SEGURIDAD INFORMÁTICA- Estamos muy atrasados, asegura especialista argentino
Hugo Scolnik: «La tecnología tiene una deuda con el usuario no especializado. Debería enchufarse y listo»
por Ariel Torres / La Nación
Conocí a Hugo Scolnik en marzo, durante la última edición del Congreso y Feria Iberoamericana de Seguridad de la Información, Segurinfo, donde moderé un panel sobre el estado de la defensa, la soberanía y la privacidad en el ciberespacio. Cuando terminó la charla y Scolnik vino a hablarme, lo primero que pensé fue: «Seguro que me mandé alguna burrada».
Matemático ilustre (cuando le pregunto su edad, me responde «73, es primo»), experto en criptografía, pionero nuestro de la firma digital y de Internet, fundador del Departamento de Computación de la Facultad de Ciencias Exactas de la Universidad de Buenos Aires y Premio Konex en 2003, el hombre es tan respetado en el ambiente que, varios días después, en una reunión donde abundaban informáticos y hackers, conté que había estado hablando con el Dr. Scolnik, y la reacción fue la misma que si hubiera logrado el autógrafo de una celebrity. Bueno, a su modo, lo es, aunque, en charlas posteriores, insistiera en minimizar su renombre.
Al final, pese a mis resquemores, Scolnik sólo me hizo una observación menor respecto de la charla en Segurinfo. Menor, pero sustanciosa, lo que me inspiró la idea para un reportaje que, luego, por un número de razones, fue postergándose.
Seguimos, no obstante, en contacto por mail y por teléfono. Quería encontrar la ocasión ideal para nuestra charla. Y ya se sabe: las ocasiones ideales no existen.
Hace unos días me llegó su nuevo libro, que me enganchó instantáneamente con las historias de espías y contraespías, de algoritmos de cifrado y de la silenciosa, pero brutal batalla por quebrantarlos. Cuando terminé de leer Qué es la Seguridad Informática, me di cuenta de que no habría mejor oportunidad para el reportaje y, simplemente, lo llamé y, en un rato, mientras se preparaba para viajar a recibir el título de Doctor Honoris Causa de la Universidad de Cuyo, conversamos sobre ciberdefensa nacional, de por qué es tan difícil ser emprendedor en nuestro país y de cómo robots programados en la Argentina golearon a los de Corea del Sur en su propia cancha.
-En su libro usted demuestra con bastante claridad que la Segunda Guerra Mundial la ganó, en gran medida, la criptografía. Me imagino que ese rasgo se ha acentuado mucho, ¿es así?
-No lo creo, aunque el tema tiene dos aspectos. Primero los métodos ahora son inquebrables, pero, por otro, puede haber problemas de protocolo (malas implementaciones, puertas traseras). O se puede usar ingeniería social.
-O explotarse errores humanos.
-Sí.
-¿Qué se está haciendo en la Argentina para aumentar la fortaleza informática del país?
-Bueno, hicimos. Desarrollamos un algoritmo basado en autómatas celulares, simétrico, de 1024 bits. Nadie lo pudo quebrar. Lo usamos diariamente. También un correo inviolable, usando firma digital, sin backdoors, ni generadores aleatorios sesgados. Y un autenticador de dos factores donde dos usuarios distintos no sólo difieren en sus claves, sino también en sus algoritmos.
-Me dice que lo están usando. ¿Quiénes? ¿Dónde?
-El primero se llama Cryptoflash y lo usan varias empresas. El correo inviolable lo usa, por ejemplo, el PAMI, para las transferencias con el Banco Nación. También el banco Macro con Carrefour, para pagar sueldos. El autenticador lo usa OCA, para que los bancos firmen electrónicamente telegramas de contenido legal. También los instalamos en una lista de empresas que puede verse en www.fd.com.ar.
-¿La Argentina está en condiciones de enfrentar ataques informáticos? Me refiero a ataques de otras naciones, espionaje y esa clase de cosas.
-No.
-¿La clase política no entiende la importancia de la seguridad informática?
-En general, no. Siempre creen que eventualmente afectará a otros. Es como proponer seguros contra incendios, pues van a pensar que eso les ocurre a otros, que es un gasto, que es molesto, etcétera. La Argentina gasta más o menos un décimo de lo que se gasta en Estados Unidos para seguridad informática
-Me imagino, por otro lado, que no se trata sólo de soberanía en el sentido tradicional, ¿no? También la lucha contra el narcotráfico y el terrorismo tienen un componente de criptografía importante.
-Así es, y los narcos usan criptografía fuerte. Hace unos años la Interpol me mandó archivos secuestrados a Pablo Escobar y a lo único a lo que llegamos fue a detectar que se hablaba de cuentas en Suiza. Interpol quería todo gratis, pero meterse en esas cosas puede llevar infinitas horas.
-¿Qué significa criptografía fuerte?
-El clásico 3DES usa encripción-desencripción-encripción con 3 claves distintas (el de 168 bits), y no se pudo quebrar. Podés hacer lo mismo con 3 algoritmos distintos y modernos, como AES, Serpent, Twofish, Cryptoflash, etcétera.
-O sea que en este preciso momento se está desarrollando, sobre todo en las redes e Internet, una nueva clase de guerra, por completo invisible, que en lugar de armas convencionales se basa en matemática, computadoras y algoritmos.
-Sí. Por ejemplo, Al-Qaeda usa normalmente esteganografía.
-Esconder datos en imágenes o sonido.
-Eso mismo.
-¿Qué diría que nos falta, como Nación, para ponernos a la altura de esta realidad? Digo, aparte de la inversión.
-Sacarnos a la burocracia de encima. Es como si nos invadiese una potencia y lo primero que hacemos es llamar a una licitación para comprar balas (que será impugnada, irá a jurídicos, etcétera). Hay temas que deben ser extremadamente prioritarios.
-La defensa informática debería ser uno de esos temas prioritarios, supongo.
-Sí, sin duda.
-Usted es un caso raro en el sentido de que salió de la academia para fundar sus propias empresas. ¿Por qué se ve tan poco eso acá y tanto en otros países?
-Porque aquí todo conspira contra la creación de empresas de base tecnológica. Fundamos Firmas Digitales porque, 18 años atrás, yo había hecho un software de firma digital. Se lo mostré a EDS [Electronic Data Systems, hoy parte de HP Enterprise Services] y les gustó. Un día me llamaron para decirme que Interbanking necesitaba mi sistema, pero que debía crear unaempresita. La hicimos, y antes de vender nada nos llegó una boleta para pagar el adelanto de ingresos brutos. En Estados Unidos, si una empresa así pierde plata, no paga impuestos, porque priorizan que este tipo de emprendimientos existan y crezcan. Hicimos Encriptel, para encriptar celulares. Ganamos un Fonsoft, pero no alcanzó el capital semilla, y el Fonsoft nunca lo pagaron.
-¿Por qué cree que hacemos las cosas así?
-Parece un problema psicosocial. Lo prioritario es que a nadie le vaya bien, todo es desconfianza, celos, etcétera. Propuse varias veces el modelo suizo de crear empresas, pero nada. En tecnología lo prioritario es el time to market, pero aquí hay que llenar interminables formularios donde uno tiene que poner todo en claro, cosa que te roben las ideas. La plata nunca llega en tiempo y forma, no hay capital de riesgo, muchos empresarios quieren compartir los gastos con el Estado, pero quedarse con las ganancias para ellos, etcétera. Ahora Google, Yahoo! y otros buscan autenticadores fuertes que vayan más allá del nombre de usuario/contraseña. Lo que inventamos, el que usa OCA, no lo terminamos de patentar por falta de dólares. Ésa sería la solución perfecta. Cuando estuvimos en Corea -por el fútbol robótico- el ministro de industria coreano me dijo que el problema que tenemos en la Argentina es la abundancia de recursos naturales. «Nosotros -me dijo- no tenemos más remedio que hacer tecnología.»
-¿Qué es eso del fútbol robótico?
-La historia es la siguiente: en un viaje a California fui a visitar a un ex compañero de Exactas, Enrique Ruspini, que trabajaba en robótica en el Stanford Research Institute. Justo él volvía de Corea y allí le dijeron que era una lástima que la Argentina, siendo una potencia futbolística, no participara en el campeonato de fútbol robótico, que se iba a realizar en conjunción con la Copa Mundial de 2002. Me preguntó: «¿Te animás?» Pensé que teníamos gente calificada en Exactas en todo lo necesario, así que nos tiramos a la pileta. Compramos unos robots futboleros muy berretas, dada la poca plata que teníamos. Hubo que modificarlos seriamente, y nuestro equipo de científicos comenzó a desarrollar un software totalmente original. Por ejemplo, diseñamos un esquema de teoría de control que nunca se había usado en ese área. Mediante optimización un robot podía decidir si estaba en condiciones de meter un gol. En caso de no poder, determinaba un pase óptimo a un compañero. También se diseñó un monitor que registraba cada partido y podía mostrar a cada instante lo que cada robot tenía en su cabeza. Esto permitió mejorar el rendimiento. Se reprogramaron controladores de Intel y pusimos todo en una computadora de 8 procesadores que donó Hewlett-Packard. Yo diseñé y programé al arquero. Se recibían 33 imágenes por segundo de la cámara de televisión, y el programa las filtraba (por ejemplo descartando rebotes previos a la trayectoria final de la pelota hacia el arco) por medio de un algoritmo de cálculo del movimiento de la pelota, en función del tiempo. En general predecía el punto donde podía entrar al arco con precisión de 1 centímetro. Nos fue muy pero muy bien, hasta que perdimos con Austria, que tenía unos robots muy potentes que ganaban atropellando a medio mundo; eran partidos similares a los que ocurrirían si hay un referí que nunca saca tarjetas. Al final del torneo los fabricantes coreanos de nuestros robots nos desafiaron a jugar contra ellos. Suponían que nuestra performance se debía sólo a que teníamos una buena cámara, así que dividimos la señal para compartir las imágenes con ellos. Les ganamos 8 a 1.
-Su libro tiene una clara impronta de divulgación, se nota una preocupación por el público sin formación técnica. ¿Qué tan expuestos a ataques informáticos estamos los particulares?
-Mucho, pero, en general, el ciudadano de a pie no tiene cosas muy apetecibles para los hackers, excepto que sea idiota, explicite sus contraseñas, tenga fotos comprometedoras…
-Su computadora podría ser usada en una red controlada remotamente por delincuentes informáticos.
-Es cierto.
-Aunque, eventualmente, eso tampoco la afectaría demasiado.
-¿Excepto en performance?
-Que no notaría, prácticamente. Es casi una paradoja, una especie de enfermedad sin síntomas. En todo caso, su preocupación por el público masivo es obvia en el libro, por algo lo escribió en ese registro.
-Creo que el mundo de las tecnologías de la información y las comunicaciones tiene una gran deuda con el usuario no especializado. Cada vez que un conocido me pide consejos, porque le anda todo mal, es para suicidarse. Estas cosas deberían ser como los servicios públicos, o sea, enchufarse y listo. Quizás la computación en la nube lo logre.
-Usted es una de las personas que más saben de seguridad en el país. ¿Cuáles serían los 3 o 4 grandes consejos que le daría a un usuario no especializado?
-Como mínimo, antivirus+firewall+anti malware+rezar [risas]. Muchos amigos navegan por cualquier lado y a cada rato piden ayuda con sus PC. Cuando las reviso, debería hervirlas o bañarlas en alcohol. Piense en el pobre fulano al que se le degradó Windows hasta el punto que le dicen que formatee y proceda a reinstalar el sistema operativo, para luego poner de nuevo todas las aplicaciones… El 95% ni tiene idea del tema.