Encriptación punto-a-punto: de la oscuridad al mainstream

Encriptación punto-a-punto: de la oscuridad al mainstream

Lunes 5 Ene 2015

En pocos días he llegado a un punto de saturación respecto a leer predicciones para el 2015. Muchas de las predicciones son, fundamentalmente, cosas que ya están sucediendo y que al autor de la predicción le gustaría que continuaran sucediendo. Eso no tiene nada de malo, pero no estaría mal llamar a las cosas por su nombre.

En ese espíritu, creo que hay algo muy importante que sucedió a fines del 2014 y que estaría muy bien que continuara sucediendo el 2015. Me refiero a la transición que están experimentando las tecnologías de nube con conocimiento cero, en particular la encriptación punto-a-punto.

Conocimiento cero = bueno

Almacenar cosas en la "nube" es valioso por varios motivos. Primero, poder acceder a tus propios archivos desde cualquier dispositivo (móvil, tablet, laptop, etc.) es muy conveniente. Segundo, un efecto secundario positivo es que tienes un respaldo de estos archivos. Tercero, es más fácil compartir un archivo con otra persona si tu archivo ya está en la "nube".

Para muchas personas, resulta obvio que si, por ejemplo, subes algunas fotos a un sistema de almacenamiento, entonces tus fotos quedan a disposición de la gente que opera esa nube. La gente que trabaja para esa empresa puede ver tus fotos, y si los hackean a ellos, o si adivinan tu clave sin necesidad de tener acceso a tu dispositivo, entonces tus fotos pueden acabar en cientos de sitios en Internet.

Para un cliente corporativo, el problema de almacenar secretos de negocio en la nube es mucho más serio, sobre todo si se trata de un negocio del sector tecnológico (posible competidor del proveedor de nube) o que compite con alguna empresa estadounidense, como le sucedió a Petrobras.

Un proveedor de almacenamiento remoto no necesita tener acceso al contenido de tus archivos para poder almacenarlos.

Resulta obvio para casi todo el mundo que esta desventaja es una consecuencia inevitable de subir un archivo a Internet, pero no tiene por qué ser así. Desde hace décadas que existe tecnología para encriptar un archivo antes de subirlo, y decriptarlo después de bajarlo. En otras palabras, para que, sin necesidad de que tú tengas que hace nada ni siquiera preocuparte de lo que está sucediendo, un sistema de almacenamiento pueda funcionar con conocimiento cero.

En algunos casos, el proveedor de almacenamiento ofrece esta característica como una de sus cualidades principales, como es el caso de SpiderOak. En otros casos (e.g. Dropbox), es el mismo usuario el que debe configurar su computador para que utilice cero-conocimiento, como explicamos en un artículo anterior.

Encriptación punto-a-punto

El hecho de que un archivo pueda mantenerse en la nube en forma segura tiene una consecuencia directa. El mismo proveedor de nube, puede pasar el archivo entre dos usuarios (o más) sin necesidad de tener acceso al contenido. Esto se llama encriptación punto-a-punto, porque el archivo es encriptado en el lugar de origen, permanece encriptado durante todo el transporte y es decriptado en el lugar de destino.

La encriptación punto-a-punto no es simplemente un asunto de que sientas pudor si alguien lee los mensajes que intercambias con tu pareja o tus amigos. Si eres un activista (por los derechos de una minoría, por un movimiento social, etc.) o si existe la posibilidad de que te conviertas en un activista en el futuro, entonces evidentemente es un problema el hecho de que tu gobierno actual pueda tener acceso prácticamente ilimitado a tus mensajes mediante dudosas maniobras legales, como sucede con los ciudadanos EEUU y la NSA.

No se trata de que tus mensajes contengan algo ilegal o inmoral. Se trata de que si antagonizas a alguien poderoso, y ese alguien tiene acceso a tus mensajes, el poder que tiene sobre ti es mucho mayor.

Dadme seis líneas escritas por el más honrado de los hombres, y hallaré algo en ellas para colgarlo. —Cardenal Richelieu.

Los nuevos frenos ABS

Las tecnologías de encriptación son similares a los sistemas de frenado con anti-bloqueo ABS (Anti-lock braking system). En un comienzo, son consideradas relevantes por un grupo pequeño de usuarios: en el caso de los frenos ABS los trenes de aterrizaje de los aviones. Luego, algunos fabricantes se dan cuenta de que pueden ser también utilizadas en productos de consumo masivo, pero no como un argumento decisivo de ventas. La idea es que los compradores más expertos y la prensa especializada le de una valoración marginalmente más positiva a un vehículo con ABS que a uno que no tenga, como sucedió hacia fines de los 1980s y comienzo de los 1990s. Cuando más consumidores entienden el concepto, no tener frenos ABS es considerado una desventaja (típico de una curva de adopción tecnológica). Finalmente, un ente regulatorio puede llegar a considerar que no hay motivo para no mandar que los vehículos nuevos tengan ABS, como sucedió en Europa en el 2007 y en EEUU en el 2011.

Las revelaciones de los últimos años sobre las prácticas masivas y abusivas de espionaje ilegal contra millones de ciudadanos, han al menos expuesto que sí, existe un motivo para preocuparse de la seguridad de nuestros archivos y comunicaciones en la nube. El hecho de que hacia fines del año pasado WhatsApp haya incorporado encriptación punto-a-punto en su aplicación, usada por millones, muestra un cambio de etapa. De continuar esta tendencia, no resulta tan descabellado pensar que es posible que otros proveedores de mensajería comiencen a ofrecer este nivel de seguridad para no quedar en desventaja. Ésa es mi "predicción" para el 2015.

Foto: Maksim Kabakou (non-free!).

P.S.: The Guardian Project propone también que el 2015 sea el año en que la seguridad computacional se convierta en algo tan pedestre que resulte aburrido, como sucede con los chalecos salvavidas, los detectores de humo, o también, los frenos ABS.

Foto de ChaTo Carlos Castillo @ChaToX PhD en Ciencias de la Computación, investigador en minería de datos y computación social, particularmente en medios sociales durante crisis humanitarias. http://www.chato.cl/