TASSI

[Subttulo del documento]

[FECHA]
[NOMBRE DE LA COMPAA]
[Direccin de la compaa]
Primera conferencia. Latch. Proteccin de identidades digitales.

1. Qu nuevos productos o servicios de seguridad se te ocurren podras
proponer en una startup?

Hoy en da vivimos en un mundo tecnolgico, y es imprescindible la utilizacin del
Smartphone para cualquier cosa que queramos realizar. Utilizamos este dispositivo
como medio de almacenamiento, comunicacin, acceso a diferentes sitios digitales, etc.
y esa informacin es privada (el Smartphone es de uso propio, por lo que la informacin
almacenada por ti debera ser privada y para uso propio). Al mismo tiempo utilizamos
gran cantidad de aplicaciones que acceden a dicha informacin.
Por ello una idea que solucionara dicho problema sera crear una aplicacin la cual nos
permita conocer qu aplicaciones acceden a qu tipo de informacin en nuestro
dispositivo. Al mismo tiempo se podr bloquear el acceso de estas aplicaciones a la
informacin indicada, evitando as que obtengan informacin o archivos que queremos
mantener en la intimidad.

2. Qu aspectos de seguridad cubre Latch, qu prestaciones le aadiras y qu
prestaciones quitaras?

Los aspectos de seguridad que cubre Latch son la confidencialidad y la autenticacin en
su mayora. La aplicacin se centra en cubrir a empresas donde la vulneracin de estos
factores que supondran prdidas econmicas.
Prestaciones que aadira:
Un listado de los proveedores de servicios que tienen integrado Latch en sus
servicios.
Potenciar todo lo posible el autobloqueo de cuentas, siendo una de las bases en
las que se han basado para dotar de ms seguridad a las cuentas Latcheadas. De
este modo, antes de quitar esta opcin me planteara que por defecto las
aplicaciones solo se "activarn" durante 10 o 15 minutos, que me parece un
tiempo bastante aceptable para realizar la operacin que deseemos. Por supuesto
permitira cambiarlo y programarlo de diversas formas (horarios, aumentar o
disminuir el tiempo...).
Prestaciones que quitara:
No eliminara ninguna funcionalidad, al estar ahora mismo la aplicacin
distribuida nicamente con su funcionalidad bsica.
3. Comenta caractersticas y alcances de una de las amenazas que aparecen en
la presentacin del ponente: Online Guessing, Session hijack, ... Malicious
code. Una vez abierto el foro se puede comentar cualquiera de ellas y
aportar nuevos datos.

En este caso me gustara explicar uno de los ataques que apareca en la presentacin
realizada por el ponente: el ataque de replay.
Este ataque se basa en el reenvo o la reproduccin de mensajes. Consiste en que el
atacante captura la informacin que viaja por una red (entre el emisor y el receptor), y la
enva al destinatario original sin que se haga notar su presencia. En este ataque, a
diferencia de otros ataques como el ataque man in the middle, se recoge el mensaje
para utilizarlo como ms convenga con posterioridad. Para ser ms concretos se realiza
una autenticacin de forma fraudulenta.
El ataque explota, utilizando un mtodo sencillo, los paquetes que ha capturado para
reenviarlos y producir resultados inesperados. El propsito de este ataque es que la
fuente no detecte la duplicacin de comunicaciones y acepte los paquetes repetidos,
entonces podremos decir que el ataque ha tenido xito. Incluso con algunas medidas de
seguridad, como una encriptacin o firma digital, el ataque podra tener xito. La
reproduccin puede realizarse tanto en la misma sesin de cliente legtima como en un
momento posterior, y ambas formas son correctas.

El phishing es una tcnica de captacin ilcita de datos personales (principalmente
relacionados con claves para el acceso a servicios bancarios y financieros) a travs de
correos electrnicos o pginas web que imitan/copian la imagen o apariencia de una
entidad bancaria/financiera (o cualquier otro tipo de empresa de reconocido prestigio).
En trminos ms coloquiales, podemos entender el phishing como pescando datos o
pesca de datos, al asimilar la fontica de la palabra phishing con el gerundio
fishing ( pescando).

La tcnica del phishing utiliza el correo electrnico para ponerse en contacto con los
usuarios, utilizando mensajes que imitan, casi a la perfeccin, el formato, lenguaje y la
imagen de las entidades bancarias/financieras, y que siempre incluyen una peticin final
en la solicita a los usuarios la confirmacin de determinados datos personales
alegando distintos motivos: problemas tcnicos, cambio de poltica de seguridad,
posible fraude, etc...
Estos mensajes de correo electrnico siempre incluyen enlaces que conducen
aparentemente a las pginas web oficiales de las citadas entidades pero que, en
realidad, remiten a pginas web piratas que imitan o copian casi a la perfeccin la
pgina web de la entidad financiera, siendo su finalidad principal captar datos de los
usuarios.
Dada la confianza que los usuarios tienen depositada en las entidades de las que son
clientes, y por desconocimiento o simplemente ante la incertidumbre y temor creados,
acceden a dichas pginas web piratas, donde el defraudador o delincuente informtico,
obtiene los datos personales o claves de acceso personales.
Es a partir de este momento donde empieza el fraude:
1. Utilizacin del nmero de tarjeta y fecha de caducidad para compras por Internet
(comercio electrnico).
2. Realizacin de transferencias bancarias no consentidas ni autorizadas.
3. Retirada de efectivo en cajeros con duplicados de las tarjetas.
4. Etc.


