En esta última conferencia mi mayor deseo no es tanto disertar como ofrecer una referencias en Internet muy actuales y mucho más valiosas que mis opiniones y experiencias. Lo que sigue no es sino un esfuerzo de que algo siga siendo útil dentro de algunos meses, a pesar de los desenfrenados y profundos cambios tecnológicos que sin duda veremos, disfrutando o padeciendo nuevas situaciones técnicas. No puedo evitar recordar aquí la perversa frase de Bill Clinton cuando, nada más ganar sus primeras elecciones, y ya como flamante presidente de los EEUU, recomendó "hacer del cambio nuestro amigo". En lo que a nosotros, aquí y ahora nos concierne, podemos entender ese mensaje como el aviso de que lo que hoy es seguro, mañana puede no serlo en absoluto. Y apuesto a que ciertas cosas de pretendido valor tecnológico, no lo serán. Incluso apuesto doble contra sencillo.

La única certeza que tengo respecto a la seguridad, es que nunca puede ser asegurada plenamente. La seguridad es, desde el punto de vista probático, asbsolutamente indemostrable. Lo que sí que se puede evidenciar o probar, es la inseguridad. Este concepto, y su argumento, es trascendental para cualquier planteamiento técnico que yo descubrí demasiado tarde al titular indebidamente, con el atrevimiento del ignorante, mi ya obsoleto libro de 1996 "Seguridad en Unix. Sistemas Abiertos e Internet", cuyo índice está a su disposición en http://www.cita.es/textos/libro.htm

La seguridad bien entendida tiene un antes y un después de la incidencia. La historia nos demuestra que la seguridad preventiva "por si acaso" resulta extraordinariamente difícil de vender, salvo que esté provocada por un imperativo legal. La seguridad jurídica está basada en la prueba, en tratar de conseguir que si lo inevitable e indeseable ocurre, no pueda volver a hacerse otra vez, y cuando sea posible, que el que la hace, la pague.

La ("in")seguridad informática de un dato tiene tan poco que ver con la de un complejo sistema operativo ejecutando varias aplicaciones con código reentrante mientras está conectado a una sofisticada red, como la que físicamente pueda apreciarse entre la ("in")seguridad de una pequeña caja fuerte, o una valija, y la de un estadio de fútbol o un congreso internacional. Por lo tanto, las políticas y las medidas de (o para la) seguridad se han de basar en muy diversos modelos abstractos, de complejidad exponencialmente creciente con el número de elementos y sus funcionalidades. Y no existen recetas ni fórmulas en ningún caso, aunque sí metodologías técnicas razonables. No crean a quien pretende vender la piedra filosofal.

En la criptología fundamental, pueden hacerse muchas divisiones y clasificaciones, taxonomías de criptosistemas, análisis histórico-dialéctico, planteamientos tecnológico-económicos, pero al desde el punto de vista de la filosofía de la ciencia, la teoría del conocimiento (epistemología y ontología), yo quisiera definir la frontera conceptual que yo percibo con claridad, entre la matemática basada en el conocimiento (por ejemplo, el algoritmo IDEA basado en la tesis de Xuejia Lai "On the security of block ciphers" ETHZ y EUROCRYPT) de la que se fundamenta en el desconocimiento o ignorancia (por ejemplo, el RSA y la difícil factorialización sin computación cuántica mediante algoritmo de Shor apuntado en la película "Snickers" o "Fisgones").

Sea un riesgo de accidente, intrusión, perversión, o inteligencia/contrainteligencia, lo más caro, en mi opinión, es la ignorancia obtusa, o la fe ciega en un producto, o en una idea. Por ese motivo, siempre recomiendo estudiar mucho antes de comprar nada. No puede haber sensación de seguridad sin buena crítica, y ésta sólo puede hacerla quien también es capaz de hacer otras malas críticas.

Existe una respetada organización permanentemente vigilante de la ("in")seguridad en sistemas informáticos y telemáticos. Recomiendo dedicar tiempo, atención y dar cierto crédito tecnológico al "Computer Emergency Response Team (CERT)" en http://www.cert.org

Sería iluso por mi parte plantear en menos de una hora una política de seguridad, o intentar describir sus elementos y su arquitectura. Pero sí que puedo ofrecer al menos una referencia con la que mi empresa mantiene un vínculo, sugiriéndoles visitar la página de Internet:

http://www.ace.es/canal/principal.htm
¿Quién puede ser colaborador? -> Lista de colaboradores -> Todas las Empresas

Por ejemplo, para aplicar la certificación digital estandar X.509v3 disponible en el mercado internacional en muchas autoridades de certificación y registro, una de las razones por las que nos ha interesado llegar a un acuerdo con la Agencia de Certificación Electrónica (ACE) es la cobertura de riesgos técnicos por póliza de seguro de hasta 1.000.000.000 ptas (mil millones de pesetas), más de 5 millones de dólares. Eso lo interpretamos, o al menos, quisiéramos interpretarlo, como una apuesta sobre su propio producto, lo cual merece más respeto que muchas presentaciones técnicas aparentemente más brillantes.

En lo que ambiciosamente pretendemos en mi empresa, quedan muchos frentes abiertos, posibilidades sin concretar, y un dificilísimo trabajo por hacer para aplicar certificación digital al libro negro del petróleo de manera que se pueda realizar una oferta del crudo por medio de descriptores útiles para su evaluación de rendimiento y precio según refino, como proponemos en la página http://www.cita.es/certifica

Pero no quiero dejar de ofrecer también mi mejor fuente de información sobre incidencias de inseguridad tecnológica. Los interesados en analizar delitos, conflictos y accidentes, pueden pasar muchas horas estudiando la historia de RISKS en http://the.wiretapped.net/security/textfiles/risks-digest

No sé si he conseguido satisfacer las expectativas generadas por mis amigos y anfitriones. Pero sí que quiero decir que lo mejor de lo expuesto es su mérito, y de los autores a los que he tomadas prestadas ideas y palabras. Sólo yo soy responsable de los errores y las carencias, así como de cualquier insatisfacción o decepción de Vdes., que, créanme, nadie lamenta más que yo.

Finalmente, y con sinceridad, no me atrevo a escribir desde Madrid sobre algunos documentos que espero poder mostrar personalmente, en espera de sus preguntas, y también de sus consejos. Permítanme que reserve esa última sorpresa para quienes estén conmigo el jueves 30 de noviembre en el ATENEO de Caracas, Venezuela.

(espero no haber perdido mi maleta, o mis más precisos papeles, cuando lea esto)

Hasta siempre.

miguel@cita.es
www.cita.es