Publicado originalmente: 9 de junio de 2016
Actualizado: 28 de septiembre de 2022
Introducción
El cifrado está a nuestro alrededor. Se utiliza para proteger los datos enviados desde todo tipo de dispositivos a través de todo tipo de redes. Además de proteger los llaveros electrónicos que almacenan contraseñas para computadoras y hojas de cálculo que son «solo para sus ojos» (confidenciales), el cifrado se usa para proteger la información que se intercambia cada vez que una persona usa un cajero automático, realiza una compra desde un teléfono inteligente, hace una llamada desde un teléfono móvil, o presiona un llavero para abrir un automóvil. Es una tecnología versátil, cada vez más generalizada en nuestra vida diaria y fundamental para la seguridad de gran parte de lo que hacemos.
El cifrado, el proceso de entreverar o codificar datos para que alguien con los medios para devolverlos a su estado original pueda solo leerlos, se usa comúnmente para proteger tanto los datos almacenados en sistemas informáticos como los datos transmitidos a través de redes informáticas, incluida Internet. Para los datos comunicados a través de una red, el cifrado moderno codifica los datos utilizando un valor secreto o una clave conocida solo por el destinatario y el remitente. Para los datos almacenados, la clave generalmente se cifra mediante un PIN o una contraseña que solo conoce el propietario del dispositivo.
El cifrado y las técnicas relacionadas también se utilizan para aumentar la seguridad de las transacciones financieras y para proteger las comunicaciones privadas de los usuarios finales. Los ejemplos incluyen establecer si los datos han sido manipulados (integridad de los datos), aumentar la confianza de los usuarios de que se están comunicando con los destinatarios previstos (autenticación) y formar parte de los protocolos que brindan evidencia de que los mensajes fueron enviados y recibidos (no repudio).
Consideraciones clave
En la práctica, el cifrado toma las siguientes formas generales:
- El cifrado simétrico usa una clave idéntica para cifrar y descifrar un mensaje. Tanto el remitente como el destinatario tienen acceso a la misma clave. Si bien es rápido y eficiente para las computadoras, el cifrado simétrico debe garantizar que la clave se entregue de manera confiable al destinatario y no caiga en las manos equivocadas.
- El cifrado asimétrico, también conocido como cifrado de clave pública, es una forma de cifrado unidireccional. Las claves vienen en pares y la información cifrada con la clave pública solo se puede descifrar con la clave privada correspondiente. El destinatario difunde públicamente una clave para que el remitente cifre sus datos. El destinatario luego usa una clave privada para descifrar los datos. Es similar a un buzón de correos cerrado en el que se pueden colocar cartas a través de una ranura para el envío, pero solo puede retirarlas el dueño con una llave. El cifrado de clave pública es más seguro que el cifrado simétrico porque no es necesario transferir la clave.
- El cifrado de extremo a extremo (E2E) es una forma de cifrado en la que solo el remitente y el destinatario previsto pueden leer el mensaje. El aspecto más importante del cifrado de extremo a extremo es que ningún tercero, ni siquiera la parte que proporciona el servicio de comunicación, conoce las claves de cifrado. Los ejemplos de protocolos de cifrado de extremo a extremo incluyen Pretty Good Privacy (PGP) y Off-the-Record Messaging (OTR). Los ejemplos de servicios de comunicación de cifrado de extremo a extremo incluyen iMessage, Signal, ProtonMail, WhatsApp y Threema de Apple. Electronic Frontier Foundation ha publicado una guía de autodefensa de vigilancia que brinda información y herramientas sobre las características de varios servicios y dispositivos.
- El cifrado de datos en reposo es cualquier forma de cifrado que protege los datos almacenados físicamente en forma digital (por ejemplo, en computadoras, discos de almacenamiento, dispositivos móviles o Internet de las cosas).
En la práctica, el cifrado se aplica con un enfoque en capas. Por ejemplo, un usuario cifra su correo electrónico mediante PGP o Extensiones de correo de internet de propósitos múltiples / seguro (S/MIME), y el proveedor de correo electrónico (por ejemplo: Gmail) cifra la transmisión del correo electrónico mediante HTTPS.
Es importante recalcar que el cifrado no necesariamente hace que todos los datos de las comunicaciones sean imposibles de leer. Por ejemplo, los metadatos de las comunicaciones, incluidos los identificadores del remitente y del destinatario, la longitud del mensaje, la ubicación, la fecha y la hora, se pueden exponer en texto legible.
Desafíos
La amplia disponibilidad del cifrado, así como su naturaleza versátil y su uso por parte de diferentes actores, presenta varios desafíos.
