Internet está protegida por 14 llaves. Están vigiladas por impresionantes medidas de seguridad para que nadie ponga en peligro el sistema. La confianza de 3.700 millones de usuarios está en juego. Catorce guardianes se encargan de custodiarlas. Hablamos con uno de ellos. Por Carlos Manuel Sánchez

Olaf kolkman es un astrónomo holandés reconvertido en experto en ciberseguridad. Y se le ha encomendado una misión digna de una novela de Tolkien. Tiene en su poder una de las 14 llaves secretas que protegen Internet. «Es una responsabilidad y un honor, aunque no me siento como un guardián», asegura. En realidad, su labor es más parecida a la de un notario. Kolkman da fe de que el sistema no ha sido violado. La confianza de los más de 3700 millones de usuarios de Internet (la mitad de la población mundial) está en sus manos.

Existen 14 llaves que están en manos de 14 personas en el mundo. Respetadas por la comunidad tecnológica y con una larga trayectoria en la protección del ciberespacio. Dos veces al año vuelan desde su país de residencia a Estados Unidos para participar en una curiosa ceremonia que se celebra de manera alterna en dos sedes. Siete lo hacen a Los Ángeles, en invierno y verano, y siete a Virginia (es el caso de Kolkman), en otoño y primavera. Es la firma de la llave maestra. Y es un auténtico ritual.

Ritos iniciáticos

La ceremonia, que dura unas dos horas y media, tiene de todo. Desde tecnología puntera al papeleo burocrático más aburrido, pasando por ritos iniciáticos que bien pudieran valer para una fraternidad masónica. En ella participan testigos, personal de seguridad, informáticos y los siete funcionarios criptográficos, es decir, los poseedores de las llaves, como Kolkman. Todos interpretan un papel diferente en esta escenificación, que tiene un guion milimetrado del que nadie puede salirse ni lo más mínimo. Es pública y se retransmite por streaming. La transparencia es máxima, pero también son máximas las medidas de seguridad. «Generar confianza es el objetivo», explica Kolkman.

conocer, tecnologia, llaves, internet, guardianes, xlsemanal

Cada uno de los guardianes debe ir pasando una serie de controles. Identificarse con su pasaporte, escáneres de retina y sensores biométricos de la palma de la mano. En total son siete niveles de seguridad hasta llegar a la habitación donde se encuentra el dispositivo que generará la nueva clave raíz. Y que solo puede activarse con la participación simultánea de todos ellos

Si algo falla o alguien se salta el guion, todo se paraliza. En casos extremos se autodestruyen las tarjetas inteligentes que se utilizan para acceder a un dispositivo informático que genera algo así como la madre de todas las contraseñas de Internet y que está ubicado en una jaula de acceso restringido. Toda esta parafernalia es necesaria para que el público confíe en el sistema. De esa confianza depende, sin ir más lejos, que el comercio on-line siga creciendo -facturó 1,6 billones de euros el año pasado; el 8,7 por ciento del comercio mundial- o que podamos acceder a nuestra aplicación de banca en el móvil con cierta tranquilidad de espíritu.

La posibilidad de una conspiración que pueda comprometer las claves es de una entre un millón

Para entender por qué tiene lugar esta ceremonia, antes hay que conocer la arquitectura básica de Internet. Y lo primero que hay que saber es una obviedad: los humanos y las máquinas somos bastante diferentes. Por ejemplo, a las personas nos resulta más fácil recordar una dirección de Internet expresada en texto; los ordenadores, sin embargo, se apañan mejor con números.

conocer, tecnologia, llaves, internet, guardianes, xlsemanal

La ceremonia se alarga porque todo responde a una planificación con mucho papeleo burocrático. También se toman una foto con el periódico del día. Empleados de la ICANN e invitados actúan como testigos. Y se retransmite por streaming

Hagan la prueba. Si teclean en su ordenador 216.58.214.54 les saldrá el buscador de Google. Es su dirección IP (Protocolo de Internet). ¿Pero quién es el guapo capaz de memorizar esta cadena numérica y, de paso, todas las de las páginas que visita en Internet? Por eso, cada IP está asociada a un nombre, en este caso google.com. Es el DNS (Sistema de Nombres de Dominio). «Viene a ser como un listín telefónico», explica Kolkman. Tecleas un nombre y el ordenador ‘marca’ el número asociado.

Cada tres meses, siete de los catorce guardianes cambian la supercontraseña de internet. El ritual dura dos horas y media

El sistema DNS tiene un par de peculiaridades. La primera es que el acceso a esa especie de enorme guía de teléfonos está protegido mediante una clave pública y otra privada. La primera vendría a ser como un candado y la segunda, la llavecita que lo abre. Se conoce como DNSSEC y es una técnica criptográfica que nos permite navegar con la seguridad de que nadie ha cambiado una dirección en el listín. Sin esta medida de seguridad, un intruso con ciertos conocimientos informáticos podría acceder al registro de direcciones y modificarlo. «Por ejemplo, un criminal podría redirigir el tráfico de la web de un banco o de una tienda on-line hasta su propio ordenador y robar las credenciales a sus usuarios», cuenta Kolkman.

conocer, tecnologia, llaves, internet, guardianes, xlsemanal

Una empleada de la ICANN abre una de las cajas de seguridad. Se precisan dos llaves para cada caja. una en posesión del custodio y otra de la operaria. Los guardianes deben asegurarse de que todo está intacto y en su sitio desde la ceremonia anterior

La segunda peculiaridad del DNS es que es un sistema jerárquico. ¿Recuerdan cuando en el cole aprendieron a dividir las palabras en lexemas y morfemas, o raíces y desinencias? Pues algo parecido. Esto se hace así para añadir capas de seguridad. Distintas entidades se encargan de proteger los dominios dependiendo del nivel jerárquico. Y una agencia global, llamada ICANN (Corporación de Internet para la Asignación de Nombres y Números), vela por la integridad de la parte más general de cada dominio. Lo que se conoce como ‘zona raíz’. ¿Y cuál es? Lo que hay a la derecha del punto. Es decir, .com, .es, .info, .org, etcétera.

