Diego Berrueta Muñoz (diego_ARROBA_berrueta.net) - Miembro de AsturLinux
Octubre 2.001
A raíz de los atentados del día 11 de Septiembre y las investigaciones posteriores, la intimidad y seguridad de las comunicaciones a través de Internet ha cobrado protagonismo. Algunas fuentes han indicado (y posteriormente desmentido) que los terroristas usaron criptografía para coordinarse a través del correo electrónico, y posteriormente, los medios de comunicación han terminado por establecer la asociación entre criptografía y terrorismo.
Este artículo pretende separar estos conceptos, exponiendo el estado actual de las comunicaciones a través de la red, y la necesidad de usar criptografía (u otros medios) para aumentar la seguridad e intimidad de las comunicaciones, especialmente ahora, cuando parece que las libertades individuales están amenzadas por los servicios de inteligencia, sin olvidarse del espionaje industrial.
Millones de personas usan diariamente el correo electrónico. Sin embargo, la inmensa mayoría desconoce que sus mensajes pueden ser leídos, modificados o incluso falsificados fácilmente, y si que en ello intervengan los piratas informáticos.
El ejemplo más sencillo de la inseguridad del correo electrónico es la falsificación del remitente. Cualquier usuario puede enviar mensajes en nombre de otra persona, sin el conocimiento de ésta. No se requiere ningún tipo de conocimiento avanzado, ni ningún programa sofisticado.
Las razones de este fallo del sistema se deben a la forma en la que fue diseñado, y sobre todo, en el propósito para el que fue concebido (muy alejado del uso masivo que ha obtenido en el último lustro). Cuando el correo electrónico nació, hace 30 años, las redes informáticas apenas existían y todavía faltaba una década para que apareciesen los ordenadores personales y, de esta forma, se produjese el acercamiento de la informática a la sociedad. El correo electrónico apareció como un mecanismo para la comunicación en ámbitos universitarios y científicos muy restringidos.
El posibilidad de falsificar el remitente de un mensaje convierte al correo electrónico en una herramienta inútil para muchas actividades comerciales o administrativas. Por poner un ejemplo, cualquier día nuestro jefe puede recibir nuestra carta de despido, sin nuestro conocimiento.
Otro ejemplo de falsificación de remitente lo constituyen las nuevas generaciones de virus informáticos que se transmiten a través del correo electrónico. Estos virus, una vez infectado el ordenador del usuario, se reenvían a los conocidos del usuario sin que éste pueda percatarse. En este caso, no ha sido una persona sino un programa maligno el que ha falsificado el remitente.
Los mensajes de correo electrónico atraviesan múltiples ordenadores desde su origen hasta su destino. La transmisión se produce de forma abierta, es decir, sin ningún tipo de cifrado, y por tanto, el mensaje puede ser interceptado (e incluso modificado) en cualquiera de estos ordenadores, o en las líneas de comunicaciones. Al llegar a su destino, el mensaje se almacena en un servidor, a la espera de que el usuario lo borre. Muchos de estos servidores, debido en parte a su popularidad, son víctimas de frecuentes ataques informáticos que comprometen su seguridad. En otros casos, los servidores colaboran con los servicios de inteligencia, abriendo sus puertas para que las agencias de espionaje consulten nuestros mensajes. En resumen, la situación es similar (incluso peor) al envío de postales sin sobre por correo convencional. La intimidad de nuestras comunicaciones puede ser violada sin que lo percibamos, creando así una falsa impresión de seguridad.
La situación se complica con la popularización de las actividades de comercio electrónico o gestiones administrativas a través de la red. En muchos casos, tras realizar estas actividades, se nos envia un mensaje conteniendo una factura o un conjunto de datos personales, siempre delicados, por correo electrónico.
La criptografía es una técnica ya veterana, fundamentada en las matemáticas, y cuya aplicación permite dotar de seguridad e intimidad a nuestras comunicaciones. En el ámbito del correo electrónico, la aplicación criptográfica más conocida es PGP (siglas de Pretty Good Privacy), aunque existen versiones. Por razones oscuras, algunos paises consideran peligrosa la criptografía, incluso ponen trabas a su exportación por considerarla dentro del ámbito militar (por ejemplo, uno de estos paises es Estados Unidos). En Europa, en cambio, la criptografía está bien considerada, por ejemplo, la Unión Europea recomienda a los ciudadanos que la utilicen, y Alemania aporta fondos públicos para desarrollar una aplicación criptográfica alternativa al PGP, libre de limitaciones a la exportación y de posibles conflictos de patentes. Esta aplicación, que el autor usa y recomienda, se llama GnuPG.
Con el empleo de herramientas como GnuPG, se consigue superar los problemas enunciados, es decir, se garantiza:
Además, el uso de la criptografía presenta más ventajas, y tiene aplicaciones al margen de las comunicaciones personales, como son la posibilidad de actualizar programas informáticos (especialmente, los antivirus) a través de la red y de forma segura, el incremento de la seguridad en el comercio electrónico y las gestiones administrativas o incluso el voto electrónico.
Recientemente ha tenido lugar en Asturias el primer intercambio de claves entre usuarios de sistemas criptográficos, organizado por la AsturLinux, una asociación asturiana que promueve el uso de Linux y el software libre. Esta actividad ha sido pionera en nuestra comunidad, y ha estado abierta a todos los que, de este modo, han querido acercase y conocer la criptografía, y dotar así de seguridad a sus comunicaciones.
This document was generated using the LaTeX2HTML translator Version 2002-2-1 (1.70)
Copyright © 1993, 1994, 1995, 1996,
Nikos Drakos,
Computer Based Learning Unit, University of Leeds.
Copyright © 1997, 1998, 1999,
Ross Moore,
Mathematics Department, Macquarie University, Sydney.
The command line arguments were:
latex2html -split 0 criptografia.tex
The translation was initiated by Diego Berrueta on 2004-10-14