Cryptography

1. La criptografía es la base invisible de la seguridad digital.

Para establecer los elementos básicos de la seguridad digital, la criptografía es prácticamente la única opción.

Herramienta omnipresente. La criptografía no es solo para espías o mensajes secretos; está profundamente integrada en nuestra vida digital diaria, protegiendo desde llamadas móviles y retiros en cajeros automáticos hasta compras en línea y aplicaciones de mensajería como WhatsApp. Resguarda miles de millones de dispositivos y transacciones en todo el mundo.

Esencial para el ciberespacio. A diferencia del mundo físico, donde confiamos en los sentidos, el contexto y barreras tangibles, el ciberespacio es inmaterial, desconocido y carece de restricciones situacionales. La criptografía provee las herramientas fundamentales para construir mecanismos de seguridad en este entorno abstracto.

Más que secreto. Aunque históricamente se centró en mantener la información confidencial, la criptografía moderna también ofrece herramientas para verificar que la información no ha sido alterada (integridad) y para confirmar con quién se está comunicando (autenticación). Estos son los cimientos de la confianza digital.

2. Las claves y los algoritmos son las herramientas centrales, pero las claves son lo más importante.

Al usar la criptografía para protegernos en el ciberespacio, los algoritmos son importantes, pero las claves son la clave.

Recetas e ingredientes. La criptografía se basa en dos componentes fundamentales: algoritmos (las "recetas" computacionales o procesos) y claves (datos especiales, a menudo secretos, que actúan como "ingredientes"). El algoritmo suele ser de conocimiento público, mientras que la clave es lo que otorga la capacidad única de seguridad.

Las claves otorgan acceso. Así como una llave física abre una puerta, una clave criptográfica concede a una entidad (humana o computadora) la capacidad especial para realizar una tarea específica, como descifrar datos o verificar autenticidad. Tener la clave correcta lo es todo.

Las claves son secretos. Las claves criptográficas suelen ser números grandes generados al azar, imposibles de memorizar para humanos, y se almacenan en dispositivos como tarjetas SIM o chips bancarios. A diferencia de las contraseñas, que a menudo se envían y pueden ser expuestas, las claves criptográficas se usan para demostrar conocimiento sin revelar la clave misma.

3. El cifrado simétrico mantiene los datos secretos de forma eficiente, pero compartir claves es difícil.

El cifrado simétrico funciona, siempre que todos los que necesitan la clave secreta puedan obtenerla de alguna manera.

La misma clave cierra y abre. El cifrado simétrico utiliza una única clave secreta tanto para convertir texto claro en texto cifrado ininteligible como para descifrarlo de nuevo. Este método es rápido y eficiente computacionalmente, ideal para cifrar grandes volúmenes de datos.

Uso generalizado. El cifrado simétrico es el tipo más común hoy para proteger datos almacenados (como en tu portátil) y datos en tránsito (como en Wi-Fi o llamadas móviles). Algoritmos como AES (Estándar Avanzado de Cifrado) son la vanguardia.

El problema de la distribución. El mayor desafío del cifrado simétrico es compartir la clave secreta de forma segura con todos los que la necesitan, especialmente con desconocidos a través de redes potencialmente inseguras. Enviar la clave requiere protección, generando un dilema de “qué fue primero, el huevo o la gallina”.

4. El cifrado asimétrico resuelve el problema de compartir claves, permitiendo conexiones seguras con desconocidos.

El cifrado asimétrico parece magia. Y lo es.

Claves públicas y privadas. El cifrado asimétrico usa un par de claves matemáticamente relacionadas: una clave pública que cualquiera puede usar para cifrar datos, y una clave privada que solo el destinatario conoce y usa para descifrarlos.

Candados digitales. Esta estructura de clave pública/privada funciona como un candado digital: cualquiera puede usar la clave pública para “cerrar” (cifrar) un mensaje, pero solo quien tiene la clave privada correspondiente puede “abrirlo” (descifrarlo). Así se resuelve elegantemente el problema de distribución de claves con desconocidos.

