2.1 SEGURIDAD EN LA RED: INTRODUCION
"En el año 1998, de acuerdo a las previsiones
de VISA y MasterCard, concluirán los trabajos de desarrollo del protocolo SET,
que permitirá la expansión definitiva del Comercio Electrónico con criterios
normalizados y la utilización de las tarjetas como medio de pago de forma segura
en Internet y otras redes públicas" , pero hoy por finalizando el año 1998 no
son tan claros los vaticinios de estas empresas la verdad
«El Comercio Electrónico en Internet no es seguro según un último estudio en los Laboratorios Bell», éste era el título de uno de tantos artículos sensacionalistas que vieron la luz el 26 de junio de este año, cuando Murray Hill, informático de Lucent Technologies, hizo pública una forma de romper la seguridad del SSL.
La noticia continuaba explicando cómo un hacker que conociera esa técnica sería capaz de acceder al número de tarjeta de crédito e información crítica de una transacción comercial supuestamente segura a través de la Red. Un estudio más detallado de los hechos nos viene a demostrar que, aunque es posible, este ataque es poco probable y presenta numerosas complicaciones.
La vulnerabilidad no se produce sobre el protocolo SSL en sí, sino sobre PKCS 1 (Public Key Cryptography Standard), encargado del intercambio de llaves en SSL. El ataque consiste en mandar mensajes cuidadosamente construidos contra el servidor seguro que produzcan sendos mensajes de error de vuelta, a partir de cuya información se puede construir la llave crítica para su seguridad. Los mensajes que son necesarios para esta técnica pueden rondar el millón, hecho que no debe pasar desapercibido a un administrador de sistemas.
Días más tarde, el mundo criptográfico volvía a estremecerse, esta vez le tocaba al archiconocido DES, utilizado en un sinfín de aplicaciones, entre ellas el Comercio Electrónico o los cajeros automáticos. En uno de los desafíos públicos de la RSA, donde se reta al mundo criptográfico a romper la seguridad de algunos de sus algoritmos, DES había sucumbido en apenas 56 horas. Para ello fue necesario que la EFF (Electronic Frontier Foundation) construyera un PC «DES Cracker», que contenía chips diseñados para tal tarea, con un coste que rondaba los 40 millones de pesetas. Noticias como éstas no deben ahuyentar al gran público, si no, todo lo contrario.
El que salgan a la luz estos acontecimientos es señal de que la criptografía está pasando por uno de sus mejores momentos, y que los algoritmos están siendo sometidos a un continuo acoso y, por tanto, una actualización constante. Cualquiera que conozca mínimamente la historia de Internet sabe que ésta no se diseñó teniendo en mente la seguridad como requisito principal. Sin embargo, si queremos que tengan lugar en la red transacciones financieras de envergadura, el tema de la seguridad debe ser tratado y resuelto de forma adecuada y convincente, sobre todo en lo que se refiere a la ejecución de los pagos.
GLOSARIO | DIRECCIONES
DE INTERES |
 |
 |
 |
 |
 |
 |