Bridgefy es una empresa de software mexicana con oficinas en México [1] y California, Estados Unidos, dedicada al desarrollo de tecnología de redes en malla para aplicaciones móviles. Fue fundada alrededor de 2014 por Jorge Ríos, Roberto Betancourt y Diego García, quienes concibieron la idea mientras participaban en una competencia tecnológica llamada StartupBus . [2] La tecnología de red ad hoc para teléfonos inteligentes de Bridgefy , aparentemente usando Bluetooth Mesh , tiene licencia para otras aplicaciones. [3] [4] [5] La aplicación ganó popularidad durante las protestas en diferentes países, ya que puede operar sin Internet, usando Bluetooth en su lugar. Consciente de los problemas de seguridad de no usar criptografía y las críticas que la rodean, [6] Bridgefy anunció a fines de octubre de 2020 que adoptaron el protocolo Signal , tanto en su aplicación como en SDK, para mantener la privacidad de la información, [7] aunque los investigadores de seguridad han demostrado que el uso del protocolo Signal por parte de Bridgefy es inseguro. [8]
La aplicación ganó popularidad como táctica de comunicación durante las protestas de Hong Kong de 2019-2020 y las protestas de la Ley de Enmienda de Ciudadanía en India, [9] porque requiere que las personas que quieran interceptar el mensaje estén físicamente cerca debido al alcance limitado de Bluetooth y la capacidad de conectar dispositivos en cadena para enviar mensajes más allá del alcance de Bluetooth. [10] [11] [12] [13]
En agosto de 2020, los investigadores publicaron un artículo que describe numerosos ataques contra la aplicación, que permiten desanonimizar a los usuarios, construir gráficos sociales de las interacciones de los usuarios (tanto en tiempo real como después del hecho), descifrar y leer mensajes directos, hacerse pasar por usuarios ante cualquier otra persona en la red, cerrar completamente la red, realizar ataques activos de tipo man-in-the-middle para leer mensajes e incluso modificarlos. [6]
En respuesta a las revelaciones, los desarrolladores reconocieron que "ninguna parte de la aplicación Bridgefy está encriptada ahora" y dieron una vaga promesa de lanzar una nueva versión "encriptada con protocolos de máxima seguridad". [14] Más tarde, los desarrolladores dijeron que planean cambiar al Protocolo Signal , que es ampliamente reconocido por los criptógrafos y utilizado por Signal y WhatsApp . [6] El Protocolo Signal se integró en la aplicación Bridgefy y el SDK a fines de octubre de 2020, y los desarrolladores afirmaron haber incluido mejoras como la imposibilidad de que una tercera persona se haga pasar por otro usuario, ataques de intermediarios realizados modificando claves almacenadas y seguimiento de proximidad histórica, entre otros. [7]
Sin embargo, en 2022, los mismos investigadores de seguridad, entre los que ahora se incluye Kenny Paterson , publicaron un artículo en el que se describía cómo el uso del protocolo Signal por parte de Bridgefy era incorrecto y no lograba solucionar los problemas descubiertos anteriormente. [15] Los investigadores realizaron una demostración en la que se mostraba que era posible que los usuarios interceptaran mensajes destinados a otros sin que el remitente se diera cuenta. [16] Los investigadores revelaron las vulnerabilidades a los desarrolladores de Bridgefy en agosto de 2021, pero, según los investigadores, los desarrolladores aún no habían resuelto los problemas en junio de 2022. [8]
El 31 de julio de 2023, la empresa de seguridad 7asecurity publicó una entrada de blog y un informe de pentest de una prueba de penetración de caja blanca y una revisión de seguridad general de la aplicación Bridgefy en colaboración con los desarrolladores de la plataforma. Su revisión, que comenzó en noviembre de 2022 y concluyó en mayo de 2023, identificó múltiples vulnerabilidades críticas en toda la aplicación. Muchos de los problemas se solucionaron, total o parcialmente, antes del final de la auditoría, incluida la suplantación de identidad del usuario y la omisión biométrica . Bridgefy también publicó una entrada de blog el 8 de agosto de 2023, anunciando los resultados de la auditoría.