6 Problemas y peligros de la Red
6.1 La rana digital
§1 Entre los problemas potenciales de la Web, empezaremos por este, que puede afectar principalmente a las personas con poca formación y especialmente a los menores, muchos de los cuales tienden a la dispersión y a tener problemas de concentración. La extraordinaria facilidad para saltar de un punto a otro, tiene innegables ventajas y puede ayudar drásticamente a la formación y al conocimiento, pero también puede llegar a ser perjudicial para personas que no posean una cierta estructura mental previa consolidada.
Refiriéndose al tema de la información que puede encontrarse en la Web, Manuel Molina, un investigador de filología advierte: "Hay tal cantidad de datos, que podemos dedicar demasiado tiempo a su recopilación y a su gestión y menos a lo que es la creación, la utilización y el manejo de esos datos. La red es imprescindible, pero hay que usarla de forma racional para no perder de vista nuestro objetivo".
Aunque las ideas de hipertexto ( A5.1) y de hipermedia ( A5.4) son atractivas, una de sus características es la de poseer poca o nula estructura. Tender a una cierta desorganización de la información. En palabras de Jerry Pournelle [1]: "Todos hemos tenido la experiencia de ir a una enciclopedia para buscar alguna información y emerger horas mas tarde. Eventualmente hemos aprendido algo de esta forma, pero sospecho, que la mayoría de los que aprenden son los que van a la enciclopedia con una infraestructura intelectual previa en la que depositar los nuevos conocimientos. Hechos desorganizados no son ciencia, son meramente anécdotas, es incumbencia de una teoría estructurada el transformar anécdotas en datos... Se pueden espigar hechos en cualquier orden que uno desee. Esto puede ser útil para expertos bien cimentados en la materia del caso, pero en manos de principiantes, pueden ser herramientas de distracción mas que de aprendizaje".
*** El subrayado es mío.
La navegación libre por la Web puede llegar a ser tan instructiva (o perniciosa) como una sesión de "zaping" televisivo. Hace poco leíamos que "El uso desordenado de los ordenadores puede interferir en el desarrollo de las habilidades del niño para pensar lógicamente y para dintinguir entre realidad y fantasía".

[1] Byte Magazine. Septiembre 1995. "Of COM Ports and Digital Frogs".

6 Problemas y peligros de la Red
6.2 Control de contenidos

§1 Sinopsis
No debe extrañar que de entre los problemas señalados, destaque la preocupación de los padres, maestros, educadores y gobiernos por el acceso de los menores a contenidos potencialmente peligrosos, ya sea por sus contenidos de violencia, indecencia o cualquier otra razón. Ante las pretensiones de intervención gubernamental, solicitando algún tipo de "censura", la comunidad Internet, ultra liberal en su conjunto [1], reaccionó presentando en el W3C ( A5.3) la iniciativa PICS ("Platform for Internet Content Selection").
Nota: Todo lo relativo a la libertad de la Web es tenido muy en cuenta por la comunidad de Internautas; existen varias asociaciones orientadas a la defensa de los principios de libertad en Internet, entre ellas EFF ("Electronic Frontier Foundation" [2]); ACLU ("American Civil Liberties Union" [url]www.aclu.org[/url]) y el "Electronic Privacy Information Center".

§2 Criterios de control
Es generalmente admitido que Internet ofrece estupendas posibilidades educativas, por lo que se debe facilitar y fomentar el acceso a los pequeños, pero que como toda gran ciudad, tiene sitios potencialmente peligrosos [3], de los cuales es razonable apartar a los menores. La idea básica es permitir a los padres el establecimiento de filtros en la información accesible a los niños; filtros que pueden depender del criterio de los padres o de organismos de evaluación independientes (los que tengan edad suficiente recordarán los famosos "rombos" de TVE). Esto permitiría a los padres (antes que a los gobiernos) establecer que és o no és "indecente" para sus hijos. Como puede verse, se trata de una solución descentralizada y democrática, acorde con la propia naturaleza de Internet y del Web [4].
Desde el punto de vista técnico, esto ha supuesto establecer las especificaciones de unas "etiquetas" (metadatos 5.4) entendibles por el software de filtrado. Estas etiquetas PICS pueden obtenerse de muy diversas maneras, bien incluidas en un CD-ROM o sencillamente viajar con el resto del contenido que vendría "etiquetado". Pueden venir firmadas digitalmente [5], de forma que se pueda verificar su autenticidad con independencia de la forma en que se hayan obtenido. Aparte de la posible auto-calificación que puedan realizar los propios creadores de contenidos, otro método propuesto sería su obtención (en tiempo real) de compañías especializadas. Este método establece que protocolo utilizar cuando el consumidor "A" pide a la compañía "B" datos sobre clasificación de los "contenidos" del proveedor u origen "C".
Aunque PICS [6] introduce en la arquitectura del Web nuevos protocolos y formatos para los datos, y esta tecnología está pensada originariamente para satisfacer las exigencias de una cierta "decencia" en las recepciones, en realidad puede tener muchas otras aplicaciones y se pretende que los principios utilizados puedan aplicarse en desarrollos futuros.
Dado que la tecnología permite el establecimiento simultaneo de muchos sistemas y organismos de evaluación independientes [7], los protocolos que se desarrollan para "interrogación" de etiquetas, pueden ser utilizados también para indicar si el material puede ser utilizado para la enseñanza; su nivel de calidad en general; su orientación religiosa, política, etc. No solo pueden ser utilizados en contenidos Web, también en otro tipo de ciber-contenidos (juegos de consola, por ejemplo). Esta especie de "certificados de calidad" permitiría a cada uno seleccionar sus lecturas, compras, entretenimientos etc, con conocimiento de causa.
Las recomendaciones técnicas "oficiales" del W3C sobre la materia contienen especificaciones que permiten incluso que el cliente pueda establecer sus preferencias en esta materia en sus consultas de interrogación a los motores y dispositivos de búsqueda (ver capítulo 8). Entre los organismos de "evaluación de contenidos" existentes, podemos citar los siguientes:
NetShepherd [url]http://www.shepherd.net[/url]
Este sistema ha clasificado unos 300.000 sitios Web.

Safe Surf [url]http://www.safesurf.com[/url]
Este sistema ha catalogado unos 50.000 sitios.

RSAC [url]http://www.rsac.org[/url]
Esta última organización ("Recreational Software Advisory Council") independiente y sin ánimo de lucro, pretende establecer un sistema objetivo de auto-etiquetado que permita a los creadores de software de entretenimiento y de otro tipo (como los editores Web), establecer una auto-evaluación de contenidos atendiendo a cuatro aspectos de la información que pudieran ser potencialmente ofensivos: Sexo, Desnudo, Violencia y Lenguaje obsceno (por su vulgaridad o su contenido de odio); dentro de cada aspecto se establecen cinco niveles.

Nota: Este sistema está contenido en MS I Explorer , por lo que lo comentamos someramente.

§3 Criterios de filtrado
Una sinopsis de los criterios anteriores se expone en la tabla que reproducimos por si algún lector está interesado en saber que significan esos iconos que aparecen en el navegador y cuales son los criterios generales que se han tenido en cuenta para la "evaluación".
Violencia:
• Nivel 4: Violencia perversa y gratuita.
• Nivel 3: Muerte con sangre y horror: Personas malheridas o muertas.
• Nivel 2: Muerte: Personas o criaturas malheridas o muertas con complacencia en el daño a criaturas que no representan una amenaza.
• Nivel 1: Lucha: Criaturas malheridas o muertas con daño a imitaciones muy realistas.
• Nivel 0: Sin violencia: Sin violencia agresiva ni violencia natural, o accidental. Contenidos deportivos.
Desnudez:
• Nivel 4: Desnudos frontales (exhibiciones provocativas).
• Nivel 3: Desnudos frontales.
• Nivel 2: Desnudos parciales.
• Nivel 1: Vestidos sugerentes o atrevidos.
• Nivel 0: Ninguna de las anteriores.
Sexo:
• Nivel 4: Actos sexuales explícitos.
• Nivel 3: Actos sexuales no explícitos.
• Nivel 2: Tocamientos sexuales con ropa.
• Nivel 1: Besos apasionados.
• Nivel 0: Besos inocentes, Romances: No se muestra actividad sexual, simplemente romance.
Lenguaje:
• Nivel 4: Lenguaje explícito o cruel: Lenguaje extremadamente crudo y vulgar. Referencias sexuales explícitas, odio extremo.
• Nivel 3: Gestos obscenos: Lenguaje vulgar y malsonante con gestos obscenos. Uso de epítetos. Palabras gruesas o de odio.
• Nivel 2: Interjecciones y reniegos moderados: Reniegos sin referencias a la anatomía sexual. Blasfemias, tacos.
• Nivel 1: Reniegos suaves: Reniegos suaves, o términos suaves para las funciones fisiológicas.
• Nivel 0: Jerga inofensiva sin palabras soeces.



§4 Hay que destacar que los principales fabricantes de software del sector (de navegadores), MicroSoft y Netscape se han sumado a la iniciativa, permitiendo la posibilidad de este tipo de control en sus navegadores.
En el caso de MS I Explorer 4.0, dispone de un "Asesor de contenidos". El ajuste puede hacerse en:
Inicio Þ Configuración Þ Panel de Control Þ Opciones de Internet Þ Contenido Þ Asesor de contenido (ver figura adjunta).
Por defecto tiene instalado el sistema RSCA anteriormente descrito, pero permite que pueda instalarse cualquier otro sistema normalizado de evaluación de contenidos.
Permite establecer independientemente cualquiera de los cinco niveles para cada uno de los cuatro contenidos potencialmente peligrosos. La selección queda protegida por una contraseña (de supervisor) que es necesario conocer para acceder a los contenidos o cambiar los criterios de filtrado. Una vez establecida la contraseña y el "perfil" de protección deseado, caben dos opciones:
• Los usuarios pueden ver sitios no restringidos. Especifica si las personas que utilizan este equipo tienen permiso para ver el material no restringido.

Si esta casilla de verificación está activada, es posible que cuando el autor de una página Web no la haya clasificado con el sistema de restricciones que usted emplea, los usuarios puedan ver material cuestionable.

Si esta casilla de verificación está desactivada, los usuarios no podrán ver ninguna página Web que no se haya clasificado según su sistema de restricciones, independientemente de que su contenido sea adecuado o no.
• El supervisor puede especificar si desea permitir que los usuarios que conozcan la contraseña de supervisor pueden escribirla para poder ver páginas Web que contengan contenidos posiblemente cuestionables.

Si esta casilla de verificación está desactivada, aparecerá un mensaje indicando que no se le permite ver la página Web y que no se le permitirá escribir la contraseña de supervisor para verla.
En lo que se refiere a política de seguridad, como señala BBN Internet Services (Cambridge, MA), pueden esquematizarse cuatro posturas básicas:
• Paranoica: Sin conexión a Internet. Todo está prohibido, incluso lo que debiera o pudiera estar permitido.
• Prudente: Todo está prohibido excepto lo que sea permitido explícitamente.
• Permisiva: Todo está permitido excepto lo que se prohíba explícitamente.
• Inexistente: Todo está permitido, incluso lo que quizás debiera estar prohibido.

[1] Como botón de muestra: "Una declaración de independencia del Ciberespacio" [url]http://memex.org/barlow.html[/url]. En cualquier caso, los intentos de control gubernamental no se deben exclusivamente a cuestiones morales, sino a la ancestral tendencia de los gobiernos a controlarlo todo. Respecto a la Web en concreto, se han producido múltiples intentos, tanto de control de contenidos como de limitación de la encriptación (por citar dos ejemplos).
[2] Puede obtenerse mas información al respecto, e incluso asociarse a la Electronic Frontier Foundation en: [url]www.eff.org[/url]. La organización mantiene una lista de correo; para subscribirse puede obtenerse enviando un e-mail a: [email]listserv@eff.org[/email], poniendo la frase: "subscribe effector-online" (sin las comillas) en el cuerpo del mensaje.
[3] En cualquier caso, Internet contiene material polémico, calificado por algunos como "Apoyo al terrorismo" y como "información" por otros (por citar un ejemplo).
[4] Entre las organizaciones que se preocupan por los contenidos en relación con los niños, está Netparents. Una organización nacida del acuerdo de compañías comerciales, organizaciones no lucrativas y personas interesadas en educar al público en el uso de las nuevas tecnologías. Pueden obtenerse mas datos sobre Software de filtrado y bloqueo de contenidos, organizaciones de verificación de contenidos, sitios adecuados para niños etc. en la sede oficial de esta organización [url]www.netparents.org[/url].
[5] La tecnología de seguridad y encriptación electrónica dispone actualmente de procedimientos por los que se pueden establecer estas "firmas electrónicas", que incluidas en un documento garanticen de forma inequívoca la autenticidad de su origen, de forma mejor quizás que las autógrafas tradicionales ( A6.4). Se están estudiando así mismo procedimientos para asegurar la recepción (o al menos el envío), como podría ocurrir con una carta certificada.
[6] PICS está alojada en el W3C y puede consultarse en: [url]http://www.w3c.org/PICS[/url]
[7] Aunque esta tecnología y aplicaciones están aún en su infancia, ya existe una iniciativa de la Universidad de Michigan, denominada PICS Application Incubator ( [url]http://www.si.umich.edu/~presnick/PICS?incubator/[/url]) que permite ver las "etiquetas" que diversos organismos de clasificación han otorgado a un mismo "sitio" (URL).

6 Problemas y peligros de la Red
6.3 Privacidad
"La privacidad... No te preocupes por ella... Simplemente no existe!!"
Anónimo.
§1 Introducción
Las cuestión de privacidad en la Red que tratamos en este epígrafe, es solo una faceta de un todo mucho más amplio: la privacidad, en general, de los ciudadanos en los países tecnológicamente desarrollados.
Ciertamente los avances tecnológicos han mejorado sustancialmente nuestra calidad y esperanza de vida. Sin embargo, existe un reverso de la moneda. Parece que también han sentado las bases para una progresiva pérdida de la privacidad que corre el riesgo de evaporarse (si no lo ha hecho ya). Para situar al lector en una perspectiva global sobre el asunto, en el Apéndice I ( Ap. I) presentamos una introducción general sobre el tema y su situación actual.

§2 Sinopsis
Una cuestión generalmente desconocida por el gran público, es que al "visitar" los sitios Web, los navegadores proporcionan cierta información sobre el equipo que se conecta. De forma que los editores de contenidos pueden recolectar alguna información sobre los "visitantes" de sus páginas. Resulta así que las "visitas" y paseos por el ciberespacio no son totalmente anónimas.
Cada vez que nos conectamos a un sitio, inevitablemente proporcionamos cierta información: Quién es nuestro ISP y cual es la identificación de su servidor; Sistema Operativo y Navegador que utilizamos; resolución de pantalla y número de colores de nuestro sistema; tipo de procesador de nuestro equipo; nuestro IP (aunque hemos visto -IP dinámico A3.6- que esto puede cambiar de una conexión a otra); cual es el último servidor que visitamos (de donde venimos [0]); fecha y hora de nuestro sistema, etc.
Nota: Heche un vistazo a la sección "Privacy Analysis of your Internet Connection" del sitio Privacy Net que señalamos en el apartado de referencias .

Por motivos publicitarios, comerciales, o de otra índole, a los Webmasters [1] les interesa a veces obtener la máxima cantidad de información de los visitantes, por lo que han desarrollado denominados "contenidos" que viajan junto con las páginas Web hasta los ordenadores de los clientes. Estos contenidos, Cookies ( Nota-12), applets Java y JavaScript, pueden ser auténticos Caballos de Troya que se introducen en el ordenador cliente y pueden realizar múltiples actividades, incluso de espionaje. En algunos casos pueden bloquear determinados controles del navegador, es el denominado Hijacking. Otras veces son inocentes programitas que despliegan toda esa serie de anuncios móviles y "monerías" similares que estamos acostumbrados a ver en nuestras navegaciones [2]. En casos extremos pueden realizar virtualmente cualquier acción en nuestro propio sistema.
Nota: Un caso revelador es el del propio MicroSoft, que en uno de sus "sitios oficiales". Al entrar en la sección de "Actualizaciones", realizaba un completo chequeo de los programas de nuestro propio ordenador, señalando que componentes del software estaban actualizados y cuales deberían actualizarse. Es fácil suponer que de la misma forma, una de tales "inspecciones" puede obtener virtualmente cualquier información contenida en nuestro sistema y enviarla a cualquier sitio de la Web.
Algún tiempo después de publicada esta nota, recibimos una noticia de seguridad que amplía y confirma las sospechas anteriores ( A6.3w1)
En ocasiones esta recogida de información se reconoce en la "letra chica" de los contratos de suministro de servicios. A título de ejemplo incluimos un párrafo del contrato de ADSL de la Compañía Telefónica española.
"TELEFÓNICA DE ESPAÑA podrá emplear tecnología de recogida de información con la finalidad de adaptar el Servicio a las preferencias de los CLIENTES, proveer nuevos servicios así como nuevas prestaciones y facilidades relacionadas con el Servicio ADSL, ofreciendo a los CLIENTES los productos y servicios que mejor se ajusten a sus preferencias. TELEFÓNICA DE ESPAÑA no empleará en ningún caso tecnología de recogida de información para recuperar información existente en el propio equipo informático del CLIENTE (excepto la proporcionada por las "cookies" de TELEFÓNICA DE ESPAÑA ya instaladas)".
Observe que a excepción de las "cookies" antes mencionadas , no pueden recuperar la información existente "en" nuestros equipos, pero en cambio "si podrá emplear tecnología de recogida de información...". Cabe entonces la pregunta: ¿De donde sacarán esta información?: acaso..., tal vez..., de nuestras propias transmisiones!!!???

§3 SpyWare, Adware y Malware en general
Las "Galletitas" (cookies) comentadas anteriormente, fueron solo el principio (bastante inocente por cierto). Por desgracia la cuestión ha ido a más; ocurre como siempre: los primeros marcan el camino, después otros lo ensanchan; finalmente otros lo vuelven intransitable.
Espoleada por la conveniencia de recabar datos y remitir publicidad no deseada, ha surgido toda una constelación de software que incluso ha alumbrado nuevas palabras, el software espía ("Spyware") o añadido subrepticiamente Adware; ambos incluidos dentro de la categoría general del "Malware". Se utilizan también otras denominaciones: Badware, Trojanware, etc. El problema es muy amplio y presenta numerosas aristas; aquí nos centraremos en los aspectos relativos a la privacidad, aunque hay algunas variedades que pueden darnos un disgusto serio. Por ejemplo los dialer.
Nota: Los dialer son programas que se cuelan subrepticiamente en nuestro ordenador, generalmente al visitar sitios con ciertos contenidos que se nos ofrecen gratuitamente (por ejemplo sitios "Porno"). Estos programas sustituyen las constantes de marcación de nuestro equipo por otras distintas, de forma que la llamada se realiza a través de una línea que factura a un precio muy elevado nuestros minutos de conexión. En los casos más graves esta alteración se produce de forma permanente, de forma que estamos llamando a una línea muy costosa mientras pensamos que utilizamos nuestra conexión normal de tarifa plana. Naturalmente la sorpresa llega con la próxima factura de la compañía telefónica, sin que podamos hacer ya nada al respecto.

Spyware se refiere a aquellas aplicaciones que de forma más o menos solapada se cuelan en nuestro sistema (en ocasiones instaladas bajo la cobertura de utilidades gratuitas), y envían información a sus creadores en los momentos de conexión a Internet. En ocasiones de forma totalmente subrepticia, sin que nos demos cuenta en absoluto, mientras que en otras tenemos vagos indicios de ello. Por ejemplo: un programa nos avisa inopinadamente que existe una nueva actualización cuando no le hemos dicho que mire en ninguna parte!!.
Nota: A partir de los ataques terroristas del 11 de Septiembre del 2001, las cuestiones de seguridad cobraron una inusitada importancia, No nos referimos aquí a los "Carnívores" y "Echelones", un software espía distinto que merece mención aparte [6].

Mejor que mis palabras permitidme una traducción más o menos libre, de la información contenida en uno de los programas (Ad-aware) que presento más adelante .
Spyware

Herramienta utilizada por los hackers. Puede ser utilizada para robar sus datos y enviarlos al hacker o a quién sea a través de Internet sin su conocimiento. Los caballos de Troya como Back Orifice and BackDoor-G son ejemplos de este tipo de software.
Que es spyware?

R: Spyware es sinónimo de sistemas de publicidad que utilizan secretamente su conexión Internet para descargar banners o enviar datos del usuario al servidor de alguna compañía con o sin conocimiento de este. Estas compañías construyen perfiles de los usuarios con fines estadísticos o los venden a terceros para que realicen publicidad.
Todas estas compañías tienen políticas de privacidad muy agradables, que es mostrada durante la instalación de su software en el equipo de los usuarios. Nuestra experiencia es que casi nadie es consciente del hecho que instalan un publicista parásito cuando instalan el "freeware" que hace de huésped del software espía. En cualquier caso es como la letra chica del contrato, obviamente cercano al fraude.
Cuando finalmente decidimos desinstalar la aplicación huésped (Freeware), el spyware aún permanece activo en nuestro sistema, de forma que el llamado "freeware" no es totalmente gratis, puede costarnos nuestra privacidad, o al menos ancho de banda (de la conexión) y recursos de procesador.
Por ejemplo, la compañía Radiate está muy ufana de sus cerca de 2.000.000 de víctimas (sí, es lo que proclaman en su página principal). Puede preguntarse cuantos de ellos son conscientes.

