Hugo Scolnik: "La criptografía debe pensar en la gente común para aplicar la seguridad"

Una ley no escrita del comercio electrónico es que el consumidor sólo pagará por red si el método de seguridad informática es sencillo. Así lo cree Hugo Scolnik, doctor en matemáticas por la Universidad de Zurich (Suiza) y consultor de la Unesco.

Scolnik, coautor de la Ley argentina de Firma Digital, dirige la empresa Firmas Digitales, que desarrolló los primeros proyectos de criptografía y seguridad de los 45 principales bancos argentinos.

Scolnik acaba de patentar un sistema de identificación por Internet a través de un simple disco compacto que evita la instalación de software en ordenadores ajenos. La diferencia respecto a otros sistemas es que cada vez que el usuario lo mete en el PC genera una clave distinta durante 60 segundos.

"La política de Estados Unidos durante mucho tiempo ha sido tratar de que no hubiera una criptografía fuerte para que fuera empleada por las personas comunes".

"En general los países latinos gastan en seguridad menos que los anglosajones. En EE UU, el 20% del coste informático es seguridad; en nuestros países no llega al 4%"

"Los certificados digitales avanzan a una velocidad menor que la que esperada. La difusión de tecnología se ha vuelto lenta, muchas veces por dificultades técnicas"

Pregunta: Hay bastantes problemas de vulnerabilidad en Internet. ¿Eso significa que la sociedad de la información todavía está en mantillas?

Respuesta: Desde el punto de vista técnico, uno puede dar máxima seguridad a un sistema informático; por ejemplo, en aplicaciones militares. El problema es que se quiere avanzar hacia una economía, una sociedad digitalizada, porque es una cuestión de eficiencia, de comodidad, de reducción de costos; es una tendencia inexorable hacia las transacciones vía Internet. La cuestión fundamental que siempre me ha preocupado como criptógrafo es cómo llevar la máxima seguridad a la persona común, sin necesidad de hacer un doctorado en informática. En general, muchas de las soluciones que hay tropiezan con que son muy complejas. No se entienden y no se usan.

P: Su empresa acaba de presentar una nueva solución, pero ya hay muchos aparatos de seguridad (biométricos, tarjetas inteligentes etc.) ¿Por qué uno más?

R: Nos pareció muy importante desarrollar un invento muy, muy simple: que la clave que utiliza para cada transacción cambia, nunca es la misma. Los aparatos comunes (lector de huellas digitales o las tarjetas inteligentes) requieren instalación de software. Si estoy realizando un viaje por Turquía y voy a un locutorio no puedo usar un identificador de huellas digitales ni la tarjeta porque no me dejan instalar software. Este invento no lo requiere: se pone en cualquier ordenador, ejecuta todo lo que tiene que ejecutar y no deja ningún rastro..Lo he usado hasta en Japón con el Windows japonés. Es totalmente portátil.

P: ¿Cómo funciona?

R: El mini CD se pone en el ordenador. Abre una pantalla que pide una frase secreta, mucho más compleja que cuatro dígitos y al mismo tiempo es mnemotécnica, y genera un número; con ese número incluso se puede usar un teléfono móvil y hablar con el banco y te aprueban la transacción. Si lo escucha un hacker, se conecta al banco y le piden el número, aunque repita el que escuchó le niegan el acceso porque el número ya fue usado.

P: ¿En qué se basa?

R: Es una teoría matemática muy compleja que está basada en la teoría del caos. Demuestra matemáticamente que estos números se repiten cada 10.000 años, por lo tanto da un margen de seguridad total. Y lo más importante es que cada persona tiene un método propio que no se repite para otro.

P: ¿Cuántos métodos posibles puede generar su sistema?

R: Hay 2 elevado a 128 métodos; y cada método tiene 1024 bits; hay más métodos que átomos en el universo.

P: ¿Y si le roban el CD?

R: Nadie conoce la frase secreta. Por supuesto, nunca se debe llevar escrita junto al mini CD. Además, el número que el disco genera cada vez dura 60 segundos; no importa que alguien conozca ese número porque sólo sirve para esa transacción, y nadie puede entrar en la página mientras está el usuario. También se puede decir el número por teléfono. Lo importante de esta línea de razonamiento es que hay que pensar en la gente común, llevar la tecnología al pueblo. Todo el mundo tiene derecho a poder hacer sus transacciones con la máxima seguridad sin tener que hacer cosas muy difíciles.

P: ¿Cuál es la situación de la criptografía?

R: Los certificados digitales avanzan a una velocidad menor de que la que se esperaba. La difusión de la tecnología se ha vuelto relativamente lenta, muchas veces porque hay dificultades técnicas para la gente común. Por otro lado está la falta de conciencia sobre los problemas de seguridad.

P: Sí, pero luego vienen unos hackers y a través del navegador crean trampas a los clientes de los bancos.

R: Hay estudios que muestran que en general los países latinos gastan en seguridad informática mucho menos que los países anglosajones. En Estados Unidos, el 15-20% del coste del proyecto informático es seguridad; en nuestros países si es el 4% ya es mucho. Se pretende minimizar costes y se asumen riesgos muy peligrosos. Las empresas se descargan programas gratuitos para no gastar nada.

P: También hay una falta de estándares en seguridad informática, certificados diferentes, soportes diferentes... ¿Cómo cree que va a evolucionar?

R: Falta más estandarización. En los certificados digitales hay el estándar internacional X.509 (pronto aparecerá la versión 4). En teoría uno obtiene un certificado digital de una autoridad certificadora y puede dialogar con una persona que esté en China que obtuvo otro certificado digital de otra empresa que siga el mismo estándar. Ahora, generalmente, los certificados digitales se obtienen para el ordenador que se esté utilizando; después vienen los problemas al tratar de exportar esos certificados: quiero tenerlo en mi casa, en el portátil y en la oficina. Muchas veces es necesario llamar a expertos y es ahí donde se frenan las cosas; la gente, desde el punto de vista psicológico, quiere tener el control.

P: ¿No son los gobiernos quienes quieren controlar a los ciudadanos y conocer las claves de acceso de cifrado?

R: La política de Estados Unidos durante mucho tiempo ha sido tratar de que no hubiera criptografía fuerte para las personas comunes. Discutimos muchísimo con autoridades de EE UU tanto para el proyecto que hicimos con Microsoft como con el FBI y otras agencias; mi posición particular es que la gente peligrosa tiene acceso a la criptografía fuerte.

P: ¿Tienen puerta trasera?

R: Nosotros hemos fabricado métodos que no pasan por el control de ningún gobierno. Cuando trabajamos con Microsoft, con cada cambio teníamos que enviar el código fuente a la NSA [Agencia de Seguridad Nacional de EE UU], donde lo compilan y le agregan lo que quieren y luego vuelve como producto que nosotros distribuimos. No sé qué es lo que le pusieron. En paralelo, hemos hecho muchos métodos sin puerta trasera, algo que es muy importante para asegurar la privacidad de las personas.