Jack Dorsey afirma que su nueva aplicación Bitchat, considerada 'segura', no ha sido sometida a pruebas de seguridad.
Dorsey reconoció que su nueva aplicación de mensajería no había sido revisada ni probada en cuanto a problemas de seguridad antes de su lanzamiento.
El domingo, Jack Dorsey, CEO de Block y cofundador de Twitter, presentó Bitchat, una aplicación de mensajería de código abierto que promete ofrecer comunicación “segura” y “privada” sin depender de una infraestructura centralizada. A diferencia de las aplicaciones de mensajería convencionales que utilizan internet, Bitchat se apoya en conexión Bluetooth y cifrado de extremo a extremo. Su diseño descentralizado le otorga un potencial especial para funcionar en entornos de alto riesgo donde el acceso a Internet es limitado o está bajo supervisión.
Según el documento técnico publicado por Dorsey, que explica los protocolos y mecanismos de privacidad de la app, el diseño del sistema prioriza la seguridad. Sin embargo, las afirmaciones sobre la seguridad de la aplicación han comenzado a ser cuestionadas por investigadores en seguridad, quienes señalaron que la aplicación y su código no han sido revisados ni probados por problemas de seguridad, algo que Dorsey ha admitido. Desde su lanzamiento, se añadió un aviso en la página de GitHub de Bitchat que indica que el software no ha recibido revisión de seguridad externa y podría contener vulnerabilidades, advirtiendo a los usuarios sobre el uso del mismo.
Recientemente, se registró que es posible suplantar a otro usuario en la aplicación, engañando a los contactos de una persona haciéndoles creer que están hablando con el contacto legítimo. Este problema se deriva de un sistema de autenticación/validación de identidad roto, que permite a un atacante interceptar la “clave de identidad” de un usuario y el par de “peer id”, esencialmente un apretón de manos digital que debería establecer una conexión confiable.
Dorsey no ha respondido a la solicitud de comentarios sobre este asunto. Tras las preocupaciones manifestadas, un usuario decidió reportar el fallo de seguridad que había encontrado y Dorsey marcó la inquietud como "completada" sin ofrecer más detalles, aunque posteriormente reabrió el incidente en GitHub, sugiriendo que los problemas de seguridad pueden ser reportados directamente en la plataforma.
Otro punto de controversia aborda las afirmaciones de que Bitchat posee "secreto de reenvío", una técnica criptográfica que asegura que incluso si un atacante obtiene una clave de cifrado, no puede descifrar mensajes enviados previamente. También se mencionó un posible error de desbordamiento de búfer, una vulnerabilidad común donde un hacker puede manipular la memoria de un dispositivo para comprometer datos.
En resumen, Dorsey y su equipo enfrentan crecientes críticas y advertencias de expertos en seguridad sobre la fiabilidad y la efectividad de Bitchat, incluso sugiriendo que, en su estado actual, la aplicación podría poner en riesgo a sus usuarios.