Qué es el cifrado de extremo a extremo y por qué es importante.

Encriptación de extremo a extremo: La clave para mantener tus datos privados y seguros.

2022-01-11
Cuando te comunicas en línea, tus datos viajan por la red, lo que facilita que todo tipo de fisgones -ya sean organismos estatales, atacantes malintencionados o simplemente personas entrometidas- vean tus mensajes de chat y de correo electrónico. El cifrado de extremo a extremo pone fin a esto. Cuando utilizas herramientas de comunicación cifrada de extremo a extremo, nadie más que el destinatario puede ver y leer tus mensajes. Pero, ¿por qué es importante?

El cifrado de extremo a extremo se está haciendo más popular que nunca. Una de las principales razones del éxito del cifrado de extremo a extremo es que los principales servicios de todo el mundo utilizan ahora alguna forma de cifrado de extremo a extremo: WhatsApp, Signal, Threema y, por supuesto, también Tutanota cifran sus datos de extremo a extremo. Y lo mejor de todo es que El cifrado se produce de forma automática, por lo que no tienes que ser un experto en tecnología para asegurar tu comunicación.

Sin embargo, todavía hay mucho que aprender sobre la encriptación y por qué es importante. Así que vamos a entrar en materia.

Así es como Tutanota encripta tus correos electrónicos. Si quieres probarlo por ti mismo, ¡inscríbete ahora!

¿Qué es la encriptación de extremo a extremo?

La encriptación de extremo a extremo convierte cualquier forma de datos (texto, documentos, archivos) de un formato legible a un formato ilegible. En consecuencia, los posibles fisgones sólo pueden hacerse con datos ilegibles y codificados, que no pueden descifrar. Sólo el destinatario puede descifrar los datos con la ayuda de la clave de descifrado correspondiente.

Cuando se aplica el cifrado de extremo a extremo, ningún tercero puede leer el texto cifrado, ni siquiera los proveedores de telecomunicaciones, los proveedores de Internet o el propio proveedor del servicio de comunicación (por ejemplo, los servicios de correo electrónico o de mensajería).

En otras palabras: Si un proveedor de correo electrónico (como Tutanota) ofrece cifrado de extremo a extremo, sólo tú y la persona con la que te comunicas podréis leer el contenido de tus mensajes. En este caso, ni siquiera la empresa que opera la aplicación de correo electrónico puede ver lo que estás enviando y recibiendo.

¿Cómo funciona el cifrado de extremo a extremo?

A nivel técnico, cada clave pública coincide con una sola clave privada (= criptografía de clave pública). Estas claves se utilizan para cifrar y descifrar los mensajes. Si codificas un mensaje con la clave pública de una persona, ésta sólo podrá descodificarlo con su clave privada correspondiente.

Cuando se encriptan los datos, se cambian a un formato ilegible. A partir de ese momento, cualquier tercero que se haga con los datos no podrá descifrar los datos cifrados, y mucho menos leer los mensajes enviados. Sólo el destinatario previsto puede descifrar los datos y transformarlos de nuevo en un formato legible.

Esto se denomina cifrado asimétrico. A menudo, los sistemas de cifrado asimétrico (como PGP o Tutanota) utilizan los algoritmos AES y RSA. Sin embargo, es probable que este cifrado asimétrico se pueda romper cuando se desarrollen los ordenadores cuánticos. Por eso, en Tutanota ya estamos trabajando en la implementación de algoritmos seguros post-cuánticos para asegurar los datos encriptados en el futuro.

¿Cuándo necesito el cifrado de extremo a extremo?

El cifrado de extremo a extremo es necesario siempre que quieras enviar un mensaje confidencial. Es decir, siempre que tu mensaje contenga información personal o sensible que no deba ser vista por ningún tercero.

¿Cuál es la diferencia entre un correo electrónico cifrado de extremo a extremo y un correo electrónico normal?

Los correos electrónicos que se envían cifrados de extremo a extremo sólo pueden ser leídos por el remitente y el destinatario. Los correos electrónicos que no se envían con cifrado de extremo a extremo siguen estando protegidos con el cifrado de transporte, como HTTPS. Sin embargo, si terceras partes como agencias estatales, atacantes maliciosos o incluso el propio proveedor de correo electrónico interceptan estos correos electrónicos, están disponibles en texto claro y son fácilmente legibles.

Los siguientes ejemplos muestran la diferencia entre los correos electrónicos confidenciales encriptados de extremo a extremo y los correos electrónicos que no están siendo encriptados de extremo a extremo en Tutanota.

Alice está registrada en Tutanota, Bob puede estar registrado en Tutanota o ser un destinatario externo y Carol no está registrada en Tutanota. En cualquier caso, todos los correos electrónicos (incluidos los archivos adjuntos) se almacenan cifrados en los servidores de Tutanota. Independientemente del cifrado de extremo a extremo, el transporte entre su cliente y los servidores de Tutanota está asegurado con TLS para maximizar la seguridad.

Envío y recepción de correos electrónicos encriptados de extremo a extremo

El correo electrónico se cifra en el cliente de Alice, se almacena cifrado en el servidor y sólo puede ser descifrado por Alice o Bob.

Sending and receiving Ende-zu-Ende encrypted emails

Envío de correos electrónicos no confidenciales

El correo electrónico se envía a través de SMTP (Simple Mail Transfer Protocol) al destinatario. Sin embargo, el correo electrónico enviado se encripta para Alice en el servidor y luego se almacena.

