Internet: la red paranoica

José M. Piquer

``Incluso los paranoicos tienen enemigos''. -- Winston Churchill.

Por razones difíciles de entender, la gente asigna propiedades a ciertos productos y luego cree seriamente que existe alguna razón para ello. Algo parecido al valor que se asigna al dinero impreso, a la eficacia de los remedios homeopáticos o el miedo a los aviones. De la misma forma, Internet se asocia con inseguridad.

¿Qué es esa inseguridad? En realidad, ninguna red existente es más segura que Internet. Mi ethernet local es mucho más insegura (basta conectar un PC cualquiera y mirar todos los datos que transitan), la red telefónica, las redes X.25, ISDN, etc, son tanto o más inseguras que Internet. Lo que ocurre es que ninguna había alcanzado el nivel de éxito y popularidad de Internet, y por ello el problema no había pasado a mayores (aunque las llamadas telefónicas anónimas pornográficas habían estado cerca). Aunque el número de suscriptores al teléfono en el mundo sigue siendo muy superior al número de usuarios de Internet, el tráfico total e incluso el número de conexiones ya es superior en Internet.

Hay que entender que estamos frente a un fenómeno comunicacional y de conectividad nunca antes visto. Es la primera vez que cualquier ciudadano del mundo puede publicar, con distribución mundial, lo que se le ocurra, desde sus poemas hasta su ideología. Por ello, es natural que en esta telaraña planetaria exista de todo, desde profesionales de todas las áreas hasta vendedores de pomadas de todos colores pasando por delincuentes y delirantes.

Conectados las 24 horas del día, nuestros servidores se exponen a todo tipo de riesgos: hackers intentando adivinar passwords, mails falsificados, bombas de mails (toneladas de mail saturando una casilla), cadenas, anuncios falsos, ataques a los servicios, falsificación de usuarios o la última moda: los spammers. Un spam es la forma de enviar un mail a millones de usuarios sin saturar un solo servidor. Para ello, usan servidores de mail en todo el mundo a los que piden enviar estos mails en vez de enviarlos ellos desde el origen. Ahora incluso venden listas de usuarios para estos fines, sin ninguna selección, lo que va generando más y más mail inútil. También circulan algunas leyendas, como un virus que se propaga por mail y que basta con leerlo para borrar el disco duro, y que nunca ha existido, o el niñito del tumor cerebral que busca recibir tarjetas postales en su hospital, que fue una historia de hace diez años que todavía circula de vez en cuando y que dicen que tuvo al correo del hospital paralizado varios días con las tarjetas.

Internet ha logrado finalmente el sueño de la conectividad global, de la aldea transcultural planetaria. La pregunta es, ¿qué haremos ahora con este poder? ¿No será mejor desconectar nuestros servidores y seguir tranquilos?

Ya no existen alternativas, debemos seguir con Internet a donde sea que nos lleve (¿su empresa no está conectada? preocúpese, tal vez no tenga empresa en unos años más), pero en la forma más segura posible. Las tecnologías existen, firewalls, proxy servers, encriptación, firmas digitales, ya están maduras y son bien conocidas. No siempre fáciles de entender y no siempre interoperables, son tecnologías que todo profesional informático hoy debe dominar. Esto nos permite conectar las redes internas a Internet sin arriesgar a todos los PC's y servidores internos, pero manteniendo su acceso como clientes. Al colocar servicios en la red, debo cuidar celosamente mi servidor y mantener monitoreos de seguridad constantes en él.

También debo validar mis usuarios con mucha cautela, sobre todo si los servicios son confidenciales o permiten mover dinero. Esta parte consiste en la autentificación, donde el usuario demuestra que él es quien dice ser. Utilizar un nombre de usuario y una password resulta demasiado débil, la password puede adivinarse u obtenerse de la red (si no va encriptada). Un buen sistema de firmas digitales debiera servir, pero la infraestructura de autoridades de certificación aun es débil. En general nos contentamos aun con tener al servidor certificado y encriptar la sesión, por lo que la password del usuario puede transmitirse sin que sea detectable. La liberación de la restricción de exportación de los algoritmos RSA de 128 bits es un paso enorme para garantizar el buen funcionamiento de estos sistemas.

Validar mis clientes también incluye validar los mails, lo que implica firmarlos. Desgraciadamente, no hay en eso un buen sistema aceptado globalmente. PGP (Pretty Good Privacy) es el paquete más popular, pero resulta difícil de usar y de integrar en el manejador de mail habitual. Sin embargo, es claro que la tendencia va en esa dirección y como usuarios manejaremos algún tipo de identificador con nuestra clave privada, tal vez encriptada con nuestra huella digital o tal vez almacenada en una smart-card.

Por mientras, hay que aprender a vivir a medias, en una Internet víctima de su propio éxito, con herramientas que apenas aparecen en los laboratorios ya están en producción, y con sistemas de seguridad que permiten ser clientes con solidez, pero al ser servidores sólo protegen en forma parcial. El mercado electrónico viene y en alguna forma ya existe, pero también los ladrones y los estafadores. Al salir de compras en Internet corremos ciertos riesgos, pero al enviar el número de tarjeta de crédito en una sesión de web seguro, aun encriptada con sólo 40 bits, estamos corriendo menos riesgos que cuando entregamos la tarjeta al mozo del restaurant para que se la lleve al cajero. Cuando salimos a navegar por Internet corremos el riesgo de toparnos con pornografía o incitación al terrorismo, pero claramente estamos más a salvo que en el paseo ahumada a las doce de la noche.

Algo nos da más desconfianza del mundo virtual. Tal vez simplemente el hecho que lo conocemos menos, que resulta más inesperado y esa magia nos hace creer que todo es posible, que conectados a la red se nos pueden colar viruses, sapos y espasmos, y hasta saber lo que estamos pensando. Aun así, dejemos en claro que el mundo real es mucho más inseguro que Internet.





José M. Piquer
Thu Jul 10 13:44:47 CST 1997