Computación
A mayor capacidad técnica gubernamental para espiar datos privados, mayores riesgos de seguridad
Durante los últimos meses, personas con importantes cargos gubernamentales en Estados Unidos, Reino Unido y otros países han reclamado en repetidas ocasiones que las agencias de control del orden público puedan acceder, tras la debida autorización, a datos encriptados para ayudar a resolver delitos.
Más allá de las implicaciones éticas y políticas de ese planteamiento, se halla sin embargo una cuestión más práctica: si queremos mantener la seguridad de la información del usuario, ¿es incluso técnicamente viable este tipo de acceso?
Esta es la cuestión que han investigado unos expertos de diversas instituciones estadounidenses y británicas, incluyendo al Instituto Tecnológico de Massachusetts (MIT) en Cambridge, Estados Unidos.
El equipo integrado, entre otros, por Hal Abelson, Ron Rivest, Michael Specter, Jeff Schiller y Daniel Weitzner, del Laboratorio de Ciencias de la Computación e Inteligencia Artificial (CSAIL) del MIT, ha llegado a la conclusión de que tales mecanismos de acceso adicional acarrean riesgos de seguridad mucho más graves, ponen en peligro la capacidad de innovación del sector sobre la que dependen directa o indirectamente diversos componentes de las economías del mundo, y plantean más situaciones políticas espinosas que lo que podríamos haber imaginado cuando internet se hallaba en su infancia.
El equipo advierte que apresurarse a redactar leyes que autoricen ese acceso y aprobarla es peligroso hasta que los especialistas en seguridad puedan evaluar una solución técnica completa que haya sido cuidadosamente analizada en busca de vulnerabilidades.
![[Img #29324]](upload/img/periodico/img_29324.jpg)
En octubre, el director del FBI, James Comey, reclamó lo que se ha venido llamando “acceso excepcional”, es decir, que los sistemas informáticos deberían poder proporcionar acceso al contenido legible de la información encriptada, en tránsito o almacenada en un dispositivo, en cuanto las agencias de orden público autorizadas así lo soliciten.
El equipo de investigación ha esbozado tres razones por las que esta práctica empeoraría el actual estado ya delicado de la ciberseguridad.
En primer lugar, precisaría preservar las claves privadas, que podrían verse comprometidas no solo por los elementos derivados de la propia acción policial sino también por cualquier individuo que pudiera acceder a ellas y manipularlas. Esto representa un giro de 180 grados respecto a las prácticas de seguridad más avanzadas, como la llamada “confidencialidad adelantada”, en la que las claves de desencriptado son borradas inmediatamente después de su uso. Sería el equivalente a tomar mensajes en papel altamente confidenciales ya leídos y, en vez de pasarlos por la máquina destructora de documentos, dejarlos en un archivador cualquiera de una oficina abierta al público, al alcance de cualquier mano, en palabras de Weitzner. Mantener las claves las hace más susceptibles a ser robadas.
En segundo lugar, un acceso excepcional convertiría a los sistemas en algo mucho más complejo, introduciendo nuevas funcionalidades que requerirían un ensayo independiente y que son una fuente de potenciales debilidades. Dado que los nuevos mecanismos podrían tener que ser usados en secreto por las fuerzas policiales, sería también difícil, y quizá ilegal, que los programadores llegasen a probar cómo operan estas funcionalidades, tal como argumenta Weitzner.
En tercer lugar, el acceso especial a sistemas complejos como los smartphones crearía “puntos débiles” que serían objetivos particularmente atractivos para hackers, crackers, grupos organizados dedicados en exclusiva al cibercrimen y espías al servicio de otros países. Cualquier atacante que pudiera penetrar en el sistema que almacena las credenciales de seguridad tendría instantáneamente acceso a todos los datos, poniendo en peligro potencialmente a millones de usuarios.
En definitiva, aunque abrir agujeros en el muro de la privacidad pueda ayudar a las autoridades en sus pesquisas encaminadas a combatir actos ilegales, el resultado puede ser contraproducente, al darles a los delincuentes, incluyendo terroristas, nuevos puntos débiles que explotar.
