domingo, 9 de diciembre de 2018

Los mineros de marchan de Bitcoin ¿Eso es bueno o malo?


Que las criptomonedas no están en su mejor momento es un titular que llena las webs de internet.

Todo el mundo especula si es el fin de Bitcoin, si su precio cae en picado y sin frenos hasta desaparecer en la memoria de los “Archives” de Internet. Para colmo se esta acabando el año por lo que decenas de “sabios” y “resabidos” se lanzan a dar sus visiones de lo que pasará durante 2019 con las criptomonedas como de Aramis Fuster se tratara (o al menos suelen acertar con igual proporción).

Estamos ante un momento de convulsión, eso es indiscutible y están sucediendo eventos que en pasadas crisis de Bitcoin no sucedieron, como es el apagón que están haciendo muchos mineros.
Como me gustó mucho eso de hacer vídeos a partir de la experiencia de mi primer MOOC sobre Blockchain (si, ya estoy trabajando en el segundo) he cambiado la filosofía de escribir posts por probar en el mundo de YouTube.

Os traigo la inauguración de mi canal de YouTube con un primer vídeo analizando la repercusión de que los mineros abandonen Bitcoin en un alarde de técnica en edición de vídeos (si, esto es un chiste os podéis reír y más que lo haréis cuando veáis esos efectos sonoros del vídeo).
Espero os guste tanto como lo que me divierto yo creándolo, disfrutadlo.


miércoles, 18 de abril de 2018

Curso de Introducción a Blockchain


Por razones que son dignas de un post aparte (atentos a mi LinkedIn porque seguro aparece ahí antes) he podido gozar de unos días de maravillosas vacaciones las cuales he aprovechado para poder hacer proyectos que me ilusionaban mucho.

Hoy os quiero presentar uno de ellos finalizado y aprobado, ya esta disponible mis primer curso de

Introducción a Blockchain



Curso que esta enfocado a todo tipo de públicos:
  • Empresas: Tanto para adoptar la tecnología en sus procesos como para poder desarrollar proyectos propios, es fundamental entender las partes que la conforman y como encajan entre ellas.
  • Inversores: Las criptomonedas son un activo de muy alto riesgo pero también de altas ganancias, es por ello que atrae a un gran numero de inversores por todo el mundo. Pero sin entender la tecnología que soporta dichas divisas, estos inversores irán ciegos. Pudiendo cometer grandes errores al apostar por nuevas monedas que tecnológicamente no aportan nada. Sin este curso no serán capaces de detectarlas.
  • Estudiantes e investigadores: Los desarrolladores de Smart Contract son los más buscados y mejor pagados del momento. No se puede investigar ni desarrollar sin comprender las bases.
Si entráis en el curso podéis ver el índice del mismo completo y un video de promoción explicando todo lo que se verá en el mismo.

Me ha costado mucho trabajo e ilusión hacerlo, espero que os guste.

lunes, 16 de abril de 2018

Cambridge Analytica, Big Data y las leyes que nos “protegen”


Si estás leyendo este blog, sin duda estarás enterad@ del mediático vodevil de Mark Zuckerberg en el  senado estadounidense con la filtración de datos a Cambridge Analytics. El mismo senado que se vio favorecido precisamente por esta compañía de cara a las elecciones de Trump. La cuestión que quiero plantear aquí es hasta dónde estamos protegidos legalmente de cara a estas filtraciones, pero antes ¿Quiénes son y de qué son capaces estos Cambridge Analytica?

Nos dice la Wikipedia que son una compañía que se dedica a explotar masivamente datos, a priori inofensivos, para obtener unas conclusiones de tipo electoral que, a priori de nuevo, no son tan inofensivas. Hoy (aunque cada vez más ayer) nos encontramos en la explosión del Big Data. Un mundo que rompe con el paradigma creado por el Business Intelligence como ciencia informativa que nos arroja luz sobre, no sólo lo que está pasando en el momento, sino sobre el por qué está pasando y hacia dónde evoluciona.

Resultado de imagen de Cambridge Analytica
Nadie había pensado al registrarse en Facebook que Cambrige Analytics, con entre 100 y 250 likes puede predecir la orientación sexual, el origen étnico, opiniones religiosas y políticas, el nivel de inteligencia y de felicidad, si consume drogas, o si los padres están separados. Con tan solo 150 likes, los algoritmos pueden predecir el resultado de un test de personalidad mejor que tu pareja. Y con 250 likes, mejor que tú mismo. Prácticamente casi todos los datos que la LOPD considera de nivel alto.


Otra de las consecuencias del Big Data que han aprendido a la fuerza los científicos de datos es que no se puede esperar de antemano un resultado de los análisis, incluso cuando estamos analizando cuestiones tan peregrinas como las causas de éxito o fracaso de una campaña de marketing marketing.

Me viene a la cabeza un excompañero de clase que trabaja en una entidad que gestiona muchísimos fondos de inversión y descubrió que, por casualidad o no, que uno de los factores de éxito de los fondos era que su nombre empezase por la letra B. Obviamente no era el único factor, pero eso no lo hace menos sorprendente e inesperado. 

¿Y dónde entra aquí el impacto a la legislación?

Por todo aquel que esté cerca del mundo de la seguridad de la información es bien sabido que los organismos legisladores van siempre varios pasos por detrás de lo que la tecnología nos ofrece. Nada nuevo. Tanto nuestra ya saliente LOPD como la inminente GDPR que entra en vigor en mayo orbitan sobre el principio de consentimiento en la recolección de los datos, y aquí la clave es la palabra recolección porque, como he dicho, no sabemos qué se va a obtener de ellos a posteriori.

Está claro que es insuficiente, porque en ningún momento nadie nos contó que con unas centenas de clicks nos iban a conocer mejor que nosotros mismos. La legislación debería enfocarse en recopilar consentimiento en la recolección y en el uso que se va a hacer de los mismos, matizando la finalidad de los análisis que se van a hacer sobre ellos. Esto no es fácil en absoluto, pero es que yo no quiero que sea fácil que Facebook, Cambridge Analytics o cualquiera desentrañe mi personalidad.

