 |
|
|
 Hablar con Jorge Ramió Aguirre es una experiencia inquietante. Este experto en criptología, Doctor Ingeniero de Telecomunicación y profesor de la Universidad Politécnica de Madrid tiene un tono calmado y pauso. Sin embargo, sobre la base de datos y certezas científicas, plantea agudas advertencias sobre la realidad que viviremos en unos años más en términos de la seguridad informática. Dialogamos con él de estos temas y de las principales tendencias que ya se vislumbran en el horizonte.
Jorge Ramió Aguirre:
Dentro de 20 años los actuales esquemas de seguridad en Internet podrían quedar obsoletos
Bandas del crimen organizado realizando diversidad de delitos informáticos en la red, nuevas tecnologías emergentes como la computación cuántica, que en nada se parecerá a nuestro actual concepto de computador o laptop y que cambiarán los paradigmas de la criptografía actual, forzando mayores niveles de protección de la información. Pareciera ser el guión de una película de ciencia ficción, pero no lo es. Con toda seguridad, se trata de uno de los grandes problemas a ser abordados en profundidad por los estados en los próximos años. Es la mirada futura de la seguridad informática de Jorge Ramió Aguirre, experto en criptología; Doctor Ingeniero de Telecomunicación y profesor de la Universidad Politécnica de Madrid; y relator invitado del Diploma en Seguridad Informática de la Facultad de Economía y Negocios de la Universidad de Chile.
Desde siempre la criptografía ha estado envuelta en un manto de misterio que hace volar la imaginación. Nace 5 siglos AC en el pueblo griego de los lacedemonios. Allí se usaba un artilugio conocido como escítala, basado en un bastón en el que se enrollaba una cinta de cuero donde se escribía el mensaje en forma longitudinal. Hoy se recuerda el poder que emanaba de dicho sistema de cifra, entregando el bastón de mando al alcalde electo en la ceremonia de posesión. La cifra se utiliza posteriormente en tiempos de Julio César y en otras etapas de nuestra civilización, siendo trascendental su uso durante la Primera y Segunda Guerra Mundial. Pero es en la década de los 70 cuando se produce un cambio radical que modifica todas las estructuras y conceptos de la cifra.
Así lo relata Jorge Ramió Aguirre, experto en criptología y Doctor Ingeniero de Telecomunicación de la Universidad Politécnica de Madrid, quien visitó recientemente Chile en el marco de su participación en el Diploma en Seguridad Informática de la Facultad de Economía y Negocios de la Universidad de Chile: “En los últimos 30 años se comenzó a usar la criptografía no sólo para proteger información de los pueblos, como algo secreto, de carácter militar y del mundo del espionaje, sino también en transacciones comerciales, para proteger datos, asegurar su integridad y autentificar al emisor”.
¿En los años 70 se produce una suerte de democratización de la criptografía, pero sigue manteniendo su esencia?
Se podría decir que sí. Básicamente, sigue manteniendo su esencia , que es tratar de ocultar información a aquellas personas no autorizadas, es decir mantener la confidencialidad o secreto. Pero a partir del año 76, es decir tan sólo 30 años atrás, nace un nuevo tipo de cifra conocida como criptografía de clave pública, que no solamente soluciona el problema de la confidencialidad en el intercambio de claves entre dos interlocutores, sino también el problema de la autenticidad: que tú entres a una página web y antes de pagar con tu tarjeta de crédito sepas que esa página es de un gran almacén y no es una pirata, por ejemplo. La criptografía sirve no sólo para mantener el secreto de la información, si ésta debe tener ese carácter confidencial, sino también para autentificar a los usuarios y para demostrar que algo es íntegro, que no ha sido modificado por terceros.
¿Este concepto de la democratización de la criptografía nace también por el surgimiento de Internet?
Así es. Antes de la explosión del uso de Internet, la información estaba circunscrita a espacios cerrados, guardada y gestionada en redes de área local y en algunos casos incluso en equipos aislados. Entonces las amenazas eran menores y no existía la necesidad, por ejemplo, de autentificar la información recibida, tener la certeza de que procede efectivamente de quien dice ser y que además es íntegra, no ha sido modificada.
Al ser Internet un espacio abierto y sin grandes reglas hace que la duda -y por ende la desconfianza- esté presente. ¿Es cierto que al otro extremo está la persona que dice estar o no? La única solución a este problema es el uso de un sistema de autentificación fuerte, por ejemplo, mediante la firma digital y los certificados digitales, una especie de documento de identificación avalado, en este caso, por una Autoridad de Certificación. Para todo esto hay que utilizar la criptografía y las llamadas infraestructuras de clave pública.
