Un enfoque integral de la ciberseguridad
La mayoría vivimos felizmente nuestras vidas digitales ajenos a las constantes amenazas que rodean nuestros dispositivos y aplicaciones. Esto se debe a que, en gran medida, la seguridad de estos dispositivos está protegida por distintos componentes críticos, como bibliotecas criptográficas, la seguridad de la capa de transporte (TLS, por sus siglas en inglés), mecanismos de seguridad de navegadores y protocolos de inicio de sesión único. Sin embargo, tal y como evidencian los ciberataques, esta configuración está lejos de ser perfecta. Karthik Bhargavan, investigador en el Instituto Nacional de Investigación sobre Ciencia y Tecnología Digitales (Inria) de Francia, comenta: «A pesar de que estos componentes siguen siendo ampliamente utilizados, desconocemos en gran medida qué nivel de seguridad ofrecen en realidad. De hecho, incluso el menor fallo de programación de un componente puede (y lo hace) dar lugar a ataques vergonzosos y de alto perfil». En lugar de intentar solucionar cada problema por separado, Bhargavan, a través del proyecto financiado con fondos europeos CIRCUS, pretende lanzar una red más amplia. «En lugar de perder el tiempo con cada nueva amenaza, proponemos desarrollar un marco de verificación de seguridad formal que pueda identificar todo tipo de vulnerabilidades de una vez», añade el investigador.
Basta de excusas
Para empezar, los investigadores de CIRCUS ayudaron a diseñar, analizar y normalizar TLS 1.3 la última versión del protocolo TLS que respalda una navegación segura de la web. «Nuestras contribuciones en este ámbito fueron reconocidas en la norma publicada y nuestra investigación acreditativa ganó un premio como mejor trabajo», señala Bhargavan. La segunda fase del proyecto, que recibió apoyo del Consejo Europeo de Investigación, se centró en crear HACL*: la primera biblioteca de altas prestaciones de algoritmos criptográficos que se ha verificado formalmente. «Con HACL*, ya no hay justificación alguna para usar un código criptográfico sin verificar en aplicaciones de seguridad crítica de uso común», destaca el investigador. Según Bhargavan, varias empresas quisieron ayudar enseguida a implantar el código de HACL* en sus productos, como Mozilla Firefox, Linux Kernel, WireGuard, Microsoft MsQuic, Tezos y ElectionGuard. «Tomar un programa informático de un proyecto de investigación y mejorar su calidad para ponerlo a punto para la producción requirió un gran aprendizaje y mucho trabajo de ingeniería por nuestra parte —comenta Bhargavan—. A pesar de que esto no formaba parte de nuestro plan inicial para el proyecto, nos permitió acelerar la transferencia de nuestra investigación a aplicaciones industriales reales».
Expandir los límites de la ciberseguridad
El proyecto CIRCUS consiguió expandir los límites de la ciberseguridad en términos de verificación formal y criptografía aplicada. «Con el apoyo de la financiación europea, demostramos que es posible verificar formalmente “software” criptográfico de altas prestaciones listo para su producción», concluye Bhargavan. A pesar de que el proyecto ya ha finalizado, el código de HACL* está disponible de forma gratuita a través de GitHub. Además, Bhargavan y su equipo siguen avanzando en muchas cuestiones identificadas durante el proyecto, como la verificación de «software» criptográfico escrito en lenguajes centrados en la verificación de uso general como Rust. Los investigadores también están en las etapas iniciales de la transferencia de la investigación y los resultados de CIRCUS a una empresa privada, con el objetivo de crear una comunidad industrial en torno al «software» criptográfico verificado.
Palabras clave
CIRCUS, ciberseguridad, marco de verificación de seguridad, ciberamenaza, seguridad de la capa de transporte, ciberataques, programación, HACL*, algoritmos criptográficos, código criptográfico, criptografía