Recuerdos del futuro

Un centenar de números de la Revista SIC dan fe de lo que hemos hecho en los últimos veinte años y, dada la tendencia humana a repetir errores, es bueno echar la vista atrás, releer esos números olvidados, y ver si de ello sacamos alguna conclusión o alguna visión o deseo de futuro.

Hipnotizados por el simultáneo rodar de tres décadas, hemos visto llegar a la primera centena de números de la Revista SIC. Desde aquel número uno en marzo de 1992, hasta este número cien de 2012, Luis G. Fernández y José de la Peña han registrado la historia del relativamente joven mundillo de la Seguridad de la Información y las Comunicaciones en nuestro país. En aquel momento, Eduardo Robles de Teldat hablaba de la seguridad de las entidades financieras desde la perspectiva de las comunicaciones, y lo sabía bien por la cantidad de módems, routers y demás artefactos X.25 ¹ que les había vendido, ya que era el negocio de su empresa en aquellas fechas.

Jorge Dávila Muro
Consultor independiente. Director. Laboratorio de Criptografía. LSIIS. Facultad de Informática. UPM. Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla

En aquel momento, los mensajes eran tan sencillos como el mero hecho de presentar a la sociedad española, de tomar autoconciencia de que el devenir de la informática, por aquellos tiempos limitada a ciertos entornos académicos, inexorablemente planteaba el problema de la seguridad. En aquel tiempo los frentes estaban en el correo X.400 ², en la seguridad de los medios de pago, en la detección de incendios, en las contramedidas específicas y demás avances de los vetustos CPDs que hoy están a punto de ser “nebulizados”. Se empezaba a hablar de “sistemas abiertos” (redes de PCs) como un territorio que por su inseguridad no dejaría de ser una moda pasajera y se tenía el convencimiento de que los viejos “MainFrames” nunca morirían. Carlos Jiménez empezó con su apostolado contra aquellos jurásicos virus informáticos que no llegaban a la categoría de priones ³ si los comparamos con la fauna que hoy nos contempla.

Ya en 1992 se empezaba a hablar de la firma digital, constructo académico que anidó en la mente de muchos arropando la idea de que, algún día, todo se haría sin necesidad de papel ni de pólizas ⁴ de cualquier geometría. Ya entonces se hablaba de cómo proteger el software como propiedad intelectual e industrial y es curioso ver cómo todavía hoy algunos se lo siguen preguntando. Ya entonces Rafael Ortega ponía sobre las líneas de esa joven revista la necesidad de establecer “Planes de Seguridad y Contingencia” como necesidad esencial; sin embargo, hubo que esperar a septiembre de 2001 para que ya nadie dudase de ello.

Eran tiempos del EDIFACT⁵ de las Naciones Unidas; del DES⁶, inexplicable joya criptográfica traída del centro del imperio; y del protocolo SET⁷ de VISA y MasterCard, que apareció en 1996. Eran tiempos de los Firewalls ⁸ que, como la esfinge que se estableció en las montañas cerca de Tebas, devoraba a todos los “no autorizados” que quisieran pasar a través de ella. En aquellos sencillos tiempos teníamos “perímetro” y el negocio de “puertas y cerraduras” en redes digitales era muy boyante. Al igual que Edipo logró pasar e inducir el suicidio de la Esfinge, en la década de los noventa “los malos” también cruzaban los cortafuegos, por lo que realmente nunca llegaron a ser los perímetros lo que sus defensores anunciaban a los cuatro vientos. Hoy de aquello solo nos quedan los mismos vientos y algunas pocas nubes. No fue hasta finales de 1995 y principios de 1996 cuando en la Revista SIC se habló directamente de Internet y del Outsourcing o de dar “caña” a los “tecnocriminales” que, entiendo, serían los “Homo Antecessor” ⁹ de los Anonymous de hoy.

Eran los tiempos en los que la tierra prometida tomaba la forma del “dinero electrónico” ¹⁰ de David Chaum, o del “comercio electrónico” ¹¹ que hasta 1995 estaba explícitamente prohibido ¹² por la National Science Foundation norteamericana, ya que, para ella (y era la dueña), Internet había sido fundada para la investigación y no para el comercio. También se hablaba en aquellos tiempos de que algún día los menesteres ¹³ no serían menesteres sino “teletrabajos”..

A finales de los noventa los frentes informativos iban por los CERTs, por más outsourcing, por más “convencer a la Dirección”, “a la Alta Dirección” quise decir, por las auditorías, por los Reglamentos de Seguridad, por el control interno, el “Efecto 2000”, la llegada del euro, la Protección de Datos Personales, las tarjetas inteligentes, el Proyecto CERES, la seguridad SSL, las nunca bien ponderadas PKIs, los Common Criteria, el fechado digital, los IDSs y, sin duda, la consolidación hacker.

La primera década del siglo XXI se nos centró en asumir/ claudicar ante el SPAM, en los certificados de la FNMT y luego en el e-DNI, en la Ley de Firma Digital, las auditorías, los responsables de seguridad, las implantaciones de PKIs, el Single Sign-On, los Códigos de Buenas Prácticas, los Test de Intrusión, las Infraestructuras de Autenticación y Autorización, el uso de tarjetas inteligentes, la votación y la contratación electrónicas; Microsoft dejó de ser el “sospechoso habitual” de todos los fallos de seguridad y se aceptó la necesaria gestión de parches, las redes inalámbricas se imponían y nadie les hacía mucho caso, lo cual todavía sigue siendo un error, los (sistemas) móviles se convertían en una nueva religión, los Servicios Gestionados de Seguridad invitaban a despreocuparse y delegar en otro nuestra protección, etc.

Sin embargo en ese mismo tiempo se inventaban los Ataques por Denegación de Servicio (DoS), los rootkits, las Botnets inmensas y metastáticas, constelaciones de virus y caballos de Troya, cada cual más sofisticado que el anterior, nació el Hacktivismo, las Redes Sociales, los interminables y peligrosos fallos de las tecnologías Web, etc. La evolución de los ataques y de las tecnologías que los sustentan se han desarrollado en la pasada década mucho más que las metodologías y herramientas para defenderse de ellos. El lado del mal puede estar muy satisfecho de lo conseguido en estos últimos años. Puede que esto no suene “bien” pero las cosas son como son y engañarse es poco inteligente.

Revisando los números atrasados de la Revista SIC uno se da cuenta de lo importante que es la letra impresa ya que no nos permite las analgésicas distorsiones que nos ofrece la memoria humana. Cuando uno lee lo que fue publicado, la narración tenaz de lo que decíamos que estaba ocurriendo, se puede ver que los años de abundancia nos los gastamos en ofrendas a las modas, en devociones poco maduras y quizás no nos dejamos asesorar por la razón cartesiana o la visión histórica o a largo plazo.

Ahora que estamos en crisis y vamos a tener tiempo para ello, quizás convenga pensar más en lo que vamos a hacer y menos en lo que vamos a comprar. Muchas de aquellas modas precrisis, realmente estaban dictadas por la oferta (software/hardware) de los proveedores/integradores del sector de la información y las comunicaciones, y no tanto por las necesidades que acompañan a una verdadera evolución de las empresas y de la sociedad dentro de la que existen. El hardware de ahora corre 50 veces más deprisa ¹⁵ que el hardware del cambio de siglo; sin embargo, nuestros sistemas no son cincuenta veces más ricos y funcionales que los de entonces. No sé si seremos capaces de cambiar nuestro rumbo, pero creo que es un muy buen momento para hacerlo.

