/ análisis

ÚLTIMA HORA Muere Amelia Burgos, madre de Pablo Motos
SEGURIDAD EN LA RED

El 'zero-knowledge' como método de protección frente a espías

Frente a los documentos de Snowden que revelaron que estamos siendo espiados, algunas iniciativas como el 'zero-knowledge' toman el protagonismo.

María Dolores López Muñoz

29 de Marzo de 2016

Hace ya tres años que Edward Snowden hizo público a través de los periódicos The Guardian y The Washington Post una serie de documentos clasificados sobre varios programas de la NSA (National Security Agency o Agencia de Seguridad Nacional) norteamericana. El fin de estos programas era el de espiar masivamente las comunicaciones procedentes de, al menos, nueve grandes compañías norteamericanas, entre las que se encontraban Facebook, Microsoft, Apple, Google, Dropbox y Yahoo.

Edward Snowden

Edward Snowden


Esto provocó una persecución del que había sido un consultor tecnológico de organizaciones como la CIA y la propia NSA, pero también una ola de indignación a nivel mundial sobre la escasa capacidad que los usuarios tienen para controlar sus datos, así como para proteger su privacidad con las nuevas tecnologías. Esta situación también dio lugar a que surgieran muchos movimientos que persiguiesen un uso más seguro de Internet a través de algunas herramientas que los consumidores podrían tener a su alcance.

La revolución del 'Zero-Knowledge'


Una de estas herramientas que podrían ayudar al usuario a sentirse más seguro con respecto a la seguridad de sus datos es el servicio de 'Zero-Knowledge' que prestan algunos proveedores de almacenamiento en la nube. En Gadgetos ya se publicó un tutorial sobre cuáles son las cosas que hay que tener en cuenta a la hora de elegir un servicio de almacenamiento en la nube, y la iniciativa de 'Zero-knowledge' era algo a tener en cuenta.

Básicamente, esta iniciativa consiste en cambiar el sistema de encriptación de los datos que se suben a la nube, de forma que la propia empresa que provee el servicio no tenga acceso a los datos del usuario.

Antes de explicar de qué forma puede hacerse esto, es necesario comprender de qué forma actúan la mayoría de los proveedores de almacenamiento online, por qué se hace de esta manera y cuáles son los peligros de que esto sea así.

El sistema de encriptación más común, aquel que usan sistemas de almacenamiento como Dropbox, Google o Microsoft OneDrive, es el conocido como encriptación de clave compartida (shared-key). Básicamente, el usuario sube sus archivos al sistema de almacenamiento y una vez que los archivos están en la nube se produce la codificación. De esta forma, se protegen los archivos de posibles hackers que quisiesen acceder a ellos.

Como contrapartida, esto también implica que las propias empresas de almacenamiento online tienen acceso a esos archivos, puesto que la clave de codificación y decodificación la han puesto ellos. De esta forma, en el caso de que una empresa quisiese acceder a esos datos, el usuario no se enteraría jamás de que eso ha ocurrido.

Precisamente por ese motivo Edward Snowden ha advertido a los usuarios del sistema de almacenamiento Dropbox que sus datos no están a salvo. Los archivos revelados por el antiguo empleado de la CIA sostienen que esta empresa proveyó de datos y archivos de sus usuarios al Gobierno norteamericano. '[Dropbox] acaba de subir a bordo a Condoleezza Rice, que es probablemente la funcionaria que más ataca la privacidad que se puede imaginar. Ella fue una de las supervisoras de Stellar Wind [el nombre en clave de la información recogida en los programas que delató Snowden] y aun así pensaron que [contratarla] era una idea genial. Esta empresa es muy hostil a la privacidad' afirmó Snowden en declaraciones que recoge The Guardian.

Por este tipo de declaraciones, Snowden se ha mostrado como uno de los más relevantes defensores del 'Zero-Knowledge', como forma de evitar la manipulación de datos por parte de terceros.

¿Sabemos qué datos dejamos en la red?

¿Sabemos qué datos dejamos en la red?


El funcionamiento del 'Zero-Knowledge'


El 'Zero-Knowledge' es un método de encriptación que consiste en que los datos que el usuario va a subir al sistema de almacenamiento online se codifican en el ordenador del propio usuario, antes de que los archivos se suban. Es decir, se encriptan localmente. Esto implica que la única forma de decodificar estos archivos es que se introduzca la contraseña que el usuario ha elegido para que se inicie la encriptación. Sin esta contraseña nadie, ni siquiera la empresa, puede acceder a los archivos en la nube, porque estos archivos estarán encriptados.

De hecho, si el usuario pierde la contraseña de decodificación ni siquiera el usuario puede recuperar esos archivos, puesto que la empresa de almacenamiento no tiene posibilidad de acceder a sus datos.

Este método de encriptación ha sido defendido rotundamente por parte de Snowden, quien en declaraciones que recoge The Guardian en pasado mes de julio de 2014 sostenía: 'Desproveerse de la capacidad de leer la información, de la capacidad de analizar y manipular la información sin el consentimiento o la autorización de sus clientes, esa es la única forma en la que pueden probar [los servicios de almacenamiento online] que se puede confiar en ellos en lo relativo al almacenamiento de información'.

Frente a Dropbox han surgido proveedores de almacenamiento como SpiderOak, que ofrecen este sistema de codificación para que el usuario tenga la seguridad de que la empresa no puede acceder a sus archivos personales.

Este método también tiene sus detractores


Sin embargo, nada es ajeno a la crítica, y en lo que a privacidad y seguridad se refiere menos todavía. El método 'Zero-Knowledge' ha sido duramente criticado por tener algunos agujeros en su teoría de la seguridad.

El más importante de ellos parte de la desconfianza al proveedor del almacenamiento online. Teniendo en cuenta que algunas de las empresas más grandes del planeta han ofrecido sus datos al Gobierno de Estados Unidos, pensar que otras empresas podrían falsear la encriptación de los datos no parece tan descabellado. Es decir, el problema que algunas personas ven del método 'Zero Knowledge' es que cuando se produce la codificación local de los datos, el usuario debe confiar en que el software que se utiliza para su codificación realmente está codificando.

Incluso aunque realmente lo estuviese haciendo, dicen los críticos, el propio sistema de encriptación se convierte en un objetivo para criminales o entidades gubernamentales que quisiesen echar un ojo a los datos que un consumidor tuviese en su nube. Puede que la contraseña estuviese en poder el usuario, pero si el sistema que ofrece el proveedor no es lo suficientemente bueno como para resistir a unos hipotéticos ataques, todo el método de 'Zero-Knowledge' perdería sentido.

Parece que actualmente, más que nunca, debemos fijarnos en cuáles son los datos a los que dejamos acceso (voluntario e involuntario) a través de nuestros dispositivos electrónicos y de Internet. Los Estados Unidos (y quién sabe cuántos más) están espiando.
0

Positivo:

Negativo: