¿Qué es una puerta trasera de cifrado y por qué es peligrosa?
El cifrado mantiene tus datos privados, pero las puertas traseras debilitan esa protección. Ya sea a través de investigaciones o mandatos legales, los gobiernos presionan para crear puertas traseras de cifrado con el fin de irrumpir en las comunicaciones privadas. Desafortunadamente, no existe tal cosa como una puerta trasera que solo permita entrar a los buenos.

¿Qué son las puertas traseras de cifrado?
Una puerta trasera de cifrado es una forma deliberadamente integrada de eludir el cifrado. Describe un sistema que proporciona un acceso especial a datos cifrados para las partes aprobadas. Esencialmente, da a las fuerzas del orden una llave maestra para los mensajes cifrados. Los gobiernos a menudo presentan esto como "acceso legal", porque está diseñado para permitir que las autoridades descifren datos cuando sea necesario.
Normalmente, los datos online se cifran mediante TLS, que gestiona el cifrado de los datos en tránsito. Una vez que los datos llegan al proveedor de servicios — como Google, Dropbox o Facebook —, se descifran y luego se vuelven a cifrar en sus servidores utilizando claves de cifrado que ellos controlan. Esto significa que pueden acceder a tus datos, por lo que no es necesaria una puerta trasera de cifrado, ya que los gobiernos pueden obligar al proveedor a entregarlos.
En el cifrado de extremo a extremo, los datos se cifran en el dispositivo del remitente y no se descifran hasta que llegan al dispositivo del destinatario. El proveedor de servicios — como Proton o Signal — nunca tiene acceso a las claves de cifrado, por lo que no puede descifrar nada, ni siquiera bajo orden legal. Ahí es donde las fuerzas del orden y los legisladores presionan para conseguir puertas traseras de cifrado.
Puertas traseras de cifrado frente a ataques de puerta trasera
Es importante distinguir las puertas traseras de cifrado de los ataques de puerta trasera. Una puerta trasera de cifrado es una función integrada intencionalmente en un sistema para el acceso bajo ciertas condiciones — cuando lo requieran las fuerzas del orden, por ejemplo — y que se aplica a todos los usuarios. Por otro lado, un ataque de puerta trasera — como el orquestado por Salt Typhoon — es una vulnerabilidad oculta introducida por hackers que utilizan para obtener acceso sin ser detectados.
Si los atacantes descubren una puerta trasera de cifrado, pueden explotarla de la misma manera que usarían una puerta trasera implantada. La diferencia es que la puerta trasera de cifrado ya estaba ahí por diseño.
¿Cómo funciona una puerta trasera de cifrado?
El cifrado funciona como una cerradura en tu habitación de hotel: en el cifrado estándar como TLS, tú tienes la llave, pero el gerente del hotel (el proveedor de servicios) guarda una copia y puede abrir la puerta si la policía lo pide.
Con el cifrado de extremo a extremo, por otro lado, solo tú tienes la clave, por lo que nadie más puede entrar. Una puerta trasera de cifrado es cuando una entidad legal (como las fuerzas del orden) pide al gerente que cree una llave maestra que abra todas las puertas. Una vez que existe tal clave, todos, incluidos gobiernos extranjeros y hackers, podrían intentar robarla.
Tipos de puertas traseras de cifrado
Dependiendo del diseño, esta puerta trasera de cifrado puede adoptar diferentes formas.
En un sistema de custodia de claves, las claves de cifrado son almacenadas por un tercero, como un gobierno. Si las fuerzas del orden obtienen una orden judicial, pueden recuperar la clave.
En el escaneo del lado del cliente, tu propio dispositivo busca en tus archivos y mensajes antes de que sean cifrados e informa del contenido marcado. Es como si el gerente del hotel inspeccionara todo lo que llevas a tu habitación y tomara notas, incluso si la puerta permanece cerrada.
Un ejemplo de puerta trasera de cifrado
En la década de 1990, el gobierno de los EE. UU. introdujo el Clipper Chip(ventana nueva), un chipset para asegurar las comunicaciones de línea fija. Cada chipset venía con su propia clave criptográfica, pero se colocaba una copia de esa clave en una base de datos del gobierno mediante la custodia de claves. La idea era que si una agencia gubernamental obtenía la autoridad legal para interceptar ciertas comunicaciones de un dispositivo con un Clipper Chip instalado, podría solicitar la clave y usarla para descifrar la conversación.
