Después de cinco años de trabajo, el protocolo de Seguridad en la Capa de Mensajería (MLS por sus siglas en inglés) será publicado próximamente por IETF, la principal organización para la definición de estándares de internet. El objetivo principal de este protocolo es facilitar la comunicación cifrada de extremo a extremo entre dos o más personas, quienes pueden utilizar uno o más dispositivos (por ejemplo, utilizar una misma aplicación de mensajería en el celular y el computador). Hasta hoy, algunas aplicaciones como Signal tienen esta capacidad, pero lo hacen por su cuenta y las personas usuarias deben confiar en que pueden hacerlo, y cómo.
Al ser un estándar abierto, MLS es un acuerdo común sobre cómo debe transportarse la información cifrada en sistemas de mensajería instantánea, una vez se ha establecido la comunicación. Por eso, no se ocupa de cuestiones -también importantes para la seguridad- como la autenticación de la identidad de quienes participan de la comunicación y el envío de los mensajes. Solo se trata del transporte. Pero sobre esto volveremos más adelante. Por ahora, es importante mencionar que la publicación de un estándar no garantiza su implementación.
Al igual que Signal, aplicaciones como Whatsapp (con alrededor de 2.400 millones de personas usuarias a finales de 2022) también cifran las comunicaciones, y dada su popularidad es muy probable que sean de las primeras en implementar MLS, ajustándolo a sus necesidades. ¿Qué quiere decir esto? MLS, como muchos protocolos para la privacidad que se han desarrollado en los últimos años, se basan en una mayor complejidad técnica, así como en requerimientos de mayor infraestructura para ser desplegados. Con esto, las empresas más grandes tienen mejores capacidades para implementarlos, sin necesidad de compartir los códigos. Y es así como mantienen su posición dominante en el mercado.
La buena noticia es que existe OpenMLS, un proyecto de implementación de código abierto que permite integrar MLS en cualquier aplicación que incluya mensajería instantánea. La existencia de este tipo de implementaciones contribuye a descentralizar el mercado de internet y también a fortalecer la confianza en los sistemas que utilizamos, pues cuando solo las grandes empresas ofrecen un servicio (como la mensajería instantánea) y nos prometen respetar nuestra privacidad utilizando códigos cerrados, no tenemos más opción que creerles. Pero si el código está abierto, más empresas y personas (con capacidad técnica y de cómputo) pueden instalar y auditar estos sistemas, y es más probable que confiemos en alguna de ellas.
Justamente para limitar el poder de las grandes plataformas digitales, en mayo de 2022 el Parlamento Europeo publicó el Digital Markets Act (DMA), una regulación que en su artículo 7 exige la interoperabilidad entre sistemas de mensajería. Aunque la interoperabilidad, e incluso la federación, han estado en la discusión de MLS desde sus comienzos, esta nueva regulación ha motivado la conformación de un nuevo grupo de trabajo denominado Más Interoperabilidad en la Mensajería Instantánea (mimi), donde se busca encontrar mecanismos para la autenticación de identidad y el envío de mensajes, compatibles con el transporte cifrado de información que ofrece MLS.
¿Qué quiere decir esto? Que varias entidades (empresas, personas) pueden operar servicios MLS independientes. Es decir, que tanto la autenticación como el envío de mensajes no deben ser gestionados por la misma entidad, pero cualquier entidad debe garantizar la seguridad (el cifrado) que ofrece MLS. Protocolos como Matrix soportan el cifrado de extremo a extremo y además la federación. Como puede pasar con cualquier sistema, este protocolo presenta ciertas limitaciones para la garantía plena de la privacidad. En su caso, principalmente por la cantidad de metadatos que requiere para establecer las comunicaciones.
Otra buena noticia es que proyectos como Matrix o Phoenix (involucrado en OpenMLS) están contribuyendo en el grupo de trabajo mimi en IETF. Y aunque este grupo no pretende ocuparse del procesamiento de metadatos, la última buena noticia es que, aún cuando hace tiempo se ha hablado de esto, actualmente en el Comité de Arquitectura de Internet (IAB por sus sigles en inglés), el órgano decisor dentro de IETF, se está desarrollando un documento sobre la minimización de datos como principio necesario para el respeto a la privacidad.
Si bien desde América Latina no es sencillo seguir, involucrarse ni mucho menos contribuir activamente en muchos de los procesos que se adelantan en cuerpos de estandarización como IETF, vale la pena saber que, también allí, hay personas comprometidas con la privacidad, la descentralización y, en últimas, la posibilidad de utilizar internet con cierta autonomía todavía.