¿Es Skype realmente seguro?

En teorí­a Skype nos permite conversar telefónicamente via internet de manera segura y cifrada, sin la posibilidad de que otros oigan nuestras conversaciones. Un artí­culo que aparece hoy en ZDNet, en referencia al blog de seguridad de Skype y unos comentarios respecto a la seguridad de Skype en el blog de Brad Templeton (Brad Ideas) y el de Waterloo Systems, parecen indicar lo contrario.

Skype usa un sistema propietario de PKI (español) que funciona de manera transparente. El usuario no tiene que instalar, configurar o activar nada. Al usar Skype, usamos comunicaciones cifradas. Pero ¿qué tan seguras son estas comunicaciones? Brad Templeton lo explica claramente al decir:

I think you can put a decent amount of confidence in Skype if your “threat model” is the script kiddie sniffing the wireless network at your Starbucks.

Traducción: Pienso que pueden confiar en Skype si su “amenaza” son los crackercillos husmeando el tráfico inalámbrico en el café de la esquina.

Muchos de mis amigos que usan Skype actualmente no lo hacen para evitar que estos crackers oigan sus conversaciones, sino porque piensan que el sistema de cifrado de Skype los protegerá de que el gobierno y sus espí­as las intercepten. ¿Es Skype seguro ante esta amenaza? Según el artí­culo de Brad Templeton, no.

You are a bit more subject to the “man in the middle attack” if somebody can make all your internet traffic go through them. But it turns out anybody who can do that usually has a lot of other ways to get at you, so this is not as much of a compromise as some people think.

Traducción: Serán más vulnerables a los “ataques tipo hombre-en-el-medio” si alguien puede hacer que todo su tráfico de internet pase a través de ellos. Pero cualquiera que pueda hacer eso por lo general tendrá muchas otras formas de alcanzarnos, así­ que no es tan peligroso como algunos piensan.

Skype utiliza cifrado AES-256 (español), pero implementado privadamente -por lo que no es posible auditar el sistema y saber que tan fuerte es ni que tan bien programado está. Si hubiera una falla en el sistema, alguien podrí­a interceptar nuestras comunicaciones y descifrarlas sin nuestro conocimiento, más aún si puede controlar el flujo de nuestra información a través de sus servidors. Todaví­a no creo que sea motivo de alarma, pero si de preocupación. Es hora de solicitar a Skype que publique su implementación… o de empezar a buscar un sistema alterno de comunicaciones privadas.

EDIT: De acuerdo a otro artí­culo en el blog de Skype, existe un reporte externo sobre la seguridad y el cifrado de Skype que concluye que la seguridad de Skype es buena. No he leí­do el reporte todaví­a, pero un artí­culo de Cory Doctorow en BoingBoing apunta a esta conversación en la cual algunos criptógrafos expresan su preocupación con el método escogido por Skype para proteger sus comunicaciones.