Riot.im Vs Telegram

Detalles: Escrito por: : La Redacción; Categoría: Software; Publicado: 25 May 2020; Visitas: 3197

Nuestro administrador ya lo ha dejado muy claro, es por el amor al Software Libre, sin embargo parece que aún hay muchas personas que no están convencidas del todo con este cambio, así que dedicaré este blog a todos ustedes, y de paso, desmentiremos algunos mitos que giran alrededor de Telegram.

Y para hacer esto, someteremos las aplicaciones a un interrogatorio para descubrir cual de las dos es la mejor. Las preguntas serán las siguientes:

¿La aplicación es software libre?
¿Es un servicio centralizado o descentralizado?
¿Puedes crear cuentas anónimas?
¿Puedes verificar tus contactos?
¿Todos los mensajes tienen encriptado de punto a punto?
¿Implementan la propiedad PFS?
¿Cuantos datos necesitan para robarte la cuenta?
¿Tiene una buena jurisdicción?
¿Como hace dinero la aplicación?
¿Cual es la política de metadatos de la aplicación?

Como podrán ver a simple vista la mayoría de las preguntas están centradas en la privacidad y la seguridad, y esto es por una razón muy sencilla: Es la característica más importante que debemos buscar en una aplicación de mensajería.

Seguridad y Privacidad

¿Porque serán esas las preguntas?

Las aplicaciones de mensajería se usan a menudo para compartir información privada, no nos comportamos igual hablando por estas aplicaciones que por un foro publico en Internet, los comentarios de un blog, o el chat en vivo de un streaming. Las aplicaciones de mensajería nos ofrecen una sensación de privacidad, “este mensaje que mando a este chat, se queda en este chat y nadie más lo puede ver”, esto ocurre sea bien, entre dos individuos, un grupo de amigos, o en ocasiones hasta equipos empresariales.

En continentes como Europa el solo hecho de que tus mensajes viajen por la red y sean almacenados en los servidores en texto plano, ya es razón suficiente para una multa multimillonaria debido a leyes de protección de datos como la GDPR, ¿ya comprenden un poco mejor el valor de sus datos?

Además, nuestra identidad en Internet se ha vuelto casi como una segunda vida, y con movimientos recientes como el Cancel Culture, algo tan simple como una filtración de un par de correos electrónicos o un tweet desafortunado que hicimos hace 10 años, es el equivalente a que te metan una bala en la cabeza. Por desgracia hace 8 meses Richard Stallman, líder del movimiento del software libre, fue una de las víctimas del Cancel Culture y debido a tanta polémica renunció voluntariamente a la Free Software Foundation que él mismo fundó, hace 35 años.

Por lo tanto, la capacidad de la aplicación para mantener seguros los datos de sus usuarios es crucial, más que cualquier otra función, interfaz, emojis, o animaciones lindas, así que seamos serios damas y caballeros.

Dicho todo esto.
Ahora presentaremos a nuestras dos aplicaciones.

Telegram

Telegram es el favorito de muchos aquí por ser la aplicación más popular de las dos, con más de 400 millones de usuarios activos a nivel global, y no nos engañemos, es una gran aplicación de mensajería instantánea.

Esta hizo su debut en el año 2013 de la mano de dos hermanos rusos, Nikolai y Pavel Durov, mismos fundadores de la red social rusa VK y que luego serían exiliados de su propio país debido a problemas con el gobierno ruso y sus leyes de privacidad. Actualmente la sede principal de la empresa Telegram FZ-LLC se encuentra en Dubai.

Su aplicación ha recibido gran cantidad de usuarios aprovechándose esencialmente de las polémicas que han envuelto a su infame rival, WhatsApp, su facilidad de uso e interfaz similar a esta aplicación le han facilitado a más de un usuario que se cambie de aplicación, aunque estamos muy lejos de lograr desbancar ese absurdo monopolio.

