Qué es el cifrado de extremo a extremo - Comunicación que nadie más puede leer

El cifrado de extremo a extremo (E2EE) es un método de cifrado en el que solo el emisor y el receptor pueden leer el contenido del mensaje. Los servidores en la ruta de comunicación, los proveedores de servicios de internet e incluso el propio proveedor del servicio no pueden descifrar los mensajes cifrados.

Con el cifrado estándar TLS/HTTPS, el tráfico entre el cliente y el servidor está cifrado, pero los datos se descifran en el servidor para su procesamiento. Esto significa que el proveedor del servicio puede acceder al contenido de los mensajes. El E2EE resuelve este problema asegurando que los mensajes permanezcan cifrados incluso al pasar por el servidor.

Cómo funciona el E2EE - Criptografía de clave pública e intercambio de claves

El E2EE se basa en la criptografía de clave pública. Cada usuario posee un par de "clave pública" y "clave privada"; los datos cifrados con la clave pública solo pueden descifrarse con la clave privada correspondiente.

Flujo básico de cifrado

  1. Alice y Bob generan cada uno un par de clave pública-privada
  2. Alice obtiene la clave pública de Bob (distribuida a través del servidor)
  3. Alice cifra su mensaje con la clave pública de Bob y lo envía
  4. El servidor retransmite el mensaje cifrado a Bob tal cual (no puede descifrarlo)
  5. Bob descifra el mensaje con su clave privada y lo lee

En la práctica, las aplicaciones de mensajería usan un enfoque híbrido por rendimiento: el cuerpo del mensaje se cifra con un cifrado simétrico como AES, y esa clave simétrica se cifra luego con criptografía de clave pública.

El Protocolo Signal - El estándar moderno de E2EE

El Protocolo Signal (anteriormente Protocolo Axolotl) es el protocolo E2EE más ampliamente adoptado en la actualidad. Combina las siguientes tecnologías:

  • X3DH (Extended Triple Diffie-Hellman): El protocolo de intercambio de claves inicial. Permite el intercambio asíncrono de claves incluso cuando la otra parte está desconectada
  • Algoritmo Double Ratchet: Rota las claves de cifrado con cada mensaje. Incluso si una clave pasada se ve comprometida, los mensajes posteriores permanecen seguros (secreto hacia adelante)
  • Algoritmo Sesame: Gestiona sesiones en múltiples dispositivos

El "ratchet" en Double Ratchet se refiere a un engranaje que gira en una sola dirección. La clave de cifrado siempre avanza y nunca puede retroceder. Esto significa que incluso si se filtra una clave en un momento dado, los mensajes pasados permanecen protegidos.

Soporte de E2EE en las principales aplicaciones de mensajería

El alcance y la implementación del E2EE varía significativamente entre las aplicaciones de mensajería.

Aplicación Alcance del E2EE Protocolo Protección de metadatos
SignalTodas las comunicaciones (por defecto)Protocolo SignalSealed Sender oculta al remitente
WhatsAppTodas las comunicaciones (por defecto)Protocolo SignalMetadatos recopilados por Meta
LINEChats 1 a 1 (Letter Sealing)Propietario (ECDH + AES)Limitada
TelegramSolo Chats Secretos (manual)MTProto 2.0Los chats normales carecen de E2EE
iMessageEntre dispositivos Apple (por defecto)Propietario (RSA + AES)La copia de seguridad en iCloud es una preocupación

Un detalle crítico: el E2EE de LINE (Letter Sealing) no se aplica a los chats grupales. Y aunque Telegram se comercializa como un "mensajero seguro", el E2EE no está activado por defecto; debes iniciar manualmente un Chat Secreto. Consulta también nuestra guía sobre cómo elegir un mensajero seguro.

Limitaciones y conceptos erróneos del E2EE

El E2EE es poderoso, pero no es una solución mágica. Comprender sus limitaciones es esencial.

Los metadatos no están protegidos

El E2EE cifra el contenido de los mensajes, pero no protege los metadatos: quién se comunicó con quién, cuándo y con qué frecuencia. Los metadatos por sí solos pueden revelar relaciones, patrones de comportamiento y ubicaciones. El Sealed Sender de Signal aborda parcialmente este problema, pero una solución completa sigue siendo difícil de alcanzar.

Vulnerabilidades en los dispositivos

El E2EE protege el canal de comunicación, pero si el propio dispositivo está comprometido, resulta inútil. El spyware en un smartphone puede capturar mensajes descifrados mediante capturas de pantalla o registro de teclas. El spyware Pegasus de NSO Group es conocido por eludir el E2EE mediante este enfoque.

Cifrado de copias de seguridad

Cuando el historial de chat de WhatsApp o iMessage se respalda en la nube, la propia copia de seguridad puede no estar protegida con E2EE. WhatsApp introdujo copias de seguridad cifradas de extremo a extremo en 2021, pero la función está desactivada por defecto. Las copias de seguridad de iCloud son igualmente accesibles para Apple a menos que se active la Protección de Datos Avanzada.

Verificación de claves

La seguridad del E2EE depende de la autenticidad de la clave pública de la otra parte. Un ataque de intermediario (MITM) donde el servidor distribuye una clave pública falsa es teóricamente posible. Signal y WhatsApp permiten verificar la autenticidad de las claves comparando "números de seguridad" o "códigos de seguridad" en persona. Este es el mismo problema de confianza que abordan los certificados digitales.

E2EE y cifrado de correo electrónico

A diferencia de las aplicaciones de mensajería, la adopción del E2EE en el correo electrónico sigue siendo baja. El correo electrónico estándar (SMTP) se envía en texto plano, y el cifrado TLS entre servidores es opcional.

Los dos enfoques principales para el correo electrónico cifrado son:

  • PGP/GPG: Cifra el cuerpo del correo usando criptografía de clave pública. La gestión de claves es compleja, lo que lo hace poco práctico para la mayoría de usuarios
  • S/MIME: Usa certificados digitales para el cifrado de correo. Común en entornos empresariales pero raro para uso personal

Servicios como ProtonMail y Tutanota implementan E2EE en el correo mediante mecanismos propietarios, pero el E2EE completo solo funciona entre usuarios del mismo servicio.

Usar el E2EE de forma efectiva

Para maximizar los beneficios del E2EE, comprende tanto su funcionamiento como sus límites. Elige la aplicación adecuada y refuerza la seguridad de tu dispositivo junto con ella. Si la privacidad es tu máxima prioridad, usa Signal. Para un equilibrio entre comodidad y seguridad, WhatsApp es sólido. Para comunicación doméstica en Japón, activa el Letter Sealing de LINE pero evita compartir información sensible en chats grupales. Para ver qué información expone actualmente tu conexión, comprueba tu dirección IP y ejecuta una prueba de fuga DNS en IP確認さん.

Para profundizar en la tecnología de cifrado, los libros de criptografía son un excelente recurso.

Términos del glosario relacionados

Cifrado El proceso de convertir datos en un formato ilegible para terceros. El E2EE es su aplicación más robusta. SSL/TLS Un protocolo que cifra el canal de comunicación. A diferencia del E2EE, los datos se descifran en el servidor. Criptografía de clave pública Un sistema criptográfico que usa un par de clave pública-privada. La tecnología fundamental detrás del E2EE.