Los expertos en seguridad advirtieron que almacenar claves en custodia creaba un único punto central de fallo, y los defensores de la privacidad se opusieron a la idea del acceso gubernamental universal a las conversaciones privadas. En respuesta, los desarrolladores lanzaron herramientas de cifrado público robustas como PGP, PGPfone(ventana nueva) y Nautilus(ventana nueva). En solo tres años, el Clipper Chip fue abandonado.
¿Quién quiere puertas traseras de cifrado y por qué?
Los gobiernos, las fuerzas del orden y las agencias de inteligencia son los más firmes defensores de las puertas traseras de cifrado como forma de ampliar el acceso a las comunicaciones digitales. Las agencias argumentan que se enfrentan a un problema de «quedarse a oscuras»: incluso con una orden judicial, el cifrado fuerte puede bloquear el acceso a pruebas críticas que pueden usar para recopilar inteligencia e investigar crímenes.
Esta presión a menudo se traduce en legislación — como la Ley de Poderes de Investigación del Reino Unido y la Ley de Asistencia y Acceso de Australia —, que otorgan a las autoridades poderes para exigir que las empresas creen nuevas formas de romper el cifrado de extremo a extremo y proporcionar «acceso legal» a los datos privados.
Por qué las puertas traseras de cifrado son arriesgadas para todos
Una llave maestra es el sueño de un hacker
Si hay una llave maestra que desbloquea millones de cuentas, los atacantes irán a por ella.
Una puerta trasera de cifrado comprometida podría dar a los malos actores acceso a tu cuenta bancaria, mensajes personales y otra información sensible.
La historia demuestra que ni siquiera las agencias de inteligencia pueden mantener seguras sus llaves maestras; por ejemplo, a la CIA y la NSA les robaron herramientas de hacking en 2017.
Seguridad más débil para sistemas críticos
El cifrado protege la privacidad en la vida cotidiana, desde cuentas bancarias hasta sistemas hospitalarios.
Debilitar esa protección con puertas traseras pone en peligro a las empresas y a la infraestructura crítica.
Por ejemplo, en 2017, los hackers utilizaron como arma un exploit de la NSA para lanzar un ataque de ransomware que infectó más de 300.000 ordenadores en 150 países.
El Servicio Nacional de Salud (NHS) del Reino Unido quedó paralizado, retrasando la atención hospitalaria y arriesgando vidas. El exploit existía solo porque la NSA mantuvo la vulnerabilidad en secreto en lugar de revelarla para que fuera parcheada.
Las puertas traseras permiten la vigilancia masiva
Los gobiernos también pueden hacer un mal uso de las puertas traseras de cifrado. Por ejemplo, en 2015, Juniper Networks descubrió dos puertas traseras(ventana nueva) en su cortafuegos ScreenOS, ampliamente utilizado para proteger sistemas corporativos y gubernamentales. Una puerta trasera permitía el acceso administrativo oculto, mientras que la otra permitía a los atacantes descifrar el tráfico de la red privada virtual (VPN)(ventana nueva). Al menos una de estas vulnerabilidades parecía lo suficientemente sofisticada como para haber sido implantada por un actor estatal.
Si los gobiernos democráticos como los EE. UU. están dispuestos a espiar a los ciudadanos sin una orden judicial, los estados autoritarios como China, Rusia o Arabia Saudí tienen aún más probabilidades de usar puertas traseras para perseguir a periodistas, disidentes, minorías o cualquier persona a la que el régimen apunte.
Proton nunca romperá el cifrado de extremo a extremo
Proton nunca debilitará el cifrado con puertas traseras. Hemos demostrado esto en la práctica, resistiendo la presión gubernamental en países como Rusia, China e India. En 2021, desafiamos con éxito los intentos de debilitar la privacidad del correo electrónico en Suiza.
Creamos Proton para dar a las personas el control de sus datos en un mundo donde los gobiernos y las corporaciones siguen intentando erosionarlo. Y debido a que los panoramas políticos pueden cambiar en cualquier lugar, Proton integra la protección en la propia tecnología:
El cifrado de extremo a extremo y de acceso cero significa que no podemos leer tus datos, y no podemos entregar a los gobiernos o a las fuerzas del orden lo que no tenemos.
Nuestras aplicaciones son de código abierto y auditadas regularmente, para que cualquiera pueda comprobar que hacemos lo que prometemos. Estamos certificados bajo la norma ISO 27001 y avalados por SOC 2 Tipo II.



