El comercio electrónico y el debate de la codificación criptográfica.

AutorStuart J. D. Schwartzstein
CargoLSE

Asunto: Aunque el desarrollo del comercio electrónico requiere medios para proteger la integridad de los datos transmitidos o almacenados, uno de los más importantes medios de protección, la codificación criptográfica, es objeto de polémica. El posible uso indebido de la codificación criptográfica trae a la palestra un conjunto complejo de cuestiones relativas a la regulación de los medios electrónicos de comunicación y el contenido, a la privacidad y al papel de los gobiernos.

Relevancia: El futuro del comercio electrónico dependerá en gran medida del tratamiento que otorguen los gobiernos, la sociedad y la industria a la codificación criptográfica. La seguridad de las comunicaciones y de los sistemas operativos también dependerá enormemente de cómo se aborden estos problemas.

--------------------------------------------------------------------------------

Introducción

El futuro del comercio electrónico y de las comunicaciones electrónicas y el almacenamiento digital de datos dependerá en gran medida de la capacidad de los sistemas para proteger la información y controlar los accesos, asegurar la integridad de los datos transmitidos o almacenados y proporcionar garantías de autenticidad. Estos requisitos ya existían en la etapa preinformática y se inventaron soluciones adecuadas para ellos. Sin embargo, la velocidad y el alcance universal de la economía digital incrementan la importancia de estos temas. En particular, si se quiere que el comercio electrónico se afiance, los usuarios se tienen que fiar de los sistemas y confiar en que no van a correr riesgos inaceptables (la misma cuestión de la cuantificación de los riesgos se escapa, sin embargo, del propósito de este artículo). Hay que recalcar que la elevada velocidad de los sistemas electrónicos y su capacidad para enviar rápidamente grandes cantidades de datos exige todavía más la necesidad de protección.

Si se quiere que el comercio electrónico se afiance, los usuarios se tienen que fiar de los sistemas y confiar en que los datos perso-nales están seguros

La codificación criptográfica

Aunque cierta regulación para proteger la información y limitar el acceso, conforme con la ley y ampliamente aplicable (como la relativa al fraude) puede ser de gran valor, la regulación por sí sola, ya sea por parte de los gobiernos o por parte de industria (autorregulación) no puede dar una solución adecuada a las necesidades de la protección de los datos y de la protección de la infraestructura de la información. La codificación criptográfica es el medio más práctico para evitar accesos no deseados o no autorizados a los datos e información almacenados en ordenadores o transmitidos por las redes informáticas y los sistemas de telecomunicaciones. La codificación criptográfica también es un medio de asegurar la integridad de los datos o de la información y la autenticidad de la fuente, y lo que quizá sea más importante, la codificación criptográfica permite a los individuos proteger sus propios datos e informaciones, más que confiar en otros o confiar en los sistemas jurídicos para solucionar los problemas. Además, como la codificación criptográfica puede ser integral para los datos/información -en vez de una defensa periférica- es en cierto modo más fiable que los "firewalls" (cortafuegos) y proporciona mayores garantías. La codificación criptográfica, por supuesto, también se puede utilizar para proteger los sistemas utilizados en las redes privadas.

La codificación criptográfica es un medio de garantizar la integridad y la seguridad de los datos y la auten-ticidad de su origen

En paralelo con la revolución de la información, la codificación criptográfica ha sufrido en los últimos años1 cambios revolucionarios. Entre ellos se encuentran:

El uso de la codificación criptográfica ya no queda limitado al ámbito militar, diplomático y del espionaje, sino que empresarios y particulares la utilizan habitualmente. En efecto, en la actualidad se reconoce como indispensable en el uso de las tecnologías informáticas y de las comunicaciones para los más diversos fines -incluyendo, por supuesto, los necesarios para el comercio electrónico 2.

Los militares y los espías ya no son los únicos expertos en codificación criptográfica. Los gobiernos ya no son los únicos empresarios posibles para los criptógrafos -y, verdaderamente, parece que para los criptógrafos y los expertos en codificación criptográfica de hoy en día, los puestos de trabajo gubernamentales son considerablemente menos atractivos que los del mundo universitario, de las empresas informáticas y de otro tipo de empresas 3.

El desarrollo de la criptografía de clave pública ha hecho que la codificación criptográfica sea más fácil y más práctica para numerosas aplicaciones.

La criptografía fuerte (es decir, la codificación criptográfica que es imposible de descifrar 4) está ampliamente distribuida, a pesar de los enormes esfuerzos por parte de algunos gobiernos -sobre todo del norteamericano- para impedir su proliferación. Un estudio reciente 5 indica que existen al menos 805 productos de hardware y software producidos en 35 países que no son Estados Unidos, que incorporan capacidades de codificación criptográfica; de éstos, se ha comprobado que 167 utilizan codificación criptográfica fuerte. En este estudio también se observa que, en general, la calidad de los productos estadounidenses y no estadounidenses es comparable.

Aunque antes limitada a los gobiernos, la codificación criptográfica se ha hecho habitual en el sector privado y es probable que lo sea cada vez más

Dada la importancia de la codificación criptográfica para numerosos usos, entre los que se encuentra el comercio electrónico, es probable que en el futuro se produzca una fuerte demanda comercial de codificación. Probablemente, en el futuro se producirán más avances en el campo de la codificación criptográfica en el sector privado que en la Administración. Como suele ocurrir con los avances en la mayor parte de los ámbitos relacionados con las TIC, ahora que ya hemos superado las etapas iniciales de mayor riesgo, será el sector comercial el responsable de los nuevos desarrollos en tecnologías cifradas y en otros medios de protección de datos. Además el sector privado consigue cada vez más facilmente atraer a los mejores, más brillantes y más innovadores criptógrafos, programadores y pensadores del área, ahora se dispone de enormes cantidades de capital para proyectos, algunos de los cuales entrañan considerable riesgo6. Aquí se incluyen, por supuesto, las tecnologías para la protección de sistemas e información. El enorme crecimiento y desarrollo del comercio electrónico, del que ahora somos testigos, y el gran interés mostrado por el sector empresarial7 ponen de manifiesto que lo que se necesita en este sector, incluyendo la codificación criptográfica (principalmente), se podrá conseguir. La potencia del mercado lo impulsa y la proliferación de capacidades y productos lo asegura.

Propuestas para el "depósito de claves"

La disponibilidad generalizada de la codificación criptográfica fuerte tiene implicaciones, y seguirá teniéndolas, para los gobiernos y dentro de los gobiernos, sobre todo en aquellas áreas que tienen que ver con el cumplimiento de las leyes y la seguridad nacional. Para muchos gobiernos todavía es difícil hacerse a la idea tanto de la pérdida de control sobre la codificación criptográfica como de la pérdida de las posibilidades (como la interceptación) de las que han disfrutado durante tantos años. Existe una preocupación real e importante sobre el uso que los grupos criminales puedan hacer de la codificación criptográfica y por las implicaciones derivadas de la incapacidad para interceptar las comunicaciones relativas a amenazas a la seguridad nacional y al bienestar económico nacional.

Durante los últimos años han ido apareciendo diversas propuestas de esquemas de "recuperación de claves", "depósito de claves" y "confiar en terceros", que podrían permitir a los gobiernos el acceso indirecto a las comunicaciones cifradas o a los datos almacenados

Como consecuencia de las preocupaciones gubernamentales en torno al uso sin trabas de la codificación criptográfica fuerte, algunos gobiernos -de nuevo más notablemente el gobierno de Estados Unidos- han intentado restringir y regular su uso (en particular, para retener la capacidad de interceptar comunicaciones y acceder a datos almacenados). Los controles a la exportación sobre codificación criptográfica están ampliamente aceptados como una herramienta importante para restringir el uso de la codificación criptográfica tanto fuera de EE.UU. como dentro8. Pero el gobierno de Estados Unidos también ha intentando aumentar la aceptación de sistemas de cifrado que permiten el acceso por el gobierno (la propuesta mejor conocida fue quizá la "Clipper Chip"). Los que formulaban tales propuestas veían éstas como una forma de proporcionar al gobierno los medios de acceso cuando lo consideraba necesario, a la vez que dotaba al público (y lo más importante, al sector empresarial) de los medios necesarios para proteger las comunicaciones, los datos y los sistemas. Estos intentos, sin embargo, no han tenido aceptación en Estados Unidos ni en ningún otro país.

Durante los últimos tres o cuatro años han surgido diversas propuestas de codificación criptográfica de "recuperación de claves", "depósito de claves" y "confiar en terceros". Estos esquemas podrían permitir al gobierno el acceso a las comunicaciones cifradas o a los datos almacenados depositando las claves de cifrado en un organismo especial o en un tercero o mediante cualquier otro mecanismo que permita el descifrado. Estas propuestas no sólo no han tenido aceptación en Estados Unidos, Reino Unido y otros países, sino que a veces han sido objeto de agrios debates.

Sin embargo, está claro que no es probable que la "recuperación de claves", "confiar en terceros" y otros esquemas similares tengan éxito, por razones políticas, económicas y técnicas.

Aunque se podría ser favorable a los objetivos del gobierno en esta área -y hay que decir que los gobiernos resultan atraer poca comprensión por parte de la mayoría de los que discuten sobre codificación criptográfica- está claro que no es probable que la "recuperación de claves", "confiar en terceros" y otros esquemas similares tengan éxito, por razones políticas, económicas y técnicas.

Las razones políticas incluyen el hecho de que - sobre todo en EE.UU.- el gobierno se ve más como un adversario que como representante de los intereses de la mayor parte de los que tienen que ver con la codificación criptográfica (y la protección de datos). Existe una desconfianza generalizada en el gobierno y para la mayoría persiste el sentimiento de que el gobierno (de nuevo sobre todo en Estados Unidos, pero en otros sitios también) está interesado en restringir o controlar el uso de la codificación. En este momento no existe confianza, que sería indispensable para cualquier esquema gubernamental, o patrocinado por el gobierno, de recuperación de claves. En el caso de EE.UU., el enfoque actual a la protección de los datos por parte del gobierno tampoco se ha visto que suscite confianza9. Existe lo que se podría denominar una "laguna sociopolítica" o arquitecturas diferentes, con diferencias irreconciliables en cuanto a la codificación criptográfica entre la mayoría de los que tienen algo que ver con ella fuera de los círculos gubernamentales.

Las dificultades para establecer y poner en funcionamiento esquemas de confianza en terceros o de depósito de claves a través de las fronteras son tanto técnicas como políticas. Las necesidades y usos de la codificación criptográfica no se retienen fácilmente (¡no se retienen en absoluto!) confinadas dentro de las fronteras de un país y por tanto, cualquier esquema tendría que implicar un elevado grado de cooperación internacional, algo de lo que se carece dado el carácter nacional de las actividades de las diferentes agencias de inteligencia. Además, los diferentes puntos de vista en lo referente a privacidad, al papel de los gobiernos y a las normas de pruebas también es probable que compliquen la cooperación internacional en esta área.

Como se destaca en un importante informe relacionado con esta cuestión, publicado el año pasado, "Nadie ha descrito aún, y mucho menos demostrado, un modelo económico viable que dé cuenta de los verdaderos costes de la recuperación de claves"10. El informe continúa afirmando que "la recuperación de claves tal como la concibe la aplicación de las leyes requerirá el despliegue de infraestructuras seguras en las que estén implicadas miles de empresas, organismos de recuperación, organismos legislativos y organismos de ejecución de las leyes de todo el mundo, que interaccionen y cooperen de una forma sin precedentes. Esto, por supuesto, podría ser muy caro". También habría que considerar otros costes, entre los que se incluyen los costes de diseño y los costes del usuario final, por lo que se convertiría en una empresa extraordinariamente cara.

Además de la complejidad y los costes de estos esquemas, una de las principales objeciones son las consecuencias potencialmente perjudiciales del robo o revelación de las claves

Las objeciones técnicas a estos esquemas de recuperación de claves, como se indican en el informe, incluyen un elevado riesgo y su enorme complejidad. Como se afirma en el informe: "El fracaso de los mecanismos de recuperación de claves puede poner en peligro las propias operaciones, la confidencialidad subyacente y la seguridad final de los sistemas de codificación criptográfica; entre los peligros se encuentran el revelar las claves de forma ilegal, el robo de información clave valiosa o el no poder cumplir las demandas de aplicación de las leyes". También dice el informe que "un sistema de recuperación de claves totalmente funcional es un sistema extraordinariamente complejo con numerosos participantes, claves, requisitos operativos e interacciones nuevos. En muchos casos, los aspectos de la recuperación de claves de un sistema son más complejos y difíciles que las mismas funciones básicas de cifrado".

