Derecho de Código Abierto
Estamos acostumbrados a ver en la popular serie norteamericana algunos eventos que, con los años, se hicieron realidad. Desde el espionaje masivo de la NSA al monopolio de Google. Esta predicción no es tan aterradora, pero no por ello es menos peculiar. En el año 1999, los Simpson pasaron de refilón sobre una curiosa forma de almacenar dinero en un dispositivo extraíble. (más…)
El Big Data de Facebook. Crédito: Wikimedia
En informática y en criminalística, se denomina «honeypot» (tarro de miel) al cebo que se le pone a los usuarios de un servicio informático con dos fines: atraparlos cometiendo un delito, o monitorizar sus comportamientos. Existe desde hace algún tiempo una polémica sobre las implicaciones legales de la política de nombres reales de Facebook. Ahora bien, ¿es esto el «chocolate del loro» como quien dice?.
A partir de la aprobación en España de la nueva Ley de Seguridad Ciudadana (Ley Mordaza), se ha prestado mucha atención a la privacidad derivada de esta política de la red social, ya que una adecuada identificación de los perfiles permitiría una localización más rápida de los sujetos «infractores». La alarma saltó cuando Facebook empezó a cerrar aleatoriamente cuentas «sospechosas», pero lo cierto es que nada tiene que ver esto con la política de nombres reales. (más…)
Crédito: Wikimedia
Al menos en Europa. Ampliemos esto a cualquier otra aplicación corporativa que presuma de proteger nuestras conversaciones. Las filtraciones de la NSA y todo lo que tiene que ver con la vigilancia masiva en muchos países del mundo ha desatado una carrera publicitaria entre los pesos pesados de las redes sociales y la mensajería, con el fin de revertir la mala imagen adquirida por su colaboración con estos programas de vigilancia.
Pero lo cierto es que las funcionalidades añadidas en muchas de ellas no sirven para nada, y la explicación no es técnica, sino jurídica. Las normativas europea y española establecen tres aspectos para los operadores que presten servicios de comunicaciones electrónicas disponibles al público: que los datos generados sean retenidos, que el almacenamiento y entrega a las autoridades sea libre de cualquier cifrado y que los organismos reguladores tengan acceso a los dispositivos de cifra utilizados en esas redes. (más…)
WordPress Meeting en Viena (2013). Crédito: Flickr
El Centro Criptológico Nacional (CCN), organismo dependiente del Centro Nacional de Inteligencia acaba de publicar en el mes de julio un amplio documento de recomendaciones de seguridad para WordPress, el popular gestor de contenidos pensado para blogs, pero que con el paso del tiempo ha ido mutando a funciones cada vez más complejas: e-commerce, fondos documentales, etc.
Si bien este organismo tiene como funciones declaradas la de establecer políticas públicas de seguridad en la transferencia de datos, la particular relación del CCN con la multinacional Microsoft en épocas de vigilancia masiva abre importantes interrogantes en el Esquema Nacional de Seguridad español.
Prototipo de pistola Liberator. Crédito: Wikipedia
Tras la sonora difusión del documental «3D printed guns» en el año 2013, donde se mostraba las amplias posibilidades para fabricar un arma semiautomática con una impresora 3D, nos preguntamos qué posibilidades tiene esto en España. Según el diseñador de armas de código abierto Cody Wilson, nuestro país es uno de los que más descargas ha hecho de sus diseños para fabricar en casa un arma de fuego. ¿Son las armas 3D legales? (más…)
¿Se puede enfrentar la vigilancia masiva?
La Circular 1/2013 de la Fiscalía General del Estado sobre pautas en relación con la diligencia de intervención de las comunicaciones telefónicas establece algunas definiciones técnicas para el Ministerio Público, con el fin de que se comprendan los alcances y alternativas de éstos en materia de intervención de las comunicaciones. Esto incluye el tráfico que circula por nuestro módem y cuyos datos son almacenados por la empresa que nos provee la conexión a internet. Veamos las consecuencias de este «pinchazo» a nuestras comunicaciones, las formas legales o ilegales de hacerlo y cómo protegernos. (más…)
Molinux, distribución de la JCCM basada en Linux/Unix
En España, la neutralidad tecnológica es ley, o al menos aparentemente. Esto significa que en aquellas relaciones que entable la Administración con los ciudadanos y sus comunicaciones electrónicas, no se impondrá ninguna opción en particular, priorizando la utilización de software de código abierto. Pero vamos a ver algunos ejemplos de que eso no es así.
