Violar las tecnologías de encriptación, una propuesta peligrosa

Algunos gobiernos esperan tener acceso privilegiado a estas herramientas, que hoy se han convertido en la base de la seguridad en internet. Esto podría vulnerar la estabilidad de la red, dice documento de 14 prominentes investigadores en este campo.

Santiago La Rotta
07 de julio de 2015 - 03:45 p. m.
 iStock /  iStock
iStock / iStock

Un grupo de expertos lanzó una dura advertencia este martes en contra de la posibilidad de que los gobiernos ordenen a las empresas de tecnología construir accesos preferenciales en sus sistemas de encriptación, algo que no sólo debilitaría el desarrollo de este tipo de herramientas, sino toda la infraestructura de comunicaciones que hoy es la base de internet.

En concreto, Estados Unidos y Reino Unido son dos de los países que se encuentran en una suerte de campaña para convencer a sus legisladores de la necesidad de construir estos accesos para garantizar la seguridad de sus ciudadanos en el mundo del terrorismo. El grupo de analistas, que incluye a 13 de los expertos más renombrados en el campo de la criptografía, recuerdan que no es la primera vez que escuchan este argumento y que pueden probar que sigue siendo una falacia.

La evidencia presentada por los investigadores fue consignada en un reporte titulado “Keys under doormats”, publicado ayer bajo el auspicio del Laboratorio de Inteligencia Artificial y Ciencias de la Computación, adscrito al Instituto de Tecnología de Massachusetts. En el documento, los investigadores recuerdan que en 1997, durante la administración de Bill Clinton, el gobierno de EE.UU. ya había intentado obtener un acceso preferencial a las tecnologías de encriptación argumentando que, de no garantizarse este privilegio, las autoridades quedarían en una especie de zona oscura desde la cual no podrían garantizar la seguridad y detener el terrorismo, que en ese entonces ya daba fuertes muestras de ser un asunto constante y global.

En su momento, el grupo de expertos logró disuadir al Gobierno de sus planes al argumentar que la solución planteada no sólo era impráctica y costosa, sino que debilitaría la arquitectura de internet y representaría un riesgo potencial para la seguridad de todos sus usuarios: otorgarle una llave privilegiada de las comunicaciones encriptadas a un tercero sólo hace que este tercero se convierta en un blanco de ataques y, si uno de éstos llega a ser exitoso, entonces quedarían comprometidos todos los sistemas que pueden ser accedidos mediante esa llave.

“El daño causado por el acceso excepcional que se le otorgaría a las autoridades sería aún más grande hoy, que el que se hubiera experimentado 20 años atrás”. La evaluación de los expertos está soportada por varios factores. Por un lado, la red era un medio que apenas estaba naciendo en 1997, mientras que hoy es casi un soporte vital para una multitud de servicios: las técnicas de encriptación son clave en el resguardo de la información en el sector financiero, por ejemplo, pero también lo son a la hora de salvaguardar registros médicos o asegurar los datos de centrales de energía, instalaciones con una presencia creciente en internet.

Por el otro, el incremento en los ataques en línea contra instituciones gubernamentales ha permitido la filtración de información sensible, como en el caso de la agencia que supervisa los empleados federales de EE.UU. cuyas redes fueron penetradas este año en un acto que expuso los datos personales de por lo menos un millón de servidores públicos de ese país. El ataque, se especula, fue llevado a cabo por un grupo de delincuentes chinos, y resalta el lado flaco de depender de un sitio seguro para guardar este tipo de información.

El reporte señala tres problemas generales en todo este tema. El primero tiene que ver con que diseñar un acceso privilegiado para las autoridades significaría darle, en pocas palabras, un giro de 180 grados a todas las buenas prácticas y técnicas que la industria ha implementado hoy para asegurar más las comunicaciones en internet. Un movimiento costoso y poco práctico, entre otros problemas.

En segundo lugar, poner en marcha el plan de los gobiernos impondría un nivel de complejidad indeseable en todos los sistemas, pues entre más se complejizan las cosas, más puntos débiles y fallas pueden nacer en las muchas interacciones que resultan de un mundo altamente interconectado, y dependiente de esas conexiones. Según reza el informe: “Las herramientas que le darían acceso privilegiado para las autoridades pueden ser particularmente problemáticas porque su naturaleza es pasar desapercibidas, lo que haría que probar la seguridad de un sistema se tornara en un asunto difícil y menos efectivo”.

Y el tercer punto tiene que ver con la lógica ya mencionada según la cual las llaves para los sistemas encriptados se guardan bajo un solo techo, por decirlo de cierta forma. Esto vuelve más vulnerable este lugar. “Si las llaves que guardan las autoridades dan acceso garantizado a todo, un atacante que logre hacerse con éstas también tendría el mismo privilegio”, dice el documento.

Este miércoles se espera que el director del FBI, James Coney, y la vicefiscal de EE.UU., Sally Quillian Yates, se dirijan a un comité del Senado para expresar sus preocupaciones acerca de cómo las agencias del orden pueden quedar ciegas ante las actividades de los terroristas si no se les garantiza acceso privilegiado a los métodos de encriptación.

El documento de los expertos en encriptación señala que, en 1997, este argumento también fue esgrimido por las autoridades del momento. Desde entonces “el mundo no quedó oscuridad. Por el contrario, las agencias del orden ahora tienen capacidades de vigilancia más efectivas de las que tenían en ese momento”. Algo que quizá ha quedado ampliamente demostrado con las revelaciones sobre el funcionamiento del aparato de interceptación y espionaje de la Agencia Nacional de Seguridad de EE.UU. hechas por el excontratista de la CIA, Edward Snowden.

El primer ministro británico, David Cameron, junto con su secretaria del interior, Theresa May, anunciaron que para este año esperan introducir una ley que obligaría a compañías extranjeras como Apple, Google y Microsoft, proveer acceso a sus sistemas de encriptación. La legislación es un pedido de las agencias de inteligencia, que alegan que esta tecnología ha hecho mucho más difícil su labor.

Ross Anderson, el único autor inglés del informe, dijo, en declaraciones al diario inglés The Guardian que “lo que quiere Cameron no sólo va en contra de buenos principios de seguridad, sino también viola derechos humanos. Hay tres pruebas para que éste acceso excepcional sea compatible con los derechos humanos: éste debe ser trazado claramente en la ley para que sus efectos sean previsibles, debe ser proporcional y también debe ser necesario en una sociedad democrática. La propuesta del Gobierno falla cada una de estas pruebas”. 

Las grandes preguntas del informe

1- ¿Qué programa de supervisión se requeriría para monitorear la efectividad, el costo, los beneficios y los abusos del acceso excepcional que se diseñe para las autoridades?

2- ¿Cuáles serían los límites del programa: bajo qué condiciones se decidiría que debe acabarse (exceso de abusos, falta de resultados…)?

3- Si el programa resulta en una reducción en el uso de la criptografía, con los riesgos de seguridad que esto trae, ¿cómo incentivamos en las compañías el uso de esta herramienta para reforzar las comunicaciones de sus usuarios?

4- La puesta en marcha de este programa puede convertir a los países que participen en él en lugares menos atractivos para la innovación tecnológica. ¿Hasta dónde podrían ser aceptables los impactos económicos?

Por Santiago La Rotta

Temas recomendados:

 

Sin comentarios aún. Suscribete e inicia la conversación
Este portal es propiedad de Comunican S.A. y utiliza cookies. Si continúas navegando, consideramos que aceptas su uso, de acuerdo con esta política.
Aceptar