|
De acuerdo con el objetivo del DISI de difundir y concienciar sobre las necesidades de la actual Sociedad de la Información, este artículo pretende realizar un repaso exhaustivo sobre todos los temas que allí se trataron. Además, se harán algunas valoraciones sobre el estado actual y se analizarán los retos futuros a los que se enfrenta esta nueva e-sociedad que ya forma parte de todos los ámbitos de la sociedad moderna. Autor del artículo:
Inauguración del DISI 2007 Previa inscripción de los asistentes en el registro, la inauguración oficial dio comienzo a las 9:30 horas, y fue presidido por el Sr. Rector de la Universidad Politécnica de Madrid D. Javier Uceda. El acto contó además con la presencia de D. Justo Carracedo Gallardo, Director de la Escuela Universitaria de Ingeniería Técnica de Telecomunicación, D. Jorge Ramió Aguirre, Director de la Cátedra UPM Applus+, El Dr. Martin Hellman y D. Ramón Capellades, Director General de Tecnología de Applus+. Primera conferencia: "A Fool's Errand: Inventing Public Key Cryptography" La primera conferencia del DISI corrió a cargo de una leyenda viva como es el Dr. Martin Hellman, Profesor Emérito de Ingeniería Eléctrica de la Universidad de Stanford. Martin Hellman, junto a Whitfield Diffie y Ralph Merkle, fue el padre de la actual criptografía de clave pública. Como moderador de la misma actuó D. Jorge Ramió. Esta charla inaugural, titulada "A Fool's Errand: Inventing Public Key Cryptography" ("Una empresa descabellada: inventando la criptografía de clave pública"), permitió al Dr. Hellman contar la emocionante historia que le llevó a crear y desarrollar un nuevo sistema criptográfico, en una empresa a la que nadie parecía apoyar. Su idea de crear un nuevo sistema de cifrado que mejorase cualitativamente los ya existentes se encontró con el rechazo de sus propios colegas, que obsevaban a aquel ingenuo profano en la materia pretendiendo descubrir la piedra filosofal. Y además contó con el no poco recelo de la NSA (Agencia de Seguridad Nacional de Estados Unidos), que controlaba todo lo relacionado con este ámbito tan delicado para la seguridad, que se convirtió en fuertes presiones cuando las investigaciones de Hellman empezaron a dar un fruto apetecible a la vez que peligroso.
Por otra parte, el Dr. Hellman quiso tener un gesto de justicia e insistió enérgicamente en otorgar el mérito correspondiente a todos los implicados en la creación del sistema de clave pública, sobre todo a Whitfield Diffie y Ralph Merkle, auténticos artífices del mismo junto con él, con mención especial para John Gill, Steve Pohlig, Richard Schroeppel, Loren Kohnfelder, Taher ElGamal y Claus Schnorr. Para finalizar, Hellman recomendó cambiar a sistemas de criptografía de curva elíptica (ECC), ante la amenaza cada vez mayor de los ataques a claves RSA que obligan al aumento de longitud a 2048 y 4096 bits, y el correspondiente aumento de tiempo computacional, campo donde es notablemente mejor el sistema ECC. Después, el público asistente tuvo ocasión de preguntar al Dr. Hellman sobre temas variados, donde sin duda fue la estrella la misteriosa criptografía cuántica, a la que Hellman concede entre 10 y 20 años para su implantación definitiva. Segunda conferencia: "Avances en la factorización entera" A continuación el Dr. Hugo Scolnik, Profesor de la Universidad de Buenos Aires (Argentina) fue el encargado de impartir una conferencia sobre criptografía en estado puro, con un enfoque puramente matemático que puso a prueba los conocimientos teóricos de los asistentes. A pesar del elevado nivel matemático y los fundamentos teóricos criptográficos necesarios para entender en su plenitud la ponencia, quedó de manifiesto la importancia de las investigaciones que está desarrollando el Dr. Scolnik en el campo de los ataques al algoritmo RSA, que constituye los cimientos mundiales del cifrado asimétrico en la actualidad. Scolnik está desarrollando un método que permite reducir la longitud efectiva de la clave en un ataque. El algoritmo RSA utiliza el producto de dos números primos de gran tamaño para obtener la clave de cifrado, con la característica de que la factorización de esa clave (la obtención de los dos números primos originales) es de una dificultad matemática que requiere tiempos computacionalmente elevados del orden de miles de millones de años con los equipos actuales, hecho en el que radica su seguridad. Intentando hacer un resumen sin desarrollos complejos, se puede decir que el método desarrollado por el equipo del Dr. Scolnik está basado en la aplicación recursiva del método de Fermat, que se utiliza para obtener números expresables como n+x^2 = y^2, donde n representa el objetivo a factorizar. Si se define como "target" a una terna de números enteros (a,b,c) que cumplen las condiciones x^2=a+c*t, y^2=b+c*u, es posible obtener targets únicos para números n impar, permitiendo entonces obtener un nuevo número (n+a-b)/c, definido como delta, que también es un entero, y se convierte en el nuevo objetivo a factorizar. La obtención de un número delta en el proceso de factorización supone como mínino la reducción del tiempo de computación en varios órdenes de magnitud, sin duda un torpedo a la línea de flotación del algoritmo RSA.
