Inventar métodos más seguros para enviar información cifrada es la principal tarea de Luis Hernández Encinas. Aunque su trabajo recuerde al de los espías de películas y novelas del género, las apariencias engañan. Este matemático, que dirige el departamento de Tratamiento de la Información y Criptografía del Instituto de Tecnologías Físicas y de la Información 'Leonardo Torres Quevedo' (CSIC), habla sobre ciberseguridad, escándalos por el espionaje y divulgación en esta entrevista.
Es experto en criptografía, concretamente en generación de números pseudoaleatorios, criptografía de clave pública, criptosistemas basados en curvas elípticas, firmas electrónicas… ¿Cómo se traduce esto al lenguaje cotidiano?
Me dedico a todo lo que tiene que ver con los procesos de cifrar información, es decir, ocultarla para que solo el destinatario autorizado a recibirla sea capaz de recuperarla. Por ejemplo, si queremos enviar un documento cuyo contenido debe ser confidencial, lo que hacemos es modificarlo con algoritmos matemáticos y con una clave. Después se lo enviamos al destinatario y este, conociendo la clave adecuada, accederá a la información del mensaje original. Pero siempre habrá que asumir que el envío no es seguro porque alguien a mitad del camino puede lograr acceder al documento modificado. Hay que conseguir que al menos no sea capaz de descifrarlo.
¿Para qué se utilizan estos procedimientos?
Son utilizados por todos aquellos ciudadanos que quieren que la información que envíen sea confidencial. También por el mundo empresarial –cuando se intercambia información sobre planes de negocio–, por bancos y en todo lo que son las relaciones con la administración pública electrónica. Por ejemplo, para obtener tu padrón municipal tendrás que identificarte. Para ello tiene que haber un protocolo criptográfico que asergure que tú eres quien dices ser.
¿Qué conocimientos teóricos tenéis los investigadores que os dedicáis a la criptografía?
La criptografía cae dentro de varios campos: matemáticas, física, telecomunicaciones, informática… Todo lo que tiene que ver con las ciencias de la computación. Pero una parte muy importante, la relativa a los algoritmos, son matemáticas.
¿Qué medidas de seguridad deben adoptar los ciudadanos para enviar e-mails o hacer compras por internet?
Las medidas a adoptar dependen de cada situación. Habitualmente el ciudadano de a pie no necesita ninguna, porque ya se las proporcionan su banco o su administración. De la misma manera que todo el mundo sabe que no debe dejar la tarjeta de crédito y facilitar su pin a cualquiera, en internet pasa exactamente lo mismo, con el inconveniente añadido de que es un espacio anónimo: no sabes si hay alguien en la red que intenta atacarte, es decir, que busca obtener alguna información tuya para sacarle algún beneficio. Si caes en un ataque de phising y das tus contraseñas estás cometiendo, por descuido o desconocimiento, un error cuyas consecuencias probablemente sean desastrosas. En la red se deben aplicar los mismos protocolos de seguridad que se usan fuera de ella o incluso más. Hay que ser un poco más desconfiado porque no sabes quién puede estar al otro lado del ordenador. La recomendación sería: no hagas en internet lo que no harías en persona.
¿Cree que en nuestra sociedad falta cultura criptográfica?
En España carecemos de cultura científica en general. Ese es un problema endémico. Y en el caso de la criptografía también es evidente. Cuando se mete un virus en nuestro ordenador al usar el correo electrónico o visitar una web, y no porque se nos haya atacado directamente, sencillamente hemos cometido un error accediendo a una página a la que no debíamos, o facilitando nuestro e-mail a quien no debíamos. Hay que ser prudente al aceptar información que venga de otro sitio. La norma siempre es más o menos la misma: las contraseñas en internet solo se teclean si sabes realmente dónde estás y dónde quieres ir. Si no, puedes perder información, te la pueden robar, pueden acceder a tus cuentas bancarias, suplantarte...
¿Qué opina sobre el revuelo causado por las revelaciones de Snowden sobre el espionaje masivo de la Agencia de Seguridad Nacional (NSA) de EE UU?
