En un par de artículos escribí tiempo ha de la seguridad de los móviles GSM y de una curiosa demanda entre dos gigantes audiovisuales. En ambos casos, el trasfondo era el mismo: cuando no puedes protegerte con criptografía, protégete con leyes.
Los algoritmos de cifrado y autenticación se usan para proteger datos, sean mensajes, señales de televisión, o conversaciones telefónicas; también sirven para garantizar que el que está en el otro lado de la línea es quien dice ser. Diseñar tales algoritmos es difícil, hacerlos resistentes al criptoanálisis lo es aún más, y si se trata de hacerlos resistentes en el uso diario, ya ni te cuento. Pero eso no exime de responsabilidad, o al menos no debería.
Los teléfonos móviles GSM tienen sistemas criptográficos para, en teoría, proteger la identidad de los interlocutores y el contenido de las llamadas. Pero los algoritmos de cifrado y autenticación se desarrollaron en secreto, a espaldas de la comunidad criptográfica, creyendo que con mantenerlos secretos bastaba. El resultado es que, cuando sus detalles se filtraron, hubo quien halló formas de atacarlos con éxito. Consecuencia: los móviles pueden clonarse con más facilidad que las ovejas, lo que se supone era prácticamente imposible. De modo que, si le roban el móvil y se lo encuentra de vuelta a la mañana siguiente, ya puede anularlo y comprarse otro. Y, si quiere mantener una conversación confidencial, mejor use palomas mensajeras.
Por supuesto, la industria reaccionó. Primero lo negó todo. Luego se hicieron los suecos. Y recientemente han cambiado –a buenas horas– los algoritmos de cifrado. Por lo visto, se han dado cuenta de que el milagro de la telefonía de tercera generación tarda en llegar, y han decidido tapar agujeros antes de que el barco se les hunda.
Pero han hecho algo más. Recientemente, el Gobierno ha dicho que el Código Penal será modificado para incluir entre sus delitos la manipulación de teléfonos robados. Antes, dicho delito no existía. Y a las telecos no les preocupó lo más mínimo. ¿Por qué? Porque negaban la mayor. Nadie pone multas por violar la ley de la gravedad, sencillamente es algo que no se puede hacer. Pues lo mismo con el clonado de móviles.
Pero resulta que sí se puede, y hay gente que lo hace con facilidad, a montones y forrándose en el proceso. En Asia, es toda una plaga; aquí, aún no, pero es sólo cuestión de tiempo. Así que, en lugar de reconocerlo públicamente y hacer un acto de contrición, nos plantan una ley en las narices por si las moscas.
También han anunciado, muy serios ellos, que montarán una base de datos con los móviles robados, para desactivarlos. Vale, pero es como si la Ford publicase una lista de las matrículas de coches robados, en lugar de hacer antirrobos decentes. Todo el mundo sabe que es fácil abrir un coche, así que ¿por qué no reconocer que durante años los operadores GSM han metido la gamba hasta el fondo?
Parece que esto no es sino un ejemplo de la nueva tendencia en el mundo digital. Primer paso: te ofrecen un producto maravilloso. Segundo paso: el producto no cumple las expectativas. Tercer paso: no lo arregles, basta con legislar según te convenga. ¿El comercio electrónico no despega? Pues a criminalizar a los internautas que no usen la red para comprar. ¿Las tarjetas del plus son una birria en cuanto a seguridad? No hay problema, metamos en la cárcel a quien las intente clonar. ¿Los GSM son inseguros? Pues a machacar a los clonadores, en lugar de exigir responsabilidades a quienes los fabricaron inseguros. ¿El ordenador se cuelga? Vaya por Dios, menos mal que manteniendo el código fuente seguro y sacando la exención de responsabilidad nos cubrimos las espaldas.
Bruce Schneier, uno de los expertos en criptografía y seguridad informática en Estados Unidos, escribió dos libros básicos. El primero (Applied Cryptography) viene a decir “he aquí un recetario de algoritmos criptográficos, con esto resolveremos todos los problemas”. En el segundo (Secrets & Lies) nos dice “¿recuerdan el libro anterior? Pues olvídenlo, que la cosa no es tan sencilla”. Sano ejercicio de humildad, proveniente de un verdadero experto en la materia, cuyo ejemplo ojalá cunda.
Y digo yo que puede ser por eso por lo que el tan cacareado DNI digital aún brilla por su ausencia. Hay gente muy buena en la industria privada –y también en la pública, ¿verdad, coleguillas del CERES?– trabajando en el tema durante años. Pero saben que las cosas no son tan sencillas. Si meten la pata en lo más mínimo, si cualquier cerebrito logra un ataque criptoanalítico contra sus tarjetas, las identidades digitales de millones de españoles quedarán en entredicho. Y todavía no hemos legislado contra el robo de identidades. Cuánta legislación pendiente, vive Dios.
En Tecnociencia
0
comentarios
Servicios
- Radarbot
- Libro