Cifrado Asimétrico.
“Es personal. Es privado. No le incumbe a nadie más que a ti. Puede que estés planeando una campaña política, discutiendo tus impuestos o hablando con un amor secreto. O puede ser que te estés comunicando con un disidente político en un país represivo. Sea lo que sea, tú no quieres que tu email privado o documentos confidenciales sean leídos por nadie más. No hay nada malo con revindicar tu privacidad”.
Así empieza “Por qué escribí PGP“, la declaración que Philip Zimmermann incluyó en el manual de ese sistema cifrado que creó en 1991.
¿Quien necesita anonimato?
Las personas siempre tenemos “algo que esconder” algo que queremos mantener al margen del resto de la sociedad. Todos y todas tenemos nuestras vidas personales, conversaciones íntimas con amigos, informes médicos, informes bancarios, filiaciones políticas, religiosas y de diversas índoles … y en resumidas cuentas, una cantidad importante y creciente de “Datos Sensibles”.
Cuando alguien opina que “no tiene nada que esconder”, y que “no le importa que le vigilen”, que no le importa la privacidad, es como si dijese que no tiene nada que decir y por lo tanto no le importa la libertad de expresión. Todos tenemos derecho a la privacidad.
Periodistas, víctimas de delincuentes, clientes descontentos, personas discriminadas por motivos de raza, nacionalidad, genero, religión, afiliación política, etc. víctimas de abusos sexuales, personas con problemas de adicciones que buscan ayuda por internet, enfermos buscando consejo, trabajadores intentando denunciar malas condiciones laborales o crear un sindicato, activistas de todo tipo o cualquier persona que haya sufrido abusos de poder o que se hayan sentido vulnerables por múltiples causas … Puedes aportar tu granito de arena a esta lista.
¿Qué es el cifrado?
El cifrado es un proceso de transformación de la información con objeto de alterarla hasta el punto de hacerla incomprensible. Esta información tratada de esta forma no se pierde en absoluto, si no que puede ser recuperada posteriormente (descifrada).
Este proceso de transformación se realiza a través de un algoritmo (una fórmula matemática). Así nuestro objetivo último es proteger nuestra información, ocultarla de miradas indiscretas.
Criptografía de clave única o simétrica.
Es el sistema tradicional que se ha venido utilizando desde “el origen de los tiempos” para ocultar información. Hasta 1976 era el único existente. En este sistema se cifra una información utilizando una única clave conocida por los dos interlocutores. La información cifrada sólo puede descifrarse conociendo la clave secreta con la cual se cifró.
Esta clave única utilizada tanto para cifrar como para descifrar la información es un secreto compartido entre quien envía el mensaje y quien lo recibe. Y esto supone un grave problema.
Supongamos que participo en un juego de rol. El juego se desarrolla con participantes que se hallan en distintos países del mundo, no hay posibilidad de un encuentro físico. En un momento puntual tengo que enviar una información muy importante por correo electrónico a mis compañeros. Lógicamente, el equipo (o equipos) contrarios NO TIENEN QUE ACCEDER A ESTA INFORMACIÓN.
Así que envío un correo cifrado a mi Sede Central. Si el equipo contrario logra interceptar el mensaje, no serán capaces de leerlo, ya que me he tomado la molestia de cifrarlo. Pero, ¿Mis compañeros serán capaces de leerlo?. No. Tampoco podrán leer mi mensaje hasta que lo descifren, y para ello necesitarán la clave con la que yo lo he cifrado. Y éste es el problema: No puedo mandar la contraseña por correo electrónico porque el equipo contrario podría interceptar la clave del mismo modo que interceptó el mensaje cifrado, y con ello acceder a la información secreta.
La clave secreta compartida constituye una vulnerabilidad que ha sido resuelta por el cifrado asimétrico.
Sí que existen ocasiones concretas en las que las limitaciones del espacio físico no supongan un problema. Por ejemplo, si mi juego se desarrollase en una única ciudad durante un fin de semana, sí que existiría la posibilidad de quedar a tomar un café y entregar en mano (y de forma segura) la clave secreta a nuestro compañero. Hoy día, el cifrado simétrico sigue siendo muy usado y respetado.
Criptografía de clave pública o asimétrica.
Los sistemas de cifrado de clave pública o sistemas de cifrado asimétricos se crearon con el fin de evitar el problema del intercambio de claves de los sistemas de cifrado simétricos. En estos sistemas se utilizan dos claves distintas para cifrar y para descifrar el mensaje. Ambas claves tienen una relación matemática entre sí, y las dos claves pertenecen a la misma persona.
Cualquiera de las dos claves servirían para cifrar la información, pero solamente se descifraría con la otra clave.
Una de estas claves debe estar siempre a buen recaudo, es la llamada clave privada y la otra puede repartirse libremente por internet, por correo electrónico, etc. Es la llamada clave pública.
Cuando alguien quiera mandarme un mensaje cifrado, (es decir, para que yo pueda recibir ese mensaje cifrado), primero deberá conseguir mi clave pública. Puedo enviarla por correo, no supone ningún problema. Una vez obtenida mi clave pública, podrá cifrar un mensaje y mandarlo por internet. Únicamente quien tenga la otra clave (la clave privada) será capaz de descifrar ese mensaje. Y se supone que la clave privada solo la tengo yo.
Volvamos a mi juego de rol: Yo pertenezco al equipo azul (somos los buenos) y tenemos nuestra Sede Central en París. Nuestros agentes se despliegan por todo el mundo (Nueva York, Austria, Pekín, etc.) Yo tengo una misión en Rio de Janeiro, Brasil.