El problema es siempre el dinero. Quien tiene información, tiene poder. El espionaje de la NSA, o de otras agencias de seguridad, a políticos y empresarios de diferentes países es algo que se ha hecho toda la vida. Lo que sucede es que uno se cree que un amigo-aliado no te va a espiar, pero lo hará siempre que pueda para obtener información, con independencia de que luego la utilice o no. Todos los gobiernos intentan recabar de los demás cuanta información puedan, aunque sean aliados.
Así que no le ha sorprendido el escándalo…
No. Hay ejemplos paradigmáticos como el del telegrama Zimmerman, durante la I Guerra Mundial, que evidenció cómo los ingleses y americanos no se contaban los unos a los otros todo lo que sabían acerca del enemigo. Hoy se supone que como estamos en un mundo globalizado, los que somos amigos lo somos mucho más y los enemigos también son más enemigos de todos. Por eso el espionaje de la NSA ha sorprendido más. El asunto de Snowden es distinto. Se trata de una persona que, al divulgar esa información, ha incumplido un contrato previo de confidencialidad. No voy a defenderlo ni a atacarlo. Él tiene sus criterios, ha considerado que ciertas prácticas iban en contra de sus principios y ha decidido sacarlas a la luz. Ese es el escándalo. Tampoco hay que sorprenderse.
Hoy existen técnicas de seguridad de la información más sofisticadas que nunca, pero también somos más vulnerables al espionaje…
Claro. La ciencia y la tecnología avanzan permitiendo mejoras en la calidad de vida, en las infraestructuras, etc. Pero eso lleva aparejada la necesidad de un uso responsable de esa tecnología. Si no, habrá problemas y contradicciones. Quien tiene la información siempre puede hacer un buen o mal uso de ella.
En España el pasado 5 de diciembre se aprobó la Estrategia de Ciberseguridad Nacional. ¿Cuáles son las principales ciberamenazas?
Tradicionalmente la seguridad y defensa de un estado era por tierra, mar y aire. Hace unos años se añadió un nuevo aspecto, el espacio, y últimamente se ha incorporado una quinta rama, que es el ciberespacio, es decir, la ciberdefensa. La nueva Estrategia de Ciberseguridad Nacional tratará de evitar o minimizar los ataques a la ciberseguridad. Hoy una de las debilidades de cualquier estado son los ataques de los hackers, especialistas en introducirse en las redes de cada país o de las empresas que no estén protegidas, para acceder a determinada información o robarla.
¿Cuál es el mayor riesgo?
Que logren entrar en los sistemas de las infraestructuras críticas (gas, electricidad, centrales nucleares, agua…) y puedan paralizar un país poniendo patas arriba estos pilares esenciales. La nueva Estrategia incluye los métodos a seguir ante estos ataques. En todos los países existen los Computer Emergency Response Team (CERT, por sus siglas en inglés), organismos responsables de controlar y vigilar qué trafico se está produciendo en las redes. En cuanto un aliado europeo detecta un movimiento extraño, inmediatamente se lo comunica a los demás para ponerlos en alerta y que adopten las medidas oportunas. Con los ataques a la ciberseguridad ha surgido una nueva guerra.
¿Ha habido un cambio de paradigma en las políticas de seguridad, frente a otras épocas en las que cada estado se responsabilizaba de su defensa?
Claro. Había fronteras y por tanto tú defendías esas fronteras físicamente. Ahora los ataques virtuales no tienen en cuenta las fronteras porque no existen.
En parte se han diluido esas fronteras por el impacto de las TIC y la globalización, y las nuevas amenazas han obligado a diseñar una seguridad más cooperativa.
Exactamente. No puede ser de otra manera. La mayoría de los países tienen acuerdos en materia de seguridad que funcionan porque cada vez que uno detecta un tráfico anormal en las redes, se lo comunica a los demás para que pongan en funcionamiento sus recursos de inteligencia, informáticos, de ciberdefensa, etc. Por eso decía que la quinta rama de los ejércitos se sale de lo tradicional, es algo virtual basado en todo tipo de redes de comunicaciones que, como dices, han cambiado el paradigma de la seguridad. Eso es lo que ha enfadado del espionaje de EEUU. Los gobiernos espiados están pensando: “Si estamos todos colaborando y compartiendo información, no me hagas esta faena”. Pero, repito, la mayoría de los países lo ha hecho siempre.
