Surveillance
Self-Defense

Qué debo saber sobre el cifrado?

Última actualización: 
24-11-2018
This page was translated from English. The English version may be more up-to-date.

Probablemente ha escuchado el término "cifrado" usado en varios contextos y asociado con diferentes palabras. Generalmente, cifrado; se refiere al proceso matemático de hacer que un mensaje sea ilegible, excepto para la persona que posee la clave para descifrarlo en forma legible.

A lo largo de la historia, la gente ha empleado el cifrado para enviarse mensajes entre sí que (con algo de esperanza) no pudieran ser leídos por nadie más que por el destinatario previsto. Hoy en día, tenemos computadoras que son capaces de realizar el cifrado para nosotros. La tecnología de cifrado digital se ha ampliado más allá de los simples mensajes secretos; hoy en día, se puede utilizar el cifrado para fines más elaborados, por ejemplo, para verificar el autor de los mensajes.

El cifrado es la mejor tecnología que tenemos para proteger la información de los malos actores, gobiernos y proveedores de servicios, y se ha desarrollado hasta el punto de que es virtualmente imposible romperla cuando se utiliza correctamente.

En esta guía, analizaremos dos formas principales en las que se aplica el cifrado: la codificación de datos en reposo y la codificación de datos en tránsito.

 

Cifrado de datos en reposo Anchor link

Datos “en reposo” son los datos que se almacenan en algún lugar: en un dispositivo móvil, portátil, servidor o disco duro externo, por ejemplo. Cuando los datos están en reposo, no se mueven de un lugar a otro.

Un ejemplo de una forma de encriptación que protege los datos en reposo es el cifrado “disco completo” (also sometimes called “device encryption”). (también llamado a veces " cifrado de dispositivos "). La activación del cifrado de disco completo cifra toda la información almacenada en un dispositivo y protege la información con una frase de contraseña u otro método de autenticación. En un dispositivo móvil o portátil, esto suele parecerse a una pantalla de bloqueo de dispositivo típica, que requiere una clave de acceso, una frase de contraseña o una huella dactilar. Sin embargo, bloquear el dispositivo (es decir, solicitar una contraseña para "desbloquear" el dispositivo) no siempre significa que esté activado el cifrado de todo el disco.

     
Un Smartphone y un ordenador portátil con una pantalla de bloqueo protegida por contraseña.

Asegúrese de comprobar cómo su sistema operativo habilita y gestiona el cifrado de todo el disco. Aunque algunos sistemas operativos tienen el cifrado de disco completo habilitado de forma predeterminada, otros no lo tienen. Esto significa que alguien podría acceder a los datos de su dispositivo móvil simplemente forzando el bloqueo del dispositivo, pero sin tener que romper la clave de cifrado, ya que el dispositivo mismo no está cifrado. Algunos sistemas siguen almacenando texto sin cifrar en RAM, incluso cuando se utiliza el cifrado de disco completo. La RAM es un almacenamiento temporal, lo que significa que poco después de apagarse el dispositivo, la memoria normalmente no se puede leer, pero un adversario sofisticado podría intentar un cold boot attack y, posiblemente, recuperar el contenido de la RAM.

El cifrado de disco completo puede proteger sus dispositivos de las personas que tienen acceso físico a ellos. Esto es útil si desea proteger sus datos de compañeros de cuarto, compañeros de trabajo o empleadores, funcionarios escolares, miembros de la familia, socios, agentes de policía u otros agentes del orden público. También protege los datos de sus dispositivos en caso de robo o pérdida, como si accidentalmente deja su teléfono en un autobús o en un restaurante.

Hay formas adicionales de cifrar los datos en reposo. Una opción, conocida como "cifrado de archivos", cifra sólo archivos específicos e individuales en un ordenador u otro dispositivo de almacenamiento. Otra opción es el "cifrado de la unidad" (también conocido como "cifrado del disco"): cifra todos los datos de una zona de almacenamiento específica de un dispositivo.

Puede utilizar estos diferentes tipos de cifrado en reposo en combinación. Por ejemplo, supongamos que desea proteger la información confidencial de sus documentos médicos. Puede utilizar cifrado de archivos para cifrar por separado un archivo médico individual almacenado en su dispositivo. A continuación, puede utilizar el cifrado cifrado de disco para cifrar la parte de su dispositivo en la que se almacena esta información médica. Por último, si ha habilitado cifrado de disco completo en su dispositivo, todo -toda la información médica, así como cualquier otro archivo de la unidad, incluidos los archivos para el sistema operativo del ordenador- se cifrará.

