Mensajes recientes

Páginas: [1] 2 3 ... 10
1
Criptografía / El cifrado de grado militar
« Último mensaje por AXCESS en Hoy a las 11:44:00 pm »
You are not allowed to view links. Register or Login

Muchos de nosotros hemos visto a los mejores servicios de VPN anunciar que su producto viene con "cifrado de grado militar", así como otros servicios u compañías que ofrecen una seguridad requerida: ya sea de comunicaciones punto a punto, o almacenaje, contraseñas, etc.

¿Cómo funciona el cifrado?

El cifrado ha jugado un papel importante durante miles de años. Con el avance de la tecnología moderna, siempre se mantuvo a la vanguardia de la innovación, en constante evolución. Si bien cambió de forma y evolucionó a lo largo de la historia, el cifrado siempre ha funcionado de la misma manera.

Para que funcione, el cifrado necesita una clave segura que descifre y cifre. Sin una clave que pudiera descifrar el texto o el algoritmo cifrado, el cifrado permanecería.

En la comunicación en línea, los usuarios pueden aplicar software de encriptación para proteger sus datos privados de cualquier persona que quiera obtenerlos.

Mediante el uso de un algoritmo matemático, el cifrado codifica los datos de tal manera que solo pueden ser codificados por una clave específica.

Hay muchos tipos de cifrados, cada uno de los cuales proporciona un cierto nivel de seguridad.

Actualmente, el cifrado más fuerte y más utilizado es AES, también conocido como Estándar de Cifrado Avanzado.
Ofrece una clave de cifrado que alcanza un tamaño de hasta 256 bits, cifrado que puede resistir prácticamente cualquier ataque de hackers.

¿Es el cifrado de grado militar el cifrado más seguro disponible en la actualidad?


En primer lugar es bueno aclarar que no existe una encriptación de grado militar como tal. Este término tiene su origen en el tipo de encriptación usada por los militares, pensada para ofrecer la máxima protección a la información.

Hace por tanto referencia al máximo nivel posible de seguridad que se puede obtener.
Es el cifrado AES más alto disponible.

Pese a que es un término que lleva ya tiempo siendo mencionado, no hay un estándar internacional común para este tipo de encriptación.
No existe para este tipo en concreto, porque para la encriptación en general existen varios estándares, y ninguno de ellos han sido aprobados por los ministerios de defensa o ejércitos en el mundo. Aunque siempre se reconoce como el más potente, que normalmente se usa para hacer referencia a la encriptación de grado militar, al AES-256.

Con eso en línea, cuando un servicio ofrece a sus clientes un estándar de encriptación de grado militar, significa que les están brindando el protocolo de encriptación más seguro y confiable actualmente disponible.

Idealmente, al elegir un servicio, los usuarios deben buscar uno que ofrezca los estándares de cifrado más altos posibles

¿Qué tan seguro es el cifrado de grado militar?

Como hemos mencionado, hay una serie de estándares de encriptación, los conocidos como AES (Estándares de Encriptación Avanzados).
En estos tipos se llevan a cabo operaciones matemáticas complejas, ya que la clave que cifra un documento en concreto es una tabla con una enorme cantidad de valores. Durante varias rondas se va transformando el valor original en uno nuevo. En el estándar AES-256, el más potente de todos, se realizan 14 rondas.

A medida el nivel del AES que se use se incrementa, el tiempo que se necesita para descifrar dicha clave es superior. Esto supone que poder descifrar la misma es algo muy complejo, que garantiza por tanto una gran protección a esa información. Es por eso que es este AES-256 el que se usa en multitud de sistemas, para proteger archivos e información.

¿Es realmente seguro?

Como se mencionó anteriormente, puede resistir “casi cualquier intento” de intrusión. Esto se debe a que tiene muchas capas de seguridad, por lo que cada vez que un hacker viola una de las capas, el sistema cierra automáticamente su punto de entrada y tiene que encontrar otra forma de entrar.

Al mismo tiempo, cuando el sistema reconoce una brecha, comienza rastrear al propio hacker como contramedida, cuando se encuentra en un sistema.

Este tipo de cifrado es la mejor manera de prevenir y detener posibles violaciones de seguridad.
 
No solo las VPN´s, hacen uso de este estándar. También el archivo de claves de banca, o programas destinados de forma exclusiva a la encriptación de archivos.

Se usa porque es el recomendado por gobiernos, expertos en seguridad y hasta la propia NSA (Agencia de Seguridad Nacional en Estados Unidos); y lo presentan como la mejor forma de encriptar información clasificada. Esto le ha ayudado a obtener ese nombre de encriptación de grado militar.

