La última feria de SIMO TCI en Madrid y poco antes Telecom 99 en
Ginebra han venido a poner de manifiesto el indiscutible liderazgo de
la telefonía móvil e Internet en el futuro inmediato de las
tecnologías de la información y de las comunicaciones en todo el
mundo. El acceso móvil a Internet, milagro posible gracias a la nueva
tecnología WAP, se ha perfilado como uno de los protagonistas
indiscutibles, acaparando la atención de los principales fabricantes
de productos de telefonía celular y de las operadoras más
importantes, que comienzan a acariciar la idea de un futuro donde
pequeños dispositivos móviles (teléfonos, asistentes personales
digitales (PDA), organizadores y otros increíbles aparatos
presentados en las ferias) desbanquen al PC, abriendo paso a un mundo
donde las comunicaciones graviten en torno a la Internet sin hilos.
El protocolo de aplicaciones inalámbricas (WAP) constituye el
estándar de facto mundial para la prestación de servicios de
información y telefonía sin hilos en terminales móviles digitales y
otros dispositivos inalámbricos, desarrollado por la unión de los
líderes mundiales en el mercado de las telecomunicaciones sin hilos,
tanto fabricantes como operadoras y proveedores de servicios. WAP
permite transportar la riqueza de información y servicios accesibles
desde Internet hasta la pantalla de su teléfono móvil, en cualquier
lugar, en cualquier momento, sin necesidad de cables, de líneas
telefónicas ni de ordenador.
Los terminales móviles con soporte para WAP incorporan además un
micronavegador que sirve para acceder a la información deseada
utilizando el lenguaje WML, de manera similar a como funcionan los
navegadores convencionales en el ordenador leyendo páginas HTML. Por
supuesto, dadas las limitaciones actuales en la velocidad de
transmisión de datos a través de líneas GSM (típicamente 9600 bits/s
para comunicaciones orientadas a conexión y una tasa de transferencia
efectiva de 100 bits/s para SMS) y debido a las reducidas dimensiones
de la pantalla de los móviles (dimensiones habituales de 4×12
caracteres), todavía no resulta posible una experiencia de navegación
con gráficos, animaciones, efectos multimedia y grandes volúmenes de
datos. Pero sí es posible acceder a servicios de información muy
variados, como noticias, finanzas, banca a distancia (v. editorial
anterior, «La nueva banca digital del siglo que viene» en
http://www.iec.csic.es/criptonomicon/susurros/susurros13.html), tráfico,
información y reserva de viajes, el tiempo, ocio, correos
electrónicos y faxes, acceso a bases de datos en intranets
corporativas, directorios de información, etc.
Dado el carácter comprometido de las aplicaciones vía WAP (reserva y
adquisición de entradas y billetes, operaciones bancarias,
compra-venta de valores bursátiles), la seguridad es un prerrequisito
fundamental que exigirán los usuarios y que los bancos y proveedores
de contenidos se esforzarán por ofrecer. WTLS (seguridad en la capa
de transporte sin hilos) proporciona los servicios básicos de
seguridad, como confidencialidad, integridad, autenticación y
protección contra denegación de servicio (DoS), constituyendo el
equivalente inalámbrico del estándar TLS (seguridad de la capa de
transporte, ftp://ftp.isi.edu/in-notes/rfc2246.txt), basado en el
popular SSL v3.0, que sirve para establecer un canal de
comunicaciones seguro entre el navegador del usuario y el servidor
web y del que se ha hablado en repetidas ocasiones desde el
Criptonomicón. WTLS incorpora nuevas características como soporte
para datagramas, handshake optimizado frente a la fuerte sobrecarga
de TLS o SSL y refresco dinámico de claves (las claves son
invalidadas frecuentemente para frustrar el criptoanálisis). Además,
este protocolo ha sido optimizado para redes portadoras con ancho de
banda escaso y largos períodos de latencia.
