{"id":113127,"date":"2020-03-24T11:11:20","date_gmt":"2020-03-24T11:11:20","guid":{"rendered":"https:\/\/www.internetsociety.org\/?post_type=resources&p=113127"},"modified":"2025-06-24T17:03:08","modified_gmt":"2025-06-24T17:03:08","slug":"propuestas-fantasma","status":"publish","type":"resources","link":"https:\/\/www.internetsociety.org\/es\/resources\/doc\/2020\/propuestas-fantasma\/","title":{"rendered":"Propuestas fantasma"},"content":{"rendered":"
\u00bfQu\u00e9 son las propuestas \u00abfantasma\u00bb y por qu\u00e9 deber\u00eda importarnos?<\/h5>\n

Al menos un gobierno ha propuesto recientemente que para facilitar el acceso a los mensajes cifrados de extremo a extremo, la tecnolog\u00eda debe modificarse de forma que un oyente externo pueda agregarse en silencio a las conversaciones cifradas. Dicen que esto puede cumplir los requisitos del orden p\u00fablico o\u00a0seguridad nacional sin debilitar el cifrado utilizado para cifrar los mensajes. Sin embargo, la propuesta fantasma introducir\u00eda vulnerabilidades de seguridad sist\u00e9mica en los servicios de comunicaci\u00f3n confidenciales y cambiar\u00eda fundamentalmente la relaci\u00f3n de confianza entre los usuarios y los proveedores de servicios.<\/p>\n

\u00bfQu\u00e9 es una propuesta \u00abfantasma\u00bb y c\u00f3mo afecta la seguridad y la confidencialidad?<\/h5>\n

El t\u00e9rmino \u00abpropuesta fantasma\u00bb se refiere a una propuesta en la\u00a0que los proveedores de aplicaciones de mensajer\u00eda de extremo a extremo tienen una forma de agregar un tercero a un intercambio de comunicaciones cifradas sin que las otras partes lo sepan. Esto solo se puede hacer con la cooperaci\u00f3n del proveedor de servicios de comunicaci\u00f3n. Aprovechando las funciones de mensajer\u00eda grupal de muchos servicios, un usuario se agregar\u00eda \u00aben silencio\u00bb a una conversaci\u00f3n al suprimir las notificaciones habituales que avisan que se ha agregado un nuevo usuario al grupo.<\/p>\n

La seguridad de un servicio de comunicaciones cifradas se basa en una gesti\u00f3n de claves de cifrado efectiva y transparente (garantizando que solo los destinatarios tengan las claves que decodifican los mensajes). Para que el cifrado proporcione la confidencialidad que espera un usuario, todo el sistema debe garantizar que solo<\/u>\u00a0los destinatarios previstos puedan acceder a las claves necesarias (que permiten cifrar y descifrar el contenido).<\/p>\n

Los defensores de la propuesta fantasma argumentan que la inclusi\u00f3n de un tercero secreto es preferible a otras formas t\u00e9cnicas de lograr un acceso excepcional porque el mecanismo de cifrado no se tocar\u00eda. Pero si bien la criptograf\u00eda utilizada para cifrar\u00a0el contenido de los mensajes puede no verse afectada, introducir\u00eda una falla de seguridad en el software de la aplicaci\u00f3n de mensajer\u00eda que utiliza cada usuario; es decir, una gesti\u00f3n de claves de cifrado\u00a0comprometida que podr\u00eda permitir el acceso de usuarios no previstos al contenido de las comunicaciones cifradas.<\/p>\n

Adem\u00e1s, desde la perspectiva de la confianza en un servicio, si un sistema de mensajer\u00eda promete confidencialidad y no puede brindarla, no importa qu\u00e9 elemento espec\u00edfico de los servicios ha cambiado. El sistema no brinda la protecci\u00f3n que los usuarios esperan.<\/p>\n

Propuestas fantasma en la pr\u00e1ctica: Oyentes silenciosos en grupos de chat<\/h5>\n

En un sistema de mensajer\u00eda grupal cifrado de extremo a extremo (E2E), el proveedor de servicios gestiona la distribuci\u00f3n segura de claves a los usuarios. Este servicio se oculta en gran medida a los usuarios finales para permitir una experiencia de usuario simplificada, pero a los usuarios se les avisa cuando se agrega a alguien a un chat grupal. La mensajer\u00eda grupal E2E se f\u00eda de este servicio para garantizar que los usuarios previstos se incorporen a un mensaje grupal y que ning\u00fan usuario no previsto o desconocido pueda descifrar las comunicaciones, inclusive los propios proveedores de servicios.<\/p>\n

La distribuci\u00f3n de claves el compleja. Por ejemplo, un servicio de chat cifrado\u00a0tambi\u00e9n debe actualizar de forma segura las claves de un usuario cuando reinstala la aplicaci\u00f3n o cambia de dispositivo, pero desea permanecer en los mismos grupos.<\/p>\n

