Thursday, October 12, 2017

Artículo en El País Retina: "Objetivo: que tu nevera fabrique bitcoins para ahorrar energía"

Artículo en El País Retina
Artículo en El País Retina
Colaboración en artículo publicado por El País Retina a razón del reciente interés de Intel para desarrollar un nuevo protocolo Blockchain mucho más eficiente que los actuales en cuanto a consumo y con unos niveles de seguridad similares.

Intel lleva años investigando el desarrollando de nuevos microprocesadores de bajo consumo que pudieran ser utilizados en el futuro para el minado de criptomonedas. Esto mismo ya lo hicieron antes otras compañías como NVidia y ATI (ahora AMD) especializadas en el mercado de tarjetas gráficas para el mercado de Gamers.

Sin embargo, el problema que hasta ahora se ha encontrado Intel es que los chips actuales de dispositivos como routers domésticos, termostatos y cámaras de televisión no tienen la potencia suficiente como para poder ser destinados al minado de criptomonedas. En parte esta deficiencia se debe a que la mayoría de los protocolos actuales de Blockchain se basan en pruebas de esfuerzo (Proof of Work) enormemente pesadas como para ser realizadas por dispositivos IoT y otros dispositivos ligeros.

Iniciativas recientes como la de IOTA para construir un nuevo protocolo de comunicación y securización de activos mucho más ligero que el de las Blockchain tradicionales, están despertando el interés de grandes players que como Intel se había limitado a participar únicamente en el campo de la investigación.

Monday, October 09, 2017

Intervención en el programa 'Capital' de radio Intereconomía

Programa de radio 'Capital' en https://youtu.be/npVarUdt_Ak
Breve intervención en el programa de radio 'Capital' de Intereconomía con Susana Criado y Luis Pérez Ureña, para hablar sobre las amenazas a la seguridad en la nueva era digital.

En el programa, Luis hace una extensa presentación tanto de mí como de S21sec, la compañía de ciberseguridad para la que tengo el placer de trabajar.

Friday, October 06, 2017

Colaboración con 'El País' respecto al uso de IPFS (almacenamiento p2p)

VEscudero hablando en el País sobre IPFS
Artículo en El País
Breve colaboración con el diario El País, a razón de la utilización del sistema de almacenamiento P2P denominado IPFS (Interplanetary FileSystem) por parte de la Generalitat de Cataluña para evitar el cierre sus webs.

Si bien el sistema IPFS puede ser muy potente, en esta ocasión el procedimiento empleado para proteger los datos, así como la clave elegida para el cifrado, ha sido extremadamente débil. Esta situación ha puesto al descubierto la facilidad con la que ahora los hackers podrán acceder a algunos datos personales de los ciudadanos catalanes incluidos en el censo electoral, como son sus DNIs, fecha de nacimiento, código postal y hasta el nombre del colegio electoral al que están adscritos, lo que fijaría su geolocalización con más precisión si cabe que el código postal de su lugar de residencia.

Como toda herramienta potente, IPFS debe ser utilizada con precaución, pues una vez publicada la información, se pierde todo control sobre la misma. El carácter descentralizado y permanente de la información albergada bajo IPFS impide en este caso eliminar la amenaza permanente sobre la privacidad de los datos almacenados.

Fuente: https://elpais.com/tecnologia/2017/10/05/actualidad/1507196018_140173.html

Friday, September 22, 2017

Artículo para El País Retina: Bitcoin en el punto de mira por la amenaza cuántica

El País Retina: Bitcoin en el punto de mira por la amenaza cuántica
Artículo en la edición digital de 'El País'
Artículo en 'El País Retina' en el que analizo la amenaza que supondrá la nueva criptografía cuántica a la supervivencia de Bitcoin tal y como lo conocemos hoy.

Con un ordenador cuántico lo suficientemente potente sería posible encontrar la clave privada asociada a una clave pública, pero Bitcoin no muestra directamente la clave pública salvo en el momento de realizar una transacción y utiliza varias capas de protección adicional.

La llegada de la computación cuántica cambiará sin duda las reglas de juego, pero no serán precisamente las criptomonedas quienes tengan más que temer. Muy por el contrario, es de prever que las criptomonedas evolucionen a la par que la criptografía y utilicen muchos de los avances tecnológicos en su propio beneficio.

Al igual que han aparecido algoritmos optiimzados de factorización como el de Shor y de búsqueda como el de Grover, ya se conocen algoritmos 'Quantum resistant' que en caso de necesidad pudieran ser empleados con rapidez.

Monday, August 07, 2017

Ciberataques que causan daño en el mundo físico

Artículo sobre Ciberseguridad Industrial en El País
Artículo en 'El País'
Colaboración en la edición digital de 'El País' para analizar el impacto que los futuros ciberataques podrían tener sobre las infraestructuras del mundo físico.

