Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

¿Está quebrada la protección en internet?

No debemos confiar ciegamente en lo que se publica sobre Edward Snowden. Pero tampoco podemos ignorarlo y seguir adelante como si nada.

El 5 de septiembre circuló una noticia respecto al trabajo que hace la NSA para debilitar la criptografía usada en internet. Como saben, la NSA es la agencia de Estados Unidos dedicada al espionaje de aquel país y que de paso husmea al resto del mundo.

La noticia a la que me refiero menciona los esfuerzos de la NSA por quebrar la criptografía que usas en internet. Usted usa la criptografía en todo momento en el que quiere mantener tu privacidad online por cualquier razón. En concreto, la banca en línea usa criptografía (por medio de un protocolo de seguridad llamado SSL). Cuando accede a su correo en la nube (GMail, Outlook, etc.) también la usa. ¿Video-llamadas? También. Hasta las llamadas de su celular. Lo mismo con su red inalámbrica de casa y probablemente (espero) la de su empresa. La idea es mantener alejados a todo tipo de entidades que nada tienen que enterarse de sus asuntos. Ya sean privados o empresariales.

La información que circula respecto a este tema no es demasiado precisa. Usted puede ir a la fuente (arriba proporcioné la liga) y revisarla usted mismo. Y como siempre, no debemos confiar ciegamente en lo que se publica alrededor de este asunto (principalmente generado por Edward Snowden). Pero tampoco podemos ignorarlo y seguir adelante como si nada. En fin, esa sería la trama para otro artículo.

Regresando al tema, voy a tratar de interpretar lo que dice la información publicada de la manera más clara posible.

La agencia inserta vulnerabilidades. Hacen mención de sistemas criptográficos, sistemas, redes y dispositivos tipo “endpoint” comerciales (no hacen alusión al software libre). Al insertar deliberadamente vulnerabilidades, al parecer logran acceder a las comunicaciones que de otra manera irían protegidas. Tal vez la vulnerabilidad se inserte en la manera de generar números aleatorios. La criptografía hace fuerte uso de estos números y si no son verdaderamente aleatorios, la cripto puede fallar. En fin, debemos de suponer que debilitan el cifrado en switches de red, sistemas operativos y celulares. ¿De cuáles marcas exactamente? No queda establecido, pero piense en los productos comerciales de este tipo más usados en el mundo (que vengan de EUA) y probablemente esté cerca de la verdad.

Explotar plataformas y tecnologías confiables extranjeras. Probablemente se refieran a sistemas operativos que no son creados en Estados Unidos o bien a hardware fabricado en el extranjero. Toda tecnología que desarrollan los países para protegerse. Se pueden referir a las telecomunicaciones que usen protocolos y estándares que no sean de EUA. Al parecer, si usa productos de ellos, lo tienen atrapado. Y si usa tecnología propia, tratarán de vulnerarla.

Influenciar políticas, estándares y especificaciones para tecnologías de llave pública. Vaya. Yo especulo que hablan del NIST (y similares). Es un organismo de Estados Unidos encargado de crear y publicar estándares, entre los que se encuentran muchos que hablan de seguridad. Los estándares sirven para que productos de software y hardware los sigan y sean así seguros. Si el estándar viene chueco, el producto que se base en él también lo estará. No queda claro de qué manera hacen esa “influencia”; supongo que a través de “llamadas motivadoras”. Usando el pretexto de la seguridad nacional. O una orden judicial. Tal vez nunca sepamos cómo es que logran que otros organismos norteamericanos entren en su juego. Y aquí me rasco la cabeza. Estos estándares son públicos y tienen el escrutinio de expertos alrededor del mundo. Al menos este punto a mí no me cuadra. Tal vez desconfiar del NIST caiga en lo paranoico y en teorías de conspiración.

En fin. ¿Cómo se logra “romper” un sistema criptográfico? De estas maneras principalmente:

  • Encontrar debilidades en el algoritmo de cifrado.
  • Encontrar debilidades en la implementación. Es decir, el algoritmo está bien diseñado pero al momento de pasarlo a un lenguaje de programación, se codifica mal (porque no se siguió el algoritmo o porque se introdujeron funciones no especificadas en éste).
  • Descifrar los datos con fuerza bruta. Lo más común. Se intentan millones de llaves hasta que se encuentra la que abre “la cerradura”. Es más fácil que encontrar debilidades en un algoritmo bien diseñado como lo dice Schneier.
  • Atacar al usuario. ¿Para qué tanto problema si es posible enviarle un troyano con el cual se puede “sacar” la llave que protege la información? ¿O robarla de alguna manera, tal vez con ingeniería social?

Probablemente la NSA se ocupe de las últimas tres maneras de romper sistemas criptográficos.

Lograr romper la seguridad de 4G. Por el sentido del texto filtrado, asumo que aún no tienen acceso a información protegida con 4G. Dicen que quieren lograr el descifrado de esta tecnología usada en las llamadas entre celulares.

Husmear en los sistemas tipo “peer-to-peer” más usados. Supongo que se refieren a Skype.

Penetrar SSL. Tal vez debí de haber empezado con esto. De ser cierta, la aseveración de que la NSA puede romper SSL es preocupante. Este protocolo se usa en cada ocasión en que se ingresa a un sitio seguro desde su navegador. En toda ocasión. Se usa millones de veces al día. Y lo protege cuando hace banca en línea o realiza alguna compra online. También cuando accede a un sitio donde debe intercambiar por cualquier razón información de manera segura. Al entrar a su servicio de correo en la nube lo usa. Cuando uno se da cuenta de que la información web se protege con SSL (https), se enteras del tamaño del problema.

Conclusión

Decidí terminar este artículo haciendo una cita del documento filtrado. Dice más o menos así: “El Proyecto busca activamente que las industrias norteamericanas y extranjeras de manera encubierta influencien sus diseños de productos comerciales. Estos cambios en los diseños hacen explotables los productos en cuestión para el Proyecto, el cual tiene conocimiento de la modificación. Sin embargo para el consumidor y otros adversarios, la seguridad del sistema permanece intacta”.

Profundice más

Únase a la conversación

1 comentario

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

El Common Criteria for Information Technology Security Evaluation son los responsables de la seguridad de los dispositivos y aparatos de doble uso. Debemos centrarnos en los procesos de verificación del CEM con los fabricantes y la misión de las Agencias como NSA/CSS es vigilar y supervisar la conducta digital de los ciudadanos del mundo y agentes internacionales, con el fin de defender los intereses del Estado, informando al consejo de seguridad de las Naciones Unidas.
Cancelar

- ANUNCIOS POR GOOGLE

Close