Una consideración de seguridad importante al usar E2EE
Si deseas mantener tus datos personales lo más seguros posible, no se trata solo de usar cifrado, sino de usarlo correctamente. Gracias a herramientas como Signal y WebCull, que no requieren conocimientos técnicos avanzados, el cifrado de extremo a extremo con tecnología de vanguardia es más accesible que nunca. Sin embargo, aún es posible cometer errores simples que pueden exponer tus datos, aunque solo sea por un momento.
Muchos servicios ofrecen cifrado de extremo a extremo (E2EE) para mantener tus marcadores privados, pero si los sincronizas o importas antes de activar el cifrado, pueden existir temporalmente sin cifrar en un sistema en la nube. Dependiendo de la situación, esto puede representar un riesgo de seguridad mayor o menor, pero es algo que vale la pena tener en cuenta si deseas minimizar los riesgos.
Por qué el tiempo es importante
El cifrado garantiza que solo tú puedas acceder a tus datos, pero no funciona de manera retroactiva. Si los marcadores se agregan antes de que E2EE esté habilitado, pueden viajar por Internet en un estado legible y almacenarse temporalmente en un servidor antes de que se aplique el cifrado. Una vez que el cifrado está activado, los nuevos datos están protegidos, pero las copias antiguas sin cifrar pueden seguir existiendo en copias de seguridad o registros hasta que sean sobrescritas o eliminadas manualmente. Aunque el cifrado protege los datos futuros, cualquier dato almacenado previamente sin cifrar no desaparece automáticamente.
Dónde pueden ocurrir las copias de seguridad:
- Servicios de sincronización de marcadores – Algunos servicios, como WebCull, cifran los datos en tu dispositivo antes de enviarlos, pero el cifrado debe activarse primero. Si importas marcadores antes de activar el cifrado, podrían almacenarse sin cifrar durante un breve período.
- Registros de chat – Algunos servicios de mensajería ofrecen cifrado de extremo a extremo, pero si el cifrado no estaba activado antes de enviar los mensajes, pueden haberse almacenado sin cifrar en un servidor. Incluso después de activar el cifrado, los mensajes más antiguos sin cifrar pueden seguir existiendo en copias de seguridad o registros del servidor. Del mismo modo, si el destinatario de los mensajes no tiene activado E2EE, tus mensajes aún pueden estar almacenados sin cifrar en un servidor corporativo.
- Copias de seguridad en la nube – Algunos proveedores mantienen copias de seguridad periódicas, que pueden contener versiones antiguas sin cifrar de tus datos incluso después de activar el cifrado.
- Proveedores de servicios de Internet (ISP) – Si los datos se transmiten a través de Internet sin cifrado de extremo a extremo, tu ISP podría registrar las URL que se están sincronizando. Esto no es un problema una vez que el cifrado está habilitado, pero es algo a considerar antes de activarlo.
¿Cuánto tiempo permanecen las copias sin cifrar?
Incluso si un servicio ofrece cifrado, las copias sin cifrar de tus datos pueden no desaparecer una vez que se activa E2EE. Diferentes proveedores manejan la retención de datos de distintas maneras.
Algunos servicios reemplazan inmediatamente los datos sin cifrar con versiones cifradas, pero las copias de seguridad más antiguas pueden seguir conteniendo datos sin cifrar. Algunos proveedores de la nube almacenan instantáneas anteriores de tus datos durante días, semanas o incluso meses, dependiendo de sus políticas de copia de seguridad. Algunos servicios te permiten solicitar manualmente la eliminación de datos, mientras que otros no especifican si se eliminan las copias antiguas sin cifrar. Por ejemplo, el servicio WebCull borra todas las copias de seguridad con más de 3 meses de antigüedad.
Si el cifrado no se activó desde el principio, asume que aún pueden existir copias antiguas sin cifrar en algún lugar. La mejor estrategia es habilitar E2EE antes de agregar o sincronizar cualquier dato sensible para evitarlo por completo.
El cifrado suele ser malinterpretado
Existe la creencia de que el cifrado se aplica universalmente, pero no todo cifrado es de extremo a extremo. Muchos servicios cifran los datos solo después de que llegan a sus servidores, lo que significa que aún tienen acceso antes de aplicar el cifrado. Otro error común es pensar que activar el cifrado de extremo a extremo más tarde protege todo retroactivamente. En realidad, el cifrado no reescribe la historia: cualquier dato subido antes de que se activara E2EE aún puede existir sin cifrar. También se asume que los datos cifrados son completamente seguros, pero el cifrado solo protege contra ciertos tipos de ataques. No evita riesgos de seguridad como dispositivos comprometidos, ataques de ingeniería social o contraseñas débiles. Comprender estas diferencias te permite tomar decisiones informadas sobre la seguridad de tus datos en lugar de basarte en suposiciones.
¿Deberías preocuparte?
Para algunas personas, esto no representa un gran riesgo, especialmente si se comparan con los riesgos que asumen en plataformas sin E2EE. Muchos servicios implementan medidas de seguridad sólidas incluso cuando el cifrado no está activado, especialmente aquellos que pueden y quieren implementar E2EE. Sin embargo, si deseas seguir las mejores prácticas de seguridad y asegurarte de que tus datos nunca se almacenen sin cifrar, habilitar E2EE antes de sincronizar es una precaución simple pero efectiva.
Mejores prácticas para garantizar un cifrado completo
Para evitar cualquier exposición no intencionada, activa el cifrado antes de sincronizar cualquier dato:
- Activa primero E2EE – Antes de agregar marcadores, enviar mensajes o subir archivos, ve a la configuración de tu servicio y activa el cifrado de extremo a extremo o establece una frase de contraseña para la sincronización.
- Verifica que el cifrado esté activo – Asegúrate de que el cifrado esté habilitado antes de sincronizar. Algunos servicios confirman esto mediante una configuración de seguridad o una notificación.
- Importa datos solo después de que el cifrado esté activado – Una vez que se haya confirmado el cifrado, procede a importar o sincronizar marcadores.
- Considera eliminar copias de seguridad antiguas – Si sospechas que los marcadores se almacenaron sin cifrar antes de activar el cifrado, verifica si el servicio te permite eliminar los datos antiguos.
- Elimina marcadores de servicios previamente no cifrados – Si usaste un servicio que no ofrecía cifrado o tenía E2EE desactivado, considera eliminar tus marcadores de ese servicio para evitar que existan copias sin cifrar.
Pequeños pasos para una mejor seguridad
Si no manejas datos empresariales extremadamente sensibles o secretos gubernamentales, esto no es algo por lo que debas perder el sueño. Sin embargo, es un buen hábito a desarrollar si deseas mantener seguros tus datos personales. El cifrado de extremo a extremo es más efectivo cuando se habilita desde el principio, y aunque la mayoría de los servicios protegen bien los datos, tener control sobre cuándo y cómo se cifran tus datos te proporciona el mayor nivel de privacidad.