Phil Zimmermann, PGP y el nacimiento del cifrado público para el correo

Por qué PGP importa más allá del correo

PGP (Pretty Good Privacy) fue un punto de inflexión: convirtió el cifrado fuerte en algo que la gente corriente podía usar, no solo gobiernos, bancos o laboratorios universitarios. Aunque nunca hayas cifrado un correo, PGP ayudó a normalizar la idea de que la privacidad no es un privilegio especial: es una función que el software puede y debe ofrecer.

Por qué el correo se convirtió en el campo de batalla

El correo fue (y sigue siendo) una de las formas más comunes de compartir información sensible: conversaciones personales, detalles legales, actualizaciones médicas, planes de negocio. Pero el correo temprano se diseñó más como una postal digital que como un sobre sellado. Los mensajes a menudo viajaban por múltiples sistemas y permanecían en servidores en forma legible; cualquiera con acceso a esos sistemas —o a las rutas de red entre ellos— podía potencialmente verlos o copiarlos.

PGP desafió ese statu quo al dar a las personas una forma de proteger mensajes de extremo a extremo, sin pedir permiso a los proveedores ni depender de una sola empresa que “haga lo correcto”. Ese cambio —poner el control en manos de los usuarios— resuena en los debates modernos sobre mensajería segura, cadenas de suministro de software y derechos digitales.

Qué cubrirá este artículo

Analizaremos la historia detrás de la decisión de Phil Zimmermann de publicar PGP, las ideas clave que lo hicieron funcionar, la controversia que desencadenó (incluida la presión gubernamental) y las lecciones a largo plazo para las herramientas de privacidad y seguridad de hoy.

Términos clave, en lenguaje llano

Cifrado: encriptar información para que solo alguien con el secreto adecuado pueda leerla.

Claves: los fragmentos de información usados para bloquear y desbloquear datos cifrados. Piénsalas como cerraduras digitales y llaves a juego.

Firmas: una forma de probar que un mensaje (o archivo) realmente vino de una persona específica y no fue alterado—similar a firmar un documento, pero verificable por software.

Esos conceptos impulsan más que el correo: sustentan la confianza, la autenticidad y la privacidad en gran parte de Internet moderno.

El correo antes de PGP: un problema de privacidad a la vista

A finales de los años 80 y principios de los 90, el correo se extendía desde universidades y laboratorios de investigación hacia empresas y redes públicas. Parecía enviar una carta privada: rápido, directo y mayormente invisible. Técnicamente, estaba más cerca de una postal.

Por qué el correo era inseguro por defecto

Los primeros sistemas de correo se construyeron pensando en la conveniencia y la fiabilidad, no en la confidencialidad. Los mensajes a menudo viajaban por múltiples servidores (“saltos”), y cada parada era una oportunidad de copia o inspección. Los administradores podían acceder a buzones almacenados, las copias de seguridad capturaban todo y reenviar un mensaje era trivial.

Incluso cuando confiabas en la persona a la que escribías, también confiabas en todas las máquinas intermedias—y en las políticas que gobernaban esas máquinas.

“Simplemente confía en la red” dejó de escalar

Cuando el correo vivía dentro de comunidades pequeñas, la confianza informal funcionaba. A medida que los sistemas crecieron e interconectaron, esa suposición se rompió. Más redes significaron más operadores, más errores de configuración, más infraestructura compartida y más posibilidades de que un mensaje quedara expuesto—por accidente o deliberadamente.

Esto no era solo cuestión de espías. Era sobre realidades ordinarias: equipos compartidos, cuentas comprometidas, empleados curiosos y mensajes guardados sin cifrar en discos durante años.

Un modelo de amenazas realista (no hacen falta villanos de película)

Antes de PGP, los riesgos comunes eran directos:

• Escucha: alguien leyendo mensajes en tránsito o desde buzones almacenados y copias de seguridad.
• Manipulación: alterar un mensaje antes de que llegue al destinatario, a veces de forma sutil.
• Suplantación: enviar correo que parece venir de otra persona, porque las verificaciones de identidad eran débiles.

En resumen, el correo ofrecía velocidad y alcance, pero poca protección para la privacidad o la autenticidad. PGP surgió como respuesta a esa brecha: hacer que “correo privado” significara algo concreto en lugar de esperanzador.

