PCI/DSS

En nuestra actualidad las tarjetas como medio de pago se han vuelto muy populares y a su vez fundamentales, es por eso que dos grandes compañías VISA y Mastercard crearon el estándar de protección de datos PCI/DSS con la intensión de minimizar el fraude en sus usos y a su vez apoyar a las organizaciones en la implementación de las buenas practicas de seguridad recogidas en esta norma. 

PCI/DSS es administrado actualmente por la empresa PCI Security Standards Council, que se basa en el mejoramiento de estándares de seguridad a través del desarrollo que ayude a la mejora de la protección de datos. 

Algunas características de este estándar son sus normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) que se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta y facilitar la adopción de medidas de seguridad uniformes a nivel mundial. Las PCI DSS están diseñadas para proporcionar una referencia de requisitos técnicos y operativos desarrollados para proteger los datos de los titulares de tarjetas. Las PCI DSS se aplican a todas las entidades que participan en el procesamiento de tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirientes, entidades emisoras y proveedores de servicios, como también todas las demás entidades que almacenan, procesan o transmiten CHD (datos del titular de la tarjeta) o SAD (datos de autenticación confidenciales).

Las PCI DSS constituyen un conjunto mínimo de requisitos para proteger los datos de titulares de tarjetas y se pueden mejorar por medio de controles y prácticas adicionales a fin de mitigar otros riesgos y de leyes y regulaciones locales, regionales y sectoriales. Además, la legislación o las regulaciones pueden requerir la protección específica de la información de identificación personal u otros elementos de datos (por ejemplo, el nombre del titular de la tarjeta). Las PCI DSS no sustituyen las leyes locales ni regionales, las regulaciones gubernamentales ni otros requisitos legales.

Los requisitos de las PCI DSS se aplican a las organizaciones y entornos en los que se almacenan, procesan o transmiten datos de cuenta (datos del titular de la tarjeta y datos de autenticación confidenciales). Algunos requisitos de las PCI DSS también se aplican a organizaciones que han tercerizado las operaciones de pago o la gestión del CDE (entorno de los datos del titular de la tarjeta) . Además, las organizaciones que tercerizan el CDE (entorno de los datos del titular de la tarjeta) o las operaciones de pagos a terceros deben asegurarse de que estos protejan los datos de cuenta de acuerdo con todos los requisitos correspondientes de las PCI DSS.

Alcance de los requisitos de las PCI DSS. . .

Los requisitos de seguridad de las PCI DSS se aplican a todos los componentes del sistema incluidos en el entorno de datos del titular de la tarjeta o conectados a este. El CDE (entorno de datos del titular de la tarjeta) consta de personas, procesos y tecnologías que almacenan, procesan o transmiten datos de titulares de tarjetas o datos confidenciales de autenticación. El término “componentes del sistema” incluye dispositivos de red, servidores, dispositivos informáticos y aplicaciones. Los componentes del sistema incluyen, a modo de ejemplo:

• Sistemas que ofrecen servicios de seguridad (por ejemplo, servidores de autenticación), que facilitan la segmentación (por ejemplo, firewalls internos) o que pueden afectar la seguridad del CDE (por ejemplo, servidores de resolución de nombres o de redireccionamiento web).
• Componentes de virtualización, como máquinas virtuales, interruptores/routers virtuales, dispositivos virtuales, aplicaciones/escritorios virtuales e hipervisores. 
• Los componentes de red incluyen, a modo de ejemplo, firewalls, interruptores, routers, puntos de acceso inalámbricos, aplicaciones de red y otras aplicaciones de seguridad. 
• Los tipos de servidores incluyen, a modo de ejemplo: web, aplicación, bases de datos, autenticación, correo electrónico, proxy, NTP (protocolo de tiempo de red) y DNS (servidor de nombre de dominio). 
• Aplicaciones, que abarcan todas las aplicaciones compradas y personalizadas, incluso las aplicaciones internas y externas (por ejemplo, Internet). 
• Cualquier otro componente o dispositivo ubicado en el CDE o conectado a este. 

El primer paso de una evaluación de las PCI DSS es determinar con exactitud el alcance de la revisión. Por lo menos una vez al año y antes de la evaluación anual, la entidad evaluada debería confirmar la exactitud del alcance de las PCI DSS al identificar todas las ubicaciones y los flujos de datos de titulares de tarjetas y al asegurar que se incluyan en el alcance de las PCI DSS. Para confirmar la exactitud e idoneidad del alcance de las PCI DSS, realice lo siguiente: 

• La entidad evaluada identifica y documenta la existencia de todos los datos del titular de la tarjeta en su entorno, con la finalidad de verificar que no haya datos del titular de la tarjeta fuera del CDE actualmente definido.
• Una vez que se hayan identificado y documentado todas las ubicaciones de los datos de los titulares de tarjetas, la entidad utiliza los resultados para verificar que el alcance de las PCI DSS sea apropiado (por ejemplo, los resultados pueden ser un diagrama o un inventario de ubicaciones de datos de titulares de tarjetas).
• La entidad considera que todos los datos del titular de la tarjeta encontrados están dentro del alcance de la evaluación de las PCI DSS y forman parte del CDE. Si la entidad identifica los datos que no están actualmente en el CDE, se deberán eliminar de manera segura, migrar al CDE actualmente definido o al CDE redefinido para incluir estos datos. 
• La entidad retiene la documentación que muestra cómo se determinó el alcance de las PCI DSS. La documentación se conserva para la revisión por parte de los asesores o como referencia durante la siguiente actividad anual de confirmación del alcance de las PCI DSS.

Mejores prácticas para implementar las PCI DSS en los procesos habituales. . .