Telegram se da a conocer a si mismo como una aplicación privada, segura, abierta, y veloz, y ha sido capaz de aplastar a WhatsApp con funciones que fueron muy novedosas en su momento, como los stickers, bots, pagos, grupos de hasta 200.000 integrantes, canales de difusión, mensajes que se guardan en la nube, y muchas cosas más.

Riot.im

Riot es un cliente de mensajería instantánea sumamente poderoso y muy reciente en el mercado, pues salieron de versiones beta hace tan solo 8 meses. Es 7 años menor que su contrincante pero en Junio del 2019 ya habían logrado acumular mas de 10 millones de usuarios a nivel global, y están creciendo como la espuma.

Riot.im es posible gracias al esfuerzo de muchos desarrolladores que se organizan bajo la empresa sin fines de lucro Vector.im, su sede principal esta en Inglaterra.

Pero cuando hablamos de Riot es necesario aclarar que estamos hablando de muchas cosas a la vez, como por ejemplo los servidores Synapse o el protocolo de comunicaciones llamado [matrix] que es desarrollado por la Fundación Matrix, y este de acá es muy importante, atentos, ya que después de todo Riot sólo es uno de los muchos clientes con los que te puedes conectar a esta gran red. Gracias a su gran flexibilidad los límites son cosa del pasado, ¡esto si es verdadera libertad!

Yo escribiré todo este artículo con base en Riot.im por efectos prácticos, pero si estás interesado en los clientes alternativos haz clic aquí.

La forma en que funciona Riot y [matrix] es mediante una red federada que crea salas de conversación, es por este comportamiento que algunos creen que sería más ideal enfrentar a Riot contra aplicaciones colaborativas o comunitarias como Discord, Slack, o Skype, en vez de Telegram. Pero como mencioné anteriormente, Riot no se limita a una sola cosa, y sirve muy bien como aplicación de mensajería 1:1 también. De que se puede hacer, ¡se puede!

Ahora pasemos a las preguntas.

1. ¿La aplicación es software libre?

La comunicación con software libre es por defecto más segura que las de aplicaciones privativas por una razón muy simple: Tú puedes ver lo que la aplicación hace y como lo hace, no te pueden hacer trampa aquí, y por lo general entre más ojos hay sobre el código más difícil es no detectar una puerta trasera o una vulnerabilidad. Y recuerden, la seguridad por oscuridad es una falacia.

Telegram: No todo el código está liberado

Los clientes de Telegram es lo único que está liberado, así como las librerías de bases de datos para crear nuevos clientes. Algunos de estos clientes están bajo licencia GPL 2.0, otros GPL 3.0 y la librería bajo BSL, han de notar que la documentación para ayudarnos a entender mejor como funciona el código de sus clientes es muy escasa o de llano inexistente.

Hablemos un poco del cliente de Android.
Su repositorio oficial es GPL 2.0 y presenta problemas similares a los del núcleo Linux; está lleno de blobs binarios privativos, y esto es porque Telegram está desarrollado con el objetivo de ser compatible con los servicios de Google y hasta los trae integrados por defecto, de más está decir que nada de esto es compatible con el software libre.

Así que un desarrollador se tomó la libertad de crear el repositorio FOSS-Friendly de Telegram, es de aquí donde todos obtenemos la apk en F-Droid (desconozco si los demás clientes de Telegram tienen forks como este). No obstante, esta solución parcial no quita el hecho de que sea un Telegram no oficial, y tiene algunas desventajas, ya que siempre se tardarán entre 2 a 4 semanas en sacar toda la basura privativa y liberar una nueva versión del cliente, por lo tanto no es una solución óptima; perjudica a todos los que defendemos el software libre, nos aleja de las últimas características de la aplicación, y lo peor de todo, nos priva de los parches a los fallos de seguridad que hayan encontrado. Casi se podría decir que esto es discriminación.

