La comunicación segura es cuando dos entidades se comunican y no quieren que un tercero escuche. Para que esto sea así, las entidades deben comunicarse de una manera que no sea susceptible de escuchas o interceptaciones . [1] [2] La comunicación segura incluye medios por los cuales las personas pueden compartir información con diversos grados de certeza de que terceros no pueden interceptar lo que se dice. Aparte de la comunicación hablada cara a cara sin posibilidad de escuchas, es probable que no se garantice que ninguna comunicación sea segura en este sentido, aunque los obstáculos prácticos como la legislación, los recursos, las cuestiones técnicas (interceptación y cifrado ) y el gran volumen de comunicación sirven para limitar la vigilancia .
Dado que muchas comunicaciones se realizan a larga distancia y están mediadas por la tecnología, y que cada vez hay más conciencia de la importancia de las cuestiones relacionadas con la interceptación, la tecnología y sus efectos están en el centro de este debate. Por este motivo, este artículo se centra en las comunicaciones mediadas o interceptadas por la tecnología.
Véase también Trusted Computing , un enfoque en desarrollo actual que logra la seguridad en general al costo potencial de imponer una confianza obligatoria en los organismos corporativos y gubernamentales.
En 1898, Nikola Tesla demostró un barco controlado por radio en el Madison Square Garden que permitía una comunicación segura entre el transmisor y el receptor . [3]
Uno de los sistemas de comunicación segura más famosos fue el Green Hornet . Durante la Segunda Guerra Mundial, Winston Churchill tuvo que discutir asuntos vitales con Franklin D. Roosevelt . Al principio, las llamadas se hacían usando un codificador de voz, ya que se pensaba que era seguro. Cuando se descubrió que esto no era cierto, los ingenieros comenzaron a trabajar en un sistema completamente nuevo, que dio como resultado el Green Hornet o SIGSALY . Con el Green Hornet, cualquier parte no autorizada que escuchara solo oiría ruido blanco , pero la conversación permanecería clara para las partes autorizadas. Como el secreto era primordial, la ubicación del Green Hornet solo la conocían las personas que lo construyeron y Winston Churchill. Para mantener el secreto, el Green Hornet se guardaba en un armario etiquetado como "Armario de escobas". El Green Hornet usaba una libreta de un solo uso . SIGSALY tampoco se rompió nunca. [4]
La seguridad se puede clasificar en términos generales bajo los siguientes títulos, con ejemplos:
Cada uno de los tres tipos de seguridad es importante y, según las circunstancias, cualquiera de ellos puede ser crítico. Por ejemplo, si una comunicación no es fácilmente identificable, es poco probable que atraiga la atención para la identificación de las partes, y el mero hecho de que se haya producido una comunicación (independientemente del contenido) suele ser suficiente por sí solo para establecer un vínculo probatorio en los procesos judiciales. También es importante en el caso de las computadoras estar seguro de dónde se aplica la seguridad y qué cubre.
Otra categoría, que se relaciona con la comunicación segura, es el software destinado a aprovechar las vulnerabilidades de seguridad en los puntos finales. Esta categoría de software incluye troyanos , keyloggers y otros programas espía .
Este tipo de actividades suelen abordarse con métodos de seguridad habituales, como software antivirus , cortafuegos , programas que identifican o neutralizan programas publicitarios y programas espía , y programas de filtrado web como Proxomitron y Privoxy , que comprueban todas las páginas web que se leen e identifican y eliminan las molestias habituales que contienen. Por lo general, se incluyen en la seguridad informática, más que en las comunicaciones seguras.
El cifrado es un método mediante el cual los datos se vuelven difíciles de leer por parte de terceros no autorizados. Dado que los métodos de cifrado se crean para que sean extremadamente difíciles de descifrar, muchos métodos de comunicación utilizan deliberadamente un cifrado más débil del posible o tienen puertas traseras insertadas para permitir un descifrado rápido. En algunos casos, las autoridades gubernamentales han exigido que se instalen puertas traseras en secreto. Muchos métodos de cifrado también están sujetos a ataques de " intermediario " mediante los cuales un tercero que puede "ver" el establecimiento de la comunicación segura se entera del método de cifrado; esto se aplicaría, por ejemplo, a la interceptación del uso de una computadora en un ISP. Siempre que esté correctamente programado, sea lo suficientemente potente y las claves no sean interceptadas, el cifrado normalmente se consideraría seguro. El artículo sobre el tamaño de la clave examina los requisitos de clave para ciertos grados de seguridad de cifrado.
El cifrado se puede implementar de una manera que requiera el uso de cifrado, es decir, si la comunicación cifrada es imposible, entonces no se envía tráfico, o de manera oportunista. El cifrado oportunista es un método de menor seguridad para aumentar generalmente el porcentaje de tráfico genérico que se cifra. Esto es análogo a comenzar cada conversación con "¿Habla navajo ?". Si la respuesta es afirmativa, entonces la conversación continúa en navajo; de lo contrario, se utiliza el idioma común de los dos hablantes. Este método generalmente no proporciona autenticación o anonimato , pero sí protege el contenido de la conversación contra escuchas clandestinas .
Una técnica de seguridad basada en la teoría de la información, conocida como cifrado de capa física, garantiza que un enlace de comunicación inalámbrica sea demostrablemente seguro con técnicas de comunicaciones y codificación.
La esteganografía ("escritura oculta") es el medio por el cual los datos pueden ocultarse dentro de otros datos más inocuos. Por ejemplo, una marca de agua que prueba la propiedad está incrustada en los datos de una imagen, de tal manera que es difícil encontrarla o eliminarla a menos que sepa cómo encontrarla. O, para la comunicación, la ocultación de datos importantes (como un número de teléfono) en datos aparentemente inocuos (un archivo de música MP3). Una ventaja de la esteganografía es la negación plausible , es decir, a menos que uno pueda probar que los datos están allí (lo que generalmente no es fácil), es negable que el archivo contenga alguno.
En la Web es posible que se produzcan actividades no deseadas o maliciosas, ya que Internet es prácticamente anónimo. Las redes verdaderamente basadas en la identidad reemplazan la capacidad de permanecer anónimo y son inherentemente más confiables, ya que se conoce la identidad del remitente y del destinatario (el sistema telefónico es un ejemplo de una red basada en la identidad).
Recientemente, se han utilizado redes anónimas para proteger las comunicaciones. En principio, una gran cantidad de usuarios que ejecutan el mismo sistema pueden tener comunicaciones enrutadas entre ellos de tal manera que es muy difícil detectar cuál es el mensaje completo, qué usuario lo envió y de dónde proviene o a dónde se dirige en última instancia. Algunos ejemplos son Crowds , Tor , I2P , Mixminion , varias redes P2P anónimas y otras.
Normalmente, un dispositivo desconocido no sería detectado, ya que hay muchos otros dispositivos en uso. Esto no es seguro en la realidad, debido a la presencia de sistemas como Carnivore y unzak, que pueden monitorear las comunicaciones en redes enteras, y al hecho de que el extremo remoto puede ser monitoreado como antes. Algunos ejemplos incluyen teléfonos públicos , cibercafés , etc.
La colocación de forma encubierta de dispositivos de vigilancia y/o transmisión, ya sea dentro del dispositivo de comunicación o en las instalaciones en cuestión.
Cualquier seguridad obtenida de una computadora está limitada por las muchas formas en que puede verse comprometida: mediante piratería, registro de pulsaciones de teclas , puertas traseras o incluso, en casos extremos, mediante el monitoreo de las pequeñas señales eléctricas emitidas por el teclado o los monitores para reconstruir lo que se escribe o se ve ( TEMPEST , que es complejo).
