El cifrado es, sin duda, uno de los temas más importantes de nuestro tiempo. El gran Julian Assange lo convirtió en protagonista de unos de sus libros, «Cypherpunks«, para cuya edición en español tuve el placer de escribir el prólogo, y lo posicionó como la tecnología clave que podría permitir que nos planteásemos luchar contra un uso de la red cada vez más opresor, más vigilante, contra un futuro cada vez más orwelliano.
Ahora, Tim Cook, CEO de Apple, ha vuelto a poner de actualidad la discusión sobre el tema con unas declaraciones que afirman que «debilitar o prohibir el cifrado perjudica a la gente de bien»: la compañía, con su fuerte compromiso de privacidad, se ha convertido en un problema de cara a algunas investigaciones de la policía norteamericana – aunque las evidencias hasta el momento hablan de un total de tan solo nueve casos en los que se plantearon ese tipo de dificultades.
Pero la compañía de la manzana, por supuesto, no está sola en la trinchera de aquellos que defienden el cifrado como una tecnología fundamental de cara al futuro. Facebook acaba de introducir la posibilidad de incorporar cifrado mediante PGP en los correos que la compañía envía a sus usuarios, una acción que muchos tildan como de relativamente simbólica: utilizar PGP no es sencillo, muy pocos usuarios saben cómo hacerlo, muchos confunden su clave pública con la privada, y otros que en su momento obtuvieron una clave porque quedaba muy moderno ponerla en su página, han olvidado dónde pusieron la otra mitad. Sin embargo, el movimiento podría avanzar un intento por mejorar la usabilidad de PGP y hacerlo más accesible al usuario medio, algo en lo que también lleva tiempo trabajando otra de las grandes empresas tecnológicas: Google. Hoy hace justamente un año que la compañía anunció la disponibilidad de una extensión para Chrome, End-to-End, destinada a convertir el cifrado de extremo a extremo en algo fácil de utilizar. La extensión permanece en fase de pruebas en GitHub y aún no está disponible en la Chrome Web Store, pero es una iniciativa que acompaña a otras de la compañía, como la de otorgar mejores posiciones en sus resultados a aquellas páginas que cifran su tráfico mediante https.
Apple, Facebook, Google… añadamos algún actor atípico más, como Kim Dotcom y su Mega, que desde su lanzamiento hace tres años intenta hacer del cifrado un producto masivo, y planteemos además las ideas de gobernantes como Barack Obama, que en una entrevista afirmaba que no contemplaba ningún escenario del que el cifrado fuerte no fuese parte, o el gobierno alemán, que insiste en convencer a sus ciudadanos acerca de la conveniencia de utilizar cifrado fuerte en todas sus comunicaciones, y parece que el escenario está servido: como se anunció en su momento, 2015 podría estar siendo el auténtico año del cifrado extremo a extremo y de su despertar a un uso masivo. Claramente, gobiernos como el del Reino Unido están quedando en franca minoría, y pronto verán sus pretensiones rebajadas a la categoría de «ocurrencias» propias de ignorantes, malintencionados o liberticidas.
¿Cuáles serán las consecuencias de una internet en la que la práctica totalidad del tráfico esté completamente cifrado? Para imaginar un escenario así, habría que comenzar por descartar las paranoias: los delincuentes y terroristas de toda condición ya pueden, desde hace mucho tiempo, recurrir a herramientas de cifrado fuerte extremo a extremo. Para ello, únicamente es necesario tener la motivación suficiente para hacerlo. La cuestión del cifrado, por tanto, hace mucho tiempo que ya no tiene que ver tanto con la seguridad, y sí con la censura o el control de las ideas. Quedan, obviamente, cuestiones por resolver: plantear, por ejemplo, cuál es el papel de las operadoras, que posiblemente lleven demasiado tiempo en abierta connivencia con algunos gobiernos y sus deseos de control, y cómo va a evolucionar la privacidad en un mundo en el que incluso las conversaciones más casuales o la navegación más inocente será objeto de cifrado robusto. Sin duda, un mundo diferente al que hoy vivimos. El verdadero desarrollo de internet empieza cuando su uso se convierte en una herramienta de libertad, no en una gigantesca máquina de espiar a sus usuarios. Y para eso, todavía nos queda algo de tiempo.