Por otro lado, ninguna otra parte de toda la infraestructura de Telegram está liberada, dicen que lo harán eventualmente, pero es una promesa que nos han hecho desde que debutó en el año 2013, 7 años han pasado desde entonces y los bits de código que han liberado son cero. No tenemos nada acerca de sus servidores (sumamente importante, toda nuestra información pasa por ahí), tampoco se ha liberado el código de la API, o el algoritmo de encriptacion MTProto desarrollado por Nikolai Durov, no hay nada. Lo único que nos ofrecen de estos últimos es documentación y servicios que ellos mismos proveen para crear algunos bots, clientes, y aplicaciones, ah, y olvídate de crearlos sin ellos, o los registras en su base de datos o no entras.

Y bueno, pasa que como muchos ven que el cliente es Software Libre y está en F-Droid entonces ya con eso lograron venderte todo el paquete, haciéndote pensar que toda la infraestructura de Telegram es Software Libre, pero no lo es, te han engañado.

¿Saben a quien me recuerdan la gente de Telegram?, a Microsoft tratando de convencernos “que aman a Linux” introduciendolo dentro de Windows 10, ¿de qué sirve que solo una parte sea libre cuando todo el conjunto es spyware?.

Riot.im: Todo el código está liberado

Todos los clientes (incluido Riot), el protocolo de comunicación [matrix], los servidores Synapse, los algoritmos de encriptacion, Bots, SDKs, API, todo, absolutamente todo está liberado bajo la licencia de software libre permisiva Apache 2.0 y están increíblemente bien documentados para que tú mismo puedas poner a correr tu propio servidor o crear un nuevo cliente de mensajería compatible con [matrix] en este mismo instante.* *

Sus aplicaciones tampoco requieren servicios de terceros para funcionar, ni tienen blobs binarios privativos. Aquí no hay secretos de ningún tipo y son completamente transparentes en la forma como funcionan sus programas, los desarrolladores incluso publican blogs semanalmente acerca de los últimos logros y el estado de la aplicación y sus servicios.

Para muchos de nosotros esta ronda ya debería bastar para dejar a Telegram de lado, pero si aún necesitas más motivos, entonces continúa leyendo.

[Telegram: 0 || Riot: 1]

2. ¿Es un servicio centralizado o descentralizado?

La descentralizacion es ley en el Software Libre, nosotros aquí funcionamos como una comunidad y no somos dependientes ni giramos alrededor de nadie, si algún día un proyecto cierra o es descontinuado, una empresa quiebra, o un servidor se cae, eso no te debe preocupar porque solo es cuestión de tiempo para que alguien llegue con nuevo fork, así funciona GNU/Linux y toda su variedad de distribuciones, por ejemplo.

Por otro lado compañías como Google, Facebook, Netflix, Spotify y demás, son ejemplos de centralización, pues concentran todo en un solo punto y de paso se hacen ricos a nuestras expensas, y se pone peor cuando usan tecnologías de DRM, a las cuales RMS se opone completamente. Recuérdenlo, los modelos centralizados NO nos representan a nosotros.

Telegram: Un servicio centralizado

Ya lo vimos antes, nadie puede abrir un nuevo servidor de Telegram porque no han liberado su código, dependemos solo de lo que ellos nos dan.

Y no se confundan, ellos tienen muchos servidores alrededor de todo el mundo, pero no significa necesariamente que tengan un modelo descentralizado, recuerden que ellos son un servicio basado en una nube unificada y eso significa que todos los servidores trabajan de forma conjunta para crear un espacio donde se concentra toda la información de sus usuarios, y si tu quieres usar Telegram obligatoriamente tienes que estar dentro de ese espacio y eso solo se puede llevar a cabo usando sus servidores, por lo tanto concluimos que es centralizado.

Riot.im: Un servicio descentralizado

Gracias al código libre de Synapse cualquiera puede abrir un nuevo servidor, y luego con el código del protocolo de comunicación [matrix] podrá conectarse con otros servidores de la red para empezar a chatear con sus integrantes.

