Para Dario Fiore, Assistant Research Professor de origen italiano en el Instituto IMDEA Software, especialista en ciber seguridad, Criptografía y Seguridad, el software es algo muy complejo. Es muy difícil asegurar a priori que todo va a funcionar como esperamos. Además, todo se complica cuando desde nuestro disco duro pasamos a la nube y empezamos a almacenar y trabajar con billones de datos; y cuando nos encontramos con legislaciones nacionales y con sociedades cuya percepción sobre la importancia de defender la privacidad de la información son diferentes.
Así opina este joven doctor por la Universidad de Catania ha recorrido mucho mundo antes de recalar en Madrid. Ha trabajado en el Max Planck Institute alemán, la New York University norteamericana y la École Normale Supérieure de París.
1.- ¿Qué piensa cuando en series como CSI Cyber recuperan las coordenadas de un móvil pirateadas por alguien que las ha guardado en un ordenador que ha tirado al mar? Bromas aparte, ¿hasta qué punto este tipo de series y películas se ajustan a la realidad desde el punto de vista del software utilizado?
En general, la capacidad de lo que técnicamente se puede hacer supera a la de lo que realmente se hace, al menos en algunos aspectos. En el caso de la inteligencia artificial, en la que no soy ningún experto, se está avanzando mucho. Por ejemplo, algunas publicaciones utilizan desde hace un tiempo un software que redacta de forma automática noticias breves sin necesidad de que intervenga ningún periodista. Desarrollado por Automatizados Insights, este software ha ayudado a la Associated Press a producir cerca de 4.300 historias por trimestre desde julio de 2014.
2.- Y ¿de libros como El Infierno Digital de Philip Kerr en el que un edificio inteligente se convierte en un asesino en serie cuando su ordenador central considera que el exterminio de todos los habitantes del edificio es un juego?
Que el ordenador de un edificio controle tanto la vida en su interior como para llegar a ser capaz de matar a casi todos los que entren en él es algo… de novela de ciencia ficción. Sin embargo, a menor escala, es muy real la posibilidad de que a través del software las máquinas realicen trabajos sofisticados y mejoren su rendimiento ‘aprendiendo’ mientras trabajan. Por ejemplo, ya existen robots capaces de sustituir a soldados en ciertas misiones y máquinas capaces de aprobar un examen de la ESO.
3.- Entrando ya en el primero de los temas concretos sobre los que queremos saber su opinión ¿podría resumir en qué consistió y qué tecnología de software hizo posible el espionaje de la NSA que destapó Edward Snowden en 2013? ¿Es técnicamente posible hacer desaparecer el riesgo de espionaje informático?
Desde que en 2013 Snowden hiciera públicos sus primeros datos, lo que hemos podido saber es que la NSA (Agencia de Seguridad Nacional norteamericana) tenía y tiene en marcha muchos programas que le permiten llegar a conocer datos privados de millones de personas.
En cada uno de estos proyectos la tecnología de software utilizada es diferente. Por ejemplo, en uno de ellos (Bullrun) cambiaron el proceso de estandarización de una tecnología criptográfica al fin de introducir en el software vulnerabilidades que les permitiesen hacerse con el contenido original de los textos sin codificar. En otro, llamado PRISM, el sistema fue técnicamente más sencillo: la Agencia firmó acuerdos con grandes compañías norteamericanas del sector de las tecnologías de la información y las comunicaciones para que le permitieran acceder a los datos de tráfico Internet de sus clientes.
Con respecto a la segunda pregunta, mi respuesta es que es imposible hacer desaparecer el riesgo de espionaje informático, pero posible reducirlo mucho. En este sentido, los problemas además de técnicos, son económicos y, sobre todo legales: en un mundo tan globalizado como el actual, las legislaciones sobre protección de la privacidad de las comunicaciones y sobre seguridad son nacionales o europeas, mientras que los datos cuya privacidad se quiere asegurar, recorren el planeta. También diferente es la sensibilidad social sobre estos temas. Por ejemplo, en Europa preocupa más la privacidad que en Estados Unidos y la legislación es más protectora.
4.- ¿Cuáles son los aspectos técnicos más relevantes del conflicto entre el FBI y Apple por el desbloqueo del móvil de uno de los terroristas de San Bernardino?
Por lo que la prensa ha publicado, el problema surgió cuando el FBI le pidió a Apple que modificase la versión del sistema operativo del iPhone que tenía el terrorista, para eliminar el límite de intentos para introducir la clave de usuario. La firma estadounidense se negó arguyendo que al hacerlo se correría el riesgo de dar acceso a la información del móvil de cualquier usuario con el mismo sistema operativo, lo que dañaría su derecho a la privacidad. Como se ha demostrado, había alternativas. Caras, novedosas y complicadas técnicamente, porque han necesitado implicar a especialistas tanto en software como en hardware, pero las había. Casi siempre las hay, aunque alcanzar un nivel de seguridad del cien por cien es muy difícil y caro, ya que las tecnologías de la información y las comunicaciones, por lo general, avanzan más rápido que la seguridad del software en el que se apoyan.
5.- Y para terminar, todo apunta a que la filtración de información del bufete Mossack y Fonseca, conocida como Papeles de Panamá, fue posible por el ataque de un pirata informático a los servidores de correo electrónico de la firma ¿Cómo es posible? ¿Se hubiera podido evitar?
Lamentablemente, hay varias formas de atacar un servidor. Por lo tanto, no es tan sorprendente que esto suceda. En este caso concreto, no sé cómo se llevó a cabo este ataque, y por tanto, no puedo decir cómo se podría haber evitado. Sin embargo, si toda la información estaba en mensajes de correo electrónico, sí puedo decir que por lo general los correos electrónicos se cifran difícilmente, que prácticamente todos los que almacenamos en nuestros servidores están en texto plano, no encriptado.
6.- En el desarrollo de software ¿se puede llegar a cotas de seguridad y privacidad absolutas?
En los tres casos de los que hemos hablado, podría pensarse que la solución técnica es sencilla: encriptar toda la información. Sin embargo, esta solución no tiene en cuenta su elevado coste y que al encriptar perdemos la capacidad de que un servidor pueda utilizar posteriormente dicha información (por ejemplo para buscar una palabra clave). Por eso, nosotros estamos trabajando en técnicas que permitan trabajar con los datos cifrados, preservando a la vez la privacidad de la información y la capacidad de utilizarla con fines médicos, comerciales, etcétera. En concreto, trabajamos sobre lo que se conoce como cifrado homomórfico, que permite analizar de forma segura datos cifrados en la nube, gracias a que las claves de encriptado sólo las tiene el usuario, no el servidor.
Teniendo en cuenta que alcanzar un nivel de seguridad absoluta hoy puede resultar caro, trabajamos bajo la hipótesis de que cada tipo de información puede requerir niveles de seguridad diferentes. Por ejemplo, la información médica o laboral de una persona se trata con técnicas de encriptación mucho más sofisticadas y con estándares de seguridad mucho más elevados porque se asume que preservar su privacidad es fundamental y por ello se acepta un mayor coste para conseguirla.
Sería bueno que todos fuésemos conscientes de que el actual ‘vivir en la nube’ supone, si no se extrema el cuidado, dejar tu puerta abierta 24 horas al día, 365 días al año, con el problema añadido de que pueden entrar en tu ‘casa’ sin que te des cuenta.
FUENTE | Instituto IMDEA Software