Basado en matemáticas difíciles. Algoritmos asimétricos como RSA se fundamentan en tareas computacionales fáciles en una dirección (como multiplicar dos números primos grandes) pero extremadamente difíciles de revertir (como factorizar esos números) sin la clave privada.

5. Las funciones hash y las firmas digitales garantizan la integridad y autenticidad de los datos.

La criptografía puede detectar si los datos han permanecido íntegros desde su creación.

Verificación de integridad. La integridad asegura que la información no ha sido alterada desde que fue creada. Las funciones hash criptográficas actúan como “extractores” digitales, tomando datos de cualquier tamaño y produciendo un pequeño “resumen” o hash único. Un cambio mínimo en los datos genera un hash completamente distinto.

Más allá de errores accidentales. Mientras que las sumas de verificación simples detectan errores fortuitos, las funciones hash criptográficas están diseñadas para hacer prácticamente imposible que un atacante modifique datos y genere un hash coincidente. Sin embargo, un hash por sí solo no prueba quién creó los datos.

Firmas digitales. Las firmas digitales usan criptografía asimétrica para ofrecer integridad fuerte y autenticación del origen (no repudio). El remitente usa su clave privada para “firmar” el hash de los datos, y cualquiera puede verificar la firma con la clave pública del remitente, confirmando la integridad y el origen único.

6. Saber “quién está ahí” es vital, pero las contraseñas son un eslabón débil.

En internet, no todos piensan lo suficiente en las implicaciones de que no eres un perro.

Autenticación de entidades. Determinar con quién o qué te comunicas en el ciberespacio es crucial para la seguridad. Este proceso, llamado autenticación de entidad, es difícil porque las interacciones digitales carecen de las señales físicas en las que confiamos en el mundo real.

Las contraseñas tienen fallas. Son el método de autenticación más común, pero son débiles. Son vulnerables a:

• Adivinanzas y ataques de diccionario (por malas elecciones de usuarios)
• Robo (mediante phishing, keyloggers o almacenamiento inseguro)
• Falta de novedad (se usan repetidamente)

Existen métodos más fuertes. La criptografía permite técnicas de autenticación más robustas, como:

• Uso de claves criptográficas almacenadas en tokens seguros (como tarjetas bancarias)
• Contraseñas perfectas generadas para cada acceso mediante algoritmos criptográficos y secretos compartidos
• Protocolos de desafío-respuesta donde las entidades demuestran conocimiento de un secreto transformando un reto aleatorio.

7. Los sistemas criptográficos fallan por implementación y gestión de claves, no solo por algoritmos.

Cuando la criptografía falla, en realidad es porque alguna parte del sistema criptográfico no funcionó como debía.

Más allá de las matemáticas. Aunque diseñar algoritmos criptográficos fuertes es difícil, la mayoría de las fallas en sistemas reales no se deben a defectos en los algoritmos. Algoritmos modernos como AES se consideran muy seguros.

La implementación importa. Los algoritmos deben implementarse perfectamente en software o hardware. Errores sutiles de código o vulnerabilidades por canales laterales (como ataques de temporización o análisis de consumo eléctrico) pueden filtrar claves secretas, superando la fortaleza teórica del algoritmo.

La gestión de claves es crítica. Todo el ciclo de vida de las claves criptográficas —generación, distribución, almacenamiento, rotación y destrucción— es una fuente principal de vulnerabilidades. Prácticas deficientes, como usar contraseñas débiles para derivar claves, almacenar claves inseguras o no gestionar la autenticidad de claves públicas (mediante certificados), son puntos comunes de falla.

8. El “dilema criptográfico” enfrenta la privacidad con el acceso estatal a datos cifrados.

Si la sociedad permite el uso generalizado del cifrado, la criptografía protegerá datos relacionados con actividades ilegítimas. Si, en cambio, intenta restringirlo, podría impedir que ciudadanos honestos protejan datos legítimos.

