Google ha anunciado una mejora de su sistema de verificación en dos pasos añadiendo soporte para el protocolo Universal 2nd Factor (U2F) de la FIDO Alliance.

Como sabes, hace tiempo que Google comenzó a ofrecer un sistema de autenticación de dos factores para proteger accesos no autorizados a cuentas de usuario, incluso en robos de contraseña, algo como sabes a la orden del día. Su funcionamiento es sencillo. Google envía a tu teléfono móvil un código que debes introducir junto a tu password para aumentar la seguridad.

Google Security Key hace los mismo pero mediante una llave física que se conecta a un puerto USB, se pulsa un botón dedicado que incluye para introducir la contraseña y loguearse de forma segura en el navegador Chrome y para todos los servicios ... Continuar leyendo

Ya hemos hablado muchas veces del Gran Firewall que usa el gobierno de la República Popular China para analizar e interceptar las comunicaciones. Cualquier mecanismo de evasión en el pasado ha sido bloqueado, como por ejemplo comunicaciones vía sistemas VPN o HTTPs. De hecho, no sentaron demasiado bien cosas como el uso de HTTPs para todas las conexiones a las tiendas de apps, aunque por desgracia la implementación de Apple no sea perfecta y cargue contenido vía HTTP abriendo la puerta a los ataques de SSL Strip.

Ahora, desde Ars Technica podemos ver que el gobierno está utilizando certificados firmados por ellos mismos para el dominio de Apple iCloud, lo que les permitiría acceder a los usuarios y contraseñas de cualquier usuario que se conecte a ellos aceptando la alerta de la conexión. Una vez que tengan el control de las credenciales, todos los servicios asociados, como por ejemplo backups, servicios de localización o almacenamiento de documentos... Continuar leyendo

Con la salida al mercado del iPhone 6 y el iPhone 6 Plus, quedó un poco ensombrecido un movimiento que la competencia realizaba, el cifrado por defecto en las nuevas versiones de Android.

Para entrar en materia, podemos decir que todos los dispositivos con Android desde la versión 3.0 cuentan con una opción para habilitar un cifrado en la partición /data del usuario, de tal manera que toda información que entre o salga debe cifrarse/descifrarse antes de ser utilizada.

Para aquellos que como un servidor hayan probado (o utilicen desde entonces) el cifrado en Android, seguramente recordarán que la primera vez te pedían que insertaras una contraseña. Para colmo, al menos en la versión que yo lo activé (supongo que sería la 3.5) te obligaban además que la contraseña fuera alfanumérica de seis o más caracteres (nada de PIN o patrón de desbloqueo) y que además debía ser semejante a la de desbloqueo.

Esta restricción es debida a que el FDE ... Continuar leyendo

Por Josep Albors

Sin duda 2014 está siendo un año muy movido en lo que respecta a vulnerabilidades. Muchas de ellas en los propios cimientos de los sistemas y los protocolos de comunicaciones de la Internet actual.

Si hace unos meses hablábamos de Heartbleed y no hace mucho de Shellshock, hoy toca hablar de Poodle. Esta grave vulnerabilidad afecta al protocolo de comunicación SSL 3.0 que ha sido publicada por investigadores de Google.

Los ingenieros que encontraron a Poodle (nombre que recibió la vulnerabilidad) son Bodo Möller, Thai Duong y Krzysztof Kotowicz, ingenieros del equipo de seguridad informática en Google. El nombre Poodle fue dado por su significado en inglés Padding Oracle On Downgraded Legacy Encryption.

Como la mayor parte de la información publicada hasta el momento es muy técnica, hemos decidido publicar este artículo enfocándolo a todas aquellas personas que se han despertado oyendo hablar de Poodle, pero que no... Continuar leyendo

Por David Cutanda

En esta entrada, dentro de nuestra serie dedicada a Certificados Digitales, nos vamos a centrar en la estructura e implementación de los certificados.

Creo que antes de comenzar es preciso realizar una aclaración, sé que hemos estado hablando continuamente de certificados, la tecnología criptográfica que emplean, la gestión que realizan de ellos las autoridades de certificación, los dispositivos hardware para gestión de claves criptográficas, etc. Por otra parte, también hemos hablado de el establecimiento, normativa y responsabilidades de una CA, así como de los servicios que prestan. Sin embargo, aún no hemos hablado de la implementación de los certificados, es decir, como se construyen y que formatos estructurales tienen. Este punto es el objeto de la presente entrada.

Para definir y establecer el contenido y estructura que debe tener un certificado digital se establece el estándar conocido normalmente como X.509, aunque su nombre completo es... Continuar leyendo

Siempre estamos expuestos a cantidades ingentes de información, la mayoría de las veces visual, y sobre todo escrita, aunque habitualmente paseamos por el mundo sin prestarle demasiada atención. Pero, si nos tomamos cuidado para intentar prestarle la atención atención necesaria, a veces nos podemos llevar más de una sorpresa. La siguiente historia es un claro ejemplo de esto, ya que por prestar atención al entorno, acabé involucrado en un misterio de criptografía.

Figura 1: Un misterio criptográfico en la universidad 
Un encuentro fortuito en la Universidad

A principios de este año, caminando por los pasillos de una facultad de una universidad pública conocida tuve la “suerte” de encontrar esto tirado en el suelo, documento que me he tomado la libertad de... Continuar leyendo

Como de costumbre, disponemos de planes de formación y de mucha documentación disponible en la red de manera gratuita. Por lo que, aunque no nos lleven a una certificación, sí que nos ayudarán a obtener conocimientos sobre la materia. Veamos cursos sobre seguridad informática que podemos hacer desde cualquier lugar y en cualquier momento.

• Un curso básico para obtener nociones básicas sobre seguridad informática en su conjunto. Es lo que promete el curso Seguridad en Sistemas Informáticos, en el OpenCourseWare de la Universidad de Valencia.
• Si nuestro interés está más cercano a asegurar un sistema distribuido (de distintos ordenadores conectados por una red), no podemos perdernos el curso Seguridad en Sistemas Distribuidos, del OpenCourseWare de la Universidad Carlos III de Madrid.
• Otro curso, en Coursera y por la Universidad de Stanford, se centra en el diseño de sistemas... Continuar leyendo