4. Analiza de manera crtica el sitio web de Latch y aporta sugerencias en
cuanto a usabilidad y contenidos.

Personalmente, encuentro que la pgina web de Latch es muy atractiva para el usuario.
La eleccin de los colores es muy adecuada ya que combinan adecuadamente y, en un
fondo blanco, destacan sin problema, resaltando de esta forma el contenido en el que
quieren centrar el inters del usuario.
Cabe destacar, adems, que se utilizan los mismos colores tanto en el sitio web, como
en la app, por lo que podra hablarse de un color corporativo de la propia marca Latch.
Creo que los contenidos que se tratan en la web son adecuados pero, personalmente, en
la pgina de inicio que aparece nada ms introducir la direccin que nos ha
proporcionado nuestro compaero Marcos Eduardo Panizo Lopez en el primer post, yo
pondra al principio del todo la informacin que se encuentra un poco ms abajo de
cmo obtener la cuenta de Latch. Es decir, explicara, qu es Latch y qu beneficios
ofrece a sus usuarios justo al empezar, para que resaltara y como estrategia para que al
usuario "le entre por los ojos el producto/servicio ofrecido".
Y una vez explicados esos beneficios que ofrece, pondra los "Tres sencillos pasos para
aadir un nivel adicional de seguridad", que aparecen en la "cabecera del cuerpo" -por
as decirlo-, porque ese espacio llama mucho ms la atencin del usuario.
Sobre el resto de la pgina, slo modificara una cosilla ms. Y es que en la versin
minimizada de la web, en vez de aparecerte en la cabecera la lista de opciones
extendida, como en la versin maximizada, aparece un botn con forma de cuadrado y
tres barras horizontales, que sirve para realizar la extensin de la lista pero que, en mi
opinin, para un usuario inexperto, no sera muy intuitivo. Y por lo tanto no tendra una
funcionalidad acorde a los principios de la usabilidad.

Segunda conferencia. Posibilidades del voto telemtico en la
democracia digital.

1. Crees que tiene futuro el concepto de democracia digital? En caso
afirmativo, qu cosas crees que debera contemplar? En caso negativo,
por qu razones?

Personalmente, creo que la democracia digital es un concepto que pasar a formar parte
de una realidad prxima.
Pero, para ello, deber de ir implantndose gradualmente. A medida que se demuestre a
los votantes la veracidad del sistema, se ir incrementando el nmero de usuarios.
Cmo ser esto posible? Pues como bien han comentado mis compaeros; uno de los
objetivos primordiales -por no decir el objetivo principal- es garantizar la
confidencialidad del voto.
Una vez garantizada la confidencialidad del voto, as como la seguridad del sistema
utilizado, los usuarios estarn satisfechos con el mismo. Luego, cuanto mayor sea el
nmero de usuarios satisfechos, ms se divulgarn los beneficios del sistema y ms
gente pasar a hacer uso del mismo. De esta forma, pasar a implantarse gradualmente
este sistema de voto hasta que la gente lo encuentre igual de vlido que el existente
actualmente.
Aunque tambin habra que tener en cuenta un sector de la poblacin que no tiene
ningn tipo de familiarizacin electrnica y, por lo tanto, no podra acceder con
facilidad al sistema que se facilitara.
Por lo que debera realizarse algn tipo de campaa de concienciacin, que fuera
acompaado de unas nociones bsicas del uso de la informtica a nivel usuario, para
que cada una de esas personas fuera capaz de realizar el voto electrnico con plena
autonoma.


2. Qu papel juega la criptografa en los esquemas de voto electrnico o e-
voting? Explica algn proceso o algoritmo donde intervenga.

La seguridad en el voto electrnico depende de tres factores:
Seguridad tecnolgica.
Seguridad fsica.
Consideracin del elemento humano.
La criptografa es el ncleo central de seguridad sobre el que deben pivotar todas las
medidas de seguridad de ndole tecnolgica en un sistema de voto electrnico.
Dependiendo como se utiliza la criptografa, el esquema del voto electrnico se puede
clasificar en 4 grupos, muchos de ellos parten de la primera propuesta para la seguridad,
el de correo electrnico, de David Lee Chaum.
Se pueden encontrar algoritmos muy complejos, aunque tambin se proponen esquemas
sencillos basados en agentes offline. Comentar un poco en que se basa cada uno de
estos grupos:
Esquemas basados en firma ciega: Nos permite obtener el mensaje firmado por otra
entidad, sin conocer el contenido del mensaje, aunque son complejos, mantiene el
anonimato
Esquemas basados en mix-nets: Se compone de uno o ms servidores, cada servidor
recibe el mensaje, los permuta de forma aleatoria y lo enva al siguiente servidor, de
esta manera el orden de recuento no coincide con el orden en que fueron emitidos.
Esquemas basados en cifrado homomrfico: Este cifrado permite realizar
operaciones sobre el voto cifrado sin necesidad de descifrarlo, as desvincula el voto del
votante. Con este cifrado el recuento de los votos se puede realizar de manera simple,
incluso antes de que todos los votos sean emitidos.
Esquemas de papeletas precifradas: Requiere de un software, el cual permite
escoger y cifrar el voto antes de enviarlo al servidor, la debilidad de este esquema es la
posible modificacin del software, con el fin de manipularlo.