Uno de los ejemplos más paradigmáticos y (en mi opinión) odiosos, es el famoso diccionario Babylon [url]www.babylon.com[/url]. Este software, realmente útil y práctico, apareció como un producto gratuito. Al principio, "inocentemente", solicitaban que se sugirieran palabras o se incorporaran nuevas definiciones y/o correcciones; yo mismo envié alguna sugerencia, y supogo que como yo otros miles (o millones?) de confiados internautas, con lo que cómodamente entre todos escribimos el "Corpus" de un completo diccionario multilingüe (la parte más difícil, y costosa). Pasado un tiempo, nos ofrecieron una "actualización" gratuita, pero una vez descargada e instalada, descubrimos que el nuevo software no era ya gratuito, se trataba de una versión "Shareware"; pasados unos días dejaba de funcionar de forma completa [8]. Además, durante el periodo de prueba constantemente salen molestísimos anuncios que se muestran cada vez que se busca una palabra (incluso estando desconectados). Estos anuncios se renuevan constantemente, descargándose por Internet sin que tengamos constancia de ello (ignoro que otro tipo de información trasiega el referido programa...)
Propuesta: La idea de Babylon es buena; supongo que hay por ahí muchos estudiantes (y profesores) de informática pensando en un buen trabajo fin de carrera. Sugiero un ingenio de las características del mencionado; dotarlo de un sistema de envío/recepción de definiciones multi-lengua (podíamos empezar con el Español/Inglés), distribuirlo bajo licencia GNU [5] y situarlo en el host de alguna Universidad o cualquier otro sitio. En un ratito, entre todos, podemos hacer un producto por lo menos igual [4]. Si alguien lo inicia, por favor, ponedme un e-mail y permitidme poner un enlace en este sitio a la página correspondiente.
Nota: Existe una alternativa, es Atómica [url]www.atomica.com/;[/url] una enciclopedia, diccionario, traductor y centro de información que quizás puede competir con Babylon en algunos aspectos; también es posible acceder a la definición de un término con un clic de ratón; puede descargarse gratuitamente en la dirección arriba indicada. El único problema es que es preciso estar conectado a Internet, ya que el programa es realmente un interrogador a la base de datos de Atómica, que debe estar online. Es mucho más que un simple diccionario, una enciclopedia, pero sería deseable disponer de un diccionario-traductor que funcionase off-line, dejando la conexión para cuando se necesitase información adicional [13].

A poco de redactar estas líneas aparecía un nuevo caso en la prensa especializada informando del descubrimiento de una función oculta en el popular bazar de intercambio online KaZaA (ver la noticia: [url]http://iblnews.com/news/noticia.php3?id=33904[/url]).

§4 P3P
Debido a las inquietudes surgidas respecto a la privacidad, se creó en el seno del W3C ( A5.3) una Plataforma para las Preferencias de la Privacidad, conocida abreviadamente como P3P. Se trata de proyectar un estándar para la Web, actualmente (1998) a nivel de borrador, mediante el cuál se puedan controlar dos aspectos: Que los usuarios puedan informarse de la política seguida por los proveedores de contenidos en lo referente a privacidad y que, en lo referente a dichas prácticas, puedan ejercer sus preferencias, delegando las acciones oportunas en el ordenador cuando esto sea posible (que los navegadores tengan en cuenta cual es el nivel de intimidad que desea el usuario).
Nota: El 16 Abril del 2002, el W3C estableció oficialmente la especificación de la plataforma P3P como una recomendación que permite a sus usuarios definir y publicar su política de privacidad. Ayudando a automatizar la forma en que estas políticas son interpretadas. P3P también permite a sus usuarios controlar el uso que hacen, de su informacón personal, los sitios Web que visitan.

La teoría es que el cliente establece un "perfil de privacidad" (que datos permite sean conocidos y cuales no); el navegador comprueba cual es la política en materia de privacidad de cada servidor accedido, y proporciona información solo hasta el nivel determinado por el usuario. Si al llegar a un sitio, sus prácticas están de acuerdo con el perfil del usuario, la navegación sigue sin problemas. En caso contrario, es avisado y libre de seguir la navegación o no. Por supuesto se pretende que todo esto se realice de forma sencilla, de forma que los navegantes puedan tomar sus decisiones con independencia de su experiencia informática o de navegación.




En la figura adjunta se sintetiza el tipo de diálogo que podría establecerse entre cliente y proveedor en orden a un acuerdo sobre las prácticas de privacidad del sitio visitado [7].
Aunque la mayoría de las "visitas" Web pueden ser anónimas, en otras puede ser necesario proporcionar cierta información al proveedor del servicio. A menudo esta información se requiere para completar una transacción iniciada por el cliente. Por ejemplo: pueden requerirse datos sobre medios de pago (tarjeta de crédito), información fiscal (para emitir una factura) e información postal (para el envío) de un artículo adquirido por el cliente.
A este fin, los protocolos P3P prevén la posibilidad de que se creen repositorios donde se guarden aquellos datos del cliente que sean preguntados frecuentemente. Entre estos datos estarían el nombre del usuario, fecha de nacimiento, dirección postal, número de teléfono, dirección de correo electrónico, medios de pago, etc. Por supuesto que dichos datos solo serán facilitados a aquellos proveedores de servicios con los que el cliente llegue a un acuerdo.
La idea de un repositorio de este tipo presenta ventajas (y peligros) tanto para clientes como proveedores. En cuanto a los primeros, porque evita tener que repetir datos que pueden ser requeridos repetidamente, los segundos porque obtienen respuestas homogéneas cada vez que el cliente vuelve a visitar el sitio. Por otra parte, mantener los datos en un único repositorio facilitará a los fabricantes de software implementar las técnicas de seguridad adecuadas para evitar que sean objeto de ataques de virus, husmeadores (Cookies o Applets) y cualquier procedimiento que pretenda conseguir accesos no autorizados.
Completando estas ideas, se pretende implementar un vocabulario armonizado para describir el tipo de información que se pretende obtener, de forma que cada uno de los datos anteriores se identificara un nombre y un formato estándar de Internet, por ejemplo los utilizados en las vCard (ver capítulo 2). Se podrán solicitar los elementos de este repositorio individualmente o en conjunto. Por ejemplo, un servidor puede requerir su fecha de nacimiento completa o simplemente el año de nacimiento. La estandarización evitará que se reduzca la posibilidad de confusiones y errores resultante de que diferentes servicios soliciten la misma información bajo diferentes nombres.

§5 Protección de datos
En general existe bastante concienciación popular y gubernamental en lo que a la protección de datos se refiere (al menos en teoría; algo menos en la práctica). En España se han promulgado leyes relativas a las medidas de protección, seguridad y responsabilidad que deben mantener los administradores de sistemas que contengan datos con información personal de terceros [3].
La Agencia de Protección de Datos [url]http://www.ag-protecciondatos.es[/url], un Ente de Derecho Público (español), con personalidad jurídica propia y plena capacidad pública y privada, actúa con plena independencia de las Administraciones Públicas. Su finalidad principal es velar por el cumplimiento de la legislación sobre protección de datos personales informatizados y controlar su aplicación, en especial en lo relativo a los derechos de información; acceso; rectificación, y cancelación de datos. Esta Web incluye un Registro de Protección de datos, una lista de las bases de datos que contienen información personal y sobre las que la Agencia mantiene un seguimiento especial.

§6 Terapia y profilaxis
Conscientes del problema, algunos miembros de la comunidad Internauta han alzado la voz de alarma y preparado contramedidas que tratan de neutralizar la amenaza. Además de las herramientas de seguridad que ofrece el propio navegador, que comentaremos en el apartado correspondiente, existen varios tipos de ayuda: Programas que detectan cualquier actividad no autorizada en el ordenador [9] y/o ficheros sospechosos; sitios que mantienen bases de datos con información respecto de programas convictos o sospechosos de contener spyware o adware; filtros que se instalan en el navegador ("Browse filters"), y que previenen determinadas acciones hostiles desde Webs maliciosas, o sencillamente evitan que se envíe información sobre nosotros mismos, de forma que nuestra navegación sea lo más "anónima" posible (dentro de esta última categoría de software de protección están los anonimadores).

§6.1 Anonimato
Existen varias formas de conseguirlo, una es mediante el software indicado anteriormente (anonimizadores). Otra iniciativa para proteger la privacidad son los servicios de anonimato ("Anonymizers"). Se trata de servidores que hacen de tampón o conexión entre los sitios que queremos visitar y nosotros, el anonimador trae las páginas que queremos ver y nos las devuelve, actuando como un filtro, de forma que el proveedor no puede recabar información sobre nosotros (técnicamente su comportamiento es parecido al de un servidor Proxi).
Se trata de sitios que, a cambio de un canon, ofrecen el servicio no solo para la navegación, también proporcionan correo anónimo (nadie sabe quién es el remitente) e incluso de publicidad. Uno de los más conocidos es Anonymizer.inc [url]http://www.anonymizer.com[/url]

§6.2 Cifrado
Esta técnica se refiere a los contenidos. Es una forma de evitar que nuestras comunicaciones por Internet (principalmente correo electrónico) puedan ser leídas en caso de ser interceptadas.
Los métodos de cifrado pueden ser muy variados, el más utilizado a nivel popular es un sistema denominado PGP ("Pretty Good Privacy"), desarrollado en USA. También se ha utilizado la estenografía, un procedimiento por el que se ocultan mensajes en el interior de documentos aparentemente inocentes como imágenes o archivos de audio. Este último tiene el inconveniente de la gran cantidad de basura (el continente, imagen o fichero de audio) que hay que enviar para un contenido pequeño (el mensaje).
Cuando comenzaron a desarrollarse este tipo de productos, y a pesar que las versiones disponibles por el gran público pueden tardar solo unas 24 horas en ser descifrados [11], el gobierno norteamericano comenzó a poner inconvenientes para su desarrollo y exportación.
Nota: La limitación llegó al extremo de que hasta 1999 los programas de encriptación dura ("strong encryption") como PGP no podían ser exportados fuera de USA en formato electrónico. Esto motivó que cada vez que se lanzaba una nueva versión, PGP Internacional adquiría en importaba a Europa la versión impresa del código fuente, que era escaneada para reconstruir el programa original (la historia en detalle [url]http://www.pgpi.org/pgpi/project/scanning/[/url]).

PGP ha sido adquirido por Network Associates [12], de forma que el sitio USA redirecciona a una página de esta empresa ( [url]www.pgp.com[/url] ). Sin embargo, la FSF ("Free Software Foundation") ha desarrollado una versión equivalente GnuPG ("GNU Privacy Guard"). Una versión de descarga libre que es distribuida bajo licencia GNU [5]. Puede obtenerse en: [url]www.pgpi.org[/url]. Volveremos a referirnos a este programa al tratar de la seguridad en el correo electrónico ( 8.1.5).
Más información: [url]http://www.gnupg.org[/url]

§6.3 Otros recursos
Cualquiera de los sitios que se relacionan es buen punto de partida para ponerse al día de lo que ocurre en este lado oscuro de la Red (ver también la lista webográfica incluida al final ).

