Hoy estaba repasando sobre los sistemas de autenticación y pensé que seria curioso revisar los que he experimentado, resaltando sus virtudes y desventajas.
Sistemas de autenticación
Los sistemas de autenticación son la forma en la que tienen los servicios de validar al usuario. El sistema de autenticación mas común es el de usuario y contraseña, una combinación que permite saber al servidor que eres quien dices ser. Aunque es un sistema practico, es relativamente vulnerable a los ataques de fuerza bruta, asi que diferentes plataformas han implementado variaciones que permiten asegurarse de que el cliente use sus servicios sin preocupaciones
Hoy solo voy a repasar la forma en la que algunas plataformas de mensajería que he usado, utilizan la autenticación y otras herramientas de seguridad que poseen.
Esta popular plataforma de mensajería tiene un sistema de autenticación basado en el numero real telefónico y no tiene mas formas de crear nuevos usuarios sin tener un nuevo numero.
No estoy seguro si este sistema apareció cuando no había tantos usuarios de la red telefónica, pero me he encontrado con la particularidad de que es posible apropiarse de una cuenta de Whatsapp con solo comprar un chip totalmente nuevo, debido a que los números se reciclan.
El reciclado de números es algo que he comprobado en la operadora Movistar, pero imagino que sera algo que ocurrirá en otras operadoras. La ventaja es que aunque ahora poseo la cuenta de alguien mas, Whatsapp no muestra ni los contactos ni los mensajes debido a su extraña tendencia a no almacenar los chats en la nube. Si bien es un punto pues no me apropio de la vida del anterior usuario, el problema es que los contactos del mismo aun me tendrían en su lista de contactos, por lo que tarde o temprano empezaran a intentar contactarme, siendo el caso de que incluso han llamado para intentar cobrarme deudas peligrosas.
repasemos entonces sus métodos de autenticación y control de dispositivos
- Autenticación: Número telefónico
- Control de identidad: Número telefónico. quien lo tenga, asumirá esta identidad ante todos sus contactos.
- Control de dispositivos: Whatsapp solo puede usarse en un dispositivo y en una sola sesión web. intentar cambiar de dispositivo produce la desconexión del anterior y pasa lo mismo con la versión web. Una actualización reciente ya permite tener dos sesiones abiertas, pero aun no he probado como funciona.
Telegram
Esta es mi plataforma favorita de mensajería y cuenta con muchas ventajas y riesgos en comparación con su competidor principal, Whatsapp, pero al igual que el, depende de un numero real para poder utilizar una cuenta. Esto significa que también es posible apropiarse de una cuenta de Telegram con solo comprar un chip nuevo, pero debido a que no es tan popular como el primero, la probabilidad de encontrar un numero reciclado asociado con una cuenta de Telegram, es mas baja que encontrarla de Whatsapp.
Unos problemas que si he detectado en Telegram, es que debido a la libertad de clientes que tiene, es posible tener intentos de accesos de desconocidos, pero esto ocurre mas en caso de tener el numero telefónico publico. aun así, los ataques con números telefónicos generados también son posibles como en Whatsapp, pero es menos probable recibirlos por lo mismo que antes. su escasa aceptación.
Otro problema de seguridad que he visto, es que algunos ataques pueden, si bien no acceder a la cuenta, desatar una alerta de seguridad que provoca el bloqueo total de la cuenta. Esto puede ser terrible para el usuario y mas porque Telegram no tiene una buena plataforma de soporte.
No se si esto le servirá a alguien o si alguien que lo necesite lo leerá, pero comparto una lista de correos oficiales que fueron compartidos en el canal de @tecsharenews
- sms@telegram.org Problemas con el inicio de sesión
- dmca@telegram.org Problemas con la disponibilidad del canal o reclamos de derecho de autor
- abuse@telegram.org Denunciar contenido
- sticker@telegram.org Denunciar stickers
- stopCA@telegram.org Reportar abuso infantil
- recover@telegram.org Recuperar cuenta
- suport@telegram.org Soporte general
- security@telegram.org Problemas de seguridad
También tienen un formulario de soporte general:
bueno, detalles de Telegram:
- Autenticación: Número telefónico
- Control de identidad: Número telefónico. quien lo tenga, asumirá esta identidad ante todos sus contactos.