- Libertad de expresión, anonimato y abuso. Las tecnologías de cifrado facilitan la comunicación anónima, un salvavidas potencial para ciudadanos y activistas bajo regímenes opresivos e individuos en comunidades vulnerables, como víctimas de abuso doméstico, aquellos en programas de protección de testigos y policías encubiertos.
Sin embargo, la misma tecnología también puede ayudar a los malhechores a ocultar actividades y comunicaciones mediante el uso de herramientas de anonimato para el ciberacoso y otras formas de abuso en línea.
Internet Society reconoce el objetivo legítimo de los estados nacionales de proteger a sus ciudadanos, pero advierte contra los intentos de regular la tecnología para impedir que los delincuentes se comuniquen de manera confidencial. Este enfoque corre el riesgo de imposibilitar que los ciudadanos respetuosos de la ley protejan la confidencialidad de sus datos y comunicaciones y de poner en peligro sus derechos a la privacidad, la libertad de expresión y de opinión. Como se describe en nuestro informe de seguridad colaborativa, el objetivo general de la seguridad debe ser fomentar la confianza en Internet y garantizar el éxito continuo de Internet como impulsor de la innovación técnica y el beneficio económico y social. - El dilema de la seguridad y la privacidad. Los debates de la política sobre el cifrado presentan con frecuencia el problema como seguridad frente a privacidad, una cuestión de equilibrar la responsabilidad de los gobiernos de proteger a sus ciudadanos frente a los derechos de los ciudadanos de proteger su privacidad de intrusiones gubernamentales, comerciales o criminales. Internet Society sostiene que la seguridad y la privacidad no son necesariamente conceptos irreconciliables. Por el contrario, pueden reforzarse mutuamente. La confianza del usuario surge de un sentido tanto de privacidad como de seguridad. Por ejemplo, confiar en que un mensaje es seguro (solo será leído por su destinatario previsto) ayuda a que una variedad de servicios de Internet, en particular el comercio electrónico, prospere.
- Puertas traseras del cifrado. Esto se refiere a la idea de que una herramienta puede ayudar a un tercero autorizado a obtener acceso y descifrar datos cifrados sin acceso a claves. Pero tales puertas traseras también permitirían el acceso encubierto al contenido. El consenso técnico[1] es que la introducción de puertas traseras mediante cualquiera de las técnicas actualmente propuestas pone en riesgo a los usuarios legítimos y es poco probable que evite que los delincuentes se comuniquen clandestinamente. Es probable que los actores maliciosos encuentren medios alternativos de comunicación, mientras que los usuarios promedio pueden no tener las mismas herramientas. Esto podría dejar a las comunicaciones criminales inmunes a la observación y dejar a las comunicaciones de los usuarios vulnerables a la observación e interceptación por los gobiernos o los malhechores, que han descubierto cómo aprovechar las puertas traseras.
- Tecnología «a prueba de la manipulación». En el contexto del cifrado, la tecnología a prueba de manipulaciones está diseñada para dificultar que los atacantes modifiquen dispositivos, aplicaciones o datos, y para hacer evidente cualquier manipulación. Utilizadas junto con el cifrado, las medidas anti-manipulación pueden ayudar a evitar (1) el ingreso a un dispositivo después de repetidos intentos de inicio de sesión; y (2) la instalación de puertas traseras de cifrado, rootkits (código malicioso diseñado para acceder a diferentes áreas de una computadora sin autorización) y otro software malicioso. En los últimos años, se ha observado una tendencia hacia un mayor uso de la tecnología «a prueba de la manipulación» y de los mecanismos que borran datos automáticamente bajo ciertas condiciones (por ejemplo, después de 10 intentos fallidos de introducir correctamente una contraseña). Si bien la tecnología a prueba de manipulaciones ayuda a proteger la integridad de la tecnología, también puede presentar dificultades para las fuerzas del orden que intentan acceder a las comunicaciones y los datos de los sospechosos.
Principios orientativos
Internet Society (ISOC) ofrece los siguientes principios orientativos de las políticas:
- Confidencialidad y anonimato. Para apoyar la libre expresión de los derechos humanos, incluida la privacidad y la libertad de expresión, las personas deben poder comunicarse de forma confidencial y anónima en Internet.
- Seguridad de datos. Así como las personas tienen derecho a proteger sus activos y propiedades fuera de línea, deben tener derecho a utilizar el cifrado y otras herramientas para proteger sus datos, activos digitales y actividades en línea. Alentamos el desarrollo abierto y la amplia disponibilidad de tecnologías relacionadas con la seguridad de los datos.
- Confianza. La confianza del usuario es fundamental para el crecimiento y la evolución continuos de Internet, y un número cada vez mayor de usuarios se está dando cuenta del valor de usar aplicaciones y servicios seguros y que respetan la privacidad. Alentamos la provisión de mecanismos confiables para la autenticación, la confidencialidad de los datos y la integridad de los datos como componentes técnicos vitales para productos y servicios confiables. También creemos que los marcos legales deben respaldar los derechos humanos de las personas, incluido el derecho a la privacidad.