El objetivo de Phil Zimmermann: herramientas de privacidad para gente corriente

Phil Zimmermann era ingeniero de software y activista por la paz que se preocupaba por la velocidad con la que las comunicaciones personales podían ser monitorizadas. Su creencia central era simple: si gobiernos, empresas y criminales con recursos podían usar criptografía fuerte, la gente corriente también debía poder protegerse.

“La privacidad no es solo para los poderosos”

Zimmermann no presentó PGP como un gadget para espías o una función de lujo para grandes empresas. Vio la comunicación privada como parte de las libertades civiles básicas—especialmente para periodistas, disidentes, grupos de derechos humanos y cualquiera que viviera bajo la amenaza de la vigilancia. La idea era hacer la criptografía fuerte práctica para el uso diario, en lugar de algo cerrado tras accesos institucionales o herramientas empresariales costosas.

La accesibilidad importaba tanto como el algoritmo

El impacto de PGP no fue solo que usara criptografía fuerte: fue que la gente realmente podía conseguirlo.

A principios de los 90, muchas herramientas de seguridad eran propietarias, restringidas o simplemente difíciles de obtener. PGP se difundió porque se distribuía ampliamente y se copiaba con facilidad, mostrando cómo la distribución de software puede ser política: cuanto más fricción quitas, más normal se vuelve la conducta. Conforme PGP circuló por tablones de mensajes, servidores FTP y copias en disco, el cifrado dejó de ser un concepto académico abstracto y se convirtió en algo que las personas podían probar en sus propias máquinas.

Un resultado documentado: el cifrado se convirtió en una expectativa pública

La motivación declarada de Zimmermann—poner herramientas de privacidad en manos del público—ayudó a mover el cifrado de una capacidad de nicho a un derecho público disputado. Incluso entre quienes nunca usaron PGP directamente, el proyecto ayudó a normalizar la expectativa de que la comunicación privada debería ser técnicamente posible, no solo prometida por políticas.

Criptografía de clave pública, explicada sin matemáticas

La criptografía de clave pública suena técnica, pero la idea central es sencilla: resuelve el problema de “¿cómo compartimos un secreto sin ya tener un secreto?”.

Dos tipos de cerraduras: clave compartida vs clave pública

Cifrado simétrico es como tener una sola llave de casa que tú y un amigo usan. Es rápido y fuerte, pero hay un momento incómodo: tienes que hacer llegar la llave a tu amigo de forma segura. Si envías la llave en el mismo sobre que el mensaje, quien abra el sobre obtiene todo.

Cifrado de clave pública usa una analogía distinta: un candado que cualquiera puede cerrar, pero solo tú puedes abrir.

• Publicas el candado (tu clave pública).
• Cualquiera puede colocarlo en una caja (cifrar un mensaje para ti).
• Solo tú tienes la llave única que lo abre (tu clave privada).

Esto cambia el problema: no necesitas un canal seguro para repartir la parte que cierra.

Por qué compartir claves sigue siendo lo difícil

La criptografía de clave pública evita compartir un secreto por adelantado, pero introduce una nueva pregunta: ¿cómo sé que esa clave pública realmente pertenece a la persona que creo? Si un atacante te engaña para que uses su clave pública, cifrarás mensajes directamente para él.

Ese reto de verificación de identidad es por qué PGP también se centra en la verificación (más adelante, la “web de confianza”).

Cómo PGP combina ambos para velocidad y practicidad

PGP no suele cifrar correos extensos directamente con métodos de clave pública. En su lugar usa un enfoque híbrido:

1. PGP crea una clave de sesión simétrica de un solo uso (rápida).
2. Cifra el mensaje con esa clave de sesión.
3. Cifra la clave de sesión con la clave pública del destinatario (seguro para compartir).

Qué protege el cifrado — y qué no

PGP puede proteger el contenido y puede probar quién firmó un mensaje. Generalmente no oculta los metadatos del correo (como líneas de asunto en algunos casos, marcas temporales, destinatarios) y no puede defenderte si tu dispositivo o buzón ya está comprometido.

Cómo funciona PGP en la práctica: claves, cifrado y firmas

PGP parece misterioso hasta que lo descompones en tres ingredientes cotidianos: un par de claves, cifrado y firmas. Una vez ves cómo encajan esas piezas, gran parte de la “magia” pasa a ser rutinaria—como cerrar una carta, sellarla y firmar el sobre.

El par de claves: tu candado público y tu clave privada

Un par de claves PGP son dos claves relacionadas:

• Clave pública: segura para compartir. La gente la usa para cifrar mensajes para ti.
• Clave privada: se mantiene en secreto. La usas para descifrar esos mensajes y para crear firmas.

En términos de correo, tu clave pública es el candado que entregas; tu clave privada es la única llave que puede abrirlo.

Cifrado vs firmas: privacidad vs prueba

PGP hace dos trabajos distintos que es fácil confundir:

• Cifrado (confidencialidad) garantiza que solo el destinatario previsto pueda leer el contenido.
• Firmas digitales (autenticidad + integridad) prueban que el mensaje fue escrito por el poseedor de una clave privada específica y que no fue alterado en tránsito.

Puedes cifrar sin firmar (privado pero no fuertemente atribuible), firmar sin cifrar (público pero verificable), o hacer ambas cosas.

Tareas comunes: generar, compartir y revocar

La mayoría de los usuarios acaba haciendo un conjunto pequeño de tareas recurrentes:

• Generar un par de claves, idealmente protegido con una frase de paso fuerte.
• Compartir tu clave pública (a menudo vía un servidor de claves o como archivo adjunto) e importar las claves públicas de otros.
• Revocar claves cuando se pierde un dispositivo, una clave privada podría haberse expuesto o cambias a una nueva clave. La revocación es tu señal de “esta clave ya no soy yo”.

Modos típicos de fallo a vigilar

PGP suele fallar en la capa humana: claves privadas perdidas (no puedes descifrar correos antiguos), claves públicas no verificadas (cifras a un impostor) y frases de paso débiles (los atacantes adivinan tu clave privada). Las herramientas funcionan mejor cuando la verificación de claves y las copias de seguridad se tratan como parte del flujo de trabajo, no como una idea posterior.

La web de confianza: identidad descentralizada antes de las plataformas sociales

PGP no solo necesitaba una forma de cifrar mensajes: necesitaba una manera para que la gente supiera de quién era una clave. Si cifras un correo con la clave pública equivocada, puedes estar enviando secretos a un impostor.

El problema de identidad que intenta resolver

La “web de confianza” es la respuesta de PGP para la verificación de identidad sin una autoridad central. En lugar de depender de una empresa o proveedor gubernamental que respalde identidades, los usuarios se avalan entre sí. La confianza se construye mediante relaciones humanas: amigos, colegas, comunidades y encuentros presenciales.

Qué significa firmar la clave de otra persona

Cuando “firmas” la clave pública de otra persona, estás añadiendo tu aval digital de que la clave pertenece a esa persona (generalmente después de comprobar un documento de identidad y confirmar la huella de la clave). Esa firma no hace la clave segura para todo el mundo, pero proporciona a otros un punto de datos.

Si alguien confía en ti y ve que firmaste la clave de Alicia, puede decidir que la clave de Alicia probablemente sea auténtica. Con el tiempo, múltiples firmas superpuestas pueden crear confianza en la identidad de una clave.

Fortalezas — y por qué siguió siendo difícil

La ventaja es la descentralización: ningún guardián único puede revocar el acceso, emitir silenciosamente una clave de reemplazo o convertirse en un punto único de fallo.

La desventaja es la usabilidad y la fricción social. Las personas deben entender huellas digitales, servidores de claves, pasos de verificación y el acto real de comprobar identidades en el mundo real. Esa complejidad afecta los resultados de seguridad: cuando la verificación se siente incómoda, muchos la omiten —lo que reduce la web de confianza a “descargar una clave y esperar”, y debilita la promesa de comunicación segura.

Cuando el cifrado se volvió político: controles de exportación y presión

PGP no llegó en un ambiente neutral. A principios de los 90, el gobierno de EE. UU. trataba la criptografía fuerte como una tecnología estratégica—más cercana al equipo militar que al software de consumo. Eso significaba que el cifrado no era solo una característica técnica; era un problema de política.

Controles de exportación, en términos simples

En esa época, las normas de exportación de EE. UU. restringían el envío de ciertas herramientas criptográficas y “municiones” al extranjero. En la práctica, el software que usaba cifrado fuerte podía estar sujeto a licencias, límites en la potencia de las claves o barreras para su distribución internacional. Estas políticas se moldearon por supuestos de la era de la Guerra Fría: si los adversarios podían usar fácilmente cifrado fuerte, la recolección de inteligencia y las operaciones militares serían más difíciles.

