Una de las más llamativas e interesantes tendencias del momento tecnológico es el énfasis que estamos empezando a ver en el desarrollo de herramientas y métodos para tratar de garantizar unas comunicaciones seguras: proyectos en Kickstarter, emprendedores ya consolidados, desarrollos desde Google o concursos promovidos por la FCC son una evidencia clara del interés en el tema, y de que muy pronto estaremos incorporando herramientas de este tipo a nuestras comunicaciones cotidianas.
Herramientas de cifrado existen desde hace mucho tiempo, pero la investigación ha demostrado de manera fehaciente que su aplicación al correo electrónico resulta compleja, farragosa y fundamentalmente fuera del alcance del usuario medio. Básicamente, un problema de usabilidad: la necesidad de convertir en un desarrollo simple una tarea cuya funcionalidad reviste una inherente complejidad.
Pero más allá del desarrollo de este tipo de herramientas, recomendable desde todos los puntos de vista para garantizar derechos tan fundamentales como la privacidad y el secreto de las comunicaciones, creo que lo importante es plantearse lo que nos ha traído hasta aquí. La evidencia es clara: este auge en el desarrollo de herramientas de cifrado proviene, con atribución casi exclusiva, de la cadena de revelaciones llevadas a cabo por Edward Snowden y de la evidencia de que determinados gobiernos estaban dedicando enormes esfuerzos tecnológicos y presupuestarios a vigilar a todos los ciudadanos.
Vamos a repetirlo por si no queda claro: el mayor esfuerzo de desarrollo para proteger un derecho fundamental de los ciudadanos proviene de que este se vea amenazado no por delincuentes de ningún tipo… sino por los gobiernos que esos mismos ciudadanos han elegido. ¿No revela esto un problema fundamental que tiene un recorrido mucho, muchísimo mayor? En realidad, el espionaje gubernamental es simplemente un síntoma de un problema mucho mayor: una crisis tan de base en los sistemas democráticos que ha llevado a que los gobiernos se conviertan en la mayor amenaza percibida para los ciudadanos. Que los ciudadanos, tras haber ejercido su derecho al voto para escoger quién les va a gobernar, se encuentren con que ese que han elegido se convierte en la principal amenaza a sus derechos.
No, lo que está revelándonos la tecnología no es un problema puntual derivado de su buen o mal uso, sino una grieta enorme en la misma base del sistema. Lo que tenemos que plantearnos no solo es cómo poner un parche más o menos puntual al problema de las comunicaciones que terminará invariablemente por ser de nuevo subvertido por la aplicación de otra tecnología, sino cómo conseguir un sistema que permita que los representantes de los ciudadanos sean efectivamente representantes de los ciudadanos, y no la mayor amenaza a sus derechos. Que los que representan a los ciudadanos lo hagan de manera fehaciente y transparente, y no se conviertan en defensores de los intereses de lobbies económicos de todo pelaje.
No, no hablamos de un problema tecnológico. Hablamos de la mayor crisis de confianza de todos los tiempos, y de la ineludible necesidad de que esa tecnología que ha llevado la disrupción y la redefinición a tantas industrias, redefina finalmente la «industria» que más nos afecta a todos: el cómo nos gobernamos y administramos como sociedad.
(This post is also available in English in my Medium page, “The demand for secure communications: a symptom of a much bigger problem«)
El problema del cifrado es que previamente han de estar de acuerdo el emisor y el receptor en la cifra que van a utilizar. Si voy a mandar a mi primo Juan un email, basta que me ponga de acuerdo en que tipo de cifrado infantil coloco, para que un sistema automático sea incapaz de descifrarlo, por ejemplo basta quedar con colocar delante de dos o tres letras de uso frecuente como la e la m y la r un espacio en blanco y unir el trozo suelto a la siguiente palabra para volver loca a cualquier máquina de lectura masiva de emails.
Pero eso que funciona muy bien cuando me he puesto de acuerdo con mi primo, no se puede hacer si envias un email a un desconocido. ¿Qué cifra puedo poner para hacer un pedido al Corte Inglés? – Ninguna si no he llegado previamente aun acuerdo con ellos. Desgraciadamente son este tipo de emails los que más interesan, no se si a la la NSA, pero si a Google, Telefónica, Facebook y toda la comparsa.
