Después de hablar de ello durante meses, Twitter finalmente liberado su primera versión de mensajes directos cifrados, pero existen algunas limitaciones. Actualmente, esta función solo está disponible para usuarios verificados (como suscriptores de Blue) o cuentas asociadas con organizaciones verificadas. Además, la función de cifrado no es compatible con mensajes grupales y Twitter no ofrece protección contra ataques de intermediario.
Twitter dijo que si bien el cifrado funciona en todas las plataformas, el destinatario debe seguir al remitente para habilitarlo. Alternativamente, el cifrado se puede habilitar si un usuario ha conversado anteriormente con el remitente o ha aceptado su solicitud de DM. Si los usuarios son elegibles para una conversación cifrada, el remitente tendrá la opción de activar el cifrado mediante un interruptor en la nueva pantalla de chat.
Para activar el cifrado de una conversación existente, puede tocar el ícono de información en la esquina de la pantalla de la conversación y tocar la opción que dice «Iniciar un mensaje cifrado». Las conversaciones cifradas se verán diferentes a las conversaciones normales, ya que Twitter coloca una insignia de bloqueo en la foto de perfil del destinatario. En la conversación en sí, la empresa mostrará un banner que dice «Los mensajes están cifrados» en la parte superior.
La red social lo deja claro en su publicación de blog que existen varias limitaciones para esta implementación. En el nivel conversacional, Twitter sólo admite el cifrado de mensajes uno a uno con texto y enlaces. Twitter dijo que actualmente los medios no son compatibles con conversaciones cifradas.
Además, las personas no pueden usar un dispositivo nuevo para unirse a una conversación cifrada existente. Por lo tanto, debe usar el mismo dispositivo con el que inició una conversación cifrada o iniciar una nueva conversación cuando obtenga un nuevo dispositivo. Los usuarios sólo pueden utilizar 10 dispositivos en total para utilizar la función de cifrado y no hay forma de cancelar el registro de un dispositivo para dejar espacio para uno nuevo.
En particular, Twitter considera reinstalar la aplicación como registrar un nuevo dispositivo. Twitter no ofrece una opción de copia de seguridad de claves, lo que significa que todos sus mensajes cifrados en ese dispositivo se borrarán si cierra sesión en la cuenta.
Pero la parte compleja es que Twitter no elimina las claves privadas del dispositivo al cerrar sesión, sólo los mensajes. Los usuarios podrán recuperar conversaciones existentes si inician sesión nuevamente desde el mismo dispositivo. La compañía advirtió que las personas no deberían usar la función de cifrado en dispositivos compartidos debido a esta limitación. Esto podría cambiar cuando Twitter comience a ofrecer una opción de copia de seguridad clave.
También hay muchas dudas sobre la oferta de seguridad de la función. No está claro qué estándar criptográfico utiliza Twitter para esta función. La compañía acaba de decir que está implementando «una combinación de esquemas criptográficos sólidos». en su entrada de blog hablando de la función de cifrado.
Twitter dijo que su función de cifrado tampoco ofrece protección de secreto directo, por lo que un atacante puede acceder a todas las conversaciones pasadas de un usuario si obtiene acceso a un dispositivo comprometido. La compañía dijo que decidió no implementar esta función para permitir a los usuarios acceder a sus mensajes directos sin cifrar en cualquier dispositivo.
Por el momento, Twitter no ofrece comprobaciones de firmas ni funciones de verificación de mensajes. Por lo tanto, los dispositivos por sí mismos no pueden verificar la autenticidad del mensaje y las personas no pueden usar métodos como comparar cadenas numéricas para verificar la protección de cifrado.
Esto hace que el sistema sea vulnerable a ataques de intermediario. Eso significa que un atacante puede leer sus mensajes si la seguridad se ve comprometida. Twitter también insinuó que podría entregar esta conversación a las autoridades como parte de un proceso legal debido a los defectos de diseño actuales.
«Como resultado, si alguien (por ejemplo, un insider malintencionado o el propio Twitter como resultado de un proceso legal obligatorio) comprometiera una conversación cifrada, ni el remitente ni el receptor lo sabrían», dijo la compañía. Twitter quiere añadir comprobaciones de firmas y números de seguridad para que estos ataques o solicitudes ya no sean posibles.
Después de hacerse cargo de la empresa, Elon Musk ha expresado su deseo de “superponer Signal” con mensajes directos en Twitter. Sin embargo, con el conjunto actual de limitaciones, no ofrece el mismo nivel de protección que ofrecen Signal u otras aplicaciones. Tanto Signal como WhatsApp ofrecen cifrado de extremo a extremo para todo tipo de conversaciones. Además, Signal no registra ningún metadato sobre contactos o mensajes.
“Como dijo Elon Musk, cuando se trata de mensajes directos, el estándar debería ser que si alguien nos pone un arma en la cabeza, todavía no podremos acceder a sus mensajes. Aún no hemos llegado a ese punto, pero estamos trabajando en ello”, dijo la compañía.
Pcenter.es – #Twitter #lanza #cifrados #para #usuarios #verificados #con #inconvenientes #seguridad
Síguenos en YouTube: @PCenterES