[HACK] Securmatica 2001
merce at grn.es
merce at grn.es
Thu May 3 11:41:24 CEST 2001
esto sale hoy en el Ciberpais (menos los dos ultimos parrafos)
recuerdos
M&M
---------------------------------------------------------
DURAS CRÍTICAS A LA CERTIFICACIÓN ELECTRÓNICA EN SECURMÁTICA 2001
Mercè Molist
Guerra santa entre fabricantes, desconcierto en sus clientes, desidia
de la administración, soportes inseguros, desconfianza. Los oradores
de la XII edición del congreso Securmática no dejaron nada en el
tintero a la hora de mostrar su pesimismo sobre el sistema de
certificados digitales. Unas 300 personas acudieron a la reunión,
celebrada del 24 al 26 de abril, en Madrid.
"En España estamos en un cuello de botella. La Secretaría de Estado de
Telecomunicaciones debería definir los estándares y no lo hace.
Tampoco hay una lista de registradores. No sabemos cómo debemos
hacerlo para hacerlo bien", se quejaba el catedrático Manuel Medina,
después de presentar una sopa de letras de proyectos europeos,
destinados a la interoperabilidad entre sistemas de certificación, que
tampoco marcha: "La tecnología funciona, pero nos falta decidirnos,
aceptar los certificados unos de otros. La Agencia Tributaria, por
ejemplo, no admite los de las cámaras de comercio. Falta interés por
compartir. Debe fluir la confianza y que desaparezcan las islas",
reclamaba Medina.
Minutos antes, Borja Adsuara, Director General para el Desarrollo de
la Sociedad de la Información, del Ministerio de Ciencia y Tecnología,
había explicado que la moderna ley de firma electrónica deberá
rehacerse y tramitarse otra vez, por errores de coordinación con
Europa. La ralentización del camino de la certificación, que en años
anteriores se presentaba como piedra angular del negocio de la
seguridad informática, hacía razonar a José de la Peña, vocal de
Securmática: "El problema viene porque ha sido una apuesta política.
Los productores, no las herramientas, están en un estado primitivo. No
hay economía. ¿Cuánto cuesta un certificado? ¿Dos mil pesetas? Ni se
sabe".
Jorge Dávila, del Laboratorio de Criptografía de la Universidad
Politécnica de Madrid, cargaba con fuerza contra la inseguridad del
sistema y, especialmente, los problemas de confianza, como la
suplantación de identidad, después del reciente engaño a Verisign por
parte de falsos empleados de Microsoft. En cuanto a la seguridad de la
certificación, afirmaba: "No hay soluciones 'software' que puedan ser
eficaces corriendo en sistemas no adecuadamente protegidos. Las
tarjetas inteligentes no tienen interfaz suficiente para informar
correctamente de lo que se firma. Sería conveniente utilizar otros
artefactos como agendas electrónicas, teléfonos móviles..".
Pero los críticos más duros fueron los técnicos, los encargados de
instalar los sistemas de certificación. Roberto López Navarro, de SGI
Soluciones Globales Internet, se quejó especialmente de los
fabricantes: "Hay una guerra santa. Lo más sangrante es que no se
hablan entre ellos. No puedes coger la autoridad de certificación que
quieres para un producto". En cuanto al servicio, aseguró: "Es
increible que, en herramientas tan caras, la operación de revocación
no está soportada, o que el esfuerzo de los profesionales se vaya al
garete porque una PKI (Infraestructura de Clave Pública) ha decidido
que su forma de trabajar es ésta y, además, no lo documenta. Yo no
puedo poner la mano en el fuego por nada de lo que estoy implantando.
No sabemos qué están haciendo por detrás".
El desabarajuste del comercio electrónico tuvo también su momento de
gloria, con el catedrático José Antonio Mañas dando la culpa a "los
alegres" que han entrado en el sector. Al comercio-e aludió el
director de la Agencia de Protección de Datos, Juan Manuel Fernández
López: "Hay una alarma social por la ausencia de seguridad. Hicimos
una inspección de oficio a empresas y las deficiencias son notables,
hay un incumplimiento con carácter general de la normativa. No se
informa ni se cumplen las medidas de seguridad". El año pasado, la
Agencia puso multas por valor de casi 2.000 millones de pesetas.
Mejor parado salió el negocio de la seguridad informática, que según
algunos ha atravesado el desierto y funciona: la noche anterior al
estreno de Securmática, en la serie "Periodistas" de Tele5, un hacker
con 'piercing' cobraba medio millón por descubrir a un intruso en el
sistema del periódico. A nadie en el congreso le sorprendía el precio.
Como novedad, se presentaron los servicios de seguridad gestionada
para empresas de los operadores Telefónica, Telia y Ola Internet. Se
criticó también que, en los "Acuerdos de nivel de servicio" que
contratan las compañías con sus proveedores, es poco usual que
aparezcan cláusulas de seguridad, como el tiempo de reacción a un
incidente, auditorías o frecuencia de uso de antivirus.
More information about the hacking
mailing list