IN2tant y la seguridad

16 Junio 2016

Cuando hablamos de seguridad de una aplicación o de un sistema estamos hablando de un conjunto muy amplio de factores que aplican a múltiples niveles y que afectan a elementos tanto estrictamente tecnológicos como funcionales. Conocer bien estos factores y saberlos utilizar de la forma correcta son dos factores claves para que las organizaciones y usuarios que estén implantando una nueva solución tengan plena confianza en ella y su adopción sea un éxito. En el caso de IN2tant cuando hablamos de seguridad hablamos de tres elementos fundamentales: confidencialidad, privacidad y trazabilidad.

Entendemos por confidencialidad la capacidad de un sistema para compartir información entre dos o más sujetos de forma que agentes externos a la conversación no puedan observar su contenido. Esta es la vertiente de la seguridad donde más importante es la tecnología y donde es necesario aplicar las técnicas más actuales para evitar fugas de información provocadas por agujeros de seguridad en la implementación de la solución. IN2tant aplica dos tipos de técnicas para garantizar la confidencialidad en sus conversaciones. Por un lado todas las comunicaciones entre los clientes y el servidor (y también a la inversa) se hace por canales seguros protegidos por certificados digitales (SSL). Además, IN2tant, al igual que otras soluciones muy extendidas del mercado como Whatsapp, también ofrece la posibilidad de encriptar los mensajes enviados de forma que sólo el emisor y los destinatarios de los mensajes puedan leerlos. Para conseguir esto, IN2tant implementa el protocolo OTR como extensión del protocolo XMPP en el que se basa todo su sistema de mensajería. Estas dos técnicas juntas hacen que interceptar las comunicaciones hechas a través de IN2tant no sirva de nada ya que será imposible extraer información útil de ellas.

En el caso de la privacidad, también entran en juego factores tecnológicos, pero lo importante reside en la capacidad de las organizaciones para tener el control sobre las comunicaciones que se hacen a través de IN2tant. Uno de los problemas derivados del uso de aplicaciones de carácter general es que no se puede tener control sobre quién accede a las conversaciones ya que la identificación de los usuarios se basa en la identidad de la línea telefónica y no en una identidad reconocida por la organización. En el caso de IN2tant la autenticación se hace siempre mediante la integración de un gestor de identidades controlado por la organización propietaria del sistema de forma que siempre se sabrá quién puede utilizar la aplicación e incluso se podrán poner restricciones a nivel de entre qué usuarios se pueden establecer conversaciones. Esta es una funcionalidad muy útil en escenarios donde se quiere proporcionar un canal de comunicación limitado entre usuarios con diferentes roles (por ejemplo, entre médicos y pacientes).

Por último tenemos que considerar el tema de la trazabilidad, que está estrechamente relacionado con los dos puntos anteriores. Existen escenarios de comunicación segura en los que nunca se debe conocer el contenido de las conversaciones que han tenido lugar pero en otros casos es importante tener una evidencia fiable de las conversaciones que se han realizado por su valor como evidencias en procesos con implicaciones legales o de procedimiento. Con IN2tant se pueden definir escenarios en los que se guarden registros sobre las conversaciones y su contenido, relajando las exigencias de confidencialidad y estableciendo estrictas políticas de acceso y uso de las herramientas de control de la plataforma.

En la actualidad, donde cada vez se usan más las herramientas de comunicación en todos los ámbitos de la vida pública y profesional, contar con una herramienta capaz de cubrir la necesidad de seguridad a sus múltiples niveles se convierte en un valor añadido de las organizaciones que no solo   tendrán la confianza de que sus datos están seguros sino que también contarán con un medio con el que cumplir con las normativas y regulaciones sobre seguridad.