Tuesday, June 20, 2017

Aplicaciones de Blockchain en el ámbito de la Ciberseguridad (II)

Artículo publicado en CoinTelegraph
Artículo publicado en CoinTelegraph
El presente artículo es una continuación de la primera parte, en la que veíamos algunos casos de uso de la tecnología blockchain relacionados con la protección de la identidad. En esta ocasión dentro del ámbito de la Seguridad de la Información nos centraremos en otras dos grandes áreas que al igual que la identidad, también requieren protección, la integridad de los datos y las Infraestructuras críticas
 

Casos de uso de Blockchain en el ámbito de la Ciberseguridad

Dentro del ámbito de la Ciberseguridad, nos centraremos hoy en la protección de la integridad de los datos y la protección de infraestructuras críticas.

 

Protección de la Identidad

 
Léase la primera parte del presente artículo.

 

Protección de la integridad de datos

 
Como ya adelanté, la incorruptibilidad junto con la transparencia son dos de las características más interesantes de las cadenas de bloques, la primera para asegurar la integridad de los datos y la segunda para facilitar la trazabilidad de las modificaciones en caso de que éstas se produzcan. Existen decenas de proyectos interesantes que emplean soluciones basadas en blockchains, pero a modo de ejemplo tan sólo resaltaré 2 de ellos.
 
GuardTime es una compañía que ha desarrollado una tecnología denominada Keyless Signature Infrastructure (KSI) que logra reemplazar la autenticación de datos basada en claves. KSI almacena los firmas digitales de los ficheros originales en una cadena de bloques y posteriormente verifica las copias revisando de nuevo las firmas de las copias contrastándolas con las almacenadas en la cadena de bloques. Cualquier manipulación es rápidamente detectada, pues los hashes almacenados en la cadena de bloques reside en miles de nodos. La tecnología KSI está siendo empleada activamente en la industria Aeroespacial y Defensa entre otras, no en vano la compañía se creó a razón del primer ataque cibernético esponsorizado por un estado contra otro estado. El ataque DDOS se realizó en el 2007 contra Estonia y por primera vez surgió una gran pregunta de difícil respuesta: ¿En qué se puede confiar como certeza inalterable y en qué no?.

En el campo de la  Salud,  la compañía Gem está utilizando blockchain para proveer un mejor y más preciso control de acceso sobre los registros médicos de los pacientes, proveer una mayor transparencia y mejorar la trazabilidad de los cambios realizados sobre los registros médicos. La tecnología blockchain puede ayudar en la verificación de la integridad de los datos de un paciente, cuando éstos son compartidos entre diferentes organizaciones (p.ej diferentes hospitales, administraciones autonómicas, ...), permite crear registros de auditoría inmutables y asegura la integridad de los resultados obtenidos tras una prueba clínica. En Estados Unidos, normativas como HIPPA llevan años demandando un mayor nivel de protección de los datos médicos, dado su alto nivel de sensibilidad, una brecha que blockchain podría comenzar a reducir en los próximos años.

Protección de infraestructuras críticas


Las blockchains nos pueden ayudar a securizar los sistemas contra una gran multitud de amenazas que nos rodean, siendo especialmente efectivas allí donde existan puntos únicos de fallo o donde se concentren un mayor número de amenazas.

Existen un gran número de infraestructuras críticas que proteger, pero a menudo sólo reciben la atención que merecen cuando fallan. Precisamente escogeré el sistema de resolución de nombres DNS por uno de esos motivos. Muchos aún recuerda esos fatídicos días de finales de octubre del 2016 en el que un ataque de denegación de servicio distribuido (DDoS) sobre el proveedor de DNS Dyn afectó a muchos de los servicios más populares de internet.

El sistema actual de DNS está peligrosamente centralizado en unos pocos servidores raiz, el cual hasta fechas recientes ha estado bajo el control político del gobierno de Estados Unidos, si bien éste aunque sigue ejerciendo cierta tutela, ha delegado el control a un organimo internacional como ICANN.

Una cadena de bloques podría ayudar a construir un DNS distribuido y mucho más transparente  en donde el control sobre el registro de un dominio correspondiera únicamente a su dueño, lo cual haría virtualmente imposible que una sola entidad, gobierno incluido, pudiera manipular registros a su voluntad. Adicionalmente blockchain eliminaría las tasas asociadas a las consultas de DNS, pues tan sólo tendrían coste las actualizaciones o las creaciones de entradas en la cadena de bloques.

La utilización de los mecanismos de caching ha permitido a un sistema tan antiguo como el de DNS sobrevivir hasta nuestros días, pero a la vez el caching se convierte en una de las mayores debilidades del sistema, pues hace posible perpetrar grandes ataques DDoS contra servidores DNS, así como permitir a los gobiernos de regímenes opresivos censurar redes sociales y manipular registros de DNS.

Nebulis es un buen ejemplo de un sistema de DNS distribuido capaz de soportar un exceso de peticiones sin llegar a caer. Nebulis utiliza una cadena de bloques pública como la de Ethereum junto con IPFS (Interplanetary Filesystem) como alternativa distribuida a HTTP para registrar y resolver nombres de dominios.

__________

Si te perdiste la primera parte del presente artículo, puedes leerlo en: https://www.vescudero.net/2017/06/casos-de-uso-de-blockchain-en-ciberseguridad-parte-1.html
Para profundizar sobre las aplicaciones de Blockchain en las distintas industrias, recomiendo encarecidamente leer el libro "Blockchain la revolución industrial de internet" del cual soy coautor.

Monday, June 19, 2017

Intervencion en Telesur El ataque WannaCry y los rescates en bitcoins

Tras el ataque del ransomware WannaCry que afectó a nivel mundial a miles de ordenadores, la población se empieza a concienciar de que por desgracia los ciberdelincuentes suelen solicitar el pago de los rescates con criptomonedas como Bitcoin, Monero, etc, dado que éstas no son tan fácilmente rastreables como el dinero fiat.

Programa emitido el 19 de junio del 2017 en TeleSur para toda Latinoamérica.

Wednesday, June 14, 2017

Entrevista en Criptonoticias: Cómo conocí Bitcoin y Ripple

Entrevista para Criptonoticias

En esta entrevista publicada en el portal Criptonoticias, comento cuales fueron mis primeras experiencias con Bitcoin y con Ripple


Creo que el artículo completo realmente merece la pena leerlo entero, pues seguro que muchos de los lectores que se han introducido en el tema de las criptomonedas y blockchain se verán reflejados. 

En el artículo comento cómo conocí de la existencia de Bitcoin a los pocos meses de su nacimiento, gracias a varias personas a las que sinceramente he de reconocer que inicialmente no presté demasiada atención.

Cuando por fin una tercera persona me lo volvió a comentar,  mi curiosidad me hizo comenzar a investigar sobre Bitcoin y rápidamente descubrí que debajo había una tecnología completamente revolucionaria, Blockchain, que es la que realmente confería toda la potencia a ese expermiento llamado Bitcoin.

Supongo que algunos de los lectores ocasionales se sorprenderán también al descubrir que Ripple nació en realidad varios años antes que Bitcoin, si bien aquel Ripple nada tenía que ver con la versión que ha llegado a nuestros días. El Ripple actual que muchos conocen es sólo una versión del original, sobre el cual una empresa ha logrado tomar el control y ha añadido una criptomoneda (XRP) preminada que no existía en el Ripple original.

Friday, June 09, 2017

Aplicaciones de Blockchain en el ámbito de la Ciberseguridad (I)

Artículo publicado en CoinTelegraph
Artículo publicado en CoinTelegraph.es
A razón de los recientes ataques de malware producidos por el ransomware WannaCry, conocida mi pasión por la tecnología de Cadena de bloques y mi actividad profesional como Arquitecto de Seguridad para una importante entidad bancaria, muchas son las personas que insistentemente me preguntan cómo Blockchain podría haber ayudado a mitigar un problema como el sucedido, cuya repercusión se hizo notar en todo el mundo.

La realidad es que la aplicación de tecnologías basadas en Blockchain no habría impedido directamente un ataque de tal naturaleza, si bien la combinación de varias tecnologías ya existentes con otras basadas en Cadenas de bloques, hubiesen reducido la probabilidad del ataque y sobre todo su impacto hasta llevarlo a niveles de riesgo perfectamente gestionables.

Blockchain no es la panacea ni la solución a todos nuestros problemas, pero muchas de sus características hacen de esta tecnología una solución muy adecuada en determinadas áreas de la Seguridad Informática. Blockchain es especialmente útil cuando se trata de garantizar la integridad de la información, siendo capaz de prevenir y en muchas ocasiones eliminar la manipulación de los datos.

De la clásica terna que frecuentemente se utiliza para describir la Seguridad de la Información, esto es, confidencialidad, integridad y disponibilidad; las blockchains destacan especialmente en el terreno de la integridad, dada sus características de inmutabilidad y transparencia. No hay área de negocio que utilice datos sensibles que no se pueda beneficiar de esta tecnología, ya se trate de datos financieros, datos personales, médicos o de cualquier otra índole.