Captura de https://simonclausen.dk
Este tutorial de instalación de DNScrypt en Linux proviene de nuestro artículo Vigilancia en internet: soluciones al monitoreo legal o ilegal de lo que hacemos en la red, que recomendamos leer antes de abordar esta parte. (más…)
Captura de GitHub
Este tutorial de instalación de DNScrypt en Windows proviene de nuestro artículo Vigilancia en internet: soluciones al monitoreo legal o ilegal de lo que hacemos en la red, que recomendamos leer antes de abordar esta parte. (más…)
¿Es vulnerable tu cartera en Bitcoins, como recientemente se aseguraba en Rooted Con 2015, o por el contrario de lo que estamos hablando es de la vulnerabilidad de tu sistema operativo del que apenas puedes mantener el control?
Artículo publicado originalmente en Sobrebitcoin.com.
Todas las wallets funcionan con criptografía de clave pública. Esto quiere decir que hacen falta dos elementos para verificar la firma y administrar o modificar datos de la cartera: una clave pública (la dirección de destino de bitcoins en el caso de un envío) y una parte privada que debe quedar en posesión del titular de esos BTC.
La mayoría de los análisis de ciberdelincuencia en materia de Bitcoin no están enfocados en romper el cifrado de sus wallets, sino que están basadas en las deficiencias en los sistemas de almacenamiento, ya sean estos ordenadores personales o servidores remotos. Obviar este dato es muy peligroso, pues en la práctica lo que se está evidenciando no es la vulnerabilidad de Bitcoin, sino la vulnerabilidad del almacenaje.
Según publica eldiario.es, los analistas participantes del Rooted Con 2015 Yaiza Rubio y Felix Brezo, hicieron un repaso a las diferentes formas en las que pueden verse comprometidas nuestras carteras, pero lo que vamos a ver es que el resultado ofrecido por estos dos analistas sirve para cualquier otro archivo (documentos confidenciales, fotografías, etc.), luego ¿qué parte de la seguridad está fallando? ¿Bitcoin o el sistema operativo con el que trabajamos?
Una cartera almacenada en un ordenador personal que pueda ser afectado por cualquier malware es sin duda un riesgo que afecta a todos los equipos y servidores administrados por sistemas operativos de código cerrado (Windows o Mac, principalmente).
La solución propuesta por los analistas de inteligencia es el cifrado del archivo que contenga las claves privadas pero, ¿eso resuelve el problema?: no. El problema de los malwares más comunes es precisamente la facilidad que tienen para ingresar a cualquier equipo sin el consentimiento de su administrador y afectar a su núcleo, algo cuya solución más efectiva y conocida hasta el momento es el trabajo mediante un entorno multiusuario donde los usuarios reciben una serie de privilegios o permisos específicos y donde existe un control de acceso dedicado, algo que en la actualidad solo proveen los sistemas operativos Linux (Debian, Ubuntu, Fedora, etc.).
Otra de las críticas de los analistas se centra en las carteras mentales como las de Bitaddress.org, el cual ofrece la posibilidad de proteger la clave privada con una palabra clave que el usuario pueda recordar. Esto efectivamente es un problema cuando el usuario final utiliza una palabra sencilla o que está almacenada en los miles de diccionarios de claves frecuentes que circulan por la red. En principio esto tiene una solución sencilla: verificar la identidad del titular de la cuenta, obligar al usuario a utilizar caracteres especiales, limitar las opciones de acceso con clave fallida y una prueba de Completely Automated Public Turing test to tell Computers and Humans Apart , más conocido como CAPTCHA. Esta es la solución más efectiva para nosotros a la hora de evitar lo que es un ataque de fuerza bruta de toda la vida.
Es sin duda una de las formas de seguridad más rudimentarias y, en lo que coincidimos con los analistas, es quizá de las más seguras, ya que impide cualquier contacto con la red de los archivos que puedan recoger datos sobre nuestra clave privada. Este almacenamiento puede ser desde una memoria externa u ordenador desconectado hasta una cartera impresa en papel, de la que podemos hacer tantas copias como sea necesario.
En síntesis, el riesgo del robo de bitcoins no es en un problema de rotura de cifrados o del propio protocolo, sino que el problema reside en su forma de almacenamiento y que en la práctica afecta a los bitcoins o a cualquier otro archivo susceptible de ser protegido. El malware contra los equipos de almacenamiento tiene su principal medida de seguridad en el sistema operativo que elijamos, y para nosotros, Linux es la opción principal para protegerlo.
El problema no es Bitcoin, sino tu sistema operativo.