Digamos que simplemente EE UU tiene más capacidad para hacerlo.
Más capacidad y además una ventaja. Habitualmente los estándares de seguridad están influidos o promovidos por el gobierno de EE UU. Las organizaciones de estandarización suelen fiarse de las grandes agencias de seguridad, en este caso de la NSA. Eso tiene el inconveniente de que la NSA puede conocer alguna ‘puerta trasera’ para descifrar información sin que seas consciente de ello. Si estás utilizando un sistema y alguien sabe cómo vulnerarlo, estás vendido. Eso se ha comentado muchas veces respecto a la NSA, pero nunca se demostró. Con los informes de Snowden se han puesto en duda algunas de las primitivas criptográficas y protocolos de seguridad que estaban recomendados por la NSA. Concretamente un generador de números pseudoaleatorios que, según Snowden, la NSA sabe cómo vulnerar. De momento, por si acaso, se ha dejado de utilizar.
¿Hasta qué punto considera importante acercar el conocimiento científico y tecnológico a la sociedad?
Es importante que se sepa lo que hacemos y la importancia que tiene. La ciencia va a producir beneficios a largo plazo y no tiene por qué ser aplicada directamente aunque haya áreas como la criptografía que sí lo son. La sociedad es quien nos paga y debe saber qué estamos haciendo. También es importante que seamos más críticos y capaces de pensar por nosotros mismos. Tener más cultura científica contribuye a ello.
Entre un ciudadano ignorante desde el punto de vista científico y otro con unos conocimientos razonables, ¿cree que esa diferencia cultural repercute en su vida diaria?
No digo que conocer más sobre ciencia te vaya a hacer más feliz o ganar más dinero. Aunque, llevado al extremo, es verdad que quien sabe un poquito de matemáticas puede elegir mejor qué oferta le conviene más en el supermercado, por ejemplo. Pero además creo que con más conocimiento, uno disfruta más de las cosas. Igual que si reconoces el arte gótico o románico puedes apreciar y disfrutar sus diferencias viendo una catedral, con la ciencia sucede lo mismo. ¿Cómo me afecta a mí el descubrimiento del bosón de Higgs? ¿Qué repercusiones tiene en mi vida diaria? Ninguna, pero nadie sabe si dentro de 20 años las tendrá. Simplemente pensar acerca de las cosas es importante y sobre todo te da una especie de independencia de lo que te rodea. Cuando mis hijos me dicen lo difíciles que son las matemáticas, yo les contesto que sí, pero también les digo lo gratificante que es resolver un problema. Eso no se puede pagar con dinero y ocurre en cualquier rama del conocimiento. Al final es lo que le empuja a uno a seguir aprendiendo.
¿Por qué no se divulga más en España? ¿Que dficultades hay?
En primer lugar, no es fácil bajar al nivel del ciudadano de a pie cuando habitualmente manejas fórmulas y algoritmos. Por otro lado, la divulgación no ha sido muy reconocida ni potenciada en España. Luego están los medios de comunicación. Si en lugar de ofrecer reality shows hubiese programas de divulgación amenos y sobre temas interesantes, creo que se demandarían. Hay periodistas que sí hacen divulgación científica, pero necesitan el asesoramiento del experto que sabe del tema porque si no es muy costoso dar esa información y darla bien.
¿Y cuál es el papel de los científicos en este ámbito?
Los científicos, además de la labor de investigar, tenemos también que tender puentes con la sociedad y poner a su servicio lo que estamos haciendo. Si aquí desarrollamos un sistema que permite identificar a un menor con un DNI electrónico para usar una red social, lo tenemos que contar, porque eso, aunque pueda ser por sí mismo interesante, puede además ayudar a evitar abusos contra los menores en la red. El problema es que no tenemos una infraestructura como para que eso se pueda contar en cualquier sitio. Estamos muy necesitados de divulgación científica. Tenemos que saber transmitir las maravillas de la ciencia.
¿Es complicado compaginar la actividad investigadora con la vida familiar?
A nivel personal me resulta muy sencillo porque disfruto con lo que hago. En cuanto a la vida familiar, mis hijos ya son mayores y además siempre he tenido mucho apoyo de mi familia. En todo caso, no creo que sea más complicado que en otras profesiones.