Ad-aware [url]www.lavasoft.de[/url]
AD-aware permite escanear el PC en busca de ficheros "espía" y borrarlos de forma segura. Pueden elegirse los módulos a eliminar, guardar ficheros de registro, y personalizar el menú del programa. El programa permite detectar y eliminar los ficheros de spyware bien conocido, como Aureate/Radiate, CometCursor, Cydoor, Conducent/Timesink, Flysway, Gator y Web3000. También incluye la detección de publicidad de Webhancer, DSSAgent, y Alexa.

Spychecker [url]www.spychecker.com[/url]
Este sitio contiene una base de datos con sitios e información respecto al software espía. Contiene una lista completísima de herramientas anti-espía freeware y shareware. Seguramente es el sitio por el que debería empezar su búsqueda si está preocupado por el tema.
Spyware info [url]www.spywareinfo.com[/url]
Sitio dedicado a proporcionar la herramientas y conocimientos necesarios para proteger la privacidad del ataque del software espía y de la vigilancia gubernamental y corporativa.

§7 Webografía
Existen en la Red bastantes sitios concernientes al tema de la privacidad, software espía y protección de datos.
Centre for Democracy and Technology [url]http://www.cdt.org/[/url]
EFF Electronics Frontier Foundation [url]http://www.eff.org/[/url]
Privacy Rights Clearinghouse [url]http://www.privacyrights.org/[/url]
Esta organización sin ánimo de lucro radicada en San Diego (USA), se interesa por la divulgación de hábitos seguros de privacidad para el público (como un ejemplo de la penetración de nuestro idioma en USA, contiene unas "Página Informativas" en Español). De lectura muy recomendable.
Electronic Privacy Information Center EPIC [url]http://www.epic.org[/url]
Esta organización se ocupa de los aspectos de la privacidad electrónica. En la página de recursos online sobre privacidad [url]http://www.epic.org/privacy/privacy_resources_faq.html#Privacy_Sites[/url], encontrará una lista muy completa.
Privacy net [url]http://privacy.net[/url]
Esta organización está dedicada a la privacidad de los consumidores. Especialmente interesante es la sección "Privacy Resources". También muy interesante de visitar la sección "Privacy Analysis of your Internet Connection" [url]http://www.privacy.net/analyze/[/url], donde puede comprobar la cantidad de información que pueden obtener de usted los Webmasters.

Si desea tomar medidas activas contra el posible spyware instalado en su ordenador:
SpyBot [url]http://spybot.safer-networking.de[/url]
PepiMK Software ofrece en sus páginas un programa para Windows en sus diversas versiones (desde W-95 en adelante), que puede identificar y destruir no solo el spyware instalado en su ordenador; también Trojans; Hijackers; dialers y otro Malware. Altamente recomendable si está interesado en estas cuestiones. Si navega mucho por la red y es algo "promiscuo" con programas y utilidades, quizás se encuentre sorprendido al enterarse de todo lo que tiene en su ordenador. Es un producto freeware, aunque el autor acepta donativos voluntarios.

Si quiere unos sitios más "técnicos":
Los foros de Becky: [url]http://www.morelerbe.com/cgi-bin/ubb-cgi/ultimatebb.cgi[/url]
Web Securite: [url]http://websec.arcady.fr[/url]
Web mantenida por Jean Balczesak, muy informativa y organizada. Adecuada si sabe leer francés.
Voiceofthepublic [url]http://www.voiceofthepublic.com[/url]
Sitio bién mantenido que le mantendrá al día de las últimas noticias en seguridad.
Gibson Research Corporation [url]http://www.grc.com[/url]
Steve Gibson mantiene este sitio en el que puede encontrar información sobre aspectos relativos a la seguridad.
Privacy Power [url]http://accs-net.com/smallfish[/url]
Una buena referencia con bastante información, especialmente la página "Adware, Badware & Spyware".
IDcide [url]www.idcide.com/[/url]
La compañía IDcide se ocupa de las cuestiones de privacidad a nivel privado y de empresa. Dispone de un software de descarga libre: Privacy Companion un add-on para el navegador MS I.Explorer que le permite detectar cuando está siendo espiado en la Red, y el nivel de privacidad que desea.
Spaceports [url]http://mir.spaceports.com[/url]
Esta empresa dispone de Proxomitron ( [url]http://mir.spaceports.com/~ptron/[/url]), un completo y potente filtro para navegador Web de descarga gratuita.
Webwasher [url]http://www.webwasher.com[/url]
Webwasher ofrece otro potente filtro para navegador en dos versiones; una versión freeware y otra "Enterprise" shareware. También DynaBlocator, una base de datos para bloqueo de accesos a determinados contenidos desde los navegadores. La empresa lo ofrece a compañías y organismos públicos alegando el costo que supone el mal uso de Internet -navegación a sitios inadecuados- de los empleados [10].
Counterexploitation http://www.cexx.org
Sitio con cantidad de información sobre Spyware, Adware y Malware en general.

[0] Esta es la que se denomina información referida ("referrer information"). Cuando en el navegador pulsamos un enlace, de una página Web, se pide información a la URL referenciada (para que nos envíe la página), al tiempo que se le envía información de la URL de la que se ha tomado el enlace. Supuestamente esta información ayudaría a los Webmaster (ver punto siguiente) a comprobar los sitios desde los que se les visita, de forma que pueden comprobar que mecanismos de búsqueda han utilizado sus visitantes para encontrarlos.
[1] Webmaster: Persona que edita y controla el funcionamiento de un "sitio" Web.
[2] Para prevenir contenidos potencialmente peligrosos, los navegadores incluyen herramientas de control de los tales Applets y Cookies (ver capítulo 2).
[3] El texto de esta Ley es de recomendada (diría obligada) lectura para todos los responsables de sistemas informáticos que contengan información de este tipo.
[4] Aunque el proyecto es en principio "informático", seguro que el departamento de Lengua de alguna Universidad quiere prestar su apoyo para supervisar la inclusiones a partir del "Corpus" así conseguido.
[5] GNU Sistema de software no propietario, de dominio público, que está a libre disposición en Internet de forma que cualquiera puede bajarlo, modificarlo y redistribuirlo (el SO LINUX es su mejor exponente). El concepto fue iniciado en 1984 por Richard Stallman en el MIT como un medio de conseguir software gratuito y soportado por la comunidad informática. Sus ideas, expuestas en un documento que se ha llamado "El manifiesto GNU" ha sido traducido a casi todas las lenguas ( [url]www.gnu.org/gnu/manifesto.html[/url]). El proyecto está apoyado por la FSF ("Free Software Foundation"), que se encarga de recabar fondos para el proyecto.
Puede obtener más información sobre la vitalidad de este movimiento en OSDN ("Open Source Development Network") [url]http://www.osdn.com[/url]
La "gratuidad" y "libertad" de uso del software GNU se entiende de la siguiente manera:
• Primero. Libertad de realizar cuantas copias se desee y distribuirlas libremente.
• Segundo: Libertad de cambiarlo a nuestro gusto, para lo que se dispone del código fuente.
• Tercero: Libertad de distribuir libremente la versión modificada, de forma que se ayude a la comunidad.
En este último caso, deben ponerse los fuentes a disposición de la comunidad. Puede cobrarse una cantidad en concepto del acto de la copia y su soporte físico.
[6] Programas del gobierno y agencias federales USA que espían a discreción todo el tráfico de la Red. Las palabras del Fiscal General estadounidense, John Ashcroft son suficientemente explícitas: “Vamos a perseguir el terrorismo en Internet, vamos a abrir sus correos electrónicos antes de que ellos los lean, a escuchar sus mensajes telefónicos”.
[7] PUID es un método por el que el usuario se identifica frente a un servicio bajo un acuerdo específico y durante un tiempo determinado. Estas identificaciones corresponden a un campo de interés ("Realm") determinado y a un acuerdo concreto. Son enviadas dentro de las cabeceras P3P como parte de la identificación de acuerdo (agreementID), que acompaña a cualquier petición a un servidor.
La identificación de acuerdo (agreementID) es un pequeño trozo información que señala que ambas partes (prestador y receptor) de un servicio, están de acuerdo para un propósito determinado, es como la rúbrica de aceptación de este propósito. La presencia de esta rúbrica en la cabecera P3P es la declaración definitiva de que el acuerdo es efectivo para un campo determinado.
[8] A este respecto vea lo indicado en Privacy Power!, un "site" dedicado a cuestiones de la seguridad y privacidad (en ambos casos respeto el original inglés): "Updates may change a previously ad-free version into an adware product. All this makes for a confusing mess and users need to be on guard when installing any type of software".
En otro sitio (Cexx.org): "Drug Dealer Ware* is software/services that are peddled the same way a drug dealer drives sales of addictive dope: It's given away for free, until the user is "hooked" on it, at which point the prices are jacked up. Some Adware products are distributed in this manner, as well as many "free" internet services such as email, web space and internet access. For example, an adware developer may set up his/her software so that it masquerades as a Freeware product for a length of time, until the user has gotten accustomed to freely using this "freeware" as part of his/her daily life, created files in this program's proprietary format, etc., and is somewhat "stuck" to it. Then the program suddenly changes from Freeware to $hareware or Advertising Supported $hareware. While a normal user looking for a software product may see a program listed as Adware and keep looking, someone who's already wasted the time downloading this one may not have the ambition to start the search all over again (hence more $$$ for the drug dealer developer, and one of the reasons it is created in the first place). This is a shameful and deceptive practice that, much like an actual drug dealer, often targets children".
[9] Estos programas, denominados genéricamente husmeadores de paquetes ("Packetsniffer"), detectan transmisiones no deseadas en Internet.
[10] De acuerdo con un estudio de Abril del 2002, elaborado por el FBI y el Computer Security Institute, en un 78% de las empresas encuestadas se detectó un uso indebido de los accesos a Internet por parte de sus empleados. Más sobre esta noticia y las medidas que suelen tomar los responsables de informática de las empresas en [url]http://www.internetnews.com/dev-news/article/0,,10_1015141,00.html[/url]
[11] Los sistemas de cifrado más avanzados necesitan un mes de plazo para ser descifrados por métodos normales, lo que les hace indescifrables a efectos prácticos. Sin embargo, entre estos métodos "Normales" no se encuentran por supuesto los métodos extraordinarios de computación con que cuentan los gobiernos como el Norteamericano ( Nota-10) o el Japonés ( Nota-15).
[12] En Enero de 1998 saltaba la noticia: "Network Associates adquiere PGP. Network Associates ha anunciado la compra de PGP, firma cuya tecnología utilizará para desarrollar una nueva gama de productos de seguridad en las empresas. El futuro de PGP, y sobre todo de sus versiones gratuitas, resulta todavía incierto..."
[13] Como un ejemplo vivo de lo que venimos diciendo, algún tiempo después de subir esta página a la red, cuando vuelvo a utilizar mi vieja versión de Atómica descubro que el servicio ha dejado de ser gratuito.

