Matthias Pfau, cofundador de Tutanota, explica cómo una orden judicial reciente es una llamada de atención para poner fin de una vez por todas al debate sobre el cifrado
En un mundo que depende cada vez más de Internet para el día a día, el cifrado no tiene vuelta atrás.
El cifrado es una herramienta de seguridad fundamental para que los ciudadanos, las empresas y los gobiernos se comuniquen de forma confidencial y fiable. En algunas profesiones, como los sectores sanitario y jurídico, el cifrado es un requisito para proteger la información confidencial de los clientes. Los periodistas también dependen del cifrado para comunicarse de forma segura con sus fuentes, lo que es fundamental para garantizar la libertad de prensa y la libertad de expresión.
De hecho, el derecho a la intimidad se recoge en las constituciones de muchos países democráticos y es muy valorado en todas las sociedades. Un cifrado fuerte ayuda a los ciudadanos a ejercer ese derecho.
Pero una y otra vez, se ataca la confianza del usuario que garantiza el cifrado. Mi empresa, Tutanota, ha sido puesta recientemente en el punto de mira, y nuestra experiencia es una escalofriante lección de por qué tenemos que acabar de una vez por todas con el debate sobre el cifrado.
Las fuerzas de seguridad y los gobiernos piden cada vez más acceso a los datos para capturar a los delincuentes, dicen, incluso cuando los datos están cifrados. Algunos incluso intentan obligar a las empresas a crear las llamadas puertas traseras del cifrado para que las autoridades puedan acceder a las comunicaciones cifradas si lo solicitan. Aunque todos queremos prevenir la delincuencia en Internet, simplemente no existe una llave mágica que dé acceso a los «buenos» sin que los datos confidenciales de los usuarios queden a disposición de cualquiera que los quiera, incluidos los delincuentes. El cifrado fuerte es binario: está activado o desactivado. O funciona para todos o para nadie. Debilitar el cifrado solo para los delincuentes es técnicamente imposible.
Cuando el debate sobre el cifrado llega a casa
En Tutanota, un servicio de correo electrónico cifrado que cofundé con sede en Alemania, ciframos todos los datos que podemos utilizando el cifrado de punto a punto. Los contactos de la agenda de Tutanota, las entradas del calendario de Tutanota y los correos electrónicos enviados desde cuentas de Tutanota a otras cuentas de Tutanota se cifran automáticamente de punto a punto. Aunque ciframos de punto a punto todos los datos que manejamos dentro de Tutanota, las realidades de los protocolos de correo electrónico significan que podemos cifrar los correos electrónicos que se envían con el protocolo de correo electrónico estándar sin cifrar solo después de que lleguen a nuestros servidores y luego los almacenamos cifrados dentro de los buzones de los usuarios.
En Alemania, las fuerzas de seguridad están facultadas para exigir a los proveedores de servicios de Internet que entreguen «datos en vivo» si un juez los obliga a ello. Sin embargo, la ley en la que se basa dicha orden no es aplicable a los servicios de correo electrónico. El año pasado, las fuerzas del orden alemanas exigieron a Tutanota que entregara los datos de uno de sus usuarios en virtud de esta ley. Como no somos un ISP, presentamos objeciones contra esta orden.
A pesar de los precedentes del Tribunal de Justicia de la Unión Europea y de la legislación subyacente, el Tribunal Regional de Colonia confirmó la orden a Tutanota basándose en el argumento de que estaríamos «involucrados en la prestación de un servicio de Internet». Aunque los expertos en derecho coinciden en que esta argumentación es absurda, ya que proporcionamos el servicio de correo electrónico completamente por nuestra cuenta (sin tener ningún contrato con ningún proveedor de servicios de Internet), la orden fue confirmada por el tribunal. Para esta única cuenta, se nos ordenó que copiáramos los correos electrónicos entrantes y salientes no cifrados antes de cifrarlos.
Afortunadamente, la orden judicial no afecta ni socava la seguridad de los correos electrónicos cifrados de punto a punto en Tutanota. Sin embargo, esta forma de acceder a los correos electrónicos no cifrados es preocupante a muchos niveles. Destacan dos en particular:
- Obligar a una empresa a entregar los datos antes de cifrarlos vulnera considerablemente la privacidad y confidencialidad que esperan los usuarios.
- Conceder acceso a los datos destinados a ser cifrados podría sentar un peligroso precedente que se utilizaría para obligar a las empresas a comprometer el cifrado de punto a punto.
Por eso hemos recurrido ante el Tribunal Federal de Alemania.
El derecho a la intimidad incluye el derecho al cifrado
Tutanota no se creó para proteger a los delincuentes. Se fundó para proteger nuestro derecho a la intimidad, garantizado por la Constitución alemana. Esto significa que debemos proteger a nuestros usuarios de cualquier tipo de fisgoneo o exigencia que atente contra su seguridad y privacidad, aunque sea el gobierno el que quiere acceder a sus comunicaciones privadas.
Impedir que las empresas ofrezcan los máximos niveles de seguridad y privacidad en Internet supone un riesgo increíble para las empresas y los usuarios. Por eso Tutanota está recurriendo las decisiones del tribunal. Queremos asegurarnos de que la sentencia no se utilice como precedente para que las fuerzas del orden alemanas obliguen a las empresas a socavar la seguridad y la privacidad de sus servicios.
Lo que necesitamos en el Internet de hoy no es menos cifrado, sino más. Debemos seguir atentos para asegurarnos de que las fuerzas del orden no puedan saltarse las leyes como quieren para acceder a los datos. Para defender el derecho a la intimidad y a la seguridad de los usuarios, otorgado a todos los ciudadanos por la Constitución alemana, todos debemos proteger nuestro derecho a utilizar un cifrado fuerte.
El RGPD europeo menciona específicamente el cifrado de punto a punto como la mejor herramienta para proteger los datos de los ciudadanos de diversas amenazas en Internet. Tanto Alemania como la Unión Europea deben asegurarse de que ni los proveedores de servicios ni los delincuentes puedan abusar de los datos de los ciudadanos almacenados en Internet.
Los ciudadanos y las empresas europeas confían en el cifrado indescifrable de punto a punto.
Nota final: El reto del correo electrónico cifrado interoperable de punto a punto
Los protocolos de correo electrónico tienen una ventaja única en comparación con las aplicaciones de mensajería cifrada, que es también su mayor debilidad: la interoperabilidad. Puedes enviar correos electrónicos a todo el mundo aunque utilicen un servicio de correo electrónico completamente diferente, o cuando ellos mismos alojen su servidor de correo. Esta interoperabilidad es la principal razón por la que el correo electrónico, a pesar de haberse inventado en los años 70, sigue siendo una de las herramientas de comunicación más utilizadas.
Sin embargo, la interoperabilidad también conlleva sus propios retos, entre ellos que es muy difícil proteger adecuadamente el protocolo de correo electrónico. El cifrado automático de punto a punto de los correos electrónicos entre diferentes servicios de correo electrónico sigue siendo imposible a día de hoy.
Imagen de Aneta Pawlik vía Unsplash