En la Biblioteca Virtual Miguel de Cervantes tienen esta pequeña joya de acceso libre en un PDF de 124 páginas: Criptografía española, un libro de Mariano Alcocer de 1934. Es un estudio histórico sobre el uso de cifrados y códigos (cifras y claves, en otras denominaciones) en la diplomacia española, especialmente entre los siglos XV y XVIII. Recordemos la diferencia histórica entre ambos conceptos:

• En el cifrado se cambia cada letra o símbolo por otro, mediante unas reglas fijas, con una clave, con la que se puede luego reconstruir el original. Por ejemplo en el cifrado César si se cambia cada letra por la que está a cinco letras de distancia se cifra «arma» como «fwrf». Hay que ponerse de acuerdo en el alfabeto que se empleará y transmitir las claves previamente de forma segura.
• En los códigos ciertas palabras se abrevian o cambian por números, dibujos u otras palabras acordados de antemano; por ejemplo 347 puede significar «el Rey» y árbol, «batalla». Mediante un gran libro de claves se puede codificar cualquier mensaje y que, mientras nadie lo conozca, ser más o menos secreto (excepto que se puedan deducir las equivalencias).

En el libro se explica cómo se empleaban todos estos alfabetos, signos, números o símbolos para ocultar correspondencia política y militar, incluyendo una recopilación de más de 400 claves conservadas en archivos como el de Simancas.

El momento álgido fue durante el reinado de Felipe II, cuando servían para proteger comunicaciones sensibles que se habían de transmitir por toda Europa. Hay desde cifrados simples basados en alfabetos hasta sistemas más sofisticados con números, notas musicales o símbolos ininteligibles y además preciosos.

Esta obra ha servido a los investigadores para descifrar documentos históricos, hasta entonces enigmáticos, que han ayudado a entender la política exterior española de la época. Hoy en día se utilizan sistemas basados en IA para examinar algunos de esos documentos todavía no descifrados para que encuentren patrones y desvele sus enigmas.

Quién esté interesado en los códigos y la criptografía o el intrigante mundillo de las combinaciones y permutaciones encontrará interesante esta anotación del blog de Asher Falcon titulado Hiding messages in playing cards, donde explica sus disquisiciones acerca de cómo se podría usar la ordenación de los naipes de una baraja para esconder un mensaje.

Simplificando el tema, y descartando opciones poco óptimas como usar solo los colores, palos o números, lo importante es considerar que el número de permutaciones de las 52 cartas de la baraja es 52! (esto es, factorial de 52, osea: 52 × 51 × 50 × … 2 × 1). Esto son unos 8×10⁶⁷ permutaciones distintas, que en binario serían unos ⌊log₂ (8×10⁶⁷)⌋ = 225 bits. Usando códigos de 5 bits (esto es 32 combinaciones) da para un alfabeto de 26 caracteres; suficiente para esconder mensajes. Y a las letras también se le podrían añadir otros 6 códigos especiales como espacio, punto, coma, barra, interrogación o «final de mensaje».

Del dicho al hecho (en Python)

Asher ha llevado esto a un código de programación en Python que básicamente convierte el mensaje de texto en un número grande (llamado factorádico) que se puede descodificar nuevamente en los caracteres originales. Para que no todo sea tan obvio se puede añadir una clave, que cifra con un XOR (OR exclusivo) el texto en claro, así que sirve como «segunda capa» si acaso se necesita más seguridad.

El factorádico está muy relacionado con el código Lehmer que sirve para precisamente esto: numerar cada posible permutación de una secuencia.

Todo esto recuerda bastante a lo que el mismísimo Bruce Schneier hizo con Solitaire hace décadas, a petición del novelista Neal Stephenson para su famosa novela ciberpunk Criptononicón. En la versión de Asher el código y las condiciones son un poco diferentes (un baraja sin comodines en vez de una con comodines), pero ahí quedan ambas ideas y métodos. Hay quien dice que hay gente que usa varias barajas para guardar sus claves/palabras de carteras de bitcoin… aunque suena un poco arriesgado porque como alguien abra la caja y las desordene, ¡adiós claves!

Según nos informan por correo desde Roman Reputation Matters:

La Comisión Nacional de los Mercados y la Competencia (CNMC) ha publicado un acceso no autorizado a su sistema informático que ha supuesto la exfiltración de datos de titulares de telefonía móvil. Concretamente, dos mil millones de registros de datos sensibles correspondientes a titulares de telefonía móvil que dicho organismo custodiaba el pasado julio.

Según la propia CNMC:

[Se trata de] ficheros del Sistema de Gestión de Datos de Abonado (SGDA). La Comisión gestiona dicho sistema en el marco de sus competencias en el sector de las telecomunicaciones.

Los datos afectados corresponden a abonados al servicio telefónico y son de naturaleza exclusivamente identificativa. En ningún caso incluyen datos de tipo financiero o especialmente protegidos.

A mi dos mil millones de datos me parecen muchos, así que más que de personas en concreto puede que sean números de SIMs o dato de geoposicionamiento de terminales, registros de llamadas o similares. Jugosos, en cualquier caso. Veremos qué dice la investigación y cuántas cabezas ruedan.

Hay un mínimo de información de momento en Acceso no autorizado al sistema informático de la CNMC. Aquí la (hoy suena un tanto irónica) página de protección de datos de la Comisión… «La CNMC es consciente de la importancia de la protección de los datos de carácter personal que gestiona». Ejem.

En una nota de Lukasz Olejnik se menciona un reciente cambio que ha publicado el NIST (Instituto Nacional de Estándares y Tecnología, del Departamento de Comercio de Estados Unidos) en forma de documento técnico, titulado Recomendaciones sobre Identidad Digital, publicación especial SP 800-63.

Incluye muchas de las consideraciones de seguridad habituales para la gente corriente, aplicaciones y sitios web, y viene a decir que a partir de ahora lo de mezclar estilos (mayúsculas, minúsculas, símbolos…) y lo de cambiar la contraseña periódicamente ya no es algo que se considere «seguro», entre otras cuestiones.

El documento es muy detallado, técnico y fuera del ámbito de interés de los usuarios normales, a quienes quizá sólo interese saber un poco por encima cuáles son estas nuevas consideraciones.

En general parece que el NIST ha usado el sentido común y recogido tanto las peticiones de los expertos como el saber de las multitudes y los usos corrientes. Respecto a las contraseñas y sistemas de autenticación de usuarios, en concreto, las aplicaciones y sitios web…

Deberían:

• Deberían requerir contraseñas de al menos 8 caracteres (15 a ser posible).
• Deberían admitir contraseñas de hasta 64 caracteres.
• Deberían admitirse espacios, caracteres ASCII y Unicode.

Y cambio NO deberían:

• No deberían imponer otras reglas de composición («combinación de estilos», como mayúculas/minúsculas/números).
• No deberían imponer cambiar contraseñas periódicamente, a menos que estén comprometidas o haya habido algún problema de seguridad concreto.
• No deberían mostrar «pistas» si no se está autenticado.
• No deberían sugerir contraseñas o pistas para cambiar la contraseña del tipo «el nombre de tu perro».

Así que si eres un simple usuario no tienes mucho más que hacer. Pero si desarrollas un app, gestionas un sitio web o estás planeando diseñar o gestionar uno, ya estás tardando en modernizarte y considerar estas reglas como las más adecuadas y convenientes.