¿Cómo ha sido el desarrollo de la criptografía a nivel mundial? ¿Países como Estados Unidos tienen un mayor desarrollo?
Aquí podríamos hacer varias lecturas. Desde el punto de vista de la investigación en criptografía, la tarea es encontrar nuevos sistemas y esquemas de cifra, conocidos en forma genérica como algoritmos y protocolos. Hay países con gran desarrollo como Estados Unidos, Canadá, China, Japón y algunos de Europa, entre otros; pero más que naciones, en esta línea de la investigación criptográfica se habla de un grupo reducido de investigadores, menos de un centenar, mundialmente conocidos y reconocidos, que son quienes proponen esos nuevos algoritmos e impulsan los nuevos estándares.
Desde otro apartado, por ejemplo el de la aplicación de esta tecnología, es claro que la usamos todos. Sin darnos cuenta estamos haciendo uso de forma habitual de la criptografía en aquellas comunicaciones seguras en Internet, como cuando accedemos a ver nuestro estado de cuenta en un banco o realizamos una compra online, entre otras acciones.
Hay, además, algunos países en los que a la par con este gran auge de la criptografía, se ha desarrollado una legislación en seguridad muy exigente. Es el caso de la Comunidad Europea y dentro de ella, España. En cambio, en muchos países de Latinoamérica, ese desarrollo de la seguridad informática no se ha producido de una forma tan significativa porque, entre otras cosas, es posible que haga falta un conjunto de leyes básicas de seguridad informática.
MARCO LEGAL
En España existe la Ley Orgánica de Protección de Datos, LOPD, que aunque es del año 1999 comienza a entrar en vigor en 2002. Ésta presenta un conjunto de medidas orientadas a la gestión de la seguridad. Por ejemplo, si una persona se percata de que un dato suyo de carácter personal se ha perdido y lo conoce otra persona o entidad que no debe conocerlo, puede plantear la correspondiente denuncia a la Agencia Española de Protección de Datos. En el caso que se demuestre negligencia o malas prácticas en la custodia de ese dato por parte de quien lo tiene, las multas llegan hasta los 60 mil Euros, 300 mil Euros y 600 mil Euros, en función del nivel de protección que dicho dato requería.
Estamos hablando de multas de casi un millón de dólares y que han afectado a muchas empresas españolas, aunque no siempre con montos tan elevados. Esto ha significado un cambio radical en la forma de entender la seguridad informática: las empresas y organismos que antes apostaban por una inversión mínima en seguridad, hoy destinan cantidades muy superiores, porque saben que ese dinero tiene un retorno. Es preferible invertir 10.000 dólares en formar profesionales y tener los sistemas protegidos que pagar una multa de un millón de dólares. Además está la imagen corporativa que les interesa mantener como un elemento más de marketing.
Podríamos decir que este tipo de leyes de obligado cumplimiento y consensuadas por diversos países, se ha convertido en el motor principal del desarrollo de la seguridad informática en Europa.
El marco regulatorio está impulsando a la industria, pero ¿de qué situaciones surge la necesidad de una ley?
Desde hace bastantes años atrás en diversos países de la Comunidad Europea existía una preocupación respecto de la protección de los datos de carácter personal. Se habla de privacidad de dichos datos más que de intimidad y honor personal. Este concepto implica que tú eres el propietario de datos que nadie más que tú y la persona o entidad en quien delegues debe conocer y que puede utilizar sólo para ciertas funciones predeterminadas.
Por ejemplo, si aceptas un contrato para que te envíen información de automóviles, posiblemente esa empresa te solicite algunos datos de carácter particular y pueda definir que te gustan los automóviles de gama alta, preferentemente de un color, que tus ingresos económicos están dentro de un rango especificado, que tienes otras aficiones, que practicas algún deporte y cuál es tu teléfono de contacto. Esos datos podrían definir de forma muy precisa cómo es esa persona y cuál es el perfil económico de la familia y, por lo tanto, tener mucho valor para el marketing de otras empresas. No podemos aceptar entonces que dichos datos sean transferidos a un tercero sin nuestro consentimiento por escrito.
Por desgracia sabemos que esto se da y con demasiada frecuencia en nuestros días. Sin embargo, hay leyes, como en este caso la española, en las que este comportamiento se tipifica como una falta que acarrea sanciones económicas, en algunos casos muy cuantiosas.
Aunque existe la ley, en la práctica no se cumple. De ahí me surge una consulta ¿Qué impacto tiene en la empresa el adecuarse a esta legislación?
