[HACK] Securmatica 2001

merce at grn.es merce at grn.es
Thu May 3 11:41:24 CEST 2001 

esto sale hoy en el Ciberpais (menos los dos ultimos parrafos)

recuerdos

M&M


---------------------------------------------------------


DURAS CRÍTICAS A LA CERTIFICACIÓN ELECTRÓNICA EN SECURMÁTICA 2001


Mercè Molist
Guerra  santa entre fabricantes, desconcierto en sus clientes, desidia
de  la  administración, soportes inseguros, desconfianza. Los oradores
de  la  XII  edición  del  congreso  Securmática no dejaron nada en el
tintero  a  la  hora  de  mostrar  su  pesimismo  sobre  el sistema de
certificados  digitales.  Unas  300  personas  acudieron a la reunión,
celebrada del 24 al 26 de abril, en Madrid.

"En España estamos en un cuello de botella. La Secretaría de Estado de
Telecomunicaciones  debería  definir  los  estándares  y  no  lo hace.
Tampoco  hay  una  lista  de  registradores.  No  sabemos cómo debemos
hacerlo  para  hacerlo bien", se quejaba el catedrático Manuel Medina,
después  de  presentar  una  sopa  de  letras  de  proyectos europeos,
destinados a la interoperabilidad entre sistemas de certificación, que
tampoco  marcha:  "La  tecnología funciona, pero nos falta decidirnos,
aceptar  los  certificados  unos  de otros. La Agencia Tributaria, por
ejemplo,  no  admite los de las cámaras de comercio. Falta interés por
compartir.  Debe  fluir  la  confianza  y que desaparezcan las islas",
reclamaba Medina.

Minutos  antes,  Borja Adsuara, Director General para el Desarrollo de
la Sociedad de la Información, del Ministerio de Ciencia y Tecnología,
había  explicado  que  la  moderna  ley  de  firma  electrónica deberá
rehacerse  y  tramitarse  otra  vez,  por  errores de coordinación con
Europa.  La  ralentización del camino de la certificación, que en años
anteriores  se  presentaba  como  piedra  angular  del  negocio  de la
seguridad  informática,  hacía  razonar  a  José  de la Peña, vocal de
Securmática:  "El  problema viene porque ha sido una apuesta política.
Los productores, no las herramientas, están en un estado primitivo. No
hay  economía.  ¿Cuánto cuesta un certificado? ¿Dos mil pesetas? Ni se
sabe".

Jorge  Dávila,  del  Laboratorio  de  Criptografía  de  la Universidad
Politécnica  de  Madrid,  cargaba con fuerza contra la inseguridad del
sistema   y,  especialmente,  los  problemas  de  confianza,  como  la
suplantación  de identidad, después del reciente engaño a Verisign por
parte de falsos empleados de Microsoft. En cuanto a la seguridad de la
certificación,  afirmaba: "No hay soluciones 'software' que puedan ser
eficaces  corriendo  en  sistemas  no  adecuadamente  protegidos.  Las
tarjetas  inteligentes  no  tienen  interfaz  suficiente para informar
correctamente  de  lo  que  se firma. Sería conveniente utilizar otros
artefactos como agendas electrónicas, teléfonos móviles..".

Pero  los  críticos  más  duros fueron los técnicos, los encargados de
instalar  los sistemas de certificación. Roberto López Navarro, de SGI
Soluciones   Globales   Internet,   se   quejó  especialmente  de  los
fabricantes:  "Hay  una  guerra  santa.  Lo más sangrante es que no se
hablan  entre ellos. No puedes coger la autoridad de certificación que
quieres  para  un  producto".  En  cuanto  al  servicio,  aseguró: "Es
increible  que,  en herramientas tan caras, la operación de revocación
no  está  soportada, o que el esfuerzo de los profesionales se vaya al
garete  porque  una PKI (Infraestructura de Clave Pública) ha decidido
que  su  forma  de  trabajar es ésta y, además, no lo documenta. Yo no
puedo  poner la mano en el fuego por nada de lo que estoy implantando.
No sabemos qué están haciendo por detrás".

El  desabarajuste  del comercio electrónico tuvo también su momento de
gloria,  con  el  catedrático José Antonio Mañas dando la culpa a "los
alegres"  que  han  entrado  en  el  sector.  Al  comercio-e aludió el
director  de  la Agencia de Protección de Datos, Juan Manuel Fernández
López:  "Hay  una  alarma social por la ausencia de seguridad. Hicimos
una  inspección  de oficio a empresas y las deficiencias son notables,
hay  un  incumplimiento  con  carácter  general de la normativa. No se
informa  ni  se  cumplen  las medidas de seguridad". El año pasado, la
Agencia puso multas por valor de casi 2.000 millones de pesetas.

Mejor  parado  salió el negocio de la seguridad informática, que según
algunos  ha  atravesado  el  desierto y funciona: la noche anterior al
estreno  de Securmática, en la serie "Periodistas" de Tele5, un hacker
con  'piercing'  cobraba medio millón por descubrir a un intruso en el
sistema del periódico. A nadie en el congreso le sorprendía el precio.
Como  novedad,  se  presentaron  los servicios de seguridad gestionada
para  empresas  de los operadores Telefónica, Telia y Ola Internet. Se
criticó  también  que,  en  los  "Acuerdos  de  nivel de servicio" que
contratan  las  compañías  con  sus  proveedores,  es  poco  usual que
aparezcan  cláusulas  de  seguridad,  como  el tiempo de reacción a un
incidente, auditorías o frecuencia de uso de antivirus.

More information about the hacking mailing list