Esquivar el ‘lado oscuro’ de Internet

Internet fue creado hace décadas, en una cultura de acceso compartido y abierto en un entorno de usuarios de confianza, y su crecimiento ha ido más allá de cualquier imaginación. En la actualidad, entre sus ventajas clave se encuentra su capacidad de traspasar las fronteras geográficas, sociales, económicas, políticas y culturales, algo que ha permitido un potente efecto de red.

Al mismo tiempo, este acceso abierto a todos ha permitido, sin que nos diéramos cuenta, el "lado oscuro" de Internet. Nos encontramos cada vez más en situaciones vulnerables a la explotación y vemos que converge...

Internet fue creado hace décadas, en una cultura de acceso compartido y abierto en un entorno de usuarios de confianza, y su crecimiento ha ido más allá de cualquier imaginación. En la actualidad, entre sus ventajas clave se encuentra su capacidad de traspasar las fronteras geográficas, sociales, económicas, políticas y culturales, algo que ha permitido un potente efecto de red.

Al mismo tiempo, este acceso abierto a todos ha permitido, sin que nos diéramos cuenta, el "lado oscuro" de Internet. Nos encontramos cada vez más en situaciones vulnerables a la explotación y vemos que convergen formidables fuerzas globales para amenazar a Internet y a sus usuarios. De hecho, Internet ha llegado a convertirse en un centro operativo para los intentos de ciberterrorismo.

¿Qué tiene Internet, que ha exacerbado tan gravemente esta conducta "oscura" tan peligrosa? Una respuesta parcial está en el hecho de que Internet proporciona un enorme grado de anonimato a los "atacantes", mucho mayor al anteriormente posible. Además, la Red nos permite llegar a cientos de millones de usuarios de forma fácil, rápida, y básicamente sin costes (en dinero o en esfuerzo). Esta amalgama de acceso anónimo, libre y generalizado a los demás ha ayudado a fomentar el lado oscuro de Internet.

No debe sorprendernos que los medios sociales y los sitios de compras monitoricen nuestra conducta

Los problemas de seguridad masivos protagonizan las noticias cada semana. Nos dicen que podemos y debemos instalar medidas de seguridad en los sistemas informáticos y en las redes en el ámbito personal, corporativo y estatal. En muchos casos, se han adoptado esas medidas. Pero, a menudo, son las personas que los utilizan las que comprometen la seguridad de incluso los sistemas y redes mejor diseñados. Los usuarios son negligentes en asuntos como el acceso visual a sus pantallas, dónde y cómo almacenan sus contraseñas, con quién comentan información reservada, cuándo y cómo manejan los datos confidenciales, etc. En otras palabras, rara vez siguen las normas de ciberhigiene. Los ataques a un sistema seguro frecuentemente son perpetrados por personas desde dentro de la organización, más que por agentes externos, y estos ataques son más dañinos que los venidos de fuera. Lo que esto significa es que las organizaciones deben asumir que tienen adversarios en el interior, y que muy probablemente, sus sistemas se verán comprometidos. Si no somos conscientes de este hecho, y si no nos preparamos con antelación, podemos sufrir graves consecuencias.

Otro asunto preocupante es el grado de privacidad. Nos estamos dando cuenta de que los dispositivos, las aplicaciones y los servicios de los que dependemos, nos ubican constantemente. Sin embargo, debemos reconocer que cedemos voluntariamente nuestra intimidad en pequeños gestos cuando incorporamos nuestros nombres en las guías telefónicas, cuando utilizamos nuestras tarjetas de crédito o teléfonos móviles al desplazamos, cuando nos inscribimos en sitios web o subimos nuestros perfiles y fotos a la web, etc. A cambio, obtenemos beneficios que nos suponen un valor añadido.

No debe sorprendernos que los medios sociales y los sitios de compras monitoricen nuestra conducta y vendan los datos a terceros. Nuestra invisibilidad y la privacidad en ese nivel han desaparecido. Como ejemplo inesperado de la dificultad de permanecer en el anonimato, en un informe reciente del Laboratorio de Medios del MIT podemos leer: "Que un conjunto de datos no contenga nombres, domicilios particulares, números de teléfono u otros identificadores obvios, no lo convierten en anónimo..." Es decir, el anonimato se difumina en el sofisticado entorno de hoy en día, donde los metadatos pueden revelar información insospechada (metadatos es básicamente información sobre información, pero no el contenido de la misma). Pero existe una vigilancia y explotación que son más invasivas y peligrosas que las provenientes de simples empresas comerciales; nos encontramos con que comienzan a proceder de agentes delictivos, gobiernos internacionales actuando de forma intencionada y grupos criminales organizados.

Las redes privadas pueden ser diseñadas para proporcionar más seguridad, controlando el tráfico

¿Qué defensas y medidas podemos adoptar, dada la situación en la que nos encontramos en la actualidad, y teniendo en cuenta lo que podemos prever que ocurra en el futuro? En el debate siguiente, ofrezco mis comentarios, observaciones y anhelos sobre lo que los científicos y los ingenieros podemos aportar para mejorar esta situación:

• Con respecto a la privacidad, como mínimo, los usuarios deben tener permitido especificar qué política de protección de datos desean que se les aplique. Asimismo, cualquier aplicación o servicio debe indicar, en términos fácilmente comprensibles, la política aplicable al usuario.
• En el diseño inicial de la red, la seguridad no se consideró un asunto prioritario (estábamos interesados principalmente en ganar uso y adhesión). Retrospectivamente, lo mínimo que deberíamos haber hecho era implementar una autenticación de usuario exigente (de esta forma, sabremos con quién interactuamos) y una autenticación de archivos reforzada (para poder garantizar que los archivos a los accedemos son lo que dicen ser). Entonces deberíamos haber desactivado esta capacidad, y activarla solo en las fases en las que surgiera la necesidad. Jugamos al gato y el ratón con estas capacidades.
• Hemos presenciado la aparición de redes para fines especiales, o de redes privadas para gobiernos y empresas. En algunos casos, esto permite a un gobierno limitar el acceso a información compartida o impedirlo; algunos ejemplos actuales incluyen Cuba, Corea del Norte y China. En otros casos, las redes privadas pueden ser diseñadas para proporcionar un nivel más alto de seguridad, controlando el tráfico que entra o que sale de la red, o instalando niveles más altos de controles de seguridad dentro de sus límites. En tales casos, el precio es cortar o reducir la línea vital de interacción que se gana interactuando con Internet globalmente. Estas actuaciones indican una tendencia a que la causa de la soberanía nacional tenga prioridad sobre la cooperación internacional. Una forma de mejorar esta penalización de una red privada es la de proporcionar acceso a otras redes a través de puntos de intercambio altamente protegidos/controlados en sus límites.
• Consideramos alentador que se esté produciendo un incremento en el uso del cifrado en la transmisión y el almacenamiento de datos. También es interesante la nueva evolución del trabajo en el cifrado homomórfico, que en principio permitirá que tenga lugar la computación, mientras los datos y los programas siguen estando cifrados. Esto aumentaría en gran medida la seguridad de los datos, y el contenido estaría a salvo de cualquier intento de búsqueda, captura o inspección.
• El estudio de arquitecturas de red mejoradas o nuevas exige un esfuerzo considerable. Algunos de estos trabajos modifican los protocolos de red existentes para aumentar la seguridad y la escalabilidad, como IPv6. Muchos de ellos suponen apartarse de la arquitectura de Internet desplegada hoy en día, y sugieren diseños totalmente novedosos para una Internet de próxima generación, que evite los problemas de compatibilidad retroactiva con la tradicional. Estas propuestas de diseño incluyen redes programables como Software Defined Networks (SDN), donde el hardware remitido es desvinculado de las decisiones de control; Named Data Networking (NDN), que permitiría comunicar la información mediante nombres y no mediante direcciones, o las Redes Síncronas, que enrutan el tráfico de forma rápida y dinámica en función de secuencias horarias (esto permite un grado de seguridad mucho mayor).

En conclusión, el Internet abierto que compartimos hoy en día tiene que hacer frente a amenazas sofisticadas. Independientemente de lo que hagamos o cambiemos, no debemos coartar la innovación ni el crecimiento. Es esencial que mantengamos los conceptos básicos contenidos en la filosofía original de Internet, que concretamente fue fundada sobre la base de un legado de apertura y libertad, de investigación abierta, de ideas y trabajos compartidos, sin ninguna estructura arrogante de control, y con confianza entre los miembros de la comunidad. Ahora mismo, nuestro reto consistirá en equilibrar esa filosofía con las realidades del mundo actual.