Este artículo de opinión fue publicado originalmente en SC Magazine.
Con el distanciamiento social como norma, cada vez pasamos más tiempo en Internet haciendo cosas más importantes que nunca como, por ejemplo, trabajar, estudiar, realizar gestiones bancarias, comerciar, comprar, ver al médico y pasar un rato con la familia, y también transmitimos contenido, jugamos e interactuamos con nuestros altavoces conectados.
¿No debemos asegurarnos, ahora más que nunca, de que nadie esté interceptando, robando o modificando nuestros datos?
El cifrado es el medio principal para conseguir dicho objetivo. Al usar el cifrado, los datos se codifican de manera que solo pueden verlos las personas a las que van dirigidos. Está ahí en la sombra prácticamente en todo momento cuando usas una conexión wifi, Bluetooth, 4G y navegas por un sitio web.
Lamentablemente, la mayoría de los servicios online actuales utilizan el cifrado de una forma muy fragmentada. Algunos tramos del recorrido están cifrados, pero suele haber determinados puntos a lo largo del camino en los que los datos no lo están y se procesan de alguna forma antes de volver a cifrarlos y transmitirlos.
Lo bueno es que casi todos los servicios de mensajería como, por ejemplo, WhatsApp, Telegram y Signal, ofrecen cifrado de punto a punto, en el que solo puede “ver” el mensaje el destinatario al que va dirigido. Durante el recorrido nadie puede ver el interior (ni siquiera la empresa que presta el servicio). Cuanto más pase esto, mejor protegidos estarán nuestos datos.
Sin embargo, la protección de datos de los consumidores se está viendo amenazada, especialmente por gobiernos que quieren acceder a los datos por motivos de orden público o inteligencia, pero también por empresas que quieren monetizar sus datos. La petición dice algo así: “Creemos profundamente en el cifrado para proteger los datos de todo el mundo. Oye, y también dependemos de ello en el gobierno. Y no queremos que exista ninguna puerta trasera por la que podrían entrar los delincuentes. Solo queremos ver los datos de determinados individuos que utilizan tu servicio. Y solo los pediremos en el marco de un delito grave y con una orden judicial”.
La creación de una peligrosa contraseña maestra
A primera vista, parece una petición razonable. Se trata únicamente de los datos de una persona, existe una buena razón para ello y la petición viene avalada por una autoridad competente. ¿Quién no desea que se impidan delitos horrendos o se detenga a sus autores? No obstante, y esto es lo que no se dice, el mecanismo para permitir el acceso a los datos de una persona en ese servicio supone un riesgo para todos los usuarios de dicho servicio. Es algo así como crear una contraseña maestra para todo el sistema. Lógicamente, dicha contraseña será larga y compleja y prácticamente imposible de descifrar, solo tendrá acceso un grupo reducido de personas y solo se utilizará en las circunstancias más extremas.
Pero ¿quieres que exista esta contraseña maestra? Los empleados de la empresa podrían hacer un uso abusivo, al igual que los gobiernos; pero aunque nos creamos sus intenciones, echemos un vistazo a su historial de seguimiento de seguridad de datos en los últimos años: decenas de miles de filtraciones de datos formadas por miles de millones de registros (y, por cierto, ¿por qué no estaban mejor cifradas aquellas bases de datos, algo que podría haber evitado la exposición de datos personales?). O algo más importante: ¿crees que el crimen organizado internacional no averiguará o encontrará o robará esa contraseña maestra? Si lo hiciesen, cualquier cosa podría pasarles a todos los usuarios del servicio. Si los usuarios no pueden confiar en que sus comunicaciones se protejan como es debido, limitarán el uso de Internet.
Este tema está siendo objeto de debate en todo el mundo.
La mayoría de los argumentos a favor de este denominado “acceso excepcional” se basan en la explotación infantil, el terrorismo u otros delitos graves. Por ejemplo, el proyecto de ley EARN IT en Estados Unidos, que se presentó el pasado mes de marzo en el Congreso, ni siquiera menciona el cifrado. Tan solo insinúa que las empresas que prestan los servicios son bien conocedoras de la necesidad de facilitar el acceso a los datos pertinentes en un formato no cifrado o deberán hacer frente a multas y denuncias. Sin embargo, estos son los mismos servicios que protegen a colectivos vulnerables como las víctimas de violencia doméstica, periodistas y activistas, así como a nuestras familias, ejército y fuerzas policiales.
Qué puedes hacer
Neutralizar la actividad criminal es una tarea importante, pero no podemos hacerlo debilitando la seguridad de todos los usuarios de Internet. Asegúrate de que tus diputados protegen tu derecho al cifrado integral. Infórmate sobre las diferentes iniciativas peligrosas que están poniendo en marcha los gobiernos para acceder a los datos que quieran. Estas iniciativas consisten en escanear datos no cifrados en el punto de envío o destino, forzar la decodificación en algún punto del recorrido o incluso infiltrarse en el tráfico como una tercera parte silenciosa. Todas estas iniciativas representan mecanismos que ponen en peligro la seguridad al romper el concepto de cifrado de punto a punto.
Tenemos que unirnos para proteger el cifrado. Luchemos por nuestro derecho a las comunicaciones seguras. A pesar de que los gobiernos insistan en que están sacrificando la seguridad de una persona por un bien superior, en realidad nos fuerzan a todos a sacrificar nuestra seguridad.
Toma estas seis medidas para proteger el cifrado y protegerte a ti mismo.