Llegamos a ustedes gracias a:



Reportajes y análisis

Tres alternativas cifradas a Slack que vale la pena revisar

[29/01/2019] Puede resultar una sorpresa que Slack, la herramienta de colaboración ubicua que encontró el éxito al poner una GUI elegante sobre IRC, no esté encriptada de extremo a extremo, creando una gran cantidad de datos confidenciales en los servidores de Slack -información vulnerable a hackers, ataques a la ley por parte del gobierno de EE.UU. (piense en PRISM), sin mencionar a los infiltrados maliciosos (como Twitter descubrió de la manera más dura).

Las compañías con oficinas centrales, o incluso empleados, fuera de los Estados Unidos pueden tener un motivo especial de preocupación. Según un documento filtrado de la Oficina del Director de Inteligencia Nacional -Quadrennial Intelligence Review Final Report, 2009- los espías de EE.UU. contemplaron "operaciones cibernéticas" para robar la propiedad intelectual (IP) de los centros de investigación y desarrollo de todo el mundo en los próximos cinco a diez años. Eso fue hace nueve años. Las compañías globales deben considerar la posibilidad real de que los espías estadounidenses utilicen herramientas de vigilancia masiva para robar propiedad intelectual extranjera y compartan esa propiedad intelectual con empresas del estado.

Una violación en Slack de la variedad técnica o legal resultaría catastrófica para muchas organizaciones que dependen del servicio.

¿Por qué no Signal? ¿WhatsApp? ¿O incluso correo electrónico?

Antes de llegar a las alternativas a Slack, puede hacer la pregunta "¿Por qué no usar simplemente los grupos de Signal o WhatsApp, o correo electrónico encriptado con PGP con una larga lista de CC?"

Podemos descartar el correo electrónico encriptado con PGP. Carece de confidencialidad y no es adecuado tanto para la colaboración grupal personal como para la implementación empresarial.

Signal y WhatsApp utilizan el protocolo Signal y ofrecen garantías de confidencialidad similares. Pero, mientras que ambos ofrecen un cliente de escritorio, están optimizados para dispositivos móviles y ninguno es adecuado para la implementación empresarial, donde el cumplimiento de las leyes de retención y eliminación de datos relevantes requiere que el depósito de claves corporativas sea efectivo.

Conozca las alternativas a Slack

Keybase Teams con mensajes de autodestrucción.
Keybase Teams, alternativa Slack

Keybase Teams: Lanzado por primera vez en el 2014 en un intento posterior a Snowden de llevar PGP al público, Keybase ahora ofrece una alternativa de Slack llamada Teams. CSO probó Teams y lo encontró sorprendentemente maduro. La adopción aún tiene que alcanzar una masa crítica, lo que significa que Keybase está ofreciendo a los primeros usuarios lo que suena como un plan "gratuito para siempre". En su blog de lanzamiento, han escrito "Eventualmente queremos encontrar un modo de que las empresas reales paguen, mientras que el uso personal y de la comunidad se mantenga de forma gratuita. Y, por el momento, cualquier uso está garantizado dentro del último grupo".

A pesar de los orígenes de Keybase en la tierra de PGP, los geeks criptográficos estarán encantados de saber que Teams utiliza NaCl under the hood y no PGP. Sin embargo, de forma predeterminada, los mensajes de Keybase Teams no ofrecen confidencialidad perfecta en la comunicación, un compromiso de usabilidad necesario, argumentan los desarrolladores. Teams ofrece una función de mensaje de autodestrucción (completa con el ícono de la bomba Wile E. Coyote) que usa claves efímeras con secretismo en la comunicación.

Para equipos de tamaño pequeño a mediano, Keybase se siente lo suficientemente robusto como para merecer una mirada cercana y ver si es la alternativa de Slack cifrada de extremo a extremo adecuada para las necesidades de su espacio de trabajo colaborativo.

Semaphor de SpiderOak, un reemplazo de Slack.
Semaphor, SpiderOak, alternativa Slack

Semaphor: Presentado por la gente de SpiderOak, que ofrece una alternativa encriptada y de conocimiento cero para DropBox (y hay tantas razones para abandonar DropBox como para abandonar Slack), Semaphor es una alternativa a Slack cifrada de extremo a extremo con una edición empresarial que debería satisfacer a la mayoría de los departamentos de cumplimiento. SpiderOak incluso planea lanzar en el 2019 almacenamiento y colaboración compatibles con NERC-CIP en el sector rigurosamente regulado de la energía.

Una señal de advertencia para nosotros fue que SpiderOak promocionaba que usaban una "blockchain privada", entendida más como un truco de marketing que como una ventaja adicional. Sin embargo, SpiderOak tiene una excelente reputación y su uso dudoso de la palabra "blockchain" se presenta como un intento honesto de lograr un conjunto robusto de herramientas de colaboración cifradas de extremo a extremo.

Semaphor está tratando activamente de monetizar su producto, y su versión de prueba gratuita solo incluye un máximo de cinco usuarios antes de los niveles pagados. Esto la convierte en una opción escasa para organizaciones pequeñas y medianas con poco presupuesto, pero potencialmente una buena opción para usuarios empresariales más grandes que buscan herramientas de colaboración y almacenamiento de conocimiento cero en la nube.

Wickr ofrece mensajes de autodestrucción de tres segundos. ¡Mejor no pestañear!
Wickr, alternativa a Slack

Wickr: Wickr está apuntando al mercado empresarial y es la más exitosa de las tres alternativas a Slack de extremo a extremo que hemos revisado aquí, con una advertencia importante: a diferencia de Semaphor y Keybase Teams, Wickr no es de código abierto, aunque ha publicado su código de criptografía para inspección pública.

La alternativa de Slack también se integra con el proxy de elusión de la censura, Psiphon, útil para los ejecutivos que durante sus viajes desean asegurar una conectividad siempre activa, independientemente de la lista de cafeterías bloqueadas o la inspección profunda de paquetes del Gran Firewall de China.

Wickr ofrece una versión gratuita, pero el enfoque de la compañía es claramente el mercado empresarial, con características fáciles de cumplir que permiten aprovisionar/deprovisionar miles de dispositivos móviles corporativos.

Cuidado con los metadatos

Ninguna solución actual ofrece una protección significativa de metadatos para la colaboración grupal (aunque esté atento a las mixnets en el 2019.) ¿Por qué esto es un problema? Porque a menudo, los metadatos son el mensaje. Por ejemplo, en diciembre del año pasado, Slack sacó de su servicio a todos los usuarios que alguna vez usaron una dirección IP en Irán. Cualquiera de estos servicios podría haber hecho lo mismo.

La elección correcta, en el momento correcto

Las medidas proactivas que ahora se toman para garantizar que todos los espacios de trabajo de la empresa estén encriptados de extremo a extremo es un gran paso hacia adelante para las empresas que buscan evitar una violación importante. Usar y pagar dinero para las alternativas E2EE de Slack ayuda a construir una Internet más segura para todos. En un mundo interconectado donde todo afecta a todos, implementar alternativas seguras de Slack no es solo una gran decisión de seguridad, es una decisión empresarial sólida.