6 Problemas y peligros de la Red
6.4 Cifrado y firmas digitales
"Es más seguro dormir en un edificio con un riesgo remoto de que se derrumbe, que dormir a la intemperie con riesgo cierto de coger una pulmonía".
Eduardo Torroja (Ingeniero Español).
§1 Sinopsis
Con el incremento del tráfico de documentos por la red, y especialmente relacionada con la seguridad del correo y el comercio electrónicos, está la cuestión de la autenticidad de documentos. ¿Cómo podemos estar seguros de que un documento que recibimos es de quién dice que es? [1]. ¿Realmente lo ha enviado el supuesto remitente?. Existen varias respuestas, una de ellas consiste en ingeniar el método y la tecnología para incluir en los documentos una "firma electrónica" (digital) que identifique biunívocamente y sin duda a su emisor [2].
Para responder a estas interrogantes, se ha creado en el seno del W3C ( A5.3) un grupo de trabajo dedicado al estudio de esta cuestión, el Dsig ("Digital Signature Working Group").


Su objetivo es establecer unos estándares para establecer unos códigos (firmas digitales) entendibles por los ordenadores, que contengan información fiable sobre el origen de un recurso concreto.

§2 Cifrado
Es fácil comprender que esta cuestión de las "firmas electrónicas" está íntimamente relacionada con las técnicas de cifrado (encriptado) de datos, y que aparte de militares y gobiernos, existen muchos intereses comerciales en ello. Por ejemplo, las instituciones bancarias son las primeras interesadas en garantizar la seguridad de las transacciones electrónicas, que a fin de cuenta son "mensajes" que transportan datos.
Las técnicas de cifrado, métodos de encriptar mensajes de forma que no pueda ser descifrados por terceros, salvo los conocedores de la "clave", son casi tan antiguas como la propia escritura. En ocasiones el conocimiento de los métodos utilizados por el enemigo han servido para definir el resultado de algunas contiendas, y su búsqueda ha movilizado considerables esfuerzos ( Nota-3).
Resumiendo podemos decir que el método clásico, denominado de clave simétrica [0], única o privada, consiste en encriptar el mensaje original por medio de esta clave; el mensaje resultante (cifrado), junto con la clave utilizada para crearlo deben ser conocidas por el receptor. Este método es útil para determinadas circunstancias, por ejemplo mensajes militares, pero no sirve para otros usos, por ejemplo probar que el mensaje es de quién dice ser; este último punto debe ser probado por otros métodos. Por ejemplo, en un mensaje militar podría ser por la identidad del mensajero.

§3 Cifrado de clave pública
Este método es distinto del anterior, para exponerlo en dos palabras, digamos que este sistema utiliza dos claves, que son en cierta forma complementarias. El fundamento teórico del método se basa en la dificultad matemática y computacional para encontrar los factores primos de números muy grandes, así pues, el tamaño de la clave da idea de la seguridad del método empleado.
Nota: Con la capacidad de cálculo de los ordenadores modernos, las claves pequeñas pueden ser violentadas de forma relativamente fácil. Como veremos a continuación, con las capacidades de proceso actuales (2002), una clave de 1.024 bits es casi inexpugnable con recursos "normales" de computación.

La literatura académica está llena de estudios sobre el tema, nos limitaremos a señalar que los algoritmos utilizados actualmente funcionan basándose en la denominada Criptografía de Clave Pública [3] cuyo esquema de funcionamiento es el siguiente:
Existen dos claves para cada persona, denominadas clave privada y clave pública. La privada (o secreta) solo es conocida por el propietario, la pública (como su nombre indica), puede ser proporcionada a todo el que la necesite. El proceso se realiza en dos pasos: La clave privada se utiliza para generar la firma (o documento cifrado, en su caso); la clave pública sirve para descifrarla. El sistema tiene la importante propiedad de que cada clave hace exactamente lo contrario que la otra, de forma que solo la pública puede descifrar lo que ha cifrado la privada y viceversa [4]. Resulta por tanto que se puede verificar así su autenticidad, al poder garantizar que solo el poseedor de la clave secreta pudo haber generado el mensaje. Así pues, el sistema tiene propiedades de cifrado y autenticación. Por supuesto, es imposible averiguar la clave privada a partir de la pública [5].
El sistema tiene también otra importante aplicación: La posibilidad de enviar un mensaje específico a una persona determinada, de forma que solo él pueda leerlo con la seguridad que es nuestro. Para ello, primero ciframos el mensaje original A con nuestra clave privada, con lo que obtenemos un mensaje cifrado B; después ciframos B con la clave pública (que suponemos conocida) del destinatario, con lo que obtenemos un texto C que le enviamos. Cuando este recibe el texto C, puede descifrarlo utilizando su clave privada, con lo que obtendrá el texto B; este texto puede descifrarlo utilizando nuestra clave pública, con lo que obtendrá el original A con la garantía que es nuestro. Observe que aunque el texto C caiga en manos de terceros, no podrán en ningún caso desvelar su contenido.
Estas propiedades gozan de las premisas necesarias para constituir una "firma electrónica". En efecto, si una persona puede descifrar la firma de alguien utilizando su clave pública conocida [6], es forzoso que fue ella la que la cifró, de forma que el mensaje en sí mismo puede considerarse como una especie de firma electrónica que nadie mas puede reproducir.

§4 Algoritmos de clave pública
Los algoritmos de este tipo más conocidos son:
Firma DSS, Desarrollada por el US NIST ("National Institute for Standards and Technology") en colaboración con la NSA (National Security Agency). Es un sistema meramente de firma, es decir, solo autenticación. Fue elegido como obligatorio para las compañías que mantienen negocios con el Gobierno Americano.
Nota: Se argumenta que fue elegido porque al ser solo firma, no limita la capacidad del gobierno USA para meter las narices en los asuntos ajenos, de forma que este tipo de software puede exportarse (desde USA) libremente y sin restricciones.

Firma RSA [7], también de clave pública, sirve no solo para firmas, también para cifrado general de contenidos, por lo que su exportación está (1997) sujeto a severas restricciones por parte del Gobierno USA, esto a pesar de que, como hemos señalado, los fundamentos matemáticos del sistema son universalmente conocidos.
Dentro de este campo, ocupa una posición especial la empresa RSA Data Security, fundada por los creadores de la primera versión comercial del método, que a pesar de haber tenido que afrontar numerosos litigios y controversias con las autoridades, es propietaria de las principales patentes en este campo y ha sabido consolidarse como líder en la fabricación de herramientas software para seguridad y encriptación. Entre sus clientes están MicroSoft, IBM, SUN y Digital.
Una variedad de este sistema, es el DES ("Data Encryption Standard"); estándar de cifrado adoptado en 1997 por el gobierno federal USA que utiliza una clave RSA de 56 bits, cuya seguridad ha sido repetidamente cuestionada.
Como anécdota, señalar que en 1977, la RSA Data Security creó un pequeño mensaje encriptado con la clave RSA-129 de su propio sistema (así denominada porque su clave es de 129 dígitos, 429 bits) y desafió públicamente a toda la comunidad cibernética a que intentara descifrarlo, ofreciendo una recompensa de 100 dólares al que lo consiguiera. En 1993 Arjen K. Lenstra un científico de los afamados laboratorios Bell, aceptó el desafío y en mayo de 1994 anunció que había reventado la clave después de 8 meses de esfuerzos.
En realidad los 8 meses no fueron de programación o de tiempo de proceso de algún ordenador, la complejidad de encontrar los factores primos de números tan grandes, requirió la organización de un "metacomputador", una especie de confederación de muchos ordenadores, cada uno de los cuales trabaja en una parte del problema. En este caso, el proyecto requirió de la potencia de 1600 ordenadores (PCs y Workstations [8]), así como la contribución por Internet de 600 colaboradores distribuidos por todo el país.
En la actualidad han surgido varios proyectos encaminados a utilizar la gigantesca fuerza de computación distribuida que suponen cientos de ordenadores esparcidos por la Red trabajando de forma concertada en proyectos de este tipo. Entre las organizaciones que coordinan estos esfuerzos de forma pública, está Distributed Net; en su sitio Web [url]http://www.distributed.net[/url] puede encontrarse toda la información al respecto, incluyendo información sobre los trabajos en curso. También pueden descargarse módulos de programas para sumarse a los proyectos. La última hazaña (Enero 99) había sido descifrar un mensaje cifrado con la clave RSA Data Security DES Challenge III en 22 horas y 15 minutos utilizando la fuerza bruta de 100.000 PCs conectados a la Red.
Posteriormente, en Septiembre del 2002 Distributed Net anunciaba una nueva hazaña: el reto RC5-64 de la RSA también había sido vencido, y conseguido el premio de 10.000 USD. En esta ocasión el desafío consistía en reventar un mensaje cifrado con una clave RSA de 64 bits, y habían sido necesarios casi cinco años de esfuerzos.
A pesar de esto, la confianza y fiabilidad del sistema no ha sido puesta en duda. De un lado está la dificultad de reunir una fuerza de cómputo análoga [10], de otro, los sistemas de encriptación actuales utilizan claves de 512 a 1024 (o más) bits de largo. Se estima que descifrar una clave RSA de 1024 bits requeriría un trabajo de proceso 3 x1011 MIPS-año [9].
Nota: A poco de redactar las líneas anteriores, nuevas noticias perfilan el estado actual de esta cuestión (siempre cambiante) de la relación seguridad Û longitud de clave utilizada ( Nota-17).

§5 Webografía
En la nota adjunta se incluye alguna información adicional sobre los fundamentos teóricos del sistema de clave pública; el sistema RSA y los esfuerzos de distributed.net por descifrar sus claves, y alguna bibliografía complementaria ( Nota-14).

Hispasec [url]www.hispasec.com[/url]
Una empresa de consultoría y formación sobre temas de seguridad electrónica. Es un buen punto de inicio si está interesado en los aspectos de la seguridad en Internet. Contiene secciones sobre criptología, virus, legislación, etc. en español. Publican un boletín diario sobre seguridad, notas sobre nuevos virus, actualizaciones y parches de seguridad, etc. Si quiere estar al día recomendamos la subscripción (gratuita) al mismo.
La firma electrónica [url]www.fajardolopez.com/materiales/Fajardo_RJUAM.html[/url]
De lectura muy recomendable si desea profundizar en estos temas. Interesante artículo sobre sus aspectos jurídicos del doctor Don Luis Fajardo López, profesor de la Universidad Autónoma de Madrid (UAM). Después de una introducción de los aspectos técnicos, hace referencia a las directivas de la Comunidad Europea y un análisis comparativo de las normas alemana y española. Aunque de contenido técnico, está escrito en un tono alejado de la verborrea jurídica, resultando conciso y entendible por el profano.

