En el mundo interconectado de hoy, podemos confiar en todo tipo de conexiones: desde el uso típico en casa, donde tenemos ordenadores teléfonos inteligentesy electrodomésticos, hasta las empresas, donde hay servidores que contienen datos sensibles de clientes o multitud de controladores que son de misión crítica para fabricación o prestan servicios que generan ingresos.
Para todos estos ejemplos, confiamos en que nuestros dispositivos sepan con quién nos estamos comunicando y que tengamos la garantía de la integridad y confidencialidad de los datos, ya se trate del horario de encendido de nuestros dispositivos domésticos inteligentes o de instrucciones a la máquina de la fábrica sobre lo que debe hacer, y todo lo imaginable entre medias. Nuestra vida moderna depende de hasta qué punto podemos confiar en los sistemas y dispositivos de los que dependemos para hacer nuestra vida más cómoda, realizar tareas específicas y hacer que nuestra sociedad funcione de forma más eficiente en muchos sentidos.
Como de costumbre, reflexiono sobre el núcleo de todo este asunto: las matemáticas y la criptografía aplicada. Para algunos, son cosas que dan miedo. Pero para otros, como yo, es una pasión a la que me gusta dedicar mi tiempo, más de 30 años y contando. Sin embargo, lo importante para todos nosotros es recordar que muchas personas con talento han desarrollado el concepto de confianza digital en las últimas cuatro décadas. Esta gente, los criptógrafos, han desarrollado algoritmos y protocolos que crean los tejidos de confianza y varios mecanismos de seguridad que la mayoría de nosotros usamos cada día, a veces a sabiendas/intencionadamente, mientras que muchas veces todo se hace por nosotros automáticamente y "simplemente funciona". Es curioso, las matemáticas a veces nos permiten imaginar cosas que aún son imposibles de poner en práctica: en otros tiempos, los ordenadores eran demasiado débiles computacionalmente y no teníamos una infraestructura desarrollada que nos permitiera conectarnos con casi cualquier persona, en cualquier lugar.
El surgimiento de la confianza: de los navegadores a los documentos de identidad
Los que nacimos antes de la aparición de los smartphones, antes incluso de que existieran Google o Facebook, recordamos la última década del siglo XX, cuando todo empezó a ponerse en práctica.
Todo empezó con los navegadores. Cuando la gente empezó a utilizar navegadores para consumir la información disponible en Internet, se hizo imprescindible garantizar que podíamos confiar en lo que veíamos en el navegador y que otros no podían saber fácilmente lo que estábamos viendo. El navegador que cambió el mundo fue Netscape, donde un equipo dirigido por el brillante criptógrafo Tahel El Gamal nos dio la capacidad de proporcionar seguridad en la comunicación por internet. Se llamaba SSL protocolo, y la iteración moderna se llama TLS. El protocolo SSL se basa en el uso de los llamados certificados digitales y la criptografía de clave pública. Esta invención dio a los usuarios de Internet la capacidad de conectarse de forma segura a los sitios web, proporcionando así confianza en Internet, y se puede decir con seguridad que fue un factor que contribuyó enormemente a la transformación digital de nuestras sociedades. Por ejemplo, el comercio electrónico era prácticamente inexistente antes de esta innovación.
Las primeras implantaciones de la "confianza pública" y los servicios asociados a los sistemas de confianza eran torpes, no resultaban nada fáciles de usar y a menudo no alcanzaban las ambiciones previstas. Sencillamente, los productos aún estaban inmaduros y, como casi todas las buenas intenciones de la contratación pública, en la mayoría de los casos sólo sirvieron para malgastar el dinero de los contribuyentes.
Sin prisa pero sin pausa, surgieron algunos éxitos y lecciones valiosas. Los servicios B2C fueron introducidos por algunos bancos, dado que éstos, por la propia naturaleza de su negocio, conocían la importancia de la confidencialidad. Aunque buenos para la época, estos sistemas no se ampliaban bien. Los usuarios necesitaban un dispositivo especial conectado a un ordenador (lector de tarjetas inteligentes). Era una auténtica pesadilla tener que (re)instalar el controlador software cada vez que se actualizaba Windows.
Algunos gobiernos tenían ambiciones audaces de prestar servicios G2C. Además de las dificultades técnicas, también obtuvimos "normas" y reglamentos específicos para cada país que, en el mejor de los casos, protegían a los proveedores nacionales o preferidos y, en el peor, eran insuficientemente seguros. Sin embargo, hemos aprendido mucho: mientras que las primeras tarjetas de identidad emitidas por los gobiernos con "chips inteligentes" fueron un fracaso hace más de 20 años, hoy tenemos ejemplos maravillosos en los que la mayoría de la población utiliza tarjetas de identidad electrónicas para acceder tanto a los servicios gubernamentales como a los empresariales.
Viviendo en Suecia, es casi imposible imaginar cómo funcionaba el mundo antes de BankID - accedemos a todo tipo de servicios a diario utilizando este servicio. Otro ejemplo son las tarjetas de identidad digitales de Estonia, consideradas un modelo de éxito. Ambos ejemplos llevan más de una década de uso generalizado, funcionan para la mayoría de la población y proporcionan a la sociedad servicios que ahorran toneladas de dinero a los contribuyentes.
Los retos de la confianza digital a medida que se amplía la tecnología
Sin embargo, a medida que las tecnologías han ido mejorando, también lo han hecho los usos indebidos y los "ataques". El problema de escalar a un gran número de usuarios es polifacético, y aquí sólo mencionaré algunos ejemplos.
Validar que un solo certificado es válido es sencillo, pero tener millones de certificados emitidos significa que cada parte necesita una forma eficiente de asegurarse de que se comunica con la contraparte prevista y aprobada. Incluso para el sistema más simple, con una sola jerarquía de confianza, esto significa grandes transferencias de datos sólo para equipar a todos con la información de validación actual.
Además, nuestros navegadores llevan incorporadas más de 100 jerarquías de confianza, y un usuario común no tiene ninguna posibilidad de validarse en todas ellas, ya que sería una tarea ingente. Por cierto, algunos de estos anclajes de confianza, las llamadas autoridades públicas de certificación, han sido objeto de ataques malintencionados y posteriores abusos. Si un sistema de este tipo se ve comprometido y tiene millones de usuarios, la tarea de restablecer la confianza puede ser prácticamente imposible.
Se introdujeron mejoras y hoy disponemos de tecnologías que permiten la validación de certificados a petición, y han evolucionado normas y reglamentos interindustriales que controlan cómo se emiten los certificados de confianza pública. ¿Es perfecto? No. ¿Funciona? Sí. El debate es interminable: hay que abordar constantemente nuevos métodos de ataque.
Aquí, en Europa, hemos abandonado en su mayor parte las normas específicas de cada país y nos hemos orientado hacia, al menos, el ámbito europeo. Esto abrió una competencia muy importante entre los proveedores, pero también la posibilidad de que un ciudadano del país X pueda utilizar servicios en el país Y. Pero el mundo no se acaba en Svalbard ni en Malta: tenemos que comunicarnos con "todo el mundo".
Por el bien de la humanidad (en su mayor parte), las grandes empresas tecnológicas han desempeñado un papel importante a la hora de impulsar tecnologías que funcionan en todas partes (donde no están prohibidas o controladas por gobiernos específicos). Sí, era en su propio interés, pero qué más da: ¡funciona (en la mayoría de los casos)!
Un ejemplo que ha tenido bastante éxito es el consorcio 3GPPque aportó un montón de normas dentro de las telecomunicaciones móviles. El modelo de confianza (relacionado con la confianza digital y el uso de PKI) de los estándares 3GPP es posiblemente uno de los mejores desarrollados y se utiliza desde hace casi 20 años en todo el mundo.
Hay tantos detalles que omito aquí, pero sería injusto olvidar las contribuciones de empresas y particulares a la creación de las normas abiertas que nos permiten disfrutar de las ventajas del tejido de confianza. Cuando a los criptógrafos se les ocurre un nuevo descubrimiento brillante, los ingenieros lo hacen funcionar de forma coherente e interoperable. Es mucho más fácil decirlo que hacerlo. Los ingenieros que trabajan en la elaboración de normas deben mirar tanto hacia atrás, para que los nuevos sistemas funcionen con los antiguos, como hacia adelante, para permitir futuras mejoras en un campo que evoluciona rápidamente. Los héroes anónimos de los últimos 25 años son los ingenieros que han contribuido a la interoperabilidad de las normas. Si tuviera que elegir una organización, sería el IETFen la que colaboradores de muchas empresas elaboraron cientos de normas de facto sin las cuales la era digital que disfrutamos sería el "salvaje oeste" digital.
Vuelva la semana que viene para ver tres tendencias que influyen en la evolución de la confianza digital. Mientras tanto, explore nuestro libro blanco.
