¿Qué tan ágil es tu criptografía? El estudio de la entrevista explora oportunidades y desafíos de los procesos de actualización criptográfica

Si piensa en el software como un edificio, podría decir que está compuesto por bloques de código. Muchos de estos bloques de construcción están construidos a medida para una aplicación específica. Otros son componentes estándar y se usan en muchos edificios: los algoritmos y funciones cristptográficas son un excelente ejemplo de esto.

En un estudio de entrevista cualitativa con 21 participantes internacionales, el investigador de CISPA Alexander Krause exploró los desafíos que enfrentan los desarrolladores de software experimentados cuando desean renovar las implementaciones de criptográficas existentes, o incluso crear mejores bloques de construcción criptográficos desde cero.

El CISPA estudiar se presentará el 14 de agosto de 2025 en el Simposio de seguridad de USENIX En Seattle, nosotros.

Agilidad criptográfica – O: ¿Por qué la criptografía queda desactualizada?

Los algoritmos criptográficos son bloques de construcción fundamentales en el desarrollo de nuevas aplicaciones. Se aseguran de que los datos y la información puedan comunicarse en forma encriptada, protegidos de manera confiable de los ojos inquietantes de terceros no autorizados.

A diferencia de la mayoría de las otras secuencias de código, ciertas implementaciones criptográficas pierden su efectividad con el tiempo. A medida que otros campos tecnológicos avanzan, por ejemplo, si las computadoras obtienen significativamente la potencia de procesamiento, el cifrado asimétrico puede ser potencialmente vulnerable.

Quantum Computing es un ejemplo de libro de texto de esto. Como explica el investigador de CISPA, Krause, «si las conexiones están encriptadas con TLS, esos flujos de datos aún no pueden descifrarlo, pero es muy probable que esto sea posible en el futuro. Las computadoras cuánticas podrán calcular de manera mucho más eficiente, porque no solo están usando los estados binarios 0 y 1, sino los tres estados 0, 1 y 01 simultáneamente».

La calculación con tres posibles estados permite que las máquinas cuánticas resuelvan los problemas matemáticos mucho más rápido y usen algoritmos nuevos y más eficientes que no están disponibles en computadoras «convencionales».

La actualización de las implementaciones criptográficas es, por lo tanto, una tarea recurrente, y una con implicaciones de largo alcance para los usuarios de software. Si las actualizaciones de cifrado salen mal, las consecuencias para la seguridad general del software pueden ser graves. En este contexto, Krause se refiere al concepto de «agilidad criptográfica».

«Este proceso de actualización recurrente para las implementaciones criptográficas idealmente comienza con algo llamado ‘agilidad criptográfica. Significa que cuando los desarrolladores están diseñando un software, ya tienen en cuenta que pueden necesitar reemplazar o actualizar la implementación criptográfica en algún momento en el futuro», explica Krause.

Pensar en el futuro de esta manera está destinado a facilitar la actualización del software más adelante con métodos criptográficos de última generación. Sin embargo, la ejecución de actualizaciones de cifrado requiere un conocimiento altamente especializado que muchos desarrolladores de software no poseen.

Las bibliotecas criptográficas requieren mantenimiento

Las implementaciones criptográficas tienden a provenir de bibliotecas criptográficas gratuitas de acceso público y gratuitos que son mantenidas por comunidades de desarrolladores especializadas. Estos proyectos de código abierto, que benefician a los desarrolladores de todo el mundo, generalmente tienen el apoyo de solo un puñado de personas que contribuyen con su tiempo voluntario.

«Es un principio fundamental del desarrollo de software que los desarrolladores reutilizan los componentes existentes a menos que necesiten una solución personalizada», dice Krause. «Esto también significa que no escribo una nueva implementación para un estándar criptográfico desde cero cada vez: importo una biblioteca en el lenguaje de programación que estoy usando que ya proporciona la función requerida».

Si bien la reutilización de algoritmos y funciones existentes crea una programación eficiente, también introduce riesgos de seguridad únicos en lo que respecta a la criptografía. Si las bibliotecas criptográficas no se mantienen adecuadamente y los errores no se fijan, esas vulnerabilidades pueden proliferar en una amplia gama de aplicaciones.

En el contexto de la «cadena de suministro», es decir, una especie de dependencia de proyectos de software de otros recursos, esto crea lo que se conoce como un «punto único de falla». Si no se mantiene una biblioteca criptográfica de manera confiable, puede poner en peligro la funcionalidad de todos los productos que dependen de ella dentro de la cadena de suministro.

¿Cómo reclutas a las poblaciones expertas para un estudio? Con trabajo duro

Realización de un estudio de entrevista cualitativa con 21 participantes, Krause y sus colegas de CISPA han explorado los desafíos que los desarrolladores de software, que generalmente no son expertos en criptográficos, enfrentan al actualizar las implementaciones criptográficas.

Su objetivo era encontrar respuestas a cuatro preguntas de investigación estrechamente definidas: ¿cómo aprenden los desarrolladores sobre una actualización de criptografía recomendada? ¿Qué objetivos persiguen con la actualización? ¿Qué procesos siguen al planificar y ejecutar una actualización de cifrado? Y finalmente, ¿qué experiencia ganaron al llevar a cabo esas actualizaciones?

«Ya hay mucha investigación sobre la actualización de proyectos de software en general», dice Krause. «Pero aquí, queríamos explorar si las poblaciones expertas con conocimiento altamente especializado también tienen requisitos únicos».

Reclutar participantes para el estudio fue un gran desafío. «Fue difícil reunir a esos 21 desarrolladores, tomó mucho esfuerzo», explica Krause. «Solo incluimos desarrolladores experimentados, y evaluamos su experiencia en función de las contribuciones que ya habían hecho a proyectos de software».

Además de comunicarse con su red profesional, los investigadores publicaron su llamado a los participantes en Upwork y contactaron a muchos otros candidatos potenciales por correo electrónico. El reclutamiento del correo electrónico llevó mucho tiempo, ya que requirió una extensa investigación en línea para encontrar información de contacto disponible públicamente para participantes adecuados. Krause estima que la tasa de respuesta para la campaña de correo electrónico fue de solo alrededor del 1%.

«La gente participó en el estudio por diferentes razones», resume. «Algunos estaban intrínsecamente motivados porque vieron la investigación como importante y querían apoyarla. Otros se sintieron personalmente reconocidos: dijeron: ‘Oh, miraste mi código GitHub y mi proyecto. Es genial que te di cuenta de mi trabajo'».

Resultados heterogéneos: las actualizaciones de cifrado dependen del contexto

Uno de los hallazgos clave del estudio de la entrevista es que el flujo de información en torno a las actualizaciones de criptografía recomendadas es inconsistente y, a veces, está incompleto. Las actualizaciones se activaron principalmente por la información que los desarrolladores recibieron a través de fuentes como blogs, redes sociales y Github. Sin embargo, dependiendo de su afiliación institucional, es más probable que algunos grupos de desarrolladores reciban información sobre actualizaciones que sus colegas.

«Si trabaja para una gran empresa, a menudo hay acuerdos. A menudo reciben un aviso anticipado de vulnerabilidades y pueden ser los primeros en repararlos, por ejemplo, como parte de un proceso de divulgación. Esta información se transmite a través de listas de correo privadas a las que solo unas pocas personas tienen acceso», resume Krause.

«Una gran conclusión para nosotros fue lo difícil que es ingresar a estas comunidades. Alguien que quiere comenzar ahora, ¿cómo se conectan? ¿Cómo llegan a una de estas listas?»

El estudio de la entrevista también reveló que rara vez hay procesos estructurados y establecidos para gestionar actualizaciones de criptografía en empresas o proyectos. La priorización de tales actualizaciones a veces dependía de los recursos disponibles, como el tamaño del equipo. Los procesos y responsabilidades de toma de decisiones en torno a las actualizaciones de cifrado tampoco estaban claros.

«Esa fue una sorpresa negativa para nosotros», dice Krause. «¿Quién decide quién es responsable de una actualización de criptografía? Esto varió mucho. A veces en realidad había líderes asignados a él. En otros casos, fue, ‘Usted solo descubrió que existe esta vulnerabilidad, por lo que es su trabajo solucionarlo'».

Como una de sus contribuciones de investigación clave, los investigadores han delineado tal proceso de actualización, consolidando las declaraciones heterogéneas que los participantes habían hecho. Su proceso de varios pasos asigna los tres grupos de partes interesadas diferentes (usuarios internos, externos y finales) a seis fases: activación, objetivos, planificación, ejecución, garantía de calidad y despliegue.

Otros resultados del estudio resultaron ser más positivos y predecibles para el equipo de investigación, como, por ejemplo, las motivaciones detrás de la implementación de actualizaciones criptográficas. «Nos sorprendió positivamente en general que muchos desarrolladores estén intrínsecamente motivados para garantizar que su software sea a prueba de futuro», explica Krause.

Además, se realizaron actualizaciones preventivas para obtener una ventaja de seguridad sobre las amenazas futuras. La retroalimentación también fue bastante consistente con respecto a la percepción de que las actualizaciones de cifrado son onerosas y complejas.

Krause resume: «Todos nuestros participantes tenían antecedentes muy individuales y proyectos muy individuales, pero en general, lo que dificulta la actualización de la criptografía es que necesite el conocimiento para hacerlo, y al final del día, muchos no tienen eso. Esperamos esto, ya que es el caso en muchas áreas de seguridad de TI, no solo en el área de implementaciones criptográficas».

La red es clave: una brecha entre la investigación y la práctica

La cuestión de cómo esta brecha de conocimiento podría cerrarse en interés de la seguridad de TI continúa ocupando Krause. «Las actualizaciones de cifrado seguirán siendo un desafío en el futuro. Pero vemos que las personas a menudo carecen de la educación necesaria para administrarlas. El mayor desafío que vemos, y esto se extiende más allá de nuestro documento a la investigación criptográfica de manera más amplia, traduce nuevos hallazgos de investigación en un formato que realmente llega a los desarrolladores».

Si bien obtener acceso a las listas de correo relevantes es a menudo difícil, las respuestas del estudio de la entrevista han demostrado que los desarrolladores de software rara vez usan bases de datos de publicaciones académicas para mantenerse informadas sobre los nuevos desarrollos.

«En nuestro estudio, aquellos con un título académico más alto, una maestría o doctorado, tenían una ventaja aquí, porque aportan el conjunto de habilidades necesarias», explica Krause.

En última instancia, obtener información relevante aún depende en gran medida de la iniciativa personal de los desarrolladores individuales. A este respecto, existe una clara brecha entre la investigación y la práctica que necesita ser unida, ya que hay muy poca superposición entre las conferencias importantes para el discurso científico y las ferias comerciales relevantes para las comunidades de desarrolladores.

Proporcionado por CISPA Helmholtz Center for Information Security