La major part del temps, aquells que volen tenir cura de la seguretat d’un document confidencial en suport digital saben molt bé allò que volen aconseguir. Bàsicament: aquell document ha de ser llegible per al seu destinatari, i no ho ha de ser per tercers. Aleshores, com aconseguir-ho? Una solució molt simple i còmode podria ser emprar la funció de xifratge del tractament de text per encriptar el document, que després s’envia al destinatari a través del correu electrònic com tants altres documents. Però què fer de la contrasenya que el destinatari necessitarà per poder desxifrar i llegir el document? És clar, s’enviarà de nou a través del correu electrònic, i aleshores el destinatari ja ho tindrà tot a punt. Tot va bé, hem fet un esforç superior a la majoria per mantenir la confidencialitat de la nostra informació.
Però... esperem un moment. Com haurà notat de seguida qualsevol especialista de seguretat, en realitat hem fet un parell d’errors molt bàsics. El primer seria confiar en la funció de xifratge del nostre tractament de text. Aquesta és una implementació criptogràfica relativament senzilla i, sobretot, molt ben coneguda per part de qualsevol atacant potencial. És, doncs, fàcil de vèncer si una persona no autoritzada aconsegueix una còpia del document xifrat. Ho és més perquè aquest document permet, per la seva naturalesa, efectuar un nombre d’intents infinit amb una varietat de possibles contrasenyes. No és com el telèfon mòbil, que es bloqueja si es fan tres intents d’obrir-lo amb números PIN incorrectes. Un atacant ben equipat pot, aleshores, fer córrer un programa automàtic que farà servir un diccionari per poder bombardejar el document xifrat i aconseguir aviat o tard esbrinar quina paraula de pas hi hem col·locat.
La segona debilitat del nostre sistema és encara més flagrant. Qualsevol persona que aconsegueixi accés al nostre correu electrònic hi trobarà, ben desats, tant els fitxers xifrats com també la contrasenya que hi dóna accés. En termes criptogràfics, hem comunicat tant el secret –el document xifrat– com la seva clau a través del mateix canal. Una debilitat associada a aquest canal de comunicació fa que, en realitat, ni tan sols valdria la pena prendre la molèstia de xifrar els nostres documents. Per ser més rigorosos, hauria calgut comunicar els documents xifrats al seu destinatari a través d’un canal, i la paraula de pas a través d’un altre, per exemple oralment de cara a cara. Idealment, les contrasenyes ni tan sols s’haurien de plasmar mai per escrit, i si es fa elles també haurien de ser xifrades emprant un altre mecanisme criptogràfic diferent d’aquell de què formen part.
Estem descrivint els efectes d’un atac de paranoia? En realitat, no. Els efectes dels recents atacs a dues empreses importants del país han estat tan sols la punta de l’iceberg. Les nostres dades digitals són cada dia més importants en el marc d’una economia europea i mundial ja fortament digitalitzada. La mateixa immediatesa i velocitat que ens agraden quan fem pagaments digitals o accedim gairebé instantàniament a informacions diverses a les xarxes es giren en el nostre encontre, i fan que els nostres actius digitals també siguin cada dia més vulnerables. Formem part d’un context global i, malauradament, això vol dir que el nivell de seguretat que hem d’aplicar és el mateix que en d’altres països. Aquesta situació és totalment contrària a la sensació que tenim a vegades. Per sort, el nostre país té un índex de criminalitat molt inferior a les ciutats grans que ens envolten, i això ens pot induir en una falsa sensació de seguretat. Però les nostres dades digitals estan exposades al mateix nivell de risc com si visquéssim en qualsevol altre indret del planeta, àdhuc els menys recomanables.
L’exemple d’enviament de document xifrat amb què he començat aquest escrit no és un cas hipotètic. Es produeix bastant sovint, no per manca de bona voluntat d’aquells a qui se’ls escapa, sinó per manca de formació en seguretat digital. Encara no tenim la cultura corresponent i, de ben segur, seria hora que ens hi posem entre tots.
