Las plataformas con cifrado de punto a punto se han convertido en un medio importante para la confianza de las empresas y de las personas en Internet a nivel global, y los servicios de inteligencia y las fuerzas de seguridad de la ley se esfuerzan por cogerles el pulso.
Su desconocimiento e incertidumbre se aprecia en la ambigüedad del discurso político sobre el tema. Por una parte, la Unión Europea defiende el cifrado fuerte con leyes de protección de datos como el RGPD. Por otra parte, no dejan de surgir intentos de interceptar las comunicaciones cifradas de punto a punto entre partes sospechosas.
La resolución del Consejo sobre cifrado, adoptada por el Consejo de la Unión Europea, es el ejemplo más reciente. Los políticos siguen tratando de conseguir un cifrado de punto a punto fuerte y un acceso selectivo a la información, cuando (desde el punto de vista de la seguridad y la tecnología) ambos conceptos son contradictorios. La simbiosis solo es posible en la retórica política.
Como el cofundador de un servicio en la nube con cifrado de punto a punto, siento una profunda preocupación por la repercusión de las solicitudes de acceso a datos cifrados en la seguridad de miles de empresas y en los millones de clientes que confían en ellas en la UE y en todo el mundo.
La economía digital está en riesgo
Nuestra economía digital depende del uso generalizado del cifrado fuerte. Algo así incluye el cifrado de punto a punto en organizaciones de todas formas y tamaños.
Las empresas dependen del cifrado fuerte para gestionar los datos de los ciudadanos de la UE conforme a la legislación y de una forma segura, y el uso del cifrado de punto a punto suele ser un factor motivador clave para que las empresas se planteen pasar a la nube.
El debilitamiento de este protocolo de cifrado amenazaría la seguridad (y, en última instancia la existencia) de todas estas empresas en el futuro, impidiendo que los responsables se decanten por la seguridad y la eficiencia adecuadas que ofrecen los sistemas basados en la nube.
Las empresas confían en el cifrado de punto a punto por varias razones
Según un estudio de 2020 sobre las tendencias de cifrado realizado por Entrust, casi la mitad de las organizaciones encuestadas ya ha adoptado una estrategia de cifrado sistemático. Nuestra propia encuesta (realizada con la ayuda de YouGov) de 2019 demuestra un aumento de la concienciación sobre los casos de uso del cifrado. Un 50 % de los encuestados de Reino Unido, Alemania y Estados Unidos están de acuerdo en que el cifrado de punto a punto les puede ayudar a proteger su privacidad digital.
Las aplicaciones de cifrado de punto a punto en un contexto empresarial son considerables. Mi empresa Tresorit, un servicio de almacenamiento en la nube, se ha enterado de muchos usos fundamentales gracias a nuestros clientes. También se incluye una amplia variedad de empresas que tratan datos confidenciales. Sus activos, que van desde la propiedad intelectual hasta los secretos empresariales, la información de los empleados y los registros sanitarios, deben almacenarse y transmitirse de forma confidencial.
He aquí algunos ejemplos de por qué el cifrado de punto a punto es tan importante para sus necesidades:
Protección de los datos confidenciales
Para empresas como PayFit, el cifrado de punto a punto desempeña un papel fundamental y les permite habilitar un entorno seguro para los datos de sus clientes. “Los datos de nuestros clientes que almacenamos tienen, por definición, un nivel de confidencialidad alto. Se trata de datos de las nóminas, documentos de identidad, información sobre salud, etc.”, afirma Guillaume Gohin, director de seguridad de la información. “Queríamos asegurarnos de que nuestros datos estén seguros en todas las fases del proceso… El cifrado de punto a punto sencillamente lo garantiza”.
Cumplimiento de los reglamentos de protección de datos
Con la entrada en vigor del RGPD en la UE, se ha desencadenado una nueva ola de leyes sobre protección de datos en todo el mundo. El cumplimiento de los requisitos locales más estrictos es un serio desafío para la mayoría de las empresas globales. Para empresas como DMCC Netherlands y Pelago AB, el uso de una tecnología que cumple el RGPD como el cifrado de punto a punto es una cuestión de credibilidad profesional. “Nos aseguramos de que los procesos empresariales de nuestros clientes cumplan las leyes sobre privacidad y protección del consumidor de la Unión Europea”, afirma Jitty van Doodewaerd, director de DMCC Netherlands B.V. “Tenemos que predicar con el ejemplo. Por lo tanto, tenemos que almacenar los datos conforme a la ley”.
El socio fundador de Pelago AB Christoffer Lindblad dice: “Nuestra reputación como socio fiable es uno de nuestros márgenes competitivos fundamentales. Por lo tanto, es indispensable que tratemos todos los datos de la forma más segura posible y el cifrado nos da una herramienta importante para lograrlo”.
Protección de las identidades
El cifrado de punto a punto también ayuda a nuestras ONG y organizaciones de derechos humanos a velar por la seguridad de datos importantes. Así lo reitera Elinor Stevenson, consejera principal de Public International Law & Policy Group, una organización nominada al Premio Nobel de la Paz y bufete de abogados de oficio internacional. “El cifrado es fundamental para el trabajo que hacemos con los defensores de derechos humanos. Nos permite compartir y almacenar información confidencial de forma segura, así como proteger a las personas con las que trabajamos y la información propiamente dicha”.
El problema de las puertas traseras
La fuerza de la tecnología de punto a punto está en su integridad estructural. Las peticiones de las fuerzas de seguridad a las empresas para que creen puertas traseras en contenido cifrado son peligrosas, porque socavan la seguridad de todo el sistema. Esto crea vulnerabilidades ante ataques de software malicioso y vigilancia no deseada.
El acceso de terceros obligatorio causaría estragos tanto en particulares como en empresas. Considerando que el coste medio de una filtración de datos se dispara hasta los 3,86 millones de USD, el riesgo de una política de puertas abiertas es insoportable.
El acceso de puerta trasera queda descartado
Nadie puede permitirse perder el cifrado. La prosperidad de nuestra economía digital depende de una colaboración segura y confidencial. Obligar a las empresas a crear los medios para permitir el acceso de terceros a sistemas cifrados daría pie a pérdidas catastróficas. Pérdida de datos. Pérdida de dinero. Pérdida de reputación. ¿Por qué tenemos que arriesgar la seguridad del sistema y provocar una pérdida total de la confianza en la economía de red?
Los reguladores y legisladores deben entender estas amenazas, concentrar su energía en asuntos más acuciantes y dejar de hablar de la obligación de puertas traseras por el bien de todos.
Imagen de kate.sade vía Unsplash