Editor Top
El criptógrafo y científico informático Mayank Varia, profesor asociado de la Facultad de Informática y Ciencias de la Información de la Universidad de Boston, dice que su trabajo puede ayudar a equilibrar la privacidad y los derechos humanos con la confianza y la seguridad en línea. Crédito: Jackie Ricciardi, Universidad de Boston
A los criptógrafos les encantan los enigmas, los problemas que resolver, y este lo tiene todo. Códigos indestructibles, notas secretas, cifrado y descifrado.
Aquí está el rompecabezas: alguien quiere enviar un mensaje seguro en línea. Tiene que ser tan privado, tan secreto, que puedan negar que alguna vez lo enviaron. Si alguien filtra el mensaje, nunca se puede rastrear hasta el remitente. Es todo muy Misión: Imposible. Pero hay un truco: si ese mensaje vende abuso o información errónea, tal vez amenaza con violencia, entonces es posible que el anonimato deba desaparecer: el remitente debe rendir cuentas.
Y ese es el desafío: ¿existe alguna manera de permitir que las personas envíen mensajes confidenciales, seguros e imposibles de rastrear, y seguir rastreando los amenazantes?
Mayank Varia podría haber resuelto el enigma. Varia, criptógrafa e informática, es experta en el impacto social de los algoritmos y programas, y desarrolla sistemas que equilibran la privacidad y la seguridad con la transparencia y la justicia social. Trabajando con un equipo de científicos informáticos de la Universidad de Boston, diseñó un programa llamado Hecate, apropiadamente llamado así por la antigua diosa griega de la magia y los hechizos, que se puede conectar a una aplicación de mensajería segura para reforzar su confidencialidad, al tiempo que permite a los moderadores descifrar abajo en el abuso. El equipo presenta sus hallazgos en el 31.° Simposio de Seguridad de USENIX.
«Nuestro objetivo en criptografía es crear herramientas y sistemas que permitan a las personas hacer cosas de manera segura en el mundo digital», dice Varia, profesor asociado de la Facultad de Informática y Ciencias de la Información de la BU. «La pregunta en juego en nuestro artículo es cuál es la forma más efectiva de construir un mecanismo para denunciar abusos: ¿la forma más rápida y eficiente de proporcionar las garantías de seguridad más sólidas y proporcionar la punción más débil posible?»
Es un enfoque que también está aplicando más allá de las aplicaciones de mensajería, creando herramientas en línea que permiten a los gobiernos locales rastrear las brechas salariales de género, sin acceder a datos privados de salarios, y permitir que las víctimas de agresiones sexuales denuncien a sus atacantes de manera más segura.
todo es negable
Cuando dos personas conversan en una habitación privada, lo que hablan es solo entre ellos: no hay rastro de papel, no hay grabación; la conversación vive solo en la memoria. Ponga la misma conversación en línea (Twitter, Facebook, correo electrónico) y es una historia diferente. Cada palabra se conserva para la historia. A veces eso es bueno, pero con la misma frecuencia no lo es. Un activista en un estado autoritario que trata de hablar con un periodista o un paciente que busca ayuda para un problema de salud privado podría no querer que sus palabras se transmitan al mundo o se mantengan en un archivo.
Ahí es donde entra en juego el cifrado de extremo a extremo. Popularizado por aplicaciones como WhatsApp y Signal, codifica los mensajes enviados en un formato ilegible y solo los descifra cuando llegan al teléfono del destinatario. También garantiza que los mensajes enviados de una persona a otra no se puedan rastrear hasta el remitente; al igual que ese chat privado en persona, es una conversación sin rastro o registro, todo es negable.
«El objetivo de estos sistemas de mensajes negables es que incluso si mi teléfono se ve comprometido después de haber tenido una conversación de mensajes encriptados, no hay migas de pan digitales que permitan que una persona externa sepa con seguridad lo que enviamos o incluso quién lo dijo. «, dice Varia.
Amnistía Internacional llama al cifrado un derecho humano, argumentando que es «una protección esencial de [everyone’s] derecho a la privacidad y la libertad de expresión», y especialmente vital para aquellos que luchan contra la corrupción o desafían a los gobiernos. Sin embargo, al igual que muchas cosas en el mundo en línea, esa privacidad puede ser explotada o torcida para fines más siniestros. «Hay momentos específicos en los que esto puede ser un mal cosa», dice Varia. «Supongamos que los mensajes que alguien está enviando son acosadores y abusivos y quieres ir a buscar ayuda, quieres poder demostrarle al moderador cuál era el contenido del mensaje y quién te lo dijo».
Un estudio de estudiantes de primaria, secundaria y preparatoria en Israel, donde, según los informes, más del 97 por ciento de los niños usan WhatsApp, descubrió que el 30 por ciento había sido intimidado en la aplicación, mientras que los fiscales del Reino Unido han dicho que el cifrado de extremo a extremo podría dañar su capacidad para atrapar y detener a los abusadores de niños. Los grupos extremistas, desde el Estado Islámico hasta los terroristas domésticos, se han apoyado en aplicaciones encriptadas como Telegram y Signal para difundir sus llamados a la violencia.
La tarea de las empresas de tecnología es encontrar una manera de apoyar el derecho a la privacidad con la necesidad de rendición de cuentas. Hecate ofrece una manera de hacer ambas cosas: permite a los usuarios de la aplicación negar que alguna vez enviaron un mensaje, pero también ser denunciados si dicen algo abusivo.
Un mensaje en tinta invisible
Desarrollado por Varia y los estudiantes de doctorado Rawane Issa y Nicolas Alhaddad, Hecate comienza con el lado de la responsabilidad de esa combinación contradictoria negable y rastreable. Usando el programa, el moderador de una aplicación crea un lote único de firmas electrónicas, o tokens, para cada usuario. Cuando ese usuario envía un mensaje, un token oculto lo acompaña. Si el destinatario decide denunciar ese mensaje, el moderador podrá verificar el token del remitente y tomar medidas. Se llama franqueo asimétrico de mensajes.
La seguridad, dice Varia, la parte que permite la negación, es que el token solo es útil para el moderador.
«El token es una declaración encriptada que solo el moderador sabe cómo leer; es como si escribiera un mensaje con tinta invisible para su yo futuro», dice Varia. «El moderador es quien construye estos tokens. Esa es la parte ingeniosa de nuestro sistema: incluso si el moderador se vuelve rebelde, no puede mostrar y convencer al resto del mundo: no tienen prueba digital, ni migas de pan que puedan mostrar a nadie más».
El usuario puede mantener la negación, al menos públicamente.
Ya existen sistemas de franqueo de mensajes similares (Meta, el padre de Facebook, usa uno en WhatsApp), pero Varia dice que Hecate es más rápido, más seguro y está preparado para el futuro de una manera que los programas actuales no lo son.
«Hecate es el primer esquema de franqueo de mensajes que logra simultáneamente una ejecución rápida en un teléfono y para el servidor moderador, soporte para el reenvío de mensajes y compatibilidad con redes de comunicación anónimas como el remitente sellado de Signal», dice Varia. «Las construcciones anteriores lograron como máximo dos de estos tres objetivos».
El impacto cívico de los algoritmos
El equipo dice que Hecate podría estar listo para su implementación en aplicaciones como Signal y WhatsApp con solo unos meses de desarrollo y pruebas personalizados. Pero a pesar de sus ventajas tecnológicas, Varia sugiere que las empresas se acerquen a Hecate con precaución hasta que hayan investigado completamente su impacto social potencial.
«Hay una cuestión de si podemos construir esto, también hay una cuestión de si debemos construir esto». dice Varia. «Podemos intentar diseñar estas herramientas que brinden beneficios de seguridad, pero puede haber diálogos y discusiones más prolongados con las comunidades afectadas. ¿Estamos logrando la noción correcta de seguridad para, digamos, el periodista, el disidente, las personas acosadas en línea?»
Como jefe del Hub de CDS para Civic Tech Impact, Varia está acostumbrado a considerar las implicaciones sociales y políticas de su investigación. El objetivo del centro es desarrollar software y algoritmos que promuevan el interés público, ya sea que ayuden a combatir la desinformación o fomenten una mayor transparencia del gobierno. Un tema a través de proyectos recientes es la creación de programas que, como Hecate, se extienden a ambos lados de la línea entre la privacidad y la responsabilidad.
Durante una asociación reciente con el Boston Women’s Workforce Council, por ejemplo, los informáticos de BU crearon una calculadora de brecha salarial de género que permite a las empresas compartir los salarios con la ciudad sin permitir que los datos confidenciales de pago salgan de sus servidores.
«Estamos diseñando herramientas que permiten a las personas (suena contradictorio) calcular datos que no pueden ver», dice Varia, quien es miembro del Comité Asesor sobre Datos para la Creación de Evidencia del gobierno federal. «Tal vez quiero enviarte un mensaje, pero no quiero que lo leas; es extraño, pero tal vez algunos de nosotros estamos enviando información y queremos que puedas hacer algunos cálculos sobre ella».
Eso captó el interés de la Agencia de Proyectos de Investigación Avanzada de Defensa y el Centro de Guerra de Información Naval, que financiaron el trabajo que condujo a Hécate y tienen interés en pedirles a los expertos informáticos que procesen datos sin siquiera ver los secretos ocultos en ellos.
El enfoque de Varia hacia el cifrado también podría beneficiar a los sobrevivientes de abuso sexual. Recientemente se asoció con Callisto, una organización sin fines de lucro con sede en San Francisco, para desarrollar un nuevo sistema seguro de denuncia de agresiones sexuales. Inspirado en el movimiento #MeToo, su objetivo es ayudar a las víctimas de agresiones que tienen miedo de presentarse.
«Reportan su caso de agresión sexual en nuestro sistema y ese informe se desvanece en el éter», dice Varia. «Pero si alguien más informa que también fue agredido por el mismo perpetrador, entonces, y solo entonces, el sistema identifica la existencia de esta coincidencia».
Esa información va a un abogado voluntario, obligado por el privilegio abogado-cliente, que luego puede trabajar con las víctimas y los sobrevivientes en los próximos pasos. Al igual que Hecate, Varia dice que encuentra un equilibrio entre la privacidad y la apertura, entre la negación y la trazabilidad.
«Cuando hablamos de compensaciones entre privacidad, libertades civiles digitales y otros derechos, a veces hay una tensión natural», dice Varia. «Pero podemos hacer ambas cosas: no tenemos que construir un sistema que permita la vigilancia masiva, la atribución a gran escala de metadatos de quién está hablando con quién; podemos brindar una sólida privacidad personal y derechos humanos, al mismo tiempo que brindamos confianza en línea y seguridad y ayudar a las personas que lo necesitan».
La investigación ofrece una solución para los mensajes cifrados que se piratean antes de enviarlos o después de recibirlos
Citación: ¿Pueden los mensajes de WhatsApp ser seguros y encriptados, pero rastreables al mismo tiempo? (2022, 10 de agosto) recuperado el 10 de agosto de 2022 de https://techxplore.com/news/2022-08-whatsapp-messages-encryptedbut-traceable.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.
