lunes, 22 de junio de 2015

"La universidad es esencial en el futuro de la ciberseguridad"

Juan Troncoso-Pastoriza. Investigador de la Universidad de Vigo. Ponente en el curso de verano Innovación en ciberseguridad aplicada a la protección de la identidad digital. 



Juan Troncoso-Pastoriza consiguió el premio del Ministerio de Educación y Ciencia en 2005 al mejor estudiante licenciado. Cuenta también con el premio a la mejor tesis doctoral por la Universidad de Vigo y el Instituto de Ingenieros de Telecomunicaciones (COIT). En su brillante curriculum destaca haber participado en diversos proyectos nacionales y europeos relacionados con la seguridad de la información y la protección de la privacidad, un área sobre la que ha escrito múltiples artículos en revistas internacionales y dado charlas en conferencias. Cuenta además con diversas patentes internacionales. Sus intereses incluyen el procesamiento de señales de forma segura, la protección de la privacidad, la seguridad multimedia y el modelado de imágenes.



¿Por qué te metiste en esto?

No es fácil encontrar una razón concreta por la que realicé la elección de trabajar en investigación en seguridad de la información. La investigación de por sí es un camino vocacional, así que creo que la respuesta corta es que me apasionan los retos. La seguridad y privacidad son temas transversales, que afectan a todo tipo de servicios y sistemas TIC en ámbitos muy variados y en los que es fácil encontrarse con problemas no resueltos y nuevos desafíos.

Asimismo, la interdisciplinariedad de líneas como la seguridad multimedia en general, y el procesado cifrado o la protección de privacidad en datos y señales sensibles en particular, las convierten en retos que precisan del uso y aplicación de conceptos y herramientas muy diversos; no sólo de criptografía y procesado de señal, sino también de especificidades del campo de aplicación, e incluso un cierto conocimiento de las regulaciones para poder tener en cuenta el marco legislativo en protección de datos. Es esta interdisciplinariedad unida a la amplia aplicabilidad y transcendencia de las problemáticas de seguridad y privacidad la que me atrajo desde el primer momento.

¿Qué te motiva a seguir?

En los últimos años se viene observando una creciente concienciación en lo concerniente a ciberseguridad, privacidad y protección de datos, lo que revierte no sólo en una mayor exigencia en términos de requisitos de diseño de sistemas, sino en una mayor aplicabilidad efectiva de técnicas que antes sólo eran esquemas teóricos.

La existencia y popularización de estas técnicas abre paso a arquitecturas y servicios con garantías de privacidad proporcionadas desde la tecnología misma, en contraposición con las garantías actuales, que están fundamentalmente basadas en la confianza mutua. Esto crea un círculo de evolución continua en el que se demanda más tecnología para cubrir nuevos aspectos de protección de privacidad.

Un ejemplo muy claro y con el que trabajo más de cerca es el relativo al procesado cifrado: las técnicas de SPED (Signal Processing in the Encrypted Domain) consisten en proteger los datos desde el primer momento en que son llevados a un entorno no confiable; para ello se emplean esquemas de cifrado no convencionales, cuyo objetivo es posibilitar la provisión de servicios seguros, que bajo el paradigma de SPED trabajarán de forma “ciega” sobre datos cifrados, proporcionando una garantía plena de privacidad.

Hace unos años, este tipo de técnicas se contemplaban exclusivamente como una entelequia, unas herramientas teóricas cuya practicidad no se había planteado seriamente, mientras que ahora empiezan a abrirse paso en la industria y a tener presencia real como soluciones efectivas para protección de privacidad.

¿Qué te preocupa del actual mundo de la ciberseguridad?

Tradicionalmente, el campo de la seguridad ha evolucionado como el juego del gato y el ratón, en el que los sistemas se van refinando a medida que se conocen nuevos ataques y vulnerabilidades. Mi investigación y mi trabajo se centran en la protección de la privacidad. Ésta se suele percibir como algo accesorio a la seguridad, cuando en realidad constituye un problema de entidad propia, casi independiente de la seguridad tradicional y difícil de abordar, cuantificar y asegurar adecuadamente.

Por poner un ejemplo sencillo, A puede querer comunicarse con B usando para ello un servicio de mensajería proporcionado por C; este servicio puede ser perfectamente seguro frente a ataques externos, desde el punto de vista de la comunicación entre A, B y C y del almacenamiento de datos en C; pero esta seguridad no contempla el que C pueda tener acceso a la conversación entre A y B, o qué uso pueda hacer de esa información.

En este punto entramos en terreno de privacidad, y garantizarla requiere de unos modelos de confianza más complejos y de técnicas más avanzadas que las empleadas para asegurar comunicación y almacenamiento: hace falta asegurar el procesado. Esta dimensión de privacidad no está tan consolidada ni presente en el diseño o en la evaluación de sistemas seguros, pero la creciente concienciación de la que hablaba antes puede dar un vuelco a esta situación y dar un mayor peso a la protección de privacidad.

¿Alguna frase que sea tu máxima en tu día a día?

La investigación en general puede ser por momentos un trabajo muy frustrante, pero también extremadamente gratificante. La relación entre frustración y gratificación suele estar vinculada con la proporción de trabajo que se convierte en rutina, porque para resolver problemas de investigación siempre es necesario buscar soluciones ingeniosas y disruptivas, muchas veces apartándose del camino habitualmente establecido o aplicando técnicas que pertenecen a otros ámbitos. Esto, a pequeña escala, es un fiel reflejo de una conocida cita, dudosamente atribuida a Albert Einstein, que me permito reproducir: “We cannot solve our problems with the same thinking we used when we created them” (No podemos resolver nuestros problemas con la misma forma de pensar que usamos para crearlos).