This article is also available in English in my Medium page, “Are you ready for a fully encrypted internet?«
Hay que tener mucho cuidado si pensamos que el cifrado es la panacea. Para comunicaciones de relativamente poca importancia o tiempo de vida corto, lo es, pero para contenidos que nunca queramos que salgan a la luz, no.
En estos casos el cifrado es pan para hoy, hambre para mañana. Es sabido que la NSA está almacenando hexas y hexas de contenido cifrado, a la espera de que la tecnología avance lo suficiente para romperse. Y cualquiera (con los recursos) podría estar haciéndolo. Llegará un día, gracias probablemente a los ordenadores cuánticos, en que todo lo que hayamos cifrado ahora será descifrable en tiempo real por cualquier persona.
Yo creo que, a largo plazo, el único estado de equilibrio es el no secretismo, y la transparencia total.
Se habla mucho de cifrar, pero hay algo que no piensa la gente: fragmentar las transmisiones. Si envías un mensaje cifrado solo hay que descifrar uno pero si envias eso mismo en cinco fragmentos independientes y que requieran estar todos para poder generar el mensaje original y a su vez cifrados de nuevo la cosa se complica.
La información pierde siempre valor con el tiempo. El secreto más vergonzoso que puedas tener en tu vida privada no valdrá nada dentro de unas décadas, cuando ya hayas muerto.
¿Sabías que Napoleón murió asesinado? Pero una información tan importante no tuvo repercusión alguna, porque no se supo hasta siglo y medio después de su muerte.
Si tardan dos meses en descifrar el mensaje «nos vemos esta tarde en la cafetería» el propósito del cifrado se ha cumplido.
Bueno, bueno, también se podrán utilizar los ordenadores cuánticos para cifrar más fuerte :D
Don Enrique, Maestro.
La seguridad no es un estado. Es un proceso.
Y la primera máxima que se aprende en las «procelosas aguas» de la seguridad IT (como en otras «seguridades») es que… no hay BALA DE PLATA.
El cifrado es una ayuda… pero no la panacea.
Decir hoy en día que las comunicaciones estn cifradas… solo explica eso, que no van «en claro» pero eso no quiere decir que sean seguras. NADA MAS LEJOS DE LA REALIDAD.´
Es como asegurar que con una buena puerta blindad no te van a entrar en casa cuando te vayas de viaje.
;-)
Ademas… a que se refiere con el «cifrado»…?
Cifrado de clave publica…?
O…
Cifrado de clave privada…?
Si habla de la seguridad de las comunicaciones, necesariamente será el primero (asimétrico o clave pública)
O como mucho un «sobre digital» con la combinación de ambos.
En cualquier caso, tras los últimos «escándalos» del SSL y la evidencia de su debilidad y facilidad para ser «roto» debido a continuas vulnerabilidades descubiertas (pero existentes desde hace mucho) hacen dudar de la bondad del cifrado como panacea para todo.
Afirmarlo… es poco mas que la expresión de un deseo.
En este sentido no puedo estar mas de acuerdo con #001 y lo afirmado por Neoludita.
Tanto si son descrifrables como si no (con ordenadores cuánticos), al final resulta que todo irá tan cifrado que la neutralidad en la red será hiper-posible, dado que nadie tendrá ni idea de lo que circula por sus redes.
Yo abogo a favor de esto. En Correos nadie me abre las cartas, estén cifradas o no, espero que en internet me hagan lo mismo.
¿Delincuentes? Pfff, ¿Desde cuando han usado Facebook para publicar sus hazañas? En fin, vaya paranoias.
PD: Ya hay cifrados anti-cuanticos, ¡no os preocupéis!
La excusa de los delincuentes no puede ser más tonta. ¿Acaso un delincuente va a dejar de usar el cifrado porque esté prohibido?
Ya podemos cifrar lo que queramos, les va a importar un pimiento, porque ya te venderan los discos duros nuevos con rockits instalados y con las licencias que se conceden a la policia para instalar programas espias en los ordenadores, que?, nos va a servir de mucho el encriptar.