Ni siquiera te limitan a usar un solo cliente, o a los servidores Synapse.
[matrix] puede comunicarse con otros servidores de Internet gracias a sus “puentes” que llevarán tus mensajes de [matrix] a otras aplicaciones de mensajería como Discord, Messenger, WhatsApp, Skype, IRC, Mastodon, Telegram, Email, lo que tu quieras. De modo que podrías organizar todas tus conversaciones en un solo lugar, y todo esto es posible gracias a su modelo de red federado y protocolos de comunicación abiertos.

Usar un servicio descentralizado tiene muchísimas ventajas; no dependes de ninguna empresa, protege la libertad de sus usuarios, garantiza el derecho de libre expresión, lucha contra la censura gubernamental, e impide el rastreo de los usuarios que conforman la red, entre otras cosas más.

[Telegram: 0 || Riot: 2]

3. ¿Puedes crear cuentas anónimas?

Si un servicio de comunicación quiere presumir de privacidad primero debe permitir crear un usuario y usar sus servicios con el menor numero de datos que sea posible, y estos no pueden incluir nada que permita localizarte o rastrearte.

Telegram: No se puede usar sus servicios de forma anónima

La razón es muy simple: Tu número de teléfono, el cual es obligatorio para poder abrir una cuenta aquí.

¡Ya se!, puedes chatear con los demás usando solo tu nombre de usuario. Pero no podemos ignorar el hecho de que piden tu número de teléfono, solo con el Telegram ya sabe de que país eres, cual es tu ISP y puede enlazarte con todos tus contactos que lo tengan guardado en sus teléfonos, ¿esto a ustedes les parece anónimo?, yo creo que no.

Además, Telegram también entorpece el uso de su aplicación cuando te conectas a ella mediante VPN’s, proxies o redes Tor, para hacerlo necesitas configurarla de forma manual. Lo cual de todas maneras es inútil porque tu cuenta ya esta enlazada a tu numero de teléfono en todo momento, por lo tanto Telegram siempre sabrá quien eres.

Riot.im: Sí se pueden usar los servicios de forma anónima

Tú no necesitas numero de teléfono para abrir una nueva cuenta en Riot. ¿Correo electrónico dices?, tampoco, lo único que necesitas es un nombre de usuario, una contraseña y nada más. Luego de haber abierto tu cuenta más adelante puedes colocarlos y solo serán usados para recuperar tu contraseña en caso de que se te haya olvidado, y les recuerdo que es completamente opcional.

Incluso puedes explorar las salas de conversación públicas como un invitado.

Ademas, Riot.im no impide de ninguna manera que lo uses con VPN’s, proxies o redes Tor, ya que tu ubicación, IP o dispositivo desde el cual te conectas para ellos no es relevante, la forma en que verifican una nueva sesión es diferente (ver pregunta 5).

[Telegram: 0 || Riot: 3]

4. ¿Puedes verificar tus contactos?

Una vez mas, un ejemplo: ¿Estás seguro de que la persona detrás del contacto de tu amigo, es tu amigo y no un hacker?, ¿la aplicación informa de alguna manera cuando uno de tus contactos inicia sesión en un nuevo dispositivo?, ¿puedes verificar por otros medios si le estás hablando a la persona correcta?

Telegram: No puedes verificar tus contactos

No podrás encontrar esa opción en ninguna parte de forma convencional.

Lo más cercano que vas a encontrar solamente está en los chats secretos, ahí hay una función que te permite comparar una visualización gráfica de la clave de encriptado que se esta usando en el chat, si tu amigo tiene la misma imagen entonces vuestro chat es seguro.

¿Pero que hay de los chats convencionales?, ¿o en los grupos?, ¿y si el contacto no acepta un chat secreto contigo?

Telegram tampoco informa cuando un contacto ha iniciado sesión en un nuevo dispositivo, y no hay ninguna forma de averiguarlo.