A fin de garantizar que los controles de seguridad se sigan implementando correctamente, las PCI DSS deberán implementarse en las actividades BAU (habituales) como parte de la estrategia general de seguridad. Esto permite que la entidad supervise constantemente la eficacia de los controles de seguridad y que mantenga el cumplimiento de las PCI DSS en el entorno entre las evaluaciones de las PCI DSS. Ejemplos de cómo incorporar las PCI DSS en las actividades BAU:

1. Monitorear los controles de seguridad, tales como firewalls, IDS/IPS (sistemas de intrusión-detección o de intrusión-prevención), FIM (monitorización de la integridad de archivos), antivirus, controles de acceso, etc., para asegurarse de que funcionan correctamente y según lo previsto
2. Garantizar la detección de todas las fallas en los controles de seguridad y solucionarlas oportunamente. Los procesos para responder en caso de fallas en el control de seguridad son los siguientes:
   - Restaurar el control de seguridad.
   - Identificar la causa de la falla.
   - Identificar y abordar cualquier problema de seguridad que surja durante la falla del control de seguridad.
   - Implementar la mitigación (como procesos o controles técnicos) para evitar que la causa reaparezca.
   - Reanudar la monitorización del control de seguridad, quizás con una monitorización mejorada durante un tiempo a fin de verificar que el control funcione correctamente.
3. Revisar los cambios implementados en el entorno (por ejemplo, incorporación de nuevos sistemas, cambios en las configuraciones del sistema o la red) antes de finalizar el cambio y realizar las siguientes actividades:
   - Determinar el posible impacto en el alcance de las PCI DSS (por ejemplo, una nueva regla para los firewalls que permita la conectividad entre un sistema del CDE y otro sistema puede incorporar sistemas o redes adicionales al alcance de las PCI DSS).
   - Identificar los requisitos de las PCI DSS correspondientes a los sistemas y las redes afectados por los cambios (por ejemplo, si un nuevo sistema está dentro del alcance de las PCI DSS, se deberá configurar de acuerdo con las normas de configuración de sistemas, entre otros, FIM (monitorización de la integridad de archivos), AV (antivirus), parches, registros de auditorías, etc., y se deberá incorporar al programa trimestral de análisis de vulnerabilidades).
   - Actualizar el alcance de las PCI DSS e implementar los controles de seguridad, según sea necesario.
4. Si se implementan cambios en la estructura organizativa (por ejemplo, la adquisición o fusión de una empresa), se debe realizar una revisión formal del impacto en el alcance y en los requisitos de las PCI DSS.
5. Se deben realizar revisiones y comunicados periódicos para confirmar que los requisitos de las PCI DSS se siguen implementando y que el personal cumple con los procesos de seguridad. Estas revisiones periódicas deben abarcar todas las instalaciones y ubicaciones, en las que se incluyen tiendas minoristas, centros de datos, etc., e incluir la revisión de los componentes del sistema (o muestras de los componentes del sistema) a fin de verificar que siguen implementados los requisitos de las PCI DSS, por ejemplo, normas de configuración implementadas, parches y AV (antivirus) actualizados, registros de auditorías revisados y así sucesivamente. La entidad debe determinar la frecuencia de las revisiones periódicas en función del tamaño y de la complejidad del entorno. Estas revisiones también se pueden usar para verificar que se mantiene la evidencia correspondiente, por ejemplo, registros de auditorías, informes de análisis de vulnerabilidades, revisiones de firewall, etc., para ayudar a la entidad a prepararse para la siguiente evaluación sobre cumplimiento.
6. Revisar las tecnologías de hardware y software, al menos, una vez al año para confirmar que el proveedor las sigue admitiendo y que pueden satisfacer los requisitos de seguridad de la entidad, incluso las PCI DSS. Si se detecta que el proveedor ya no puede admitir las tecnologías o que no pueden satisfacer las necesidades de seguridad de la entidad, la entidad debe preparar un plan de recuperación que incluya el reemplazo de la tecnología si fuera necesario. 

Además de las prácticas anteriores, las organizaciones también deben considerar la opción de separar las tareas de las funciones de seguridad de modo que las funciones de seguridad y auditorías sean independientes de las funciones operativas. En entornos en los que una persona desempeña varias funciones (por ejemplo, operaciones de administración y seguridad), las tareas se deben asignar de manera tal que ninguna persona tenga control completo de un proceso sin un punto de verificación independiente. Por ejemplo, las tareas de configuración y de aprobación de cambios se pueden asignar a dos personas distintas.

GitHub

"Si no puedes con tu enemigo, únete a él". Una frase muy celebre del libro "El Arte de la Guerra" de Sun Tzu. Con mucha lógica por cierto, ya que en nuestros días se esta viendo muy seguido, sobre todo en la Corporación de Microsoft. Que ironía que hace unos años Steven Ballmer definieran a Linux como el cáncer de Microsoft y que en el transcurrir de nuestro año la compañía empiece amar a Linux con la genial idea de incorporarlo en un sistema llamado Azure, pero no solo les basto con esto, también tenían que adquirir una de las mayores empresas que nos brindaba gran parte de los repositorios que usamos los usuarios de Linux, afectando no solo a los programadores independientes sino que también poniendo en riesgo datos empresariales los cuales estaban basados en GIT.

Muchos de nosotros conocemos a GitHub desde los principios de nuestra carrera hasta la actualidad, sabiendo muy bien que funciona como una herramienta de seguridad, pentesting y hacking, que en el transcurrir de su vida ha llegado a ser una parte fundamental del Open Source. Pero no todo dura para siempre, y con el crecimiento exponencial de las nuevas herramientas de Microsoft desarrolladas con código abierto y tomando parte del kernel de Linux, no nos extrañemos de que en un tiempo se empiecen haber afectadas no solo una, sino que varias herramientas que usamos muchos de nosotros, los desarrolladores que no queremos depender de las políticas de una empresa que infligen nuestros derechos.

Muchos son los rumores del por qué de la nueva adquisición de Microsoft, algunos aseguran que GitHub estaba en quiebra, mientras que otros dicen que el mismo Linus Torvalds incentivo la idea de vender la empresa, lo cual no seria nada raro como muchos creerán, ya que en los inicios de la implementación de GNU con Linux, Linus Torvalds no estuvo de acuerdo dando como origen la idea del software privado. A su vez estimar la cantidad por la que se fue comprada también suele ser imprecisa ya que ambos lados suponen precios diferentes dejándonos con la intriga de cuanto dinero hubo de por medio. La noticia oficial asegura que GitHub fue comprada por 2 mil millones de Dolares, mientras que fuentes de Mircrosoft aseguran que fue comprada por mucho más, nada más que 7 mil quinientos millones de Dolares. El valor es incierto.
 
Esto significa que es verdad, ahora Microsoft no sera solo un sistema operativo como se cree, sino que a su vez empezara a implementar servicios de inteligencia artificial utilizando un software de Código Abierto, obviamente privatizado por ellos. El futuro de esta gran compañía asegura ser Azure. Pero mientras esto pasa, muchos de los usuarios que pertenecían a GitHub ahora se están trasladando a GitLab donde se cree encontrar la solución a los problemas de desarrollo de distintas empresas.

Estándar de Criptografía AES

Anteriormente habíamos mencionado las capaz de cifrado que utiliza la criptografía AES, pero no habíamos explorado a fondo sus principales características tanto de Cifrado como de Descifrado, por lo cual lo veremos en este articulo muy corto y sencillo a la vez.

CIFRADO. . .

