La criptografía

La criptografía ha sido una herramienta muy útil desde que los Estados existen.
Coordinar la estrategia militar de las civilizaciones clásicas ya exigía contar
con sistemas que proporcionaran confidencialidad. La capacidad de poder
enviar información a los ejércitos o a los aliados que no se pudiera interceptar por
los enemigos podía suponer la diferencia entre la victoria o la derrota. “Ejemplos
de ello son la escítala espartana, el algoritmo Atbash que aparece en la Biblia o el
código César que, según el historiador Suetonio, utilizó Julio César en sus
campañas militares”, ilustra Víctor Gayoso, investigador del Instituto de
Tecnologías Físicas y de la Información Leonardo Torres Quevedo (ITEFI) del
Centro Superior de Investigaciones Científicas (CSIC) y profesor del centro
universitario U-tad.
ALIANZAS PARA LOGRAR LOS ODS

BBVA y el Instituto IMDEA Software se alían para investigar técnicas de

criptografía avanzada

BBVA se ha aliado con el Instituto IMDEA Software, que forma parte de una red de
centros de investigación internacionales en Madrid, para colaborar en el desarrollo
de técnicas de criptografía avanzada; una tecnología clave para la creación de
soluciones digitales basadas en datos que preserven la privacidad y la seguridad
de la información de los usuarios.
Sin embargo, estos algoritmos eran utilizados por un número de personas muy
limitado. “No fue hasta la automatización de las operaciones bancarias y el auge
de internet y de la telefonía móvil que la criptografía empezó a utilizarse por la
inmensa mayoría de las personas. Aunque ni siquiera se den cuenta”, apunta el
investigador. Cada vez que se realiza una compra ‘online’, una llamada con el
teléfono móvil o se usa una red ‘wifi’ doméstica se emplean métodos
criptográficos. Sin ellos, el uso de estas tecnologías tal como las conocemos en
la actualidad sería imposible.

Desde Enigma hasta internet

El primer punto de inflexión en el desarrollo de los sistemas criptográficos se
produjo durante la Segunda Guerra Mundial, con el uso por parte del ejército nazi
de la máquina de cifrado Enigma. Un sistema que más adelante lograrían descifrar
investigadores polacos y británicos y que contribuyó a la victoria aliada al permitir
interceptar las comunicaciones de los países del Eje. “Alrededor de estos
esfuerzos por modelar y formalizar la criptografía nacen la teoría de computación
de Alan Turing y la teoría de la información de Claude Shannon, que han sido la
base de la revolución postindustrial”, afirma Luis Saiz, responsable de
innovación en seguridad de BBVA.

El siguiente momento relevante se produce en los años 70. Década en la que IBM
desarrolla el sistema de clave simétrica Lucifer, que establece las bases para una
construcción de algoritmos que puedan ejecutarse eficientemente en los
ordenadores. Durante esos mismos años, el National Institute of Standards and
Technology (NIST) estandariza DES (Data Encryption Standard) como algoritmo
de cifrado comercial. Su primer uso se dio en el sistema de tarjetas de crédito para
asegurar las transacciones de pago.

En esa misma época se diseña la criptografía de clave pública o asimétrica que fue
transcendental para dar paso a la siguiente revolución: internet. “A diferencia de
los algoritmos existentes hasta ese momento, utilizaba una clave para cifrar y otra
distinta (aunque matemáticamente relacionada con la primera) para descifrar”,
describe Gayoso. Para poder ofrecer la confidencialidad que requería el uso
masivo de internet, la compañía Netscape introdujo el protocolo SSL, que usaba
criptografía de clave pública (RSA). De esta forma es posible cifrar las
comunicaciones entre un navegador y un servidor cualquiera. Siempre y cuando el
propietario del servidor haya gestionado un certificado pero sin que el cliente tenga
que hacer nada. “Ahora cualquier transacción por internet está protegida por
criptografía. E incluso los móviles tienen un módulo criptográfico que en los 70 solo
los gobiernos y los bancos podían tener”, apunta Luis Saiz.

“Un fallo en la autenticidad e integridad de la información puede tener consecuencias mucho más graves
económica y socialmente””, apunta Luis Saiz.

Privacidad y seguridad
En una sociedad cada vez más digital, los sistemas criptográficos son
fundamentales para mantener los datos seguros y preservar su privacidad. BBVA
lleva tiempo investigando la aplicación de estas tecnologías. En concreto las PET,
por sus siglas ‘Privacy-Enhancing Technologies’ (o técnicas de mejora de la
privacidad), y la ‘Prueba de Conocimiento Nulo’, o ZKP, en el sector financiero. Y
ya ha identificado distintos escenarios en los que presenta grandes ventajas.
Como parte de este trabajo, a mediados de 2020, el área de Investigación y
Patentes estableció una alianza con el el Instituto IMDEA Software para colaborar
en el desarrollo de técnicas de criptografía avanzada.
Hoy en día estos sistemas están inmersos en la práctica totalidad de las
transacciones económicas que se realizan. Esto incluye desde las compras con
tarjetas hasta los pagos internacionales entre bancos y empresas (SWIFT), o
las grandes operaciones en los mercados financieros. También en el uso diario de
los móviles cuando hablamos por teléfono, accedemos al correo electrónico o a
una aplicación. Incluso cuando abrimos la puerta del garaje o del coche; o cuando
presentamos los impuestos de manera telemática.
TARJETAS

BBVA lanza Aqua, la primera tarjeta sin numeración y CVV dinámico en España

BBVA ha lanzado una nueva familia de tarjetas pioneras en España, Aqua, que no
tiene impreso el número de la tarjeta (PAN) ni la fecha de caducidad, y el código
de verificación (CVV) es dinámico. Esto refuerza la seguridad tanto en su versión
digital como en la física, ya que al no disponer de estos datos se previene un
posible uso fraudulento de los mismos. Pero, además, BBVA ha renovado toda
la experiencia de pago en su ‘app’ para facilitar al cliente la gestión de sus gastos,
y ordenar los servicios que ofrece en función de su uso. El banco trabaja ya para
llevar esta experiencia móvil a otros países.
“Un fallo en la privacidad puede derivar en muchos inconvenientes y problemas
para ciudadanos, empresas y Estados, pero un fallo en la autenticidad e integridad
de la información puede tener consecuencias mucho más graves económica y
socialmente”, recalca Luis Saiz. El responsable de innovación en seguridad de
BBVA plantea que reflexionemos sobre qué es más útil para un ejército: ¿conocer
los planes del enemigo o poder modificarlos cuando se transmitan a su
campo de batalla? Si esa reflexión la trasladamos a un acto más cotidiano, como
una compra con tarjeta, entendemos que no solo hay que proteger la
confidencialidad de quién, dónde, cuándo y por qué importe se realiza una
adquisición: también hay que asegurar que solo pueda efectuarla el titular de la
cuenta.

“La buena noticia es que, a pesar de su ubicuidad, a efectos prácticos el cifrado no

suele ser el vector de ataque principal. Primero, porque no es la única protección
que tienen los sistemas y para poder explotarlos muchas veces se necesitan otros
recursos. Y segundo, porque desgraciadamente hay otros fallos más frecuentes y
sencillos de explotar”, señala Saiz.

Creciente capacidad de cálculo

La seguridad que ofrecen los algoritmos actuales se basa en la dificultad que
tienen los sistemas informáticos para averiguar las claves en un tiempo que,
teóricamente, puede ser de miles o millones de años. El problema es que la
tecnología avanza y ya se vislumbra que su capacidad de cálculo aumentará de
manera significativa gracias a la computación cuántica. “Cuando estos nuevos
ordenadores estén disponibles en una escala mayor, todos los algoritmos
criptográficos actuales podrán ser rotos de manera más eficiente. Algunos estarán
completamente rotos y otros tendrán que duplicar las longitudes de las claves que
usamos actualmente”, advierte el experto de innovación en seguridad de BBVA.

Un aspecto en el que coincide Víctor Gayoso, quien considera que desde hace
diez años se está produciendo un cambio significativo en los sistemas de
encriptación precisamente por los avances en la capacidad de cálculo de las
máquinas: “En una tendencia imparable. Han surgido multitud de diseños (algunos
muy novedosos) que permiten garantizar que, incluso cuando los ordenadores
cuánticos de la potencia adecuada estén disponibles, las funciones criptográficas
que usemos en ese momento no puedan romperse”.
TECNOLOGÍA

Identidad digital, ‘machine learning’ y criptografía avanzada: los cambios

tecnológicos de la era post COVID-19

Más allá del impulso que la crisis del coronavirus suponga para la adopción de
determinadas tecnologías concretas –como la telemedicina o la robótica–, el
escenario actual marcado por un espíritu colaborativo sin precedentes podría
desencadenar cambios más profundos en el desarrollo tecnológico de los próximos
años. El uso compartido de datos y el despliegue de soluciones para preservar la
privacidad podrían acelerarse por las necesidades inmediatas que plantea el
escenario post-coronavirus, lo que puede ayudar a sentar las bases de unas
nuevas infraestructuras digitales.
El NIST, que en los últimos 20 años ha realizado distintos procesos públicos de
selección de algoritmos para cifrado simétrico (AES) y funciones resumen (las
familias SHA-2 y SHA-3), ya está gestionando el proceso de selección de
funciones de cifrado, acuerdo de clave y firma digital pos-cuánticos, esto es, que
sean resistentes frente al uso de futuros ordenadores cuánticos. “En cuanto se
establezca cuál es el mejor sistema nos quedará la ardua tarea de sustituir los
algoritmos actuales por los nuevos o, para algunos tipos, duplicar la longitud de las
claves”, concluye Luis Saiz.