Guillem Alsina Gonzàlez
Cloudflare anuncia la adición de capacidad de encriptación de extremo a extremo y la liberación del código fuente de dicha funcionalidad, a Orange Meets, su solución de videoconferencia alojada en servidores propios, y que utiliza el estándar WebRTC para su funcionamiento. Con esta actualización, el servicio pasa a ofrecer garantías criptográficas integrales para quienes deseen experimentar o desarrollar soluciones de comunicaciones seguras.
La nueva capa de seguridad se basa en el estándar Messaging Layer Security (MLS), implementado en Rust y ejecutado por completo en el navegador. MLS es un protocolo aprobado por el IETF para el intercambio de claves en grupos: genera y renueva de forma continua una clave común que protege la conversación, aporta secreto directo (las claves se renuevan constantemente) y seguridad tras una posible intrusión (las conversaciones antiguas permanecen protegidas aunque un dispositivo se vea comprometido).
La transmisión de audio y vídeo se efectúa mediante WebRTC, por lo que los servidores de Cloudflare —o su componente de reenvío SFU— actúan solo como intermediarios de paquetes y no acceden al contenido.
Diversas opciones y herramientas de seguridad
Para gestionar la entrada y salida de los participantes, la compañía ha ideado el Designated Committer Algorithm: cada vez que alguien se une o abandona la llamada, un miembro designado actualiza la clave del grupo sin intervención del servidor, y si ese usuario se desconecta, el algoritmo elige automáticamente un sustituto.
Un número de seguridad visible en pantalla permite a los participantes verificar la sesión y evitar ataques de intermediario; basta con contrastar esa cadena por un canal externo, como un mensaje o una llamada de voz. Además, la compañía ha verificado formalmente el protocolo con la herramienta TLA+ para detectar fallos en escenarios límite, añadiendo un nivel de rigurosidad poco habitual en productos todavía en fase de pruebas.
Orange Meets es un escaparate técnico, no un competidor directo de Zoom o Teams. Carece de muchas funciones propias de los servicios comerciales y todavía no ha pasado auditorías exhaustivas, por lo que Cloudflare lo orienta a desarrolladores interesados en la integración de MLS, a investigadores de seguridad y a entusiastas que deseen evaluar nuevas aproximaciones al cifrado en comunicaciones de vídeo en grupo.
El servicio puede probarse desde el navegador o desplegarse de forma autónoma a partir del repositorio abierto, lo que facilita su uso en prototipos internos o laboratorios de investigación sin necesidad de instalación previa.
