Seguridad informática en el Ciberespacio La criptografía responde a la necesidad de codificar mensajes que sólo pueda descifrar el destinatario y se ha aplicado tanto a defensa, como a secretos industriales y, en los últimos años, sobre todo, al comercio electrónico. Esto es así porque actualmente la seguridad de los sistemas informáticos se ve debilitada por el fuerte crecimiento de las redes y cuando se trata este tema hay que tener en cuenta un aspecto tan importante como la privacidad e integridad de los datos. El motivo de la existencia de numerosas barreras para la aceptación generalizada del comercio electrónico en el mundo de hoy es que muchas de las grandes ventajas de la banca y la compra en el ciberespacio representan también obstáculos potenciales que es necesario superar. En primer lugar, el reciente aumento del uso de la Red Internet ha dirigido la atención del mundo entero a un problema crucial que ya mencionábamos antes: la privacidad. Hasta el momento, no ha existido una protección real que garantice que los mensajes que enviamos o recibimos no son interceptados, leídos o incluso alterados por algún desconocido, ya que, en realidad, nadie controla Internet. Puede parecer que esto ocurra únicamente en las películas de guerra fría o las novelas de espionaje, pero no es así: también nos afecta a nosotros. Hace escasos meses se conoció la noticia de que el FBI había desarrollado un programa informático, el “Carnivore”, que filtraba los correos electrónicos sospechosos para controlar el tráfico de información y correo peligroso; su revisión ha sido solicitada por numerosas universidades norteamericanas, pero parece que todavía existen demasiados secretos alrededor de este programa censurador. Después de esto resulta comprensible que el objetivo de muchas de esas novelas a las que nos referíamos sea el de advertirnos para que protejamos nuestra identidad; éste es el caso, por ejemplo, de Database Nation (The death of the privacy in the 21st century), de Simson Garfinkel, recientemente publicado. Si tenemos en cuenta la cantidad de datos almacenados en bases de datos informatizadas o la utilización cada vez mayor del correo electrónico, se comprende la necesidad de encontrar sistemas lo más seguros posible que garanticen la confidencialidad de datos y comunicaciones. En segundo lugar, en el mundo del ciberespacio la posibilidad de que el fraude o la estafa existan es mucho mayor. La capacidad de tener acceso a información las 24 horas del día, desde cualquier lugar del mundo, es para muchos un beneficio que brinda la Red Internet. Sin embargo, esto plantea algunos inconvenientes prácticos. Las redes y sistemas informáticos se han convertido en un nuevo escenario para el delito: interceptar comunicaciones electrónicas entre dos personas, introducirse en los sistemas informáticos de empresas, difundir y vender ciertos datos industriales, destruir, modificar o alterar datos, programas o documentos electrónicos. Los hackers o piratas informáticos son usuarios muy avanzados que por su elevado nivel de conocimientos técnicos son capaces de superar determinadas medidas de protección utilizando diferentes tipos de programas (gusanos, troyanos, bombas...). Su motivación abarca desde el espionaje industrial hasta el mero desafío personal. La NASA es uno de los objetivos prioritarios de los hackers, soportando medio millón de ataques al año. El incidente más grave ocurrió en 1997, cuando un pirata informático bloqueó las comunicaciones del trasbordador Atlantis justo cuando iba a acoplarse a la estación Mir. Además, a finales de octubre del año pasado la compañía Microsoft reconoció que un grupo de piratas informáticos había tenido acceso a su más íntimo secreto, el código de programación que hace funcionar Windows y los otros programas de la empresa, utilizados por casi el 90% de los usuarios de ordenadores. Esto deja claro que no existe un lugar seguro, ya que si han podido colarse en Microsoft es que pueden entrar en cualquier sitio, incluso en el portal de la compañía Yahoo!, que en febrero fue puesto fuera de combate durante tres horas tras un asalto en el los servidores de Yahoo! fueron bombardeados con mensajes falsos. Sin embargo, aunque los casos de jóvenes sumergiéndose en los potentes ordenadores de la NASA, el Pentágono o los grandes portales han sido constantemente aireados por la prensa, los episodios más relevantes han gozado de mucha menos publicidad y, en la mayoría de los casos, todavía siguen siendo desconocidos. El principal de los pocos que alcanzaron la luz pública es el del ciberataque contra el Citibank en 1994, cuando un delincuente que actuaba con un modesto equipo desde San Petersburgo transfirió unos 10 millones de dólares a diferentes cuentas. En este caso la conexión a la entidad bancaria no fue a través de Internet, sino utilizando la línea telefónica convencional de un país que, como es el caso de Rusia, no está precisamente desarrollada en este aspecto. Sin embargo, Internet, con sus grandes facilidades de conectividad, permite a los hackers intentar el acceso remoto a cualquier máquina conectada de forma anónima. Los expertos en crimen electrónico afirman que el fraude existe, pero no amenaza tanto a usuarios individuales como a las “empresas punto com”, las que hacen negocios en y con Internet. Las principales víctimas potenciales son los que venden en Internet los llamados bienes digitales, es decir, todo aquello que está hecho de bits, por ejemplo programas informáticos, acceso a servicios on line (subscripciones, juegos de pago) o documentos en formato digital (archivos en Word y otros). También aquellos que venden productos de alto valor a través de la Red, como coche y joyas, se encuentran entre los principales candidatos a ser atacados. Una de las principales causas de que todavía no se den estos delitos es la escasa cuantía que supone actualmente el comercio electrónico, ya que las transacciones en Internet representan sólo un 2% del total de operaciones realizadas con tarjeta de crédito, lo que las convierte en un segmento poco interesante para delincuentes e investigadores. Difícilmente la policía va a poder dedicar muchos medios a delitos que alcancen poca cuantía, por lo que cada organización debe estar bien preparada para no encontrarse luego con sorpresas desagradables. Cuando el cliente es sólo alguien al otro lado de la pantalla, ¿cómo saber si esa persona tiene efectivamente una cuenta válida? O, desde el punto de vista del consumidor, ¿por qué confiar en un comerciante al que nunca hemos visto o en una empresa que no conocemos? Después de todo, es posible que la "tienda" del comerciante exista sólo en el disco duro de la computadora de alguien con pocos escrúpulos dispuesto a obtener beneficios fáciles, el llamado ciberdelincuente. El pasado verano, sin ir más lejos, nos sorprendió la publicación en la Red de una supuesta lista, que contenía las contraseñas de acceso a Internet de miles de usuarios de una conocida compañía. Al parecer, la empresa responsable de mantener la confidencialidad de esa información tenía conocimiento de la fuga desde hacía tiempo, y no había avisado a sus clientes para no alarmarles. Cuando la noticia trascendió se vio obligada a corregir la situación de forma precipitada, deshabilitando sin previo aviso las cuentas de los afectados, que contemplaban con perplejidad el espectáculo. Después de este ejemplo, resulta obvio que para que el comercio electrónico cobre verdadero auge, cada una de las entidades que participan necesita contar con una manera de verificar la identidad de la otra para establecer un nivel de confianza. La necesidad de una legislación seria que proteja a los consumidores de nuevas tecnologías del abuso de las compañías es apremiante, ya que actualmente, en España, a pesar de disponer de los mismos productos o servicios que en el comercio tradicional a unos precios mucho más ventajosos tan sólo un 2% de los consumidores ha comprado alguna vez por Internet. Algunas empresas ya están tomando medidas para ofrecer al usuario un elevado nivel de seguridad en lo que se refiere al almacenamiento y protección de su identidad. Éste es el caso de la empresa española ipsCA, que ha anunciado recientemente la inminente comercialización de sus tarjetas criptográficas -ipsCards- con sus respectivos lectores. De esta manera, y gracias al Certificado Digital que alberga (reconocido por Microsoft en sus navegadores y programas de correo electrónico) será posible asegurar la confidencialidad de las operaciones electrónicas. Una técnica para proteger la confidencialidad es el cifrado. La información puede cifrarse y descifrarse empleando ecuaciones matemáticas y un código secreto denominado clave. Generalmente se emplean dos claves, una para codificar la información y otra para descodificarla. La clave que codifica la información, llamada clave privada, sólo es conocida por el emisor. La clave que descodifica los datos, llamada clave pública, puede ser conocida por varios receptores. Ambas claves se modifican periódicamente, lo que complica todavía más el acceso no autorizado y hace muy difícil descodificar o falsificar la información cifrada. Estas técnicas son imprescindibles si se pretende transmitir información confidencial a través de un medio no seguro como puede ser Internet. Las técnicas de firma electrónica permiten autentificar los datos enviados de forma que se pueda garantizar la procedencia de los mismos (imprescindible, por ejemplo, a la hora de enviar una orden de pago). Otro sistema de seguridad es el formado por la especificación SET, Secure Electronic Transactions, que está diseñada con el propósito de asegurar y verificar la identidad de los participantes en las compras abonadas con tarjetas de pago en cualquier tipo de red en línea, incluyendo la Red Internet. SET fue desarrollada por Visa y MasterCard, con la participación de Microsoft, IBM, Netscape, SAIC, GTE, RSA, Terisa Systems, VeriSign y otras empresas líderes en tecnología. Al emplear sofisticadas técnicas criptográficas, SET convertirá el ciberespacio en un lugar más seguro para efectuar negocios, y con su implementación se espera estimular la confianza del consumidor en el comercio electrónico. El objetivo primordial de SET es mantener el carácter estrictamente confidencial de la información, garantizar la integridad del mensaje y autenticar la legitimidad de las entidades o personas que participan en una transacción. Quizá el punto más importante en toda transacción comercial electrónica segura es el certificado digital, que brinda una forma conveniente y fácil de asegurar que las dos partes implicadas puedan confiar el uno en el otro. Esta confianza se establece a través de un tercero, en este caso Visa. Por ejemplo, Visa suministrará certificados digitales a las instituciones financieras emisoras de tarjetas, y cada institución, a su vez, ofrecerá un certificado digital al titular de la tarjeta. El proceso será similar en el caso de los comercios. En el momento en que se efectúa la transacción, el software que cumple las normas de SET de cada entidad participante en la transacción, verifica y confirma la identidad del comercio y del propietario de la tarjeta antes de que se intercambie ningún tipo de información. Esta confirmación se realiza revisando los certificados digitales emitidos por una tercera parte autorizada y fiable.