La propuesta fantasma altera el proceso de distribuci\u00f3n de claves al distribuir secretamente claves a personas que no est\u00e1n en el chat grupal, lo que permite a los miembros fraudulentos del grupo escuchar la conversaci\u00f3n a escondidas. La propuesta fantasma tambi\u00e9n requerir\u00eda que los proveedores de servicios supriman los avisos a los usuarios de que nuevos terceros no autorizados tienen acceso a sus comunicaciones.<\/p>\n

Problemas con la propuesta fantasma<\/h5>\n

Socava la finalidad del cifrado E2E:<\/strong>\u00a0Los sistemas de comunicaci\u00f3n \u00abseguros\u00bb se componen de m\u00faltiples partes entrelazadas, de las cuales el cifrado es una pieza esencial pero no la \u00fanica importante. La gesti\u00f3n de claves de cifrado y la fiabilidad general del sistema son elementos cr\u00edticos de un sistema de comunicaciones E2E seguro. Incluso si\u00a0la propuesta fantasma no modificara los algoritmos de cifrado utilizados por las aplicaciones de mensajer\u00eda de extremo a extremo para cifrar y descifrar los mensajes, introducir\u00edan una vulnerabilidad de seguridad sist\u00e9mica en esos servicios que afectar\u00eda negativamente a todos los usuarios, inclusive los usuarios comerciales y gubernamentales. Estas propuestas socavan la gesti\u00f3n de claves y la fiabilidad del sistema, con el resultado de que las comunicaciones supuestamente confidenciales entre el remitente y el destinatario pueden dejar ser confidenciales y ser\u00e1n menos seguras.<\/p>\n

Crea vulnerabilidades para que los delincuentes aprovechen:\u00a0<\/strong>A fin de que terceros se incorporen silenciosamente a las comunicaciones incluso para un solo objetivo, ser\u00eda necesario que un proveedor de servicios altere el servicio respecto de todos los usuarios para habilitar esta capacidad. Esto introduce una vulnerabilidad intencional en el sistema que, si se descubre, aprovecha o replica, podr\u00eda ser utilizada indebidamente por terceros no deseados (como delincuentes, empleados deshonestos o gobiernos hostiles) para espiar las comunicaciones.[1]<\/a> Dado que las comunicaciones con cifrado E2E son esenciales para todos los aspectos de nuestra sociedad, inclusive la seguridad nacional, el orden p\u00fablico y los negocios, esto crea un riesgo inaceptable e innecesario.<\/p>\n

Crea nuevos desaf\u00edos t\u00e9cnicos y de procesos: <\/strong>Agregar m\u00e1s complejidad t\u00e9cnica a un proceso de gesti\u00f3n segura de claves ya complejo conlleva el riesgo de crear vulnerabilidades involuntarias que actores maliciosos podr\u00edan explotar. La gesti\u00f3n efectiva y segura del acceso silencioso autorizado a las comunicaciones es una tarea intimidante y potencialmente problem\u00e1tica. Las organizaciones, inclusive los gobiernos, han tenido dificultades para asegurarse de que los datos sensibles permanezcan seguros y confidenciales. Estas capacidades tendr\u00edan que protegerse, no solo de los delincuentes que desean aprovecharlas, sino de empleados deshonestos y adversarios extranjeros.<\/p>\n

Los delincuentes migrar\u00e1n a otro servicio:\u00a0<\/strong>Los sistemas de comunicaciones con cifrado E2E existen fuera de la jurisdicci\u00f3n de cualquier gobierno. Para evitar que lo atrapen, un delincuente verdaderamente determinado podr\u00eda dejar de usar los servicios que, seg\u00fan se sabe o se sospecha, implementan la propuesta fantasma, para utilizar otros.<\/p>\n

Ampliaci\u00f3n de la misi\u00f3n (podr\u00eda utilizarse\u00a0para muchas cosas): <\/strong>La propuesta fantasma<\/strong> no es selectiva por dise\u00f1o. Introduce vulnerabilidades en los protocolos de intercambio de claves y notificaciones, y podr\u00eda utilizarse de maneras no previstas por sus partidarios (por ejemplo, para monitorear a miembros de la prensa, partidos pol\u00edticos u otros).<\/p>\n

Conclusiones<\/h5>\n

La propuesta fantasma insta a que las fallas sist\u00e9micas se dise\u00f1en en protocolos para el\u00a0mercado masivo que utilizan consumidores, empresas y gobiernos. Aumentan la vulnerabilidad y la complejidad de los sistemas resultantes, lo que, a su vez, tambi\u00e9n aumenta el riesgo de que los desarrolladores introduzcan m\u00e1s fallas por accidente. Los gobiernos deber\u00edan abandonar la propuesta fantasma como m\u00e9todo de acceso a las comunicaciones cifradas: el riesgo es demasiado grande.<\/p>\n

Referencias para conocer m\u00e1s:<\/h5>\n