X, anteriormente conocido como Twitter, ha comenzado a implementar su nueva función de mensajería encriptada llamada “Chat” o “XChat.” Esta herramienta promete asegurar que los mensajes intercambiados solo puedan ser leídos por el remitente y el destinatario, lo que significa que, en teoría, ni siquiera la misma empresa podría acceder a ellos. Sin embargo, varios expertos en criptografía han expresado serias reservas sobre la fiabilidad de esta implementación.
Las críticas se centran en que el sistema de encriptación de XChat es significativamente inferior al de Signal, una plataforma reconocida como líder en mensajería encriptada. Un aspecto preocupante es el proceso de creación de un PIN de cuatro dígitos que los usuarios deben establecer para proteger su clave privada, que, a diferencia de Signal, se almacena en los servidores de X y no en el dispositivo del usuario.
El investigador de seguridad Matthew Garrett ha señalado que, si X no utiliza Módulos de Seguridad de Hardware (HSM) para almacenar las claves, esto podría permitir a la empresa manipularlas y potencialmente descifrar mensajes. A pesar de que un ingeniero de X aseguró que se implementan HSM, no se ha proporcionado evidencia que respalde esta afirmación. Garrett se refiere a esta situación como “territorio de confianza ciega,” ya que los usuarios deben confiar en las declaraciones de la empresa sin pruebas tangibles.
Además, X reconoce en la página de soporte de XChat que la implementación actual podría permitir que un “insider malicioso” o incluso la misma empresa comprometan las conversaciones encriptadas. Esto se relaciona con un ataque conocido como “adversario en el medio” (AITM), lo que hace que la propuesta de encriptación de mensajes pierda gran parte de su sentido.
Los expertos también subrayan la falta de código abierto en la implementación de XChat, a diferencia de lo que ofrece Signal, que documenta abiertamente su tecnología. X ha indicado que planea hacer su implementación accesible a través de un documento técnico en el futuro, pero actualmente los usuarios no tienen acceso al código que podría brindarles mayor confianza.
Otro punto crítico es que XChat no ofrece “Perfección de Secreto Adelantado”, un mecanismo que asegura que cada nuevo mensaje se encripte con una clave diferente, evitando que un atacante que obtenga una clave privada pueda descifrar mensajes anteriores. Esta limitación también ha sido admitida por la misma empresa.
A raíz de todas estas preocupaciones, expertos como Matthew Green, profesor de criptografía, han recomendado no confiar en XChat hasta que reciba una auditoría completa por parte de un organismo reputado. Dado que XChat se encuentra aún en su etapa inicial, junto a los mensajes directos tradicionales, muchos sugieren que, hasta que no se realicen pruebas exhaustivas y se implemente una mayor transparencia, esta opción de mensajería podría no ser más segura que sus contrapartes no encriptadas.
Por ahora, X no ha respondido a las solicitudes de información sobre estas inquietudes destacadas.
Gracias por leer Columna Digital, puedes seguirnos en Facebook, Twitter, Instagram o visitar nuestra página oficial. No olvides comentar sobre este articulo directamente en la parte inferior de esta página, tu comentario es muy importante para nuestra área de redacción y nuestros lectores.
