Ni Whatsapp ni Telegram: la 'app' de los ministros de España que cifra llamadas y mensajes

Whatsapp, Telegram o Signal pueden presumir de ser los sistemas de mensajería de texto, voz y vídeo más extendidos en el mundo, pero no pueden decir lo mismo cuando el usuario es un alto cargo de la Administración pública o un directivo de una gran corporación privada.

La seguridad en el ámbito de las comunicaciones políticas es el aspecto esencial del que hay que partir cuando sus usuarios utilizan algún sistema de mensajería textual. Secretismo e inaccesibilidad son características insoslayables que deben primar. El gabinete de ministros del Gobierno de España, por ejemplo, no es nicho de negocio para las apps de Mark Zuckerberg y Pável Dúrov.

Hasta 12.000 altos cargos de la Administración pública y cargos directivos de la empresa privada utilizan en España COMSec, un producto de la multinacional española Indra, compañía que, entre otros servicios de consultoría y tecnología, también trabaja el ámbito de las telecomunicaciones.

¿Qué es y cómo funciona COMSec?

Es una aplicación de mensajería que aparentemente ofrece lo mismo que otras más populares. Pero es mucho más segura. En concreto, COMSec cifra los mensajes y llamadas (de voz y vídeo) de extremo a extremo.

A tal fin utiliza el protocolo Elliptic-curve Diffie-Hellman (ECDHE), el cifrado AES256 y una clave aleatoria diferente para cada llamada y sesión. Esto significa que los mensajes se cifran al enviarse y se descifran cuando el receptor los recibe en su dispositivo. Y lo que es más importante: el establecimiento de las llamadas se realiza acudiendo a un operador virtual o IMS (IP Multimedia Subsystem) donde la aplicación en sí es el mismo cliente.

Es una arquitectura de las comunicaciones que hacen casi imposible que una llamada pueda ser rastreada, pues durante la misma sólo se transmiten paquetes IP con protocolos propietarios y cifrados. En otras palabras, es el IMS quien gestiona la llamada, no el operador móvil, que queda limitado a ofrecer la conexión a la red.

El diseño de la aplicación permite hacer llamadas y enviar mensajes con redes 2G, 3G, 4G, WiFi, LAN, redes de banda estrecha como GPRS o Edge, o por satélite (Iridium e Inmarsat). Los datos de voz no se almacenan nunca y los mensajes se guardan cifrados en un servidor hasta su entrega al destinatario. En ese momento, se borran. El usuario no necesita un terminal nuevo para instalar la COMSec, puede hacerlo en el suyo.

Un contrato barato

El Gobierno español comenzó a hacer uso de COMSec en enero de 2019, luego de que Indra ganara la licitación y fuera adjudicataria del contrato en noviembre de 2017. El coste del mismo ascendió a 14.994 euros.

Como producto tecnológico, COMSec está certificado por el Centro Criptológico Nacional (CNN) y es compatible con sistemas Android, iOS y Windows Phone. Este centro recomendó el uso de teléfonos celulares Samsung (Galaxy S10 o Tab S4), pues cumplen con los requisitos del exigente Esquema Nacional de Seguridad, que tiene en cuenta aspectos como trazabilidad, confidencialidad, autenticidad, integridad, etc.

No me rastrean, pero me roban el teléfono

En caso de no estar protegido el terminal con un PIN de acceso, huella o contraseña, el ladrón podría acceder, por ejemplo, a fotos y conversaciones de Whataspp. Pero no a COMSec. La razón es que el administrador del servidor IMS proporciona unas credenciales de acceso a la aplicación y una contraseña adicional de los datos de la misma.  

La primera contraseña ha de cambiarse cada siete días. Por tal motivo, la guía del CNN marca que "la contraseña de usuario debe de ser sólo conocida por el usuario y debe además ser difícil de predecir". Son contraseñas de un mínimo de 12 caracteres alfanuméricos y no deben presentar secuencias predecibles, tipo '1234…' ó 'abcd…'. Si el usuario olvidase su contraseña, el administrador puede generarle una OTP (contraseña de un solo uso) y accedería de nuevo al servicio.