Concluyendo, ¿por dónde debería orientarse la legislación?
  • El momento en el que obtener consentimiento no debe ser el momento de la recolección de los datos (al menos no solamente), sino el momento de la utilización de los datos.
  • Los deberes de información (en sus numerosos aspectos introducidos por GDPR) y la necesidad de recabar el consentimiento debe referirse, no solo al hecho de que se recaben datos primarios, sino también a la información que se puede extraer de un análisis de éstos.
  • El consentimiento debería dejar de ser un cheque en blanco, ya que no sabemos el valor de la información que vamos a obtener. Debería ser gradual y limitado en el tiempo. Con límites dependiendo de los fines.
  • El derecho al olvido debe ser absoluto. Incluso el propio Zuckerberg reconoció no ser capaz de eliminar la información que Facebook tiene de él mismo ¿Cómo íbamos a hacerlo los demás, simples plebeyos?
  • Por último algo en lo que pecamos todos nosotros y no sólo el mundo de las leyes; debemos rebajar el nivel de sofisticación y tecnicismo del lenguaje para que cualquiera entienda qué se va a hacer con sus datos y en qué momento. Quizá así alguien se lea alguna vez los términos y condiciones de los servicios.
Con esto no se arregla todo. No vamos a poder evitar los escalofríos del gélido aliento del fantasma del Gran Hermano, pero es un primer paso. Queda muchísimo por hacer.

Artículo firmado por:
Koldo Urcullu (kourcul@protonmail.com)

Fuentes:
  1. Elena GIL, "Big Data, privacidad y protección de datos" AEPD, BOE, 2015
  2. Lutz FINGER. «Recommendation Engines: The Reason Why We Love Big data». Forbes Tech (2 de septiembre de 2014).
  3. Cynthia DWORK. «Differential Privacy». Microsoft Research
  4. Kenneth Neil CUKIER y Viktor MAYER-SCHÖENBERGER. «The Rise of Big data. How It’s Changing the Way We Think About the World». Foreign Affairs Vol. 92, n.o 13 (2013).


miércoles, 21 de febrero de 2018

Hacking de semillas en la criptomoneda IOTA - Parte 1



Resultado de imagen de iota securityAdentrándome más en las diferente criptomonedas el otro día estuve estudiando sobre la generación de sus semillas y sus direcciones público/privada. Toda esta curiosidad viene movida por la noticia de que han robado recientemente 4 millones de IOTA para empezar esta noticia me parece algo confusa ya que según la escala de cambio de IOTA:



1.000.000 de IOTA = 1 MIOTA que es la moneda con la que se especula en las casas de cambio es decir, si robaron 4 millones de IOTA ¿Se podría decir que robaron 4MIOTA, que al cambio ( Y siendo generosa redondeando al alza ya que los 2 euros hace tiempo que la criptomoneda no los ve) robaron unos 8 euros? No, seguramente no pero dejemos sarcasmos aparte (fueron 4 millones de dólares robados) y entendamos porqué pasó esto.

Las criptomonedas se basan en un par de claves pública y privada. Tu eres el dueño y señor de la privada. Nunca has de compartirla, y cuanto más rara y aleatoria sea, mejor.

A partir de esa clave privada se genera una pública, que es la que expones al mundo para poder hacer tu recepción y envío de la criptomoneda. Así trabaja Bitcoin y la mayoría de las criptomonedas pero IOTA… IOTA es diferente.

Para empezar la semilla consta de 81trytes, no os volváis locos eso lo único que significa es que la semilla privada en IOTA tiene que tener 81 caracteres y para ello los únicos caracteres que admite son:



Si, la semilla de IOTA está formada por el alfabeto en mayúsculas y los 9. Si hay algún matemático en la sala que nos calcule la barbaridad de semillas que se pueden producir con esa combinación de caracteres.

Entonces ¿porque robaron esos tokens? Sencillamente porque la gente usaba páginas web para que les generara dicha semilla de forma aleatoria. Alguna de esas webs tenía ganas de hacerse rica y almacenó las semillas que generaba, pasado un tiempo decidió entrar con cada una de esas semillas y transferirse lo que hubiera dentro de ellas.

Fue a partir de esa noticia cuando se levantaron varias voces sobre si es seguro o no que lo único que necesitas para acceder a tu cartera sea conocer la semilla (o en el mundo Bitcoin la clave privada) y ya que no me ha tocado la lotería estas navidades y además quería probar la API de IOTA para Python he escrito un programa para ver si alguien desafía a la estadística y logra encontrar una semilla de IOTA de forma aleatoria.

Os presento Lottery.
Vamos a ver rápidamente qué hace este programilla.

Tiene solo dos funciones, la primera se llama crea_seed y es donde, tal y como os he explicado, coge el conjunto de valores que aceptan las semillas de IOTA y genera aleatoriamente cadenas de 81 caracteres de longitud.

La segunda función le he puesto un bucle infinito (ahora es cuando los puritanos del código me llamarán de todo xD) el cual llama a generar la semilla y después usamos la función del API de IOTA api.get_account_data() para que se descargue toda la información de esa cuenta.

Aquí recordar que son semillas privadas por lo que accedes a toda la información. Muestra por pantalla todas las que ha desestimado como buenas ó tienen saldo 0.

Pero si eres la persona con más suerte del mundo y logras encontrar una semilla (que ya es complicadísimo) pero encima con balance superior a 0, te manda un correo para que sepas que te ha tocado la lotería.

Es una completa tontería de programa pero vale para dos cosas:
  • Deja de manifiesto lo seguro que es el sistema de semilla cuando realmente la guardas bien. Infinitamente más seguro que un login/password centralizados en un servidor.
  • Un pequeño ejemplo de cómo usar la API de Python para IOTA
Hasta aquí hemos entendido cómo funciona el sistema de semilla en IOTA, pero como os dije al principio es muy diferente al resto de criptomonedas.

