Hacia escenarios de comunicaciones cifradas por defecto

comunicaciones cifradas

Me contactaron hace unas semanas de ETC by VOZ.COM, revista de Empresa, Tecnología y Comunicación, para preguntarme si quería colaborar con un artículo en su publicación física, con una tirada de más de 20.000 ejemplares y dirigida al ámbito empresarial.

La idea era participar en sus páginas como colaborador de la sección SecuriTIC, así que les preparé esta pieza, disponible también para su lectura en PDF (ES/página 40-41), convenientemente adobada con aquellos enlaces que he visto oportuno incluirle.

Hacia escenarios de comunicaciones cifradas por defecto

Aquellos que nos dedicamos a esto de la seguridad tendemos a caer con bastante facilidad en el más puro pesimismo tecnológico. Parece que todas las innovaciones que nuestros compañeros realizan solo nos dirigen hacia un catastrófico final.

Y entiendo que en parte esto es debido a que nuestro trabajo se basa, precisamente, en señalar (y con suerte, solucionar) aquellos problemas a los que la tecnología, y en especial, aquel “elemento” que está entre la silla y la pantalla, nos obliga a enfrentarnos.

Es, de facto, una lucha perdida, habida cuenta de que no hay sistema 100% seguro. Pero aún así, nos empecinamos en esa labor titánica, arañando quizás un mísero porcentaje de riesgo para beneplácito de la organización, de nuestros clientes, o de nuestra propia seguridad.

Y en ese camino, los que estáis al otro lado tenéis que aguantar que día tras día la noticia sea los tropecientos millones de pérdidas que ha causado la industria del crimen, o la crisis reputacional que ha sufrido esta otra compañía, o la exposición de millones de cuentas personales por una vulnerabilidad descubierta en algún gran servicio de Internet.

Pareciese que cada vez vamos a peor, pero le quiero contar un secreto.

Nada más lejos de la realidad.

Estamos mejor que nunca en cuanto a privacidad y seguridad de la información

¿Qué anecdótico, verdad? Despotrico a diario sobre lo inseguros que están nuestros sistemas, y hoy vengo a esta revista a decir justo lo contrario… Pero lo hago con conocimiento de causa, que conste.

Hace apenas un par de décadas el mundo digital era sin lugar a dudas un escenario muchísimo más inseguro y, si me apura, bastante menos privado.

Sí, que vale que todo estaba naciendo, pero bastaba con que alguien tuviera el interés de causar el mal para en efecto causarlo. Y a un nivel que a día de hoy nos daría miedo.

¿Que por qué no ocurría? Claro que ocurría, pero lo malo es que ninguno de nosotros nos enterábamos. Ni las empresas tenían “incentivos” para compartir sus errores, ni los medios de comunicación se hacían eco de ello.

Lo más normal es que un ordenador conectado a Internet estuviera infectado con algún tipo de virus. La industria del malware estaba aún naciendo, cierto es, y quizás las piezas más virulentas únicamente tenían como objetivo molestar, pero ahí cohabitaban con el resto de infecciones maliciosas, con fugas de información masiva que no se publicaban como ahora en un pastebin, sino que se vendían directamente al mejor postor.

Ya ni hablemos de la privacidad. Que este término prácticamente lo hemos acuñado estos últimos años, cuando de repente a unos ciudadanos totalmente desconocidos les da por montar Wikileaks, y a un tal Snowden, por sacar los trapos sucios de una de las mayores agencias de inteligencia del mundo.

Desde que somos conscientes de que organizaciones como la NSA son capaces de interferir en las comunicaciones de prácticamente cualquier usuario, desde que los medios de comunicación han dejado de utilizar el término “pirata informático” para referirse a la industria organizada del cibrecrimen, apenas han pasado unos años, y sin embargo, hemos experimentado una mejora notable en las garantías de los canales digitales.

Sin ir más lejos, el WhatsApp, que hasta no hace mucho era caso de estudio para “startuperos” sobre la importancia de llegar primero cueste lo que cueste, ha acabado por hacer de tripas corazón y rendirse a la evidencia de un escenario donde el cifrado por defecto se impone.

Que los usuarios queremos seguir compartiendo nuestras fotos de gatitos sin la mirada ubicua del Gran Hermano, vamos.

Y sí, que Facebook, Google y compañía son agujeros negros que se alimentan de nuestros datos personales. Pero precisamente el que su negocio se base en sacar valor de esos datos hace que estén obligados a almacenarnos y explotarlos con las mayores garantías posibles. No vaya a ser que la competencia encuentre una manera de aprovecharse de su trabajo sin pasar por caja…

Lo que importa a nivel empresarial no es el contenido, sino el contenedor

Aquí quería llegar.

Lo que de verdad aporta valor en esta economía digital son los metadatos, y no las tonterías que nos escribimos en el día a día. Tal es así que paulatinamente estamos viendo cómo los servicios de comunicación se fortifican mediante cifrados asimétricos, de tal manera que ni la propia compañía es capaz de saber qué se está diciendo.

Y realmente, ¿qué les importa? A sabiendas de que cada vez más el resto de organizaciones demandamos una mayor privacidad en nuestras comunicaciones. A sabiendas de que el negocio se encuentra en las relaciones, en el profiling y en las acciones, no en el contenido.

Lo que me lleva a señalar el siguiente objetivo: los emails.

Si en mensajería instantánea ya casi hemos dejado atrás la época del envío de mensajes en texto plano (sin cifrado), ¿cuánto falta para que, el que a día de hoy sigue siendo el canal corporativo por defecto, acabe por dar el paso?

Que sí, que cualquier organización puede formar a sus trabajadores en el uso del cifrado PGP (Pretty Good Privacy (EN)) en sus envíos, pero reconozcamos que aún con la instalación de extensiones, sigue siendo un tanto molesto eso de tener que compartir la clave pública con nuestros receptores.

Hay, no obstante, acercamientos.

Recientemente GMX se ha propuesto incluir el PGP por defecto en los correos de sus clientes (EN), rompiendo así con el histórico simil del email como “un correo postal tradicional”, cuya única seguridad depende del contenedor donde está metido.

Que el usuario sólo tenga que darle a enviar, que ya se encarga el gestor de correo de compartir las claves con el receptor de forma totalmente opaca a los usuarios.

Justo aquello que jamás hemos tenido en el correo postal (dudo que algún lector se haya molestado alguna vez en enviar una postal o una carta cifrando a mano el contenido), amparados por la esperanza de que al cartero no le diera por leer su contenido.

Y la duda es ¿para cuando en GMail, en Outlook, en Mail, o si todavía sigue existiendo, en Yahoo (EN)? No debería faltar mucho. En la mayoría de estos servicios ya se envían por defecto emails cifrados con TLS. Ahora falta que demos el siguiente paso.

Y es que como decía, y frente al pesimismo de nuestro sector, mañana estaremos aún mejor de lo que hemos estado nunca.