Cuando se trata de computadoras, la comodidad y la seguridad suelen estar reñidas. Un sistema simple y fácil de usar del que no puede bloquearse tiende a ser menos seguro que algo un poco menos fácil de usar. Este suele ser el caso con el cifrado de extremo a extremo (E2EE), un sistema en el que los mensajes, las copias de seguridad y cualquier otra cosa solo pueden ser descifrados por alguien con la clave correcta, y no por el proveedor del servicio ni por ningún otro intermediario. Si bien es mucho más seguro, tiene algunos problemas con la comodidad, y últimamente ha aparecido mucho en las noticias.
El El Parlamento del Reino Unido está considerando actualmente es largamente esperado Factura de seguridad en línea, lo que esencialmente haría que el cifrado seguro de extremo a extremo fuera ilegal. Ambos WhatsApp y Señalque usa E2EE para sus aplicaciones de mensajería, dijo que se retiraría del mercado del Reino Unido en lugar de comprometer la seguridad del usuario.
Slack, por otro lado, no usa E2EE para proteger a sus usuarios. Esto significa que, en teoría, Slack puede acceder a la mayoría de los mensajes enviados en su servicio. (Los clientes corporativos que pagan más pueden usar su propia configuración de encriptación, pero los jefes o el departamento de TI pueden leer los mensajes de los empleados si son ellos los que tienen el control de la clave). Fight for the Future, un grupo de derechos digitales, ha acaba de lanzar una campaña pidiendo a Slack que cambie esto, ya que actualmente “pone en riesgo a las personas que buscan, brindan y facilitan abortos en un entorno posterior a Roe”.
Finalmente, Google tiene actualizó su aplicación de autenticación de dos factores para permitir los códigos secretos de un solo uso que le permiten iniciar sesión para sincronizar entre dispositivos. Esto significa que los usuarios no necesitan reconfigurar cada cuenta con 2FA configurado cuando obtienen un nuevo teléfono. Desafortunadamente, como señalaron dos investigadores de seguridad en Twitter
[Related: 7 secure messaging apps you should be using]
Para una tecnología tan importante, E2EE es una idea relativamente simple, aunque las matemáticas necesarias para que funcione son complicadas e implican la factorización de muchos números muy grandes. Es más fácil de entender con algo como mensajes de texto, aunque los mismos principios se pueden usar para proteger otros tipos de comunicaciones digitales, como códigos de autorización de dos factores, copias de seguridad de dispositivos y bibliotecas de fotos. (Por ejemplo, los mensajes enviados a través de iMessage, Signal y WhatsApp están cifrados de extremo a extremo, pero un mensaje SMS estándar no).
E2EE generalmente usa un sistema llamado criptografía de clave pública. Cada usuario tiene dos claves que están relacionadas matemáticamente: una clave pública y una clave privada. La clave pública puede ser genuinamente pública; no es una información secreta. La clave privada, por otro lado, debe protegerse a toda costa: es lo que hace que el cifrado sea seguro. Debido a que la clave pública y la clave privada están relacionadas matemáticamente, un mensaje de texto que está codificado con la clave pública de alguien usando un algoritmo difícil de revertir solo puede decodificarse usando la clave privada correspondiente.
Entonces, digamos que Bob quiere enviarle a Alice un mensaje de texto encriptado. El servicio que utilizan almacena todas las claves públicas en un servidor central y cada usuario almacena sus claves privadas en su propio dispositivo. Cuando envíe su mensaje, la aplicación lo convertirá en un número largo, obtendrá la clave pública de Alice del servidor (otro número largo) y ejecutará ambos números a través del algoritmo de encriptación. Ese número realmente largo que parece una absoluta tontería para todos los demás se envía a Alice, y su dispositivo luego lo descifra con su clave privada para que pueda leer el texto.
Pero este ejemplo también destaca dónde E2EE puede causar dolores de cabeza. ¿Qué sucede si Alice pierde su dispositivo que contiene su clave privada? Bueno, entonces no puede descifrar ningún mensaje que alguien le envíe. Y dado que su clave privada no está respaldada en ninguna parte, tiene que configurar una cuenta de mensajería completamente nueva. Eso es molesto si se trata de una aplicación de mensajes de texto, pero si se trata de una copia de seguridad importante o un sistema 2FA, que te bloqueen tu cuenta porque perdiste tu clave privada es un riesgo muy real que no tiene una buena solución.
¿Y qué sucede si Bob le envía a Alice un mensaje sobre sus planes para dominar el mundo? Bueno, si el gobierno del Reino Unido tiene una ley vigente que debe ser copiada en todos los mensajes sobre la dominación mundial, el proveedor de servicios está en un aprieto. No pueden ofrecer E2EE y realizar ningún tipo de moderación de contenido.
Esto es parte de por qué E2EE aparece con tanta frecuencia en las noticias. Si bien en teoría es excelente para los usuarios, para las empresas que ofrecen estos servicios, existe una compensación muy real entre brindarles a los usuarios una gran seguridad y configurar las cosas para que la atención al cliente pueda ayudar a las personas que se bloquean a sí mismas de sus cuentas, y para que pueden cumplir con las demandas y citaciones del gobierno. No espere ver el cifrado fuera de las noticias en el corto plazo.