Es hora de ampliar la encriptación en Android y iPhone. Con gobiernos  de todo el mundo  empeñados en constantes ataques a los derechos digitales de los usuarios y a su acceso a Internet, eliminar objetivos evidentes y potencialmente peligrosos de las espaldas de las personas cuando utilizan sus teléfonos móviles es más importante que nunca.

Hasta ahora hemos visto avances para, al menos, mantener la privacidad de los mensajes en los dispositivos móviles con aplicaciones cifradas de extremo a extremo como Signal, WhatsApp e iMessage. El cifrado en la web ha sido ampliamente adoptado. Incluso declaramos en 2021 que "HTTPS está realmente en todas partes". La mayor parte del tráfico web está cifrado y, para que un sitio web tenga una presencia acreditada en los navegadores, tiene que cumplir ciertos requisitos que los principales navegadores imponen hoy en día. Mecanismos como la transparencia de los certificados, las reglas de uso compartido de recursos entre orígenes (CORS) y la aplicación de HTTPS ayudan a evitar las actividades maliciosas que se producen a diario entre los usuarios.

Sin embargo, el móvil siempre ha sido un contexto diferente y en constante expansión. En los dispositivos móviles se accede a Internet a través de algo más que el navegador web. Las aplicaciones móviles tienen más espacio para generar solicitudes de red en la aplicación sin que el usuario sepa nunca dónde y cuándo se ha enviado una solicitud. No hay una "barra de URL" para que el usuario vea y compruebe la URL de la solicitud de red. En algunos casos, se sabe que las aplicaciones "ruedan sus propios" procesos criptográficos fuera de las prácticas de encriptación no estándar.

Aunque hay mucho que debatir sobre los problemas de privacidad de TikTok y otras aplicaciones de redes sociales, por ahora, centrémonos en el cifrado. En 2020, el investigador de seguridad Baptiste Robert descubrió que TikTok utilizaba su propia "encriptación personalizada" denominada "ttEncrypt". Investigaciones posteriores demostraron que era un algoritmo de cifrado débil en comparación con el simple uso de HTTPS. Finalmente, TikTok sustituyó ttEncrypt por HTTPS, pero este es un ejemplo de una de las muchas prácticas permitidas que las aplicaciones móviles pueden llevar a cabo sin demasiada regulación, transparencia o control por parte del usuario.

Android ha hecho algunos avances para proteger el tráfico de los usuarios en las aplicaciones, como permitirte establecer DNS privados. Sin embargo, los desarrolladores de aplicaciones Android todavía pueden establecer una bandera para utilizar solicitudes de texto claro/sin cifrar. Los propietarios de Android deberían poder bloquear las solicitudes de aplicaciones que incurran en esta práctica. Aunque los ajustes de seguridad pueden ser difíciles de configurar por los propios usuarios debido a la falta de comprensión, sería un ajuste valioso de proporcionar. Sobre todo, porque actualmente se bombardea a los usuarios en sus dispositivos para que activen funciones que ni siquiera pidieron o querían. Esta bandera no puede capturar todo el tráfico de texto claro debido a la cantidad de acceso a la red "por debajo" de HTTPS en la pila de red que las aplicaciones pueden controlar. Sin embargo, sería un buen primer paso para muchas aplicaciones que siguen utilizando peticiones HTTP/sin cifrar.

En cuanto a iOS, Apple introdujo una función llamada iCloud Private Relay. En sus palabras, "La Retransmisión Privada de iCloud está diseñado para proteger tu privacidad, garantizando que cuando navegas por la web en Safari, ningún tercero -ni siquiera Apple- pueda ver quién eres y qué sitios estás visitando". Esto ayuda a proteger tu dirección IP de los sitios web que estás visitando. Es una alternativa útil para las personas que utilizan VPN para enmascarar la IP. En varios países que practican la censura en Internet y la vigilancia digital, utilizar una VPN puede posiblemente  ponerte en el punto de mira. Es más pertinente que nunca poder navegar de forma privada en tus dispositivos sin hacer saltar las alarmas. Pero el Traspaso Privado está detrás de una suscripción a iCloud+ y solamente está disponible en Safari. Sería mejor hacerlo gratuito y ampliar el Relevo Privado a más partes de iOS, especialmente a las aplicaciones.

Hay matices por los que el Traspaso Privado no es como una VPN tradicional. El "primer salto" expone la dirección IP a Apple y a tu proveedor de servicios de Internet. Sin embargo, los nombres de los sitios web solicitados no pueden ser vistos por ninguna de las partes. Apple es imprecisa con sus detalles sobre el "segundo salto", afirmando: "El segundo salto de Internet está operado por socios externos que son algunas de las mayores redes de distribución de contenidos (CDN) del mundo". Se confirma que Cloudflare es la tercera parte, y su explicación va más allá al exponer que los estándares utilizados para la retransmisión privada son TLS 1.3, QUIC y MASQUE.

La combinación de protocolos utilizada en el Traspaso Privado podría utilizarse en Android utilizando la aplicación 1.1.1.1 de Cloudflare. Que sería lo más "parecido" desde un punto de vista técnico para Android, y se aplicaría globalmente en lugar de sólo en el navegador. Un resultado más favorable sería utilizar esta tecnología en el móvil de una forma que no utilice solamente una empresa para distribuir el cifrado moderno. El ajuste DNS Privado de Android permite varias opciones de proveedores, pero eso solamente cubre la parte DNS cifrada de la solicitud.

Las VPN son otra herramienta que puede utilizarse para enmascarar una dirección IP y eludir la censura, especialmente en los casos en que alguien desconfía de su Proveedor de Servicios de Internet (ISP). Pero utilizar las VPN con este único fin debería empezar a quedar obsoleto con los modernos protocolos de encriptación que pueden desplegarse para proteger al usuario. Unas mejores prácticas de encriptación en las plataformas móviles reducirían la necesidad de que la gente acudiera en masa a aplicaciones VPN potencialmente nefastas que ponen al usuario en peligro. Android acaba de anunciar un nuevo programa de distintivos que intenta abordar este problema, haciendo que las VPN se adhieran a las directrices de seguridad de Play Store y a la validación Mobile Application Security Assessment (MASA) Level 2. Aunque se toma nota de este intento, cuando se aplica la censura masiva, es posible que los usuarios no siempre acudan a la VPN más reputada o ni siquiera puedan acceder a VPN reputadas porque Google y Apple cumplen con las retiradas de la tienda de aplicaciones. Así que es esencial ampliar la encriptación fuera del uso de VPN. Bloquear las solicitudes de texto claro por parte de las aplicaciones, permitir a los usuarios restringir el acceso a la red de una aplicación, y ampliar el Retransmisor Privado de Apple serían pasos en la dirección correcta.

Hay muchas otras fugas de privacidad en las que pueden incurrir las aplicaciones y que exponen lo que estás haciendo. En el caso de aplicaciones que actúen mal, ya sea implementando su propia criptografía no verificada o utilizando HTTP, los usuarios deberían poder bloquear el acceso a la red de esas aplicaciones. Que el problema de la privacidad móvil sea complejo no significa que la complejidad deba detener el potencial. Podemos tener un Internet más privado en nuestros teléfonos. "Cifrar todas las cosas" incluye los dispositivos que más utilizamos para acceder a la red y comunicarnos entre nosotros cada día.

Related Issues

Mobile devices
Encrypting the Web
Security Education

Related Updates

The logo for Rayhunter. Image is of a purple orca who was taken a bite of cell phone signal bars.
Deeplinks Blog by Cooper Quintin | September 10, 2025

Rayhunter: lo que hemos encontrado hasta ahora

Rayhunter es un programa que se ejecuta en diversos puntos de acceso móviles y detecta simuladores de estaciones base, una herramienta que utiliza la policía para localizar o identificar los teléfonos móviles de las personas, también conocidos como IMSI catchers o Stingrays. Este proyecto es una prueba del poder y...
Deeplinks Blog by Karen Gullo | August 26, 2022

TechCrunch Launches Lookup Tool to Help Android Users Know if Their Device Was Compromised by a Family of Stalkerware Apps

The scourge of stalkerware—malicious apps used by perpetrators of domestic violence to secretly spy on their victims—is not going unchallenged or unaddressed.Antivirus makers are increasingly adding stalkerware to the list of apps their products detect on devices; victim support groups help people figure out whether their devices are...