Entrevista

'Los nuevos ciberataques persiguen un beneficio económico'

La necesidad de nuevas tecnologías de gestión y seguridad en el acceso informático hace de RSA una firme candidata para participar en un negocio millonario. Su presidente, Art Coviello, dibuja un panorama en el que los password pasarán en breve a la historia.

Cuatro años después de entrar en España, RSA Security (Bedford, Massachusetts) habla de un mercado prometedor para la implantación de sistemas de seguridad electrónica. Su presidente, Art Coviello, analiza el fenómeno del phising -falsificación de webs corporativas para obtener las claves del usuario- y asegura que las actuales barreras no han sido capaces de frenar los ataques informáticos.

Pregunta El phising ha demostrado que los sistemas de seguridad se pueden burlar con un mínimo de ingenio. ¿Cuáles son los nuevos riesgos informáticos?

Respuesta El número de riesgos crece y el phising es sólo un ejemplo. Los ciberataques han dejado de centrarse en toda la infraestructura para ser más específicos. Es decir, antes interrumpían el servicio en las redes y tenían como objetivo hacer famoso al autor, mientras los más recientes van a por el usuario de forma individual y persiguen un beneficio económico para el delincuente.

'Los bancos limitan la cantidad de servicios en línea que prestan por miedo'

P ¿Puede combatirse un fraude como el phising con la tecnología actual?

R Lo más peligroso es que requiere la participación activa del cliente, por ejemplo de un banco, para que el timo salga bien y éste confía sus datos en muchas ocasiones. Los efectos del phising pueden reducirse e incluso erradicarse con educación y con algo de tecnología. Personalmente me preocupan más los ataques sofisticados, como el spyware virus espía, los troyanos capaces de capturar información confidencial...

P ¿Cómo inciden las nuevas amenazas en el sector de seguridad informática?

R Sin duda crea una oportunidad de negocio para todos nosotros. En el caso de RSA Security tenemos soluciones para eliminar las claves por completo y proteger las identidades de los usuarios de los PC. No obstante, la seguridad no debe ser una carga para instituciones, empresas e individuos.

P ¿A qué se refiere?

R Los bancos, por ejemplo, limitan la cantidad de servicios en línea que prestan por miedo. Si comenzamos a resolver el problema del fraude de identidades, desplegando soluciones robustas de autenticación, estaremos facilitando la oferta de nuevos servicios en la red.

P A los ataques sufridos por Windows se suman en las últimas semanas otros que afectan a MacOs (sistema operativo de Apple), Linux o a los dispositivos móviles. ¿Supone éste un nuevo campo de actividad para empresas como RSA?

R La mayoría de los expertos en seguridad estamos de acuerdo en que no hay un problema único ni una respuesta única. Por esa razón Intel, por ejemplo, está creando una nueva generación de procesadores para hacer más robustos los sistemas; Microsoft realiza un esfuerzo increíble para fortalecer la seguridad de su sistema operativo... Nosotros mismos trabajamos con esta última compañía para revolucionar el sistema de claves por completo y reemplazarlas por autenticación de dos factores el password personal más otra contraseña generada aleatoriamente por un dispositivo del tamaño de un llavero.

P ¿Conoce el proyecto español de DNI electrónico? ¿Qué puede aportar a la seguridad en internet?

R Tengo referencias y pienso que las Administraciones deben predicar con el ejemplo en asuntos relacionados con la seguridad. Hemos visto numerosos países, como Suecia, Italia y Australia, en los que se está evaluando la implantación de este tipo de tarjetas con un chip y un certificado. También me he reunido con un grupo intergubernamental en Nueva Zelanda y RSA Security está presentando propuestas a concursos o procesos de licitación en diversos países. Está claro que el DNI electrónico mejorará la interacción entre gobiernos y ciudadanos. Sin embargo, no creo que pasar a tener una sola tarjeta en nuestros bolsillos sea una buena idea.

P ¿Qué modelo propone?

R Tal vez no necesitemos tantos documentos como los que acumulamos hoy, pero habrá tarjetas para interactuar con la banca o distintos servicios web. Creo que, al menos, llevaremos un par de documentos electrónicos exigidos por el Gobierno, otro para el banco y dos o tres para identificarnos en internet. Podemos tolerar eso del mismo modo que hoy llevamos distintas tarjetas de crédito y será mucho mejor que recordar 20 contraseñas.

negocio 'La biometría será eficiente, pero en el futuro'

RSA ha encontrado en el token una interesante vía de ingresos. Se trata de un pequeño dispositivo que genera una combinación numérica cada 60 segundos. æpermil;sta es utilizada por el usuario como clave para acceder a servicios en internet. La última interesada en esta tecnología ha sido America Online, que la ha puesto al alcance de miles de internautas para que se identifiquen con su password y con los seis números aleatorios que indica el token.

El AOL PassCode ya está en la calle en EE UU. ¿Han ofrecido el dispositivo a otros proveedores de servicios en la red, como Yahoo o MSN?

Hemos visto interés en este tipo de empresas, pero también de bancos, agentes financieros, aseguradoras y tiendas electrónicas. Ya hemos vendido 16 millones de tokens, pero la oportunidad de este mercado de consumo es de cientos de millones de ususuarios.

Hoy es el token, pero el 11-S impulsó el desarrollo de dispositivos de seguridad basados en biometría. ¿Cuál es su futuro?

A todos nos gusta hablar de biometría porque es fácil entender que pones un pulgar en un escáner y te permiten el acceso a un área restringida. La gente cree que es la panacea de la seguridad, pero hay sistemas más competitivos en precio y que funcionan mejor. No dudo que jugarán un rol dentro de unos años porque la biometría se desarrollará y será más efectiva y eficiente en costes. De hecho, RSA ha patentado tecnología para encriptar información biométrica y esperamos esa evolución.

En cuanto a las tarjetas de identificación, ¿no sería ideal que hubiera un foro para hablar de estándares?

Existen experiencias que tratan de evitar, por ejemplo, que un pasaporte español no pueda ser reconocido en Estados Unidos. Hoy en día tenemos los estándares PKCS, en los que RSA ha trabajado intensamente, y habrá otros como SAML y los proyectos Liberty Alliance y UUS-Security.