Cada vez es más común encontrarnos con palabras vinculadas al uso y desarrollo de la tecnología cuyo significado desconocemos. Pareciera que, de repente, se pone de moda utilizar términos tales como bot o blockchain, o que hay algoritmos involucrados en todo, o que el big data está presente en cada decisión que tomamos.

Si bien una opción válida (y que, a esta altura, deberíamos tener incorporada) es preguntarle a nuestro buscador predilecto, muchas veces los resultados son tantos (y tan variados) que nos terminamos mareando. De aquí el objetivo de esta nueva sección. Tomaremos palabras que se incorporan al discurso para poder definirlas, con la ayuda de expertos, claro. Todas las entradas estarán agrupadas en la categoría Qué es.

Comenzamos con el tema del título: la criptografía. Desde hace un tiempo, los navegadores nos indican que los sitios son seguros, nuestro servicio de mensajería indica que las conversaciones están cifradas punto a punto y demás. Para entender de qué se trata esto, hablé con Cecilia Pastorino, especialista en seguridad informática de ESET Latinoamérica.

Pastorino describe a la criptografía como una ciencia muy antigua, que viene de la época de los romanos. «Es el arte de esconder el mensaje, con el objetivo que solo las personas que tengan la clave puedan leerlo», explica. Julio César ya encriptaba sus mensajes con un método que llevaba su nombre, hoy conocido como ROT13. «Consistía en rotar letras. Por ejemplo, la A estaba reemplazada por la letra ubicada 13 lugares después en el abecedario. El número de veces que se movía la letra era la clave. Sin eso, no podías descifrar la información».

La clave en la criptografía es fundamental; sin ella, los mensajes solo serían una combinación inentendible de símbolos. Esto la diferencia, además, de la codificación, ya que esta última no es más que cambiar de idioma, por lo que no se necesita un elemento extra (la llave) sino que alcanza con saber el lenguaje o contar con un traductor.

Pastorino cuenta que «si bien el método del César era bastante fácil de descifrar, girando en todas las posiciones hasta dar con el mensaje, en la actualidad existen mecanismos de cifrado que utilizan algorítmos matemáticos para dificultar el acceso a la información».

He aquí la aparición de los algoritmos. Los dos tipos de cifrado más utilizados se valen de ellos. El primero utiliza un algoritmo simétrico: con una llave se cifra y descifra la información. El segundo es el algoritmo asimétrico, que consta de un par de llaves que funcionan en conjunto. La llave pública es la que se le entrega a alguien que quiere enviarnos un mensaje. Con ella, el emisor encripta la información, que solo podrá ser desencriptada con la llave privada, única para cada usuario. Esta última forma de cifrado es la empleada en comunicaciones, ya que brinda una protección extra (solo teniendo el par de llaves se podrá acceder al mensaje).

Pero, ¿por qué tomar tantos recaudos? En el ámbito de la seguridad informática existen tres pilares en lo que respecta a la información: disponibilidad, integridad y confidencialidad. «Es necesario que la información esté disponible cuando se requiere, que no esté modificada y que solo quienes estén autorizados puedan acceder. La criptografía apunta directamente a la confidencialidad, aunque también puede servir para resguardar la integridad«, sostiene Pastorino. «Por ejemplo, con un algoritmo especial llamado hash se puede saber si un archivo fue alterado», detalla.

El hash es  una fórmula matemática con ciertas características particulares. En primer lugar, no importa a qué se aplique: si todo, en última instancia, es una combinación de ceros y unos, se puede utilizar para cifrar palabras, documentos, fotos y demás archivos. Además, no importa la extensión de la cadena de bits a la que se la aplique, el resultado siempre tendrá un largo fijo. Tampoco es reversible, es decir que una vez que aplico hash a un archivo, no puedo obtener nuevamente el original. Por último, siempre el mismo documento o palabra tiene el mismo hash.

«Estas cualidades hacen que sea muy utilizado en análisis forense. Como siempre la misma cosa da el mismo resultado, puedo evaluar si un archivo fue alterado. Con que cambie un solo bit (un cero o un uno), me doy cuenta si sufrió modificaciones en el medio», puntualiza Pastorino.

Pero los hash también son empleados para guardar contraseñas en un dispositivo. «Si las guardase en texto plano, cualquiera con acceso a mi computadora podría leerlas», explica. El procedimiento es el siguiente: «Ingreso mi contraseña, la computadora calcula el hash que le corresponde en base a distintos algoritmos y guarda ese resultado cifrado, por lo que nadie puede volver a obtener el original. Cada vez que la escriba, calculará nuevamente el hash y los comparará para saber si es la clave correcta».

Todo suena difícil pero, a ciencia cierta, ¿qué tan segura es la encriptación? Pastorino asegura que «nada es cien por ciento seguro en informática, simplemente porque no sabés qué puede aparecer mañana. Sin embargo, hay formas de encriptación, sobre cifrado asimétrico, que son muy difíciles de descifrar. De cualquier modo, mucho depende de la contraseña«.

«Frente a un ataque de fuerza bruta, que prueba distintas claves hasta dar con la correcta, lo fundamental es que la contraseña sea robusta. Si bien difiere si utilizás el sistema de rotación de Julio César o algoritmos más nuevos y fuertes, si tu llave es 1 2 3 4, es muy probable que con fuerza bruta la descubran. Hoy, para alojar información, una contraseña tiene que tener, por lo menos, 20 caracteres«, completa.

En cuanto a la navegación, «por suerte, muchísimas páginas están migrando a HTTPS, para que la información viaje cifrada. Antes se utilizaba solo al momento de ingresar datos sensibles (como usuario, contraseña, tarjetas de crédito), pero ahora se extendió por una cuestión de privacidad. No importa si el sitio no me requiere información, nadie tiene por qué saber que lo estoy visitando«, explica la investigadora de ESET.

«Por supuesto que no es absolutamente infalible ni depende solo de esto. Sin embargo, antes solo se hablaba de antivirus, firewall y backup para protegernos. Hoy tenemos que incluir el cifrado como una herramienta básica«, concluye.