Criptografía para principiantes (I)
por José de Jesús Angel Angel, director de Investigación y Desarrollo de SeguriDATA.

Prefacio.-

El uso de técnicas criptográficas tiene como propósito prevenir algunas faltas de seguridad en un sistema computarizado. La seguridad en general debe de ser considerada como un aspecto de gran importancia en cualquier corporación que trabaje con sistemas computarizado. El hecho que gran parte de actividades humanas sea cada vez más dependiente de los sistemas computarizados hace que la seguridad juegue un papel importante [6].

Quizá antes sea importante mencionar algunos datos relacionados con la seguridad antes de comenzar con el desarrollo del tema

En el reporte "Computer Crime Survey" del FBI, proporcionado por Secure Site E-News del 22 de mayo de 1999, de la compañía VeriSign, se dieron los siguientes datos:

Se estudiaron 521 compañías de varias ramas de la industria y de diferentes tamaños. Estas están actualmente trabajando para que su sistema computarizado sea seguro.
El 61% de estas compañías ha tenido experiencias de perdida debido al uso de no autorizado de su sistema computarizado.
El 32 % de estas organizaciones están usando ahora métodos de identificación segura en su sitio de Internet.
El promedio de perdida de robo o perdida de información esta sobre $1.2 M de dólares.
El promedio de perdida por sabotaje esta sobre $1.1 M dólares.
El 50% de todas las compañías reportaron abuso de del uso de la red
El 94% de las organizaciones tiene actualmente un sitio en la web.

A la pregunta ¿qué tipo de tecnología de seguridad usa? Se contesto con lo siguiente:

Se cuenta con un control en el acceso 89%.
Cuenta con archivos cifrados 59%.
Cuanta con sistema de passwords 59%.
Usa Firewalls 88%.Una sistema de log-in cifrados 44%.
Usa smart-cards 37%.
Detención de intrusos 40%.
Certificados digitales para la autenticación 32%.

A la pregunta ¿Cuál es más frecuente origen de un ataque?

Un "hacker" independiente 74%.
Un competidor 53%.
Un empleado disgustado 86%.

¿Su organización provee servicio de comercio electrónico?

Sí, el 29%.

¿Su web-site ha tenido un acceso no autorizado en los últimos 12 meses?

Sí 18%.
No 44%.
No sabe 38%.

Enseguida presentamos un reporte dado a conocer, en unos cursos de criptografía industrial en Bélgica, en junio de 1997, en donde se mide la frecuencia de incidentes de seguridad de la información relacionada con sus causas [7][8].

Otro aspecto importante a considerar es el crecimiento enorme que ha tenido la red Internet, algunos datos importantes son los proporcionados por Paul Van Oorschot de Entrust Technologies en una conferencia del ciclo The Mathematics of Public Key Cryptography en junio de 1999:

-Se duplica él trafico de Internet cada 100 días.
-En enero de 1999 hubo 150 millones de personas en línea, 75 de ellas en USA.
-El comercio sobre Internet se duplica cada año.
-Podría llegar a $1 trillón de dólares lo comercializado en Internet en el año 2002.
-A la radio le tomo 40 años, a la televisión 10 años para alcanzar 50 millones de usuarios a la red le ha tomado   menos de 5.

Estos datos sólo son algunos de los que frecuentemente son dados a conocer por algún medio, y aunque algunos obedecen a intereses comerciales, lo que sí es cierto es el enorme cambio que han tenido gran cantidad de actividades a raíz del uso de Internet que incluso se ha considerado como el invento más importante de fin de siglo y de ahí lo primordial de todo lo relacionado con su seguridad.

Siempre podremos encontrar razones para reafirmar la trascendencia que tiene la seguridad en los sistemas computarizados, enseguida nos dedicamos a dar una introducción de cómo podemos atacar este problema.

El diseñar una estrategia de seguridad depende en general de la actividad que se desarrolle, sin embargo, se pueden considerar los siguientes tres pasos generales: el primero crear una política global de seguridad, el segundo realizar un análisis de riesgos y el tercero aplicar las medidas correspondientes [3][9][10].

Política global de seguridad: aquí se establece el estatus de la información para la empresa o la organización, debe de contener un objetivo general, la importancia de la tecnología de la información para la empresa, el periodo de tiempo de validez de la política, los recursos con que se cuenta, objetivos específicos de la empresa.

Debe de establecerse la calidad de la información que se maneja según su objetivo, esto quiere decir que se determine cuándo o para quién la información debe ser confidencial, cuándo debe verificarse su integridad y cuándo debe de verificarse la autenticidad tanto de la información como de los usuarios.

Análisis de riesgos: consiste en listar todo tipo de riesgos a los cuales esta expuesta la información y cuáles son las consecuencias, los posibles atacantes entre persona, empresas y dependencias de inteligencia, las posibles amenazas etc., enumerar todo tipo de posible pérdida, desde pérdidas directas como dinero, clientes, tiempo etc., así como indirectas, créditos no obtenidos, pérdida de imagen, implicación en un litigio, pérdida de imagen, pérdida de confianza etcétera.

El riesgo se puede calcular por la formula:

riesgo = probabilidad x pérdida

Por ejemplo el riesgo de perder un contrato por robo de información confidencial es igual a la probabilidad de que ocurra el robo multiplicado por la pérdida total en pesos de no hacer el contrato. El riesgo de fraude en transacciones financieras es igual a la probabilidad de que ocurra el fraude por la pérdida en pesos de que llegara ocurrir ese fraude. Si la probabilidad es muy pequeña el riesgo es menor, pero si la probabilidad es casi uno, el riesgo puede ser casi igual a la perdida total. Si por otro lado la pérdida es menor aunque la probabilidad de que ocurra el evento sea muy grande tenemos un riesgo menor. Por ejemplo la pérdida de una transacción de 300 pesos con una probabilidad muy grande de que ocurra al usar criptografía débil, el riesgo llega a ser menor por lo que depende de la política de seguridad para que este riesgo se asuma.

Medidas de seguridad: esta parte la podemos plantear como la terminación de la toda la estructura de seguridad de la información. Una vez planteada una política de seguridad, o sea decir cuanto vale la información (en un análisis de riesgo), decir que tanto pierdo si le ocurre algo a mi información o que tanto se gana si está protegida, debemos de establecer las medidas para que cumpliendo con la política de seguridad las pérdidas sean las menores posibles y que esto se transforme en ganancias, ya sean materiales o de imagen.

Las posibles medidas que se pueden establecer se pueden dividir según la siguiente tabla:  

PF: guardias a la entrada del edificio, control en el acceso de entrada, protección al hardware, respaldo de datos, …
DF: monitor de vigilancia, detector de metales, detector de movimiento, …
CF: respaldo de fuente de poder, …
PT: firewalls, criptografía, bitácora, …
DT: control de acceso lógico, sesión de autenticación, …
CT: programa antivirus, …
PO: cursos de actualización, organización de las claves, …
DO: monitoreo de auditoria, …
CO: respaldos automáticos, plan de incidentes (sanciones), …

En resumen debemos de mencionar que no existe un sistema computarizado que garantice al 100% la seguridad de la información debido a la inmensa cantidad de diferentes formas con que se puede romper la seguridad de un sistema [2]. Sin embargo, una buena planeación de la estrategia para dar seguridad a la información puede resultar desde la salvación de una empresa hasta la obtención de grandes ganancias directas en dinero efectivo, o como ganancias indirectas mejorando la imagen y la seguridad de la empresa. Uno de los objetivos principales de establecer una política de seguridad es el de reducir al mínimo los riegos posibles, implementando adecuadamente las diferentes medidas de seguridad [1][4][5].

En seguida repasamos algunas de las técnicas de seguridad que pertenecen a la criptografía, tratando de exponerlas de una forma sencilla de comprender. Para un estudio más profundo se puede recurrir a la amplia bibliografía.