- Cifrado. El cifrado debe ser la norma para todo el tráfico de Internet. Se recomienda encarecidamente a los diseñadores y desarrolladores de productos y servicios digitales que se aseguren de que la información de los usuarios, ya sea almacenada o comunicada, esté cifrada de forma predeterminada. Siempre que sea posible, el cifrado de extremo a extremo debe estar disponible.
- Tecnología «a prueba de la manipulación». La tecnología «a prueba de la manipulación» debe seguir desarrollándose y aplicándose a favor del cifrado. Los gobiernos no deben exigir el diseño de vulnerabilidades en herramientas, tecnologías o servicios. Asimismo, los gobiernos no deben exigir que las herramientas, las tecnologías o los servicios sean diseñados o desarrollados para permitir el acceso de terceros al contenido de datos cifrados.
- Divulgación responsable de vulnerabilidades. Los gobiernos deben apoyar el trabajo de los investigadores de seguridad y otros para identificar y divulgar de manera responsable las vulnerabilidades de seguridad y privacidad y deben evitar crear o estimular un mercado para las vulnerabilidades de «día cero».
- Implementación. Una mayor implementación de mecanismos de seguridad, como el cifrado, generará desafíos en el diseño de la administración de redes, el desarrollo, la gestión y la facilidad de uso. La administración de redes, la detección de intrusos y la prevención de correo no deseado se enfrentarán a nuevos requisitos funcionales, y cabe esperar desafíos económicos y políticos.
- Soluciones para múltiples actores. Los delincuentes pueden comunicarse de manera confidencial y anónima. Enfrentar con éxito las repercusiones de esto requiere la acción concertada de múltiples actores. Internet Society reafirma su compromiso de facilitar la participación de todos los actores y de desempeñar un papel activo y técnicamente informado en el desarrollo de soluciones.
Convocatoria de actores globales
En 2020, Internet Society se enorgulleció de unirse a Global Partners Digital y al Center for Democracy and Technology como miembro fundador de Global Encryption Coalition, que ahora cuenta con más de 300 miembros individuales y organizativos, y que organizó el Día mundial del cifrado inaugural el 21 de octubre de 2021.
Internet Society firmó la petición «Secure the Internet«, afirmando su apoyo a los principios de la petición, es decir, que los gobiernos no deben hacer lo siguiente:
- Prohibir o limitar el acceso de los usuarios al cifrado en cualquier forma o prohibir la implementación o el uso del cifrado por grado o tipo.
- Ordenar el diseño o la implementación de puertas traseras o vulnerabilidades en herramientas, tecnologías o servicios.
- Requerir que las herramientas, tecnologías o servicios se diseñen o desarrollen para permitir el acceso de terceros a datos no cifrados o claves de cifrado.
- Buscar debilitar o socavar los estándares de cifrado o influir intencionalmente en el establecimiento de estándares de cifrado, excepto para promover un mayor nivel de seguridad de la información.
- Exigir algoritmos, estándares, herramientas o tecnologías de cifrado inseguros.
- Por acuerdo público o privado, obligar o presionar a una entidad a realizar una actividad que sea incompatible con los principios anteriores.
Internet Society continúa prestando su voz a cartas abiertas y coaliciones de actores en apoyo de un cifrado fuerte y confiable. Encontrará un archivo actualizado de dichas declaraciones aquí: https://www.internetsociety.org/open-letters/
Recursos adicionales
Las hojas y los documentos informativos de Internet Society relacionados con este tema están disponibles de manera gratuita en el sitio web de Internet Society, y muchos se pueden encontrar a través de nuestra página de recursos de cifrado: https://www.internetsociety.org/es/issues/encryption/resources/
Los comunicados de prensa relacionados con el cifrado de Internet Society y la cobertura de los medios se pueden encontrar en nuestra página de redacción: https://www.internetsociety.org/es/newsroom/?tx_category=cifrado
Las publicaciones de blog de Internet Society sobre cifrado se pueden encontrar en la página de publicaciones de blog: https://www.internetsociety.org/es/blog/?tx_category=cifrado
Notas
[1] Keys Under Doormats: Inseguridad obligatoria al exigir el acceso del gobierno a todos los datos y comunicaciones, Declaración de IAB sobre confidencialidad en Internet, Hallazgo de TAG del W3C: Cifrado de extremo a extremo y la Web, Hallazgo de TAG del W3C: Protección de la Web, https://www.m3aawg.org/news/keys-under-doormats-authors-receive-m3aawg-jd-falk-award-for-clarifying-insecurity-of.