stringtranslate.com

Puentefy

Bridgefy es una empresa de software mexicana con oficinas en México [1] y California, Estados Unidos, dedicada al desarrollo de tecnología de redes en malla para aplicaciones móviles. Fue fundada alrededor de 2014 por Jorge Ríos, Roberto Betancourt y Diego García, quienes concibieron la idea mientras participaban en una competencia tecnológica llamada StartupBus . [2] La tecnología de red ad hoc para teléfonos inteligentes de Bridgefy , aparentemente usando Bluetooth Mesh , tiene licencia para otras aplicaciones. [3] [4] [5] La aplicación ganó popularidad durante las protestas en diferentes países, ya que puede operar sin Internet, usando Bluetooth en su lugar. Consciente de los problemas de seguridad de no usar criptografía y las críticas que la rodean, [6] Bridgefy anunció a fines de octubre de 2020 que adoptaron el protocolo Signal , tanto en su aplicación como en SDK, para mantener la privacidad de la información, [7] aunque los investigadores de seguridad han demostrado que el uso del protocolo Signal por parte de Bridgefy es inseguro. [8]

Uso

La aplicación ganó popularidad como táctica de comunicación durante las protestas de Hong Kong de 2019-2020 y las protestas de la Ley de Enmienda de Ciudadanía en India, [9] porque requiere que las personas que quieran interceptar el mensaje estén físicamente cerca debido al alcance limitado de Bluetooth y la capacidad de conectar dispositivos en cadena para enviar mensajes más allá del alcance de Bluetooth. [10] [11] [12] [13]

Seguridad

En agosto de 2020, los investigadores publicaron un artículo que describe numerosos ataques contra la aplicación, que permiten desanonimizar a los usuarios, construir gráficos sociales de las interacciones de los usuarios (tanto en tiempo real como después del hecho), descifrar y leer mensajes directos, hacerse pasar por usuarios ante cualquier otra persona en la red, cerrar completamente la red, realizar ataques activos de tipo man-in-the-middle para leer mensajes e incluso modificarlos. [6]

En respuesta a las revelaciones, los desarrolladores reconocieron que "ninguna parte de la aplicación Bridgefy está encriptada ahora" y dieron una vaga promesa de lanzar una nueva versión "encriptada con protocolos de máxima seguridad". [14] Más tarde, los desarrolladores dijeron que planean cambiar al Protocolo Signal , que es ampliamente reconocido por los criptógrafos y utilizado por Signal y WhatsApp . [6] El Protocolo Signal se integró en la aplicación Bridgefy y el SDK a fines de octubre de 2020, y los desarrolladores afirmaron haber incluido mejoras como la imposibilidad de que una tercera persona se haga pasar por otro usuario, ataques de intermediarios realizados modificando claves almacenadas y seguimiento de proximidad histórica, entre otros. [7]

Sin embargo, en 2022, los mismos investigadores de seguridad, entre los que ahora se incluye Kenny Paterson , publicaron un artículo en el que se describía cómo el uso del protocolo Signal por parte de Bridgefy era incorrecto y no lograba solucionar los problemas descubiertos anteriormente. [15] Los investigadores realizaron una demostración en la que se mostraba que era posible que los usuarios interceptaran mensajes destinados a otros sin que el remitente se diera cuenta. [16] Los investigadores revelaron las vulnerabilidades a los desarrolladores de Bridgefy en agosto de 2021, pero, según los investigadores, los desarrolladores aún no habían resuelto los problemas en junio de 2022. [8]

El 31 de julio de 2023, la empresa de seguridad 7asecurity publicó una entrada de blog y un informe de pentest de una prueba de penetración de caja blanca y una revisión de seguridad general de la aplicación Bridgefy en colaboración con los desarrolladores de la plataforma. Su revisión, que comenzó en noviembre de 2022 y concluyó en mayo de 2023, identificó múltiples vulnerabilidades críticas en toda la aplicación. Muchos de los problemas se solucionaron, total o parcialmente, antes del final de la auditoría, incluida la suplantación de identidad del usuario y la omisión biométrica . Bridgefy también publicó una entrada de blog el 8 de agosto de 2023, anunciando los resultados de la auditoría.