Para enviar un mensaje a mi Sede en París, me descargo de internet la Clave Pública de mi organización. Con ella cifro un mensaje y lo envío por e-mail convencional. El equipo rojo (los malos) interceptan todas nuestras comunicaciones, por supuesto, incluido mi correo cifrado. El equipo rojo es bueno y conoce el asunto de las claves, así que también han descargado desde internet la misma clave pública que tengo yo. Sin embargo, no podrán descifrar mi mensaje, ya que esto sólo se puede realizar con la clave privada. La clave privada está a buen recaudo en manos de la Sede Central en París. La información llega segura.
Resuelto el primer problema, hay que resolver el segundo: la Sede de París quiere contestar a mi mensaje. Toda información que se cifre con la clave privada (en poder de la Sede de París) podrá ser descifrada con la clave pública. Y esta clave pública la tengo yo, pero también la tiene el equipo rojo: Problemas.
ESTE SISTEMA SÓLO SERVIRÍA PARA QUE PARÍS RECIBA CORREO.
Yo puedo mandar a París información segura, pero París no puede mandarme a mí información segura. ¿Entonces que hago?. La solución pasa por CREAR MI PROPIO PAR DE CLAVES. Una pública y una privada. Es por esto que antes he comentado que LAS DOS CLAVES PERTENECEN A LA MISMA PERSONA. París tiene su clave pública y su clave privada, lo cual le permite RECIBIR correos cifrados seguros. Yo necesito mi propio par de claves (pública y privada) para recibir correos seguros. Mi clave pública la pondré en internet o la mandaré por correo a todo el mundo y la clave privada es solo mía. ¿Qué ocurriría si el Equipo Rojo consigue mi clave pública?. En realidad, nada. Ellos podrían cifrar un mensaje que sólo yo sería capaz de descifrar. No es muy grave.
En resumen, con el cifrado asimétrico el problema del secreto compartido (la clave única) se resuelve: los mensajes se cifran con una clave pública, pero solo el receptor podrá descifrarlo con su clave privada, que en teoría nadie más posee.
Con este sistema de Clave Pública también se posibilita la Firma Digital. Un mensaje firmado con la clave privada del remitente puede ser verificado por cualquier persona que tenga acceso a la clave pública, y esta clave (la clave pública) estaría disponible para todo el mundo. Se asegura así que el mensaje no ha sido alterado y garantiza la autenticidad del mensaje.
Aplicaciones del cifrado
He hablado de cifrar contenidos y , un poco por encima, de la Firma Digital, pero hoy día el cifrado se usa en muchas situaciones en las que es de fundamental importancia mantener el secreto.
Así, podemos encontrar criptografía:
- Al identificarse en cualquier página web
- Al votar en las elecciones a través de Internet
- Al pagar en Internet con una tarjeta de crédito
- Al recibir y enviar correos electrónicos
- Al guardar documentos confidenciales
- Al comprobar la integridad de un archivo
Voy a dejar para más adelante la forma de implementar toda esta tecnología en nuestros equipos y en nuestro día a día, pero para los impacientes, os dejo un par de enlaces.
https://securityinabox.org/es/
Un saludo.
Raúl Ibilcieta.
ce087bb1b7c6ddedf860ae03d0ef3571
(Contraseñas Seguras)
Una contraseña o clave es una forma de autentificación que utiliza información secreta para controlar el acceso hacia algún recurso. La contraseña debe mantenerse en secreto ante aquellos a quien no se les permite el acceso. A aquellos que desean acceder a la información se les solicita una clave; si conocen o no conocen la contraseña, se concede o se niega el acceso a la información según sea el caso.
En la era tecnológica, las contraseñas son usadas comúnmente para controlar el acceso a sistemas operativos de computadoras protegidas, teléfonos celulares, decodificadores de TV por cable, cajeros automáticos de efectivo, etc.
(Wikipedia)
Que la mayoría de las personas no profesionales de la informática no son verdaderamente conscientes de lo fácil que puede resultar acceder a sus contraseñas, es un hecho.
Cualquier persona que sepa moverse mínimamente por internet, tiene a su disposición una innumerable cantidad de aplicaciones y recursos que le van a permitir lograr sus objetivos, es decir, las codiciadas contraseñas.
En uno de los múltiples ataques contra la integridad de los usuarios que habitualmente suceden en internet, se vieron comprometidas millones de contraseñas de LinkedIn. Para nuestra sorpresa (o no) resultó que la contraseña más utilizada era “password” (contraseña).
Por puro sentido común, esta “contraseña” quizá sea también, la mas utilizada en otras Redes Sociales u otros servicios. ¿Qué ocurriría si existiesen personas que utilizasen las mismas contraseñas en distintas comunidades digitales?. Ocurriría que sería extremadamente sencillo, una vez destapada la contraseña de cualquiera de ellos, el poder acceder a toda la “vida digital” de un individuo tan poco precavido.
A primera vista podría pensarse que resultaría un trabajo de proporciones bíblicas ponerse a comprobar todos los servicios que existen en internet…… Facebook, Paypal, cuentas bancarias, Google, etc. pero en realidad, hay muchas herramientas y servicios online donde poder apoyarse para realizar estas actividades.
Uno de los lugares de referencias más conocidos (aunque hay otros muchos) es haveibeenpwned.com. Desde este site podemos comprobar si alguna de nuestras cuentas de correo ha sido comprometida.
Tienen también un servicio para comprobar contraseñas.
En el caso de que, efectivamente, alguna de nuestras cuentas de correo se haya visto comprometida, y nuestra contraseña haya pasado a “dominio público”, nos presentará un listado de los servicios online, en los que hay constancia de haber sido vulnerados, junto a una breve explicación de la misma.
En la imagen del ejemplo, mi cuenta de correo se ha visto comprometida en los servicios de Adobe o DropBox, entre otros.