Actualmente el desarrollo está avanzado, y se está trabajando en la resolución de las limitaciones del método, como son los resultados incorrectos para algunos valores de n, las dificultades cuando se usan factores con valores muy alejados entre sí, y que algunas ramas generadas a partir de un número delta proporcionan valores erróneos. Para este último caso, Scolnik está desarrollando filtros para poder localizar y descartar las ramas incorrectas, con resultados satisfactorios según demostró con diferentes ejemplos durante la ponencia. Incluso en esta fase inicial de la investigación no pasa desapercibido el tremendo potencial de estos trabajos, que ya han conseguido éxitos importantes como la factorización de RSA640. Además, Scolnik ha logrado algunos avances significativos con RSA1024, lo que siendo previsores ya debería suponer una amenaza seria para la seguridad del algoritmo que rige la criptografía mundial. Las preguntas de los asistentes fueron dirigidas también hacia la computación cuántica, de la que Scolnik mostró desconfianza sobre su viabilidad actual. Por otro lado, aconsejó el cambio a la criptografía de curva elíptica, tal y como había hecho anteriormente el Dr. Hellman. También aprovechó para mostrar su preocupación sobre la posible rotura del algoritmo RSA, pues ante la falta de un sustituto viable, puede desembocar en una situación gravísima de proporciones mundiales, dejando en la más absoluta vulnerabilidad la mayor parte del cifrado utilizado en la actualidad, como los certificados digitales, operaciones bancarias, comercio electrónico, seguridad nacional, datos confidenciales de los ciudadanos, y muchos más sectores que no hemos mencionado. Es un riesgo cuyas consecuencias nos deberían obligar a descender de la torre de marfil en la que se encuentra la critpografía actual y centrar esfuerzos en el desarrollo de algoritmos más seguros, trabajo que no se ha hecho desde que hace 30 años apareció RSA.
Foro: "Investigación y sociedad" A continuación tuvimos la ocasión de asistir a un foro debate bajo el título "Investigación y Sociedad", y en el que actuó como moderador el Sr. Director de la EUITT Dr. Justo Carracedo. Los participantes al foro fueron el Dr. Martin Hellman, el Dr. Hugo Scolnik y el Dr. Gonzalo León, Vicerrector de Investigación de la UPM. En una breve intervención inicial, los participantes expusieron su punto de vista sobre el tema propuesto para el debate. Para el Dr. Gonzalo León, resulta fundamental para el desarrollo de sociedad el llamado Triángulo del Conocimiento, constituido por las Universidades, las Empresas y los Gobiernos, y propone la creación de políticas de integración y coordinación para que todos persigan un objetivo común, haciendo hincapié en el importante papel de la Universidad en la formación académica y social. El Dr. Scolnik consideró necesario una autocrítica del papel de la Universidad, a la que achacó una pérdida de perspectiva social, donde muchas veces los esfuerzos en investigación tienen un enfoque meramente académico y sin atender realmente a las necesidades de la sociedad. Y por último, Martin Hellman expresó también su punto de vista, coincidiendo con el resto de miembros del foro en la importancia de unir esfuerzos para integrar todos los sectores mencionados. A continuación, dio comienzo un debate que se prolongó durante más de una hora, en el que intervinieron los miembros del foro y el público asistente, y en el cual se analizó entre otros temas la importancia del I+D en las empresas privadas como herramienta de desarrollo de la sociedad. Con este foro finalizaron las actividades de la mañana, y se realizó una pausa para la comida, para dar paso después al resto de intervenciones que componen el DISI 2007.
