Para proteger la privacidad, el servicio en línea Discord ahora cifra ciertas formas de intercambio de mensajes de un extremo a otro.
Para que sólo el remitente y el destinatario puedan escuchar y ver el contenido de los chats de audio y vídeo realizados a través de Discord, el servicio en línea introduce ahora el cifrado de extremo a extremo (E2EE). Para ello, los desarrolladores han creado el protocolo «Discord Audio & Video End-to-End Encryption» (DAVE).
Según la empresa, 200 millones de usuarios en todo el mundo utilizan el servicio en línea para intercambiar información sobre una amplia gama de temas, como juegos de ordenador, a través de chat de audio, texto y vídeo. Como se puede ver en un mensaje de Discord , el E2EE se presentará de inmediato. Los mensajes de texto permanecen sin cifrar para fines de moderación. En una publicación, los desarrolladores explican cómo saber si E2EE está activo.
Fondo
El cifrado de extremo a extremo correctamente implementado garantiza que sólo el remitente y el receptor puedan descifrar el contenido y, por tanto, escuchar o ver sonidos e imágenes. Esto significa que ni siquiera el proveedor de un servicio, en este caso Discord, puede escuchar. Para que esto sea así, las claves privadas se almacenan, entre otras cosas, localmente. E2EE tiene como objetivo principal proteger la privacidad.
Para hacer justicia a esto, el código de cifrado no debe ser una caja negra en la que los proveedores instalen puertas traseras. En consecuencia, los desarrolladores de Discord han publicado el documento técnico de DAVE y el código de la biblioteca libdave en Github.
Control de Seguridad
Los desarrolladores también hicieron que DAVE fuera revisado por el proveedor de servicios de seguridad TI Trail of Bits como parte de una auditoría de seguridad antes de la puesta en servicio. Los investigadores de seguridad han descubierto varias vulnerabilidades en el protocolo que, entre otras cosas, pueden romper el cifrado. Por ejemplo, se rompió el cifrado del contenido codificado con AV1. Los investigadores afirman que los problemas de seguridad ya se han resuelto.
También examinaron el código en busca de puntos de partida para los ataques y encontraron lo que buscaban en algunos lugares. Estas vulnerabilidades ahora también se han cerrado.
