Criptografía en la Ciberseguridad
Este texto se ocupa de la criptografía en la ciberseguridad.
Criptografía en la Ciberseguridad
Este artículo examina varios aspectos de la criptografría en la ciberseguridad.
Criptografía en la Ciberseguridad
El comercio electrónico ofrece grandes oportunidades para la comunidad empresarial y los consumidores, pero también conlleva algunos riesgos importantes. El explosivo crecimiento mundial de las redes abiertas ha suscitado una legítima preocupación respecto a la idoneidad de las medidas de seguridad y privacidad de los sistemas de información y comunicaciones y de los datos que se transmiten y almacenan en dichos sistemas. La infraestructura de la información en desarrollo es un entorno fértil para todo tipo de delitos informáticos, incluidos el fraude y la violación de la privacidad, y el negocio electrónico no avanzará hasta que se adopten medidas eficaces de seguridad de los datos en las que confíen los usuarios y consumidores. Se necesitan soluciones tanto técnicas como legales para sustituir en el mundo electrónico la seguridad física del mundo en papel. Es importante que las soluciones sean fiables y que los consumidores confíen en ellas.
Criptografía y Seguridad de los Sistemas de Información
La importancia de los sistemas de información y comunicación para la sociedad y la economía mundial se intensifica con el aumento del valor y la cantidad de datos que se transmiten y almacenan en esos sistemas. Al mismo tiempo, esos sistemas y datos son también cada vez más vulnerables a una serie de amenazas, como el acceso y el uso no autorizados, la apropiación indebida, la alteración y la destrucción. La proliferación de ordenadores, el aumento de la potencia de cálculo, la interconectividad, la descentralización, el crecimiento de las redes y del número de usuarios, así como la convergencia de las tecnologías de la información y de las comunicaciones, aunque aumentan la utilidad de estos sistemas, también incrementan la vulnerabilidad de los mismos.
La seguridad de los sistemas de información y comunicaciones implica la protección de la disponibilidad, la confidencialidad y la integridad de dichos sistemas y de los datos que se transmiten y almacenan en ellos. La disponibilidad es la propiedad de que los datos, la información y los sistemas de información y comunicaciones sean accesibles y utilizables en el momento oportuno de la manera requerida. La confidencialidad es la propiedad de que los datos o la información no se pongan a disposición o se revelen a personas, entidades y procesos no autorizados. La integridad es la propiedad de que los datos o la información no han sido modificados o alterados de forma no autorizada. La prioridad y la importancia relativas de la disponibilidad, la confidencialidad y la integridad varían en función de los sistemas de información o comunicación y de la forma en que se utilizan dichos sistemas. La calidad de la seguridad de los sistemas de información y comunicación y de los datos que se almacenan y transmiten en ellos depende no sólo de las medidas técnicas, incluido el uso de herramientas de hardware y software, sino también de unos buenos procedimientos de gestión, organización y funcionamiento.
La criptografía es un componente importante de los sistemas de información y comunicaciones seguros y se han desarrollado diversas aplicaciones que incorporan métodos criptográficos para proporcionar seguridad a los datos. La criptografía es una herramienta eficaz para garantizar tanto la confidencialidad como la integridad de los datos, y cada uno de estos usos ofrece ciertas ventajas. Sin embargo, el uso generalizado de la criptografía plantea una serie de cuestiones importantes. Los gobiernos tienen amplias responsabilidades, varias de las cuales están específicamente implicadas en el uso de la criptografía, incluyendo la protección de los derechos de privacidad de sus ciudadanos; la facilitación de la seguridad de los sistemas de información y comunicaciones; el fomento del bienestar económico mediante, en parte, la promoción del comercio electrónico; el mantenimiento de la seguridad pública; la obtención de ingresos para financiar sus actividades; y la posibilidad de hacer cumplir las leyes y la protección de la seguridad nacional.
Aunque existen necesidades y usos gubernamentales, comerciales e individuales legítimos para la criptografía, ésta también puede ser utilizada por individuos o entidades para actividades ilegales, lo que puede afectar a la seguridad pública, la seguridad nacional, el cumplimiento de las leyes, los intereses comerciales, los intereses de los consumidores o la privacidad. Los gobiernos, junto con la industria y el público en general, tienen el reto de desarrollar políticas equilibradas para abordar estas cuestiones.
Criptografía de clave secreta (en ciberseguridad)
Históricamente, la criptografía (en ciberseguridad) se ha utilizado para codificar la información con el fin de ocultar los mensajes secretos a las partes no autorizadas y, como tal, es importante para el uso militar y de seguridad nacional. La criptografía (en ciberseguridad) utiliza un algoritmo para transformar los datos con el fin de hacerlos ininteligibles para cualquiera que no posea cierta información secreta (la "clave" criptográfica) necesaria para descifrar los datos. Hoy en día, la mayor capacidad de cálculo derivada del desarrollo de la informática digital permite utilizar complejos algoritmos matemáticos para la codificación de los datos.
El desarrollo de las tecnologías de la información y las comunicaciones que permiten transmitir, copiar y almacenar grandes cantidades de datos de forma rápida y sencilla ha provocado una creciente preocupación por la protección de la privacidad y la confidencialidad de los datos, incluidos los datos personales, los registros administrativos gubernamentales y la información comercial y financiera. La criptografía eficaz (en ciberseguridad) es una herramienta esencial en un entorno de red para abordar estas preocupaciones. También se utiliza para proteger la información gubernamental clasificada.
Criptografía de clave pública (en ciberseguridad)
A mediados de los años 70, un nuevo desarrollo en criptografía (en ciberseguridad) introdujo el concepto de "clave pública", que permite a las partes intercambiar datos encriptados sin comunicar previamente una clave secreta compartida. En lugar de compartir una clave secreta, este nuevo diseño utiliza dos claves relacionadas matemáticamente para cada parte que se comunica: una "clave pública" que se revela al público, y una "clave privada" correspondiente que se mantiene en secreto. Un mensaje cifrado con una clave pública sólo puede descifrarse con la clave privada correspondiente. De este modo, una comunicación confidencial cifrada con la clave pública del destinatario y descifrada con la clave privada del mismo, sólo podría ser entendida por el destinatario del mensaje.
Una aplicación importante de la criptografía de clave pública (en ciberseguridad) es la "firma digital", que puede utilizarse para verificar la integridad de los datos o la autenticidad del remitente de los mismos. En este caso, la clave privada se utiliza para "firmar" un mensaje, mientras que la clave pública correspondiente se utiliza para verificar un mensaje "firmado". La criptografía de clave pública (en ciberseguridad) ofrece las ventajas de las transmisiones confidenciales y la firma digital en un entorno de red abierto en el que las partes no se conocen de antemano. Este desarrollo permite aplicaciones más amplias de los métodos criptográficos, y esto -junto con el aumento de la potencia de los ordenadores y la disminución de sus precios- ha hecho que la criptografía (en ciberseguridad) pase al ámbito del sector privado.
La criptografía de clave pública (en ciberseguridad) desempeña un papel importante en el desarrollo de las infraestructuras de la información. Gran parte del interés por las redes y las tecnologías de la información y las comunicaciones se centra en su potencial para dar cabida al comercio electrónico; sin embargo, las redes abiertas como Internet presentan importantes retos para realizar contratos electrónicos ejecutables y pagos seguros. En relación con la certificación de la integridad de los datos, la criptografía de clave pública (en ciberseguridad) ofrece soluciones tecnológicas para estos dos problemas al proporcionar mecanismos para establecer la validez de la identidad declarada de un usuario, dispositivo u otra entidad en un sistema de información ("autenticación") y para limitar la capacidad de un individuo o entidad de negar efectivamente haber realizado una acción concreta relacionada con los datos ("no repudio").
