Entrevista a Jorge Ramió (2/2)

Continuamos hoy con la segunda y última parte de la extensa entrevista a Jorge Ramió que iniciamos ayer; confiamos en que sea de su agrado.

5. Como experto en Criptología, una pregunta que no puede faltar. ¿Son seguras nuestras comunicaciones habituales frente a los delincuentes? ¿Podemos estar tranquilos al hablar por el móvil, al enviar un correo electrónico cifrado con PGP o al utilizar la banca online?

Sí, son seguras. La inseguridad es más nuestra, de los humanos, que de los sistemas. Es obvio que incluso el sistema más protegido siempre puede ser vulnerado, que existe malware zero-day y todo eso, la historia nos ha dado muchos ejemplos, pero lo cierto es que el eslabón humano es el más débil de toda la cadena de seguridad, una frase repetida miles de veces pero no por ello menos cierta.

Sin caer en paranoias y hablando siempre de un usuario final que es por donde va tu pregunta, un poco de sentido común y tener el sistema operativo y un antivirus siempre actualizado, debería ser suficiente para no pasar malos momentos. Como usuarios y personas comunes, en el sentido de que no somos un alto cargo del Ministerio de Defensa, ni en la OTAN, ni los directivos de una gran multinacional me refiero, es muy poco probable que suframos ataques directos. En todo caso, serían ataques masivos como por ejemplo un phising de banca online al haberse instalado malware en nuestro PC. Si ese malware está ahí, lo más probable es que no hayamos cumplido la premisa indicada anteriormente: sentido común + S.O. actualizado + antivirus actualizado.

Sobre lo de PGP o GnuPG, la seguridad de los algoritmos a este nivel de usuario es total; nadie va a gastar ingentes sumas de dinero para intentar romper un archivo cifrado de mi laptop donde saben que tengo el examen de la próxima semana, con prácticamente nulas esperanzas de éxito; no tiene sentido. Otra cosa es que se me haya ocurrido poner Paco1234 como passphrase de un cifrado convencional con PGP; el problema aquí no es del software criptográfico, es de lo que pasa por la cabeza de ese usuario que no se entera que por un ataque de diccionario esa clave caerá muy pronto. A partir de ese Paco1234 se calcula su hash, algo elemental, y de ahí se saca la clave del algoritmo de cifrado simétrico utilizado. Es decir, esa frase de paso tan simple ha permitido descifrar con la gorra un cifrado simétrico muy seguro, tal vez AES 128 o mayor, pero no se ha roto el algoritmo ni mucho menos.

Lo mismo puede decirse con respecto a las claves de una infraestructura pública, nuestro propio documento nacional de identidad electrónico por ejemplo. Si alguien tiene como frase de paso para usar su clave privada una secuencia de caracteres muy fácil de recordar, o una relación obvia de los datos que aparecen impresos en ese mismo documento de identidad, es bastante probable que alguien pueda usar de forma fraudulenta ese documento.

El tema aquí es la falta de concienciación en la sociedad y el documento electrónico de identidad que comentaba es un excelente ejemplo de ello. Ha faltado y sigue faltando una amplia y bien estudiada campaña de información a toda la sociedad sobre el uso de ese documento. ¿Cuántos anuncios hemos visto en nuestra televisión sobre las ventajas de usar nuestro DNIe? ¿Algo que nos motive a usarlo y a sentirnos orgullosos de pertenecer a un país tecnológicamente innovador? Tal vez hubo años atrás algún spot publicitario, no lo sé, en este momento no soy capaz de recordar ninguno; señal tal vez de que si hubo alguno, éste no fue lo suficientemente bueno como para perdurar en una memoria algo frágil como la mía y la de otros muchos españoles.

En YouTube se encuentran algunos vídeos sobre el DNIe si hacemos la consulta pertinente pero llama la atención que la mayoría de esas iniciativas son privadas, no institucionales. Sólo se aprecia un vídeo de Redpuntoes de hace un año y una intervención reciente de la Policía Nacional en un programa de televisión de La 2. Que el vídeo más visto, precisamente el de Redpuntoes, no alcance las 50.000 reproducciones en un año y todos los demás vídeos tengan un número de reproducciones bajo o incluso extremadamente bajo, es una señal de que esto no ha calado en la sociedad, considerando que en 2010 se había alcanzado la cifra de 20 millones de documentos emitidos.

