Navega seguro por la red: el encanto del anonimato

Por la Red viajan millones de bytes en forma de datos importantes como cuentas bancarias, números de tarjetas de crédito, historiales médicos… pero también mensajes privados que no nos gustaría que pudieran leer otras personas

Navega seguro por la red: el encanto del anonimato

29 enero 2008

Para proteger estos datos se utiliza una práctica que tiene muchos años de antigüedad (de hecho es muy anterior a la existencia de Internet) y gracias a cuya aplicación podemos estar razonablemente protegidos. Estamos hablando de la criptografía. Y es que, tal y como está diseñada la Red, es relativamente sencillo que una persona o grupo de personas consiga hacerse con datos importantes. Esto supone, por un lado, una amenaza ante cualquier tipo de transacción económica, como el comercio electrónico o cualquier trámite que hagamos por Internet manejando datos personales. Pero por otro lado también supone una posible violación de la privacidad, ya que a cada momento miles y miles de correos electrónicos contienen mensajes personales. Por esta razón se puede decir que, con toda seguridad, la criptografía y su aplicación ha supuesto uno de los avances fundamentales dentro de Internet.
Si no fuera por ella serían imposibles las transacciones seguras como pueda ser la compra mediante la tarjeta de crédito y otros procesos que dependen de datos importantes y que han supuesto uno de los motores del auge de Internet. Se puede decir que sin la aplicación de los principios criptográficos no existiría el comercio electrónico. La criptografía, además, pone a nuestra disposición los instrumentos para convertir en completamente privados nuestros mensajes de correo electrónico consiguiendo que éstos lleguen sólo a su destinatario. Es un proceso menos utilizado pero igualmente valioso y que en muchos países supone mucho más de lo que podemos imaginar. En cualquier caso, nunca está de más proteger nuestra privacidad, y más adelante veremos cómo conseguirlo. La criptografía también facilita otras aplicaciones como la firma digital, que no es más que un código único y oculto que identifica a una persona para que quien reciba un mensaje pueda estar seguro de su origen. Además, también sirve para rubricar documentos electrónicos.
¿Qué es la criptografía?
Antes de comentar las aplicaciones que están funcionando en Internet, vamos a repasar brevemente qué es la criptografía. Se trata de un proceso que tiene dos partes. La primera es la encriptación o cifrado, que consiste en convertir cualquier tipo de información con cierto significado en un conjunto de símbolos o datos sin ningún sentido. La segunda parte del proceso criptográfico es el descifrado o desencriptación, que consiste en que el destinatario de dicha información pueda convertir los datos sin sentido en la información original. El cifrado consiste en una serie de algoritmos o funciones que permiten la conversión y posteriormente el descifrado. Estos algoritmos suelen basarse en una clave que tienen que tener en su poder tanto el que cifra el mensaje como el que lo descifra. Es decir, el emisor cifra el mensaje con un algoritmo aplicando una clave y el receptor lo descifra utilizando otro algoritmo y la misma password. Este sistema se denomina de clave simétrica o clave privada. Es el que históricamente se ha utilizado en aplicaciones, por ejemplo, de espionaje o inteligencia militar.
En la actualidad se utilizan algoritmos que funcionan con dos contraseñas distintas. Es decir, que el emisor no posee la misma clave que el receptor, pero cada password identifica a cada uno de ellos. La razón es que en redes como Internet, con millones de usuarios, si para cada comunicación entre dos usuarios hay que crear una clave, el número de ellas sería exorbitante (el cuadrado del número de usuarios de la Red, suponiendo que todos se comunican entre sí). Estos sistemas se denominan de clave pública y funcionan de la siguiente manera. Cada usuario dispone de una contraseña privada y de una clave pública que lo identifica y que puede distribuir.
Cualquiera puede utilizar la password pública de un usuario para cifrar un mensaje, mientras que el receptor utiliza entonces su clave privada para descifrarlo. Es decir, que la contraseña pública de un usuario sólo sirve para cifrar mensajes, pero no para descifrar mensajes para un usuario concreto. La firma digital funciona de forma inversa. Se utiliza una password privada para firmar documentos (una que sólo puede utilizar un usuario en concreto) y en cambio se aplica la clave pública para comprobar que efectivamente el documento ha sido firmado por ese usuario. Si antes decíamos que la criptografía ha supuesto uno de los avances más importantes para Internet, el sistema de clave pública o de clave asimétrica es, dentro la criptografía, el sistema que ha posibilitado las comunicaciones seguras por la Red.
