Las filtraciones de Edward Snowden sobre los programas de espionaje de la NSA nos han hecho ver la red de una manera distinta. Somos más celosos con la privacidad de nuestros datos y el secreto de nuestras comunicaciones. Estos requisitos se ven reflejados en el desarrollo de aplicaciones y servicios que, precisamente, ponen el foco en la seguridad y privacidad.
Grandes protagonistas de la industria como Google o Yahoo, a raíz de las revelaciones de Snowden, anunciaron el desarrollo de servicios de mensajería segura. También hemos asistido al lanzamiento de servicios como Telegram, BitTorrent Bleep o Red Phone y hemos observado cómo aumentaba el uso de PGP para el intercambio de correos electrónicos. Un ecosistema en plena ebullición que, en los últimos días, ha sumado un nuevo integrante procedente de un equipos de investigadores de la Universidad de California, concretamente de Berkeley, y la Universidad de Maryland: ShadowCrypt, una extensión de navegador que permite cifrar mensajes en Twitter, Facebook y otros servicios web.
ShadowCrypt, la extensión para cifrar mensajes
Este plugin, disponible actualmente para Google Chrome (y cuyo código está disponible en GitHub), nos permite escribir un mensaje en servicios como Twitter o Facebook y, en vez de enviarlo tal cual lo hemos escrito, realmente enviará un “galimatías”, un mensaje opaco; es decir, lo que estaremos enviando realmente será un mensaje cifrado. Cara a Twitter, Facebook o Reddit, el mensaje enviado estará cifrado y, de esta forma, aunque se intercepte la información o se acceda, de manera fraudulenta, a nuestra cuenta de Facebook, la información no será accesible salvo que tengamos autorización (y la extensión pueda descifrar el contenido del mensaje).
En resumen, aunque nos comuniquemos a través de Facebook, el contenido de la conversación solamente es accesible por los pares que intervienen en la misma; Facebook ya no tendrá acceso a los contenidos que intercambiemos puesto que, cara al servicio, solamente verá un conjunto de caracteres ininteligible (eso sí, siempre y cuando intercambiemos el código de manera segura).
El objetivo de ShadowCrypt es mostrar que cifrar la información puede ser algo sencillo para el usuario: instalar una extensión en el navegador y generar una clave que, evidentemente, habrá que compartir con los destinatarios de nuestros mensajes. En cierta medida, el proceso es similar al uso de PGP a la hora de cifrar mensajes de correo electrónico; sin embargo, la extensión permite aplicar el cifrado a cualquier servicio web que se nos ocurra y, además, de manera muy simple para el usuario (los desarrolladores han verificado el funcionamiento con Twitter, Facebook, Gmail y otros 11 servicios más).
El pasado mes de junio, Google anunció el desarrollo de End-to-End, una extensión que ofrecería a los usuarios un cifrado “extremo a extremo” en sus correos de Gmail. Básicamente, ShadowCrypt viene a ofrecernos algo similar solo que, además de aplicarse a Gmail, se puede extender a otros servicios y, de esta forma, garantizar el secreto de nuestras comunicaciones (sin miedo a que el operador del servicio que usemos pueda inspeccionar la información intercambiada o una instancia superior, como ocurre con la NSA, pueda solicitar acceso a los datos).
El cifrado extremo a extremo es cada vez más accesible
Uno de los puntos fuertes de ShawdowCrypt es su facilidad de uso; solamente hay que instalar la extensión en Google Chrome y configurar la clave en cada servicio a usar. A partir de ahí, de manera transparente, la extensión se activará en aquellos servicios cuya url hayamos configurado (Twitter.com, Facebook.com...) y los mensajes se enviarán cifrados:
¿Y tiene sentido cifrar un tuit? Quizás Twitter, salvo que usemos mensajes directos, no sea el mejor campo de aplicación del cifrado “extremo a extremo”; sin embargo, en servicios como Gmail o Facebook sí que puede ser interesante tener en cuenta esta herramienta. ShadowCrypt no se apoya sobre PGP (aunque el funcionamiento sea similar); según exponen los investigadores en el artículo que han publicado, el proceso para descifrar un mensaje requiere mucha carga computacional y, por tanto, la experiencia de uso de la extensión se vería mermada.
Por este motivo, actualmente la extensión se apoya en AES-CCM pero, por lo que indican, parece que la integración de PGP forma parte de la hoja de ruta para ofrecer un mejor recurso a los usuarios.
Por cierto, ShadowCrypt no es el único recurso que tenemos a nuestro alcance y, por ejemplo, Cryptocat nos ofrece una alternativa mucho más ágil en comunicaciones a tiempo real puesto que nos ofrece un chat seguro también en forma de extensión para navegador y, desde BitTorrent, también nos ofrecen un sistema de mensajería segura y descentralizada a través de BitTorrent Bleep.
Si lo que buscamos es usar PGP de manera sencilla (y mejorar la seguridad de nuestras comunicaciones), a nuestro alcance tenemos extensiones como Secure Mail for Gmail, WebPG for Mozilla, Enigmail, Mailvelope o, incluso, Keybase; por tanto, el cifrado extremo a extremo, realmente, no está tan lejos de nuesto alcance.
Afortunadamente, cada vez contamos con más recursos que nos permiten mantener nuestras comunicaciones a salvo de “ojos curiosos” (que no siempre tienen buenas intenciones) y, lo mejor de todo, seguridad no siempre implica que sea algo complicado o reservado para usuarios de nivel avanzado.