Os imagináis el lío que seria que tuviera un cifrado diferente con cada uno que me comunico, ¿Como nos podemos poner previamente de acuerdo entre todos? ¿Como se gestiona ese lío?
Los ciudadanos tienden a ver en el estado a un padre protector, no porque eso sea verdad sino por algo muy parecido al síndrome de estocolmo.
El advenimiento de la aldea global ha supuesto cambios sociales muy profundos. Pensamos que Internet actuaría compensando los desequilibros de poder pero está ocurriendo justo al revés porque la Internet que los ciudadamos usamos tiene poco que ver lo la Internet que usan los poderosos.
Nosotros navegamos en la superficie del vasto océano de Internet y lo que percibimos es solo una parte diminuta de lo que puede percibirse desde el poder. El símil del Iceberg para explicar esto serviría si no fuera porque se queda muy corto.
Además de la diferencia de accesibilidad merced a intromisiones ilícitas, se trata de la posibilidad de cruzar los datos obtenidos, lo cual origina nueva información.
El poder de acceso a la información de los gobiernos es incomparablemente mayor que el de un simple ciudadano y se está usando en provecho de los propios poderosos.
No solo ha continuado aumentando el diferencial de riqueza en todo el planeta, sino que por debajo del umbral de la pobreza se está produciendo una situación de auténtico genocidio.
Las cifras son terroríficas. El 21,6% de la población española ya vive por debajo del umbral de la pobreza y la situación continuará empeorando porque no se está actúando sobre las causas.
De hecho, los grandes delitos de corrupción se atascan continuamente y el fiscal anticorrupción dice que no puede hacer más porque no tiene recursos.
Los gobiernos se han convertido en ingenieros de la manipulación social y nos manejan como a borreguitos, unas veces mansos y otras cabreados, pero que jamás miran de frente a los auténticos problemas.
El problema que menciona Enrique nos está convirtiendo en meros esclavos.
Las revelaciones de Edward Snowden solo ha levantado una esquinita del velo que usan los poderosos para ocultar sus manejos, y con eso ya nos hemos espantado. Nuestra obligación con los poderosos es la de pensar mal. No hacerlo se presta a que nos tomen a todos por idiotas todo el rato desde hace mucho tiempo.
Estados Unidos (con la sumisa e ilegítima complicidad de las corporaciones políticas españolas y europeas) no sólo espía a los ciudadanos españoles sino a sus empresas, instituciones civiles y militares, registros sanitarios y bancarios, y todos y cada uno de los ordenadores, teléfonos (fijos o móviles) y sus comunicaciones directas e indirectas de datos, de voz, archivos personales, empresariales, etc, etc.
La magnitud de la violación de derechos propios e internacionales es tan grande que sólo la constatación de un régimen dictatrial y/o una conquista económico-militar pueden explicar que no sólo no se haya parado el país y los tres poderes hayan puesto toda su capacidad en la investigación y persecución de los criminales y sus cómplices sino que se permita que continúe ampliado todavía más.
En unas semanas hay elecciones a la europa tomada por los susodichos. El #nolesvotes está más vivo que nunca.
La propuesta es un error. Por ignorancia? sería arrogante proponerlo.
Por otro motivo? Sería cómplice de mala información.
Me explico:
Aceptas que hay riesgo evidente en la seguridad de las comunicaciones digitales. Pero según tú no hay que arreglarlo!!!
Nada de poner parches. Hay que arreglar la sociedad entera y después? Quizás atendamos a la seguridad de las comunicaciones….
En conciencia, no creo que nadie con sentido común y algo de conocimiento del tema pueda defender eso.
Hay que mejorar la seguridad en las comunicaciones Y ADEMÁS hay que mejorar el resto de la sociedad.
Dices que poner ese parche en la seguridad no sería efectivo. Pues «..por ser de nuevo subvertido por la aplicación de otra tecnología,…» vamos que no lo hagas que no te resuelve TODOS los riesgos….
Ya
Una pregutna sencilla, en su casa la puerta es blindada? Sabe que también las abren? Por qué hizo un gasto extra?
En conciencia, no creo que nadie con sentido común y algo de conocimiento del tema pueda defender eso.
«526 palabras, 3320 caracteres, salvo por la obligación de llenar con texto, no veo otra explicación a esta tontería, lo pagaron bien?»
