Revisión de Threema

seguridad10

Threema es una aplicación de mensajería móvil cifrada de extremo a extremo (E2E). A diferencia de muchas otras aplicaciones seguras, esta no requiere que ingrese una dirección de correo electrónico o un número de teléfono para crear una cuenta. Esto le permite utilizar el servicio con un nivel muy alto de anonimato, lo que lo convierte quizás en el mensajero más privado de todos.

¿Qué puedes hacer con este servicio anónimo? ¿Mensajes de texto y de voz? Por supuesto. ¿Llamadas de voz y video? No hay problema. ¿Transferencias de archivos? Sí, esos también. Y todo esto se hace de un extremo a otro encriptado para una excelente seguridad.

Además, Threema va más allá de muchos otros servicios al minimizar su huella en los servidores que enrutan el tráfico. Lo hacen almacenando contactos y mensajes en el dispositivo de cada usuario, en lugar de en el servidor. Asimismo, sus claves públicas residen en dispositivos en lugar de en los servidores centrales. Incluso si alguien tuviera acceso de alguna manera a todos los datos en los servidores, sería de poca utilidad para ellos.

Threema cumple con GDPR y ofrece una gama de versiones optimizadas para varios casos de uso.

En esta revisión, cubriremos los pros y los contras del servicio, junto con sus características y capacidades. Cuando terminemos, debe tener una buena idea de si este es un servicio en el que desea invertir algo de tiempo (y una pequeña cantidad de dinero).

Pros y contras de Threema

Aquí hay un resumen rápido de los pros y los contras que encontramos al revisar este servicio.

+ Pros

  • Cifrado de extremo a extremo (E2E)
  • Algoritmos de cifrado: NaCl (biblioteca criptográfica de código abierto)
  • No se necesita un número de teléfono ni una dirección de correo electrónico; sin cuenta de usuario central
  • Mensajes de texto y de voz; llamadas de voz y video; grupos y listas de distribución
  • Aplicaciones móviles más chat de escritorio seguro basado en navegador
  • Compartición de archivos
  • Encuesta grupal
  • Transición completa a código abierto
  • No registra direcciones IP ni metadatos
  • Posee todos sus propios servidores
  • Cumple con GDPR

– Contras

  • Número relativamente pequeño de usuarios
  • No es compatible con 2FA ( autenticación de dos factores )
  • Sin prueba gratuita

Ahora examinaremos las características clave de Threema Messenger.

Resumen de funciones de Threema

Estas son las características que querrá considerar al evaluar Threema:

  • Cifrado E2E con uso totalmente anónimo para una gran seguridad y privacidad
  • Se completó la transición al código abierto
  • Clientes para Android, iOS y los principales navegadores web
  • Versiones especializadas para varios casos de uso

Información de la empresa Threema

Threema es un producto de Threema GmbH, una pequeña empresa con sede en Suiza. El equipo lanzó su primera versión del producto en diciembre de 2012 y fundó formalmente la empresa en 2014. Lanzaron Threema.Work (una versión diseñada para uso organizacional) en 2016 y versiones adicionales desde entonces.

¿Dónde se almacenan sus datos de Threema?

En la mayor medida posible, los datos se almacenan solo en los dispositivos relevantes . La cantidad mínima de metadatos necesaria para mover los mensajes a sus destinos adecuados se almacena en los servidores de Threema solo el tiempo que sea necesario para hacer su trabajo.

Los servidores de la empresa están ubicados físicamente en dos centros de datos de Zurich, Suiza, de un socio de colocación certificado por “ISO 27001”. Están protegidos por sistemas de seguridad que incluyen control de acceso biométrico, videovigilancia, sistemas de energía de emergencia, protección contra incendios y más.

Threema Safe

Almacenar todos sus datos en su dispositivo local es muy seguro … a menos que pierda el acceso a su dispositivo. Aquí es donde Threema Safe entra en escena. Es un sistema independiente de la plataforma para hacer una copia de seguridad de forma anónima y segura de su ID de Threema único (más sobre esto más adelante), cualquiera de sus contactos que sincronizó opcionalmente, sus grupos y otros bits de datos (puede ver la lista completa aquí ) .

Bien, ¿dónde guarda Threema Safe las cosas? Eso depende de usted. De forma predeterminada, almacenará los datos en los servidores de la empresa. Sin embargo, puede configurarlo para almacenar estos datos en cualquier servidor que elija.

Pruebas y auditorías de terceros de Threema

Threema se audita periódicamente. Esta prueba de terceros realizada por expertos en seguridad independientes cubre todos los aspectos de la seguridad del servicio. En el momento de esta revisión en enero de 2021, Cure53 realizó la auditoría más reciente en 2020. ¿Qué tenían que decir los auditores?

Cure53 debe subrayar que la impresión general de la calidad del código y la estructura general del proyecto solo puede describirse como inusualmente sólida.

Puede ver la publicación del blog relacionada con esta auditoría aquí y el informe completo aquí .

Pruebas prácticas

Hicimos nuestras pruebas prácticas instalando la aplicación en dos teléfonos Android . También probamos el cliente web , que debe estar conectado a una instancia de la aplicación móvil.

Descargamos las aplicaciones de la tienda Google Play y pagamos la tarifa de $ 2.99 (más impuestos cuando corresponda) por cada teléfono.

Instalación y configuración de la aplicación de Android

La instalación de Threema desde la tienda Google Play no requirió ningún procedimiento especial. Cuando inicie la aplicación por primera vez, deberá crear su ID de Threema. Para ello, mueva el dedo al azar en un área designada de la pantalla del dispositivo. Esto genera la identificación, además de ayudar a crear un par de claves asimétricas único que la aplicación utilizará para cifrar / descifrar sus mensajes.

Una copia de su clave pública se almacena automáticamente en los servidores de Threema. Las personas que se comuniquen contigo lo usarán para cifrar los mensajes que te envíen. Su clave privada permanece en su dispositivo en todo momento y nadie, ni siquiera Threema, puede verla. Debido a esto, nadie más puede leer sus mensajes a menos que de alguna manera tenga acceso a su dispositivo.

Debe realizar el proceso de mover los dedos para crear su identificación y debe crear un nombre de usuario y contraseña para iniciar sesión en la aplicación. Las otras configuraciones (ingresar una dirección de correo electrónico o un número de teléfono, dar acceso a la aplicación a sus contactos) son opcionales. A menos que tenga una razón sólida para hacerlo, le sugerimos que omita estas opciones y utilice el servicio de forma anónima, con solo su identificación aleatoria para que el resto del mundo la vea.

Trabajar con la aplicación de Android

Si alguna vez usó Whatsapp o aplicaciones de mensajería similares, ya sabe cómo usar Threema. Si siguió nuestra sugerencia de no dar acceso al servicio a sus contactos, deberá ingresar manualmente los ID de Threema de las personas la primera vez que les envíe un mensaje. Pero ese es un pequeño precio a pagar por maximizar su privacidad.

Yo (Heinrich) hice la prueba con mi amigo Bill. Descubrimos que la aplicación de Android funciona muy bien. Sin problemas, sin fallos.

La aplicación Threema para Android funcionó a la perfección.

Intercambiamos mensajes de texto y voz, realizamos llamadas de voz y video, y compartimos archivos sin ningún problema.

También probamos el cliente web.

El cliente web

El cliente web Threema es una interfaz basada en navegador para un dispositivo móvil que ejecuta la aplicación Threema. No es un producto independiente con su propia ID de Threema. No es una forma de tener una instancia adicional de Threema que no esté conectada a un dispositivo móvil.

El cliente web Threema se sincroniza sin problemas con su dispositivo móvil.

Donde el cliente web es útil es que le brinda acceso a los recursos de cualquier escritorio, en lugar de un teléfono en particular u otro dispositivo móvil. Para algunas actividades, un teclado completo y la capacidad de almacenamiento y otros recursos de un dispositivo de escritorio pueden hacer que Threema sea mucho más fácil de usar.

Apoyo

El centro de soporte de Threema consta principalmente de una gran cantidad de preguntas frecuentes con capacidad de búsqueda, con respuestas útiles a las más de 150 preguntas más frecuentes sobre su producto.

También puede ponerse en contacto directamente con el equipo de soporte, aunque le solicitan que confirme que la respuesta a su pregunta no está ya cubierta en las preguntas frecuentes antes de hacerlo. Les enviamos algunos mensajes de prueba y descubrimos que el equipo fue muy útil. El tiempo de respuesta podría haber sido más rápido, pero ese es un problema común en el molesto mundo de bloqueo que habitamos hoy.

¿Qué tan privado y seguro es Threema?

Ahora abordemos directamente la solidez de la privacidad y la seguridad que brinda esta aplicación de mensajería.

Intimidad

Sin un cifrado sólido de sus mensajes, una aplicación de mensajería no puede proteger su privacidad. Threema tiene ese ángulo cubierto mediante el uso de la biblioteca criptográfica de código abierto NaCl. Sus auditorías de terceros confirman que la implementación de esta biblioteca es segura.