El cifrado es un factor vital para su privacidad en línea, así que asegúrese de obtener el mejor que existe.

Fuente:
Varias sobre Internet.

2
Seguridad / Puede cualquier nación o gobierno leer nuestros emails?
« Último mensaje por AXCESS en Hoy a las 11:24:03 pm »
You are not allowed to view links. Register or Login

Es una pregunta que más de uno se ha hecho.
La respuesta está dada por la nación, a la cual pertenezca, así como la compañía que brinde los servicios que usa de email (u otros).

Pongamos un clásico ejemplo: Gmail.

Gmail, pertenece a Google y es una compañía norteamericana.
La misma declara, y le es de interés hacer saber, que nadie está leyendo los emails… sin el permiso del propietario.

Ya hace un tiempo, Suzanne Frey, directora de seguridad, confianza y privacidad de Google Cloud, admite que Google permite que los desarrolladores externos, accedan a sus mensajes de Gmail, pero solo si les ha otorgado permisos, y solo después de que pasen una revisión estricta. Hace referencia a compañías de terceros y sus aplicaciones.

"Antes de que una aplicación, que no sea de Google, pueda acceder a sus mensajes de Gmail, pasa por un proceso de revisión de varios pasos, que incluye revisiones automáticas y manuales del desarrollador, evaluación de la política de privacidad de la aplicación y de la página de inicio, para garantizar que sea una aplicación legítima. Y posteriores pruebas en la aplicación para garantizar que funcione como dice ", declaró Frey.

En cambio investigaciones como las del Wall Street Journal, han brindado pruebas sólidas, en las que se evidencia que Google "hace poco para vigilar a estos desarrolladores", que en algunos casos, sus empleados leen los correos electrónicos de los usuarios. Según el informe, los empleados de una empresa llamada Return Path leyeron unos 8.000 correos electrónicos de usuarios para ayudar a entrenar su software.

La práctica de compartir datos de usuarios con empresas de terceros se hizo de conocimiento común, después que se reveló que Facebook permitía que numerosas aplicaciones de terceros recolectaran cantidades masivas de datos de sus usuarios para sus propios fines.
Google ha sido un poco más cuidadoso que Facebook cuando se trata de proteger su privacidad. Por ejemplo, la compañía dejó de usar el contenido de los correos electrónicos de los usuarios en Gmail para personalizar sus anuncios en 2017.
 
Frey también señaló que "nadie en Google lee tu Gmail".

Sin embargo, hay excepciones a esa regla.
 
Según la compañía, estos incluyen "casos muy específicos en los que Ud. nos solicita y da su consentimiento, o cuando lo necesitamos “por motivos de seguridad”, como investigar un error o abuso".

Las compañías y el Gobierno

Si esto es por razones económicas, qué hay con los contratos  gubernamentales?

Pues en efecto, las distintas agencias gubernamentales pueden acceder a las bases de datos de los servidores, de todas las compañías que sean portadoras de información, que les sea de interés (no solo algo tan privado como los emails).

Veamos a una de las principales agencias de seguridad, pertenecientes al gobierno norteamericano como ejemplo:

La Agencia de Seguridad Nacional (NSA) es la principal agencia de inteligencia criptográfica y de señales de los Estados Unidos. Para espiar las comunicaciones extranjeras, opera plataformas de recopilación de datos en más de 50 países y utiliza aviones, submarinos, barcos, satélites, y camiones especialmente modificados, e inteligentemente disfrazados. Ha logrado romper los sistemas criptográficos de la mayoría de sus objetivos, y se enorgullece de enviar un producto de primer nivel al presidente de los Estados Unidos.

Dentro de los Estados Unidos, la colección de la NSA está regulada por la Ley de Vigilancia de Inteligencia Extranjera, aprobada en 1978 para proporcionar un marco legal, que permita regular, e interceptar comunicaciones relacionadas con inteligencia extranjera o terrorismo, cuando una de las partes se encuentra dentro de los Estados Unidos y podría ser considerada “de interés".

¿Entonces… la NSA lee, o pudiera leer mi correo electrónico?

Según las declaraciones públicas del ex director de la Agencia de Seguridad Nacional, los abogados del Departamento de Justicia, y otras personas involucradas en las operaciones de la NSA, así como la información confidencial proporcionada a los autores y verificada de forma independiente por los funcionarios que leyeron los programas, a continuación se explica cómo la NSA te espía… o pudiera hacerlo:

1-   Si llama regularmente (o contacta) a personas en Pakistán, Yemen, Venezuela, China, Rusia, (o un sinfín de otras naciones de interés para US), “es posible” que sus registros telefónicos hayan pasado por los servidores de la NSA. Sin embargo, lo más probable es que si ha estado llamando a parientes, o personas sin interés, nadie en la NSA sepa (conozca) de ellos. Un programa (software especialmente diseñado) “filtra” la información de identificación real, y/o la almacena (registro) para posibles enlaces a modo de base de datos.

2-   Si ha enviado un correo electrónico desde una dirección IP que ha sido utilizada por delincuentes en el pasado (las direcciones IP pueden ser falsificadas), los metadatos de su correo electrónico: las direcciones ocultas que le indican a Internet dónde enviarlo. (es decir, las líneas Para y De, la línea de asunto, la longitud y el tipo de correo electrónico) probablemente pasaron a través de un servidor de la NSA. Las posibilidades de que un analista o una computadora realmente lean el contenido de un correo electrónico son elevadas. Están priorizados destinos (objetivos) preseleccionados.

3-   Si trabaja para un miembro de la “Base Industrial de Defensa” en proyectos sensibles y su empresa utiliza Verizon y AT&T, es probable que las computadoras (el sistema) de la NSA hayan examinado su correo electrónico. Entre los filtros se encuentra el detectar malware, o enlaces de espionaje como “células dormidas”.

4-   Antes de 2007, si usted, como ciudadano estadounidense, trabajaba en el extranjero en una zona de guerra o cerca de ella, existe “la posibilidad” de que un analista de la NSA, o un miembro del Servicio Central de Seguridad de la NSA lo “recolectaran” (nombre dado a los elementos del servicio militar que componen gran parte de la fuerza laboral de la NSA).

5-   Si, desde septiembre de 2001 hasta el presente, llamó o envió un correo electrónico desde o hacia regiones asociadas con el terrorismo (o de interés en el momento) y utilizó compañías estadounidenses de Internet para hacerlo, “es probable” que su registro de transacciones (con información de identificación) haya sido recopilado por su empresa de telecomunicaciones y haya pasado por la NSA. Luego se analizaron los registros y existe “la posibilidad” de que una persona o una computadora los lea o muestre. La NSA pedía a las empresas de telecomunicaciones tramos de datos que se correlacionaran con comunidades de interés particulares, y luego usaba una variedad de técnicas clasificadas y no clasificadas para predecir, basándose en su análisis, quién probablemente estaría asociado con el terrorismo (u otras actividades). Esta determinación requirió al menos una pieza de evidencia externa adicional e independiente.

6-   Existe “la posibilidad” de que la NSA haya pasado estos datos al FBI para una mayor investigación. Existe “una elevada posibilidad” de que el FBI haya actuado sobre esta información.

7-   Se define "recopilación" en el sentido más amplio posible, y es muy probable que si la NSA quisiera obtener su información transaccional en tiempo real y conociera su identidad directa (o tuviera una idea aproximada de quién es Ud. (que para ello está Google, Facebook, y compañías propias o dependientes ISP´s), pueden hacerlo.

8-   Si la NSA recibe permiso de un juez para intervenir a una corporación o una organización benéfica que pueda estar asociada con el terrorismo (u otra actividad de interés), y su empresa, que es completamente independiente de la organización en cuestión, comparte una ubicación con ella (ya sea porque se encuentra en el mismo edificio o tiene un contrato con la empresa para compartir servicios de Internet), existe la posibilidad de que la NSA recopile su correo electrónico de trabajo y sus llamadas telefónicas.


9-   Si alguna de sus comunicaciones fue recopilada “accidentalmente” por la NSA, es probable que aún exista en algún lugar, sujeto a requisitos de minimización clasificados. (La principal base de datos de inteligencia de señales de la NSA tiene el nombre en código PINWALE). Este es el caso incluso después de que ciertas actividades de recolección se volvieron ilegales con la aprobación de la Ley de Enmiendas FISA del 2007, el marco que rige la recolección doméstica. La ley no requiere que la NSA destruya los datos.

10-   Si usted es de ascendencia árabe (o de interés) y asiste a una mezquita (o lugar de reunión) cuyo imán (o líder) estaba vinculado, a través de grados de asociación, con organizaciones benéficas islámicas consideradas partidarios del terrorismo, las computadoras (sistema) de la NSA “probablemente” analizaron los metadatos de sus comunicaciones telefónicas y correo electrónico.