Ridículo
#004: Lo único ridículo es que una persona que como mínimo sabe escribir haya sido capaz de entender y deducir de lo que yo he escrito que yo recomendaba no trabajar en el cifrado. Es la idea más estúpida que he oído en mi vida, y que encima vengas y la pongas como si la hubiese dicho yo, ofende soberanamente. Además del tono completamente inaceptable e insultante de tu mensaje, por supuesto. Lee otra vez, pero lee lo que yo he escrito, no lo que a ti te da la gana entender. Nunca he pensado – ni mucho menos escrito – que no haya que trabajar en sistemas de cifrado, simplemente he usado el hecho de que haya cada vez más demanda en su desarrollo para utilizarlo como síntoma de algo que está detrás y tiene mucha importancia.
La próxima vez, piensa antes de escribir. Ah, y espero unas disculpas.
#005 Mis sinceras disculpas, Lo he leído distraído hasta que he llegado a la frase que me ha sorprendido, mucho. Lo que he leído, más de una vez y por lo visto todas mal. «Lo que tenemos que plantearnos no es poner un parche más o menos puntual al problema de las comunicaciones». Lo que pone «Lo que tenemos que plantearnos no solo es cómo poner un parche más o menos puntual al problema de las comunicaciones» dos palabras que cambian toda la intención. Todo el texto. No las ví.
Es la primera vez que me pasa algo así y no volverá a ocurrir en un comentario. Palabra.
Mis sinceras disculpas.
#001 Félix. La criptografía de clave asimétrica resuelve la situación que planteas, desde hace ya bastantes años.
El receptor de tu comunicación (el Corte Ingles en tu ejemplo) hace pública una clave que cualquiera puede usar para cifrar. Y sólo él, usando una clave privada (diferente), podrá descifrar esa comunicación.
Cada usuario dispone de una clave privada (que sólo él conoce, usada tanto para descifrar como para firmar) y una clave pública que da a conocer a todo el mundo (y que sirve tanto para que le envien comunicaciones cifradas como para verificar su firma digital -autenticidad-).
Un ejemplo de cifrado de clave asimétrica que seguro conoces: RSA (siendo el PGP una implementación).
#005 Enrique, pensarás que soy autoritario, pero cuando alguien pone en mi boca palabras que yo no he dicho, ya le sitúo al borde del baneo. Si confirmo, como es el caso, que no obedece a un error de interpretación, sino a una actitud hostil y que no aporta nada, ¡zas! suprimo el problema.
No solo le hago un favor al blog y a mí mismo. Se lo hago también a él mismo, porque le obligo a ocuparse en cosas más constructivas.
Me da rabia que cuando se tratan temas tan importantes conectados muy directamente con dramas humanos, incluso con el futuro de la humanidad, surgen como de debajo de las piedras toda clase de bichos carroñeros especializados en anular los debates constructivos.
Intentaré hablar ahora de forma más constructiva, pero no prometo nada. No soy optimista.
He de reconocer que cada vez tengo menos fe en la capacidad del ser humano para resolver los problemas que él mismo se causa a sí mismo.
De todos ellos el que más me preocupa es el cambio climático porque no tenemos capacidad de revertirlo y porque existen varios factores de realimentación positiva sobre el calentamiento global que hará que incluso reduciendo la emisión de CO2 a cero (algo impensable) la temperatura del planeta continuará aumentando.
Mi esperanza estaba puesta en el agotamiento de los combustibles fósiles, pero la locura del ser humano no tiene límite y hemos pasado al siguiente nivel que se llama Fracking.
Cuando hablas de un síntoma de un problema mucho mayor, deberías tomar distancia y ampliar tu punto de vista a más largo plazo.
Enrique, estamos haciendo todo lo posible para que la situación dramática de este planeta dentro de 50 años se vea superada por las ficciones apocalípticas de las más pesimista obras de ciencia ficción.
Estamos siendo conducidos al desastre por una castaza emborrachada con sus riquezas y su poder. Una castaza incapaz de planificar las consecuencias de sus actos más allá de 5 años vista. Una castaza que alimenta nuestras almas con basura para anular nuestra capacidad de razonar.
El espionaje de los ciudadanos es un síntoma de un problema mayor, pero la pregunta del millón es ¿cuanto mayor es ese problema?
Existe la posibilidad de que estemos hablando de un tipo de problema insuperable que pasará una durísima factura a generaciones futuras.
