Entrevista a Jorge Ramió, experto en criptografía y seguridad de la información
En esta entrevista para netfocus, Jorge Ramió, experto en criptografía, comenta el momento actual y las tendencias en materia de seguridad de la información.
Ramió es coordinador de la Red Temática Iberoamericana de Criptografía y Seguridad de la Información CriptoRed y Director de la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI, y profesor de Seguridad y Criptografía en la UPM.
Recientemente se celebraba en Barcelona la novena edición del RECSI (Reunión Española sobre Criptología y Seguridad de la Información). ¿Cuál es la principal conclusión que ha podido extraer del evento?
A pesar del amplio abanico de temas presentados en las ponencias, algo por lo demás característico en seguridad de la información debido a su carácter multidisciplinar, tal y como se esperaba uno de los temas que más debate incitó fue la de identificación, en sus vertientes documento nacional de identidad electrónico y sistemas de identificación por radiofrecuencia. Sí se echa en falta, y esto es algo que se viene arrastrando desde hace años, un mayor peso en propuestas innovadoras en gestión y análisis de riesgo, por ejemplo.
No obstante, tal vez la conclusión más interesante que se puede extraer de esta novena edición, es que los grupos de investigación en España han aumentando y ampliado su horizonte, tanto en temática como en alcances internacionales. Sin tomar en cuenta aquellos profesionales y expertos de la seguridad informática en la empresa, industria y organismos del Estado que también investigan, estamos hablando que en España dentro de las universidades y centros de investigación existe un grupo superior a los 300 expertos, en su mayoría doctores, participando en decenas de proyectos de investigación.
Un valor muy alto y que viene a poner de manifiesto el espectacular desarrollo que ha experimentado en nuestro país esta especialidad en los últimos 10 años.
Uno de los hitos acontecidos en 2006, en cuanto a desarrollo de la Sociedad de la Información, ha sido la distribución entre la población de los primeros DNI Electrónicos. La extensión de un certificado y una firma digital al conjunto de la ciudadanía mediante el nuevo eDNI, ¿qué repercusiones puede tener a su juicio en el ámbito de la seguridad de la información?
La entrega de un DNI electrónico a la población es un hito importante dentro de la llamada Sociedad de la Información, que nos pone además a la vanguardia tecnológica en este ámbito. Hay que recordar que a finales de 2006 se habían expedido ya 100.000 DNI electrónicos y se espera que en 2007 esa cifra llegue a los 4 millones.
Es cierto que permitirá una identificación más fuerte y tendrá importantes ventajas para operaciones en línea, pero también es menester reconocer que ha sido una apuesta de la administración con poco o nada de consenso desde sus inicios; basta darse una vuelta por portales como Hispasec, Kriptópolis, Asociación de Usuarios de Internet o la Asociación de Internautas para comprobar que este tema ha despertado mucha polémica y que el eDNI, tal y como se está llevando, tiene un gran número de detractores.
Los tres aspectos negativos, en los que se centran todas las miradas, son el no apostar por un diseño público, la insuficiente información y debate previos, insalvables desde el punto de vista del proyecto pues éste nace con tal filosofía, y luego el uso de algoritmos que supuestamente estarán en entredicho en los próximos años. ¿Cómo reaccionará un ciudadano con escasos conocimientos de seguridad, y mucho menos de criptografía, cuando lea una noticia en el periódico en la que se comente la debilidad de los algoritmos que están en su documento de identidad y que han sucumbido ante un ataque? No hace falta ser adivino para sospechar que algo así –que evidentemente es posible se produzca antes de 10 años- hará que su confianza en el sistema desaparezca.
Dejando de lado el peliagudo tema de las funciones hash, que pasados ya dos años desde aquellos primeros ataques en serio a MD5 hoy se han generalizado a toda esa familia poniendo incluso en serio riesgo a SHA-1 y sigue sin haber una respuesta en forma de estándar mundial, siempre está en el aire la pregunta de porqué no se eligió para el eDNI curvas elípticas en vez de RSA, cuando todas las investigaciones apuntan a que será el nuevo estándar en cifrado de clave pública.
Todas estas cuestiones invitan a muchos hacia la desconfianza. Y si no hay confianza, por mucho que tengamos medidas y normas de seguridad e incluso las apliquemos, es imposible dar ese paso definitivo que nos hace falta para que el comercio, la banca, la administración y otros servicios electrónicos tengan ese futuro prometedor que por lo visto está aún por llegar.
¿Cuáles cree usted que pueden ser las tendencias futuras con respecto a las tecnologías y dispositivos de identificación, teniendo en cuenta las variables de coste, seguridad, despliegue, ubicuidad…?
Los sistemas de identificación por radiofrecuencia conocidos como RFID, en especial debido a sus características de ubicuidad, se pondrán definitivamente de moda en este año 2007 y darán mucho que hablar. Las aplicaciones de esta tecnología son amplísimas, el coste es bajo y está demostrado los beneficios que pueden conseguirse con su uso.
En este año 2007 veremos el nacimiento en Madrid del billete de metro electrónico basado en RFID, algo que lleva implantado por ejemplo en el metro de Santiago de Chile desde 2003 y con excelentes resultados. Y así, podríamos encontrar infinidad de ejemplos en que este nuevo sistema de identificación optimiza operaciones en la industria, permite una trazabilidad total de un producto, nos hace la vida más cómoda por ejemplo usándolo en el peaje en autopistas o podemos recuperar a nuestra mascota perdida o robada porque tenía un chip implantado bajo la piel.
No obstante y como sucede en todo orden de cosas, se ha dado el salto hacia el ser humano. Estados Unidos, España y México, por nombrar sólo a tres, son países en los que ya se ha implantado este sistema de identificación bajo la piel de un ser humano, si bien con objetivos distintos: seguimiento de pacientes de un hospital, un Club para identificar a sus clientes VIP y la policía para el seguimiento en caso de secuestro, respectivamente.
Muchos ven una mano “orwelliana” en todo esto y no sin razón. Se puede implantar un chip en cualquier sitio u objeto con la característica de que sea totalmente invisible al ojo humano, por ejemplo en el etiquetado de una camisa y llegar a saber luego dónde hemos estado cada vez que hayamos usado esa camisa. Sería un ejemplo de la propiedad de trazabilidad del producto, que en este caso en particular no resulta tan sencillo dado que lo normal son alcances de lectura del chip de sólo algunos centímetros, si bien es posible bajo ciertas circunstancias lecturas desde más 10 metros.
Y no hay que olvidar la tendencia de la computación hacia la ubicuidad. Lo mismo si se oculta el chip en la pintura de un automóvil o, más aún, en el nuevo pasaporte electrónico español. Es el gran dilema de hasta dónde pueden llegar las medidas de seguridad sin que ello conlleve un ataque flagrante a la privacidad e intimidad del ser humano.
En resumen, una tecnología apasionante con mucho futuro pero que simultáneamente abrirá puertas insospechadas. Posiblemente este 2007 será un año de nuevos descubrimientos, noticias y no pocas sorpresas en RFID.
España, según los últimos estudios, es el tercer país del mundo que más ataques de phishing sufre. ¿Cree que las organizaciones más sensibles a estas amenazas, como las entidades financieras, están realizando los esfuerzos necesarios para paliar este fenómeno?
Es verdad, sólo por detrás de Estados Unidos y Gran Bretaña. Pero lo más importante –y preocupante- es que si bien en 2005 se detectan cerca de 300 casos de phising, en 2006 según indica el segundo informe sobre este fenómeno en España este valor se incrementa hasta llegar a 1.200 en cifras redondas, un crecimiento impresionante del 300%.
Una posible -y terrible- lectura que se podría hacer sobre estos valores, es que el crimen organizado haya caído en cuenta que España es un paraíso fiscal en este sentido, que existe impunidad y que, de una u otra forma al final este tipo de delito tiene su recompensa económica y es rentable. Recuerdo una frase sarcástica, y no por ello genial, expresada por el profesor Jeimy Cano de la Universidad de Los Andes, Colombia, en su conferencia presentada en el Día Internacional de la Seguridad de la Información DISI 2006, organizado por la Cátedra UPM Applus+ que dirijo, y celebrado el 30 de noviembre en Madrid: “ellos -el crimen- sí están organizados, nosotros no”. Es cierto que existen grupos de trabajo ya formados y en plena actividad analizando estos tipos de ataques; no obstante, sería bueno que las entidades afectadas reflexionaran sobre esta frase.
¿Es el correo electrónico la herramienta de Internet en la que más se tendría que potenciar los aspectos relacionados con la seguridad de la información para evitar amenazas como, precisamente, la del phishing?
Resulta evidente que en la actualidad el correo electrónico y sus derivados como el chat y la mensajería instantánea, son uno de los principales focos de infección por malware. Si además no tenemos una adecuada política de protección en nuestro sistema ante estos ataques, esto nos puede acarrear más de algún disgusto.
Creo sin embargo que lo más importante es la concienciación del usuario final; lo que siempre se dice –y es verdad-, que el último eslabón de la seguridad informática y el más débil es siempre un ser humano. El uso de Internet y sus herramientas de comunicación ha sido tan explosivo en los últimos años que la sociedad no ha tenido tiempo de culturizarse de forma adecuada en este sentido.
Se sabe cómo funciona algo pero no se va más allá, no hace falta saber nada más pues el resultado está a la vista, funciona y si no es así se vuelve a arrancar y a empezar de nuevo. Es la filosofía del “plug and play” y luego Dios proveerá. Algo que al menos a nivel personal creo que aplicamos varias veces en nuestro contacto con la tecnología.
Hace 20 años, antes de encender y conectar un equipo informático, lo lógico era leer antes el manual, de ahí la célebre cita RTFM (lee el maldito manual) ante una duda, hoy no. No digo con ello que debamos volver a aquellos tiempos, pero no vendría mal traer al entorno Windows, que se quiera o no es el más extendido a nivel de usuario final, las formas de actuar por ejemplo en el mundo linux.
¿Cuáles cree usted que son los aspectos técnicos que pueden ayudar de manera determinante a mitigar fenómenos como el spam y el phishing?
No tiene una respuesta fácil. El spam, aunque esté tipificado como delito y existan varios casos de spamers multados y en algunos casos condenados con cárcel, lo cierto es que su seguimiento es bastante complejo y es casi un problema con el cual deberíamos aprender a convivir.
Podemos poner filtros en nuestro servidor y en nuestro cliente y con ello eliminar una gran mayoría de correo basura o no deseado, pero siempre cabe la posibilidad de que filtremos como no deseado un correo que no tenga esa connotación. Una solución es que una vez filtrados aquellos mensajes que sabemos son spam porque así están definidos en las políticas del filtro, dejar los correos dudosos en cuarentena y verlos de vez en cuando, añadiendo por tanto nuevas entradas al filtro.
Internet es un mundo abierto y en este momento perfectamente me podría estar llegando un correo de alguien que no conozco que desea consultarme o proponerme algo, independientemente que el texto esté en español, inglés u otro idioma: ¿cómo sé que eso es o no spam? Es decir, hay herramientas apropiadas en el mercado que minimizan de forma efectiva este problema –todo a costa de recursos y al final de dinero, la seguridad no es gratuita- pero ninguna puede asegurarnos una eficiencia del 100%.
En cuanto al phising, el problema es muchísimo peor. Si en el año 2004 los usuarios comenzamos a recibir correos con una redacción desastrosa e innumerables erratas, que incluso nos provocaban momentos de verdadera hilaridad, en sólo dos años a finales de 2006 hemos sido testigos de ataques tremendamente sofisticados, copias perfectas de servidores, certificados digitales que se comprueban con una supuesta interactividad entre cliente y servidor, keyloggers de pantalla, etc.
A la vista de lo comentado en una pregunta anterior, el año 2007 nos traerá con toda seguridad nuevos ataques de phising muy difíciles de detectar. Es decir, técnicamente se están dando pasos ante estos fenómenos pero no son suficientes. Opino que una herramienta eficaz sería aumentar de forma significativa las penas de cárcel para estos delitos, de manera que ya no sea tan rentable ser un ciberdelincuente; pero ya se sabe que las leyes van siempre por detrás de los acontecimientos por lo que desgraciadamente esto no deja de ser una quimera.
¿En qué situaciones o ámbitos recomendaría que toda la información transmitida electrónicamente entre dos actores fuera cifrada?
No es necesario o al menos no recomendable para nuestra salud mental caer en este tipo de paranoias. Podemos pensar que todo lo que nos intercambiamos a través de Internet se está recolectando... y es así, es verdad que existe la red Echelon... pero de ahí a cifrar todos nuestros correos creo sería caer precisamente en esa paranoia.
Pero aquí hay que saber diferenciar los ámbitos de trabajo. Cifrar todo mi correo personal no tendría sentido, algunos mensajes tal vez sí, pero si trabajo por poner un ejemplo en el Ministerio de Defensa y uso mi cuenta de correo corporativa, posiblemente sí sería lógico que muchos de mis mensajes fueses cifrados y firmados. Y aquí entramos en un terreno cuyo debate estará siempre abierto: ¿nos interesa más la confidencialidad –secreto- de la información o su autenticidad e integridad?
Como lo definen las denominadas políticas de seguridad, dependiendo del entorno en que nos movamos primará una más que la otra. Aunque ambas tienen importancia, si hubiese que elegir entre las dos en el mundo de Internet y las redes, hoy me inclinaría por la de autenticidad e integridad a través de certificados digitales e infraestructuras de clave pública.
¿Son los usuarios particulares los más expuestos a ataques relacionados con la seguridad de la información o bien quienes corren mayores riesgos son las organizaciones o colectivos?
Existe un crimen organizado que se está lucrando y mucho con los ataques y vulnerabilidades de las redes en general. Responsables del Tesoro Público de Estados Unidos reconocían a finales del año 2005 que los delitos en Internet habían superado los ingresos de delitos clásico como la venta ilegal de armas o el narcotráfico. Por tanto, en primera instancia me inclinaría a decir que quienes están más expuestos a ataques serán las grandes organizaciones y colectivos dado que el objeto de delito puede ser más provechoso.
Pero por otra parte, los delincuentes saben que ante el robo de cantidades moderadas es muy posible que sea el banco quien responda ante su cliente, y así el delito en cierta forma pase desapercibido. Se trataría de una nueva variedad del típico y antiguo ataque tipo salami, pero en este caso con mayores beneficios dada la amplitud del espectro que se ataca.
Las amenazas relacionadas con la seguridad de la información en medios electrónicos han ido evolucionando en estos últimos años. Si en un principio los ataques buscaban principalmente notoriedad, de un tiempo a esta parte se centran casi exclusivamente en la consecución de un beneficio económico. ¿Cree que esta tendencia puede mantenerse?
Más que mantenerse, todo indica que irá en aumento. Debemos olvidarnos un poco de aquel perfil algo cándido de hacker, un inconformista con el sistema y siempre en búsqueda de nuevos desafíos –esa frase en plan Robin Hood con la cual se definían como la conciencia de la red- aunque sus movimientos estén muchas veces al borde de la legalidad o incluso en ocasiones sobrepasen esa delgada línea que la separa del delito.
El crimen organizado en Internet, sea éste cibercrimen o ciberterrorismo, tienen en sus redes delictivas verdaderos hackers; es más, incluso les pagan su educación superior. El perfil de este individuo, por el mismo tipo de banda criminal al que nos estamos refiriendo, dista mucho de aquel otro. Será alguien que jamás podrá conseguir notoriedad, y si lo hace se expone a la ley de ajustes de cuentas que rige en estos grupos. Es un círculo cerrado y mafioso, y esto dificulta aún más poder seguir sus pasos, infiltrar a la policía y otras medidas clásicas para enfrentarse al crimen.
Es más, asistimos en 2006 a la venta de malware diseñado a medida contra alguna empresa o sistema en particular, a la subasta de programas maliciosos, incluso a la venta de redes zombis completas con las cuales se pueden cometer fechorías. Todo esto es un problema que la policía a nivel mundial están padeciendo en los últimos años y que la única solución la encontramos en una estrecha colaboración internacional y la necesidad de una formación al más alto nivel científico para su personal.
¿Cómo cree que puede impactar en la criptografía actual la aparición de los ordenadores cuánticos?
Por la nebulosa que le rodea y la posibilidad de sumirnos en un mundo de ciencia ficción, éste es un tema que genera mucha polémica. Hay evidencia y se puede comprobar por los resultados publicados en congresos e Internet que se han logrado interesantes desarrollos científicos relativos a la computación cuántica con decenas de bits y que ello podría significar un verdadero crack en el mundo de la criptografía.
De existir aparatos con esas características pero trabajando con centenares o miles de bits, traería como consecuencia inmediata que toda la seguridad criptográfica que hoy conocemos se quedaría en papel mojado. Para hacer un símil elemental e infantil, es como decir que mi clave privada es segura porque su número (el 2.501) es el producto de dos números primos que nadie conoce... en pocos segundos el lector sabrá que esos dos números son el 41 y el 61. Actualmente y con los sistemas computacionales existentes, intentar factorizar un número de 320 dígitos (los 1.024 bits utilizados por RSA) en sus dos primos cada uno de 160 dígitos, es una tarea computacionalmente imposible; es decir, en media tardaríamos miles de millones de veces la edad del universo en encontrar tales números, contando con cientos de miles de ordenadores conectados a Internet y trabajando en paralelo. Pero con un computador cuántico eso mismo podría hacerse en un tiempo muy pequeño.
De todas maneras, no nos engañemos, la seguridad actual es sólo probabilística: alguien puede dar con la clave privada del Banco de España en un segundo, algo tan “simple” como acertar un número de unos 320 dígitos, que sería la clave privada del certificado digital de esa entidad... pero esa probabilidad es tan pequeña que confiamos en la seguridad del sistema.
Los computadores cuánticos, además, permitirían algo que se ha venido buscando en criptografía desde sus inicios: que la fortaleza de un algoritmo sea matemáticamente segura y no sólo computacionalmente segura. Pero ¿aceptarían los Estados que existiese esa seguridad y privacidad total con el actual panorama de delitos en la red, redes de pedofilia, ataques terroristas, etc.? Es más, ¿a nadie le llama la atención que un algoritmo tan fuerte y seguro como es el estándar AES tenga su código fuente en Internet en decenas de lenguajes, que bandas criminales lo puedan estar utilizando con claves superiores a los 256 bits, incluso modificando algo su código -si bien eso no es aconsejable- y creando así un “nuevo algoritmo” supuestamente desconocido... y nadie se rasgue las vestiduras? Demasiadas preguntas.
Desde la Administración se estima necesario incrementar la denominada “e-Confianza” para fomentar el uso de las TIC. ¿Considera que la criptología debería ser el eje principal sobre el que se articularan las acciones en esta dirección?
Precisamente ése ha sido el lema del congreso que la Cátedra UPM Applus+ celebró en noviembre de 2006: "Construyendo la Sociedad del Conocimiento desde la Confianza". Como decía, si no hay confianza un sistema no puede prosperar, y si lo logra será tras superar muchas dificultades. Enfocar esa confianza sólo en los algoritmos criptográficos sería una equivocación, por mucho que me guste la criptografía.
La seguridad informática es mucho más que criptografía; es gestión, auditoría, normativas, legislación, análisis de riesgos, protección de redes, protocolos, protección de datos personales, sistemas de identificación, metodologías, hardware, ... y personas. Y al final, todo suele romperse por el punto más débil, el ser humano. Opino que la e-confianza se alcanza solamente si todos estos apartados se llevan a buen puerto, en especial el factor humano, la concienciación.
¿Le gustaría realizar algún comentario más?
Sólo agradeceros la posibilidad que me dais para opinar sobre estos temas tan polémicos y controvertidos; seguramente muchos lectores no estarán de acuerdo con mis opiniones pero eso es bueno; la seguridad de la información es un debate abierto y todas las opiniones tienen su valor, nadie puede ser tan iluso de creer que sus apreciaciones son las únicas correctas.
Además, me gustaría repetir algo que he comentado en varias conferencias: en seguridad informática el enemigo siempre estará al acecho y posiblemente un paso por delante de nosotros; no hay que bajar nunca la guardia y la mejor manera es cuidando la formación de especialistas y entregando una información adecuada al usuario.
Fuente: http://www.netfocus.es/es/EMPRESA/SALA_DE_PRENSA/ENTREVISTA_CRIPTOGRAFIA_Y_SEGURIDAD_DE_LA_INFORMACION/
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!