En Autoprotección Digital Contra La Vigilancia, hemos escrito un par de guías para habilitar el cifrado en sus dispositivos. Aunque puede encontrar descripciones detalladas de las opciones de cifrado en reposo en línea (¡y aquí en SSD!), tenga en cuenta que estas opciones cambian con frecuencia y que las instrucciones pueden quedar obsoletas rápidamente.

 

Cifrado de datos en tránsito Anchor link

El diagrama muestra datos no cifrados en tránsito, que a menudo es la configuración predeterminada de los proveedores de servicios de Internet. A la izquierda, un smartphone envía un mensaje verde sin cifrar a otro smartphone del extremo derecho. A lo largo del camino, una torre de telefonía móvil pasa el mensaje a los servidores de la compañía y luego a otra torre de telefonía móvil, que puede ver el mensaje "Hola" sin cifrar. Todas las computadoras y redes que pasan el mensaje sin cifrar pueden ver el mensaje. Al final, el otro smartphone recibe el mensaje "Hola" sin cifrar.

Datos “en transito” es la información que se está moviendo a través de una red de un lugar a otro. Cuando envía un mensaje usando una aplicación de mensajería, por ejemplo, ese mensaje se mueve desde su dispositivo, a los servidores de la compañía de la aplicación, al dispositivo de su destinatario. Otro ejemplo es la navegación web: cuando usted va a un sitio web, los datos de esa página web viajan desde los servidores del sitio web a su navegador.

Algunas aplicaciones populares ofrecen funciones que parecen proteger los mensajes, como por ejemplo, la desaparición de mensajes. Sin embargo, el hecho de que una comunicación (como un chat o un mensaje) pueda sentirse segura, no significa que realmente es segura. Las computadoras que transmiten su mensaje pueden ser capaces de ver el contenido de su mensaje.

Es importante verificar que las conversaciones entre usted y su destinatario estén cifradas, y saber si están cifradas mediante el cifrado de la capa de transporte o el cifrado de extremo a extremo.

Hay dos maneras de cifrar los datos en tránsito: Cifrado de la capa de transporte y cifrado de extremo a extremo . El tipo de cifrado que un proveedor de servicios soporta puede constituir un factor importante a la hora de decidir qué servicios son los adecuados para usted. Los ejemplos siguientes ilustran las diferencias entre el cifrado de la capa de transporte y el cifrado de extremo a extremo.

 

Cifrado de la capa de transporte Anchor link

El diagrama muestra el cifrado de la capa de transporte. A la izquierda, un teléfono inteligente envía un mensaje verde sin cifrar: "Hola." Ese mensaje está cifrado y después se transmite a una torre de telefonía móvil. En el centro, los servidores de la empresa pueden descifrar el mensaje, volver a cifrarlo y enviarlo a la siguiente torre de telefonía móvil. Al final, el otro smartphone recibe el mensaje cifrado y lo descifra para que diga "Hola".

El cifrado de la capa de transporte, también conocido como seguridad de la capa de transporte (TLS, por sus siglas en inglés), protege los mensajes a medida que viajan desde su dispositivo a los servidores de la aplicación y desde los servidores de la aplicación al dispositivo de su destinatario. En el medio, su proveedor de servicios de mensajería (o el sitio web que está navegando, o la aplicación que está utilizando) puede ver copias no cifradas de sus mensajes. Debido a que sus mensajes pueden ser vistos por los servidores de la empresa (y a menudo se almacenan en ellos), pueden ser vulnerables a las solicitudes de las fuerzas de seguridad o filtrarse si los servidores de la empresa están en peligro.

Ejemplo de cifrado de la capa de transporte: HTTPS

¿Nota el candado verde y "https://" al lado de la dirección web de ssd.eff.org en la parte de la dirección web de la ventana de su navegador? HTTPS es un ejemplo de cifrado de la capa de transporte que encontramos con frecuencia en la web. Proporciona más seguridad que el HTTP no cifrado. ¿Por qué? Debido a que los servidores del sitio web HTTPS que está navegando pueden ver los datos que ingresa mientras está en el sitio (por ejemplo, mensajes, búsquedas, números de tarjetas de crédito e inicios de sesión), sin embargo, esta información no es legible para los que escuchan a escondidas en la red.

Si alguien está espiando en la red e intentando ver qué sitios web están visitando los usuarios, una conexión HTTP no ofrece protección. Una conexión HTTPS, por otro lado, oculta la página específica de un sitio web al que navega, es decir, todo "después de la barra oblicua". Por ejemplo, si está usando HTTPS para conectarse a "https://ssd.eff.org/en/module/what-encryption", un fisgón sólo puede ver "https://ssd.eff.org".

La web se encuentra en medio de un gran cambio hacia el uso de HTTPS para todas las páginas web. Esto se debe a que HTTP carece de seguridad significativa, y HTTPS es seguro por defecto. Las páginas web que llegan a usted a través de HTTP son vulnerables a las escuchas clandestinas, la inyección de contenido, el robo de cookies, el robo de nombres de usuario y contraseñas, la censura selectiva y otros problemas.

Recomendamos usar la extensión para el navegador HTTPS Everywhere de EFF para obtener la mayor cantidad de protección con HTTPS. HTTPS Everywhere garantiza que si un sitio web que conocemos ofrece HTTPS además de HTTP, siempre estará utilizando la versión segura de HTTPS del sitio.

El simple hecho de que un servicio utilice HTTPS no significa que el servicio proteja necesariamente la privacidad de los usuarios que visitan su sitio web. Por ejemplo, un sitio protegido con HTTPS puede seguir utilizando cookies de seguimiento o alojando malware.

Ejemplo de cifrado de la capa de transporte: VPN

Una Red Privada Virtual (VPN) es otro ejemplo de cifrado de la capa de transporte. Sin una VPN, su tráfico viaja a través de la conexión de su proveedor de servicios de Internet (ISP). Con una VPN, su tráfico sigue viajando a través de la conexión de su ISP, pero será cifrado entre usted y su proveedor de VPN. Si alguien está espiando su red local e intentando ver qué sitios web está visitando, podrá ver que está conectado a una VPN, pero no podrá ver qué sitios web está visitando en última instancia. Su ISP puede detectar quién es su proveedor de VPN.

Mientras que el uso de una VPN oculta su tráfico a su ISP, también expone todo su tráfico al propio proveedor de VPN. El proveedor de VPN podrá ver, almacenar y modificar su tráfico. El uso de una VPN esencialmente transfiere su confianza de su ISP a la VPN, por lo que es importante asegurarse de que confía en su proveedor de VPN para proteger sus datos.

Para obtener más información sobre cómo elegir una VPN adecuada para usted, lea la guía de SSD sobre VPNs.

 

Cifrado de extremo a extremo Anchor link

El diagrama muestra el cifrado de extremo a extremo. A la izquierda, un teléfono inteligente envía un mensaje verde sin cifrar: "Hola." Ese mensaje es cifrado y luego transmitido a una torre de telefonía móvil y a los servidores de la compañía. Al final, el otro smartphone recibe el mensaje cifrado y lo descifra para que diga "Hola". A diferencia del cifrado de la capa de transporte, los servidores de su ISP no pueden descifrar el mensaje; sólo los endpoints (los dispositivos originales que envían y reciben mensajes cifrados) tienen las claves para descifrar el mensaje.  

El cifrado de extremo a extremo protege los mensajes en tránsito desde el remitente hasta el receptor. Garantiza que la información se convierta en un mensaje secreto por su remitente original (el primer " extremo ") y que sólo sea decodificado por su destinatario final (el segundo " extremo "). Nadie, incluyendo la aplicación que usted está usando, puede "escuchar" y acceder a su actividad.

Acceder a mensajes cifrados de extremo a extremo en una aplicación en su dispositivo significa que la propia aplicación no puede leerlos. Esta es una característica fundamental de un buen cifrado: incluso las personas que lo diseñan e implementan no pueden romperlo por sí mismas.

En Autopretección Digital Contra La Vigilancia, ofrecemos guías para el uso de herramientas de cifrado de extremo a extremo en nuestra guía Comunicandonos con otros

 

¿Cifrado de la capa de transporte o cifrado de extremo a extremo? Anchor link

Las preguntas importantes que debe realizarse para decidir si necesita cifrado de capa de transporte o de extremo a extremo son: ¿Confía en la aplicación o servicio que está utilizando? ¿Confía en su infraestructura técnica? ¿Qué hay de sus políticas de protección contra las solicitudes de las fuerzas de seguridad?

Si la respuesta a cualquiera de estas preguntas es "no", entonces usted necesita un cifrado de extremo a extremo. Si su respuesta es "sí", entonces un servicio que sólo soporta cifrado de capa de transporte puede ser suficiente para usted, pero generalmente es mejor ir con servicios que soporten el cifrado de extremo a extremo cuando sea posible.

 

Hemos creado la siguiente animación para demostrar cómo funciona el cifrado de extremo a extremo y de capa de transporte para los datos en tránsito. A la izquierda hay una herramienta de chat con cifrado de extremo a extremo (una caja de chat que utiliza el protocolo cifrado de mensajería instantánea "Off-the-Record" ("OTR")). A la derecha, hay una caja de chat con cifrado de capa de transporte (cifrado mediante el uso de HTTPS en el sitio web de Google Hangouts).

