julio 1, 2022
Cryptocurrency Guía Noticias

Cifrado de extremo a extremo (E2EE) – Todo lo que necesita saber sobre este método de seguridad

Cuando se trata de comunicación, algunas discusiones son tan privadas que no quieres que ninguna otra persona las escuche. Pero con la llegada de la comunicación digital, se podría pensar que se ha resuelto el problema de manera que ahora puedes comunicarte directamente con tus amigos, familia e incluso socios comerciales sin que te oiga otra persona (por supuesto, excepto si se trata de una discusión de grupo), mientras que en lugar de ello, cada uno de los mensajes que intercambias se almacena y registra en un servidor central.

Esto puede parecer inofensivo hasta que se sabe que el servidor es vulnerable a un ataque desde el exterior y cualquiera puede poner sus manos en los mensajes y contenidos que se intercambian, o incluso los funcionarios del gobierno pueden exigir que el servidor sea allanado en busca de pruebas.

Sin embargo, en caso de que no quiera permitir que el servidor lea sus mensajes antes de transferirlos al destinatario, la solución para usted es el cifrado de extremo a extremo.

La tecnología de cifrado de extremo a extremo es la que permite cifrar la comunicación entre el emisor y el receptor de forma que sólo las dos partes implicadas en la comunicación puedan descifrar los datos. El origen de esta tecnología se remonta a los años 90, cuando Phil Zimmerman lanzó una tecnología llamada Pretty Good Privacy.

En esta guía, podrás leer todo lo que te ayudará a entender cómo funciona el cifrado de extremo a extremo y por qué podrías necesitar utilizarlo, pero antes, es bueno que la guía explique la tecnología que hay detrás de los mensajes sin cifrar.

¿Cómo funcionan los mensajes no codificados?

Para obtener la demostración perfecta, consideremos una plataforma de mensajería habitual que se maneja en un smartphone. Primero tendrás que instalar la aplicación y proceder a crear una cuenta antes de poder comunicarte con tus amigos, familiares o conocidos, que deberán haber hecho lo mismo para disfrutar de los privilegios.

Cuando buscas el nombre de usuario de un amigo y le escribes un mensaje, el mensaje se envía al servidor central de la aplicación que, tras darse cuenta de a quién va dirigido el mensaje, lo envía a su destino. Un ejemplo de esta tecnología es el envío de una carta a un amigo a través de una oficina de correos. El cartero entrega la carta a su amigo, no a usted.

Este sistema se conoce como el modelo cliente-servidor, en el que el teléfono es el cliente. En este caso, tu teléfono no hace mucho por entregar los mensajes, sino que el trabajo pesado se deja en manos del servidor. Esto significa que el proveedor de servicios hace de intermediario para que tus mensajes lleguen. Recuerda el ejemplo de la oficina de correos.

Sin embargo, la mayoría de las veces, el canal de datos A → S y el S → B están cifrados. (A es el emisor, S es el servidor y B es el receptor). Una tecnología que entra en esta categoría es el TLS – Transport Layer Security (seguridad de la capa de transporte) que asegura las conexiones entre servidores y clientes.

Tanto la tecnología TLS como otras soluciones de seguridad dificultan que alguien pueda interceptar los mensajes que se transfieren de los clientes al servidor y viceversa. El problema, sin embargo, con los mensajes no cifrados es que mientras que terceros no pueden interceptar o leer estos mensajes, el servidor sí puede acceder a ellos y leerlos. De ahí la necesidad de un cifrado máximo que cierre incluso el acceso del servidor al contenido de los mensajes.

Con este cifrado, los datos de A se cifrarán con una clave criptográfica que sólo tiene B, dificultando así que el servidor pueda acceder o leer estos mensajes.

Sin el cifrado de extremo a extremo, el servidor puede almacenar continuamente tus mensajes sin cifrar en la base de datos junto a otros que se cuentan por millones, lo que con el tiempo puede sufrir violaciones de datos y puede ser bastante desastroso para los usuarios finales.

