I.2 Clasificación de los Criptosistemas. Medidas, Criterios y Normativas de Seguridad en el derecho comparado.

Históricamente los criptosistemas o sistemas criptográficos para la protección de la información se clasifican según su relación con la historia en sistemas clásicos y sistemas modernos, sin analizar esta como la mejor clasificación desde el punto de vista de la informática, consideramos que la misma permite comprobar el desarrollo de estas técnicas de cifra hoy en día rudimentarias y en algunos casos simples, desde una perspectiva histórica.

Desde el punto de vista clásico los mismos se han dividido de la siguiente forma

 Cifrado por transposición:

 Escítala. Era usada en el siglo V a.d.C. por el pueblo griego de los lacedemonios. Consistía en un bastón en el que se enrollaba una cinta de cuero y luego se escribía en ella el mensaje de forma longitudinal.

• Al desenrollar la cinta, las letras aparecen desordenadas.

• La única posibilidad de recuperar el texto en claro pasaba por enrollar dicha cinta en un bastón con el mismo diámetro que el usado en el extremo emisor y leer el mensaje de forma longitudinal. La clave del sistema está en el diámetro del bastón. Se trata de una cifra por transposición pues los caracteres del criptograma son los mismos que en el texto en claro distribuidos de otra forma.

 Cifrado por sustitución.

• Polybios. Es el cifrador por sustitución de caracteres más antiguo que se conoce (siglo II a.d.C.) pero como duplica el tamaño del texto en claro, con letras o números.

• En 1917 Gilbert Vernam (MIT) propone un cifrador por sustitución binaria con clave de un solo uso

• El cifrador de matrices de Hill. En 1929 Lester Hill propone un sistema de cifra usando una matriz como clave.

No obstante de todo lo anterior podemos afirmar que los mayores avances se lograron en la Segunda Guerra Mundial, los países en conflicto tenían un gran número de técnicos encargados de romper los mensajes cifrados de los teletipos (criptografía moderna).

Esta nace al mismo tiempo que las computadoras. Durante la Segunda Guerra Mundial, en un lugar llamado Bletchley Park, un grupo de científicos entre los que se encontraba Alan Turing, trabajaba en el proyecto ULTRA tratando de descifrar los mensajes enviados por el ejercito alemán con el mas sofisticado ingenio de codificación ideado hasta entonces: la máquina ENIGMA. Este grupo de científicos empleaba el que hoy se considera el primer computador aunque esta información permaneció en secreto hasta mediados de los 70. Su uso y la llegada del polaco Marian Rejewski tras la invasión de su país natal cambiaran para siempre el curso de la Historia.

Desde entonces hasta hoy ha habido un crecimiento espectacular de la tecnología criptográfica, si bien la mayor parte de estos avances se mantenían y se siguen manteniendo, según algunos en secreto. Financiadas fundamentalmente por la NSA (Agencia Nacional de Seguridad de los EE.UU.), la mayor parte de las investigaciones hasta hace relativamente poco tiempo han sido tratadas como secretos militares. Sin embargo en los últimos anos investigaciones serias llevadas a cabo en universidades de todo el mundo han logrado que la criptografía sea una ciencia al alcance de todos, y que se convierta en la piedra angular de asuntos tan importantes como el comercio en Internet.

De forma generalizadora podemos definir los hitos históricos de la criptografía de la siguiente forma.

• La criptografía clásica abarca desde tiempos inmemoriales hasta la mitad del siglo XX.

• El punto de inflexión en esta clasificación la marcan tres hechos relevantes:

– En el año 1948 se publica el estudio de Claude Shannon sobre la Teoría de la Información.

Cifrado Digital

– En 1974 aparece el estándar de cifra DES.

– En el año 1976 se publica el estudio realizado por W. Diffie y M. Hellman sobre la aplicación de funciones matemáticas de un solo sentido a un modelo de cifra, denominado cifrado con clave pública.

A partir de lo cual los criptosistemas poseen una clasificación actual que podemos definir de la siguiente forma.

 En dependencia del tratamiento de la información a cifrar en:

• Cifrado en Bloque y Cifrado en Flujo

 En dependencia del tipo de clave utilizada en la cifra en:

• Sistema con Clave Secreta y Sistema con Clave Pública

Calcificación esta a partir de la cual se han desarrollado diferentes modelos, criterios y normativas de seguridad que entre los principales podemos mencionar los siguientes.

 Modelo de Bell LaPadula (BLP)

 Modelo de Take-Grant (TG)

 Modelo de Clark-Wilson (CW)

 Modelo de Goguen-Meseguer (GM)

 Modelo de Matriz de Accesos (MA)

Criterios y normativas de seguridad

• Criterio de evaluación TSEC. Trusted Computer System Evaluation Criteria, también conocido como Orange Book.

• Criterio de evaluación ITSEC Information Technology Security Evaluation Criteria.

• Criterio de evaluación CC. Common Criteria: incluye los dos anteriores.

Existen legislaciones específicas encaminadas a regular este tipo de actividad, aunque por el momento no han demostrado ser suficientemente efectivas en el control de actividades ilícitas tales como violación de secretos, la propaganda o competencia desleal, los delitos contra la libertad de prensa, los accesos indebidos a sistemas, donde aparecen como preponderantes las figura de los Hackers, los Crackers y los Phreakers.

En el mejor de los casos las previsiones han demostrado ser adecuadas dentro de los límites fronterizos de las naciones, mas no así cuando se intenta reprimir mas allá de los bordes geográficos, siendo esta la característica definitiva de tales actos. Algunos ejemplos de ellos mostraremos a continuación.

 Reino Unido: Hasta 1990, la única legislación vigente que podía otorgar algún tipo de protección, que por supuesto, era muy deficiente para el amplio espectro de delitos de esta naturaleza, era la Ley de Protección de Datos de 1984 (Data Protection Act), según la cual solo había delito si se verificaba un elemento esencial, la existencia de daños o destrozos materiales. No obstante ese requisito material, las cortes habían comenzado a considerar delito a los daños efectuados ala propiedad intangible. En 1990, el parlamento británico sanciono la Ley de Utilización Indebida de Computadoras (Computer Misuse Act) que con el objetivo de brindar seguridad material al contenido en una computadora contra los accesos no autorizados, introduce los tipos de conductas punibles siguientes.

• Provocar en una computadora determinado funcionamiento con la intención de asegurarse el acceso a cualquier programa o información contenida en ella.

• Realizar el mismo hecho mencionado anteriormente, pero con la intención de cometer o facilitar la comisión posterior del delito.

• Causar la modificación, la alteración o la eliminación total o parcial no autorizada de los contenidos de una computadora.

De este modo esta ley, introduce las necesarias modificaciones, entre las que podemos destacar, además de las mencionadas, las contenidas en las ultimas seis secciones, en la que se trata la jurisdicción de la ley y que incluyen previsiones sobre extradición, en las cuales se considera de jurisdicción británica al delito que, sin importar donde fue cometido físicamente, haya tenido sus repercusiones o efectos dentro del territorio de ese país.

 Canadá: Los delitos realizados por medio de computadoras fueron incorporados al Codigo Penal (Canadian Criminal Code) y básicamente están contemplados en las secciones 342 y 430. Las sanciones, están previstas para quien de forma fraudulenta e ilegitima tenga acceso, directa o indirectamente a una computadora, o intercepte o cause que se intercepte a un sistema. Asimismo, se prevén penas de hasta diez años de prisión para quienes alteren datos, intercepten u obstruyan su transmisión o imposibiliten el acceso a quienes están autorizados a hacerlo. Uno de los aspectos a destacar de la legislación canadiense, es que otorga una jurisdicción especial para los delitos cometidos por medio de computadoras, que en caen bajo la orbita de Royal Canadian Mountain Police Y la Information Technology Security Branco, que son los organismos encargados de la seguridad en tecnología de la información en Canadá.

 Israel: Posee legislación sobre delitos realizados por medio de computadoras, incluso existe un organismo con jurisdicción para entender tales delitos, que es el Escuadrón Nacional de Fraudes. No obstante en dicho país, no se ha advertido aun la gravedad de estos tipos de delitos y en consecuencia, resulta común que los hackers, sean empleados por las industrias o las corporaciones.

 España: En este caso, la comisión de delitos por medio de instrumentos informáticos ha sido incorporada al Código Penal (modificación aprobada por Ley Orgánica 10/95, de 23/11/1995), que introduce cambios que permiten la tipificación de delitos cometidos por accesos no autorizados a redes de computadoras o telecomunicaciones , difusión de datos personales reservados, alteración de información, revelación de secretos ajenos, utilización indebida de claves personales, destrucción de programas o datos, plagio de software, estafa con medios informáticos etc. Muchos de los artículos contienen previsiones respecto a la protección de datos personales, otros tratan lo referente a datos reservados a personas jurídicas y se disponen sanciones similares para quienes divulgaren, revelaren o cedieren datos personales o reservados de personas jurídicas. Por lo general, las penas oscilan entre uno y siete años de prisión y días multa. Otras de las normas introducidas, son las prescripciones de los artículos 211 y 212 que hacen responsables en forma solidaria por calumnias e injurias a los proveedores de servicios de Internet. Previsiones estas similares a las dispuestas por la Communications decency Act de los Estados Unidos de América.

De la misma forma, resultan ser de referencia obligada, otros cuerpos o normativas legales dictadas en este país, enfocadas directamente hacia la actividad de protección y seguridad de la información, como lo son.

 Ley Orgánica de Protección de Datos LOPD (1999) (Ley de seguridad Informática en España

• Establece un conjunto de medidas de seguridad de debido cumplimiento por parte de empresas y organismos.

• Ley Orgánica de Protección de Datos LOPD se desarrolla en España en el año 1999 y comienza a aplicarse ya en el siglo XXI.

• Se crea una Agencia de Protección de datos APD que debe velar por el cumplimiento de esta ley mediante la realización de auditorías, al menos cada dos años. La APD la forman 9 personas.

• Se definen las funciones del Responsable de Fichero y del Encargado de Tratamiento.

• Las faltas se clasifican como leves, graves y muy graves con multas de 60.000, 300.000 y 600.000 €.

• En el Real Decreto 994/1999 sobre “Medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal” se definen las funciones del Responsable de Seguridad.

• Establece un conjunto de procedimientos de obligado cumplimiento de forma que además de proteger la privacidad de las personas, se cumplan los principios de la seguridad informática física y lógica.

 La normativa 17799 (Código de buenas prácticas para la Gestión de la Seguridad de la Información: PNE-ISO/IEC 17799 Proyecto de Norma Española)

– Desarrolla un protocolo de condiciones mínimas de seguridad informática de amplio espectro.

• Antecedentes

• Introducción

• Objeto y campo de la aplicación

• Términos y definiciones

• Política de seguridad

• Aspectos organizativos para la seguridad

• Clasificación y control de los archivos

• Seguridad ligada al personal

• Seguridad física y del entorno

• Gestión de comunicaciones y operaciones

• Control de accesos

• Desarrollo y mantenimiento de sistemas

• Gestión de continuidad del negocio

• Conformidad

En 70 páginas y diez apartados, presenta unas normas, recomendaciones y criterios básicos para establecer unas políticas de seguridad. Éstas van desde los conceptos de seguridad física hasta los de seguridad lógica. Parte de la norma elaborada por la British Standards Institution BSI, adoptada por International Standards Organization ISO y la International Electronic Commission IEC.