Tecnología de doble uso. El cifrado es inmensamente beneficioso para proteger datos personales y comerciales, pero también dificulta a las fuerzas del orden e inteligencia investigar actividades criminales y terroristas. Esto crea un dilema social fundamental.

La confidencialidad es el problema. Aunque la criptografía ofrece múltiples servicios de seguridad, el debate político se centra principalmente en el cifrado y herramientas de anonimato (como Tor), pues permiten a individuos ocultar información e identidad frente al Estado.

No hay un equilibrio fácil. Las autoridades suelen pedir un “equilibrio” entre seguridad y privacidad, proponiendo accesos legítimos a datos cifrados (por ejemplo, puertas traseras o descifrado forzado). Sin embargo, encontrar una solución técnica que permita acceso estatal sin comprometer la seguridad general es extremadamente complejo.

9. Los intentos de controlar el cifrado suelen crear sistemas “rompibles” problemáticos.

Lo que se requiere es un sistema criptográfico “rompible pero irrompible”.

El problema de la varita mágica. Las propuestas para permitir acceso estatal a datos cifrados exigen incorporar una capacidad “mágica” en los sistemas criptográficos. Esto significa que el sistema debe ser irrompible para atacantes comunes, pero rompible por el Estado en circunstancias específicas.

Las puertas traseras son riesgosas. Introducir puertas traseras en algoritmos o implementaciones es un enfoque histórico (como dispositivos de exportación manipulados) pero muy problemático hoy. En un mundo de estándares abiertos y expertos globales, las puertas traseras ocultas probablemente se descubran y se conviertan en “puertas delanteras” para cualquier atacante, no solo el Estado.

La regulación es difícil. Controlar el cifrado mediante regulaciones (como controles de exportación o revelación forzada de claves) enfrenta desafíos en un mundo digital donde el software se distribuye globalmente con facilidad. Estas medidas son difíciles de aplicar y pueden empujar a actores maliciosos hacia métodos verdaderamente irrompibles y no regulados.

10. Las computadoras cuánticas representan una amenaza futura que exige nuevos algoritmos criptográficos.

Las computadoras cuánticas son una amenaza real para la criptografía que usamos hoy.

Poder computacional futuro. Aunque las computadoras cuánticas actuales son rudimentarias, las futuras, más potentes, podrían resolver eficientemente problemas matemáticos que sustentan la criptografía asimétrica actual (como factorizar números grandes).

Impacto en algoritmos. Esto haría inseguras las técnicas asimétricas actuales (RSA) y los esquemas de firma digital. El cifrado simétrico (AES) también se vería afectado, requiriendo claves más largas (por ejemplo, 256 bits en lugar de 128) para mantener la seguridad.

Criptografía post-cuántica. Investigadores desarrollan nuevos algoritmos diseñados para resistir ataques de computadoras cuánticas. Estos algoritmos “post-cuánticos” serán necesarios para reemplazar los esquemas asimétricos actuales y proteger las comunicaciones y datos digitales del futuro.

11. La confianza en la criptografía se construye con transparencia, estándares y buenas prácticas.

Si no se cree en la fiabilidad de la criptografía, ¿qué esperanza hay de establecer confianza real en el ciberespacio?

La confianza es fundamental. La criptografía es esencial para generar confianza en el ciberespacio, pero ella misma debe ser confiable. Esta confianza se vio afectada por revelaciones de posibles interferencias estatales y fallas generalizadas en implementaciones.

Construir confianza. La confianza se fomenta mediante:

• Estándares abiertos y escrutinio público de algoritmos
• Prácticas seguras de implementación y mitigación de vulnerabilidades por canales laterales
• Procesos robustos de gestión de claves
• Transparencia de los proveedores tecnológicos sobre el uso de la criptografía.

Usuarios informados. Comprender los fundamentos de la criptografía empodera a las personas para tomar mejores decisiones sobre su seguridad digital, evaluar la seguridad de las tecnologías que usan y participar en debates sociales sobre privacidad y vigilancia.

Última actualización: May 8, 2025