Por qué el cifrado se enmarcó como un asunto de seguridad nacional

Desde la perspectiva de seguridad nacional, el acceso generalizado al cifrado fuerte planteaba una preocupación simple: podría reducir la capacidad del gobierno para monitorizar comunicaciones de objetivos extranjeros y criminales. Los legisladores temían que, una vez que el cifrado poderoso fuera ampliamente accesible, sería imposible “volver a meter al genio en la botella”.

Los defensores de la privacidad veían la misma realidad desde el ángulo opuesto: si las personas no podían proteger sus comunicaciones, la privacidad y la libertad de expresión seguirían siendo frágiles—especialmente a medida que más aspectos de la vida se trasladaban a computadoras en red.

Cómo PGP desafió el statu quo

El modelo de distribución de PGP chocó con esos controles. Estaba diseñado para usuarios comunes y se difundió rápidamente mediante el intercambio online—mirrors, tablones, y comunidades tempranas de Internet—lo que lo hacía difícil de tratar como un producto exportable tradicional. Al convertir el cifrado fuerte en software de amplia disponibilidad, PGP puso a prueba si las reglas antiguas podían gobernar código que podía copiarse y publicarse globalmente.

El resultado fue presión sobre desarrolladores y organizaciones: el cifrado dejó de ser un tema académico de nicho y se convirtió en un debate político público sobre quién debería tener acceso a las herramientas de privacidad—y bajo qué condiciones.

La investigación sobre PGP y el mensaje para los desarrolladores

PGP no solo introdujo el cifrado de correo al público: también provocó una investigación gubernamental que convirtió la publicación de software en noticia.

De qué trató la investigación (en términos simples)

A principios de los 90, EE. UU. trataba el cifrado fuerte como tecnología militar. Enviar ese software al extranjero podía entrar en las reglas de “exportación”. Cuando PGP se difundió rápidamente—reflejado en servidores y compartido entre fronteras—las autoridades abrieron una investigación criminal sobre si Phil Zimmermann había exportado ilegalmente cifrado.

El argumento básico de Zimmermann fue claro: había publicado software para gente común, no armas. Los partidarios también señalaron una realidad incómoda: una vez que el código está en línea, copiarlo es sencillo. La investigación no solo trataba de las intenciones de Zimmermann; trataba de si el gobierno podía impedir que poderosas herramientas de privacidad circularan.

La señal que envió a creadores de tecnología de privacidad

Para desarrolladores y empresas, el caso fue una advertencia: incluso si tu objetivo es la privacidad de los usuarios, podrías ser tratado como sospechoso. Ese mensaje importó porque moldeó el comportamiento. Los equipos que consideraban cifrado de extremo a extremo tuvieron que ponderar no solo el esfuerzo de ingeniería, sino la exposición legal, el riesgo comercial y la posible atención regulatoria.

Este es el problema del “efecto escalofriante”: cuando el costo de ser investigado es alto, la gente evita construir o publicar ciertas herramientas—aunque sean legales—porque la molestia e incertidumbre pueden ser punitivas.

Cómo la cobertura mediática moldeó la comprensión pública

La prensa a menudo enmarcó PGP como un escudo para criminales o como un salvavidas para las libertades civiles. Esa simplificación caló, e influyó en cómo se habló del cifrado durante décadas: como un intercambio entre privacidad y seguridad, en vez de una característica básica de seguridad que protege a todos (periodistas, empresas, activistas y usuarios comunes).

La investigación finalmente se cerró, pero la lección quedó: publicar código de cifrado podía convertirse en un acto político, quieras o no.

El debate moderno sobre privacidad: lo que PGP ayudó a encender

PGP no solo añadió una nueva característica de seguridad al correo: forzó un argumento público sobre si la comunicación privada debía ser normal para todos o reservada a casos especiales. Una vez que la gente corriente pudo cifrar mensajes en un ordenador personal, la privacidad dejó de ser un principio abstracto y se convirtió en una opción práctica.

Privacidad vs seguridad pública: la tensión central

Los defensores del cifrado fuerte sostienen que la privacidad es un derecho básico, no un privilegio. La vida cotidiana contiene detalles sensibles—problemas médicos, registros financieros, asuntos familiares y negociaciones de negocio—y la exposición puede provocar acoso, persecución, robo de identidad o censura. Desde esa perspectiva, el cifrado es más parecido a “puertas con llave” que a “túneles secretos”.

