Artículos

Cifrar todo el tráfico de Internet, la nueva propuesta de la IAB para el futuro

Keyskeyboard 1

via

Antes, el cifrado sólo se consideraba necesario para cosas muy confidenciales. Tu banco, páginas gubernamentales, sitios restringidos… Sin embargo, a medida que Internet ha ido creciendo, cada vez se han ido extendiendo más las páginas seguras. Por poner un ejemplo, cuando se lanzó Gmail, lo normal era conectarse sin ningún tipo de protección. Ahora, ya no sólo funciona sólo con HTTPS sino que hasta el buscador, que no suele tener tanta información confidencial, usa conexiones seguras por defecto.

¿Por qué este empuje? Por una parte, al trasladar cada vez más nuestra vida e información a Internet, tenemos que protegernos de posibles atacantes. Pero por otra, las filtraciones sobre la NSArevelan un gran atacante global con el que no se contaba. Por eso mismo, la IAB ha hecho unapropuesta bastante rompedora: que cifremos por defecto todo el tráfico de Internet.

Antes de nada: ¿qué es la IAB? Es una entidad algo desconocida pero bastante importante: es la que está detrás de órganos como la IANA (Internet Assigned Numbers Authority) o la IETF (Internet Engineering Task Force), y también la encargada de editar los RFC, las especificaciones sobre protocolos de Internet. Aunque no tenga una autoridad real, es un órgano de referencia en Internet.

Y lo que propone no es nada sencillo. Es todavía más radical que la propuesta para hacer de HTTP 2.0 un protocolo cifrado, ya que incluiría no sólo HTTP sino cualquier tipo de protocolo que viaje a través de Internet.

Para ello necesitarían que desarrolladores y administradores se pusiesen manos a la obra. Y es que no sólo estamos hablando de cosas como poner HTTPS en las páginas web, sino también dejar de usar protocolos inseguros, como FTP o SMTP; o cifrar tráfico entre servidores propios, como están haciendo algunas empresas.

Si se lleva a cabo esta propuesta, los usuarios tendríamos más privacidad y seguridad, y evitaríamos que se usase Internet como fuente de información ilimitada por parte de ciertas agencias sin escrúpulos. Pero no todo es tan bonito.

Las dificultades y desventajas de cifrarlo todo

Cables

El primer problema es que enviar datos cifrados suele ser más lento que hacerlo sin cifrar. Normalmente, para cifrar datos se necesita información y hacer un handshake o saludo entre los dos ordenadores que se conecta, lo que implica más paquetes que enviar y esperar y más tiempo hasta establecer una conexión. De hecho, es lo más relevante: en CPUs modernas, la diferencia entre cifrar un dato o no hacerlo es insignificante. Puede influir cuando estamos hablando de miles o millones de datos a cifrar, pero en general no es una preocupación.

También está la parte técnica, por supuesto. No siempre es fácil desarrollar programas que se comuniquen de forma segura. Un ejemplo rápido: los fallos de seguridad de Whatsapp, una empresa con cientos de millones de usuarios a la que le ha costado conseguir un nivel de seguridad decente.

Y hay otra parte a tener en cuenta, que es cómo diseñamos una infraestructura para soportar todo un Internet cifrado. Pensad en HTTPS, que necesita entidades certificadoras (las CA) para que nadie pueda suplantar a un servidor seguro. Sobre el papel suena bien, pero sufre de fallos si esas entidades certificadoras no son de plena confianza: no sería la primera vez que alguien obtiene certificados fraudulentos a través de entidades estatales (China, por ejemplo), atacadas o que cometen fallos al procesar peticiones. No sería fácil encontrar un sistema infalible que valga para algo tan ambicioso.

Desde luego, lo que propone la IAB es todo un reto, tanto a nivel de implementación como de diseño. También requiere un cambio de mentalidad: como veíamos antes con el ejemplo de Whatsapp, para muchas startups la seguridad es algo secundario y no una característica imprescindible que haya que tener en cuent siempre.

Pero por otro lado, es hacia donde se está moviendo todo: más cifrado, más seguridad y más privacidad. Tiene sentido que la IAB haga esta propuesta, la cuestión es cuándo se llevará a cabo.

Imagen | Intel Free Press