[HACK] Cronica Jornada de Seguridad en la UPM
merce
illadeltresor at gmail.com
Thu Jan 31 11:00:51 CET 2008
(nota: aqui sale repetido lo que dijo Hellman sobre la criptografia
cuantica, cuya entrevista mande hace unos dias. Es lo que tiene
re-aprovechar cosas para medios diferentes. Pero tb salen otras
intervenciones interesantes)
10/12/07 17:50:33
LA CRIPTOGRAFÍA CUÁNTICA EN MALAS MANOS PODRÍA PROVOCAR UN
DESCALABRO MUNDIAL
Mercè Molist
Una jornada sobre seguridad informática en la Universidad
Politécnica de Madrid ha puesto nuevamente sobre la mesa los
peligros por el mal uso de la tecnología. Desde los riesgos
asociados a inventos tan rompedores que pocos imaginan aún su lado
oscuro, como la criptografía cuántica, hasta problemáticas cada día
más amenazadoras como los programas maliciosos, antaño llamados virus.
Dentro de 30 años, muchos de los secretos que guarda el mundo
moderno bajo potentes algoritmos criptográficos, como los datos
médicos o la información clasificada de los gobiernos, correrán un
peligro real de saltar por los aires. La criptografía cuántica se
encargará de que su descifrado sea un juego de niños, susceptible de
caer en manos de terroristas o criminales.
Quien realizó tal profecía no fue un simple agorero sino respetables
investigadores como Martin Hellman, co-inventor de la criptografía
de clave pública, y el criptólogo argentino Hugo Scolnik, durante
sus intervenciones en el Día Internacional de la Seguridad de la
Información, dentro de la Cátedra UPM Applus+.
Según Hellman y Scolnik, la criptografía cuántica está aún en un
estado embrionario y hasta dentro de 30 años no se verán sus
primeras aplicaciones prácticas, que romperán con facilidad los
actuales sistemas de cifrado. Mientras tanto, ha empezado una
carrera paralela para proteger la información que debería seguir
siendo secreta cuando irrumpa la criptografía cuántica.
Hellman aseguró estar "preocupado" por si cae en malas manos. De
momento, los investigadores trabajan en una de las pocas soluciones
a su alcance: cifrar las cosas por duplicado, combinando
criptografía simétrica y asimétrica, de forma que si la cuántica
rompe la asimétrica, quede aún en pie la simétrica. El problema,
dijo, es que "es muy caro, por lo que sólo puede usarse para
información realmente valiosa".
El riesgo de que esta novedosa tecnología se use con fines perversos
no es ninguna utopía, ya ha sucedido con los programas informáticos,
como demostró Sergio de los Santos, consultor de seguridad de
Hispasec Sistemas: "En el código malicioso, hemos pasado del
romanticismo al todo por la pasta, gente organizada que presta
especial atención a atacar la banca en línea". Como ejemplo de su
creciente poder, mostró fotos de una lujosa fiesta en Praga que
reunió a algunos de estos nuevos criminales.
Según de los Santos, "funcionan como una industria, el código que
producen es muy bueno y sofisticado, optimizando los recursos para
obtener mayores beneficios". Ni los antivirus ni los cortafuegos
protegen ya contra estos criminales que "han tomado la web para
distribuir sus códigos y también como parte de su infraestructura",
refiriéndose a la Rusian Business Network, una empresa de San
Petersburgo que vende servicios web para distribución de código
maligno y "phishing".
Muestra de la sofisticación de esta industria es la familia de
troyanos SinoWall, explicó De los Santos: "Una vez te has infectado,
el troyano queda latente, vigilando tus hábitos de navegación.
Cuando detecta que has visitado algo interesante, por ejemplo un
banco, envía esta información cifrada al criminal, que decide si es
un objetivo apetecible y si tiene algún código malicioso específico
para él. Si se da el caso, lo instala en tu máquina para que robe
tus claves".
Otra muestra de la complejidad de estos troyanos es su
funcionamiento modular, de forma que el mismo pueda servir para
diversas funciones, al gusto del criminal: enviar correo basura,
bombardear redes o infectar otros ordenadores. Además, detectan el
navegador que está usando su víctima y descargan troyanos
específicos para aprovechar los agujeros de este programa. Fernando
Acero, de Hispalinux, añadió: "Si tu ordenador está infectado con un
troyano, hará las operaciones que quiera con tu DNI electrónico".
El director de la Agencia Española de Protección de Datos, Artemi
Rallo, ofreció otro ejemplo de mal uso de la tecnología: el
trabajador que instala en el ordenador de su oficina un programa de
intercambio de archivos y lo configura mal, de forma que abre al
acceso público la base de datos de la empresa, con información
privada de miles de personas. "Ya ha habido una sanción y habrá
otras, algunas por datos más sensibles", anunció Rallo.
El director de la Agencia de Protección de Datos se quejó de que "no
hay información sobre los riesgos que plantean las herramientas
tecnológicas, ni tampoco conciencia ciudadana sobre privacidad". Y
preguntó al público: "¿Cuántos ciudadanos pulsan la cláusula de
privacidad de la web que visitan?". Respondiendo a continuación:
"Uno de cada 10.000. Nadie quiere perder ni tres segundos en conocer
los riesgos a que se expone".
Copyright 2007 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital and no commercial medium,
provide this notice is preserved.
More information about the hacking
mailing list