Obviamente hay un impacto económico. En Europa, Estados Unidos y otros países con gran desarrollo, las empresas e instituciones se han dado cuenta que hay que cumplir esas leyes para evitar multas. Además, les interesa desde el punto de vista del marketing y prestigio cumplir con un conjunto de estándares o normas internacionales, como pueden ser las normas ISO de seguridad.
La implantación, seguimiento y cumplimiento de estas leyes, ha significado un cambio espectacular en esas naciones, que tarde o temprano llegará a Latinoamérica. La firma de Tratados de Libre Comercio con países con una legislación que proteja con fuerza los datos de carácter personal y un seguimiento estricto, hará que los latinoamericanos deban adaptarse a ese nivel de exigencia.
Esto no resulta fácil porque la legislación en los temas de la llamada Sociedad de la Información es muy lenta. Incluso en España, donde se persiguen diversos delitos informáticos como el spam, hay lagunas legales. Así, mafias internacionales están reorientando su negocio hacia Internet porque, además de ser muy lucrativo, el delito puede quedar impune por falta de leyes o jurisprudencia.
Podríamos decir que la imagen estereotipada del hacker como aquel joven con pocos amigos, con algunas latas de refresco, restos de pizza y hamburguesa en su escritorio, ejecutando comandos en su PC con el objeto de introducirse en un sistema ajeno, comienza a perder fuerza para dar paso a otro perfil más preocupante: el de un experto en redes e informática que trabaja para el crimen organizado y cuyas hazañas, por lo tanto, no son comentadas en ninguno de los eventos que tradicionalmente los reúnen, lo que hace muy difícil su seguimiento policial.
DESARROLLO ACTUAL
¿Y desde el punto de vista académico, cuál es el panorama a nivel mundial?
Las enseñanzas de esta ciencia están muy desarrolladas en países como España, por poner un ejemplo que conozco personalmente. Hay cerca de 80 asignaturas relacionadas con la informática, ofertadas en la totalidad de las universidades y más de 250 docentes e investigadores trabajando en esa línea. En algunos países de Latinoamérica dicha oferta es casi anecdótica. En Chile, a pesar de su crecimiento y liderazgo en el Cono Sur, la oferta de este tipo de asignaturas en las universidades es muy pequeña, aunque existen destacados investigadores, muchos de ellos con un reconocido prestigio internacional, como es el caso de esta misma casa de estudios superiores.
¿Qué está marcando la pauta en la criptografía de hoy?
En este momento hay una especie de estándar de facto que sigue funcionando en Internet; sistemas de cifra y otras funciones específicas como los denominados hash o resúmenes, que incluso no siendo óptimos permanecen como estándar. Es poco gratificante decirlo, pero desde ese año 1976, en que dos investigadores norteamericanos proponen un nuevo sistema de cifra, no ha sucedido nada semejante. Pareciera que la única solución es una huída hacia delante aumentando el tamaño de las claves, algo que obviamente no puede hacerse de forma indefinida porque degradaría los tiempos de transferencia en Internet.
No obstante, hay estudios muy serios sobre computación cuántica. Se está trabajando mucho en este tema, pero son desarrollos de muy alto costo que realizan grandes potencias. En este momento existen prototipos trabajando con 10 bits, un tamaño aún excesivamente pequeño, pero con impresionantes resultados que cambian todos los paradigmas de la computación. Si estos desarrollos permitiesen en un futuro no muy lejano construir un computador cuántico trabajando con centenas o miles de bits, no sería aventurado decir que toda la seguridad actual de Internet en ese momento quedaría por los suelos.
Aunque dicha seguridad hoy se basa en probabilidades y lo aceptamos, saber que todos los algoritmos con los que funciona actualmente el sistema bancario en Internet a nivel mundial en unos 20 años podría ser papel mojado por el desarrollo de la computación cuántica, es cuanto menos preocupante. Más aún, sabiendo que los delitos en Internet están superando ya los ingresos de otras infracciones tan rentables y típicas como el tráfico de drogas, según palabras de responsables del tesoro público de los Estados Unidos, tampoco sería muy descabellado pensar en organizaciones criminales o de otra índole que intenten aprovechar esta nueva tecnología para fines delictivos. Con toda seguridad podría ser un problema bastante grave.
No menor…
No en absoluto, es algo que preocupa a muchos gobiernos y a las fuerzas del orden, que podrían verse desbordados..
|
| | | |
|
|
Menú Newsletter Anteriores |
|
|
|
Newsletter 2006 
