Los últimos acontecimientos han puesto tristemente de moda el tema de la encriptación y la seguridad de las comunicaciones digitales. Además, los atentados también han traído consigo ataques protagonizados por virus que basándose en la ingeniería social prometían imágenes, grabaciones o noticias sobre la tragedia norteamericana. Para analizar la frágil situación que sufre la Red y todo lo que se relaciona con ella hemos entrevistado a D. Carlos Jiménez Suárez, director de la empresa de software de seguridad Secuware, asesor de seguridad informática del Ministerio de Defensa español y de la OTAN, entre otros organismos, y uno de los mayores expertos en virus de todo el planeta.

Los ataques terroristas a las Torres Gemelas y el Pentágono ¿han supuesto un antes y un después para el software de encriptación?
Han supuesto un antes y un después en la seguridad en general. El cifrado como tal no ha sufrido muchos cambios, es un conjunto de técnicas matemáticas para conseguir que la comunicación sea segura. Hace años, EEUU ya consideraba el cifrado como un arma y no permitía que se exportara tecnología de encriptación pero, como era una actitud generalizada en todo el mundo, se dieron cuenta de que su prohibición no servía de nada. Tras los atentados, ha vuelto a preocupar que terroristas, delincuentes o el crimen organizado puedan utilizar comunicaciones seguras que, tradicionalmente sólo estaban en manos de los militares, para emplearlas en contra del estado.

Entre las medidas de seguridad que va a adoptar EEUU se encuentra la de imponer el uso de puertas traseras en los programas de encriptación. ¿Lo ve como una solución eficaz y viable?
Siempre se ha hablado de poner puertas traseras a este tipo de software. Pero para mí, el problema se centra más en la longitud de la clave: cuanto más larga es ésta, más difícil es descifrar el mensaje. Por encima de 70 u 80 bytes, los mensajes son bastantes seguros. Por poner un ejemplo, el gobierno español utiliza una tecnología de 128 bytes que es la seguridad que se persigue, no tanto por su perfección matemática, sino porque representa, además, una seguridad computacional. Bastaría con no permitir el uso de claves tan largas. No obstante, sería absurdo porque hoy en día vivimos una situación heredada en cuanto a cifrado y ya es demasiado tarde para prohibir programas de encriptación que están en manos de mucha gente.

¿Cree que el gobierno norteamericano se está aprovechando de la sensibilización actual de los ciudadanos para aprobar leyes que controlen el contenido de los mensajes que circulan por la Red?
Si yo fuera EEUU, lo aprovecharía todavía más. En general, hemos vivido y evolucionado en los últimos 20 años amparándonos en una serie de principios que creíamos sólidos y ahora el mundo ha cambiado. Hoy por hoy, los usuarios de Internet nos damos cuenta de que algunas de las cosas que hemos construido entre todos pueden sernos muy peligrosas y que, por tanto, o cedemos un poco en nuestros derechos para construir un estado más seguro o eso repercute en nuestra contra, como se ha podido comprobar.

Entonces ¿es favorable para la convivencia ciudadana ponerle restricciones a Internet?
Internet es una cosa buena y abierta y es muy difícil ponerle restricciones pero, de alguna manera, tendremos que conseguir que las fuerzas y cuerpos de seguridad del Estado puedan perseguir a los delincuentes de una manera más eficaz. Evidentemente, con productos de cifrado fuerte y una red que permite desde cualquier sitio que una persona se comunique con otra a través de un canal seguro, se están dando muchas facilidades a terroristas o delincuentes para que utilicen la tecnología en contra del estado. Internet ha llegado a todas las personas y organizaciones sin que haya medidas de seguridad que hagan que todo lo que se relaciona con la Red sea realmente seguro. Los Ministerios de Defensa, por ejemplo, no tienen una conexión a Internet, tienen un sitio para navegar por Internet pero, su red la tienen aislada, ésta es realmente la única manera de seguridad efectiva. El problema radica en que nadie ha informado a la gente de los riesgos que supone "salir" a Internet. Probablemente, de haberlos conocido no habrían "salido" tan alegremente o no habrían colocado su actividad de negocio "tan a la ligera".

