"En vísperas de un nuevo año sería muy grato decirles que todo será fácil;
desgraciadamente no es así"
[ Salvador Allende - Médico y político chileno - 1908-1973 ]


196 - Perfect Forward Secrecy - 22/12/2013


En este Boletín, te contamos en qué consiste el "secreto perfecto" y cómo se puede implementar sobre conexiones HTTPS para lograr un mayor nivel de privacidad en las comunicaciones web, incluso contra la NSA.

Te invitamos a firmar una petición para que la Dirección Nacional de Protección de Datos Personales (DNPDP) investigue y sancione a las empresas "buscardatos", "dateas", "buscar-cuit" y "cuitonline" por comercializar nuestros datos personales en Internet sin nuestra autorización.

Además, te contamos en qué consiste un Sistema de Gestión de Seguridad de la Información (SGSI) y cómo se implementa.

Por último, qué mejor manera de comenzar el año que conociendo los números de engaños y estafas que se han llevado a cabo durante 2013 a través de Phishing, Scam, SMiShing, etc.

¡FELICES FIESTAS Y MEJOR AÑO A TODOS Y QUE EL 2014 NOS ENCUENTRE CON PAZ Y TRABAJO!

1. Perfect Forward Secrecy: protección de la Privacidad en la web
2. Petición para que se investigue a empresas que roban y comercializan datos personales
3. Proyecto SGSI: Modelo de mejora continua en la gestión de riesgos
4. Informe anual de Phishing recibido en 2013
5. Segu-Info busca autores
6. Desafío de la semana


1. Perfect Forward Secrecy: protección de la Privacidad en la web

Este artículo ha sido originalmente publicado por Parker Higgins de Electronic Frontier Foundation (EFF) [1] y ha sido traducido en forma exclusiva para Segu-Info por Ing. Mauro Gioino.

Cuando se accede a un sitio web a través de una conexión cifrada, se está usando un protocolo denominado HTTPS.
Pero no todas las conexiones HTTPS son creadas de la misma manera. En los primeros milisegundos después de que el navegador se conecte de forma segura a un servidor, se debe tomar una decisión importante: el navegador envía una lista de preferencias sobre el tipo de cifrado que está dispuesto a soportar, el servidor responde con un certificado de verificación y, sobre la lista del navegador, elige una opción de cifrado.

Estas diferentes opciones de cifrado se denominan "suites de cifrado".
La mayoría de las veces, los usuarios no tienen que preocuparse por las suites que los navegadores y servidores están utilizando, pero en algunos casos se puede hacer una gran diferencia.

Una propiedad importante se conoce como "Perfect Forward Secrecy" (PFS), pero sólo algunos servidores y navegadores están configurados para soportarlo. Los sitios que utilizan PFS pueden proporcionar mayor seguridad a los usuarios en los casos en que las comunicaciones cifradas se estén monitoreando y registrando.

Esa amenaza particular podría parecer improbable, pero ahora sabemos que la NSA hace exactamente este tipo de espionaje de comunicaciones cifradas a medida que los datos fluyen a través de los distintos centros de telecomunicación, en un esfuerzo de recolección denominado "Upstream".

¿Cómo puede ayudar "Perfect Forward Secrecy" a proteger la privacidad del usuario contra ese tipo de amenaza?
Para entenderlo, es útil tener una idea básica de cómo funciona en general el protocolo HTTPS. Cada servidor web que utiliza HTTPS tiene su propia clave secreta que utiliza para cifrar los datos que se envían a los usuarios. En concreto, se utiliza esa clave privada para generar una "clave de sesión" que sólo el servidor y el navegador conocen. Sin esa clave, el tráfico que viaja de ida y vuelta entre el usuario y el servidor es incomprensible, tanto para la NSA como para cualquier otro espía.

Pero imagine que algunos de esos datos incomprensibles se están registrando de todos modos (los documentos filtrados de la NSA confirman que la agencia lo está haciendo). Un intruso que obtenga la clave de sesión en cualquier momento del futuro (incluso años más tarde) puede usarla para descifrar todos los datos almacenados. Esto significa que los datos cifrados, una vez almacenados, son tan seguros como lo sea la clave de sesión, que puede ser tan vulnerable como lo sea el servidor del proveedor en el futuro. Si la clave de sesión es comprometida, la información también lo será.

Ahí es donde PFS entra en juego. Cuando una conexión cifrada utiliza PFS, las claves de sesión generadas por el servidor, son verdaderamente "efímeras", incluso alguien con acceso a las claves privadas no podrá posteriormente obtener la clave de sesión correspondiente que le permitiría descifrar cualquier sesión particular HTTPS. Entonces, los datos cifrados interceptados están protegidos de las miradas indiscretas en el futuro, incluso si la clave privada del sitio web es comprometida.

