Twitter lanza DM encriptados para usuarios verificados con problemas de seguridad

Después de hablar de ello durante meses, Twitter finalmente ha liberado su primera versión de DM encriptados, pero hay algunas limitaciones. Actualmente, esta función solo está disponible para usuarios verificados (como suscriptores de Blue) o cuentas asociadas con organizaciones verificadas. Además, la función de encriptación no es compatible con los mensajes grupales y Twitter no ofrece protección contra ataques de intermediarios.

Twitter dijo que si bien el cifrado funciona en todas las plataformas, el destinatario debe seguir al remitente para habilitarlo. Alternativamente, el cifrado se puede habilitar si un usuario ya conversó con el remitente o aceptó su solicitud de DM. Si los usuarios son elegibles para un chat encriptado, el remitente tendrá la opción de habilitar el cifrado a través de un interruptor en la nueva pantalla de chat.

Para habilitar el cifrado de una conversación existente, puede tocar el icono de información en la esquina de la pantalla de chat y tocar la opción que dice «Iniciar mensaje cifrado». Las conversaciones encriptadas serán diferentes de las conversaciones normales porque Twitter coloca una insignia de candado en la imagen de perfil del destinatario. En el chat en sí, la empresa mostrará un cartel de «Los mensajes están encriptados» en la parte superior.

La red social lo especifica en su publicación de blog que existen varias limitaciones para esta implementación. A nivel conversacional, Twitter solo admite el cifrado de mensajes individuales con texto y enlaces. Twitter dijo que los medios actualmente no son compatibles con conversaciones cifradas.

Además, las personas no pueden usar un nuevo dispositivo para unirse a una conversación cifrada existente. Por lo tanto, debe usar el mismo dispositivo con el que inició una conversación cifrada o iniciar una nueva conversación cuando obtenga un nuevo dispositivo. Los usuarios solo pueden usar 10 dispositivos en total para usar la función de encriptación, y no hay forma de cancelar el registro de un dispositivo para dejar espacio para uno nuevo.

En particular, Twitter trata la reinstalación de la aplicación como el registro de un nuevo dispositivo. Twitter no ofrece una opción de copia de seguridad de clave, lo que significa que todos sus mensajes cifrados en este dispositivo se borrarán si cierra sesión en la cuenta.

Pero la parte complicada es que Twitter no elimina las claves privadas del dispositivo al cerrar la sesión, solo los mensajes. Los usuarios podrán recuperar conversaciones existentes si se vuelven a conectar desde el mismo dispositivo. La compañía advirtió que los usuarios no deberían usar la función de encriptación en dispositivos compartidos debido a esta limitación. Esto podría cambiar cuando Twitter comience a ofrecer una opción para guardar la clave.

También hay muchas dudas sobre la oferta de seguridad de la característica. No está claro qué estándar criptográfico usa Twitter para esta característica. La compañía acaba de decir que está implementando «una combinación de poderosos esquemas criptográficos» en su entrada de blog hablar de la función de cifrado.

Twitter dijo que su función de cifrado tampoco ofrece protección de la privacidad, por lo que un atacante puede acceder a todas las conversaciones pasadas de un usuario si tiene acceso a un dispositivo comprometido. La compañía dijo que decidió no implementar esta función para permitir a los usuarios acceder a sus DM sin cifrar en cualquier dispositivo.

Actualmente, Twitter no ofrece la funcionalidad de verificación de firma o verificación de mensajes. Por lo tanto, los dispositivos por sí mismos no pueden verificar la autenticidad del mensaje y los usuarios no pueden usar métodos como comparar cadenas de dígitos para verificar la protección del cifrado.

Esto hace que el sistema sea vulnerable a los ataques de intermediarios. Esto significa que un atacante puede leer sus mensajes si la seguridad se ve comprometida. Twitter también insinuó que puede entregar esta conversación a las autoridades para emprender acciones legales debido a fallas de diseño actuales.

“Como resultado, si alguien, por ejemplo, un infiltrado malicioso o el propio Twitter siguiendo un proceso legal obligatorio, pusiera en peligro una conversación cifrada, ni el remitente ni el destinatario lo sabrían”, dijo la compañía. Twitter quiere agregar controles de firma y números de seguridad para que estos ataques o solicitudes ya no sean posibles.

Después de hacerse cargo de la compañía, Elon Musk expresó su deseo de «superar a Signal» con mensajes directos de Twitter. Sin embargo, con el conjunto actual de limitaciones, no ofrece el mismo nivel de protección que Signal u otras aplicaciones. Tanto Signal como WhatsApp ofrecen cifrado de extremo a extremo para todo tipo de conversaciones. Además, Signal no guarda ningún metadato sobre contactos o mensajes.

«Como dijo Elon Musk, cuando se trata de mensajes directos, el estándar debería ser que si alguien nos apunta con un arma a la cabeza, aún no podemos acceder a sus mensajes. No somos uno de ellos. Seguimos ahí, pero estamos». trabajando en ello”, dijo la compañía.