Firma digital
Existe un enorme potencial de fraude en el mundo electrónico. Las transacciones tienen lugar a distancia sin el beneficio de pistas físicas que permitan la identificación, lo que facilita la suplantación de identidad. La capacidad de realizar copias perfectas y alteraciones indetectables de los datos digitalizados complica el asunto. Tradicionalmente, las firmas manuscritas sirven para determinar la autenticidad de un documento original. En el mundo electrónico, el concepto de documento "original" es problemático, pero una firma digital puede verificar la integridad de los datos y proporcionar funciones de autenticación y no repudio para certificar al remitente de los datos. Si un documento ha sido alterado de alguna manera después de haber sido "firmado", la firma digital lo demostrará. Del mismo modo, una vez que un documento está "firmado" con una clave criptográfica, la firma digital proporciona la prueba de que el documento fue "firmado" por el supuesto autor, y el remitente no puede negar fácilmente haber enviado el documento o alegar que la información ha sido alterada durante la transmisión.
La criptografía (en ciberseguridad) también puede proporcionar soluciones técnicas para la protección de la propiedad intelectual en forma digital. Por ejemplo, una firma digital junto con un sello de tiempo verificable puede dar a los autores cierto control sobre su trabajo, al vincular un documento electrónico al emisor y garantizar que el documento no se modifica sin ser detectado. La misma tecnología puede aplicarse para garantizar la autenticidad e integridad de los documentos archivados electrónicamente.
Pagos electrónicos
Los sistemas de pago seguros son necesarios para que florezca el comercio electrónico en redes abiertas. Una forma de realizar pagos electrónicos es utilizar una versión modificada del actual sistema de tarjetas de crédito. La criptografía (en ciberseguridad) puede utilizarse para proteger la confidencialidad de un mensaje que contenga un número de tarjeta de crédito y para confirmar que el mensaje ha sido efectivamente enviado por el titular de la tarjeta. Aunque este método se utiliza actualmente, deja el número de la tarjeta de crédito vulnerable a un uso indebido después de que el mensaje que lo contiene haya sido descifrado. Otro diseño implica mecanismos de seguridad verificables para que la transacción se produzca electrónicamente y que no se basen simplemente en el intercambio de un número de tarjeta de crédito - como una confirmación independiente mediante firma digital - así como un proceso de autorización que no esté vinculado a ninguna red propietaria para que las compras puedan realizarse en redes abiertas.
Hay varios esquemas para otros tipos de sistemas de pago electrónico en diversas etapas de desarrollo, incluyendo una serie de diferentes sistemas de "dinero digital". Los sistemas de dinero digital utilizan la criptografía (en ciberseguridad) para crear una representación electrónica única que sea canjeable por un pago o que pueda constituir una moneda de curso legal que sea almacenable, transferible e infalsificable. La mayoría de estos sistemas funcionan de forma muy parecida a las tarjetas de crédito, las tarjetas de débito o los cheques, ofreciendo diversos grados de trazabilidad y anonimato; otros actúan más bien como "dinero digital", dando cabida a transacciones completamente anónimas como lo hacen las monedas. Aunque la capacidad de realizar transacciones electrónicas ilocalizables y anónimas ofrece ventajas particulares para la protección de la privacidad en el entorno electrónico, también plantea una serie de preocupaciones a los gobiernos -en particular a las autoridades fiscales- en relación con la recaudación de impuestos y el blanqueo de dinero.
Certificar las relaciones de clave pública
Afirmar la relación entre un individuo o entidad y su clave pública asociada es importante para protegerse de la suplantación de identidad en un entorno electrónico. Para que los sistemas de clave pública funcionen en el dominio público, no sólo es necesario que la clave pública sea de libre acceso, sino que los remitentes y los receptores deben tener una forma fiable de determinar que las claves públicas son realmente las claves de las partes con las que desean interactuar. Esto puede lograrse directamente si las partes se conocen de antemano, o bien podría establecerse un mecanismo formal para "certificar" las claves. Teniendo esto en cuenta, han surgido dos tipos básicos de soluciones: un acuerdo informal de "red de confianza" basado en las relaciones preexistentes entre las partes, y un enfoque más formalizado basado en las "autoridades de certificación". Estos métodos de certificación de las relaciones de clave pública actúan de forma muy parecida a los medios existentes para identificar a las partes para la interacción social y comercial.
