¿Son Seguros sus Envíos Electrónicos?

Jesús Alvarez
PR WebMasters

        Al enviar documentos a traves del correo postal por lo general la información va en un sobre sellado. Con las debidas precauciones, no es difícil detectar si un mensaje fue abierto antes de llegar a su destino. ¿ Puede lograr la misma confiabilidad en sus envíos electrónicos ? El rápido crecimiento del Internet como medio para el intercambio de información ha hecho a muchos olvidar el aspecto de seguridad. Muchos envían listas de precios, cotizaciones e inclusive datos personales de naturaleza confidencial sin estar concientes de la posible falta de privacidad en sus mensajes. Estos se sorprenderían de saber la facilidad con la que sus documentos pueden ser interceptados sin dejar huellas. Afortunadamente el gobierno federal, bancos y otras instituciones que se benefician con el comercio electrónico han estimulado el desarrollo de técnicas que pueden ser usadas para mejorar la seguridad de sus envíos y reducir posibles fraudes. Este artículo menciona algunas conceptos generales que pueden ayudarlo a mejorar la seguridad de sus transacciones en Internet.

        Enviar un documento de su computador a otro puede parecer una transacción directa entre ambos sistemas. En Internet, la realidad es que por lo general su mensaje va a pasar por una serie de sistemas antes de llegar a su destino. Para llegar de Puerto Rico a direcciones en Estados Unidos, es común tener que pasar por 10 o hasta más sistemas (usuarios de Windows pueden usar el utilitario TRACERT para ver la ruta seguida de su computador a alguna dirección de Internet). La determinación de la ruta es por lo general automática, pudiendo inclusive pasar por sistemas a los que sus competidores tengan acceso. Esta ruta que sigue su mensaje lo expone a riesgos ya que en la mayor parte de los casos usted no tiene ningún control sobre la seguridad de los sistemas que manejan su mensaje. No es difícil para administradores en estos sistemas leer mensajes dirigidos a otras personas.

        Problemas de seguridad no sólo ocurren en redes externas. La seguridad de su red local puede tambien exponerlo a riesgos. Con las herramientas apropiadas, un empleado con acceso a su red puede leer información de naturaleza sensitiva del buzón electrónico de su jefe. Esto tambien puede ocurrir con otros propósitos; hace unos años algunas compañías mantenían bitácoras con todos los mensajes enviados o recibidos por sus empleados para que los gerentes pudieran examinarlos. En fin, no hay ninguna garantía que el único con acceso a un mensaje sea el destinatario.

        El uso de claves es una manera efectiva de lograr mayor seguridad al enviar mensajes y documentos. El que envía y el que recibe acuerdan de antemano usar una clave predeterminada. Antes de enviarse, el mensaje es pasado por la clave. El que recibe debe entonces usar la clave para descifrar el contenido. Esto no es una técnica nueva, en tiempos del Imperio Romano los militares acostumbraban traducir todos los mensajes usando una clave donde la ‘A’ se sustituía por una ‘D’, la ‘B’ por la ‘E’, etc. Al enviar ‘HOLA’ el destinatario recibía ‘KROD’. Con el tiempo el estudio de claves o criptología se ha desarrollado mucho y hoy día existen algoritmos extremadamente sofisticados para producir claves. Una meta fundamental en el diseño de estas claves es que no sean descifrables fácilmente. Un computador tratando alternativas al azar debería necesitar una gran cantidad de tiempo para descifrar una clave por "fuerza bruta" (e.g. adivinando).

        Uno de los métodos de encripción más conocidos es DES (Data Encryption Standard), basado en algoritmos desarrollados por IBM y usado activamente por el gobierno federal desde 1977. DES cubre una serie de algoritmos que permiten grabar documentos usando "llaves". Para lograr leer la información original en el documento, el que recibe la información debe tener esta llave. Variaciones de DES son usadas por bancos e instituciones financieras en los Estados Unidos para procesar desde mensajes generales hasta transacciones de tarjetas de crédito y transferencias de fondos (EFT). Muchas de las implementaciones de DES son controladas por el gobierno federal y no pueden ser exportadas fuera de los Estados Unidos sin autorización. DES usa llaves de 56 bits por lo que en teoría requiere hasta 72,057,594,037,927,936 intentos para lograr descifrar por fuerza bruta. En 1977 descifrar un mensaje con DES sin la clave requería equipo computacional con mayor capacidad que la mayoría de los computadores existentes en esa época. Sin embargo, en 1997 un grupo de usuarios de Internet pudieron descifrar en 3 meses con computadores personales un mensaje encriptado con DES como parte de un concurso. Esto ha hecho reconsiderar a muchos el uso de DES, particularmente para transacciones de alto monto financiero.

Otro método de encripción popular se basa en los algoritmos de llaves públicas de Rivest, Shamir y Adleman (RSA). El uso de llaves públicas implica tener dos llaves: una pública y otra privada. Al enviar un mensaje se encripta con la llave pública. El destinatario entonces usa su llave privada para leer el mensaje. Esto hace que ni siquiera el que envía el mensaje puede descifrarlo una vez encriptado. Esto junto al hecho que existen llaves de RSA de hasta 2048 bits permite un alto nivel de seguridad.

Una implementación popular de los algoritmos de RSA se conoce como Pretty Good Privacy (PGP). Con PGP, la llave pública se hace accesible en un servidor de Internet. El software de PGP tambien añade "firmas digitales" a los documentos para garantizar que no sólo el destinatario los puede leer sino que el mensaje no ha sido alterado desde que fue transmitido.

La popularidad de PGP se debe en parte a su alto nivel de seguridad y en parte a la disponibilidad de software para su implementación. Varias compañías publican software a un costo accesible para permitir transacciones comerciales en Internet usando PGP. Software de PGP para uso no-comercial está disponible de MIT sin costo. Algunas de estas alternativas permiten integrar PGP a programas de correo como Microsoft Mail o Netscape Mail para facilitar el manejo de llaves públicas y el envío de mensajes con más seguridad.

        En resumen, no es bueno asumir que un envío electrónico por Internet sólo va a ser recibido por el destinatario. Sin embargo, si toma las medidas apropiadas puede hacer más difícil que información confidencial llegue a lugares donde no debería llegar.