Introducción

La naturaleza de nuestras comunicaciones digitales actuales es tal que rara vez se comunica directamente con sus pares. Parece que usted y sus amigos están intercambiando mensajes de forma privada cuando, en realidad, están grabados y almacenados en un servidor central.

Es posible que no desee que sus mensajes sean leídos por el servidor responsable de transmitirlos entre usted y el destinatario. En este caso, el cifrado de extremo a extremo (o más simplemente, E2EE) puede ser la solución para usted.

El cifrado de extremo a extremo es un método para cifrar las comunicaciones entre el receptor y el remitente, de modo que sean las únicas partes que puedan descifrar los datos. Sus orígenes se remontan a la década de 1990, cuando Phil Zimmerman publicó Pretty Good Privacy (más conocido como PGP).

Antes de entender por qué es posible que desee utilizar E2EE y cómo funciona, veamos cómo funcionan los mensajes no cifrados.

¿Cómo funcionan los mensajes no cifrados?

Veamos cómo podría funcionar una plataforma de mensajería normal para teléfonos inteligentes. Instalas la aplicación y creas una cuenta, que te permite comunicarte con otras personas que han hecho lo mismo. Escribe un mensaje e ingresa el nombre de usuario de su amigo, luego lo publica en un servidor central. El servidor ve que has dirigido el mensaje a tu amigo y lo reenvía al destinatario.

Communication entre les utilisateurs A et B. Ils doivent faire passer les données par le serveur (S) pour se joindre.

Comunicación entre los usuarios A y B. Necesitan pasar datos a través del servidor (S) para unirse.


Quizás conozcas este modelo como modelo cliente-servidor. El cliente (su teléfono) no hace mucho, pero el servidor hace la mayor parte del trabajo. Pero esto también significa que el proveedor del servicio actúa como intermediario entre usted y el receptor.

La mayoría de las veces, los datos entre A<>S y S<>B del diagrama están cifrados. Un ejemplo es Transport Layer Security (TLS), que se utiliza ampliamente para proteger las conexiones entre clientes y servidores.

TLS y soluciones de seguridad similares impiden que alguien intercepte el mensaje mientras pasa del cliente al servidor. Aunque estas medidas pueden impedir que personas externas accedan a los datos, el servidor aún puede leerlos. Aquí es donde entra en juego el cifrado. Si los datos de A se han cifrado con una clave criptográfica que pertenece a B, el servidor no puede leerlos ni acceder a ellos.

Sin los métodos E2EE, el servidor puede almacenar la información en una base de datos junto con millones de otras. Como se ha demostrado una y otra vez las violaciones de datos a gran escala, esto puede tener consecuencias desastrosas para los usuarios finales.

¿Cómo funciona el cifrado de un extremo a otro?

El cifrado de extremo a extremo garantiza que nadie, ni siquiera el servidor que lo conecta con otros, pueda acceder a sus comunicaciones. Las comunicaciones en cuestión podrán ser texto plano, correos electrónicos, archivos o videollamadas.

Los datos se cifran en aplicaciones como Whatsapp, Signal o Google Duo (en principio) para que sólo los remitentes y los destinatarios puedan descifrarlos. En los esquemas de cifrado de extremo a extremo, puedes iniciar este proceso con lo que se llama un intercambio de claves.

¿Qué es un intercambio de claves Diffie-Hellman?

La idea del intercambio de claves Diffie-Hellman fue concebida por los criptógrafos Whitfield Diffie, Martin Hellman y Ralph Merkle. Es una técnica poderosa que permite a las partes generar un secreto compartido en un entorno potencialmente hostil.

En otras palabras, la creación de la clave se puede realizar en foros inseguros (incluso bajo la mirada de observadores) sin comprometer los mensajes resultantes. En la era de la información, este aspecto es particularmente valioso porque las partes no necesitan intercambiar claves físicamente para comunicarse.

El intercambio en sí implica grandes números y magia criptográfica. No entraremos en detalles. En su lugar, usaremos la popular analogía del color de la pintura. Supongamos que Alice y Bob están en habitaciones de hotel separadas en extremos opuestos de un pasillo y quieren compartir un color de pintura particular. No quieren que nadie más descubra qué es.