Es importante tener en cuenta que HTTPS, por sí mismo, no protege los datos una vez que están en el servidor. Los servicios web deberían brindar la mayor protección jurídica posible y minimizar la cantidad de datos que se recogen y almacenan en primer lugar. Así, contra la amenaza de la recolección de datos "upstream", el soporte a PFS es un paso esencial. Por eso, recientemente EFF ha publicado quienes son las empresas que luchan por los derechos de los usuarios, ante los gobiernos autoritarios [2] así como las mejores prácticas del mercado relacionadas a la recolección de información sensible.

Entonces, ¿quién protege la privacidad a largo plazo dando soporte a PFS? Desafortunamedente, la lista no es muy larga. Google llegó a los titulares cuando se convirtió en el primer jugador importante en habilitar PFS en noviembre de 2011 [3]. Facebook anunció en julio de este año que, como parte de sus esfuerzos de seguridad, habilitaron HTTPS de forma predeterminada para todos los usuarios y pronto también habilitaría PFS [4]. Así mismo, en noviembre pasado, Twitter anunció la implementación de PFS en su servicio, así como CryptoCat, el popular chat cifrado.

Fuera de la web, los correos electrónicos cifrados con el estándar OpenPGP no hacen uso de secreto perfecto, pero aplicaciones como "Whisper Secure texts for Android" y el protocolo OTR [13] para enviar mensajes, lo hacen.

El correcto soporte de las suites de cifrado significa comenzar a dar soporte para PFS pero los sitios web y empresas pueden necesitar un estímulo adicional de los usuarios, ya que generalmente el soporte de HTTPS + PFS no es barato. En particular, se requieren más recursos computacionales para calcular las claves de sesión requeridas.

Puede que no sea tan obvio como simplemente habilitar HTTPS, pero activar PFS es una mejora importante que protege a los usuarios ahora y en el futuro. Más sitios deberían habilitarlo, y más usuarios deberíamos exigirlo en los "sitios de confianza".

[1] Pushing for Perfect Forward Secrecy, an Important Web Privacy Protection
https://www.eff.org/deeplinks/2013/08/pushing-perfect-forward-secrecy-important-web-privacy-protection
https://community.qualys.com/blogs/securitylabs/2013/06/25/ssl-labs-deploying-forward-secrecy

[2] Who has your back 2013
https://www.eff.org/who-has-your-back-2013
https://www.eff.org/sites/default/files/who-has-your-back-2013-report-20130513.pdf

[3] Long Term Privacy with Forward Secrecy
https://www.eff.org/deeplinks/2011/11/long-term-privacy-forward-secrecy
http://blogs.computerworld.com/encryption/22366/can-nsa-see-through-encrypted-web-pages-maybe-so

[4] Secure browsing by default
https://www.facebook.com/notes/facebook-engineering/secure-browsing-by-defa%20ult/10151590414803920
http://www.theverge.com/2013/6/26/4468050/facebook-follows-google-with-tough-encryption-standard

¡Gracias Mauro!

2. Petición para que se investigue a empresas que roban y comercializan datos personales


Segu-Info ha publicado una campaña para enviar un petitorio a la Dirección Nacional de Protección de Datos Personales (DNPDP) para que investigue y sancione a las empresas "buscardatos", "dateas", "buscar-cuit" y "cuitonline" por comercializar nuestros datos personales en Internet sin nuestra autorización.

Estos sitios se encuentran realizando un tratamiento ilegal sobre nuestros datos personales, vulnerando la Ley de Datos Personales y la Constitución Nacional de Argentina, Chile, Paraguay, España, entre otros.

La campaña tiene la intención que la Dirección Nacional de Protección de Datos Personales (DNPDP) de Argentina investigue a estas empresas.

La carta que se envía en la petición es la siguiente: http://segu.info/DNPD

INVITAMOS A TODOS A FIRMARLA PARA APOYAR LA CAUSA y que finalmente estas empresas sean investigadas y sancionadas como corresponde.

3. Proyecto SGSI: Modelo de mejora continua en la gestión de riesgos

El presente artículo ha sido desarrollado por Karina Miranda Vásquez quien tiene más de 14 años de experiencia en áreas de seguridad y en la implementación de Sistemas de Gestión de Seguridad de la Información (SGSI) en el sector gubernamental y privado.

Hoy en día se ha llegado a un punto, en que la tecnología por sí misma no es suficiente para dar una protección integral a la información y por el cual es necesario que las organizaciones adopten una estrategia en Seguridad de la Información la cual debe encontrarse alineada a las necesidades del negocio.

La seguridad de la información debe ser uno de los pilares fundamentales que le permita garantizar a los clientes que están realizando sus transacciones en forma segura y que su información está siendo protegida acorde con las mejores prácticas internacionales en materia de seguridad. Es aquí donde nos hacemos las preguntas ¿cuál es riesgo aceptable para mi organización? ¿por dónde empezamos a implementar seguridad? ¿cuál es la información que debo proteger? Esto responde a que debemos empezar por aquel proceso o parte de la organización donde el manejo de la información sea crítico y/o relevante.