¿Cómo funciona el cifrado de extremo a extremo?

Con el cifrado de extremo a extremo, puedes estar seguro de que nadie puede leer tus mensajes o acceder a tus comunicaciones, ni siquiera el servidor a través del cual intercambias los mensajes. Para entenderlo mejor, las comunicaciones pueden incluir texto plano, correos electrónicos, archivos e incluso videollamadas.

Con esta tecnología, los datos de las aplicaciones de mensajería y videollamadas, como Google Duo, WhatsApp y Signal, se encriptan de forma que sólo el remitente y el destinatario pueden descifrar y desencriptar la comunicación. En la tecnología de cifrado de extremo a extremo, una de las palabras más comunes que se escuchan es la de intercambio de claves. Y esto nos llevará a la siguiente sección de esta guía.

¿Qué es un intercambio de claves Diffie-Hellman?

La idea básica del intercambio de claves Diffie-Hellman fue concebida por primera vez por unos criptógrafos llamados Whitfield Diffie, Ralph Merkle y Martin Hellman. El intercambio de claves es una tecnología tan potente que permite a diferentes partes generar secretos compartidos en un entorno potencialmente hostil.

En otras palabras, la creación de la clave puede tener lugar en foros inseguros -donde hay curiosos por todas partes- sin que los mensajes resultantes se vean comprometidos. Sin embargo, en esta era de la información, esta técnica es muy valiosa porque las partes implicadas pueden ahora comunicarse sin intercambiar claves físicamente.

Esta técnica de intercambio de claves implica algo de magia criptográfica y grandes números, pero para evitar que esta guía se convierta en algo demasiado técnico, evitaremos los detalles técnicos y en su lugar consideraremos una analogía que le ayudará a entender mejor: la analogía de los colores de la pintura.

Supongamos que Kate y Smith quieren estar en habitaciones de hotel separadas en los extremos opuestos del pasillo, pero quieren que la habitación tenga el mismo color de pintura sin que nadie más descubra cuál es el color. Lamentablemente, los espías pululan por las plantas del hotel y no hay manera de que puedan pasar convenientemente este mensaje ni tampoco podrían entrar en la habitación del otro (suponiendo), lo que significa que sólo pueden interactuar a través del pasillo.

So here is how they decided to handle it; Kate and Smith both agreed on a color in the public, say yellow which they shared a bucket between themselves and return to their rooms after which they both add and mix a secret color that no spy around knows about in their respective rooms. Let’s say Kate adds a shade of blue and Smith adds a shade of red. This means that for Kate, it is now a Blue-Yellow paint concoction and for Smith, a Red-Yellow paint concoction.

Tras esta ronda de mezclas, se intercambian el cubo de pintura por el pasillo. En este punto, no importa que haya espías porque no pueden obtener el tono exacto del color que tienen como resultado. Al fin y al cabo, existe un color secreto. Es importante decir que esta analogía del color de la pintura es sólo una ilustración, ya que las cosas podrían ser más técnicas que esto en la vida real. La realidad en torno al intercambio de claves puede ser más difícil que adivinar el color secreto. Sin embargo, continuemos.

Después de intercambiar el color resultante por el pasillo, tanto Kate como Smith volvieron a entrar en sus habitaciones para mezclar de nuevo su color secreto con la mezcla. En este momento, el contenido de su cubo de pintura debe ser el mismo. Primero Kate tendrá ahora la mezcla Azul-Rojo-Amarillo, mientras que Smith tendrá la mezcla Rojo-Azul-Amarillo.

Con esto, tanto Smith como Kate pueden seguir pintando sus habitaciones con el color que los espías de fuera no conocen. Esto es básicamente la tecnología en torno a la creación de un secreto compartido abierto sin tener miedo de los demás, sólo que en lugar de tratar con pinturas y el intercambio de pasillos, estamos hablando de claves privadas y claves públicas.

