Confidencialidad en la transmisión,
empleo de la criptografía,
firma digital.

Dr. Antonio Núñez Reis
Especialista en Medicina Intensiva. Ingeniero Informático.
Hospital Fundación Alcorcón (Madrid)

Millones de personas utilizan hoy en día la red de redes, y eso supone un enorme tráfico de datos que circula por autopistas no del todo seguras. El viejo aforismo de "la información es poder" nunca tuvo más sentido que ahora mismo, y el concepto de seguridad informática cada día cobra más importancia.

Aunque la mayoría de los usuarios de Internet no están interesados en el espionaje, en fabricar virus malévolos ni son hackers, unos pocos son suficientes, y en este caso el problema es que "los malos solo tienen que ganar una vez" para hacernos un buen destrozo. ¡Ojo!, lo importante son los datos que podamos perder.

Un primer aspecto importante que debemos también tener en cuenta es el de los virus informáticos.

Para evitar que un fichero que recibimos por Internet (ya sea una página Web, un mensaje de correo o un documento que nos bajamos mediante FTP) pueda dañar nuestro ordenador o nuestros datos, debemos seguir algunas normas elementales, que se basan en el hecho de que solo los ficheros con contenido 'activo' pueden producir problemas.

Por ficheros con contenido activo entendemos aquellos que no solo contienen datos, sino también instrucciones que pueden ejecutarse automáticamente al abrir el documento, y por tanto tener acceso a nuestra memoria, disco duro, ficheros, configuración, etc.

Bueno, esto parece fácil, y lo era hasta hace poco, porque había una manera sencilla de distinguir los programas peligrosos:

• los programa ejecutables (con extensión *.exe ó *.com en Windows, por ejemplo) y
• los archivos de proceso por lotes (con extensión *.bat en Windows, por ejemplo)
ejecutaban instrucciones en nuestra máquina, con lo que eran peligrosos, y los archivos de texto, datos, etc, eran inofensivos.


Sin embargo, el progreso de la Ofimática y de Internet ha hecho aparecer nuevos formatos de documentos, hojas de cálculo, archivos de datos, imágenes, páginas Web y muchos otros que contienen, además de los datos, instrucciones que ejecutará el procesador de nuestra máquina al abrir el documento.

Aunque la idea original era facilitar la labor del usuario y proporcionarle nuevos recursos (por ejemplo, que al abrir un documento automáticamente se registre el acceso en un fichero de control), esto ha servido también para que aparezcan nuevos virus que utilizan esta vía para entrar en nuestros ordenadores.

Por tanto, es importante seguir las siguientes reglas:



• Si es posible, disponer de un antivirus actualizado cada poco tiempo (normalmente a través de Internet), ya que un antivirus no actualizable sirve para bien poco.
  
  
• Debemos configurar adecuadamente los aspectos de seguridad de los navegadores, clientes de correo, etc, para que nos avisen en caso de que aparezca algún contenido potencialmente peligroso (y luego hacer caso a sus avisos!!).
  
  
• No abrir documentos incluidos en mensajes de correo que nos envien personas o instituciones que no conocemos.
  
  
• Desconfiar de los programas y documentos que podemos bajar a través de la red, y no ejecutarlos si antes no les hemos pasado por el análisis correspondiente del antivirus.
  
  
• Al igual que debemos guardar periódicamente un fichero de texto a medida que lo vamos escribiendo por si se va la luz, debemos hacer copias periódicas (en disquete, CD rom, cinta u otro soporte secundario) de aquellos datos que consideremos importantes, por si, a pesar de todas nuestras medidas, ocurre algún drama electrónico.

Podemos dividir los aspectos de seguridad en Internet en cuatro grupos principales.

• En primer lugar, el secreto necesario para mantener la información "sensible" fuera de ojos no deseados.
  
  
• En segundo lugar, la autentificación, que supone saber a ciencia cierta que quien está al otro lado de la red es quien dice ser y está donde dice estar, antes de proporcionarle acceso a nuestra información y nuestros recursos.
  
  
• En tercer lugar, debemos tener la posibilidad de probar que alguien hizo algo en la red aunque ahora lo niegue. Por ejemplo, si un cliente compra electrónicamente una nevera y luego niega haberlo hecho, deben existir medios para probar el engaño.
  
  
• Por último, debemos estar seguros que los mensajes que recibimos no han sido modificados desde el lugar donde se originaron por un error del sistema o por una "mano negra".
  

Como los datos circulan por Internet a través de cientos de ordenadores, que pueden estar "pinchados" sin que esto pueda controlarse, el secreto de los datos solo puede garantizarse con sistemas de encriptación, esto es, convirtiendo los datos a una serie de bits que no tengan sentido para aquel que pueda leerlos, a no ser que tenga la(s) clave(s) y sepa como hacerlo.


La criptografía ha avanzado mucho en los últimos tiempos (criptografía de clave pública, algoritmo RSA, PGP, etc, son algunos de los adelantos en los que no nos vamos a extender), y hoy día permite enviar un mensaje con seguridad a través de la red aunque los "malos" puedan estarlo viendo pasar por delante de sus narices, y no podrán descrifarlo si no poseen la clave.


Sin embargo, la cosa se complica si tenemos en cuenta el segundo punto del que hablábamos: ¿cómo sabemos que quien nos envia el mensaje solicitándonos que le enviemos nuestros datos es quien dice ser?.

Para identificar a las personas a través de la red existen ya medios efectivos, fundamentalmente la famosa últimamente (por haberse aprobado su ley en España) firma digital o electrónica.

Existen organismos de certificación (en España, por ejemplo, la Fábrica Nacional de Moneda y Timbre) que emiten "certificados electrónicos" que permiten, mediante sistemas basados en criptografía, asegurarnos de que quien está al otro lado de la red es quien dice ser.

Ejemplo: supongamos que quiero hacer una compra a través de Internet.

En primer lugar, obtengo de uno de estos organismos un certificado reconocido (como los que permiten hoy en día realizar la declaración de la Renta por Internet), y usándolo junto a una herramienta segura de creación de firma digital, creo la signatura correspondiente, que a partir de ese momento se almacenará en mi PC.


Cuando voy a realizar la compra, mi navegador incluye automáticamente mi firma digital en el formulario de compra, y desencriptando el certificado, el vendedor puede asegurarse de que la operación es correcta y el usuario corresponde a quien dice ser.


Todo esto supone complicados sistemas de seguridad en el software que usamos (SSL, SET ó X509v3 son siglas que empezarán pronto a sonarnos), y también en el hardware (con sistemas de identificación basados en tarjetas inteligentes, reconocimiento de voz, etc).


Este tipo de soluciones también resuelve el tercer problema que indicábamos, o sea, probar que alguien hizo algo, ya que sólo él posee su certificado o su clave privada (aunque quedan algunos flecos todavía: siempre se podrá decir que nos robaron el ordenador, por ejemplo).


La criptografía también permite saber si el contenido de un mensaje ha sido modificado desde su emisión, solventando así el cuarto problema al que aludíamos.


Todo esto que hemos dicho se basa en un sistema seguro de claves, pero está demostrado que los agujeros de seguridad siempre vienen por donde menos nos lo esperamos. Alguien conoce nuestras claves, o nuestro navegador tiene un 'bug' (error de software) que le hace vulnerable a ataques del exterior, o un antiguo empleado nuestro quiere vengarse por haber sido despedido, etc.


Existe una ley en seguridad informática: ningún sistema es seguro si existe alguien con recursos suficientes y voluntad de violarlo. Simplemente, se trata de que los recursos necesarios para perjudicar nuestro sistema sean tan importantes que en la práctica no merezca la pena intentarlo.