En el próximo post vamos a ver cómo funcionan las direcciones en IOTA y otro pequeño programa para encontrar semillas de forma un poco más sencilla y dirigida. ¿Seguiremos creyendo que IOTA es seguro?

viernes, 9 de febrero de 2018

Ataques contra Blockchain: El 51%



La semana pasada facilité tres documentos con los que se puede entender muy bien qué es blockchain y como funciona. Esta semana quería hacer un compendio de ataques famosos, con los que nos aterran en todos los blogs por donde pasamos, sobre blockchain pero según he comenzado a escribir la cosa se ha alargado muchísimo así que he decidido romperlo en varios posts diferentes.

Me ha parecido que el del 51% debía ser el primero ya que no hay documento en la red donde no lo mencionen pero.. ¿realmente es algo a temer? O más bien es algo que se pone en todas partes porque es “fácil de entender”.

El ataque se resume en que si alguien tiene el 51% de los recursos, puede llegar a manipular los datos que se introducen en el bloque e introducir transferencias falsas produciendo de ese modo, robos. Afecta tanto en monedas basadas en Prueba de Trabajo (PoW) como en Prueba de Participación (PoS).

Vamos a entender esto con más detalle según cada una de las posibles pruebas.

Prueba de Trabajo (PoW)

La mayoría de las criptomonedas usan este tipo de pruebas para poder incluir dentro de su Blockchain un nuevo bloque, por lo que lo que le interesaría a un atacante dominar en su 51% es la cantidad de hardware haciendo físicamente minería. Es decir, necesita que el 51% de las máquinas que están haciendo minería en el mundo estén bajo su control. En esta web se puede ver, en tiempo real, que compañías, hubs o pools de minería controlan que %. Como podéis observar la que más (actualmente) es BTC.com con la friolera de un 24,3%. Esa ya es una cantidad brutal pero para que llegara al 51% tendría que crecer exponencialmente, ya que el resto de pools también lo hacen.
La probabilidad de que esto pase es casi imposible. A esta dificultad hay que añadir que, para que un bloque sea aceptado en la blockchain al menos 6 mineros han de aceptarlo por lo que añadid la dificultad que los 6 sean de ese 51%, con que uno solo dijera que ese bloque no le cuadra ya no valdría de nada.

En mi opinión personal es tan complicado que ambas condiciones se cumplan que el día que lo haga será porque ya nadie nos importará, Bitcoin estará muriendo quedando apenas mineros que los sustenten y por eso podrán manipularlo.


Prueba de Participación (PoS)

Esta prueba será implementada a finales de este año en Ethereum, van con retraso pero es uno de los objetivos de la criptomoneda para diferenciarse. Lo que dice es que, para evitar gastar tantos recursos naturales (buscando por fuerza bruta nonces) la red se sustenta en un parámetro de confianza que es la cantidad de dicha criptomoneda que tienes. Es decir, que si tienes en tu Wallet muchas monedas de Ethereum eres más confiable ya que serás el primer interesado en que dicha moneda funcione correctamente por lo que tus validaciones de bloques son mejor aceptadas que los que tienen menos monedas que tu. Siguiendo esa premisa el ataque del 51% sigue siendo posible ya que si dispones del 51% de las monedas que existan en esa divisa puede que seas el que valide muchas transferencias consecutivas y, por ello, incluso llegar a manipular transferencias.
Bien, para ver si este ataque tiene base como para preocuparnos pensemos en las dos criptomonedas por excelencia, primero en Bitcoin. Tiene 21.000.000 de monedas generadas por lo que alguien que quiera hacer este ataque tendría que comprar, al menos 10.710.000 bitcoins. Ahora que las criptomonedas están desplomándose vamos a poner un valor de media de 4000 euros el bitcoin (y tirando a la baja) eso querría decir que un atacante necesitaría invertir 42.840.000.000 de euros para poder hacerse con esa cantidad ¿Os parece viable? Pues ahora imaginaros con Ethereum me direis “vale mucho menos en el mercado” pero Ethereum no tiene límite de monedas, por lo que…. ¿cuando alguien sería el dueño del 51% de la divisa?

Lo dicho, el día que se logre hacer un ataque del 51% es porque esa moneda ya no le importará a nadie. Puede que valga menos de 0,000001 la unidad y alguien con mucho humor y esperanza compre las suficientes como para hacer ese ataque soñado. Hoy en día dadas las dos tipologías de pruebas creo que no es viable, por lo que podemos dormir tranquilos.

miércoles, 31 de enero de 2018

Recursos para entender Blockchain



Hace tiempo que vengo dándole vueltas sobre como escribir un artículo (o serie de artículos) sobre Blockchain desde 0, coincidió que una compañera me pidió dar una charla sobre esto mismo y lo hice encantada, creía que me valdría para poder enfocar también estos artículos pero no, sigo sin verlo claro.

Me he dado cuenta de que hay muy buena información en la red donde poder entender esto fácilmente.

Estoy preparando un MOOC sobre Blockchain para desarrolladores, contado y visto con calma, siempre se ve mejor. Pero mientras tanto, quiero compartir con vosotros tres documentos que son más que suficientes para entender Blockchain tal y como Bitcoin lo pensó.

Es muy interesante remarcar que cada criptomoneda ha incluido cambios en este modelo inicial por eso, cuando estéis decididos por una, revisad bien su Whitepaper porque el Blockchain de Bitcoin se parece al de Ethereum pero ya incluye muchos cambios, y si te vas a IOTA no se parece en nada. Por lo que es importante que partas de esa base, estos documentos son excelentes para entender las bases sobre las que nació Blockchain pero luego ha evolucionado y cambiado mucho, según la criptomoneda que te interese.

En primer lugar os dejo con dos documentos, uno en inglés y otro en castellano, enfocados por completo a Blockchain según Bitcoin, así también se puede entender el concepto de minería y los problemas que ésta traerá.

http://www.the-blockchain.com/docs/Princeton%20Bitcoin%20and%20Cryptocurrency%20Technologies%20Course.pdf

https://repositorio.comillas.edu/xmlui/bitstream/handle/11531/70/TFG000011.pdf?sequence=1

En segundo lugar os dejo el documento que publicó el NIST, un borrador sobre Blockchain, explicando todos estos conceptos básicos pero además ya habla de las diferencias con Ethereum, en mi humilde opinión, la criptomoneda que más ha aportado después de Bitcoin desde una perspectiva de innovación tecnológica.

https://csrc.nist.gov/CSRC/media/Publications/nistir/8202/draft/documents/nistir8202-draft.pdf

Con estos tres documentos son más que suficientes para adentrarte a entender que es Blockchain y porqué todo el mundo habla de ello.

martes, 16 de enero de 2018

Empezando con el desarrollo de DApps en Ethereum



Como ya he comentado varias veces estoy haciendo un doctorado, no se me ocurrió otra cosa
que meterme en IoT + Blockchain y, como buena curiosa que soy, nada mejor para entender las
cosas que meterte en faena y poner a crear tus propias DAaps.

Primero ¿Que es una DApp?
DApp es el acrónimo para de Decentralized Application, no son ni más ni menos que
aplicaciones basadas en la tecnología Blockchain (para los que no entiendan bien
Blockchain, me apunto para la semana que viene un compendio de recursos para ellos).

Las características que toda DApp comparte son:
  • Open Source: Los cambios son consensuados. 
  • Descentralizada: Los datos son guardados en Blockchain (que es descentralizado por definición). 
  • Probada: Bitcoin usa PoW, Ethereum también aunque esta programado para finales de este año hacer un hibrido de PoW y PoS. Han de ser probadas. 
  • Incentivada: Cuando se validen ls transferencias, se han de incentivar. Aquí no estoy muy de acuerdo con que esto se aun punto general ya que si piensas en criptomonedas como IOTA (que tendrá pronto Smart Contracts) todas sus transacciones y validaciones son gratuitas. Pero por el momento dejemoslo como característica general. 

Resultado de imagen de blockchain


Ethereum diferencia entre tres tipos de aplicaciones:
  • Financieras: Manejan “cripto-dinero” de forma directa. 
  • Semi-financieras: Donde hay dinero en juego pero no es la finalidad principal. 
  • No financieras: Donde el dinero no es lo que importa aquí pone como ejemplo los sistemas de votación o gobierno descentralizado. Siempre que un minero procesa un Smart Contrat se mueve dinero (por el gas consumido para procesarlo) así que, no os engañeis, siempre hace falta tener ether de por medio. 
Bien, ya sabemos lo que queremos hacer: una DApp. Ahora, la pregunta que he visto por tantos rincones de la red ¿Por donde empiezo?
Una DApp no es diferente a cualquier otra aplicación, consta de dos partes:
  • Front: Lo bonito. Lo que ve el usuario. Aquí los lenguajes de desarrollo son libres, el front lo puedes hacer en lo que más te guste. Lo más habitual son front de tipo web (eso también influye en que MetaMask solo tiene soporte web hoy en día, pero lo explicaremos luego) pero aquí puedes sentirte libre de usar el lenguaje que quieras. 
  • Back: La conexión con Blockchain. Esta es la parte donde vais a poder ver la diferencia entre una APP y una DApp. Hasta ahora teníais un back con una BBDD (relacional o no, no vamos a entrar en eso) puede que para vuestra DApp siga haciendo falta una, pero el núcleo de vuestra información estará en la Blockchain. El factor único y diferencial es ese. Para esto necesitamos un lenguaje para poder interactuar con esa Blockchain. El lenguaje más utilizado para ello es Solidity. 
Con Solidity vamos a poder:
  • Interactual con la Blockchain 
  • Crear Smart Contracts 
  • Crear nuestra ICO (que no es más que otro Smart Contract) 

Con esos tres puntos ya lo tienes todo. Entendiendo que es una DApp, que partes la forman, que lenguajes necesitas y que puedes hacer con Solidity. Ya te puedes adentrar a estudiar sobre el mismo y ver ejemplos.
Mis recomendaciones.

MOOCs:
Ethereum Developer MasterClass: https://www.udemy.com/ethereum-masterclass/learn/v4/overview

martes, 19 de diciembre de 2017

Dónde está Fog y dónde está Edge



Hace unas semanas hablé sobre qué es el Edge computing y porqué nos importa. Lo que pude sacar en claro es que todavía no existía un consenso sobre la diferencia entre ambos términos.

Dónde acaba y empieza el Edge, dónde acaba y empieza la Fog y si estos dos términos significan el fin de los días del Cloud Computing (como algunos han vaticinado).

Despues de tener el tema “en el frigorífico” ayer, por pura casualidad fui a dar con una imagen que me resultó completamente reveladora:




Efectivamente se puede ver donde acaba y empieza cada una de las diferentes capas que formarán las redes del futuro:

  • Edge, estará formado por billones de dispositivos, todos esos elementos que forman parte del IoT como los sensores, o electrodomésticos caseros o cualquier cosa conectada que se os pueda ocurrir, permanecerán es esa capa. Sus conexiones estarán centralizadas por elementos pequeños como un dispositivo móvil ordenadores, tablets o cualquier elemento con un poder de cómputo mayor que un pequeño sensor ( por poner un ejemplo). Recibirán los volúmenes de datos inmensos que generan con todas sus mediciones. 
  • Fog nos vamos ya a una capa de servidores con una capacidad de cómputo mayor, en el Edge ya se depurará un cierto nivel de información para que no viaje por la red los Teras de información que han generado todos esos pequeños elementos, ahora llegarán a servidores que ya tendrán la responsabilidad de revisar su contenido. Una segunda capa de revisión donde ya podemos poner elementos de seguridad y análisis ante posibles amenazas. 
  • Cloud. Aquí ya llegarán la información que sea realmente interesante para el negocio, llegarán sólo los elementos más importantes pudiendo: 
    • Ahorrar costes de transmisión y almacenamiento. 
    • Incluir una tercera capa de seguridad y detección a nivel más global pudiendo procesar amenazas que llegan desde diferentes fog’s. 
    • Tendrán la información solamente necesaria. 
    • Existirá un mayor nivel de seguridad ya que la seguridad en el Cloud es algo que ya es mucho más estable y está mucho más avanzada. 
Se puede ver con un simple golpe de vista que para IoT esto es el entorno ideal, por eso esta creciendo de su mano, pero abre las puertas a nuevos modelos de negocio e incluso plantear nuevos modelos de minería para criptomonedas con esquemas distintos al blockchain y la minería tal y como todos la conocemos, como por ejemplo IOTA.

Como podeis ver Edge y Fog no suponen el fin del Cloud sino que nacen para poder suplir las carencias de computación y tráfico de datos que podría suponer conectar esos billones de pequeñas cosas que están llegando, más que enemigos son buenos aliados.

Una imagen dice más que mil palabras.

miércoles, 29 de noviembre de 2017

Google Maps para pirateo ¿y para el cibercrimen?

El pasado Sábado Omicrono lanzó un artículo que me llamó la atención, se titulaba: Google Maps para encontrar direcciones… y música gratis: el ingenio de los piratas.
En el artículo contaban como los piratas estaban colgando links a música a través de Google Maps, es una técnica muy imaginativa aunque no se cuan popular, personalmente no se me habría ocurrido nunca buscar en Google Maps un álbum de música, pero en la imagen se puede ver un buen ejemplo e incluso las visitas que tuvieron, así que no debe ser algo desconocido.

Ejemplo del artículo de Omicrono


A partir de aquí se me ocurrió valorar ¿qué dificultad tiene crear o modificar una ubicación?
Esta duda me surgió porque existen muchas empresas que contienen Google Maps en sus aplicaciones, confiando en el contenido que éste brinda. Aplicaciones corporativas que confían sus puntos de interés en conectar de forma directa con la API de Google Maps.
Por lo que  surge la pregunta ¿Y si meto un supuesto banco o cajero falso? La llegada al formulario y completar el mismo es totalmente accesible y muy sencilla así que decidí hacer la prueba mandando un formulario como este:
Después probé con otras categorías como Cajero automático e incluso tuve la tentación de solicitar cambios sobre los existentes pero, creo que están reclamados por las empresas y podría ser más complicado.


¿Qué pasaría si el ejemplo de arriba fuera aceptado? Pues que en esa dirección se crearía un Cajero con una url que apuntara a malware.
La confianza de los consumidores en las herramientas de Google y, sobretodo, en Google Maps (¿quien no viaja de la mano de Google Maps?) es muy alta, por lo que el alcance de dicha URL podría ser igual de alta.
Si Google acepta incluir esos puntos falsos podríamos lanzar campañas de phishing por sectores físicos, agregando cajeros de todo tipo de sucursales con URLs con contenido infectado (malware o web falsa, por ejemplo).

Sigo esperando saber si Google acepta o rechaza mis inclusiones de sitios ¿Que creeis que pasara? Se aceptan apuestas :)

jueves, 23 de noviembre de 2017

6 meses para la llegada de la LOPD Europea (RGPD) ¿Esta lista su empresa?

25 de Mayo de 2016 fue la fecha en que entró en vigor la RGPD (Reglamento General de Protección de Datos) o, comúnmente conocida, LOPD Europea. Entendiendo el impacto que podría suponer sobre las empresas que han de cumplirla se otorgó 2 años para poder aplicarla y, qué rápido pasa el tiempo, estamos ya en la recta final. Solo 6 meses nos separan de su puesta en vigor a todos los efectos.
Resultado de imagen de RGPD

Hagamos un pequeño repaso de cómo puede afectar esta norma a nivel informático.

¿A quién afecta esta norma?

A toda empresa que trabaje con datos de carácter personal, independientemente del lugar donde se efectúe dicha actividad. Mientras procese datos de carácter personal de población Europea está obligado a cumplirla.

¿Qué entendemos por datos de carácter personal?

Los datos de carácter personal se pueden agrupar:
  • Datos especialmente protegidos: Ideología, afiliación sindical, religión, creencias, origen racial o étnico, salud y vida sexual.
  • Datos identificativos:  Nif/dni, dirección, imagen, voz, Nº Seguridad Social/mutualidad, teléfono, marcas físicas, nombre y apellidos, firma/huella, firma electrónica, tarjeta sanitaria.
  • Datos personales:  Estado civil, datos de familia, fecha de nacimiento, lugar de nacimiento, edad, sexo, nacionalidad, lengua materna, características físicas o antropométricas.
  • Datos relativos a las circunstancias sociales: Características de alojamiento, vivienda, situación familiar, propiedades, posesiones, aficiones y estilos de vida, pertenencia a clubes y asociaciones, licencias, permisos y autorizaciones.
  • Datos Académicos y profesionales
  • Detalles de empleo:  Profesión, puestos de trabajo, datos no económicos de nómina, historial del trabajador.
  • Datos de información comercial:  Actividades y negocios, licencias comerciales, subscripciones a publicaciones o medios de comunicación, creaciones artísticas, literarias, científicas o técnicas.
  • Datos económicos, financieros y de seguros:  Ingresos, rentas, inversiones, bienes patrimoniales, créditos, préstamos, avales, datos bancarios, planes de pensiones, jubilación, datos económicos de nómina, datos deducciones impositivas/impuestos, seguros, hipotecas, subsidios, beneficios, historial de créditos, tarjetas de crédito.
  • Datos relativos a transacciones de bienes y servicios:  Bienes y servicios suministrados por el afectado, bienes y servicios recibidos por el afectado, transacciones financieras, compensaciones/indemnizaciones.
Como podéis ver el ámbito es muy amplio y bajo este paraguas caerían el grueso de las empresas. Es difícil encontrar una empresa que no contenga ninguno de estos datos en forma digital.

¿Que cambia en materia de derechos de los usuarios?

La LOPD ya reconocía varios derechos a los usuarios:
  • Derecho de acceso, 
  • Derecho de rectificación,
  • Derecho de oposición,
  • Derecho de cancelación.
A estos la RPDG agrega cuatro nuevos derechos que hay que adaptarse para cumplir:
  • Derecho a la transparencia de la información,
  • Derecho de supresión (derecho al olvido),
  • Derecho de limitación,
  • Derecho de portabilidad.

La forma de lograr el consentimiento también cambia ahora ha de de ser inequívoco y si es menor de 16 años han de ser sus padres o tutores legales quienes lo otorgan lo cual cambia la forma de notificar la cesión de estos derechos de forma telemática (¿O no?).

¿Que es el DPO?

Es una de las principales novedades que trae la normativa, la figura del DPO ó Delegado de Protección de Datos. Esta figura tendrá como funciones:
  • Informar y asesorar al responsable del tratamiento de datos de las obligaciones que debe efectuar para cumplir con el Reglamento General. Debe dejar constancia en papel de las comunicaciones con el responsable del tratamiento y sus respuestas.
  • Supervisar la aplicación de las normas por el encargado del tratamiento en materia de protección de datos personales. Dentro de este apartado se incluyen: asignación de responsabilidades, formación del personal y auditorías correspondientes.
  • Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
  • Supervisar la respuesta a las solicitudes de la autoridad de control y cooperar con ella por solicitud de las mismas o por iniciativa propia.
  • Ejercer de punto de contacto con la autoridad de control sobre cuestiones relacionadas con el tratamiento de datos personales.
Por lo que ahora existirán dos figuras en las empresas en materia de seguridad y protección de datos:
  • DPO o Delegado de Protección de Datos. Derivado de la RGPD
  • Responsable de Seguridad. Derivado de la RLOPD.

Referencia

Otras diferencias reseñables

  1. Ahora habrá que notificar si tu empresa ha sufrido una brecha de seguridad. Es decir, todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.  El responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados. Esto puede suponer un impacto reputacional alto ya que obliga a las empresas a contar “sus vergüenzas”, por lo que la inversión en ciberseguridad seguro se incrementará los próximos años cuando las empresas que no han trabajado en este plan con tiempo vean las consecuencias.
  2. La empresa tendrá más libertad para la implantación de las nuevas medidas de seguridad decidiendo que modelos, medidas técnicas y de organización aplicarán para tener un alto nivel de seguridad. Pero si indica que hay que trabajar en la privacidad desde el diseño. Es decir, la seguridad ha de estar implementada en todo momento.
  3. Las penas por incumplimento se incrementan hasta 20.000.000 de euros o un 4% de los beneficios anuales. Una cifra que ya hará que más de uno se tome en serio este regalmento.
  4. Existirá una ventanilla unica para reclamación. Por lo que los usuarios podrán hacer sus reclamaciones o denuncias en caso de incumplimiento.
La RGPD no es ninguna broma, el poder cumplirla llevará a unas empresas mucho más esfuerzo a que a otras pero seguro que en cuanto entre en vigor se notará pronto su llegada. Bastará para ver los primeros casos en los medios de empresas que han tenido denuncias o brechas y sus consecuentes multas si existe incumplimento, para que aquellas empresas más rezagadas luego tengan prisa por poder ponerse al día con esta normativa.
Tal y como se ha denunciado en muchas ocasiones faltan profesionales en seguridad para toda la demanda existente y que vendrá, por lo que recomiendo que cuanto antes, ponga su empresa con el proceso de adaptación a esta normativa.
Referencias:

martes, 14 de noviembre de 2017

Defensa común en Europa y ¿defensa propia?

En el anterior post hablé de porqué es importante parar o asegurarnos (lo máximo posible) ante los ciberataques y las consecuencias que pueden derivar de los mismos para la gente, en general.
Hoy nos hemos levantado con los medios haciendo eco del “titular del día” que no es otro que el logro de colaboración y financiación, de un nutrido grupo de países europeos, para poder luchar contra los ciberataques o, como se ha denominado con gran acierto, la ciberguerra.
Federica Mogherini, con los ministros de Defensa y Exteriores de 23 países de la UE, tras la firma del compromiso sobre la colaboración en defensa, este lunes en Bruselas



Me encantan estas propuestas, estas declaraciones de intenciones y esas fotos en familia sonrientes pero, hay que llevarlas a cabo, invirtiendo el dinero correctamente y, sobre todo, concienciando para cambiar la mentalidad de muchos, sobretodo aquellos que trabajan con el dinero e información de todos.

Por ello hoy quiero traeros unos cuantos ejemplos (de este mismo año) sobre cómo se puede empezar a barrer desde casa y trabajar desde hoy mismo para evitar la fuga de información y el impacto que suponen estos ataques. Comencemos con nuestro Top:

Top 4: BiciMad

Esta no es nueva, BiciMad es un servicio que se lanzó en 2014 y tuvo gran impacto mediático, aparte de por sus bondades porque en pocas horas lograron hackear su aplicación móvil a la par (lo que más salió en los medios) de poner en las terminales de la ciudad la foto de un miembro que no pasaba para nadie inadvertido. No habían pasado ninguna auditoria de seguridad y todos sus elementos (tanto estaciones como web) dejaron a la vista vulnerabilidades. Si queréis más detalle de esa historia aquí lo recopilan muy bien.

Ahora nos vamos al año 2017, donde esta aplicación de nuevo salta a los medios gracias a una nueva actualización en su app que acaba siendo vulnerada en solo dos horas, parece ser que incluir SSL de forma correcta es algo que no entra en sus planes.

