Tuesday, September 15, 2009 3:19 PM by luismi_garcia
Entrevista a Jorge Ramió
Pasado un mes de su publicación en el blog
Seguridad y Privacidad Microsoft - Buenas prácticas de seguridad informática,
incluyo en mi página Web personal esta entrevista que me hace Dña. Mercedes Martín, Responsable de Iniciativas de Seguridad y Privacidad de Microsoft, con el objeto de que la misma pueda ser recogida por diversos medios así como indexada por buscadores.
Y muy en especial para que sean conocidos el nuevo proyecto de Red Temática para el año 2010 y mi aventura (o desventura) con el proyecto
PlagioStop,
ambos temas comentados en la pregunta 10 de esta entrevista.
Puede descargar esta entrevista en un documento PDF de 12 páginas desde
este enlace.
Jorge Ramió, Madrid a 15 de octubre de 2009.
Hola a todos !
Para continuar con el espacio que hemos dedicado a entrevistar a expertos en el ámbito de seguridad, este mes tenemos el placer de poder conocer más en profundidad a Jorge Ramió. Persona muy reconocida y respetada en este mundo, Jorge se graduó en Jorge se graduó en Ingeniería de Ejecución en Electrónica en Chile y es Doctor Ingeniero de Telecomunicación por la UPM. Desde años se dedica al mundo de la Seguridad, y su especialidad sin duda es la Criptografía.
1. ¿Cuándo comenzaste a interesarte por la criptología?
Hola Mercedes. Primero que nada, muchas gracias por esta entrevista; siempre es un placer y un verdadero privilegio poder hablar sobre de los proyectos en los que uno participa y que sea publicado en algún medio como en este blog. Si, además de esto, hay gente que se da la molestia de leerla y no le parece mal lo que en ella opino y comento, pues fenomenal.
Comencé a interesarme por la seguridad y la criptografía a comienzos de la década de los noventa cuando en la Escuela Universitaria de Informática de la Universidad Politécnica de Madrid, en la cual soy profesor del Departamento de Lenguajes, Proyectos y Sistemas Informáticos LPSI desde el año 1986, se planteaba un cambio del Plan de Estudios, pasando del que había en aquellos años al nuevo Plan del año 1992 y en el que se abría la posibilidad de ofrecer nuevas asignaturas optativas.
Se me ocurrió que era un buen momento aquel año olímpico para nuestro país para proponer una asignatura que se llamase Seguridad Informática, con una orientación preferente hacia la criptología, es decir el estudio de las técnicas de la criptografía para la protección de la información y el criptoanálisis o herramientas para atacar dichos cifrados. No había muchas asignaturas similares en las universidades españolas; de hecho, la asignatura con ese título que llevo más de 15 años impartiendo en la EUI de la UPM ocupa el
sexto lugar en antigüedad
en España, oferta que en la actualidad supera ya el centenar.
Mirando hacia atrás creo que fue una elección muy acertada pues, aunque a comienzos de los 90 sólo éramos unos pocos pioneros los profesores que impartíamos seguridad y criptografía en las universidades españolas, me ha tocado ver cómo con el paso de los años la seguridad y protección de la información se ha convertido en una importante rama de la informática y de la telemática, con una fuerte cuota en el mercado laboral y un espectacular desarrollo en investigación e innovación tecnológica. Pocas ramas de las ingenierías (me atrevería decir que como mucho un par más) han experimentado en estas últimas dos décadas un desarrollo tan espectacular como la seguridad de la información.
En aquellos años éramos unas pocas decenas de profesores trabajando en esta línea y hoy en día, tan sólo 15 años después, estamos hablando de unas cuantas centenas de profesores e investigadores, la gran mayoría con grado de doctor y participando en destacados grupos de investigación. Se han ido consolidando diversas facetas o especializaciones de la seguridad, como se sabe una amplia gama que va desde la criptografía pura y dura, hasta la legislación vigente, pasando por la seguridad en redes, aspectos de identificación, aplicaciones, protocolos, gestión, normativas, etc.; algo verdaderamente impresionante. La seguridad informática y criptografía ofrecen una
cantidad de congresos
nacionales e internacionales que, con diferencia, está por encima de muchas otras especialidades de las ingenierías.
Como ya he comentado en alguna entrevista anterior, al contrario de lo que decía una antigua canción popular de la añorada movida madrileña sobre los malos tiempos que corrían para la lírica, opino que éstos -los actuales- son muy
buenos tiempos
para la seguridad. Y lo más importante, no hemos hecho sino empezar.