Pero la información privada puede existir fuera de los propios mensajes. Threema también protege su privacidad aquí. Puede utilizar el servicio sin proporcionar ningún tipo de información personal. La identificación de Threema generada aleatoriamente puede ser su única identificación en el sistema, lo que le brinda un anonimato total.

Nota : Puede vincular un número de teléfono o una dirección de correo electrónico al servicio, pero eso es opcional.

El solo hecho de utilizar un servicio de mensajería puede generar metadatos. Se trata de datos sobre su uso del servicio, como a quién envía mensajes, su ubicación física, etc. Para protegerse contra esto, Threema genera la menor cantidad de metadatos posible y los descarta tan pronto como cumple su propósito previsto.

Cuantos menos metadatos existan sobre sus actividades en línea, menos amenaza será para su privacidad. Las mejores VPN para Android adoptan este mismo enfoque al operar sus servicios sin ningún registro de usuario.

Finalmente, aunque puede vincular los contactos de su dispositivo móvil a la aplicación, no es necesario. Threema funcionará perfectamente bien sin darle acceso a los datos sobre sus contactos.

En otras palabras, esta aplicación protege su privacidad.

Seguridad

Si bien es imposible garantizar que algo sea 100% seguro y lo seguirá siendo para siempre, por lo que podemos determinar, Threema es realmente seguro. Aplican un cifrado sólido de extremo a extremo (E2E) a todo.

Además, Threema está diseñado para generar la menor cantidad de datos en los servidores que sea técnicamente posible. Los grupos y las listas de contactos se administran únicamente en los dispositivos de los usuarios, no en el servidor, los mensajes se eliminan inmediatamente después de la entrega, no se crean archivos de registro y no se recopila información de identificación personal.

Las únicas excepciones son los grupos administrados centralmente de Threema Broadcast y los datos de Threema Safe, si elige almacenarlos en sus servidores.

Para asegurarse de que todo funcione como se anuncia, Threema realiza auditorías periódicas de terceros de su servicio.

Versiones especiales de Threema

Como mencionamos antes, existen versiones adicionales de Threema. Actualmente son 4. Si bien estos no son el foco de esta revisión, deberíamos tocarlos, ya que uno de ellos puede ser exactamente la motivación que necesita para comenzar a probar la aplicación básica de mensajería.

Trabajo Threema

Diseñado para organizaciones de todos los tamaños, Threema Work le permite formalizar y administrar el uso de la mensajería instantánea en el trabajo. Es prácticamente seguro que hay personas en su organización que utilizan aplicaciones de mensajería personal para comunicarse en el trabajo. Pero eso presenta una plétora de problemas para usted, desde la posibilidad de que los datos de propiedad se filtren fuera de la organización, hasta la violación inadvertida de las regulaciones de privacidad u otras leyes que rigen su organización.

Threema Work puede eliminar estos problemas proporcionando a sus empleados un servicio de mensajería seguro y administrado de forma centralizada para que lo utilicen en los negocios de la empresa. Para obtener más información sobre Threema Work, puede leer la presentación completa del producto .

Nota : Threema Broadcast y Gateway están incluidos en Work, pero también están disponibles por separado.

Threema Broadcast es una interfaz web que le permite transmitir a listas de distribución, grupos administrados centralmente, feeds (boletines informativos dinámicos) y bots, que pueden recuperar información a través de Threema. Una opción de transmisión privada le permite evitar que personas externas se suscriban a las fuentes.

Threema Gateway es una colección de API (interfaz de programa de aplicación) y SDK (kits de desarrollo de software) que le permite enviar mensajes desde su propio software a los usuarios de Threema. Puede registrarse en el Gateway y realizar algunas pruebas gratuitas antes de comprometerse a utilizar el Gateway.

Threema Education es en realidad una variante de Threema Work. Lo que lo hace diferente es que la empresa ofrece precios especiales para instituciones educativas.

Precios de Threema

La aplicación básica Threema (la que probamos para esta revisión) está disponible por una tarifa única de $ 2.99 en Google Play o en la App Store de iPhone y iPad. La aplicación obtiene una calificación de 4.6 de 5 estrellas en la tienda Google Play:

Threema no es una aplicación gratuita, pero una tarifa única de unos pocos dólares no debería ser un factor decisivo.