La red informal de confianza funciona cuando las claves se validan de persona a persona o de organización a organización en el contexto de las relaciones establecidas. De este modo, la confianza en la relación entre una persona o entidad y su clave pública asociada se extiende desde las partes que tienen una relación directa hasta las que no la tienen, ya que las credenciales se establecen a través de muchas instancias individuales de confianza. Este método de certificación de las claves públicas se utiliza actualmente sobre todo para el intercambio de datos encriptados entre conocidos personales, pero a medida que se desarrolle el comercio electrónico, este método puede convertirse también en un elemento importante de las relaciones comerciales.
El otro tipo de solución básica para abordar este problema es una infraestructura de clave pública en la que las autoridades de certificación autentifican las claves públicas. Una autoridad de certificación es una entidad "de confianza" que proporciona información sobre la identidad del titular de una clave en forma de un "certificado de clave" autentificado. El certificado se utiliza para verificar la identidad de las partes que intercambian información cifrada a través de una red. Las autoridades de certificación también pueden realizar otras funciones, como los servicios de notario y de sello de tiempo. Las autoridades de certificación pueden ser establecidas por el sector público o privado, y pueden operar tanto "en casa" para una organización individual como para el público en general.
Además, la propia autoridad de certificación debe ser fiable, por lo que puede ser necesario que el certificador esté certificado. Esta cuestión podría abordarse tanto con una jerarquía de autoridades de certificación como con un sistema de autoridades de certificación cruzadas. A nivel internacional, pueden ser útiles los marcos de gestión internacionales independientes para la certificación de clave pública. La distinción entre la red de confianza y los métodos de autoridad de certificación se vuelve menos clara cuando las organizaciones que proporcionan funciones de certificación se certifican mutuamente. Muchos estudios han demostrado que no se aprovechará todo el potencial del comercio electrónico hasta que surjan infraestructuras de clave pública que generen la suficiente confianza para que las empresas y los particulares comprometan su información y sus transacciones en las redes públicas emergentes. En la actualidad, pocas jurisdicciones han adoptado una legislación específica para las infraestructuras de certificados; sin embargo, varios países miembros están estudiando esta cuestión y considerando la posibilidad de regular y autorizar a las autoridades de certificación.
Revisor de hechos: Mix
La ciberseguridad y la criptografía como parte de la gestión pública en Brasil
Nota: Si interesa el tema de la ciberseguridad nacional y la criptografía como parte de la gestión pública en Brasil, hay más información en este texto.
Aspectos estratégicos de la ciberseguridad nacional y la criptografía
Sobre la progresión de la normativa y el control de los poderes ejecutivo y legislativo nacionales en materia de ciberseguridad y criptografía en Brasil, separamos el desarrollo institucional en tres etapas, que deben entenderse como un marco de referencia y no como un intento de retratar la totalidad de los factores que intervienen en el desarrollo temporal de la ciberseguridad y la criptografía nacionales.
Etapa de consolidación normativa y estratégica de la ciberseguridad y la criptografía
Los años de 2008 a 2012 fueron clave para la consolidación normativa y estratégica de la ciberseguridad y la criptografía en el panorama de la seguridad nacional. Fue durante estos años cuando los conceptos de seguridad de la información, ciberseguridad y criptografía, y ciberdefensa comenzaron a tomar forma en la agenda estratégica. Aunque, históricamente, estos términos aparecieron en el año 2000 en el Libro Verde de la Sociedad de la Información publicado por el Ministerio de Ciencia y Tecnología, sólo a partir de 2008 se asignó un conjunto estratégico de recursos para apoyar la construcción de un complejo organizativo de ciberseguridad y criptografía que uniera tanto al Gabinete de Seguridad Institucional (presidencia) como a las Fuerzas Armadas y a los Equipos de Respuesta a Incidentes Informáticos (CSIRT).
Durante el mismo período, la creación y el control de los poderes ejecutivo y legislativo nacionales de Internet fue madurando lentamente en el país. Así, se crearon nuevas organizaciones técnicas, como el Equipo Nacional de Respuesta a Emergencias Informáticas (CERT.br), con el fin de actuar como punto focal designado para informar sobre amenazas, incidentes y ataques.
