Cuestiones de
Seguridad en los Organismos de Derechos Humanos:
Datos en Computadoras
y Correo Electrónico
Andrea
Heck
Robo de Datos
Frecuentemente
nos enteráramos a través de diversos medios informativos que las “fuerzas de
seguridad” o “elementos desconocidas” han allanado el local de algún organismo
de derechos humanos y robado las computadoras con los discos duros y los demás
medios para acumular datos. En muchos casos, los agresores sin mayor esfuerzo
llegan a usar los datos contenidos allí: nombres de testigos, víctimas,
acusados, detalles sobre los casos, estadísticas, planes de trabajo, redes de
colaboradores, etc. Los datos están allí sin ninguna protección especial. Esto
ya es muy preocupante por la cantidad y calidad de los datos “caídos” en las
manos de los agresores, seguramente los mismos que cometieron gran parte de los
crímenes que los organismos humanitarios investigan. Aquí, por lo menos el
hecho del robo de los datos es algo que se puede notar.
Pero
hay otras posibilidades de que nos roben las informaciones, sin que tengan que
allanar las sedes de nuestros organismos. Por ejemplo, el robo de datos
mientras se los manda por correo electrónico.
Aunque
el envío de cartas y documentos de computadora a computadora parece ser más
seguro que el teléfono o el fax, no lo es. Realmente es más fácil buscar aún
dentro de muy grandes cantidades de cartas de acuerdo a palabras claves. Y
esto no se nota. Pasa inadvertido para la mayoría. La carta llega normal,
pero los agresores, que siempre disponen de tecnología de última generación,
también la tienen pues han podido copiarla.
Protección: Utilizar el software
PGP
Desde
hace algunos años ya existe un programa para la protección de las cartas
electrónicas que es muy seguro, muy fácil, que corre en la mayoría de sistemas
operativos, y se consigue gratuitamente en internet:
se llama PGP. Phil Zimmerman,
un ciudadano estadounidense, escribió las primeras versiones de este programa,
ya como “freeware” – para distribución gratuita en internet, hasta el gobierno de los Estados Unidos le
prohibió la exportación. Como el programa estaba basado en el algoritmo
publicado por tres matemáticos israelíes en 1978, no era difícil inventarlo de
nuevo.
Ahora
una empresa está distribuyendo el PGP. Para empresas y uso comercial piden
una contribución económica, pero para individuos y organismos no-comerciales
sigue siendo gratuito. En EE.UU. se ofrece solo
una versión con claves más cortas. Ahora, el programa ya está siendo utilizado
por millones de personas y empresas en todo el mundo y con todos los sistemas
operativos.
Cómo funciona el PGP? – Cifrado
y descifrado con un par de claves
Cada
uno que quiere participar en una red de comunicación particular se crea un par
de claves: una clave pública y una clave privada. La privada hay que guardarla
en la propia computadora. Se la puede usar solo junto con la palabra clave, la
cual no se debe anotar en ningún lugar, y tampoco olvidar, por supuesto. La
clave privada sirve para descifrar todos los mensajes y archivos que han sido encriptados con la clave pública.
La
clave pública se puede distribuir a todo el mundo. Con la clave pública, uno
puede encofrar los mensajes. Para mandar un solo mensaje a un grupo de
personas, basta elegir todas las claves públicas de estas personas para encifrarlo. Solo una de las claves privadas es necesaria
para abrirlo.
Entonces,
es como que una clave, pública, solo sirve para cerrar, y la otra, la privada,
solo sirve para abrir. Y como es así, la clave pública se puede distribuir
libremente, hasta ponerla en servidores públicas que sirven como “guía de
teléfono” para que la busquen personas que deseen mandarle cartas. No le sirve
nada al agresor tener la clave pública de alguien en la mano: no va a poder
descifrar nada.
Intercambio de las claves
En el
intercambio de las claves públicas, es importante saber que la clave que he
recibido de una persona es auténtica, es decir, que es realmente la clave de
esta persona. La posibilidad más segura es el intercambio directo de las claves
públicas en floppy disk, cuando las personas se
encuentran. Lo segundo es que un amigo común de A y B, que ya ha intercambiado
claves con A, usa su propia clave secreta para autentificar la clave pública de
B (que él le entrega personalmente) y mandárselo a A.
Pero cuando
ha recibido la clave por correo electrónico o por una servidora pública, hay
caminos para asegurar que es auténtica: primero, la uso solo para mandar mi
clave pública al destinatario, y me pongo de acuerdo con el para una llamada
telefónica. Allí, podemos mirar cada uno la huella digital que lleva cada clave
pública (el “fingerprint”): una secuencia de letras y
cifras, y hacer escuchar al otro. Como cada para de claves es singular y no hay
dos iguales en el mundo, también el fingerprint es
diferente. Cuando estoy seguro que la clave es auténtica, la pongo en mi
“llavero” electrónico. Desde allí, la puedo usar.
Uso para protección de datos en
la propia computadora
Para encriptar algunos archivos importantes en la propia
computadora, a fin de que solo puedan acceder a ellos algunos miembros del
mismo organismo, se puede hacer la misma cosa como para mandarla a un grupo:
usar las claves públicas de varios miembros confiables del organismo al mismo
tiempo.
Si encifran la única copia de un documento de esta manera, y
dejan que el PGP borre el original después de encifrarlo,
nadie más que estas personas podrán acceder a la información.
Cómo conseguir el PGP?
Si
usted está conectado al internet, puede buscar la
página www.pgpi.com. Allí encuentra la
versión internacional más nueva de PGP para diferentes sistemas operativos
(como Windows 95, Windows NT, etc.). Escoja la versión para su sistema, y con
un doble clic ya recibirá el programa en su propio disco duro. EL programa se
instala automáticamente cuando se lo usa.
Nota:
como los EE.UU. están haciendo esfuerzos de prohibir
la exportación de software para la encriptación también desde los estados
europeos, hay que actuar lo más pronto posible para conseguir todavía una versión
completa (con las claves más largas posibles). Pero de todos modos siempre hay
otras computadoras más en el internet donde se
encuentra el programa.
Más información
EL
programa viene ya con su manual en inglés. Para l aversión 5.5.3i, hay una versión
traducida al castellano también. Sobre la mayoría de los asuntos importantes,
esta contiene ya la información necesaria. La versión más nueva es la 6.0.2.
De todos
modos, como consideramos importante para todos los organismos de derechos
humanos usar el programa, vamos a poner links a una versión más amplia con
información detallada en español en nuestra página bajo: www.derechos.org.