La criptografía es la disciplina que se encarga de que el intercambio de información y de datos se produzca de forma segura. Se centra en el desarrollo de sistemas basados en algoritmos que aumentan su complejidad a medida que la tecnología avanza.
La criptografía ha sido una herramienta muy útil desde que los Estados existen. Coordinar la estrategia militar de las civilizaciones clásicas ya exigía contar con sistemas que proporcionaran confidencialidad. La capacidad de poder enviar información a los ejércitos o a los aliados que no se pudiera interceptar por los enemigos podía suponer la diferencia entre la victoria o la derrota. “Ejemplos de ello son la escítala espartana, el algoritmo Atbash que aparece en la Biblia o el código César que, según el historiador Suetonio, utilizó Julio César en sus campañas militares”, ilustra Víctor Gayoso, investigador del Instituto de Tecnologías Físicas y de la Información Leonardo Torres Quevedo (ITEFI) del Centro Superior de Investigaciones Científicas (CSIC) y profesor del centro universitario U-tad.
Sin embargo, estos algoritmos eran utilizados por un número de personas muy limitado. “No fue hasta la automatización de las operaciones bancarias y el auge de internet y de la telefonía móvil que la criptografía empezó a utilizarse por la inmensa mayoría de las personas. Aunque ni siquiera se den cuenta”, apunta el investigador. Cada vez que se realiza una compra ‘online’, una llamada con el teléfono móvil o se usa una red ‘wifi’ doméstica se emplean métodos criptográficos. Sin ellos, el uso de estas tecnologías tal como las conocemos en la actualidad sería imposible.
Desde Enigma hasta internet
El primer punto de inflexión en el desarrollo de los sistemas criptográficos se produjo durante la Segunda Guerra Mundial, con el uso por parte del ejército nazi de la máquina de cifrado Enigma. Un sistema que más adelante lograrían descifrar investigadores polacos y británicos y que contribuyó a la victoria aliada al permitir interceptar las comunicaciones de los países del Eje. “Alrededor de estos esfuerzos por modelar y formalizar la criptografía nacen la teoría de computación de Alan Turing y la teoría de la información de Claude Shannon, que han sido la base de la revolución postindustrial”, afirma Luis Saiz, responsable de innovación en seguridad de BBVA.
El siguiente momento relevante se produce en los años 70. Década en la que IBM desarrolla el sistema de clave simétrica Lucifer, que establece las bases para una construcción de algoritmos que puedan ejecutarse eficientemente en los ordenadores. Durante esos mismos años, el National Institute of Standards and Technology (NIST) estandariza DES (Data Encryption Standard) como algoritmo de cifrado comercial. Su primer uso se dio en el sistema de tarjetas de crédito para asegurar las transacciones de pago.
En esa misma época se diseña la criptografía de clave pública o asimétrica que fue transcendental para dar paso a la siguiente revolución: internet. “A diferencia de los algoritmos existentes hasta ese momento, utilizaba una clave para cifrar y otra distinta (aunque matemáticamente relacionada con la primera) para descifrar”, describe Gayoso. Para poder ofrecer la confidencialidad que requería el uso masivo de internet, la compañía Netscape introdujo el protocolo SSL, que usaba criptografía de clave pública (RSA). De esta forma es posible cifrar las comunicaciones entre un navegador y un servidor cualquiera. Siempre y cuando el propietario del servidor haya gestionado un certificado pero sin que el cliente tenga que hacer nada. “Ahora cualquier transacción por internet está protegida por criptografía. E incluso los móviles tienen un módulo criptográfico que en los 70 solo los gobiernos y los bancos podían tener”, apunta Luis Saiz.
“Un fallo en la autenticidad e integridad de la información puede tener consecuencias mucho más graves económica y socialmente””, apunta Luis Saiz.
Privacidad y seguridad
En una sociedad cada vez más digital, los sistemas criptográficos son fundamentales para mantener los datos seguros y preservar su privacidad. BBVA lleva tiempo investigando la aplicación de estas tecnologías. En concreto las PET, por sus siglas ‘Privacy-Enhancing Technologies’ (o técnicas de mejora de la privacidad), y la ‘Prueba de Conocimiento Nulo’, o ZKP, en el sector financiero. Y ya ha identificado distintos escenarios en los que presenta grandes ventajas. Como parte de este trabajo, a mediados de 2020, el área de Investigación y Patentes estableció una alianza con el el Instituto IMDEA Software para colaborar en el desarrollo de técnicas de criptografía avanzada.
Hoy en día estos sistemas están inmersos en la práctica totalidad de las transacciones económicas que se realizan. Esto incluye desde las compras con tarjetas hasta los pagos internacionales entre bancos y empresas (SWIFT), o las grandes operaciones en los mercados financieros. También en el uso diario de los móviles cuando hablamos por teléfono, accedemos al correo electrónico o a una aplicación. Incluso cuando abrimos la puerta del garaje o del coche; o cuando presentamos los impuestos de manera telemática.
“Un fallo en la privacidad puede derivar en muchos inconvenientes y problemas para ciudadanos, empresas y Estados, pero un fallo en la autenticidad e integridad de la información puede tener consecuencias mucho más graves económica y socialmente”, recalca Luis Saiz. El responsable de innovación en seguridad de BBVA plantea que reflexionemos sobre qué es más útil para un ejército: ¿conocer los planes del enemigo o poder modificarlos cuando se transmitan a su campo de batalla? Si esa reflexión la trasladamos a un acto más cotidiano, como una compra con tarjeta, entendemos que no solo hay que proteger la confidencialidad de quién, dónde, cuándo y por qué importe se realiza una adquisición: también hay que asegurar que solo pueda efectuarla el titular de la cuenta.
“La buena noticia es que, a pesar de su ubicuidad, a efectos prácticos el cifrado no suele ser el vector de ataque principal. Primero, porque no es la única protección que tienen los sistemas y para poder explotarlos muchas veces se necesitan otros recursos. Y segundo, porque desgraciadamente hay otros fallos más frecuentes y sencillos de explotar”, señala Saiz.
Creciente capacidad de cálculo
La seguridad que ofrecen los algoritmos actuales se basa en la dificultad que tienen los sistemas informáticos para averiguar las claves en un tiempo que, teóricamente, puede ser de miles o millones de años. El problema es que la tecnología avanza y ya se vislumbra que su capacidad de cálculo aumentará de manera significativa gracias a la computación cuántica. “Cuando estos nuevos ordenadores estén disponibles en una escala mayor, todos los algoritmos criptográficos actuales podrán ser rotos de manera más eficiente. Algunos estarán completamente rotos y otros tendrán que duplicar las longitudes de las claves que usamos actualmente”, advierte el experto de innovación en seguridad de BBVA.
Un aspecto en el que coincide Víctor Gayoso, quien considera que desde hace diez años se está produciendo un cambio significativo en los sistemas de encriptación precisamente por los avances en la capacidad de cálculo de las máquinas: “En una tendencia imparable. Han surgido multitud de diseños (algunos muy novedosos) que permiten garantizar que, incluso cuando los ordenadores cuánticos de la potencia adecuada estén disponibles, las funciones criptográficas que usemos en ese momento no puedan romperse”.
El NIST, que en los últimos 20 años ha realizado distintos procesos públicos de selección de algoritmos para cifrado simétrico (AES) y funciones resumen (las familias SHA-2 y SHA-3), ya está gestionando el proceso de selección de funciones de cifrado, acuerdo de clave y firma digital pos-cuánticos, esto es, que sean resistentes frente al uso de futuros ordenadores cuánticos. “En cuanto se establezca cuál es el mejor sistema nos quedará la ardua tarea de sustituir los algoritmos actuales por los nuevos o, para algunos tipos, duplicar la longitud de las claves”, concluye Luis Saiz.