José Miguel Delgado

uchos de nosotros, nos cuestionamos los problemas de seguridad que existen en esta gran maraña de ordenadores interconectados a nivel mundial, que hoy llamamos Internet. Estos problemas no son sino el fruto de una red que ha ido creciendo de forma desordenada, descentralizada y caótica, sin ningún mecanismo de control o diseño previo. Aunque probablemente hayan sido estos factores lo que ha permitido y favorecido su rápida expansión, así como su aceptación mundial más allá de fronteras.

Hace unos años los mecanismos existentes en esta red para garantizar la seguridad eran escasos, más bien sólo había servicios de autenticación para el acceso a un recurso determinado y la posibilidad de encriptación. En los últimos años se han ido incorporando mecanismos más avanzados para proporcionar seguridad a nuestras comunicaciones. Aunque aún están muy verdes, el futuro que nos aguarda pasará indiscutiblemente por utilizarlos como parte esencial en nuestras relaciones electrónicas a distancia.

Veamos cuáles son los principales problemas de seguridad con los que nos topamos en Internet. En primer lugar, tenemos que garantizar la confidencialidad de la información, es decir, nadie no autorizado debería ser capaz de averiguar el contenido de nuestra comunicación.

En segundo lugar, necesitamos garantizar la integridad de la información que estamos recibiendo. Esto simplemente consiste en que nadie pueda manipular nuestra comunicación de tal forma que cambie el contenido o el significado de ella.

Tenemos que tener un mecanismo por el cual, si alguien nos envía cierta información y luego se arrepiente de ello, no pueda negar el envío. De la misma manera, la otra persona no querrá que nosotros podamos negar la llegada de ese mensaje. Este aspecto se conoce como no repudiación, tanto en envío como en recepción.

Por último y no por ser el menos importante, sino por ser el más conocido, está el problema de la autenticación. En toda transacción importante o acceso a recursos, es necesario saber que la persona que está al otro lado es quien dice ser y evitar así la suplantación en la comunicación o el acceso a nuestro sistema por parte de personas ajenas.

En la actualidad todos estos problemas son aceptablemente resueltos gracias a las técnicas de claves asimétricas (pares de claves pública y privada), funciones hash y terceras partes fiables.

El tema más candente en los últimos meses se relaciona con la seguridad en los grandes sistemas informáticos, en los cuales personas totalmente ajenas a ellos son capaces de introducirse y causar daños u obtener información comprometida.

Este aspecto está más relacionado con el sistema y su administrador que con las personas que lo usan. Aunque lógicamente la entrada de un intruso en un servidor puede ocasionar muchos trastornos y quebraderos de cabeza a la persona encargada de mantener su funcionamiento, también puede provocar la suspensión del servicio durante horas, incluso días.

Hoy en día hay cientos de agujeros o debilidades bien conocidas, que se emplean para atacar nuestros sistemas informáticos. La misión del administrador es evitar estos errores en la configuración del software con el que se trabaja y estar al tanto de las nuevas posibilidades de ataque. Es el eterno esfuerzo de construir un castillo inexpugnable para los invasores, esfuerzo que consume mucho tiempo, energía y dinero, para los frutos que cosecharemos.

Una de estas grietas o fallo es la mala elección de la clave de acceso que permite a un usuario entrar en el sistema. A la hora de efectuar un ataque, el pirata opta por los sistemas protegidos con contraseñas fáciles de descubrir.

Existen programas destinados a este propósito, son los denominados cazadores de contraseñas. Podríamos quedar sorprendidos de la efectividad de estos, de la misma manera que un amigo mío quedó ante unas pruebas que realizó con una de estas aplicaciones sobre un fichero de claves encriptadas. Descubrió que dicho programilla había conseguido averiguar más del 80% de las claves que él consideraba seguras.

Veamos algunas estimaciones sobre el tiempo que se tardaría en descubrir nuestras contraseñas, según su complejidad y con un ordenador más bien modesto de hoy en día. Nuestra primera clave vamos a formarla con 4 caracteres de longitud y usando sólo minúsculas. Una contraseña muy sencilla que duraría 30 segundos en dejar de ser válida. Haremos otra más compleja, esta vez usaremos 6 caracteres con minúsculas y mayúsculas. En este caso nuestro ordenador tardaría unos 15 día en dar con ella. Por último, construyamos una con 8 caracteres en la que incluimos mayúsculas, minúsculas y dígitos. Ahora nuestro modesto ordenador se quedará obsoleto en el intento, ya que necesitaría más de 1000 años.

Por ello es necesario tener una política de suministro de claves con cierta robustez, para que en el caso de que alguna persona ajena y no deseable consiga entrar y capturar los ficheros de claves encriptadas, la cosa le resulte un poco más difícil.

Es esta la razón por la que el Centro Servidor del IIE nos ha dado una contraseña tan larga (ocho caracteres) que combina letras (en este caso sólo minúsculas), con dígitos y de forma aleatoria, resultando molesta y caprichosa.

La política del Centro es seguir con estas contraseñas tan molestas, aunque se plantea implementar un mecanismo para poder cambiarla, debido entre otras cosas al tiempo de vida tan largo que tienen, hecho que se contradice con las "normas" de seguridad referentes a claves.

En el próximo artículo se intentará profundizar un poco más en los mecanismos actuales para garantizar los aspectos vistos aquí de confidencialidad, integridad, no repudiación y auntenticación.