La clausura de dos servicios de correo electrónico 'ultraprivados' demuestra la auténtica debilidad del sistema.
Cuando Lavabit -un servicio de correo electrónico usado por Edward Snowden, el miembro de la Agencia Nacional de Seguridad (NSA por sus siglas en inglés) que hizo filtraciones de información- suspendió su servicio la semana pasada, entre acusaciones de que había recibido una petición de información por parte del Gobierno, un servicio de la competencia llamado Silent Circle tomó una decisión draconiana: borrar todos los correos electrónicos almacenados de sus clientes.
Este episodio ha puesto de relieve dos debilidades fundamentales del correo electrónico. Para empezar, aunque un servicio de correo electrónico codifique los correos para mantener la privacidad, como hacían Lavabit y Silent Circle, los encabezados de los correos y los protocolos de enrutamiento revelan quiénes son el emisor y el receptor, y esa información puede resultar valiosa por sí misma. Y en segundo lugar, los códigos usados como claves para desencriptar los mensajes (si los posee la empresa de correo) pueden ser exigidos por el Gobierno, o simplemente los puede robar un malware sofisticado.
Hace 40 años cuando se creó el correo electrónico, ni la seguridad ni el anonimato formaban parte del diseño. Los protocolos de enrutamiento y etiquetado dejan claro qué ordenador lo ha enviado o reenviado, qué ordenador lo ha recibido y a qué hora sucede todo ello. "En los propios protocolos de los correos electrónicos hay demasiadas filtraciones de información y metadatos", sostiene Mike Janke, director ejecutivo de Silent Circle, entre cuyos clientes se encuentran personas de empresas y de agencias gubernamentales con secretos que proteger. "No importa lo que quieras hacer con el correo electrónico, existen estas debilidades inherentes al mismo. Así que nos deshicimos de Silent Mail [el servicio de correo electrónico de la empresa]. Lo borramos todo, lo quemamos y lo tiramos al mar atado con cadenas y candados. La gente perdió todo su correo electrónico, pero la respuesta pasó de ser ¿Por qué lo habéis hecho? a ¡Gracias por hacerlo!".
Lavabit, Silent Circle y algunos otros proveedores ofrecían propuesta clara: mantener tu correo electrónico encriptado siempre, excepto cuando lo estás leyendo y escribiendo en tu propio ordenador. Algo que contrasta con servicios como Gmail, que solo encripta el correo para su viaje a través de la red pero almacena los mensajes "al aire" en sus servidores desde donde hace minado de datos para presentarte anuncios.
Ladar Levinson, fundador de Lavabit, afirma que prefirió suspender las operaciones antes que "ser cómplice de crímenes contra el pueblo americano". No pudimos contactar con Levinson para recoger sus comentarios, pero afirmó al periódico New York Times que estaba sometido a una orden de silencio, lo que implica que ha recibido una Carta de Seguridad Nacional, en la que el FBI o la NSA le solicitan información para una investigación relevante para la seguridad nacional y exigen al receptor que no revele siquiera el haber recibido la carta. En contraste con Silent Circle, los datos de Lavabit no se han borrado, explica.
Janke afirma que esa noticia dio lugar a una conversación de emergencia con Phil Zimmermann, fundador de Silent Circle, que creó en 1991 el protocolo de encriptado de correo electrónico conocido como PGP (siglas en inglés de "privacidad bastante buena") (ver "Una aplicación para alejar a los espías de nuestro iPhone"). "Cuando vimos lo que había pasado con Lavabit, nos dimos cuenta de que no teníamos días, sino horas para tomar una decisión", afirma Janke, Pero añade que no llegó a recibir la solicitud de información.
El problema -aparte de los metadatos que acompañan a todos los correos electrónicos- era que el 98 por ciento de los clientes de Silent Mail habían optado por que Silent Circle mantuviera la posesión de las claves de encriptado, lo que facilita muchísimo el uso del servicio. Cuando los usuarios gestionan sus propias claves, tienen que entrar en un sistema especial para intercambiar claves criptográficas con cada persona a la que quieran enviar un correo. Al poseer las claves para gestionar este proceso, la empresa podría desencriptar los mensajes si se viera obligado a ello. "Si recibiéramos una petición legítima, podríamos tener que hacerlo", afirma Janke (ver "El jefe de la NSA afirma que la vigilancia telefónica y de la Web de EE.UU. establecen el "estándar para otros países").
Silent Circle no ha tenido que echar el cierre porque menos del 5 por ciento de sus clientes estaban usando el servicio de correo que se ha eliminado. La mayoría usa otros servicios de Silent Circle que encriptan teléfono, texto y contenido de vídeo. Esto permite, por ejemplo, que los usuarios envíen un archivo encriptado a través de un mensaje de texto e incluso que le adjunten un límite temporal para que se borre tanto del dispositivo emisor como del receptor pasado un determinado periodo.
Sin embargo, estos servicios también se pueden ver atacados por malware que robe claves de encriptado almacenadas en ordenadores o que roben datos que el usuario ya haya desencriptado. "Es muy difícil estar protegido contra el malware", explica Radu Sion, informático y experto en seguridad de la Universidad Stony Brook (EE.UU.). "Un adversario muy decidido -y no quiero decir el Gobierno- tendrá acceso a cualquier máquina del mundo".
Los servicios de correo electrónico existentes podrían ser un poco más privados si encriptaran su información de encabezado. Las técnicas son ampliamente conocidas, pero existe una demanda limitada de las mismas, afirma Sion. "El público no las pide porque en realidad a la gente le da igual la privacidad", afirma. "Y los proveedores de correo electrónico en nube ganan mucho dinero al minar tus mensajes".
Mientras tanto, Silent Circle está trabajando en sustituir su difunto servicio de correo electrónico por un sistema que no dependa de los protocolos de correo electrónico tradicionales y no guarde ningún mensaje ni metadatos en manos de la empresa. Se basa en un protocolo que se suele usar para mensajes y otras aplicaciones. Janke afirma que el objetivo es que no sea un correo electrónico, pero "que a todos los efectos parezca, se sienta y actúe como correo electrónico".