Enlaces accesibilidad

Cifrar la red: una solución al espionaje masivo en Internet

  • Organizaciones como la EFF proponen cifrar toda Internet para evitar el espionaje
  • Ocho empresas siguen sus recomendaciones, entre ellas Facebook, Google y Microsoft
  • Salvaguardar la privacidad de los usuarios y proteger sus datos se considera prioritario

Por
Candado en la red.
Candado en la red.

Los activistas de la EFF (Fundación Fronteras Electrónicas),  una de las organizaciones de derechos civiles más antigua y respetada del mundo digital, están haciendo un seguimiento día a día de lo que denominan el movimiento para cifrar Internet. Otras organizaciones como Fight for the Future tienen iniciativas similares, como Reset the Net, prevista para el próximo 5 de junio.

La premisa es fácil de entender: Si "en este mundo todo se espía y quien puede se apodera de los contenidos de los demás",  lo mejor es que ese "todo" esté cifrado para garantizar que esas acciones simplemente no valgan de nada.

El asunto tiene muchas derivadas que conviene analizar:

La primera de ellas es si cifrar la información es realmente una solución. Hasta donde se sabe actualmente, la NSA (Agencia de Seguridad Nacional de los EE UU) y otras organizaciones tienen una gran capacidad computacional y de recursos, incluyendo los mejores matemáticos y expertos en seguridad de Internet, capaces para descifrar en un tiempo récord casi cualquier mensaje.

Contraseñas de hasta 2048 bits

Pero las matemáticas de la criptografía están en contra de la NSA: los protocolos y estándares de cifrado más avanzados, a los que puede acceder cualquier usuario, aumentan exponencialmente la seguridad de los datos a medida que aumentan los bits de las claves. Y es el usuario el que elige la longitud de las contraseñas que guardan los secretos.

De este modo, basta con pasar de usar claves de 128, 256 o 512 bits a usar claves de 1024 o 2048 bits para que la tarea del descifrado masivo se torne inasumible.

El reto de factorización de la empresa de seguridad RSA deja bien claro cómo ha evolucionado esa capacidad: aunque las claves pequeñas ya se consideran inseguras, las de 768, 1024 y más bits están todavía lejos de ser vulnerables, incluso suponiendo a la NSA más poderío del que actualmente se cree que tiene.

Muchos expertos recomiendan usar directamente la mayor cantidad de bits posibles siempre que no se degrade el rendimiento de los equipos informáticos. De modo que si se cifra, y se cifra seguro, el primer problema está resuelto.

Un segundo factor sería que aunque los individuos guardemos nuestra información con mejores sistemas de cifrado, si no lo hacen las empresas a las que confiamos cada día nuestros correos, documentos, contactos personales y resto de información, el problema sigue estando ahí.

Esto se puso de manifiesto de forma clara cuando el caso Snowden reveló que la NSA había obtenido datos espiando a esas empresas o que incluso que algunas colaboraban o introducía a sabiendas código espía en software de todo tipo.

Por esta razón, la EFF preparó una serie de medidas o "buenas prácticas" que las empresas deberían seguir para que los usuarios vuelvan a confiar en ellas, entre ellas cifrar el tráfico que viaja entre los servidores de sus centros de datos (y no solo de los servidores al usuario), trabajar siempre con comunicaciones seguras (el protocolo HTTPS que en los navegadores web muestran los famosos "candados" de seguridad) y otros protocolos como el HSTS, el PFS o el STARTTLS.

Los usuarios normales y corrientes no tienen por qué entender de estos tecnicismos, simplemente saber que velan por su seguridad si están activados.

La última derivada es si realmente las empresas están implementando estas políticas o solo anunciándolas por quedar bien, por ejemplo afirmando cifrar todos los contenidos de sus servidores pero luego no haciéndolo.

Lo cierto es que trabajar de forma segura no supone un gran esfuerzo ni un gran gasto, es más una cuestión de decisión y mentalidad. Y si bien sucede que hay algunas afirmaciones difíciles de comprobar existen auditorías que podrían confirmar la información. También muchos de los aspectos que se barajan son fácilmente comprobables desde el exterior, como el uso de los protocolos seguros en las comunicaciones con los clientes.

Una gigantesca tabla de datos de la EFF muestra qué empresas han implementado ya algunas o todas estas medidas; con la incorporación de Yahoo en los últimos días ya son ocho en total las que cumplen el 'cinco de cinco': Facebook, Google, Microsoft, Twitter, Yahoo, Dropbox, Sonic.net y SpiderOak.