Economist Intelligence Unit

Tecnología

La guerra infinita contra los hackers

Mientras la tecnología de la información (TI) invade cada rincón de nuestras vidas, la era digital genera serias preocupaciones sobre la seguridad de la información y protección de datos, y la urgente necesidad de una mayor investigación en estas áreas. Desde enero de 2005, de acuerdo con el Centro de Información sobre Derechos de Privacidad, de Estados Unidos (EU), en ese país ocurrieron violaciones a la seguridad informática que involucran más de 218 millones de expedientes con delicada información personal. Las personas cuyos datos personales están implicados se encuentran en riesgo de suplantación de identidad y fraude financiero. Los gobiernos que quieren explotar integralmente la TI están conscientes de la necesidad de adoptar leyes para la protección de datos personales, en particular dentro del sector financiero y biomédico. Sin embargo, la necesidad de asegurar la información digitalizada repercute en varios frentes del mundo de la informática.

La Escuela de Sistemas de Información (ESI) de la Universidad de Administración de Singapur encabeza una investigación para capitalizar el uso innovador de tecnología en busca de mejorar la seguridad informática. Según el profesor de sistemas de información Li Yingjiu, “la seguridad no sólo se instituye para proteger información. Es también un facilitador de los negocios. Para conservar la confianza y la lealtad de los clientes es importante garantizar la seguridad de la información confidencial y delicada de la clientela, lo cual infunde confianza y sienta los fundamentos de una nueva manera de hacer negocios”.

Cinco áreas

Poniendo las cosas en perspectiva, Li recalcó que no hay sistema que satisfaga todas las necesidades de seguridad informática. Específicamente, hay cinco áreas que tienen que atenderse: cifrado de información durante el almacenamiento y la transmisión; sistemas de autentificación al inicio de sesión; detección de intrusiones para descubrir ataques al sistema; aplicaciones de control para eliminar cuestionarios que puedan extraer información personal delicada, y programas de gestión de derechos digitales, que protegen la información con marcas de agua o huellas digitales.

Con este propósito, el laboratorio de seguridad informática y confianza de SIS se enfoca en investigar la aplicación de tecnologías y soluciones novísimas para asegurar la infraestructura de TI, proteger la información de empresas e individuos, y construir confianza entre todas las partes. Trabajando de manera interna y en colaboración con otras instituciones, el equipo de la ESI –encabezado por el profesor de sistemas de información y decano asociado Robert Deng– está involucrado en una investigación que abarca una gama diversa de proyectos de seguridad informática.

Encriptación de correos electrónicos

Li explicó que se dispone de varias soluciones tecnológicas para el cifrado de datos confidenciales y delicados durante el almacenamiento. Esta información, añadió, está también en peligro cuando se transmite entre direcciones electrónicas. Las soluciones actuales no sirven para administrar copias de correos electrónico cifrados o para proteger la privacidad de destinatarios múltiples. En consecuencia, en SIS están motivados para desarrollar otro enfoque que doblegue las limitaciones de la actual tecnología de cifrado de correo electrónico.

El cifrado de correos electrónicos para destinatarios múltiples es un reto, pues la práctica actual, por ejemplo, requiere el encadenamiento de múltiples textos cifrados de correo electrónico que son encriptados con la clave pública de los diversos recipientes. Cada destinatario leerá sólo lo que descifre en su computadora, sin conocer los resultados del desciframiento de otros. Esto acaba con la idea poner a los destinatarios múltiples en la misma página, por así decirlo.

“Nuestra solución prototipo, conocida como cifrado múltiple, es compatible con la actual arquitectura de correo electrónico, pero deben hacerse cambios manuales al servidor y se necesita que los usuarios estén en el mismo dominio de correo electrónico”, explicó Li. El profesor Xuhua Ding, de la ESI, investigará también sobre la viabilidad de un nuevo paradigma de cifrado que no requiera la participación de terceros, como ocurre con servidores parcialmente confiables, agregó Li.

Autentificación mediante dos servidores

La autentificación al inicio de sesión impide el acceso de usuarios no autorizados. De acuerdo con Li, una práctica de seguridad largamente establecida es la autentificación con base en contraseñas cuyos detalles se almacenan en una base de datos central. Sin embargo, los hackers lo saben y obtienen de manera ilegal contraseñas de un servidor, lo que tiene serias repercusiones legales y financieras para una organización.

Li expresó que han propuesto sistemas de contraseñas de servidores múltiples para evitar la vulnerabilidad inherente a la arquitectura de un solo servidor. Ese sistema, sin embargo, es difícil, dijo, porque los usuarios tienen que comunicarse simultáneamente con múltiples servidores, o los protocolos son bastante caros.

