CoverDrop - un sistema de mensajería segura para apps lectoras de noticias

 (github.com/guardian)
1 puntos por GN⁺ 2025-06-11 | 1 comentarios | Compartir por WhatsApp
  • Solución de mensajería segura de código abierto que permite a los usuarios de apps lectoras de noticias y a los periodistas comunicarse de forma segura preservando el anonimato y la negación plausible
  • Como todos los dispositivos de los usuarios generan tráfico cifrado aleatorio, incluso cuando intercambian mensajes no se distinguen en la red del uso normal de la app de noticias
  • Los mensajes se procesan con doble cifrado y con el mismo tamaño y frecuencia, por lo que no dejan evidencia incluso en situaciones de incautación del dispositivo
  • Está compuesto por una arquitectura completa de extremo a extremo, que incluye app móvil, API en la nube, servidor seguro y cliente de escritorio para periodistas
  • Sus ventajas frente a proyectos existentes son el desarrollo abierto y transparente, una criptografía sólida y funciones especializadas optimizadas para las necesidades de las organizaciones periodísticas

Introducción a CoverDrop

  • CoverDrop es un sistema seguro diseñado para que los usuarios de la app móvil de una empresa de noticias puedan enviar mensajes a periodistas de forma secreta y sin posibilidad de rastreo
  • El sistema ofrece una fuerte negación plausible, de modo que un analista de red no pueda distinguir si la app se usa para comunicación segura o para el consumo normal de noticias

Componentes principales

  • Módulo dentro de la app de noticias: integrado en la app móvil del usuario
  • API en la nube: actúa como punto central de contacto
  • CoverNode: conjunto de servicios que opera en un entorno seguro
  • Aplicación de escritorio para periodistas: cliente para PC usado por los reporteros

Esta estructura de 4 partes hace posible el cifrado de extremo a extremo y una seguridad robusta

Cómo funciona

  • Todas las instancias de la app de noticias intercambian periódicamente con el servidor pequeños datos cifrados ("mensajes de cobertura")
  • Los reportes reales (mensajes de la fuente) también se cifran y transmiten exactamente igual que los mensajes de cobertura normales. En la red no pueden distinguirse
  • Todos los mensajes se procesan con el mismo tamaño y periodicidad, y se envían para su procesamiento mediante flujos de Kinesis
  • En el servidor se realiza un primer descifrado y la identificación de los mensajes reales, y luego se entregan al cliente del periodista en forma de dead drop. Mediante padding, el tamaño del dead drop se mantiene uniforme
  • El periodista solo puede descifrar finalmente los mensajes cifrados con su clave pública
  • El almacenamiento de mensajes permanece cifrado en todo momento, por lo que incluso ante una incautación del dispositivo no es posible probar si existió una conversación real
  • Cuando el periodista responde, también se realiza una comunicación cifrada y un intercambio de claves de manera similar

Se puede consultar un diseño más detallado y la estructura de los algoritmos en el white paper elaborado conjuntamente con el Departamento de Ciencias de la Computación de la Universidad de Cambridge

Política de seguridad

  • La seguridad de CoverDrop es la máxima prioridad
  • Se reconoce que la seguridad perfecta es imposible, y se agradecen los reportes de investigadores de seguridad
  • Los temas relacionados con la confidencialidad e integridad de los mensajes, el anonimato en la red y el cifrado con negación plausible son áreas de mejora continua
  • También se están mejorando activamente los problemas de canales laterales causados por otros elementos dentro de la app de noticias integrada

Precauciones al usar software de cifrado

  • CoverDrop incluye software de cifrado
  • Es necesario cumplir las leyes de cada país sobre importación, uso y reexportación de tecnología criptográfica
  • Clasificación BIS del Departamento de Comercio de EE. UU.: ECCN 5D002.C.1 (software que incluye criptografía asimétrica)
  • Esta distribución de código abierto está cubierta por la excepción de exportación (TSU, §740.13)

Licencia

  • El repositorio de CoverDrop se ofrece bajo la Apache License 2.0

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-06-11
Opiniones de Hacker News

  • Para quienes necesiten una explicación más detallada, el sitio principal de https://www.coverdrop.org/ parece servir bien como referencia informativa. Resulta una lástima que la Official Secrets Act de 1920 del Reino Unido protegiera el contacto anónimo con los periódicos, pero que esa parte desapareciera en reformas posteriores de la ley.

  • Muchas organizaciones de noticias ya usan https://securedrop.org/, así que surge la duda de en qué se diferencia CoverDrop y por qué sería mejor. El directorio de medios compatibles puede verse en https://securedrop.org/directory/.

    • El artículo ya aborda esto, pero la diferencia es que SecureDrop y CoverDrop se enfocan en situaciones algo distintas. SecureDrop usa TOR, lo que puede detectarse a nivel de red o en el dispositivo, así que en ciertos casos el solo hecho de usar TOR puede poner en riesgo la identidad del denunciante. En cambio, tener instalada una app de noticias puede parecer menos sospechoso. CoverDrop es adecuado para que usuarios principiantes hagan un primer contacto sin exponerse. Su tráfico de red no se distingue del de un usuario normal, y el almacenamiento de la app ocupa espacio independientemente de si se usa o no, lo que le da una propiedad de negación plausible. CoverDrop no puede enviar archivos grandes como SecureDrop, y el artículo propone que, si hace falta, el periodista explique dentro de un mensaje de CoverDrop cómo usar SecureDrop de forma segura. Por eso, si alguien ya tiene suficiente conciencia de seguridad y capacidad técnica, ir directo a SecureDrop podría ser una opción más simple.

    • SecureDrop es excelente y en The Guardian planean seguir utilizándolo. La gran diferencia es que CoverDrop permite anonimato sin instalar Tor Browser, y al integrar esa función dentro de una app de noticias reduce muchísimo la barrera para denunciantes no técnicos. Básicamente ayuda a lograr una buena OPSEC. CoverDrop (Secure Messaging) todavía tiene limitaciones: por la naturaleza del protocolo no permite subir documentos y solo puede transmitir unos pocos KB por día. Actualmente, según el caso, el periodista puede guiar al usuario hacia Signal. Como el periodista primero evalúa la identidad y la amenaza de la fuente antes de entregar un número de Signal, eso sirve como un buen filtro de riesgo. También están pensando a futuro en una función para, dentro del sistema de CoverDrop, hacer una evaluación de riesgo y luego enviar un enlace para subir documentos minimizando el daño al anonimato; por ejemplo, disfrazándolo como un archivo adjunto de correo cifrado, entre otras ideas. Hay un artículo de referencia. Otra limitación es que el anonimato de este sistema depende de que la app tenga un uso masivo; si lo adopta una agencia de noticias pequeña, esa propiedad puede debilitarse. Aun así, en la práctica consideran que solo la estructura de almacenamiento con negación plausible ya representa un gran avance frente a otros métodos para denunciantes, como PGP o soluciones basadas en Tor. Además, parece positivo que incluso si solo una persona usa la app, sigue siendo bastante segura.

    • La misma pregunta aparece en el FAQ del sitio.

  • Me gusta mucho esta idea; me recordó a los sistemas secretos de comunicación que antes montaba la CIA en sitios de fans de Star Wars y similares. Aunque The Guardian no lo diga explícitamente, el hecho de que esta app también esté diseñada como una historia de cobertura hace que la fachada de app de noticias me parezca un enfoque excelente. Si pudiera dar un consejo, sería que si alguien planea filtrar información por medio de esta app, quizá no quiera usarla en un dispositivo que pueda ser investigado en cualquier momento. Por ejemplo, un teléfono de trabajo entregado por la empresa: instalar la app de The Guardian no sería necesariamente un problema, pero si en una investigación interna una noticia importante termina publicada por The Guardian, existe la preocupación de que puedan reducir la lista así: 1. las personas que originalmente tenían acceso a esa información 2. entre ellas, quienes instalaron esa app, dejaron rastro de descarga o se negaron a entregar el dispositivo. Si se va a filtrar información conocida solo por un grupo pequeño, o si el dispositivo está vinculado al usuario real, convendría usar el dispositivo de otra persona (como un familiar) para reducir el riesgo de exposición. El objetivo real es no despertar sospechas durante una investigación, y dado que la app y la información proporcionada podrían vincularse directamente con una nota de The Guardian, aunque sea técnicamente segura sigue siendo difícil que sea una historia de cobertura perfecta. Mi recomendación final sería usar un dispositivo difícil de vincular contigo para tener más seguridad al filtrar. Como esta parte no está explícita en el modelo de amenazas, se menciona la posibilidad de que eso genere más víctimas.

    • Comentario desde la perspectiva del líder técnico del proyecto: coincido en que no se debe usar un teléfono de trabajo, especialmente porque muchos de ellos incluyen soluciones de administración móvil (MDM) que en la práctica se parecen bastante a spyware. Esto vuelve a confirmar que cuando el tamaño del grupo anónimo es pequeño, el enfoque puramente técnico tiene límites. Han hecho un gran esfuerzo para que el uso de la app pueda negarse de forma plausible incluso en escenarios de denuncia. Los datos se separan entre almacenamiento "público" y "privado", y los datos privados se protegen en un almacenamiento cifrado de tamaño fijo mediante una técnica KDF desarrollada por un integrante del equipo de Cambridge (enlace). Pero si el dispositivo tiene spyware instalado, todos esos esfuerzos pierden sentido. Internamente ya conocían y discutían ese riesgo, y planean reforzar más la explicación en el FAQ, en particular dejando mucho más clara la advertencia contra el uso de dispositivos con MDM. Esperan actualizar eso pronto. Además, incorporaron funciones para detectar y advertir sobre dispositivos rooteados o en modo debug. Detectar MDM es un juego del gato y el ratón, así que su opinión es que la mejor respuesta es que el usuario simplemente no use un dispositivo de trabajo.

  • Pregunta sobre fechas: cuándo saldrá una versión oficial, porque quieren añadirlo a Obtainium.

    • Este proyecto es una biblioteca, así que no está claro si encaja para registrarlo allí. El verdadero candidato a registro sería la app que la use, y por ahora parece que la única es la app de The Guardian. Quedan a la espera de respuesta del equipo de The Guardian sobre si tendrán planes de distribución fuera de Play Store.