- Control de dispositivos: Telegram puede autenticarse en una gran variedad de dispositivos. Incluso en smartwatch con WearOS o en teléfonos con KaiOS y clientes web. Cada sesión iniciada valida, tiene la opción de desvincular a otros dispositivos, pero claro, con la política de seguridad de al menos tener un día desde que se inicio la sesión con ese dispositivo.
Facebook Messenger
Actualmente no lo uso. Facebook y todo lo que haya engendrado, me terminaron cayendo mal, aunque en principio no fue su culpa sino por la monstruosa comunidad toxica que tiene, pero luego si fue su culpa porque promueve esos comportamientos para producir trafico y adicción. Cosas que ya están documentadas y que incluso se encuentran en juicio, pero bueno. Dado que es una plataforma de mensajería que he usado, haré un repaso de ella también.
Messenger es un apéndice raro de Facebook. a veces es una app independiente y a veces es exclusivo de Facebook, pero esencialmente es una app de mensajería.
Cuenta por extensión con una monstruosa cantidad de ajustes de privacidad y seguridad de facebook, por lo que repasar la seguridad de una es repasarla de otra, asi que no le doy mas vueltas.
- Autenticación: Correo electrónico y Número telefónico.
- Control de identidad: Correo electrónico y numero telefónico. El empeño de facebook de mantener a los usuarios menos expertos y desmemoriados hacia que sea posible incluso iniciar sesión sin recordar bien la contraseña.
- Control de dispositivos: El sistema de autenticación es igual de monstruoso que las horribles configuraciones de seguridad y privacidad, así que, aunque en principio, basta con usuario y contraseña para iniciar sesión, es necesario utilizar la autenticación en dos pasos o el autenticador de facebook. se puede usar la validación por correo electrónico o por sms o incluso solo aceptar en las notificaciones de un dispositivo previamente validad. Es posible ademas, expulsar otros dispositivos desde uno previamente validado, pero no estoy seguro de si hay políticas como las de Telegram para controlar el abuso.
Facebook, la pesadilla de todo técnico informático
Discord
Aunque ya no uso esta plataforma, admito que es muy potente y versátil. Su único problema, son sus usuarios XD
Esta plataforma de mensajería no depende de ninguna red social, pero podría considerarse como tal gracias a la integración de los servidores con temas. La inmensa y abrumadora cantidad de ajustes permite controlar muchas cosas y su ecosistema de bots facilita los procesos de administración. Aun así, muchas de sus comunidades están muertas por alguna razón.
- Autenticación: Correo electrónico
- Control de identidad: Correo electrónico. No hay mas formas de iniciar sesión o crear una cuenta en esta plataforma que esa.
- Control de dispositivos: Discord solo posee un cliente oficial, pero permite iniciar sesión desde cualquier dispositivo mediante un código QR o los tradicionales usuario y contraseña. De la misma forma, es posible finalizar la sesión de cualquier dispositivo desde uno previamente validado.
XMPP
A partir de aquí voy entrando en un terreno mas experimental pues, para mi mala suerte, las plataformas sociales necesitan de gente para explotar todo su potencial.
XMPP se supone el padre de muchas de las plataformas de mensajerías actuales.
Siendo adoptado y posteriormente aniquilado por Facebook, Google, Whatsapp y muchos otros por una clásica estrategia de EEE, cuenta con bastantes clientes y unos cuantos servidores para que los que aun lo conozcan, puedan utilizarlo… La cosa es que no he tenido mucho éxito encontrándolos.