Desgraciadamente, el suelo está lleno de espías. Supongamos que Alice y Bob no pueden entrar a las habitaciones del otro en este ejemplo, por lo que solo pueden interactuar en el pasillo. Lo que podrían hacer es ponerse de acuerdo sobre una pintura común para el pasillo, por ejemplo amarilla. Toman una lata de esta pintura amarilla, la comparten entre ellos y regresan a sus respectivas habitaciones.

En sus habitaciones mezclarán el amarillo con una pintura secreta, una pintura que nadie conoce. Alice usa un tono de azul y Bob un tono de rojo. Los espías no pueden ver los colores secretos que utilizan. Sin embargo, verán las mezclas resultantes, ya que Alice y Bob ahora emergen de su habitación con sus brebajes azul-amarillo y rojo-amarillo.

Intercambian estas mezclas en público. No importa si los espías los ven ahora, porque no podrán determinar el tono exacto de los colores añadidos. Recuerde, esto es sólo una analogía: las verdaderas matemáticas detrás de este sistema hacen que sea aún más difícil adivinar el “color” secreto.

Alice toma la mezcla de Bob, Bob toma la de Alice y regresan a su habitación. Ahora añaden sus colores secretos.

  • Alice combina su tono secreto de azul con la mezcla rojo-amarillo de Bob, lo que da como resultado una mezcla rojo-amarillo-azul.

  • Bob combina sus tonos secretos de rojo con la mezcla azul-amarilla de Alice, lo que da como resultado una mezcla azul-amarilla-roja.

Ambos trajes tienen los mismos colores, por lo que deben ser idénticos. Alice y Bob lograron crear un color único que los oponentes no conocen.

Les deux combinaisons comportent les mêmes couleurs, elles doivent donc être identiques. Alice et Bob ont créé avec succès une couleur unique que les adversaires ne connaissent pas.

Este es el principio que podemos utilizar para crear un secreto compartido y abierto. La diferencia es que no nos encontramos ante pasillos y pinturas, sino ante canales de comunicación inseguros, claves públicas y claves privadas.

Intercambiar mensajes

Una vez que las partes hayan compartido su secreto, podrán utilizarlo como base para un esquema de cifrado simétrico. Las implementaciones populares suelen incorporar técnicas adicionales para una seguridad más sólida, pero todo esto es abstracto para el usuario. Una vez que te conectas con un amigo en una aplicación E2EE, el cifrado y descifrado solo se pueden realizar en tus dispositivos (a menos que exista una vulnerabilidad importante del software).

No importa si usted es un hacker, el proveedor de servicios o incluso la policía. Si el servicio está realmente cifrado de extremo a extremo, cualquier mensaje que intercepte será incomprensible.

Los pros y los contras del cifrado de extremo a extremo

Desventajas del cifrado de extremo a extremo

El cifrado de extremo a extremo tiene sólo una desventaja, y si es una desventaja depende completamente de su perspectiva. Para algunos, la propuesta de valor de E2EE es problemática, precisamente porque nadie puede acceder a sus mensajes sin la clave correspondiente.

Los delincuentes dicen que los delincuentes pueden utilizar E2EE de forma segura, sabiendo que los gobiernos y las empresas de tecnología no pueden descifrar sus comunicaciones. Piensan que no hay necesidad de proteger sus mensajes y llamadas telefónicas de la ley. Este sentimiento es compartido por muchos políticos que apoyan la legislación para abrir puertas traseras en los sistemas para permitirles el acceso a las comunicaciones. Por supuesto, esto anularía el propósito del cifrado de extremo a extremo.

Cabe señalar que las aplicaciones que utilizan E2EE no son 100% seguras. Los mensajes están ocultos cuando se transmiten de un dispositivo a otro, pero son visibles en los puntos finales, es decir, computadoras portátiles o teléfonos inteligentes en cada extremo. Esto no es una desventaja del cifrado de extremo a extremo, pero vale la pena tenerlo en cuenta.

Le message est visible en texte brut avant et après déchiffrement.

