Tendencias actuales en seguridad de la información
Por el término «seguridad de la información» solemos entender protección de datos ante accesos y usos no autorizados. En el mundo digital, a menudo se piensa en la criptografía como la única tecnología para mantener nuestros datos «seguros». Sin embargo, con la evolución de los ecosistemas digitales, el significado de la seguridad de la información ha evolucionado, incrementándose también el abanico de tecnologías involucradas. Hoy en día existe una gran variedad de tipos de datos en formato digital: imágenes, vídeos, música, voz, textos, señales biomédicas y electromagnéticas, características biométricas, medidas de sensores, etc. que se organizan en documentos, películas, canciones, bases de datos, programas informáticos, archivos médicos, estadísticas de tráfico, registros de transacciones, hábitos de consumo, etc. La información digital ya no es considerada como una mera secuencia de bits; cada tipo de datos tiene sus propias aplicaciones, usuarios y particularidades que dan lugar a diferentes preocupaciones en términos de seguridad.
Por ejemplo, las implicaciones de revelar datos médicos de los pacientes en un hospital no son las mismas que las de permitir la descarga ilegal de una canción. La gama de tecnologías que intervienen en la protección de datos se ha incrementado de tal manera que la seguridad de la información, desde un punto de vista tecnológico, ya no se identifica únicamente con criptografía. Modelado de ataques, gestión de derechos digitales, marcado de agua digital, fingerprinting (hashing robusto), criptoanálisis, esteganografía y otros, son diferentes caras de la tecnología moderna al servicio de la protección de la información.
Hasta hace poco, los repositorios de información solían ser centralizados y era relativamente fácil controlar el acceso a ellos. Hoy en día, la generación y el consumo de información son cada vez más distribuidos: las personas y los diferentes dispositivos están continuamente interconectados, generando y procesando datos. Esta tendencia, que previsiblemente aumentará durante los próximos años, está cambiando la forma en cómo la información debe ser protegida. En primer lugar, los mecanismos de protección deben ser integrados de la forma más transparente posible en los flujos naturales de la información, con el fin de no convertirse en cuellos de botella. En segundo lugar, no sólo es necesario proteger los datos durante su almacenamiento y transmisión por canales inseguros, sino también protegerlos durante su procesado y gestión. Ahora que estamos viviendo una transición progresiva hacia la computación remota (sobre todo en escenarios de cloud computing), las tecnologías de tratamiento de datos en el dominio cifrado están empezando a ser una vía para garantizar la integridad y la confidencialidad de los datos en todo momento, especialmente para los datos sensibles (tales como datos personales o médicos). La tecnología moderna de seguridad de la información va un paso más allá: prácticamente todos los procesos aplicados sobre datos digitales dejan huellas características que pueden ser identificadas a posteriori, con el fin de averiguar si los datos han sido manipulados e incluso para saber quién o qué ha generado o procesado esos datos. La extracción de información adicional sobre datos digitales se conoce habitualmente como «information forensics», tarea que se puede apoyar en otras tecnologías, conocidas como «active forensics», las cuales insertan marcas indetectables en los datos que facilitan su posterior análisis forense.
Las entidades involucradas en el procesado y manejo de datos juegan un papel fundamental en la seguridad de la información; la información puede ser inútil si proviene de fuentes no fiables. Los remitentes y destinatarios de esta información deben ser autenticados con el fin de establecer niveles de confianza, permisos y registros de seguridad adecuados para mantener auditorías a posteriori si fuese necesario. Hay que tener en cuenta que los remitentes y destinatarios no son necesariamente personas: pueden ser dispositivos. Por ejemplo, podemos querer leer la información contenida en un tag RFID, unido a un determinado bien que hemos adquirido, para determinar la cadena de suministro. ¿Podemos tener la certeza de que el tag RFID que estamos leyendo es realmente el original de ese bien u objeto? ¿Cómo relacionar de forma robusta la identidad física y la identidad «electrónica» de ese objeto? La relación entre datos y usuarios establece interesantes enlaces entre las tecnologías para seguridad de la información y las tecnologías para autenticación/identificación (de humanos y dispositivos). A su vez, la información de identificación constituye en sí misma una información muy valiosa que también es necesario proteger (por ejemplo, con el fin de evitar la suplantación de identidad). De hecho, la protección de la información privada (como los datos biométricos y demás datos personales) ha recibido bastante atención durante los últimos años. Es interesante señalar que la aplicación de medidas técnicas de protección a la información privada están previstas por la legislación en vigor en muchos países (incluyendo España).
Como se puede ver, la seguridad de la información es un campo verdaderamente multidisciplinar, que está siendo tratado por muchos científicos de todo el mundo, tanto en la industria como a nivel académico. Hoy en día tenemos numerosos eventos y publicaciones dedicados a temas relacionados con la seguridad de la información. Precisamente, estos temas han sido tratados ampliamente en el First International Workshop on Information Forensics and Security – WIFS’09 (http://www.wifs09.org), que se ha celebrado en Londres, Reino Unido, entre los pasados 6 y 9 de diciembre. Este workshop ha sido apoyado por el IEEE, la mayor y más prestigiosa asociación profesional en los campos de telecomunicaciones, ingeniería eléctrica e informática, y varias empresas de gran peso en el ámbito de la seguridad, tales como British Telecom, Hewlett Packard y Thomson. WIFS’09 ha reunido cerca de 40 contribuciones científicas, seleccionadas por un comité de expertos entre un gran número de candidatos, y que fueran presentados por investigadores de renombre en este campo. Los temas cubiertos por el programa técnico fueron marcado de agua digital, information hiding, information forensics, biometría, traitor tracing, fingerprinting, privacidad y anonimato, identificación de dispositivos, y criptografía. El workshop acogió a destacados ponentes invitados, incluyendo a Bruce Schneier, experto en seguridad de fama internacional. Otro hecho a destacar de este encuentro fue la fuerte presencia de miembros de la industria del sector de seguridad.
Como prueba de su compromiso con la excelencia científica, y en el dominio de seguridad de la información en particular, Gradiant también ha estado presente en este evento de investigación puntera. Luis Pérez, coordinador del Grupo Especializado en Información Multimodal, ha estado allí presentando dos artículos científicos sobre aspectos teoricos y prácticos de códigos probabilísticos para traitor tracing, que probablemente jugarán un importante papel en futuras estrategias para la gestión de los derechos de autor de un modo más amigable para el consumidor. También fue presentado un artículo que contaba con la coautoría de Fernando Pérez, Director General de Gradiant, y que trataba sobre marcado de agua digital, introduciendo mejoras para la aplicación práctica de esta tecnología en señales de audio. La investigación en estos y otros aspectos de la seguridad de la información sigue activa en Gradiant.