En las últimas 72 horas estuvo circulando la novedad de que el ex-espía Edward Snowden está utilizando un servicio de correo electrónico especial para mantenerse comunicado, y posiblemente filtrar material. Este servicio, conocido como Lavabit, opera desde el año 2004 y ofrece algunas funciones de seguridad muy interesantes, que no están disponibles en otras opciones de correo electrónico. Sin embargo, ¿qué tan viable es en realidad usar ese e-mail para distribuir o almacenar datos secretos, con la NSA acechando?
Parte de la historia comenzó con un comentario en Twitter de Max Fisher, encargado de la sección de asuntos exteriores en el Washington Post. Básicamente, le pregunta a la comunidad qué opina de Lavabit, el servicio de correo electrónico que utiliza Edward Snowden. Varios portales han reportado que la invitación enviada por Edward Snowden para reunirse con grupos de derechos humanos en Rusia tenía la dirección asociada “edsnowden@lavabit.com”. Desde hace un tiempo sabemos que todo lo que viene por Twitter necesita una pizca de sal y pimienta, pero la pregunta quedó flotando en la Web durante las últimas 72 horas. ¿Qué es exactamente Lavabit?
Lavabit fue creado en el año 2004 bajo el nombre Nerdshack, después de que se conociera que Google toma algunas palabras clave de correos electrónicos en Gmail con el objetivo de personalizar anuncios publicitarios. El nombre Lavabit fue establecido en 2005, y si obedecemos a las estadísticas publicadas en su sitio oficial, tiene casi 400 mil usuarios. El término para describir a la seguridad de Lavabit es “cifrado asimétrico”, con el objetivo de defender tanto al proveedor como a los usuarios de acciones abusivas como el “Acta PATRIOT”. En términos sencillos, el cifrado asimétrico usa dos claves, una pública para cifrar los mensajes, y la otra privada, protegida bajo una clave AES de 256 bits. Las contraseñas reciben un “hash” a través de SHA, y para complicar más las cosas, Lavabit combina el nombre de usuario con la contraseña y un “salt” criptográfico en tres oportunidades. En teoría, la cantidad de fuerza bruta requerida para quebrar esta protección es tan alta que haría impráctico a todo el proceso.
Sin embargo… hay razones para dudar de Lavabit, aunque sea un poco. En primer lugar, el proveedor de comunicaciones es Cogent, una empresa principalmente estacionada en los Estados Unidos. Si bien Lavabit no puede acceder al contenido de los correos, tal y como lo dijo Snowden, toda empresa con actividad en territorio estadounidense se encuentra bajo sospecha. En segundo lugar, el cifrado sólo protege a los mensajes almacenados en el servidor de Lavabit. Un correo electrónico puede ser interceptado, e imagino que la NSA no tiene problemas para abrirse paso a través de SSL como un cuchillo caliente cortando manteca. En tercer lugar, el portal de Lavabit indica que el cifrado asimétrico sólo está disponible para las cuentas premium. El servicio no es caro (a partir de ocho dólares anuales), pero los pagos pueden rastrearse, y eso también juega en contra de la privacidad del usuario. Tal vez Snowden use a Lavabit para enviar mensajes específicos, pero ahora que ese detalle quedó expuesto, no sería una buena idea utilizarlo en algo más delicado…