Intercambio de mensajes

En cuanto las partes implicadas en el intercambio tienen su secreto compartido, pueden utilizarlo como base para el método de cifrado mutuo y simétrico. Estas implementaciones populares son técnicas adicionales incorporadas que permiten técnicas más robustas, pero toda la realidad abstracta se mantiene alejada de los usuarios. Esto significa que, en cuanto se intenta conectar con un amigo a través de una aplicación con la tecnología de cifrado de extremo a extremo, todo el cifrado y descifrado ocurre sólo en los dispositivos implicados y, finalmente, impide cualquier otra vulnerabilidad importante del software.

El significado de esto es que no importa quién intente interceptar el mensaje, ya sea un hacker, una agencia de la ley o incluso el proveedor del servicio, si el servicio realmente tiene un cifrado de extremo a extremo, un intento de interceptar los mensajes que se intercambian sólo les dará un galimatías y un sinsentido sin sentido.

Cifrado de extremo a extremo vs. VPN: ¿Cuál es mejor?

Tanto la VPN como las tecnologías de cifrado de extremo a extremo son una forma de cifrar tus mensajes en línea. En esta sección de la guía, intentaremos descubrir las diferencias entre ambas tecnologías.

1. La tecnología de cifrado de extremo a extremo se utiliza en los servicios de comunicación que implican a dos partes, normalmente un emisor y los receptores, como el chat en línea, los servicios de correo electrónico, las conferencias web y otros similares. Pero las VPN, en cambio, no se limitan sólo a los servicios de comunicación. La tecnología también encripta todas tus actividades mientras navegas por la red, incluyendo el intercambio de archivos, los juegos y el streaming.

2. Puedes estar seguro de que todas las VPNs te aseguran las características de encriptación que garantizan tu privacidad y seguridad independientemente de la aplicación que estés utilizando. Pero no todos los servicios de comunicación tienen integradas funciones de cifrado de extremo a extremo.

3. En el caso de la tecnología de cifrado de extremo a extremo, los datos se cifran mientras están en tránsito, y no se descifran hasta que llegan al destinatario. Pero en el caso de una VPN, los datos enviados se cifran, pero ya se descifran cuando llegan al servidor de la VPN. La única garantía que tienes es que la mayoría de los servicios VPN prometen una política de no registro, lo que significa que no almacenan tus datos en su servidor.

Ventajas e inconvenientes del cifrado de extremo a extremo

  • Los pros del cifrado de extremo a extremo

El cifrado de extremo a extremo en una configuración sin ninguna de sus desventajas es indiscutiblemente el mejor y más valioso recurso para lograr una mayor privacidad, seguridad y confidencialidad. Al igual que la tecnología de enrutamiento Onion, el cifrado de extremo a extremo es una tecnología publicitada por los activistas de la privacidad de todo el mundo. Es fácil incorporar esta tecnología a las aplicaciones que se parecen a las que estamos acostumbrados. Esto significa que la tecnología está al alcance de cualquiera, siempre que posea y pueda utilizar un teléfono móvil.

Sin embargo, se podría pensar que el cifrado de extremo a extremo es una tecnología útil sólo para los denunciantes y los delincuentes, pero va a ser un error pensar así. Esto se debe a que incluso las empresas más seguras que se conocen siguen siendo susceptibles de sufrir ciberataques que pueden exponer a los malintencionados la información, los datos y los mensajes enviados por los usuarios no cifrados. Además, se ha demostrado que el acceso a información y comunicaciones sensibles o incluso a los documentos de identidad de los usuarios puede tener efectos catastróficos en la vida de las personas.

Aquí está ahora la última ventaja, incluso, si la empresa cuyos usuarios están asegurados con el cifrado de extremo a extremo es violada, toda la información que los hackers extraerán no tendrá sentido (siempre y cuando la implementación del cifrado sea tan robusta como sea necesario). Lo mejor que pueden conseguir los hackers son los metadatos. Aunque el acceso a los metadatos sigue siendo una cuestión de privacidad, es una mejora en comparación con el acceso a todas las comunicaciones sin cifrar.