El voto electrnico presenta importantes retos en tres reas principales: tecnolgica,
social y legislativa. A su vez, el principal reto tecnolgico del voto electrnico es la
seguridad. Es en este campo en donde la criptografa juega un papel central. A lo largo
de las ltimas dos dcadas se han desarrollado protocolos criptogrficos aplicables al
voto electrnico.
Existen aplicaciones en las que se desea obtener una firma digital sin que el firmante
tenga conocimiento del contenido del mensaje a firmar. Esto se puede lograr por medio
de una firma ciega [Ch82], en la que se aplica una funcin matemtica sobre el mensaje
a firmar con el fin de modificarlo. El factor utilizado en la funcin matemtica es
comnmente llamado factor de cegado y es un valor generado de manera aleatoria.

La firma ciega debe cumplir con algunas caractersticas, entre ellas:
La firma resultante puede ser pblicamente verificada, tal como las firmas
digitales regulares.
El firmante no puede deducir el contenido del mensaje firmado tomando como
base el momento en que se llev a cabo la firma.
Un esquema de firma ciega puede llevarse a cabo por medio de esquemas comunes de
firma digital con criptografa pblica, por ejemplo con RSA. En este caso, un esquema
de firma ciega [Ch85] funcionara de la siguiente manera:
1. El autor del mensaje M calcula de manera aleatoria el factor de cegado k.
2. El autor ciega el mensaje M:
M = Mk
e
mod n
3. El firmante recibe M y lo firma:
M
d
= (Mk
e
)
d
mod n
4. El autor desvela M
d
calculando: F = M
d
/ k mod n obteniendo como resultado:
F = M
d
mod n es decir, el mensaje M firmado digitalmente.

http://www.tdx.cat/bitstream/handle/10803/7043/01VMmr01de01.pdf?sequence=1

3. Conociendo que es discutible que este tipo de votacin sea una necesidad,
usaras una plataforma de voto telemtico? Por qu s y por qu no?

Mi respuesta ante esta pregunta sera un s rotundo.
Creo que, si de verdad existiera una plataforma de voto telemtico que permitiera al
ciudadano votar de forma segura, garantizando su derecho de confidencialidad, el
nmero de participacin respecto a la cantidad de votos en una eleccin se
incrementara de forma considerable.
Es triste, pero cierto, que en Espaa existe muy poca participacin ciudadana. Cunta
culpa de este nfimo nivel de participacin respecto a otros pases es por culpa de los
representantes que aspiran a los respectivos cargos, es un tema que no nos concierne
aqu pero que, sin duda, influye de manera significativa en el hecho de que el votante
salga a la calle y d su opinin ejerciendo su derecho al voto.
Pero si, adems de que un votante no se sienta identificado con ningn partido o
representante, ste tiene que hacer el "esfuerzo" de desplazarse a algn colegio electoral
y esperar fila para realizar su voto, muchos de estos votantes deciden quedarse en su
casa o dedicar su tiempo a otra serie de actividades antes que decidir desplazarse,
tomarse un tiempo y votar.
Es precisamente por ese hecho, por lo que opino que una plataforma de voto telemtico
ofrecera muchsimas facilidades a los ciudadanos; debido a que el voto se realizara de
manera rpida, evitando filas y desplazamientos; ya que podran realizar la accin desde
cualquier lugar en el que dispusieran de una conexin segura para acceder a la
plataforma.
Adems, al estar sistematizado, tambin sera ms fcil a la hora de realizar el sondeo,
as como el recuento final.
4. Cmo crees que tomara el conjunto de la ciudadana estos esquemas de
voto telemtico, aceptacin o rechazo? Justifica tu respuesta.

Creo que la aceptacin o el rechazo dependen tambin del momento en el que decidiera
implantarse este sistema de voto.
Actualmente creo que, sin duda, la actitud general sera de rechazo porque al ser algo
completamente nuevo, estoy segura de que muy poca atrevera a dar el paso de utilizar
este sistema aunque aseguraran una seguridad y una confiabilidad del 100%.
Aunque, si alguien tuviera que dar el paso, creo que no sera la gente que superara el
rango de los 50 aos de edad, porque se trata de gente que, por lo general, no est muy
familiarizada con la informtica y por lo tanto, tenderan a afrontar esta posibilidad con
desconfianza.
Pero est claro que, si nadie diera el paso de empezar a usarlo, nunca se podra
demostrar la eficiencia del sistema y su seguridad y confiabilidad "inmutables".

Tercera conferencia. Bitcoin: moneda y mercados.

1. Busca informacin en la red y comenta ante qu situaciones legales se ha
enfrentado bitcoin desde sus inicios y vaticina qu podra esperarse en un
futuro cercano.

Me gustara comentar la situacin legal del bitcoin en Rusia. En este caso, este mismo
ao se ha prohibido la utilizacin del bitcoin, considerndola como ilegal. Las
autoridades rusas aseguran que la moneda virtual podra ser utilizada para el blanqueo
de capitales o financiacin del terrorismo. Por esta misma razn se ha establecido el
rublo como nica moneda de curso legal y cualquier otra unidad monetaria o sustituta se
considerar ilegal. El banco central de Rusia aadi que el comercio de bitcoin fue muy
especulativo el pasado 27 de enero y que la unidad contempla un gran riesgo de perder
valor.
Y es que Rusia no es el nico pas que ha considerado ilegal al bitcoin, ya que Tailandia
lo prohibi el pasado julio debido a la falta de leyes aplicables. Y tambin en China se
ha advertido de su uso, por lo que sern los usuarios los que decidan si desean negociar
con ella o no, siendo su propio riesgo.
En cuanto al futuro: El xito de bitcoin se basa en que est disponible en cualquier
esquina del planeta. Solo tienes que descargarte el software. No hay barreras. La otra
razn de su rpido crecimiento es porque cuando tienes el software en tu telfono o
porttil puedes ser vendedor y comprador al mismo tiempo. Las operadoras, los
Gobiernos, los bancos estn compitiendo por un trozo del pastel de los pagos mviles,
pero la realidad es que bitcoin ya lo hace.

2. Explica cmo funciona el pago a travs de los bitcoins y aporta nuevos
antecedentes sobre el tema de la cadena de bloques

Una transaccin es una transferencia de valores entre monederos bitcoin que ser
incluida en la cadena de bloques. Los monederos bitcoin disponen de un fragmento
secreto llamado clave privada, utilizada para firmar las operaciones, proporcionando
una prueba matemtica de que la transaccin est hecha por el propietario del
monedero. La firma tambin evita que la transaccin no sea alterada por alguien una vez
sta ha sido emitida. Todas las transacciones son difundidas entre los usuarios y por lo
general empiezan a ser confirmadas por la red en los 10 minutos siguientes a travs de
un proceso llamado minera.
La cadena de bloques o "block chain" es una contabilidad pblica compartida en la que
se basa toda la red bitcoin. Todas las transacciones confirmadas se incluyen en la
cadena de bloques. De esta manera los monederos bitcoin pueden calcular su saldo
gastable y las nuevas transacciones pueden ser verificadas, asegurando que el cobro se
est haciendo al que realiza el pago. La integridad y el orden cronolgico de la cadena
de bloques se hacen cumplir con criptografa.
En la pgina: "http://blockchain.info/es" se pueden ver las transacciones que se realizan
en tiempo real de bitcoins. En menos de un minuto de entre la gran cantidad de
transacciones que se realizaban, he encontrado una transaccin de 84 BTC, que equivale
a $43.659,47.

Por lo que he podido entender, la cadena de bloques es, al fin y al cabo, la base de toda
la red Bitcoin; ya que se trata de un log compartido pblicamente de todas las
transacciones.
Todas las transacciones que son confirmadas, sin ninguna excepcin, pasan a incluirse
en la cadena de bloques. De esta manera, se logra la verificacin de todas las nuevas
transacciones.
Adems, cabe destacar que "la integridad y el orden cronolgico de la cadena de
bloques se encuentra relacionada con criptografa."
El pago, en Bitcoin, se realiza mediante transacciones. Pero para poder realizar
transacciones, cada usuario debe de contar con su propia cartera. Una vez escogida e
instalada su cartera, se generar automticamente la primera direccin Bitcoin.
Gracias a esta direccin, se podrn realizar pagos bidireccionales; en ambos sentidos.
Una transaccin es una transferencia de valores entre Una transaccin es una
transferencia de valores entre direcciones Bitcoin, las cuales son incluidas en la cadena
de bloques. Las carteras Bitcoin mantienen una pequea cantidad de informacin
secreta llamada Private Key para cada direccin Bitcoin. Las claves privadas (Private
Key), utilizadas para firmar transacciones, proveen una prueba matemtica de que han
sido utilizadas por el dueo de la direccin.
La firma tambin previene la alteracin de las transacciones una vez ha sido utilizada.
Cada transaccin realizada se transmite entre usuarios y son confirmadas por la red
poco tiempo despus, a travs de un proceso llamado mining.
El mining es un proceso mediante el cual se utilizan hardwares para resolver problemas
criptogrficos y confirmar las transacciones en espera e incluirlas en la cadena de
bloques. Una vez realizado ese trabajo, se generan bitcoins.
El mining impone un orden cronolgico en la cadena de bloques, protege la neutralidad
de la red y permite que muchas computadoras estn de acuerdo en el estado del sistema.
Para ser confirmadas, las transacciones son empaquetadas en un bloque que tiene unas
normas de cifrado muy estrictas que sern verificadas por la red. stas reglas previenen
que los bloques previos sean modificados ya que, al hacerlo, se invalidaran los bloques
siguientes.
El mining tambin crea el equivalente a una lotera competitiva que previene que sean
agregados nuevos bloques consecutivamente en la cadena de bloques. De esta manera,
ningn individuo puede controlar lo que es incluido en la cadena de bloques o
reemplazar partes de la cadena de bloques para revertir sus propios gastos.
Fuente:
http://www.bitcoinnoticias.com/que-es-bitcoin

3. Explica cmo funcionan los exchanges en bitcoin y comenta aspectos de
inters sobre ellos.

Un exchange (o sitio de trading) es un servicio que les permite a los usuarios comprar y
vender bitcoins entre ellos de manera eficiente. De forma que se intercambia dinero fiat,
o dinero de curso legal en el pas, por bitcoins.
La forma en la que trabajan estos mercados es la siguiente: Lo primero es aadir
fondos a la cuenta, para ello hay que efectuar una transferencia bancaria al exchange
correspondiente. Una vez realizado esto, ya se podr emitir una orden de compra (el
mximo precio por bitcoin que desea pagar un comprador). Por lo tanto podrs decir
que quieres comprar un cierto nmero de bitcoins por un determinado nmero de
dinero, y si el orden de compra es mayor o igual al orden de venta, se realiza el
intercambio. Una vez que se tengan los bitcoins, se puede utilizar en el mercado para
comerciar con ellos, o simplemente pasarlos a euros por transferencia bancaria.
Algunos de los ms populares son: Mt.Gox, Bitstamp, Kraken. El 41% de los
exchanges han fracasado. De hecho, el tiempo medio de vida es de 381 das. A lo que el
30% de los echanges cierran durante el primer ao.

