"Después de escalar una gran colina, uno se encuentra sólo con que hay
muchas más colinas que escalar"
[ Nelson Mandela - Abogado y político sudafricano - 1918- ]
En este Boletín detallamos cuáles son los nuevos tipos de delitos que se están llevando adelante contra la privacidad, facilitados por el mal uso de la tecnología y que permiten un perfilamiento completo de la víctima y tomar ventajas sociales y económicas de la misma.
Ahora que se "puso de moda" #PRISM y proyectos relacionados en otros países, mostramos porqué es necesario utilizar criptografía asimétrica para cifrar los correos electrónicos y cómo hacerlo.
Los ataques evolucionan. Los delincuentes tienen a disposición cientos de fuentes tales como almacenamiento y ancho de banda "infinito", potencia de cálculo, "anonimicidad" y facilidades que dificultan su seguimiento, por ejemplo, la falta de jurisdicción y leyes específicas, solo por nombrar algunas de ellas.
Todo está servido para nuevos delitos, entre los que se destacan algunos que no son específicamente técnicos sino que afectan al ámbito de la privacidad personal.
El informe "Sherlock Holmes’s Evil Twin: On The Impact of Global Inference for Online Privacy" de la universidad de Berkeley define algunos de estos nuevos abusos y faltas, que no pueden ser aún llamados delitos porque la mayoría de ellos no han sido establecidos como tales por ninguna ley o regulación.
A continuación se detallan algunos de estos abusos, con traducciones libres ya que aún no existe versión en español.
[1] Online vetting
http://en.wikipedia.org/wiki/Online_vetting
http://www.ere.net/2011/09/14/cyber-vettings-usage-risk-and-future/
Este artículo ha sido originalmente publicado por ArsTechnica y traducido de forma exclusiva para Segu-Info por Mauro Gioino.
En la era de los teléfonos inteligentes y las redes sociales, el correo electrónico a muchos les puede parecer pintoresco. Pero sigue siendo el vehículo que utilizan millones de personas cada día para enviar cartas de amor, planes de negocios confidenciales y otras tantas comunicaciones. Aquí, tanto el emisor como el receptor quieren mantener la privacidad.
Después de las revelaciones del programa secreto PRISM, que da acceso a la Agencia de Seguridad Nacional (NSA) de EE.UU. a los correos enviados a través de Gmail, Hotmail y otros servicios, puede que sea hora de preguntarse ¿cómo se hace para mantener los mensajes en secreto? La respuesta es el cifrado de clave pública.
Cifrado
Por el momento parece probable que las herramientas de cifrado estándar, que se utilizan para proteger los datos "en vuelo" (SSL/TLS), sigan siendo seguras, siempre y cuando se utilicen ciertas buenas prácticas.
Este tipo de cifrado protege contra algunas amenazas, como la vigilancia al por mayor de Internet, pero no hace nada para proteger los datos que están "en reposo" en los servidores de los grandes proveedores.
Si no se desea que el gobierno, un proveedor de servicios, un empleador o personas no autorizadas tengan acceso al correo, la única alternativa es CIFRAR el correo. La mayoría de los algoritmos de cifrado son simétricos, lo que significa que la clave de cifrado tiene un doble propósito: cifrar y descifrar. Como tal, sería posible para cualquiera que conozca dicha clave, descifrar un correo cifrado de forma simétrica. Paradójicamente, también existe el problema que el receptor debe poseer la clave y por lo tanto debería existir una forma "segura" de hacérsela llegar.
Criptografía Asimétrica o Pública
La solución a esto es la criptografía asimétrica. En el cifrado asimétrico hay dos llaves opuestas, y un mensaje cifrado con una clave (pública) que sólo puede ser descifrado con la otra llave (privada). Las dos claves son conocidas como clave privada: que como su nombre indica se mantiene como privado y una clave pública, que se transmite al mundo. Entonces cada vez que desee enviar un correo electrónico a alguien, se cifra con la clave pública del destinatario.
El cifrado asimétrico también se utiliza para realizar firma electrónica (por ejemplo este correo se ha firmado utilizando GPG). En este caso el remitente del correo electrónico cifra con su clave privada un hash, o una huella (fingerprint) matemática de su correo, produciendo la firma. Los valores hash están diseñados de modo que cualquier cambio, por pequeño que sea, en el texto del mensaje, produce un valor de hash diferente.
Cualquiera que lea el correo puede descifrar la firma con la clave pública del remitente, si el hash coincide, el mensaje no ha sido modificado.
La mayor complejidad de este proceso es que el cifrado del correo electrónico no es algo que se pueda imponer unilateralmente. Para proteger el contenido de las cuentas, es necesario asegurarse que todos los involucrados se comuniquen bajo estás mismas condiciones.
Por último, el cifrado de correo electrónico no cifra toda la información. Algunos metadatos, incluyendo las direcciones de correo electrónico de remitente y del destinatario, la fecha y hora de envío, y el asunto del correo no son protegidos. Sólo el cuerpo del correo (y sus adjuntos) quedan protegidos.
Pocos programas de correo electrónico tienen características de cifrado por defecto. Incluso si lo hacen, los usuarios finales deben seguir navegando en una serie de laberintos que son largos y confusos. Las tareas incluyen la generación del par de claves pública y privada. Se debe considerar el almacenamiento seguro de la clave privada, el uso compartido de la clave pública propia y el anillo de claves públicas de los otros destinatarios.
Por eso, no es de extrañar que la mayoría de las personas, incluyendo al periodista de Glenn Greenwald, el reportero Guardian que expuso los aspectos de PRISM, haya tardado tiempo en entenderlo, antes de poder comunicarse con Edward Snowden.
Afortunadamente, existen programas libres de cifrado de correo para la mayoría de los sistemas operativos. ArsTechnica ha publicado un paso a paso con imágenes para el uso del software GnuPG, la implementación de código abierto de la suite de cifrado PGP, que permite cifrar mensajes utilizando criptografía pública.
Los procedimientos son realizados utilizando GnuPG para Windows y GPG Mail para Mac OS X. Para la implementación en Linux el procedimiento se debería poder realizar siguiendo pasos similares.
Los tutoriales de GPG se puede ver en el sitio web de ArsTechnica
¡Gracias Mauro!
Segu-Info siempre está abierto a la publicación de documentos de interés desarrollados por la comunidad por lo que;
Esta propuesta es para tí.
Segu-Info busca autores/escritores/redactores independientes que deseen compartir sus escritos/pensamientos/experiencias con la comunidad.
Para que Segu-Info siga siendo un lugar en donde la información es de todos y para todos, te invitamos a que seas parte. Si quieres compartir tus creaciones, contáctate con nosotros.
Segu-Kids, pone a disposición de todos información en forma libre y gratuita y, es el primer sitio pensado con el objetivo de apoyar y acompañar a la familia y a los educadores.
El nacimiento de Segu-Kids se debe a la gran cantidad de riesgos existentes en Internet y a la necesidad de crear concientización y educación sobre las formas de prevención y protección, haciendo uso responsable de las tecnologías existentes.
Segu-Kids busca la colaboración de todas las organizaciones a quienes les importa los menores y la seguridad en línea. Por eso, si formas parte de una de estas organizaciones o conoces a alguien vinculado, no dudes en ponerte en contacto con nosotros.
Te invitamos a conocer Segu-Kids y a dejarnos tus experiencias, para que sigamos creciendo juntos en la red.
Solución al desafío del Boletín anterior
El orden del termino 1.000 está dado por la sumatoria de los valores de cada término: n * (n + 1) / 2
Por ejemplo para el número 4 y 5 es:
1, 2, 2, 3, 3, 3, 4, 4, 4, 4
1, 2, 2, 3, 3, 3, 4, 4, 4, 4, 5, 5, 5, 5, 5
3 * (3 + 1) / 2 = 6
4 * (4 + 1) / 2 = 10
5 * (5 + 1) / 2 = 15
El número 4 está entre las posiciones 7 a 10.
El número 5 está entre las posiciones 11 a 15.
Entonces, dado que la sumatoria de los números hasta la posición 44 y
45 es:
44 * (44 + 1) / 2 = 990
45 * (45 + 1) / 2 = 1035
El número 45 está incluido en el orden del intervalo 991 – 1035 y finalmente el valor de la posición 1000 corresponde a 45.
Respondieron correctamente: [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected],
Un reconocimiento especial a [email protected] quien ha realizado una pequeña aplicación en C++ que resuelve el problema para cualquier número
Desafío de esta semana:
¿Qué tiene de especial el número 142857?
(En Google aparecen muchas respuestas, no busques o busca algo ORIGINAL).