En un mundo cada vez más interconectado, la amenazas del mundo cibernético comienzan a traspasar fronteras y afectar a infraestructuras y elementos físicos del mundo real.
Apagones en ciudades, centrales nucleares fuera de servicio, fábricas de acero inutilizadas, sistemas de diagnóstico médico comprometidos, oficinas con termostatos fuera de control, vidas humanas en peligro por causa de  marcapasos hackeables a distancia, todo ésto y mucho más ya ha sucedido y por desgracia seguirá sucediendo cada vez con más frecuencia al menos en el corto/medio plazo.

La Tecnología Operacional, (OT en inglés) está formada por los componentes hardware y software dedicados a detectar y causar cambios en procesos físicos mediante la monitorización y/o control de dispositivos físicos como válvulas, dispositivos de bombeo, etc.  Denominados genéricamente ICS, Industrial Control Systems, algunos ejemplos de éstos son los conocidos sistemas SCADA (supervisory control and data acquisition), DCS (distributed control systems), RTU (Remote Terminal Units) o los PLC (programmable logic controllers).

La alteración en la medida de un simple sensor de velocidad de un coche o el de temperatura de un reactor nuclear puede disparar una acción automática no deseada con graves consecuencias.

Fuente: https://retina.elpais.com/retina/2017/08/01/tendencias/1501588648_125017.html

Tuesday, July 11, 2017

La amenaza de la computación cuántica para Blockchain

Quantum chip
Artículo publicado en elEconomista.es

Entrevista publicada en elEconomista.es sobre la amenaza que supondrán los ordenadores cuánticos a los sistemas basados en Blockchain.

Si bien los ordenadores cuánticos aún están aún lejos de suponer una amenaza real, tan sólo se necesitaría un ordenador lo suficientemente potente (más de 1500 qubits) para poner en jaque la inmensa mayoría de los sistemas criptográficos de firma y cifrado de clave pública de medio mundo.
Sin embargo, las blockchains púbicas más extendidas fueron diseñadas con varias capas de protección que las mantendrá a salvo por mucho más tiempo, quizá el suficiente como para actualizar sus algoritmos a otro resistentes a la computación cuántica.

Artículo publicado en elEconomista.es:
---------------------------------------------------------------------------------------------------------------------------------------------

Extracto de la entrevista para elEconomista:

Para cualquier persona que lleve un tiempo trabajando con Bitcoin y la tecnología Blockchain es habitual escuchar la frase de “los ordenadores cuánticos y la criptografía cuántica acabarán con Bitcoin y Blockchain”. Hace unas semanas volví a escuchar de nuevo el recurrente recordatorio sobre la velada amenaza que suponen los ordenadores cuánticos y decidí entrevistar a Víctor Escudero, Arquitecto de Ciberseguridad y uno de los co-autores del libro “Blockchain: la revolución industrial de Internet” sobre el tema. En la siguiente entrevista Víctor comparte con nosotros su visión de cuáles son las amenazas reales que se atribuyen a los ordenadores cuánticos y la criptografía cuántica y el riesgo que pueden suponer para el futuro de la tecnología Blockchain y Bitcoin.

¿Qué es un ordenador cuántico y cómo se diferencia de un ordenador en la actualidad?

Hoy en día, los ordenadores cuánticos están todavía en fase de experimentación en algunos laboratorios del mundo, por lo que no es posible confundirlos con los ordenadores convencionales que conocemos.

A diferencia de éstos -que basan su funcionamiento en la lógica binaria de tan sólo dos estados posibles como el 0 (apagado) o el 1 (encendido)-, los ordenadores cuánticos basan su funcionamiento en un tercer estado adicional, que está formado por la suposición de los dos anteriores, y que tan sólo se puede apreciar observando la materia a escalas muy pequeñas, del orden de unos pocos nanómetros.

Estos 3 estados posibles (encendido, apagado, e indeterminado) forman la unidad básica de información que se utiliza en los ordenadores cuánticos y se denomina qubit por analogía al bit (binary digit) que se utiliza en los convencionales.

¿un ordenador cuántico posibilitará el auge de la criptografía cuántica?

Sin duda, el hecho de que los ordenadores cuánticos sean mucho más eficientes en la resolución de problemas complejos empleados hasta ahora en la criptografía clásica, como son la factorización de números primos o el problema del logaritmo discreto, ya está provocando una intensa actividad investigadora en el campo de la criptografía postcuántica, focalizada en el empleo de algoritmos resistentes a la introducción de este nuevo tipo de ordenadores.

Con ordenadores cuánticos suficientemente grandes, sería posible romper fácilmente la mayor parte de los algoritmos clave pública que conocemos hoy en día. En cambio los algoritmos de cifrado simétricos y de firma se verían mucho menos afectados, pues si bien verían reducida su fortaleza, bastaría tan sólo con doblar el tamaño de clave para seguir manteniéndolos seguros incluso si se emplean ordenadores cuánticos.

Sabiendo que la tecnología Blockchain se sustenta parcialmente en la criptografía de clave pública y estándares muy conocidos ¿No significaría eso que cuando se vayan a crear los primeros ordenadores cuánticos se podrá deshacer completamente el historial de cualquier cadena de bloques?

Ésto no es cierto del todo, y lo podemos ver en el caso concreto de Bitcoin, que de las criptomonedas actuales es la que ofrece un mayor incentivo para su ruptura.

Las claves que se utilizan en bitcoin son ECDSA de 256 bits y se estima que podrán ser atacadas de forma práctica cuando existan sistemas cuánticos de unos 1500 qubits, si bien los sistemas experimentales actuales que se conocen tan sólo llegan a 49-50 qubits interconectados entre sí.

La criptografía cuántica es capaz de reducir la fortaleza de un algoritmo de firma como SHA256 que se utiliza en Bitcoin de 2256 operaciones con ordenadores convencionales a 2128 operaciones en un ordenador cuántico, pero ambas cantidades son todavía computacionalmente intratables como para considerarse inseguras.

Las claves privadas ECDSA que utiliza Bitcoin sí estarían en riesgo si las claves públicas fueran expuestas directamente. Sin embargo el creador de Bitcoin ya previó este problema y es por ello que decidió protegerlas mediantes un mecanismo de doble hashing (SHA256 y RIPEMD160), el cual confiere al sistema mucha mayor seguridad, al mismo tiempo que facilita el futuro reemplazo del mecanismo de firma empleado (ECDSA) sin afectar al resto de funcionalidades.

Es cierto que en el peor escenario posible, un ordenador cuántico de una potencia aún no conocida, pudiera deshacer completamente el historial de transacciones grabadas en una cadena de bloques. Sin embargo, bastaría tan sólo con añadir unos pocos bloques nuevos a la cadena de bloques utilizando nuevos algoritmos resistentes a la computación cuántica para proteger todo el historial de transacciones. Tales algoritmos ya se conocen en la actualidad, si bien aún han de ser escrutados más a fondo por los criptógrafos.

Incluso en el supuesto caso de que un Estado lo suficientemente avanzado tuviese en su arsenal armamentístico un computador cuántico lo suficientemente potente, es poco probable que éste fuese utilizado contra Bitcoin, pues la transparencia de una blockchain pública como ésta rápidamente desvelaría la existencia de tal prodigio cuántico al resto del mundo. Una vez alertados, otros países cambiarían sus algoritmos de cifrado por otros muchos más seguros con lo que se perdería una ventaja competitiva totalmente decisiva.

¿Por qué crees que es tan común la pregunta de que los ordenadores cuánticos podrían acabar con Blockchain?

Hay muchos mitos respecto de la computación cuántica. Gran parte se debe al desconocimiento de las capacidades de estos sistemas. En la física cuántica se dan efectos curiosos imposibles de explicar con la física clásica (superposición, entrelazamiento, teleportación), los cuales confieren propiedades especiales a estos sistemas. Estos sistemas son totalmente distintos de los sistemas tradicionales, pero no son más adecuados que éstos en la resolución de todo tipo de problemas. 

El margen de error de los ordenadores cuánticos es muy alto y es difícil de reducir a medida que se interconectan más y más qubits, aparte de existir un límite físico que impide reducir el margen de error (indeterminación) hasta casi cero. Incluso en situaciones ideales de funcionamiento con temperaturas cercanas al 0 absoluto (-273 °C), el margen de error de estos sistemas se aproxima al 0.001%, que si bien parece pequeño es lo suficientemente grande como para impedir a un ordenador arrancar correctamente. Para determinadas aplicaciones, como por ejemplo comprobar que un número es el resultado de la multiplicación de otro dos números primos, este margen de error puede ser asumido, máxime cuando la detección del error es tan sencilla, pero para la mayoría de aplicaciones actuales un ratio de errores tan alto simplemente es inaceptable. 

En un futuro aún lejano, es previsible que nuestros ordenadores dispongan de chips cuánticos para determinadas operaciones que complementen el procesador principal, al igual que sucede hoy con las tarjetas gráficas o GPUs. Pasará mucho más tiempo hasta que un ordenador cuántico se pueda utilizar como un ordenador de propósito general como los actuales. 

Para hacernos una idea de la potencia actual de los ordenadores cuánticos actuales, 100 unidades del ordenador cuántico más potente -cada uno del tamaño de un armario ropero-, siguen palideciendo ante la potencia de cualquiera de nuestros teléfonos móviles, que caben en la palma de la mano.

¿No crees que los sistemas centralizados pueden adaptarse más rápido a los cambios que pueda exigir la criptografía cuántica?

Es tan importante introducir los cambios rápidamente como introducirlos e implementarlos de forma adecuada. Para los sistemas nuevos donde no es necesario mantener una cierta compatibilidad hacia atrás, los cambios podrán realizarse muy rápidamente. Sin embargo las comunidades de criptomonedas que tienen una gran aceptación se juegan mucho como para tomar una decisión de cambio a la ligera.

Normalmente los sistemas centralizados, las blockchains privadas, y las criptomonedas minoritarias y de menor capitalización serían los que menor resistencia encontrarían para migrar a los nuevos algoritmos. Cuanto más grande y abierta es una comunidad, más conscientes suelen ser sus miembros de la importancia de alcanzar un consenso, por lo que cualquier cambio es escrutado con mucho más detalle para evaluar sus pros y contras, de tal forma que sólamente aquellos que obtengan el soporte de una mayoría representativa son implementados.

La amenaza de los ordenadores cuánticos no es en absoluto inminente, pero es importante fomentar el debate e ir poniendo a prueba los nuevos algoritmos resistentes a la computación cuántica, con el objetivo de estar preparados y realizar la transición antes de que ésta se convierta en una amenaza real.

Víctor Escudero es co-autor junto a Alex Preukschat del libro “Blockchain: La revolución industrial de Internet” publicado por Ediciones Gestión 2000 (Grupo Planeta) ya disponible a la venta en Amazon.es y en la Casa del Libro. Las novedades se pueden seguir en @LibroBlockchain y LibroBlockchain.com.

Saturday, July 08, 2017

Colaboración en artículo del diario ABC: "Ether, la criptomoneda que puede desbancar al bitcoin"

Artículo en el diario ABC
Colaboración con el diario ABC en un artículo sobre Ethereum.

Aunque el título del artículo del ABC es un tanto explosivo, no creo que bitcoin y ether se puedan considerar monedas competidoras, pues se utilizan para fines eminentemente distintos, pero parece ser que hay muchísimo interés en encontrar otra alternativa que logre desbancar a Bitcoin.

Es de celebrar, que tras 8 años desde la aparición de Bitcoin, las únicas alternativas viables también estén basadas en blockchains.

Tuesday, June 20, 2017

Aplicaciones de Blockchain en el ámbito de la Ciberseguridad (II)

Artículo publicado en CoinTelegraph
El presente artículo es una continuación de la primera parte, en la que veíamos algunos casos de uso de la tecnología blockchain relacionados con la protección de la identidad. En esta ocasión dentro del ámbito de la Seguridad de la Información nos centraremos en otras dos grandes áreas que al igual que la identidad, también requieren protección, la integridad de los datos y las Infraestructuras críticas
 

Casos de uso de Blockchain en el ámbito de la Ciberseguridad

Dentro del ámbito de la Ciberseguridad, nos centraremos hoy en la protección de la integridad de los datos y la protección de infraestructuras críticas.

 

Protección de la Identidad

 
Léase la primera parte del presente artículo.

 

Protección de la integridad de datos

 
Como ya adelanté, la incorruptibilidad junto con la transparencia son dos de las características más interesantes de las cadenas de bloques, la primera para asegurar la integridad de los datos y la segunda para facilitar la trazabilidad de las modificaciones en caso de que éstas se produzcan. Existen decenas de proyectos interesantes que emplean soluciones basadas en blockchains, pero a modo de ejemplo tan sólo resaltaré 2 de ellos.
 
GuardTime es una compañía que ha desarrollado una tecnología denominada Keyless Signature Infrastructure (KSI) que logra reemplazar la autenticación de datos basada en claves. KSI almacena los firmas digitales de los ficheros originales en una cadena de bloques y posteriormente verifica las copias revisando de nuevo las firmas de las copias contrastándolas con las almacenadas en la cadena de bloques. Cualquier manipulación es rápidamente detectada, pues los hashes almacenados en la cadena de bloques reside en miles de nodos. La tecnología KSI está siendo empleada activamente en la industria Aeroespacial y Defensa entre otras, no en vano la compañía se creó a razón del primer ataque cibernético esponsorizado por un estado contra otro estado. El ataque DDOS se realizó en el 2007 contra Estonia y por primera vez surgió una gran pregunta de difícil respuesta: ¿En qué se puede confiar como certeza inalterable y en qué no?.

En el campo de la  Salud,  la compañía Gem está utilizando blockchain para proveer un mejor y más preciso control de acceso sobre los registros médicos de los pacientes, proveer una mayor transparencia y mejorar la trazabilidad de los cambios realizados sobre los registros médicos. La tecnología blockchain puede ayudar en la verificación de la integridad de los datos de un paciente, cuando éstos son compartidos entre diferentes organizaciones (p.ej diferentes hospitales, administraciones autonómicas, ...), permite crear registros de auditoría inmutables y asegura la integridad de los resultados obtenidos tras una prueba clínica. En Estados Unidos, normativas como HIPPA llevan años demandando un mayor nivel de protección de los datos médicos, dado su alto nivel de sensibilidad, una brecha que blockchain podría comenzar a reducir en los próximos años.

Protección de infraestructuras críticas


Las blockchains nos pueden ayudar a securizar los sistemas contra una gran multitud de amenazas que nos rodean, siendo especialmente efectivas allí donde existan puntos únicos de fallo o donde se concentren un mayor número de amenazas.

Existen un gran número de infraestructuras críticas que proteger, pero a menudo sólo reciben la atención que merecen cuando fallan. Precisamente escogeré el sistema de resolución de nombres DNS por uno de esos motivos. Muchos aún recuerda esos fatídicos días de finales de octubre del 2016 en el que un ataque de denegación de servicio distribuido (DDoS) sobre el proveedor de DNS Dyn afectó a muchos de los servicios más populares de internet.

El sistema actual de DNS está peligrosamente centralizado en unos pocos servidores raiz, el cual hasta fechas recientes ha estado bajo el control político del gobierno de Estados Unidos, si bien éste aunque sigue ejerciendo cierta tutela, ha delegado el control a un organimo internacional como ICANN.

Una cadena de bloques podría ayudar a construir un DNS distribuido y mucho más transparente  en donde el control sobre el registro de un dominio correspondiera únicamente a su dueño, lo cual haría virtualmente imposible que una sola entidad, gobierno incluido, pudiera manipular registros a su voluntad. Adicionalmente blockchain eliminaría las tasas asociadas a las consultas de DNS, pues tan sólo tendrían coste las actualizaciones o las creaciones de entradas en la cadena de bloques.

La utilización de los mecanismos de caching ha permitido a un sistema tan antiguo como el de DNS sobrevivir hasta nuestros días, pero a la vez el caching se convierte en una de las mayores debilidades del sistema, pues hace posible perpetrar grandes ataques DDoS contra servidores DNS, así como permitir a los gobiernos de regímenes opresivos censurar redes sociales y manipular registros de DNS.

Nebulis es un buen ejemplo de un sistema de DNS distribuido capaz de soportar un exceso de peticiones sin llegar a caer. Nebulis utiliza una cadena de bloques pública como la de Ethereum junto con IPFS (Interplanetary Filesystem) como alternativa distribuida a HTTP para registrar y resolver nombres de dominios.

__________

Si te perdiste la primera parte del presente artículo, puedes leerlo en: https://www.vescudero.net/2017/06/casos-de-uso-de-blockchain-en-ciberseguridad-parte-1.html
Para profundizar sobre las aplicaciones de Blockchain en las distintas industrias, recomiendo encarecidamente leer el libro "Blockchain la revolución industrial de internet" del cual soy coautor.

Wednesday, June 14, 2017

Entrevista en Criptonoticias: Cómo conocí Bitcoin y Ripple


En esta entrevista publicada en el portal Criptonoticias, comento cuales fueron mis primeras experiencias con Bitcoin y con Ripple

Creo que el artículo completo realmente merece la pena leerlo entero, pues seguro que muchos de los lectores que se han introducido en el tema de las criptomonedas y blockchain se verán reflejados. 

En el artículo comento cómo conocí de la existencia de Bitcoin a los pocos meses de su nacimiento, gracias a varias personas a las que sinceramente he de reconocer que inicialmente no presté demasiada atención.

Cuando por fin una tercera persona me lo volvió a comentar,  mi curiosidad me hizo comenzar a investigar sobre Bitcoin y rápidamente descubrí que debajo había una tecnología completamente revolucionaria, Blockchain, que es la que realmente confería toda la potencia a ese expermiento llamado Bitcoin.

Supongo que algunos de los lectores ocasionales se sorprenderán también al descubrir que Ripple nació en realidad varios años antes que Bitcoin, si bien aquel Ripple nada tenía que ver con la versión que ha llegado a nuestros días. El Ripple actual que muchos conocen es sólo una versión del original, sobre el cual una empresa ha logrado tomar el control y ha añadido una criptomoneda (XRP) preminada que no existía en el Ripple original.

Friday, June 09, 2017

Aplicaciones de Blockchain en el ámbito de la Ciberseguridad (I)

Artículo publicado en CoinTelegraph.es
A razón de los recientes ataques de malware producidos por el ransomware WannaCry, conocida mi pasión por la tecnología de Cadena de bloques y mi actividad profesional como Arquitecto de Seguridad para una importante entidad bancaria, muchas son las personas que insistentemente me preguntan cómo Blockchain podría haber ayudado a mitigar un problema como el sucedido, cuya repercusión se hizo notar en todo el mundo.

La realidad es que la aplicación de tecnologías basadas en Blockchain no habría impedido directamente un ataque de tal naturaleza, si bien la combinación de varias tecnologías ya existentes con otras basadas en Cadenas de bloques, hubiesen reducido la probabilidad del ataque y sobre todo su impacto hasta llevarlo a niveles de riesgo perfectamente gestionables.

Blockchain no es la panacea ni la solución a todos nuestros problemas, pero muchas de sus características hacen de esta tecnología una solución muy adecuada en determinadas áreas de la Seguridad Informática. Blockchain es especialmente útil cuando se trata de garantizar la integridad de la información, siendo capaz de prevenir y en muchas ocasiones eliminar la manipulación de los datos.

De la clásica terna que frecuentemente se utiliza para describir la Seguridad de la Información, esto es, confidencialidad, integridad y disponibilidad; las blockchains destacan especialmente en el terreno de la integridad, dada sus características de inmutabilidad y transparencia. No hay área de negocio que utilice datos sensibles que no se pueda beneficiar de esta tecnología, ya se trate de datos financieros, datos personales, médicos o de cualquier otra índole.