11-   Las posibilidades, si no es un criminal o un terrorista, de que un analista de la NSA escuche una de sus conversaciones telefónicas o lea uno de sus mensajes de correo electrónico son pequeñas, dados los desafíos tecnológicos asociados con el programa, no para mencionar la falta de mano de obra disponible para clasificar sus comunicaciones irrelevantes. Si ocurriera una recolección no intencional (una recolección excesiva), se eliminaría y no se almacenaría en ninguna base de datos.


Con respecto a otras agencias como el FBI, la CIA, etc., poseen sus propios sistemas de recolección, y pueden acceder a los servidores de cualquier compañía que se encuentre en territorio estadounidense, independiente de su nacionalidad, o marco de información que maneje. Fue notorio en su tiempo cuando el FBI accedió a los servidores de email de Hushmail.

También existen marcos legales dentro de la nación (ej: la Ley Patriota*) y que abarca extensiones internacionales con naciones aliadas, con convenios de seguridad previamente establecidos. Por lo que sí, las compañías fueran de estas naciones (ej: Canadá), a través de estos convenios, podrían las agencias de seguridad norteamericanas, intercambiar información y acceder a sus servidores en suelo extranjero.

* La Ley Patriota de los Estados Unidos es un acrónimo de “Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism” (Unir y Fortalecer América al Proporcionar las Herramientas necesarias para Interceptar y Obstruir el Terrorismo). Es una ley extraterritorial, y abarca la jurisdicción internacional, apoyándose en los tratados internacionales y convenios bilaterales

Otros detalles sobre el ejemplo de la NSA:

Unas tres docenas de personas dentro de la NSA tienen la autoridad para leer el contenido del material derivado de FISA (Foreign Intelligence Surveillance Act), todo lo cual ahora está sujeto a una orden judicial (aunque no necesariamente como es el caso de la Ley Patriota).
 
-¿Puede la NSA compartir el producto FISA de personas estadounidenses con otros países?
Por ley no puede y no lo hace. (El FBI puede, y lo hace).

-¿Cuál es el tamaño del personal de cumplimiento que supervisa la recaudación nacional?
Cuatro o cinco personas, según el ciclo presupuestario.

-¿Cuántas personas ajenas a la NSA tienen conocimiento de todos los detalles del programa?
Más de mil.
 
-¿Cómo puede saber si ha sido vigilado accidental o accidentalmente?
 
No puedes. Puede demandar (si radica en suelo norteamericano y posee la ciudadanía), pero el gobierno invocará un privilegio de secretos de estado, y los jueces probablemente estarán de acuerdo, incluso cuando pueda probar sin ninguna evidencia secreta que existe una causa probable para creer que fue vigilado.

Los norteamericanos son los malos?

El anterior ejemplo no es exclusivo de los Estados Unidos, y es solo una ilustración.
La diferencia la marca el poseer la tecnología y los medios.
Estos medios muchas veces se reflejan en modo de alianzas, sobre temas de interés: narcotráfico, tráfico ilegal de personas, terrorismo, espionaje, u cualquiera de los aspectos que inmiscuyan a la Seguridad Nacional de las naciones implicadas.

Internacionalmente, un usuario común, según sus hábitos, aplicaciones y hardware, o sistemas que use, sus datos pueden haber sido interceptados o recopilados por Rusia, China o Israel. Muy especialmente si  ha viajado a esos países, o es nacional, o persona de valor estratégico de alguna nación de interés. El FBI silenciosamente ha encontrado y eliminado transmisores en varias torres de telefonía celular en el área de Washington, DC que alimentaban todos los datos, a las salas de cables en embajadas extranjeras. Son legendarios los sistemas de espionajes Rusos, ya con un control absoluto en su segmentación del internet. Y los Chinos no dejan de ser noticia en casos similares, como es el escándalo de la compañía Huawei, entre otros.

A qué conclusiones llegamos?

Pues, sus email, y comunicación en general privada (llamadas, contactos, hábitos de navegación, etc.), pueden estar siendo monitoreadas, si es Ud. una persona de interés. Ya sea por compañías, con fines comerciales, o gubernamental.

Sea sabio escogiendo los servicios sobre internet, cuyas compañías, le brinden un rango razonable de seguridad y garantías sobre este aspecto, como es el cifrado de punto a punto, o leyes que internacionalmente le protejan (ley GDPR/RGPD – Reglamento General de Protección de Datos), etc.

Fuente:
Varias sobre Internet

3
You are not allowed to view links. Register or Login

Claro está que yo no almaceno ni un .txt en la nube XD, por pura paranoia, para mi lo mejor: disco externo cifrado.


