Privacidad y seguridad en contextos conservadores: las apps de citas para mujeres de la diversidad sexual – parte 2

 

Encontrarán el texto en portugués al final

 

 

Continuando con la serie de textos sobre aplicaciones de citas para mujeres de diversidad sexual, esta vez mi interés es entender técnicamente si podemos considerar que nuestras interacciones son seguras en las aplicaciones Her y Wapa.

 

Anteriormente, en el primer texto, hablábamos un poco sobre el contexto en el que se utilizan las aplicaciones para citas y las vulnerabilidades y amenazas para las mujeres de la diversidad sexual que viven en países conservadores.

 

Profundizando un poco más, he estado buscando información sobre dónde se almacena la información que ponemos en las aplicaciones, si está protegida con cifrado de extremo a extremo, quién tiene acceso a ella, entre otras cosas. Entendamos si podemos considerar que nuestros intercambios, gustos e información que añadimos a las aplicaciones son seguros.

 

Para entender mejor las políticas y prácticas de seguridad de cada una de las aplicaciones, necesité contactar directamente con ellas por correo electrónico y a través de Twitter (cuando no recibía una respuesta por correo electrónico).

En los sitios web no es posible entender exactamente cómo se almacena nuestra información, ni si hay encriptación de extremo a extremo, mucho menos qué tipo de encriptación se utiliza. Hay un texto extenso en las políticas de privacidad y en los términos de uso, pero como siempre, la información es muy vaga.

 

 

¿Qué es la encriptación de extremo a extremo?

 

El cifrado de extremo a extremo (E2EE) es una función de seguridad que protege los datos durante el intercambio de mensajes, de modo que sólo se puede acceder al contenido desde ambos extremos de la comunicación: el remitente y el destinatario. Actualmente utilizada en aplicaciones como Telegram y WhatsApp, la herramienta es una implementación de encriptación asimétrica y asegura que la información no sea interceptada. Nadie más que las participantes en la conversación debería tener acceso al contenido transmitido a través del cifrado de extremo a extremo, ni siquiera les gestores de las aplicaciones podrían hacerlo.

 

Una nota importante: Telegram no tiene encriptación de extremo a extremo habilitada por defecto, se necesita iniciar una "conversación secreta" para que los mensajes sean cifrados.

 

 

La seguridad en la aplicación Her

 

Comencé mi investigación sobre la aplicación Her, que parecía, al menos en sus canales de divulgación, estar preocupada por cuestiones de privacidad y seguridad. Intenté contactar con 3 direcciones de correo electrónico diferentes; después de casi 2 semanas de espera, recibí un correo electrónico que me decía que enviara mi mensaje a uno de los correos electrónicos al cual ya había escrito antes.

 

Tuve otro intento: contacto a través de Twitter. Nunca recibí una respuesta. En el sitio web hay un correo electrónico específico que dice que a través de él es posible tener información sobre mis datos en la aplicación e incluso en este canal - mydata@weareher.com - existe la posibilidad de denunciar el uso indebido de los datos en la aplicación. Esta fue una de las direcciones que intenté contactar y no recibí respuesta hasta la finalización de este texto.

 

¿Y seguridad en el uso de Wapa?

 

Wapa, que al principio parecía menos preocupada por la seguridad y la privacidad en su comunicación oficial (a través del sitio y otros canales), fue más amigable para hablar directamente sobre estos temas.

Intercambiamos mensajes a través de DM en Twitter y obtuve información que es difícil de encontrar sobre este tipo de aplicación. Lo que he podido saber es lo siguiente:

 

1. No existe un cifrado de extremo a extremo para el sistema de mensajería, es decir, el contenido de los mensajes no se almacena de forma cifrada en los servidores Wapa. De todos modos, el tráfico, la ruta hecha entre la aplicación que está en tu teléfono móvil y la que llega a los servidores Wapa, está encriptado, es decir, utiliza TSL/HTTPS. Esto trata de asegurar que nadie se interponga en el camino.

 

TSL/HTTPS: TLS es un acrónimo que representa Transport Layer Security y certifica la protección de datos. HTTPS es una extensión HTTP segura. Los sitios que configuran un certificado SSL/TLS pueden utilizar el protocolo HTTPS para establecer una comunicación segura con el servidor. El propósito de SSL/TLS es asegurar la transmisión de información sensible como datos personales, de pago o de inicio de sesión.

 

2. La aplicación no almacena copias de seguridad. Esto significa que una vez que se elimine una información/contenido, o incluso una cuenta, esta información también se eliminará de los servidores de Wapa. Muchos servicios todavía tienen datos almacenados en sus servidores incluso después de haberlos borrado de la aplicación.

 

    Existe preocupación e interés en incluir información y consejos de seguridad en el flujo de uso de la aplicación. Por ejemplo, si alguien está pidiendo un número de teléfono en una conversación, antes de que la otra parte envíe esa información, la aplicación muestra un mensaje de alerta.

     

    Hablando de alerta: este tipo de interacción sólo es posible si la aplicación está monitoreando las conversaciones. Esta es la única manera de saber cuando hay una conversación que incluye el intercambio de números que pueden ser identificados como números de teléfono. En este caso, si se implementa el cifrado de extremo a extremo, la aplicación no tendrá forma de saber nada sobre el contenido de los intercambios de mensajes.

     

    En la conversación que mantuve con Wapa también se revelaron algunos planes para mejorar la seguridad, que se implementarán en los próximos meses, como por ejemplo:

    Búsqueda inversa de imágenes con la posibilidad de utilizar un servicio externo para buscar en internet y comprobar si una foto de une usuarie es robada o no y/o comprobación de perfil completo mediante selfie de vídeo, como hacen algunos bancos .

     

    Información insuficiente para evitar riesgos y filtraciones de información sensible

     

    Analizando hasta ahora me parece que las aplicaciones de citas, mientras cumplen su objetivo de unir a las personas, también pueden ponerlas en riesgo al exponer su información.

     

    Esta investigación muestra que las dos aplicaciones analizadas no ofrecen suficiente información sobre su funcionamiento. No existe un contenido claro y fácil de entender en sus sitios web, de modo que las personas que los utilizan puedan saber cómo se maneja su información desde el momento en que instalan la aplicación hasta que comienzan a interactuar con otras personas.

     

    En el caso de Her, el canal oficial de la plataforma para asuntos relacionados con los datos de les usuaries, ni siquiera respondió a las peticiones tras casi dos meses de espera. Wapa, a pesar de responder a los mensajes y tratar de aclarar cómo se utilizan los datos, también presenta problemas en sus prácticas de cuidados digitales.

     

    Como la información que necesitamos no está disponible, el siguiente paso es utilizar algunas herramientas de ingeniería inversa para entender cómo se hacen las conexiones y cómo viajan nuestros datos a través de estas aplicaciones. Y este será el tema del próximo texto de la serie.

     

    Analizando hasta ahora me parece que las aplicaciones de citas, mientras cumplen su objetivo de unir a las personas, también pueden ponerlas en riesgo al exponer su información.

    Foto Movilh, Chile

     

     

    Privacidade e segurança em contextos conservadores: os aplicativos de encontro para mulheres da diversidade sexual – parte 2

     

    Dando continuidade a série de textos sobre os aplicativos de encontros para mulheres da diversidade sexual, desta vez meu interesse está em entender tecnicamente se podemos considerar que as nossas interações estão seguras nas aplicações Her e Wapa.

     

    Anteriormente, no primeiro texto, falamos um pouco sobre o contexto em que as aplicações de encontros são usadas e das vulnerabilidades e ameaças para mulheres da diversidade sexual que vivem em países conversadores.

     

    Indo um pouco mais fundo, estive buscando informações sobre onde estão armazenadas as informações que colocamos nos apps, se estão protegidas com criptografia de ponta a ponta, quem tem acesso a elas, dentre outras preocupações. Vamos entender se podemos considerar que as nossas trocas, gostos e informações que adicionados nos aplicativos estão seguras.

     

    Para entender melhor as políticas e práticas de segurança de cada um dos aplicativo eu precisei entrar em contato com eles diretamente via e-mail e via Twitter (quando não recebia resposta via e-mail).

    Nos sites não é possível entender exatamente como as nossas informações são armazenadas, nem se há criptografia de ponta a ponta, muito menos que tipo de criptografia se utiliza. Há texto extensos nas políticas de privacidade e termos de uso, mas como sempre, as informações são muito vagas.

     

     

    O que é criptografia de ponta a ponta

     

    A criptografia de ponta-a-ponta (end-to-end encryption ou E2EE) é um recurso de segurança que protege os dados durante uma troca de mensagens, de forma que o conteúdo só possa ser acessado pelos dois extremos da comunicação: o remetente e o destinatário. Usada atualmente em aplicativos como o Telegram e o WhatsApp, a ferramenta é uma implementação da criptografia assimétrica e garante que as informações não sejam interceptadas. Ninguém mais além dos envolvidos na conversa deve ter acesso ao conteúdo transmitido por meio da criptografia de ponta-a-ponta, nem mesmo as gestoras dos aplicativos.

     

    Um observação importante: o Telegram não tem a criptografia de ponta-a-ponta ativa por padrão, é preciso iniciar um “chat secreto” para que as mensagens sejam criptografadas.

     

     

    Her

     

    Comecei a minha investigação pelo app Her, que parecia pelo menos em seus canais de divulgação estar preocupado com questões de privacidade e segurança. Tentei contato em 3 endereços de e-mail diferentes; após quase 2 semanas de espera recebi um e-mail que me dizia para enviar a minha mensagem a um dos e-mails que eu já havia tentando antes.

     

    Fui para a outra tentativa: contato via Twitter. Nunca obtive resposta.

     

    No site há um e-mail específico que diz que através dele é possível ter informações sobre os meus dados no aplicativo e, inclusive, neste canal - mydata@weareher.com - há a possibilidade de denunciar uso indevido de dados na aplicação. Este foi um dos endereços que tentei contactar e não obtive resposta até a finalização deste texto.

     

     

    Wapa

     

    O Wapa que a princípio parecia menos preocupado com segurança e privacidade na sua comunicação oficial (através do site e outros canais), se mostrou mais amistoso para conversar sobre essas questões diretamente.

    Trocamos mensagens via DM no Twitter e obtive informações que são difíceis de encontrar sobre este tipo de aplicativo:

     

    1. Não há criptografia de ponta a ponta para o sistema de troca de mensagens, ou seja, o conteúdo as mensagens não fica armazenado de maneira criptografada nos servidores do Wapa. De qualquer maneira, o tráfego, o caminho feito entre o app que está no seu celular e o que chega nos servidores do Wapa, está criptografado, ou seja, utiliza-se TSL/HTTPS. Isso tenta garantir que ninguém se intrometa neste caminho.

     

    TSL/HTTPS: TLS é uma sigla que representa Transport Layer Security e certifica a proteção de dados. O HTTPS é uma extensão segura do HTTP. Os sites que configurarem um certificado SSL/TLS podem utilizar o protocolo HTTPS para estabelecer uma comunicação segura com o servidor. O objetivo do SSL/TLS é tornar segura a transmissão de informações sensíveis como dados pessoais, de pagamento ou de login.

     

     

    1. O aplicativo não guarda cópias de segurança. Isso significa que uma vez que você deleta uma informação/conteúdo, ou mesmo a sua conta, essa informação também é deletada dos servidores de Wapa. Muitos serviços continuam com dados armazenados em seus servidores mesmo depois que deletamos na aplicação.

     

    Há a preocupação e o interesse de incluir informações e dicas de segurança no fluxo de uso do aplicativo. Por exemplo, se alguém está pedindo um número de telefone em uma conversa, antes que a outra parte envie essa informação, o app mostra uma mensagem de alerta.
     

    Por falar em alerta: este tipo de interação só é possível se o aplicativo estiver monitorando as conversas. Só assim é possível saber quando há alguma conversa que inclua troca de números que possam ser identificados como números telefônicos. Neste caso, se for implementada criptografia de ponta-a-ponta o aplicativo não terá como saber nada sobre o conteúdo das trocas de mensagem.

     

    Na conversa que eu tive com o Wapa também foram revelados alguns planos para melhorar a segurança, a serem implementados nos próximos meses, como:

     

    busca reversa de imagens com a capacidade de usar um serviço externo para buscar na internet e verificar se uma foto de uma usuária é roubada ou não y/o verificação de perfil completo usando selfie de vídeo, como fazem alguns bancos.

     

     

    Informações insuficientes

     

    Analisando até aqui me parece que os apps de encontro, embora cumpram seu objetivo de unir pessoas, também podem colocá-las em risco expondo suas informações.

    Esta investigação demonstra que os dois aplicativos analisados oferecem informações insuficientes sobre o seu funcionamento. Não há nos seus sites conteúdo claro e de fácil entendimento para que as pessoas usuárias saibam como as suas informações são manejadas desde o momento em que instalam o aplicativo até quando começam a interagir com outras pessoas.

     

    No caso do Her, o canal oficial da plataforma para assuntos envolvendo os dados das usuárias, sequer respondeu aos pedidos após quase 2 meses de espera. O Wapa, apesar de responder as mensagens e tentar esclarecer como os dados são usados, apresenta também problemas em suas práticas de cuidados digitais.

     

    Como as informações que precisamos não estão disponíveis, o próximo passo é utilizar algumas ferramentas de engenharia reversa para entender como as conexões são feitas e como os nossos dados trafegam por essas aplicações. E este será o tema do próximo texto da série.

     

     

    Analisando até aqui me parece que os apps de encontro, embora cumpram seu objetivo de unir pessoas, também podem colocá-las em risco expondo suas informações.

    Foto Movilh, Chile