Riot.im: Sí puedes verificar tus contactos

En Riot.im no sólo puedes hacer una verificación con tu amigo en todo momento, la aplicación también te muestra el nombre publico de todos los dispositivos donde este usuario tiene la sesión iniciada (el nombre público puede ser cambiado si quieres más anonimato).

Las sesiones pueden ser verificadas una por una y pueden elegir más de un solo método. Riot.im tiene una opción que impide enviar mensajes a contactos con los que no has hecho el proceso de verificación, para asegurar que ninguna información sea filtrada o robada.

[Telegram: 0 || Riot: 4]

5. ¿Todos los mensajes tienen encriptado de punto a punto?

Como mencioné al principio del artículo, la seguridad y la privacidad de los datos es crucial, y la encriptación es una de las formas más habituales de lograr esto, veamos como es implementada en estas aplicaciones.

Telegram: No todos los mensajes pueden ser encriptados de punto a punto

En Telegram existen dos tipos de mensajes, aquellos que pasan por la nube centralizada de Telegram y otros que solo viajan de un dispositivo a otro.

Los mensajes que pasan por la nube de Telegram son los que están habilitados por defecto para todos los grupos y chats individuales, y tienen muchos inconvenientes, por ejemplo:

· El mensaje solo es encriptado entre Cliente-Servidor/Servidor-Cliente, esto significa que el mensaje sale de tu celular sin cifrar y se encripta solo luego de llegar a sus servidores, y por lo tanto eres vulnerable a ataque de tipo Man-in-the-Middle (nunca uses Telegram en Wi-Fi publicos).

Los mensajes cifrados entre cliente y servidor usan una capa del algoritmo incompleta, esto se decidió así a favor de algunas funciones y facilidades, como por ejemplo que todos los mensajes puedan ser fácilmente accedidos al sincronizar tu cuenta con otros dispositivos. Sacrifican seguridad en pro de la accesibilidad y facilidad de uso.
La clave para desencriptar la información solamente la tiene Telegram, no tú. Se supone que la llave, así como nuestros datos, están divididos en varias partes para evitar que el propietario de un servidor pueda ver la información, pero al fin y al cabo siempre tienen la capacidad de reconstruirla. Solo nos queda confiar en ellos (ver pregunta 8).

Por otro lado, el verdadero encriptado de punto a punto de Telegram esta solamente en los “chats secretos”, aquí estos mensajes solo viajaran de cliente a cliente y nunca por la nube. En este caso, los mensajes son cubiertos con una capa de encriptación completa, o como ellos llaman, “adicional”, del algoritmo MTProto.

Nótese que los grupos no pueden encriptarse de esa manera, y todos los mensajes que has enviado y recibido en los chats secretos se perderán cuando cambies de dispositivo y no podrán ser sincronizados, ya que ese servicio solo es ofrecido con la nube de Telegram.

Riot.im: Todos los mensajes de Riot pueden ser encriptados de punto a punto

Desde el momento en que creas tu cuenta todos tus mensajes serán encriptados por defecto con los algoritmos Olm y Megolm (puede deshabilitarse, aunque no lo recomiendo). Estos algoritmos están basados en el algoritmo de Double Ratched, el cual es recomendado por expertos en ciberseguridad como el mismo Edward Snowden, de hecho, el desaconseja el uso de Telegram.

Riot maneja su encriptación con claves que son generadas cuando inicias una nueva sesión, al hacer esto inmediatamente se te dará la clave para des-encriptar tu historial de chat y deberás guardarla si quieres recuperar todo si inicias sesión en otro dispositivo luego (también puedes optar por establecer una “contraseña de recuperación”, de este modo se realiza una copia de seguridad de tu clave de encriptacion en los servidores, pero nuevamente, ES OPCIONAL).

