Maldita Tecnología
29/06/2020

Por qué no todo se cifra de extremo a extremo en la red

Hace poco, la aplicación Zoom para hacer videoconferencias anunció que iba a cifrar las conversaciones de sus usuarios, pero sólo las de aquellos que paguen por el servicio. Un par de semanas después, decidió que mejor cifrarlas todas, también las del servicio gratuito. De ahí sale la siguiente pregunta: ¿por qué no se cifran las conversaciones de todas las plataformas de mensajería que usamos, para que nadie pueda leer nuestras conversaciones privadas, y ya está?

Hablar de criptografía es meterse en un bonito jardín técnico, ¡así que atentos, malditos, que vamos a ello! Hay varios tipos de cifrado y también distintos protocolos informáticos para implantarlo. El que más nos suena es el cifrado “extremo a extremo”, porque es el que escuchamos que utilizan WhatsApp o Telegram (en sus chats privados) y que quiere implantar Zoom, por ejemplo, y se basa en el uso de “claves”.

“Para ‘cifrar’ una comunicación se suelen utilizar algoritmos que necesitan un ‘secreto’ que deberían conocer sólo los extremos de la comunicación. A grandes rasgos, es como las palabras clave de las películas de espía”, explica a Maldita Tecnología Paula González, auditora de seguridad y maldita que nos ha prestado sus superpoderes.

Es decir, que si no sabes cuál es el “secreto” no puedes saber lo que se está diciendo en esa comunicación. Si intentaras intervenir o modificar esa comunicación sin conocer la clave el mensaje quedará irreconocible. “Una propiedad de estos algoritmos es que modificar un solo bit de datos causa un efecto sobre el mensaje”, añade González.

Esquema del cifrado de criptografía simétrica. Fuente: Oficina de Seguridad del Internauta.

Hasta aquí hablamos de un tipo de criptografía “simétrica”: tú tienes una clave, yo otra (que en realidad es la misma), y por eso sólo nosotros podemos leer nuestros mensajes. La criptografía “asimétrica” implica que haya más de una clave: una pública (la pueden tener todos los actores que están en la comunicación) y una privada (sirve sólo para descifrar el contenido). Este es más complicado porque hay partes del camino en las que el contenido no va cifrado.

¡Y todo esto sin que nosotros nos enteremos de mucho! El cifrado se lleva a cabo gracias a una serie de protocolos (uno de los más conocidos es el SSL) y “librerías” que hay por debajo, en el propio diseño del sistema informático.

Fuente: Grupo Atico34.

Otro ejemplo: el cifrado está presente cuando accedes a una página web que empieza por “HTTPS” y no por “HTTP”: “Como vemos en los navegadores, la comunicación HTTPS significa que va cifrada de cliente a servidor, obligatoriamente autenticada desde el lado servidor”, detalla Lorenzo Martínez, ingeniero informático y director de Securízame.

“Cuando tu realizas una comunicación sin cifrar (da igual si es mensajería o navegar por Internet), cualquier usuario que tenga la capacidad de interceptar el tráfico puede ver el contenido de la misma”, dice González. Esto es porque todas las “órdenes” que damos en Internet cuando hacemos búsquedas o chateamos con alguien pasan por muchos servidores. El cifrado lo que permite es seleccionar cuáles de esos servidores tiene acceso a nuestros mensajes y cuáles no y de ahí que haya distintos tipos. 

¿No sería más fácil entonces hacer que ninguno pudiese leer ninguna de nuestras comunicaciones? Resulta que diseñar un sistema de cifrado depende en mayor parte de que consigas gestionar bien el tema de las claves y no siempre es fácil: no son temporales sino que los usuarios tienen que tener siempre las misms, cada vez que mandas un mensaje. También tienes que garantizar que no se modifiquen cuando cambias de ordenador a móvil, si usas otro dispositivo, etc.

Luego está el hecho de que al usar una plataforma de mensajería como pueden ser WhatsApp y Telegram, y otros con más opciones como Skype, Zoom, Google Meet, etc. estás “contratando” un servicio de una compañía, que en muchas ocasiones usamos de forma gratuita. Es decir, que técnicamente te están brindando un servicio a cambio de nada. 

“Te doy un servicio gratuito hasta que tengo una masa crítica importante y luego identifico una forma de monetizarlo y darte un valor añadido. El servicio viejo lo sigo dando y te doy un servicio premium cobrándote”, describe Martínez sobre la primera decisión de Zoom. 

“Desde un punto de vista puramente técnico el problema se puede resolver pero no es barato precisamente con lo que en aplicaciones que proporcionan el servicio ‘gratis’ ya que habría que ver cómo rentabilizarlo. Y bueno, luego tenemos la parte de las presiones de empresas y/o gobiernos para poder ‘acceder’ a las comunicaciones privadas que, aunque no sean un coste, sí que son una presión”, añade González.

En este artículo ha colaborado con sus superpoderes la maldita Paula González.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos yhazte Embajador.

Otros artículos de Maldita.es