Pongámonos por un momento en la piel de Julio César, el gran líder de la antigua Roma, e imaginemos que tenemos que enviar mensajes secretos a través de territorios enemigos y asegurarnos de que su contenido no caiga en las manos equivocadas.
Vivimos en una época de complots y traiciones, y antes de confiar secretos a un mensajero del que no sabemos si fiarnos, debemos asegurarnos de que nuestros mensajes solo los pueda descifrar el destinatario.
Volvamos a la actualidad.
Estamos enviando un mensaje a una persona utilizando un mensajero típico de la era digital, el correo electrónico. La herramienta nos permite llegar a un destinatario, esté donde esté, atravesando territorios ilimitados, aunque sean virtuales. No obstante, también están poblados por sujetos malintencionados interesados en el contenido que enviamos.
¿Qué tienen en común estas dos situaciones, separadas por milenios de historia? La criptografía.
La criptografía es el arte y la ciencia de transformar la información en un formato que solo puedan entender quienes tengan una clave especial. Este proceso protege la información de miradas indiscretas y, cuando es necesario, puede invertirse para que la información vuelva a ser legible. El principio subyacente es sencillo: solo quien tenga la clave correcta puede descifrar el mensaje.
El cifrado, por otra parte, es el proceso de convertir un texto legible, llamado «texto plano», en un texto cifrado. Para cifrar un texto se utiliza un algoritmo, un conjunto de reglas y procedimientos matemáticos. Además, se utiliza una clave, que garantiza que el texto cifrado sea inaccesible para quienes no tengan la clave correcta para descifrarlo.
Por consiguiente, en la era digital, el cifrado resulta esencial para mantener la privacidad y la seguridad de las comunicaciones y transacciones online.
Sin embargo, cuando los expertos del mundo de la seguridad informática hablan de ella, suelen utilizar un lenguaje tan técnico que el tema resulta incomprensible para la mayoría de la gente. En cierto modo, también adoptan una «clave» de interpretación, accesible sólo a los del sector. Para quienes, como nosotros en Cyber Guru Italia, abordan la ciberseguridad con un enfoque de divulgación, es esencial hacer que la criptografía sea comprensible para todos. Comencemos con la narración de la historia
La historia de la criptografía
- Uno de los primeros ejemplos históricos del uso de la criptografía para garantizar la confidencialidad en las comunicaciones militares se remonta a los escitas espartanos del siglo V a. C.
Se trataba de tiras de cuero o papel enrolladas alrededor de un palo de un diámetro determinado. El mensaje estaba escrito en columnas y, una vez desenrollada la tira, el texto resultaba incomprensible. Solo quienes poseían una varita del diámetro adecuado podían descifrar el mensaje. La varita, por tanto, hacía las veces de «llave». Fue un sistema empleado por los éforos, los cinco magistrados supremos de Esparta, para comunicarse con los generales y los navarcas, especialmente durante las expediciones militares. - Llegamos a Julio César y su cifrado, que data de los años 50 antes de Cristo.
En el cifrado por sustitución, cada letra del texto original se desplazaba un determinado número de posiciones en el alfabeto. En la práctica, se trataba de una rotación alfabética, en este caso de tres posiciones: la letra «A» se convertía en «D», la «B» se convertía en «E», y así sucesivamente. El alfabeto latino de la época tenía 23 letras, así que considerando esta rotación, la letra «X» era la «A», la «Y» era la «B» y la «Z» se convirtió en la «C».
El cifrado de César recuerda al algoritmo ROT13, utilizado en el mundo informático para disfrazar ciertos textos, en el que el alfabeto se gira 13 posiciones.
Un mecanismo ingenioso para la época. Sin embargo, en el contexto moderno, se consideraría débil porque se puede descifrar con extrema facilidad.
La aplicación de la criptografía creció durante la Edad Media y continuó hasta la era moderna, antes de evolucionar a la forma digital contemporánea.
Entre todos los dispositivos criptográficos, la máquina Enigma merece una mención especial.
Concebida con fines comerciales por el ingeniero alemán Arthur Scherbius, Enigma fue adoptada posteriormente con fines militares por la Alemania nazi. Esta máquina utilizaba una serie de rotores que cambiaban de configuración cada vez que se pulsaba una tecla, lo que hacía que la descodificación fuera extremadamente compleja.
Dada su importancia estratégica, los Aliados se esforzaron por descifrar su código. Los primeros avances significativos los hicieron los polacos. . Posteriormente, el Reino Unido tomó la iniciativa en la operación, para lo que movilizó a algunas de las mentes más brillantes, como el matemático Alan Turing, quien, junto con su equipo, ideó la «Bomba», un dispositivo electromecánico diseñado para descifrar los códigos Enigma. El desciframiento proporcionó a los Aliados información esencial sobre las estrategias y movimientos alemanes. Esta ventaja informativa resultó crucial en numerosas operaciones, desde la Batalla del Atlántico contra los submarinos U-Boot hasta la planificación del Día D.
Numerosos historiadores creen que fue el desciframiento de Enigma lo que determinó el curso de la guerra. Los alemanes, convencidos de su inexpugnabilidad, habían subestimado la fuerza del factor humano: la brillantez de personas como Rejewski y Turing resultó decisiva en el enfrentamiento contra la máquina, a pesar de su gran complejidad.
La criptografía en la era digital
La criptografía ha adquirido una importancia vital en la era digital para garantizar la confidencialidad de la información. Por medio de los dispositivos digitales, nos comunicamos constantemente con personas que también están lejos de nosotros.
Durante este viaje a través de las extensas redes digitales, nuestros mensajes podrían ser interceptados por actores malintencionados, deseosos de apropiarse de información, especialmente la más confidencial. Incluso un correo electrónico que envíes a un compañero sentado a tu lado puede tardar mucho en llegar a su destino y exponerse a posibles escuchas. Se trata de una amenaza digital conocida como «Man In The Middle», es decir, un individuo que se interpone entre el remitente y el destinatario con la intención de «escuchar» sus comunicaciones.
Para mitigar esta amenaza, se recurre a la criptografía. Por ejemplo, un mensaje enviado a través de WhatsApp, Telegram o Signal está encriptado. Aunque lo interceptara un atacante, aparecería como un conjunto de caracteres incomprensibles.
Incluso los códigos de acceso a una cuenta bancaria se mueven por la red de forma encriptada. La confirmación viene dada por el prefijo https://, que precede a la dirección web del servidor del banco e indica que las comunicaciones entre nuestro dispositivo y ese servidor están encriptadas.
Si, por el contrario, viéramos el prefijo http:// (sin la «s»), el propio navegador nos advertiría de los posibles riesgos. La presencia de un candado en el navegador es otra señal que indica una comunicación cifrada. Cuando realizamos una compra online, nuestra información de pago está encriptada y, por tanto, protegida de interceptaciones no deseadas. Y no solo eso: los chats secretos, las videollamadas y muchas otras actividades online cuentan con esta protección invisible.
Cifrado digital: algunas palabras clave
Algoritmos: son un elemento clave de la criptografía y funcionan como recetas precisas para convertir un mensaje en una secuencia aparentemente incomprensible de caracteres. Pero la magia de estos algoritmos reside en las «claves».
Una clave es un conjunto distintivo de información que establece cómo se debe cifrar y descifrar un mensaje.
Cifrado simétrico: cuando se utiliza una única clave tanto para cifrar el mensaje original como para descifrarlo. Se trata de un método eficiente, pero plantea una pregunta: ¿cómo puede el remitente compartir de forma segura con el destinatario la clave necesaria para descifrar el mensaje sin el riesgo de interceptaciones?
La respuesta reside en la criptografía asimétrica. Cada individuo tiene un par de claves: una pública, que se comparte libremente, y una privada, que se mantiene en secreto. Si alguien quisiera enviarte un mensaje, lo cifraría usando tu clave pública. No obstante, para descifrarlo, se necesitaría la clave privada.
Autenticidad e integridad. Las firmas digitales garantizan que un mensaje procede realmente del remitente declarado y que no ha sido alterado durante el transporte. Es un sistema que funciona como el sello de lacre de una carta antigua, que indica que la misiva no ha sido manipulada.
Este proceso, gestionado por las tecnologías, se lleva a cabo de forma transparente con respecto al usuario. Sin embargo, el factor humano sigue siendo decisivo para no comprometer la seguridad que ofrece la encriptación digital.
Sugerencias
A continuación, hemos resumido algunos consejos prácticos para los usuarios digitales:
Ten cuidado con el prefijo https: cuando visites un sitio web, especialmente si planeas introducir datos personales o financieros, verifica que la URL comience con «https://» y no simplemente «http://». La «s» indica «seguridad» y demuestra que el sitio utiliza el protocolo SSL/TLS para cifrar la información en tránsito. Los navegadores implementan simbologías y mensajes de alerta para enfatizar este aspecto particular de seguridad, por lo que no debes ignorar las alertas.
Utiliza aplicaciones de mensajería cifrada: Aplicaciones como Signal, WhatsApp y Telegram ofrecen cifrado de extremo a extremo. Esto garantiza que solo tú y el destinatario de tu mensaje podáis ver el contenido de los mensajes intercambiados, con lo que se protegen las conversaciones de posibles interceptaciones.
Protege tus archivos: si conservas archivos sensibles en tu dispositivo, considera cifrarlos. Muchos sistemas operativos incluyen funciones de cifrado, como BitLocker en Windows o FileVault en macOS.
Copias de seguridad cifradas: cuando crees copias de seguridad de tus datos, especialmente en la nube, asegúrate de que estén cifrados. Algunos servicios de copia de seguridad y almacenamiento en la nube cifran la información automáticamente, pero tú compruébalo siempre.
Elige contraseñas fuertes: la eficacia del cifrado a menudo depende de una contraseña robusta. Utiliza una combinación de letras (mayúsculas y minúsculas), números y símbolos. Considera el uso de un gestor de contraseñas («password manager»), útil para generar y almacenar contraseñas complejas.
Cifra tu dispositivo: muchos dispositivos móviles, como teléfonos y tabletas, permiten cifrar todo el dispositivo. Esto complica el acceso a los datos en ausencia de la contraseña o el PIN correctos.
Actualiza los dispositivos: el cifrado es un campo en rápida evolución. Mantener el software y los dispositivos actualizados garantiza que te beneficies de la última protección disponible.
Cuidado con los correos electrónicos: Por defecto, es posible que los correos electrónicos no estén cifrados.
Si tienes que enviar datos sensibles por correo electrónico, toma estas precauciones:
- Utiliza herramientas o plug-ins que ofrezcan cifrado.
- Si la información está en un archivo, cifra el propio archivo y comunica la contraseña al destinatario a través de un canal alternativo.
- Para compartir archivos que contengan información confidencial, considera soluciones de almacenamiento que ofrezcan un uso compartido cifrado, como Dropbox, MS OneDrive o Google Drive, y evita el uso del correo electrónico para este fin.
El viaje de la criptografía continúa…
Hasta ahora, las recomendaciones proporcionadas forman parte de las directrices generales de quienes trabajan en el campo de la ciberseguridad. Pero ¿existen enfoques alternativos y más eficaces?
Será el tema del próximo artículo
Mientras tanto, una pregunta: ¿has oído hablar del «cuaderno de contraseñas»?
Intenta buscar en Amazon este término y te sorprenderás con los resultados.