La descentralización de la información en una cadena de bloques también favorece la disponibilidad de la información en todo momento, pues se trata de una solución altamente robusta a prueba de fallos y casi imposible de detener. En aquellos casos donde la confidencialidad de la información sea un requisito, ésta se puede proteger haciendo uso de algoritmos criptográficos de cifrado.


Casos de uso de Blockchain en el ámbito de la Ciberseguridad


Dentro del ámbito de la Ciberseguridad, nos centraremos hoy tan sólo la primera de tres grandes áreas donde destacan especialmente las blockchains: protección de la identidad, protección de los datos y protección de las infraestructuras.


Protección de la Identidad


La publicación de claves públicas en una blockchain eliminaría el riesgo de propagación de claves falsas y permitiría a aplicaciones como GnuPG, WhatsApp o Telegram verificar la identidad de las personas con las que uno se comunica.

Bajo esta misma perspectiva, sería posible reemplazar la actual Infraestructura de Clave Pública (PKI), eliminando la necesidad de autoridades centrales de certificación, utilizando en su lugar un registro descentralizado y seguro de dominios y sus correspondientes claves. Un ejemplo de implementación de esta brillante idea la podemos encontrar en CertCoin.

Otra iniciativa interesante en el campo de la Protección de la Identidad la podríamos encontrar en el uso de blockchains para almacenar los hashes de certificados TLS/SSL emitidos así como los revocados para permitir que cualquier usuario pueda verificar la autenticidad de los certificados desde una fuente descentralizada y transparente. Como efecto colateral, el empleo de blockchains permite optimizar el acceso a la red realizando verificaciones de claves y firmas sobre copias almacenadas localmente. Se trataría de una iniciativa similar a la del proyecto que Google denominó 'Certificate Transparency', si bien existen ya otras muchas investigaciones en el área de PKIs sobre cadenas de bloques.

Mientras que miles de credenciales basados en pares usuario/contraseña son comprometidas a diario, haciendo de ellos una mala elección para proteger datos valiosos. Blockchain utiliza tecnología de cifrado robusto en lugar de credenciales basados en contraseña, por lo que reduce muy notablemente los casos de compromiso.

Otra de los aplicaciones de las blockchains es el relativo a la interacción entre dispositivos IoT (Internet of Things), pues su uso resuelve muchos de los problemas de seguridad de estos aparatos. De forma natural, Blockchain resuelve magistralemente la necesidad de los dispositivos IoT de identificarse y autenticarse unos con otros, comunicarse y coordinarse de forma segura a lo largo de la red empleando acuerdos predefinidos y ejecutar contratos inteligentes sin requerir para todo ello la presencia humana, ni la de ningún broker central, organismo regulador o autoridad de certificación. Un ejemplo de aplicación directa podemos encontrarlo en iniciativas como la de IOTA.

La capacidad de protección sobre la identidad que ofrece la tecnología de cadena de bloques es tal, que tan sólo la función de autenticación está siendo explotada por multitud de industrias. Por ejemplo, la industria automovilística ha visto en Blockchain un aliado para agilizar los procesos de compra y alquiler de vehículos, las universidades empiezan a certificar la autenticidad de los certificados de notas emitidos a sus alumnos y hasta el voto electrónico se beneficia de blockchain al consiguir reducir el fraude mediante la identificación de los votantes sin afectar a su privacidad.
__________

Este artículo ha sido tan sólo una primera parte en la que muestro sólo algunos usos de las Cadenas de bloques en el ámbito de la seguridad informática. Espero que te haya gustado y estés deseando leer mi próximo artículo como continuación de éste.

Tuesday, June 06, 2017

Casos de uso de Blockchain en Banca y el sector Financiero

 Artículo publicado en CoinTelegraph
Artículo publicado en CoinTelegraph.es
Con motivo de la reciente publicación del libro "Blockchain: la revolución industrial de internet" y la inminente publicación de La Era de las BLOCK punto COM, cada vez son más las personas que me preguntan por las posibles implicaciones que Blockchain podría tener en su sector. Atendiendo a esta petición, comenzaré este artículo indicando algunos los usos actuales y futuros de esta tecnología en Banca y en el sector financiero en general. 

Casos de uso de Blockchain en el sector Financiero


a) Establecimiento de acuerdos y ejecución de contratos


Tan pronto como el registro de un activo digital se ha registrado en una cadena de bloques, su transmisión posterior automáticamente desencadena las operaciones de conciliación y apunte de asientos contables asociados. Es más, como no es posible disociar las operaciones de  transmisión  y registro ,  al actuar ambas  como si de una sola instrucción atómica se tratase, se garantiza en todo momento la consistencia de la información.
Los usuarios que hubiesen recibido un token digital, que representara, por ejemplo, la propiedad sobre los títulos de una compañía cotizada en el mercado continuo, estarían en disposición de poder recibir automáticamente los dividendos y los derecho a voto a los que diera lugar la posesión de las acciones de esa compañía.


