Mensajería Instantánea… ¿y segura?

Extraido de http://www.kriptopolis.com
Por Manuel Lucena

La mensajería instantánea está de moda. ICQ, MSN, AIM, Jabber… multitud de usuarios poseen una cuenta en (al menos) una de estas redes. El éxito de la banda ancha y de las tarifas pseudo-planas está haciendo que los usuarios pasen cada vez más tiempo conectados, lo cual ha convertido en complemento imprescindible a esos programitas que nos permiten saber si nuestros amigos están en línea, y charlar con ellos en tiempo real.

Por desgracia para el sufrido usuario, detrás de cada una de estas redes suele haber una compañía con el propósito de absorber un mayor número de clientes que la «competencia», con lo que queda descartado cualquier tipo de estandarización o interoperabilidad. La honrosa excepción en este caso se llama Jabber, que es libre, abierta, pública, interoperable, y dispone de múltiples implementaciones de código abierto tanto de clientes como de servidores.

Junto con la pléyade de clientes oficiales, ha surgido toda una legión de clientes «alternativos», muchos de ellos de código abierto, capaces de conectarse simultáneamente a varias de estas redes, logrando, mal que les pese a los dueños de las redes, cierto nivel de interoperabilidad.

Pero el tema que nos ocupa es otro. A la vista de los millones de mensajes que diariamente circulan por estas redes, cabe preguntarse el nivel de seguridad que éstos presentan. La respuesta es simple: ninguno.

Ninguno, al igual que el correo electrónico, por ejemplo, pues debemos recordar que el propósito de estos protocolos, al igual que los que nos permiten enviar nuestros preciados e-mails, es la comunicación entre los individuos, y no la protección de sus datos. Esto nos conduce indefectiblemente a una conclusión: es tarea del usuario proteger sus comunicaciones de mensajería instantánea.

La propia naturaleza de este tipo de comunicación convierte en una tarea titánica escribir cada mensaje en el portapapeles, cifrarlo con PGP, pegarlo en la ventanita de escritura, recoger la respuesta, introducir la contraseña y leer la respuesta. Necesitamos, pues, que los clientes incorporen algún tipo de solución que nos permita trabajar con cierta comodidad.

Esta situación no ha pasado desapercibida para los ejecutivos de PGP Corporation, que ya han anunciado que pronto sacarán al mercado un cliente de mensajería instantánea basado en PGP. Pero mientras esperamos, conviene saber que ya hay en marcha varios proyectos de código libre encaminados a proporcionar la misma funcionalidad. Comentaré en este artículo tres de estos módulos, uno para Kopete [1] y dos para Gaim [2]. Ambos clientes presentan la particularidad de trabajar con múltiples redes, y de establecer las comunicaciones cifradas sobre el protocolo de comunicación estándar, con lo cual se consigue separar de manera efectiva la tarea de comunicar de la de preservar la privacidad.

Tanto el plugin para Kopete, que viene incluido en la distribución «estándar» de este programa, como el Gaim-e [3], trabajan sobre GnuPG, lo cual presenta tanto ventajas como inconvenientes.

Entre las primeras podríamos destacar el hecho de que OpenPGP es un estándar abierto, bien establecido, y que GnuPG es una implementación de éste bastante confiable. Adicionalmente, puesto que solemos chatear con las mismas personas con las que mantenemos correspondencia electrónica, si disponemos de un anillo de claves bien configurado, podremos establecer la comunicación de manera sencilla y directa, sin mayores complicaciones.

El inconveniente fundamental -verificado para el módulo de Kopete, pero no para el de Gaim, ya que hace cierto tiempo que el proyecto parece detenido- es que, para no tener que introducir nuestra frase de paso una y otra vez, ésta se almacena en memoria, lo cual produce un riesgo potencial de seguridad. Por desgracia, el módulo PGPAgent, que permitiría precisamente esta funcionalidad, solo que tomando medidas para que, por ejemplo, la memoria que contiene la clave nunca pase a la caché, sólo aparece en versiones recientes de GnuPG (a partir de la 1.2.0), por lo que aún no está demasiado extendido su uso. No obstante, parece que los desarrolladores son conscientes de este problema y lo piensan solventar en futuras versiones de sus respectivos módulos.

El último módulo que comentaremos, denominado Gaim-Encryption [4], se apoya en las librerías de OpenSSL para proporcionar un cifrado confiable y seguro basado en RSA. En este caso, no podremos emplear las llaves públicas PGP de nuestros interlocutores, pero a cambio el módulo genera nuestras propias claves, intercambia de forma transparente las claves públicas -informando si detecta algún cambio-, y además introduce el material cifrado dentro de código HTML, para que los clientes sin esta funcionalidad no se asusten al ver «basura» en su ventana de charla.

Parece claro, después de todo lo comentado, que hoy por hoy ya es posible emplear mensajería instantánea cifrada, y que en un corto espacio de tiempo estará al alcance de prácticamente todo el mundo. Sin embargo, queda un problema: aunque no pueda conocerse el contenido de la comunicación, la actual estructura de estos sistemas permite saber quién habla con quién en cada momento, y eso, en determinados escenarios, también puede constituir un problema de seguridad. Yo, por mi parte, voy a habilitarme el módulo de cifrado de Gaim y a darme de alta en Jabber. Hasta otra.

Manuel Lucena
wwwdi.ujaen.es/~mlucena

* [1]
* [2] http://gaim.sourceforge.net
* [3] http://gaim-e.sourceforge.net
* [4] http://gaim-encryption.sourceforge.net

Hamlet: Si no os habeis dormido, os recomiendo que os deis una vuelta por http://www.jabberes.org 8) , a mi podeis localizar en wifre@jabberes.org