Desgraciadamente, los pequeños procesadores de estos dispositivos
móviles carecen de la potencia de cálculo para realizar las
operaciones criptográficas posibles en redes fijas con el PC como
herramienta. Compárense los 64 MB de RAM de un ordenador de sobremesa
convencional con los 32 a 64 KB de un teléfono móvil ¡de gran
memoria! y con capacidad de cálculo igualmente reducida. Existen dos
vías de salida: o reducir el tamaño de los procesadores manteniendo
su potencia o explorar nuevas tecnologías criptográficas. En este
sentido, la criptografía de curvas elípticas (ECC) está apuntando
nuevas y prometedoras soluciones para los pequeños dispositivos, ya
que requieren un quinto de la memoria de los criptosistemas
convencionales, a la vez que conservan su seguridad (al menos, dado
el estado actual de nuestro conocimiento de las curvas elípticas). La
empresa Certicom (www.certicom.com) se ha erigido en pionera en
ofrecer productos basados en ECC, incluidas soluciones para WAP. Por
su parte, Entrust está extendiendo su gama de productos PKI también a
WAP.
Sin embargo, la desventaja de las soluciones basadas en ECC es la
difícil compatibilidad con otros productos basados en otros
criptosistemas que utilicen algoritmos como IDEA, DES, RSA, etc.,
problema que deberá ser resuelto.
Para que el móvil acceda a servidores de Internet, es necesaria la
presencia de una pasarela WAP, perteneciente a la operadora de
telecomunicaciones, que traduzca las peticiones en WAP originadas por
el móvil a peticiones en HTTP que entienda el servidor web.
Recíprocamente, las respuestas de los servidores web en HTTP (las
páginas en HTML) deben a su vez traducirse al lenguaje WML para que
se representen adecuadamente en el terminal móvil.
La transmisión de datos entre el móvil y la pasarela se realiza
utilizando los servicios de la capa WTLS, mientras que las
comunicaciones entre la pasarela y los servidores web se aseguran
mediante SSL o TLS. La transmisión segura extremo a extremo es
gestionada de forma transparente y automática por la pasarela WAP.
Ahora bien, este esquema ofrece un talón de Aquiles en la propia
pasarela, ya que requiere descifrar la información de WTLS a SSL y
viceversa. Durante ese breve instante en que los datos se encuentran
en claro en la memoria de la pasarela de la operadora se podría
producir el ataque. La posibilidad es remota, pero real. Empleados
desleales de la compañía o un hábil hacker que comprometiera la
seguridad de la pasarela podrían hacerse con las comunicaciones que
pasan a través de ella.
Los problemas de exportación de la criptografía no harán sino agravar
la situación, ya que en algunos lugares estará prohibido utilizar
algoritmos con plena potencia. No será inusual encontrarse con que la
legislación vigente permita la autenticación fuerte, mientras que
prohibe el cifrado fuerte.
Como vemos, la carrera hacia la Internet móvil no ha hecho sino
empezar. Durante el primer trimestre del año que viene se producirá
el boom del acceso móvil a Internet y tendrá lugar la proliferación
de nuevos portales de acceso, con contenidos y servicios innovadores,
a la medida de los clientes con necesidades de comunicaciones y
conectividad más exigentes. Actualmente, el número de teléfonos
celulares vendidos supera con creces al de ordenadores, y según todas
las previsiones, en el 2002 habrá en España más terminales móviles
que líneas telefónicas fijas. El PC como medio tradicional de acceso
a Internet verá mermar su protagonismo ante el avance imparable de
los dispositivos móviles, que comienzan a convertirse en auténticas
oficinas en miniatura, como centrales de acceso a la información,
envío y recepción de faxes y correos electrónicos y, por supuesto,
comunicaciones de voz. La Internet del siglo que viene podrá caber en
la palma de su mano. ¿La seguridad se verá también igualmente
menguada o será comparable a la de las comunicaciones fijas?
criptonomicon@iec.csic.es
Boletín Criptonomicón #61
http://www.iec.csic.es/criptonomicon
Deja una respuesta