No sería la primera vez que una civilización humana se va a la mierda. El problema es que estamos hablando de nuestra aldea global.
Tan preocupante como el hecho de que los gobiernos espíen a sus ciudadanos de manera indiscriminada me parece el hecho de que lo hagan con total impunidad y el único en busca y captura sea el que ha denunciado la actuación ilegal de una agencia del gobierno. Igual que Manning, que sufrió una larga estancia en la cárcel, pero los pilotos del helicóptero que masacraron a civiles junto a periodistas no han sido siquiera acusados… Eso dice muy poco de nuestras supuestas «democracias».
JB:
El verdadero problema es la autenticación. ¿Cómo sabes que esa clave pública es verdaderamente la de El Corte Inglés? Podría ser de algún impostor practicando un ataque de «hombre en el medio».
Me gusta cómo lo resuelve Telegram. Usa Diffie-Hellman para el intercambio de claves (DH permite establecer una clave común sin llegar a transmitirla). Genera un gráfico a partir de esa clave común. Puedes mostrarle a tu amigo el gráfico de tu móvil que corresponde a él, y este puede comprobar que es el mismo gráfico que aparece asociado a ti en el suyo (la única finalidad del gráfico es evitar tener que comparar una larga cadena de cifras hexadecimales).
Este método es fácil y cómodo entre amigos. El problema es que no sirve para El Corte Inglés, y por tanto no sirve para el correo electrónico, dado que los emails no se usan solo para comunicarse entre amigos.
Tradicionalmente las claves públicas han sido autentificadas por las CAs (autoridades de certificación). Pero la NSA corrompió a algunas CAs…
Yo la verdad más que como una crisis de confianza lo veo como un despertar. Nos estamos dando cuenta de algo muy importante: los Estados se cobran muy caras nuestras libertades. Si el Estado tiene la oportunidad de vigilar todas nuestras comunicaciones, lo hará. Sea quien sea el que gobierne. Es una tentación muy grande.
Krigan
Ese sistema ya esta implementado hace años en PGP por medio de fingerprint
http://www.bahrainaims.com/airac0114/doc/html/images/sec_PGP_11_fingerprint.png
El emisor puede publicar el suyo y saber si tienes la llave correcta
#011 es el imperio mismo, no se imagina uno que ocurriria hace 2000 años si por alguna via, el Imperio Romano te intercepta en cualquier via peatonal, de borrico o caballo, alguna mercancia o substancia que a ellos no les guste porque pierden el control o monopolio … estamos en las mismas de hace 2 mil años … todos esperando alguna revolucion tecnologica que no llega, siempre lo mismo …
#010: Krigan, una de las soluciones al problema de la autenticación viene a ser la firma digital por parte de alguien de confianza (certificado digital), ya sea el mismo interlocutor o un tercero (ej. las entidades de certificación). Digo «alguien» pero no me refiero sólo al nombre, también al protocolo definido (incluye el canal, pasos, implementación, etc.). Y sí, una autoridad de certificación no deja de ser susceptibles a ataques (o a romper ella misma nuestra confianza).
Diffie-Hellman me encanta, es pura poesía matemática: gracias a las propiedades de la exponenciación se puede acordar una clave entre dos partes en una comunicación sin que nadie que «lea» los mensajes pueda calcularla, pero Diffie-Hellman sin uso de certificados digitales sí es atacable por «man-in-the-middle» (el atacante del medio intercepta todos los mensajes y genera dos nuevas claves, una para cada interlocutor, engañando a ambos que no saben que hay un tercero que intercepta todo). Usando Diffie-Hellman con certificados digitales (protocolo conocido como STS de Station-To-Station) queda resuelto este ataque.
Supongo que dices que DH no sirve para el correo electrónico porque el protocolo necesita de varios intercambios (comunicaciones) para establecer la clave de sesión. Bueno, DH está pensado para definir una clave de sesión en una comunicación continuada. Y se usa, por ejemplo, en los protocolos SSL y TLS (HTTPS vaya).
Garepubaro
Es que no es una revolucion com tal, sino una carrera que no acaba, ni acabara.Le puedes decir que es naturaleza humana.Como dices nadie quiere perder sus ventajas seas tu, tu ciudad o el pais al otro lado del mundo, ya sea a costa de sangre o dinero.