SubBytes: La operación SubBytes consiste, según (NIS01), en una sustitución no lineal de bytes. Dicha sustitución se realiza aplicando la formula:

Existe una tabla de sustitución fija, llamada S-Box que aplica estas operaciones y permite realizar la operación SubBytes mediante un simple vistazo.

Entonces si necesitamos realizar la operación SubBytes al número {19}, no tenemos más que mirar la tabla, fijandonos en la fila 1x y la columna x9, obteniendo así que la transformación de {19} es {D4}. 

ShiftRows: La operación ShiftRows consiste, según (NIS01), en una rotación cíclica hacía la izquierda de las filas de la notación matricial del Estado, de manera que la primera fila permanece igual, la segunda fila se rota hacía la izquierda una posición, la tercer fila se rota hacía la izquierda dos posiciones y, por último, la cuarta fila se rota hacía la izquierda tres posiciones. 

A continuación mostraremos con claridad la función de esta operación.

MixColumns: En la operación MixColumns, los cuatro bytes de cada columna de la notación matricial del Estado se combina utilizando una transformación lineal invertible, como lo establece (NIS01). 

Cada columna se trata como un Polinomio y luego se multiplica el módulo x^4+1 con un polinomio fijo a(x)={03}x^3+{01}x^2+{01}x+{02}. Es más sencillo verlo como una multiplicación matricial, donde el Estado siempre se multiplica a la derecha de la misma matriz.

Multiplicando de esta manera, siempre teniendo en cuenta los aspectos matemáticos que hemos comentado, obtendremos el resultado de la operación MixColumns. Dentro de AES este es, sin duda, uno de los procesos más costosos en cuanto a cantidad de operaciones realizadas. 

AddRoundKey: La operación AddRoundKey consiste, según (NIS01), en la combinación de subclaves de ronda correspondiente con el Estado. Esta combinación se realiza a través de XOR.

En la imagen que corresponde al proceso de cifrado se observa que en la ronda inicial (Ronda 0) se realiza esta operación. En el caso que estamos estudiando, longitud de clave de 128 bits, la subclave de ronda 0 es la propia clave de cifrado. Es importante mencionar que, en el caso de tener claves de 192 y 256 bits, su correspondiente subclave de ronda 0 no es, lógicamente, la clave original, sino que sera un fragmento de 128 bits de está, en concreto sus 128 bits más significativos. 

DESCIFRADO. . .

InvSubBytes: Según (NIS01), la operación InvSubBytes es, al igual que la operación SubBytes, una sustitución no lineal de bytes. Dicha sustitución se realiza utilizando la formula:

De nuevo, existe una tabla de sustitución fija a la que hemos llamado InvS-box, la cual permite realizar la operación InvSubBytes de manera análoga a la operación SubBytes.

Esta tabla es inversa a la anterior que presentamos como S-box. Recordemos el ejercicio que se propuso anteriormente, en el que el byte {19}, a través de la operación SubBytes se transformo en el byte {D4}. Si ahora queremos aplicar la operación InvSubBytes al byte {D4}, miramos en la tabla la fila Dx y la columna x4, obteniendo así el byte {19}.

InvShiftRows: La operación InvShiftRows consiste, según (NIS01), es una rotación cíclica hacía la derecha de las filas de la notación matricial del Estado, de manera que la primera fila permanece igual, la segunda fila se rota hacía la derecha una posición, la tercera fila se rota hacía la derecha dos posiciones y, por último, la cuarta fila se rota hacía la derecha tres posiciones.

Consiste por tanto, en una rotación en dirección opuesta a la que se propuso en la operación ShiftRows. 

InvMixColumns: Según (NIS01), es la operación inversa a MixColumns. En ella cada columna se trata como un polinomio y luego se multiplica el módulo x^4 con un polinomio fijo a^-1(x)={0B}x^3+{0D}x^2+{09}x+{0E}. De nuevo es más intuitivo verlo como una multiplicación del Estado de la derecha de una matriz fija.

 AddRoundKey: en la operación AddRoundKey, se utilizan diferentes subclaves, todas derivadas de la clave original. 

La clave expandida, una sucesión de todas las subclaves, puede verse como una matriz de 4 filas por [4 × (Nr + 1)] columnas. Es decir, que la longitud de la clave expandida var´ıa dependiendo de Nr, que a su vez varía dependiendo de la longitud de clave. Por ejemplo, la clave expandida para una longitud de clave de 128 bits se representa como una matriz de 4 filas por (4 × 11), es decir, 44 columnas. Análogamente, para una longitud de clave de 192 bits (la cual se representa en la clave expandida como una matriz de 4 × 6), la clave expandida es una matriz de 4 filas por (4 × 13), o lo que es lo mismo, 52 columnas. Todas las subclaves utilizadas, para cualquier longitud de clave, son de 128 bits, o lo que es lo mismo, 4 columnas. Esa es la razón por la que a más longitud de clave, más número de rondas. Es importante señalar que el cálculo de subclaves es idéntico para longitudes de clave de 128 y 192 bits, mientras que para 256 bits varía en ciertos detalles. Un dato del AES, necesario para el cálculo de subclaves para claves de cualquier longitud, es la matriz Rcon. Dicha matriz, según [NIS01] es de la siguiente forma:

Las columnas de la matriz de clave ampliada se calculan en diez grupo (uno por cada columna de la matriz Rcon) de Nk columnas cada uno.

Criptografía AES

El AES (Advanced Encryption Standard), también llamado algoritmo Rijindae, fue diseñado en el 2000 por los expertos en criptografía Joan Daemen (STMicroelectronics) y Vicent Rijmen (Universidad Católica de Leuven, KUL, Bélgica) y fue seleccionado en una competencia convocada por el Instituto Nacional de Estándares y Tecnología (NIST) de EE.UU. El AES es técnicamente, un cifrado por bloques, y actualmente lo utilizan más de 1.700 productos validados por el NIST, además a sido aprobada por la Agencia Nacional de Seguridad Estadounidense (NSA) para proteger datos e información secreta del país "hoy día".

El AES es un cifrado en bloque de criptografía simétrica, es decir, trabaja cifrando y descifrando bloque a bloque, utilizando la misma clave privada para ambos procesos. Según (NIS01), en el estándar, el algoritmo Rijndael divide los datos de entrada en bloques de 4 palabras de 32 bits, es decir, 4 × 32 = 128 bits. Es necesario decir que el algoritmo Rijndael puede trabajar también con bloques mayores de 192 y 256 bits, pero no vienen contemplados en el estándar. Al bloque de datos se le conoce como Estado. En cuanto a la longitud de clave, el estándar trabaja con longitudes de Nk palabras de 32 bits, donde Nk = 4, 6 ´o 8. Es decir, que el algoritmo trabaja con longitudes de clave de 128 (4 × 32), 192 (6 × 32) ´o 256 (8 × 32) bits.

CIFRADO. . .

Para definir el proceso de cifrado del AES, vamos a asumir que la longitud de clave escogida es de 128 bits, ya que la longitud de clave no afecta a las diversas operaciones que realiza el cifrado. Con el objetivo de facilitar el entendimiento de las operaciones realizadas por el cifrador. Básicamente, el cifrador aplica al Estado cuatro operaciones durante un número determinado de rondas. Dicho número de rondas (Nr) viene definido por la longitud de clave utilizada, siendo Nr = 10 para una longitud de clave de 128 bits, Nr = 12 para 192 bits y Nr = 14 para 256 bits.

Las cuatro operaciones realizadas en el cifrado son denominadas:

• SubBytes.
• ShiftRows.
• MixColumns.
• AddRoundKey.

En primer lugar se realiza una ronda inicial en la que únicamente se aplica una operación AddRoundKey. Posteriormente, se realizan las nueve rondas principales, en las que se aplican las cuatro operaciones del cifrado en este orden: SubBytes, ShitfRows, Mix-Columns y AddRoundKey. Por último, se realiza la ronda final, en la que se aplican las operaciones SubBytes, ShiftRows y AddRoundKey, obteniendo así nuestro texto cifrado. Cabe destacar que en cada ronda se utilizan diferentes subclaves, derivadas de la clave original. De modo que en la ronda inicial se utiliza la clave original (si la clave es de 128 bits) y en la ronda final se utiliza la subclave número 10.

En otro artículo explicaremos como funciona cada una de las cuatro operaciones, destacando sus funciones matemáticas. 

DESCIFRADO. . .

Para definir el proceso de descifrado, vamos a suponer que la longitud de clave escogida es de 128 bits, lo cual implica 10 rondas. Hay que recordar que AES es un cifrador de clave simétrica, lo que quiere decir que la misma clave que se ha usado para cifrar los datos es la que se usará para descifrarlos. Básicamente, el proceso de descifrado consiste en aplicar, en orden inverso al del cifrado, las operaciones inversas a las descritas en el encriptador. De nuevo, tenemos cuatro operaciones diferentes:

• InvSubBytes.
• InvShiftRows.
• InvMixColumns.
• AddRoundKey.

La operación AddRoundKey es la misma que en la encriptación, es decir, una operación XOR entre el Estado y la subclave correspondiente. El proceso empieza en la última ronda, es decir, que la primera operación que aparece, AddRoundKey, utilizará la subclave número 10. Se puede deducir que si las longitudes de clave son 192 o 256 bits, la primera ronda que se usará en el descifrado será la 12 o la 14 respectivamente. Posteriormente se realiza la ronda 9, en la que se aplican al Estado las operaciones InvShiftRows, InvSubBytes y AddRoundKey. Por último, se realizan, hasta la ronda final (ronda 0), las diversas operaciones de descifrado en este orden: InvMixColumns, InvShiftRows, InvSubBytes y AddRoundKey. De nuevo, la subclave de ronda 0 es la clave original (si la longitud de clave es de 128 bits).

La criptografía AES comprende ser la más seguro a nivel Simétrico, obteniendo solo un reportaje de ataque efectivo, en el cual rompieron totalmente la seguridad obteniendo acceso a los datos. Se presento en el 2011 donde Andrey Bogdanov (investigador de la universidad de Leuven) trabajando temporalmente en el instituto de Microsoft, junto con Dmitry Khovratovich y Christian Rechberger fueron quienes lograron desarrollar una nueva estrategia de ataque al famoso algoritmo de encriptación con el que se puede obtener una clave secreta cuatro veces más fácilmente de lo que se estimaban los expertos. Desde su desarrollo, muchos especialistas han puesto a prueba la seguridad del algoritmo Rijndae sin éxito. Sólo en 2009 se identificaron algunas debilidades de este sistema de encriptación, pero eran más bien de interés matemático, sin que afectasen a la protección de datos. Pero la vulnerabilidad hallada tiene más importancia, aunque no tenga gran misterio en la seguridad ya que para romper el AES, incluso con la nueva estrategia de ataque desarrollada por Bogdanov y sus colegas, el número de intentos que hay que hacer para sacar una clave es un número casi ilegible: un ocho seguido de 37 ceros.  

Los investigadores emplearon un ataque Meet-in-the-Middle, una aproximación que ha sido principalmente empleada con algoritmos de hashing, combinándolo con un ataque "Biclique". Este método ha permitido a los investigadores calcular la clave de un par texto plano/texto cifrado más rápidamente que empleando un ataque de fuerza bruta en el espacio total de la llave. O sea, se ha reducido el número de claves que deben ser probadas. La fuerza bruta total con clave de 128 bits serían 2^128 posibilidades. Con este ataque serían necesarias "solo" 2^126.

En otras palabras se puede decir que el algoritmo está "roto" puesto que se ha reducido (aunque sea en 2 bits) el espacio de claves necesario para calcular la clave por fuerza bruta. Sin embargo, al decir que es ta roto no significa que no pueda ser usado con seguridad. Puesto que para un ataque contra una llave de 128 bits requiere diez millones de años empleando un parque de un billón de equipos probando cada uno de ellos un billón de claves. Al reducir en dos bits dicha clave, el tiempo se reduciría a 3 millones de años.

¿Qué es el GDPR?

Tras cuatro años de debate, la Unión Europea aprobó el Reglamento General de Protección de Datos (General Data Protection Regulation GDPR) en Abril de 2016. El GDPR está ya en vigor si bien no será de aplicación hasta el 25 de Mayo de 2018, fecha en la que se espera su pleno cumplimiento por parte de las empresas. El GDPR está diseñado para otorgar mayor control a las personas sobre sus datos personales y establecer unas reglas comunes en toda Europa de protección de los mismos. Las empresas fuera de la UE estarán sujetas a estas normativa cuando lleven a cabo actividades de tratamiento de datos personales de individuos que residan en la UE en relación con la oferta de bienes o servicios a los mismos o con el control de su comportamiento (en la medida en que este tenga lugar en la UE).

Se obliga a los clientes a ser responsables de garantizar el cumplimiento de las leyes y normativas aplicables, incluyendo el Reglamento General de Protección de Datos de la Unión Europea. Lo clientes son los únicos responsables de obtener asesoramiento legal competentemente a fin de identificar e interpretar cualquier ley normativa que pudiera afectar a su negocio, así como cualquier medida que deberían tomar para cumplir con dichas leyes y normativas.

Se producirá un incremento sustancial de las sanciones para aquellas organizaciones que no cumplan con este nuevo reglamento. Dichas sanciones pueden alcanzar los diez millones de euros, o un dos por ciento de la facturación global anual del ejercito financiero, en caso de infracciones en materia de, entre otros aspectos, medidas técnicas y organizativas para la protección de datos, mantenimiento de registros, notificación de violaciones de seguridad de los datos personales y obligaciones de evaluación de impacto relativa a la protección de los mismos.

Estas sanciones podrían duplicarse a veinte millones de euros o un cuatro por ciento de la facturación por infracciones relacionadas con la licitud del tratamiento, la falta del adecuado consentimiento, los derechos de los interesados y la transferencia de datos personales a un tercer país (fuera de la UE).

Las empresas deberán "implementar las medidas organizativas técnicas adecuadas teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento de datos personales, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas". Las garantías de la protección de datos deben integrarse en los productos y servicios desde las primeras etapas del desarrollo.

Dichas medidas, pueden incluir, entre otras:

• Seudonimización y cifrado de datos personales
• Capacidad de garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia de los sistemas de forma continua
• Capacidad de restaurar la disponibilidad y el acceso a los datos de forma puntual tras un incidente técnico o físico
• Introducción de un proceso para realizar pruebas y evaluar la efectividad de estos sistemas periódicamente  

El 26 de Enero de 2017, la Agencia Española de Protección de Datos publico la "Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento", que incluye una lista de verificación  que pretende ayudar a las organizaciones y usuarios a llevar a cabo una valoración de su situación frente a las principales obligaciones del GDPR. Desde mi punto de vista recomiendo leer esta guía para estar al tanto de como funciona esta ley, y ojala se pudiera implementar en otros países.

Criptografía RSA

Como muchos sabemos, la importancia de tener nuestros datos seguros hoy día es fundamental por ende en la seguridad informática usamos algo llamado criptografía, que no es nada nuevo para nuestros días ya que sus orígenes vienen de los Espartanos en el 400 A.C. incluso desde mucho antes. La criptografía proviene del griego Kryptos = Oculto & Graphia = Escritura dando origen a su definición como "El arte de escribir claves secretas". A través de los años se han descubierto nuevos métodos de cifrado evolucionando aun más el tema de la seguridad, pero en esta ocasión hablaremos de la Criptografía RSA, que supone ser la más "Segura" en nuestra actualidad, pero bien sabemos que para llegar un método de seguridad impenetrable nos falta mucho y a lo mejor no pase.

Pero antes de empezar debemos de reconocer las diferencias entre claves publicas y privadas, al igual que reconocer los diferentes sistemas de cifrado.

Sistemas de Cifrado. . . 

Un criptosistema se puede definir como una quintupla (M, C, K, E, D) ya que cada una de estas tiene un valor agregado, que da como resultado una definición en la hora de un cifrado.

• M = Representa el texto legible por una persona ya que no posee seguridad
• C  = Representa los posibles datos cifrados o criptogramas 
• K  = Representa el conjunto de claves que se pueden emplear en el criptosistema 
• E  = Es el conjunto donde se transforma los datos y se aplica la quintupla
• D  = Es el conjunto de transformaciones de cifrado, análogos a E

Tipos de Criptosistemas. . .

• Criptosistemas simétricos o de clave privada = Son aquellos que emplean una misma clave en cualquiera de sus funciones, bien sea para cifrar o descifrar. Lo que nos causa un conflicto ya que la clave debe estar tanto en el emisor como en el receptor dejándonos en duda como transmitirle la clave de forma segura. En este algoritmo simétrico se considera un clave segura al momento de poseer 128 bits.
• Criptosistemas asimétricos o de clave publica = Son aquellos que emplean una doble clave (kp; KP). kp = Se le considera la clave privada & KP = Se le considera la clave publica.  Una de ellas sirve para transformación o función E de cifrado y la otra, para transformación de D de descifrado, si no se posee una de estas es imposible de descifrar los datos cifrados y a su vez in deducible.

Una vez sabiendo esto ya podemos empezar con la descripción y análisis enfocándonos especifica en la Criptografía RSA.

El método de cifrado de datos conocido como algoritmo RSA, por los nombres de sus inventores Rivest, Shamir y Adleman, creado en el año 1977 y liberado al publico el 20 de Septiembre de 2000, es uno de los tipos de cifrados más usados hoy día para la transmisión segura de datos a través de canales inseguros. El RSA esta basado en un criptosistema de clave pública lo que comprende como tener dos claves (kp;KP).

Las claves públicas y privadas se calculan a partir de un número que se obtiene como producto de dos primos grandes haciendo que al momento en que un atacante quiera recuperar el texto claro a partir de criptograma y clave publica tiene que enfrentarse a dicho problema de factorización. Para esto se aplica un algoritmo clave muy sencillo.

La idea del algoritmo es la siguiente: 

Tenemos un mensaje M, empleando un protocolo reversible conocido como patrón de relleno convertimos el mensaje M en un número m menor que otro número dado n. Se genera el mensaje cifrado c: c = m^e  (mod n)

Se obtiene m descifrando el mensaje cifrado c: m = c^d (mod n)

Generación de claves: 

1. Tomamos 2 números primos p y q. Estos tienen que ser aleatorios e impredecibles. Importante impredecibles, porque un proceso puede ser perfectamente aleatorio, pero si se conoce, se puede predecir los valores, y por tanto, resultaría en una baja seguridad. 

2. Calculamos n=p*q. 

3. Calculamos φ(n). La función φ de Euler se define como el número de enteros positivos menores o iguales a n y coprimos con n (dos números son coprimos si no tienen ningún divisor común distinto 1 o -1). La función tiene las siguientes propiedades: 

• φ(1)=1. 
•  φ(p)= p-1 si p es primo. 
•  φ(p^k)= (p-1)*p^(k-1) si p es primo y k un número natural. 
•  φ(m*n)=φ(m)φ(n) si m y n son primos. 

De esta forma nos queda que para nuestro n=p*q: φ(n)=(p-1)*(q-1) 

4.-Escogemos un número e menor que φ(n) y que sea coprimo con φ(n). Este número será dado a conocer como exponente de la clave pública. 

5.-Obtenemos un número d mediante aritmética modular tal que d = e^(-1) mod(φ(n)) o lo que es lo mismo (d*e)-1 tiene que ser divisible por φ(n). 