Sending non-confidential emails

Recepción de correos electrónicos no confidenciales

Cuando un correo electrónico SMTP es recibido por el servidor de Tutanota, es encriptado para Alice y luego almacenado en el servidor; pero antes de eso viajó a través de la web sin encriptación de extremo a extremo.

Receiving non-confidential emails

¿Qué datos pueden encriptarse de extremo a extremo?

Originalmente, el cifrado de extremo a extremo se refería a la comunicación, sobre todo a través del correo electrónico con el cifrado PGP. Una de las razones es que PGP fue el primer sistema que permitió a la gente comunicarse por correo electrónico en un formato cifrado de extremo a extremo.

Sin embargo, debido a la complejidad de PGP, nunca llegó a la corriente principal, a pesar de su popularidad como tal. Hoy en día, muchos proveedores, desde servicios de correo electrónico hasta aplicaciones de chat, ofrecen cifrado automático de extremo a extremo, lo que hace que el cambio a la comunicación cifrada sea mucho más fácil para todos.

Además, ahora también hay aplicaciones cifradas de extremo a extremo, como el calendario cifrado de Tutanota, que no tiene nada que ver con la comunicación. Aunque aquí la carga de los datos y la descarga de los mismos es siempre la misma persona (no dos como en la comunicación por correo electrónico o chat), los datos siguen estando encriptados de extremo a extremo: Se encriptan en el dispositivo del usuario, se suben a los servidores del proveedor de forma encriptada y se vuelven a desencriptar en el dispositivo del usuario tras la descarga.

Así que hoy en día, el cifrado de extremo a extremo no tiene por qué implicar la comunicación. Cualquier dato -calendarios, notas, discos, gestores de contraseñas, pero por supuesto también el correo electrónico y los mensajes de chat- puede ser encriptado de extremo a extremo.

¿Quién tiene la llave?

La pregunta más importante con la encriptación es siempre: ¿Quién tiene la llave? Muchos proveedores -incluso Google- encriptan los datos de los usuarios en sus servidores para protegerlos de atacantes malintencionados. Sin embargo, en la mayoría de los casos, el propio proveedor tiene la clave y, por tanto, puede descifrar fácilmente los datos, ya sean documentos, archivos, correos electrónicos, eventos del calendario, imágenes o cualquier otra cosa. Este llamado cifrado "en reposo" no puede definirse como cifrado de extremo a extremo.

Cuando un proveedor sólo cifra los datos en reposo y no de extremo a extremo, hay muchas maneras de que alguien pueda hacerse con tus datos:

Si un empleado sin escrúpulos quisiera husmear en tus datos, el cifrado no se lo impediría.

Si un atacante malintencionado comprometiera de algún modo los sistemas y las claves privadas del proveedor, podría leer los datos de todo el mundo. Sin embargo, la probabilidad de que esto ocurra es bastante pequeña, dependiendo de lo bien configurado que esté el sistema del proveedor.

Si el proveedor tuviera que entregar los datos a un gobierno, podría acceder a todos tus datos y entregarlos a las autoridades.

Sólo cuando se aplica el cifrado de extremo a extremo, el proveedor no puede descifrar ninguno de los datos de los usuarios. Así es como lo hace Tutanota: Encriptamos todos los datos de los usuarios de extremo a extremo para que no podamos acceder a sus datos encriptados almacenados en su buzón. Incluso si recibes un correo electrónico no cifrado, no podemos descifrarlo una vez que se descifra con tu clave pública. Como no tenemos acceso a tu clave privada, sólo tú puedes desencriptar tus datos.

Esto nos lleva a la última pregunta: ¿Por qué es importante el cifrado?

Por qué es importante el cifrado

El cifrado de extremo a extremo ofrece verdadera privacidad. Sólo cuando los datos están encriptados de extremo a extremo, puedes estar seguro de que nadie más está escuchando, ya sea que te comuniques con otros a través de aplicaciones de chat encriptadas como Signal o Threema o a través de correo electrónico encriptado como Tutanota.

El cifrado te permite comunicarte de forma privada en línea. Es como tener una conversación privada en persona, o susurrar al oído de alguien, pero en la red mundial.

Aunque nunca cuestionaríamos una conversación privada en persona, a algunos actores estatales les gusta presentar las conversaciones cifradas en línea como algo sospechoso, algo que utilizan principalmente los delincuentes para urdir sus malvados planes.

**Por eso, las guerras de las criptomonedas**siguen vigentes.

Sin embargo, una conversación privada en línea debe ser percibida sólo como eso: una conversación privada. A muchos ciudadanos les gusta mantener sus pensamientos y conversaciones privadas. Debemos recordar que al hacerlo, no sólo protegen su comunicación de las agencias estatales, sino también de los delincuentes en línea que quieren abusar de sus datos, por ejemplo, para el robo de identidad.

Al exigir puertas traseras -como se hace en las guerras de las criptomonedas- los políticos no nos piden que elijamos entre seguridad y privacidad. Nos piden que no elijamos la seguridad, como explicamos aquí.

Al fin y al cabo, mucha gente -periodistas, activistas, denunciantes, pero también políticos, abogados, médicos y muchas empresas- depende del cifrado para compartir sus datos sensibles de forma privada y segura.

El cifrado es importante.

Every time you encrypt an email, you show everyone that privacy matters.