4. Analiza la dificultad de generar bitcoins y por qu su nmero est limitado a
un valor.

Minar Bitcoins supone la utilizacin de una gran cantidad de energa, debido a que se
debe hacer uso de la potencia del PC para calcular un hash muy complicado. Por eso es
prcticamente imposible realizar esta operacin sin un equipo potente y una gran
cantidad de recursos (econmicos en su mayora), ya que se debera usar un servidor
que junte a miles o cientos de miles de usuarios para poder encontrar bloques de forma
ms rpida.
A raz de esto, aparece un negocio basado en la minera de Bitcoins llamado las granjas
de minado; que son grades espacios donde una empresa crea una serie de pequeos PCs
con una tarjeta grfica modificada que se usa exclusivamente para minar Bitcoins.
La localizacin de las granjas es desconocida para evitar ser vctima de robos o
sabotajes Y, adems, hay que tener en cuenta la gran cantidad de energa que tal
operacin requiere, tener estas mquina generando complicados clculos matemticos
provoca que exista un gran calor y consumo, aadido a un gran sistema de ventilacin
para mantener todas las maquinas modificadas funcionando el mximo tiempo posible.


Cuarta conferencia. Proteccin de comunicaciones en
dispositivos mviles.

1. Qu aspectos a favor y qu aspectos en contra aprecias en las tecnologas
NFC, Bluetooth y Wi-Fi?

NFC:
a. Pros:
La ms obvia de todas es la comodidad, diremos adis a todas las
tarjetas y el mvil se convertir en nuestro monedero.
Es sencillo de utilizar, se hace a travs de un simple toque.
Ahorro de tiempo, tanto en pagos en tiendas o bares y restaurantes
como el medios de transporte, resulta mucho ms cmodo subir al
autobs y acercar el mvil al dispositivo que tener que adquirir el
billete fsico.
b. Contras:
Uno de los aspectos que ms desconfianza despierta es la seguridad,
aunque lo cierto es que es tan seguro como una tarjeta de crdito, las
transacciones se aseguran con los mismos mtodos que las tarjetas; el
chip NFC no tiene acceso a los datos del mvil con lo que no se
puede acceder a l a travs de programas maliciosos; y en el caso de
robo del mvil el ladrn necesitara la contrasea para acceder al
dinero y el chip NFC se puede bloquear del mismo modo que se
hace con las tarjetas de crdito.
Bluetooth:
a. Pros:
Usar impresoras comunes con la capacidad BT integrada e imprimir
fotografas y documentos directamente desde nuestros mviles o
PDAs.
Transferir desde el ordenador, desde otro mvil o desde un PDA
imgenes, sonidos (ringtones) y tarjetas digitales de contacto.
Crear redes inalmbricas entre ordenadores, pero con la salvedad que
es un sistema muy lento (1 MB/seg.).
b. Contras:
Velocidad de transmisin muy lenta para transferencia de archivos
pesados (1 MB/seg.), sin embargo ya estn encaminados los
esfuerzos para tratar de aumentar su velocidad a 100 MB/seg.
Cuando es usado inadecuadamente, podemos recibir mensajes y
archivos indeseados (bluejacking).


Wi-Fi:
a. Pros:
Conexin en tiempo real: la conexin permite recibir toda la
informacin disponible en Internet (ya sea por algn correo, la
informacin de una pgina web, etc.) que en cuestin de segundos
puede recibirla en su dispositivo porttil que est utilizando.
Flexibilidad de la conexin: permite moverse de un lado para otro sin
perder informacin. El radio de la seal es un punto crucial de esta
caracterstica.
b. Contras:
Seguridad: es posible que las conexiones sin seguridad (aquellas que
pueden ofrecer una cafetera o algn centro comercial), son muy
peligrosas, ya que son lneas totalmente abiertas y la seguridad es
muy vulnerable. La informacin de la persona conectada a la red Wi-
Fi podra verse expuesta.

2. Qu tipos de ataques se conocen en redes Wi-Fi, Bluetooth y NFC? Describe
solamente un ataque.

Ataques Wi-Fi: DoS, man in the middle, ARP Poisoning/Spoofing, Wi-Fi
Jamming, Fake Access Point, etc.
Ataques Bluetooth: BlueBug, BlueSmack, BlueSnarf, HelloMoto, BlueBump, Blue
MAC Spoofing, etc.
Ataques NFC: man in the middle, corrupcin de datos, sniffing o eavesdropping,
etc.
Me gustara comentar un ataque que se realiza sobre Bluetooth. Este ataque se
denomina Blue MAC Spoofing. Consiste en suplantar la identidad de un dispositivo
emparejado y utilizar sus credenciales de confianza para acceder a un telfono sin que el
usuario se percate. Este ataque se produce con mucha frecuencia, ya que cuando
cualquier usuario ha tenido la necesidad de emparejar su telfono con dispositivos con
el fin de transferir archivos va Bluetooth, conectan el Bluetooth de su mvil y la
mayora de las veces estos enlaces se mantienen activos aun cuando estos se encuentran
en desuso o la conexin haya sido espordica. De tal manera que al mantener estos
enlaces activos y los mecanismos de seguridad empleados por Bluetooth se realizan a
travs de dispositivos, y no de usuario, es una accin trivial suplantar la identidad de un
dispositivo.