Del mismo modo que es probable que los esquemas de recuperación de claves, depósito de claves y confiar en terceros se abandonen, también es probable que los debates sobre la codificación criptográfica continúen durante al menos algunos años más. El uso de la codificación se hará mucho más habitual, pero no está claro cómo le van a hacer frente los gobiernos ni cómo se van a adaptar a la inevitable pérdida de capacidad para interceptar las comunicaciones.

Además de su impacto sobre los gobiernos, es probable que el uso generalizado de la codificación también tenga implicaciones en numerosas áreas sujetas a leyes y regulaciones nacionales -principalmente el código civil, más que el código penal- entre las que se encuentran cuestiones relativas a derechos de propiedad intelectual, seguridad y responsabilidad de los productos, obligaciones contractuales, privacidad, libelo y competencia/anti-trust.

Sin embargo, aunque podemos esperar que la batalla sobre la codificación continúe durante los próximos años, no es probable que tengan éxito los esfuerzos por controlarla. Además, el hecho de que cada vez sea más evidente que el uso generalizado de la codificación criptográfica es esencial para el progreso del comercio electrónico está modificando el centro del debate, dados los intereses nacionales en este nuevo sector.

Conclusiones

Si los temas de la protección de datos y accesos son de por sí complejos -exigen tener en cuenta cuestiones como la arquitectura de los sistemas así como cuestiones sociales, políticas y económicas- los temas que surgen con la codificación criptográfica fuerte no lo son menos. Los debates sobre codificación criptográfica son el centro de numerosas cuestiones más importantes, que incluyen la privacidad, protección de información y datos, regulación gubernamental, seguridad y otros temas relativos a contenido y acceso a diferentes tipos de contenido. Cuando se abordan estas cuestiones vale la pena tener en cuenta que al final puede ser imposible conciliar todos los posibles puntos de vista. Tampoco podemos esperar poder construir sistemas que cumplan todas las diversas necesidades al mismo tiempo. Además, estas necesidades cambiarán de forma impredecible a medida que avanza la tecnología y evoluciona el contexto económico, cultural y político. Quizá el primer paso más importante que podemos dar es delimitar y repensar nuestros fines y objetivos y entonces pasar a pensar en las arquitecturas más adecuadas y efectivas.

Por su propia naturaleza, la codificación criptográfica es difícil de regular, e incluso su prohibición bajo los regímenes más estrictos se puede vulnerar mediante técnicas esteganográficas11 que pueden eludir la detección cuando la codificación criptográfica pueda generar sospechas (y que no se consideran en sí mismas técnicas criptográficas). Los intentos hechos para regular -como las propuestas para llevar a cabo el depósito de claves obligatorio- no sólo encuentran oposición sino que los expertos técnicos con capacidad para hacer juicios informados dicen que son muy difíciles de llevar a la práctica. Los que deberían regular han recurrido, por tanto, a estratagemas como la restricción de las exportaciones de equipos y programas informáticos de codificación criptográfica. Pero básicamente no es tanto la codificación criptográfica en sí misma la que quieren regular los gobiernos, sino el contenido cifrado. No es probable que les importara a muchos que la codificación se usara exclusivamente como medio de protección de sistemas operativos o equipos informáticos. Lo que preocupa, sobre todo a los gobiernos, es que el contenido codificado sea peligroso para la sociedad o para los gobiernos -y la preocupación abarca desde el material pornográfico (sobre todo si afecta a los niños) hasta el material juzgado como sedicioso o como parte de una actividad delictiva vista como perjudicial para los intereses nacionales.

Dada la importancia de la protección de información y las restricciones para acceder al comercio electrónico y a los muy utilizados sistemas en red, los problemas planteados por la codificación criptográfica, serán, si acaso, más importantes durante la próxima década. Los gobiernos, las empresas y los particulares se enfrentarán a un duro reto a la hora de reconciliar intereses.