Desde esta misma página web, podríamos descargarnos de forma gratuita la base de datos con las contraseñas que han sido comprometidas. Eso si, tal como explican, estas contraseñas están CIFRADAS.
El hecho de que estas bases de datos contengan CONTRASEÑAS CIFRADAS, podría darnos un falso “margen de confianza”, un balón de oxígeno que nos hiciese albergar alguna esperanza. Nada mas lejos de la realidad.
Existen aplicaciones como Hashcat especializados en descifrar contraseñas. Es una cuestión de tiempo (y de potencia de cálculo informático).
Otra opción sería dar un “paseo” por la Deep Web, lo cual nos proporcionaría varias de estas bases de datos con contraseñas ya descifradas.
Otra variante que los cibercriminales utilizan para de acceder a los servicios online de forma no autorizada, sería a través de ATAQUES DE DICCIONARIO o por FUERZA BRUTA.
Existen multitud de páginas web desde donde podemos descargar diccionarios para realizar estos intentos de acceso.
Las capturas de pantalla corresponden a un sitio en GitHub, donde podemos encontrar diccionarios bastante actualizados (14 días de antigüedad) y que nos ofrecen las “posibles” contraseñas de lugares como Ashley-Madison, Adobe o 000webhost.
¿Y que hacemos una vez que tenemos un diccionario con varios miles de palabras? ¿probarlas una a una?. No es necesario. Para estas labores existen aplicaciones como HYDRA.
Hydra es una aplicación especializada en contraseñas.
Como se puede apreciar en la captura adjunta, podemos especificar un único objetivo (en este caso Google) o podríamos indicarle un fichero con un listado de lugares que quisiéramos comprometer.
El tipo de protocolo que vamos a comprobar sería el de “formulario de página web”. Cualquier formulario de cualquier web.
En esta captura de pantalla vemos cómo se puede indicar un único nombre de usuario, o una lista con varios nombres de usuario.
En la siguiente sección podemos especificar una única contraseña o un listado de contraseñas.
Y en el caso de no poder conseguir el acceso con los diccionarios que tenemos, todavía queda la opción GENERATE. Esta es nuestra opción de FUERZA BRUTA.
Con la opción GENERATE vamos a crear contraseñas con FUERZA BRUTA. Es decir, se empieza con la letra a, se continúa con la b, c, d … tras esto se continúa con los números, posteriormente pasamos a combinaciones de 2 letras, letras y números, 3 combinaciones, 4 combinaciones …… y se seguirían probando distintas combinaciones por orden y a gran velocidad, hasta obtener algún resultado.
Concretamente, en la imagen se muestra 1:11:aA1 Esta instrucción da 3 indicaciones, las cuales están separadas por dos puntos(:)
Probar contraseñas de una longitud mínima de 1, una longitud máxima de 11 y los dígitos a comprobar son TODAS las letras minúsculas (a) TODAS las letras mayúsculas (A) TODOS los números (1).
Si. Posiblemente tu contraseña, tarde o temprano, sea desvelada por la Hydra.
Y ante semejante panorama….. ¿Qué podemos hacer?
- Evitar palabras que existan en el diccionario. En la web se pueden encontrar diccionarios con los personajes de películas, libros, futbolistas, etc. Incluso tenemos diccionarios con las peores 500 contraseñas del año.
- No dejar nunca las contraseñas que vienen por defecto.
- No utilizar nunca las mismas contraseñas en distintos sitios. SIEMPRE contraseñas distintas. Si cae un sitio, caerán todos.
- Cambiar las contraseñas de forma periódica. En el caso de haber sido comprometidas, volvemos la cuenta a 0.
- Utilizar contraseñas SEGURAS.
- Nunca revelar las contraseñas a nadie.
Aplicaciones como Hydra, a pesar de toda su potencia, no son perfectas y tienen sus limitaciones. En la captura de pantalla anterior, vemos que, con los parámetros que le habíamos indicado, se van a generar MAS DE 4 BILLONES DE CONTRASEÑAS. Hydra se bloquea.
Hydra tampoco puede gestionar diccionarios con más de 50 millones de palabras simultáneamente.
A todo esto, debemos añadir el tiempo que hydra necesitaría para comprobar estas más de 4 billones de posibles combinaciones (varios años).
Es de VITAL IMPORTANCIA crear contraseñas que:
- Incluyan minúsculas, mayúsculas, números y símbolos especiales (asteriscos, llaves, corchetes, etc.)
- Tengan una longitud mínima de 8 caracteres.
- Cambiarlas todos los meses. Hydra es una aplicación gratuita que se puede descargar libremente de Internet. Organizaciones de Ciberdelincuentes profesionales, utilizan herramientas profesionales. Está estipulado que en un plazo de 100 días pueden comprometer contraseñas seguras. La mejor opción es cambiar nuestras contraseñas antes de que venzan estos plazos.
Soluciones.
Una buena opción es utilizar GESTORES DE CONTRASEÑAS. Los cuales nos van a permitir generar contraseñas seguras y poder almacenarlas de forma adecuada.
La filosofía de estas aplicaciones es que, bajo el amparo de una contraseña principal, vamos a tener una cartera con todas nuestras contraseñas.
Como de costumbre, hay varias alternativas. Yo utilizo Keepass.
Bajo una contraseña general, podemos almacenar de forma segura, todas nuestras contraseñas.
Una de sus opciones más interesantes es un GENERADOR DE CONTRASEÑAS SEGURAS.
En este ejemplo he elegido como opciones una longitud mínima de 20 caracteres, dentro de los cuales deben incluirse Mayúsculas, minúsculas, números, espacios en blanco, símbolos especiales y brackets.
En base a estas opciones, nos genera una contraseña que posteriormente guardará de forma segura y cifrada en nuestra cartera.
En definitiva, que cada vez más, hemos de proteger nuestros activos en la era digital, y una de las medidas principales es tomarse en serio el uso de las contraseñas y hacer caso de las recomendaciones y buenas prácticas.
Raul Ibilcieta.
DESAPARECER DE INTERNET
El Derecho al Olvido
¿Qué sucede con los perfiles en las redes sociales cuando fallece una persona? ¿Qué ocurre con su correo electrónico personal? ¿Y con la información suya que se ha ido acumulando en el ciberespacio? Blogs, vídeos, comentarios… ¿Permanece indefinidamente “en las nubes”?.
En la actualidad, Internet es un registro de nuestra vida, tanto de la pública como de la privada, de la laboral y de la personal. Basta con una consulta en cualquier buscador o en una red social, y podemos encontrar abundante información sobre nosotros mismos.
Sin ser verdaderamente conscientes de ello, vamos acumulando registros a servicios o páginas web de los que luego, raramente hacemos uso. Darnos de alta nunca suele ser un problema, pero ¿realmente nos preocupamos en alguna ocasión de darnos de baja de estos servicios cuando ya no nos resultan de utilidad? Nombre, apellidos, dirección física, correo electrónico, fecha de nacimiento… nuestros datos quedan almacenados en servidores de servicios que, transcurridos unos años, ni recordamos habernos suscrito.
Y lo realmente importante es que algunos de estos datos pueden afectar a nuestra intimidad y/o privacidad. Pueden llegar a ocasionar problemas personales y profesionales, ya que son susceptibles de utilizarse con fines distintos para los que fueron publicados. En un mundo tecnológico como el que vivimos, nuestra reputación en Internet es fundamental. Un comentario negativo puede arruinar la más brillante de las trayectorias profesionales. Noticias como las de las fugas de datos que han sufrido -entre otros- Facebook, hace que nos cuestionemos el tipo y la cantidad de información personal que tenemos cada uno de nosotros “flotando” en la nube.
Todos estos, y otros muchos, son motivos suficientes por los cuales, en los últimos años, ha ido en aumento el número de personas que reclaman su derecho a desaparecer de internet. Cada vez hay más y más personas que desean eliminar el rastro digital que a lo largo de su vida se ha ido acumulando en el mundo virtual.
El Artículo 18.4 de la Constitución Española refleja que:
“La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.”
Basándonos en el Derecho a la Privacidad, cualquier información se puede eliminar y evitar que aparezca en los buscadores.
Llegados a este punto, si todos estos argumentos te han hecho reflexionar acerca de la información personal que tienes flotando en el ciberespacio y has tomado la decisión de desaparecer de internet puedo darte algunos consejos para conseguirlo. Es importante que seas consciente de las implicaciones que conlleva esta decisión.
- La mayor parte del camino que vamos a recorrer no se puede deshacer. No hay vuelta atrás. Es un camino único de ida. Esto significa que perderás información, renunciarás a cualquier presencia comercial que hayas desarrollado en internet, perderás tus cuentas e incluso perderás la oportunidad de reiniciarlas o volver a darlas de alta con el mismo nombre.
- Asume que hay cosas que no podrás borrar. Lo mejor es aceptar la realidad y seguir adelante. El proceso no es tan simple como debiera ser, y lo más seguro es que no puedas borrarte completamente. Aún así, puedes intentar minimizar tu presencia Online.
- Algunos sites usan técnicas de “chantaje emocional” para intentar que no abandones sus servicios. Mensajes del tipo “todos tus amigos te echarán de menos” están orientados a hacerte dudar, y en última instancia, a que retrases tu decisión. Un sitio web no quiere perder tu patrocino.
Si estás dudando, consigue fotos de tus amigos de tu vida real, ponlos en tu escritorio, y luego presiona la tecla de borrar. Llama a tus amigos reales para tomarte algo con ellos y cuéntales lo que acabas de conseguir. Pronto lo habrás superado.
- Algunos webmasters intentarán defenderse argumentando su derecho de mantener la información pública al alcance de todos. Cuando trates con ellos, sé amable y explícales el porqué quieres eliminar tus datos. Es posible que te tengan en cuenta y lo hagan. Sé persistente, es un camino largo. Si lo consideras oportuno, busca la ayuda de alguna organización defensora de la privacidad. Y si tus necesidades son realmente importantes, contrata servicios profesionales o un abogado especializado.
… Y ahora es el momento de pasar de las palabras a los hechos.
Eliminar Cuentas.
Existen varias webs que permiten buscar a lo largo y ancho de internet cualquier lugar donde hayas podido tener una cuenta o un perfil. Tienes acceso desde ellas y en algunos casos, hacen una valoración de la dificultad existente para darse de baja del servicio.
Puedes ayudarte de “buscadores de identidad” para más tarde solicitar el “derecho al olvido”
Unos ejemplos prácticos:
Google:
Google pone a nuestra disposición un formulario desde donde podremos solicitar la eliminación de nuestros registros.
| Retirada en virtud de la ley de privacidad de la UE |
Si lo que deseas es darte de baja de todos (o algunos) de los servicios de la compañía, debes ir al menú “Mi Cuenta”, desde allí accederás a “Eliminar tu cuenta o determinados servicios”. Puedes hacerlo desde este enlace.
Facebook:
Desde el menú de Configuración de tu perfil, accede al apartado General. Al final de todas las opciones ofrecidas, aparece el enlace desactivar cuenta. Al hacer clic en este enlace, se van sucediendo una serie de indicaciones que te ayudarán a completar el proceso.
Aquí te dejo el enlace.
Twitter:
Accede a la configuración del perfil, dentro del apartado Cuenta, está el enlace Desactivar mi cuenta. Al igual que en Facebook, se iniciará un proceso que concluirá con la eliminación de nuestra cuenta.
Buscarnos en Buscadores.
Aunque existen otros muchos, los buscadores más recomendables para buscarnos son:
Busca elementos como el nombre, apellidos, alias o nicks que puedas tener, correos electrónicos, direcciones, números de teléfono… incluso amigos. Échale un poco de imaginación y piensa como pensabas hace unos años. Seguro que te llevarás alguna sorpresa.
Una vez halladas tus “nuevas cuentas” el proceso será similar a los anteriormente descritos: logearte y eliminar la cuenta.
OSINT (Open Source INTelligence), es un conjunto de técnicas gracias a las cuales, y utilizando diversas aplicaciones y servicios, se puede conseguir información de todo tipo desde Fuentes Abiertas (Buscadores, Redes Sociales, etc). Te aconsejo el curso gratuito de Ciberpatrulla. Te resultará muy útil para seguir tu propio rastro en el CiberEspacio.
¿Quieres aprender a obtener información de fuentes abiertas?
Cambiar nombres en las cuentas imborrables.
Ya lo sabías desde el principio. La eliminación de tu huella digital, el borrado de TODOS tus datos te está resultando misión imposible. En esos casos en los que no es posible eliminar tu información personal, todavía queda una opción: Sustituir toda la información que se encuentra en el Site por otra nueva. Aunque no hayas podido hacer desaparecer esa parcela de tu vida de esa parte de la red, sí habrá quedado anonimizada. Te dejo un enlace que te ayudará a obtener “una nueva identidad”.
Su identidad generada de forma aleatoria
Servicios Profesionales.
Si todas estas indicaciones te resultan complicadas y farragosas, si has perdido la paciencia y empiezas a desmoralizarte, no tires la toalla todavía. Existen empresas dedicadas a eliminar datos personales en la red y su posterior mantenimiento. Sus costos rondan los 100-150 € y tienes la seguridad de que estás tratando con profesionales:
Neverending History.
Una vez más, te recuerdo que debes tener mucha paciencia durante este proceso. Tómatelo como una maratón. No esperes completarlo en un día.
Si se te hace duro aceptar que hay algunas cosas que no se pueden borrar permanentemente de Internet, deja pasar un tiempo y dentro de un mes (o de un año) Vuelve a intentarlo.
No olvides:
- Darte de baja de las listas de distribución de correo electrónico.
- Ponerte en contacto con los webmaster si es que hay informaciones que no puedas o sepas hacer desaparecer. Sé amable con ellos.
- Solicitar a las empresas que se dedican a comprar y vender información de los usuarios que borren la información relativa a tu persona.
- Recuerda pedir que borren tu información en las guías telefónicas online.
- Elimina tus cuentas de correo electrónico.
Si consideras que los resultados que has obtenido no son los que deseabas, compara cómo estabas cuando iniciaste este proceso, y cómo estás ahora. Por muy poco que creas haber conseguido, ahora estás mejor: ha sido un gran triunfo.
Enhorabuena.
Raúl Ibilcieta.
Bitcoin: El color de mi Cristal.
¿Qué es Bitcoin?
La tecnología Bitcoin, en contra de la opinión general, no es una moneda. Es un PROTOCOLO. Un lenguaje, una manera más de intercambiar información, como lo puede ser, por ejemplo, el correo electrónico.
Supongamos que estamos trabajando con el protocolo “e-mail” (que conocemos todos), y que está específicamente diseñado para enviar y recibir correos electrónicos. Supongamos que tengo en mi equipo 3 fotografías de mi gato Luki. Luki es nuevo en la familia y quiero presentarlo a mis amigos.
Utilizando el protocolo de correo electrónico, podría enviar mis 3 fotografías a 5 de mis amigos. Podría enviar mis fotos de Luki a los cinco: Juan, Pedro, María, Fernando y Marta. Todos podrían conocer a Luki, y lo más bonito de todo es que yo seguiría teniendo mis fotos originales.
Si yo quisiera enviar las mismas fotografías utilizando el protocolo “bitcoin” en lugar de utilizar el protocolo “e-mail”, la cosa cambia. Si enviase una foto a Pedro, YO ME QUEDARÍA SIN MI FOTO. Mi foto de Luki desaparecería de mi equipo y pasaría a estar en el equipo de Pedro. Al igual que en el mundo físico, si te doy algo, yo lo pierdo. Nunca podría repartir mis 3 fotos entre mis 5 amigos. Alguien se quedaría sin conocer a Luki. Terrible.
¿Y qué ventajas tiene esto? ¿Para qué puede servir semejante comportamiento?. Para el voto electrónico, por ejemplo.
Supongamos esta vez que, en vez de 3 fotos de Luki, tengo 3 VOTOS, y que en vez de 5 amigos, tengo 5 Candidatos a la Presidencia.
A partir de este punto se abre un mundo de posibilidades.
Como cabe esperar, “Bitcoin” dispone de todo tipo de seguridad, de anonimato, de controles, etc. que posibilitan este tipo de transacciones. Los detalles técnicos podéis encontrarlos en cualquier otro artículo que hable de Bitcoin.
Ahora que tenemos todas las cartas encima de la mesa, es sencillo comprender que, del mismo modo que a alguien se le ocurrió utilizar el protocolo “bitcoin” para hacer voto electrónico, a alguien se le ocurrió que se podría utilizar como “monedas” para comprar y vender.
Tenía que ser con Bitcoin ¿Os imagináis que se pudiese comprar cosas con el protocolo “e-mail”? Tengo 5 monedas, me gasto 3…. y sigo teniendo 5 monedas. !!!FANTASTICO !!!
La Historia del dinero.
En un principio fue el trueque, el “intercambio” de cosas y/o servicios. Con el tiempo se introdujeron las primera “monedas”, que fueron piedras, collares, amuletos, o cualquier otro elemento que tuviese una aceptación social. El oro y plata empezaron a tomar una posición predominante como “moneda de cambio” (hoy día, el oro se sigue considerando como “refugio financiero”). Llegó “el papel”, billetes, contratos, valores …. el dinero de plástico, en forma de tarjetas…. Y ya por último (de momento) el dinero virtual de la mano de Internet.
Y no tiene solución. No hay vuelta atrás. No se puede luchar contra el progreso. El dinero “físico”, tiende a desaparecer. De hecho, a día de hoy, está limitada la cantidad de dinero que se puede pagar “en efectivo” (2.500 € en España), por lo tanto tenemos que mover “dinero virtual”. Es para luchar contra el Fraude Fiscal.
Es para tener un mayor control.
El control del dinero.
¿Quien controla el dinero? El Banco Central de cada país. Cada uno su moneda. El Euro lo controla el Banco Central Europeo. ¿Quién controla Bitcoin? Los mismos que lo fabrican: TU Y YO.
¿Recuerdas E-Mule? ¿Kaaza? ¿Ares?. Seguro que si. Todavía se utilizan. Fueron (son) unas aplicaciones que utilizan el protocolo “p2p” para intercambiar ficheros de forma DESCENTRALIZADA. Cada uno nos instalábamos una aplicación en nuestro equipo y el resto “iba solo”.
Bitcoin funciona parecido, pero con una salvedad: Utilizamos DOS APLICACIONES. Me explico:
La aplicación principal que nos descargamos es el MINERO. Tiene versiones para Windows, Mac, Linux, Android, etc. y es gratis.
Este minero tiene una función doble. Por un lado “FABRICA” los bitcoins (nuevamente os remito a cualquier otro artículo sobre bitcoins) y por otro lado, CONTROLA dónde están los Bitcoins fabricados. Todos estos mineros que están dispersos por intenet (instalados en TU ordenador o en MI SmartPhone), al igual que Emule o Kazaa, trabajan descentralizados, se sincronizan y controlan los Bitcoins existentes. La supervisión de dónde están, cuántos hay, transacciones de compra-venta, todo lo supervisan ellos.
¿Y dónde están los bitcoins? Aquí entra la segunda aplicación: en LAS CARTERAS de bitcoin. Nuevamente son aplicaciones gratuitas con versiones para Windows, Mac, Linux, Android, etc.
Si quieres entrar en el mundo Bitcoin, necesitarás una CARTERA, donde almacenar tu dinero. Hay mil variedades de carteras con sus ventajas e inconvenientes. Quizá para otro artículo.
El MINERO no es necesario que lo instales, a no ser que quieras “fabricar” bitcoins.
Volviendo a nuestra pregunta:
¿Quien controla los Bitcoins? LOS MINEROS.
¿Qué puedo comprar con Bitcoins? ¿Dónde puedo comprar?
La primera pregunta que suelen hacer los detractores de Bitcoin es conocida por todos: “¿Puedo bajar al bar de la esquina y pagar una caña con Bitcoin? Pues menuda xxxxx “.
Cierto. No puedes salir al PintxoPote y pagar con Bitcoins. Pero tampoco puedes pagar con Dólares, con Yenes japoneses o con Pesos Mexicanos. Ni en el PintxoPote, ni en el súper, ni en la gasolinera. Y eso no convierte a este dinero en una xxxxx. Cada moneda tiene su ámbito.
¿Has ido alguna vez de rebajas? ¿Cuántas veces pasa que compramos un pantalón y luego hay que devolverlo?. Hay lugares donde se devuelve el dinero, hay otros donde te dan UN VALE. En muchos supermercados y comercios, como forma de fidelización, también se distribuyen vales de descuentos.
Y estos vales, realmente SON DINERO. Un dinero muy concreto que se puede gastar dentro de unas circunstancias muy concretas. No puedes gastarte un vale del supermercado “azul” en una cadena de supermercados “rojo”. No puedes gastar Pesos mexicanos en el PintxoPote del casco viejo.
Del mismo modo, si quieres gastar tus bitcoins, tendrás que buscar comercios donde acepten bitcoins. Los hay por todo el mundo y con ofertas de todo tipo de productos. Como de costumbre, una búsqueda en google puede ayudar.
¿Tiene futuro bitcoin?
Bitcoin tiene PRESENTE. Desde 2013 cotiza en bolsa, y se puede operar con él de manera perfectamente normalizada. (www.plus500.es). Se empieza a regular el pago de impuestos (Análisis jurídico de la facturación en bitcoins y el IVA aplicable), ya existen los primeros cajeros donde operar con bitcoins, y cuando entras a una oficina de cualquier entidad bancaria y preguntas por Bitcoins, ya no miran con cara rara (en algunos sitios). Por lo menos saben que existe.
¿Y porqué seguimos teniendo “Opinadores Profesionales” que aparecen en “programas de Txitxinabo” que hablan de lo que no saben (y eso que saben DE TODO) y que desprestigian al bitcoin relacionándolo con delincuencia, drogas, delitos y demás?. Hay dos posibilidades:
- Por ignorancia.
- Porque el Bitcoin no lo controlan los Gobiernos (lo controlan los mineros) y esto “se puede ir de las manos” (Dinero “B”, Evasión de impuestos, Fraude Fiscal, Fondos Reservados …)
Lo cierto es que, como decía un poco mas arriba, esto es imparable. Y siguiendo el ejemplo de Bitcoin han salido a escena innumerables “criptomonedas”, buscando su espacio en el mercado. Bitcoin es ya una moneda “veterana” y algunos usuarios empiezan a verle carencias y a “pedir mas ”.
La Fauna de las Criptomonedas.
Bitcoin es ya “veterano” y el mercado empieza a necesitar nuevas características. Hay voces que piden que sea más complicado “fabricar” bitcoins, (sus motivos tendrán), ya que los ordenadores de hoy día son cada vez más y más potentes.
Otros piden mayor anonimato en las operaciones y en los movimientos de dinero, ya que bitcoin no les merece toda su confianza. Por el contrario, bancos y gobiernos (incluso con colaboración de Microsoft o de Sony) buscan una criptomoneda que sea perfectamente rastreable, y que se pueda saber en todo momento por las manos que ha pasado desde el día en el que se fabricó.
Así aparecen criptomonedas como Monero orientada al anonimato, Ripple, orientada a Bancos y Entidades Financieras, o Ethereum, que amplía el concepto de “moneda” y se considera un “contrato”.
En Cryptocompare os dejo una lista.
¿Límites? Ninguno.
¿Y porqué no? La cadena de supermercados “rojo” quiere una criptomoneda suya propia que pueda sustituir a sus vales, ya que han detectado alguna falsificación, y que solamente sirva para pagar dentro de sus supermercados rojos.
¿Una tontería? Bueno, aquí os dejo más tonterías:
- Trump Coin y Putin Coin
Whopper Coin, de Burger King.- SexCoin. Orientado a la industria del Entretenimiento Adulto.
- CannaCoin. Especial para el mundo del Cannabis.
Un apunte “curioso” para los inversores con visión de futuro: Cabe reseñar que las criptomonedas de orientación canábica están en alza, se están revalorizando mucho desde que se conoció la noticia:
“BBVA, Bankinter y La Caixa apuestan por la marihuana”.
Creo que va siendo hora de terminar el artículo. Se han quedado fuera bastantes temas interesantes como puedan ser dónde y cómo comprar / vender bitcoins (y todo tipo de criptomonedas), instalación y gestión de carteras y mineros (cada criptomoneda tiene su sistema), tarjetas “bancarias” de distintas entidades que trabajan con estas monedas, impuestos, comisiones y precauciones que hay que tener al introducirnos en este mundo.
Para quienes queráis profundizar en este interesante mundo, os recomiendo una visita a Cryptocompare.com.
Un saludo.
Raúl Ibilcieta.
Si no pagas por algo, no eres el cliente, eres el producto.
Esta frase, acuñada por Andrew Lewis, es conocida ya desde hace bastante tiempo. Recientemente, y tras la revelación de los últimos acontecimientos ocurridos alrededor de FaceBook y su “Fuga de Información”, vuelven a tener relevancia y hoy más que nunca, podemos afirmar que, “En Facebook no eres usuario, eres producto”.
Se ha convertido en un acto habitual y cotidiano, compartimos datos personales tales como fotografías, aficiones, estados de ánimo, localizaciones físicas (estoy de vacaciones en ….) y un largo etcétera de información sensible. Desde hace muchos años, todas la aplicaciones están accediendo NO SOLO NUESTRA INFORMACIÓN PERSONAL, SI NO TAMBIÉN A LA DE NUESTROS CONTACTOS, bien sean amigos, familiares o compañeros de trabajo. Y todo esto sucede de una forma perfectamente transparente y normalizada. De esta forma alimentamos enormes bases de datos cuyo objetivo no podemos siquiera imaginar.
Ante semejantes hechos, hay quien piensa: ‘¿A mí qué más me da que usen mis datos para vender publicidad, si yo no tengo nada que ocultar?’. Lo cierto es que las personas seguimos valorando nuestra intimidad, pero en realidad, no somos conscientes de la pérdida de libertad que esto nos supone, y del grado en el que puede llegar a afectarnos ser “ese producto” que permitimos ser.
Habría que preguntar a la gente si permitirían que se les implantase un “chip” en la cabeza. La respuesta sería un NO rotundo. Sin embargo, cuando subimos algo a Facebook, a WhatsApp o a Instagram, le estamos diciendo a Facebook (la empresa matriz) lo que pensamos.
En realidad, ¿Cuanto valen nuestros datos? ¿Cuánto vale tu contraseña, tu localización GPS o tus datos médicos?. Al parecer, la media es INFERIOR a 20$.
Trend Micro, la empresa japonesa de antivirus, ha realizado un estudio donde nos da cifras.
Os aconsejo mirar el resumen completo. Para ir abriendo boca, os adelanto unos datos:
- Hombre/Mujer: 02,9 $
- Nombre: 03,9 $
- N.º de Tfno.: 05,9 $
- Cumpleaños: 05,9 $
- Casad@/Solter@: 08,3 $
- E-mail: 08,0 $
- Fotos/Vídeos: 12,0 $
- Dirección Física: 13,0 $
- Localización GPS: 16,0 $
- Historial compras (Tarjeta): 20,0 $
- Miembros de la familia: 23,0 $
- Contraseñas Internet: 76,0 $
- Historiales médicos: 60,0 $
Resulta decepcionante comprobar, tras semejante despliegue de fuerzas para conseguir nuestros preciados datos, que -según según Trend Micro-, el valor medio de nuestra vida es de 19,60 $.
Para finalizar este artículo, quisiera devolveros la confianza y regalaros un poco de MAGIA. Se trata de un mago (un vidente) en un Reality Show. Lógicamente, relacionado con el tema que nos ocupa.
Un saludo.
Raúl Ibilcieta
Raúl Ibilcieta
FORMACIÓN 2018.
ENERO 2018.
S.D.C. Echavacoiz
Seguridad en SmatPhones y Dispositivos Móviles.
23 y 25 de Enero.
AIN. Asociación de la Industria Navarra.
