En el mundo interconectado actual, podemos confiar en todo tipo de conexiones, desde el uso típico en el hogar, donde tenemos ordenadores, smartphones y electrodomésticos, hasta las empresas, donde existen servidores que contienen datos sensibles de clientes o una multitud de controladores que son de misión crítica para la fabricación o que proporcionan servicios generadores de ingresos.
En todos estos ejemplos, dependemos de nuestros dispositivos para saber con quién nos comunicamos y para tener la garantía de la integridad y confidencialidad de los datos, ya sea el horario de encendido de nuestros dispositivos domésticos inteligentes o las instrucciones para la máquina de la planta de producción sobre lo que debe hacer, y todo lo imaginable entre ambos. Nuestra vida moderna depende de cuánto podamos confiar en los sistemas y dispositivos en los que nos apoyamos para hacer nuestras vidas más cómodas, realizar tareas específicas y hacer que nuestra sociedad funcione de manera más eficiente en muchos aspectos.
Como de costumbre, reflexiono sobre el núcleo de todo esto: las matemáticas y la criptografía aplicada. Para algunas personas, es algo intimidante. Pero para otros como yo, es una pasión a la que me gusta dedicar mi tiempo, más de 30 años y contando. Sin embargo, lo importante que todos debemos recordar es que muchas personas talentosas han desarrollado el concepto de confianza digital a lo largo de las últimas cuatro décadas. Estas personas, los criptógrafos, han desarrollado algoritmos y protocolos que crean las estructuras de confianza y varios mecanismos de seguridad que la mayoría de nosotros usamos a diario, a veces a sabiendas/intencionadamente, mientras que muchas veces todo se hace automáticamente y "simplemente funciona". Curiosamente, las matemáticas a veces nos permiten imaginar cosas que aún son imposibles de implementar; en el pasado, los ordenadores eran computacionalmente demasiado débiles y no teníamos una infraestructura desarrollada que nos permitiera conectarnos con casi cualquier persona, en cualquier lugar.
El surgimiento de la confianza: de los navegadores a las tarjetas de identidad
Quienes nacimos antes del surgimiento de los smartphones, antes incluso de que existieran Google o Facebook, recordamos la última década del siglo XX, cuando todo empezó a ponerse en práctica.
Todo comenzó con los navegadores. A medida que la gente empezó a utilizarlos para consumir información disponible en internet, se hizo imperativo asegurar que podíamos confiar en lo que veíamos en el navegador y que otros no pudieran saber fácilmente lo que estábamos viendo. El navegador que cambió el mundo fue Netscape, donde un equipo liderado por el brillante criptógrafo Tahel El Gamal nos dio la capacidad de proporcionar seguridad en la comunicación por internet. Se llamó protocolo SSL, y la iteración actual se llama TLS. El protocolo SSL se basa en el uso de los llamados certificados digitales y la criptografía de clave pública. Este invento dio a los usuarios de internet la capacidad de conectarse de forma segura a los sitios web, proporcionando así confianza en internet, y es seguro decir que fue un factor contribuyente enormemente importante para la transformación digital de nuestras sociedades. Por ejemplo, el comercio electrónico era prácticamente inexistente antes de esta innovación.
Las primeras implementaciones de la "confianza pública" y los servicios asociados a los sistemas de confianza fueron torpes, nada fáciles de usar y a menudo no lograron las ambiciones previstas. Simplemente, los productos aún eran inmaduros y, como la mayoría de las buenas intenciones de las contrataciones públicas, casi todas resultaron únicamente en el despilfarro del dinero de los contribuyentes.
Lenta pero seguramente, surgieron algunos éxitos y lecciones valiosas. Los servicios B2C fueron introducidos por algunos bancos, dado que estos, por la propia naturaleza de su negocio, conocían la importancia de la confidencialidad. Aunque buenos para la época, estos sistemas no escalaban bien. Los usuarios necesitaban tener un dispositivo especial conectado a un ordenador (lector de tarjetas inteligentes). Era nada menos que una pesadilla (re)instalar el Software de controlador cada vez que se actualizaba Windows.
Algunos gobiernos tenían ambiciones audaces de proporcionar servicios G2C. Además de las dificultades técnicas, también obtuvimos "estándares" y regulaciones específicos de cada país que, en el mejor de los casos, protegían a proveedores nacionales o preferidos y, en el peor, eran insuficientemente seguros. Sin embargo, aprendimos mucho: si bien las tarjetas de identidad iniciales emitidas por el gobierno con "chips inteligentes" fueron un fracaso hace más de 20 años, hoy tenemos ejemplos maravillosos donde la mayoría de la población utiliza tarjetas de identidad electrónicas para acceder tanto a servicios gubernamentales como empresariales.
Viviendo en Suecia, es casi imposible imaginar cómo funcionaba el mundo antes de BankID; accedemos a todo tipo de servicios a diario utilizando este servicio. Otro ejemplo son las tarjetas de identidad digitales en Estonia, que son ampliamente consideradas un modelo de éxito. Ambos ejemplos tienen más de una década de uso generalizado, funcionan para la mayoría de la población y proporcionan a la sociedad servicios que ahorran muchísimo dinero a los contribuyentes.
Los desafíos de la confianza digital a medida que la tecnología escala
Sin embargo, a medida que las tecnologías mejoraron, también lo hicieron el mal uso y los "ataques". El problema de escalar a un gran número de usuarios es multifacético, y aquí mencionaré solo algunos ejemplos.
Validar que un solo certificado es válido es simple, pero tener millones de certificados emitidos significa que cada parte necesita una forma eficiente de asegurar que se comunica con la contraparte prevista y aprobada. Incluso para el sistema más simple, con una sola jerarquía de confianza, esto implica grandes transferencias de datos solo para equipar a todos con información de validación actual.
Además, nuestros navegadores tienen más de 100 jerarquías de confianza integradas, y un usuario común no tiene ninguna posibilidad de validarse en todas ellas, ya que sería una tarea enorme. Casualmente, algunas de estas anclas de confianza, las llamadas autoridades de certificación públicas, fueron objetivo de ataques maliciosos y abuso posterior. Si un sistema así se ve comprometido y tiene millones de usuarios, la tarea de restablecer la confianza puede ser prácticamente imposible.
Se realizaron mejoras y, hoy en día, contamos con tecnologías que permiten la validación de certificados bajo demanda, y han evolucionado reglas y regulaciones interindustriales que controlan cómo se emiten los certificados de confianza pública. ¿Es perfecto? No. ¿Funciona? Sí. El debate es interminable: los nuevos métodos de ataque deben abordarse constantemente.
Aquí en Europa, hemos abandonado en su mayoría los estándares específicos de cada país y hemos avanzado hacia estándares al menos a nivel europeo. Esto abrió una importante competencia entre los proveedores, pero también la posibilidad de que un ciudadano del país X pueda usar servicios en el país Y. Pero el mundo no termina en Svalbard ni en Malta; necesitamos comunicarnos con "todo el mundo".
Para el bien de la humanidad (en su mayor parte), las grandes empresas tecnológicas desempeñaron un papel significativo en el impulso de tecnologías que funcionan en todas partes (donde no está prohibido o controlado por gobiernos específicos). Sí, fue en su propio interés, pero ¿y qué? ¡Funciona (en su mayor parte)!
Un ejemplo que ha tenido bastante éxito es el consorcio 3GPP, que estableció una serie de estándares en las telecomunicaciones móviles. El modelo de confianza (relacionado con la confianza digital y el uso de PKI) de los estándares 3GPP es, sin duda, uno de los mejor desarrollados y se ha utilizado durante casi 20 años en todo el mundo.
Hay tantos detalles que omito aquí, pero sería injusto olvidar las contribuciones de empresas e individuos a la creación de los estándares abiertos que nos permiten disfrutar de los beneficios del tejido de confianza. Cuando los criptógrafos hacen un descubrimiento brillante, los ingenieros lo hacen funcionar de manera consistente e interoperable. Eso es mucho más fácil de decir que de hacer. Los ingenieros que trabajan en estándares deben mirar tanto hacia atrás para permitir que los nuevos sistemas funcionen con los antiguos como hacia adelante para permitir futuras mejoras en un campo que evoluciona rápidamente. Los héroes anónimos de los últimos más de 25 años son los ingenieros que contribuyeron a los estándares interoperables. Si tuviera que elegir una organización, sería el IETF, donde contribuyentes de muchas empresas entregaron cientos de estándares de facto sin los cuales la era digital que disfrutamos sería un "salvaje oeste" digital.
Vuelva la próxima semana para conocer tres tendencias que impactan la evolución de la confianza digital. Mientras tanto, explore nuestro informe técnico.