2. Como usuario final, ¿Sueles implementar algún tipo de cifrado?
Sí pero sólo en casos muy excepcionales, como por ejemplo mientras estoy preparando un examen y tengo diversas copias del mismo en mi notebook, en una memoria usb que llevo a casa, en mi despacho, etc. En este tema del cifrado de la información es muy importante ser cauto, qué duda cabe, pero sin llegar a extremos. Si la información que llevo no tiene carácter confidencial, es absurdo que la cifre; no me costará nada hacerlo de acuerdo, a lo más un clic con un programa freeware, pero cifrar toda mi información sin antes evaluar qué partes de ésta debe ser confidencial y cuáles no, no dejaría de ser una muestra manifiesta de paranoia.
No creo que en mi caso, excepto lo dicho anteriormente para los exámenes o algún documento de trabajo que -rara vez por cierto- deba mantener durante un cierto tiempo ese carácter de confidencial, sea necesario cifrar la información, pues en su gran mayoría mis documentos son de carácter público. Otro tema sería velar por la integridad y la autenticidad de los mismos, pero entraríamos en otro terreno en el que tampoco soy paranoico, y eso que sé que buena parte de mis apuntes -que son freeware- están en varios documentos de otros “autores” como si fuesen suyos sin el menor escrúpulo, y que incluso en algún servidor Web hay que pagar o enviar un sms para poder descargar mi libro. Listos y vagos han existido y existirán siempre.
Sí echo en falta un mayor uso de autenticación mediante certificados X.509. Este maravilloso invento de la clave pública que años atrás lo vendían como la panacea, no sé porqué se ha estancado a nivel de usuario común; sólo podemos verlo relativamente desarrollado en la banca electrónica, comercio de grandes superficies y una que otra operación con servidores del Estado, me refiero a máquinas no de los otros. Opino que aquí la Administración no ha hecho sus deberes; nos falta mucho. Fenomenal lo del DNIe, pero un suspenso en concienciación y más aún en poner las cosas fáciles al ciudadano común.
No obstante, es claro que en algunos entornos sí es recomendable e incluso debería ser obligatorio el uso del cifrado, y más esa autenticación de usuario que comentaba. Cuántas veces hemos leído que un directivo de tal o cual empresa u organismo ha perdido o le han robado su notebook (por ejemplo en un
aeropuerto)
con todos los datos corporativos, de alianzas, documentos secretos, campañas de marketing, etc. y éstos están a disposición de cualquiera que pueda entrar en ese ordenador, independiente de que éste tenga una clave de acceso. Esto último, la contraseña, no es más que una falsa sensación de seguridad pues le significará tan sólo
algunos minutos
a un atacante entrar como administrador en dicho ordenador.
Si la información confidencial está cifrada o se tiene una partición del disco cifrada (hay muchos programas gratuitos y de alta calidad que lo hacen) este ejecutivo o técnico podrá estar mucho más tranquilo pues en ese escenario de pérdida tal vez sólo haya perdido el valor del hardware, en todo caso un par de miles euros como mucho si se trata de un notebook de última generación y altas prestaciones, pero la información -que es lo verdaderamente valioso- estará bien protegida. Podrá dormir tranquilo porque es muy improbable que un intruso intente romper el cifrado sabiendo el trabajo astronómico que esto le podría significar: el posible valor de la información no le trae a cuenta. Otra cosa muy distinta sería si quien pierde ese notebook es un Ministro de Defensa o personal de la OTAN por poner un ejemplo… obviamente aquí entramos en otra dinámica y problemática.
Esto de perder datos confidenciales va más allá: pensemos el uso delictivo que podría desencadenar el conocimiento de dichos datos en forma de extorsión u otras figuras similares: bien podrían suponer decenas de veces el valor del simple hardware. En seguridad lo importante es la información, el know-how; los equipos, sistemas y personas -aunque esto suene muy triste- son reemplazables.
En un entorno empresarial, caso típico de un ingeniero en informática o en telecomunicaciones, que su empresa le entrega un ordenador portátil y que debe llevarlo al cliente e incluso llevárselo a casa para terminar informes, deberían ser de obligado cumplimiento dos medidas básicas de seguridad: cifrar la información cuando corresponda así como generar y gestionar debidamente las copias de seguridad; debería ser una política de empresa. Pensemos por un momento por ejemplo en la obligación de protección de datos de carácter personal de terceros, que no sería nada de extraño se encontrarán por decenas en ese ordenador personal corporativo.
En resumen, dado mi perfil de trabajo como profesor de universidad, uso pocas veces el cifrado y al autenticación. Donde más veces me topo con estas técnicas es en el uso de una conexión SSL en el correo pues así está configurado el servidor de correo corporativo de mi escuela y en operaciones de comercio electrónico, bancos online, líneas aéreas, etc., como un ciudadano común y normal que observa cómo aparece ese candado en la barra de tareas del navegador. Pero poco, muy poco para lo que me gustaría se usase.
3. Una de las funcionalidades que incorpora Windows Vista y también Windows 7 es la posibilidad de cifrar el disco duro gracias a Bitlocker.¿Has tenido la oportunidad de probar esta tecnología? ¿Qué importancia le concedes a esta funcionalidad que permite asegurar la confidencialidad de nuestros datos personales?
Te he de ser sincero: normalmente uso
PGP
o
GnuPG,
y en algún caso
TrueCrypt,
pero siempre busco freeware de calidad. No he tenido oportunidad de probar
Bitlocker,
básicamente porque tengo Vista sólo en un notebook de uso muy esporádico, cuya información es totalmente pública; en todo caso no es la versión Enterprise y no deseo estar haciendo experimentos. En otros PCs en la universidad y en mi casa uso XP pues soy de los que de momento apuestan por continuar usando este sistema operativo estable. Esperaré a que Windows 7 esté afianzado para migrar. Ahora que me lo has dicho, intentaré probar Bitlocker; sé que trabaja con AES 128 en modo CBC, cifra volúmenes y seguro tendrá varias prestaciones muy interesantes. Tiene buena pinta.
Estas funcionalidades de cifrado, de autenticación, de borrado físico de la información, etc. son muy interesantes y su uso adecuado por usuarios de empresas, organismos e instituciones podría evitarnos más de un dolor de cabeza y hacernos ahorrar mucho dinero.
4. ¿Crees que el grado de concienciación que tiene el ciudadano medio sobre la privacidad de sus documentos e información electrónica es todavía insuficiente?
Como te comentaba anteriormente, creo que el uso de estas herramientas de cifrado de archivos y volúmenes debería ser obligatorio en los ordenadores portátiles corporativos que usan técnicos, ingenieros, directivos, agentes de seguros, etc. De todas maneras, cuando se habla de criptografía opino que una máxima a cumplir es que el código sea abierto; si además el programa es o tiene versiones freeware pues tanto mejor.
Con una Ley Orgánica de Protección de Datos de Carácter Personal
LOPD
que data del año 1999, en estos últimos diez años se ha logrado concienciar en parte a la sociedad para que proteja sus datos, pero nos hemos dedicado principalmente al concepto de no ceder datos de carácter personal a terceros, y en todo caso bajo nuestro consentimiento, pero no tanto a que cierta información por su naturaleza confidencial debe ser privada y secreta. Animo a quienes no conocen estas herramientas a que las usen, siempre con la certeza de saber discernir con anterioridad qué debería ser confidencial y qué no.
5. ¿Consideras que el gobierno debería ejercer un mayor grado de concienciación entre las pequeñas y medianas empresas españolas, estimulando el uso de tecnologías y diferentes medidas que garanticen la seguridad de la información?
Sí, clarísimo. Tal vez estos momentos actuales de crisis económica no sea el momento adecuado pero, qué duda cabe, la información es poder y mientras más protegida esté tanto mejor para su propietario o para aquel que la custodia.
Hay mucho dinero para temas como
seguridad en redes y ciberespacio
pero noto en falta una buena campaña de concienciación, algo que no es puntual en este caso sino posiblemente un defecto de nuestras autoridades y gobiernos desde hace muchos años. Por ejemplo, es notoria la escasa información que han recibido los ciudadanos de a pie sobre las propiedades y usos del documento nacional de identidad electrónico, y todos sabemos cuántos millones de Euros ha significado y significa cada año este innovador proyecto. ¿Cuánta gente cuenta con un lector del DINe para hacer por ejemplo transferencias con sus bancos? Muy poca; sin ir más lejos, ni yo mismo que debería estar al día en estas cosas y poseo el DNIe lo tengo en mi casa ni en mi lugar de trabajo. De acuerdo, me dirás que no hay excusa por mi parte, dado que un lector vale muy poco dinero, pero a lo que voy es que si se desea informar y concienciar de verdad al ciudadano sobre el buen uso de las nuevas tecnologías de la información de una manera segura, debería hacerse una campaña masiva como la que se hizo con las bombillas de bajo consumo, que te regalaban con la cuenta de la luz y tenías que ir retirar a las oficinas de Correos: propongo se regale un lector con la factura del servicio de ADSL que, por cierto, en España es de
los más caros en Europa
y dista mucho ser de los mejores.
Nota agregada el 27 de octubre de 2009: aunque obviamente se trata de una mera coincidencia, es un placer ver 15 días después de esta entrevista que el gobierno de España regalará 300.000 lectores del DNIe, otros medios hablan de 500.000 y alguno hasta de 800.000. Aunque haya que pagar 2 Euros por gastos de envío, ya es algo.
Sobre esta noticia de octubre de 2009 hay muchos
enlaces en la prensa
y en televisión aparece el 26 de octubre, por ejemplo en
Cuatro TV.
6. ¿Qué se entiende por Red Temática Iberoamericana de Criptografía y Seguridad de la Información?
Permíteme antes que te diga que la red temática es como mi segundo hijo, bueno en este caso “la” red es una niña que está a punto de cumplir 10 años a la que, junto con otros colegas que colaboran conmigo desde su nacimiento, hemos ido mimando y cuidando año a año. Como esta pequeña se encuentra en pleno período de pubertad, os comprensible desee cambiar y hacerse mayor. Y tengo en mente importantes cambios para la red temática en 2010 tras cumplir una década; una edad mítica para un medio como Internet, en donde cada día salen miles de nuevos proyectos y algunos con notable éxito, pero que permanecer fieles a una línea por más de diez años, manteniendo un constante crecimiento y ser un referente mundial en cuanto a documentación sobre seguridad no es nada común y menos aún fácil.
Criptored
es un proyecto que se me ocurre (una idea feliz, para qué voy a negarlo) a finales de 1998 con la intención de juntar a un grupo de profesores e investigadores en un sitio en la red, lo que se conoce como redes virtuales o redes temáticas, para compartir información. ¿Por qué? Simplemente porque detecto que entre los colegas españoles compartimos mucha información (el mundo de la seguridad además se presta a ello) y sospecho que en países de Latinoamérica ésta sería muy bien recibida, en tanto no se encontraban tan desarrollados como lo estaba y sigue estando España en esta materia.
En el fondo, se trata de una especie de ONG que sirve casi 20.000 documentos gratuitos cada mes, información aportada a la red por sus miembros, todos profesionales de la seguridad. No sé si existe alguna red similar en la actualidad, pero en diciembre de 1999 cuando creé CriptoRed se trataba de la primera red en el mundo con esta filosofía; hemos sido pioneros y además decanos en cuanto a redes temáticas, no está mal ¿verdad? Todo esto se traduce en miles de enlaces en
Google
y
Bing
y estar en los primeros lugares en búsqueda por
Red Temática.
En estos diez años todo el trabajo realizado ha sido ad-honorem, tanto el de mis colegas Daniel Calzada –experto en seguridad y administrador del servidor- y Ángeles Mahíllo, como el mío. Recibimos ayudas económicas por parte de la propia universidad, mediante el Vicerrectorado de Relaciones Internacionales de la UPM y de la empresa GMV para la adquisición de equipos, la promoción de la red temática y la organización del Congreso Iberoamericano de Seguridad Informática
CIBSI,
evento bienal propio de la red y del que llevamos ya 5 ediciones.
7. Son conocidos tus viajes internacionales, ¿Sobre qué temas sueles hablar en tus conferencias?
Precisamente por la característica iberoamericana de la red temática, mi trabajo como profesor de la
asignatura Seguridad Informática
y mi
libro sobre criptografía,
tengo la gran suerte de poder visitar más de media docena de países latinoamericanos cada año, gracias a la colaboración del Vicerrectorado de Relaciones Internacionales de la UPM, que apoya la difusión de esta red, o por invitaciones personales de universidades de aquellos países. En esos casos suelo dar un par de charlas sobre temas diversos (la propia red temática, la protección de datos de carácter personal, los sistemas de cifra, el problema de las funciones hash, etc.) e impartir algún workshop de un par de días sobre criptografía. Participo también como profesor invitado en media decena de postgrados en Chile, Argentina, Colombia y Panamá, y otros en España.
La finalidad que persigo con estas charlas y cursos de introducción a la seguridad es, en primer lugar, dar a conocer la red temática y la realidad del desarrollo de la seguridad de la información en España, algo que se ve con asombro y sana envidia desde estos países, y en segundo lugar intentar aportar un grano de arena en la formación de la seguridad para que en las instituciones que me reciben aumente el interés por esta rama y en lo posible comiencen a impartir este tipo de enseñanzas en sus universidades. Según mi buen amigo
Jeimy Cano,
excelente experto colombiano en seguridad y forensia informática, algunos colegas -él también lo hace- vamos por estos países en plan “apóstoles” predicando la buena nueva sobre la seguridad de la información y “evangelizando”. Hay que recordar que a fecha de hoy en algunos países de Latinoamérica la presencia de estas asignaturas llega a ser incluso algo anecdótico.
A veces no se imparten asignaturas de criptografía por el mito de que para ello hace falta profundizar mucho en matemática discreta y esto puede ahuyentar a los alumnos. Es claro que si se desea puede impartirse criptografía con una fuerte orientación matemática, algo que me parece muy correcto en cursos de doctorado y algún máster especializado con el fin de para llegar a la esencia misma de los problemas y sus soluciones, pero también es cierto que al menos dentro de un entorno empresarial o industrial es mucho más importante y necesario que el ingeniero conozca cómo funciona un sistema de cifra, sepa si puede o no fiarse de su cometido, apreciar sus puntos fuertes y débiles, etc., sin por ello entrar en profundidades teóricas.
Esto es lo que al menos debería saber cualquier ingeniero en informática, en sistemas o en telecomunicaciones, y así es como intento impartir criptografía en mis clases, la explico en mi libro electrónico y desarrollo en el
asistente de prácticas.
En otras palabras, tomar al pie de la letra la frase que la doctora Radia Perlman nos obsequió en su conferencia
Adventures in Network Security,
invitada al Tercer Día Internacional de la Seguridad de la Información
DISI 2008
celebrado en Madrid: “Yes, you have to teach cryptography because you need to know it, but a lot of times courses get too excited about the very theoretical kinds of things and all of the maths and all of the proofs. And I don’t think that’s the really interesting part. I don’t think the world needs more cryptographers, they need more people that understand how to use cryptography” (ver a partir del minuto 7 en dicha conferencia).
8. ¿Consideras importante introducir asignaturas de seguridad entre las universidades y distintos centros educativos para concienciar a nuestros futuros informáticos?
Claro que sí. De hecho, ya proponía en un artículo presentado en un congreso JENUI del año 2001 en Palma de Mallorca la necesidad de que se crease un
título de Ingeniero en Seguridad Informática
o Seguridad de la Información, algo que no dejaba de ser una quimera aunque esto ya lo venían diciendo años atrás expertos norteamericanos. Es posible que el tiempo nos acabe dando la razón pues cada vez resulta más patente la necesidad de contar ingenieros con una amplia y buena formación en todas las facetas de la seguridad de la información, que son muchas. Espero verlo.
¿Por qué sino hay tantos
másteres y postgrados en seguridad
-en España más de una docena- y al parecer todos gozan de buena salud y continuidad? Si las carreras de grado no entregan esta formación que el mercado demanda, habrá que buscarla en los postgrados y esto es precisamente lo que observamos. Muchos años atrás sucedía exactamente lo mismo con otras titulaciones, hoy totalmente consolidadas, como puede ser la Ingeniería del Software o incluso la propia Informática si nos remontamos unas cuantas décadas en el tiempo.
Pero vamos avanzando. Si hace 10 años la oferta docente en pregrado de asignaturas relacionadas con la seguridad de la información rondaba la treintena, y de ellas sólo un par como obligatorias, hoy superan el centenar y la entrada del Plan Bolonia con nuevas titulaciones ha favorecido el hecho de que en algunas universidades ya se ofrezca seguridad informática o de la información como asignatura de seguimiento obligado por los futuros ingenieros. Esta obligatoriedad que hace tan sólo 10 años era casi ciencia ficción y sólo aparecían dos universidades pioneras, la Universidad Carlos III de Madrid y la Universidad de Deusto, hoy en día nadie pone en duda ni se asombra que al lado de una Ingeniería del Software aparezca una Seguridad de la Información con igual peso. Ha costado muchísimo que alguien -básicamente quienes tienen el poder de decisión- se diese cuenta de ello pero al final todo ha caído por su peso.
