Se ha publicado el sexto vídeo de las píldoras formativas en seguridad de la información Thoth de Criptored con el título ¿Ciframos, codificamos o encriptamos?

Aunque el estudio de la criptografía puede llegar a ser tan amplio y complejo como se desee, y que en algunas ocasiones es menester utilizar avanzados conceptos de matemáticas y algorítmica para su análisis, lo cierto es que con algunas nociones básicas como las que se irán entregando en estas píldoras, no nos resultará tan difícil tener una idea general de su funcionamiento, de su importancia, de sus fortalezas y de sus debilidades.

Acceso directo a la píldora 6 en Youtube:
https://www.youtube.com/watch?v=77BrG2vRKss

También puede acceder al vídeo, documentación en pdf y al podcast en mp3 de esta sexta píldora, así como todas las anteriores, desde la página web del proyecto Thoth:
http://www.criptored.upm.es/thoth/index.php

Dr. Jorge Ramió, Dr. Alfonso Muñoz
Directores del proyecto Thoth

El protocolo SSL (y su sucesor, TLS), es el principal encargado de que las comunicaciones en Internet sean seguras, proporcionando múltiples opciones de cifrado y autenticación. El cifrado es obligatorio, mientras que la autenticación no, aunque normalmente se autentica al menos el servidor, para evitar ataques de tipo Man-in-the-Middle. Obviamente, es un protocolo imprescindible en cuanto la información transmitida es mínimamente sensible.

No obstante, también complica el análisis de las comunicaciones por parte de los responsables de seguridad, ya que no es posible hacer un filtrado basado en el contenido del tráfico, al estar cifrado. De hecho, no es raro encapsular tráfico dentro de SSL para evadir el control de proxies o firewalls. Este análisis puede también ser necesario para análisis de incidentes, o para conocer en detalle qué información estamos mandando a webs o aplicaciones que utilizan este protocolo.
En esta entrada veremos dos alternativas distintas... Continuar leyendo

Por Domingo González - Kriptopolis

En ocasiones nos puede surgir la necesidad de cifrar nuestros datos, ya sea por interés personal en proteger nuestra información privada, por cuestiones de política de empresa o simplemente porque nos obliga la legislación vigente de protección de datos. En cualquier caso, si además la información va a ser almacenada en la Nube (Cloud Computing), el cifrado se convierte en poco menos que obligatorio.

Esta serie de artículos de Kriptopolis pretende mostrar el uso práctico de varias herramientas para el cifrado de información. Aunque se realizará una pequeña introducción a los conceptos sobre criptografía, no es objetivo del mismo tratar en profundidad los fundamentos técnicos del cifrado ni describir los algoritmos criptográficos, información que ya está disponible en este y otros portales especializados con mayor rigor y profundidad...

Los artículos se van a centrar en el uso del denominado cifrado simétrico o de clave secreta, en ... Continuar leyendo

Figura 1: Get Your Hands Off My... Continuar leyendo

Por: Jimena Naser

Se lee y se destruye. Esa es la política de la aplicación desarrollada por Ezequiel Alvarez, investigador adjunto del CONICET en el Instituto de Física de Buenos Aires (IFIBA, CONICET-UBA) quien, inspirado en la teoría de la mecánica cuántica, desarrolló una página web que permite mandar mensajes confidenciales por Internet a través de un servidor seguro.

¿Cómo contribuyó la mecánica cuántica en el diseño de este sistema de envío de mensajes confidenciales?
Cuando una persona le manda un mail a otra, el problema es la posibilidad de pueda ser interceptado y leído por un tercero sin que el receptor sepa que fue espiado. Para evitar esta situación se usa una analogía a una función de la cifrado cuántico que se llama colapso de la función de onda. 

¿Qué es la función de onda? 
Es una forma de representar el estado físico de un sistema de partículas en mecánica... Continuar leyendo

Al-Qaeda (AQ) ha estado usando tecnología de cifrado durante mucho tiempo. La herramienta Mujahideen Secrets original para Windows es la más común, pero recientemente se han visto varios nuevos productos de cifrado, así como adaptaciones a nuevas plataformas como móvil, mensajería instantánea y Mac.

La naturaleza de estos nuevos productos criptográficos indica una estrategia para crear métodos de cifrado más fuerte, si bien no hay evidencia de abandono de otros servicios de comunicación occidental (principalmente de EE.UU.).

En este análisis (y II)se utiliza OSINT para explorar el uso de cifrado de AQ y el desarrollo de sus productos tras las revelaciones de Edward Snowden.

Cronología de los productos criptográficos de AQ desde 2007

... Continuar leyendo

Whiteout.io ha lanzado una propuesta interesante para que los usuarios se comiencen a acercar al cifrado de su información y proteger sus comunicaciones privadas a través del correo electrónico.

Si bien la versión actual todavía es beta, el proyecto parece más que prometedor ya que la aplicación se ejecuta en un 100% sobre el navegador (Chrome por ahora), sobre GMail y no requiere tener ningún conocimiento técnico sobre criptografía ni la instalación previa de ninguna aplicación.

La herramienta de Whiteout.io funciona completamente basada en el uso de la API de OpenPGP.js, un proyecto que tiene como objetivo proporcionar una biblioteca Open Source OpenPGP en JavaScript y puede ser utilizado en cualquier dispositivo. OpenPGP.js pretende evitar instalar GPG localmente y la idea es implementar todas las funcionalidades (firmar, cifrar y verificar) de OpenPGP en una biblioteca JavaScript que pueda ser reutilizada en otros proyectos, como Whiteout.io en... Continuar leyendo

Los operadores de malware y botnets adaptan continuamente sus tácticas y muchos atacantes usan SSL para comunicarse con las máquinas infectadas que controlan. Un investigador ha empezado una nueva iniciativa para rastrear el uso de certificados digitales fraudulentos en estas operaciones y publicarlas.

El proyecto es obra del investigador suizo a cargo de Abuse.ch, que durante años ha proporcionado recursos para el seguimiento de muchas de familias de troyanos bancarios y botnets.

SSL Black List es una lista pública de certificados asociados con una variedad de operaciones malintencionadas, incluyendo redes de bots, campañas de malware y troyanos bancarios. La base de datos consta de los hash SHA-1 de cada certificado, así como la razón de por qué fue incluida en la base de datos. Hasta ahora la lista incluye más de 125 huellas de certificados, muchos de los cuales se asocian con botnets conocidas botnets y operaciones de malware... Continuar leyendo

Se han detectado más certificados fraudulentos que pretenden legitimar páginas falsas de Google (aunque podría hacerlo con cualquier dominio). Una entidad de confianza (para todos los Windows) ha firmado certificados falsos, lo que permite que se suplanten las páginas del buscador o que el tráfico cifrado en realidad sea visto por un tercero. Veamos algunas curiosidades.

Vuelve a ocurrir por quinta vez desde 2011, de forma muy similar. El 2 de julio, Google se percató de que se estaban usando certificados no válidos de Google, firmados por una autoridad de confianza preinstalada en Windows. En este caso, la organización gubernamental National Informatics Centre (NIC) de India, que maneja varias CA intermedias, todas confiadas en última instancia por el "Indian Controller of Certifying Authorities (India CCA)".

Al estar incluida en el repositorio de confianza raíz de Windows, la inmensa mayoría de programas confiarán en el certificado,... Continuar leyendo