CIBERSEGURIDAD: RECOLECCIÓN DE INFORMACIÓN (FOOTPRINTING and FINGERPRINTING)
Del 30/01/2018 al 30/01/2018
De 9.00 – 14.00 horas (5 horas)
http://formacion.ain.es/Folleto.asp?CodAccion=7553
FEBRERO 2018.
Rodoia Navarra.
Ciberseguridad: Seguridad de la Información
Del 12 de Febrero al 13 de Marzo
https://www.rodoia.com/cursos-de-formacion/area-informatica/
AIN. Asociación de la Industria Navarra.
CIBERSEGURIDAD: ANÁLISIS Y EXPLOTACIÓN DE VULNERABILIDADES
Del 28/02/2018 al 28/02/2018 (5 horas)
De 9.00 – 14.00 horas
http://formacion.ain.es/Folleto.asp?CodAccion=7554
ABRIL 2018.
AIN. Asociación de la Industria Navarra.
CURSO DE SEGURIDAD INFORMÁTICA.
Del 12/04/2018 al 03/05/2018 (28 horas)
De 09.00 – 14.00 y de 15.30 – 17.30 horas
Raúl Ibilcieta
En muchas ocasiones es suficiente una llamada telefónica para solucionar un problema.
En otras ocasiones necesitamos una respuesta INMEDIATA.
En Security Labs nos situamos en el lugar del profesional moderno y queremos aprovechar las múltiples posibilidades que nos ofrecen Nuevas Tecnologías para proporcionar Soluciones Efectivas en Tiempo Real.
Con nuestro Servicio Personalizado de Consultoría OnLine Express podrás realizar tus consultas a través de:
- WhatsApps.
- Correo Electrónico.
- Teléfono.
Porque el tiempo es oro.
Porque sabemos cuánto vale tu tiempo.
Raúl Ibilcieta
Por ampliación y reestructuración de plantilla, nuestra empresa, referente nacional en el Mercado de la Ciberseguridad y con una imagen empresarial altamente posicionada en la zona, busca
Técnico Comercial.
Buscamos Personas:
- Jóvenes, proactivas, dinámicas que quieran crecer laboralmente y personalmente con nosotros, trabajadoras, emprendedoras, resolutivas, con dotes de liderazgo, que sepan trabajar individualmente y en equipo.
- Habituadas a trabajar en Entornos Digitales, con capacidad de comunicación y don de gentes.
- Personas capaces de gestionar su tiempo y su productividad, capaces de alcanzar los objetivos programados.
Responsabilidades:
- Se responsabilizará de conseguir nuevos clientes dentro del área Ciberseguridad a nivel nacional.
- Elaboración de propuestas comerciales y negociación de condiciones.
- Visitas comerciales a clientes, generación de oportunidades y desarrollo de negocio.
Se valorará experiencia dentro del campo de la informática y la Ciberseguridad.
Contacto:
comunicacion@securitylabs.es
Raúl Ibilcieta
El pasado día 20 de Mayo se celebró el “Acto institucional: jornada día Internet en ONCE Navarra.” organizado por el Consejo y Delegación Territorial de la ONCE en Navarra.
El objetivo del evento era de realizar una charla de sensibilización sobre COMERCIO SEGURO y COMPRAS Y PAGOS CON TARJETA POR INTERNET.
A dicho acto fuimos invitados en calidad de conferenciantes:
María Hoz, Presidenta de la Asociación de Voluntarios de la Delegación Navarra de Caixa
Raúl Ibilcieta, Hacker Ético, CEO y Socio Fundador de Security Labs.
María, como empleada de CaixaBank, nos explicó con todo lujo de detalles, el tipo de seguridad que se implementa desde las entidades bancarias. Yo, en mi calidad de hacker, expliqué posibles formas de saltarse dichas protecciones y las precauciones que debemos de tener LOS USUARIOS para ponérselo difícil a los Ciberdelinuentes.
El Acto se desarrolló siguiendo el siguiente esquema:
11:30: Abre el turno de intervenciones Jesús Buitrago, que ejerce de maestro de ceremonias, saludando a los intervinientes y dando la bienvenida a las personas asistentes a la jornada.
11:40: Charla sobre PAGO SEGURO CON TARJETAS EN INTERNET. Corrió a cargo de:
María Hoz, Presidenta de la Asociación de Voluntarios de la Delegación Navarra de Caixa, y empleada de Caixabank.
Raúl Ibilcieta, Hacker Ético. CEO y Socio Fundador de Security Labs.
12:30: Turno de preguntas por parte de asistentes.
13:00: Talleres:
INTRODUCCIÓN AL MANEJO BÁSICO DEL SMARTPHONE
PAGO SEGURO CON TARJETAS
APPS ACCESIBLES DE LA ONCE PARA SMARTPHONE
14:00: Finalización de la jornada.
Desde Security Labs y a título personal mío, agradecer la invitación tanto a ONCE Navarra como a María Hoz y a la Asociación de Voluntarios de Caixa Navarra por brindarnos esta oportunidad.
Os dejo alguna fotografía del evento y pido perdón porque soy INCAPAZ DE SALIR BIEN en ninguna fotografía.
Raúl Ibilcieta
El próximo 15 de Junio impartimos en el centro formativo Rodoia en sus instalaciones de Mutilva (Navarra) un taller sobre la Recolección de Información, enmarcado dentro de la formación en Hacking Ético.
Adquirir conocimientos sobre el Sistema Operativo Kali Linux
Utilizar Internet como herramienta de Hacking Ético
Conocimiento y uso de distintas herramientas y técnicas para la obtención de información Sensible existente en Internet.
Conocimiento de diversos servicios Online que pueden proporcionar información sensible.
Conocimiento de los Metadatos y extracción de información de los mismos.
En este enlace os dejo el temario completo.