Aspectos técnicos de la firma electrónica
| Autor | Rodolfo Lomascolo Szittyay |
| Cargo del Autor | Director General de IPSCA |
| Páginas | 29-81 |
Page 29
Hoy nadie discute que uno de los elementos que más ha contribuido al desarrollo tecnológico de la industria americana, después de la Segunda Guerra Mundial, fue la institucionalización de los intereses del Gobierno Federal, la comunidad científica y el mundo empresarial. Como consecuencia de esa institucionalización nacieron asociaciones como la Fundación Nacional de la Ciencia (NSF, National Science Foundation) y la Agencia de Proyectos Avanzados de Investigación (ARPA, Advanced Research Projects Agency). Fue en ARPA donde empezó Internet.
Hoy Internet se encuentra extendido como la herramienta fundamental para los negocios, la administración y el uso privado. Aunque la seguridad sigue siendo un problema.
En el caso de las grandes corporaciones y organizaciones empresariales la preocupación por la seguridad en Internet es fácil de entender: las organizaciones necesitan proteger la confidencialidad de la información reservada. Por otra parte, los usuarios de a pie también deberían vigilar de cerca todo lo referente a la protección de sus datos y a la identidad de las fuentes y destinatarios de los mismos.
Page 30
Evidentemente, la seguridad en Internet afecta sobremanera a las empresas que operan con banca electrónica, ya que las cuentas bancarias en Internet no son más que bases de datos y, como tales, están expuestas. En definitiva, la seguridad afecta a todos: a las grandes compañías por ser una tentación y por las consecuencias de una posible filtración, y a los usuarios individuales por su vulnerabilidad.
En España, al igual que en el resto del mundo, la seguridad informática sigue considerándose por parte de la dirección de las empresas como importante o muy importante. Un reciente estudio de la consul-tora Ernst & Young apunta que para el 82% de los encuestados este aspecto es fundamental. Sin embargo, esta importancia que se otorga a la seguridad informática no siempre va unida a la implantación de medidas concretas de seguridad.
Según el mismo informe, más de la mitad de las empresas reconocen que no analizan los posibles accesos a su sistema informático. Si tenemos en cuenta que en la actualidad las empresas dependen en gran medida de su sistema informático, porque a través del mismo producen su trabajo diario, generan sus datos y, en definitiva, realizan su negocio, este dato resulta preocupante. El hecho de no investigar posibles indicios de acceso implica que más tarde o más temprano alguien puede acceder a su sistema informático y, por ende, el negocio puede estar en manos de un intruso.
Así pues, el principal problema no es de índole técnica, sino de toma de conciencia de los peligros potenciales en la transmisión de información confidencial a través del ciberespacio.
La seguridad en Internet consiste en implementar mecanismos para que cuando se reciba un mensaje o se realice una transacción por medios electrónicos, se asegure la integridad del contenido y la identidad del remitente y del receptor. Las contraseñas y palabras clave ya no son un mecanismo suficientemente fiable y seguro, ya que éstas pueden ser interceptadas durante su transmisión, de lo que desgraciadamente nos damos cuenta muy tarde o cuando la prensa se hace eco de un caso de estafa electrónica.
Se trata de un problema de mentalización y sentido común. ¿De qué vale disponer de un canal de alta tecnología si ello redunda en posibles pérdidas y falta de seguridad Pero existen soluciones seguras. En el plano técnico, ya hay en el mercado mecanismos que pueden asegurar los contenidos y la identidad de las partes que se comunican y realizan transacciones en Internet.
Page 31
La técnica puede garantizar una seguridad casi total. La mentalidad puede ser la adecuada. Pero el tema es todavía más complejo. Resulta cuando menos interesante comprobar cómo los sistemas abiertos de comunicaciones tienden a emular la organización, estructura y comportamiento de la sociedad.
No existe sistema informático que no pretenda ser seguro, de una forma u otra, con mayor o menor éxito, con mayor o menor notoriedad, al mismo tiempo que se abre hacia Internet u otras redes para dar mayores y mejores servicios a sus usuarios, internos o externos. Como mínimo parece ser algo paradójico.
Plantear temas de seguridad en público resulta cuando menos incómodo. Por muy delicado que se pretenda ser al tratar estos temas se corre siempre el riesgo de herir demasiadas sensibilidades.
Dejando de lado los problemas de seguridad causados por virus informáticos, un tema con el que podríamos llenar páginas y páginas y que en la actualidad ha crecido desmesuradamente, la tendencia a utilizar contenidos activos en las páginas web (applets Java, Active-X...) ha convertido en peligrosa la mera visualización de ciertas páginas (recordemos que el contenido de la página ha de ser previamente cargado en nuestro navegador, que es lo mismo que decir en nuestro ordenador). La protección que a estos efectos proporcionan los navegadores se está demostrando insuficiente, como nos demuestra la continua aparición de fallos.
De todo esto se puede extraer una serie de conclusiones relativas a la seguridad de los datos en sistemas informáticos que, como primer paso, indican que para conectarse a este tipo de redes se debe estar preparado y se debe disponer de una buena información y formación.
Podemos decir que la seguridad se puede dividir en interna y externa. La seguridad interna es aquélla que intenta mantener privados y accesibles sólo para los usuarios autorizados, aquellos datos internos o sensibles de la organización en cuestión. La práctica de la seguridad interna se basa en la utilización de políticas de contraseñas, encriptado de material sensible y control de acceso a los contenedores de información.
De la seguridad interna se habla muy poco, ya que no se denuncian o, lo que es peor, no se llegan a descubrir la mayoría de los incidentes. Todos conocemos casos de personas que venden información de su empresa o que al abandonarla se llevan consigo todo aquello que
Page 32
pueden copiar. Es notorio el caso de una consultora que hace unos años perdió, de un viernes a un lunes, gran parte de su personal, contratado por la competencia, junto con los datos de todos los proyectos que contenían sus ordenadores portátiles.
La seguridad externa puede parecer más compleja de controlar, aunque en realidad no lo es tanto, ya que los usuarios externos no utilizan el sistema interno de la empresa, en principio no deberían disponer de ninguna clave de acceso, aunque sea a nivel de visitante, por lo que con dedicación y conocimiento se pueden crear sistemas altamente seguros.
Hoy no se puede decir que la conexión a Internet o a cualquier otra red abierta no se pueda realizar de forma segura, existen las herramientas y la mayoría de ellas seguro que se encuentran incorporadas en el sistema operativo de sus servidores y estaciones de trabajo.
Las consecuencias de un mal diseño de red y de seguridad, de la no utilización de herramientas adecuadas y el desconocimiento de lo que le puede estar pasando a nuestra red, son los peores enemigos de cualquier sistema.
Es muy recomendable e incluso imprescindible contar con empresas especializadas en seguridad, para el análisis de necesidades y el mantenimiento y control de los niveles de seguridad. Al ser un tema tan amplio y que evoluciona muy rápidamente, sólo las personas que se especializan en estos temas conocen y siguen el día a día de su evolución.
Una primera solución pueden ser los certificados de usuario y de servidor seguro. Estos sistemas proporcionan un mecanismo de firma simple y seguro que está basado en los estándares de los navegadores de Internet, Navigator y Explorer. Son procesos optimizados de autenticación de documentos, en los que los mensajes encriptados con la clave pública del destinatario sólo pueden ser desencriptados (descifrados) usando la clave privada de éste.
Los mecanismos basados en estas...
Para continuar leyendo
Solicita tu prueba