SSL y TLS, transporte seguro
Dentro de Internet hay muchas ocasiones en las que precisamos que la comunicación sea segura. Por ejemplo cuando estamos rellenando un formulario en una página web con datos personales, cuando establecemos una comunicación por chat o mensajería instantánea o cuando enviamos un correo electrónico. En todos estos casos necesitamos, por un lado, que nuestra comunicación no corra el peligro de ser interceptada y, por otro, asegurarnos de que el usuario u organismo con el que estamos conectados (por ejemplo, si rellenamos un formulario en una web de un Ministerio) es realmente quien pensamos. Para conseguir este intercambio seguro de datos e identificación de entidades se ha desarrollado un sistema llamado TLS (Transport Layer Security) desarrollado a partir de su predecesor, el SSL (Secure Sockets Layer).
Se trata de sistemas que funcionan como una capa sobre el protocolo de comunicaciones que utiliza la criptografía para asegurarse de que nadie intercepta las comunicaciones. A la vez, estos sistemas se aseguran de que el usuario está conectado a un servidor seguro. Para conseguirlo se emiten los certificados correspondientes; cada servidor seguro tiene uno emitido por una entidad certificadora de confianza que se ocupa de comprobar que la empresa o institución es quien dice ser. De esta forma se evita la suplantación de empresas o instituciones como bancos u organismos públicos a la hora de utilizar sus servicios on-line. Estas certificaciones tienen una caducidad y están sujetas a revisiones para no correr riesgos.
Emisión de certificados
Su emisión depende de entidades certificadoras que en algunos casos son organismos estatales. También existen certificados de usuario que permiten a los propietarios de ciertas páginas (bancos, entidades públicas…) saber qué usuario se está conectando. Se trata de pequeños ficheros que almacenamos en nuestro ordenador. Para que el certificado sea efectivo, tendremos que configurar nuestro navegador para que lo utilice. De esta forma podemos acceder a ciertos servicios estando perfectamente identificados, ya que funcionan como clave pública para la transacción segura de datos..Tal y como vimos en el capítulo de protección de ordenadores, el DNI digital está sustituyendo en algunos casos a estos certificados electrónicos. En nuestro país existen varias entidades certificadoras públicas y privadas cuya lista puede consultarse en la web del Ministerio de Industria, Turismo y Comercio (www.mityc.es/DGDSI/Servicios/FirmaElectronica/Prestadores/).
Así pues, una vez certificado el usuario y el proveedor del servicio, y una vez codificada la comunicación con las claves correspondientes, la transacción puede considerarse segura. Cuando se combina el protocolo HTTP (el de las páginas web) con sistemas como el TLS o el SSL, el protocolo pasa a denominarse HTTPS (agregando la S de seguridad). Cuando accedemos a una página segura, aparecerá el símbolo del candado en la parte inferior derecha del navegador. Eso sí, hay que aclarar que la aparición de este icono no garantiza la seguridad a menos que los certificados de seguridad y el protocolo funcionen perfectamente. En cualquier caso, no hay que proporcionar ninguna información confidencial (bancaria, personal...) a menos que veamos aparecer el candado.
Comercio electrónico seguro
Como hemos mencionado, uno de los procesos que más se ha visto beneficiado con la seguridad en las comunicaciones que proporcionan los procesos criptográficos es el comercio electrónico. Las pasarelas de intercambio seguro de datos como el TLS y el SSL permiten al usuario saber que está dando sus datos bancarios o tarjeta de crédito a una entidad de confianza que procederá a efectuar los trámites para el pago. Por otro lado, el comerciante se asegura de que la operación es válida a través de esta pasarela, sin tener más que encomendar la operación financiera a una entidad intermediaria y sin que los datos financieros o de la tarjeta del cliente lleguen a estar en ningún momento en su poder. Solamente tiene que entregar el producto a la dirección indicada y recibir el pago. Los métodos de pago seguros son varios, aunque los más populares son las pasarelas de entidades bancarias que permiten el cobro a través de tarjetas de crédito; aunque también hay otros métodos como el famoso PayPal o el envío de SMS (éste último para pequeñas cantidades de dinero) que también tienen su parque de usuarios.
Como hemos visto, además de identificar a los intervinientes en la operación, los sistemas criptográficos aseguran que nadie pueda interceptar la información que se está intercambiando. De esta forma no corremos el peligro de que otra persona utilice los datos de dicha transacción para realizar compras on-line a nuestra costa. El problema de los pagos mediante tarjetas de crédito por Internet es que sólo se precisan los datos de la tarjeta, por lo que si la extraviamos o nos la roban es posible que alguien pueda utilizarla para comprar a nuestra costa. Para evitar este problema algunas pasarelas utilizan la dirección del titular de la tarjeta como comprobación. En cualquier caso, se puede decir que, salvo despiste, los métodos de protección de las transacciones de comercio electrónico son seguras.
Encriptación del correo
El correo, tanto el electrónico como el de papel, es quizás una de las formas de comunicación más personal que existe. En un e-mail o en una carta podemos enviar información confidencial, o simplemente ciertos contenidos que no nos gustaría que viesen otras personas. A pesar de que las comunicaciones dentro de Internet pueden establecerse de forma segura, en el caso del correo electrónico la seguridad es algo más débil. Los servidores de correo están en manos de entidades privadas y los hackers consiguen, en ocasiones, colarse en estos sistemas. Es decir, que ya no se está seguro simplemente sabiendo que la comunicación entre nuestro ordenador y el servidor correspondiente es segura, sino que también dependemos de la seguridad del propio servidor y de que la transmisión al destinatario también lo sea. Eso sin contar que en ciertos países, como EEUU, algunos organismos gubernamentales utilizan sistemas para comprobar que el contenido de los correos electrónicos sea correcto.
Pero existe una manera de asegurarse con casi total confianza de que un mensaje llegue solamente al destinatario del mismo: la criptografía aplicada al correo electrónico. En realidad se trata de volver a los orígenes del uso de la criptografía, en los que se utilizaban máquinas o algoritmos matemáticos para que, si era interceptado, un mensaje no pudiera ser descifrado por nadie que no fuera su destinatario. Para conseguir la absoluta confidencialidad de los mensajes, los sistemas de criptografía de correo electrónico funcionan con sistemas de clave pública, de los que ya hemos hablado. De esta manera sólo el destinatario real podrá leer correctamente el mensaje, sin necesidad de que sepamos su clave privada. Existen varios sistemas de criptografía para correo electrónico pero quizás el más popular es el PGP (en sus varias formas) o el S/MIME.
Rastreadores de agujeros de seguridad
Si hablamos de cómo proteger la seguridad de las comunicaciones en Internet tenemos que referirnos inevitablemente a aquellos contra los que las protegemos. Popularmente se conoce como hacker a aquella persona con conocimientos de informática que trata de encontrar brechas en programas y redes informáticas para penetrar en sistemas protegidos. Por su parte, los cracker dan un paso más ya que utilizan ese acceso para obtener datos confidenciales, en la mayoría de los casos con fines lucrativos.
Las «hazañas» de estos sujetos incluyen desde apropiarse de listados de datos sobre tarjetas de crédito hasta introducirse en ordenadores de organismos estatales para vender secretos a potencias extranjeras. En algunas ocasiones, el término hacker se ha utilizado, en general, para designar tanto a los que buscan agujeros de seguridad por afición o profesión como a los que los utilizan para sacar provecho. Sin embargo, hay que decir que los hackers han contribuido decisivamente a aumentar la seguridad de los sistemas y las comunicaciones al poner en evidencia los fallos de seguridad. Incluso se organizan competiciones con premios en metálico por parte de las empresas de seguridad para probar la inviolabilidad de sus productos y, de paso, darse publicidad. Existen incluso verdaderas olimpiadas de hackers, como la organizada en la conferencia Defcon para hackers en Las Vegas.
¿Alguien lee nuestros mails?
En realidad, nadie se dedica a leer todos los correos electrónicos que se intercambian los usuarios de Internet, pero sí es cierto que existen potentes sistemas capaces de detectar automáticamente si el contenido de los mensajes es, supuestamente, peligroso o atenta contra la seguridad nacional. Los dos principales sistemas que monitorizan las comunicaciones son el Carnivore, que depende del FBI, y el Echelon, que depende de la NSA (la Agencia de Seguridad Nacional de Estados Unidos) y que recibe la colaboración de países como Nueva Zelanda, Australia, Japón o el Reino Unido. Estos sistemas interceptan las comunicaciones en grandes enlaces de comunicación (en el caso del primero en proveedores de Internet de EEUU, mientras que el Echelon lo hace en grandes nodos de fibra óptica alojados en los países colaboradores) y analizan los contenidos de los correos electrónicos para buscar palabras o términos que pudieran considerarse sensibles, como palabras relacionadas con terrorismo.
Como muchos utilizamos servidores alojados en otros países, es posible que nuestras comunicaciones puedan ser interceptadas por esos sistemas, además de por hackers más tradicionales. No se conoce demasiado de estos sistemas de rastreo pero algunas asociaciones que se ocupan de seguridad han recomendado sistemas de criptografía para el correo electrónico para preservar la privacidad de los mensajes.