© 1997, COOPERACIÓN INTERNACIONAL EN TECNOLOGÍAS AVANZADAS

con E-mail: miguel@cita.es

La Tecnología de la Seguridad de la Información en la Economía Industrial. Perspectivas Internacionales de la Criptología Civil

Si existiera una disciplina diferenciada denominada "geotecnología", o nos la imaginásemos sólo por unos momentos, fácilmente notaríamos el estratégico valor de la seguridad de la información en la economía industrial de nuestros días. Sin duda, sería muy interesante poder ver claramente representadas sobre un mapa las distribuciones geográficas de las inversiones, la base instalada y las industrias productivas dedicadas estas tecnologías para la seguridad de la información, a las que parece no querer renunciar ni un solo país mínimamente desarrollado.

Por muy distintas razones aparentemente, pero también por otras más comunes relacionadas directamente con su actividad financiera, a primera vista destacaríamos dos países, Suiza e Israel, con una muy singular concentración de escuelas, talentos, ideas, patentes, diseños, marcas, empresas e instituciones dedicadas a la Criptología civil y militar, fruto de una cultura, una industria, y sobre todo, de una política inteligente, sostenida firmemente, y protegida, durante décadas. Como no podría ser de otra manera, también en EEUU, casi solapándose con los principales centros productores de material nuclear, armamento, hardware sofisticado y telecomunicaciones, nos encontraríamos con una hiperconectada y muy sensible industria de la cifra, en gran medida controlada directamente por el gobierno norteamericano, en ordenada sintonía con las grandes multinacionales, y desde siempre, en plena metamorfosis y efervescencia.

La informática y las comunicaciones han creado un nuevo mercado, el de la información electrónica dinámica y masiva, y la Criptología, o si se prefiere, la Cifra, es hoy, a nuestro juicio, la única forma razonable de almacenar, distribuir, y sobre todo, de asegurarse el pago de tal información. La moderna Criptología no se limita a garantizar la confidencialidad, sino que ya ha desarrollado sofisticados algoritmos y procedimientos con los que certificar la integridad y autenticidad de datos y mensajes, y también su procedencia inequívoca, mediante lo que actualmente se conoce como "firma electrónica".

Para aplicar rigurosamente el término Criptología, en el sentido de la "lógica del secreto", debemos considerarlo como integrador de otros dos: la Criptografía, o "escritura secreta", y el Criptoanálisis, con el que se puede ir incluso más allá de la simple e ingenua interpretación de textos cifrados y el descubrimiento de claves ajenas y secretas. Por ejemplo, los diplomáticos saben que cuando se desea que el enemigo se entere de algo, lo mejor es utilizar un sistema de codificación que ya esté superado por él, de la misma forma que un rótulo "CONFIDENCIAL" parece ser interpretado casi siempre como la sutil invitación a leer disimuladamente lo prohibido.

Pero la evolución del término, y del concepto, no describe en todos sus detalles al actual desarrollo de esta fascinante disciplina, a caballo de las matemáticas y la tecnología punta en alguno de sus destinos, y de la economía, la diplomacia y la alta política en otros. Los criptólogos estamos presenciando una revolución, a veces con tintes más populares y demagógicos que secretistas, con la que se pretende llevar a cada ordenador personal, red, teléfono y fax, un mundo de datos, sonidos e imágenes de forma segura, y si ello fuera posible, por encima del control que quisieran imponer algunos gobiernos y multinacionales con iniciativas políticamente muy comprometidas, y casi siempre peligrosas.

En lo que sigue, intentaremos aproximarnos al nuevo mercado de la Criptología, tratando de buscar así las claves de las claves.