Es verdad que hay un portal del DNI electrónico con mucha información pero si en ese sitio Web vamos a la sección Oficina de Prensa y luego en Noticias, veremos que la última noticia data de febrero de 2008… y tampoco hay datos estadísticos de cuántos ciudadanos han entrado a ese portal y qué es lo que buscan una vez están dentro.

Lo mismo sucede con las comunicaciones móviles, telefonía y redes WiFi, aunque en este caso de la telefonía móvil lo tenemos algo más complicado porque es una tecnología demasiado reciente y no existe suficiente experiencia sobre seguridad a ese respecto. El mundo de los PC y su inseguridad parece que se trasladará a los móviles. En redes inalámbricas sucede algo similar, es increíble el número de redes que usan claves débiles o por defecto, pero en ello posiblemente tenga más culpa el usuario final que el desarrollador del software y hardware que permite dichas comunicaciones.

El quid de la cuestión en redes WiFi creo es la falta de conciencia de ese usuario final tal vez no por dejadez, simplemente porque no le han dado una mínima información (o formación) de que lo que tiene entre sus manos no es un juguete. Si te compras una moto o un coche, antes de conducirlo tienes que demostrar ante una autoridad competente que puedes y sabes hacerlo con un mínimo de seguridad y riesgo para ti y los demás; lo mismo un yate, un pequeño barco, que una instalación de gas, de electricidad, etc. Pero en las tecnologías de la información y las comunicaciones TICs, eso no sucede; todo se resume en un simple plug & play del propio usuario final… maravilloso, genial, cómodo, sin costes,… y luego del plug, todo el mundo va directo al play, y mientras más pronto mejor. Pienso que en algunos casos, como en la de instalación de redes WiFi, tal vez no vendría mal un mínimo de control de seguridad por parte de algún organismo.

6. ¿Y frente a los gobiernos? La monitorización de comunicaciones por parte de los estados a nivel de defensa, inteligencia y seguridad interior, interesa cada vez más. Ante esto, ¿puede el ciudadano de a pie hacer algo -criptológicamente hablando- o es inevitable que nos vigilen?

Esto ya son palabras mayores y aquí sí que es muy difícil alejarse de la paranoia. Claro que nos escuchan, o mejor dicho, que pueden escucharnos si así lo desean. Es tan fácil como tirar de hemeroteca o buscar en Internet por ejemplo sobre Echelon y, más cerca aún SITEL en España, el sistema de escuchas telefónicas del Ministerio del Interior.

Pienso que el ciudadano de a pie poco o nada puede hacer criptológicamente hablando como dices porque son herramientas poderosísimas, que se supone están diseñadas para la defensa de los países ante el terrorismo y el tráfico de drogas, entre otros. El tema aquí es quién pone el límite diciendo que esto es legal y lo otro no es legal; es muy complejo y tenemos más de algún caso cercano y muy actual en España de controversia con respecto a las escuchas de móviles en la cárcel.

Siento no poder profundizar algo más, primero porque no soy experto y tengo la misma información que pueda tener quien ha escuchado un par de conferencias sobre estos temas y leído algo en la prensa y en Internet, y segundo porque es un tema muy complejo donde es muy fácil equivocarse y llegar a decir barbaridades si no se tiene información fidedigna.

Sí es verdad que como profesor de criptografía de vez en cuando me hago algunas preguntas en estos escenarios tan extremos, sin ser capaz de encontrar respuestas. ¿Qué pasaría si se resquebraja la seguridad de la infraestructura de clave pública en Internet, bien sea por ataques mediante un nuevo y revolucionario proceso en software o un hardware potentísimo, al alcance obviamente sólo de países y no de particulares? ¿Qué sucedería si países que para occidente son considerados hostiles desviaran ingentes cantidades de dinero para investigar en computación cuántica y tuviésemos más cerca esa fecha en que gran parte de la criptografía actual podría quedar inservible?