Sin ir más lejos, en el próximo curso en la Escuela Universitaria de Informática donde trabajo ya comenzamos a impartir en las nuevas titulaciones de
Graduado en Ingeniería del Software
y
Graduado en Ingeniería de Computadores
una asignatura obligatoria en segundo curso con el título Fundamentos de Seguridad de la Información, con seis créditos ECTS. En este nuevo proyecto y desafío participo con mis colegas Ángeles Mahíllo y Juan Alberto de Frutos.
9. El pasado mes de diciembre, un grupo de investigadores hicieron públicas sus investigaciones donde dejaban constancia de las debilidades del algoritmo MD5. ¿Podrías darnos un explicación más en detalle de cómo consiguieron dar por válido cualquier certificado?
El asunto de las funciones hash y sus debilidades ante lo que se llaman colisiones, es decir dos mensajes/documentos distintos cuyos hash o resúmenes tienen igual valor, es algo que viene trayendo de cabeza a mucha gente y el tema no está ni mucho menos zanjado. La debilidad manifiesta de MD5 se hace pública en agosto de 2004 por el grupo de investigación de la Dra. Wang; desde ese año han pasado muchas cosas, tanto como que la fortaleza inicial de MD5 ante colisiones basada en la paradoja del cumpleaños (esto sería muy largo y pesado explicarlo aquí, puede verse por ejemplo en
Wikipedia)
ha bajado desde 264 hasta 239, es decir una disminución brutal de más de 33 millones de veces en pocos años.
Es necesario recordar que cuando hablamos de la paradoja del cumpleaños no nos referimos a un ataque por fuerza bruta en el que se comprueban cada una de todas las claves posibles de un sistema de cifra, y que en funciones hash -que no es un algoritmo de cifra- sería equivalente a buscar un segundo mensaje cuyo hash colisione o coincida con el del primer mensaje. El ataque basado en dicha paradoja intenta buscar dos mensajes distintos elegidos al azar y cuyos hash coincidan, y no una vez se tiene un hash de un mensaje, buscar un segundo mensaje distinto cuyo hash colisione. Son dos problemas completamente diferentes.
Desgraciadamente MD5 se sigue usando como función hash para comprobar la integridad de archivos en muchas plataformas, aunque es verdad que en comercio electrónico está completamente obsoleto. El problema está en que el actual estándar SHA-1, más seguro pero muy parecido a MD5, digamos que son como primos hermanos algorítmicamente hablando y que sí usamos en conexiones seguras en Internet y que seguía más o menos resistiendo estos embates en búsqueda de colisiones, ya está herido de muerte. Su fortaleza hipotética de 280 intentos (un valor hoy en día extremadamente alto) ante colisiones basada en la paradoja se había quedado en el año 2006 en 263 y en junio de 2009 se ha demostrado que ha descendido hasta 252, una disminución de más de 2 mil veces que comienza a ser preocupante. Y seguimos sin tener un sustituto real para el estándar SHA-1; se habla de migrar a SHA-2 y otras opciones, pero lo cierto es que no hay nada claro. El NIST ha llamado ya a un concurso para ese nuevo estándar pero no sería nada extraño que no lo tengamos antes del 2012.
En
esta conferencia,
que por cierto he presentado en diversos países y he ido actualizando con los años (es verdad, he sacado buen provecho del tema), intento explicar qué está sucediendo en el convulsionado mundo de las funciones hash. Precisamente uno de los ejemplos que ahí presento es una colisión entre dos certificados digitales X.509 que usan MD5 como hash, desarrollado por los investigadores Lenstra, Wang y Weger en el año 2005. Se trata de la generación de dos certificados X.509 distintos que usan RSA y MD5, y que son ambos válidos ante una autoridad de certificación; uno podría ser el certificado verdadero y el otro de un sitio pirata. El problema es que, dado que usamos criptografía asimétrica para la firma digital en tanto no tenemos otra opción hoy en día, por la lentitud propia de estos algoritmos las firmas deben hacerse ante “documentos” -en realidad son números- muy pequeños, de centenas de bits, y por eso no se firma el documento, dato o información en sí sino un hash o resumen del mismo. Y éste como ya se ha dicho puede mostrar colisiones. Afortunadamente hace más de 3 años que ya nadie usa MD5 en comercio electrónico.
10. Nos gustaría que nos hablases sobre tus planes profesionales para este año.
Dejando de lado que tengo un fin de año bastante movido con 6 viajes a Latinoamérica (Chile, Cuba, Colombia, Panamá, Argentina y Uruguay), está el Cuarto Día Internacional de la Seguridad de la Información DISI 2009 el 30 de noviembre en Madrid y del que pronto sacaremos publicidad, el V Congreso Iberoamericano de Seguridad Informática
CIBSI 2009
a celebrarse en noviembre en Montevideo, Uruguay, y lo que te comentaba al comienzo de la entrevista sobre cambios importantes en CriptoRed y en su servidor para que la red temática pase “de niña a mujer” como rezaba aquella melosa canción de un tal señor Iglesias -no soy precisamente un admirador- a comienzos de los 80. Para esto último necesitamos al menos 6 empresas patrocinadoras, además de GMV que ya ha apostado por el proyecto, y que deseen invertir en este proyecto; estoy seguro que no se arrepentirán.
Una de las acciones que queremos instituir con esta nueva Red Temática, además de ampliarla al mundo anglosajón y ofrecer seminarios gratuitos de alta calidad, es organizar un encuentro de hacking en Madrid que se llamaría Madrid Hacking Meet y tendría las siglas mHm. Tengo pensado incluso su logo relacionado con la Puerta de Alcalá que es un símbolo de Madrid, la segura colaboración de buenos amigos expertos en esta temática en Latinoamérica y en España (sin ir más lejos, por nombrar sólo dos, Chema Alonso de Informática64 y Daniel Calzada, colega de la EUI y administrador del servidor Web de CriptoRed, de quienes admiro -y envidio sanamente, he de confesarlo- su tremenda facilidad para entender y resolver enmarañados sistemas de protección y desprotección en redes), el formato del evento, su emplazamiento, etc. ¿Alguna empresa interesada?
Si esta entrevista la está leyendo algún directivo de empresa -también tienen derecho a un relax digo yo y leer lo que les plazca, incluso esto- y está interesado en participar en el proyecto de red temática, puede ponerse en contacto conmigo. Se trata de un proyecto de universidad, que lo firman el Rector de la UPM y el directivo de esa empresa, y en el que participarán en una Comisión de Seguimiento para aportar su visión y planificar el desarrollo del mismo, proyecto del que se auditan sus cuentas por parte de la propia universidad mediante una Oficina de Transferencia de Tecnología.
No estoy ofreciendo humo, hipotéticas puntoscom ni nada que esté en construcción; CriptoRed es una realidad y un referente mundial. Tras 10 años de vida y como primera referencia de red temática mundial, es el momento oportuno para que participen varias empresas patrocinadoras y podamos dar ese salto cuantitativo que nos permita poder contratar becarios, aumentar los servicios, generar eventos, etc. Hablamos de un pequeño aporte económico que, no obstante, puede significar mucho en visibilidad de la empresa en la red; basta ver las entradas en buscadores por CriptoRed y por CIBSI, y las que seguro se sumarán si organizamos el Madrid Hacking Meet, que buena falta hace.
Y finalmente un proyecto en el que llevo ya dos años trabajando con alumnos de la universidad; un software en el que había puesto grandes esperanzas de que fuese un verdadero bombazo al subirlo a la red a mediados de 2009, como así hubiera sido si no es porque la realidad empresarial ha querido que se quede en una gran decepción, una de las peores que he tenido en mi vida profesional.
El proyecto se llama PlagioStop y consiste en una aplicación freeware que se ejecuta en local y que hace una comparación de uno o varios documentos entre sí y contra Internet para detectar plagios. Para ello hace uso de buscadores a los que el programa accede para realizar búsquedas exactas de un conjunto de palabras del texto analizado. No es pionero en esta temática pues existen ya una docena de aplicaciones similares en el mercado, pero sí era el primero con descarga totalmente libre y trabajando en local.
Como sabes, este tipo de búsquedas automatizadas o por robots no están autorizadas en dichos buscadores y así lo expresan claramente en sus políticas publicadas en su sitio Web. Es así como una vez hechas las consultas del caso, me encuentro con la imposibilidad de superar esta limitación de uso de los buscadores más populares y por tanto la aplicación no puede ver la luz. No pasa nada, a veces se gana y a veces se pierde, y esta vez me ha tocado perder; pero no tiraré por la borda este proyecto, tengo fe en él.
Lo que no logro entender es cómo lo han hecho otros programas similares que encuentras en la red y usan los servicios de famosos buscadores sin su autorización. ¿Qué les pasará a sus autores? No lo sé y no me incumbe; pero no me negarás que resulta paradójico que un hermoso proyecto educativo, con software gratuito y de la mano de una prestigiosa universidad como la UPM no pueda hacerse público y en cambio estas otras aplicaciones, algunas incluso de pago y que ni siquiera han consultado si podían hacerlo, sí estén tan ricamente en la red.
Se trata de una aplicación de uso libre de la que se beneficiarían miles de profesores de universidad, de institutos, colegios, investigadores, profesionales, abogados, etc. -tengo muchos colegas de universidades que lo estaban esperando como agua de mayo- que tenía como único fin mitigar un poco esta lacra que se conoce como plagio, que estamos ya cansados de soportar en las universidades y que cada vez se hace más patente dada la gran cantidad (no entro en aspectos de calidad) de información que existe en la red con sitios como Wikipedia, el Rincón del Vago, etc. Y mira que yo soy de los que sube sus documentos y otros desarrollos a Internet para su libre descarga, nadie puede decirme lo contrario, pero una cosa muy loable es permitir que usen y compartan tu trabajo y otra muy distinta que te lo fusilen y se queden tan panchos como si eso no fuese un delito.
¿Qué puedo hacer con PlagioStop? Primero que nada hacer gala de una ética profesional que otros desarrolladores no han tenido y no publicar por tanto ese software, quedando sólo de uso personal y en todo caso como prueba de laboratorio siempre a título personal. Y como segunda línea de actuación, seguir avanzando en el proyecto, sacando nuevas versiones y de cuando en cuando volver a contactar con estas empresas, con la intención de que algún buen día se den cuenta que mi proyecto no es una herramienta que les pueda afectar en sus resultados estadísticos ni económicos y que, muy por el contrario, les permitiría mostrarse como empresas que apuestan por algo tan noble como es mitigar en parte el fraude que origina el plagio, digamos que harían una obra social.
¿Solución? Crear un blog sobre este tema explicando las razones que me impulsaron comenzar este proyecto, que las hay, escribir un documento sobre el funcionamiento de PlagioStop contando con la colaboración de los 5 alumnos que ya han trabajado en ello y los que continuarán en su desarrollo, mostrar ejemplos de la aplicación con capturas de pantalla y resultados, etc., de forma que se sepa qué aplicación gratuita podríamos estar utilizando para nuestro provecho miles de profesionales, luchando así contra el plagio, pero que a fecha de hoy restricciones de uso impiden que sea una realidad y por tanto no se hace pública. La esperanza es lo último que se pierde.
11. ¿Qué libros podrías recomendar para quienes quieran conocer un poco más sobre la criptología?
Sin lugar a dudas, el libro más genérico e introductorio sobre estos temas orientado a todos los públicos sería
Cripto: cómo los informáticos libertarios vencieron al gobierno y salvaguardaron la intimidad en la era digital
de Steven Levy, una obra básica que aunque tenga ya casi diez años constituye una apasionante lectura sobre los enrevesados caminos por los que ha atravesado la criptografía en la era moderna.
Como libros de texto me quedo con
Cryptography and Network Security
de William Stallings y
Handbook of Applied Cryptography
de Alfred Menezes, este último además para libre descarga desde su sitio Web. Y cómo no, los
libros electrónicos
que se indican en la Red Temática, y por supuesto entre ellos el mío -la falsa humildad por delante- que ya ha superado las 70.000 descargas y que al ser gratis no me he llevado ni un céntimo por ello.
Jorge, de corazón, es un verdadero placer poder haberte realizado esta entrevista y que hayas compartido con nosotros tu tiempo y tus conocimientos. Esperamos colaborar contigo más en profundidad en futuras iniciativas que realicemos más adelante.
Muchas gracias y te deseamos mucha suerte en todas estas iniciativas que estás llevando a cabo.
Mercedes Martín
Responsable de Iniciativas de Seguridad y Privacidad
Email: i-merma@microsoft.com
Microsoft España