Lavabit no era tan seguro como se creía

Escrito por Rubén Velasco
Seguridad
0

Lavabit era un servicio de correo electrónico seguro que ofrecía a los usuarios una privacidad adicional en sus comunicaciones a la vez que mantenía todo el contenido lejos de las grandes organizaciones. Lavabit fue, por ejemplo, el servidor de correo electrónico utilizado por Snowden que, tras las filtraciones de la NSA y el programa PRISM, se vio obligada a cerrar ante las extorsiones por parte del gobierno de los Estados Unidos para que este servidor cediera sus claves de cifrado y controlar todas las comunicaciones de los usuarios.

Lavabit siempre afirmaba y aseguraba que utilizaba un cifrado tan fuerte que era imposible acceder al contenido de los mensajes, incluso para los trabajadores de la propia empresa. Aunque esta afirmación es, en parte, verdadera, da la sensación de que no se dispone de acceso en ningún momento a los datos, cosa que es falsa.

Lavabit utilizaba el cifrado desde el servidor en lugar de utilizarlo punto a punto. Los mensajes llegan al servidor como texto sin formato y, una vez allí, los mensajes son cifrados con un cifrado extremo propio de Lavabit. Antes de este cifrado, los trabajadores o cualquier otra persona con acceso a los servidores podría capturar y revisar todo el contenido que se se encuentra en tráfico desde y hacia el servidor. Aunque los servidores utilizaban conexiones HTTPS, cualquier organización (como la NSA) capaz de romper este protocolo podría acceder al texto plano de los mensajes.

Esto implica que, durante el viaje, los datos siempre han sido peligrosos, aunque una vez almacenados en los servidores de Lavabit ya estaban seguros y lejos del alcance de cualquier usuario u organización que intentara acceder a ellos. Como ya hemos hablado en otras ocasiones, la NSA pidió a Lavabit las claves de cifrado de los correos así como todo el contenido de estos y, antes de vulnerar la confianza de sus usuarios, decidió cerrar como servidor de correo para no acatar las extorsiones de la organización gubernamental.

Actualmente, Lavavit se encuentra asociado con quien era su principal rival, Silent Circle, con quien ha comenzado una campaña de crowdfunding para poder lanzar un nuevo protocolo llamado Dark Mail con el que se pretende proteger los correos electrónicos y cualquier otra comunicación a través de internet.

Fuente: trought crime


Noticias relacionadas