En la actualidad con el auge de las tecnologías, las redes sociales, las distintas aplicaciones de videollamada como Zoom y de mensajería como WhatsApp y Telegram, los factores más importantes para nosotros como usuarios son la seguridad y la privacidad dentro de nuestra comunicación, ya que se intercambian bastante información nuestra a través de dichas plataformas.
Es por ello que de un tiempo para aquí los desarrolladores de estas aplicaciones se han tomado muy en serio el proteger las comunicaciones de sus usuarios, impidiendo que se filtre y sea expuesta la información, y así, mantener la privacidad y seguridad de los usuarios.
La solución más efectiva que han encontrado hasta ahora para solventar la cantidad de fallos de seguridad que sufrían constantemente las distintas aplicaciones de mensajería es el cifrado de extremo a extremo, y por ello a continuación, te hablaremos de qué trata esta solución.
¿Qué significa el cifrado de extremo a extremo?
El cifrado de extremo a extremo o cifrado de punta a punta, también llamado en ingles end-to-end encryption o E2EE, se refiere a un sistema de comunicación que garantiza la seguridad y privacidad de los usuarios de aplicaciones de mensajería mediante el cifrado de los mensajes.
Con este sistema la principal ventaja es que solo los usuarios que se están comunicando pueden leer los mensajes, ya que son los usuarios los que emiten códigos que solo podrán ser descifrados por el dispositivo de la persona con la que se comunican, se podría decir que es un tipo de blindado para los mensajes.
Otra ventaja de este cifrado es que protege cada mensaje enviado y llamada realizada impidiendo cualquier tipo de vigilancia y que los espías o ladrones de información, incluyendo los gobiernos dictatoriales, los proveedores de internet, telecomunicaciones y los del servicio de comunicación, tengan acceso a la información y, más específicamente, a las claves criptográficas necesarias para descifrar la conversación.
¿Qué alternativas existen además del cifrado de extremo a extremo?
A pesar de que el cifrado de extremo a extremo nos ofrece gran seguridad, ya que el mensaje que enviamos viaja hasta su receptor de forma totalmente cifrada, existen otras opciones que son menos segura que la otra pero que igualmente debes conocer si te interesa este mundo de la seguridad de tus datos en internet. Entre ellas encontramos la opción de transferir los datos en texto plano y el cifrado de datos en tránsito. Continúa leyendo para que sepas de qué tratan.
Texto plano
El texto plano es un tipo de archivo informático que contiene texto conformado por caracteres legibles por humanos, es decir, bytes que representan caracteres ordinarios como letras, números y signos de puntuación, incluyendo espacios en blanco, conformando códigos distintos.
Con esta opción tu mensaje no estaría cifrado, y por ende, no tendrías seguridad alguna. Cualquier intruso o espía podría interceptar tus mensajes y por lo tanto obtener información sobre ti. Sin embargo, para hacerlo se necesita un equipo especial, complicando que puedan llevar acabo el espionaje de tus mensajes.
Cifrado de datos en tránsito
Esta alternativa brinda cifrado en tus mensajes, pero requiere de un intermediario para poder hacerlo. Este intermediario es servidor de la compañía que ofrezca el servicio de mensajería o transferencia de datos.
Inicialmente el mensaje se cifra en el extremo del remitente, luego se envía a un servidor para que sea descifrado y luego se vuelve a cifrar para ser enviado al receptor y en este extremo se vuelve a descifrar.
De esta manera, este cifrado te ofrece protección de tu información durante la transmisión, pero al requerir de intermediarios en algún punto se verá el contenido de tu mensaje pudiendo llegar a generarse un problema si falla la fiabilidad de algún eslabón en la cadena.
Además, es importante destacar que al necesitar un servidor, este podrá almacenar el historial de mensajes, usar la moderación automática, conectar con otros participantes usando otros canales alternativos a la conversación, brindando una gran cantidad de servicios adicionales a la transferencia de datos, y es por ello que no todos los servicios se han cambiado al cifrado de extremo a extremo.
