Les múltiples acusacions per part de la Unió Europea a WhatsApp de vulnerar el marc legislatiu sobre privacitat o la detenció del fundador de Telegram han sembrat el dubte sobre les aplicacions de missatgeria que utilitza la majoria de la gent. Són realment segures? Aquests episodis han fet que els usuaris ja sàpiguen què vol dir xifratge d’extrem a extrem o que entenguin quin intercanvi de dades es produeix entre gegants tecnològics per alimentar el negoci de la publicitat. Tot plegat ha fet que els darrers anys hagin sorgit al mercat alternatives que es presenten com més segures i respectuoses amb la informació de les persones. Una d’elles és la suïssa Threema, nascuda el 2012 com un projecte personal. “Inicialment, es va crear perquè no hi havia solucions de comunicació xifrades d’extrem a extrem. Per tant, si estaves en una xarxa wifi i et comunicaves amb altres persones a través de WhatsApp o altres solucions de comunicació, podies llegir tot el que escrivia la gent. El seu fundador, en Manuel Kasper, va crear l’aplicació en un principi per protegir-se a ell mateix, i als seus amics i familiars”, relata el director d’Ingressos (CRO) i membre del consell de Threema, Miguel Rodríguez. Per fer-la accessible a aquest cercle, Kasper la va pujar a l’App Store, però en poc temps va arribar als telèfons de desconeguts. “Ràpidament, va passar a tenir milers de persones i va decidir llançar una aplicació pensada per a tothom”, apunta. Avui, s’ha convertit en una solució per a l’entorn corporatiu que trenca amb les dinàmiques de les aplicacions més populars.

Ara WhatsApp i Telegram, que dominen el mercat, també xifren d’extrem a extrem. Quin és el valor diferencial de Threema?

Aportem el que es coneix com a zero knowledge (prova de coneixement zero) –protocol criptogràfic que no revela informació de cap de les dues parts en les comunicacions. Et pots registrar a l’aplicació sense número de telèfon ni correu electrònic, només cal un nom format per lletres i números, i es crea un identificador únic que no depèn de cap dada de la persona. Tampoc emmagatzemem cap informació de l’usuari, ni dels missatges que s’intercanvien els usuaris als nostres servidors. Tot va xifrat al nostre servidor i torna a sortir xifrat un altre cop. Al servidor només queda la informació estrictament necessària perquè pugui funcionar l’aplicació. Aquí ja veiem diferències respecte de WhatsApp i Telegram, però, a més a més, en el nostre món, es veu Telegram com una aplicació que no és segura. Primer, perquè el xifratge és opcional; després, perquè té tota la informació als servidors. En el cas del B2B, des del 2016 també oferim solucions de missatgeria i de comunicació segura per a empreses.

Quins riscos comporta utilitzar el correu o el telèfon en les aplicacions?

Donar aquesta informació sembla una cosa irrellevant, però no ho és. Si donem un número de telèfon, WhatsApp els envia a un servidor dels Estats Units on queda desat. Així, es pot comprovar quins contactes tenen WhatsApp i és com es pot escriure a qualsevol persona. Això no és legal en l’àmbit corporatiu segons el Reglament General de Protecció de Dades (RGPD). Una persona no pot enviar informació de tercers sense consentiment a altres empreses, i com que està als Estats Units, és més complicat. A banda d’això, també obre la porta a iniciar ciberatacs massius partint del número de telèfon, perquè és molt fàcil enviar un missatge a la gent posant números fins que dones amb algun que està registrat. Aquests atacs que diuen que s’ha perdut l’accés a algun lloc, que demanen claus o documents, que volen informació... això és cada cop més freqüent; com també que t’afegeixin en un grup massiu que no saps d’on surt. Res d’això està permès en l’entorn corporatiu, però veiem moltes vegades que aquesta aplicació d’ús privat s’utilitza a la feina.

No deseu res als servidors. En un cas d’investigació policial, com actueu?

Si hi ha un procediment policial, enviem la informació que hem d’enviar segons marca la llei suïssa. Un Estat estranger ha de contactar a través dels canals oficials de l’estat suís i demanar la informació, i nosaltres seguim el diu la legislació del país. Donem la informació que podem donar.

"Si la gent sabés exactament quanta informació emmagatzemen les grans empreses, encara que tinguin un bon xifratge com WhatsApp, se sorprendria"

Ja estem parlant d’un marc normatiu diferent del de la Unió Europea, com passa amb WhatsApp als Estats Units.

Això és cert, però hi ha diferències molt àmplies entre la legislació nord-americana i la suïssa. Nosaltres som molt estrictes amb la privacitat i la seguretat, tenim lleis molt estrictes i que no trenquen amb les bases de la normativa europea.

Quins són els canals de comunicació més segurs avui dia a escala corporativa i personal?

Primer de tot, han de ser diferents. No es poden utilitzar solucions de l’àmbit personal en l’àmbit corporatiu perquè es pot incomplir el RGPD. En segon lloc, una aplicació privada no permet configurar amb qui es comparteix la informació, que és un dels temes principals, i no es pot connectar a una eina corporativa perquè es pugui utilitzar de forma segura i correcta en les empreses. Nosaltres, tot això ho garantim. Recentment, hem estat escollits com a líders en el sector de la comunicació segura per Forrester. En l’entorn privat, segurament la solució més segura que es pot recomanar és Signal, a banda de Threema. També tenim altres solucions com Element o Wire.

Hi ha moltes opcions, però no es coneixen. Per què els costa tant arrelar?

Diria que són dos motius: el model de negoci i els usuaris que l’utilitzen. Primer de tot, moltes solucions de comunicació són gratuïtes, i això ja és una barrera que les elimina completament. Threema té un cost de 6 euros que es paga un cop i prou, ja és per sempre l’accés. En segon lloc, quan una aplicació es descarrega per a l’àmbit privat, el que volem és comunicar-se amb el nombre més gran de persones. En el nostre cas, com que no ens quedem amb els números de telèfon, això no ho podem oferir. Si es valorés més la privacitat i la seguretat, segurament tindríem molts més usuaris. En el sector corporatiu, som l’empresa més coneguda, tenim ja més de 8.000 empreses i som el venedor més gran del sector.

A quins països sou presents?

Som sobretot a Suïssa, que és d’on som, i som presents al govern. També a Alemanya i en països de parla alemanya. A Alemanya treballem, per exemple, amb el seu banc central, i amb Mercedes-Benz i els seus més de 100.000 usuaris. A més a més, el canceller alemany és client nostre. Aquests són els dos països més grans, però estem creixent de forma exponencial a Europa en els darrers anys, amb una mitjana del 60%, i hem notat que a Espanya cada cop hi ha més empreses que escullen Threema.

"El cost [d'una app segura] no és un problema com a tal, sinó que ho és la falta de consciència sobre la privacitat i la seguretat"

Us ha facilitat el camí l’aplicació de la NIS2?

I la DORA, el CER o les lleis vinculades a la privacitat que s’han anat aplicant. Es demana a les empreses de sectors crítics, com la banca o la salut, que tinguin solucions de comunicació xifrada o per comunicar-se en el cas de ciberatac o d’emergència. Això ha fet que es busquin alternatives segures.

Microsoft té amb Teams un domini important del mercat. Us dificulta l’accés?

He de reconèixer que Teams és una solució que ens ho posa molt difícil per entrar a les empreses, perquè és una solució completament diferent feta per col·laborar i per a la comunicació interna. Tot i això, no ofereix la mateixa seguretat que la nostra, posant com a exemple ja per començar el xifratge d’extrem a extrem que tenim. Les empreses, en comptes de mirar alternatives, com que Teams ja els va bé, no busquen novetats que els aportin més. Ara podem notar canvis amb la NIS2, perquè en cas que caigui Teams o l’Outlook o el canal de comunicació que una empresa utilitzi, haurà de tenir una alternativa per establir comunicacions segures. Això ja està fent que algunes empreses vinguin a buscar-nos. Podem entrar com a canal per a executius que volen protegir la informació o entrar en àmbits que tinguin informació delicada.

Us afecta més ser una eina de pagament o la falta de coneixement general sobre ciberseguretat?

Pagar 6 euros un cop a la vida és res, que és el nostre cas. Per això, el cost no és un problema com a tal, sinó que ho és la falta de consciència sobre la privacitat i la seguretat. Si la gent sabés exactament quanta informació emmagatzemen les grans empreses, encara que tinguin un bon xifratge com WhatsApp, se sorprendria. Hi ha massa desconeixement sobre les metadades que emmagatzemen les grans empreses sobre els usuaris: on són, amb qui parlen, quantes vegades al dia, de quins grups formen part... Hi ha molta informació que tenen guardada.

I què hem de fer amb els dispositius personals que utilitzem per treballar o amb el teletreball en si mateix?

És un problema, perquè hi ha mòbils i ordinadors corporatius que s’utilitzen per a temes privats, i dispositius personals que emprem per treballar. Nosaltres garantim que si vols tenir privat el teu número de telèfon personal, ningú de l’empresa el vegi i et truqui fora d'hores, perquè no el necessitem per fer funcionar l’aplicació. També tenim xifratge d’extrem a extrem, així que ningú pot llegir què escrius i reps, i no cal desplegar un MDM (gestió de dispositius mòbils, per les sigles en anglès), sinó que es pot configurar des del panell de gestió. Així, per exemple, pots configurar el terminal perquè més enllà de les 18 h no rebis missatges de feina al teu telèfon privat si l’empres a la feina. Pel que fa a les empreses, haurien de preocupar-se molt més per les comunicacions que hi ha en la seva estructura. No estan parant atenció als missatges que s’intercanvien als canals de missatgeria instantània, i molts atacs que afecten grans empreses ja venen d’aquí. Els mòbils i ordinadors privats haurien de formar part de l’estratègia de seguretat d’una empresa.

"Els mòbils i ordinadors privats haurien de formar part de l’estratègia de seguretat d’una empresa"

Davant d’un ciberatac, com s’ha d’actuar per garantir les comunicacions?

El primer que fan les empreses és desactivar totes les solucions connectades a internet, perquè l’atacant normalment s’ha fet passar per algú altre, ha creat un usuari i és dins de les comunicacions. Per tant, el Teams i l’Outlook són les primeres que han de deixar de funcionar. Per això és important tenir un canal alternatiu preparat, però cal saber-lo fer anar, no només tenir-lo instal·lat o amb les notificacions desactivades automàticament perquè el sistema ha llegit que aquella aplicació no es fa servir. Si no es té present, quan ve l’emergència, no funciona res. Nosaltres recomanem implementar solucions alternatives, formar els equips i fer simulacions. També tenim funcionalitats com Threema Broadcast, que permet crear llistes de distribució per enviar missatges en 5 segons. Així, es pot crear un xat específic en cas d’emergència i comunicar per una sola via tota aquella informació rellevant o document que sigui important tenir. Això també és clau, perquè les empreses acostumen a oblidar que hi ha documents que és important tenir a mà. Per tant, permetem crear un espai per emmagatzemar informació vital de forma segura en moment de crisi.

El codi obert es concep com més segur per la transparència que aporta, vosaltres treballeu amb ell, és realment més segur?

Ho és perquè tothom pot llegir el codi. Tenim en codi obert les aplicacions i ara ho volem fer amb la versió per a escriptori. Volem que les empreses i els governs tinguin més control sobre les aplicacions que utilitzen, que no hagin de confiar a cegues en una empresa que ven un servei sense tenir clar realment com és. No volem vendre confiança, volem vendre seguretat. Amb el codi obert, estem dient tot el que tenim, però també podem rebre aportacions de fora per millorar. Aquesta és la fortalesa. Per sort, cada cop les empreses s’estan preocupant més per la seguretat i com intervé en la seva activitat; ja ens estem trobant amb clients que, quan ens contacten, volen veure els documents de la criptografia, el codi obert, veure les auditories, els tests de penetració i molta altra informació.