Los sonidos, incluido el habla, dentro de las habitaciones se pueden detectar haciendo rebotar un rayo láser en una ventana de la habitación donde se mantiene una conversación, y detectando y decodificando las vibraciones en el vidrio causadas por las ondas sonoras . [5]
Los teléfonos móviles se pueden obtener fácilmente, pero también son fáciles de rastrear y "espiar". No hay cifrado (o solo es limitado), los teléfonos son rastreables -a menudo incluso cuando están apagados [ cita requerida ] - ya que el teléfono y la tarjeta SIM transmiten su Identidad Internacional de Abonado Móvil ( IMSI ). Es posible que una compañía de telefonía móvil encienda algunos teléfonos móviles cuando el usuario no lo sepa y use el micrófono para escucharlo, y según James Atkinson, un especialista en contravigilancia citado en la misma fuente, "los ejecutivos corporativos conscientes de la seguridad eliminan rutinariamente las baterías de sus teléfonos móviles" ya que el software de muchos teléfonos se puede usar "tal cual", o modificado, para permitir la transmisión sin que el usuario se dé cuenta y el usuario puede ser ubicado a una pequeña distancia utilizando triangulación de señales y ahora utilizando funciones GPS integradas para los modelos más nuevos. Los transceptores también pueden ser anulados mediante interferencias o jaulas de Faraday .
Algunos teléfonos móviles ( iPhone de Apple , Android de Google ) rastrean y almacenan información de la posición de los usuarios, de modo que se pueden determinar los movimientos durante meses o años examinando el teléfono. [6]
El gobierno de Estados Unidos también tiene acceso a tecnologías de vigilancia de teléfonos celulares, que se aplican principalmente para el cumplimiento de la ley. [7]
Las líneas telefónicas fijas analógicas no están cifradas, por lo que son fáciles de interceptar. Para ello es necesario tener acceso físico a la línea, que se puede obtener fácilmente desde varios lugares, por ejemplo, la ubicación del teléfono, los puntos de distribución, los armarios y la propia central. Interceptar una línea fija de esta manera puede permitir a un atacante realizar llamadas que parezcan originadas desde la línea interceptada.
El uso de un sistema de terceros de cualquier tipo (teléfono público, cibercafé) suele ser seguro, pero si ese sistema se utiliza para acceder a ubicaciones conocidas (una cuenta de correo electrónico conocida o una cuenta de terceros), es posible que el sistema sea interceptado o registrado, lo que eliminará cualquier beneficio de seguridad obtenido. Algunos países también imponen el registro obligatorio de los usuarios de los cibercafés.
Los proxies anónimos son otro tipo común de protección, que permiten acceder a la red a través de un tercero (a menudo en un país diferente) y dificultan el rastreo. Tenga en cuenta que rara vez hay garantía de que el texto simple no sea interceptable, ni de que el proxy no mantenga sus propios registros de usuarios o diálogos completos. Como resultado, los proxies anónimos son una herramienta generalmente útil, pero pueden no ser tan seguros como otros sistemas cuya seguridad puede garantizarse mejor. Su uso más común es evitar que quede un registro de la IP o dirección de origen en los propios registros del sitio de destino. Los proxies anónimos típicos se encuentran tanto en sitios web normales como Anonymizer.com y spynot.com, como en sitios proxy que mantienen listas actualizadas de un gran número de proxies temporales en funcionamiento.
Un desarrollo reciente en este tema surge cuando las conexiones inalámbricas a Internet (" Wi-Fi ") se dejan en su estado no seguro. El efecto de esto es que cualquier persona dentro del alcance de la unidad base puede utilizar la conexión sin que el propietario se dé cuenta. Dado que muchas conexiones se dejan abiertas de esta manera, las situaciones en las que puede surgir una conexión (intencionada o involuntaria) han dado lugar a una defensa exitosa en algunos casos, ya que dificulta probar que el propietario de la conexión fue el que realizó la descarga o tenía conocimiento del uso que otros desconocidos podrían estar haciendo de su conexión. Un ejemplo de esto fue el caso de Tammie Marson, donde los vecinos y cualquier otra persona podrían haber sido los culpables de compartir archivos con derechos de autor. [8] Por el contrario, en otros casos, las personas buscan deliberadamente empresas y hogares con conexiones no seguras, para un uso ilícito y anónimo de Internet, o simplemente para obtener ancho de banda gratuito . [9]
Las agencias policiales han cerrado varias redes de comunicaciones seguras, que eran utilizadas predominantemente por delincuentes, entre ellas: EncroChat , Sky Global / Sky ECC y Phantom Secure .
Medios relacionados con Comunicación segura en Wikimedia Commons