Etapa de Eventos
Estos fueron los años de los "megaeventos". En Brasil, dichos eventos actuaron como importantes "disparadores contextuales" para el desarrollo institucional y operativo de la ciberseguridad y la criptografía nacionales. Estos años sirvieron de campo de pruebas para el recién creado Centro Brasileño de Ciberdefensa y el ComDCiber, movilizaron recursos financieros y comenzaron a consolidar redes específicas de cooperación dentro del gobierno y con algunos sectores estratégicos (infraestructuras críticas, policía federal) a través de centros integrados de mando y control.
El ejercicio de rastrear la percepción de las amenazas en Brasil (al igual que en algunos otros países) es especialmente relevante, ya que nos permite desentrañar los factores que han configurado de forma sustantiva la construcción de la normativa y el control de los poderes ejecutivo y legislativo nacionales en materia de ciberseguridad y criptografía del país. Como se ilustra en la primera sección de este texto, el panorama de los riesgos cibernéticos en Brasil se ha visto afectado de forma significativa por una serie de acontecimientos internos y externos. Los años que precedieron a la Copa del Mundo y a los Juegos Olímpicos (2016) en Brasil (al igual que en algunos otros países) vieron la progresiva consolidación de una arquitectura de elaboración y control de los poderes ejecutivo y legislativo nacionales compuesta por actores de las ramas civil y militar del gobierno, los sectores privado y financiero, y grupos de la comunidad técnica.
Sin embargo, esta arquitectura estaba profundamente moldeada por las respuestas militarizadas a un conjunto muy específico de riesgos cibernéticos proyectados e incluía la creación de un sistema de ciberdefensa dentro del ejército que se inició en 2008, con la publicación de la Estrategia de Defensa Nacional. A finales del 2020 había, al menos, tres ramas del ejército que abordaban algún aspecto de la ciberdefensa: El Mando de Comunicaciones y Guerra Electrónica del Ejército, creado en 2009, el Centro de Ciberdefensa (CDCiber), creado en 2010, y el Mando de Ciberdefensa (ComDCiber), creado en 2016 para integrar las respuestas conjuntas a las ciberamenazas del ejército, la marina y las fuerzas aéreas.
Etapa posterior
Brasil ha estado orientando sus esfuerzos a perfeccionar las prácticas de intercambio de información, cooperación y coordinación con:
las instituciones establecidas en la estructura organizativa del gobierno,
la experiencia operativa de un periodo excepcional de "megaeventos", y
un repositorio consolidado de doctrinas, estrategias y libros blancos para guiar las acciones de los organismos gubernamentales en materia de seguridad de la información y ciberseguridad y criptografía.
A nivel técnico y operativo, algunas de las mejores prácticas incluyen el establecimiento de ejercicios intersectoriales para mejorar el intercambio de información en la identificación y mitigación de incidentes. Un ejemplo es el "Guardião Cibernético", un ejercicio desarrollado por el Centro Nacional de Ciberdefensa de Brasil y las universidades para explorar escenarios alternativos de amenazas al tiempo que se integran más sectores a la coordinación de la gestión y respuesta a los incidentes.
Por el contrario, en Brasil (como en algunos otros países) los procesos de elaboración de políticas siguen luchando por trascender la centralidad de organismos como el Gabinete de Seguridad Institucional y las Fuerzas Armadas, dejando de lado a la sociedad civil y al mundo académico. Un ejemplo es que la Política Nacional de Seguridad de la Información (publicada en 2019) mencionaba que diferentes partes de la sociedad y del sector privado serían incluidas en el desarrollo de la Estrategia Nacional de Ciberseguridad y Criptografía. En la práctica, no fue así. El proyecto de Estrategia sólo recogerá los comentarios del público durante el periodo de consultas ya previsto. Casos como éste arrojan luz sobre las lagunas existentes en materia de comunicación, colaboración y elaboración de normas y control de los poderes ejecutivo y legislativo nacional.