Top 3: DNI electrónico

Este caso parece que se ha gestionado con más cuidado. El gobierno de Estonia ponía en aviso, el cifrado RSA-2048 había sido vulnerado y con procesamiento de tarjetas gráficas se podría llegar a extraer las claves privadas de los usuarios desembocando en un posible problema de suplantación de identidad.
Automáticamente se pusieron sobre la pista y anularon que se pudiera operar con los DNI emitidos desde 2015 y detectados como vulnerables.
¿Os imagináis que habría pasado si se votara mediante el DNI electrónico? Habría podido suceder que si fueras a votar te encontrarás que alguien ya lo había hecho y, además, a otro partido que no gozara de tu simpatía.
La solución pasa por el cambio de hardware, es decir, hacer de nuevo el DNI a todos esos ciudadanos. Ya veremos en qué acaba esto, tienen nuestro voto de confianza gracias al rápido aviso y cancelación del uso de los documentos identificados como vulnerables.
Referencia 1, Referencia 2

Top 2: Buscador del CNI

A través del buscador de la web del CNI y gracias a una vulnerabilidad de inyección el grupo de hacking Gaben Security dice que extrajo información de valor e incluso llegó a acceder a máquinas del CNI.
Es bien cierto que luego se comentó que el ataque tuvo un impacto muy por debajo de lo que se anunció en un principio ya que la web está aislada de máquinas del CNI, por lo que el contenido al que podían acceder era meramente informativo pero el buscador desapareció de la web y el grupo si expuso un error demasiado básico como para existir en una web perteneciente a un organismo con tareas de inteligencia y seguridad.



Top 1: LexNet

El premio se lo lleva LexNet.
No solo porque pusiera al descubierto los datos judiciales de todas las causas entre sus usuarios, o porque se dejara servidores con configuraciones por defecto abiertos al mundo.
Sino porque es la muestra más clara de la inminente necesidad de cambio en la mentalidad de quienes gestionan estas iniciativas.
Un proyecto opaco, con un entramado de empresas desarrollando lo que es imposible de entender y sin responsabilidades claras.
Muchos millones invertidos en el mismo, más millones aún invertidos en la solución y encima amenazas a los jóvenes que denuncian nuevas vulnerabilidades alrededor de su sistema.
Mal desde la oferta, al desarrollo y peor desenlace.
LexNet ha sido el mayor ciber escándalo patrio y estoy segura de que continuará.
Referencia 1, Referencia 2, Referencia 3, Referencia 4, Referencia 5, Referencia 6, Referencia 7, Referencia 8, Referencia 9 y podría seguir con muchas referencias más.

Por todo ello, está muy bien la iniciativa Europea para luchar contra el crimen en la red de forma global, pero también hemos de poner medidas y mentalidad dentro de casa.

jueves, 2 de noviembre de 2017

Entendiendo el impacto de sufrir un ciberataque para todos los públicos

Hace unos años era impensable ver en un telediario o medio de comunicación una noticia sobre virus, mailware, hacking o escándalos en materia de ciberseguridad, pero con el tiempo hemos pasado de ver alguno cada año a que ésto sea una dinámica que ya no sorprende a nadie.

Campañas electorales discutibles, webs gubernamentales vulneradas, malware tirando redes a nivel mundial, bases de datos de usuarios y clientes publicadas en el lado oscuro de la red,... Ya no sorprende a nadie, pero son pocos los que realmente se preguntan ¿Y esto a mí que me importa?

Quiero abrir una línea de posts donde poder hacer entender a unos y recordar a otros por qué la ciberseguridad es importante, por qué los gobiernos han de tenerla en más consideración y por qué nos queda un largo camino hasta que podamos sentirnos confortables; y es que mucha de la culpa de esos ataques es por la no sensibilización de estas entidades (y sus empleados) en materia de seguridad.

El impacto de un ciberataque se puede diferenciar en dos grupos:
  • Técnicos: Las consecuencias o finalidad del ataque sufrido recae sobre los sistemas en los que la entidad sustenta su información o servicios.
  • Negocio: Las consecuencias del ataque sufrido hacen daño a la entidad a nivel monetario.
Revisemos dichos impactos con mayor grado de detalle, voy a poner ejemplos que pueden ser exagerados pero es una forma de poder hacerlos entender.
Resultado de imagen de hacker


Técnicos

Confidencialidad: Imaginemos una empresa de salud, en sus sistemas alojan toda la información referente a sus revisiones médicas, pruebas, medicamentos recetados... En definitiva, todos los datos referentes a la salud de sus pacientes. Ahora imagine que esa empresa sufre un ataque y todos esos datos le son sustraídos, si la empresa no ha realizado correctamente sus deberes, sus datos médicos pronto estarán en manos no deseadas pudiendo tener consecuencias directa sobre usted tan absurdas como ver anuncios cuando navega de venta de fármacos por vías no legales, como que le empiezan a llegar ofertas de la competencia a su buzón, o incluso se ha dado caso de ofrecimientos de donantes por vías no legales. Su información ya no es solo suya, ya no es usted dueño de su historial clínico y terceros se están enriqueciendo de vender esos datos. https://www.welivesecurity.com/la-es/2015/03/02/robo-de-registros-datos-salud-informacion-medica/


Integridad: Imaginemos que usted tiene un crédito asociado de 50.000 euros en concepto de su vivienda, su banco sufre un ataque que hace que sus datos sufran daños como puede ser que desaparezcan algunos datos y ya no le llegue la nómina de este mes, porque se perdió, o que su hipoteca de repente figure como una deuda de 150.00 euros, porque las bases de datos fueron dañadas. O puede que alguien con ganas de mejorar su sueldo incremente el valor del mismo adulterando esas transferencias. La integridad de los datos con los que trabaja con empresas necesitan estar siempre garantizada. http://www.eldiario.es/canariasahora/sociedad/funcionario-estafar-Ayuntamiento-Santa-Cruz_0_264924701.html
Disponibilidad: Un ejemplo que todos sufrimos cada año de falta de disponibilidad es durante la Nochevieja ¿quién no ha tratado de llamar o mandar un mensaje a sus parientes y se ha encontrado con las líneas caídas? Cuando vamos a sitios con una cantidad enorme de gente usando sus dispositivos móviles y no hay señal es un ejemplo de falta de disponibilidad. Póngase en el caso de que en ese momento suceda una emergencia y no pueda llamar a los servicios de socorro. http://www.20minutos.es/noticia/327766/0/llamar/telefono/nochevieja/  
Responsabilidad: Nos han atacado, mi hipoteca ha sido manipulada, no pude llamar a la ambulancia cuando lo necesité y la semana pasada me llegó una oferta para comprar las pastillas contra el estrés que mi médico no me receta pero un amable ciudadano americano me las vende aun precio de oro ¿Y ahora qué? Ha puesto su denuncia pertinente o pedido explicaciones a su entidad, pero nadie será responsable del mismo porque los atacantes lo han realizado de modo que o han borrado sus pistas o no dejan pistas o la entidad no deja las suficientes tratándolas con el cuidado necesario. Te han causado muchas molestias y problemas pero nadie pagará por ello.


