Foto de un cartel de neón que deletrea trust||||

La Web fracturada: Evaluación de la confianza mutua y la soberanía en la Internet moderna

Photo of Jan Marius Evang

Jan Marius Evang

Simula Metropolitan Center for Digital Engineering and Pulse Research Fellow

Categorías:

Internet se basa en el ideal de una cooperación global y abierta de redes, que permite a individuos y empresas prestar servicios, consumir contenidos y hacer negocios libremente en cualquier parte del mundo.

En sus inicios, esta utopía digital parecía posible. Sin embargo, en los últimos años, la explosión de la cantidad de datos de Internet, además de los incidentes políticos mundiales, han hecho tambalearse el modelo "completamente abierto".

Estamos asistiendo a una fragmentación de Internet, a medida que las naciones afirman un mayor control sobre sus fronteras digitales. Este movimiento está remodelando la forma en que se producen y consumen los servicios, con un énfasis creciente en la seguridad nacional y la gestión de riesgos. Los gobiernos buscan cada vez más mantener los servicios digitales cerca de casa, creando una Internet más compartimentada.

Leer: Qué es el Splinternet y por qué debería prestarle atención

La principal fuerza detrás de la escisión es el Estado-nación

Históricamente, los países han tenido un control casi total sobre su propio territorio y sus ciudadanos. Sin embargo, la naturaleza abierta de Internet desafía esta soberanía a lo largo de dos ejes.

A lo largo de un eje, los ciudadanos y las empresas pueden participar en acciones ilegales o no deseadas por el gobierno, como actividades inmorales, planificación de acciones antigubernamentales, difusión de información errónea, trampas en los exámenes o evasión de impuestos.

En otro eje, los ciudadanos, las empresas y el gobierno de un país dependen de los servicios digitales, y existe una creciente preocupación por los riesgos de no tener la plena propiedad y el control de estos recursos.

Este riesgo no es infundado. En 2022, tras las acciones militares rusas contra Ucrania, el gobierno ucraniano pidió que Rusia se desconectara por la fuerza de Internet

Se han observado otros cortes causados por el control digital de fronteras, cortes de fibra y otras interrupciones no planificadas. Muchos de ellos tienen como efecto la división en las fronteras de los países, y una fuerte dependencia de los servicios internacionales puede hacer que los servicios digitales nacionales queden inoperativos durante tales eventos.

Para conocer el grado de autosuficiencia de los países en el ámbito de Internet, realizamos una investigación utilizando algunos indicadores clave.

Medición de la confianza en Internet entre países

La mayoría de los países no son totalmente autosuficientes, por lo que necesitan confiar en otros países para gestionar algunos de sus servicios de forma segura.

Como proxy de la confianza en Internet, hemos utilizado las ubicaciones geográficas de las direcciones IP utilizadas para el alojamiento web utilizando datos de la lista Tranco 1M. A continuación, aplicamos el algoritmo de Lovaina para identificar las relaciones mutuas entre países e identificar los grupos de confianza mutua. Los resultados fueron los esperados.

En la Figura 1, muchos países tienen una gran parte de sus dominios de Internet alojados en su propio territorio (verde), mientras que algunos países más pequeños dependen completamente de sus aliados más grandes (rojo).

Mapa de calor del mundo que muestra el nivel de externalización del alojamiento IP en cada país
Figura 1 - Externalización del alojamiento IP. El verde es el más autosuficiente y el rojo el más dependiente.

Una observación interesante es que Irán, un país cada vez más aislado, sigue registrando un número medio de dominios externalizados. La explicación más probable es que los cambios políticos tardan en reflejarse en la confianza en Internet.

La figura 2 muestra que existen grupos de confianza mutua donde cabría esperar. Curiosamente, vemos lazos más fuertes entre los grandes Estados europeos (Reino Unido, Alemania, Francia y Rusia) y sus antiguas colonias que los que vemos internamente en la UE.

Mapa de calor del mundo que muestra las alianzas de confianza entre países
Figura 2 - Agrupaciones mundiales de confianza mutua - Las agrupaciones marrones se centran en EE.UU., las rojas en Francia y Canadá, las azules en el Reino Unido y Alemania, las naranjas en Rusia y las verdes en China. Los conglomerados púrpura se centran en los Países Bajos y Austria, mientras que el rosa lo hace en torno a Japón. Los países blancos permanecen aislados en este nivel de umbral.

Si ampliamos el cluster "paneslavo" (Figura 3), podemos ver que excluye a algunos miembros esperados, a saber, Rusia, Bielorrusia y Rumanía.

Cuadrícula de calor que muestra la relación de confianza que mantienen entre sí los países eslavos.
Figura 3 - Confianza mutua entre los países eslavos. Rusia, Bielorrusia y Bulgaria son países externos, pero Rusia y Bielorrusia forman un grupo (débil) por sí solos.

Asimismo, el cluster latinoamericano (Figura 4) muestra que Cuba está fuera de la confianza mutua.

Cuadrícula de calor que muestra la relación de confianza que mantienen entre sí los países latinoamericanos.
Figura 4 - Relación de confianza entre los países de la ALADI (Asociación Latinoamericana de Integración). Prevalece la confianza mutua excepto en Cuba.

Las autoridades de certificación muestran una concentración de confianza

Vemos un mundo muy diferente cuando nos centramos en otra mercancía crítica, las autoridades de certificación (CA).

Las CA son la columna vertebral de la seguridad en línea, ya que proporcionan los anclajes de confianza para los certificados TLS/SSL que mantienen seguras nuestras comunicaciones web. Una avería en este sistema podría inutilizar todos los servicios digitales seguros.

Los vendedores de navegadores de Internet tienen autoridad para confiar en las CA que consideren útiles. En la práctica, el Cabforum es un foro voluntario para emisores y consumidores de certificados. Las CA tienen potestad para revocar cualquier certificado, lo que crea un riesgo de revocación por error y por mala intención. Recientemente, se ha producido un cambio significativo en la legislación europea (conocido como legislación eIDAS), que ahora exige que los navegadores web confíen en todos los emisores de certificados digitales aprobados bajo un sistema europeo específico. Este nuevo sistema ha sido criticado por una "confianza forzada" en las CA que no está a la altura de los estándares de confianza.

Un pequeño número de empresas multinacionales domina el mercado de los certificados de servidor TLS/SSL de confianza global. Mientras que 35 países de todos los continentes (excepto Sudamérica) tienen CA raíz nacionales, un asombroso 99,4% de todos los dominios confían en CA de sólo tres países: EE.UU. (81,8%), Irlanda (16,6%) y Bélgica (1,0%).

La confianza en Internet no es aleatoria

Las relaciones de confianza en Internet siguen el mismo patrón que el comercio y la confianza tradicionales y están sujetas a una evaluación de riesgos explícita o implícita.

Sin embargo, hay un descuido flagrante en la forma en que gestionamos los riesgos de AC. El dominio de unos pocos países en el mercado de las CA deja vulnerable la seguridad nacional, y está claro que hay que hacer más para mitigar éste y otros riesgos de concentración del mercado.

Rastree la concentración del mercado de tecnologías e infraestructuras web básicas

Jan Marius Evang es ingeniero de investigación en el Centro de Redes y Aplicaciones Resistentes del Centro Metropolitano de Ingeniería Digital Simula y becario de investigación 2024 Pulse.

Las opiniones expresadas por los autores de este blog son suyas y no reflejan necesariamente los puntos de vista de la Internet Society.

Foto de Nick Fewings en Unsplash

Etiquetas: