Redazione RHC : 8 septiembre 2025 13:28
La red social X, antes conocida como Twitter, ha comenzado a implementar un nuevo servicio de mensajería cifrada llamado XChat. Se presenta formalmente como una plataforma con cifrado de extremo a extremo: la correspondencia solo puede ser leída por sus participantes, y el servicio no tendría acceso al contenido.
Sin embargo, los criptógrafos ya señalan que la implementación actual dista mucho de ser fiable y no cumple con estándares reconocidos como Signal.
La primera preocupación es cómo XChat gestiona las claves. Al activarse, se solicita al usuario que cree un PIN de cuatro dígitos, que se utiliza para cifrar la clave privada. Esta clave se almacena en los servidores de X, no en el dispositivo del usuario. Esto no ocurre con Signal: la clave secreta siempre permanece local.
No está claro si se utilizan módulos de seguridad de hardware (HSM) para proteger las claves. Sin ellos, un operador podría, en teoría, adivinar el PIN y acceder a la correspondencia. Un representante de X afirmó en verano el uso de HSM, pero hasta el momento no se ha publicado ninguna confirmación, lo que lleva a los expertos a hablar de un «régimen de plena confianza en las palabras de la empresa».
La segunda debilidad de XChat la describe la propia empresa en su página de soporte: La correspondencia puede verse comprometida por un «infiltrado malicioso o por X». Esta amenaza se conoce como ataque «man-in-the-middle», en el que el servicio reemplaza la clave y obtiene la capacidad de leer los mensajes. En este caso, X proporciona al usuario una clave pública sin la posibilidad de verificar si ha sido reemplazada. Como resultado, los usuarios no tienen forma de verificar la autenticidad de la protección.
El tercer problema es la naturaleza cerrada del código. A diferencia de Signal, que está bien documentado y abierto al escrutinio, XChat sigue siendo completamente propietario. La compañía promete publicar un documento técnico y hacerlo de código abierto en el futuro, pero no hay un plazo específico.
Finalmente, XChat no es compatible con el llamado modo de Secreto Perfecto Hacia Adelante (Perfect Forward Secrecy), en el que cada El mensaje está cifrado con una clave independiente. Por esta razón, comprometer una clave privada permite a un atacante acceder a todo el historial de correspondencia, no solo a los mensajes más recientes.
El destacado investigador Matthew Garrett señala que, incluso si los desarrolladores de X gozan de confianza ahora, pueden cambiar las reglas y debilitar la protección en cualquier momento, y los usuarios no podrán demostrar lo contrario. Su opinión es compartida por Matthew Green, profesor de criptografía de la Universidad Johns Hopkins, quien recomienda no confiar más en el nuevo servicio que en los mensajes personales sin cifrar.
A pesar de las reiteradas solicitudes de los periodistas, el servicio de prensa de X aún no ha respondido a las preguntas sobre la seguridad de XChat. /wp:párrafo –>
RedazioneGoogle ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
