Introducción

La naturaleza de las comunicaciones digitales modernas es tal que rara vez interactuamos directamente con los destinatarios. Puede parecer que usted y sus interlocutores están intercambiando mensajes de forma privada, pero en realidad los mensajes se transmiten a través de un servidor central y pueden almacenarse allí.

Por supuesto, no querrás que tus mensajes sean leídos por el servidor responsable de transmitirlos entre tú y el destinatario. Entonces el cifrado de extremo a extremo (o E2EE) puede ser la solución para usted.

El cifrado de extremo a extremo es un método para cifrar mensajes entre el destinatario y el remitente para que solo ellos puedan descifrar los datos. Su origen se remonta a los años 90, cuando Phil Zimmerman presentó Pretty Good Privacy (más conocido como PGP).

Antes de hablar sobre por qué podría necesitar E2EE y cómo funciona, veamos cómo se transmiten los mensajes no cifrados.


¿Cómo se envían los mensajes no cifrados?

Echemos un vistazo a cómo funciona una plataforma típica de mensajería para teléfonos inteligentes. Instalas la aplicación y creas una cuenta, que te permite comunicarte con otros usuarios que han hecho lo mismo. Escribe un texto e ingresa el apodo del destinatario y luego envía el mensaje al servidor central. El servidor ve a quién dirigió el mensaje y lo reenvía al destinatario.


Взаимодействие пользователей А и В. Чтобы обмениваться сообщениями друг с другом, они должны передавать данные через сервер (S).

Interacción entre los usuarios A y B. Para intercambiar mensajes entre sí, deben transferir datos a través del servidor (S).


Probablemente esté familiarizado con el modelo cliente-servidor. El cliente (su teléfono) tiene una funcionalidad limitada: los cálculos principales se realizan en el servidor. Esto también significa que el servidor es un intermediario entre usted y el destinatario.

En la mayoría de los casos, los datos entre A<>S y S<>B en el circuito están cifrados. Un ejemplo de este tipo de cifrado es el protocolo criptográfico Transport Layer Security (TLS), que se utiliza ampliamente para proteger las conexiones entre un cliente y un servidor.

TLS y soluciones de seguridad similares evitan que los mensajes sean interceptados mientras pasan entre el cliente y el servidor. Estas medidas evitan ataques de intermediario, pero el servidor aún puede leer el mensaje. Aquí es donde entra en juego la necesidad de cifrado de extremo a extremo. Si los datos de A estuvieran cifrados con una clave criptográfica que pertenece a B, entonces el servidor no podría leerlos ni acceder a ellos.

Si no existe un cifrado de extremo a extremo, el servidor puede almacenar sus mensajes en una base de datos junto con millones de otros. Dado que constantemente se producen filtraciones de datos a gran escala, la falta de cifrado puede tener consecuencias desastrosas para los usuarios finales.


¿Cómo funciona el cifrado de un extremo a otro?

El cifrado de extremo a extremo garantiza que nadie, ni siquiera el servidor que lo conecta con otros usuarios, pueda acceder a sus datos. Estamos hablando de cualquier cosa, desde texto sin formato y correos electrónicos hasta archivos y videollamadas.

El cifrado de extremo a extremo protege los datos en aplicaciones como Whatsapp, Signal y (probablemente) Google Duo para que solo los remitentes y los destinatarios puedan descifrarlos. El cifrado de extremo a extremo comienza con lo que se denomina intercambio de claves.


¿Cómo funciona el intercambio de claves en el protocolo Diffie-Hellman?

La idea de un intercambio de claves Diffie-Hellman fue propuesta por los criptógrafos Whitfield Diffie, Martin Hellman y Ralph Merkle. Es un protocolo criptográfico revolucionario que permite a las partes generar una clave secreta compartida en un entorno abierto y vulnerable.

En otras palabras, la generación de claves puede ocurrir en recursos inseguros (incluso con la posibilidad de escuchas en el canal) sin afectar los mensajes posteriores. En la era de la información, esto es especialmente valioso porque las partes no necesitan intercambiar claves físicamente para comunicarse.