Esta es la forma que tiene el programa de verificar quien eres, con tu(s) claves.
Y si por alguna razón decides no generar esa clave o la pierdes, tan pronto como cierres sesión perderás tus mensajes. Y cuando vuelvas a iniciar sesión, no sólo no podrás leerlos, si no que también recibirás otro tipo de penalizaciones como no poder enviar mensajes a salas encriptadas, ya que la sesión no esta “verificada” (ver pregunta 4), de este modo los hackers jamas podrán hacerse pasar por ti aún si roban tu cuenta (ver pregunta 7). Así que lo único que tienes que hacer es guardar muy bien tu clave de encriptación.

Nótese que Riot sí puede sincronizar mensajes encriptados entre múltiples dispositivos y los grupos masivos también pueden encriptarse, a diferencia de Telegram.

[Telegram: 0 || Riot: 5]

6. ¿Implementan la propiedad PFS?

Por sus siglas en inglés, “perfect forward secrecy”, o “secreto perfecto hacia adelante”, es la habilidad de un algoritmo criptográfico que asegura que, por ejemplo, si un hacker logra conseguir la clave de encriptacion de tus conversaciones, solo logre ver el historial de esa clave, y no el historial de las claves anteriores. Ergo, la capacidad de un algoritmo de que una clave no desbloquee TODO el historial y este pueda dividirse. Un hacker no podrá ver todas tus conversaciones, a menos que consiga todas y cada una de las claves de encriptación.

Telegram: No implementa el PFS

Aparentemente Telegram siempre apostará por la accesibilidad y la facilidad de uso, y lo único que se interpone entre un hacker y tu historial de conversaciones, es un código de 5 dígitos que puede ser enviado a tu teléfono vía SMS (siempre puedes optar por que se envíe uno).

Telegram desbloqueara TODO automáticamente con ese código de 5 dígitos. Por ende si te robaron el teléfono puedes darte por muerto, y de hecho, hay formas de obtener este código sin tu teléfono.

Riot.im: Sí implementa el PFS

Riot y [matrix] implementaron esto en el año 2016 y es el algoritmo de encriptación llamado Megolm. Ellos nos explican en su blog que esto puede ser activado en la configuración de las salas de conversación. Yo no he encontrado una forma fácil de explicar esto por mi mismo, así que citaré el blog directamente:

“Lo hacemos configurable por habitación. El resultado final es un trinquete completamente nuevo que hemos llamado Megolm, que se incluye en la misma biblioteca de libolm que Olm. La forma en que funciona Megolm es dar a cada remitente en la sala su propio trinquete encriptado (‘sesión saliente’), por lo que cada dispositivo encripta cada mensaje una vez en función de la clave actual dada por su trinquete (y luego avanza el trinquete para generar una nueva clave ) Mientras tanto, el dispositivo comparte el estado de su “sesión de salida” con cualquier otro dispositivo en la sala a través del trinquete Olm normal en un intercambio 1: 1 entre los dispositivos. Los otros dispositivos mantienen una “sesión entrante” para cada uno de los dispositivos que conocen y, por lo tanto, pueden descifrar sus mensajes. Mientras tanto, cuando los nuevos dispositivos se unen a una sala, los remitentes pueden compartir sus sesiones según el gusto del nuevo dispositivo, ya sea dando acceso al historial antiguo o no dependiendo de la configuración de la sala.”

[Telegram: 0 || Riot: 6]

7. ¿Cuantos datos necesitan para robarte la cuenta?

¿Cuantas barreras pone la aplicación para que no puedan hackearte?, ¿cuantos datos solicita para autenticar una sesión?, vamos a verlo.

Telegram: Solamente usa la verificación SMS

El ladrón solo necesita tu numero de teléfono y el código de verificación que se envía a el vía SMS. Así que espero que te hayas acordado de revisar las configuraciones de la aplicación y le hayas puesto una contraseña mínimo, o bien, colocar todas tus conversaciones dentro de chats secretos.

Riot.im: Necesitan mucha información

Para que un hacker en Riot.im pueda ver tu historial de conversaciones necesita mucho más que solo cierto código de 5 dígitos enviado a cierto numero de teléfono, también necesita:

1) El servidor específico donde se guardan las conversaciones. Recordemos que aquí es un modelo descentralizado y tus chats pueden estar en cualquier lugar.

2) Tu nombre de usuario.

3) La contraseña de tu cuenta.

4) Si no la tiene, tendrá que obtener la contraseña de tu correo también o robar tu teléfono. (y solo si tú diste esa información, si no, la única forma que le queda es con un ataque de tipo pishing donde él falsea el sitio web donde inicias sesión, y solo es posible con el cliente web, así que nunca inicies sesión con enlaces enviados por correo electrónico o mensajes).

5) En caso de que logre acceder a tu cuenta;

5.1) A continuación pedirá verificar su sesión, desde una sesión previa.

5.2) Si no puede hacer esto, entonces pedirá la contraseña de desencriptación del historial de chats. (solo si hiciste una copia de seguridad de tu clave de encriptacion en servidores).

5.2) Si no la tiene o la copia de seguridad no existe, entonces el programa le pedirá dicha clave de 59 caracteres aleatorios en bruto.

5.3) Si no la tiene, igual entrará a la cuenta pero no podrá leer ni enviar absolutamente nada, el hacker se irá con las manos vacías.

Y cabe destacar que todo esto son datos que la aplicación te solicita desde que creas una cuenta, no debes jugar con las configuraciones de la aplicación a ver si existen o no. Es evidente que es 100 veces más seguro Riot.im.

[Telegram: 0 || Riot: 7]

8. ¿Tiene una buena jurisdicción?

Jurisdicción en este contexto, hace referencia a el poder de un país para obligar a alguna compañía mediante un decreto a hacer algo. Aquí estamos interesados en la seguridad de los datos, entonces: ¿Estarían los datos de Telegram o [matrix] en riesgo si un país pide verlos por “X” razones?

Telegram: Pueden revelar tus datos

La sede principal de la compañía de Telegram se encuentra en los Emiratos Árabes Unidos, esto la vuelve relativamente segura. En cuanto a sus servidores, estos están repartidos alrededor de todo el mundo, incluidos los que están en las redes de espionaje y acuerdos de alianza estratégica de las inteligencias, UKUSA y ECHELON.

Que Telegram revele sus datos es perfectamente posible, ellos mismos aclaran que si su servicio se ve envuelto en un problema de escala global entonces sí usarán su clave y entregaran los datos que les piden, por lo tanto es UNA POSIBILIDAD, y una vez más, sólo nos queda confiar en ellos porque nosotros no tenemos control sobre las claves de encriptación de nuestros chats.

Pero seamos justos, Telegram protege demasiado bien sus datos, solo veamos el bloqueo de Rusia. El país exigía que toda la información de Internet tenia que pasar y ser registrada por el Gobierno, Telegram se negó a cooperar y en consecuencia fue baneado por completo del país. Así que podría decirse que una filtración de datos esta muy lejos de ocurrir en este servicio, pero es posible, ellos tienen el control, no tú.

Riot.im: No pueden revelar tus datos

Hablar de jurisdicción para Riot.im es muy difícil, la empresa alrededor de la que se organizan, Fundacion Matrix, tiene sede en Reino Unido, y este país es un miembro de la OKUSA, si, pero esto es prácticamente irrelevante debido al modelo descentralizado sobre el cual opera el protocolo [matrix], así como la forma en que se implemento la encriptacion de punto a punto de sus mensajes.

Literalmente ninguna agencia de espionaje en el mundo le puede pedir los datos a Riot o a [matrix] porque simplemente no se los puede dar, es inútil, ellos no tienen acceso a ellos, ¡el único que puede ver la información eres tu porque tu eres el que tiene la clave!, y esos datos permanecerán seguros tanto como tu quieras y los servidores lo sean, y aun si los extraen, jamas podrán descifrarlos sin la llave que SOLO TU controlas.