Li destacó el éxito de los investigadores de SIS en el desarrollo de una solución prototipo que divide una contraseña y la almacena de manera novedosa en dos servidores, impidiendo así que los hackers tengan acceso a la contraseña completa en un ataque. Explicó que sólo el servidor frontal contrata con los usuarios, mientras el servidor de control permanece en un segundo plano con la parte restante de la contraseña. La solución podría aplicarse para reforzar los sistemas de contraseñas, protegiéndolos contra ataques conocidos como diccionarios fuera de línea, ejecutados por los virus troyanos que pudieran plantar los hackers en cualquiera de los dos servidores.

Detección de intrusiones

Aunque la autentificación impide el acceso de usuarios no autorizados, los hackers persistirán en sus ataques para explotar las debilidades de los programas de computación. Según Debin Gao, también profesor de la ESI, los reportes de vulnerabilidades de los programas computacionales han crecido de mil 90, en 2000, a 7 mil 239, en 2007.

Una debilidad así, por ejemplo, permite que un atacante inyecte un código que hace que la computadora ejecute el programa del atacante. Por tanto, según Gao, “detectar automáticamente esas intrusiones y analizar las vulnerabilidades es importante para proteger un sistema informático, lo cual es el trabajo de los sistemas de detección de intrusiones (SDI). El SDI evalúa una intrusión sospechosa en cuanto sucede y da la alarma. También permanece en alerta ante ataques que puedan provenir del interior del sistema.

El software de los SDI descubre anomalías al comparar los resultados de vigilar con modelos establecidos que caracterizan el comportamiento y las interacciones normales de los programas. La alarma se produce cuando se detecta una desviación.

Gao explicó: “Obtener lecturas verídicas a partir de los análisis es un desafío, debido en parte a los enormes recursos de las computadoras, la red y las respuestas de los sistemas, lo cual debe ser vigilado y evaluado. Otra dificultad es la mayor sofisticación de los códigos maliciosos inyectados, que pueden imitar el software original, produciendo aun la respuesta correcta durante los ataques. Esto puede causar que el sistema no descubra un ataque, lo que se conoce como ‘falso negativo’, o que dé la alarma cuando en realidad no hay ataque, lo que se conoce como ‘falso positivo’”.

Control de inferencia

La vigilancia contra intrusos, o incluso usuarios autorizados que abusan de sus privilegios de acceso a información delicada, es otro aspecto de la seguridad informática. Li declaró que, en este caso, la atención se centra en especial en las bases de datos, como la información del censo nacional.

“El software de control estadístico de inferencia es necesario para proteger la privacidad de datos delicados y el acceso, mientras se encuentra un equilibrio proveniente de la creciente necesidad de datos estadísticos precisos”, agregó Li. Sobre el control de inferencia, aseguró que el acceso a la información confidencial es controlado por el software, que rehúsa responder preguntas sobre datos delicados. “Los usuarios pueden todavía evadir el control de acceso combinando solicitudes de información no delicada a partir de la cual se puedan inferir valores delicados”, remarcó Li. “Esas inferencias no serían capturadas por el control de acceso tradicional, ya que las preguntas son, en apariencia, inocentes.”

Gestión de derechos digitales

La preocupación por los derechos de propiedad de la información digitalizada, que puede copiarse fácilmente, ha promovido la evolución de la gestión de derechos digitales (DRM, por sus siglas en inglés), tecnología que siembra marcas de agua digitales en el producto. En su investigación, tomó la página de una tecnología bien establecida, que agregaba marcas de agua a documentos multimedia, y la personalizó para bases de datos interrelacionadas, expresó Li. “Pretendemos desarrollar un nuevo esquema de base de datos que agregue marcas de agua digitales, y que pueda usarse para proteger la propiedad públicamente comprobable. Nuestra propuesta tiene ciertas propiedades únicas”.

De acuerdo con Li, estas características incluyen una clave que permite detectar marcas de agua y pruebas de propiedad que pueden ser ejecutadas públicamente por cualquiera, las veces que sea necesario. En segundo lugar, esta propuesta no genera errores en la información subyacente, lo cual sería un problema para otro software DRM. Li agregó que este sistema, por tanto, puede usarse para introducir marcas de agua digitales con cualquier tipo de datos, incluso números enteros, números reales, caracteres y valores booleanos, sin temor a error. Permite también mayor actualización de la base de datos sin afectar la marca de agua. Agrega Li: “Nuestro esquema es sólido. Es difícil que los ataques tradicionales invaliden la detección de marca de agua y prueba de propiedad”.

Li afirmó que los usuarios apreciaron la técnica de marcas de agua debido a su uso práctico en el mundo real para proteger la propiedad de bases de datos. Concluye que la investigación de la ESI en seguridad contribuirá a proteger los sistemas informáticos y la Internet; y a salvaguardar la integridad de los productos digitales y de los derechos de propiedad.

Fuente: EIU

Traducción de texto: Jorge Anaya