El ritual ceremonial de firmas electrónicas para garantizar la seguridad de Internet

Los apenas 10.000 habitantes de la pequeña localidad de Culpeper, Virginia, acogieron hace unos días una de las más peculiares y rituales ceremonias del mundo de la tecnología e Internet: una buena parte de los técnicos del ICANN (una de las entidades sin ánimo de lucro que gobiernan Internet) así como voluntarios de diversos países llegaron hasta allí para generar las claves criptográficas que a modo de "firmas electrónicas" se utilizarán para proteger la Red.

Lo que estaban haciendo era garantizar personalmente que todo el software, protocolos, equipamiento y claves que se estaban utilizando eran correctas y fiables.

Es una de las formas de solucionar un problema que plantean algunos sistemas de cifrado: para comunicarse con otras personas de forma segura hay que compartir una clave secreta, y para compartirla hay que enviarla de alguna forma, generarla con ciertos programas y que la persona que lo hace sea quien realmente dice que es.

La mejor forma es hacerlo en persona y con los documentos adecuados (a la vieja usanza: en papel), pero también hay que asegurarse de que la clave se ha generado correctamente, que no hay espías mirando, que si se envía a través de un intermediario éste es de fiar, que el ordenador y el software con que funciona no esté "trucado"...

Todo el ritual que se llevó a cabo estaba orientado precisamente a eso: proporcionar la confianza suficiente de un equipo multidisciplinar de que las claves principales -que a su vez protegerán otras claves a diversos niveles de la arquitectura de Internet- fueron generadas de forma correcta.

El evento se grabó en vídeo, incluyendo las "declaraciones legales" de los participantes sobre los roles que representaban, por tres cámaras simultáneas; también se realizó una auditoría completa, que da fe de que todo el proceso se llevó a cabo de forma adecuada.

El principal objetivo de la reunión era impulsar el desarrollo e implementación del DNSSEC, unas extensiones del DNS (Sistema de Nombres de Dominio) que garantizan la seguridad de la Red. El DNS es el sistema que convierte las direcciones de Internet fáciles de leer (como "rtve.es") en números IP (como 217.15.42.90) que se comportan en cierto como los números de teléfono: todo servidor de Internet tiene uno y todos son distintas.

Esos números son los que en realidad entienden las máquinas que intercambian mensajes e información en la Red, pero las personas preferimos los nombres fáciles de recordar, así que alguien debe hacer la conversión.

En los últimos tiempos se publicó información sobre un tipo de ataque llamado envenenamiento de los DNS que permitía suplantar la identidad de unas máquinas por otras: algo así como si alguien engañara a la gente cambiando el contenido de la guía telefónica o colocando espías en el servicio de información. La gente recibiría información falsa, haría llamadas equivocadas y los "malos" podrían aprovecharse de ello, por ejemplo para conseguir números de tarjetas de crédito o información bancaria (incluso aunque pareciera viajar de forma "segura").

El DNSSEC garantiza que no se pueda suplantar las equivalencias entre dominios y direcciones IP, lo cual es un importante avance en la seguridad de toda la Red.

Para que todo funcione adecuadamente se parte de un primer nivel que queda firmado y garantizado por las autoridades y poco a poco se van "firmando" los diferentes dominios y subdominios. El primero en asegurarse ha sido el dominio de primer nivel .org. Este mismo sistema pueden utilizarlo ahora el resto de dominios regionales e internacionales, así como las empresas que necesiten alta seguridad en sus operaciones.

La ceremonia llevada a cabo en Culpeper no será la única: según el diseño del sistema habrá que hacer lo mismo cuatro veces al año; la próxima tendrá lugar en El Segundo (California).

Cada evento intentará aprovecharse para concienciar a los usuarios sobre la importancia de los diferentes temas relacionados con la seguridad de la Red.

En julio se aprovechará para explicar la construcción de unas instalaciones diseñadas para proteger el sistema de dominios (DNS) en caso de catástrofe, aunque actualmente se trata de un sistema distribuido replicado en más de 130 lugares de todo el mundo.