Tercera conferencia: "Protección de datos en la Sociedad de la Información" Esta conferencia fue impartida por D. Artemi Rallo Lombarte, Director de la Agencia Española de Protección de Datos (AEPD), con D. Manuel Ballester, Asesor de la revista Red Seguridad, actuando como moderador. Artemi Rallo expuso la necesidad de la protección de datos para mantener la privacidad de los ciudadanos, a la vez que se debe garantizar el derecho a la información en la actual Sociedad de la Información. La Ley Orgánica de Protección de Datos (LOPD) y las reformas previstas fueron temas centrales durante su ponencia, hablándose también sobre la obligación de empresas y organismos en la protección de datos y del papel de la AEPD como organismo sancionador. Durante la intervención del publico asistente, se comentaron casos actuales en los que la AEPD tiene abierto expediente disciplinario, y se habló sobre el desconocimiento existente de la sociedad en general sobre sus derechos y obligaciones en la sociedad digital. Cuarta conferencia: "Delitos y peligros en la Red" La siguiente conferencia corrió a cargo de D. Víctor Domingo, Presidente de la Asociación de Internautas, en la que comentó los diversos riesgos que acechan a la Sociedad de la Información. También criticó duramente a todo aquello que, en su opinión, ponían en claro peligro la privacidad y la libertad de las personas, incluyendo el llamado DNI electrónico (DNIe), que se convirtiría en el centro de los debates en esta ponencia y la siguiente. También Víctor Domingo tuvo tiempo para alertar sobre los peligros derivados de la Ingeniería Social, que constituye la base de la mayor parte de las técnicas de fraude y delitos en Internet. En especial, el phishing es el problema actual de mayor importancia, con millones de correos fraudulentos recorriendo la Red, provocando un número de víctimas preocupante. Este tipo de delitos es de especial gravedad en el caso de fraudes bancarios, en los que Víctor Domingo pidió la colaboración de las entidades bancarias. Como dato de interés, el incremento de ataques por phishing se ha incrementado en un 290% entre 2005 y 2006.
Mesa redonda: "Nuevos Desafíos en la e-Sociedad" En una interesante mesa redonda, que fue moderada por el Dr. Jorge Ramió Aguirre, intervinieron D. Adrián Moure de ASIMELEC, D. Julián Inza de Albalia, D. Rodolfo Lomascolo de IPSCA, D. Manuel Arrevola de Zitralia y Dña. Gemma Deler de Applus+. Sobre el tema propuesto para el debate, se comentó la dificultad de asumir los avances de la nueva Sociedad de la Información, a causa de la falta de normativa específica o bien obsoleta, y la no idoneidad de los procedimientos establecidos de regulación de la información, difíciles de cumplir en el caso de PYMES que constituyen el entramado empresarial mayoritario. Pero fue sin duda el polémico DNI electrónico el protagonista de la sesión, generando un intenso debate sobre su implantación. El público asistente mostró su recelo sobre los aspectos ligados al DNIe, manifestando además su concienciación sobre la importancia de este paso cualitativo en el desarrollo de la Sociedad de la Información. Se criticó la legislación actual sobre el DNIe, que genera dudas sobre las garantías que ofrece frente a la seguridad de los datos, y se alertó sobre la necesidad de asegurar la indentidad del interlocutor para cualquier operación en la que esté implicada la firma digital. Este requisito es clave teniendo en cuenta la poca seguridad de los sistemas informáticos utilizados por el usuario, que puede comprometer gravemente la seguridad de cualquier operación. Y en resumen, se planteó el reto importante que supone la nueva Sociedad de la Información, sobre todo cuando ello implica una responsabilidad enorme para el ciudadano, que debe adquirir una concienciación y unos conocimientos técnicos, y que va a suponer un gran esfuerzo y un cambio en el modo de proceder. También se habló durante el debate sobre la validez de la firma electrónica y los certificados digitales, la e-administración, la factura electrónica, tarjetas inteligentes y dispositivos existentes para garantizar operaciones seguras en Internet y telefonía móvil.
Quinta conferencia: "Evolución del Malware" Esta ponencia fue impartida por D. Sergio de los Santos, de Hispasec, actuando ahora como moderador D. Fernando Bahamonde, Presidente de ISSA Spain. Se analizó la evolución del Malware en los últimos años, que ha abandonado su objetivo inicial y está ahora orientado al delito. Este cambio en la forma de concebir el malware está generando una gran preocupación, a la vez que aumenta de forma alarmante el lucro económico obtenido por estos métodos. Resulta además de una gravedad importante el hecho de que los creadores de Malware (spam, phishing, troyanos, etc.) están trabajando conjuntamente, formando infraestructuras internacionales con grandes recursos dedicados al fraude y el robo de información. En este nuevo modelo de crimen organizado tan difícil de combatir han cobrado protagonismo las redes rusas y brasileñas. La colaboración entre los diversos tipos de malware está logrando en muchos casos romper los sistemas de seguridad de antivirus y cortafuegos, a la vez que hacen misión imposible mantener catalogado y controlado todo el malware que se diseña a diario. Por otro lado, el nivel técnico del malware actual dificulta la acción de las herramientas de seguridad, incorporando por ejemplo técnicas anti-reversing que dificultan el análisis del código y métodos para no ser ejecutados y analizados en máquinas virtuales. De acuerdo con los datos disponibles, el número de virus y demás tipo de malware se duplica cada año, donde una parte importante de los mismos tiene como función el fraude y el robo de información sensible. Además, Sergio de los Santos realizó algunas demostraciones del funcionamiento de troyanos bancarios utilizados en delitos de phishing, describiendo las técnicas utilizadas por los mismos, como la activación basada en listados de entidades bancarias, redirecciones web, e interceptación de claves desde el formulario o teclado virtual. Sergio de los Santos respondió al final las preguntas de los asistentes, recomendando encarecidamente no realizar operaciones con cuenta de administrador en sistemas Windows, sin duda la plataforma más vulnerable frente a este tipo de ataques. Asimismo se comentó la necesidad de utilizar navegadores que proporcionen una seguridad aceptable.
Sexta conferencia: "Seguridad en Entornos Linux" A continuación D. Fernando Acero, Teniente Coronel Piloto del Ejército del Aire, Especialista en Telecomunicaciones y con el Curso de Estado Mayor, experto en seguridad informática y miembro de Hispalinux, impartió una interesante ponencia sobre seguridad en sistemas Linux, en la que realizó una importante valoración de las ventajas del código abierto en la implantación de sistemas seguros. El Sr. Acero expuso que los numerosos fallos de seguridad en sistemas críticos, derivados de las plataformas privativas, mayoritariamente Windows, están obligando a plantearse seriamente soluciones alternativas basadas en software libre. Su mejor respuesta en flexibilidad y su facilidad para securizar los sistemas, unido al peligro de una monocultura informática y una peligrosa dependencia tecnológica de empresas privadas, hacen de los sistemas Linux una opción importante a tener en cuenta. Aunque la comparación entre sistemas Linux y Windows es compleja, debido a las diferencias técnicas y de concepto que existen entre ellas, existen estudios e informes de prestigio que muestran ventajas importantes del software libre en aspectos de seguridad informática, como es por ejemplo el informe Kenwood (2001) sobre la viabilidad del software de fuentes abiertas. Dicho estudio, realizado en el ámbito militar de la OTAN y encargado por el Departamento de Defensa de los Estados Unidos, valora muy positivamente el software de fuentes abiertas, destacando su flexibilidad, interoperabilidad y bajo coste como elementos fundamentales para su implantación en sistemas críticos. Las características mejor valoradas es el acceso al código fuente, que permite analizar y solucionar rápidamente los fallos de seguridad del software, así como realizar auditorías preventivas de seguridad. Además, su modularidad permite personalizar fácilmente las instalaciones, eliminando los elementos innecesarios y por lo tanto reduciendo el código a revisar y mantener. Esta necesidad de garantizar la seguridad de sistemas críticos es de vital importacia en la actualidad, donde la denominada Ciberguerra constituye un poderoso elemento militar que está tomando cada vez un mayor protagonismo.
D. Fernando Acero describió además varias aplicaciones críticas que operan actualmente con Software Libre, como los sistemas militares JTRS (Joint Tactical Radio System) de comunicaciones militares, y FBCB2 (Force XXI Battle Command, Brigade and Below) que proporciona mando, control, información situacional en tiempo real e inteligencia a elementos tácticos inferiores. La elevada seguridad y la flexibilidad del software libre para adaptarse a nuevas situaciones son características básicas para su uso en sistemas con capacidades C4ISTAR (Command, Control, Communications, Computers, Intelligence, Surveillance, Target Acquisition, Reconnaissance). Otro sistema crítico desarrollado con software libre es la plataforma de comunicaciones seguras entre Embajadas implementada por el Ministerio de Asuntos Exteriores de Alemania. Al final de la charla, los asistentes mostraron su interés en conocer la situación actual en España, así como los detalles sobre el uso de la licencia GPL en aplicaciones militares.
Séptima conferencia: "El Fracaso del Software" Para finalizar este segundo DISI, D. Juan Carlos García Cuartango del Instituto para la Seguridad en Internet, impartió una divertida ponencia donde expuso la situación de inmovilismo que la ingeniería del software sufre desde hace 30 años. Para García Cuartango, frente a los importantes avances tecnológicos, el software sigue utilizando la misma plataforma de las últimas décadas. Tanto los sistemas operativos actuales, derivados de los antiguos sistemas UNIX o MS-DOS, como los lenguajes de programación utilizados, están utilizando plataformas y enfoques obsoletos, lo que repercute en una pérdida de eficiencia. A su vez, el código generado para su funcionamiento en grandes sistemas es de un tamaño y una complejidad imposible de manejar eficientemente, aumentando de forma drástica el número de errores. Por su parte, los sistemas operativos tienden hacia sistemas de propósito general, cada vez más complejos, lo que se traduce en un bajo rendimiento y falta de fiabilidad. Además, García Cuartango criticó el hecho de haber perdido la oportunidad de generalizar la implantación de tecnologías de software más avanzadas como por ejemplo la arquitectura cliente-servidor, el modelo OSI o los lenguajes de cuarta generación, que sin embargo han sido relegados a un segundo plano. Para finalizar, aludió al papel de las universidades para liderar el desarrollo de nuevas tecnologías del software más apropiadas para la situación actual. Clausura y conclusiones finales Alrededor de las ocho de la tarde, D. Jorge Ramió Aguirre, D. Justo Carracedo, D. Manuel Ballester y D. Fernando Bahamonde dieron por finalizado el Segundo Día Internacional de Seguridad de la Información, tras una jornada de gran nivel y una asistencia notable. Respecto al año pasado, se ha observado una mayor concienciación de casi todas las partes implicadas en la Sociedad de la Información, que empiezan a asumir su responsabilidad y entienden la necesidad de cambiar sus hábitos y otorgar a la seguridad informática un papel primordial, necesario para este nuevo modelo de progreso y desarrollo. Por otra parte este DISI nos ha dejado bastantes inquietudes, como el riesgo de rotura del RSA a medio o largo plazo, el futuro incierto de la e-sociedad mientras que el código malicioso crece sin control en un parque informático mayoritariamente inseguro, y unas estadísticas de inseguridad en los sistemas informáticos que son alarmantes. La sociedad del conocimiento sigue avanzando, pero todavía queda un largo camino por recorrer. Y para finalizar, agradezco gustosamente su apoyo y colaboración a la Organización del DISI, a Dña. Emilia Belleboni y D. Rubén de Diego (DIATEL-UPM) por las fotografías cedidas, y sobre todo al Dr. Jorge Ramió Aguirre, por su ayuda en la confección de este artículo y por su valiosa labor de revisión.
Referencias relacionadas con el artículo
| ||||||||||||||||||||