De esta forma tenemos la clave pública formada por (n,e) y la privada formada por (n,d). 

p = 61 1º nº primo privado 

q = 53 2º nº primo privado 

n = p*q = 3233 producto p×q 

e = 17 exponente público 

d = 2753 exponente privado 

La clave pública (e, n). La clave privada es (d, n). La función de cifrado e. 

encrypt (m) = m^e   (mod) = m^17 (mod 3233)

Donde m es el texto sin cifrar. La función de descifrado es:
decrypt (c) = c^d (mod) = c^2753 (mod 3233)

Donde c es el texto cifrado. Para cifrar el valor del texto sin cifrar 123, nosotros calculamos:
encrypt (123) = 123^17 (mod 3233) =855

Para descifrar el valor del texto cifrado, nosotros calculamos:
decrypt (855) = 855^2753 (mod 3233) = 123

Como hemos mencionado anteriormente, RSA requiere de un esquema de rellenado dado que sino M puede conducirnos a textos cifrados inseguros. Hay múltiples algoritmos de rellenado, entre ellos podemos destacar OAEP (Optimal Asymetric Encription Padding) o SAEP (Simplified Asymetric Encryption Padding). 

USB Rubber Ducky

En nuestra actualidad nos damos cuenta de que las más grandes empresas necesitan obligatoria mente una parte enfocada específicamente a la Ciberseguridad, ya que el terrorismo no se ve de la misma manera que hace un siglo, aunque no podemos anexar de que esto aún sucede hoy día. Pero en nuestro cotidianidad nos damos cuenta que  los Cibercriminales están arrasando con todo desde los años 60, de igual manera existen personas con las misma capacidades como para combatirlas y darle un alivio a diversos usuarios a nivel mundial. Pero como ya muchos sabemos, las grandes compañías gastan millones de dólares en  Firewalls y dispositivos de contra medida, pero no se dan cuenta de que el eslabón más débil de la cadena de seguridad es el factor humano, por esta razón muchos ataques se dan gracias a las vulnerabilidades que poseen las personas, esto es muy fácil para un Cibercriminal al momento de estudiar al objetivo, como puede ser nuestra secretaria.

Como ya algunos saben existen múltiples hardware para robar información, siendo una de estas la USB Rubber Ducky creada y diseñada por Hack 5. Es una básica y simple herramienta de inyección de teclas disfrazadas como una unidad flash genérica, la cual las computadoras lo reconocen como un teclado normal y aceptan cargas útiles de teclado pre programadas a mas de 1.000 palabras por minuto. Las cargas útiles se elaboran con un lenguaje Scripting simple y se puede usar para colocar Shells invertidos, Inyectar Binarios, códigos pin de fuerza bruta y muchas otras funciones automatizadas para el probador de penetración y el administrador de sistemas. Desde el 2010 USB Rubber Ducky ha sido una arma muy apreciada entre los piratas informáticos, probadores de penetraciones y profesionales de TI.   

Al principio comentaba que el eslabón más débil es el factor humano, por una sencilla y fácil razón, estoy en el punto de decir que muchos de nosotros hemos visto en sitios de suma importancia donde la integridad de los datos debe ser muy elevada, pero a simple vista observamos puertos USB visibles al usuario, o simplemente podemos adquirir la capacidad de convencer a una persona de soltar la computadora por unos minutos, en los cuales solo basta con conectar un dispositivo para extraer toda la información posible. Muchos dirán que no es tan fácil ponerlo en practica, y están en toda la razón pero con algo de ayuda de la ingeniería social seria un ataque efectivo. A pesar de todo no podemos describir este ataque contenedor de un código malicioso ya que es un simple lenguaje ejecutando una orden tan sencilla que hace creer que existe un teclado externo, por ende ningún Antivirus o Antimalware esta en la capacidad de detectarlo. Por esta razón en las compañías se debería establecer una norma que proteja no solo al Software sino que también a los puertos de Hardware, impidiendo y administrando que dispositivos no confiables accedan al sistema. 

Aunque hoy día ya no es necesario obtener el hardware de Hacker Five ya que se puede desarrollar en una USB normal y con el mismo lenguaje, aunque obviamente, no solo tendremos que escribir el código que le ordene a la USB extraer archivos del sistema, sino que también tendremos que darle  la ejecución automática al momento de estar conectada a una computadora. Pero la tecnología avanza, y simplemente para hacernos la vida más fácil, es por ello que paginas se especializan en generar un código que nos ayude a ejecutar diversos tipos de ataques, tal es el caso de ducktoolkit.com.

Ahora yace la idea de estar inseguros, pero simplemente evolucionamos hasta llegar al momento de obtener herramientas de protección. Una de estas, sugerida por Adrian Crenshaw, quién dice que se debe tener USBDeview, en todas nuestras computadora para obtener en tiempo real toda la información de todos lo dispositivos USB que estén conectados, detectando aquellos que son PHUKD. Al igual existe otra herramienta llamada Shielducky que esta diseñada perfectamente para protegernos de Rubber Ducky.

Y para finalizar hay que aclarar que no solamente se pueden simular teclados con acceso a USB, existe un sin fin de funciones para crear y diseñar, solo basta la imaginación para generar un ataque vía USB . 

¿Nuestra red Local es Segura?

Muchos de nosotros nos sentimos seguros y felices al momento en que nuestra compañía de ISP (Proveedor de Servicios de Internet) instala en la comodidad de nuestros hogares un Módem, el cual nos brindaría acceso a Internet y a su ves protección con nuestro trágico de datos. Pero esto resulta ser falso ya que muchos de los Módems hoy día  suelen ser muy actualizados, por ende las empresas diseñadoras de software no cuentan con el tiempo suficiente para crear un controlador por cada dispositivo nuevo. Por esta razón, muchas son las incompatibilidades que se presentan al momento de instalar un Módem y establecer una red local con las computadoras de nuestros hogares.

A pesar de esto el solo Módem que se convierte en Router al momento de crear y administrar una red no es seguro, ya que cuenta con muchos fallos de seguridad que son públicos hoy día en cualquier comunidad de pentesting, y aún así son más arriesgados los dispositivos modernos.

Ya hace algún tiempo se creó el nuevo modelo de seguridad llamado WPA2 (Acceso Protegido a Wifi-2) que prometió ser el diseño perfecto para la seguridad de redes locales, a su vez se supone ser el sistema de cifrado más seguro de ondas de datos como las ya conocidas Wifi, pero nuestro mundo esta en un constante cambio llegando al punto de que nada sea seguro, ni siquiera en nuestros hogares donde se supone debería haber un rango alto, de privacidad. Ya esta confirmado que el modelo de seguridad WPA2 ya es vulnerable a múltiples ataques que acontecen hoy día. A su vez estos son propensos a ataques de fuerza bruta que en muchos casos suelen ser efectivos.

