Patrik Faltstrom es presidente del Comité de Seguridad y Estabilidad de ICANN, y jefe de Investigación y Desarrollo en Netnod. Ha participado en la estandarización relacionada con Internet desde 1989, tanto en Suecia como globalmente. Es asesor del Ministro de Tecnologías de Información de Suecia desde 2003.

Su conferencia, "Los desafíos de las actividades no deseadas en Internet", hizo hincapié en la necesidad de crear una red robusta que pueda resistir cada vez mejor al estrés y al tráfico indeseado, afirmando que "lo indeseado es lo que incide en nuestra capacidad de comunicarnos".

"Solemos tener en mente que entre seis meses y cinco años las cosas se nos pueden romper.
Las preguntas entonces son: ¿sabemos qué se va a romper? ¿Podemos aumentar la capacidad de la red de soportar el stress? ¿Qué hacemos cuando se rompe? ¿Podemos minimizar el tráfico indeseado? ¿Qué es el tráfico indeseado?", se preguntó.

En diálogo con Montevideo Portal, Faltstrom habló sobre su experiencia en ICANN y sobre los desafíos y los riesgos asociados a una dependencia cada vez mayor de Internet.

¿Cuál es tu principal trabajo en el Comité de Seguridad y Estabilidad de ICANN?

Soy presidente del Comité, lo que significa que es mi deber asegurarme de que todas las tareas se hagan correctamente, que manejemos bien el presupuesto, todos esos asuntos burocráticos, que es la parte aburrida. Lo más divertido es asegurarme que los reportes que estamos produciendo de hecho sean el resultado de consensos entre nuestros 38 miembros, y eso es muy importante. De la manera en que dirijo el proceso, tengo que ver que cuando estamos discutiendo tengamos la misma visión, y el problema es cómo expresarlo para que los lectores lleguen a las conclusiones correctas. Los miembros son de todas partes del mundo, de diversas culturas, no todos son anglosajones, eso significa que a veces necesito dirimir, cuando tenemos un desacuerdo en cómo debe ser un texto, porque tenemos una audiencia global y tenemos que tratar de entender quién va a leer el reporte: ¿son las personas especializadas en tecnología? ¿Es un gobierno? ¿Es un periodista? ¿Es un usuario final?

En términos de seguridad y estabilidad ¿cuáles son los desafíos actuales dentro de ICANN y en Internet en general?

En este momento en ICANN, por supuesto, estamos viendo el proceso de gTLD (dominios genéricos de alto nivel) porque es gran parte de lo que ICANN está haciendo. Pero desde el Comité lo que estamos viendo va más hacia Internet en general, tratamos de ver cuáles pueden ser las debilidades al momento de introducir los gTLD, por ejemplo estamos preocupados por el riesgo de que los nombres de dominio de las personas sean secuestrados por otras. Cómo podemos incrementar la seguridad de los registradores, ya que es relativamente fácil irrumpir en un registrador y robar toda la información de los resgistrados. Y por supuesto el protocolo DNS en sí, qué tipo de cambios vemos, si hay algo que podamos recomendar sobre lo que está pasando, ese tipo de cosas.

¿Cómo han cambiado estas tareas y este panorama en estos últimos diez años?

Es un trabajo más difícil. Hemos escrito un par de reportes hace poco en los que señalábamos que lo que habíamos advertido previamente no había sido tomando en cuenta. Básicamente vemos que lo que hoy están escribiendo los periódicos son cosas que nosotros escribimos hace 10 años, y nadie hizo nada. Entonces, estamos en una ecuación en que, creo, es más importante para la gente crecer que implementar seguridad. Desafortunadamente, la seguridad es algo que hacemos tarde. Mucha gente dice "tener más clientes es importante, y la seguridad podemos verla después" y eso no es cierto. Tenemos algunos problemas hoy de los que ya habíamos hablado. Por eso estamos evaluando cómo debemos comunicarnos para que la gente esté alerta, porque obviamente hemos fallado. Estuvimos escribiendo reportes y la gente no se enteró.

¿Cuáles son algunos de esos problemas?

Por ejemplo que es muy fácil enviar consultas DNS con direcciones IP de fuente falsa, y eso es algo de lo que escribimos hace 10 años. También escribimos documentos sobre lo que sucede cuando un usuario final quiere comprar un nombre de dominio: deberían evaluar cierto tipo de cosas con el registrador antes de evaluar cuál elegir. No creo que a nadie le importe eso hoy, simplemente compras un dominio donde es más barato o donde puedes tener hosting, nadie toma otras cosas en cuenta.

¿Por qué crees que esas cosas no fueron tomadas en cuenta por las personas?, ¿fue sólo una falla en cómo se comunicaron?

En algún grado creo que tiene que ver con que apuntamos a los usuarios finales, y los consumidores por supuesto no se preocupan por eso. Pero por otro lado tenemos grandes compradores de dominios, como ciudades, gobiernos, compañías comerciales, y si sucediera que Montevideo como ciudad tuviera requisitos, por ejemplo "solo compraremos dominios del registrador que cumpla con ciertos requisitos, si tienen ipv6, si tienen DNSSEC", en ese caso eso dirigiría el mercado. Creo que quizá fue por apuntar al usuario final, cuando en realidad el usuario final simplemente compra lo que encuentra en la calle, quizá debíamos apuntar a los grandes jugadores, por ejemplo un gobierno, cuando actúa como un consumidor, como un comprador en el mercado. Ellos podrían dirigir el mercado y ofrecer mejores productos.

En la presentación hablaste sobre las "actividades no deseadas" en la red y esto incluye una amplia gama de actividades, que son deseadas o no según quién lo mire, ¿cómo podrían categorizarse?

Creo que podemos hablar de tres tipos distintos de actividades, para hacerlo fácil. Por un lado tienes al consumidor que compra un servicio que es completamente legal, como Netflix. A la compañía de cable que lleva televisión al usuario quizá no le guste eso, porque sus clientes podrían cancelarle la suscripción; a la tienda que alquila CD o DVD tampoco le gusta, porque no obtiene clientes. Entonces ese es un tipo de actividad indeseada: al consumidor le gusta, a Netflix le gusta, a la industria de las películas le gusta, pero para los competidores tradicionales es indeseado.

Hay otro tipo que es la copia de música, que en algunos países es ilegal. La industria de la música dice que no quiere eso, el consumidor absolutamente lo quiere. Ahí hay un conflicto no sólo entre la industria y el consumidor, sino también con la legislación; y la pregunta es quién cree que eso es indeseado o no.

Y luego está la tercera categoría, que es la de las actividades de criminales que se benefician económicamente de instalar virus o lo que sea, de robar datos de tarjetas de crédito, etc. Donde todos, excepto el criminal, piensan que es tráfico no deseado.

Y en esta tercera categoría, ¿cuál es el desafío de las personas que trabajan en temas de seguridad? Porque en los dos primeros tiene que ver con temas de industria y/o legislaciones...

Ciertamente, en las dos primeras tienen que ver con construir modelos de negocios y adaptarse a lo que quieren los consumidores. Por ejemplo las tiendas de videos deberían dejar de vender videos y seguir vendiendo papas y pop, porque la gente todavía quiere eso. Es como lo que sucedió en Suecia con las estaciones de servicio, que como ahora los automóviles pueden recorrer mayores distancias sin cargar combustible, muchas estaciones se transformaron en tiendas de alimentos, porque la gente todavía necesita comer y para allí por un café, no por el combustible.

Pero en la tercera categoría, de los criminales, aquí es donde desafortunadamente el desarrollo de productos fue manejado por el deseo de incrementar el número de consumidores y nos hemos olvidado de los problemas de seguridad. Creo que una vez más tenemos a los gobiernos y grandes compañías, que deberían ver que tienen una responsabilidad de forzar al mercado a ofrecer productos más seguros y estables.



¿Qué podemos esperar en los próximos 10 años?

Vamos a ver cada vez más comunicaciones pasándose a Internet y dejando otro tipo de comunicaciones. Por ejemplo, en Suecia son muy populares los shows televisivos de cocina y hay una gran compañía lechera en el país que tiene en cuenta que si el chef usa yogur en la receta de esa noche, se producirá más yogur para el día siguiente, porque la empresa sabe que hay mucha gente viendo el programa y que comprarán eso al otro día para hacer la receta. Eso no podría hacerse si no pudiera comunicarse para asegurarse la materia prima, cambiar la línea de producción y distribuirla adecuadamente a las tiendas. Sería imposible sin Internet.

Entonces todo lo que tiene que ver con envíos, de servicios o de bienes, serán cada vez más dependientes de Internet. Y eso va desde pagar tus facturas hasta transportarte por la ciudad. Eso lleva a que si Internet se rompe, no sabes qué hacer.

Por eso lo que mencionabas en tu charla, sobre asegurarse de tomar decisiones que ayuden a que no se rompa, o estar preparados...

Todo tipo de negocio tiene un riesgo. Tienes que calcularlo y saber cuál es el tipo de riesgo. De eso era mi charla: necesitas saber mucho de tu propia operativa, para saber dónde tienes procesos alternativos y dónde no. Debes averiguar qué tan frecuentemente algo se romperá, qué harías si se rompe, cuánto tiempo te llevaría repararlo.