¿Cómo protege nuestra privacidad el cifrado de extremo a extremo?
El cifrado que está en uso actualmente funciona de tal manera que, si algún intruso altera los datos cifrados, el mensaje se distorsiona al descifrarlo y de inmediato se observa que hay problemas. Además, es imposible remplazar el texto del mensaje original, ya que no hay manera de realizar un cambio predecible en un mensaje cifrado, garantizando la integridad del mensaje enviado.
Adicionalmente, los matemáticos que trabajan con estos sistemas constantemente mejoran la fortaleza de los cifrados ya existentes y desarrollan nuevos sistemas de cifrado, restringiendo cada vez mejor los datos transmitidos de cualquier persona a su receptor y por tanto, dando privacidad en la comunicación e impidiendo los ataques informáticos o vulnerabilidad de la información por los proveedores y compañías de mensajería.
Todo esto ya mencionado hasta ahora asegura que el código o el mensaje cifrado enviado desde un dispositivo pueda expresar libremente lo que quiera, y que este código al final solo seeá leído por el receptor final del mensaje, manteniendo la conversación privada solo entre el emisor y el receptor, tal como ocurre con una de las aplicaciones de mensajería más usadas como lo es WhatsApp.
¿Cómo funciona el cifrado de extremo a extremo de WhatsApp?
En abril del año 2016 WhatsApp finalmente logró completar la implementación del cifrado de extremo a extremo mediante el uso de uno de los sistemas más potentes del mercado, asegurando a sus usuarios que todos sus mensajes y multimedia que compartieran a través de su aplicación estarán cifrados al ser enviados y solo el dispositivo receptor podrá descifrarlos.
Ésta decisión se tomó después de que ocurrieran varios sucesos que demostraban que la seguridad que WhatsApp ofrecía a sus usuarios era nula. En 2011 descubrieron que la aplicación era totalmente vulnerable frente a los ciber-intrusos, permitiéndoles “secuestrar” las sesiones de los usuarios y así obtener su información.
A pesar de sus esfuerzos y actualizaciones, seguían transmitiendo los datos en texto plano, es decir sin ningún cifrado, causando otro problema en 2012, ya que el sitio web WhatsAppStatus.net le daba la opción a cualquier persona de cambiar el estado de cualquier cuenta de WhatsApp. A pesar de los esfuerzos de sus ingenieros el problema no fue solventado y es por ello que ese mismo año surgieron otros servicios similares de mensajería.
En vista de esa última polémica, para inicios de 2013 la aplicación de WhatsApp finalmente comenzó a usar el método de cifrado, pero éste no fue lo bastante seguro. Por eso, en 2014, decidieron empezar a implementar un nuevo sistema de cifrado y lograr una solución real.
Para implementar este nuevo sistema de cifrado el equipo desarrollador de Facebook y Whatsapp trababjó en colaboración con Open Whisper Systems, empresa reconocida y responsable de productos como Redphone, Signal y Textsecure, fundada por Moxie Marlinspike, investigador de seguridad informática, personaje bastante conocido por sus logros publicados bajo licencia Open Source y que ha permitido auditarlos.
El cifrado implementado se basa en el protocolo Signal (antes Axolotl) y usa el servicio TextSecure. Este servicio se fundamenta en el uso de claves de cifrado únicas para cada dispositivo y la generación de una nueva clave por cada nuevo mensaje. Estas claves, en lugar de estar almacenadas en un servidor centralizado y gestionado por personal de WhatsApp, se almacenan en el dispositivo de cada usuario, garantizando un cifrado de extremo a extremo.
Esta combinación de cifrado de extremo a extremo con TextSecure asegura que los mensajes no sufran ningún ciberataque, ni siquiera el personal de WhatsApp podría. Además, éstas características que se han mencionado permiten que WhatsApp se diferencie de otros servicios de internet, mensajería instantánea y redes sociales, haciéndola invulnerable y más segura.