XMPP recibió un golpe muy fuerte, por lo que ha tardado bastante en crecer y modernizarse. Aun es una plataforma muy segura, pero no es muy amigable con los usuarios menos diestros. Cuenta con el mismo problema que el Fediverso (el cual algunas plataformas como Mastodon solucionaron con la centralización de los registros) de que es necesario localizar un servidor con registros abiertos y activo para poder tener una cuenta. Durante mi búsqueda, encontré algunos, pero la mayoría había cerrado sus registros hace algo de tiempo. El que encontré y me registré fue SUChat.org
Todavía tengo que explorar mas su funcionamiento, pero parece que el requisito de seguridad de XMPP es que haya una comunicación P2P entre el cliente y el servidor y el servidor, aparte de servir de transporte, no almacena nada. Esto fue un shock enorme cuando me di cuenta de que aunque hay muchos clientes, cuando inicio en uno nuevo, no puedo ver los chats guardados porque solo existen en el dispositivo donde fueron recibidos. Imagino que WhatsAPP, al ser un engendro de XMPP heredó esta politica de seguridad y por eso al cambiar de dispositivo, se comienza de cero a menos que se tenga un respaldo previo.
- Autenticación: Nombre de usuario (depende del servidor, puede ser un correo, un nombre de usuario, un numero telefónico, etc)
- Control de identidad: Usuario. Algunos servidores pueden asociar un usuario a un correo, pero al menos en SUChat, es opcional.
- Control de dispositivos: No hay. Puedes iniciar sesión en cualquier dispositivo y cliente, pero los mensajes solo llegan al dispositivo que este conectado en ese momento y reciba ese mensaje. No es posible desvincular a otros dispositivos conectados y la variedad de clientes y servidores hace que a veces sea un caos utilizar ciertas funciones.
Matrix
Este servicio de mensajería se convirtió en mi nuevo favorito, e incluso me puse mi propio server. Si bien no he habilitado los registros de nuevos usuarios (porque soy pobre y no he logrado ganar ni un centavito para pagar los gastos de mi server) se pueden unir a mi sala publica Drk0027
Aunque lo conocí como una alternativa a Telegram y que incluso tiene bots, la verdad es que es una plataforma algo compleja. Parece tener una comunidad mas viva, siendo que es posible encontrar muchas salas publicas y muchos servers, aunque de nuevo, no encuentro muchos grupos activos, ni en ingles ni en español.
No fueron pocas las veces que me tope con el, pero fue una publicación en Mastodon, en el server de tkz.one de @trankten@tkz.one que me hizo querer probarlo. Aunque como ya tenia una cuenta en vivaldi y en friendica, pues pensé en montar un server propio y probar sus características.
Es posible que debido a que mi instancia de WordPress esta federada con activityPub, que escribir su usuario aquí termine notificándole, así que… ¡Hey!, hola. gran trabajo, ¡sigan así!
Por cierto, creo que ya no existe el servicio de cuentas Matrix para los usuarios de ese server según este post. Luego busco a ver si me entero del chisme.
- Autenticación: Nombre de usuario (depende del servidor, puede ser un correo, un nombre de usuario, un numero telefónico, etc)
- Control de identidad: Usuario. Se puede vincular a un correo electrónico
- Control de dispositivos: Una vez que inicies sesión con un dispositivo, puedes ir autorizando nuevos dispositivos con este. Esto no significa que no puedas iniciar sesión y usar sin autorizar, esto es solo para poder leer los chats privados, que suelen estar encriptados hasta que realizas el proceso de autorización.
Conclusiones
Los sistemas de autenticación pueden ser vulnerados de diversas formas, pero lo que mas me sorprendió es que se pueda usurpar la identidad de alguien con solo comprar un chip totalmente nuevo. No se como reaccionaria Telegram a ese caso pues, puede darse el caso de que inicien sesión con el chip nuevo y tener la sesión abierta, por lo que puede haber una puja entre quien saca de la sesión a quien, con clara ventaja del que tiene el chip presencialmente, pero realmente no se si llamarle “preocupación menor” pues si pierdes tu numero y es reciclado, es que probablemente no te importaba ese numero ni las cuentas asociadas a el.
Fuera de eso, el control de identidad es una cosa que me dejó pensando. El chip telefónico es el certificado de que tu eres tu, por lo que se asume que si puedes demostrarlo, eres el propietario de tal cuenta, pero en el caso de cuentas que ni siquiera están asociadas a un correo, la cosa cambia y bastante.
Plataformas mas grandes tienen servidores de identidad SSO, como WordPress, pero es algo que tengo que estudiar todavía.
Descubre más desde Interlan
Suscríbete y recibe las últimas entradas en tu correo electrónico.