Pero esto no es todo, compañías de seguridad como la NSA están en el proyecto de crear un software que tenga la capacidad de descifrar cualquier tipo de protección que se este utilizando hoy día, y esto, supuesta mente para corroborar que no se están cometiendo delitos informatices dentro de la red privada. Después de saber esto, lo mejor que podríamos hacer y por nuestra supuesta seguridad, es establecer aparte del Módem otro router fijo que se encargue de configurar las IP fijas dentro de nuestra red, ya que muchas veces ocurre el error de que al Módem le llega una actualización de software y al momento de instalarse se re configuran las IPs de la red dando problemas de incompatibilidad. Por esta razón, si tenemos un Router fijo no presentará estas fallas. Seguidamente de este hardware se recomienda también instalar un dispositivo físico de Corta Fuego para que este analice y nos proteja del tráfico que entra y sale de nuestra red.

Y para terminar de complementar la seguridad en nuestros hogares es preferible tener y que este bien configurado, un software de Corta Fuegos en cada dispositivo, que tenga acceso a Internet, por defecto muchos de los Sistemas Operativos incluyen uno, pero son desventajosos al momento de nosotros creer que la configuración automática esta bien programada, ya que no es así, por esto se recomienda hacerlo manualmente para asegurarnos de que todo este funcionando correctamente.

A su vez es preferible tener un solo Sistema que pueda administrar todos los dispositivos conectados a la red local, para esto existen diversos software que podemos encontrar en Internet, en mi preferencia recomendaré uno al cual le he sometido varias pruebas y desde mi punto de vista digo que funciona perfectamente. Zentyal un software diseñado en base a código abierto, que nos brinda diferentes herramientas. Este se encuentra programado para crear Servidores pero a su vez lo podemos configurar para que se convierta en un administrador de nuestra Red Local. En cualquier versión nos brinda componentes utiles como los Dominios y Servicios, configuración y administración de Mail, Gateway y la Infraestructura que mejor nos beneficie acomodándose al uso que nosotros le queramos brindar.

La Backdoor de NSA

No es algo nuevo hablar de puertas traseras, ni de que tanto Microsoft, como Google nos observan, así como otras grandes compañías, de redes sociales y prestadoras de servicios "gratuitos" que al fin y al cabo no suelen ser tan gratuitos, ya que absorben nuestra información vendiéndola al mejor postor y contribuyendo con el famoso Marketing.

Como muchos saben hay distintas formas de crear Backdoor específicamente desde Kali Linux, que nos ofrece una gran biblioteca de herramientas. Pero si es algo grave mencionar que la NSA (Agencia de Seguridad Nacional de los Estados Unidos) nos vigila y puede obtener acceso a toda nuestra información en cuestión de segundos, aun sabiendo que es "Nacional" y no internacional, tiene acceso básicamente a la mayor parte de computadoras del mundo con un solo clic.

Fácilmente esto pasa ya que cada vez que Microsoft desarrolla un software nuevo, hablando específicamente de Sistemas Operativos la primera versión es mandada y analizada por la NSA con el único fin de instalar una puerta trasera con la ayuda y descares del password que Microsoft le obsequia para tener acceso a las computadoras que instalen este software. Después de esto el software es lanzado a la venta publica infectando a la mayor parte de computadoras en el mundo que confían en los servicios de Microsoft.

Pero esto no es todo, ya que cuando se descubren vulnerabilidades y fallas en los software, justo antes de lanzar la actualización de parche sucede el mismo proceso con la NSA. Y no solo son los Sistemas Operativos, también se vincula el ya conocido correo "gratuito" de Outlook.com, Sky Drive, y algunas bases de datos de esta compañía.

Lo escandaloso es que con el lanzamiento de Windows XP, Microsft hubiera negado la posibilidad de una backdoor en sus sistemas operativos y que años más tarde aceptara de que si exciten sin ningun tipo de preocupación. Además de que agencias de espionaje como NSA y la CIA cometen ataques de ransomware contra Microsoft infectando y poniendo en peligro aun más la integridad de la privacidad de los usuarios, que pagan justamente por esto, por estar seguros con un supuesto distribuidor confiable.

Y si, ya se a confirmado que Windows 10 también cuenta con una puerta trasera. Falta esperar si su nueva distribución de Azure Sphere también lleve un pequeño regalo, ya que esto si seria fatal, porque la propuesta de este nuevo Sistema Operativo es controlar todo, y si controla todo, simplemente no tendremos absolutamente nada de privacidad en nuestras vidas.

En la actualidad ya se ha difamado por todos los países el programa PRISM manejado y controlado por la NASA y NSA, pensando de que no esta muy lejos por ser controlado por otros grandes manipuladores de los gobiernos, en este programa se ven involucradas compañías como Facebook, Google, Microsoft y Whatsapp, que les han brindado toda la información de sus servidores, pero lo critico es que lo niegan a la vista del publico. El programa PRISM consiste en un rastreo de seguridad utilizando todos los medios tecnológicos existentes hoy día que se activan sin nuestro consentimiento, tales como Cámaras, Micrófonos y Chats que aun así, estando nuestros dispositivos apagados siguen funcionando y a su vez conectados.

Ahora no solo debemos de preocuparnos por los Cibercriminales sino también protegernos de nuestros propios gobiernos, a lo mejor preocuparnos de los Estados Unidos consolidado como Potencia Mundial  de Informática.

Azure Sphere

En nuestra actualidad los informáticos tenemos algo muy claro, la existencia del código abierto y del código privatizado, por obvias razones cuestionamos que estos dos no se puedan unirse para ser uno solo. Pero Microsoft transforma la idea de nuestro pensamiento con su sistema operativo Azure Sphere para IoT (Internet de Todo), esto es cuestionable ya que hace algún tiempo Steve Ballmer en el año 2001 declaro que Linux era un cáncer simplemente por que no privatizaba su código, como Microsoft siempre lo ha hecho.

Es considerable que Linux a sobrevivido a los numerosos cambios de la industria tecnológica y aún así seguir en el proceso de postularse como uno de los mejores, por no decir que el mejor. Ya venían aconteciendo ideas de que Microsoft le favorecía trabajar con otras compañías de código abierto aunque esto significara que tuviera que ser con su gran enemigo Linux. Por tal razón desde hace años se estuvieron haciendo pruebas con el Kernel de Linux para vincularlo con la visualización Hyper-V el cual representa el núcleo de Azure. En el 2014 Satya Nadella hizo publica la idea de que Amaba a Linux y dando a conocer que a finales de este año se lazaría la primera versión de Azure. 