Ahora bien, el sistema implementado para poder cumplir con su función usa tres tipos de claves públicas:
- Clave para identificar el dispositivo
- Clave generada periódicamente y firmada digitalmente por la anterior
- Clave de un solo uso en cada utilización del servicio
Aunado a esas tres claves, utiliza también tres tipos de claves de sesión:
- Clave de administrador para generar la clave de cadena
- Clave de cadena para crear la clave de mensaje
- Clave de mensaje de 80 bytes (32 para una clave AES-256, 32 para una clave HMAC-SHA256, 16 para un IV o vector de inicialización)
Por si todo esto no te termina de convencer, también implementan la seguridad en el canal de transporte, que además de estar separado también está cifrado a través de Noise Protocol Framework, desarrollado también por Open Whisper Systems.
Este protocolo utiliza las llamadas “tuberías” o Noise Pipes, que emplean el cifrado Curve25519 (sistema de cifrado de clave elíptica), AES-GCM y SHA256, protegiendo transmisiones y metadatos de tal forma que no se revela la identidad de los usuarios por ningún motivo. Es decir, WhatsApp no tiene forma de saber qué se está enviando a través de su plataforma.
Todo este proceso de cifrado de la información que manejas y compartes en tu cuenta de WhatsApp ocurre de manera automática, sin necesidad de activar ninguna configuración especial para proteger tus mensajes. Y además, todo se aplica por igual, tanto para las cuentas de WhatsApp personales como para las de WhatsApp Business.
El cifrado se activará automáticamente en todas las conversaciones siempre y cuando ambos usuarios involucrados en la conversación cuenten con una versión reciente y oficial de WhatsApp, y este cifrado será imposible de desactivar, pero las claves de cifrado sí pueden cambiar por diversos motivos.
Confirmar código de seguridad
Cada vez que el código de seguridad de cifrado cambie en alguno de nuestras conversaciones podemos recibir una notificación al chat. Para hacerlo, debemos abrir el menú de <<Ajustes de WhatsApp>> y allí ir a la sección de <<Cuenta>>. Una vez dentro, van a aparecer varias opciones, y debemos dirigirnos a la opción de <<Seguridad>>.
Una vez presionemos en dicha opción, nos aparecerá una nueva pantalla, donde la aplicación nos señala que todas las conversaciones y llamadas están cifradas de extremo a extremo. En la parte inferior aparece otro mensaje para decidir si queremos mostrar una notificación cada vez que cambie la clave de cifrado en caso de que, por ejemplo, la otra persona formatee el teléfono, borre los datos e inicie sesión de nuevo o cambie de teléfono.
De ésta manera, no solo podemos activar las notificaciones de cambio de clave de cifrado, sino también el estado de cifrado general de WhatsApp. Pero si además quieres verificar el cifrado de cada conversación, lo único que deberás hacer es abrir la conversación y pulsar en el nombre del usuario que se encuentra en la parte superior.
Hecho esto se abrirá la ventana de información del contacto, y allí encontraras la opción <<Cifrado>>, la cual tendrá un candado cerrado de color verde. Esto significa que la conversación con dicho usuario está cifrada, y al pulsar sobre la opción, aparecerá un código QR y los 60 dígitos de la clave de cifrado correspondiente a esa conversación.
Los códigos son únicos para cada chat y los participantes de cada chat los pueden comparar si quisieran verificar el cifrado de extremo a extremo. Sin embargo, estos códigos solo son una versión visible de esas claves especiales compartidas entre ambos usuarios, ya que el código que vemos no es la clave en sí, ésta siempre se mantiene secreta.
Como se ha demostrado a lo largo de todo lo escrito, la seguridad digital en las diferentes plataformas de internet y aplicaciones web cada día coge más importancia. Es algo que los usuarios piden con inquietud para asegurar su privacidad y seguridad. Hasta ahora WhatsApp, ha sabido hacerlo muy bien, y por ello actualmente cuenta con el sistema de cifrado de extremo a extremo más seguro y usado del mundo, dejando el estándar bastante alto para sus competidores de mensajería instantánea.