Hugo Scolnik: "La criptograf¨ªa debe pensar en la gente com¨²n para aplicar la seguridad"

Una ley no escrita del comercio electr¨®nico es que el consumidor s¨®lo pagar¨¢ por red si el m¨¦todo de seguridad inform¨¢tica es sencillo. As¨ª lo cree Hugo Scolnik, doctor en matem¨¢ticas por la Universidad de Zurich (Suiza) y consultor de la Unesco.

Scolnik, coautor de la Ley argentina de Firma Digital, dirige la empresa Firmas Digitales, que desarroll¨® los primeros proyectos de criptograf¨ªa y seguridad de los 45 principales bancos argentinos.

Scolnik acaba de patentar un sistema de identificaci¨®n por Internet a trav¨¦s de un simple disco compacto que evita la instalaci¨®n de software en ordenadores ajenos. La diferencia respecto a otros sistemas es que cada vez que el usuario lo mete en el PC genera una clave distinta durante 60 segundos.

"La pol¨ªtica de Estados Unidos durante mucho tiempo ha sido tratar de que no hubiera una criptograf¨ªa fuerte para que fuera empleada por las personas comunes".

"En general los pa¨ªses latinos gastan en seguridad menos que los anglosajones. En EE UU, el 20% del coste inform¨¢tico es seguridad; en nuestros pa¨ªses no llega al 4%"

"Los certificados digitales avanzan a una velocidad menor que la que esperada. La difusi¨®n de tecnolog¨ªa se ha vuelto lenta, muchas veces por dificultades t¨¦cnicas"

Pregunta: Hay bastantes problemas de vulnerabilidad en Internet. ?Eso significa que la sociedad de la informaci¨®n todav¨ªa est¨¢ en mantillas?

Respuesta: Desde el punto de vista t¨¦cnico, uno puede dar m¨¢xima seguridad a un sistema inform¨¢tico; por ejemplo, en aplicaciones militares. El problema es que se quiere avanzar hacia una econom¨ªa, una sociedad digitalizada, porque es una cuesti¨®n de eficiencia, de comodidad, de reducci¨®n de costos; es una tendencia inexorable hacia las transacciones v¨ªa Internet. La cuesti¨®n fundamental que siempre me ha preocupado como cript¨®grafo es c¨®mo llevar la m¨¢xima seguridad a la persona com¨²n, sin necesidad de hacer un doctorado en inform¨¢tica. En general, muchas de las soluciones que hay tropiezan con que son muy complejas. No se entienden y no se usan.

P: Su empresa acaba de presentar una nueva soluci¨®n, pero ya hay muchos aparatos de seguridad (biom¨¦tricos, tarjetas inteligentes etc.) ?Por qu¨¦ uno m¨¢s?

R: Nos pareci¨® muy importante desarrollar un invento muy, muy simple: que la clave que utiliza para cada transacci¨®n cambia, nunca es la misma. Los aparatos comunes (lector de huellas digitales o las tarjetas inteligentes) requieren instalaci¨®n de software. Si estoy realizando un viaje por Turqu¨ªa y voy a un locutorio no puedo usar un identificador de huellas digitales ni la tarjeta porque no me dejan instalar software. Este invento no lo requiere: se pone en cualquier ordenador, ejecuta todo lo que tiene que ejecutar y no deja ning¨²n rastro..Lo he usado hasta en Jap¨®n con el Windows japon¨¦s. Es totalmente port¨¢til.

P: ?C¨®mo funciona?

R: El mini CD se pone en el ordenador. Abre una pantalla que pide una frase secreta, mucho m¨¢s compleja que cuatro d¨ªgitos y al mismo tiempo es mnemot¨¦cnica, y genera un n¨²mero; con ese n¨²mero incluso se puede usar un tel¨¦fono m¨®vil y hablar con el banco y te aprueban la transacci¨®n. Si lo escucha un hacker, se conecta al banco y le piden el n¨²mero, aunque repita el que escuch¨® le niegan el acceso porque el n¨²mero ya fue usado.

P: ?En qu¨¦ se basa?

R: Es una teor¨ªa matem¨¢tica muy compleja que est¨¢ basada en la teor¨ªa del caos. Demuestra matem¨¢ticamente que estos n¨²meros se repiten cada 10.000 a?os, por lo tanto da un margen de seguridad total. Y lo m¨¢s importante es que cada persona tiene un m¨¦todo propio que no se repite para otro.

P: ?Cu¨¢ntos m¨¦todos posibles puede generar su sistema?

R: Hay 2 elevado a 128 m¨¦todos; y cada m¨¦todo tiene 1024 bits; hay m¨¢s m¨¦todos que ¨¢tomos en el universo.

P: ?Y si le roban el CD?

R: Nadie conoce la frase secreta. Por supuesto, nunca se debe llevar escrita junto al mini CD. Adem¨¢s, el n¨²mero que el disco genera cada vez dura 60 segundos; no importa que alguien conozca ese n¨²mero porque s¨®lo sirve para esa transacci¨®n, y nadie puede entrar en la p¨¢gina mientras est¨¢ el usuario. Tambi¨¦n se puede decir el n¨²mero por tel¨¦fono. Lo importante de esta l¨ªnea de razonamiento es que hay que pensar en la gente com¨²n, llevar la tecnolog¨ªa al pueblo. Todo el mundo tiene derecho a poder hacer sus transacciones con la m¨¢xima seguridad sin tener que hacer cosas muy dif¨ªciles.

P: ?Cu¨¢l es la situaci¨®n de la criptograf¨ªa?

R: Los certificados digitales avanzan a una velocidad menor de que la que se esperaba. La difusi¨®n de la tecnolog¨ªa se ha vuelto relativamente lenta, muchas veces porque hay dificultades t¨¦cnicas para la gente com¨²n. Por otro lado est¨¢ la falta de conciencia sobre los problemas de seguridad.

P: S¨ª, pero luego vienen unos hackers y a trav¨¦s del navegador crean trampas a los clientes de los bancos.

R: Hay estudios que muestran que en general los pa¨ªses latinos gastan en seguridad inform¨¢tica mucho menos que los pa¨ªses anglosajones. En Estados Unidos, el 15-20% del coste del proyecto inform¨¢tico es seguridad; en nuestros pa¨ªses si es el 4% ya es mucho. Se pretende minimizar costes y se asumen riesgos muy peligrosos. Las empresas se descargan programas gratuitos para no gastar nada.

P: Tambi¨¦n hay una falta de est¨¢ndares en seguridad inform¨¢tica, certificados diferentes, soportes diferentes... ?C¨®mo cree que va a evolucionar?

R: Falta m¨¢s estandarizaci¨®n. En los certificados digitales hay el est¨¢ndar internacional X.509 (pronto aparecer¨¢ la versi¨®n 4). En teor¨ªa uno obtiene un certificado digital de una autoridad certificadora y puede dialogar con una persona que est¨¦ en China que obtuvo otro certificado digital de otra empresa que siga el mismo est¨¢ndar. Ahora, generalmente, los certificados digitales se obtienen para el ordenador que se est¨¦ utilizando; despu¨¦s vienen los problemas al tratar de exportar esos certificados: quiero tenerlo en mi casa, en el port¨¢til y en la oficina. Muchas veces es necesario llamar a expertos y es ah¨ª donde se frenan las cosas; la gente, desde el punto de vista psicol¨®gico, quiere tener el control.

P: ?No son los gobiernos quienes quieren controlar a los ciudadanos y conocer las claves de acceso de cifrado?

R: La pol¨ªtica de Estados Unidos durante mucho tiempo ha sido tratar de que no hubiera criptograf¨ªa fuerte para las personas comunes. Discutimos much¨ªsimo con autoridades de EE UU tanto para el proyecto que hicimos con Microsoft como con el FBI y otras agencias; mi posici¨®n particular es que la gente peligrosa tiene acceso a la criptograf¨ªa fuerte.

P: ?Tienen puerta trasera?

R: Nosotros hemos fabricado m¨¦todos que no pasan por el control de ning¨²n gobierno. Cuando trabajamos con Microsoft, con cada cambio ten¨ªamos que enviar el c¨®digo fuente a la NSA [Agencia de Seguridad Nacional de EE UU], donde lo compilan y le agregan lo que quieren y luego vuelve como producto que nosotros distribuimos. No s¨¦ qu¨¦ es lo que le pusieron. En paralelo, hemos hecho muchos m¨¦todos sin puerta trasera, algo que es muy importante para asegurar la privacidad de las personas.