las aplicaciones sean seguras de por sí, pero es fundamental la seguridad activa y el uso correcto por parte de los usuarios. Creo que sí que falta conciencia ciudadana en este aspecto porque se trata de algo nuevo, en los albores de lo que va a ser. La gente se irá concienciando.
¿Cuáles son esas deficiencias de seguridad de Whatsapp?
En primer lugar, y la más evidente, es que no hay una restricción de quién puede escribirte un mensaje privado por Whatsapp ya que es suficiente con tener el número de teléfono de una persona para poder escribirle. En este sentido funciona de manera similar al SMS tradicional pero con la diferencia de que la persona que te escribe no está gastando ni un céntimo. La diferencia en Spotbros es que se basa en relaciones de amistad, por eso para que un usuario pueda mandar un mensaje privado a otro previamente ha tenido que enviar una solicitud de amistad y ser aceptada, o bien que ambos usuarios tengan el teléfono del otro en su agenda en cuyo caso automáticamente son contactos en Spotbros.
Otro fallo muy sonado era la falta de cifrado en la comunicación con el servidor por lo que las conversaciones se enviaban en texto limpio y eran potencialmente visibles para terceros en redes WiFi públicas, pero eso ya lo arreglaron. En Spotbros todas las comunicaciones se cifran con AES256-GCM, un algoritmo de cifrado muy fuerte.
Finalmente el sistema de autentificación de Whatsapp, al no basarse en el binomio nombre de usuario y contraseña, aunque muy cómodo para el usuario, ha demostrado ser un coladero constante. Hasta hace poco era bastante trivial suplantar una cuenta de Whatsapp en un teléfono debido a que los datos para la autentificación eran el número de teléfono, y el IMEI o la dirección MAC de la interfaz WiFi, datos fáciles de obtener desde el propio terminal. Recientemente han hecho algunas mejoras en el sistema de autenticación pero el problema de concepto sigue estando y no me extrañaría que vuelvan a dar que hablar en el mal sentido. En Spotbros el usuario tiene un nombre y una contraseña escogidos por él mismo, y mientras esta información se mantenga en su privacidad, no hay vulnerabilidad posible.
¿Cómo las habéis detectado y cómo las habéis evitado en vuestra plataforma?
Como decía, en Spotbros tuvimos en cuenta todos estos aspectos desde el inicio del diseño. La autentificación basada en usuario y contraseña, el cifrado, las relaciones de amistad, y el borrado de cualquier información en un máximo de 30 días en los servidores, son los pilares de la seguridad en Spotbros.
Se prevé que el malware móvil sea uno de los que más crezca en 2013, sobre todo en Android. ¿Estáis preparados para ello?, ¿cómo?
Creo que nadie está preparado al 100% para eso porque en última instancia vas a depender de la seguridad del sistema que subyace por debajo de ti, en este caso el sistema operativo Android. Aún así la práctica más segura es hacer las cosas basando lo menos posible la seguridad en el sistema subyacente, para ser menos vulnerable, y eso esa es la filosofía que seguimos en Spotbros. Pero es importante entender que al final la seguridad activa y el sentido común en el uso es la mejor medida: no acceder a sitios web sospechosos, no instalar aplicaciones que se reciben por correo electrónico, no ser objeto de hack social... básicamente aplicar lo que ya hemos aprendido en el uso del PC al móvil, porque al final viene a ser lo mismo.
....
Web de Security Guardian: http://www.security-guardian.com/
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian
