Ing. Marvin G. Soto | Profesor Universidad Cenfotec | marvin.soto@gmail.com

La seguridad es hoy más que nunca un trade-off, un compromiso, una concesión mutua, una obligación. No se puede negar eso… aunque hace las cosas más lentas, más complejas, menos cómodas y a veces, más confusas. A su vez, garantiza continuidad y confianza. Al amparo de este marco, en el idioma ingles se forja un acrónimo que literalmente versa que la seguridad es un “dolor” (PAIN) o que es “dolorosa” (PAINful).

Así el asunto, vamos a analizar profunda, pero con simplicidad ¿qué significa exactamente el acrónimo PAIN?

“Ad portas” el acrónimo se refiere a los cuatro elementos que utilizan el proceso de asegurar, a decir; la Privacidad, la Autenticación, la Integridad y el No-repudio. En las líneas siguientes, se procede a analizar estos bloques que contextualizan la seguridad.

La privacidad se refiere a la protección de nuestra información en el tanto se evite que sea accedida por personas u organizaciones no deseadas o no autorizadas.

Es darle anonimato a nuestra información en un mundo que intenta rastrear todo lo que hacemos. Para ello, solemos utilizar mecanismos de encriptación para blindar nuestras comunicaciones, nuestros datos y el acceso a recursos sensibles. Aunque cada aplicación tiene un requisito diferente de privacidad, no cabe duda que el cifrado es un aspecto muy importante de considerar.

La autenticación, diríamos que es el proceso que determina que usted es quién dice ser. Es evidente entonces que la autenticación puede ser difícil, especialmente cuando partes desconfían mutuamente.

Normalmente nos autenticamos con una contraseña y un nombre de usuario, en cuyo caso la contraseña es lo que demuestra la autenticidad de quien accede. Pero, las contraseñas se pueden adivinar, descubrir o filtrarse. De este predicado surge la importancia de tener contraseñas seguras, fuertes y complejas. Adicionalmente se ha promovido en los últimos años la autenticación de múltiples factores, incluso adicionando biometría al proceso.

La autenticación de múltiples factores es mucho más simple de lo que parece. Significa que en lugar de depender de una contraseña como único criterio de autenticación, se adicionan criterios como un token virtual que genera códigos numéricos únicos para la autenticación, patrones como huellas dactilares, geometría facial e iris del ojos, complementado con métodos más convencionales como correo electrónico para autenticación secundaria cuando las contraseñas deben restablecerse, o para referir el código numérico único generado por un sistema de cálculo criptográfico secundario y remoto o una notificación de aviso en caso de ingreso al servicio en cuestión.

Aun con todo ese enjambre de factores se han adicionado servicios que utilizan teléfonos móviles como mecanismos de autenticación. Y bueno, aunque esto es seguro y práctico en teoría, en realidad es inseguro debido a las vulnerabilidades del protocolo SMS o a la sensibilidad del espectro radioeléctrico.

Siguiendo con la disección del acrónimo; para que las comunicaciones sean seguras, debe garantizarse que nada ha sido alterado durante el transporte de los paquetes de datos, antes de que el mensaje sea recibido. Es decir, se debe determinar si la información intercambiada ha conservado su integridad.

Debemos asumir siempre que un canal de comunicación es inseguro, “hasta que sea demostrado lo contrario”, e incluso entonces; es difícil detectar cuando un atacante ha obtenido acceso a ese canal. Esto se conoce como un ataque de hombre en el medio (MITM).

Puede ser que un atacante no sea capaz de ver todas las comunicaciones del canal, pero también es cierto que todavía puede tratar de alterar los datos antes de ser intercambiados, lo que deriva en necesidad de implementar métodos de verificación de la integridad de los datos de extremo a extremo.

En un entorno seguro todo el mundo se ha autenticado, lo que significa que todos pueden ser identificados. Sabemos que no siempre podemos confiar en la gente que está dentro de nuestros muros. Es decir; incluso en un sistema seguro, podríamos tener un intruso entre los usuarios, que podría haber escalado o adquirido privilegios y haberse autenticado para participar en los canales seguros.

Es un pensamiento bastante aterrador; así que en lugar de dejar que alguien simplemente cause estragos en el sistema sin ninguna consecuencia y sólo porque ya se ha autenticado, usamos el no-repudio.

El no-repudio es la capacidad de determinar que alguien hizo algo, incluso si afirma que no y además, deriva la capacidad de eliminar la posibilidad de que fuera alguien más.

Como dijo Sherlock Holmes, “cuando has eliminado lo imposible, lo que queda por improbable que sea, debe ser la verdad”.

Con sencillez y de forma concreta, hemos analizado los cuatro componentes que utiliza el proceso de asegurar, a decir; Privacidad, Autenticación, Integridad y No-repudio.