Yendo un poco más allá, me cuestiono lo siguiente y lo discuto con mis alumnos. Desde los confines de la historia de la criptografía, ha existido siempre un ansia para la ocultación, el oscurantismo. Algunos ejemplos más o menos cronológicos: el triste final de Alan Turing no reconociéndole en vida lo que hizo por la humanidad; el trabajo de Claude Shannon sobre teoría de la información terminado en 1944 pero publicado en 1948; la drástica reducción del tamaño de las claves que la NSA impone al DES en su nacimiento; la casi imposible exportación de algoritmos de cifrado a finales del siglo pasado al considerarlo USA como material bélico y, en su caso, obligando el uso de tamaños de claves inferiores del DES a todos los países excepto para Estados Unidos y Canadá; las peripecias de Philip Zimmermann y sus problemas con la justicia en su deseo de exportar PGP; el Tratado de Wassenaar que impone restricciones en tecnologías del software de criptografía; la invención del actual RSA por el equipo de Clifford Cocks tres años antes que Rivest, Shamir y Adleman pero que no pudo hacerse público ni menos patentarlo y durante muchos años no reconocido; la historia rocambolesca del Skipjack y su puerta trasera, etc. Sin embargo, llegamos a finales de los 90, el algoritmo AES (belga) se elige como el nuevo estándar mundial de cifrado simétrico, su código puede encontrarse en Internet en infinidad de lenguajes de programación, sus longitudes de claves pueden llegar a ser impresionantes grandes vía software, y parece que esta euforia de oscurantismo y limitación del tamaño de las claves cae en el olvido. Algo no me cuadra.

7. ¿Nos recomiendas algún documento o lectura extra para entender en realidad qué ha sucedido con Wikileaks? ¿Puedes decirnos algo al respecto?

Aunque hay abundante información a ese respecto en Internet, por lo novedoso y por el nivel de los ponentes, recomiendo ver los vídeos del seminario “Wikileaks: el valor de la información” que organizó el 30 de marzo de 2011 la Cátedra UPM Applus+ que dirijo en la Universidad Politécnica de Madrid y que se encuentran en el canal YouTube de esa universidad.

Tal vez simplemente volver a decir una vez más que el eslabón más débil de la cadena de seguridad es precisamente el ser humano.

8. Finalmente, ¿algo que nos quieras contar? Cualquier inquietud, sugerencia, comentario… que nos hagas, es bienvenido en este blog :)

Seguro que me he extendido en demasía pero había cosas como lo de YouTube que tenía que decirlas en algún momento. Agradecerte, como no puede ser de otra manera, la oportunidad que me ha brindado Security Art Work. Ha sido un grato placer.

La idea de los blogs, de las redes sociales y de esta Internet 2.0 me parece fenomenal; es un excelente medio para entregar información. En estos últimos años, y casi diría en estos últimos meses, estamos presenciando un cambio de paradigma sin precedentes en cuanto a la generación y transmisión de la información, así como la paulatina eliminación de las barreras culturales entre los pueblos de diferentes condiciones socioeconómicas e incluso religiosas. Lo que ha estado sucediendo en las revueltas de los países árabes es sólo un último ejemplo de este nuevo poder de la información, aunque yo no lo centraría solamente en las redes sociales.

Siguiendo la cita “La información os hará libres” que muchos atribuyen a Clay Shirky, gurú de la Red y de la Web 2.0, quienes tenemos el privilegio de manejar información, e incluso la posibilidad de crearla, tal vez deberíamos tener alguna obligación moral de darla a conocer de forma gratuita a quienes no tienen posibilidad alguna de obtenerla de otra forma. Sin entrar en filosofía barata ni en creencias religiosas de cualquier índole, creo que cada uno de nosotros tenemos asignada alguna misión que cumplir en esta vida y que, a sabiendas o no, la desarrollamos lo mejor que podemos.

Finalmente, me gustaría recordar cómo me agradecía la posibilidad de contar con material de libre distribución un chaval que estaba en una conferencia que impartí en Sucre, Bolivia, hacia finales del año 2000. Había descargado varios documentos y libros electrónicos desde Criptored y me mostraba con ilusión esa documentación, que era un poco su tesoro, diciendo que comenzaría pronto a leerla. Su actitud francamente me impresionó. Tal vez deberíamos todos aprender desde la humildad de este chico y de su interés por aprender y por superarse, reconociendo que la información es un derecho del ser humano, tal y como lo indica el artículo 19 de la Declaración Universal de Derechos Humanos.