[0] En relación a que la clave para descifrar el mensaje es la misma que se utilizó para cifrarlo.
[1] Existe un famoso chiste al respecto: En una viñeta dos perros "navegando" frente al ordenador. Uno de ellos dice al otro: "Lo bueno de Internet es que nadie sabe que eres un perro".
[2] El sentido informático de firma electrónica es exactamente el mismo que en el lenguaje corriente. Recordemos que desde un punto de vista semántico, Rúbrica o Firma es un signo o señal que identifica biunívocamente a una persona porque (supuestamente) nadie mas puede realizarla (imitarla exactamente).
[3] También conocidos como de "Clave dual" y "Clave asimétrica", en contraposición con los de "Clave única", que tienen el inconveniente de necesitar compartir la clave entre el emisor y el receptor, por lo que son mas vulnerables y entrañan problemas adicionales.
[4] Si el propietario cifra algún contenido utilizando su clave pública, es evidente que permanecerá secreto para todo el mundo, ya que solo puede descifrarse con la clave secreta (que solo él conoce).
[5] Existe una explicación de los fundamentos matemáticos del proceso en "How Public-Key Vtypyo works" Byte Magazine Junio 1997.
[6] Como no hay nada perfecto, según veremos a continuación, este es justamente uno de los problemas del sistema: Como garantizar que la clave pública es realmente de quien se supone... (el sistema acaba siendo el cuento de las muñecas rusas).
[7] El sistema fue desarrollado en 1976 por Whitfield Diffie y Martin Hellman en la Universidad de Stanford, pero debe su popularización a tres profesores del MIT, Ronald L. Rivest, Adi Shamir, y Leonard M. Adleman (de ahí el nombre, Rivest-Shamir-Adleman), que realizaron la primera versión utilizable y fundaron una compañía para explotar comercialmente el sistema (RSA Data Security).
[8] Literalmente "Estación de Trabajo". Se denominan así ordenadores de tamaño y potencia intermedia entre los PCs y los grandes mainframes. Generalmente de usos específicos para ingeniería, diseño, etc. Se caracterizan por su elevadas capacidades gráficas y de cálculo (casi todos los efectos especiales con que nos inunda el Cine actual se han realizado en este tipo de estaciones).
[9] MIPS forma (unidad) de medir la capacidad de proceso de un ordenador. Millones de Instrucciones que es capaz de realizar en un segundo.
[10] Desde esta óptica resulta más que evidente uno de los posibles motivos del gobierno USA para disponer de las herramientas de cómputo más potentes que puedan proporcionar el dinero y la tecnología ( Nota-10). Por otra parte, el anuncio de la existencia de un supercomputador japonés mucho más potente aún que el anterior ( Nota-15), parece que obligará a reconsiderar que longitud se deberá emplear para considerar una clave como verdaderamente segura.

6 Problemas y peligros de la Red
6.5 Certificados digitales

§1 Sinopsis
Como el lector habrá adivinado rápidamente, todo este sistema del cifrado y las firmas electrónicas ( A6.4), conduce al problema de verificar si la clave pública es realmente de quien dice ser. Generalmente los usuarios de esta tecnología añaden su clave pública a los mensajes salientes con objeto de que los receptores no tengan que consultarla en algún repositorio de claves públicas, pero ¿Cómo puede estar seguro el receptor de que el mensaje no ha sido enviado por un intruso que pretende suplantar la personalidad del supuesto remitente? Pensemos en una orden de traspaso de saldo bancario u orden de pago por Internet, por citar un ejemplo.

§2 Certificados digitales
Para resolver (en parte) el problema se idearon los identificadores digitales (que se han traducido al español como Certificados Digitales). En esencia, el sistema consiste en que la parte de clave pública que acompaña al mensaje va a su vez "certificada" (viene a su vez cifrada y firmada) por un organismo o autoridad en quien sí confiamos, o cuya clave pública si conocemos sin margen de duda (algo así como conseguir un certificado notarial de una firma o la compulsa de un documento).
En organizaciones privadas o públicas, esta persona puede ser un director de seguridad o gabinete de certificación. En Internet, se trata de compañías multinacionales que se encargan de esta labor, se denominan CA ("Certification Authorities") [1]. Funcionan como notarios que nos proporcionan certificados digitales de nuestra propia firma pública, mediante el pago de cierta cantidad por supuesto.

El procedimiento operativo será entonces el siguiente: Recibimos un mensaje firmado; la clave pública del remitente viene cifrada y firmada por una autoridad de certificación; decimos que viene acompañado de un "Certificado" de la compañía "X" de certificación, cuya clave pública conocemos sin lugar a dudas. El receptor usa la clave pública en que confía para verificar que el "Certificado" es auténtico; el certificado le señala a su vez que la clave pública del remitente es auténtica. Hecho esto, la utiliza para comprobar que la firma (o el documento) es auténtica.
Si queremos que nos certifiquen la firma (para incluirla en nuestros mensajes), acudimos a una de estas autoridades de certificación y, previo pago, obtenemos un certificado. Es un fichero de varios miles de bits que contiene la información indicada en la tabla adjunta.
Información de identificación del firmante:
Nombre, Dirección, Empresa.

Clave pública del firmante.

Fechas de validez (caducidad) del certificado.

Número de certificado

Firma digital de la Autoridad de Certificación e información de la misma.

En el cuadro siguiente se muestra la firma digital de un documento (un correo electrónico) de Hispasec, una consultora de seguridad [url]www.hispasec.com[/url].
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.2
iQCVAwUBPMnQhutaAupcB1VZAQHsoAQAlPU/H8tARnyh1l3DT3EGdg9SorYTwW2u
oDv4KFHlIcoXfzqku12Rwt47rolLvGVlCEjM/0ZPvICDqb+yq1L204WsK0NGsh16
ZyaKeM/E1MKsNMMNZXItJv/pWX7ayzYbSezDCuJaUBApZvVorOJRgxcxP+MzkBc1
bPz05gO9row=
=UmlY
-----END PGP SIGNATURE-----

Para comprobar que el correo es precisamente de quien dice ser (Hispasec), en el mismo mensaje se incluye una línea señalando que la clave pública está en su sitio Web:
Llave pública PGP en [url]www.hispasec.com/claves/NoticiasHispasec.asc[/url]
Una vez consultada, la citada clave pública tiene el siguiente aspecto:
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: PGPfreeware
6.5.3 for non-commercial use
mQCNAzxOrToAAAEEAMtBJCAL9PI1txpv1clYuF288vPd0kqHbbawW7TzxWwAUpN1 QkwNXNaGXJDQfjW9SOM3OL1mA83z/lZjEHXSwoH51FbysFleecTzJ4E46he6zULa CI253aUJDAwubdb2sE7frJ+nMF1Tpw6u0hnh4pSiL2W5tdAh2etaAupcB1VZAAUR tDBOb3RpY2lhcyBIaXNwYXNlYyAtIDIwMDIgPG5vdGljaWFzQGhpc3Bhc2VjLmNv bT6JAJUDBRA8Tq5eFxV8KKYYQ6EBAdBsBACYT25i0WAq77ll1SF2d2r7iwQ2Kwh1 798gF1WqJzIE0PUA3lIQBzlJjtTde51U5X2gQcxElIDmkD/Hai0gydfbQ+wEd8V2 uNt15jiv1hWbiu5YtJXlGoxQCPeAZ5tRWanlXgSvEDodwnJFFdFocC1cIYNt+9ue mx1p11IXBHshwg==
=AZVA
-----END PGP PUBLIC KEY BLOCK-----

§3 La pirámide de confianzas
Fácilmente se comprende que comienza a construirse una "pirámide de confianzas". Si no se confía en la autoridad de certificación se deberá establecer un nivel superior que la avale en el que "si" confiemos, etc.
Se dice que un certificado es raíz cuando ya no tenemos necesidad de verificarlo. La principal tarea consiste precisamente establecer esta pirámide de confianzas. En la realidad cotidiana de Internet los certificados producidos por estas compañías de certificación bien conocidas se consideran certificados "raíz", pero se admite que pueden establecerse jerarquías superiores. Se piensa, por ejemplo que las Naciones Unidas certificaran a los gobiernos de los diversos países, por ejemplo al de EEUU, el cual certificaría a los organismos federales y a los gobiernos de los estados, los que a su vez certificarían los organismos locales, etc.

[1] En la legislación española se denominan Prestadores de Servicios de Certificación (PSC).

6 Problemas y peligros de la Red
6.6 Identificación personal

§1 Sinopsis
Como puede adivinarse fácilmente, una parte importante de la seguridad concierne al asunto de la identificación personal en el acceso a los servicios, es decir: Que en base a una total seguridad en la identificación del operador, pueda garantizarse que en el sistema solo pueden hacer determinadas cosas determinadas personas.

§2 Métodos de identificación
Desde un punto de vista general puede afirmarse que la informática aborda esta cuestión atendiendo a tres modelos de identificación:
• Primer nivel: Idenficación en base a algo que se tiene, por ejemplo, una credencial con una fotografía, con una banda magnética, una tarjeta inteligente, una llave, etc.
• Segundo nivel: Identificación en base a algo que se sabe; por ejemplo, una clave de acceso o palabra de paso (password), un número de acceso PIN (personal identification number), etc. Este ha sido el método tradicional mas comúnmente empleado y no abundaremos en su consideración por ser sobradamente conocido.
• Tercer nivel: Identificación en base a algo que se és o algo que se hace. Es la denominada tecnología biométrica a la que nos referiremos a continuación .

§3 Tarjetas inteligentes
Este método pertenece al denominado primer nivel (identificación en base a algo que se tiene); Una propuesta de identificación se basa en la utilización de las denominadas Tarjetas inteligentes ("Dongles"). La teoría es que las susodichas tarjetas, que incluyen un chip en su interior, son capaces de crear firmas digitales únicas, así pues, la identificación se basa en la posesión de la tarjeta, de la misma forma que nos identificamos con el DNI [1] o sacamos dinero del cajero con la tarjeta del banco y un número secreto, por ejemplo. La tarjeta acompaña al usuario que la introduce en una ranura especial del ordenador para "firmar" determinadas operaciones, o para identificarse como tal y tener acceso a determinados servicios.

El proceso de conexión a un servidor para una transacción o solicitud de servicio determinado, es mas o menos como sigue:
Þ El cliente solicita la conexión.
Ü El servidor envía una petición de identificación, cadena de reto; esta cadena cambia constantemente para prevenir ataques reiterados.
Þ La tarjeta firma el reto y lo devuelve al servidor.
Ü El servidor comprueba la firma y autoriza o deniega el servicio.