A la hora de llevar a cabo un proyecto de implementación de un Sistema de Gestión de Seguridad de la Información (SGSI), destaco como punto principal la gestión de los riesgos, columna vertebral del Sistema de Gestión de Seguridad de la Información (SGSI) que, basándose en el modelo de mejora continua de la norma ISO 27001, nos permitirá analizar y evaluar los riesgos dentro del alcance definido por la organización para luego llevar a cabo una serie de soluciones de seguridad que fortalecerán e incrementarán su nivel de madurez.

Se puede acceder al documento completo en formato PDF desde nuestra sección Artículos de Terceros.

¡Gracias Karina!

4. Informe anual de Phishing recibido en 2013

Por tercer año consecutivo Segu-Info y Antiphishing.com.ar analizan en profundidad denuncias de casos de correos fraudulentos y los compara con los datos anteriores para establecer el estado del arte en materia Phishing.

Este es el tercer informe con estadísticas de Phishing de América Latina, con datos sobre la cantidad de casos, países y entidades afectadas además de las técnicas de propagación utilizadas.

En base a las denuncias recibidas por Segu-Info en los últimos siete años, el phishing es uno de los engaños y formas de manipulación de usuarios que más ha crecido en América Latina, y aun así, lamentablemente, no se puede decir que se configure como delito en alguno de los países de la región.

Durante el año 2013, en Segu-Info se recibieron más de 1000 denuncias de correos sospechosos. Es importante destacar que estos datos sólo reflejan la cantidad de denuncias realizadas por los usuarios y no debe entenderse como el total de casos, que seguramente será superior, o sobre que una entidad es más afectada que otra, si bien el muestreo es importante y posiblemente refleje la realidad.

En base a la clasificación de cada correo, se descartaron aquellos casos que no fueran representativos para el presente informe: scam, correos dañados o los que contienen publicidad, lo que permite considerar un total de 806 denuncias correspondientes a phishing, que pretendían obtener información sensible del usuario y que podían o no contener archivos adjuntos.

Esta cantidad representa un 23% más que en el año 2012 (657) y 110% más que en 2011 (384).

Descargar "Informe anual de Phishing recibido en 2013" [PDF]

5. Segu-Info busca autores

Segu-Info siempre está abierto a la publicación de documentos de interés desarrollados por la comunidad por lo que;

  • si te interesan la Seguridad de la Información,
  • si conoces de Legislación en Seguridad,
  • o, si la Seguridad de la Información es uno de tus temas de lectura/búsqueda preferidos...

Esta propuesta es para tí.

Segu-Info busca autores/escritores/redactores independientes que deseen compartir sus escritos/pensamientos/experiencias con la comunidad.

Para que Segu-Info siga siendo un lugar en donde la información es de todos y para todos, te invitamos a que seas parte. Si quieres compartir tus creaciones, contáctate con nosotros.

6. Desafío de la semana

Solución al desafío del Boletín anterior

El número de mazos es irrelevante; la respuesta es la misma si uno o cien mazos son usados.

Cualquier carta tomada va a ser un A,2,3,4,5,6,7,8,9,10,J,Q, o K, por lo tanto hay trece posibilidades cada vez que una carta es tomada.

La manera más rápida de tomar un grupo de cuatro iguales es que las cuatro primeras tengan el mismo "número", la manera más lenta de obtener el mismo resultado, y que nos dá la solución, es primero sacar trece trios y luego una carta más, que obviamente será una que complete el cuarteto.

Como 13 x 3 + 1 = 40, si se toman 40 cartas está garantizado que habrá por lo menos un grupo de cuatro iguales entre estas cuarenta.

Para el caso de un mazo de 50 cartas españolas, la operación sería: 12 x 3 + 1 = 37 cartas.

Respondieron correctamente: [email protected], [email protected], [email protected]

Una mención especial para [email protected] que ha creado una aplicación en MathLab para simular la situación.

Desafío de esta semana:

En una prisión 3 prisioneros, A, B y C, tienen la oportunidad de ser liberados. El alcalde los reúne, les enseña 5 sombreros de dos colores: 3 blancos y 2 negros.
Se les explica que obtendrá la libertad el preso que deduzca de qué color es el sombrero que le ha correspondido por sorteo.
Coloca a los prisioneros en fila. El último preso de la fila (C) puede ver el sombrero del preso B y del A, pero no el suyo; el segundo preso (B) sólo ve el de A y; el primer preso (A) no ve ningún sombrero.

El alcalde pregunta al tercero de la fila (C) por el color de su sombrero, pero éste no puede deducirlo. A continuación pregunta al segundo preso (B) y tampoco puede deducirlo. Le pregunta al ultimo (A) y este acierta. ¿De que color es el sombrero de A? y ¿Cómo llegó a la conclusión?

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto