En Estados Unidos, las agencias gubernamentales están teóricamente obligadas a comprar soluciones computacionales que cumplen con la certificación C2, que garantiza un nivel de seguridad. Sin embargo, en la práctica, todas recurren a resquicios legales que les permiten evitar esa obligación. En Internet, existen herramientas de encriptación y firma digital para mail hace muchos años, sin embargo nadie las utiliza. Los firewalls se han popularizado más este último tiempo, pero sospecho que la motivación más importante va por el lado de poder usar direcciones IP privadas en la red interna, más que por el riesgo de seguridad.
Casi es como para preguntarse si Internet es tan segura que nadie quiere pagar la protección. En realidad, esa es la opinión de algunos expertos internacionales, que postulan que la seguridad no es un requerimiento real de los usuarios de la red. Que si yo le pregunto al usuario si le preocupa la seguridad, la respuesta es sí. Pero si le pregunto cuanto está dispuesto a pagar por la seguridad (o cuánta funcionalidad está dispuesto a sacrificar) entonces la respuesta es no.
A pesar de la prensa y de la imagen de inseguridad de la red, en realidad las pérdidas de los usuarios asociadas a este tipo de eventos son mínimas. Se estima que es mucho más preocupante el mantenerse al día en las tecnologías de servicios novedosos, aunque la seguridad no venga provista.
No es que la red sea realmente tan segura. Más bien es que la probabilidad de un daño mayor en la instalación, producto de un ataque externo, es más bien baja. Es muy factible que un buen programador, después de meses de trabajo, encuentre formas de penetrar en la mayoría de los sistemas existentes y borrar todos los archivos. Sin embargo, requiere de un enorme esfuerzo y de una enorme motivación. Probablemente aun no ha existido esa combinación de capacidad y deseo de hacer daño. Muchos de los hackers existentes en la red son más bien benignos, y el daño causado es más bien lateral, como borrar archivos para hacer más espacio en el disco.
Por supuesto que esto puede cambiar. Viendo lo ocurrido en la guerra de los nombres de dominios, me parece que los piratas realmente peligrosos aun están por aparecer. También existe cierto consenso que, para hacer comercio en la red, se requiere un nivel de seguridad que hoy no existe. El problema es cuando. Hoy día, puedo incorporar soluciones de seguridad a mis sistemas. Pero cuestan tiempo de desarrollo y eficiencia en la ejecución. Mucha gente no quiere pagarlo, y mi tiempo de desarrollo iría mejor invertido en nuevas funcionalidades.
La solución, afortunadamente, ya existe. Los algoritmos de clave pública/clave privada están ampliamente implementados y probados (en ningún caso se debe desarrollar un método nuevo. Lo más probable es que sea fácil de adivinar). El hardware actual permite ejecutarlos sin demasiado costo de performance, y puedo encriptar y firmar independientemente. La firma sirve para mensajes, contratos, software, etc.
El único problema pendiente es quién da confianza en la red para que se encargue de actuar como entidad certificadora. Alguna gente ha postulado por mucho tiempo que se requiere una organización de confianza delegada, que se validen unos a otros, organizados oficialmente. Otros piensan que es más seguro un esquema sin organización oficial, donde el usuario decide a quién le cree y a quién no. El problema es que a muchos servidores no sabré si creerles o no.
Enfin, como muchas veces en la vida, los problemas técnicos ya están resueltos.
Ahora sólo falta el nivel político. Eso me recuerda un mechón del primer
curso de computación que me dijo "ya está lista la tarea. Ahora sólo me
falta ingresarla".