Crónica Jornada de Seguridad en la UPM

10/12/07 17:50:33 





LA CRIPTOGRAFÍA CUÁNTICA EN MALAS MANOS PODRÍA PROVOCAR UN DESCALABRO MUNDIAL





Mercè Molist

Una jornada sobre seguridad informática en la Universidad
Politécnica de Madrid ha puesto nuevamente sobre la mesa los
peligros por el mal uso de la tecnología. Desde los riesgos
asociados a inventos tan rompedores que pocos imaginan aún su
lado oscuro, como la criptografía cuántica, hasta
problemáticas cada día más amenazadoras como los
programas maliciosos, antaño llamados virus.





Dentro de 30 años, muchos de los secretos que guarda el mundo
moderno bajo potentes algoritmos criptográficos, como los datos
médicos o la información clasificada de los gobiernos,
correrán un peligro real de saltar por los aires. La
criptografía cuántica se encargará de que su
descifrado sea un juego de niños, susceptible de caer en manos
de terroristas o criminales.



Quien realizó tal profecía no fue un simple agorero sino
respetables investigadores como Martin Hellman, co-inventor de la
criptografía de clave pública, y el criptólogo
argentino Hugo Scolnik, durante sus intervenciones en el Día
Internacional de la Seguridad de la Información, dentro de la
Cátedra UPM Applus+. 



Según Hellman y Scolnik, la criptografía cuántica
está aún en un estado embrionario y hasta dentro de 30
años no se verán sus primeras aplicaciones
prácticas, que romperán con facilidad los actuales
sistemas de cifrado. Mientras tanto, ha empezado una carrera paralela
para proteger la información que debería seguir siendo
secreta cuando irrumpa la criptografía cuántica.



Hellman aseguró estar "preocupado" por si cae en malas manos. De
momento, los investigadores trabajan en una de las pocas soluciones a
su alcance: cifrar las cosas por duplicado, combinando
criptografía simétrica y asimétrica, de forma que
si la cuántica rompe la asimétrica, quede aún en
pie la simétrica. El problema, dijo, es que "es muy caro, por lo
que sólo puede usarse para información realmente valiosa".



El riesgo de que esta novedosa tecnología se use con fines
perversos no es ninguna utopía, ya ha sucedido con los programas
informáticos, como demostró Sergio de los Santos,
consultor de seguridad de Hispasec Sistemas: "En el código
malicioso, hemos pasado del romanticismo al todo por la pasta, gente
organizada que presta especial atención a atacar la banca en
línea". Como ejemplo de su creciente poder, mostró fotos
de una lujosa fiesta en Praga que reunió a algunos de estos
nuevos criminales.



Según de los Santos, "funcionan como una industria, el
código que producen es muy bueno y sofisticado, optimizando los
recursos para obtener mayores beneficios". Ni los antivirus ni los
cortafuegos protegen ya contra estos criminales que "han tomado la web
para distribuir sus códigos y también como parte de su
infraestructura", refiriéndose a la Rusian Business Network, una
empresa de San Petersburgo que vende servicios web para
distribución de código maligno y "phishing".



Muestra de la sofisticación de esta industria es la familia de
troyanos SinoWall, explicó De los Santos: "Una vez te has
infectado, el troyano queda latente, vigilando tus hábitos de
navegación. Cuando detecta que has visitado algo interesante,
por ejemplo un banco, envía esta información cifrada al
criminal, que decide si es un objetivo apetecible y si tiene
algún código malicioso específico para él.
Si se da el caso, lo instala en tu máquina para que robe tus
claves".



Otra muestra de la complejidad de estos troyanos es su funcionamiento
modular, de forma que el mismo pueda servir para diversas funciones, al
gusto del criminal: enviar correo basura, bombardear redes o infectar
otros ordenadores. Además, detectan el navegador que está
usando su víctima y descargan troyanos específicos para
aprovechar los agujeros de este programa. Fernando Acero, de
Hispalinux, añadió: "Si tu ordenador está
infectado con un troyano, hará las operaciones que quiera con tu
DNI electrónico".



El director de la Agencia Española de Protección de
Datos, Artemi Rallo, ofreció otro ejemplo de mal uso de la
tecnología: el trabajador que instala en el ordenador de su
oficina un programa de intercambio de archivos y lo configura mal, de
forma que abre al acceso público la base de datos de la empresa,
con información privada de miles de personas. "Ya ha habido una
sanción y habrá otras, algunas por datos más
sensibles", anunció Rallo.



El director de la Agencia de Protección de Datos se quejó
de que "no hay información sobre los riesgos que plantean las
herramientas tecnológicas, ni tampoco conciencia ciudadana sobre
privacidad". Y preguntó al público:
"¿Cuántos ciudadanos pulsan la cláusula de
privacidad de la web que visitan?". Respondiendo a continuación:
"Uno de cada 10.000. Nadie quiere perder ni tres segundos en conocer
los riesgos a que se expone".





 

Copyright 2007 Mercè Molist. 

Verbatim copying, translation and distribution of this entire article
is permitted in any digital and no commercial medium, provide this
notice is preserved. 





<<