Cada cierto tiempo se plantea la idea de implementar alguna medida que permita a los servicios de seguridad acceder a mensajes cifrados en plataformas de mensajería. Hasta donde sabemos, la matemática y la física no entienden de legislación y mucho menos funcionan de forma diferente según el país donde se encuentren. Estas sugerencias esconden un profundo conflicto que todavía arrastramos en ciberseguridad.
Recurrentemente se sugiere que las empresas tecnológicas deben proporcionar a los servicios de seguridad un acceso “secreto” a los mensajes cifrados. Una puerta trasera. Desde hace años, los mensajes entre usuarios de los programas de mensajería más populares suelen ir “cifrados extremo a extremo”. Igual que ocurre con el tráfico entre el navegador del usuario y una web cifrada. Nadie puede verlos cuando pasan por ordenadores intermedios, porque se cifran en el cliente y se descifran en el destino. Es una forma de garantizar con criptografía (o sea, matemáticas) que solo el que envía y recibe pueden ver el mensaje y no la empresa que ofrece el servicio.
Esta criptografía (si se usa y aplica correctamente) no se puede romper con la tecnología y conocimiento actual. Y si ocurriera, no podríamos ni comunicarnos, ni comprar, ni hacer absolutamente nada de forma segura en Internet, porque cualquiera podría intervenir esa comunicación. Sería un completo desastre. Sin embargo, de nuevo, las matemáticas no entienden de países ni de usos y son seguras tanto para las personas que pretenden hacer el bien, como las que utilizan las redes para comunicarse y hacer el mal. Cuando terroristas o criminales intercambian mensajes a través de plataformas cifradas “extremo a extremo”, lo hacen con la misma seguridad que cualquier otro. La criptografía es la misma y no discrimina por intención de uso.
Hasta el año 2000, se restringía el uso de criptografía fuerte fuera de las fronteras de Estados Unidos. Cuando esa tarea de control se volvió imposible se liberó su utilización, aportando mayor seguridad para todos. Pero con el auge del cibercrimen, se vuelve cada cierto tiempo al debate sobre si es necesario una criptografía “débil” que, en un momento dado, pueda ser rota por las fuerzas del orden para luchar contra los atacantes. El problema es que si se debilita para unos, se debilita para todos.
Pretender posicionarse por encima de las matemáticas y que se legisle en contra del cifrado fuerte solo en un territorio no parece sensato. Permitir a ciertos peritos forenses descifrar una conversación si determinan que esta comunicación atenta contra los intereses de un país, significa desproteger a todos para protegernos de unos pocos.
Está demostrado que esta postura es muy mala idea por muchas razones. Si se aprobase, los criminales dejarían de utilizar estos sistemas de comunicación y usarían los suyos propios, fáciles de construir, con cifrado fuerte, y por tanto esto no les detendría. A cambio, la posibilidad de descifrar la información, en principio solo posible para las fuerzas del orden, sería un secreto que muy pronto se revelaría y pondría en peligro el resto de las comunicaciones. La historia de la ciberseguridad nos ha enseñado que la inmensa mayoría de fórmulas de protección basadas en el secreto no funcionan. Con el tiempo, alguien o alguna organización comprendería cómo descifrar ese cifrado débil y pondría en peligro a todos los usuarios. Históricamente, una vez descubiertas, restringir cualquier tecnología ha sido imposible y sus puertas traseras, descubiertas. Siempre ha pasado y nada nos hace pensar que esto vaya a cambiar.
En ciberseguridad y criptografía es más seguro para la sociedad disponer de cifrado fuerte para todos que débil para unos cuantos, porque lo contrario no existe. Sería débil para todos.
Necesitamos normas redactadas desde la comprensión de la tecnología para elaborar una legislación que entienda que, gracias a las matemáticas, la criptografía y la tecnología se pueden crear regulaciones y leyes mejor fundamentadas, y que su correcta aplicación no es el problema, sino la solución.