La descentralización de la información en una cadena de bloques también favorece la disponibilidad de la información en todo momento, pues se trata de una solución altamente robusta a prueba de fallos y casi imposible de detener. En aquellos casos donde la confidencialidad de la información sea un requisito, ésta se puede proteger haciendo uso de algoritmos criptográficos de cifrado.


Casos de uso de Blockchain en el ámbito de la Ciberseguridad


Dentro del ámbito de la Ciberseguridad, nos centraremos hoy tan sólo la primera de tres grandes áreas donde destacan especialmente las blockchains: protección de la identidad, protección de los datos y protección de las infraestructuras.


Protección de la Identidad


La publicación de claves públicas en una blockchain eliminaría el riesgo de propagación de claves falsas y permitiría a aplicaciones como GnuPG, WhatsApp o Telegram verificar la identidad de las personas con las que uno se comunica.

Bajo esta misma perspectiva, sería posible reemplazar la actual Infraestructura de Clave Pública (PKI), eliminando la necesidad de autoridades centrales de certificación, utilizando en su lugar un registro descentralizado y seguro de dominios y sus correspondientes claves. Un ejemplo de implementación de esta brillante idea la podemos encontrar en CertCoin.

Otra iniciativa interesante en el campo de la Protección de la Identidad la podríamos encontrar en el uso de blockchains para almacenar los hashes de certificados TLS/SSL emitidos así como los revocados para permitir que cualquier usuario pueda verificar la autenticidad de los certificados desde una fuente descentralizada y transparente. Como efecto colateral, el empleo de blockchains permite optimizar el acceso a la red realizando verificaciones de claves y firmas sobre copias almacenadas localmente. Se trataría de una iniciativa similar a la del proyecto que Google denominó 'Certificate Transparency', si bien existen ya otras muchas investigaciones en el área de PKIs sobre cadenas de bloques.

Mientras que miles de credenciales basados en pares usuario/contraseña son comprometidas a diario, haciendo de ellos una mala elección para proteger datos valiosos. Blockchain utiliza tecnología de cifrado robusto en lugar de credenciales basados en contraseña, por lo que reduce muy notablemente los casos de compromiso.

Otra de los aplicaciones de las blockchains es el relativo a la interacción entre dispositivos IoT (Internet of Things), pues su uso resuelve muchos de los problemas de seguridad de estos aparatos. De forma natural, Blockchain resuelve magistralemente la necesidad de los dispositivos IoT de identificarse y autenticarse unos con otros, comunicarse y coordinarse de forma segura a lo largo de la red empleando acuerdos predefinidos y ejecutar contratos inteligentes sin requerir para todo ello la presencia humana, ni la de ningún broker central, organismo regulador o autoridad de certificación. Un ejemplo de aplicación directa podemos encontrarlo en iniciativas como la de IOTA.

La capacidad de protección sobre la identidad que ofrece la tecnología de cadena de bloques es tal, que tan sólo la función de autenticación está siendo explotada por multitud de industrias. Por ejemplo, la industria automovilística ha visto en Blockchain un aliado para agilizar los procesos de compra y alquiler de vehículos, las universidades empiezan a certificar la autenticidad de los certificados de notas emitidos a sus alumnos y hasta el voto electrónico se beneficia de blockchain al consiguir reducir el fraude mediante la identificación de los votantes sin afectar a su privacidad.
__________

Este artículo ha sido tan sólo una primera parte en la que muestro sólo algunos usos de las Cadenas de bloques en el ámbito de la seguridad informática. Espero que te haya gustado y estés deseando leer mi próximo artículo como continuación de éste.

Tuesday, June 06, 2017

Casos de uso de Blockchain en Banca y el sector Financiero

Artículo publicado en CoinTelegraph
Artículo publicado en CoinTelegraph.es
Con motivo de la reciente publicación del libro "Blockchain: la revolución industrial de internet" y la inminente publicación de La Era de las BLOCK punto COM, cada vez son más las personas que me preguntan por las posibles implicaciones que Blockchain podría tener en su sector. Atendiendo a esta petición, comenzaré este artículo indicando algunos los usos actuales y futuros de esta tecnología en Banca y en el sector financiero en general. 

Casos de uso de Blockchain en el sector Financiero


a) Establecimiento de acuerdos y ejecución de contratos


Tan pronto como el registro de un activo digital se ha registrado en una cadena de bloques, su transmisión posterior automáticamente desencadena las operaciones de conciliación y apunte de asientos contables asociados. Es más, como no es posible disociar las operaciones de  transmisión  y registro ,  al actuar ambas  como si de una sola instrucción atómica se tratase, se garantiza en todo momento la consistencia de la información.
Los usuarios que hubiesen recibido un token digital, que representara, por ejemplo, la propiedad sobre los títulos de una compañía cotizada en el mercado continuo, estarían en disposición de poder recibir automáticamente los dividendos y los derecho a voto a los que diera lugar la posesión de las acciones de esa compañía.


b) Procesos de reconciliación y auditoría


Con el  uso de cadenas de bloques, las organizaciones pueden eliminar la hasta ahora imprescindible, pero costosa contabilidad de doble entrada, simplemente conectando el Back-office que realiza el procesamiento de una transacción con quien la genera.
Así, en lugar de tener que realizar periódicamente informes y auditorías para los reguladores, será posible comunicar datos en tiempo real, lo cual permite una mejor monitorización de riesgos por parte de los reguladores y supone menores costes de implementación de los requisitos regulatorios para las instituciones financieras.


c) Firma de mensajes en representación de un tercero


Hasta ahora, una empresa cuya actividad principal fuese la importación/exportación de mercancías, con frecuencia se veía obligada a solicitar una carta de su banco para probar que disponía de suficientes fondos en su cuenta antes de realizar una gran operación. Gracias a la tecnología Blockchain, la simple firma de un mensaje sobre la cadena de bloques bastaría para probar el acceso a dichos fondos.


d) Conexión con dispositivos IoT (Internet of Things)


Al permitir que los sistemas de una organización se conecten con los datos generados por miles de pequeños dispositivos, las organizaciones pueden obtener datos en tiempo real de infinidad de asuntos, tales como condiciones metereológicas muy destructivas (para aseguradoras), localización de clientes (prevención de fraude), estado de las instalaciones de producción (valoración de activos), etc.


e) Facilitar la transferencia de activos


Un libro mayor distribuído permitiría que los títulos de propiedad puedan ser intercambiados libremente en el mercado y, además, estar  asociados a un objeto inteligente. Por ejemplo, una cerradura electrónica que tan sólo se abriría con una determinada clave.


f) Automatización de los procesos de cumplimiento regulatorio


Si todas las transacciones de compra-venta de activos se realizasen sobre una cadena de bloques, donde las operaciones estuviesen cifradas con las claves de cada una de las contrapartes, más la del regulador, éste último podría conocer casi en tiempo real la posición financiera de cada uno de los intervinientes en la operación.  Asimismo, podría saber si las transacciones adicionales podrían exceder el nivel de riesgo o los requerimientos de capital necesarios. En situaciones donde estos umbrales se superasen, el regulador podría automáticamente cerrar el acceso a mercados específicos o imponer sanciones.
Una blockchain privada (permissioned ledger) podría contener todas las reglas de operación, regulación, auditoría y controles internos embebidos en su propio código de ejecución, haciendo innecesaria gran parte de las atribuciones actuales que hoy en día tienen ciertas instituciones centrales y organismos supervisores y reguladores.


g) Identidad portable


La ventaja de las cadenas de bloques es que al estar basadas  en criptografía  no es necesario requerir credenciales a los  usuarios. Esto significa que los participantes en una Blockchain pueden construir su propia identidad, símplemente, generando una llave privada a la que solo ellos tengan acceso. La entidad, ya se trate de un individuo o un negocio, puede portar su identidad a lo largo de diferentes servicios siempre y cuando mantenga la misma dirección.
La identidad se puede mantener a salvo mediante el uso de una clave maestra y algún otro factor de autenticación adicional como podría ser la huella  huella, o un código de Google authenticator, mientras que se puede generar un nuevo token por cada nueva identidad que se quiera crear para un servicio en particular, siendo decisión del usuario relacionar ambos perfiles entre sí o mantenerlos totalmente separados.


h) Compañías automatizadas y nuevos vehículos de inversión


Como los activos y los fondos pueden interaccionar directamente entre sí a través de una cadena de bloques, nuevos vehículos de inversión basados en la ejecución de contratos inteligentes podrían determinar con precisión las propiedades de un negocio con total transparencia.
 La cadena de bloques pueden registrar tanto la emisión de nuevas acciones como la negociación de las ya existentes. Las instituciones financieras pueden elegir comerciar dentro de sus propios pools de liquidez, utilizando por ejemplo sidechains, pero sus acuerdos con terceros, necesariamente deben poder enlazarse en la cadena de bloques principal a través de un proceso de reconciliación automático.

 __________

En los próximos artículo me centraré en nuevos casos de uso de Blockchain en el ámbito de la Ciberseguridad I y II, espero que os gusten.