El experto en seguridad y privacidad Micah Lee describió recientemente cómo ayudó a establecer comunicaciones protegidas mediante cifrado entre el informante Edward Snowden y los periodistas Glenn Greenwald y Laura Poitras, que querían compartir lo que sabía sobre de los programas de vigilancia de la Agencia de Seguridad Nacional (NSA) con el mundo. Lo que cuenta Lee sobre las dificultades que tuvieron los tres para dominar la tecnología es un recordatorio urgente de un problema que me lleva preocupando desde hace tiempo y que tiene implicaciones para cualquier persona que quiera asegurar la privacidad de sus asuntos personales o profesionales.

Los que quieran intentar usar el software de cifrado que tenemos hoy en día se enfrentan a una complejidad como la de las máquinas de Rube Goldberg y un lenguaje académico tan antiguo como un par de pantalones vaqueros Jordache. Es concebible pensar que las dificultades de Snowden, Poitras y Greenwald con ese problema podrían haber frustrado los intentos de Snowden por comunicarse de forma segura, haciendo que el mundo no supiera nada sobre las prácticas de vigilancia de Estados Unidos y sus efectos sobre nuestra seguridad y privacidad.

¿Por qué el software de cifrado, o criptografía, es tan horrible de usar? Porque el concepto de criptografía utilizable no existe, a pesar de la cada vez mayor popularidad de la palabra "cripto utilizable" entre los expertos en los últimos años. Usabilidad y criptografía son de hecho dos disciplinas separadas. Una trata sobre la elaboración de cosas con las que la gente interactúa. La otra se refiere al aspecto técnico que, aunque de importancia crucial, no debe ser visible para el usuario final. A no ser que encontremos el equilibrio adecuado, los consumidores nunca se beneficiarán de la criptografía.

El sueño cypherpunk, donde la criptografía es ubicua y todo el mundo habla usando código como segunda lengua nunca llegó a materializarse porque nosotros, los criptógrafos, confundimos nuestro objetivo con el de nuestros consumidores. La gente no puede cifrar porque la gente nunca ha querido cifrar. Nadie quiere la criptografía en sí misma. Lo que la gente quiere es comunicarse como quiera y con quien quiera, a su antojo, pero con seguridad.

Los criptógrafos y la comunidad de la seguridad y la privacidad no podemos solucionar este problema por nosotros mismos. La criptografía del mundo real no sólo tiene que ver con la criptografía. Tiene igual que ver con el diseño de los productos y con crear experiencias que funcionen para el usuario, no que requieran trabajo por su parte. Es un problema interdisciplinar que requiere no sólo de criptógrafos, sino también de diseñadores de experiencia de usuario y desarrolladores.

En otras áreas de la computación se han resuelto, más o menos, problemas equivalentes. El sistema de encriptación PGP de correo electrónico debutó en 1991, el mismo año que Linux y la World Wide Web. Los dos últimos han evolucionado para convertirse en el centro de muchos servicios y productos, con cientos de millones de usuarios no expertos. Pero cuando intentes usar PGP o su primo de código abierto, GPG, encontrarás que en muchos sentidos sigues en 1991, tal y como descubrieron Snowden y sus contactos.

Una forma de poder empezar a resolver este problema es mediante la adaptación de una herramienta común en los círculos de la seguridad, la auditoría de seguridad, mediante la que se investiga la vulnerabilidad de una aplicación ante ataques a través de varios procesos técnicos. Recientemente, varios activistas han recaudado dinero para financiar auditorías de seguridad de herramientas importantes como el software de cifrado de disco duro TrueCrypt. Yo sugiero que usemos el mismo modelo para financiar auditorías de experiencia de usuario de software de comunicación segura y que sometamos nuestras herramientas al tipo de pruebas de usuario con las que se perfeccionan las aplicaciones de gran éxito de las empresas líderes de consumo.

También tenemos que cambiar la forma en que nos dirigimos a los clientes sobre los conceptos de cifrado y la seguridad y crear lugares para la investigación interdisciplinaria sobre cómo crear experiencias fáciles para el usuario y respaldadas por tecnologías de seguridad y privacidad.

Hoy día las cosas están mal, pero son inconsistentemente prometedoras. El proyecto Open WhisperSystems ha creado aplicaciones móviles para mensajería y llamadas cifradas que se parecen mucho más a aplicaciones "normales" para voz y texto y recientemente ha anunciado que está ayudando a WhatsApp a cifrar los mensajes de sus usuarios. Tenemos nuevas organizaciones como Simply Secure, cuyo objetivo es fomentar el desarrollo de software de seguridad y privacidad utilizables (y está dirigida por un diseñador de productos, no un criptógrafo).

Sin embargo, la cantidad de este tipo de productos u organizaciones excepcionales no es muy alta. Todavía estamos demasiado verdes en este campo como para satisfacer nuestro propio beneficio o el de las personas que necesitan formas de mantener su seguridad. Y nuestros intentos no siempre tienen éxito. Cuanto antes encontremos formas de ofrecer una buena experiencia de usuario y seguridad en conjunto, mayor impacto tendrán las herramientas que creemos. Porque, seamos sinceros, "las masas" no van a sacrificar una buena experiencia por una mala que incluya cifrado.

Justin Troutman es un criptógrafo independiente que ha creado una serie de talleres, CRUX, dedicados a fomentar la colaboración entre expertos en criptografía y diseño de experiencia de usuario.