Una breve introducción histórica de la industria criptológica, y a sus fundamentos científicos y técnicos en 1994

Desde sus muy antiguos orígenes, en diversas civilizaciones, la Criptología ha estado bastante más ligada al poder político y militar, que al puramente económico y privado. Julio César, Napoleón y Hitler invirtieron considerables esfuerzos y recursos en blindar su información, y sus comunicaciones. De cualquier forma, desnaturalizaríamos el saber criptológico si lo desvinculásemos por completo de la literatura y la poesía, e ignorásemos las genialidades y recurencias de figuras tan universales como la de Edgar Alan Poe, quien desafió con éxito, desde las páginas de un periódico del siglo pasado, a los criptógrafos de su época.

Ya en la Primera Guerra Mundial, en plena expansión internacional del telégrafo, la Criptología ocupó un lugar muy destacado en los acontecimientos bélicos. La nota Zimmermann interceptada por los EEUU a alemanes y mexicanos, desequilibró importantes alianzas diplomáticas al ser muy bien decodificado un mensaje inequívocamente conspiratorio.

En la segunda gran guerra, un matemático polaco en suelo inglés, y al servicio de Su Majestad, consiguió el criptoanálisis del Enigma Alemán. Alan Turing fue capaz de concebir los primeros ordenadores, los Colosus, con este propósito principal, y el proyecto Ultra evitó que los alemanes fabricasen la primera bomba atómica antes que los norteamericanos, en un escenario cuajado de espías, científicos, mariscales y bombaderos, pero en el que las principales claves las consiguieron un selectísimo grupo de criptólogos relegados al anonimato hasta varias décadas después del fin de la guerra, durante las cuales muchos países siguieron confiando sus secretos oficiales al sistema de cifrado del Enigma Alemán, ignorando que los servicios de inteligencia de EEUU y el Reino Unido ya sabían descifrar sin gran dificultad cualquier mensaje interceptado en secreto.

Durante los años ciencuenta otro matemático establece con todo rigor los principios de la teoría de la información y la codificación, casi con el mismo espíritu científico con el que Newton enunció las leyes de la Mecánica Racional, o Einstein las de la Teoría de la Relatividad. Así, junto a la medida de la capacidad de los canales, o la corrección automática de errores, Shannon demuestra que existe el "secreto perfecto", y que puede utilizarse en la práctica a través del llamado cifrado de Vernam, que ya era conocido desde primeros del siglo XX. Sin embargo, este "cifrado perfecto", en la práctica, es incómodo y caro, ya que obliga a utilizar claves tan grandes como el mensaje secreto, mediante lo que se conoce como libretas de un solo uso, o combinación con series aleatorias.

No es hasta los primeros años de la década de los setenta cuando la Criptología empieza a ser considerada como una industria y una tecnología estratégica, con muy importantes aplicaciones civiles. La proliferación de ordenadores y de líneas de comunicación, tanto de voz, como de datos, hace explotar por aquel entonces la necesidad de sistemas de cifrado económicos y eficientes, en muchas ocasiones, en compleja combinación con otros sistemas para la compresión de datos y la corrección automática de errores mediante codificación. Dejamos para la reflexión del lector la explicación de por qué mejora sustancialmente la calidad del cifrado si antes se ha comprimido el texto, mientras que prácticamente no se puede comprimir lo que antes se ha cifrado, como es evidente.

Con el propósito de satisfacer y controlar sutilmente esta necesidad, la National Security Agency e IBM, en el proyecto "Lucifer", crean a finales de los años sesenta el Data Encryption Standard (DES), sin duda el procedimiento de cifrado más conocido, vendido y utilizado en todo tipo de sistemas informáticos y de comunicaciones para aplicaciones financieras u ofimáticas que se ha desarrollado hasta el día de hoy. Curiosamente, la legislación norteamericana considera que este procedimiento de cifrado protege el "modo de vida norteamericano", pese a que expresamente prohibe utilizarlo para encriptar cualquier tipo de información que haya sido clasificada oficialmente en EEUU como "top secret".

