Desde que te conectas a tu red Wi-Fi hasta que lees esta página web, utilizas la encriptación todo el tiempo. Exploremos la tecnología que protege tu privacidad online.
¿Qué hace la encriptación?
La encriptación convierte los datos legibles por humanos o por ordenador en una cadena de código que carece de sentido a menos que dispongas de la clave necesaria para descifrarla. Es fundamental para la seguridad online, las transacciones financieras, la privacidad y el funcionamiento general de Internet tal y como lo conocemos hoy en día.
Hace al menos 2.500 años que se utilizan cifradores para encriptar información. Las claves de sustitución simples, como ROT-13, en la que la «clave» es saber que cada carácter del alfabeto latino se desplaza 13 posiciones, son tan comunes en juegos y rompecabezas como en las advertencias de spoilers online.
Este tipo de cifrado se conoce como cifrado César, ya que el emperador romano Julio César lo utilizaba en sus cartas privadas. Aunque divertido de resolver y fácil de poner en práctica, descifrar un cifrado César puede hacerse a mano en cuestión de minutos y es una tarea intrascendentemente trivial para la potencia de procesamiento matemático de un ordenador medio.
Cifrado simétrico y asimétrico
En el cifrado hay un texto plano (el mensaje original sin cifrar), una clave y un texto cifrado (el resultado de cifrar el texto plano con la clave y que, con suerte, es incomprensible para cualquiera que no tenga esa clave). En lo que respecta al cifrado informático, encontrarás dos tipos principales:
El cifrado simétrico, en el que tanto el emisor como el receptor de los datos cifrados tienen la misma clave, consume menos procesador, pero también es más vulnerable a ser roto o interceptado. Suele utilizarse en situaciones de seguridad en las que se puede suponer que todos los implicados son de fiar y es fácil decirle a alguien en privado cuál es la clave compartida sin riesgo de que te la roben. Tu router inalámbrico utiliza la simétrica para proteger los datos que envía a los dispositivos conectados a él.
Entre los protocolos de cifrado simétrico están AES, Blowfish, DES y 3DES.
El cifrado asimétrico, que utiliza dos claves: una pública, que entregas a cualquiera que necesite cifrar datos para ti, y otra privada, que sólo tienes tú y que se utiliza para descifrar los datos cifrados con la clave pública. Por eso también se conoce como «criptografía de clave pública».
Es famosa la encriptación de correo electrónico PGP (Pretty Good Privacy), en la que los usuarios comparten claves públicas para que otros las importen a sus clientes de correo, que entonces encriptarán los mensajes que les envíen. Puede que no tengas PGP configurado para tu correo electrónico, pero seguro que utilizas el cifrado asimétrico a diario.
Es una parte omnipresente de la web moderna y segura, ya que se utiliza en el protocolo TLS (Transport Layer Security) que emplea el protocolo HTTPS (Hypertext Transfer Protocol Secure) para cifrar los datos que se envían desde y hacia cualquier sitio web que utilice el prefijo https:// y muestre ese pequeño icono de candado en la barra de direcciones.
Entre los protocolos de cifrado asimétrico se encuentran el intercambio de claves Diffie-Hellman (DHKE), RSA, DSA y ECC.
A menudo encontrarás sistemas que utilizan tanto el cifrado asimétrico como el simétrico. De hecho, eso se aplica a TLS, que utiliza el cifrado asimétrico para mantener los datos seguros durante el proceso de «TLS handshake», en el que las partes (tu navegador y el sitio web al que se conecta) establecen sus identidades, protocolos y generan claves de sesión, que luego utilizarán para un cifrado simétrico más rápido y eficiente en cuanto a recursos para asegurar los datos durante el resto de la sesión de conexión.
Todo esto lo realiza automáticamente el navegador para garantizar que tus actividades online no sean espiadas por extraños que pretendan robarte contraseñas, números de tarjeta de crédito u otra información personal.
El protocolo SSH, muchos protocolos VPN y los servicios de chat cifrados de extremo a extremo (E2EE) también utilizan combinaciones de criptografía simétrica y asimétrica.
Cifrado de extremo a extremo
Ya hemos mencionado el cifrado de correo electrónico PGP, en el que una clave pública se comparte con cualquiera que quiera enviar un mensaje seguro al destinatario y una segunda clave privada sólo la tiene él y se utiliza para descifrar los mensajes codificados con clave pública que recibe. El mensaje se codifica en un extremo, se transmite y se descodifica en el otro.
Se trata de un ejemplo de cifrado de extremo a extremo que se viene utilizando desde 1991 para cifrar todo tipo de información, desde mensajes en sistemas públicos de tablones de anuncios hasta archivos y, por supuesto, correo electrónico. El mensaje cifrado puede publicarse en un tablón de anuncios abierto, enviarse a través de una red en texto plano o comunicarse por otros medios inseguros, pero seguirá siendo privado.
Algunos servicios de correo electrónico seguro, como ProtonMail, tienen PGP incorporado, aunque puede que tengas que tomar medidas adicionales, como compartir deliberadamente tu clave pública, para estar seguro de utilizarla correctamente cuando te comuniques con usuarios que no sean de ProtonMail.
La mensajería cifrada de extremo a extremo, famosa por aplicaciones de comunicación como Signal, Element y WhatsApp, está diseñada para garantizar que nadie pueda leer tus mensajes en tránsito. WhatsApp y Signal utilizan el protocolo Signal, Element utiliza el protocolo Matrix, y ambos utilizan una serie de protocolos de cifrado asimétricos y simétricos para garantizar que tu mensaje codificado no pueda ser descifrado hasta que llegue al cliente de mensajería de tu destinatario en el otro extremo.
La elección del protocolo es irrelevante para el principio de cifrado de extremo a extremo, siempre que cumpla su función.
Los argumentos en contra de E2EE se basan en la idea de que un sistema informático situado en algún lugar entre tú y tu destinatario también debe tener una clave para desencriptar tu mensaje, de modo que un tercero con acceso a ese sistema pueda leerlo si quiere. Como todos los servicios online y sistemas informáticos corren el riesgo de verse comprometidos, los peligros potenciales para la privacidad son evidentes.
Es importante tener en cuenta que el cifrado de extremo a extremo está diseñado para proteger tu comunicación en tránsito. Los mensajes pueden ser accesibles en texto plano o sin protección por contraseña cuando están en reposo en sistemas pertenecientes al remitente o al destinatario.
Para evitarlo, la mayoría de los sistemas E2EE modernos, y todos los servicios de mensajería que hemos mencionado antes, utilizan también el cifrado del lado del cliente para garantizar que el contenido de los mensajes está protegido en reposo.
Romper el cifrado
Como ocurre con las contraseñas, las claves de cifrado más largas mejoran la seguridad y los protocolos modernos son más seguros que sus predecesores. Las normas se actualizan periódicamente a medida que se descubren vulnerabilidades o los ordenadores modernos facilitan el descifrado de claves por fuerza bruta.
Afortunadamente, y muy al contrario de lo que ocurre con las contraseñas, la mayoría de los usuarios de ordenador no tienen que preocuparse mucho de estas cosas a nivel personal. Asegurarse de que el sistema operativo, el navegador web, los clientes VPN, el software de comunicación y el hardware de red están razonablemente actualizados y tienen instaladas todas sus actualizaciones.
Si gestionas un sitio web, tu autoridad de certificación HTTPS (como Let’s Encrypt) se asegurará de que cumples con los últimos estándares TLS, aunque puede que tengas que asegurarte de que los certificados se aplican correctamente si administras tu propio servidor web.