La red social de microblogging Twitter anunció el viernes a través de su blog de seguridad que ya funciona en su plataforma un nuevo protocolo de criptografía, conocido como Perfect Forward Secrecy, que, si bien no imposibilita del todo el acceso de espías como los de la Agencia Nacional de Seguridad estadounidense (NSA) a nuestras comunicaciones, sí se lo pone más difícil.
Básicamente, lo que consigue Perfect Forward Secrecy es que, a diferencia de lo que sucede con el HTTPS, aunque alguien robe las claves de encriptado utilizadas por esta red social, no podrá utilizarlas para descifrar las comunicaciones entre usuarios que se dan en su plataforma.
¿Se acabó la era del HTTPS?
Las revelaciones del ex agente de la CIA Edward Snowden abrieron una sangrante crisis de confianza en la privacidad de la red, que las grandes compañías de Internet se esfuerzan en cicatrizar. Hasta hace poco, muchos internautas confiaban en el protocolo HTTPS, al que accedían a través de sus usuarios y contraseñas, convencidos de que, en él, su intimidad estaba a salvo.
Sin embargo, la noticia de que numerosos gobiernos del mundo estaban registrando un inmenso volumen de datos de navegación de la red, aun encriptados y todo, llevó a muchos a la conclusión de que, si así lo hacían, era porque contaban con las herramientas necesarias para decodificarlos y acceder a su información.
Y así, por lo que cuenta Twitter, parece que así es. Sin mencionar explícitamente en ningún momento a la NSA, el experto en seguridad de la red social Jacob Hoffman Andrews explica que todos los usuarios que navegan por Internet mediante el protocolo HTTPS de un determinado servidor lo hacen protegidos por una única contraseña, la de ese servidor. Es decir, que si alguien que haya registrado todo ese tráfico encriptado obtuviera la citada contraseña, ya fuera por métodos de hackeo o por una orden judicial, podría descifrar todos esos datos.
Una puerta que se cierra con muchas llaves
La novedad del protocolo Perfect Forward Secrecy, que funciona en la red social desde octubre aunque haya sido presentado ahora, es que, además de la clave antes mencionada, genera una contraseña diferente para cada una de las sesiones que se inician en su servidor. Es decir, que para aquellos que registren todo su tráfico de datos es mucho más difícil y menos probable descifrar la información que si toda ésta se encontrase encriptado bajo una única clave, como suele suceder en el HTTPS.
Ni Estados Unidos es el único país que espía el HTTPS de sus usuarios –en el New York Times hablan de Irán y Corea del Norte, y Facebook reveló hace poco las peticiones de información que había recibido de gobiernos europeos- ni Twitter la única compañía (Google y Facebook ya habrían hecho lo propio) que ya se está intentando blindar contra dicha vigilancia a través del Perfect Forward Secrecy. Un protocolo del que hace un año apenas habíamos oído hablar, pero que, probablemente, se convierta en una rutina en nuestras conexiones diarias.
[Fuente: ticbeat.com]