El DES supuso una auténtica revolución en la Criptología de la época, e inició el dificultoso e incabado proceso de estandarización tecnológica que por aquel entonces pedían las principales multinacionales de la informática y las comunicaciones, y cuya idea principal era la de que la seguridad del cifrado no podía seguir dependiendo del secreto del algoritmo y del tortuoso e inadivinable diseño del criptosistema, sino sólo de las claves que se utilizasen en cada caso. Por lo tanto, cuanto más público y probado sea el sistema, es de suponer que tanto más segura estará la información sensible que se le confíe, y tanto mayor será la independencia de quien lo utiliza respecto a quien lo fabrica e instala.

Pero los años no han pasado en balde para el DES, y aunque nadie ha publicado todavía un procedimiento concreto y documentado de ataque general al DES, son conocidos criptoanálisis diferenciales que reducen el esfuerzo de su ruptura mediante fuerza bruta, es decir, mediante la prueba de todas y cada una de las claves posibles. Por lo tanto, el DES está prácticamente obsoleto, y técnicamente ello se debe a que sus claves son relativamente pequeñas, no son equiprobables, y han aumentado las suspicacias de que sus criterios de diseño ocultan una puerta trasera sólo conocida, al parecer, por servicios de inteligencia. Pero también resulta evidente lo difícil que sería demostrarlo, si es que ello fuera posible.

Mientras, un brillante algoritmo criptológico, basado en la teoría de números y "grandes primos", ha dado lugar a una industria más ambiciosa que la del clásico sistema de clave secreta del DES, pues la Criptología asimétrica permite construir con él sistemas de firma electrónica. Pero la controversia sobre los derechos de explotación del algoritmo RSA es mayor aún, ya que a los controles a la exportación de Criptología industrial norteamericana, hay que añadir la discutible y discutida patente que sus autores y Public Key Partners mantienen en los países en los que se puede patentar, explotar y proteger un algoritmo, entre los que de momento no se encuentra España, ni el resto de la Unión Europea, ni Japón o Rusia.

Conscientes del potencial de la firma electrónica, y de que no sólo podría ser construida con RSA, sino también con otros muchos procedimientos alternativos más o menos seguros, siempre que sean aceptados por todo emisor y receptor, varias instituciones norteamericanas intentaron estandarizar un "Digital Signature Standard", pero diversos ataques criptoanalíticos al primer sistema propuesto, y la falta de credibilidad técnica y política de la iniciativa, hicieron naufragar el proyecto.

Así, la firma electrónica, que podría asegurar y certificar un gran número de mensajes de correo electrónico, faxes, bases de datos y también simples archivos de ordenador personal en disquetes, no se ha desarrollado como cabía esperar, ni existen todavía bancos de claves públicas con los que poder distribuir de forma confidencial y particularizada cualquier tipo de información codificada con la garantía de que no se ha falseado, y de que efectivamente procede del remitente que la declara. Básicamente, con la mencionada tecnología del RSA, si disponemos de la clave pública de un destinatario, podemos enviarle secretos utilizándola de forma que sólo él sabe cómo decodificar, y si él dispone de nuestra clave pública, podemos firmarle mensajes de cualquier tamaño y estructura (correo electrónico, bases de datos, faxes o imágenes) utilizando nuestra clave secreta, de forma que el destinatario podrá comprobar por sí mismo que realmente sólo puede proceder de nosotros, y que no se ha falseado en modo alguno.

La Criptología tiene formas muy elegantes de explicar la distribución y la firma ideal de los secretos. No es necesario verlos para identificarlos. Basta con sus sombras, que en teoría de números se consiguen mediante la división por un número menor que el secreto, y comprobando su resto.

Cualquier canal inseguro puede ser bien asegurado contra pinchazos, distorsiones e impostores gracias a un sencillo y económico protocolo. Así, dos usuarios de correo electrónico que no se conocen, pero que sospechan que sus mensajes pasan por nodos de la red que los interceptan, almacenan e interpretan, pueden intercambiar sus claves públicas, confirmar por teléfono que son auténticas, y a partir de ese momento intercambiar todo tipo de archivos de ordenador, a los que este protocolo habrá hecho atravesar la frontera conceptual que existe entre la información, y la documentación electrónica, a la que no puede permanecer ajena ni la legislación de la Unión Europea, ni la española, y muy en especial, el desarrollo de la Ley de Procedimiento Administrativo y Régimen Jurídico Común. Y en Europa existe no sólo un problema de intereses y lenguaje, sino también, y sobre todo, de entendimiento y confianza institucional.

La cultura de las diferentes nacionalidades que componen Europa manifiesta todos sus contrastes de intensidad y colorido al ser considerados, en cada país, el valor y los derechos asociados a cualquier tipo de secretos. Los proyectos europeos en los que participan empresas e instituciones de varios países evidencian los recelos, suspicacias y sobre todo, la falta de fe en un consenso general, con lo que se devalúan las considerables inversiones y gastos en investigación y desarrollo que los eurócratas de Bruselas adjudican a quienes son capaces de protocolorizar sus proyectos. Por el contrario, la literatura sobre Criptología encuentra en Europa el mejor caldo de cultivo, y los científicos participan activamente en congresos y reuniones entre los que destacan los prestigiosos Eurocrypts.

Curiosamente el gobierno americano somete a una sutil presión a quienes han programado sistemas criptológicos para ordenadores personales que se utilizan en todo el mundo, como ha hecho Philip Zimmermann con el programa PGP basado en los algoritmos RSA, MD5 e IDEA. Al mismo tiempo, Bill Clinton, y muy especialmente, Al Gore, se han comprometido con una iniciativa llamada el "Clipper Chip", basado en el sofisticado algoritmo Skipjack, clasificado oficialmente como secreto, y que sin duda va a suponer un antes y un después en la historia de la Criptología.

Lo que tiene de excepcional el Clipper Chip, o al menos lo que nunca antes se había declarado y admitido tan abiertamente, es que las autoridades policiales y judiciales podrán desencriptar, sin permiso de emisor o receptor, las comunicaciones telefónicas y telemáticas que lo utilicen, mediante un depósito de claves (key scrow system). De esta forma, si están de acuerdo agentes del FBI con funcionarios del Departamento de Justicia, se podrán investigar delitos a pesar de que los presuntos criminales codifiquen con el Clipper Chip sus conversaciones, faxes y mensajes de correo electrónico. Pero es mucho suponer que nadie vaya a confiar tan ciegamente en la autoridad como sólo ella misma espera. Si fuera así, por delegación podrían funcionar perfectamente los sistemas o cámaras de certificación y compensación, y los notarios telemáticos. Como si no fuera necesario contestar a la incómoda pregunta de ¿quién vigila al vigilante?

A pesar de la enorme controversia suscitada, una poderosa multinacional de las telecomunicaciones ya ha diseñado y construido algunos teléfonos especiales basados en el Clipper Chip, pero casualmente, tuvo que ser un especialista de esta misma compañía, en laboratorios para los que trabajan varios premios Novel, quien primero haya conseguido encontrar y publicar un fallo lógico que, al menos parcialmente, pone en cuestión su seguridad criptológica, disparando consiguientemente todo tipo de suspicacias.

Las tensiones entre criptólogos y servicios de inteligencia de todo el mundo son poco menos que inevitables, y tal vez, mucho menores en la realidad de lo que pueda temerse. A pesar de enfrentamientos aislados, escándalos y errores, la espiología acabará por civilizar el paranógeno y novelesco mundo de los agentes secretos, y, tal vez algún día, hacerlos innecesarios, o al menos controlables. Inevitablemente, criptólogos y oficiales de inteligencia tratan con el mismo tipo de materia prima, la información, y son bastante más edificantes sus más o menos formales relaciones, que las que puedan mantener con poderes fácticos, golpistas, sectas, mafias, y sociópatas sin clasificar o torpemente clasificados.