3. Qu recomendaciones de seguridad daras a usuarios de tecnologa Wi-Fi?
Nombra y describe solamente una recomendacin.

Una recomendacin es cambiar la configuracin por defecto del router. El router tiene
su propia contrasea, separada de la contrasea que utilizan para proteger su red. Los
routers vienen sin una contrasea, y si la tienen, es una contrasea simple que viene por
defecto y que muchos criminales en lnea ya conocen. Si no cambian la contrasea del
router, los delincuentes en cualquier parte del mundo tienen una manera fcil de lanzar
un ataque contra la red, los datos compartidos en la misma y los equipos conectados a la
red. En muchos routers pueden cambiar la contrasea desde la pgina de configuracin
del router.

4. Qu recomendaciones de seguridad daras a usuarios de tecnologa
Bluetooth? Nombra y describe solamente una recomendacin.

Una de las recomendaciones ms importantes que considero, aparte de tener el
bluetooth apagado, es la de tener el dispositivo no visible para los dems, de esta
manera aunque el bluetooth est encendido ningn dispositivo podr encontrar seal del
dispositivo mvil.



















Quinta conferencia. Ethical hacking: afrontando una auditora
interna.

1. Qu es el controlador de dominio y qu papel juega en una auditora interna
de seguridad?

El controlador de dominio es el centro neurlgico de un dominio Windows. Se encarga
de almacenar, mantener y gestionar la base de datos de los usuarios y de los recursos de
red de forma centralizada, como toda esta informacin es confidencial, cada vez que un
usuario intente conectarse a la red, el servidor preguntar al controlador de dominio si el
usuario est autenticado, si se permite el acceso, slo se mostrarn los recursos
compartidos.
Que la informacin este centralizada es muy significativo en la auditora interna, ya que
facilita su proteccin, protegiendo a un solo ordenador y no a muchos, las copias de
seguridad sern ms rpidas, etc. Todo lo contrario a una informacin descentralizada.

2. Qu son y para qu sirven los programas Kali y Metasploit?

Metaesploit es un gran proyecto opensource que tiene como objetivo mostrar las
vulnerabilidades existentes y ayudar a usarlas con el fin de entrar en un sistema ajeno
siempre bajo un marco de legalidad (white hat). Actualmente se encuentra integrado con
Kali Linux, por lo que es necesario ste ltimo para su ejecucin.
El subproyecto ms conocido es el Metaesploit framework, una herramienta para
desarrollar y ejecutar exploits sobre una mquina remota. Como ya vimos en la
presentacin esta herramienta puede ser muy til dentro de la legalidad para
proporcionar una visin crtica de los sistemas de seguridad que estn funcionando y sus
vulnerabilidades.
Gracias a esta informacin la empresa que contrata la auditoria puede saber realmente
cmo de seguros son sus servicios o su estructura interna.
Kali Linux es una distribucin basada en Debian GNU/Linux diseada principalmente
para pruebas de penetracin y auditoras de seguridad. Por tanto identifican, enumeran y
posteriormente describen las diversas vulnerabilidades que pudieran presentarse en una
revisin exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.
Se detectan los puntos dbiles que puedan ser capitalizados para violar cualquiera de las
tres condiciones necesarias de la informacin: confidencialidad, integridad y
disponibilidad.
Kali es una completa re-construccin de BackTrack Linux desde la base hacia arriba, y
se adhiere completamente a los estndares de desarrollo de Debian. Se distribuye en
imgenes ISO compiladas para diferentes arquitecturas (32/64 bits y ARM).

3. Qu puedes decir de los hashes en una auditora interna de seguridad?

Lo primero definir que una funcin hash o funcin resumen, siendo la obtencin de un
resumen, a travs de un algoritmo, sobre la entrada recibida.
Me centrar en la utilizacin de los hashes. En las auditoras internas se utiliza la tcnica
pass the hash, consiste en que el atacante (en este caso la persona que hace la auditora)
puede autenticarse en un servidor o servicio usando el hash de la contrasea del usuario
sin necesidad de tener el texto en plano. Obtendr a cambio el nombre de usuario y los
ashes de la contrasea. De esta forma el atacante podr entrar en un servidor o servicio
utilizando sta informacin y sin necesidad utilizar la fuerza bruta para autenticarse.
Gracias al pass the hash, en auditora interna, se puede pasar por todas las mquinas de
la empresa, solamente con los hashes de las mismas.

PASS THE HASH:
Como todos sabis o no... los ataques pass the hash se basan en la utilizacin de
credenciales "ajenas" en servicios que requiere autenticacin mediante el hash de la
contrasea. Esto qu quiere decir? En determinados escenarios es posible obtener el
hash de un usuario, que no deja de ser una representacin matemtica, y anteriormente
conocida como "nica" (no hay dos elementos distintos con el mismo hash, algo que ha
quedado sobradamente comprobado en varios algoritmos, lase MD5, SHA1 etc.) pero
por su complejidad puede que sea inviable "descifrar" la clave en claro. En un
formulario de login, como pueda ser el inicio de un sistema operativo, no podemos
copiar el hash en el apartado de la clave. Sin embargo, hay servicios de red, como el
utilizado para compartir carpetas en sistemas Win, que si aceptan la "clave" con el
formato hash.
Otras soluciones intermedias, como el caso de los sistemas Single Sing On ( Un
programa que enlaza nuestra clave de facebook, de twitter, de windows, del correo,etc
bajo un solo elemento de autenticacin, como puede ser una clave, un elemento
biomtrico, etc) son susceptibles de ser empleadas maliciosamente con el hash de un
usuario. La utilizacin de herramientas de terceros, como PSEXEC.exe integradas en el
framework Metasploit tambin facilitan el trabajo xD.





Es importante mitigar el dao que podra hacer en nuestras organizaciones el uso
incorrecto por parte de un atacante de los preciados HASHES del sistema.
Como sabis, las principales vas de obtencin de Hashes de cuentas en sistemas win
son la obtencin de credenciales en "cache" por los procesos del sistema (Local Security
Authority Subsystem LSAS), el famoso fichero SAM y NTDS.DIT. La diferencia de
estos dos ficheros es que en el caso de SAM se almacenan las claves en Hash de los
usuarios locales, mientras que en NTDS se almacenan
las credenciales de los usuarios del Directorio Activo.

Una medida de proteccin lgica es implementar una poltica de contraseas para
usuarios locales. Es decir, que si tenemos nuestra empresa montada con una
infraestrucutra de Active Directory, debemos fortificar el acceso local, a la LSD (Local
Security Database). En un principio con esta medida implantamos una capa de
proteccin, pero debemos crear un proceso en el que la clave no sea la misma para todos
los equipos locales. Crear un algoritmo-casero para la clave, usando por ejemplo el
nombre del equipo sera una buena idea. De esta manera aislamos el impacto de un
ataque de pass the hash, o simplemente de fuerza bruta en un pc, y no sobre la "granja"
de cacharros.

PASS THE HASH2:
De los ataques avanzados persistentes (Advanced Persistent Threats) que se han
analizado de Microsoft, un patron utilizado para entrar en el sistema (ataques basados
en ingeniera social como spear phishing y/o drive-by downloading) e ir logrando ms
privilegios explotando vulnerabilidades del SO, sigen con el uso del ataque tipo Pass-
the-Hash (PtH) para robo de credenciales.
Estas permitiran comprometer componentes del sistema y finalmente el controlador de
dominio, para poder tener un control total sobre el sistema de informacin.
El ataque Pass-the-Hash permite al atacante capturar las credenciales de inicio de sesin
de un equipo, que luego utilizar para autenticarse en otros equipos de la red. Sera
parecido a un robo de contraseas pero basndose en el robo y reutilizacin de los
valores hash de la contrasea en vez de usar el texto plano de la contrasea. Este Hash
se puede usar tambin para acceder a servicios en caso de utilizar Single-Sign-On (SSO)
como por ejemplo cuando se utiliza Kerberos.

4. Justifica tu posicin personal frente a la asociacin de las palabras hacking
con delincuencia.

Creo que, actualmente, un amplio porcentaje de las personas a las que se preguntara
cules son las actividades de un hacker hablara de actividades ilegales o delictivas.
Bajo mi punto de vista, los trminos hacker, o hacking, estn encasillados en un
contexto errneo.
Podra definirse a un hacker como una persona que tiene el talento, conocimiento,
habilidad e inteligencia suficientes para realizar operaciones relacionadas con las
operaciones computacionales, redes, seguridad.. etc. Es, por as decirlo, una persona que
disfruta aprendiendo en detalle los sistemas y sus capacidades; hecho que les permite el
acceso a sistemas protegidos.
La diferencia aparece en los motivos o los objetivos, por as llamarlo, de que el hacker
acceda a algn sistema protegido.
Existen hackers que realizan dichas actividades nicamente como beneficio personal, es
decir, porque se lo han planteado como reto personal o, simplemente, porque tienen
curiosidad y esa actividad les supone un desafo intelectual gratificante y estimulante;
otros lo hacen para investigar fallos de seguridad e intentar subsanar dichos errores; y,
finalmente existiran los llamados crackers, que son aquellos que se adentran en el
terreno de la ilegalidad

Sexta conferencia. La amenaza del cibercrimen.

1. Qu es el convenio sobre cibercriminalidad del Consejo de Europa? Comenta
algn aspecto que te resulte de inters, solamente uno por alumno.

El Convenio es el primer tratado internacional sobre delitos cometidos a travs de
Internet y otras redes informticas, que trata en particular de las infracciones de
derechos de autor, fraude informtico, la pornografa infantil, los delitos de odio y
violaciones de seguridad de red. Tambin contiene una serie de competencias y
procedimientos, tales como la bsqueda de las redes informticas y la interceptacin
legal. Se aprobo en noviembre de 2001 y entro en vigor en julio de 2004.
Su principal objetivo, que figura en el prembulo, es aplicar una poltica penal comn
encaminada a la proteccin de la sociedad contra el cibercrimen, especialmente
mediante la adopcin de una legislacin adecuada y el fomento de la cooperacin
internacional.
En el convenio de cibercriminalidad, me centrar en las infracciones informticas, es
decir, la falsificacin y estafa informtica.
Por un lado en la falsificacin vemos que se tomarn medidas para prevenir la
alteracin, introduccin o borrado de datos informticos sin autorizacin; generando
datos no autnticos con la intencin de que estos sean utilizados como si fuesen legales
cometiendo as una infraccin. Por lo tanto, ambas partes podrn pedir responsabilidad
penal.
Por otro lado, la estafa informtica se registra como infraccin penal la introduccin,
alteracin, borrado o supresin de datos informticos, as como cualquier atentado
contra el funcionamiento de cualquier sistema informtico con una finalidad fraudulenta
o delictiva.

2. Qu es una botnet y qu papel juega en el cibercrimen? Comenta algn caso
de botnet conocido, uno por alumno.

Una botnet es un conjunto o red de robots informticos o bots que se comunican con
otros programas similares para trabajar en diversas actividades criminales, desde
efectuar ataques DDoS, hasta el envo de spam. Lo peculiar de estos programas es que
trabajan de manera autnoma y automtica. El artfice de la botnet puede controlar
todos los ordenadores/servidores infectados de forma remota.
Explicar un caso especfico que se ha dado no hace mucho: la botnet Festi.
Esta botnet ha existido desde 2009 y se extiende por medio de un "caballo de Troya"
ejecutable infectando mayormente a las versiones de Windows anteriores a Windows
Vista. Contiene mensajes de spam que se envan por correo electrnico a direcciones
predeterminadas.
Desde finales de Junio de 2012, una organizacin antispam denominada Spamhaus
lanz una advertencia del incremento en la actividad de spam de Festi. En concreto
Festi 13 increment acerca de un tercio de milln de direcciones IP que fueron
infectadas con algn tipo de bot de envo de spam. El investigador Thomas Morrison de
Spamhaus escribi que el gran volumen de spam de Festi burla procesos de deteccin
de spam en algunas organizaciones de seguridad.

Debido al uso masivo de las redes sociales, stas se han convertido en uno de los focos
de infeccin ms comunes a la hora de alojar botnets.
En agosto de 2009, la infraestructura de Twitter fue utilizada como panel de control de
una botnet.
El atacante era un usuario registrado en dicha red social que cada vez que haca una
publicacin estaba, en realidad, enviando mensajes a todas las mquinas que formaban
parte de la botnet.
Los mensajes estaban codificados de forma que resultaban totalmente incomprensibles,
pero finalmente el equipo de seguridad de Twitter fue capaz de descifrarlos y evitar, de
este modo su propagacin.
Comento tambin otro caso que tuvo lugar en mayo de 2010, ya que fue de nuevo en la
misma plataforma -Twitter- y el ciberataque tena las mismas caractersticas.
En este caso, se detect una aplicacin que permita infectar a cualquiera de los usuarios
registrados en Twitter. El malware reciba los comandos a travs del perfil del usuario y,
por lo tanto, el atacante poda controlar los equipos infectados a travs de los contenidos
que compartan los usuarios en su perfil.
El ciberatacante tena la posibilidad de realizar la denegacin de servicio distribuida
(DDoS), la apertura automtica de pginas web e incluso la descarga de nuevos cdigos
maliciosos en el equipo de la vctima. Adems, el atacante poda realizar la eliminacin
automtica de la botnet y el perfil de Twitter en caso de que deseara pasar inadvertido.

3. Qu es la deep web? Comenta alguna caracterstica de ella, una por alumno.

El concepto de deep web es sencillo. La deep web es aquella parte de la red que
contiene material, informacin y pginas web que no estn indexadas en ninguno de los
buscadores existentes como pueden ser bing, google, yahoo, etc. Y parece que la deep
web por ahora existir, ya que existen muchas pginas y documentos que estn hechos
de tal forma que no puedan ser indexables, ya sea porque estn protegidos con
contrasea, porqu estn realizados en formatos no indexables como por ejemplo
pginas realizadas completamente en flash, sin contenido html, etc.
La deep web es muy usada para almacenar pginas de dudoso carcter legal, pero
tambin es usada para ocultar webs de gobiernos, CIA, FBI, Interpol que por
seguridad (y cmo es obvio) no pueden ser accedidas cuando cualquier persona teclee
en Google caso X CIA. As decir que en esta web podemos encontrar de todo, y en
algunos casos (cmo espero que sea el uso que hacen los gobiernos de ella) puede servir
para proteger a los ciudadanos o mantener informacin en secreto que por leyes o casos
especiales no debe darse a conocer, al menos de momento.

4. Busca informacin o noticias sobre ciberejrcitos o caso Estonia y comenta un
solo aspecto que te haya llamado la atencin.

Comentar algo de informacin sobre el caso Estonia:
Preocupados por el ataque informtico a sus instituciones en el 2007, Estonia cre una
unidad militar de voluntarios informticos, la Liga de Defensa Ciberntica (CDL). Se
trata de la primera unidad militar ciberntica del mundo, la CDL, forma parte de la Liga
paramilitar de Defensa Total de Estonia y, en caso de guerra, estar bajo el mando
militar.
En la actualidad, est formada por 80 especialistas e ingenieros en tecnologa de la
informacin, que se renen una vez por semana para practicar simulacros de ataques de
piratera informtica.
En mi opinin, este tipo de iniciativas me parece una buena manera proactiva de
anticiparse y estar preparados contra este tipo de ataques que puedan darse en el futuro
y hacerle frente lo ms rpido posible.