Una sorprendente cantidad de datos móviles aún recorre Internet sin estar cifrados, y una nueva aplicación gratuita se encuentra diseñada para mostrar a los usuarios cuáles no se encuentran protegidos.
El programa, llamado Datapp, proviene del Cyber Forensics Research and Education Group (UNHcFREG) de la Universidad de New Haven, que el año pasado demostró que las populares aplicaciones para Android Instagram, Grindr y OkCupid no pudieron almacenar o transmitir datos de forma segura.
La reacción a ese estudio impulsó al grupo a crear una aplicación en donde las personas pueden evaluar por sí mismas qué aplicaciones no cifran los datos, y qué exactamente se encuentra expuesto, sostuvo Ibrahim Baggili, director de UNHcFREG.
Hay muchas herramientas de seguridad que pueden recolectar el tráfico inalámbrico de datos, pero usualmente se encuentran diseñadas para personas con algún conocimiento técnico. Datapp es básicamente un sniffer (sabueso) del tráfico, junto con la herramienta de análisis de tráfico Wireshark, pero mucho más simple. «Pensemos en ella como un Wireshark pero con un punto de acceso para dummies”, sostuvo Baggili.
Datapp hasta el momento es compatible solo con computadoras que corren Windows 7 u 8. Convierte a una computadora en un punto de acceso inalámbrico con el cual cualquier teléfono móvil puede conectarse.
Luego puede mostrar el tráfico no cifrado y reconstruir, por ejemplo, los mensajes o imágenes que son enviadas. Por ejemplo, Facebook no cifra el contenido enviado usando su Messenger, por ello Baggili afirmó que un usuario podría ver un selfie que él o ella haya enviado usando el servicio.
Datapp también registra si la conexión es sólo http o https, es decir, que la conexión esté cifrada. También muestra un mapa donde aparecen los puntos de inicio y fin de las comunicaciones del dispositivo.
Las aplicaciones que no usan cifrado son vulnerables al snooping. Por ejemplo, los datos enviados por un hotspotde Wi-Fi podrían ser recolectados por alguien cercano. Grupos como la Electronic Frontier Foundation y compañías como Google han hecho grandes esfuerzos públicos para animar a los desarrolladores a usar el cifrado para evitar el espionaje o cibercrimen.
El paso al https ha sido más lento para algunas compañías que corren grandes infraestructuras, ya que puede requerir un significativo trabajo de desarrollo.
