VANGUARDIA El cerrajero
Hugo Krawczyk, criptógrafo
Estudió en Israel, se perfeccionó en los Estados Unidos y desde hace tres décadas trabaja en el centro Thomas Watson de IBM para desarrollar nuevas ideas y conceptos en pos de mejorar la seguridad en internet. Es que para hacer casi cualquier cosa, hoy, se necesita una llave.
Nacido en la Argentina, egresado del colegio Carlos Pellegrini, Hugo Krawczyk estudió matemáticas primero en la Universidad de Buenos Aires hasta que emigró a Israel, donde completó sus estudios en el reconocido Instituto Technion. Viajó luego a los Estados Unidos para hacer su postdoctorado en la Universidad de Princeton y se sumó al grupo de investigación en criptografía del Watson Research Center de IBM, donde trabajó entre 1991 y 1997. Tras un regreso a Israel —donde dio clases en el Technion— en el años 2004 regresó al Centro Watson desde donde continuó desarrollando diversas investigaciones en temáticas de seguridad digital.
Sus ideas y logros académicos le ameritaron una larga lista de premios, incluyendo uno de los honores más importantes de esta especialidad: el Levchin Prize for Advancements in Realworld Cryptography, “por el desarrollo de esquemas criptográficos para el mundo real”. El Oscar de la criptografía. Este galardón no es más que el reconocimiento a una larga carrera profesional en la que creó y contribuyó al perfeccionamiento de conceptos de seguridad que hoy son centrales para el funcionamiento cotidiano de la web, incluyendo aportes al protocolo Secure Socket Layer (SSL) e ideas y estándares sobre los que se desarrollan aplicaciones de “Virtual Private Networks”, que hoy toda empresa utiliza con sus empleados remotos. Krawczyk también fue el responsable de desplegar conceptos matemáticos y tecnológicos que más tarde encontraron su lugar en el código de apps hiperpopulares —hoy seguras— como Whatsapp y Facebook Messenger, entre otros software.
¿En qué está trabajando en este momento?
Seguimos desarrollando ideas para mejorar el uso de las contraseñas, que es algo fundamental en la seguridad informática. Irónicamente, mucha gente que trabaja en el mundillo informático ve este tema como algo antiguo y que ya no tiene mucho espacio para mejorar. Pero hay desconocimiento; realmente no es así.
¿Es posible hacer más eficientes las contraseñas?
Sí, hay muchos avances posibles, algunos —incluso— ya están desarrollados y otros hay que seguir mejorándolos. Pero lo concreto es que hay soluciones que ya están disponibles y que, si se aplicaran en forma sistemática, nos permitirían tener una internet mucho más segura. Hemos trabajado en una serie de algoritmos matemáticos para lograr que una contraseña "débil" se convierta en una clave criptográfica segura y que solo pueda utilizarla quien conozca la contraseña original. También hemos estado investigando y avanzando mucho en materia de los programas conocidos como “Gestores de Contraseñas", buscando hacerlos menos vulnerables a los ataques de fuerza bruta, pero también más fáciles de usar.”
¿Y qué pensaron?
Probamos agregarle al sistema de gestión de contraseñas un módulo "instalado" en, por ejemplo, el smartphone del usuario. Y logramos con eso que la clave que se genera para poder acceder a un servicio cualquiera sea completamente compleja y aleatoria. Además, la información de ese módulo
“Mucha gente piensa que en el mundillo informático el tema de las contraseñas es algo antiguo y que no tiene mucho espacio para mejorar.”
no es accesible por los atacantes, ni siquiera aunque dicho celular “caiga” en manos del hacker.
¿La biometría es una buena alternativa?
Sí. Puede cumplir un rol, pero lo cierto es que no resuelve todos los problemas. Si la verificación biométrica se completa en forma local, por ejemplo, para habilitar el uso de una laptop, está ok. Pero, si esa información se manda por un vínculo digital para ser contrastada contra una base de datos que resida en un servidor, ahí puede haber un problema grave, porque al pasar por un vínculo todo se convierte en “0” y “1” y ahí vuelven los problemas tradicionales. Por otra parte, si alguien captura la información biométrica de un usuario estamos en un problema, porque ya no es posible cambiar la contraseña: ¡solo tenemos dos ojos, 10 dedos o una cara! Si se roba esa información codificada ya no se puede arreglar.
¿Por qué hoy son cada vez más comunes los robos de datos y las violaciones de seguridad?
Una de las razones es que, en general, cuando a los usuarios se los pone a elegir entre comodidad de uso de un servicio y
resguardar su privacidad, suelen elegir la comodidad y entregar sus datos personales sin detenerse demasiado a pensar en implicancias posteriores. Creo que ahí tenemos mucho por hacer en materia de educación digital. Comenzando, incluso, por los más chicos para generar conciencia sobre privacidad y sobre seguridad. Y para que aprendan, desde temprano, que la seguridad tiene un mayor valor que el que solemos darle.
¿Cómo se explica que periódicamente grandes empresas como Facebook o Google padezcan “pérdidas” de datos?
En parte, creo, porque muchas de esas grandes compañías lucran con la información privada de sus usuarios en forma de publicidad, por ejemplo. Así que si cumplen “demasiado eficazmente” el objetivo de preservar esos datos, en ciertos casos podrían llegar a limitar su uso y eso entraría en contradicción con sus propios objetivos económicos. En otras palabras, tal vez podrían ofrecer mayores medidas de seguridad, pero tal vez también tendrían menos datos para comercializar.
¿En qué otras tecnologías está trabajando?
Otra cosa que estamos desarrollando con varios colegas es una propuesta para cambiar la forma en que trabajan los protocolos de autenticación por medio de contraseñas en todo el mundo. Es una serie de cambios que aspiran a mejorar la forma en que se transmiten las contraseñas y también como se lleva a cabo el proceso de autenticación. Si se adoptan estos conceptos, ya no dependerían del encriptado SSL o de los certificados digitales. Apuntamos a que las claves de los usuarios puedan ser comparadas contra las que contiene el servidor, pero sin que en ningún momento las passwords sean desencriptadas. O sea que seguirían estando seguras incluso aunque el servidor fuera "capturado" por un atacante.
“Cuando el usuario tiene que elegir entre la comodidad y la privacidad, suele entregar sus datos personales sin pensar mucho.”