Los atentados de hace unas semanas contra casi una decena de portales vuelven a poner en tela de juicio la seguridad en la Red y provocan la alarma de los Gobiernos de Estados Unidos y la Unión Europea. Mientras los investigadores intentan encontrar nuevas formas para hacer fiable la Red y las compañías invierten en la protección de sus websites, el Gobierno de Estados Unidos reúne a los expertos para hablar del tema http://www.elpais.es/ y anuncia su intención de crear un centro de seguridad para defender Internet de los hackers. También la Unión Europea, ante la polvareda levantada, anuncia que presentará una carta de recomendaciones contra la cibercriminalidad dirigida a las empresas proveedoras de servicios de Internet.
Este tipo de acciones nacieron casi a la par que Internet; servidores de universidades (por ejemplo la de Eindhoven en Holanda); medios de comunicación (como el New York Times), organismos oficiales de países como Estambul, Turquía, India, Pakistán y, muy especialmente, organismos como el FBI y la CIA en Estados Unidos, han sido objeto de ataques informáticos. Pero como sucede en la vida real, las acciones terroristas son difíciles de controlar y perseguir; por ello, los expertos afirman que la seguridad absoluta en Internet es imposible (El Punt, Girona, España, 11-02-2000).

Algunos casos de sistemas poco seguros son el creado por Microsoft para la protección de las contraseñas en máquinas con Windows CE http://www.cegadgets.com/artsusageP.htm; otro caso es el del PPTP, protocolo de «tunelado» punto a punto que asegura las conexiones sobre enlaces TCP/IP, reseñadas por el criptógrafo Bruce Schneier en http://www.counterpane.com/ (en inglés). Estas fallas de seguridad, presentes en casi todos los sistemas, son una amenaza en el actual entorno empresarial, donde la información ha dejado de ser un recurso y se ha convertido en un bien con elevado valor económico. En las actuales condiciones, la seguridad y la protección de la información deben ser tareas prioritarias en una organización, porque si no de poco sirve tener unas redes de comunicación muy potentes.

Los ataques, que provocaron la Denegación de Servicio (DoS), fueron realizados con estrategias conocidas en el ambiente como TR100, Tribe Flood Network, TFN2K y el Stacheldraht o alambre de púas. Aunque se conoce la técnica, es muy difícil seguir la pista de los atacantes porque saltan de una red informática a otra y borran inmediatamente cualquier pista.

Reuna, Red Universitaria Nacional de Chile http://www.reuna.cl/, asegura que, en términos genéricos, el objetivo de proteger la información apunta a obtener confidencialidad, disponibilidad, integridad y confiabilidad. La seguridad de los datos distingue tres niveles: seguridad de los sistemas (control de password, control de claves secretas de usuarios, control de usuarios, control de acceso); seguridad en cuanto a recursos y servicios (instalación de mecanismos o dispositivos denominados firewalls o cortafuegos, cuya función principal es mantener un control del acceso a la red y los recursos); y seguridad de la información (el más importante porque es donde más participa el usuario) que tiene varios niveles como la encriptación o cifrado de mensajes, que codifica un mensaje mediante algoritmos matemáticos, de forma que sólo lo pueda descifrar quien posea la clave de desencriptación.

SOLUCIONES

Otras tecnologías también han mostrado su debilidad. Recientemente dos investigadores israelíes, Alex Byriukov y Adi Shamir, han descubierto nuevos fallos en la seguridad de GSM (sistema europeo de comunicaciones móviles) que les permiten descifrar las conversaciones, supuestamente cifradas, en menos de un segundo. Otro ejemplo de inseguridad lo muestra el caso del programador informático francés Serge Humpich, quien fue detenido cuando intentaba vender su «invento» a los bancos: diseñó una tarjeta de crédito falsa que podía comunicarse con los cajeros automáticos para que le diesen una cantidad de dinero ilimitada. (Intercom, 24-01-2000)

Los expertos aseguran que para aumentar la seguridad global de los sistemas no es suficiente ocultar los detalles de cómo funcionan los algoritmos criptográficos; para mayores garantías es imprescindible publicar estos algoritmos en revistas científicas, para que sean accesibles a todo aquel interesado en estudiar su robustez. Hay otras medidas de seguridad como las AC --Terceras Partes de Confianza--, importantes para cualquier gestión que quiera hacerse por la red. Los certificados y firmas digitales que emiten estos organismos garantizan la autenticidad, integridad y confidencialidad de la información. (El País, 04-06-1998). Además, para las operaciones de comercio electrónico se han creado algunos sistemas como el protocolo SET http://www.setco.org/, (en inglés), diseñado para soportar pagos y transacciones, aunque su algoritmo de cifrado simétrico (DES-56) es considerado inseguro. A finales de este año está prevista la adopción del estándar AES, que intenta garantizar mayor seguridad del protocolo. (Luis López, Boletín Criptonomicón).

Según el periódico El Mercurio (Santiago de Chile, 15-07-1998), los problemas de seguridad informática, los continuos ataques a organismos estratégicos de los estados --especialmente de los Estados Unidos-- y el aumento de la delincuencia cibernética, hacen que empiece a extenderse la doctrina de la «Guerra de la Información» (GI) o «Infoguerra» (Information Warfare). En esta contienda de bits, las armas de los delincuentes son los virus, los programas que alteran el flujo de la información que circula por Internet y la saturación de los portales, usando una técnica llamada e-mail bombing. También agencias de seguridad --como El Pentágono y la CIA-- trabajan desde hace varios años para crear sus propias armas informáticas, capaces de desmantelar las defensas enemigas, sembrar caos en las comunicaciones o falsificar datos sobre las posiciones de las tropas. Tal vez esta es la razón por la que expertos del Pentágono llevan a cabo un juego llamado «El día después», cuyo objetivo es calcular una amenaza contra Estados Unidos (TecnoNoticias, 24-04-1998), mientras el Ejército prepara el equipo SWAT (Special Tactics and Weapons) para luchar contra los hackers.

En cuanto al ataque de estos días, las autoridades aseguran que provino de un grupo informático sólido y no de una sola persona. El investigador José Luis López (Intercom, 24-01-2000) asegura que los ataques no son necesariamente obra de hackers, porque cualquiera puede provocarlos, aún sin tener experiencia. Por su parte, Kevin Mitnick, uno de los más famosos hackers de Estados Unidos, asegura que «un verdadero hacker no dañaría jamás intencionalmente ningún sistema». El reciente ataque cibernáutico ha creado un clima de confusión entre quienes no distinguen un hacker de un crackers:

Hacker: es una persona técnicamente muy preparada en informática, electrónica y comunicaciones, que se dedica a encontrar nuevos métodos para burlar las barreras electrónicas de acceso restringido a sistemas, programas, redes, etc. Luchan por la libertad de la información.

Crackers: van desde simples piratas de software hasta terroristas informáticos. Estos últimos utilizan sus conocimientos para irrumpir en las bases de datos privadas introduciendo virus, borrando ficheros, etc.


Más información en:

Boletín del Criptonomicón: www.iec.csic.es/criptonomicon

Inseguridad del sistema GSM: www.scard.org/ (en inglés) www.gsm.org/ (en inglés)

Red Temática Iberoamericana de Criptografía: www.lpsi.eui.upm.es/criptored/criptored.htm/

Página web sobre seguridad, con enlaces y artículos sobre hacking y seguridad, criptología y privacidad, redes y TCP/IP, IRC, compiladores, lenguajes y programación, software y parches de software, etc.: www.argo.es/

Nuevo programa de Seguridad Password Safe: www.counterpane.com/ (en inglés)
http://wired.lycos.com/news/politics/0,1283,32900,00.html/ (en inglés)
www.sjmercury.com/ (en inglés) www.computerworld.com/home/news.nsf/all/9912105gsm (en inglés)

NMAP: www.insecure.org/nmap (en inglés)

Ley de firma electrónica en España: www.iec.csic.es/criptonomicon/susurros/susurros10.html/ www.jriver.com/ (en inglés)

Sobre la ciberguerra

Ciberguerra: www.infowar.com/ (en inglés)
Air Force Warfare: www.aia.af.mil/aialink/homepages/afiwc/index.htm (en inglés)
The Journal of Infraestructural Warfare:/www.iwar.org/ (en inglés)