La tecnología de cifrado de extremo a extremo (E2EE) en las aplicaciones y programas de mensajería protege a los periodistas y a sus fuentes, especialmente cuando comunican información sensible.
Cuando se trata de transmitir información sensible, los periodistas siempre deben realizar una evaluación de riesgos de las herramientas en línea que utilizan para comunicarse y deben priorizar las aplicaciones que ofrecen tecnología con cifrado de extremo a extremo (E2EE), como Signal, por ejemplo. El cifrado se utiliza principalmente para proteger el contenido de los mensajes y evitar que sea leído por terceros, cuando se comunica información delicada. Dado que no es posible cifrar los SMS y las llamadas telefónicas normales, los proveedores de servicios de Internet (ISP) –y a través de ellos, los gobiernos– pueden acceder a todos los contenidos transferidos mediante estos servicios. El tipo de cifrado utilizado determinará a qué datos acceden el ISP o la aplicación utilizada. En la mayoría de los países, los gobiernos pueden obligar a los ISP a proporcionar registros exhaustivos de los usuarios y, en ocasiones, también utilizar métodos alternativos para recuperar datos incluso sin el conocimiento de los ISP.
Parámetros a tener en cuenta para la evaluación de riesgos
- Las entidades (individuos, organizaciones privadas o públicas) que podrían querer acceder a la información del periodista y el nivel de recursos que podrían emplear para acceder a ella.
- Los proveedores de servicios de Internet (ISP) a través de los cuales circulará la información en ambos extremos.
- La elección de la aplicación disponible y el tipo de cifrado que utiliza.
Tipos de cifrado
- Sin cifrado. Cualquier dispositivo o sistema que intervenga en el tránsito entre el remitente y el destinatario de los mensajes o datos puede acceder a su contenido.
- Cifrado en reposo. Protege los datos del dispositivo contra usuarios no autorizados. Su uso principal es la protección contra malware, spyware o intentos de intrusión en el propio dispositivo del usuario. Este tipo de cifrado no protege los datos en tránsito.
- Cifrado en tránsito. Protege los datos de los usuarios mientras se transfieren al servidor de la aplicación. Los ISP no pueden leer los datos de los usuarios, pero el servidor de la aplicación sí puede.
- Cifrado de extremo a extremo (E2EE). El mejor nivel de cifrado disponible actualmente en el mercado. Cifra los datos de los usuarios durante todo el tránsito, lo que los hace ilegibles para el servidor de la aplicación.
Límites del cifrado de extremo a extremo
- Cifrado débil. El término “cifrado” puede tener muchos significados diferentes y, por sí solo, no garantiza necesariamente la seguridad total de su información. Aunque el cifrado avanza constantemente, los métodos para descifrarlo también lo hacen. Un cifrado antiguo o débil puede proporcionar una falsa sensación de seguridad. Los usuarios pueden verificar la solidez de su cifrado a través de aplicaciones de código abierto que han publicado auditorías de seguridad, como Threema.
- Registro/retención de datos. Un archivo de registro es un archivo de datos que contiene información sobre los patrones de uso, las actividades y las operaciones dentro de un sistema operativo, una aplicación, un servidor u otro dispositivo. Algunas aplicaciones (y VPN) no eliminan sus datos, lo que significa que si alguien tiene la capacidad de descifrar los datos del usuario y puede recibir archivos de registro cifrados, el hacker puede leerlo todo. Es mejor buscar aplicaciones que se comprometen a “no registrar”, e incluso así, comprobar sus condiciones para confirmar qué entienden por “no registrar”. Algunas aplicaciones solo utilizan “cifrado en tránsito”, pero no registran ni conservan sus datos durante un minuto o dos antes de eliminarlos. Esto puede suponer un riesgo, pero es más seguro que el E2EE con un cifrado débil.
- Ubicación del servidor y de la organización. Si el servidor se encuentra en un país donde las leyes de privacidad de datos son frágiles, el usuario corre el riesgo de que se acceda a sus datos. En algunos casos, los ISP pueden estar legalmente obligados a compartir datos con estados aliados, por ejemplo, la Alianza Five Eyes permite al gobierno de EEUU acceder a datos sobre los usuarios de Internet de otros cuatro gobiernos (Australia, Nueva Zelanda, Canadá, y Reino Unido). Es importante que las aplicaciones del teléfono del usuario no estén alojadas en un país donde corran peligro.
Escrito por Benjamin Finn. Natural de Houston (EEUU), Benjamin Finn lleva una década trabajando en el sector de las tecnologías de la información, centrándose principalmente en la implementación de herramientas internas para grandes empresas, incluyendo iniciativas de ciberseguridad. Ha participado en cursos de formación sobre seguridad en contextos de Estados opresores, concretamente en Myanmar. También ha trabajado con varios grupos en Taiwán para formarlos en medidas de seguridad.