Después de hablar de ello durante meses, Twitter finalmente ha liberado su primera versión de DM encriptados, pero hay algunas limitaciones. Actualmente, esta función solo está disponible para usuarios verificados (como suscriptores de Blue) o cuentas asociadas con organizaciones verificadas. Además, la función de encriptación no es compatible con los mensajes grupales y Twitter no ofrece protección contra ataques de intermediarios.
Twitter dijo que si bien el cifrado funciona en todas las plataformas, el destinatario debe seguir al remitente para habilitarlo. Alternativamente, el cifrado se puede habilitar si un usuario ha chateado con el remitente anteriormente o ha aceptado su solicitud de DM. Si los usuarios son elegibles para una conversación cifrada, el remitente tendrá la opción de activar el cifrado a través de un interruptor en la nueva pantalla de chat.
Créditos de imagen: Gorjeo
Para activar el cifrado de una conversación existente, puede tocar el icono de información en la esquina de la pantalla de conversación y tocar la opción que dice “Iniciar un mensaje cifrado”. Las conversaciones encriptadas se verán diferentes a las conversaciones normales, ya que Twitter coloca una insignia de candado en la imagen de perfil del destinatario. En la conversación en sí, la empresa mostrará un banner de “Los mensajes están encriptados” en la parte superior.
Créditos de imagen: Gorjeo
La red social lo deja claro en su publicación de blog que existen varias limitaciones para esta implementación. En el nivel de conversación, Twitter solo admite el cifrado de mensajes uno a uno con texto y enlaces. Twitter dijo que los medios actualmente no son compatibles con conversaciones cifradas.
Además, las personas no pueden usar un nuevo dispositivo para unirse a una conversación cifrada existente. Por lo tanto, debe usar el mismo dispositivo con el que inició una conversación cifrada o iniciar una nueva conversación cuando obtenga un nuevo dispositivo. Los usuarios solo pueden usar 10 dispositivos en total para usar la función de encriptación, y no hay forma de cancelar el registro de un dispositivo para dejar espacio para uno nuevo.
En particular, Twitter considera reinstalar la aplicación como registrar un nuevo dispositivo. Twitter no ofrece una opción de copia de seguridad de clave, lo que significa que todos sus mensajes cifrados en ese dispositivo se borrarán si cierra sesión en la cuenta.
Pero la parte compleja es que Twitter no elimina las claves privadas del dispositivo al cerrar la sesión, solo los mensajes. Los usuarios podrán recuperar conversaciones existentes si inician sesión nuevamente desde el mismo dispositivo. La compañía advirtió que las personas no deberían usar la función de encriptación en dispositivos compartidos debido a esta limitación. Esto podría cambiar cuando Twitter comience a ofrecer una opción de copia de seguridad clave.
También hay muchas dudas sobre la oferta de seguridad de la función. No está claro qué estándar criptográfico está usando Twitter para esta función. La compañía acaba de decir que está implementando “una combinación de fuertes esquemas criptográficos” en su entrada de blog hablando de la función de cifrado.
*Implementado correctamente* Mensajes cifrados de extremo a extremo = bueno.
Pero implementación confiable y segura = difícil.
Hacer rodar tu propia criptografía = receta para los problemas.
La transparencia es clave.
Muchas preguntas: ¿Twitter hizo lo suyo? ¿Es este el protocolo de otra persona? ¿Ha sido auditado? pic.twitter.com/kqUTpL038v
— John Scott-Railton (@jsrailton) 10 de mayo de 2023
Twitter dijo que su función de cifrado tampoco ofrece protección de confidencialidad directa, por lo que un atacante puede acceder a todas las conversaciones pasadas de un usuario si obtiene acceso a un dispositivo comprometido. La compañía dijo que decidió no implementar esta función para permitir que los usuarios accedan a sus DM sin cifrar en cualquier dispositivo.
Por el momento, Twitter no ofrece controles de firma ni funciones de verificación de mensajes. Por lo tanto, los dispositivos por sí mismos no pueden verificar la autenticidad del mensaje y las personas no pueden usar métodos como comparar cadenas de números para verificar la protección del cifrado.
Esto hace que el sistema sea vulnerable a los ataques de intermediarios. Eso significa que un atacante puede leer sus mensajes si la seguridad se ve comprometida. Twitter también insinuó que podría entregar esta conversación a las autoridades como parte de un proceso legal debido a las fallas de diseño actuales.
“Como resultado, si alguien, por ejemplo, un infiltrado malintencionado o el propio Twitter como resultado de un proceso legal obligatorio, pusiera en peligro una conversación cifrada, ni el remitente ni el receptor lo sabrían”, dijo la compañía. Twitter quiere agregar controles de firma y números de seguridad para que estos ataques o solicitudes ya no sean posibles.
Después de hacerse cargo de la compañía, Elon Musk ha expresado su deseo de “superar a Signal” con mensajes directos de Twitter. Sin embargo, con el conjunto actual de limitaciones, no ofrece el mismo nivel de protección que ofrecen Signal u otras aplicaciones. Tanto Signal como WhatsApp ofrecen cifrado de extremo a extremo para todo tipo de conversaciones. Además, Signal no registra ningún metadato sobre contactos o mensajes.
“Como dijo Elon Musk, cuando se trata de mensajes directos, el estándar debería ser, si alguien nos pone una pistola en la cabeza, aún no podemos acceder a sus mensajes. Todavía no hemos llegado allí, pero estamos trabajando en ello”, dijo la compañía.