Una parte importante de la construcción de una cultura de ciberseguridad y criptografía depende de la inclusión de estos sectores en la "elaboración" real de las políticas. Esto también da lugar a una mala alineación entre las amenazas y las estrategias diseñadas para contrarrestarlas y puede potenciar aún más una visión dicotómica de la privacidad y la seguridad, todo ello fundamental para el desarrollo de políticas y mecanismos eficientes de cooperación entre las partes interesadas. Un enfoque de desarrollo de políticas más equilibrado se beneficiaría probablemente del aumento de los diálogos intersectoriales.
Además, con el cambio de enfoque de la nación, que ha pasado de combatir las amenazas generadas en el exterior a luchar contra las amenazas predominantemente internas, el giro inicial hacia las soluciones militarizadas se ha visto gradualmente ofuscado por la preocupación por la ciberdelincuencia y los delitos digitales (como las noticias falsas y la desinformación). En el caso de las amenazas a la ciberseguridad y la criptografía, la fluidez de la acción y la naturaleza transnacional de los actores, las prácticas y los ataques reposicionan la noción de seguridad como el estado en el que se contrarresta o minimiza un conjunto de peligros. Mientras que la gestión, la reparación y el mantenimiento se suman seguramente a la prevención de los riesgos, esta reposición implica también respuestas que incluyen la regulación, la persecución, el rastreo y la eliminación de los flujos ilegales, las actividades maliciosas, la desinformación y otras amenazas identificadas.
Desde el punto de vista político, el desarrollo de leyes, reglamentos y políticas da forma a la comprensión de las amenazas, la seguridad y los riesgos. Cabe mencionar dos ejemplos. En primer lugar, la aprobación de la Ley Nacional de Protección de Datos de Brasil. La seguridad de la información y la ciberseguridad y la criptografía están asociadas a la integridad, la fiabilidad y la confidencialidad de los datos. Sin embargo, con la aprobación de la Ley de Protección de Datos, la comprensión de la seguridad no se contrapone tanto a la protección de datos, sino que se complementa en el sentido de que tanto los gobiernos como las empresas están obligados a tener unos estándares mínimos de seguridad para salvaguardar los datos. En segundo lugar, la aparición de normativas sectoriales que tratan de establecer unos estándares mínimos de seguridad. Es el caso de la regulación del Banco Central de 2018 que establece requisitos específicos de seguridad y de la nube para todas las organizaciones financieras que operan en el país.
Mientras que la ciberseguridad y la criptografía siempre han sido transversales al funcionamiento y al control de los poderes ejecutivo y legislativo nacionales de las empresas y los gobiernos, sigue habiendo una gran brecha entre el reconocimiento de este hecho y la respuesta a las ciberamenazas en Brasil. De hecho, el reconocimiento de la transversalidad del ciberespacio (a través de las fronteras, los dominios y las competencias) frente al encuadramiento de las amenazas como internas y externas ha sido una tensión constitutiva durante la construcción institucional de la ciberseguridad y la criptografía en el país y probablemente ha contribuido a dar forma (coordinada o desalineada) a las respuestas institucionales a estas amenazas. El contraste de las respuestas que buscaban, por un lado, la construcción de una arquitectura militarizada, y las respuestas que, por otro lado, se han centrado recurrentemente en los acontecimientos "domésticos" -como las campañas de hacktivismo, los "hackers con inversión política" e incluso la propaganda de desinformación electoral- han contribuido en gran medida a una estabilización engañosa de las nociones de amenazas internas frente a las externas como base de la acción. No es de extrañar que las respuestas se hayan producido dentro de "silos" de organizaciones e instituciones con competencias y gramática de amenazas similares, con un espacio limitado para una acción (verdaderamente) concertada de múltiples partes interesadas en este campo.
Revisor de hechos: Lawi
Recursos
Véase También
Espionaje, Criptografía, Matemáticas aplicadas, Tecnología bancaria, Codificación, Criptografía, Educación y Comunicación, Guía de la Nueva Tecnología Militar en el Derecho Internacional, Informática y Tratamiento de Datos, Medios de Comunicación, Tratamiento de Datos