En respuesta a los informes de vigilancia de masas, los ingenieros planean el cifrado de todo el tráfico web
En respuesta a la protesta pública sobre la vigilancia de internet en masa efectuada por la Agencia Nacional de Seguridad de EEUU (NSA, por sus siglas en inglés), los ingenieros que desarrollan los protocolos de internet están plenamente dedicados a cifrar todo el tráfico de la red, y esperan contar con un sistema renovado y listo para su funcionamiento a finales del próximo año.
El esfuerzo ha sido realizado por Internet Engineering Task Force o IETF, una organización informal de ingenieros que cambia el código de internet y funciona por consenso general. Su labor afecta al HTTP, o protocolo de transferencia de hipertexto, que regula el intercambio de información entre el navegador web de tu teléfono y ordenador, y los servidores que contienen los datos de la página web que estás visitando.
Los documentos filtrados y puestos a disposición del público por el excontratista de la NSA Edward Snowden sugieren que la agencia rutinariamente cosecha y almacena grandes cantidades de información de las principales plataformas de computación en nube y operadores inalámbricos. Hoy en día, gran parte del tráfico de internet entre nuestros dispositivos y los servidores web no está cifrado a menos que los sitios web opten por utilizar una variante del protocolo HTTP llamada HTTPS, que incluye una etapa de codificación denominada capa de transporte de seguridad. Es utilizada comúnmente por bancos, sitios de comercio electrónico, y por algunos grandes sitios como Google y Facebook. (Si la dirección de un sitio web comienza con "https://" significa que ya utiliza este tipo de encriptación).
El cambio de la IETF introduciría encriptación por defecto para todo el tráfico de internet. Y el trabajo para que esto suceda en la próxima generación de HTTP, llamada HTTP 2.0, está avanzando "a ritmo frenético", según afirma el científico de computación en el Trinity College de Dublín Stephen Farrell, que forma parte del proyecto.
Se espera que a finales de 2014 pueda estar lista una especificación. Los sitios web tendrían la opción de adoptar la tecnología, que no es obligatoria.
Muchos expertos han señalado que el espionaje en masa en internet se realiza, en parte, porque es muy fácil hacerlo. Algunos argumentan que hacerle la vida un poco más difícil a agencias como la NSA podría hacer que se centraran en asuntos legítimos de seguridad nacional, en vez de ir por ahí recogiendo todo tipo de información y preguntando después (ver "Bruce Schneier: el espionaje de la NSA nos hace más vulnerables" y "La filtración sobre la NSA no afecta a la matemática criptográfica pero destaca puntos débiles conocidos").
Farrell afirma: "Creo que podemos marcar una diferencia a corto plazo y hacer que el cifrado en internet y el correo electrónico sea omnipresente".
De hecho, señala que uno de los pasos aún a más corto plazo que la IETF está tomando consiste en reforzar la seguridad en el tráfico de correo electrónico y mensajería instantánea, dos objetivos clave para las redes de vigilancia. Actualmente, existen protocolos para cifrar estas comunicaciones a medida que van saltando de un sitio a otro: primero desde nuestro dispositivo al proveedor de correo electrónico, después al proveedor de correo electrónico del destinatario y, finalmente, al teléfono u ordenador del destinatario.
El problema es que muchas veces los protocolos necesarios para el cifrado no se configuran correctamente y no funcionan entre los diferentes servidores de correo electrónico, como los de las organizaciones pequeñas, o cuando saltan entre grandes servicios codificados como Gmail y el de una pequeña empresa o institución.
Cuando esto ocurre, el correo electrónico acaba enviándose "al aire libre" (sin cifrar) porque los protocolos de correo electrónico dan prioridad a la entrega mismamente frente al resto de consideraciones, sin importar si el cifrado estaba funcionando o no. "Creo que podemos hacer las cosas mucho mejor", asegura Farrell, para hacer la instalación más fácil y verificable.
De alguna manera esto es un cambio de 180 grados, porque hace un año, otro un grupo de la IETF decidió no añadir encriptación por defecto en HTTP. Parte de lo que hace la tarea difícil, según Farrell, tiene que ver con la parte estática de las páginas web que están "en caché", o almacenadas en servidores locales más cerca del usuario.
El almacenamiento en caché es problemático puesto que el contenido se encuentra entre el navegador y el servidor, y por lo general se mantiene "al aire libre", o sin cifrar, y por tanto puede ser identificado. Por su naturaleza, la encriptación hace que cada pieza de contenido parezca única. "La cuestión es que, si se adopta el cifrado, el almacenamiento en caché se hace más difícil", asegura Farrell. "Y surge un desafío técnico: ¿cómo conseguir obtener el beneficio de la seguridad y mantener el beneficio del caché? Eso es en lo que estamos trabajando".
Otras posibles vías técnicas para el endurecimiento de la privacidad en internet fueron descritas recientemente en un blog de Tim Bray, que ayudó a desarrollar varios protocolos web clave y hoy día trabaja en Google. Asistió a una reunión de la IETF la semana pasada en Vancouver (Canadá).
Bray no respondió a una solicitud de entrevista, pero destacó la importancia de estos esfuerzos en su blog. "A fin de cuentas se trata de un problema de política, y no de tecnología. Pero en la medida en que cualquier cosa se puede hacer a nivel tecnológico, muchas de las personas que pueden hacerlo están aquí presentes", escribió, refiriéndose a los ingenieros y fabricantes de navegadores que asistieron a la IETF.
En efecto, el presidente de la IETF y experto en Arquitectura de Internet en Ericsson Research, Jari Arkko, afirma que nadie debería albergar ilusiones sobre soluciones técnicas rápidas. "Tengo que ser honesto y abierto con todo el mundo: en este caso, la tecnología es sólo una parte del problema", afirma.