Tienes varios reconocimientos nacionales por tu carrera educativa. ¿Qué papel crees que juega a día de hoy la universidad a la hora de formar a futuros profesionales del sector?

Muchas veces, cuando se habla del papel de la Universidad, se equipara inmediatamente con formación; no obstante, la Universidad desempeña dos labores necesarias y fundamentales, tanto en el campo de la ciberseguridad como en otros campos: la formativa, por supuesto, pero también la investigadora. Cuando ambas están en sintonía, la Universidad se convierte un pilar esencial que forma profesionales en las técnicas más avanzadas, mientras produce y capta talento investigador que la sigue manteniendo a la vanguardia en I+D. No se puede independizar la formación de la investigación, porque paulatinamente se quedaría atrasada y no respondería a los nuevos retos que surgen constantemente.

Dicho esto, la universidad es esencial en el futuro de la ciberseguridad. Este es un ámbito en el que la industria es reacia a adoptar soluciones de seguridad mientras no están completamente verificadas, probadas y sujetas prolongadamente a la acción de atacantes y hackers; de este modo, se hace necesario un frente de investigación que avance el estado del arte y diseñe soluciones innovadoras y rompedoras, actuando proactivamente ante ataques y riesgos. Sólo la Universidad puede desempeñar este papel y, en base a esa investigación e innovación, proporcionar una formación avanzada que produzca profesionales que sepan solucionar no sólo los problemas actuales en ciberseguridad, sino mirar con seguridad hacia los retos futuros.

Eres un experto reconocido del mundo de la segurinfo y la privacidad de los datos. ¿Qué sectores crees que podrían mejorarse y qué medidas tomarías para ello?

La seguridad de información y privacidad son campos muy amplios, y toda estrategia es susceptible de mejora, empezando por la adopción de aproximaciones más proactivas en lugar de reactivas frente a riesgos y vulnerabilidades de seguridad, así como el enfoque investigador-formativo desde la Universidad, ya mencionado antes, necesario para hacer realidad ese cambio proactivo.

No obstante, prefiero centrarme en un punto en particular, que atañe a los procesos de diseño de sistemas seguros y de protección de privacidad, en los que ya se observa una tendencia al cambio, pero no suficientemente consolidada: se trata de los todavía novedosos conceptos de Privacidad y Seguridad por Diseño (Privacy and Security by design), en los que la concepción de la protección pasa de ser una capa más de la pila de comunicaciones a ser una parte integrante e inherente al sistema, que está atada a las características y propiedades del mismo.

Es fundamental tener en cuenta que un sistema no se asegura simplemente por añadirle mecanismos criptográficos, sino que es necesario partir de un conocimiento profundo del mismo y rediseñarlo para hacerlo seguro “por defecto”. Puede parecer que esta concepción va en contra del tradicional divide y vencerás, de la separación de problemas para abordarlos individualmente de forma sencilla; no obstante, esto no es posible cuando los problemas no son independientes; de hecho, no se pueden independizar los datos manejados de sus propiedades de privacidad, por lo que los mecanismos de protección aplicados deben diseñarse de manera informada teniendo en cuenta la naturaleza de los datos, señales y procesos involucrados, no como una capa accesoria. Este cambio de concepción facilita el entender y atajar adecuadamente los riesgos de seguridad, pero es absolutamente fundamental en el caso de la protección de privacidad.

De todo tu amplio repertorio de proyectos y patentes, llama la atención el estudio de la seguridad multimedia ¿Podrías contarnos algo más al respecto?

La seguridad multimedia presenta retos únicos que la diferencian de otros ámbitos. Por poner un ejemplo, la diferencia fundamental entre un registro numérico en una base de datos y una señal multimedia es la naturaleza de la información relevante que contienen. Mientras que para el primero ésta es fácilmente interpretable y extraíble, en el segundo esa información puede captarse de modo perceptual (p.ej., formas o texturas en una imagen o instrumentos en una melodía), y puede estar enlazada directamente con un individuo (su cara en una foto, su forma de andar en un vídeo,…) y por lo tanto, identificarlo directa o indirectamente.

La naturaleza de las señales multimedia y, en especial, la independencia de la información representada respecto a su formato (estructura, contenedor, compresión,…) hacen necesario adaptar las estrategias del seguridad al contenido en sí y no al formato. En este caso, es más evidente la necesidad de aproximaciones del estilo “Privacy-by-design” que tengan en cuenta un conocimiento más profundo de los contenidos protegidos para producir sistemas de protección de privacidad.

Dentro de la seguridad multimedia, una de las líneas de investigación en las que trabajo más activamente es el procesado de señales cifradas (SPED, Signal Processing in the Encrypted Domain). Esta línea conjuga la criptografía aplicada y el procesado de señal, adaptando y moldeando los criptosistemas usados a la estructura y propiedades de las señales multimedia manejadas, de modo que sea posible filtrarlas, procesarlas, operar con ellas e interpretarlas de forma “ciega”, sin tener que descifrarlas y, por lo tanto, sin desvelar ninguna información sensible en el proceso. Esto habilita, entre otros, la provisión de servicios externalizados (Cloud Computing) en los que todas las señales y procesos que se realizan en un entorno no confiable (el proveedor de servicio) están protegidos. Algunos ejemplos de aplicación de estas tecnologías comprenden: autenticación biométrica segura (caras, iris, huellas dactilares,…), sistemas de telemedicina seguros, análisis genéticos, sistemas de videovigilancia con garantías de privacidad por diseño o sistemas de medición inteligente (Smart metering) seguros.



0 comentarios:

Publicar un comentario