El escribano de Internet
12/12/2011
El ingeniero Carlos Martínez, responsable de investigación y desarrollo de LACNIC, ha sido convocado por la Agencia de Gobierno Electrónico y Sociedad de la Información de Uruguay para formar parte de un selecto y reducido número de expertos que actúan como notarios públicos de los procedimientos electrónicos y los sitios de Internet certificados en ese país.
Martínez tiene una extensa experiencia en la certificación electrónica, ya que integra un grupo similar a nivel mundial que trata de garantizar la operación segura de Internet y prevenir diferentes tipos de abuso y de ataques tanto contra los usuarios como contra la infraestructura de la red.
¿Cuál es su función en la autoridad certificadora de Uruguay? Y quién lo eligió para cumplir esa función?
La función de la autoridad certificadora (CA) es la de operar como ancla de confianza de todo el sistema de certificación electrónica. Esto significa que es el depositario último de confianza, la entidad en la que todas las demás confían y contra la que construyen sus cadenas de confianza.
El proceso de arranque de una CA implica la generación de “material criptográfico”. Este material consiste en un conjunto de datos electrónicos los cuales deben ser creados bajo estrictas medidas de seguridad y es en este proceso de creación donde radica la confianza que el público puede tener en la CA.
Para que quien opera la CA pueda demostrar imparcialidad en la gestión de la misma, es de costumbre invitar a distintos representantes a participar de este proceso de arranque.
En el caso de la CA de Uruguay, AGESIC optó por este modelo e invitó a representantes del Estado, de la academia, del sector privado y de la sociedad civil. En mi caso fui invitado como representante de la sociedad civil, hecho asociado de alguna forma al rol que desempeña LACNIC en la región y en el Uruguay en particular.
Si bien todas las invitaciones son de carácter personal, AGESIC evaluó las vinculaciones profesionales de cada uno para cumplir con la diversidad esperada.
¿Se puede decir que son los escribanos de Internet en Uruguay?
En algún sentido la autoridad certificadora es la “notaria pública”, depositaria de la confianza de la sociedad. En otros países efectivamente se utiliza el término “notario electrónico”.
“La autoridad certificadora es la “notaria pública”, depositaria de la confianza de la sociedad”
El rol de los custodios de clave no es tanto el de obrar como notarios sino como garantes de la confianza en todo el sistema.
¿Cuál es el objetivo de crear una entidad certificadora para el sistema de gobierno electrónico de Uruguay?
La firma electrónica es una tecnología habilitante. Esto quiere decir que su valor no está tanto en ella misma sino en los negocios que la misma habilita.
Un mecanismo de firma electrónica puede generar un ambiente propicio para el desarrollo de servicios de gobierno electrónico como el acceso a documentación personal, a registro de vehículos o transacciones de compra y venta de propiedades sin tener que físicamente hacerse presente en una oficina, con las ventajas que esto conlleva para los ciudadanos que viven en regiones o ciudades alejadas de Montevideo, por ejemplo.
También el comercio electrónico puede verse favorecido por una infraestructura de este tipo, de la misma forma que por ejemplo los abogados podrían comenzar a presentar escritos de forma completamente electrónica o los estudios contables hacer lo mismo con las declaraciones de impuestos.
¿Cómo funciona la certificación electrónica en Uruguay? ¿Qué mecanismos de certificación electrónicos existen en el país? ¿Son confiables 100%?
Históricamente El Correo operaba una autoridad certificadora cuyo uso en general se limitaba a proveer de seguridad a sitios web. Ha habido algunas otras experiencias interesantes, como ser la de la Suprema Corte de Justicia, la que comenzó a emitirle certificados a los abogados para que ellos pudieran enviar correo electrónico cifrado y firmado digitalmente.
Estas experiencias si bien fueron muy interesantes, no tenían por su propia naturaleza alcance general.
La autoridad certificadora de AGESIC crea entonces un entorno donde todas las CAs que deseen puedan tener una raíz de confianza general.
En cuanto a la confiabilidad, sí se puede decir que son confiables en un 100%.
Respecto a tu participación en el grupo de expertos a nivel mundial sobre certificación de nombres de dominios , ¿Para qué sirve la certificación de sitios?
La certificación de nombres de dominio, o DNSSEC como se conoce a la tecnología que lo implementa, da instrumentos para introducir firmas electrónicas dentro de los nombres de dominio que utilizamos normalmente, como ser www.google.com o www.lacnic.net.
De esta manera, el usuario que consulta al sistema de nombres de dominio puede verificar que las respuestas que obtiene del mismo son válidas.
Esto es de importancia crucial para garantizar la operación segura de Internet, ya que permite prevenir diferentes tipos de abuso y de ataques tanto contra los usuarios como contra la infraestructura de la red propiamente dicha.
¿Qué organizaciones están habilitadas para certificar sitios en Internet?
La firma de dominios debe realizarla el operador de cada uno de ellos. Sin embargo, para que la misma sea de utilidad, debe ser posible construir cadenas de confianza hasta la raíz del sistema.
Para ello hace falta que los dominios intermedios (.com, .net, .org) estén apropiadamente firmados, así como obviamente la raíz misma. La raíz fue firmada en julio de 2010 y los dominios genéricos como el com, el net y el org fueron firmados durante la segunda mitad de 2010 y principios de 2011. En el caso de los dominios de alto nivel relacionados con códigos de país (uy, ar, br, fr, de, por ejemplo) el estado de despliegue es mas dispar, notándose un elevado nivel de despliegue en Europa y un nivel mas tímido en nuestra región donde por ahora solo br, cl y co tienen DNSSEC en producción.
¿Es costosa la certificación de sitios?
La firma de zonas de DNS no tiene porqué ser costosa en cuanto a infraestructura, sobre todo en el caso de zonas o dominios pequeños. Es importante que las zonas padre ofrezcan el servicio de DNSSEC, y por lo que estamos observando actualmente los que lo están haciendo no están cobrando dinero adicional por este servicio.
¿Los usuarios tienen más confianza ante un sitio certificado?
Es importante educar a los usuarios en utilizar todas las herramientas de seguridad a su disposición, como ser el asegurarse de que su comunicación está cifrada, siempre que sea importante (por ejemplo, durante el curso de una transacción de comercio electrónico) y también el tratar de asegurarse de que el dominio está adecuadamente firmado con DNSSEC.
“Es importante educar a los usuarios en utilizar todas las herramientas de seguridad a su disposición”
Es de esperar que a medida que evolucione el despliegue de DNSSEC los usuarios comiencen a exigir en sitios sensibles la presencia de esta tecnología.
Sin embargo, es de destacar que también es responsabilidad de todos quienes operamos sitios web y servicios de Internet, garantizar la seguridad e integridad de nuestros servicios.
¿Qué organizaciones o empresas deberían ser las más certificadas?
Todas aquellas que transmitan o trabajen información de algún grado de sensibilidad.
Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.