b) Procesos de reconciliación y auditoría


Con el  uso de cadenas de bloques, las organizaciones pueden eliminar la hasta ahora imprescindible, pero costosa contabilidad de doble entrada, simplemente conectando el Back-office que realiza el procesamiento de una transacción con quien la genera.
Así, en lugar de tener que realizar periódicamente informes y auditorías para los reguladores, será posible comunicar datos en tiempo real, lo cual permite una mejor monitorización de riesgos por parte de los reguladores y supone menores costes de implementación de los requisitos regulatorios para las instituciones financieras.


c) Firma de mensajes en representación de un tercero


Hasta ahora, una empresa cuya actividad principal fuese la importación/exportación de mercancías, con frecuencia se veía obligada a solicitar una carta de su banco para probar que disponía de suficientes fondos en su cuenta antes de realizar una gran operación. Gracias a la tecnología Blockchain, la simple firma de un mensaje sobre la cadena de bloques bastaría para probar el acceso a dichos fondos.


d) Conexión con dispositivos IoT (Internet of Things)


Al permitir que los sistemas de una organización se conecten con los datos generados por miles de pequeños dispositivos, las organizaciones pueden obtener datos en tiempo real de infinidad de asuntos, tales como condiciones metereológicas muy destructivas (para aseguradoras), localización de clientes (prevención de fraude), estado de las instalaciones de producción (valoración de activos), etc.


e) Facilitar la transferencia de activos


Un libro mayor distribuído permitiría que los títulos de propiedad puedan ser intercambiados libremente en el mercado y, además, estar  asociados a un objeto inteligente. Por ejemplo, una cerradura electrónica que tan sólo se abriría con una determinada clave.


f) Automatización de los procesos de cumplimiento regulatorio


Si todas las transacciones de compra-venta de activos se realizasen sobre una cadena de bloques, donde las operaciones estuviesen cifradas con las claves de cada una de las contrapartes, más la del regulador, éste último podría conocer casi en tiempo real la posición financiera de cada uno de los intervinientes en la operación.  Asimismo, podría saber si las transacciones adicionales podrían exceder el nivel de riesgo o los requerimientos de capital necesarios. En situaciones donde estos umbrales se superasen, el regulador podría automáticamente cerrar el acceso a mercados específicos o imponer sanciones.
Una blockchain privada (permissioned ledger) podría contener todas las reglas de operación, regulación, auditoría y controles internos embebidos en su propio código de ejecución, haciendo innecesaria gran parte de las atribuciones actuales que hoy en día tienen ciertas instituciones centrales y organismos supervisores y reguladores.


g) Identidad portable


La ventaja de las cadenas de bloques es que al estar basadas  en criptografía  no es necesario requerir credenciales a los  usuarios. Esto significa que los participantes en una Blockchain pueden construir su propia identidad, símplemente, generando una llave privada a la que solo ellos tengan acceso. La entidad, ya se trate de un individuo o un negocio, puede portar su identidad a lo largo de diferentes servicios siempre y cuando mantenga la misma dirección.
La identidad se puede mantener a salvo mediante el uso de una clave maestra y algún otro factor de autenticación adicional como podría ser la huella  huella, o un código de Google authenticator, mientras que se puede generar un nuevo token por cada nueva identidad que se quiera crear para un servicio en particular, siendo decisión del usuario relacionar ambos perfiles entre sí o mantenerlos totalmente separados.


h) Compañías automatizadas y nuevos vehículos de inversión


Como los activos y los fondos pueden interaccionar directamente entre sí a través de una cadena de bloques, nuevos vehículos de inversión basados en la ejecución de contratos inteligentes podrían determinar con precisión las propiedades de un negocio con total transparencia.
 La cadena de bloques pueden registrar tanto la emisión de nuevas acciones como la negociación de las ya existentes. Las instituciones financieras pueden elegir comerciar dentro de sus propios pools de liquidez, utilizando por ejemplo sidechains, pero sus acuerdos con terceros, necesariamente deben poder enlazarse en la cadena de bloques principal a través de un proceso de reconciliación automático.

 __________

En el próximo artículo me centraré en nuevos casos de uso de Blockchain en el ámbito de la Ciberseguridad, espero que te guste.

Artículo en el ABC: El bitcoin, ¿la moneda de los cibercriminales?


 Artículo en el ABC: El bitcoin, ¿la moneda de los cibercriminales?
Fuente: Diario ABC
Nuevo artículo publicado en el diario ABC en el que participo para desentrañar la oscura relación de los ciberdelincuentes con la cada vez más apreciada moneda virtual bitcoin.

Mikko Hypponen de F-Secure, Pablo San Emeterio de Telefónica y servidor (@VEscudero) participamos en esta entrevista realizada para la sección de Tecnología del ABC. En el artículo, desafortunadamente la tecnología vuelve a pasar a un segundo plano y se traslada el foco a los malos usos que de ella hacen unos pocos, que si bien son minoritarios resultan ser los más llamativos.

Wednesday, May 24, 2017

Presentación de nuestro libro "Blockchain: la revolución industrial de internet"

 Libro blockchain en Amazon
Disponible en Amazon
Os presento este magnífico libro en el que he tenido el placer de participar junto a otros grandes especialistas en Blockchain.