En el GIF, el usuario principal escribe un mensaje en el cuadro de chat de Google Hangouts:

“¡Hola! Esto no está cifrado de extremo a extremo. Google puede ver nuestra conversación.”

Este usuario también tiene una casilla de chat OTR abierta y habilita la configuración de "conversación privada". En el cuadro de chat de OTR, el texto descriptivo dice:

“Intentando iniciar una conversación privada con[cuenta de gmail]. Se ha iniciado la conversación privada con[cuenta de gmail]. Sin embargo, su identidad no ha sido verificada."

Simultáneamente, en la casilla de chat de Google Hangouts, se está intercambiando texto cifrado en forma de galimatías, lo que demuestra que los usuarios se encuentran ahora en el protocolo de cifrado de extremo a extremo Off-the-Record (OTR). Cada mensaje pasado a través de la caja de chat de OTR también aparece en la caja de chat de Google Hangouts, sin embargo, en lugar de ser legible, aparece como galimatías. El otro usuario escribe un mensaje en el cliente OTR:

“A cualquiera le parecerá un galimatías.”

El usuario principal escribe:

“Sí, luce como un absurdo.”

El otro usuario envía un emoji sonriente.

 

Qué hace o no el cifrado en tránsito Anchor link

El cifrado no lo cura todo. Incluso si está enviando mensajes cifrados, el mensaje será descifrado por la persona con la que se está comunicando. Si sus puntos finales (los dispositivos que utiliza para la comunicación) están comprometidos, sus comunicaciones cifradas pueden verse comprometidas. Además, la persona con la que se está comunicando puede tomar capturas de pantalla o mantener registros (logs) de su comunicación.

Si almacena automáticamente copias de seguridad de conversaciones cifradas en "la nube" (otros ordenadores), tenga en cuenta que sus copias de seguridad también están cifradas. Esto asegura que sus conversaciones no sólo estén cifradas en tránsito, sino también en reposo.

Si cifra los datos en tránsito, protegerá el contenido de sus comunicaciones, pero no lo cifrará.metadata. Por ejemplo, puede usar el cifrado para cifrar los mensajes entre usted y su amigo en galimatías, pero no se ocultará:

  • que usted y su amigo se están comunicando
  • que se está usando cifrado para comunicarse.
  • otros tipos de información sobre su comunicación, como el lugar, las horas y la duración de la comunicación.

Las personas con grandes problemas de vigilancia (como las que se preocupan por la monitorización activa de sus redes) pueden ponerse en peligro utilizando únicamente el cifrado en momentos delicados o para actividades específicas. Por qué? Si sólo utiliza el cifrado a veces, podría vincular sus metadatos a fechas y horas importantes. Por lo tanto, utilice el cifrado tanto como sea posible, incluso para actividades mundanas.

Además, si usted es la única persona que utiliza el cifrado en una red, estos metadatos pueden ser considerados sospechosos. Esta es la razón por la que muchos entusiastas del cifrado animan a todo el mundo a utilizar herramientas de cifrado siempre que puedan: para normalizar el uso del cifrado para las personas que realmente lo necesitan.

 

Poniendo todo junto Anchor link

Juntos, el cifrado de los datos en tránsito y en reposo le ofrecerán una seguridad más completa que el uso de uno u otro. Esto es lo que los expertos en seguridad de la información llaman "defensa en profundidad". Al utilizar múltiples métodos para defender sus datos, puede lograr un nivel más profundo de protección.

Por ejemplo, si envía mensajes sin cifrar (sin cifrar los datos en tránsito) desde un dispositivo móvil cifrado (cifrando los datos en reposo), estos mensajes seguirán siendo vulnerables a las escuchas clandestinas y a la interceptación de la red por parte de gobiernos, proveedores de servicios o adversarios con conocimientos técnicos. Sin embargo, el registro de los mensajes en su dispositivo móvil estará protegido de alguien con acceso físico a su dispositivo móvil si no tiene la clave de acceso.

Por el contrario, si envía mensajes cifrados de extremo a extremo (cifrado de sus datos en tránsito) en un dispositivo no cifrado (no cifrado de sus datos en reposo), esos mensajes serán impermeables a las escuchas en la red. Sin embargo, si alguien obtiene acceso físico a su dispositivo móvil, podrá acceder y leer los mensajes.

Con estos ejemplos en mente, cifrar sus datos mientras están en tránsito en la red y mientras están en reposo en su dispositivo es ideal para protegerse de una gama más amplia de riesgos potenciales.

Para una inmersión más profunda sobre cómo utilizar el cifrado, por favor, continúe en nuestra guía Conceptos claves en cifrado.

JavaScript license information