Negocio
Reputacional: La reputación es lo más importante de una entidad, la reputación va ligada con la confianza que tienen sus clientes sobre la misma, y es un daño más difícil de solucionar que el económico. Si su compañía de vuelo sufre un ataque y le deja a usted en un país que no había contratado ¿no se plantearía la próxima vez volar con otra compañía? Pongamos el caso de que alguien consigue hackear un avión durante el vuelo y moder modificar el comportamiento de un motor poniendo en peligro las vidas de todos los que están volando. ¿Se sentiría seguro volviendo a volar?


Económico: Este es el impacto más evidente, incluso los ejemplos que se ha visto en puntos anteriores se puede deducir que, indirectamente, tienen impacto económico sobre la entidad. Pero también hay casos en que lo que los atacantes buscan es el robo de dinero de forma directa. Los casos más sonados en los últimos tiempos de robo de dinero y que mayores cantidades han conseguido de forma impune (sin evidencias) se pueden ver en las criptomonedas como el Bitcoin. Por poner algún ejemplo más variado que los robos en entidades bancarias.


Incumplimiento normativo: Muchas veces estos ataques se producen porque no se cumplen correctamente las normativas sobre seguridad. Existen normativas legales como la LOPD (Ley Organica de Protección de Datos) o normativas bancarias como PCI (El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago ) las cuales ponen las bases que las entidades han que cumplir para el tratamiento de los datos e infraestructuras pero estos ataques dejan muchas veces en evidencias “las vergüenzas”, como se diría coloquialmente, y se puede ver que no se están cumpliendo. Tal vez un órgano que revisara con mayor solidez estas normativas podría ser interesante para el grueso de los usuarios. Como ejemplo el escándalo sufrido recientemente el gobierno y su aplicación que dejaba abierto a consulta de cualquier registrado en su plataforma el perfil de los usuarios y sus causas pasadas/pendientes.

viernes, 20 de octubre de 2017

Criptominería Web. Quien, como y porqué

Hace ya más de un mes que la noticia saltó entre los blogs y foros de seguridad, la más que conocida web de The Pirate Bay hizo una prueba de concepto incluyendo, durante 24 horas, un JavaScript mediante el cual las personas que estaban navegando por su web, sin saberlo, estaban haciendo minería de la cripto moneda Monero.

En concreto estaban usando el portal de CoinHive para poder hacer esta minería, donde solo has de incluir un pequeño código JavaScript para que se haga en diferentes momentos:
  • Al realizar una redirección.
  • Para resolver un Captcha, resulta curioso que eso no soluciona si eres un bot o no, sino que si eres un bot, pues me pagas haciendo minería y a correr.
  • Mientras estés en mi web, vas haciendo minería para mí.

Me llamó la atención el sistema, investigando un poco llegué a este repositorio donde ya se puede ver que  hace 7 años publicaron un JavaScript que hacía esta misma minería pero con BitCoin, o este otro sitio donde hace 3 años ya publicaba un desarrollador su código realizado con Node.JS poniendo a disposición de quien quiera tanto el JS para clientes como un servidor centralizado que gestiona todas las peticiones de forma ordenada.

Nada nuevo bajo el sol, el caldo de cultivo estaba ya hace muchos años, seguramente CoinHive sólo haya re-aprovechado ese código.

Pero no se usaba, o al menos nadie hablaba del tema. The Pirate Bay decía en su escrito que era una POC para ver si salia lo suficientemente rentable como para poder eliminar de su sitio la publicidad intrusiva. No se sabe si porque la POC salió negativa o, por el impacto reputacional que estaba causando sobre su ejército de usuarios, decidieron eliminar el JS del sitio pero ya sentaron precedente.

Por saciar mi curiosidad quise hacer cuentas para ver cuán rentable es este sistema pero gracias a Maxence Cornet me ahorré dar ese disgusto a usuarios despistados, como se puede ver en su post no sale rentable, las mismas visitas navegando durante el mismo tiempo en el sitio web salía perdiendo con la minería respecto a los banners. Era de preveer, ya que Howard Chung y Kent Jiang ya admitían en su paper que el sistema era ineficaz, JS para minería a través de CPU era extremadamente lento en comparación con cualquier sistema en C.

Entonces… ¿porque AdGuard nos sorprendía ayer anunciando que hay 500 millones de usuarios haciendo minería sin saberlo?
Un número brutal de usuarios haciendo minería mediante la cual, habían capitalizado su tiempo navegando en un total de 43.000$, que ya es una cifra respetable y teniendo en cuenta que esta cifra es solo en las 3 semanas desde que The Pirate Bay les dio la idea.

¿Porque? El punto importante aquí está en que estas webs son de contenido “discutible” (según que país es más o menos legal) es decir, son webs de compartición de links, sexo, descargas de películas música,... Webs que tienen problemas para lograr un sistema de anuncios que les puedan reportar ganancias suficiente por lo que para ellas sí es rentable este nuevo sistema.


Por lo que he sacado varias conclusiones de todo esto:
  1. En adelante un bloqueo de JS es casi imprescindible en todo navegador.
  2. Las páginas de contenido ilegal no son tan rentables como pensaba, o soy una ilusa y solo yo creía que esas webs tenían cierta rentabilidad.
  3. Como he podido leer hay lugares donde esta práctica de computación sin el permiso/conocimiento del usuario es ilícita y está considerada un delito ¿tenemos nosotros también normativa legal al respecto? ¿estamos ante una nueva necesidad legal?

No va a ser este ni el primer ni el único caso de computación masiva, sino tiempo al tiempo.

Otras referencias de interés: