José Manuel Gómez, editor de Kriptópolis
En esta entrevista a Netfocus, José Manuel Gómez, editor de Kriptópolis, uno de los sitios web de referencia en temas de criptografía y seguridad informática, nos ofrece un punto de vista más próximo al usuario en cuestiones relacionadas con este ámbito que, cada día, está cobrando una mayor relevancia como consecuencia del desarrollo de la Sociedad de la Información y del Conocimiento.
¿Cree usted que cada vez somos más conscientes de la necesidad de proteger adecuadamente los datos que enviamos de manera electrónica?
En entornos empresariales probablemente sí, pero mucho me temo que el usuario común de la Red, hablando siempre en términos generales, no es consciente en absoluto. Y lo que es peor: me temo que cada día es menos consciente. De otro modo no se explica la escasez de mensajes cifrados que recibe un observatorio tan privilegiado a ese respecto como podría ser el propio buzón electrónico de Kriptópolis.
Por supuesto no resulta preciso cifrar todo el correo, pero todo el mundo parece haber olvidado la metáfora básica ("el correo electrónico no es una carta, sino en todo caso una postal"). Cualquier mensaje conteniendo información relativamente sensible (es decir, que no nos gustaría ver publicada en el periódico de mañana) debería ser cifrada. Y ello no sólo por el propio mecanismo de funcionamiento (almacenaje y reenvío), ni por el temor -casi siempre injustificado- a que sea interceptado por algún intruso, sino por la relativa frecuencia con que nos equivocamos de destinatario, o incluimos una copia a alguien por error.
Pero es que existen más detalles preocupantes: falta de precaución a la hora de proporcionar datos confidenciales, deficiente política de elección y manejo de contraseñas personales, etc. En mi opinión, el sustrato común a todo ello es la poca formación e información proporcionada sobre un medio bastante novedoso pero que cada día, y afortunadamente, utilizan más personas.
¿Cómo valora que, a pesar de los esfuerzos a nivel tecnológico y divulgativo que se están realizando, cada vez sean más sofisticados, abundantes y diversos los ataques orientados a la suplantación de identidad, como en el caso del phishing?
Se trata de la consecuencia lógica de lo que afirmaba antes. Un nuevo territorio, repleto de usuarios desinformados, a la fuerza ha de resultar atractivo para todo tipo de farsantes, delincuentes y sinvergüenzas. Lamentablemente la información proporcionada por los grandes medios generalistas tiende a exagerar sobremanera los aspectos más llamativos y tremendistas de los delitos electrónicos. Como consecuencia, no se fomenta desde esos medios una confianza informada, sino que lo único que se induce es el miedo, desaprovechando así una excelente oportunidad de fomentar conductas apropiadas y proporcionar a los usuarios buenas guías de ruta.
¿La solución para erradicar estas amenazas pasa por endurecer los castigos a los ciberdelincuentes?
En absoluto. No encuentro una sola razón por la que un delincuente que opera en la Red deba ser castigado con mayor dureza que quien comete idéntico delito en la calle. Las estafas son tan estafas en la Red como en la calle.
¿Cree que el actual marco normativo es el adecuado para seguir avanzando con confianza dentro de la Sociedad de la Información?
Vaya por delante que no sé hasta qué punto ha de corresponder al marco normativo un papel fundamental a la hora de fomentar la confianza. Lo que sí sé es que la LSSICE, que en su día se nos presentó como un gran avance en materia de seguridad y confianza, ha resultado -como bastantes preveíamos- completamente estéril en ambos aspectos. Tampoco ha acabado con un problema de tan amplio calado como el spam, que -en mi opinión, bastante ingenuamente- también pretendía resolver.
Y es que la confianza no se instaura por decreto. Es la sociedad en su conjunto (comenzando por los medios de información, la administración, el comercio, los educadores...) la que necesita comprender la utilidad de la Red (en lugar de criminalizarla) y asimilar algunos principios básicos sobre su uso (en vez de considerarlos complicados y ajenos). Jamás ha surgido la confianza a partir del desconocimiento ni del miedo, y en la Red no va a ser diferente.
¿Cuáles son los temas de mayor actualidad en temas de criptografía que se están debatiendo actualmente en los foros de Kriptópolis?
Ahora mismo está bastante animado el debate en torno a la criptografía cuántica, que a medida que se acerca la posibilidad de un uso práctico va perdiendo su aura de invencibilidad, y a la que algunos ya están empezando a plantearle desafíos. Se trata de un principio general: por muy perfectas que resulten las soluciones al plantearlas sobre un papel, sus implementaciones concretas siempre introducen deficiencias, que tarde o temprano acaban siendo explotadas.
La facilidad de uso es uno de los aspectos más importantes para que una solución sea exitosa. ¿Considera que las soluciones de firma electrónica cumplen en este aspecto?
No dudo que se haya avanzado en esa dirección, pero la simplificación de una tecnología tan compleja acaba teniendo también un límite, que no siempre es fácil encontrar. En mi opinión es bueno facilitar el uso... mientras no introduzcamos por ello nuevas vulnerabilidades.
Pondré un ejemplo. Desde el punto de vista de la facilidad de uso, resulta sin duda muy cómodo que todos los miembros de una unidad familiar (o de un departamento de una empresa) que hayan de realizar firmas digitales puedan almacenar sus certificados en un mismo contenedor. Sin embargo, si por defectos del propio protocolo o de su implementación, ocurre que sólo con disponer de la contraseña compartida del depósito de certificados un marido puede utilizar el certificado de su mujer para realizar cualquier gestión en su nombre, podemos estar ante un grave problema. Y no se trata de un ejemplo utópico, sino de un problema concreto, que existe y está publicado, pero que a nadie parece preocupar.
¿Para usted que sería más importante: la confidencialidad de la información transmitida por medios electrónicos o la garantía de su autenticidad e integridad?
Afortunadamente en muchos casos no es necesario elegir, al tratarse de dos efectos de una misma tecnología causal. En otros casos, sin embargo, serán las diferentes aplicaciones, y los contextos en que éstas se utilicen, quienes determinen si una de esas funcionalidades nos puede interesar más que la otra.
Por ejemplo; un usuario que compra por Internet querrá estar seguro de que el sitio web es quien dice ser, pero también considerará imprescindible que los datos de su tarjeta de crédito viajen cifrados. Sin embargo es muy probable que el vendedor prefiera otro protocolo distinto, que a él le permitiera identificar perfectamente al comprador para así evitar un posterior repudio de la operación.
Pero si su pregunta se refiere a qué considero yo más importante, debo decirle que para mis necesidades concretas no necesito priorizar ninguna, puesto que un software libre -como GnuPG- me proporciona toda la confidencialidad, autenticidad e integridad que necesito. Pero le diré aún más: si tuviera que elegir, preferiría salvaguardar la confidencialidad de mis eventuales correos sensibles.
Es inevitable, si hablamos de identidad y seguridad digital, referirse a un proyecto como el del DNI Digital. ¿Qué es lo que más le atrae del nuevo DNI? ¿Y lo que menos?
Lo más positivo que puedo encontrarle al DNI Digital es que sea capaz de promover cierto interés general por las cuestiones criptográficas, que quizás pudiera intensificar la demanda de información al respecto. Sin embargo, en una cuestión tan fundamental como la identificación de los ciudadanos, echo de menos algunas cosas. Desde luego hubiera sido deseable un amplio debate social y una mayor información y transparencia.
Tampoco me parece tranquilizador que en primera instancia sólo soportara el DNI electrónico determinado sistema operativo propietario. Es cierto que con posterioridad se ha hecho algún esfuerzo para favorecer su soporte desde sistemas operativos libres, pero a día de hoy éste continúa siendo insuficiente.
Por otro lado, me preocupa no saber si existen planes de contingencia ante una más que previsible ruptura a corto o medio plazo de los algoritmos utilizados. Es un problema interesante, por cuanto a la firma digital se la presupone una vigencia mucho más amplia que la estimada ya por muchos expertos para los propios algoritmos criptográficos que la implementan.
¿Piensa que es seguro para un usuario con conocimientos mínimos en seguridad en Internet hacer uso de los certificados digitales que contiene su DNI Electrónico?
Ese debería ser uno de los aspectos más preocupantes de todo el proyecto. ¿Se han definido antes esos conocimientos mínimos? ¿Acaso se ha preocupado alguien de proporcionarlos? ¿Qué porcentaje de ciudadanos dispone de ellos? Sin embargo el DNI digital se va a suministrar a todos y cada uno, a los que sabrán utilizarlo (cabe suponer que una minoría) y a los que no. Además el DNI electrónico se acabará solicitando y utilizando en entornos muy diversos. ¿En cuáles es seguro su uso y en cuáles no? ¿Cómo gestionará un usuario su PIN? ¿Cómo reaccionará un usuario común ante previsibles intentos de phishing o frente a la presencia de sniffers, keyloggers, troyanos, etc.? ¿Es consciente el usuario medio de que una operación realizada mediante su DNI electrónico puede comprometerle de por vida y resultar además irrefutable? Por último: si un sitio fraudulento exige introducir DNI y PIN para acceder, ¿cuántos usuarios aceptarán sin rechistar?
¿Es más peligroso para un ciudadano perder el anterior DNI o el nuevo electrónico?
Es otro peligro adicional. La pérdida del DNI tradicional requeriría la falsificación de la firma manuscrita para poder realizar gestiones fraudulentas de cierta envergadura. La pérdida de una tarjeta bancaria podría vaciar tu cuenta con mucha mayor facilidad, puesto que pocos comercios se molestan en verificar la firma. Pero la pérdida -o el robo- del DNI electrónico podrá suponer que un delincuente pueda realizar operaciones que comprometan gravemente tu vida o tu patrimonio con el único obstáculo de un PIN. Sabiendo cómo se eligen y gestionan los números secretos, ¿no es para preocuparse?
¿Cuándo cree que veremos funcionando el DNIe en Internet con plenas garantías de uso para acciones más o menos usuales como contratar un seguro o pedir un préstamo?
Espero sinceramente que eso no ocurra antes de que una amplia parte de la ciudadanía sea mejor informada sobre el poderoso instrumento que transportará en su cartera. A la vista de nuestro actual nivel de formación en nuevas tecnologías y del incesante crecimiento de diversas formas de delincuencia que explotan precisamente el desconocimiento de los usuarios, lamento mostrarme poco partidario de que las actividades que puedan comprometer nuestra vida y hacienda puedan ser realizadas por la Red, al menos -insisto- antes de que se haya realizado un esfuerzo adecuado de formación e información al respecto.
¿Las ventajas de realizar operaciones utilizando medios electrónicos son superiores a sus posibles inconvenientes? ¿Es más seguro facilitar los datos de nuestra tarjeta de crédito en Internet que entregarla en un establecimiento para que nos carguen el importe de la compra?
Son dos preguntas distintas. A la primera respondería que no puedo ser taxativo, pero me parece que estamos ante otra expresión del delicado equilibrio entre facilidad de uso y seguridad. Sin duda, resultaría mucho más cómodo para todos poder realizar muchas operaciones por vía electrónica. El problema es que el medio sobre el que debemos hacerlo resulta intrínsecamente inseguro, porque nunca fue concebido para eso sino para el intercambio confiado y fluido de información de tipo científico y académico. Por eso, quien quiera avanzar demasiado deprisa en ese terreno habrá de enfrentar sin duda grandes dificultades y sobresaltos.
Respecto a la segunda cuestión... Hace tiempo que compro por Internet y jamás he tenido problema alguno, si bien tampoco he sufrido fraudes en la "vida real". Lo políticamente correcto sería responder que nuestra tarjeta puede correr más peligro al pagar la comida en un restaurante que al comprar en Internet. Sin embargo yo no estoy tan seguro de eso. Si bien puede existir un delincuente en el restaurante de la esquina, me preocuparía mucho más topar con un estafador que regentara una tienda on-line taiwanesa, por poner un ejemplo, porque mis posibilidades de denunciarlo -y las de las autoridades de perseguirlo- iban a ser mucho más limitadas. Por otro lado, la compra electrónica pudiera resultar técnicamente segura, pero no serlo sin embargo el posterior almacenaje de mis datos en el sitio de destino.
¿Le gustaría añadir algún comentario más?
Espero que mi visión aporte un punto de vista diferente, que pueda resultar de interés para los lectores.
Entrevista original de Netfocus en:
http://www.netfocus.es/es/EMPRESA/SALA_DE_PRENSA/ENTREVISTA_KRIPTOPOLIS/
No hay comentarios.:
Publicar un comentario