Recientemente han surgido, o se han vuelto a concebir, ideas aparentemente nuevas pero plasmadas en avanzados circuitos ópticos y electrónicos, creándose escuelas y técnicas para garantizar la confidencialidad de la información digital, así como su autenticidad, procedencia, e incluso una especie de precinto virginal diseñado y construido basándose en principios de la mecánica cuántica y la optoelectrónica. Para nosotros, resulta de particular interés la esteganografía, que en principio, intenta disimular y recomponer la información por múltiples procedimientos. Uno de los más prácticos es el de utilizar grandes archivos gráficos comprimidos como series pseodoaleatorias para combinarlos con mensajes secretos, al estilo del ya mencionado cifrado de Vernam, pero mucho más cómodamente.

Con el propósito de sintetizar y relacionar los grandes hitos de la historia de la Criptología, podríamos considerar como prehistóricas todas las aplicaciones no electrónicas, y a partir del telégrafo, analizar la evolución, y la revolución criptológica, en las siguientes líneas:

- Series aleatorias (cifrado de Vernam) y asistemática e impredecible

- Clave secreta o simétrica, que con retroalimentación proporciona integridad documental

- Clave pública o asimétrica, que permiten construir sistemas de firma

- Sistemas con depósito de claves, que permiten el ejercicio de la interceptación y decodificación sólo por la autoridad

- Criptología cuántica, todavía en experimentación, con la que se podrán detectar interceptaciones no autorizadas, y contar los accesos a datos

La arquitectura de sistemas informáticos y telemáticos de alta seguridad que hoy en día se construyen sobre cada uno de estos procedimientos de cifrado requerirían extensas y complejas descripciones que resultan muy difíciles de soportar incluso para los expertos, y completamente inútiles para los no informáticos. Sin embargo, entenderemos que desde el punto de vista criptológico, la industria informática encierre todo tipo de secretos y contradicciones que casi nunca se admiten públicamente como tales, pudiéndose distinguir claramente dos tipos de filosofías:

Los sistemas abiertos, en primer lugar, dan a conocer con todo lujo de detalles tanto los procedimientos, programas y esquemas, como los criterios de diseño, sin que por ello esté en cuestión su seguridad, sino más bien todo lo contrario. Un ejemplo de ello es el sistema operativo UNIX, del que fabricantes de hardware y software pueden analizar, modificar y compilar el código fuente completo sin que ello les permita averiguar passwords o acceder a archivos de forma no autorizada.

Los sistemas propietario, cada vez más en cuestión, por el contrario a lo que se pretende en los sistemas abiertos, mantienen en un número muy reducido de expertos el conocimiento íntimo de su seguridad. Al no poder evolucionar mediante la selección natural, y depender sólo del talento de empleados del fabricante, la calidad y la fiabilidad suele ser mucho menor, y en cualquier caso, obligan a clientes y usuarios a confiar sus secretos digitales en los técnicos y en el servicio de mantenimiento de quien, como demuestran los hechos y los derechos, puede tener intereses y comportamientos muy cambiantes, a veces ambiguos o contradictorios, y casi inevitablemente, fuertes tentaciones completamente desleales.

Riesgos, leyes, jurisprudencia y costumbres criptológicas

No pretendemos aquí describir detalladamente los riesgos asociados a la inseguridad en informática y comunicaciones, ni todos y cada uno de los progresos que el sistema legal de distintos países ofrece en este sentido.

Pero sí nos parece muy importante establecer algunas analogías con otras industrias que han sufrido graves catástrofes con las que se justifica el aumento de la seguridad, y el respeto social necesario para tolerar las inevitables molestias y costes que conlleva.

Así, el tráfico marítimo, y sobre todo, el aéreo, ya han recorrido muchas de las etapas en las que todavía parece encontrarse la industria de la información y las comunicaciones. El caos y los accidentes aéreos, fraudes, así como los secuestros y otras acciones terroristas, han condicionado la organización, funcionalidad, y también la estética, de aviones y aeropuertos, pero no la de los ordenadores, faxes y teléfonos.

