Suscripción gratis
Susurros
Ariadn@
¿Intimidad?
Artículos
Seguridad
Acceso a BD
Autenticación
Comercio-e
Linux
Navegación segura
Control de acceso
CGI
Java
JavaScript
Cookies
Crashes
Agujeros
Spam
Remailers
Anonimato
Correo
seguro
Web seguro
Consejos prácticos
Referencias
Libro de Visitas
| Internet en la palma de su mano |
La última feria de SIMO TCI en Madrid y poco antes Telecom 99 en Ginebra han venido a poner de manifiesto el indiscutible liderazgo de la telefonía móvil e Internet en el futuro inmediato de las tecnologías de la información y de las comunicaciones en todo el mundo. El acceso móvil a Internet, milagro posible gracias a la nueva tecnología WAP, se ha perfilado como uno de los protagonistas indiscutibles, acaparando la atención de los principales fabricantes de productos de telefonía celular y de las operadoras más importantes, que comienzan a acariciar la idea de un futuro donde pequeños dispositivos móviles (teléfonos, asistentes personales digitales (PDA), organizadores y otros increíbles aparatos presentados en las ferias) desbanquen al PC, abriendo paso a un mundo donde las comunicaciones graviten en torno a la Internet sin hilos.
El protocolo de aplicaciones inalámbricas (WAP) constituye el estándar de facto mundial para la prestación de servicios de información y telefonía sin hilos en terminales móviles digitales y otros dispositivos inalámbricos, desarrollado por la unión de los líderes mundiales en el mercado de las telecomunicaciones sin hilos, tanto fabricantes como operadoras y proveedores de servicios. WAP permite transportar la riqueza de información y servicios accesibles desde Internet hasta la pantalla de su teléfono móvil, en cualquier lugar, en cualquier momento, sin necesidad de cables, de líneas telefónicas ni de ordenador.
Los terminales móviles con soporte para WAP incorporan además un micronavegador que sirve para acceder a la información deseada utilizando el lenguaje WML, de manera similar a como funcionan los navegadores convencionales en el ordenador leyendo páginas HTML. Por supuesto, dadas las limitaciones actuales en la velocidad de transmisión de datos a través de líneas GSM (típicamente 9600 bits/s para comunicaciones orientadas a conexión y una tasa de transferencia efectiva de 100 bits/s para SMS) y debido a las reducidas dimensiones de la pantalla de los móviles (dimensiones habituales de 4x12 caracteres), todavía no resulta posible una experiencia de navegación con gráficos, animaciones, efectos multimedia y grandes volúmenes de datos. Pero sí es posible acceder a servicios de información muy variados, como noticias, finanzas, banca a distancia, tráfico, información y reserva de viajes, el tiempo, ocio, correos electrónicos y faxes, acceso a bases de datos en intranets corporativas, directorios de información, etc.
Dado el carácter comprometido de las aplicaciones vía WAP (reserva y adquisición de entradas y billetes, operaciones bancarias, compra-venta de valores bursátiles), la seguridad es un prerrequisito fundamental que exigirán los usuarios y que los bancos y proveedores de contenidos se esforzarán por ofrecer. WTLS (seguridad en la capa de transporte sin hilos) proporciona los servicios básicos de seguridad, como confidencialidad, integridad, autenticación y protección contra denegación de servicio (DoS), constituyendo el equivalente inalámbrico del estándar TLS (seguridad de la capa de transporte), basado en el popular SSL v3.0, que sirve para establecer un canal de comunicaciones seguro entre el navegador del usuario y el servidor web y del que se ha hablado en repetidas ocasiones desde el Criptonomicón. WTLS incorpora nuevas características como soporte para datagramas, handshake optimizado frente a la fuerte sobrecarga de TLS o SSL y refresco dinámico de claves (las claves son invalidadas frecuentemente para frustrar el criptoanálisis). Además, este protocolo ha sido optimizado para redes portadoras con ancho de banda escaso y largos períodos de latencia.
