La criptografía es, con mucho, uno de los temas más esenciales en la era de los detalles. Cada vez que visitas un sitio, hay un algoritmo de algún tipo que confirma tu contraseña contra un valor hash que identifica si puedes autenticarte en tu cuenta o no. Así es como mantenemos a raya a los hackers. Entonces, ¿qué sucede cuando el algoritmo que se supone que te mantiene a salvo tiene una puerta trasera que permite a individuos específicos tener acceso sin restricciones a tus cuentas y registros personales?
El 19 de mayo de 2015, Apple y Google instaron al presidente de Estados Unidos, Barack Obama, a reevaluar la exigencia de que las empresas tecnológicas del sector privado incluyan puertas traseras en sus algoritmos criptográficos. Mi objetivo es describir cómo esto nos afecta a nosotros como clientes de la innovación y a los resultados de las empresas que nos proporcionan dicha innovación.
Un poco de historia: Dual_EC_DRBG
Si el término “Dual_EC_DRBG” te parece un galimatías arcano, se trata de un término ligado a uno de los mayores escándalos de la historia de la tecnología de cifrado de archivos. Nuestra historia comienza a principios de la década de 2000, cuando la criptografía de curva elíptica empezaba a arraigar en los sistemas informáticos. Hasta entonces, la producción de un número aleatorio era un dolor debido al hecho de su predictibilidad fundamental. La gente puede crear números aleatorios de forma muy eficaz, ya que todos creamos de forma diferente. ¿Puedes decir qué número entre 1 y 100.000 estoy considerando ahora mismo? Tienes una oportunidad de 1:100.000 de acertar la respuesta si simplemente adivinas de forma arbitraria. No ocurre lo mismo con los sistemas informáticos. Son totalmente pésimos en esto, ya que generalmente cuentan con otros valores fijos para llegar a sus “conclusiones”. Como no pueden “creer”, tenemos que sintetizar el procedimiento por ellos. La criptografía de curva elíptica hace que el procedimiento de creación de un número aleatorio sea mucho menos previsible que las técnicas convencionales.
Volvamos a la historia. La Empresa de Seguridad Nacional (NSA) impulsó un módulo llamado Dual_EC_DBRG como una posibilidad para crear estos números. No fue aprobado.
Pero la cosa no acaba ahí. En 2004, la NSA hizo una gestión de 10 millones de dólares a los desarrolladores del criptosistema RSA (individuos que en ese momento tenían una de las mayores cuotas de mercado en criptografía) para que su módulo de animales fuera el predeterminado para RSA. No entendemos si la NSA consistía en la puerta trasera, sin embargo Dual_EC_DRBG definitivamente tenía una. El hecho de que la NSA insistiera tanto en incluir este módulo en la criptografía RSA no ayuda al caso contra el conocimiento previo.
Avance rápido hasta 2015, y ahora tienes el gobierno federal de Estados Unidos, así como otros gobiernos de todo el mundo, dando un paso adelante para pedir a las empresas personales que incluyan puertas traseras a sus algoritmos de cifrado de archivos.
Por qué las puertas traseras son malas para todos los demás
Puede que ya tengas una idea de por qué las puertas traseras son malas. Es una obviedad, ¿verdad? La cuestión es que la introducción de puertas traseras en la encriptación tiene otros efectos invisibles, aparte de la invasión de la privacidad personal por parte de las entidades gubernamentales.
Para empezar, si un hacker encuentra la puerta trasera (que es exactamente como empezó el lío de Dual_EC_DBRG señalado antes), casi puedes asegurar que cualquiera puede explotarla para echar un vistazo a cosas que son extremadamente personales para ti.
La segunda razón por la que las puertas traseras son horribles se puede revelar mejor en el tipo de pregunta: Entendiendo que no sólo el gobierno federal, sin embargo, cualquier John Doe, puede echar un vistazo a sus datos privados, ¿alguna vez abrir una cuenta en cualquier lugar una vez más? La gente cuenta con la innovación ahora mismo porque confía en ella. Deshazte de la confianza, y verás realmente un par de consumidores en el mercado empresarial. Sí, los clientes podrían seguir utilizando las innovaciones encriptadas y conectadas, sin embargo las empresas van a optar por salir en tropel. Una gran parte de nuestros fabricantes preferidos dependen en gran medida de sus bases de clientes de empresa a empresa.
Así pues, este concepto no sólo es malo para los consumidores, sino también para los resultados de las empresas que nos suministran las cosas importantes que nos gustan. Por eso gigantes como Apple y Google están tan preocupados por estas políticas.
¿Qué crees que deberíamos hacer? ¿Es posible una ley al respecto? Infórmanos en un comentario!