La Sede de Comunicaciones del Gobierno, la agencia de espionaje del Reino Unido, ha creado una nueva herramienta de cifrado para que los empleados del gobierno protejan sus comunicaciones de los piratas informáticos. Pero hay una trampa: contiene acceso de puerta trasera para el gobierno del Reino Unido.
GCHQ desarrolló la herramienta principalmente para asegurar las transmisiones de llamadas de voz entre empleados del gobierno en el país, pero los investigadores de seguridad advierten que también podría usarse para realizar vigilancia masiva sin causar un parpadeo en el radar del aviso público.
Los expertos en seguridad temen que los proveedores comerciales puedan adoptar el cifrado porque está construido como un software de código abierto. Cuando eso se haga realidad, el gobierno británico podría aprovechar una falla en el cifrado y usar la herramienta para espiar a los ciudadanos del Reino Unido. Peor aún, los piratas informáticos también podrían encontrar una falla en el cifrado e infiltrarse en las comunicaciones privadas de empleados gubernamentales y particulares.
Ahora existe una creciente preocupación sobre cómo GCHQ administra las claves de cifrado siguiendo sus estándares existentes llamados MIKEY-SAKKE. Este estándar de seguridad depende de varias claves maestras generadas por los propios proveedores de servicios para ayudar a proteger las sesiones de llamada. Sin embargo, según los expertos en seguridad, la clave maestra es vulnerable a manipulaciones destinadas a descifrar las sesiones de llamada.
El hecho de que se pueda utilizar una clave privada maestra para descifrar las llamadas de voz entre usuarios presenta un grave riesgo de seguridad para los usuarios, lo que los convierte en un blanco fácil para los atacantes que acechan en la esquina. Esto también incluye las llamadas realizadas de un país a otro, ya que las llamadas se pueden descifrar en una puerta de enlace que haría que la llamada quede expuesta a espionaje.
Lo que hace que esto sea una intrusión evidente en la privacidad del usuario es el hecho de que el gobierno británico puede ordenar a los proveedores de servicios que entreguen el contenido de las llamadas de voz a las autoridades y descifren el contenido porque tienen las claves maestras. En comparación, el cifrado de extremo a extremo de Apple hace que el cifrado del GCHQ sea una opción remota para los fanáticos de la seguridad, porque con el cifrado de Apple, incluso la propia empresa no tiene forma de descifrar datos seguros.
Los investigadores de seguridad dicen que la puerta trasera incorporada en el cifrado de GCHQ es comprensible debido a la obligación de la agencia de proteger las comunicaciones gubernamentales y eliminar el acceso no autorizado a ellas. Es natural que la agencia de espionaje quiera tener una vista completa de las comunicaciones que pasan a través de su infraestructura para sondear filtraciones de inteligencia.
La única preocupación sobre el protocolo MIKEY-SAKKE es que las empresas comerciales podrían interesarse en adoptar el cifrado para sus ofertas de llamadas de voz. Pero GCHQ asegura al público que el estándar se puede escalar para aplicaciones de nivel empresarial.