Las agencias de seguridad y policiales suelen responder con otra preocupación: cuando la comunicación es ininteligible, las investigaciones pueden ralentizarse o fracasar. Temen el fenómeno de “oscurecimiento” (“going dark”), donde los criminales pueden coordinarse fuera del alcance legal. Esa ansiedad no es imaginaria; el cifrado puede reducir la visibilidad.

El cifrado no implica intención criminal

PGP ayudó a clarificar una distinción clave: querer privacidad no es lo mismo que planear daño. La gente no necesita “probar inocencia” para merecer confidencialidad. El hecho de que algunos actores malos usen cifrado no hace al cifrado sospechoso—como que los criminales usen teléfonos no convierte a los teléfonos en inherentemente criminales.

Los valores por defecto son política

Una lección duradera de la era PGP es que las decisiones de diseño se vuelven decisiones políticas. Si el cifrado es difícil de usar, está oculto tras advertencias o se trata como algo avanzado, menos personas lo adoptarán—y más comunicaciones permanecerán expuestas por defecto. Si las opciones seguras son simples y normales, la privacidad se convierte en una expectativa cotidiana en vez de una excepción.

El impacto duradero de PGP en el código abierto y la integridad del software

PGP suele recordarse como “cifrado de correo”, pero su legado mayor puede ser cómo normalizó una idea simple en software: no solo descargues código—verifícalo. Al llevar las firmas criptográficas fuera del ámbito militar y académico, PGP ayudó a que los proyectos de código abierto desarrollaran hábitos que luego serían centrales para la seguridad de la cadena de suministro de software.

Firmas como contrato social

El código abierto funciona con confianza entre personas que quizá nunca se conocen. Las firmas PGP dieron a los mantenedores una forma práctica de decir “esta versión realmente vino de mí”, y dieron a los usuarios una forma de comprobar esa afirmación de manera independiente.

Ese patrón se difundió en flujos de trabajo cotidianos:

• Firmar lanzamientos (tarballs, zip, paquetes) para que los usuarios puedan verificar la autoría
• Verificar descargas para detectar manipulación en mirrors, servidores comprometidos o ataques man-in-the-middle
• Firmar etiquetas de commits y notas de lanzamiento para conectar la “identidad humana” de un mantenedor con una compilación específica

Si alguna vez has visto que un proyecto publica una firma .asc junto a una descarga, esa es la cultura PGP en acción.

Por qué la escrutinio público importó

PGP también reforzó algo que el código abierto ya valoraba: la revisión por pares. Cuando herramientas y formatos son públicos, más personas pueden inspeccionarlos, criticarlos y mejorarlos. Eso no garantiza perfección—pero eleva el coste de puertas traseras ocultas y hace más difícil mantener fallos en silencio.

Con el tiempo, esta mentalidad alimentó prácticas modernas como reproducible builds (para que otros confirmen que un binario coincide con su código fuente) y un pensamiento más formal sobre la “cadena de custodia”. Si quieres una introducción suave a ese problema más amplio, esto combina bien con /blog/software-supply-chain-basics.

Una nota práctica para desarrolladores modernos

Aunque construyas rápido usando flujos de trabajo nuevos—como plataformas que generan aplicaciones full-stack desde chat—sigues beneficiándote de la disciplina de la era PGP de lanzamientos verificables. Por ejemplo, equipos que usan Koder.ai para generar frontends en React con un backend en Go + PostgreSQL (y exportar el código fuente para sus propios pipelines) todavía pueden firmar etiquetas, firmar artefactos de lanzamiento y mantener una cadena de custodia clara desde “código generado” hasta “compilación desplegada”. La velocidad no tiene por qué implicar saltarse la integridad.

PGP no resolvió por sí solo la integridad del software, pero dio a los desarrolladores un mecanismo durable y portable—las firmas—que aún ancla muchos procesos de verificación y lanzamiento hoy.

Usabilidad vs seguridad: por qué PGP se mantuvo potente pero de nicho

PGP demostró que el cifrado fuerte de correo podía ponerse en manos de gente corriente. Pero “posible” y “fácil” son cosas distintas. El correo es un sistema con décadas construido para entrega abierta, y PGP añade seguridad como una capa opcional—una que los usuarios deben mantener activamente.

Por qué nunca se sintió sin esfuerzo

Para usar bien PGP, necesitas generar claves, proteger tu clave privada y asegurarte de que tus contactos tengan la clave pública correcta. Nada de eso es difícil para un especialista, pero es mucho pedir a alguien que solo quiere enviar un mensaje.

El correo además no tiene una noción incorporada de identidad verificada. Un nombre y una dirección no prueban quién controla una clave, así que los usuarios deben aprender hábitos nuevos: huellas, servidores de claves, certificados de revocación, fechas de expiración y entender lo que una “firma” realmente confirma.

Puntos de fricción en el mundo real

Incluso después de la configuración, eventos cotidianos crean fricción:

• Verificación de claves: comparar huellas en persona o por otro canal es seguro, pero requiere coordinación.
• Cambios de dispositivo: nuevo portátil, teléfono perdido o reinstalar un SO puede implicar migrar claves de forma segura—o perder acceso al correo cifrado antiguo.
• Carga de soporte: cuando algo falla (clave equivocada, expirada, falta de clave privada), no hay un botón de “restablecer contraseña”. Los amigos se convierten en mesas de ayuda.

Cómo la mensajería segura moderna cambió expectativas

Las apps de mensajería segura suelen ocultar la gestión de claves, sincronizando identidad entre dispositivos y advirtiendo a los usuarios cuando cambian las condiciones de seguridad (por ejemplo, cuando un contacto reinstala la app). Esa experiencia más fluida es posible porque la app controla todo el entorno—identidad, entrega y cifrado—mientras que el correo sigue siendo una federación suelta de proveedores y clientes.

Cómo son buenos los “valores por defecto”

Las herramientas respetuosas con la privacidad triunfan cuando minimizan decisiones que los usuarios deben tomar: cifrar por defecto cuando sea posible, ofrecer advertencias claras en lenguaje humano, brindar opciones de recuperación seguras y reducir la dependencia de manejo manual de claves—sin pretender que la verificación no importa.

PGP hoy: cuándo usarlo y cuándo elegir alternativas

PGP ya no es la respuesta por defecto para la comunicación privada—pero sigue resolviendo un problema específico mejor que la mayoría de las herramientas: enviar correo verificado y cifrado de extremo a extremo entre organizaciones sin necesidad de que ambas partes usen la misma plataforma.

Dónde PGP sigue encajando

PGP sigue siendo útil cuando el correo es inevitable y la trazabilidad a largo plazo importa.

• Periodistas y activistas: comunicarse con fuentes que no pueden instalar una nueva app, permitiendo cifrado y verificación de identidad.
• Flujos de cumplimiento: intercambiar documentos sensibles con socios por correo en entornos regulados donde importan las auditorías y la propiedad de claves.
• Archivos y registros: cifrar archivos para almacenamiento de años, cuando necesitas probar quién firmó un mensaje o documento.

Cuándo pueden ser mejores otras opciones

Si tu objetivo es chat privado simple y sin fricciones, PGP puede ser la herramienta equivocada.

• Mensajería segura (por ejemplo, sistemas al estilo Signal) suelen ofrecer instalación más fácil, verificación de contactos y valores por defecto más seguros.
• Portales seguros suelen ser mejores para empresas que envían documentos a clientes: menos errores de gestión de claves y controles de acceso más claros.

Si evaluas opciones para un equipo, ayuda comparar el esfuerzo operativo y la carga de soporte junto al coste (ver /pricing) y repasar tus expectativas de seguridad (/security).

Checklist sencillo para adoptar PGP responsablemente

Los fallos con PGP suelen ser fallos de proceso. Antes de desplegarlo, confirma que tienes:

1. Formación: conceptos básicos (público vs privado, verificar huellas, firmar vs cifrar).
2. Políticas: cuándo se exige cifrado, cómo se aprueban claves y cómo manejar accesos perdidos.
3. Copias y recuperación: respaldos protegidos de claves, propiedad clara y plan para salidas de personal.
4. Higiene de claves: fechas de expiración, reglas de rotación y certificados de revocación guardados con seguridad.
5. Práctica de verificación: una forma consistente de confirmar identidades (no solo “recibí tu clave en un correo”).

Usado con cuidado, PGP sigue siendo una herramienta práctica—especialmente cuando el correo es el denominador común y la autenticidad importa tanto como el secreto.