El mensaje es visible en texto sin formato antes y después del descifrado.

E2EE garantiza que nadie pueda leer sus datos mientras están en tránsito. Pero existen otras amenazas:

  • Te pueden robar el dispositivo: si no tienes un código PIN o si el atacante lo evita, puede tener acceso a tus mensajes.

  • Su dispositivo podría verse comprometido: su máquina podría estar equipada con malware que espía la información antes y después de enviarla.

Otro riesgo es que alguien pueda interponerse entre usted y su contraparte mediante un ataque de intermediario. Esto sucedería al inicio de la comunicación. Si realiza un intercambio de claves, no sabrá que en realidad es un intercambio con su amigo. Sin saberlo, podrías establecer un secreto con un atacante. Luego, el atacante recibe sus mensajes y tiene la clave para descifrarlos. Pueden engañar a tu amigo de la misma forma, es decir, pueden transmitir mensajes y leerlos o modificarlos como deseen.

Para solucionar este problema, muchas aplicaciones incluyen una función de código de seguridad. Se trata de una cadena de números o código QR que puedes compartir con tus contactos a través de un canal seguro (idealmente sin conexión). Si los números coinciden, puedes estar seguro de que un tercero no está espiando tus comunicaciones.

Beneficios del cifrado de extremo a extremo

En una configuración sin ninguna de las vulnerabilidades mencionadas anteriormente, C2BEB es sin duda un recurso muy valioso para aumentar la privacidad y la seguridad. Al igual que el enrutamiento cebolla, es una tecnología defendida por activistas de la privacidad en todo el mundo. También es fácil de integrar en aplicaciones que se parecen a las que estamos acostumbrados, lo que significa que la tecnología es accesible para cualquier persona capaz de usar un teléfono celular.

Sería un error considerar la E2EE como un mecanismo útil sólo para delincuentes y denunciantes. Incluso las empresas que parecían seguras resultaron ser susceptibles a ataques cibernéticos, exponiendo información no cifrada de los usuarios a partes maliciosas. El acceso a datos de usuarios, como comunicaciones confidenciales o documentos de identidad, puede tener impactos catastróficos en la vida de las personas.

Si una empresa cuyos usuarios dependen de E2EE es pirateada, los piratas informáticos no pueden extraer información significativa sobre el contenido del mensaje (siempre que la implementación del cifrado sea sólida). En el mejor de los casos, los piratas informáticos podrán hacerse con los metadatos. Esto sigue siendo preocupante desde una perspectiva de privacidad, pero es una mejora con respecto al acceso al mensaje cifrado.


Conclusión

Además de las aplicaciones mencionadas anteriormente, hay un número creciente de herramientas E2EE disponibles de forma gratuita. iMessage de Apple y Duo de Google vienen con los sistemas operativos iOS y Android, y siguen surgiendo otros programas de software centrados en la privacidad y la seguridad.

Repitamos que el cifrado de extremo a extremo no es una barrera mágica contra todas las formas de ciberataques. Sin embargo, con poco esfuerzo, puedes utilizarlo activamente para reducir enormemente el riesgo al que te expones en línea.

Descargo de responsabilidad y advertencia de riesgo: este contenido se le presenta "tal cual" solo para información general y fines educativos, sin representación ni garantía de ningún tipo. No debe interpretarse como asesoramiento financiero, legal o profesional, ni como un medio para recomendar la compra de un producto o servicio específico. Debe buscar asesoramiento de profesionales adecuados antes de tomar cualquier decisión. Cuando el artículo fue escrito por un colaborador externo, tenga en cuenta que las opiniones contenidas en el artículo no reflejan necesariamente las de Binance Academy. Lea nuestro descargo de responsabilidad completo aquí para obtener más información. Los precios de los activos digitales pueden ser volátiles. El valor de su inversión puede subir o bajar y es posible que no recupere la cantidad que invirtió. Usted es el único responsable de sus decisiones de inversión y Binance Academy no es responsable de las pérdidas en las que pueda incurrir. Este contenido no debe interpretarse como asesoramiento financiero, legal o profesional. Para obtener más información, consulte nuestros Términos de uso y Advertencia de riesgos.