Véase también

Referencias

  1. ^ "Startup con sede en México".
  2. ^ Velázquez, Franck (22 de noviembre de 2018). «Bridgefy, la startup mexicana que te dejará pedir un Uber o recibir una alerta sísmica sin internet». Entrepreneur (en español). Archivado desde el original el 4 de septiembre de 2019. Consultado el 4 de septiembre de 2019 .
  3. ^ Silva, Matthew De (3 de septiembre de 2019). «Los manifestantes de Hong Kong reactivan las redes en malla para evitar el cierre de Internet». Quartz . Archivado desde el original el 2019-09-03 . Consultado el 2019-09-03 .
  4. ^ "Los manifestantes de Hong Kong están usando una aplicación que no necesita Internet y evitan el espionaje chino". The Times of India . 2019-09-03. Archivado desde el original el 2019-09-03 . Consultado el 2019-09-03 .
  5. ^ Thompson, Clive (3 de septiembre de 2019). «Los manifestantes de Hong Kong utilizan una aplicación de mensajería en red para evadir a las autoridades». Boing Boing . Archivado desde el original el 3 de septiembre de 2019 . Consultado el 3 de septiembre de 2019 .
  6. ^ abc Goodin, Dan (24 de agosto de 2020). "Bridgefy, el mensajero promocionado para las protestas masivas, es un desastre de privacidad". Ars Technica . Consultado el 26 de agosto de 2020 .
  7. ^ ab "Comunicado de prensa: ¡Importantes actualizaciones de seguridad en Bridgefy!". Bridgefy . Archivado desde el original el 2021-12-14 . Consultado el 2021-04-27 .
  8. ^ ab Eikenberg, Raphael. "Rompiendo Bridgefy, otra vez". GitHub . Consultado el 14 de junio de 2022 .
  9. ^ Nandi, Tamal (19 de diciembre de 2019). "Bridgefy: una aplicación de mensajería sin conexión que de repente está ganando terreno en India". livemint.com . Consultado el 22 de diciembre de 2019 .
  10. ^ "Los manifestantes de Hong Kong utilizan Bridgefy para impedir que China monitoree las acciones". Noticias | The CEO Magazine . 2019-09-03. Archivado desde el original el 2019-09-03 . Consultado el 2019-09-03 .
  11. ^ Jowitt, Tom (3 de septiembre de 2019). "Bridgefy crece en medio de las protestas en Hong Kong | Noticias tecnológicas de Silicon UK". Silicon UK . Archivado desde el original el 3 de septiembre de 2019. Consultado el 3 de septiembre de 2019 .
  12. ^ Wakefield, Jane (3 de septiembre de 2019). «Manifestantes de Hong Kong usan una aplicación Bluetooth». Archivado desde el original el 4 de septiembre de 2019. Consultado el 3 de septiembre de 2019 .
  13. ^ "Hong Kong: Manifestantes utilizan la aplicación offline Bridgefy para evitar ser identificados". Sky News. Archivado desde el original el 2019-09-03 . Consultado el 2019-09-03 .
  14. ^ "Bridgefly: ninguna parte de la aplicación Bridgefy está encriptada ahora". Twitter . Archivado desde el original el 2020-06-04 . Consultado el 2020-08-26 .
  15. ^ Albrecht, Martin R.; Eikenberg, Raphael; Paterson, Kenneth G. (2022). "Rompiendo Bridgefy, otra vez". USENIX Security (22). ISBN 9781939133311. Recuperado el 14 de junio de 2022 .
  16. ^ Eikenberg, Raphael. "Breaking Bridgefy again attack demo". Twitter . Consultado el 14 de junio de 2022 .

Enlaces externos