Garantizar la privacidad y la seguridad en línea
Los protocolos criptográficos son el eje de toda actividad en línea, ya que garantizan la privacidad y la seguridad de las comunicaciones, las transacciones financieras y la participación social mediante, por ejemplo, votaciones. No obstante, la prevalencia de individuos que se conectan a las redes sin la seguridad adecuada o mediante dispositivos no seguros dificulta mantener esta infraestructura de seguridad. El proyecto SPOOC, financiado por el Consejo Europeo de Investigación, se propuso generar marcos teóricos y herramientas prácticas que pueden validar la seguridad y la privacidad de los intercambios en línea, incluso cuando se ejecuta en plataformas no confiables. «Nuestro objetivo es asegurar las comunicaciones en internet, teléfonos móviles y todo tipo de comunicaciones digitales», explica Steve Kremer, coordinador del proyecto e investigador en el Instituto Nacional de Investigación sobre Ciencia y Tecnología Digitales de Francia. «Queremos garantizar la confidencialidad y certificar que cuando alguien se conecta a internet, se conecta al sitio web correcto y habla realmente con la persona con la que se proponía hablar».
Elecciones suizas
Un paso clave para demostrar la privacidad y la seguridad de las comunicaciones en línea, según Kremer, pasa por aplicar la idea de «equivalencia de programa». Este término describe una propiedad mediante la que dos programas parecen funcionar de la misma manera a un observador externo. Kremer aprovecha este planteamiento de equivalencia de programa para que las comunicaciones en línea sean indistinguibles de un modo similar para así modelar la privacidad y el anonimato. «Si interceptamos dos comunicaciones no deberíamos saber si proceden del mismo teléfono o de dos teléfonos distintos», añade el investigador. Diseñar un programa informático capaz de analizar dos programas para comprobar si son equivalentes fue una parte fundamental del proyecto SPOOC. Este trabajo se ha aplicado ya en Suiza en el contexto de unas elecciones en línea, en la que los operadores precisan generar pruebas de seguridad de su sistema. Otra faceta del proyecto SPOOC consistió en el desarrollo de herramientas capaces de garantizar la seguridad, la privacidad y la transparencia de los protocolos que gestionan el voto en línea. «Aún hay muchas preguntas sin respuesta», afirma Kremer. «Pero los protocolos modernos pueden garantizar la privacidad y la transparencia incluso si el servidor que recibe los votos es deshonesto o ha sido atacado». Desafortunadamente, Kremer señala que las elecciones de alto nivel son un objetivo lo suficientemente jugoso como para desarrollar programas maliciosos específicos, lo cual dificulta mucho más la labor de garantizar la seguridad. «En cuanto se crea algo digital, es muy sencillo ampliar los ataques —añade Kremer—. Y los ordenadores son muy buenos en hacer la misma cosa muy rápido y muchas veces».
Autenticación multifactor
La fase final del proyecto se dedicó a dispositivos parcialmente inseguros. Normalmente, las organizaciones emplean autenticación de dos factores para garantizar que las transacciones son genuinas mediante la supervisión humana del sistema. El proyecto SPOOC ejecutó un análisis completo de este sistema, compuesto de miles de supuestos adversos para cuantificar exactamente los límites de la autenticación de dos factores. «Estoy satisfecho con lo logrado», indica Kremer, y añade que aún queda mucho trabajo por hacer para aumentar la eficacia de esta herramienta. Kremer y su equipo lograron recabar fondos de la Agencia Nacional de Investigación de Francia para desarrollar en mayor medida sus herramientas de validación. «Nos proponemos que estas herramientas sean más rápidas y tengan una mayor aplicabilidad en protocolos del mundo real. Trabajamos ahora en la aplicación de la teoría desarrollada y en la obtención de más frutos de este árbol», concluye Kremer.
Palabras clave
SPOOC, criptográfico, automatizado, seguridad, pruebas, protocolos, móvil, teléfonos, comunicaciones