--------------------------------------------------------------------------------

Palabras clave

codificación criptográfica, comercio electrónico, recuperación de claves, depósito de claves, confiar en terceros

Notas

  1. Por ejemplo, Schwartzsteim, "Export Controls on Encryption Technologies", SAIS Review, Winter-Spring 1996.

  2. Este punto se ha planteado y reenunciado en muchos lugares. La importancia de la criptografía se observa, por ejemplo, en el informe de junio de 1999 sobre "Criptografía y libertad 1999", editado por el Electronic Privacy Information Center de Washington, D.C.

  3. Para este autor, el hecho de que la experiencia en criptografía se traslade principalmente a los sectores no gubernamentales tendrá efectos muy profundos. Para los mejores y más brillantes criptógrafos, trabajar para los organismos gubernamentales como NSA (en USA) y GCHQ (en RU) es probablemente menos atractivo que trabajar para el sector privado, no solo por los salarios, sino porque el empleo gubernamental en esta área exige estrictos controles de seguridad, impone restricciones de conducta y ofrece poca flexibilidad.

  4. O, aunque teóricamente sea descifrable, no se puede hacer con los recursos o las tecnologías actualmente disponibles.

  5. Hoffman, Balenson, et al. "Growing Development of Foreign Encryption Products in the Face of U.S. Export Regulations" June 10, 1999, Cyberspace Policy Institute, George Washington University, Washington, D.C. (http://www.seas.gwu.edu/seas/institutes/cpi)

  6. Es interesante que la CIA, consciente de que tiene dificultades para mantenerse al tanto de la rapidez de os nuevos avances tecnológicos, ha creado un organismo denominado "In-Q-It, INC." destinado a financiar empresas en Silicon Valley, así como a participar en otras, como forma de que la CIA pueda estar al tanto de las tecnologías de la información.

  7. Solamente hay que mirar la demanda en bolsa de acciones de empresas relacionadas con "Internet" o con el comercio electrónico, las elevadas tasas de ganancias y la extraordinaria demanda de ofertas públicas iniciales para hacerse una idea del enorme interés y de la gran confianza en que éste será un sector importante en el futuro.

  8. Pero la verdadera eficacia de los controles a la exportación está abierta a debate. Como confirma el estudio de Balenson/Hoffman, la disponibilidad de los productos de codificación criptográfica sigue aumentando. Es posible aducir que el efecto neto de los controles a la exportación en EE.UU. haya sido estimular el crecimiento de la producción de tecnologías de codificación criptográfica fuera de EE.UU.

  9. Hay muchos en EE.UU. que consideran que los principios de "puerto seguro" para la protección de datos, que EE.UU. ha querido que aceptara la UE, no proporcionan una protección adecuada a los datos personales.

  10. Tomado de "The Risks of Key Recovery, Key Escrow and Trusted Third Party Encryption" redactado por el grupo ad hoc de criptógrafos e informáticos (entre los que se encuentran Whit Diffie, Peter Neumann, Ron Rivest y Bruce Schneier entre otros).

  11. La esteganografía es el arte y la ciencia de comunicarse de una forma que esconde la existencia de la comunicación. Al contrario que la codificación criptográfica, donde al "enemigo" se le permite detectar, interceptar y modificar los mensajes aunque sin que sea capaz de violar ciertas premisas de seguridad garantizadas por el criptosistema, el objetivo de la esteganografía es esconder el mensaje dentro de otros mensajes "inofensivos" de forma que al "enemigo" no se le deja incluso detectar que existe un segundo mensaje secreto (http://www.thur.de/ulf/stegano/announce.html)

Contacto

Stuart J. D., Schwartzstein, The European Institute, London School of Economics and Political Science

Tel.: +44 (0) 207955 6815, fax: +44 (0) 20 7955 7546, correo electrónico: S.Schwartzstein@lse.ac.uk

Sobre el autor

--------------------------------------------------------------------------------

Stuart J. D. Schwartzstein es miembro del European Institute, London School of Economics and Political Science y es consultor en temas sobre relaciones internacionales. Hasta hace poco ha sido Director Asociado para la Política de Ciencia y Tecnología de la US Office of Naval Research.

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR