PGP. SEGURIDAD DEL CORREO ELECTRÓNICO

Autor: iMarketing.es – Consultoría informática y de gestión, servicios tecnológicos y de outsourcing

Nueva economía, internet y tecnología

02-2005

Descargar Original

 En mayor o menor medida, todos nos preguntamos si los mensajes
que enviamos y recibimos a través del correo electrónico pueden
sufrir alguna manipulación mientras se transmiten por Internet.
Desgraciadamente, nuestras dudas no están infundadas, pues los
ataques a la privacidad de los usuarios de Internet están al orden del
día. No obstante, hay muchas medidas que podemos tomar para
garantizar la seguridad de nuestras comunicaciones. En este artículo,
estudiaremos el caso de PGP, un programa que nos permite
descansar tranquilos en lo que a nuestro correo electrónico se refiere.

Las siglas PGP corresponden al inglés Pretty Good Privacy, Privacidad
Muy Buena en español. Básicamente, PGP es un programa que
implementa una de las tecnologías más extendidas de encriptación, la
criptografía de claves públicas (public key cryptography). Sus dos
usos más comunes son los siguientes:

· Garantizar que un archivo informático (mensaje de correo
electrónico, archivo de texto, hoja de cálculo, imagen, ...) ha sido
creado por quien dice ser su creador (firma electrónica).
· Impedir que un archivo informático sea leído por personas sin
autorización (encriptación).

En la actualidad, PGP incorpora muchas otras características, incluso
en sus versiones gratuitas. Algunas de estas nuevas funciones son:

· Comunicaciones seguras a través de Redes Privadas Virtuales
(VPN, Virtual Private Networks).
· Almacenamiento encriptado en porciones del disco duro.
· Eliminación irrecuperable de archivos.

Nos centraremos, no obstante, en las dos formas más comunes de
uso de PGP, la firma electrónica y la encriptación. Para usar
cualquiera de estas funciones, el usuario de PGP tiene que crear una
pareja de claves (key pair), que es la base sobre la que se sustenta la
criptografía de claves públicas. Crear la pareja de claves es muy
sencillo, pues es la aplicación PGP quien se encarga de prácticamente
todo.

Claves privadas y claves públicas
Una de las claves que forman la pareja es la clave privada (private
key), que hay que proteger siempre de extravíos y accesos no
autorizados, pues toda nuestra seguridad se basa en que nadie más

tenga acceso a ella. Para reducir su vulnerabilidad, la clave privada
está protegida por una contraseña compleja en forma de frase
(passphrase), que es mucho más segura que una contraseña típica
de menos de diez caracteres. Su utilidad es desencriptar los mensajes
que nos sean enviados de forma segura.

La clave pública, por el contrario, hay que distribuirla a todas aquellas
personas con las que queramos mantener comunicaciones seguras.
De hecho, es habitual hacerlas disponibles en servidores públicos a
los que cualquiera puede acceder para descargarse las claves públicas
de sus contactos. Podría parecer que distribuir libremente nuestra
clave pública es una forma de bajar nuestras defensas, pero no es
así: la clave pública está encriptada y, además, su única utilidad es
cifrar (encriptar) los mensajes y archivos que los demás quieran
enviarnos a nosotros. Con ella, es imposible desencriptar los
mensajes o archivos que alguien nos haya enviado, ni es posible
tampoco hacerse pasar por nosotros firmando un archivo. Para eso
haría falta disponer de la clave privada, que nosotros tenemos a buen
recaudo en nuestro ordenador.

PGP se integra con los programas lectores de correo electrónico más
usuales para hacer que encriptar y firmar mensajes no consista en
más que hacer click sobre un botón. Al encriptar un mensaje, se nos
pedirá que indiquemos a quién se lo vamos a enviar, para así elegir la
clave pública correcta con la que cifrarlo. Para firmar, en cambio, se
nos pedirá que tecleemos la contraseña de nuestra clave privada, con
lo que evitamos también que alguien que use nuestro ordenador en
nuestra ausencia pueda hacerse pasar por nosotros.

¿Cómo funciona PGP al enviar correo encriptado?
Cuando enviamos un mensaje encriptado a otro usuario de PGP, el
programa crea una clave de sesión, que es independiente de nuestras
claves privadas o públicas. Esta clave de sesión es un número
generado de forma aleatoria por el programa basándose en el
movimiento de nuestro ratón y las teclas que pulsamos. Esa clave de
sesión se usa para encriptar el texto del mensaje, con lo que ya no
hay forma de "ver" el mensaje. Antes de enviarlo, la clave de sesión
se encripta utilizando la clave pública del destinatario y ambos
paquetes, texto encriptado y clave de sesión encriptada se envían
juntos.

Al recibir el mensaje, la copia de PGP del destinatario desencripta la
clave de sesión usando la clave privada. Una vez tiene la clave de
sesión, se desencripta el texto del mensaje con ella.

Se puede observar que PGP no sólo usa criptografía de clave pública,
sino también criptografía convencional (sustitución de caracteres) al
generar la clave de sesión y encriptar el texto con ella. Esa mezcla de
ambos métodos es lo que da a PGP la velocidad de la criptografía
convencional y la seguridad de la de clave pública. Una combinación
perfecta.

En realidad, PGP realiza más operaciones cuya explicación se escapan
del ámbito de este artículo. Entre ellas cabría destacar la compresión
del texto antes de la encriptación, lo que proporciona dos ventajas
añadidas: la reducción del tamaño del archivo que hay que transmitir
por Internet y la eliminación de patrones reveladores del texto que
subyace bajo el código encriptado.

¿Es seguro PGP?
Sí. Podemos afirmarlo de forma rotunda. PGP se basa en algoritmos
cuya robustez ante ataques está muy lejos del alcance de cualquier
hacker profesional. La criptografía de claves públicas y los algoritmos
utilizados se vienen estudiando desde hace 25 años y son los más
robustos que existen. Más específicamente, PGP fue diseñado y
probado por los criptógrafos más competentes del mundo y, hasta el
momento, nadie ha sido capaz de romper su código. Para descifrar un
mensaje encriptado con PGP haría falta tal poder de computación que
resulta impensable que ningún individuo o compañía privada pudiera
hacer frente a los costes. Nótese que, con las computadoras que
existen hoy día, harían falta muchos años de cálculos constantes para
acercarse al éxito.

Sin embargo, esto es sólo válido para el mundo de los ciudadanos de
a pie. La pesadilla de todo criptógrafo es el poder de computación del
que, supuestamente, disponen los gobiernos de las grandes potencias
mundiales. No se sabe si gobiernos como el estadounidense son ya
capaces de descifrar a bajo coste mensajes encriptados con PGP. Si
necesitáramos protegernos de este tipo de ataques institucionales,
posiblemente una solución estándar como PGP se nos quedaría corta
pero, ¿a cuánta gente conocemos que necesite proteger su
información de los gobiernos extranjeros?

Ahora bien, por muy seguro que sea PGP, la falta de sentido común y
los descuidos pueden hacer vulnerable hasta el más complicado de
los algoritmos de encriptación. Ejemplos de malas prácticas pueden
ser: permitir que alguien copie nuestra clave privada, utilizar
contraseñas muy fáciles de adivinar o no eliminar archivos
comprometedores completamente. En el mundo real, la inmensa
mayoría de los ataques a la seguridad y la privacidad de las
comunicaciones no los llevan a cabo hackers inadaptados y
superdotados, sino nuestros propios compañeros y empleados, pues
es hacia donde nuestras defensas se presentan más débiles.

La vulnerabilidad más acuciante de PGP, aunque no es un problema
del programa en sí, es la posibilidad de que otros se hagan pasar por
quienes no son. Por ejemplo, cualquiera podría crear una pareja de
claves con el nombre de una personalidad de la vida pública y
empezar a firmar mensajes con esa clave. Los usuarios más
inexpertos o más crédulos podrían pensar que han recibido un
mensaje de esa persona con sólo ver que su nombre aparece en la
firma digital. Pues bien, para confiar al 100% en una clave pública o
una firma, es necesario que se den una de las dos condiciones
siguientes:

· La clave pública nos ha sido entregada directamente por la
persona a la que pertenece. Esto no tiene por qué ocurrir
físicamente, es decir, no tienen por qué darnos la clave pública en
la mano. Pueden enviárnosla por correo electrónico y, al recibirla,
podemos comprobar que lo que nos ha llegado es la clave pública
de esa persona llamándola por teléfono y verificando los números
de control.
· La clave pública está firmada por otras personas en las que
confiamos. Al recibir una clave pública, es posible ver quién confía
ya en esa clave y, si ellos son a su vez de confianza, aceptarla e
incluso firmarla nosotros mismos.

Aún así, puede quedarnos un cierto poso de incertidumbre. Para
resolverlo, lo mejor que se puede hacer es utilizar certificados
digitales, que no son más que la firma de una autoridad reconocida
sobre nuestra propia firma digital. Esto, a diferencia de PGP, no es
gratuito.

Utilidad práctica de PGP
En nuestra actividad diaria, PGP puede usarse para solucionar
multitud de problemas relacionados con la seguridad. Desde los más
básicos y banales como enviar cartas de amor a nuestra pareja
mientras está en la oficina, hasta los más serios y complejos, como
impedir que la competencia se adueñe de nuestros planes de futuro o
garantizar que el mensaje por el que se aceptaba un acuerdo lo
escribimos nosotros realmente.

Si nos paramos a pensar, la utilidad que podemos sacarle a PGP es
mayor de lo que parece a simple vista. Por ejemplo, los profesores
pueden utilizar PGP a la hora de comunicarse con sus alumnos. Si un
profesor firma con PGP todos sus mensajes, se garantiza que ningún
"bromista" pueda anunciar en su nombre un falso cambio en la fecha
del examen.

Nuestros competidores también pueden verse perjudicados en sus
intentos malintencionados de hacerse pasar por nosotros. En
Internet, se dan casos constantemente de avispados que contactan
con los clientes de otras empresas y les hacen llegar información
basura para provocar su enfado. También es habitual el caso de los
que se hacen pasar por administradores de sistemas (webmasters,
administradores de listas de distribución, administradores de servicios
gratuitos, ...) para hacer llegar a los abonados al servicio mensajes
comerciales que se ven rodeados de un halo de confianza al provenir,
supuestamente, de alguien en quien confiamos.

En general, la encriptación y la firma de mensajes debería usarse
aunque la información que manejamos no sea especialmente
sensible. Normalmente, cuando echamos una carta al buzón de
correos, cerramos el sobre. Esto es así porque no queremos que otros
lean su contenido. ¿Por qué vamos a exigirnos menos al enviar un
mensaje por Internet? PGP es el programa que sirve de sobre a
nuestras cartas por Internet.
Por si todo esto fuera poco, PGP es gratuito para fines no
comerciales. Las versiones profesionales, además, tienen precios
inferiores a los 20 Euros, lo que convierte al programa en una
solución de seguridad enormemente económica.

El mayor problema de PGP
Pese a lo que pudiera parecer, el mayor problema de PGP no tiene
nada que ver con los hackers, los algoritmos y demás cuestiones
técnicas. En realidad, su mayor desventaja es que son pocos sus
usuarios, aunque su número aumenta a pasos agigantados.

Hay pocos motivos para no usar PGP, pues sus características
suponen un salto cualitativo en lo que a nuestra forma de usar
Internet se refiere, pero la mayoría de los Internautas simplemente
desconocen su existencia. No obstante, el número de usuarios de PGP
es infinitamente superior al de las demás aplicaciones gratuitas de
seguridad que podemos encontrar, por lo que no deja de ser el líder
en su sector con una gran ventaja sobre sus competidores.

Conclusión
PGP es una aplicación de seguridad y privacidad como ninguna otra.
Económica, robusta y extendida por todo el mundo, PGP es
probablemente la solución más avanzada al tan discutido problema
de la privacidad del correo electrónico. Un uso cabal y cauto de PGP
puede alejar de nuestros negocios y de nuestra vida diaria la sombra
de los intrusos.

Recursos
Para descargar una copia gratuita del programa, diríjanse a
http://www.pgpi.org/

Para adquirir la versión profesional, pueden visitar
http://www.pgp.com

Nota: Es probable que en esta página web no aparezcan todos los elementos del presente documento.  Para tenerlo completo y en su formato original recomendamos descargarlo desde el menú en la parte superior

iMarketing.es – Consultoría informática y de gestión, servicios tecnológicos y de outsourcing

http://www.imarketing.es/articulos