El cifrado de extremo a extremo (E2EE) se ha convertido en sinónimo de comunicaciones seguras.
Para muchas organizaciones, esto se considera la base sobre la que se construye la confianza.
Esa mentalidad ahora está siendo cuestionada.
En todo el gobierno y en los sectores de infraestructura crítica, las recientes alertas de inteligencia y los compromisos en el mundo real han revelado un error fundamental. El cifrado por sí solo no equivale a seguridad.
Director sénior de Comunicaciones seguras de BlackBerry.
Aunque E2EE protege el contenido de los mensajes, los actores de amenazas modernos ya no intentan derrotarlo. En cambio, están explotando lo que hay a su alrededor, incluidas identidades, dispositivos, metadatos y plataformas que nunca fueron diseñadas para operar bajo presiones adversas sostenidas.
Esta evolución refleja un cambio realista en el comportamiento de los atacantes. Comprometer una cuenta suele ser más fácil y mucho más revelador que descifrar el tráfico interceptado. Una vez que se pierde la confianza en la identidad, el cifrado se vuelve en gran medida irrelevante.
El primer modelo de seguridad limita el cifrado
Las aplicaciones de mensajería cifrada diseñadas para consumidores son expertas en mantener seguros los mensajes en tránsito, pero no están diseñadas para proporcionar una verificación de identidad sólida, control de acceso institucional o supervisión soberana. La mayoría depende del autorregistro, una verificación mínima y puntos finales no administrados, situaciones que favorecen a adversarios cada vez más sofisticados.
Avisos gubernamentales recientes muestran cómo se están explotando estas lagunas mediante campañas de phishing y suplantación de identidad dirigidas a usuarios de aplicaciones cifradas. Estas campañas evitan el cifrado en lugar de romperlo.
Esta es la razón por la que las estrategias de seguridad centradas en el cifrado están resultando inadecuadas en entornos de alto riesgo. Asumen que se puede confiar en el usuario, el dispositivo y la aplicación misma. Bajo constantes amenazas a nivel estatal, esos supuestos ya no se sostienen.
Incluso cuando el contenido del mensaje sigue siendo confidencial, los metadatos siguen siendo un poderoso recurso de inteligencia. Los patrones de comunicación pueden mapear relaciones, jerarquías e intenciones, a menudo con un valor más estratégico que los mensajes.
Al mismo tiempo, la dependencia de aplicaciones de mensajería alojadas en infraestructuras de TI extranjeras introduce mayores riesgos de soberanía. La exposición jurisdiccional y la gobernanza de la plataforma están determinadas externamente, lo que limita la visibilidad y el control de los gobiernos sobre su propio entorno de comunicaciones.
En conjunto, estos factores están impulsando una reevaluación de lo que significa la comunicación segura en la práctica.
Hacia una definición de seguridad más resiliente
El consenso emergente es claro. Las comunicaciones seguras deben considerarse un sistema integrado, no una característica. E2EE sigue siendo esencial, pero debe complementarse con garantía de gestión de identidades, confianza en los dispositivos, gobernanza de metadatos y controles de infraestructura.
Este cambio ya está dando forma a las decisiones políticas y de adquisiciones, a medida que los gobiernos avanzan hacia plataformas de comunicaciones soberanas y diseñadas específicamente para usos de alto riesgo.
La idea errónea nunca ha sido que el cifrado no sea importante. La cuestión es que el cifrado por sí solo puede soportar todo el peso de los requisitos de seguridad modernos.
En un entorno definido por crecientes tensiones geopolíticas, competencia de inteligencia y amenazas persistentes a nivel estatal, esa suposición ya no se sostiene.
A medida que las amenazas continúan evolucionando, las organizaciones se ven obligadas a reexaminar suposiciones arraigadas sobre lo que realmente requieren las comunicaciones seguras en un entorno digital cada vez más complejo.
Hemos presentado el mejor software de seguridad para terminales.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
