Protocolos de ciberseguridade e criptografía

Entrevista con Ana Isabel Gómez

A ciberseguridade é un campo que crece en importancia coa dixitalización progresiva da nosa realidade. Os protocolos de seguridade que rexen as nosas redes e conexións actuais baséanse en servizos de claves ou de criptografías que teñen que adaptarse a un mundo cada vez máis conectado e con máis posibles vulnerabilidades. No caso do sector enerxético, ao ter un compoñente de seguridade estratéxico e vital para o funcionamento dos nosos países, existen entidades nacionais e supranacionais que velan pola emisión de certificados e estándares que nos axudan a discernir as vulnerabilidades do sistema.

Dentro da análise dos retos enerxéticos actuais, imos abordar o tema da ciberseguridade, e os protocolos de seguridade e criptografía. E para iso contamos coa Doctora Ana Isabel Gómez Pérez, actualmente profesora da URJC de Madrid. Ana axudaranos a entender cal é a realidade actual destes protocolos e como se afrontarán as posibles vulnerabilidades no futuro.

Grazas por colaborar connosco Ana, e ofrecernos o teu tempo para poder compartir os teus coñecementos cos nosos lectores. Para comezar, queremos saber un pouco máis sobre ti. Poderías contarnos un pouco sobre a túa traxectoria profesional e como te especializaches en protocolos de seguridade e criptografía?

-Resposta: Como investigadora iniciei a miña traxectoria en proxectos de investigación sobre as propiedades na capa física das comunicacións inalámbricas, aínda que previamente desenvolvera a miña carreira profesional como enxeñeira en sistemas informáticos e redes. Isto levoume ao estudo da seguridade informática e criptografía, primeiro de forma autodidacta e posteriormente no marco da realización dun doutoramento no que se iniciou o meu interese pola aplicación á seguridade a través de diversas colaboracións científicas.

En particular existen diversas técnicas que permiten que a detección de comunicacións sexa máis difícil para usuarios que non coñecen un código en particular, á vez que se mantén a eficiencia para usuarios lexítimos. Pola súa natureza, as comunicacións inalámbricas requiren de máis medidas para garantir a seguridade, polo que se combinan con protocolos baseados en criptografía que permiten asegurar que a nosa información non é revelada ou alterada, nos que as matemáticas nos dan garantías de seguridade na comunicación. Todos estes protocolos apóianse na xeración de segredos, en moitas ocasións números que sexan indistinguibles dun número ao azar para unha terceira parte.

Entrando no tema para tratar, gustaríanos entender o nivel de complexidade da implantación dos protocolos de seguridade na realidade na que vivimos. Cal consideras que é o maior desafío na implementación de protocolos de seguridade nas empresas e gobernos hoxe en día?

-Resposta: O maior desafío é que require un esforzo coordinado entre todos os actores involucrados no avance da técnica e o coñecemento no campo da seguridade para a súa transferencia e aplicación en situacións reais. Por unha banda, coa promesa dos computadores cuánticos, o tipo de problemas matemáticos nos que se basean os protocolos que usamos no día a día xa non ofrecen as mesmas garantías de forma teórica. Isto involucra a aplicacións como a firma dixital ou as comunicacións cifradas na web, por exemplo, o protocolo https. Por isto, organismos como o National Institute of Security Technologies (NIST) promoveron novas propostas que pola súa complexidade desafían este tipo de computación. Estas novas propostas son máis complexas de entender, xa que rompen coas técnicas anteriores, polo que a súa implementación supón un desafío. Doutra banda, outro dos desafíos pendentes é a natureza descentralizada do acceso á información, na que se require dispoñibilidade, pero tamén propiedades de seguridade como a confidencialidade ou a integridade dos datos. Necesitamos que a información estea dispoñible en calquera momento, entre moitos usuarios e desde diversos dispositivos como «smartphones» ou diversos dispositivos como podemos atopar na internet of Things. Isto expón a necesidade de mecanismos que sexan transparentes e fácil de usar aos usuarios, á vez que manteñen unhas garantías de seguridade.