Desgraciadamente, los pequeños procesadores de estos dispositivos móviles carecen de la potencia de cálculo para realizar las operaciones criptográficas posibles en redes fijas con el PC como herramienta. Compárense los 64 MB de RAM de un ordenador de sobremesa convencional con los 32 a 64 KB de un teléfono móvil ¡de gran memoria! y con capacidad de cálculo igualmente reducida. Existen dos vías de salida: o reducir el tamaño de los procesadores manteniendo su potencia o explorar nuevas tecnologías criptográficas. En este sentido, la criptografía de curvas elípticas (ECC) está apuntando nuevas y prometedoras soluciones para los pequeños dispositivos, ya que requieren un quinto de la memoria de los criptosistemas convencionales, a la vez que conservan su seguridad (al menos, dado el estado actual de nuestro conocimiento de las curvas elípticas). La empresa Certicom se ha erigido en pionera en ofrecer productos basados en ECC, incluidas soluciones para WAP. Por su parte, Entrust está extendiendo su gama de productos PKI también a WAP.
Sin embargo, la desventaja de las soluciones basadas en ECC es la difícil compatibilidad con otros productos basados en otros criptosistemas que utilicen algoritmos como IDEA, DES, RSA, etc., problema que deberá ser resuelto.
Para que el móvil acceda a servidores de Internet, es necesaria la presencia de una pasarela WAP, perteneciente a la operadora de telecomunicaciones, que traduzca las peticiones en WAP originadas por el móvil a peticiones en HTTP que entienda el servidor web. Recíprocamente, las respuestas de los servidores web en HTTP (las páginas en HTML) deben a su vez traducirse al lenguaje WML para que se representen adecuadamente en el terminal móvil.
La transmisión de datos entre el móvil y la pasarela se realiza utilizando los servicios de la capa WTLS, mientras que las comunicaciones entre la pasarela y los servidores web se aseguran mediante SSL o TLS. La transmisión segura extremo a extremo es gestionada de forma transparente y automática por la pasarela WAP. Ahora bien, este esquema ofrece un talón de Aquiles en la propia pasarela, ya que requiere descifrar la información de WTLS a SSL y viceversa. Durante ese breve instante en que los datos se encuentran en claro en la memoria de la pasarela de la operadora se podría producir el ataque. La posibilidad es remota, pero real. Empleados desleales de la compañía o un hábil hacker que comprometiera la seguridad de la pasarela podrían hacerse con las comunicaciones que pasan a través de ella.
Los problemas de exportación de la criptografía no harán sino agravar la situación, ya que en algunos lugares estará prohibido utilizar algoritmos con plena potencia. No será inusual encontrarse con que la legislación vigente permita la autenticación fuerte, mientras que prohibe el cifrado fuerte.
Como vemos, la carrera hacia la Internet móvil no ha hecho sino empezar. Durante el primer trimestre del año que viene se producirá el boom del acceso móvil a Internet y tendrá lugar la proliferación de nuevos portales de acceso, con contenidos y servicios innovadores, a la medida de los clientes con necesidades de comunicaciones y conectividad más exigentes. Actualmente, el número de teléfonos celulares vendidos supera con creces al de ordenadores, y según todas las previsiones, en el 2002 habrá en España más terminales móviles que líneas telefónicas fijas. El PC como medio tradicional de acceso a Internet verá mermar su protagonismo ante el avance imparable de los dispositivos móviles, que comienzan a convertirse en auténticas oficinas en miniatura, como centrales de acceso a la información, envío y recepción de faxes y correos electrónicos y, por supuesto, comunicaciones de voz. La Internet del siglo que viene podrá caber en la palma de su mano. ¿La seguridad se verá también igualmente menguada o será comparable a la de las comunicaciones fijas?
Publicado en el Boletín del Criptonomicón #61.
| Información adicional |
- WAP: Internet más móvil que nunca
- WAP Forum
- PortalWAP
- Phone.com
- Nokia
- Introducción a la Criptografía de Curvas Elípticas
| Otros artículos publicados |
Se pueden leer otros artículos desde la página principal de Susurros desde la Cripta.
| Enviar a un amigo |
Si consideras que este artículo puede interesarle a alguien que conozcas, puedes enviárselo por correo electrónico. No tienes más que indicar la dirección del destinatario, el asunto y tu nombre.
Copyright © 1997-1999 Gonzalo Álvarez Marañón, CSIC. Todos los derechos reservados.
Criptonomicón es un servicio ofrecido libremente desde el Instituto de Física Aplicada del CSIC. Para información sobre privacidad, por favor consulte la declaración de política sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de visitas. Para contribuir al Criptonomicón, lea la página de contribuciones.