¿Crees que tus correos son privados? Piénsalo bien.

FUENTE: Conferencia de Andy Yen en TED

Enviar un mensaje de correo electrónico es como enviar una postal, dice el científico Andy Yen en esta charla de reflexión: Cualquiera puede leerlo. Sin embargo, el cifrado, la tecnología que protege la privacidad de la comunicación por correo electrónico, existe. Es sólo que hasta ahora ha sido difícil de instalar y una molestia de usar. Mostrando una demo de un programa de correo electrónico que diseñó con colegas en el CERN, Yen argumenta que el cifrado puede hacerse simple hasta el punto de convertirse en la opción predeterminada, proporcionando verdadera privacidad de correo electrónico a todos.

Transcripción de la conferencia:

ATLAS, el detector más grande | Foto CERN

Hace 25 años, los científicos del CERN crearon la World Wide Web. Desde entonces, Internet ha transformado la forma de comunicarnos, la forma de hacer negocios e incluso de vivir. En muchos sentidos, las ideas que dieron origen a Google, Facebook, Twitter, y tantos otros, ahora han transformado nuestras vidas, y esto nos ha traído muchos beneficios reales como una sociedad más conectada. Sin embargo, también tiene algunos aspectos negativos. Hoy, la persona promedio tiene una enorme cantidad de información personal en línea, y sumamos a esta información en línea cada vez que publicamos en Facebook, cada vez que buscamos en Google, y cada vez que enviamos un correo electrónico.

Muchos pensamos que probablemente, no hay nada en un correo electrónico, ¿verdad? Pero si vemos un año de correos, o incluso una vida de correos, en conjunto dice mucho. Dice dónde hemos estado, a quiénes conocimos, y en muchos aspectos, incluso qué estamos pensando. Y lo más aterrador de todo es que nuestros datos ahora duran para siempre, los datos pueden y nos van a sobrevivir. En gran medida hemos perdido el control de los datos y también nuestra privacidad.

Por eso este año, en el aniversario 25 de la Web, es importante que nos tomemos un momento para pensar en las consecuencias de esto. Realmente tenemos que pensar. Hemos perdido privacidad, sí, pero también hemos perdido la idea misma de privacidad. Si lo piensan, muchos de los presentes quizá recordamos cómo era la vida antes de Internet, pero hoy hay una nueva generación a la que se le enseña a compartir todo en línea desde niños, una generación que no recordará la época de los datos privados. Si avanzamos por esta vía 20 años, la palabra ‘privacidad’ tendrá un significado totalmente diferente al que tiene para ustedes y para mí.

Por eso es momento de detenerse a pensar si hay algo que podamos hacer. Y yo creo que sí.

Veamos una de las formas de comunicación de más amplia difusión en el mundo hoy: el correo electrónico. Antes de la invención del correo electrónico, nos comunicábamos mucho por carta y el proceso era bastante simple. Uno escribía el mensaje en un trozo de papel, lo ponía en un sobre sellado, para continuar, uno lo enviaba luego de ponerle un sello postal y una dirección. Desafortunadamente, hoy, cuando enviamos un correo electrónico, no estamos enviando una carta. En cierto sentido, estamos enviando una postal. Y es una postal en el sentido que todo el que la vea, desde que salió de tu computadora hasta que llegó al destinatario, puede leer todo el contenido.

La solución a esto se conoce desde hace un tiempo, hubo varios intentos de llevarla a cabo. La solución más simple es la encriptación, y la idea es muy simple. Primero, uno encripta la conexión entre la computadora y el servidor de correo. Luego, se encriptan los datos ubicados en el propio servidor. Pero hay un problema con esto, y es que los servidores también almacenan las claves de encripción de modo que tenemos un gran candado con la llave a la vista. Y no solo eso, cualquier gobierno legalmente puede pedir la llave para acceder a tus datos, y todo sin que uno se entere.

La forma de resolver este problema es relativamente fácil, en principio: Se le da a cada uno sus llaves, y luego uno se asegura de que el servidor no tiene las llaves. Parece de sentido común, ¿no? Entonces la pregunta es: ¿por qué no se hizo antes?

Bueno, si lo pensamos, vemos que el modelo de negocio de la Internet actual no es compatible con la privacidad. Basta con ver los grandes nombres de la Web, para darse cuenta de que la publicidad juega un papel enorme. De hecho, solo este año, la publicidad es de 137.000 millones de USD. Y para optimizar la publicidad que nos muestran, las empresas tienen que conocer todo sobre nosotros. Tienen que saber dónde vivimos, cuántos años tenemos, qué nos gusta, que no nos gusta, y todo lo demás en lo que puedan poner sus manos. Y si lo piensan, la mejor manera de conseguir esta información es invadiendo nuestra privacidad. Por eso estas empresas no nos darán privacidad. Si queremos tener privacidad en línea, tenemos que salir en su búsqueda.

Durante muchos años, en materia de correos electrónicos, la única solución fue algo llamado PGP, algo bastante complicado, solo accesible para los conocedores de la tecnología. Este diagrama muestra básicamente el proceso de encripción y desencriptación de mensajes. No hace falta decir que no es una solución para todos, y en realidad es parte del problema, porque si se piensa en la comunicación, por definición, implica tener a alguien para comunicarse. Si bien PGP es muy bueno para lo que fue diseñado, para las personas que no saben usarlo, la opción de comunicarse en privado simplemente no existe. Y este es un problema a resolver. Si queremos tener privacidad en línea, la única manera de lograrlo es sumando a todo el mundo, y eso es posible solo si derribamos la barrera de entrada. Creo que ese es el principal desafío de la comunidad tecnológica. Tenemos que trabajar para hacer más accesible a la privacidad.

El verano pasado, cuando se conoció la historia de Edward Snowden varios colegas y yo decidimos ver si podíamos hacerlo realidad. En ese momento, estábamos trabajando en la Organización Europea para la Investigación Nuclear en el mayor colisionador de partículas del mundo, que, por cierto, colisiona protones. Todos éramos científicos, así que usando nuestra creatividad científica se nos ocurrió un nombre muy creativo para el proyecto: ProtonMail. (Risas) Muchas de las nuevas empresas de hoy empiezan en los garajes de la gente o en los sótanos. Nosotros fuimos diferentes. Empezamos en la cafetería del CERN, que es genial porque allí uno tiene todo el alimento y el agua que pueda necesitar. Pero mejor que eso, entre las 12 y las 14, de forma gratuita, la cafetería del CERN tiene miles de científicos e ingenieros que tienen respuesta para todo. Empezamos en ese entorno. Nuestro objetivo es tomar el correo electrónico y hacer que se parezca más a esto, pero, más importante, queremos hacerlo de manera que ni sepan que lo hicimos.

Para lograrlo necesitamos una combinación de tecnología y también diseño. Entonces, ¿cómo hacemos para hacer algo así? Bueno, quizá sea buena idea no poner las llaves en el servidor. Por eso generamos llaves de encripción en tu computadora, y no generamos una llave simple, sino en realidad un par de llaves, de modo que hay una llave privada RSA y una llave pública RSA, y estas llaves están conectadas matemáticamente.

Veamos cómo funcionan cuando se comunican varias personas. Aquí tenemos a Bob y a Alice, que quieren comunicarse en privado. el desafío principal es tomar el mensaje de Bob y entregárselo a Alice de forma que el servidor no pueda leer el mensaje. Para esto tenemos que encriptarlo antes de que deje la computadora de Bob, y uno de los trucos es que lo hacemos usando la clave pública de Alice. Ahora estos datos encriptados viajan hasta el servidor de Alice, y como el mensaje fue encriptado usando la llave pública de Alice, la única llave que puede desencriptarlo es la llave privada de Alice, y resulta que Alice es la única persona que tiene esta llave. Logramos el objetivo, que es enviar el mensaje de Bob a Alice sin que el servidor pueda leer el contenido.

El cifrado de extremo a extremo significa que nadie más que el destinatario deseado puede leer el mensaje.

En realidad, les he mostrado un esquema muy simplificado. La realidad es mucho más compleja y requiere mucho software que tiene este aspecto. Y este es el principal desafío de diseño: ¿Cómo manejar esta complejidad, todo este software, e implementarlo de modo que el usuario no lo vea? Creo que con ProtonMail, casi lo hemos logrado.

Veamos cómo funciona en la práctica. Aquí tenemos a Bob y Alice de nuevo, que también se quieren comunicar en forma segura. Crearon sus cuentas en ProtonMail, algo simple que lleva pocos minutos, la encriptación y generación de la llave ocurre automáticamente en segundo plano mientras Bob crea su cuenta. Una vez que se crea la cuenta, Bob hace clic en “Redactar” y puede escribir su correo electrónico como lo hace hoy. Completa su información, y luego hace clic en “Enviar”. Y así, sin entender de criptografía, y sin hacer nada distinto de lo que hace hoy, Bob envió un mensaje encriptado.

Aquí tenemos solo el primer paso, pero muestra que mejorando la tecnología, la privacidad no tiene que ser difícil, no tiene que ser disruptiva. Si cambiamos el objetivo de maximizar ganancia por publicidad a proteger datos podemos hacerlo accesible. Sé que la pregunta de todos es bien, proteger la privacidad, ese es el gran objetivo, pero ¿pueden hacerlo sin las cuantiosas sumas de dinero que aporta la publicidad? Y pienso que la respuesta es sí, porque hoy, hemos llegado a un punto en el que las personas de todo el mundo entienden la importancia de la privacidad y si uno tiene eso, todo es posible. A principios de este año, ProtonMail tuvo tantos usuarios que nos quedamos sin recursos, y cuando eso sucedió, nuestra comunidad de usuarios se reunió y donó medio millón de dólares. Eso es solo un ejemplo de lo que puede suceder cuando uno congrega a la comunidad en torno a un objetivo común. También podemos mover el mundo. En este momento, tenemos 250 000 personas registradas en ProtonMail, personas de todo el mundo, y esto muestra que la privacidad no es un tema solo de EE.UU. o de Europa sino un tema mundial que afecta a todos. Tenemos que prestarle atención para avanzar.

¿Qué haremos para solucionar el problema? Bueno, ante todo, tenemos que apoyar un modelo de negocios diferente para Internet, que no dependa totalmente de la publicidad para las ganancias y el crecimiento. Tenemos que construir una nueva Internet en la que la privacidad y el control de nuestros datos sea lo primordial. Pero más importante aún, tenemos que construir una Internet en la que la privacidad no sea solo una opción sino también la opción por omisión.

Sede de Proton Technologies AG en Ginebra, Suiza

Hemos dado el primer paso con ProtonMail, pero es el primer paso en un camino muy, muy largo. La buena noticia que puedo compartir con Uds. hoy, la gran noticia, es que no viajamos solos. El movimiento de protección de privacidad y libertad de las personas en línea está ganando impulso, y hoy hay decenas de proyectos en el mundo trabajando en conjunto para mejorar nuestra privacidad. Estos proyectos protegen cosas desde nuestro chat a voz, el almacenamiento de archivos, las búsquedas en línea, la navegación web, y muchas otras cosas. Son proyectos que no tienen el respaldo de miles de millones de dólares en publicidad, pero que encontraron apoyo en las personas, de personas como Uds. o yo, de todo el mundo.

Esto es muy importante porque, en última instancia, la privacidad depende de cada uno de nosotros, y tenemos que protegernos ahora porque nuestros datos en línea son más que solo un conjunto de unos y ceros. Son mucho más que eso. Son nuestras vidas, nuestras historias personales, nuestros amigos, nuestras familias, y, en cierto sentido, también nuestras esperanzas y aspiraciones. Tenemos que invertir tiempo ahora para proteger nuestro derecho a compartir con las personas con las que queremos compartir, porque sin esto, sencillamente no tenemos una sociedad libre. Es tiempo de que alcemos la voz para decir sí, queremos vivir en un mundo con privacidad en línea, y sí, podemos trabajar juntos para hacer realidad esta visión.

Gracias.

Tan fácil como Gmail ¡pero privado!
Esta web se ha declarado territorio libre del MONTAJE SIDA

Esta web se ha declarado territorio libre del MONTAJE SIDA