Sabemos que a criptografía é a ferramenta esencial de información para garantir a seguridade nos sistemas informáticos. Que importancia terá a criptografía na protección de datos sensibles no futuro e como evolucionou o seu uso nos últimos anos?

-Resposta: A criptografía foi e será fundamental na seguridade da información. Desde os primeiros traballos de clave pública, que datan do 1976 e que son a base de todos os sistemas de firma dixital, houbo unha revolución. Propuxéronse multitude de protocolos, moitos que seguen sendo utilizados con mínimos retoques. Doutra banda, os avances en computación e tecnoloxías da información xeraron novas necesidades, dende a computación sobre datos cifrados, o desenvolvemento da identidade dixital segura e o mantemento dun rexistro distribuído como no «blockchain», entre outras aplicacións. É de prever que co desenvolvemento de redes cada vez máis heteroxéneas en dispositivos e aplicacións esta tendencia se manteña coa construción de novos protocolos baseados en ferramentas criptográficas.

Os protocolos de seguridade a seguir e que se están implementando actualmente, relacionan datos bidireccionais e codifican esa información ás redes de control asociadas ao ter SCADAs a maioría das instalacións de xeración enerxética.

Poderías describir un protocolo de seguridade eficaz para protexer as redes SCADA utilizadas na xestión destas instalacións?

-Resposta: Para aqueles que non saiban que son as redes SCADA, responden o acrónimo de «Supervisory Control and Data Acquisition». Forman parte do que se denominou operational technologies (OT) que son resultado de aplicar as tecnoloxías de información a sistemas físicos previamente illados en redes de ámbito industrial. No caso das redes enerxéticas, permiten tanto colleitar datos xeograficamente dispersos de varias localizacións, así como enviar ordes de control. Grazas ás tecnoloxías da información é posible que un operador monitorice un sistema completo dende unha localización central case en tempo real. Esta transmisión de datos, que pode en parte transcorrer sobre redes de terceiros como a través de Internet, xunto á criticidade deste tipo de servizos fundamentais provocou a publicación de guías de seguridade específicas como, por exemplo, ISA 95 ou NIST SP 800-82r3. Centrareime nesta última para remarcar a importancia de implementar un marco global a nivel da organización en materia de ciberseguridade que inclúa xestión de riscos, formación en seguridade dos empregados, …

Varios mecanismos de seguridade deben ser combinados, permitindo unha defensa en capas nos diferentes niveis que presentan este tipo de redes. Gustaríame comentar algúns particulares, aínda que a lista é extensa. A rede SCADA ten que ser protexida mediante arquitecturas de confianza cero e sistemas de monitorización e detección de intrusións, que tamén permiten gardar un rexistro da actividade na rede. O uso de mecanismos a nivel de hardware e software inclúe o uso de produtos certificados e implantación de políticas de actualización entre outros. A criptografía dános as técnicas que nos permitirá protexer os nosos datos, usando cifrado previamente para a súa transmisión sobre redes e gardado ou técnicas de firma dixital para evitar modificación maliciosa, pero recae en cada organización a súa elección cos seus pros e contras. Calquera protocolo criptográfico introduce uns custos computacionais que poden facer máis lentos os procesos, polo que as organizacións teñen que adaptalo ás súas necesidades. O propio NIST mantén no seu portal unha lista coas recomendacións de principais estándares.

Sabendo que a palabra “cuántica” foi tendencia nos últimos anos e parecer ser unha posible revolución en moitos sectores, e en concreto aplicado á informática, Como ves o futuro da criptografía coa chegada de tecnoloxías emerxentes como a computación cuántica? E sobre todo, cando chegará?

-Resposta: Estamos inmersos en varios concursos de estandarización por parte do NIST, no que se están avaliando novos protocolos que sexan robustos á aparición de ordenadores cuánticos no campo da criptografía. A día de hoxe, participei en títulos propios, dirixidos a profesionais con contido en computación cuántica, polo seu interese práctico en industria para a aceleración de procesos de cálculo e optimización. Aínda que non hai unha previsión de consenso da data na que será posible construír un computador cuántico a escala, xa se iniciou o cambio no caso de protocolos máis críticos, como é o caso do intercambio de claves, que son fundamentais en moitos protocolos de seguridade, a algoritmos como Kyber, que resultaron gañadores do último concurso resolto.

A certificación en si mesma é unha garantía de que a seguridade cumpre uns mínimos ou estándares xenerais. Como te asegurarías de que as solucións de seguridade e criptografía implementadas cumpren coas normativas e estándares internacionais aplicables?

-Resposta: No mundo da ciberseguridade dise moito «Don’t roll your own crypto», xa que é importante utilizar produtos avaliados polos certificadores habilitados agrupados baixo a norma «Common Criteria», que está acordada entre diferentes países. Isto asegura que podemos confiar en que os produtos funcionan segundo o prometido sen ter que probalos exhaustivamente, dado que calquera proceso de avaliación é custoso en tempo e esforzo e non sempre asumible por unha organización. Existen distintos niveis de confianza que ofrece o proceso de avaliación, documentados e publicados para que se poida consultar para a decisión. No caso de España o Centro Criptográfico Nacional é o organismo de referencia para estes procesos de certificación.

E nesta realidade onde as IA cada vez ocupan máis titulares e o seu uso é máis habitual, Como ves o papel da intelixencia artificial e a aprendizaxe automática na mellora da ciberseguridade, e cales son os riscos asociados coa súa implementación?

-Resposta: A IA é un campo de investigación moi extenso, por definición son sistemas que responden de forma intelixente á súa contorna con certa autonomía de acción, aínda que recentemente a denominada IA xenerativa é a que está a recibir máis atención polo seu rápido desenvolvemento e fácil alcance de usuarios. A Intelixencia Artificial non é nova en ciberseguridade, que, por exemplo, se usa nos sistemas de monitorización e detección de ataques, que utilizan estas tecnoloxías para detectar patróns de ataques cada vez máis sofisticados e coordinados. Outro exemplo pode ser na axuda en clasificación automática de activos susceptibles de protección. En xeral pódense atopar propostas de técnicas para todos os niveis de actividade identificados polo NIST (Identificación, Protección, Detección, Resposta e Recuperación).

Como moitas ferramentas, a súa potencia pode derivar en usos incorrectos, como vemos no caso de permitir facilitar ataques de enxeñería social con menos esforzo e máis sofisticados por parte de actores maliciosos, usando grandes modelos de linguaxe como os que usa ChatGPT.

O debate sobre a Intelixencia Artificial e a súa regulación está aberto na actualidade, polo que segue sendo unha discusión complexa para a sociedade no seu conxunto. No meu caso comparto a opinión de que a implementación deste tipo de técnicas require cada vez máis da participación e formación de expertos en ética e privacidade que aseguren que se adecuen ao labor requirido sen comprometer os dereitos dos usuarios dixitais.

A nivel de formación e oportunidades de futuro, Que recomendacións tes para os profesionais que desexan especializarse en seguridade e criptografía? Que habilidades e coñecementos son esenciais?

-Resposta: Dependendo de onde estea situado un profesional na súa carreira profesional e dos seus intereses, un primeiro paso é facer uso dos recursos educacionais que prové o INCIBE a través do seu portal de forma gratuíta e posteriormente profundar mediante másteres e estudos propios ofertados pola universidade se se posúen os coñecementos técnicos adecuados. Eu considero que estes coñecementos técnicos son unha base nalgunha linguaxe de programación, familiaridade co funcionamento de sistemas informáticos e redes de computadores e un interese polas matemáticas, o que é esencial para iniciarse na ciberseguridade. Desde a universidade Rey Juan Carlos ofértase actualmente un grao en enxeñería da ciberseguridade para novos estudantes universitarios con interese na informática.

Ana, grazas por toda a información e pola túa xenerosidade co noso Blog corporativo. Quedas convidada a visitarnos cando queiras e estamos en contacto.