El intercambio en sí implica el uso de grandes números aleatorios y magia criptográfica. No entraremos en detalles. En su lugar, usemos la popular analogía de la pintura. Digamos que Alice y Bob están en diferentes habitaciones de hotel en extremos opuestos del pasillo y quieren usar un determinado color de pintura juntos. No quieren que nadie más sepa cuál es.

Desafortunadamente, el piso está bajo vigilancia de espías. Supongamos que Alice y Bob no pueden entrar a las habitaciones del otro, por lo que solo pueden interactuar en el pasillo. En el pasillo, pueden elegir un color de pintura general, como el amarillo. Luego toman un bote de pintura amarilla, se moldean un trozo y regresan a sus habitaciones.

En sus habitaciones, necesitan mezclar un color secreto con la pintura amarilla, uno que nadie conoce. Alice usa azul y Bob usa rojo. Es importante que los espías no conozcan estos colores secretos. Ahora Alice y Bob abandonan las habitaciones con sus mezclas de azul, amarillo y rojo y amarillo; los espías conocen el resultado de la mezcla.

Alice y Bob intercambian mezclas abiertamente. No importa que los espías lo vean: no pueden determinar el tono exacto de los colores añadidos. Recuerde, esto es sólo una analogía: las matemáticas reales detrás de este sistema hacen que sea aún más difícil descubrir el "color" secreto.

Alice toma la mezcla de Bob, Bob toma la mezcla de Alice y regresan a las habitaciones. Ahora están mezclando sus colores secretos una vez más.

  • Alice mezcla su tinte azul secreto con la mezcla rojo-amarillo de Bob, creando un color rojo-amarillo-azul.

  • Bob mezcla su tinte rojo secreto con la mezcla azul-amarilla de Alice, creando un color azul-amarillo-rojo.

Ambas combinaciones tienen los mismos colores, por lo que lucen iguales. Alice y Bob obtuvieron con éxito un color único desconocido para los espías.


В обеих комбинациях одинаковые цвета, поэтому они выглядят одинаково. Алиса и Боб успешно получили уникальный цвет, неизвестный шпионам.


Este es el esquema para crear un secreto compartido en un entorno abierto. La diferencia es que en realidad no se trata de corredores y pinturas, sino de canales de transmisión inseguros, claves públicas y privadas.


Intercambio de mensajes

Las partes pueden utilizar el secreto compartido resultante como base para un cifrado asimétrico. Las implementaciones populares generalmente incluyen métodos adicionales para una seguridad más sólida, pero todas estas son abstracciones para el usuario. Una vez que haya establecido una conexión dentro de la aplicación con E2EE, el cifrado y descifrado solo se podrá realizar en sus dispositivos (salvo vulnerabilidades graves de software).

No importa si eres un hacker, un operador de telecomunicaciones o incluso un agente de la ley. Si la aplicación realmente utiliza cifrado de extremo a extremo, cualquier mensaje interceptado parecerá una mezcla incomprensible de bytes.


➟ ¿Quieres empezar a utilizar criptomonedas? ¡Compre Bitcoin en Binance!


Pros y contras del cifrado de extremo a extremo

Desventajas del cifrado de extremo a extremo

Sólo hay una desventaja del cifrado de extremo a extremo, y si es o no una desventaja depende completamente de su punto de vista. Para algunos, el valor de E2EE es irrelevante precisamente porque no se puede acceder a los mensajes sin la clave adecuada.

Los opositores argumentan que los delincuentes pueden utilizar E2EE sabiendo que los gobiernos y las empresas de tecnología no podrán descifrar sus mensajes. Creen que las personas respetuosas de la ley no necesitan mantener en secreto su correspondencia y sus llamadas telefónicas. Esta opinión es compartida por muchos políticos que presionan a favor de una legislación que permita utilizar puertas traseras para acceder a las comunicaciones de los ciudadanos. Por supuesto, esto anula el propósito del cifrado de extremo a extremo.

Vale la pena señalar que las aplicaciones que utilizan E2EE no son 100% seguras. Los mensajes se cifran en tránsito entre dispositivos, pero se puede acceder a ellos desde puntos finales como una computadora portátil o un teléfono inteligente. Esto en sí mismo no es una desventaja del cifrado de extremo a extremo, pero vale la pena tenerlo en cuenta.


Сообщение находится в открытом виде до и после расшифровки.

El mensaje está en texto claro antes y después del descifrado.


E2EE garantiza que nadie pueda leer sus datos durante la transmisión. Pero otras amenazas siguen siendo relevantes:

  • Su dispositivo podría ser robado: si no tiene un código de seguridad configurado o un atacante lo ignora, puede obtener acceso a sus mensajes.

  • Su dispositivo puede verse comprometido y contener software malicioso que tiene acceso a los mensajes antes y después de su envío.

Otro riesgo es que alguien pueda obtener acceso al canal entre usted y su interlocutor mediante un ataque de intermediario. Esto puede suceder al comienzo de una conversación: cuando intercambia claves, no puede estar seguro de la autenticidad de la otra parte. Así, sin saberlo, puedes compartir un secreto con un atacante. El atacante recibe tus mensajes y tiene la clave para descifrarlos. También puede engañar a su interlocutor, lo que significa que podrá transmitir mensajes, leerlos y modificarlos a su discreción.

Para evitar un ataque de este tipo, muchas aplicaciones implementan varios códigos de seguridad. Se trata de una cadena de números o un código QR que puedes compartir con tus contactos a través de un canal seguro (idealmente fuera de línea). Si los números coinciden, puede estar seguro de que un tercero no está rastreando sus interacciones.


Los beneficios del cifrado de extremo a extremo

Cuando se utiliza sin ninguna de las vulnerabilidades mencionadas anteriormente, E2EE es sin duda una forma muy valiosa de mejorar la privacidad y la seguridad. Al igual que el enrutamiento cebolla, es una tecnología promovida por activistas de la privacidad en todo el mundo. El cifrado de extremo a extremo se integra fácilmente en las aplicaciones a las que estamos acostumbrados, lo que significa que está disponible para cualquiera que pueda usar un teléfono móvil.

Es un error considerar el E2EE como una herramienta que sólo es útil para delincuentes y denunciantes. Se ha demostrado que incluso las empresas aparentemente más seguras son vulnerables a los ataques cibernéticos, lo que hace que la información de los usuarios no cifrada esté disponible para los atacantes. El acceso a datos de usuarios, como mensajes confidenciales o documentos de identidad, puede tener consecuencias desastrosas en la vida de las personas.

Si una empresa cuyos usuarios están protegidos por E2EE es pirateada, los piratas informáticos no podrán extraer información útil sobre el contenido de los mensajes (si la implementación del cifrado de extremo a extremo es sólida). En el mejor de los casos, pueden obtener los metadatos. Esto sigue siendo una preocupación desde el punto de vista de la privacidad, pero es importante que el contenido de los mensajes siga siendo desconocido.


Conclusión

Además de los comentarios anteriores, vale la pena decir que existe un número cada vez mayor de herramientas de extremo a extremo distribuidas gratuitamente. iMessage y Google Duo de Apple se incluyen con los sistemas operativos iOS y Android, respectivamente, mientras que cada vez hay más software disponible centrado en la privacidad y la seguridad.

Recalquemos nuevamente: el cifrado de extremo a extremo no es una barrera mágica contra todas las formas de ciberataques. Sin embargo, con relativamente poco esfuerzo, puede utilizarlo activamente para reducir significativamente el riesgo al que se expone en línea. Además de Tor, VPN y criptomonedas, la mensajería instantánea E2EE puede ser una valiosa adición a su arsenal de privacidad digital.

➟ ¿Aún tienes preguntas sobre el cifrado de extremo a extremo? ¡Dirígete a Ask Academy para discutirlos con la comunidad!