¿Hacia una web encriptada?
2015/01/01 Leturia Azkarate, Igor - Informatikaria eta ikertzaileaElhuyar Hizkuntza eta Teknologia Iturria: Elhuyar aldizkaria
Edward Snowden, ex empleado de las agencias de información y seguridad estadounidenses CIA y NSA, fue el encargado de dar a conocer los programas PRISM y Tempora y el sistema XKeyscore, todos ellos realizados para detectar comunicaciones y datos en nuestra red en nombre de la seguridad.
Ante ello, existen una serie de medidas que el usuario puede adoptar y que os contamos en el artículo sobre seguridad web. Por ejemplo, asegurar el uso del protocolo HTTPS cuando debemos proporcionar información confidencial en alguna web (contraseñas, cuentas bancarias…). Hay extras para navegadores como HTTPS Everywhere, que se encargarán de ello. Y para el correo podemos utilizar el programa PGP (Pretty Good Privacy) o su versión libre GPG (GNU Privacy Guard), que cifrarán nuestros mensajes de forma que sólo los destinatarios se descifren.
Estas alternativas, sin embargo, siempre requieren de un trabajo adicional para su instalación y uso, que en algunos casos no es tan sencillo...
Haciendo más segura la base web
Una web más segura no debería ser responsabilidad de los usuarios, ¡qué demontres! Los responsables de la web deberían hacerlo, ¿no? Pues lo están haciendo hasta cierto punto.
El IETF (Internet Engineering Task Force), entidad consultora para el desarrollo de protocolos de Internet, cuenta con un grupo de trabajo denominado HTTPB is, responsable del protocolo HTTP. Este grupo de trabajo trabajó la siguiente versión del protocolo HTTP/2 y la presentó en diciembre como propuesta para la nueva versión del estándar. Esta nueva versión se propuso utilizar siempre la encriptación TLS (utilizada por HTTPS) en noviembre del año pasado, pero surgió la polémica y, en aras del consenso, finalmente no propondrán la obligatoriedad. Sin embargo, algunos navegadores han dicho que solo usarán HTTP/2 junto con TLS, sino que usarán la versión antigua. Así, siempre que sea posible, se utilizará una conexión segura.
Otra iniciativa en 2015 será la EFF o Electronic Frontier Foundation, la Fundación Mozilla (autora del navegador Firefox) y otras: Let’s Encrypt. Se trata de un nuevo emisor de certificados que, de forma gratuita y en pocos segundos, nos proporcionará un certificado para poder ofrecer el servicio HTTPS (en concreto el que os explicamos en el artículo de autenticación en Internet de abril de 2013). Con este tipo de facilidades es de suponer que en el futuro muchas más webs ofrecerán una conexión HTTPS segura y cifrada.
Además, existe la intención de hacer más seguro y confidencial el servicio DNS (Domain Name System). El servicio DNS es el encargado de convertir un nombre de dominio que nosotros ponemos en la web (boletaria.elhuyar.org, google.com…) en el número IP que utiliza Internet para designar servidores y ordenadores (54.235.134.181, 212.142.160.208...). Pero como esta información no va encriptada, cualquiera puede verla o manipularla. Ahora han creado el protocolo DNSC rypt para que las comunicaciones entre nuestro ordenador y el servidor DNS vayan cifradas. Hay varios servidores DNS ya implementados y es lógico que los navegadores vayan implementándose.
Por otro lado, aunque nosotros utilizamos siempre protocolos seguros HTTPS, SMTPS o IMAPS para las comunicaciones con nuestro proveedor de correo electrónico, los mensajes se pueden detectar de un proveedor a otro. Para evitarlo, cada vez más proveedores de correo utilizan el cifrado TLS en sus transferencias de mensajes.
Al final, aunque lentamente, sus responsables intentan hacer la web cada vez más segura. De hecho, el espíritu de la web siempre ha sido abierto y en beneficio del usuario, y la organización que dirige la web, W3Ck, y su director e inventor, Tim Berners Lee, siempre han mostrado una actitud favorable a los estándares abiertos, la seguridad de las comunicaciones y el bienestar de la sociedad.
Pero esto no servirá de nada si los usuarios seguimos utilizando cada vez más las aplicaciones de los dispositivos móviles en lugar de utilizar la web. Estas aplicaciones las realizan las empresas, las empresas con intereses y utilizan sus propios protocolos de comunicaciones; nadie sabe cómo funcionan esos protocolos, si son seguros o no... Sabemos cuál es el programa de mensajería más utilizado en móviles, aunque sus problemas de seguridad sean conocidos…
La solución sería ir encriptando todas las comunicaciones entre todos los ordenadores y nodos que componen Internet. De este modo, tanto el protocolo como la aplicación que estamos utilizando, todo irá encriptado de forma que ningún tercero pueda detectarlo. También ha propuesto IAB o Internet Architecture Board
La organización, organismo responsable del desarrollo técnico e ingeniería de Internet: Cifrar todas las comunicaciones de Internet a nivel inferior.
En cualquier caso, aunque en algún momento se lograra la máxima seguridad y confidencialidad en todas las comunicaciones que circulen por la web, con ello conseguiríamos que terceros no tuvieran la oportunidad de acceder a nuestras comunicaciones. ¿Pero podemos estar seguros del destinatario? Snowden informa que en el programa PRISM varios proveedores de la web suministran toda la información a NSA: Google, Yahoo, Skype, Dropbox… Si los usamos, no podemos estar seguros de que nuestros datos seguirán siendo privados. Para conseguirlo, no hay más remedio que utilizar los sistemas de encriptación y protección más complicados mencionados...