En cuanto a las otras versiones, querrá consultar sus páginas específicas para conocer los precios y otros detalles. Aquí están los enlaces que necesitará:

  • Threema Work: ofertas y precios
  • Threema Broadcast: Precios
  • Threema Gateway: Oferta
  • Threema Education: Oferta

Preguntas frecuentes de Threema

Estas son algunas de las preguntas más frecuentes sobre Threema … y nuestras respuestas a esas preguntas.

¿Se puede piratear Threema?

Como señalamos en el cuerpo del artículo, nadie puede garantizar que un servicio sea ahora y para siempre 100% seguro. Eso significa que es posible que Threema pueda ser pirateado. Dicho esto, con un cifrado E2E sólido y auditorías frecuentes de su código, parece muy poco probable que Threema sea pirateado.

¿Threema es más seguro que WhatsApp?

Tanto Threema como WhatsApp están encriptados de extremo a extremo, lo que los hace muy seguros para empezar. Sin embargo, WhatsApp almacena algunos metadatos sobre quién se comunica con quién y cuándo lo hace, mientras que Threema no lo hace. Además, WhatsApp ahora es propiedad de Facebook, una empresa que no tiene la mejor reputación por respetar los derechos de sus usuarios.

Ponlo todo junto y adivinaríamos que Threema es al menos tan seguro como WhatsApp, y posiblemente más seguro. Definitivamente es una de las mejores alternativas para WhatsApp .

¿Puedo usar Threema sin una tarjeta SIM?

Sí, puede usar Threema sin una tarjeta SIM. Eso es porque Threema no usa su número de teléfono como identificación. En su lugar, utiliza una ID de Threema generada aleatoriamente, que no está relacionada con sus datos personales de ninguna manera.

¿Cómo funciona Threema Web?

Threema Web no es más que una interfaz entre su navegador web y la aplicación Threema que se ejecuta en su dispositivo móvil. Tan pronto como termine su sesión de Threema, el navegador borra todos los mensajes sincronizados, evitando así que su navegador se convierta en un riesgo para la seguridad.

Conclusión de la revisión de Threema

Estamos impresionados con Threema. Es un servicio con todas las funciones que funcionó bien y no nos presentó errores u otras sorpresas desagradables durante nuestras pruebas. La disponibilidad de Threema Work and Education hace que valga la pena considerarlo para ese tipo de grandes organizaciones, mientras que Broadcast y Gateway también amplían los usos del producto.

Vimos un gran inconveniente potencial al usar Threema: el efecto de red . Para los sistemas de comunicación como las aplicaciones de mensajería, su valor está íntimamente ligado a la cantidad de usuarios que tienen. Cuantos más usuarios, mayor será el valor.

Según los números más recientes que hemos visto, Threema tiene una base de usuarios de algún lugar al norte de 5 millones de usuarios. Si bien eso puede parecer mucho, es eclipsada por otras aplicaciones de mensajería segura. Por ejemplo, a julio de 2019 , Telegram tenía 200 millones de usuarios, Viber tenía 260 millones y WhatsApp tenía 1,600 millones de usuarios.

En general, las probabilidades de encontrar personas con las que conectarse y las razones para usar el servicio son mucho más altas para otras aplicaciones de mensajería que para Threema.

¿Threema es adecuado para usted?

Dado lo anterior, es de esperar que digamos que evitemos Threema. Pero hay varias situaciones en las que Threema puede ser una opción ideal para usted:

  • Si necesita conectar un grupo de personas que pueden verse obligadas a instalar y utilizar el servicio. En este caso, no importa cuántas personas externas utilicen el servicio, siempre que su grupo de personas internas lo haga.
  • Si desea un servicio de mensajería seguro oculto. Los censores, los piratas informáticos y otros malos actores tienden a centrar sus esfuerzos en los objetivos más importantes, dejando a los más pequeños solos. ¿Por qué intentar meterse con un servicio pequeño y extra seguro como Threema, cuando hay objetivos potencialmente más fáciles con decenas a cientos de veces más usuarios?
  • Necesita una de las capacidades especializadas que ofrece Threema, como las capacidades empresariales de Work, o la integración con su propio software como el que proporciona Gateway.

Estos son solo algunos de los casos de uso en los que Threema podría ser la solución ideal.

https://threema.ch/en

Si desea continuar buscando la mejor aplicación de mensajería segura para sus circunstancias, le recomendamos que consulte otras aplicaciones de mensajería encriptada que hemos probado.

  • Revisión de Telegram
  • Revisión de señal
  • Revisión de mensajería de alambre
  • Revisión de la sesión
  • Revisión de Wickr
  • Revisión de Keybase (Keybase fue adquirido por Zoom que abusa de la privacidad)

Deja un comentario