Sin embargo, la seguridad no pasa de ser una opción discreccional en los ordenadores y en las redes, y son muy pocos los centros de proceso de datos que tienen una política y un auténtico responsable de su seguridad.

Desde el punto de vista económico es imprescindible enfocar la seguridad de los datos según el coste de oportunidad asociado con su pérdida. Es decir, que el riesgo siempre debe ser evaluado antes de tomar ninguna medida, y cuando éstas se diseñen, deben ser proporcionales a las posibles contingencias. Por ejemplo, una buena aproximación criptológica puede iniciarse con la pregunta ¿cuánto puede llegar a costar que la competencia se haga con la copia de seguridad de nuestro sistema informático?

No es nada fácil ofrecer datos estadísticos de este tipo de siniestros y delitos relacionados con el robo de información. Existe aquí, y de forma muy significativa, lo que en criminología se conoce como "Cifra Negra", entendida como el número de casos no denunciados, así como procesos de victimización tecnológica, que podemos interpretar como evolución de los casos en los que una experiencia tecnológica negativa dificulta, o hace imposible, el desarrollo posterior. A veces, el trauma que se causa en una organización es mucho más grave que las consecuencias directas de una catástrofe, y la informática es muy sensible a este tipo de experiencias.

Los planes, diseños, elementos técnicos y servicios de formación y consultoría tampoco son panaceas. Incluso puede hablarse de la inseguridad inducida por la propia política de seguridad, que podríamos denominar como "metaseguridad", es decir, la seguridad de la misma seguridad.

Pese a las lógicas dificultades existentes para documentar los incidentes detectados en informática y comunicaciones, existen algunos foros internacionales en los que se describen todo tipo de casos. La Association for Computer Machinery ha creado un boletín electrónico sobre "RISKS" (riesgos), y algunos grupos de "news" de Internet (com.security, sci.crypt, hackers, etc) tienen una considerable actividad en este área.

El sistema legal de las industrias de informática y comunicaciones es muy costoso y complejo, y todavía no existen cámaras de mediación y arbitraje generalmente aceptadas, por lo que los malos arreglos casi siempre son preferidos a los buenos pleitos. El Código Penal vigente no tipifica taxativamente los delitos de información a los que nos estamos refiriendo, y el Proyecto sobre el que actualmente trabaja el Ministerio de Justicia e Interior, si bien contempla algunas mejoras técnicas, tampoco entra en la compejidad tecnológica actual, ni en el enjuiciamento de estos casos.

Para el empresario, los principales riesgos de la seguridad de la información están relacionados con los problemas laborales, costos e imagen. El abuso de confianza y de accesos privilegiados a transacciones y grandes volúmenes de información, o las negligencias que los permiten, están ocasionando un creciente número de agudos conflictos, cada vez más importantes también en términos económicos.

Al mismo tiempo, los empleados se sienten vigilados por sofisticados sistemas electrónicos, cuya regulación empieza a convertirse en un auténtico problema sindical. En EEUU, el senado promulgó una ley sobre monitorización en el puesto de trabajo, aunque desde que entró en vigor en 1991 no se han dejado de presentar controversias sobre los límites del derecho del empresario de conocer las comunicaciones de sus empleados durante la jornada de trabajo. Un buen ejemplo de ello es el conflicto por el uso del correo electrónico en una multinacional japonesa para organizar actividades privadas de algunos empleados norteamericanos.

Este difícil equilibrio entre derechos y libertades de empleado y patrón ya ha sido desestabilizado por casos paradigmáticos, entre los que nos permitimos destacar la facilidad con la que un empleado puede llevarse disquetes cuando cambia de trabajo, dando así una ventaja ilegítima a la competencia, la poca costumbre de exigir, firmar y respetar acuerdos de confidencialidad ("non disclosure agreements"), y lo discutible y discutido que resulta, por ejemplo, que un empleado pueda bloquecar con claves elegidas sólo por él información vital para su empresa, o que por el contrario, facilite a terceros los accesos que se le han confiado.

En juzgados españoles ya se han dictado providencias pidiendo las claves sólo conocidas por empleados y no por el empresario, y también se ha puesto en entredicho el secreto bancario y el que debe un empleado a su jefe al facilitar claves, sin el más mínimo razonamiento jurídico.

Debemos insistir, una vez más, en las grandes diferencias que existen en la consideración que merecen los secretos y los datos, y por extensión, las tecnologías y leyes que los protegen, en distintos países. Tanto la legislación, como los usos y costumbres de países como Suiza, Luxemburgo, y los llamados paraísos fiscales, están muy alejados de todo que que pueda resultar habitual, por ejemplo, en China o en México.

En este sentido, España se encuentra en una encrucijada cultural, legal, económica y tecnológica de la que, a nuestro juicio, sólo puede salir una opinión pública concienciada y decidida a reivindicar la Criptología como un elemento indispensable para proteger varios derechos fundamentales.

La industria de la Criptología y su relevancia económica y estratégica

De la misma forma que sería muy difícil precisar el impacto económico de los pequeños enclaves geográficos, Hong Kong, Mónaco, Andorra o Gibraltar, así como bases militares y protocolos diplomáticos y de colaboración policial internacional, no resulta nada fácil hacer estimaciones económicas sobre la industria de la Cifra y la seguridad informática.

Lo que sí parece evidente es su personalidad catalítica y muy selectiva, además de lo inevitablemente discreta que resulta. Por ello, no podemos ofrecer aquí datos estadísticos, sino escasos puntos de acumulación y tendencias apreciables que sólo nos permitiremos interpretar globalmente en horquillas y términos dinámicos y relativos.

Un análisis directo nos permite considerarla, sin lugar a duda, como una industria de valor añadido, y que por lo tanto, carece de sentido si se la desvincula de otras tecnologías más básicas, como la electrónica, hardware y software informático, y lógicamente, de todo tipo de telecomunicaciones.

Así, no resulta posible cuantificar qué parte del beneficio de una empresa dedicada a estas actividades se debe a la seguridad, como valor añadido a sus productos, y cuál es la que se debe a otros desarrollos tecnológicos.

Las relaciones causa-efecto en Criptología son mucho más explosivas que en cualquier otra industria. La oferta y la demanda aparente dicen muy poco de la necesidad y disponibilidad real. La relación calidad/precio depende de parámetros complejos y no representables en valores de mercado. Y el más importante de todos tal vez sea el de la confianza y la discrección.

La imagen de fabricantes y usuarios puede verse muy afectada por la Criptología. Consejeros delegados de varias empresas de alta tecnología establecidas en España reúsan hacer cualquier tipo de manifestaciones al respecto, remitiéndose a sus casas matrices. Hay grandes usuarios de Criptología en entornos financieros que lo publican sin dar detalles, y otros que pretenden negarlo, dando a entender que no necesitan Criptología porque no guardan ningún tipo de secreto.

Aunque no sería sensato afirmar que toda compra de bienes y servicios criptológicos está rodeada de intereses bastardos, sería bastante ingenuo analizar, por ejemplo, los concursos públicos para la adquisición de equipamientos de informática y comunicaciones para la Agencia Tributaria y el Ministerio de Economía y Hacienda, la Policía o la Diplomacia, con el mismo criterio que las Obras Públicas, la venta de vehículos oficiales, o el suministro de material de oficina, por citar casos muy diferenciados.

La reciente historia de la industria criptológica está llena de ejemplos, más o menos evidentes, de proyectos empresariales que nunca tuvieron por objetivo prioritario el beneficio económico, sino el político, quizá a través de la disponibilidad de información en el contexto criptológico.

Algunas empresas especializadas están dispuestas a perder mucho dinero, durante mucho tiempo, con tal de hacerse con el suministro de elementos de inteligencia para instituciones con información sensible, familiarizándose mientras con sus usos y costumbres, y con las personas de las que dependen las decisiones relacionadas con la Criptología, de las que lógicamente cabe esperar unas cuotas de poder y saber excepcionales. Otras, a lo que no están dispuestas es a perder el control de los sistemas de informática y comunicaciones que ya les suministran, ni a permitir que pueda depender de otros el diseño y la administración de su seguridad.

Y como no podría ser de otra manera, la competencia existente entre los suministradores de Criptología es feroz, y muchas veces, subterránea.

Dada la complejidad intrínseca de esta tecnología, y el alto nivel de cualificación que exige, las relaciones entre las universidades y politécnicos con la industria es bastante estrecha y frecuente, aunque no sea fluida ni esté bien planificada y financiada. En España existe una cantera de proyectos, tesis doctorales y vocaciones universitarias que poco tiene que envidiar a las de otros países de nuestro entorno, salvo en las salidas profesionales que ofrece un conocimiento tan delicado.

La inversión en bienes de equipo e instrumentación que se necesita para diseñar y fabricar en series limitadas elementos de hardware no es muy significativa respecto a los altísimos costes de comercialización. Cualquier estudio de empresas que los facturen, desde el punto de vista de la remuneración del personal, inversiones y gastos, evidenciaría que las comisiones, esfuerzos de venta y representación son mucho más importantes que los de las patentes, el laboratorio y la ingeniería.

Y en cuanto al software, las necesidades de programación son relativamente pequeñas si se comparan con la integración en grandes sistemas y los altos costes de formación de los usuarios y, sobre todo, de los responsables.

El ciclo de venta de la tecnología para la seguridad es muy largo. La experiencia demuestra que desde que se inician los contactos informales con un posible cliente, hasta que se materializa alguna operación comercial, pueden pasar largos años, durante los cuales, se pueden haber solicitado varias demostraciones, depósito de dispositivos de muestra, y comprobación internacional de las referencias que se ofrezcan.

Así las cosas, entendemos que el mercado libre, al menos tal y como se entiende en otro tipo de bienes y servicios, no existe. Detrás de la mayor parte de los suministradores de tecnología para la seguridad hay alguna de las siguientes opciones, o tal vez una combinación de ellas:

- Una multinacional que la ofrece como un producto secundario

- Una operadora, como Telefónica, que se esfuerza por normalizar y homologar protocolos, estándares y dispositivos

- Una empresa perteneciente a un grupo bancario o industrial, que prácticamente ha de renunciar a suministrar fuera de él

- Un grupo de aficionados sin ningún tipo de apoyo financiero real

- Una institución sensible que sólo crea prototipos ad hoc con ayuda de universidades y voluntariosos técnicos y científicos

Las perspectivas de negocio para cada uno de estos grupos son muy diferentes, y en cualquier caso, corren paralelas al desarrollo de mercados de información. Como destacamos precisamente al principio de este artículo, la Criptología es la clave de las claves de estos nuevos mercados, y las editoriales, multimedia, medios de comunicación y, ¿por qué no?, una política industrial conocida y sostenida para rentabilizar los esfuerzos e inversiones posicionarían industrialmente a un país como España, encrucijada de varias culturas, lenguas y grupos de intereses internacionales, en los que ni se puede ni se debe renunciar a ningún tipo de ventaja tecnológica.

Finalmente, intentaremos modelizar teóricamente esta misma política industrial, y para ello nada mejor que uno de los teoremas más representativos de la Teoría de Sistemas. Según Poincaré, la mejor decisión que se puede tomar en un momento dado, con el fin de orientar un sistema fuera de control, es la que ignora por completo su trayectoria anterior. Pero también sabemos que los pueblos que ignoran su Historia están inexorablemente condenados a repetirla.

con E-mail: miguel@cita.es