Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Sistemas de firma y responsabilidad de los usuarios
 
VSantivirus No. 1188 Año 7, Miércoles 8 de octubre de 2003

Sistemas de firma y responsabilidad de los usuarios
http://www.vsantivirus.com/fdc-firma-usuarios.htm

Por Fernando de la Cuadra (*)
Fdelacuadra@pandasoftware.com


En los últimos tiempos estamos asistiendo a la popularización de sistemas de cifrado de correo electrónico y de firma digital para el envío de información cuya autenticidad necesite verificarse. Y también sufrimos una oleada de ataques víricos de todo tipo, que pueden comprometer seriamente los mecanismos de verificación de la integridad de la información.

En principio, un sistema de firma digital consiste en establecer un mecanismo mediante el cual se permita al receptor de los datos firmados comprobar que el mensaje ha llegado íntegro desde que el emisor generó el mensaje. Las consecuencias de este sistema son muchas, ya que permiten a los dos actores del proceso de la comunicación tener la certeza de que los datos son tal y como deben ser, sin que ningún intruso haya modificado ni un solo bit.

Los gobiernos de muchos países están empezando a implantar sistemas de firma digital para acelerar procesos administrativos. Así, una gestión que podría exigir la presencia física del interesado en las oficinas para una comprobación de la identidad, puede quedar sustituido por el envío de un correo electrónico con una firma digital emitida por una entidad certificadora. Tanto el emisor como el receptor podrán operar con la misma confianza que ofrece la verificación de identidad física.

Desde hace años, la Unión Europea se encuentra en un proceso de reglamentación y armonización de sistemas de firma digital entre sus miembros. Aunque haya países que ya tengan establecidos procesos y leyes para la creación de firmas digitales, otros no los tienen o los han establecido en direcciones diferentes. Es de esperar que, en poco tiempo, la firma digital de un ciudadano de alguno de los países de la Unión sea válida en el resto de los miembros.

Pero por mucho que se haya establecido una firma digital paneuropea, o suponiendo que en el futuro (quizá no muy lejano) la firma digital sea válida en cualquier país del mundo, los usuarios que hagan uso de sistemas de verificación electrónicos deberán emplear sistemas que garanticen la seguridad de sus datos más allá de la certificación digital.

Como principio básico de los sistemas de firma, cuando un mensaje es firmado, el usuario se vuelve responsable de la información que va dentro del mensaje. Está garantizando que él, y solamente él, ha generado el mensaje, y garantiza al receptor su integridad. Si ese mensaje, por cualquier causa, contiene cualquier tipo de código malicioso, el emisor está responsabilizándose de la difusión del código. Y, así mismo, el receptor puede tener la completa seguridad de que el usuario que ha generado la comunicación lo ha hecho con un virus o gusano.

La utilización de la firma digital hace necesario que los usuarios tengan en cuenta que una mala protección antivirus puede dar al traste con el objetivo original de la firma: el conseguir una comunicación segura. Si el deseo de establecer canales de comunicación seguros no va acompañado de un interés mínimo en la lucha contra los virus, cualquier sistema de firma quedará reducido a un mero esfuerzo perdido por parte de los ciudadanos y de las entidades certificadoras, que verán como su trabajo es inútil por el mal uso de los ordenadores e Internet.

Y a todos estos problemas podemos añadir otro más, que es el de la detección de los virus en sistemas ajenos a los empleados por el receptor y el emisor de la información. Cuando un usuario firma un mensaje que contiene un virus, también certifica la integridad del virus que contiene el mensaje. En el momento que algún servidor disponga de un antivirus y elimine el virus, la firma de ese mensaje quedará invalidada: el mensaje ha sido modificado en algún momento de su trayecto por Internet, con lo que el receptor podrá repudiar el mensaje. Y el repudio se producirá precisamente porque el mensaje es más seguro ahora que cuando fue emitido, la modificación se ha llevado a cabo para eliminar el virus, no para alterar en modo alguno el resto de la información que contenía. Evidentemente, este caso supone una alteración muy grande de los objetivos iniciales de los sistemas de firma.

A este problema debemos añadir otro que también se está implantando cada vez más en los usuarios deseosos de comunicaciones seguras: los sistema de cifrado de la información. Estos sistemas se encargan de cifrar el contenido del mensaje emitido, de manera que ninguna persona o proceso ajeno al receptor y emisor puedan averiguar el contenido de la comunicación.

Si nadie puede averiguar qué contiene la información, se asegura un grado muy elevado de intimidad en ella, por lo que su seguridad es muy, muy elevada (dependiendo de los sistemas de cifrado que se utilicen, la longitud de la clave, etc.). Pero, a la vez, este mismo sistema está volviendo el mensaje totalmente opaco a los antivirus. Si un antivirus fuera capaz de analizar ese mensaje cifrado, significaría que el sistema está violando el sistema de seguridad. Y si lo puede hacer un antivirus, ¿no podría un extraño hacerlo? Evidentemente, los antivirus no son capaces de detectar nada en un mensaje cifrado, aparte de la remota posibilidad de que, como resultado del proceso de cifra, se produzca una falsa detección. Sin embargo, se trata de una posibilidad muy remota debido a los avanzados sistemas de detección que incorporan hoy en día los sistemas de prevención de código malicioso, que han reducido a prácticamente cero las falsas alarmas.

Con todo lo expuesto anteriormente queda claro que los usuarios responsables, los internautas deseosos de garantizar la integridad de sus mensajes no solamente deben preocuparse por la firma y el cifrado de sus comunicaciones. Además deben evitar por todos los medios la entrada de cualquier virus o código malicioso que pueda enturbiar el proceso.

En definitiva, la instalación de un software antivirus no solamente debe concebirse como un sistema de prevención de la destrucción de los datos, sino como un complemento básico a la hora de firmar y / o cifrar los datos enviados, ya que es la única manera de poder disfrutar de los servicios de certificación electrónica con todas las garantías.


(*) Fernando de la Cuadra es Editor Técnico Internacional de Panda Software (http://www.pandasoftware.com)




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS