La Seguridad e Identidad Digital en Internet

Cada día pasamos más tiempo en Internet: realizando gestiones con entidades públicas, compras on line, gestiones con la banca, etc.

Y para llevar a cabo este tipo de acciones, tanto para las organizaciones como para los usuarios individuales,es muy importante sentirse seguro y por lo tanto, protegerse frente a posibles riesgos y amenazas que hagan peligrar nuestra identidad digital.

Ante esta situación, es imprescindible disponer de los sistemas más fiables basados en tecnología criptográfica y culminar así estos procesos en un entorno confiable.
Sobre todo esto, nos habla en este artículo, publicado en Computer World Colombia, Rafael Cuenca, director de desarrollo de negocio de REALSEC Colombia.
A día de hoy, nadie puede poner en duda que la actual sociedad digital en la que nos encontramos inmersos nos ofrece un amplio abanico de posibilidades y ventajas en muchas de nuestras gestiones, como por ejemplo con las instituciones públicas o en procesos relacionados con el comercio electrónico.
Pero además de estas ventajas, no podemos obviar los riesgos asociados al uso de Internet y los nuevos canales de comunicación electrónicos.
En general, toda la opinión pública está muy preocupada por lo problemas relacionados con la seguridad en Internet, debido a que cada vez más, una cantidad importante de nuestro tiempo, de nuestra vida…, transcurre on line.
Esta nueva realidad está provocando un cambio importante en nuestros sistemas de valores, elección, productividad, preferencias…; en definitiva, nos encontramos ante una revolución social en la que factores culturales y conceptos como la privacidad y la intimidad están evolucionando, adaptándose a los nuevos tiempos y a un nuevo entorno competitivo global.
Los casos de fraude online, robo de información…, no sólo ocasionan perjuicio a nivel de seguridad en los sistemas de información; sino que acarrean otros agravantes como el coste económico para las organizaciones y los propios usuarios. Lo que repercute en una reputación digital negativa.
Es en este punto, en el que se están observando diversas tendencias sobre la manera en la que nos identificamos en Internet. Tendencias basadas tanto en normativas como en los hábitos personales de uso y utilización de la tecnología, encontramos algunas paradojas al respecto.
Por un lado, lo primero que llama la atención, es la importancia secundaria que se le da al asunto de la identidad digital o electrónica en Internet, tanto a nivel personal como a nivel empresarial; y no olvidemos que la identidad, es decir, la manera en la que nos identificamos en un sistema en Internet, tiene múltiples connotaciones de carácter social, económico, legal…ya que al fin y al cabo, esto es el tipo de huella que dejamos, la famosa huella digital o rastro que dejamos en Internet.
Por otra parte, los usuarios entienden la identificación en Internet básicamente como un problema de login-password, y esto, aunque tiene por supuesto una gran aplicación, no siempre es aplicable en todo los modelos de autenticación en Internet.
Por ejemplo, es correcto el uso de sistemas de login y password para acceder a la gran mayoría de aplicaciones y servicios en Internet, debido básicamente a su ubicuidad, aplicabilidad y en definitiva a su portabilidad. Pero, siempre que se utilice un password seguro, debe tratarse de un sistema que pueda garantizar el acceso a un sistema determinado y en el caso de que estos sistemas requieran de un mayor nivel de seguridad, se puede recurrir adicionalmente al refuerzo del mismo a través del uso de tarjetas de coordenadas, sistemas de One time password apoyados en comunicaciones SMS, tokens criptográficos, etc.
Ahora bien, en el caso de realizar trámites on line que requieren de un nivel de certificación jurídica del proceso, es necesario utilizar un sistema algo más seguro, en el que además se pueda certificar el no repudio del proceso, siendo en este caso utilizado el sistema asimétrico, a través de certificados electrónicos.
En este sentido, estos certificados electrónicos se convierten en la firma de una persona o de una organización…; en definitiva, son la llave o pieza clave dentro del proceso  de verificación de la identidad en Internet.
Este hecho, no ha pasado desapercibido para los cibercirminales, que en su intento de poder acceder fraudulentamente a los sistemas de información, se han dado cuenta de que la estrategia es precisamente la de suplantar la identidad digital de una persona u organización, ya sea pública o privada, con el objeto de poder acceder a un sistema, generar un fraude online, etc.
Es sintomático el hecho de que la gran mayoría de los malwares actuales utilicen certificados electrónicos robados para poder ganarse la confianza de un sistema y/o de las personas y por ello, debemos preservarnos con los sistemas más robustos del mercado y éstos, son aquellos cuya tecnología está basada en criptografía.
En relación a este riesgo, surge un problema importante que se está dando en las empresas en relación a los certificados electrónicos compartidos por varios usuarios, es decir, aquellos certificados que varios usuarios tienen que utilizar para realizar su trabajo. Un ejemplo de esto es el caso de los certificados jurídicos que identifican a una empresa en sus trámites con las administraciones públicas, en la presentación de impuestos, en la relación con la seguridad social, etc.
Estos certificados, son utilizados por varias personas de los departamentos financieros, jurídicos, contables…, y para que puedan utilizarlos, lo que se hace es copiar el certificado en el equipo de cada persona que lo necesita utilizar.  De esta manera, lo que estamos haciendo es copiar “la firma” de la empresa en múltiples ordenadores, sin tener ningún control sobre ella, ya que una vez que instalamos un certificado (la clave privada del mismo) en el PC de una persona y le damos el pin de desbloqueo, esta persona podrá ya no sólo firmar lo que quiera en nombre de la empresa, ya que tiene la firma, sino que adicionalmente incluso podría exportar el certificado electrónico a otros soportes como son por ejemplo, un llavero USB. Y por lo tanto, podrían sacar esta firma fuera de la empresa, sin que nadie pueda tener un control sobre ello.
Ante este panorama, la situación es crítica para cualquier tipo de organización, ya que corren un gran riesgo al no saber quién, para qué, cómo y cuándo se está utilizando la firma corporativa de la empresa.
A este efecto y con el objeto de que las organizaciones sean proactivas en cuanto a la protección y seguridad de su identidad digital, REALSEC cuenta en su portfolio con una solución llamada CryptoSign Server, que basándose en un servidor criptográfico basado en Hardware (HSM), centraliza el almacenamiento de los certificados electrónicos de la empresa, actuando como una caja fuerte virtual y permitiendo a los usuarios y aplicaciones que hagan uso de dichos certificados de una manera segura, centralizada y auditada. Con todo este proceso, tendremos la certeza de que, en todo momento, la identidad digital de la empresa está segura.

Fdo. Rafael Cuenca

Director desarrollo de negocio REALSEC Colombia.

Sin comentarios

Envia un comentario

Comment
Nombre
Email
Sitio Web