Blockchain o Cadena de bloques es una nueva y disruptiva tecnología aún bastante desconocida por el gran público, si bien ya ha demostrado su enorme valía sustentando el éxito de criptomonedas como bitcoin y que en breve estará omnipresente en nuestras vidas.

El título del libro es "Blockchain: la revolución industrial de Internet" de la editorial Gestión 2000 del Grupo Planeta, cuya primera edición ha sido lanzada el 23 de mayo 2017.

Wednesday, May 17, 2017

Intervención de VEscudero en el Telediario de la 1 de TVE

Breve entrevista a VEscudero en el Telediario de la 1 de Radio Televisión Española emitido el 16 de mayo 2017.

En este fragmento del telediario, VEscudero habla sobre el uso de bitcoin a razón del ciberataque con el ransomware Wannacry iniciado el 12 de mayo'17 y que afectó a más de 200.000 equipos de unos 175 países.

Podcast de audio en el canal VEscudero en ivoox: https://www.ivoox.com/entrevista-a-vescudero-telediario-la-audios-mp3_rf_18736690_1.html


Fuente: Telediario de las 21:00h en la 1 de Radio Televisión Española (aprox. min 20)


Otras intervenciones recientes en medios de comunicación:

Colaboración con el ABC: "Bitcoin: anonimato y rentabilidad"

Tras el impacto a nivel mundial del ataque del malware WannaCry, en el presente artículo del ABC se indican algunas de las características que hacen de Bitcoin, la moneda preferida por los ciberdelincuentes para solicitar los pagos de los rescates de ficheros cifrados por ransomwares como WannaCry, Locky o Cryptolocker entre otros.

El artículo se publicó el 17/05/2017 en la sección de Sociedad, página 47. La edición digital publicada por ABC se puede consultar en: http://www.abc.es/tecnologia/redes/abci-bitcoin-anonimato-y-alta-rentabilidad-razones-para-usarlo-ciberdelincuencia-201705162208_noticia.html

Blockchain y Software Libre, una combinación explosiva

Portada de El Economista
Artículo en elEconomista.es
Artículo en el 'elEconomista.es' sobre la relación inherente entre Blockchain y el Software Libre.

Se puede afirmar sin temor a equivocarse que si hoy conocemos Bitcoin, Blockchain y multitud de otras tecnologías afines disruptivas, sin duda se lo debemos en gran parte al movimiento a favor del Software Libre.

En el artículo destaco la importancia del software libre en la industria del software y en la sociedad, aclaro las diferencias entre términos que a menudo se confunden entre sí, como son el software de código abierto, el software libre y el software gratuito.

Por último incido en la importancia de haber seleccionado una licencia para el código de Bitcoin, tan abierta y garantista con las libertades de los usuarios como la MIT License, así como los efectos tan favorables que ha tenido en el desarrollo del ecosistema Blockchain actual.

http://www.eleconomista.es/economia/noticias/8359143/05/17/El-Blockchain-para-impulsar-el-codigo-abierto-y-el-software-libre.html

Sunday, May 14, 2017

VEscudero en TV3: Ataque de Ransomware y su preferencia por bitcoin

Entrevista para TV3 (la televisión autonómica catalana) a razón del ataque con el ransomware WannaCry del 12 de mayo 2017 en el que los ordenadores de empresas de más de un centenar de países fueron simultáneamente infectados.

Entre las empresas afectadas por el ciberataque se encontraban ordenadores de Telefónica de España, el Sistema de Salud Nacional de Reino Unido (NHS) y del Ministerio del Interior ruso. 
Adicionalmente explico porqué los ciberdelicuentes prefieren recibir el dinero de sus extorsiones en bitcoins en lugar de hacerlo en euros, rublos o dólares.

Podcast audio en canal VEscudero en ivoox: https://www.ivoox.com/vescudero-tv3-ataque-ransomware-su-audios-mp3_rf_18668400_1.html

Fuente: TV3 Notícies 3/24

Saturday, May 13, 2017

5 claves sobre Bitcoin y el ransomware

Diario El País Retina con el artículo sobre el Malware y BTC
Artículo publicado en la edición digital de El País Retina y en la edición en papel del diario económico Cinco Días.

5 claves sobre Bitcoin y los ataques con Ransomware:

Friday, January 13, 2017

CISM - Certified Information Security Manager

CISM Certification
I HAVE PASSED THE CISM EXAM!!

Today I have received the results from the exam I took last month from ISACA in order to become a Certified Information Security Manager. Not only I have passed the exam, but my score was in the top 5% of all those testing. Working as a Security Professional, the CISM certification is probably one of the most valuable and recognizable certifications I could dream of, so a few months ago I decided to get ready for the exam. Today I have achieved my goal with honors.


CISM is a globally accepted achievement for individuals who develop, build and manage enterprise information security programs. Apart from the benefits of the knowledge and experience you get studying for the certification,  CISM is consistently ranked among the top three-paying certifications, so I highly recommend it.