Desde la impactante primicia de los mensajes de Whatsapp de Matt Hancock hasta la reticencia de Boris a compartir sus mensajes, el uso de la mensajería segura se ha convertido en un tema candente. Aunque pueda parecer una nueva tendencia, la corriente reciente de controversias centradas en el gobierno está lejos de ser la primera que hemos visto, y tampoco es la más costosa. Solo el año pasado, las instituciones financieras estadounidenses fueron multadas con casi dos mil millones de dólares por comunicarse a través de servicios de mensajería como WhatsApp.
La mensajería instantánea es ahora un medio preferido de comunicación, es conveniente, fácil de digerir y se considera segura. Nos guste o no, la simple verdad es que la mensajería llegó para quedarse. Debemos aceptar esto y trabajar para actualizar la forma en que vemos y administramos los mensajes para garantizar la seguridad y el cumplimiento normativo.
Como ex auditor informático de las principales instituciones financieras, convertido en experto en seguridad cibernética, que ahora dirige una empresa que brinda servicios de mensajería segura, puedo decir por experiencia que hay tres problemas en los que las empresas y los gobiernos no están tomando medidas. Al primero lo llamo el problema de cumplimiento, el segundo es el problema de los metadatos y el tercero es el problema cuántico. A menos que podamos abordar los tres problemas, estamos caminando dormidos hacia un olvido de nuestra propia creación.
1. El problema del cumplimiento
Como mencioné anteriormente, a fines del año pasado, las principales instituciones financieras de los EE. UU. fueron multadas con casi dos mil millones de dólares por no evitar que sus empleados usaran servicios de mensajería no conformes. Además, ha habido un importante debate público sobre el llamado ‘gobierno por WhatsApp’ sobre la pandemia en el Reino Unido.
Históricamente, las comunicaciones en finanzas y gobierno se registraban meticulosamente y se realizaban a través de canales oficiales que tenían normas oficiales. Esto se debe a que, en el caso de ambas áreas, se requiere una supervisión significativa para evitar la mala práctica y brindar responsabilidad. Muchos servicios de mensajería segura impiden el monitoreo de las comunicaciones, lo cual es clave para brindar este cumplimiento esencial.
Esto se debe a que, con muchos servicios de mensajería segura, las instituciones centrales (p. ej., organismos de control, gobiernos, etc.) no tienen control sobre los mensajes ni sobre si se eliminan. También evita que los reguladores accedan a ellos en algunos casos. Esta es la razón por la cual los reguladores bancarios se ven tan afectados cuando las instituciones usan herramientas sin un registro de auditoría.
Las multas y las controversias se pueden evitar fácilmente implementando una solución de chat segura sin debilitar ningún cifrado, pero también que permita el acceso a los reguladores en caso de que se requiera una investigación.
2. El problema de los metadatos
En promedio, las instituciones financieras y los gobiernos se toman muy en serio la seguridad de los datos. Como norma, se requieren VPN para acceder a los datos y los servicios de mensajería están controlados de forma centralizada y son muy seguros. En las finanzas en particular, incluso las pequeñas filtraciones de datos pueden tener enormes implicaciones en términos de pérdidas financieras y de reputación.
Por ejemplo, imagine si se obtuvieran metadatos que mostraran que un director ejecutivo de una empresa importante estaba enviando mensajes a un director ejecutivo de otra empresa importante. Incluso si no se pudiera ver el contenido de los mensajes, puede llevar a inferencias de que pronto podría tener lugar una adquisición. La especulación podría tener un gran impacto en los mercados.
Muchos usuarios de plataformas de mensajería genérica no se dan cuenta de que se puede acceder a estos metadatos, recopilarlos, analizarlos y venderlos. Los proveedores de mensajería segura a menudo pueden acceder a metadatos como este incluso si el cifrado de extremo a extremo les impide ver el contenido del mensaje en sí. Por lo tanto, el uso de estos servicios de mensajería de terceros puede correr el riesgo de que estos metadatos caigan en las manos equivocadas y expongan todo tipo de sensibilidades.
Es por eso que las industrias sensibles a la seguridad y la privacidad necesitan sus propios servicios de mensajería patentados, donde controlan la infraestructura, así como el cifrado y la información de los metadatos que inevitablemente se emiten.
3. El problema cuántico
Cuando se desarrolle una computadora cuántica lo suficientemente grande, podrá acceder a casi todos los datos cifrados. Si bien esto puede tardar algunos años, los datos cifrados se pueden recolectar ahora para que se puedan descifrar más tarde cuando se desarrolle una computadora cuántica lo suficientemente grande.
Los gobiernos y las principales instituciones financieras manejan rutinariamente datos que seguirán siendo confidenciales durante décadas. Estos datos son vulnerables a los ataques “Cosechar ahora, descifrar más tarde”, incluso si se envían a través de servicios de mensajería como WhatsApp, que se basan únicamente en los algoritmos de cifrado actuales. Para ser verdaderamente seguro hoy en día, un servicio de mensajería debe cifrarse frente a ataques tanto clásicos como cuánticos. La última legislación de los EE. UU. deja este punto muy claro al ordenar a las agencias federales la transición al cifrado poscuántico.
¿Entonces, qué debemos hacer?
Ahora que la mensajería es una parte central de cómo nos comunicamos, necesitamos iniciar un diálogo sobre cómo hacerlo bien. Como mínimo, debemos implementar soluciones que cumplan con las normativas y estén protegidas contra la minería de metadatos y los ataques cuánticos.
Las organizaciones han entendido estos principios durante mucho tiempo en lo que respecta a la creación de redes en general, pero ahora es el momento de aplicar esos mismos principios probados a la forma en que chateamos.