Getty Images

Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Las técnicas de criptografía deben seguir el ritmo de las amenazas, advierten expertos

Los criptógrafos en RSAC 2019 discutieron las leyes de protección de datos personales y los desafíos, las amenazas futuras y la presión para que las empresas de tecnología trabajen con las autoridades policiales en el descifrado.

Las técnicas de criptografía funcionan bien para proteger los datos en un mundo hiperconectado, pero la batalla para mantener la integridad de los datos cifrados y garantizar que se use la criptografía siempre que sea necesario sigue siendo un desafío para los expertos en el campo.

Uno de esos desafíos provino del gobierno australiano, que aprobó una ley en diciembre que obliga a las empresas de tecnología a colaborar con los organismos encargados de hacer cumplir la ley para descifrar datos encriptados cuando se haya cometido un delito. Las empresas de tecnología y los expertos en seguridad argumentan que este tipo de medida socava los esfuerzos de privacidad y seguridad de los datos.

"Las puertas traseras secretas son como los agentes patógenos, y los gobiernos han hecho un trabajo terrible al administrarlas", dijo Paul Kocher, criptógrafo e investigador independiente, durante la conferencia magistral del "Panel de Criptógrafos" en la Conferencia RSA (RSAC) 2019. Señaló la debacle del ransomware NotPetya en 2017, donde se utilizaron exploits de seguridad de la Agencia de Seguridad Nacional de Estados Unidos.

Bajo la nueva ley de Australia, los desarrolladores pueden ser encarcelados si se niegan a construir puertas traseras en sus productos, o si le dicen a alguien que lo han hecho, una estrategia que los criptógrafos como Kocher consideran "100% atrasada".

"Si alguien debería ir a la cárcel, son los desarrolladores que se meten a escondidas en sus productos sin decirles a sus gerentes y clientes que lo han hecho", dijo durante la discusión del panel.

El criptógrafo y experto en seguridad Whitfield Diffie compartió su opinión de que los legisladores no deberían tener un papel en las decisiones de privacidad personal, ya que las tecnologías que se desprenden de la privacidad continúan materializándose.

"Estoy muy preocupado. En este momento, aún tienes cierta privacidad en tus propios pensamientos", dijo Diffie a los asistentes de RSAC. "Las interfaces electrónicas del cerebro pueden llegar al punto en que puedan leer tu mente... Si vemos las cosas que aún nos pertenecen, se están erosionando muy rápidamente".

La protección de datos personales es cada vez más importante, ya que se extrae más valor de la cantidad de datos que se recopilan de los dispositivos. Durante el panel de apertura, Shafi Goldwasser, director del Instituto Simons para la Teoría de la Computación en la Universidad de California, en Berkeley, dijo que las empresas e instituciones de gobierno utilizan información personal en aplicaciones de inteligencia artificial, como reconocimiento facial, reconocimiento de voz y visión artificial.

"No solo envía información, sino que también la procesa. Y estos datos deben mantenerse privados, porque el poder está en los datos", dijo Goldwasser. "Tenemos que hablar de cómputo privado, asegurándonos de que el cómputo se realice de tal manera que se mantenga la privacidad de los datos, de una manera que sea robusta y correctamente".

Añadió que las herramientas y técnicas de criptografía protegen la privacidad de los datos en todos los procesos informáticos, al tiempo que garantizan que el cálculo sea preciso.

Si bien la legislación sobre la privacidad de los datos es controvertida, GDPR y la ley de privacidad de California del 2018 desempeñarán un papel importante para evitar que las empresas abusen y hagan mal uso de los datos personales. Tal Rabin, gerente del Grupo de Investigación Criptográfica de IBM Research, describió las regulaciones como una oportunidad para que la comunidad de seguridad fomente el desarrollo de características de protección de datos integradas para respaldar el uso de datos de una manera que también proteja la privacidad.

Técnicas de criptografía accesibles

Las técnicas criptográficas continúan evolucionando, pero existen métodos criptográficos probados y verdaderos que han resistido la prueba del tiempo, algo que mucha gente desconoce, dijo Kocher.

El intercambio de claves autenticado por contraseña es una tecnología antigua que funciona bien y debería ser mucho más utilizada de lo que es, según Kocher. El segundo es el umbral y las técnicas de cómputo de múltiples partes, que permiten a los usuarios realizar cómputos como firmar un certificado SSL, donde no solo una entidad decide si algo sucederá, y donde el cómputo se dividirá entre varias partes.

Las personas también deberían usar más el almacenamiento en frío de los datos, según Kocher, quien explicó que es simple poner una clave pública en algún lugar fuera de línea y cifrar los datos a medida que se generan. El almacenamiento en frío ha encontrado un uso más amplio en la criptomoneda, que también se conoce como una billetera fría. Permite a las personas almacenar sus claves privadas de criptografía fuera de línea, lejos de los hackers de internet.

"Esto no es algo de vanguardia, es algo que se puede implementar ahora y sería una gran diferencia para resolver algunos de los problemas que las personas tienen a diario", dijo.

Si bien esas y otras tecnologías de criptografía funcionan bien, se ubican sobre sistemas operativos, procesadores, firmware y códigos de aplicación; si eso no funciona a la perfección, la criptografía también puede fallar, advirtió Kocher.

Pero ha resultado difícil desarrollar hardware que admita la criptografía, dijo Ronald Rivest, líder del grupo de investigación en criptografía y seguridad de la información en el Laboratorio de Ciencias de la Computación e Inteligencia Artificial del MIT.

"Hablo con mis colegas en el MIT que trabajan en hardware y arquitectura, y comienzan a pensar en [las vulnerabilidades de] Specter y Meltdown, y sus ojos simplemente se vuelven locos", dijo Rivest durante la mesa redonda. "Es realmente difícil hacer un hardware que admita la criptografía de la manera en que a los criptógrafos les gusta pensar en ello en el mundo ideal, donde las personas tienen secretos que se mantienen y usan de forma segura. Tenerlo implementado en el mundo real sigue siendo un desafío".

No ayuda que las cosas malas sucedan rápidamente en el espacio de la ciberseguridad, y las cosas buenas parecen requerir una enorme cantidad de esfuerzo y tiempo, dijo Kocher. Pero esos aspectos positivos están llegando a buen término.

La transición a las extensiones de seguridad del sistema de nombres de dominio ha estado avanzando y está logrando importantes avances. Existe el esfuerzo TLS 1.3 y lenguajes más seguros como RUST, y hay un cambio de contraseñas a autenticadores criptográficos. Según Kocher, todos estos desarrollos son difíciles, pero realmente importan.

"Muchos de nosotros estamos acostumbrados a trabajar en el tiempo de las compañías de internet, donde se te ocurre una idea y tienes una maqueta, y está en el mercado seis meses después. Estas iniciativas se miden en décadas, pero son increíblemente importantes y están avanzando", concluyó Kocher.

Este artículo se actualizó por última vez en marzo 2019

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close