Seguinos

Glosario actualizado el

¿Existe la seguridad absoluta?

¿Existe la seguridad absoluta?La contestación es tajante: NO. Un sistema es indescifrable hasta que alguien lo descifra y tira para abajo las estadísticas correspondientes. Las claves de 512 bits eran impenetrables hasta que un grupo de aficionados de Internet las quebraron utilizando el tiempo muerto de sus ordenadores. Es importante resaltar que no fue un departamento de superordenadores ultrasecretos de algún gobierno todopoderoso el que rompió la clave, sino personas como nosotros que se bajaron un cliente de Internet.
Asimismo, está siempre la cuestión de la seguridad y privacidad de nuestros datos, con las búsquedas, gustos, etc. que los smartphones, tablets y demás dispositivos nos permiten sacar provecho y en el cuál no se está exento de algún inconveniente. Por ejemplo, siendo más contemporáneos, como se explica ese fallo que les paso a los usuarios de Apple con su asistente personal llamado Siri, para los dispositivos de iPhone e iPad. Pudiendo divulgar nuestro "secreto" mejor guardado.
En definitiva, la seguridad es un compromiso entre la dificultad para romper una clave, una estrategia o una defensa y el coste de la información que se protege.

Ataques desde lo inicios

El frente que afecta a la seguridad informática comenzó en el año 1918, cuando Herbert Harley empezó a trabajar en la US Army sobre la posibilidad de desarrollar métodos que permitieran detectar, captar y explotar las comunicaciones realizadas a través de los teléfonos de combate y de los equipos de transmisión militares de la época.
Más o menos en la década de los 60 algunos gobiernos se dieron cuenta de que tenían la posibilidad de interceptar las emisiones generadas durante el proceso informático de los datos desde varias decenas de metros utilizando un receptor de radio, incluso a través de los diferentes obstáculos físicos (muros, muebles...) que se encontrasen en cualquier entorno típico de trabajo. Lógicamente, se apresuraron a tomar las medidas oportunas para evitar la interceptación de sus emisiones, al tiempo que aquellas que les ayudarán a utilizar esta posibilidad en su favor para recoger la información procesada por sus potenciales enemigos.

El material protegido frente a este tipo de ataques se encuentra recogido en una serie de normas denominadas TEMPEST, recogiéndose la protección frente a este tipo de ataques en las normas NSTISSAM TEMPEST, editado por la National Security Telecommunications and Information Systems Security de EE.UU, que en su documento (actualmente desclasificado) NSTISSAM TEMPEST/1-92, recoge una serie de puntos. En el primero, Compromising Emanations Laboratory Test Requirements Electromagnetics, se desarrollan los procedimientos para identificar las radiaciones electromagnéticas, así como su transmisión y las pruebas a realizar en equipos individuales en un ambiente de laboratorio. El documento explica también, qué procedimientos se deben seguir con el material de seguridad de comunicaciones, y regula el acceso al mismo, ya sea por parte de personal contratado, ciudadanos extranjeros o contratas que trabajen para el gobierno federal.
Por su parte, la organización militar OTAN cuenta con su propia codificación: NATO AMSG, proveniente de las normas norteamericanas y que tiene la misma finalidad. Lógicamente, estas normas afectan al diseño de chips, placas bases, buses de comunicación, periféricos, etc., y desarrolla las medidas de protección que se consideran adecuadas en cuanto a la cantidad de radiación, la monitorización de las señales y los sistemas de alarma y de aislamiento tanto de los equipos como de los periféricos.

Algunos casos de seguridad

A continuación, se presentan 3 diferentes casos en donde la seguridad fue quebrantada. Con estos asuntos, nos podemos dar cuenta de la diversas maneras, situaciones y escenarios en donde romper la seguridad y/o privacidad puede ser algo presentado en cualquier área o sector en particular:

En 1998 un grupo de aficionados rompieron un cifrado de 512 bits. No se trataba de que cuatro amigos se juntaban en sus ratos de ocio a ver qué podían hacer, sino que a través de Internet se había lanzado el proyecto Bovine, que consistía en romper, por la fuerza bruta de la comprobación sistemática de bloques de claves, un mensaje determinado.
En este proyecto, todo aquel que estuviese interesado podía bajarse un cliente de verificación de claves, al que un servidor asignaba bloques numerados. Cualquier usuario podía coger un par de bloques para dejar su Pentium funcionando por la noche o cientos de ellos como parte de un proyecto de fin de carrera en la universidad.
El caso es que «el indescifrable» sistema de clave pública cayó en pocos meses a manos de la comunidad de internautas. Desde entonces, se considera que las claves de 512 bits no proporcionan la seguridad necesaria para establecer relaciones de comercio electrónico, y que hasta el año 2004 las de 768 bits serían más adecuadas. Para comunicaciones corporativas se aconsejaba usar 1.024 bits, cifra que se duplica en el caso de tratarse de transmisiones críticas.

En noviembre de 2000, la CIA había abierto un expediente de investigación a más de 160 empleados que crearon un chat secreto para hacer comentarios y bromas sobre sus jefes, e ironizar sobre asuntos de la actualidad diaria. El expediente sancionador de la agencia de espionaje había visto envueltos a contratistas externos, empleados de todos los niveles y a algún oficial. Además, los creadores del chat invitaban a otros agentes y analistas a entrar en este club secreto. Sin embargo, la CIA, llegó ha manifestar que en ningún momento se había puesto en peligro información secreta y clasificada, y que mucho menos se había tratado de un acto de espionaje. Los empleados involucrados tuvieron un plazo máximo de cinco días para responder por escrito a las acusaciones vertidas por la agencia, pero la mayoría de ellos continúo en sus puestos.

Echelon, es una red de espionaje mundial organizada por países como EEUU, Canadá, Inglaterra, Australia o Nueva Zelanda. Fue creada durante la guerra fría, con el objetivo de vigilar al bloque soviético, y cubrirse las espaldas ante un ataque nuclear. Pero con el fin de esta época, la red comenzó a utilizarse para fines más oscuros, interceptando comunicaciones vía satélite, llamadas de teléfono, correos electrónicos y el sin fin de huellas electrónicas que todos dejamos a diario. Por ejemplo, se sospecha que empresas americanas estuvieron aprovechándose de información privilegiada para ganar concursos en los que competían con empresas europeas.

¿Dónde están nuestros datos?

Cuando navegamos por Internet, estamos visitando diferentes servidores que contienen las páginas a las que accedemos. Durante la travesía nos pueden pedir información sobre nuestros datos, desde la dirección de correo electrónico, hasta nuestro nombre, domicilio, profesión, estudios, ingresos económicos, etc. Asimismo, los servidores pueden hacer un rastreo y analizar nuestro comportamiento a la hora de usar Internet sin que seamos conscientes de ello y, por supuesto, sin nuestro consentimiento. Esto se hace a través de las cookies.
Otro hecho que debemos tener en cuenta es que cuando damos nuestros datos en la red no sabemos donde van a parar, si solamente van a estar en poder de la empresa que los solicita, si ésta automáticamente se los transfiere a terceras, si se almacenan y analizan... En definitiva, perdemos de manera absoluta el control sobre ellos. No hace falta más que recordar el gran escándalo que tuvo Facebook con la consultora Cambridge Analytica y los millones de usuarios afectados que estaban registrados en la red social.
Lo mínimo que deben hacer, pues, es pedirnos nuestro consentimiento a la hora de dar los datos y avisarnos del fin con que se solicitan. Por tanto, no basta con hacer clic en las ventanitas que nos aparecer cuando estamos dando un paseo virtual, conviene leerlas y, ante la duda, sopesar si nos conviene entrar en esa página o sección. Además, si nos adherimos a listas de correo o grupos de noticias, o pedimos información de determinados servicios y productos, pueden llegar a hacer un perfil de nosotros a través de las preguntas que contestamos. El detalle que más se nos solicita en la red es, sin lugar a dudas, la dirección de correo electrónico. Ésta, que aparentemente no tiene por qué contener apuntes que permitan identificarnos de manera automática, sí que aporta información sobre nosotros. Si es la de nuestro trabajo, por ejemplo mperez@glosarioit.com, ya sabemos que detrás de esa cuenta hay un Sr/Sra. Perez que trabaja, en este caso, en el sitio GlosarioIT. Por tanto, algo estamos aportando.

¿Y ahora quién podrá protegerme?

En conclusión y volviendo a la pregunta del artículo de si existe la seguridad absoluta. Sabemos que no. Aunque se puede por lo menos tratar de ser más precavidos y realizar cosas básicas. Cualquier dispositivo conectado a Internet ya esta abierto a que alguien manipule nuestra información o red. Entonces, lo mejor que un usuario puede realizar es tener las diferentes aplicaciones actualizadas (sean antivirus, navegadores, apps de uso común, etc.). Tampoco sirve dar nuestros datos porque sí. Es que si se quiere ingresar un mail, contraseña, número de tarjetas y demás datos a un formulario, por lo menos hay que verificar que la URL a la que nos estamos conectando tenga el protocolo HTTPS para que la conexión sea segura y de esta manera nuestros datos estén protegidos cuando viaja nuestra información allí introducida. Otro caso que puede darse es el de la ingeniería social, el cual entidades o personas pretenden engañarnos para que les brindemos información personal, y luego, pueda ser usada para su propio beneficio.
Para comprender la situación, es lo mismo que tener tu casa ubicada en un lugar publico, puedes dejar la puerta de entrada abierta de par en par, dejarla cerrada (pero sin llave) o bien cerrarla con llave y a la vez protegida con una reja. Sin duda que esto último resultara más seguro. Es que estamos haciendo algo para evitar lo mejor posible nuestra seguridad e impedir así el ingreso de cualquier intruso a nuestro domicilio. De todas maneras, así y todo, aún no deja de ser 100% seguro.

Hablar de «seguridad informática» es como hablar de las medidas que tomaría un banco, desde los mismísimos muros del edificio hasta las cámaras de vigilancia. Pero los usuarios domésticos se verán sobrepasados por este aspecto de la informática que cambia tan rápido como ésta evoluciona.


Más contenido

Apartados: ¿Cómo surge una idea?Entrevista laboral: cualquier cosa te llamamosPython, el lenguaje a aprenderUna cursada diferente

Virus/gusanos: CIHHappy99ILoveYouLife StagesMelissaTimofónicaZippedFilesInfecciones vía correo electrónicoDistintas vías de infección

Historias: El MP3Evolución de la informáticaAppleGoogleLinuxMicrosoftSurgimiento de la criptografía