Este tipo de soluciones son especialmente interesantes para las personas que tienen que identificarse remotamente a un servidor u ordenador central, ya que evitan la posibilidad de que alguien robe la contraseña (a cambio naturalmente de no perder la tarjeta). Especialmente en aquellos casos en que un mismo usuario debe acceder a un servidor desde máquinas distintas.

§4 Biomediciones
En la actualidad se están realizando importantes esfuerzos para conseguir una identificación fiable de las personas en base a mediciones de características físicas y biológicas que se suponen son únicas e inimitables; se trata de una serie de tecnologías que aúnan recursos hardware, firmware y software muy sofisticados que se conocen bajo el nombre genérico de tecnología Biométrica.
Al hacer referencia a estas tecnologías, es importante hacer hincapié en que se refieren a sistemas de medición de determinadas características, físicamente medibles, que conduzcan a una identificación automática del sujeto, de forma que no se trata de ninguna clase de ayuda a la identificación humana.
Entre las características que se utilizan cabe destacar: Rasgos Faciales; Huellas dactilares; Geometría de la mano; Geometría del iris; Huella de la Palma de la mano; firma, y voz.
Nota: A raíz de los sucesos del 11 de Septiembre del 2001, todos los aspectos de la seguridad han cobrado gran importancia, incluyendo los aspectos de identificación biométrica, que ha experimentado un fuerte incremento en cuanto a los esfuerzos I+D empleados en esta rama de la seguridad informática. Se leen frases como: "Alta tecnología contra el terrorismo", sin embargo, algunos aspectos de esta "Alta tecnología" (informática o apoyada en ella), tienen connotaciones realmente inquietantes.

§5 Identificador de firmas
La compañía LCI ( [url]www.lcigroup.com[/url] [2]), ha desarrollado un bolígrafo especial denominado LCI-smartpen que está dotado de una minúscula pila y de la electrónica necesaria para analizar y almacenar las características biométricas de nuestra firma.


Teóricamente puede identificar mejor una firma que un experto calígrafo, dado que puede evaluar no solo la geometría (trazo), también otras "en tiempo de trazado", como presión, inclinación, velocidad y aceleración del grafo (está dotado de sensores de fuerza y acelerómetros).
La conexión con el PC es sin cable, y se realiza mediante un módulo de criptografía de que está dotado para garantizar que la transmisión bolígrafoÛPC sea segura. Con este sistema, para firmar una transacción o lograr un acceso que requiera identificación solo habría que "firmar" con el bolígrafo en cuestión (suponemos que las características biométricas de nuestra firma estarían previamente almacenadas en un repositorio).

§6 Identificador de huellas dactilares
Basándose en el hecho conocido de que no existen dos huellas dactilares iguales, se han desarrollado sistemas específicos de reconocimiento de imagen que permiten identificar las huellas (poniendo el dedo en un captador adecuado); existen ya unidades incluidas en el propio teclado para colocar en un PC e identificar a los posible usuarios autorizados con la misma facilidad con que un escáner identifica un código de barras.

Este sistema remedaría en cierta forma el viejo sistema de "poner el dedo" para la firma de personas que no saben escribir. También en este caso suponemos que para firmar con el sistema, debe existir una copia de nuestra huella dactilar en un repositorio adecuado. Tiene la ventaja de que esta es una "tarjeta" de identificación que siempre llevamos con nosotros y que no requiere recordar ninguna clave.

Nota: En Abril de 2002 la credibilidad de las tecnologías biométricas sufría un serio revés cuando saltaba a los medios la noticia de que utilizando medios caseros, un japonés había conseguido crear un dedo artificial de gelatina con el que era fácil engañar a los sistemas de reconocimiento digital.
La noticia ponía de nuevo en candelero la cuestión de la seguridad "digital". Se planteaban cuestiones como las siguientes [3]:
"Un usuario confiable sufre una amputación del dedo, o daños en sus
yemas tras un fin de semana de bricolaje?
Y si el usuario confiable sufre de ceguera parcial y no puede pasar el
escáner retiniano debido a sus cataratas y, como es de imaginar, no
existen mecanismos de autenticación de respaldo?
Y si tras una larga noche tenemos ronquera y nuestra voz es
irreconocible?.
Y si estamos afónicos o tenemos congestión nasal?".
Evidentemente estas situaciones son extremas, además, si no amputamos un dedo tampoco podemos firmar en la chequera ni quizás ir a la oficina. Sin embargo, a buen seguro que la tecnología dará respuesta a estas cuestiones y la identificación biométrica (mediante el ADN?) aumentará su eficacia.
Mientras tanto, el consejo parece ser no confiar del todo en la tecnología (ni en los seres humanos tampoco).

§7 Webografía
Biometrics Catalog [url]www.biometricscatalog.org/[/url]
Portal con información sobre tecnologías biométricas patrocinada por el Gobierno USA (que últimamente está muy interesado en estas cuestiones). Incluye una extensa introducción e historia sobre biométrica, así como noticias, textos legales, documentos gubernamentales, informes de investigación, evaluación de productos, e información sobre proveedores y consultores.
ICSA ("Internet Computer Security Agency"): [url]www.icsa.net/services/consortia/cbdc/links.shtml[/url]
Si está interesado en saber mas sobre el tema, un buen punto de comienzo puede ser en esta página de enlaces de biométrica.

[1] DNI Documento Nacional de Identidad.
[2] Esta firma desapareció de la Red en algún momento posterior a Septiembre del 2001
[3] Boletín Hispasec "Una-al-día" 27/05/2002 [url]http://www.hispasec.com/[/url]

6 Problemas y peligros de la Red
6.7 Volatilidad de la información

§1 Sinopsis
A estas alturas (2002) casi nadie discute que Internet, y más específicamente la Web, constituyen una fuente inagotable de información, que incluso logra sorprendernos un poco más cada día a los que llevamos algunos años de "navegación" y muchos más en esto de la informática.
Por supuesto hay también mucha, ¿demasiada? basura, o para ser más precisos, demasiado ruido en la línea (nos hemos referido tangencialmente a ello cuando hablábamos de "La rana digital" 6.1). A veces es necesario cribar mucha paja para conseguir algún trigo, pero aún así, hoy día la Red es, con mucho, la mejor enciclopedia que puede concebirse; es seguro que dentro de poco albergará todo el saber humano [1].
Aparte del problema de su localización, al que dedicaremos un capítulo, otro de los problemas de la información en Internet es su ubicuidad, que se traduce en una cierta "volatilidad". Nos referimos concretamente al hecho de que cierta información que hoy está en un "sitio" (una URL Ap. G), mañana ya no aparece. Es el motivo principal del famoso y fatídico mensaje: "404 page not found" (se ha estimado que la información contenida en la Web tiene un periodo medio de permanencia de 75 días).
Las razones pueden ser muy diversas. Mucha información está albergada en páginas más o menos "personales"; son publicadas por aficionados o profesionales de ciertas materias que cambian de criterio o sencillamente de servidor, ya que muchos de ellos se hospedan en "Sitios" gratuitos. En algunas ocasiones nos hemos encontrado con que una magnífica información sobre tal o cual materia, publicada en una dirección que corresponde a la página de un profesor asociado en la Universidad X, que sencillamente ya no aparece porque ha pasado a la Universidad Y. Quizás era profesor visitante o invitado en algún departamento; o sencillamente un doctorando que una vez terminado su trabajo ya no es localizable en el mismo sitio. Pasado un tiempo esta persona es ya historia en la institución, y los responsables del departamento sencillamente borran sus ficheros.
Es muy frecuente, especialmente en empresas e instituciones, que determinada información desaparezca porque los responsables del sitio ya no la consideran relevante, o quizás porque haya cambiado la política de publicación de sus gerentes. En las empresas muy grandes, del tipo Microsoft o Intel por ejemplo, determinada información suele desaparecer porque quizás corresponda a productos que se consideran obsoletos o son retirados del mercado. También es muy frecuente que los Web master realicen reestructuraciones de los sitios Web, lo que origina que la información no esté en el sitio esperado (con suerte quizás la encontremos todavía en algún otro rincón de la misma Web). Por esta razón, a menos que se encuentren en una Web muy grande, las referencias no deben ser demasiado precisas. Por ejemplo esta página que está leyendo tiene la siguiente dirección: [url]http://www.zator.com/Internet/A6_7.htm;[/url] sin embargo cualquier reestructuración de la Web de Zator Systems podría cambiarla de sitio; mucho mejor sería referenciarla como: [url]www.zator.com[/url] Tutoriales Internet Problemas y peligros de la red Volatilidad de la información. Aunque mucho menos directa, posiblemente esta última forma de localización resistiera mejor el paso del tiempo.
En un mundo empresarial muy dinámico, son frecuentes las desapariciones de empresas (la "recesión .com" ha hecho desaparecer a muchas), también las absorciones y fusiones. La resaca de estos movimientos empresariales se deja sentir también en sus sitios Web que son rápidamente eliminados o reestructurados. La información suele cambiar de sitio o ser sencillamente eliminada para adecuarse al "estilo" e intereses del nuevo propietario.
El resultado de todo esto es una cierta dificultad añadida al asunto de la búsqueda. Ya no se trata solamente de encontrarla y anotar su dirección, el problema es que quizás mañana ya no será accesible. En un reciente estudio realizado en USA sobre apuntes que los profesores habían dejado en Internet para uso de sus alumnos, se descubrió que poco después de su publicación del orden de un 15% de los enlaces utilizados ya no eran válidos.
El problema es tan insistente que la mayoría de los sitios Web que contiene información sobre información, por ejemplo colecciones de enlaces, suelen disponer de medios estandarizados para que los propios usuarios informen al webmaster de los enlaces rotos o problemáticos. Aparte de esto, existen programas que automáticamente chequean los enlaces de una web para verificar su validez [4].
Nota: En este sentido, el sistema antiguo del libro "en papel" es sin duda superior. Un libro editado siempre será el mismo y tendrá su mismo contenido. Si nos interesa mucho lo compramos; en caso contrario siempre podremos buscarlo en la biblioteca o en la librería. Si es muy antiguo en la librería de usado, para lo cual Internet es también un fantástico aliado [2].

Mi recomendación al respecto es que si el asunto le interesa mucho, no confíe en que la información seguirá estando allí maña; es preferible sacar una copia, impresa o electrónica, y guardarla para ulteriores consultas [3].