El futuro

Ahora bien, ¿quién sabe lo que nos depara el futuro?.
No seré yo quien diga que lo sabe, pero podemos jugar a soñar mundos posibles que pudieran nacer de este en el que estamos. Hay cosas que parecen haber llegado y tienen vocación de quedarse. Al igual que en 1995 eclosionó Internet y en 2006 eclosionaron las Redes Sociales, al igual que en 1974 nació el microprocesador de 8 bits (el famoso 8080) ¹⁶ y en 1991 la segunda generación de telefonía móvil, las redes y la movilidad tienen pinta de quedarse con nosotros durante largo tiempo.

De todas formas, el futuro no necesariamente va a seguir siendo tan antropocéntrico como lo ha sido en esta primera década del siglo XXI. Si fracasan en su empeño confiscador y limitante de algunas iniciativas legislativas en curso, Internet terminará siendo el “caldo prebiótico” ¹⁷ en el que nacerá, crecerá y posiblemente morirá, la cultura de millones de personas, de ciudadanos de cualquier lugar, y esto podría ocurrir en el futuro inmediato y a medio plazo.

El culto al gadget deberá ir perdiendo fuerza precisamente por la abundancia de alternativas a nuestro alrededor. Cuando solo había un móvil, es comprensible la adoración que a él se le otorgaba; sin embargo, teniendo multitud de móviles, smartphones, tabletas, ultra-books, e-books, GPSs, Video glasses o eyewears ¹⁸, etc., la adoración se diluye. Si antes teníamos una estación de trabajo en nuestra oficina, ahora exigimos poder utilizar nuestros terminales (o gadgets en general) dentro de las instalaciones de nuestra compañía (BYOD) ¹⁹ por lo que no me extrañaría que en el futuro próximo los terminales los llevará (¿adosados? ¿implantados?) el operador/usuario y será el sistema informático el que tenga que conectarse “transparentemente” con el usuario. Por tanto, de ser así, dos grandes batallas se nos avecinarían, una sería la interoperabilidad a todos los niveles (hardware, software, comunicaciones, semánticas, etc.) y la otra la Seguridad, que se tambalearía hasta en su misma definición y que podría terminar siendo una extensión del sistema inmunológico del individuo.

Además de las personas, también existen las cosas, y las cosas, unas con otras, conforman los instrumentos, los procesos y los servicios que inadvertidamente utilizamos. Los entornos industriales y las instalaciones que prestan esos servicios tienen mucho que evolucionar tanto en diseño como en funcionalidades, por lo que, en ese campo, probablemente se dé una importante batalla en cuanto a su seguridad y el respeto de los derechos (de intimidad, por ejemplo) del ser humano. Quizás empiece con los miedos SCADA y los temores post-Guerra-Fría como es el “pánico terrorista” que sufrimos desde la caída del muro de Berlín, pero la informática industrial a todos los niveles (desde la central nuclear hasta los carritos de paseo para bebés) tiene mucho futuro en las próximas décadas y, cómo no, su seguridad o falta de ella.

En este apartado de la informática industrial se engloba todo lo que tiene que ver con la sanidad y la salud de individuos y poblaciones, así como con el procesado de sus alimentos o la fabricación, distribución y dispensación de sus medicinas y/o tratamientos. El análisis sigue siendo antropocéntrico, pero este futuro se ubica en círculos más externos e independientes de la voluntad o criterio del individuo.

Habrá mas consecuencias que las meramente tecnológicas y la propia sociedad se verá alterada por cómo vayan resolviéndose cuestiones técnicas como las que hemos insinuado. La interrelación entre derechos civiles y tecnologías de seguridad será cada vez más fuerte y menos amistosa. La dimensión ética de todo acto social y humano muy probablemente termine siendo más determinante a la hora de utilizar o desarrollar tecnología, por lo que las reglas de juego terminarán siendo muy distintas a las que conocemos de estas últimas décadas. Con todo, el futuro es amplio y muy interesante, por lo que es tiempo de ponernos en marcha y empezar a crearlo.

Documento en PDF