Sin duda Signal: https://signal.org/ es una aplicación de mensajería, algo particular, empezando porque es la solución de chat promovida por Edward Snowden: https://es.wikipedia.org/wiki/Edward_Snowden, y continuando porque su mayor diferencia respecto a otras soluciones similares, es el hincapié que hacen respecto a la seguridad y privacidad de las conversaciones de sus usuarios, nada que ver por ejemplo a la finalidad del archiconocido Whatsapp de Facebook.
Hace ya casi un año que hablamos por aquí de Signal: https://ciberseguridadtotal.com/mensajeria-segura-con-signal/, y desde entonces ha seguido evolucionando, añadiendo nuevas funcionalidades y creciendo hasta los casi 40 millones de usuarios activos que tiene hoy en día (nada comparable no obstante, a los 1600 millones de Whatsapp, o los 500 millones de telegram), pero con un gran pico en países como Venezuela, Ucrania, Nigeria, Rusia… https://thenextweb.com/news/signal-and-telegram-are-growing-rapidly-in-countries-with-corruption-problems, así que si los que quieren anonimato usan Signal, es probable que sea porque funciona.
En todo caso, hoy no voy a hablar de las bondades de Signal, sino de cómo últimamente no dejan de participar en diversos fregados, cuanto menos dignos de mención:
El hackeo a Cellebrite:
Empezamos con el más personal, y es que al estilo de Liam Neeson en Venganza, Signal ha dado un buen golpe de efecto con el hackeo a Cellebrite, nos ponemos en contexto:
Cellebrite es una empresa de seguridad israelí, muy conocida por su herramienta de extracción de datos de smartphone bloqueados: Cellebrite Physical Analyzer. Alcanzaron mucha fama con el ataque terrorista de San Bernardino en 2015 en EEUU, de modo muy resumido, el FBI exigió a Apple el desbloqueo del iPhone 5c de uno de los terroristas, así como la implantación de una puerta trasera en iOS para veces futuras. Apple, con el apoyo de otras grandes tecnológicas se negó: https://www.apple.com/customer-letter/, aludiendo a derechos democráticos básicos. Y a partir de ahí, no sin polémica, el FBI logró finalmente acceso al iPhone gracias a la mencionada herramienta de Cellebrite, y al pago de casi 1 millón de dólares por el trabajo.
Tras este preámbulo, llegamos al origen del conflicto entre ambas compañías, recientemente Cellebrite aseguró haber conseguido extraer la información de la aplicación de mensajería Signal en un smartphone bloqueado, lo cual es un hito teniendo en cuenta el celo de esta aplicación con el tema de privacidad y seguridad. También anunció la inclusión de esta funcionalidad en su famosa herramienta de extracción: https://www.cellebrite.com/en/cellebrites-new-solution-for-decrypting-the-signal-app/.
El caso es que Signal desmintió que esto hubiera podido ser así, y además algunos expertos de seguridad apuntaron a que probablemente Cellebrite simplemente accedió a los datos de Signal por el mero hecho de haber conseguido desbloquear el dispositivo, lo cual no es un hackeo de la aplicación en sí. Sea como fuere, algo raro pasó, porque Cellebrite eliminó de la entrada anterior de su blog detalles técnicos de su hazaña, dejando el texto mucho más abierto.
Todo el tinglado anterior, dio pie a la venganza de Signal, que de algún modo se ha hecho con esta herramienta de Cellebrite (ésta sólo se la suministra a determinados gobiernos y entidades de modo muy exclusivo: FBI, Rusia, China, Venezuela…), y la ha hackeado con técnicas de ingeniería inversa. A grandes rasgos, han conseguido crear ficheros con la herramienta en el smartphone, e infectar el dispositivo una vez trata de extraer los datos..
Los detalles del hackeo están publicados en: https://signal.org/blog/cellebrite-vulnerabilities/, y abren un problema mayor, delincuentes encarcelados, cuyas condenas se apoyaron en esta herramienta de Cellebrite, ahora en duda. Por lo pronto, algunos abogados están empezando a solicitar nuevos juicios, y es probable que esto no haya hecho más que empezar.
El troleo a Facebook con anuncios publicitarios
Signal ha sido siempre muy crítica con Facebook, dueña también de Instagram y Whatsapp, y el uso que hace de nuestros datos privados en estas plataformas. En realidad razón no les falta, tanto por el modelo de negocio de las empresas de Mark Zuckerberg, como por los escándalos que ha tenido a lo largo del tiempo, entre los que quizá el más destacado es Cambridge Analytica: https://es.wikipedia.org/wiki/Cambridge_Analytica.
Con objeto de tratar de concienciar sobre ello, en un lenguaje claro y directo, Signal ha querido poner a prueba lo que estas plataformas saben sobre nosotros, y han creado campañas publicitarias de este estilo:
«Estás viendo este anuncio porque eres un instructor de pilates recién casado al que le gustan los dibujos animados. Este anuncio usó tu ubicación para saber que estás en La Jolla. Te gustan los blogs de paternidad y estás pensando en adopción LGTBQ.»
“Recibiste este anuncio porque eres auditor de cuentas público, en una relación abierta. Este anuncio usó su localización para saber que te encuentras en el sur de Atlanta. Te gusta mantener cuidada la piel, y has apoyado a Cardi B desde el primer día.”
“Recibiste este anuncio porque eres un bajista gótico y estás soltero. Este anuncio usó su localización para saber que te encuentras en Clinton Hill. Además, eres vegano o intolerante a la lactosa, y realmente te estás interesando por el yoga últimamente”
Los detalles y textos originales se encuentran en: https://signal.org/blog/the-instagram-ads-you-will-never-see/, las campañas se realizaron en las propias plataformas, a partir de lo saben de nosotros, aunque a la hora de publicarlas, Facebook detectó el troleo, y no sólo evitó que salieran a la luz, sino que eliminó la cuenta utilizada por Signal con objeto de no dejar ni rastro. En realidad, no deja de ser paradójico una propia censura de lo que sus campañas publicitarias son capaces de hacer.