Yo no sé de dónde la gente saca tanta desconfianza…

You are not allowed to view links. Register or Login

4
Off Topic / Re:¿De donde sois?
« Último mensaje por AXCESS en Hoy a las 11:04:47 pm »
You are not allowed to view links. Register or Login

XD
5
Excelente artículo, muy claro y sobre todo informativo.
6
Dudas y pedidos generales / Re:Clonando página web con inicio de sesión
« Último mensaje por tr0n en Hoy a las 09:34:16 am »
¿Cómo clonaste la página?
¿clonaste un repositorio y estas tratando de subir la página?, o ¿simplemente es una página en internet que copiaste el html+css+js?
Si fue la segunda opción no te va a funcionar porque igual necesitas el código de la parte del servidor (backend) que por obvias razones no va a estar expuesto, eso sin contar que necesitarías la base de datos del sistema.
7
Off Topic / Re:¿De donde sois?
« Último mensaje por The_Coder en Hoy a las 05:02:19 am »
Freund, ich bin Deutscher
8
Otro genio que se nos va... D.E.P. Ron Cobb
9
Dudas y pedidos generales / Clonando página web con inicio de sesión
« Último mensaje por Omar_ en Hoy a las 04:54:22 am »
Buenas, como dice el título clone una página, pero como tiene inicio de sesión no puedo acceder a las funciones completas de la web. Alguna forma de evadir dicha circunstancia?
10
Noticias Informáticas / Project Natick, dos años después lo han sacado de nuevo a la superficie
« Último mensaje por Dragora en Septiembre 22, 2020, 07:44:04 pm »

En junio de 2018 Microsoft anunció uno de sus proyectos más curiosos: Project Natick. La idea era sumergir un centro de datos con 864 servidores en el fondo del océano para ver si es más fácil mantenerlo ahí que en la superficie. Dos años después lo han sacado de nuevo a superficie una vez el experimento ha finalizado. Y parece ser que ha sido todo un éxito.

Cuando almacenamos "en la nube" o "en Internet" nuestros datos en realidad todos acaban en algún tipo de servidor físico que una gran compañía mantiene, en este caso Microsoft. Pero mantener dichos servidores no es tarea fácil y distintas ideas se han desarrollado para mantenerlos estables o perseverar los datos. Otro ejemplo curioso precisamente también de Microsoft es el que han llevado a cabo para guardar una copia de seguridad de GitHub para los próximos 1.000 años: guardarlos en el Ártico.


Sumergir centros de datos resulta ser una gran idea

Volviendo al centro de datos sumergido bajo el agua, Microsoft ha anunciado que finalmente lo han sacado de nuevo a la superficie. El centro de datos ha estado sumergido a unos 35 metros de profundidad en el fondo del océano durante aproximadamente dos años. Ahora revelan algunos detalles sobre por qué consideran que el experimento ha sido un éxito y qué han podido descubrir gracias a ello.


El equipo de Microsoft detrás del proyecto planteó la posibilidad de que debajo del agua un centro de datos sería más estable y energéticamente eficiente. Es decir, un centro de datos en tierra está expuesto a muchos más factores externos de los que se pueden dar en el fondo del mar. Por lo tanto, en principio se requiere más mantenimiento y consumo de recursos para ellos. El experimento viene a confirmar en cierto sentido esto. Microsoft al mismo tiempo que sumergió este centro de datos debajo del agua puso en marca otro prácticamente idéntico en condiciones en la superficie. Ahora han sacado comparativas.


Según Microsoft, el centro de datos de debajo del agua solamente sufrió una octava parte de fallos con respecto al que se encontraba en tierra firme. Los centros de datos en la superficie normalmente se deben enfrentar a problemas como la oxidación, la humedad o el control de la temperatura al variar esta considerablemente durante el día y la noche o las estaciones. En cambio, debajo del mar la temperatura se mantiene de forma más constante y la cápsula que lo contenía estaba herméticamente cerrada al exterior.

La parte negativa, claro, es conseguir reparar un centro de datos a metros de profundidad en el agua. Porque también falla, una octava parte en comparación según Microsoft, pero falla. A pesar de esto, dicen que es energéticamente más eficiente y que se trata de una excelente idea para colocar centros de datos en zonas costeras que tengan una masa de agua considerable cercana.


El siguiente paso para Microsoft es demostrar ahora que estos centros de datos se pueden recuperar fácilmente, reciclar o cambiar por otros nuevos una vez llegan al final de su ciclo de vida útil. No sería nada extraño ver cada vez más servidores sumergidos bajo el agua, aún más lejos de la metafórica nube a la que estamos acostumbrados.

Vía: You are not allowed to view links. Register or Login
Páginas: [1] 2 3 ... 10