Antonio Devis

Archivo de la categoría ‘InterNet’

Hace más de 9 años que instalé mi primer PGP (Pretty Good Privacy) para firmar y encriptar un correo de Ibercaja. Desde entonces, ha llovido bastante, pero las gotas de agua recién comienzan a llegar a Perú, por lo que habría que tomar medidas para no inundarnos.

Promulgada la Ley de firmas digitales en Perú, y sancionado por el tío Alan el tercer y supuestamente último Reglamento de esta Ley, que además lleva la coletilla de Reglamento Final, y esperemos que así sea, ya se ha dado el primero paso para que la criptografía entre en nuestros hogares: se ha designado a INDECOPI para que sea el director de orquesta de todo este embrollo.

El siguiente paso es acreditar a aquellos que deseen emitir certificados para firmas digitales. Nada más fácil, visite usted la web de INDECOPI, y con ayuda de S. Hopkins y un experto traductor de hebreo podrá entender qué es lo INDECOPI le solicita.

El otro aspecto, que necesariamente debemos tratar en esta discusión, se refiere al concepto y uso de las firmas digitales.

Una firma digital, a diferencia de lo que algunos Padres de la Patria supusieron cuando sus asesores redactaron el proyecto de Ley del mismo nombre, no es una firma hecha con Photoshop más o menos parecida a la rúbrica que se pretende imitar. La firma digital es nuestra huella digital en el espacio virtual; pero no sólo eso, además es una medida de seguridad extrema acerca de nuestras comunicaciones cuando utilizamos el correo electrónico.

Y, ¿cómo funciona esto?. Veamos cómo obtener una firma digital y cómo usarla. Ojo!, en este momento en Perú ninguna firma digital es válida, ni incluso las extranjeras, ya que todavía no se ha desarrollado el Reglamento que las normaliza, autoriza y valida. Aún así, ya podemos comenzar a hacer castillitos de arena para ver si seremos capaces de adaptarnos al futuro próximo.

Lo primero es conseguir un certificado digital para un determinado correo electrónico. Actualmente, podemos obtener estos certificados de forma gratuita con Entidades Certificadoras extranjeras, por ejemplo, COMODO; cuando existan en Perú, la forma de proceder será idéntica.
Se emite un certificado para cada cuenta de correo que usted desee afiliar al sistema. Si desea 2 cuentas con firma, necesitará 2 certificados. Siga las instrucciones que le proporciona el emisor del certificado: básicamente utilizar el mismo navegador durante todo el proceso, dar unos clics en los enlaces que le llegarán por correo y aceptar la instalación del certificado. Nada del otro mundo. Tiempo estimado: entre 2 y 10 minutos. Con su programa de correo, jale el certificado, que ya se encuentra instalado en su computadora y listo. De forma ordinaria, la forma de jalarlo es examinando las propiedades de seguridad de la cuenta de correo en la que quiere instalarlo.

Con su flamante certificado instalado, ya se encuentra en disposición de enviar mensajes firmados digitalmente o cifrados. Al hacerlo, el destinatario del mensaje recibirá un correo similar a:

Antiguamente, si el correo además de firmado, estaba encriptado, habia que buscar la llave pública del remitente en un repositorio de llaves para poder ver el mensaje original. Los nuevos clientes de correo se suelen encargar de esta tarea, desenmarañando los documentos o mensajes encriptados.

Llaves. En todo certificado emitido para sus correos, usted tendrá 2 llaves, claves o llámelas como desee. Cuando usted envía un correo encriptado, usará (de forma automática a través de su programa de correo) su llave privada, que siempre debe tener a buen recaudo y el destinatario podrá descifrar su mensaje con su llave pública.

Los métodos criptográficos utilizados a dia de hoy son completamente inviolables. Esto además de ser fabuloso, tiene su desventaja en el tiempo de cifrado, que se puede tornar infinito para documentos pesados. No pasa nada!, para eso existen algoritmos que nos simplifican la vida. Si ya ha escuchado algo de MD5, HASH o palabrejas de esa guisa, deben traerle sin cuidado. Básicamente se trata de métodos internos que usted no tiene por qué conocer. En todo caso, y como referencia muy básica, le diré que para ganar tiempo cifrando documentos, HASH realiza un extracto comprimido de una sola dirección con una longitud determinada de bits (¿Ya escuchó encriptado a 128 o 256 bits?), y cuando usted envía el mensaje, lo que realmente está cifrando con su llave privada, sólo es ese extracto. Los métodos MD4, 5 y otros básicamente se refieren a la longitud de bits del extracto realizado por HASH.

En resumen, vaya haciendo pruebas con certificados digitales gratuitos del extranjero, envíe y reciba correo firmado, cifrado, firmado y cifrado. Si le gusta cómo llegan y se reciben sus mensajes, suba un peldaño e instale PGP en su computadora.

Por último, tenga en cuenta que con las firmas digitales, nuestras relaciones con el mastodónico Estado deberán simplificarse extraordinariamente, al igual que las relaciones comerciales establecidas en nuestro ámbito, así como otras muchas cosas más…. SUNAT, JUSTICIA, TRABAJO son algunos de los organismos que deben ponerse a trabajar inmediatamente para adaptar sus normativas legales a las firmas digitales.

Esperaremos a ver que nos depara el futuro (Terminator IX).

¿Y los dominios PE?. Nunca es tarde si la dicha es buena.

Tras un largo y aciago período, donde el control absoluto de los dominios .pe pertenecía al monopolio RCP, con todo lo que esto conlleva: Cero inversión en sistemas, precios usureros, lapsos inaceptables de hasta 2 meses para registrar un dominio, etc etc. Al fin se vió la luz, pequeñita y amarillenta, pero luz al fin y al cabo.

Por fin RCP creó un sistema, bastante mediocre, pero que cumple con las consideraciones básicas y primarias de lo que debe ser un registrador serio. Entre lo más acertado, cabe destacar que ya es posible el registro y modificación en tiempo real de dominios, la ampliación de los nombres de dominio de .XXX.pe a .pe sólo, la implementación de algunos medios de pago en línea y otras cosillas mucho menos interesantes como los dominios con acentos (que llevan intentando implantarse desde hace unos 8 años, pero que sólo han obtenido un rotundo fracaso).

Pero una de las novedades más interesantes de la reciente reestructuración del Nic Pe es la liberalización (eso sí, regulada por ellos) del mercado de registros de dominios PE. Es decir, es posible, aunque todavía no factible, la entrada de empresas que estén acreditadas para realizar registros de dominios PE.

¿Cuál es el inconveniente?. Uno enorme: RCP es el regulador y vértice de la pirámide. Esto significa que ellos venden dominios al usuario y además fijan los precios a los registradores acreditados. También significa que los distribuidores tendrán que adaptarse a la obsoleta tecnología y horrible soporte de RCP. Así las cosas, antes de acreditarse como registrador, hay que sopesar muy bien las dificultades que vamos a tener con esta liberalización, que, estoy seguro, no va a significar mayores ventajas para el usuario y sí serios problemas para los registradores peruanos.

¿Cuál sería la opción a la actual modalidad?. La más lógica, sensata y plausible. Crear un Nic Pe independiente, mixto (público-privado), sin ánimo de lucro, con profesionales y usuarios de los sectores involucrados. Sin esto, el actual modelo PE está abocado al fracaso y rechazo de los usuarios.

Corría el año 98 cuando registré mis dos primeros dominios .com en la Red. Diantres!!!. Que enorme satisfacción!. Por entonces, este increíble acontecimiento sólo era posible realizarlo a través de una empresa norteamericana, Network Solutions, que todavía hoy sobrevive en la entramada jungla de cables de Red. Incluso te mandaban un certificado de propiedad del dominio a tu casa, por dos años!!, que era el tiempo mínimo de registro y por sólo $ 35 cada año!!!.

Ah!, qué tiempos!. Skype no existía, pero sí Freetel, Archie era un hervidero de usuarios, XOOM.com era un hospedaje gratuito de páginas web… Afortunadamente, o no, se ha producido un enorme cambio en el mundo de los dominios. La creación de ICANN, el regulador de los nombres de dominio, entre otras cuitas, sustituyendo al inoperante Internic, trajo consigo la liberalización del mercado y cualquiera con bastantes miles de dólares podía ser un afamado registrador de dominios. Los primeros y más exitosos: Directnic, Stargate y otros desconocidos hoy en día. Posteriormente, aparecieron los Godaddys & Co. con sus interminables pantallas de carritos de compra: Sí, deseo añadir un macanito tubular, No, en otra ocasión, ¿tal vez luego? …. hasta el aburrimiento extremo y soporífero del comprador, que desconoce qué tamal está comprando.

Actualmente, el mercado se encuentra bastante parejo y, como es de dominio público (colombroño), los precios se han ido de bruces al piso. No me quedaré con las ganas de mencionar que siempre es más rentable adquirir un dominio en el mercado nacional que a empresas extranjeras.
Pongamos por ejemplo, el mentado Godaddy. Un dominio .com cuesta en esta empresa dirigida por el fabuloso y carismático Bob Parsons, USD 9.99, a los que se le suma USD 0.20 (por concepto de ICANN fee. Esta gente no paga ni la luz!!). Es decir, ya estamos en USD 10.19. Si tenemos en cuenta que ni Godaddy ni Godmammy, ni ninguna empresa extranjera nos va a facturar el 19% de I.G.V., ¿qué tanto más barato sale comprar a esta gente?. Si le sumáramos el I.G.V., nos vamos a USD 12.13, precio más alto que el ofrecido por muchas empresas nacionales. Del soporte, mejor ni hablar. Y es que, de forma ordinaria, todo lo extranjero suele ser peor que lo nacional y además, más caro.

Tratemos, aunque de ligera pasadita el WHOIS.
El lector podrá comprobar la titularidad o disponibilidad de un dominio en las decenas de bases de datos WHOIS que existen en la Red, who.is, xwhois.com o whois.sc son excelentes alternativas y proceder a registrar su dominio con cualquiera de los miles de registradores formales que existen.

El WHOIS de un nombre de dominio, además de los datos del titular del mismo, nos proporciona otro tipo de información más sutil: el trastero de la empresa que lo utiliza; esto no es baladí. Existen miles de páginas fabulosas, que aparentan ser mucho más que transnacionales, cuando en realidad se trata, sin desmerecer, de un pobre iluso con una computadora en casa.
Tenga esto en cuenta. Verifique si la información del WHOIS del dominio de su empresa de confianza contiene todos los datos correctos (en especial, titular, su dirección completa, teléfono fijo y email). Esta simple revisión no le llevará más de 1 minuto y podrá ayudarle a tomar la decisión más acertada a la hora de convertirse en cliente fiel.
Además, verifique la fecha de creación del dominio. El lector, probablemente, no pueda imaginarse la cantidad de fabulosos, geniales, expertos y especialistas de todo tipo (en especial de programación y comercio electrónico) que se publicitan en dominios adquiridos hace mucho menos de 1 año. Con esa vasta experiencia, usted tiene asegurado el éxito de su fracaso total.