DURAS CRÍTICAS A LA CERTIFICACIÓN
ELECTRÓNICA EN SECURMÁTICA 2001
Mercè Molist
Guerra santa entre fabricantes,
desconcierto en sus clientes, desidia de la administración, soportes
inseguros, desconfianza. Los oradores de la XII edición del congreso
Securmática no dejaron nada en el tintero a la hora de mostrar su
pesimismo sobre el sistema de certificados digitales. Unas 300 personas
acudieron a la reunión, celebrada del 24 al 26 de abril, en Madrid.
"En España estamos en un cuello de botella. La Secretaría de Estado de Telecomunicaciones debería definir los estándares y no lo hace. Tampoco hay una lista de registradores. No sabemos cómo debemos hacerlo para hacerlo bien", se quejaba el catedrático Manuel Medina, después de presentar una sopa de letras de proyectos europeos, destinados a la interoperabilidad entre sistemas de certificación, que tampoco marcha: "La tecnología funciona, pero nos falta decidirnos, aceptar los certificados unos de otros. La Agencia Tributaria, por ejemplo, no admite los de las cámaras de comercio. Falta interés por compartir. Debe fluir la confianza y que desaparezcan las islas", reclamaba Medina.
Minutos antes, Borja
Adsuara, Director General para el Desarrollo de la Sociedad de
la Información,
del Ministerio de Ciencia y Tecnología, había explicado que
la moderna ley de firma electrónica deberá rehacerse y tramitarse
otra vez, por errores de coordinación con Europa. La ralentización
del camino de la certificación, que en años anteriores se
presentaba como piedra angular del negocio de la seguridad informática,
hacía razonar a José de la Peña, vocal de Securmática:
"El problema viene porque ha sido una apuesta política. Los productores,
no las herramientas, están en un estado primitivo. No hay economía.
¿Cuánto cuesta un certificado? ¿Dos mil pesetas? Ni
se sabe".
Jorge Dávila, del Laboratorio de Criptografía de la Universidad Politécnica de Madrid, cargaba con fuerza contra la inseguridad del sistema y, especialmente, los problemas de confianza, como la suplantación de identidad, después del reciente engaño a Verisign por parte de falsos empleados de Microsoft. En cuanto a la seguridad de la certificación, afirmaba: "No hay soluciones 'software' que puedan ser eficaces corriendo en sistemas no adecuadamente protegidos. Las tarjetas inteligentes no tienen interfaz suficiente para informar correctamente de lo que se firma. Sería conveniente utilizar otros artefactos como agendas electrónicas, teléfonos móviles..".
Pero los críticos más duros fueron los técnicos, los encargados de instalar los sistemas de certificación. Roberto López Navarro, de SGI Soluciones Globales Internet, se quejó especialmente de los fabricantes: "Hay una guerra santa. Lo más sangrante es que no se hablan entre ellos. No puedes coger la autoridad de certificación que quieres para un producto". En cuanto al servicio, aseguró: "Es increible que, en herramientas tan caras, la operación de revocación no está soportada, o que el esfuerzo de los profesionales se vaya al garete porque una PKI (Infraestructura de Clave Pública) ha decidido que su forma de trabajar es ésta y, además, no lo documenta. Yo no puedo poner la mano en el fuego por nada de lo que estoy implantando. No sabemos qué están haciendo por detrás".
El desabarajuste del comercio electrónico tuvo también su momento de gloria, con el catedrático José Antonio Mañas dando la culpa a "los alegres" que han entrado en el sector. Al comercio-e aludió el director de la Agencia de Protección de Datos, Juan Manuel Fernández López: "Hay una alarma social por la ausencia de seguridad. Hicimos una inspección de oficio a empresas y las deficiencias son notables, hay un incumplimiento con carácter general de la normativa. No se informa ni se cumplen las medidas de seguridad". El año pasado, la Agencia puso multas por valor de casi 2.000 millones de pesetas.
Mejor parado salió
el negocio de la seguridad informática, que según algunos
ha atravesado el desierto y funciona: la noche anterior al estreno de Securmática,
en la serie "Periodistas" de Tele5, un hacker con 'piercing' cobraba medio
millón por descubrir a un intruso en el sistema del periódico.
A nadie en el congreso le sorprendía el precio. Como novedad, se
presentaron los servicios de seguridad gestionada para empresas de los
operadores Telefónica, Telia y Ola Internet. Se criticó también
que, en los "Acuerdos de nivel de servicio" que contratan las compañías
con sus proveedores, es poco usual que aparezcan cláusulas de seguridad,
como el tiempo de reacción a un incidente, auditorías o frecuencia
de uso de antivirus.