Criptografía y su legislación.

Infraestructura de Seguridad para la criptografía.

La Infraestructura Extendida de Seguridad (IES) es un sistema diseñado y administrado por Banco de México con el propósito de fortalecer la seguridad de la información que se transmite tanto en los sistemas de pago como entre el sistema financiero mexicano y el Banco Central. 

La IES administra certificados digitales, los cuales son a su vez mensajes de datos firmados digitalmente por una entidad del sistema de administración. La seguridad está basada en el uso de firmas electrónicas mediante la aplicación de algoritmos criptográficos para garantizar la confidencialidad e integridad de la información que se transmite y a su vez acreditar la identidad del remitente.

En la actualidad en México no existe legislación alguna respecto a la criptografía, sin embargo está metodología es muy utilizada en el día a día de cientos de personas sin que ellas conozcan su funcionamiento o existencia. 

Los sistemas de seguridad se construyen aplicando técnicas basadas en el uso de algoritmos criptográficos, cuya función primordial es transformar un mensaje en un texto no inteligible excepto para el destinatario, ya que éste es el único que puede efectuar la transformación inversa y por lo tanto conocer el mensaje original. Al texto ininteligible se le conoce como documento cifrado o criptograma.

En la criptografía actual las transformaciones se efectúan por computadora mediante el uso de algún algoritmo y un conjunto de parámetros llamados claves, las cuales son palabras o secuencias de caracteres generados en forma aleatoria. De esta forma, un mensaje M se transforma en un criptograma C mediante un algoritmo de cifrado y, a partir de C se obtiene M 4 mediante un algoritmo de descifrado, utilizando las claves que correspondan en cada caso para realizar las transformaciones.

En la criptografía moderna la seguridad de un sistema no está basada en mantener los algoritmos de cifrado y descifrado en secreto, sino en el tiempo que tomaría descifrar un mensaje sin tener conocimiento de la clave correspondiente.

La criptografía como ahora sabemos, tiene la funcionalidad de permitir la protección de datos para los usuarios, como algunos ejemplos podríamos referirnos a aplicaciones muy comunes como lo son Whatsapp, que funciona con un sistema de encriptado que evita que otras personas puedan acceder a tus mensajes y visualizarlos de manera sencilla. La criptografía también es usada comúnmente para la seguridad de firmas electrónicas y documentos oficiales con la misma.

La firma electrónica se puede definir como el conjunto de datos que se agrega o adjunta a un documento electrónico y está asociado en forma lógica al propio documento y al signatario. Esta firma se utiliza para identificar al autor del documento y asegurar que el documento no fue alterado.

La generación de una firma electrónica se realiza aplicando primero una función resumen sobre el documento que se desea firmar para así obtener el resumen correspondiente, después se cifra el resumen con la clave privada del signatario. Al texto cifrado resultante se le llama firma electrónica, el cual depende tanto del documento origen como de la clave privada del signatario.

Al resultado de concatenar el documento origen y la firma electrónica se le denomina documento firmado electrónica o digitalmente.

A fin de proveer una operación segura y eficiente tanto en los sistemas de pagos como en la comunicación a través de mensajes electrónicos protegidos mediante algoritmos de criptografía asimétrica (clave pública y privada), es necesario tener una infraestructura que permita administrar y distribuir las claves públicas en forma ágil y con la confianza de que cada correlación de clave pública y usuario implica necesariamente la corroboración de la identidad de los usuarios con base en la comparecencia física y presentación de documentación oficial.

La IES también es la responsable de certificar la seguridad de todos los procesos de criptografía llevados a cabo. Es por ello que se rige bajo las siguientes normas que aseguran la protección de los usuarios.

La implementación técnica del sistema de la IES (el diseño y control del código fuente así como la configuración inicial de las máquinas en las que se ejecuta dicho sistema), es responsabilidad de la Gerencia de Informática de la Dirección de Sistemas Operativos y de Pagos de Banco de México.

La operación de los componentes de la IES está asignada a áreas distintas. Esto es, el personal encargado del desarrollo y mantenimiento del sistema de la IES tiene bajo su responsabilidad la administración de la ARC y el personal responsable de la operación de la IES, tiene a su cargo el control de los passwords de acceso a los servidores y a las cuentas de usuario de los equipos que albergan el sistema.

Los equipos de cómputo que albergan los programas de la IES tienen habilitadas únicamente dos cuentas, una para el administrador del sistema y otra, sin privilegios, bajo la cual se ejecutan los programas de la IES.

Los archivos de bitácora del sistema son revisados periódicamente para detectar intentos de acceso no autorizados y en su caso, tomar las medidas preventivas y/o correctivas necesarias.

El área de desarrollo y mantenimiento de la IES, estableció la configuración inicial de las computadoras en las que se ejecutan los programas de la IES , con los servicios de red deshabilitados, a fin de evitar que persona alguna esté en posibilidad de tomar el control de los sistemas desde un lugar remoto de la red y de limitar los accesos no autorizados que pudieran dañar el sistema.

Toda modificación a la configuración de los equipos de cómputo de la IES, cambio de versión del sistema IES o sistema operativo, debe ser supervisado y certificado conjuntamente por personal de las áreas competentes de Banco de México.

El proceso de expedición y registro de certificados de AC’s y AR’s es realizado por el Área de desarrollo y mantenimiento de la IES y supervisado por el Área de operación para verificar que se den de alta sólo aquellas agencias que cumplan con los lineamientos establecidos en las disposiciones aplicables.

Sólo se realizan conexiones a través de la red de telecomunicaciones con los servidores de la IES que estén debidamente documentadas, y se supervisa periódicamente que no existan conexiones no autorizadas.

Los programas de la IES únicamente pueden crear, abrir o modificar archivos que estén claramente especificados, de los cuales se conozca su contenido y esté de acuerdo con la documentación del sistema. Dichos programas son verificados periódicamente para garantizar el cumplimiento de la condición antes referida.

Se cuenta con una copia de los resúmenes digitales de los programas ejecutables de la IES, con el objeto de verificar en cualquier momento, que las versiones ejecutables en producción no han sido modificadas sin la autorización correspondiente.

Existen planes de contingencia del sistema IES los cuales son probados periódicamente.

Dichos planes consisten en mantener un respaldo diario de la información de la base de datos, copiándolo tanto a un servidor alterno, como en una cinta magnética. Asimismo, se mantiene un esquema de cluster de alta disponibilidad con dos nodos para la ARC, de manera que si se llegare a perder el nodo activo, inmediatamente entraría en operación el nodo alterno.

Además todos los servidores de la IES cuentan con arreglos de discos en espejo y notificaciones para que, en caso de falla de alguna parte del equipo, se pueda actuar de manera pronta y expedita y no se pierda la información..

De está manera se mantiene la seguridad y la protección de los programas administradores de claves para los usuarios, garantizando la inviolabilidad de su información.

Bibliografía: Cuervo, J. (2014). Infraestructura Extendida de Seguridad (IES) (Banco de México) - Informática Jurídica. [online] Informática Jurídica. http://www.informatica-juridica.com/anexos/infraestructura-extendida-de-seguridad-ies-banco-de-mexico/ [Accessed 5 Feb. 2017].