Pero nuevamente voy a ser justo, y les informare que el servidor publico de [matrix] si tuvo una brecha de seguridad en una ocasión y un hacker había logrado entrar, pero si leen ese blog con cuidado, notaran varias cosas:

Este ataque fue realizado cuando estaban en fase beta.
El software que fue hackeado no tenia ninguna relación con [matrix], era Jekins.
Ninguna conversación que estaba encriptada de punto a punto fue afectada (es imposible sin tu clave), de hecho aparentemente no pudo descargar ningún dato.
Solo el servidor publico que ellos proveen fue afectado.
La Fundación Matrix tomo medidas inmediatamente en el ese asunto y también detallan muy bien todo lo que ocurrió, y lo que no ocurrió.

Ahora también es justo decir que Telegram también ha tenido brechas de seguridad en China y Irán que si están relacionadas con su software, y yo no los veo hablando de eso en ningún lado, ¿donde esta la transparencia?, si no lo dicen los medios de comunicación o lo denuncian sus usuarios nunca nos daríamos cuenta.

[Telegram: 0 || Riot: 8]

9. ¿Como hace dinero la aplicación?

Los modelos de negocios de las aplicaciones define la forma en que esta trabaja y cuida los datos de sus usuarios, si la compañía que sostiene esta aplicación tiene un modelo remotamente cercano a estar basado en la publicidad, entonces te puedo garantizar que todos esos mensajes íntimos que le enviaste a tu novia ya fueron vistos por alguien más y usados para “recomendarte mejor publicidad”. En serio, ¿quien usa WhatsApp aún?.

Telegram: Con el dinero de una red social

La organización de Telegram nos dicen que se sostiene esencialmente de una gran inversión de dinero que hizo el empresario Pavel Durov del dinero que había obtenido de su red social VK (que no es libre). En ese mismo lugar también dicen que cuando ese dinero se agote introducirán pagos dentro de la aplicación para “funciones no esenciales”, y así, poder pagar a sus desarrolladores y mantener sus servidores alrededor del mundo.

Riot.im: Donaciones y servicios

Riot y [matrix] operan como fundaciones sin fines de lucro y obtienen su dinero mediante el soporte de la comunidad vía donaciones por BlockChain, LiberaPay y Patreon, así como patrocinio corporativo y financiamiento mediante subvenciones gubernamentales.* En otras palabras, todo el dinero que obtienen es de forma caritativa, y sera destinado a continuar desarrollando el código y mantener la infraestructura de mensajería. El enriquecimiento tampoco es uno de los objetivos de la fundación.

Aún así, ellos también ofrecen servicios no esenciales (o mas bien facilidades) mediante una compañía denominada modular.im, ellos pueden crear tu propio servidor de [matrix] por ti, junto una serie de bots, widgets y puentes para que otros servicios se conecten a él.

Aún con todo eso, esa empresa no ofrece nada que tu no puedas hacer por ti mismo gracias al código abierto y toda la documentación que hay. En cambio, te puedo asegurar que los servicios que ofrecerá Telegram en el futuro solo podrás usarlos si pagas por ellos, si no lo hacen así, sus servidores se mueren.

[Telegram: 0 || Riot: 9]

10. ¿Cual es la política de metadatos de la aplicación?

En palabras sencillas estamos hablando de las políticas de privacidad; “¿Cuanta información reúne de ti la aplicación?”, las mejores aplicaciones de mensajería siempre serán aquellas que solo reúnen lo mínimo para poder hacer llegar un mensaje de un dispositivo a otro, y nada más. Nada de vender datos, nada de ofrecerte publicidad, y nada de formar convenios con otras empresas, aprendamos de una vez por todas que tus datos son sagrados.

Este punto es algo que yo no puedo explicarles directamente porque sería sumamente irresponsable, así que los invito a leer por ustedes mismos esas políticas de privacidad y definir cual de las dos es mejor, los enlaces están ahí abajo.