El comité de los 29

La ICANN es una organización sin ánimo de lucro. Es multinacional, aunque pasa por un periodo de transición. Hasta octubre dependía de Estados Unidos, pero el malestar por el espionaje masivo de la Agencia de Seguridad Nacional (NSA) hizo que Obama cediera el control de modo provisional a un comité de 29 miembros de diferentes nacionalidades y en el que participan organismos públicos y entidades privadas, aunque hay quien pide que sea la ONU la que tome las riendas. Por el momento, sus dos sedes principales siguen ubicadas en Estados Unidos y, en última instancia, la corporación se rige por las leyes federales de aquel país.

conocer, tecnologia, llaves, internet, guardianes, xlsemanal

Las 14 llaves de Internet las custodia una organización sin ánimo de lucro llamada ICANN. Cada sede de ICANN -en Los Ángeles y Virginia- tiene asignados siete guardianes ubicados en lugares alejados de centros urbanos, fuera del alcance de un ataque nuclear. Siete de los custodios viajan a Virginia dos veces al año para asistir a la ceremonia que generará una nueva contraseña madre

Una de las sedes está en la Costa Oeste, a las afueras de Los Ángeles, y la otra en la Costa Este, en Culpeper (Virginia), separadas por 4250 kilómetros. Se garantiza así que si una es atacada o sufre un desastre, como un terremoto, la otra siga funcionado. Son instalaciones de alta seguridad, protegidas por guardias, escáneres de retina, sensores biométricos, celdas con cámaras, cajas fuertes… En ambas sedes se custodia un dispositivo informático que genera las claves maestras de acceso al listín. Está en una especie de sanctasanctórum. Y cada tres meses se cambia la supercontraseña que genera todas las demás durante la ceremonia de las llaves. Se hace así para evitar que dé tiempo a los piratas informáticos a desvelarlas mediante ataques de fuerza bruta, en los que van probando miles de millones de combinaciones.

conocer, tecnologia, llaves, internet, guardianes, xlsemanal

Los guardianes: el holandés Olaf Kolkman es uno de los funcionarios criptográficos que participan en la firma de la clave maestra. Es jefe de tecnología de la Internet Society, una organización que promueve el acceso libre a Internet y en la que participan 234 países. Se le considera «un representante confiable» y por eso la ICANN le entregó una de las 14 llaves secretas

Hay siete niveles de seguridad que los poseedores de las llaves deben ir superando -para que la ceremonia tenga lugar, hace falta al menos la presencia de tres de ellos- hasta llegar a una especie de jaula en la que se guarda el mencionado dispositivo, llamado Módulo de Seguridad de Hardware (HSM). El cacharro en cuestión no tiene conexión a Internet. Solo se accede a él mediante pendrive. De este modo se mantiene aislado de los hackers.

Resiste cualquier manipulación. Y, en caso de intrusión, borra automáticamente las claves que almacena. El sistema ha sido diseñado para operar siempre con la presencia de varias personas que colaboran entre ellas. Y no puede funcionar fuera de la habitación donde está ubicado. Estadísticamente y según la ICANN, «la posibilidad de una conspiración que pueda comprometer las claves es de una entre un millón, asumiendo un índice de deshonestidad del 5 por ciento entre los individuos que participan en la ceremonia».


Las cajas fuertes

conocer, tecnologia, llaves, internet, guardianes, xlsemanal

Hay dos grandes cajas fuertes en sendas habitaciones. Una (en la imagen) contiene cajas de seguridad parecidas a las que se pueden encontrar en un banco. En estos depósitos se hallan las tarjetas inteligentes con las que los guardianes obtienen el permiso para activar el módulo de hardware que generará las nuevas contraseñas. La otra contiene el módulo en sí. Hay dos dispositivos en cada sede, por si el otro se avería.

La clave maestra

conocer, tecnologia, llaves, internet, guardianes, xlsemanal

La nueva clave raíz se guarda en un pendrive, cuyo contenido será transmitido por un operario de la ICANN a través de una conexión segura a VeriSign, una compañía estadounidense que gestiona infraestructuras de red.

Esta clave servirá para generar las contraseñas de máximo nivel jerárquico en el sistema DNS. «Es la fontanería de Internet, los usuarios no la notan y muchos no saben ni que existe, pero es esencial para que podamos confiar en el sistema», explica Kolkman.


Las llaves

conocer, tecnologia, llaves, internet, guardianes, xlsemanal

Esta imagen muestra dos llaves: la física -la típica metálica- abre la caja fuerte donde están depositadas las llaves inteligentes (parecidas a tarjetas de crédito) metidas en un plástico con pinta de bolsa de congelados con un sistema de chivatos que delatan cualquier manipulación. Los vigilantes deben comprobar que nadie ha tocado la bolsa antes de extraer su tarjeta