Ademas, el contenido del emnsaje no es especialmente relevante en los casos de control social-policial, lo importante esta en los metadatos, con quien te comunicas, con que frecuencia, cambios de ritmo en las comunicaciones, etc., el contenido les resulta irrelevante, y si les interesa conocerlo, simplemente vendran a preguntarlo amablemente, si bien es posible que nuestro concepto de cortesia no sea el mismo que el de ellos.
Ya tengo problema para gestionar las diferentes claves que utilizo en los servicios de Internet, desde el correo de Gmail a los anuncios de Idealista, como para tener que preocuparme de gestionar las claves asimétricas de todos los que conozco.
Por fuertes que sean los árboles los derriban los vendavales, pero la hierba se dobla pero resiste le paso del huracán. Un cifrado resistirá más o menos, pero se terminará descifrando, una comunicación discreta, pasara cualquier filtro de mensajes.
Si en un vídeo de gatitos, ocultamos un mensaje secreto, solo el que sepa que lo contiene lo encontrará, para el resto de los mortales incluidos los de NSA, será una cursilada más añadir a los millones de cursiladas que hay en Internet.
Saludos Enrique,
Un humilde apunte off-topic: Veo que escribes «internet» y no de la forma que creo correcta que es «Internet» ya que es nombre propio por ser la única y la principal interconexión mundial que existe. Su modelo de red se basa en una topología tipo internet (en su teoría), pero la implementación real (la práctica) y que todo el mundo conoce como «la Red», debería escribirse «Internet».
Observo que se está generalizando la moda de no escribirlo con la «i» en mayúscula haciéndola denigrar de importancia. A este fabuloso invento, que actualmente no sé qué haríamos sin él, conviene conservarle la categoria que se merece.
Vamos, es mi opinión.
Un saludo.
La encriptación me parece buena según para qué cosas. Por ejemplo el proyecto HttpsEverywhere me parece una estupidez. Para mejor entendimiento, he aquí lo que les dije:
Dear Sir,
I am a «techie», as you call it. I’d like to trust this campaign, but I realize the NSA has probably the best computing power of the world. The SSL/TLS security has been lowered by NSA intervention. They’ve been forcing things to lower all security. I know they’ve been also affecting for years all USA exportations in networking hardware and software, compelling the companies to create backdoors and security vulnerabilities. As a result, today, no one USA company can be trusted. I don’t trust supporters of this campaing, like Google, twitter, and the lot. They earn money out of our privacy, How are we supposed to trust them? Besides, they help the NSA and worldwide governments betraying us every time they are asked.
NSA can decrypt SSL/TLS easily and looks like they are increasing their computing power with quantum computing shortly if they haven’t done so already.
The measures you propose in this Reset The Net campaing, except perhaps end to end encryption, may serve as a image washing purpose. General public may be deceived and surely is already, but for people like me… it’s just a smoke curtain. In this process, the only thing you are getting is obfuscating the web, hence difficulting the learning process of newcomers to how things work. Dumb and ignorant people is easier to handle by governments.
I believe that is not the way. The NSA must stop mass surveillance. It hasn’t served to stop terrorism, but to prevent dissent. It’s all obvious.
Lastly but not least important. I’ve queried the whois registry for your resetthenet.org domain. It’s quite curious that the registrant data has been concealed. I wonder why. What are you hidding?
I’d appreciate any help to clear my doubts about your campaign, if that is possible. Thank you in advance.
Sincerely,
Mhyst
Su respuesta fue que no estaban de acuerdo conmigo. A ver que iban a decir. Toda esta movida de empujar el https a todo el mundo no es mas que humo y espejos.
El encriptado integral de internel con la próxima evolución a la computación cuántica dá que pensar en ideas distópicas del fin de esta civilización. Porque la criptografía es un arma de doble filo que al mismo tiempo que nos protege nos puede destruir. En un uso terrorista no sólo es un arma de ocultación, sino que también se usa para crear ataques criptográficos como ya se ha podido ver con los ramsonwares que nos encriptan el disco duro sin que nos demos cuenta. Llegado el caso y echando mano de nuestra imaginacion sci-fi terroristas malvados podrían encriptar elementos insustituibles de alto nivel que ya no tienes copias en papel debido a su complejidad nos podrían dejar en un estado al de las antiguas civilizaciones como Egipto y sus jeroglificos que ya nadie entendía. Aunque supongo que la computación cuántica creará sus propios back-ups cuánticos.