Seguridad nacional versus privacidad de las comunicaciones digitales ¿qué tiene que decir?
Como usuario, sé lo indefenso que dejamos al estado con la actitud personal de no querer que espíen nuestras comunicaciones digitales. Además, no creo que cuando alguien quiera tener privacidad deba exigir la libertad en Internet. En general, vivimos en la tranquilidad que nos da no saber determinadas cosas, nos creamos una estabilidad para vivir tranquilos pero cuando ocurre algo como lo de EEUU se pone de manifiesto que todo no va bien. Hay muchos usuarios que piden que se respete su privacidad o la seguridad de sus datos,... a mí no me importa que miren mi correo electrónico, porque primero, no hay gente en el mundo para leer la cantidad de correos que se envían al día y, segundo, yo no quiero hacer nada malo. Me importaría muy poco que comprobaran si en un e-mail mío se encuentra la palabra "bomba". Cuando un usuario quiere proteger con un programa de encriptación su correo es porque él cree que tiene algo que ocultar, aunque probablemente no le importe más que a él. No obstante, si actúa de esa manera lo que está haciendo es que se consuman productos de cifrado y se generalice un arma en contra del estado y a favor de los terroristas.

Sin embargo, expertos norteamericanos han dado la voz de alarma sobre los problemas que pueden derivarse de la prohibición de no cifrar ningún tipo de información confidencial que se transmita a través de Internet. Uno de los grandes perjudicados será el incipiente e-commerce pero también se podrían ver perjudicados los datos de sistemas que protegen objetivos vitales como centrales eléctricas, nucleares...
Hay un centro en EEUU que se encarga de proteger las infraestructuras básicas y los estados tienen una serie de criterios a la hora de diseñar este tipo de infraestructuras para impedir que cualquiera desde Internet se pueda conectar a los sistemas que defienden datos vitales. De este modo, sería imposible desde fuera acceder a este tipo de información, al menos en cualquier país del mundo occidental. Es lógico e indispensable para el funcionamiento de una nación que haya una serie de medidas que salvaguardan por diseño. Hay mucho de alarma social en este tipo de afirmaciones.

Además, está claro que igual que hay sistemas de comunicación civil y militar pues hay cosas que, evidentemente, tienen que seguir siendo secretas: información militar, información clasificada de los gobiernos...

El uso de que unos países permitan el uso de tecnología de cifrado y otros no ¿qué puede suponer?
De entrada nada. Como comentábamos antes, ya no se puede dar marcha atrás en este aspecto. La posible solución sería prohibir el uso de esta tecnología a nivel global, entonces a aquellos sites o personas que utilizaran PGP, por ejemplo, se les daría un tratamiento de presunto terrorista. Algo que me parece muy bien porque si empleas un arma para ocultar tu información como si fueras un terrorista me parece lógico que te investiguen.

¿Cómo calificaría el nivel de la seguridad informática en nuestro país?
Mal. La media europea en inversión en seguridad informática está entre el 8 y 9% de la inversión en Informática, en España, ésta no llega al 0,1%. Quizá sea el carácter latino que nos caracteriza lo que nos lleve a estar más cercanos de la improvisación, es decir, se tiende a poner la solución cuando ya ha llegado el problema, sin darse cuenta de que a lo mejor no hay remedio posible.

La aparición de Nimda, ¿ha supuesto un antes y un después en la concepción de los virus hasta ahora conocidos?
Ya había pasado anteriormente que un virus utilizaba una tecnología novedosa, por ejemplo el famoso IloveYou... Incluso ya se conocen casos anteriores de códigos malignos que se activaban con sólo previsualizar el archivo que los contiene. Quizá, el problema no esté tanto en que el virus desarrolle una nueva tecnología sino que el nacimiento de ésta exige un replanteamiento por parte de los fabricantes de software anti-virus que desarrollan sus soluciones para unos códigos concretos. Entonces, cuando aparece un virus que explota otro tipo de tecnología las casas se ven obligadas a lanzar actualizaciones que contemplen la nueva tecnología . En fabricar un anti-virus se tarda como poco una hora, cuando se habla de que un virus como Nimda utiliza tecnología nueva, a lo que se hace referencia es a que no se puede responder en 24 horas sino que, a lo mejor, se necesita una semana para analizar como funciona el gusano y otra semana para replantearse cómo cambiar el anti-virus para detectar ahora algo que antes no se detectaba. Este tiempo, lógicamente, permite que el virus corra mucho más y se extienda en mayor medida.

¿Cómo se podría evitar el desastre provocado por los constantes virus que se transmiten vía correo electrónico? ¿La pelota caería en el tejado de los ISP´s?
Los proveedores de servicio tienen tecnología suficiente para hacerlo posible. No es una solución absolutamente completa, pero evidentemente filtrar la mayor parte de los mensajes sería positivo para detectar virus e impedir que llegaran a sus destinatarios. No obstante, si el mensaje va cifrado no se podría hacer nada.

Pero esta actuación, ¿no retardaría las comunicaciones electrónicas?
Yo creo que no. Es una cuestión de tiempo. El tiempo que necesita un anti-virus para detectar si tiene información sobre un virus en concreto o no depende de la base de datos de virus, cuanto más grande sea ésta, más tiempo se necesita. No obstante, normalmente se hace un balanceo para que cuando se active el anti-virus, el usuario no espere un retardo sino que el tiempo empleado sea mínimo. En un canal de comunicaciones con un ancho de banda tan grande no debe suponer ningún problema detectar en tiempo real si un correo tiene virus o no. La solución que ofrece Trend Micro, por ejemplo, tiene la ventaja de que si el volumen de correos electrónicos a filtrar es muy elevado se habilitan más máquinas.

Teniendo en cuenta los acontecimientos en el mundo del virus, ¿se atrevería a adelantar cuál será la siguiente generación de códigos maliciosos?
No quiero dar ideas a aquellos que quieren crear virus. Siempre he dicho que si yo hiciera un virus lo haría de manera distinta, más que nada porque sobre todo depende de la motivación del que lo hace (si busca notoriedad, estropear sistemas...). Cada creador de virus es distinto y desarrolla su obra para cumplir su objetivo. No hay virus del futuro, muchas veces aparecen tecnologías de virus que son diferentes a la anteriores, éstas probablemente no presentan el futuro pero representan un cambio. Pero, en general, la tendencia es continuar la línea evolutiva que les caracteriza. Nimda, por ejemplo, es un paso más en esa cadena. Además, cada vez que se abre una de estas líneas evolutivas se generan, durante un cierto tiempo, mutaciones de esa línea evolutiva, por la simplicidad que supone meter alguna modificación en el código empleado.

Atendiendo a su experiencia, ¿cuál sería para usted el mejor virus de la historia?
Hay veces que te sorprenden algunos virus que si bien no los llegaría a considerar obras de arte se acercan mucho. El tema de añadir cifrado y polimorfismo a los virus en su día fue un paso evolutivo gravísimo, redujo considerablemente la eficacia de las soluciones anti-virus con lo que ello supuso. De los 57.000 virus, unos 20 códigos han sido hitos históricos en la evolución de los mismos.

¿Cómo calificaría la eficacia de las soluciones anti-virus? ¿Son útiles para proteger de los códigos maliciosos que acechan al usuario?
El que se compra un anti-virus está perdiendo el tiempo y el dinero. Pierde el tiempo porque se cree que está seguro. Lo peor es que el usuario piense que frente al problema del virus su solución es un anti-virus. Yo no he utilizado jamás un anti-virus pero si he seguido unas medidas de seguridad básicas que son esenciales para no contagiarse por cualquier código maligno. Automáticamente mis medidas exigen que me pierda cosas como experimentar con programas que no sé quién los ha hecho... pero gano otras muchas más importantes. El consejo sería el de no correr riesgos porque en el fondo no merece la pena. El anti-virus hay que actualizarlo diariamente sino no vale para nada y aunque se actualice eso no quiere decir que vaya a librar al usuario de los virus.

¿Qué formación tiene en materia de seguridad informática el usuario informático de la era de Internet?
Nadie ha educado al usuario de informática, los que le han educado han sido los fabricantes de hardware, software, los periodistas... y realmente no existe una secuencia lógica en esa formación y por eso están sometidos a determinados intereses. Los virus están mediatizados, se deben a los intereses de las empresas fabricantes de soluciones anti-virus.

Una buena iniciativa es la que ha puesto en marcha la Red de Alerta Temprana, dependiente del Ministerio de Ciencia y Tecnología español, que pasa por la información para llegar a la formación del usuario. Visto que no era posible la prevención si el usuario tenía una actitud de "bajo y descargo lo que me da la gana", lo único que se podía hacer era informar. Por otra parte, cabe destacar la iniciativa del mismo ministerio de acercar el uso de Internet a un millón de españoles. Es una buena manera para hacer ver a las personas que ya tienen sus hobbies y motivaciones desarrolladas que en Internet encontrarán una fuente de información que enriquezca sus intereses, no una fuente que saciará la curiosidad sin límites del ser humano, una de las principales aliadas del grado de propagación de los virus informáticos.