  • Los contras del cifrado de extremo a extremo

En efecto, no hay nada que tenga ventajas sin sus desventajas, y lo mismo ocurre con el cifrado de extremo a extremo, aunque que estas cosas sean realmente un inconveniente dependerá de tu perspectiva. Algunos creen que la introducción del cifrado de extremo a extremo es problemática en sí misma, ya que nadie podría acceder a tus mensajes sin tener las claves correspondientes.

Las partes contrarias también han argumentado que el cifrado de extremo a extremo significa que los delincuentes también pueden comunicarse con seguridad, ya que son conscientes de que nadie, incluidos los funcionarios del gobierno o las agencias tecnológicas, puede acceder a sus comunicaciones o descifrarlas. En su opinión, no hay necesidad de que un ciudadano respetuoso de la ley mantenga en secreto sus comunicaciones, incluidas las llamadas telefónicas y los mensajes, en ningún momento. Algunos legisladores se han hecho eco de este sentimiento y han propuesto que haya sistemas de puerta trasera que permitan el acceso a todas las comunicaciones. Esto, por supuesto, anularía el propósito de la tecnología en primer lugar.

Algo que vale la pena señalar es que las aplicaciones con cifrado de extremo a extremo no son 100% seguras. Aunque los mensajes se vuelven oscuros cuando se retransmiten de un dispositivo a otro, siguen siendo visibles en los puntos finales, ya sean smartphones o portátiles. Aunque esto no puede considerarse una desventaja del cifrado de extremo a extremo en el sentido real, vale la pena tenerlo en cuenta.

Esto significa que, aunque el cifrado de extremo a extremo garantiza que nadie pueda interceptar tus mensajes mientras están en tránsito por el servidor, todavía son posibles otras amenazas.

1. Su dispositivo puede ser robado, y si por casualidad usted no tiene un sistema de seguridad en el dispositivo, o el atacante encontró una manera de evitar el sistema de seguridad, todavía pueden tener acceso a sus comunicaciones e información.

2. Tu dispositivo podría estar en peligro. Existe un malware que puede permitir a los atacantes espiar tus comunicaciones e información antes y después de ser intercambiada.

Otro riesgo del cifrado de extremo a extremo es que, durante el intercambio de claves, alguien podría situarse en el medio entre tú y tu compañero realizando un ataque man-in-the-middle. Esto ocurrirá al principio de la comunicación porque cuando estás realizando el intercambio de claves, no estás seguro de si la clave pertenece a tu amigo. Esto significa que puede establecer un secreto con un atacante sin saberlo. Implícitamente, el atacante estará recibiendo tus mensajes y ya tendrá la clave para desencriptarlos y puede engañar a tu amigo de la misma manera, lo que significa que puede retransmitir tus mensajes después de leerlos o modificarlos a su antojo.

Aunque para evitar esto, algunas aplicaciones han encontrado una solución integrando algún tipo de función de código de seguridad adicional. Esta función es un código QR o una cadena de números que puedes compartir con tus contactos a través de un canal seguro que, idealmente, está desconectado. Si el número coincide, puedes estar seguro de que no hay ningún tercero espiando tus comunicaciones.

Conclusión

Aparte de las aplicaciones mencionadas anteriormente, el número de herramientas de cifrado de extremo a extremo disponibles de forma gratuita está creciendo. Están el Google Duo y el iMessage de Apple que están operativos en los sistemas operativos Android e iOS e incluso en eso más y más seguridad y privacidad, las aplicaciones conscientes están rodando hacia fuera.

Sin embargo, a modo de conclusión, es bueno mencionar que el cifrado de extremo a extremo no es una barrera mágica contra toda forma de ciberataque. Sólo que puedes usarlo activamente para reducir el riesgo de quedar expuesto en línea con poco o ningún esfuerzo. Junto con tecnologías como las VPN, Tor y las criptomonedas, los mensajeros con cifrado de extremo a extremo pueden ser muy útiles y pueden ser una adición muy valiosa a la colección de tecnologías que permiten la privacidad digital.