§2 Intentos de solución
El problema al que aludimos ha sido reconocido, e incluso relacionado con las veces en que, a lo largo de la historia, la humanidad ha sufrido pérdidas irreparables en su patrimonio cultural. Por citar un par de casos infaustos, el incendio de la famosa Biblioteca de Alejandría, que supuestamente albergó la totalidad del saber de su época [url]http://www.greece.org/alexandria/library/library1.htm[/url], o la casi total desaparición de la enciclopedia Yongle.
La biblioteca de Alejandría, creada unos 300 años A.C. estaba considerada una de las maravillas del mundo antiguo. Desgraciadamente, sus contenidos se perdieron para siempre; físicamente dividida en dos partes, el edificio original, más cercano al puerto, fue devastado por un incendio durante la guerra entre Cesar y el faraón Ptolomeo XIII en el año 48 antes de nuestra era. El segundo edificio, que correspondía a una ampliación, estaba situado más al sur, dentro de la misma ciudad egipcia, y sobrevivió a la época imperial romana hasta que fue destruido en el siglo IV por el emperador Teodosio junto con otros templos "Paganos" [7].
The New Bibliotheca Alexandrina A Link in the Historical Chain of Cultural Continuity [url]http://www.slis.uwm.edu/SLIS/[/url] Buscar este título del doctor Mohammed M. Aman. Un magnífico resumen sobre lo que significó este foco del saber antiguo en el SOIS "School of Information Studies" de la Universidad de Wisconsin en Milwaukee (USA).

Posiblemente la versión contemporánea de la Biblioteca de Alejandría sea la Biblioteca del Congreso de los Estados Unidos [url]www.loc.gov[/url], sin duda la mayor concentración de libros y documentos del planeta; aunque actualmente ha sido sobrepasada, no en cuanto a libros físicos, sino respecto al total de la información contenida.
La enciclopedia Yongle, la más antigua del mundo, con 11.095 libros en 22.877 volúmenes, fue recopilada entre 1403 y 1407 bajo el mandato del emperador Yongle, de la dinastía Ming, más de tres siglos antes de que el francés Denis Diderot concibiera la primera enciclopedia en Occidente en el siglo XVIII. A su terminación era doce veces más grande que la compilada en la Francia de la Ilustración. De sus 11.095 volúmenes quedan en la actualidad sólo unos 400 desperdigados por varias bibliotecas del mundo [url]http://www.china.org.cn/english/31248.htm[/url]
[url]http://english.peopledaily.com.cn/200204/18/eng20020418_94279.shtml[/url]


§3 La nueva biblioteca de Alejandría
El proyecto de reedificar una nuevo centro que pudiese devolver a Egipto y a la humanidad, un lugar comparable a la antigua Biblioteca de Alejandría, comenzó a gestarse en la década de 1980. En 1989 un estudio noruego de arquitectura resultó vencedor del concurso internacional convocado al efecto. Los trabajos de construcción se iniciaron en 1995; finalmente, veinte años más tarde, el 23 de Abril del 2002 fue inaugurado oficialmente un complejo edificio construido por el Gobierno Egipcio, con ayuda de la UNESCO y de organismos culturales de todo el mundo [5]. [url]http://www.unesco.org/webworld/alexandria_new/[/url]
Sus 13 plantas, con 60.000 m2 construidos sobre una superficie de 40.000 m2 permiten albergan unos ocho millones de libros. Sus fondos actuales (2002) no llegan ni con mucho a esta cantidad, aunque contiene unas 50.000 cartas y mapas, 100.000 manuscritos y 10.000 libros antiguos de incalculable valor, así como gran cantidad de material multimedia.
La nueva biblioteca concebida como albergue del saber humano, incluye centro de convenciones y conferencias; un museo de la ciencia; un planetario; un laboratorio de restauración y conservación; un museo de manuscritos, y es el centro de la Escuela Internacional de Estudios de la Información ISIS ("International School of Information Studies"), aunque ha sido criticada por algunos como una obra "Faraónica" que desentona con el actual desarrollo social, económico y político del citado país norteafricano. [url]http://www.bibalex.gov.eg/[/url].

§4 El archivo de Internet
Las consideraciones relativas a la cantidad de saber humano perdido a lo largo de la historia, al que nos hemos referido, así como la necesidad de preservar la cantidad de información que cada día desaparece de la Internet, propiciaron el nacimiento de una iniciativa realmente espectacular y atrevida, que bajo el nombre de Archivo Internet ("Internet Archive" [url]www.archive.org[/url]), pretende nada menos que archivar todo lo que existe en la Red, así como otro material gráfico y sonoro de la historia reciente.
Desgraciadamente una inmensa cantidad de material gráfico, en forma de fotografías y películas de inestimable valor histórico y cultural, han desaparecido para siempre debido a accidentes, desastres, desinterés, e incluso al deseo de recuperar la plata contenida en las emulsiones fotográficas. Ni que decir tiene que la mayoría de emisiones radiofónicas y de TV también han desaparecido para siempre en el éter. Además, en palabras de Brewster Kahle : "La Red vuelve a nacer y se destruye con cada día que pasa. Está claro que no podemos permitirnos el lujo de perder la oportunidad de capturar lo que fue".

El archivo se inicia cuando Brewster Kahle, un joven millonario norteamericano decide crear una versión cibernética de la legendaria biblioteca de la antigüedad. Su misión volvería a ser albergar todo el saber humano, comenzando por el material disponible en la Red. Una idea propia de un visionario o de un loco, y que no se había intentado llevar a la práctica en los últimos 2300 años, desde que Ptolomeo I decide crear la famosa biblioteca de Alejandría bajo la dirección de Demetrius de Phaleron.
Nota: Parece ser que la idea le surgió cuando supo que no existen registros históricos disponibles de las primeras emisiones de televisión, puesto que nadie pensó entonces que más tarde podía ser un material histórico muy valioso.

A Brewster Kahle no le faltaban ni la experiencia ni los conocimientos técnicos para saber que su idea distaba mucho de ser utópica. En 1982 se había graduado en el famoso MIT ("Massachusetts Institut of Technology"), y había trabajado para Thinking Machines, una compañía de Cambridge, Massachusetts, que se había dedicado al tratamiento de información en superordenadores. Posteriormente, en 1989 [8] había creado el sistema WAIS ("Wide Area Information Servers system"), una especie de índice temático de la Web. En realidad uno de los proto-buscadores de Internet junto con Archie, gropher o VERONICA (volveremos sobre ellos más adelante), que en la época de la "fiebre" .com vendió a AOL ("America OnLine) por 15 millones de dólares USA.
Nacido en 1996, la ubicación del Archivo Internet corresponde a un sitio casi tan extravagante como la idea; Kahle consiguió unos locales para desarrollar su proyecto en el presidio de San Francisco, California. El archivo funciona como una institución sin ánimo de lucro, y ha recibido ayudas de otras instituciones norteamericanas seducidas por la magnitud del proyecto, su utilidad y su audacia técnica.
En principio se limitó a almacenar información de la Web bajada las 24 horas del día por los robots y arañas [9] de Alexa (otra empresa [url]www.alexa.com[/url] creada también por Kahle y relacionada con Internet) y trabajar con las colecciones del Instituto Smithsoniano y la Biblioteca del Congreso.
En principio la colección sólo incluía texto hasta 1996, pero Internet Archive comenzó a recopilar información un ritmo de cerca de 200 imágenes cada 5 segundos. Las cifras concretas se quedan rápidamente anticuadas, además la mente humana tiene cierta dificultad para imaginar magnitudes demasiado grandes (o demasiado pequeñas), pero los sistemas automáticos del Archivo Internet añaden mensualmente a sus fondos una imagen de 10 Terabytes ( E1.7.1) del estado de la Red, lo que representa aproximadamente la mitad del contenido de la Biblioteca del Congreso!!.
De momento el Archivo no dispone de ningún sistema de búsqueda específica (que sea conocido y accesible por el público), pero a finales de Octubre del 2001 fue inaugurado un servicio de búsqueda de las URLs almacenadas: The Wayback machine; algo así como una máquina del tiempo que permite acceder al estado de un sitio tal como estaba hace meses o años; el sistema permite incluso visitar sitios que ya han desaparecido.

Por supuesto una empresa de estas características y magnitud presenta problemas e inconvenientes no existentes hasta el momento. Uno de ellos, las cuestiones de la propiedad intelectual. Por ejemplo: Que sucede si el propietario de cierta información publicada, decide posteriormente retirarla de la Red?.
Podemos adelantar que la política del Archivo Internet parece ser muy respetuosa al respecto. Basta solicitar la exclusión para que (en palabras de Brewster) los contenidos sean "Borrados de la historia..." . Además existe la posibilidad de incluir en las páginas Web determinadas etiquetas ("Tags") que advierten a los robots que no deseamos que nuestra información sea escaneada automáticamente.
Por otra parte, sabemos que no es físicamente posible rastrear la totalidad de la Web por estos métodos automáticos; existen infinidad de sitios de acceso restringido mediante claves de acceso, o en los que hay que rellenar ciertos formularios de entrada. De forma que el tamaño real de la Web es desconocido y sus contenidos parcialmente insondables.

[1] Otra cuestión será la del acceso a toda esta información; posiblemente no todo será libre y gratuitamente accesible. Esto de la "gratuidad" es una idea que poco a poco irá desapareciendo de una parte de la Internet.
[2] El autor ha tenido ocasión de comprobarlo en un par de ocasiones. Recientemente he tenido ocasión de encontrar y adquirir, por Internet una novela de un autor italiano, Guido Milanesi, por el que llevaba años preguntando cada vez que encontraba una librería de usado o una feria del libro. Finalmente lo encontré en Estados Unidos!!; un libro en español, editado en Barcelona en 1944, del que seguramente la edición original no fueron más allá de 500 ejemplares.
[3] Aunque el derecho no es mi especialidad, entiendo que una copia para uso exclusivamente personal de lo publicado en Internet y de acceso público no es ilegal en la mayoría de los casos. Sin embargo, sea precavido, algunas publicaciones electrónicas actuales pueden contener limitaciones relativas a:
• Prohibición de copiar el material al portapapeles ("Clipboard"), de forma que no puede ser copiado a otro documento.
• Prohibición de realizar copias impresas.
• Prohibición de ser prestado o cedido a terceros
• Prohibición (incluso) de ser leído en voz alta.
[4] A título de ejemplo podemos citar Xenu [url]http://home.snafu.de/tilman/xenulink.html[/url] un programa que cumple bastante bien su cometido, con la ventaja de ser gratuito ("freeware").
[5] Debido a la guerra, no declarada, entre Palestinos e Israelitas, desgraciadamente los actos no tuvieron la debida repercusión en los medios internacionales.
[6] "Vitruvius, in the first century (de Arch. VII. praef. 1-2) expresses the appreciation and gratitude felt by subsequent generations for the work of the 'predecessors' in preserving for the 'memory of mankind', the intellectual achievements of earlier generations". Profesor Moustafa El-Abbadi; "The ancient Library of Alexandria" [url]http://www.greece.org/alexandria/library/library12.htm[/url]
[7] Como puede verse, otra de las "instimables" aportaciones del cristianismo a la cultura occidental y del mundo.
[8] Algunos autores sitúan la fundación de WAIS en 1991.
[9] Robots y arañas ("Bots" y "Spiders"), nombres que reciben los programas automáticos que recorren Internet en busca de información que es analizada y almacenada. Generalmente la información utilizada por los buscadores de Internet, Altavista, Yahoo, Google, etc, se recopila mediante estos programa