Después de que las revelaciones del año pasado sobre la vigilancia en internet llevada a cabo por Estados Unidos despertaran el interés por las herramientas de privacidad, tanto Google como Yahoo anunciaron que estaban trabajando en software para permitir que los usuarios de sus servicios de correo electrónico intercambiasen fácilmente mensajes encriptados.

Ahora, un prototipo de extensión de navegador llamado ShadowCrypt, creado por investigadores de la Universidad de California en Berkeley y la Universidad de Maryland (ambas EEUU), va un paso más allá. Facilita el envío y recepción de texto encriptado en Twitter, Facebook o cualquier otro sitio web.

Al usar ShadowCrypt, quien escribe el texto o está autorizado para leer un tuit o correo, ve un texto normal. El operador del sitio o cualquiera que esté viendo o interceptando el mensaje verá un embrollo de letras y números.

ShadowCrypt se creó para demostrar que un fuerte encriptado puede ser a la vez sencillo de usar y compatible con servicios populares como Twitter, afirma el ingeniero de seguridad de Dropbox Devdatte Akhawe, quien ayudó a desarrollar ShadowCrypt cuando era estudiante en Berkeley. "Queríamos demostrar cómo se puede hacer un mecanismo práctico y rápido que sea fácil de usar", afirma. Akhawe y sus compañeros probaron ShadowCrypt en 17 de los principales servicios web; funcionó prácticamente sin fallos en 14, entre ellos Facebook, Twitter y Gmail.

El software PGP, lanzado por primera vez en 1991 probablemente sea el software más conocido para encriptar mensajes, pero tiene fama de ser difícil de dominar. En general, las herramientas existentes para encriptar mensajes exigen cambiar a un nuevo servicio, como Silent Circle (ver "Una aplicación para alejar a los espías de nuestro iPhone"), o son muy burdas.

Para usar ShadowCrypt primero instalas la extensión y después creas claves de encriptado para cada sitio web con el que quieras usarlo. Un pequeño icono de un candado que aparece en la esquina de cada cajetín de texto es la única indicación de que ShadowCrypt está ocultando la versión encriptada que se enviará cuando le des al botón de "enviar" o "publicar".

Otros pueden leer el texto si les proporcionas la clave de encriptado que has usado para crearlo, ellos la añaden a sus propios ajustes de ShadowCrypt. Tras haberlo hecho, cualquier texto que vean que esté encriptado con esa clave aparece como texto normal.

Por ejemplo, el tuit que sigue lo puede leer cualquiera que se haya instalado ShadowCrypt porque se cifró usando la clave por defecto de la extensión para Twitter.com. Se pueden crear múltiples claves para un mismo sitio y es fácil escoger entre ellas. Podrías querer usar una distinta para cada persona a la que quieras enviar correos seguros, por ejemplo.

ShadowCrypt aún no es más que un proyecto de investigación, pero el investigador independiente en criptografía Justin Troutman afirma que su diseño demuestra que es un nuevo método útil para la seguridad en línea.

Y explica que lo es porque ofrece una forma de que la gente se haga con el control de los datos que colocan en un servicio web. Es más frecuente que se sólo preste atención a proteger los datos cuando viajan desde y hasta los servidores de los proveedores. "Es un paso hacia la construcción de una superficie más benigna para interactuar con aplicaciones web", afirma Troutman.

Esta semana, en la Conferencia ACM sobre Seguridad Informática y de Comunicaciones se presenta un artículo sobre ShadowCrypt, cuyo código es abierto.