algo más nueva, ha sido también medida escrupulosamente, aunque no tan a fondo como la anterior. En ambos casos y según todas las agencias, su uso es seguro en las medidas aconsejadas.

Por David Ormeño @Arcanus_tco

Un estudio demuestra que los usuarios aceptaron comunicaciones deliberadamente vulnerables entre el 30% y el 40% de las veces

Las apps de smartphone y los móviles diseñados para garantizar las comunicaciones seguras a menudo pueden ver su seguridad comprometida por los propios usuarios, según una investigación reciente.

Las apps, que incluyen RedPhone y Signal, pueden pedir que las personas que llaman o envían mensajes comparen verbalmente una corta serie de palabras que aparecen en pantalla. El sistema se conoce como cadena de encriptación corta o suma de comprobación, y pretende evitar que una nueva sesión de comunicación sea vulnerada por un intruso. La idea es que si la seguridad de una llamada se compromete, esas palabras no concordarán.

Para poner a prueba su funcionamiento, unos investigadores de la Universidad de Alabama en Birmingham (EEUU) diseñaron un estudio que imitaba una app de cryptophone (teléfono encriptado). Los investigadores pidieron a los participantes que utilizaran un navegador web para llamar a un servidor en línea. Entonces, escucharon unas secuencias aleatorias de dos o cuatro palabras y determinaron si correspondían con las palabras mostradas en pantalla. También pidieron a los participantes que verificaran si la voz que escucharon era la misma que previamente les había leído un cuento.

Los investigaron encontraron que a menudo los participantes aceptaron llamadas incluso cuando escucharon una secuencia incorrecta de palabras, y con frecuencia denegaron llamadas cuando la secuencia fue pronunciada correctamente. Por lo demás, los investigadores afirman que utilizar una suma de comprobación de cuatro palabras en lugar de dos parece reducir la seguridad, a pesar de que una suma de comprobación más larga debería aumentar la seguridad de manera exponencial.

Los investigadores presentaron su trabajo este mes en una conferencia de seguridad informática celebrada en Los Ángeles (EEUU).

El estudio incluyó 128 participantes, y Maliheh Shirvanian, el autor principal del trabajo y un alumno de postgrado de la universidad, explica que los participantes aceptaron una secuencia incorrecta de dos palabras el 30% de las veces si procedía de una voz correctamente identificada como la que habían escuchado con anterioridad. También rechazaron secuencias de dos palabras correctamente pronunciadas el 22% de las veces.

Además, los investigadores observaron que los participantes aceptaron unas series incorrectas de cuatro palabras un 40% de las vece s, y rechazaron otras correctas el 25% de las veces.

Justin Troutman, un criptógrafo que trabaja en la start-up de búsquedas encriptadas Krypnostic y que ha centrado su trabajo en la intersección de la criptografía con la experiencia del usuario, dice que una razón por la que la gente acepta sumas de comprobación inválidas podría ser que están formadas por palabras aleatorias, en lugar de una secuencia que se encontraría dentro de una frase. Los usuarios pueden perder la concentración al escucharlas, especialmente cuando reconocen la voz que las pronuncia. Con una secuencia más larga de palabras, los usuarios pueden dejar de prestar atención a las palabras del medio, añade.

Con la esperanza de mejorar la seguridad, los investigadores dicen estar trabajando en un nuevo estudio que analiza el uso de software para verificar las sumas de comprobación, especialmente las más largas, al principio de una llamada segura. Tal y como lo imaginan los investigadores, los participantes de una llamada pronunciarían las palabras en voz alta durante una llamada. Entonces el software transcribiría las palabras y compararía las dos transcripciones. De esta manera, los usuarios se limitarían a validar que la voz al otro lado les es familiar, en caso de ya conocer la voz de la persona con la que hablarán (lo cual, por supuesto, no siempre será el caso).