Reportaje - Herramientas contra los ciberdelitos para lograr un futuro más seguro
Se calcula que por Internet circulan continuamente unos 150 000 virus y otros tipos de código malicioso que infectan a más de 1 millón de ordenadores al día. La empresa de software antivirus McAfee describe hasta 75 millones de fragmentos únicos de código malicioso (malware) en sus bases de datos y calcula que un tercio de los correos electrónicos enviados diariamente se generan mediante botnets en forma de de correo no deseado. Un particular puede incluso verse en la necesidad de pagar cerca de cien euros a un profesional para que limpie su ordenador de este tipo de código o recupere datos perdidos a causa de un virus, mientras que en el cómputo mundial las repercusiones económicas son inmensas si se tiene en cuenta el conjunto de los ciudadanos, las empresas y las administraciones. McAfee, en una estimación al alza, calcula el coste mundial de los ciberdelitos en hasta un billón de dólares estadounidenses anuales en concepto de tiempo gastado, oportunidades comerciales perdidas y dinero invertido en reparaciones. La sociedad depende cada vez más de Internet para comunicarse y trabajar y su escala global hace patente que los ciberdelitos no son en absoluto un problema al que pueda enfrentarse una empresa o país en solitario. Distintas organizaciones europeas, como la Comisión Europea, las administraciones nacionales, las universidades y las pequeñas empresas, han aunado recursos y entablado relaciones con otras del resto del planeta para dar con estrategias, políticas y tecnologías capaces de combatir esta epidemia. La Comisión Europea planea la publicación pronta del documento «Una estrategia europea para la ciberseguridad» (A European Strategy for Cybersecurity) en el que se tratarán temas relacionados con la preparación, la prevención y la respuesta frente a este fenómeno y ya ha creado un Equipo de Respuesta ante Emergencias Informáticas (CERT-EU) que contará con carácter permanente. Al mismo tiempo se destinan fondos a una serie de proyectos paneuropeos dedicados a aumentar la seguridad en Internet. Desde hace dos años la Comisión Europea aporta 2,5 millones de euros para la creación de Syssec (1), una red de excelencia (NoE) europea cuyos principios se resumen en el tradicional refrán que afirma que es mejor prevenir que curar. Esta NoE está dedicada a crear soluciones que permitan anticipar amenazas y vulnerabilidades antes de que se produzcan y, por tanto, logrará que las posibles víctimas de un ciberataque activen un sistema de defensa preventivo. El equipo del proyecto ha creado un Centro Virtual de Excelencia que agrupa a la comunidad científica europea dedicada a la seguridad de sistemas y fomenta la investigación colaborativa. Entre sus funciones está la de redactar un plan de acción científico y la de elaborar una serie de iniciativas de formación sobre ciberseguridad. «La red de excelencia de Syssec adopta un método revolucionario en cuanto a ciberseguridad: en lugar de perseguir a los agresores tras un ataque, Syssec estudia vulnerabilidades y peligros incipientes antes de que se materialicen. Los objetivos principales de la red pasan por crear un plan de trabajo sobre amenazas y construir una infraestructura que impulse la formación en cuanto a seguridad de sistemas para generar el conocimiento necesario que las combata en una etapa inicial», indican en un artículo sobre el proyecto su coordinador, Evangelos Markatos, y Herbert Bos, investigador asociado al mismo. Seguridad por diseño Mientras que el enfoque de Syssec en cuanto a la predicción de amenazas es de índole global, otra NoE financiada con fondos europeos denominada Nessos (2) se ocupa en concreto de fomentar el diseño y el desarrollo de programas y sistemas seguros para la «Internet del futuro». Su propósito es garantizar que ingenieros y programadores aborden la seguridad desde las primeras fases de análisis y diseño de sistemas, para lo cual han seleccionado seis áreas básicas: definir requisitos de seguridad para los servicios de la Internet del futuro, generar arquitecturas de servicio y diseño de servicios seguros, apoyo a entornos de programación que den lugar a servicios seguros y «componibles», crear un marco para la garantía de la seguridad, establecer un ciclo de desarrollo de software consciente de los riesgos y los costes, y realizar estudios prácticos destinados a aplicaciones hipotéticas de la Internet del futuro. El método de seguridad por diseño tiene un ejemplo claro en otro proyecto europeo. Los investigadores de SecureChange (3), procedentes de nueve países europeos, desarrollaron la metodología, las técnicas y las herramientas que permiten aumentar la eficiencia, la seguridad y la flexibilidad del ciclo de vida del software al completo -desde la ingeniería de requisitos hasta la implementación y las actualizaciones pasando por el diseño, el desarrollo, las pruebas y la verificación- e incluso reducir su coste en términos tanto económicos como del tiempo necesario para implementar todos los pasos. Fabio Massacci, coordinador de SecureChange, explicó el problema en los términos siguientes: «Se parte de un software seguro, por ejemplo. Tras su entrega al cliente es necesario actualizarlo para añadir características que aporten una ventaja sobre la competencia. Si se empieza el proceso de verificación del código desde cero y al completo, aunque sólo haya cambiado una pequeña porción del mismo, el coste en tiempo y dinero resulta considerable.» Por ejemplo, un análisis del navegador de código abierto Firefox realizado por el equipo de SecureChange que abarca seis actualizaciones sustanciales durante un periodo de cinco años sacó a relucir que sólo un tercio del código del programa se modificó de una versión a la siguiente. Además, cada nueva versión heredó de la precedente distintas vulnerabilidades importantes, un fenómeno común también en otros navegadores como Chrome o Internet Explorer. La necesidad de proporcionar actualizaciones rápidas implica una reducción del tiempo que se dedica a las labores de comprobación y verificación. Gracias al método de SecureChange, es posible comprobar sólo el código nuevo y mantener la seguridad e integridad del sistema completo. El proyecto Aniketos (4) se ocupa de generar seguridad y confianza en un entorno homogéneo como será probablemente la Internet del futuro, donde los usuarios realizarán una transición desde los servicios estáticos actuales hacia una conjugación e interrelación de componentes y servicios cuya forma final dependerá de factores como la disponibilidad, la calidad y el precio de éstos. En un entorno de estas características es probable que las aplicaciones se compongan de diversos servicios aportados por proveedores muy distintos y que los usuarios tengan pocas garantías de que un servicio concreto o un proveedor de servicios ofrezca la seguridad anunciada. El equipo de Aniketos, en el que participan institutos científicos y agentes industriales de primera fila, trabaja en el desarrollo de nueva tecnología, herramientas y servicios de seguridad en apoyo de la creación durante la fase de diseño y el comportamiento dinámico durante la fase de ejecución de los servicios compuestos. Además aporta métodos de análisis, resolución y publicación de información sobre la forma de acotar amenazas y vulnerabilidades nuevas. Más seguridad para la Internet de los Objetos Gran parte de la atención prestada hasta ahora en el ámbito de la ciberseguridad se ha centrado en la defensa de los sistemas, programas y dispositivos de computación tradicionales como los ordenadores personales, los servidores y las bases de datos. No obstante, el rápido desarrollo de tecnologías nuevas, como los sistemas informáticos incorporados, la Internet de los Objetos -compuesta por sensores y actuadores ubicuos- y la computación en nube, obliga a que el método aplicado a la ciberseguridad evolucione de forma pareja. La «informática fiable» (trusted computing, TC), por ejemplo, es una tecnología ya afianzada que utiliza tanto software como hardware para labores de verificación e implementación de la integridad y la seguridad en los ordenadores personales y que ya está internándose en los sistemas incorporados. A diferencia de un ordenador personal o portátil convencional, los sistemas empotrados o incorporados son sistemas informáticos diseñados para funcionar «ocultos» en dispositivos y aparatos de uso habitual. Transmiten datos entre el teléfono móvil y la red móvil de comunicaciones, administran las conexiones domésticas a Internet y previenen ataques por medio de la red, y controlan los semáforos de las calles, por citar algunos ejemplos. Están instalados en aviones, automóviles e incluso centrales energéticas. No obstante, los sistemas incorporados, al estar activados en un número creciente de dispositivos que siempre están encendidos y conectados a Internet, presentan también una vulnerabilidad cada vez mayor frente a ataques informáticos e infecciones por virus y malware (programas informáticos maliciosos). Los responsables del proyecto TECOM (5) han contribuido a implantar la TC en los sistemas incorporados adaptando técnicas desarrolladas en origen para ordenadores personales de tal modo que puedan funcionar en teléfonos y contadores de electricidad inteligentes, entre muchos otros dispositivos. «El número de aplicaciones posibles de la TC en sistemas incorporados es muy elevado. En TECOM hemos construido el marco tecnológico que posibilita la puesta en práctica de esta tecnología y hemos mostrado cómo puede funcionar», afirmó Klaus-Michael Koch, cuya empresa supervisó el proyecto TECOM. «En los próximos años iremos viendo usos en entornos muy diferentes entre sí.» La Internet de los objetos avanza a la vez que la computación en nube, un sistema que permite distribuir datos y acceder a ellos de manera instantánea desde cualquier emplazamiento y a cualquier hora. La infraestructura de la nube precisa por tanto ser tan segura y fiable como las aplicaciones y servicios que se ejecutan en ella. Con la vista puesta en lograr una nube de confianza, el proyecto TCLOUDS (6) se ocupará de lograr los objetivos de seguridad, privacidad y resiliencia de forma económica, simple y ampliable para así garantizar la expansión continua de las infraestructuras, los recursos y los servicios en la nube en los años venideros. Una solución críptica A la hora de asegurar los datos de la nube o de un servidor propio es fundamental aplicar métodos criptográficos. Así, la utilización de una tarjeta de crédito, el acceso a una cuenta bancaria mediante el navegador o el envío de un correo electrónico seguro se basan en algoritmos de cifrado ejecutados «entre bambalinas». No obstante, el aumento de la potencia de los ordenadores, la velocidad de las redes y la capacidad de almacenamiento de los dispositivos ponen a prueba la capacidad de los métodos actuales de protección de la información. El proyecto Ecrypt y su sucesor Ecrypt-II (7) abordaron este problema. Un total de 32 institutos científicos, universidades y empresas de primera fila se agruparon en torno a una NoE con el fin de crear algoritmos criptográficos, cifrados y funciones de hash mejores, estudiar protocolos y métodos de implementación y obtener algoritmos más sólidos para la inclusión de marcas de agua digitales. Entre otros logros, el equipo desarrolló ocho algoritmos nuevos superiores al AES, el Estándar de cifrado avanzado desarrollado por dos investigadores belgas en la década de 1990 y adoptado posteriormente por la administración estadounidense para proteger información clasificada. «Existen tres grandes retos para los criptógrafos -afirmó Bart Preneel, coordinador del proyecto-: «el coste, la velocidad y la seguridad a largo plazo». Lo mismo puede decirse de la ciberseguridad en general, pero estos temas, como muchos otros, probablemente se solucionen en los próximos años gracias a la investigación europea, lo cual contribuirá a que los usuarios de los servicios informáticos siempre cuenten con ventaja con respecto a los hackers, los troyanos y los virus omnipresentes en la red hoy en día. --- Los proyectos mencionados en el presente artículo contaron con fondos del Séptimo Programa Marco (7PM) de investigación. (1) Syssec: «Una red de excelencia europea para la gestión de amenazas y vulnerabilidades de la Internet del futuro: de Europa para el mundo» (2) Nessos: «Red de excelencia sobre la creación de servicios y sistemas de software seguros para la Internet del Futuro» (3) SecureChange: «Ingeniería de la seguridad para sistemas evolutivos durante su ciclo de vida» (4) Aniketos: «Servicios compuestos seguros y fiables» (5) TECOM: «Sistemas informáticos incorporados fiables» (6) TCLOUDS: «¿Nubes de confianza? Privacidad y resiliencia para infraestructuras críticas a escala de Internet» (7) Ecrypt-II: «Red de excelencia europea sobre criptología - Fase II» Enlaces a los proyectos en CORDIS: - el 7PM en CORDIS - Syssec en CORDIS - Nessos en CORDIS - SecureChange en CORDIS - TECOM en CORDIS - Aniketos en CORDIS - TCLOUDS en CORDIS - Ecrypt-II en CORDIS Otros enlaces: - página web de la Comisión Europea sobre la Agenda Digital