Entrada

Publicado
Por TheCodic
3 min de lectura

Jack Dorsey, co-fundador y director ejecutivo de Twitter Inc. y Square Inc., escucha durante la conferencia Bitcoin 2021 en Miami, Florida, U.S., el viernes 4 de junio de 2021.

Créditos de la imagen: Eva Marie Uzcategui/Bloomberg / Getty Images

El domingo, el CEO de Block y cofundador de Twitter, Jack Dorsey, lanzó una aplicación de chat de código abierto llamada Bitchat, prometiendo ofrecer “mensajes seguros” y “privados” sin una infraestructura centralizada.

La aplicación depende de Bluetooth y cifrado de extremo a extremo, a diferencia de las aplicaciones de mensajería tradicionales que dependen de Internet. Al ser descentralizada, Bitchat tiene potencial para ser una aplicación segura en entornos de alto riesgo donde Internet es monitoreado o inaccesible. Según el documento técnico de Dorsey que detalla los protocolos y mecanismos de privacidad de la aplicación, el diseño del sistema de Bitchat “prioriza” la seguridad.

Sin embargo, las afirmaciones de que la aplicación es segura ya están siendo cuestionadas por investigadores de seguridad, dado que la aplicación y su código no han sido revisados ni probados para detectar problemas de seguridad en absoluto, según Dorsey.

Desde su lanzamiento, Dorsey agregó una advertencia a la página de GitHub de Bitchat: “Este software no ha recibido revisión de seguridad externa y puede contener vulnerabilidades y no necesariamente cumplir con sus objetivos de seguridad declarados. No lo utilice para uso de producción y no confíe en su seguridad hasta que haya sido revisado.”

Esta advertencia ahora también aparece en la página principal del proyecto de GitHub de Bitchat, pero no estaba presente cuando se lanzó la aplicación.

Hasta el miércoles, Dorsey agregó: “En progreso,” junto a la advertencia en GitHub.

Esta última advertencia llegó después de que el investigador de seguridad Alex Rodocea encontrara que es posible que alguien se haga pasar por otra persona y engañe a los contactos de esa persona para que crean que están hablando con el contacto legítimo, como explicó en un post de blog.

Rodocea escribió que Bitchat tiene un “sistema de autenticación/verificación de identidad roto” que permite a un atacante interceptar la “clave de identidad” y el “par de identidades” de alguien, es decir, un apretón de manos digital que supuestamente establece una conexión confiable entre dos personas que utilizan la aplicación. Bitchat llama a estos “contactos favoritos” y los marca con un icono de estrella. El objetivo de esta función es permitir que dos usuarios de Bitchat interactúen sabiendo que están hablando con la misma persona con la que hablaron antes.

Dorsey no respondió a la solicitud de comentarios de TechCrunch enviada a su correo electrónico de Block.

Una captura de pantalla mostrando un ejemplo de chat donde un atacante se hizo pasar por “Bob” en una conversación con “Alice”, lo que Bitchat hizo parecer que realmente venía de Bob. (Imagen: Alex Rodocea)

El lunes, Rodocea presentó un ticket en el proyecto de GitHub para preguntar cómo reportar el fallo de seguridad que descubrió en el sistema de Favoritos de Bitchat. Poco después, Dorsey lo marcó como “completado”, sin comentario. (Dorsey reabrió el ticket el miércoles, diciendo que los problemas de seguridad pueden reportarse publicando directamente en GitHub.)

Otra persona reportó preocupaciones con las afirmaciones de Dorsey de que Bitchat tiene “secreción hacia adelante”, una técnica criptográfica que asegura que incluso si un atacante roba o compromete una clave de cifrado, ese atacante aún no puede descifrar los mensajes enviados anteriormente.

Alguien también señaló un posible problema de desbordamiento de búfer, que es un tipo común de vulnerabilidad de seguridad en la que un hacker puede forzar a un dispositivo a derramar su memoria en otras ubicaciones, abriendo la puerta a una comprometida de datos.

Rodocea advirtió a los usuarios de Bitchat que no confíen en la aplicación aún.

“La seguridad es una gran característica para viralizarse. Pero una verificación básica, como si las claves de identidad realmente hacen alguna criptografía, sería una cosa muy obvia de probar cuando se construye algo así,” dijo Rodocea a TechCrunch. “Hay personas ahí fuera que podrían tomar el mensaje sobre seguridad literalmente y podrían confiar en él para su seguridad, por lo que el proyecto en su estado actual podría ponerlos en peligro.”

Haciendo referencia a sus y otras personas hallazgos, Rodocea criticó la advertencia de Dorsey de que Bitchat no ha sido probada para seguridad.

“Yo diría que ha recibido revisión de seguridad externa y no está saliendo bien,” dijo.

Esta entrada está licenciada bajo CC BY 4.0 por el autor.

© TheCodic. Algunos derechos reservados.

Hecho con ❤ por Josue Navarro