Después de las revelaciones de Edward Snowden que pusieron al descubierto varias operaciones secretas de agencias de seguridad de Estados Unidos y Reino Unido para acceder a información privada de individuos y organizaciones, el tema de la seguridad de la información en Internet vuelve al primer plano. En el siguiente texto se describe cómo se libra una guerra fría en el ciberespacio.
Mucho antes del caso Snowden –traidor para unos y patriota para otros– se había ventilado el asunto de las “ciberguerras”, como una extensión de las guerras convencionales, donde los misiles y bombarderos han sido sustituidos por herramientas matemáticas que permiten vulnerar los sistemas de información de otro país.
Lo que se puso en evidencia con el escándalo es que el objetivo del espionaje cibernético moderno no se limita a rivales en otros países, sino que también se extiende, con programas masivos de supervisión, a los propios ciudadanos.
La NSA, Agencia de Seguridad Nacional, de Estados Unidos ha sido una de las más cuestionadas en esta especie de guerra fría computacional. El New York Times reseña en un artículo reciente que la NSA utiliza todos los medios posibles para vulnerar la privacidad de la comunicación cotidiana en Internet: supercomputadores, trucos técnicos, órdenes judiciales y hasta “persuasión detrás de bastidores”.
Código secreto. En el centro de toda la controversia están las técnicas de cifrado o encriptado de datos, una modalidad utilizada para transformar un mensaje de modo que la información que se quiere transmitir permanece oculta y sólo un destinatario con la llave o clave para descifrarlo puede tener acceso a ella.
Son legendarios los esfuerzos de la inteligencia británica para romper el método de cifrado alemán durante la Segunda Guerra Mundial. Las investigaciones de Claude Shannon, creador del concepto “bit” o dígito binario, no sólo permitieron descubrir las claves de los mensajes sino, además, el procedimiento que los alemanes usaban para cifrarlos. De allí salió la famosa máquina descifradora bautizada Enigma, que facilitó la automatización del proceso de desencriptación o desencriptado.
Hace más de 20 años, Phil Zimermann escribió un programa para el cifrado de datos denominado PGP (Pretty Good Privacy) que alcanzó gran popularidad dentro y fuera de Estados Unidos con la ayuda de Internet.
PGP cifra el mensaje dos veces, la primera con una clave aleatoria, y luego codifica de nuevo el mensaje con la clave que es compartida con el destinatario.
Se trataba de un cofre virtual doble: el destinatario abre el primero con su llave compartida y encuentra otro cofre y la llave respectiva que se genera una sola vez en cada cifrado.
Zimermann fue procesado por “exportación ilegal de armas” por el Gobierno de Estados Unidos porque se consideró el método PGP como inexpugnable en ese momento y el proceso de cifrado se denominó “municiones”, aunque luego el Gobierno desestimó la demanda.
¿Puerta trasera?
Hace seis años, dos programadores de Microsoft señalaron en el evento Crypto, dedicado exclusivamente a los procesos de cifrado de datos, la posibilidad de que una debilidad encontrada en un software de cifrado de datos aprobado por el Gobierno había sido implantada.
La denuncia, que pasó inadvertida en 2007, es citada hoy como prueba de la actitud de big brother del Gobierno en artículos publicados en Wired, el New York Times y el portal de periodismo investigativo ProPublica.org, entre otros medios.
“Con los elementos disponibles en las publicaciones técnicas no hay evidencia sólida de que la vulnerabilidad de ese software de cifrado haya sido incluida de forma maliciosa”, dice Rafael Núñez, gerente de la firma de seguridad Clean Perception.
Núñez advierte, sin embargo, que el algoritmo afectado sí es vulnerable (ver artículo en http://bit.ly/1dw8qVH) y recomienda a las organizaciones usar algoritmos alternos de cifrado.
El experto en cifrado de datos Iván Montilla explica que la vulnerabilidad del software se basa en la infiltración del mecanismo que genera los números al azar en los que se basa el cifrado. “No puede haber cifrado de información si no se parte de números aleatorios”.
Fuente: El Nacional de Venezuela