Azure es la idea para mejorar y controlar todo software y hardware a través de IoT, así que no es nada rara ni descabellada  la idea, de que, en unos años vivamos con absolutamente todo a nuestro al rededor, manejado por un software o hasta inteligencia artificial. Azure utiliza tres fuentes fundamentales para la administración, el MCU, el sistema operativo y el ya conocido servicio en la nube. 

Aseguramiento con MCU. . .

Azure Sphere MCU es una nueva clase cruzada, combinando por primera vez procesadores de aplicaciones en tiempo real con conectividad y tecnología de seguridad incorporadas de Microsoft. Creando así un nuevo Microprocesador mucho más avanzado de los que existen hoy día, he implementadolo en cualquier objeto que pueda tener conexión a Internet. Algunas de las variantes de MCU es es el subsistema de seguridad Pluton que crea una raíz de confianza de hardware, que almacena claves privadas y ejecuta operaciones criptográficas complejas. Al momento de cruzar el MCU este combina la versatilidad y la potencia de un procesador Cortex-A con las reducidas garantías generales y en tiempo real de un procesador de clase Cortex-M. También se le integra la contectividad de red que proporciona experiencias seguras, confiables y garantiza que los dispositivos estén actualizados.

Sistema Operativo Protegido. . .

El sistema operativo Azure Sphere es altamente seguro según Microsoft ya que crea una plataforma fiables y de defensa en profundidad para las nuevas experiencias de IoT. Cuenta con conectores de aplicaciones seguras que comparten el código para agilidad, robustez y seguridad. Con los servicios de conectividad en el chip se asegura la conexión a la nube y brinda acceso al servicio de seguridad Azure Sphere. También posee un núcleo de Linux personalizado que permite la diversidad e innovación del silicio al igual que un monitor de seguridad. 

Seguridad en la Nube. . .
Azure Sphere da un servicio de seguridad de llave en mano que protege todos los dispositivos de Azure, lo que renueva la seguridad, al identificar amenazas emergentes y promover la confianza entre el dispositivo, la nube y otros puntos finales. Esta supuesto sistema ofrece muchas pautas de seguridad y accesibilidad fiable, al igual que permite la actualización de software de un modo sencillo y rápido.

Como parte del desarrollo de Azure, se creara una nueva herramienta vinculada con la nube para mover cargas existentes de trabajo VMware. Esto supone una migración de aplicaciones basadas en VMware a Azure.

Este nuevo sistema operativo se da a conocer como una nueva ayuda a los usuarios al controlar el IoT y estar conectado en todo momento, transformando a linux en un servidor y privatizando parte de su código, donde de seguro muchos estaríamos en contra. 

Por el momento Azure solo dispone de la nube y dentro de esta un mini sistema operativo, pero ya se ha anunciado que a finales de Noviembre de este año se lanzara a la venta dispositivos que traerán integrado el Sistema Azure Sphere. 

Privacidad y Seguridad en Internet. Parte #2

Navegadores seguros. . .

Si bien podemos decir que los navegadores más famosos como Google Chrome o Mozilla Firefox no son tan seguros como se cree. Ya que estos no cuentan con un sistema de seguridad que nos proteja ante presuntos rastreos de nuestra IP o envenenamiento de SEO al igual que nos expone a distintas amenazas de Malware estando en linea. Los navegadores que más seguridad nos brindan al momento de interactuar con Internet son Tor Y Epic Browser.

-TOR: Es un grupo de servidores operados por voluntarios que permiten a las personas mejorar su privacidad y seguridad en Internet. Los usuarios emplean la red conectándose a través de una serie de túneles en lugar de establecer una conexión directa. En este mismo orden de ideas Tor es una herramienta efectiva para eludir la censura, lo que permite a los usuarios llegar a destinos o contenidos bloqueados. Este navegador fue creado en código abierto, por tal razón una rama de la Marina de los EE.UU. Utiliza Tor para la recopilación de inteligencia en código abierto.

Tor protege la forma común de la vigilancia en Internet conocida como "Análisis de Trafico". En el momento de enviar algún tipo de dato así sea que este Cifrado, las personas con un conocimiento un poco amplio podrían ver los denominados encabezados, para saber de que trata la información. Por esta razón Tor hace saltos en red con diferentes servidores adquiriendo varias IP, de esta manera los proveedores de Internet solo saben la dirección del servidor, más no reconocen el camino hacia tu IP publica.

-Epic Browser: Es un navegador web privado y seguro, creado en Chromium. Este usa la navegación privada o incógnita en todo momento para que al cerrarlo se eliminen todos los datos de navegación, aparte de esto tiene algo muy importante y es la activación de Proxy Encripatado, para lograr ocultarse del Gobierno, de su ISP, de Google y otros recopiladores de datos, al igual que bloquea todas las herramientas web de seguimiento para impedir que guarden y vendan su información de navegación. En la actualidad hay más de 600 tipos de ataque y de recolección de información lo que hoy día nos hace vulnerables ya que contamos con muy poca seguridad ante estos incidentes, a su ves las diferentes empresas nos rastrean con diversos métodos como lo son:

= Cookies

= Dirección IP 

= Almacenamiento HTML5 

= Evercookies 

= Flash Cookies

= Huella Digital 

Verificación en Dos Pasos. . .

Si bien es sabio saber que un nombre de usuario y una contraseña hoy día no son nada seguras por los diversos avances en la informática. Es por esto que se aconseja tener otra verificación al momento de acceder a algún sitio web personal privado. Muchos correos electrónicos y redes sociales nos ofrecen estas verificaciones en Dos Pasos donde nuestro teléfono móvil se convierte en una segunda llave. En esta parte veremos una aplicación creada y diseñada por la famosa compañía Eleven Paths quienes desarrollaron Latch una aplicación para administrar y proteger diversas cuentas.

-LATCH: Este software te permite implementar un pestillo de seguridad en tus servicios online. De esta manera podremos bloquear temporalmente funcionalidades del servicio como el mecanismo de inicio de sesión, los pagos con tarjetas de crédito, el accesos a correos electrónicos, entre otras.

Además esta herramienta tiene un sistema de alerta que te permite identificar, en tiempo real, comportamientos sospechosos en las cuentas de tus usuarios.

Esta aplicación nos ofrece diferentes beneficios como son los siguientes:

= Controlar la fase de autenticación del servicio para que tus usuarios puedan bloquear o desbloquear el acceso al servicio.

= Habilita bloqueos en distintas operaciones de servicios tales como tarjetas de crédito, transferencias bancarias, cambios de configuración, entre otras.

= Ofrece un segundo factor de autenticación basados en una contraseña de un solo uso como función de seguridad opcional u obligatoria para tus usuarios