Lección 0. Introducción al curso. Problemática en la privacidad de comunicaciones digitales
Dr. Alfonso Muñoz Muñoz - Dr. Jorge Ramió Aguirre - 10/04/2013 

Twittear

La comunicación es uno de los símbolos más brillantes del siglo XX. Ha permitido acercar los valores y las culturas, liberado a los hombres de los obstáculos ancestrales de tiempo y espacio, compensando incluso los horrores y las barbaries de esta época. Su avance nos ha acompañado en los combates por la libertad, los derechos humanos y la democracia.

Hoy día la sociedad del conocimiento en la que estamos inmersos, extiende el potencial de las tecnologías de la comunicación a todas las facetas de la vida cotidiana. La información tiene mucho valor, su adquisición supone poder y el conocimiento de ésta se cree que conduce a la libertad. El poder de la información es tal que numerosas entidades a lo largo de la historia han deseado restringirla o manipularla; de hecho, el espionaje de las comunicaciones ha constituido, tanto en la guerra como en la paz, un valioso instrumento para conocer las actividades e intenciones de enemigos.

El ser humano siempre ha tenido secretos de muy diversa índole y ha buscado mecanismos para mantenerlos fuera del alcance de miradas indiscretas, especialmente si la información se transmite por un canal inseguro, en el cual ésta puede ser curioseada y/o modificada por terceros no autorizados. La evolución de todos los mecanismos y técnicas que intentan solucionar este problema es lo que se conoce como la ciencia de la criptología, compuesta por sus dos ramas, la criptografía y el criptoanálisis.

Existen dos momentos claves en el siglo XX para la evolución futura de la criptografía y la protección de comunicaciones. Uno de ellos se produce en la década de los 40 con la publicación de dos artículos fundamentales desarrollados por Claude Shannon, que sentarían las bases de la teoría de la información: A Mathematical Theory of Communication, en 1948, y Communication Theory of Secrecy Systems, en 1949. En esos artículos Shannon proponía el uso de dos técnicas de cifrado en criptosistemas de clave secreta, que resumían los mecanismos anteriores de la historia, a las que llamó difusión y confusión. Por un lado, la difusión sería la técnica que permitiría dispersar las propiedades estadísticas inherentes al lenguaje en el texto en claro sobre el criptograma, por ejemplo, mediante permutaciones o transposiciones. Por otro lado, la técnica de confusión permitiría generar confusión, caos, mezcla en el resultado cifrado, de tal forma que la dependencia entre texto en claro, clave y criptograma sería lo más compleja posible e impediría romper el algoritmo.

Ahora más que nunca la criptografía se convertiría en el refugio de los matemáticos, el lugar perfecto en el cual aplicar numerosas teorías, teniendo en cuenta los principios de Kerckhoffs, en especial aquel que indica que la fortaleza del sistema de cifra debe depender solamente del secreto de la clave. Todos estos avances contribuirían al desarrollo de una amplia diversidad de cifradores de flujo y cifradores de bloque, pero en el mundo de la criptografía seguía existiendo un problema durante siglos no solucionado, el intercambio de una clave o secreto de una forma segura a través de un canal inseguro.

A finales de la década de los años 70 aparece el segundo hito de la criptografía moderna que entrega una solución práctica al problema de la distribución de claves, posiblemente el salto cualitativo más importante en la historia de la criptografía y que marcaría muchas de las tendencias criptográficas en las décadas posteriores. Se trata del artículo New directions in cryptography, publicado en 1976 por Bailey Whitfield Diffie y Martin Hellman, que establecía el concepto de la criptografía asimétrica o de clave pública, en la que cada participante en una comunicación secreta disponía de dos claves, una pública y otra privada, de forma que lo que se cifrase con una de ellas solamente se descifraría con la otra. De esta manera, cualquier emisor podría comunicarse con un destinatario para enviarle un secreto a través de un canal inseguro conociendo exclusivamente su clave pública, en tanto que sólo el destinatario podría descifrar la comunicación cifrada, dado que sólo él conoce su clave privada. Esto abrió un gran potencial para el desarrollo de protocolos criptográficos en las redes de comunicación. Fue además en esta época cuando se abrió el camino al uso de funciones unidireccionales fáciles de computar en una dirección pero muy complejas computacionalmente de invertir sin una trampa o una pista a modo de clave de sistema.

En la década de los 80, el avance en los principios de los algoritmos de curvas elípticas y en las ideas de la criptografía cuántica marcarían los sistemas actuales de protección de las comunicaciones digitales. En la década de los años 90 la criptografía comienza a generalizarse en las comunicaciones civiles en Internet, en lo que influyó notoriamente la publicación de la herramienta PGP por Phil Zimmermann.

Todos estos avances previos han permitido que en nuestros días existan multitud de procedimientos y tecnologías para proteger las comunicaciones de posibles interceptaciones y manipulaciones. Por desgracia, no siempre el público en general sabe cómo utilizarlas y aprovecharlas en sus comunicaciones del día a día. Esto no es un tema baladí, especialmente por la importancia de proteger nuestras transmisiones en la actualidad. Una forma de aproximarse a este problema es recordar al periodista Duncam Campbell, quien en 1988 en su artículo "Somebody’s listening" publicado en New Statesman revelaba la existencia del programa de vigilancia ECHELON. En 1999, un estudio titulado "Interception Capabilities 2000" fue presentado en el parlamento Europeo.

Campbell revelaba algo que ya era conocido en determinados sectores y continuaba con algo tan antiguo como el espionaje militar entre los estados. Pero Echelon y sistemas parecidos incorporaban un aspecto destacable, la red de espionaje con cobertura global mediante sus aliados (UK, Australia, etc.) era utilizada con fines económico-industriales. De hecho, el problema ya no es una cuestión de tecnologías complejas y caras gobernadas por servicios de inteligencia; el mayor problema de nuestra época es que la tecnología simplifica muchísimo la interceptación y manipulación de las comunicaciones. La componente económica ha hecho que estas actividades se apliquen masivamente en las redes de comunicación por cualquier persona que en función de sus recursos podrá, interceptando más o menos datos, vender estos datos, registrar/almacenar dichos datos, etc., sin la autorización y muchas veces el conocimiento de su dueño.

Independientemente de quién nos queramos proteger, la criptografía puede ayudarnos en este sentido. Sin embargo, es importante recordar un problema intrínseco de la criptografía: su visibilidad. La criptografía protege de miradas indiscretas pero en todo momento es conocido que existe una comunicación protegida y ese solo hecho ya entrega suficiente información al enemigo o atacante, de forma que en ciertos escenarios hostiles esta circunstancia puede ser un problema (localización de una comunicación, censura, etc.). Para intentar minimizar esta circunstancia, existen toda una serie de procedimientos para garantizar el anonimato y establecer comunicaciones enmascaradas. La ciencia de la esteganografía ayudará a la ocultación de la existencia de una comunicación. Por tanto, en escenarios reales la combinación de soluciones criptográficas y esteganográficas será lo más adecuado frente a "enemigos preparados". Sin embargo, la protección de comunicaciones no son sólo algoritmos criptográficos/esteganográficos sino, sobre todo, aplicaciones que implementan protocolos de comunicaciones que utilizan estos tipos de mecanismos. Y muchas veces es en estas aplicaciones y en estos protocolos donde prosperan los ataques.

Para abordar parte de esta problemática, en el Aula Crypt4you creemos muy interesante publicar el "Curso de privacidad y protección de comunicaciones digitales". Por tanto, en los próximos meses y mediante una serie de lecciones, abordaremos diferentes cuestiones que pensamos son esenciales para tener unas garantías mínimas de confidencialidad, integridad y autenticidad en nuestras comunicaciones. Entre los temas tratados se introducirá al cifrado de información con GPG/OpenSSL, el cifrado de discos duros, la protección de comunicaciones mediante mensajería instantánea o la creación de canales encubiertos mediante esteganografía. Adicionalmente, se analizarán diferentes criterios en la seguridad de las comunicaciones en dispositivos móviles, el borrado seguro de información y recomendaciones para la actualización adecuada de herramientas y protocolos.

Para la realización de este curso se ha visto conveniente invitar a profesionales de gran valía en el campo de la seguridad informática para la elaboración de cada lección, abriendo de esta forma la estructura de un MOOC tradicional a un esquema colaborativo que se alimente del conocimiento de la Universidad y del sector de las TIC.

Esperamos que el curso sea de vuestro interés
Dr. Alfonso Muñoz - Dr. Jorge Ramió

Profesores del curso: por orden de lección publicada

Jorge Ramió. Profesor Titular de la Universidad Politécnica de Madrid. Desde el año 1994 imparte asignaturas relacionadas con la criptografía y la seguridad de la información, actualmente Fundamentos de Seguridad de la Información FSI y Temas Avanzados en Seguridad y Sociedad de la Información TASSI, esta última un ciclo de conferencias con expertos invitados y que son publicadas en el Canal YouTube de la UPM. Entre sus facetas destaca su interés por la difusión de la seguridad informática en Iberoamérica. Algún ejemplo destacable es la autoría del libro electrónico de Seguridad Informática y Criptografía en 2006, de libre distribución en Internet y con más de 115.000 descargas, la creación en 1999 de la Red Temática de Criptografía y Seguridad de la Información Criptored, decana de las redes sociales y temáticas, creador y organizador del Congreso Iberoamericano de Seguridad Informática CIBSI desde el año 2002 y del Taller Iberoamericano de Enseñanza e Innovación Educativa en Seguridad de la Información TIBETS desde 2011, y la creación y dirección de la Enciclopedia de la Seguridad de la Información Intypedia. Así mismo su participación como profesor invitado en cursos de posgrado en España y diversos países de Latinoamérica, impartiendo asignaturas de criptografía. Desde 2006 hasta 2010 fue creador y director de la Cátedra UPM Applus+ en la que se organizaron en España los congresos DISI, Día Internacional de la Seguridad de la Información, trayendo entre otros expertos mundiales a Martin Hellman, Taher Elgamal, Radia Perlman y Hugo Krawczyk. Cátedra que colabora en el congreso IBWAS '09 trayendo al campus sur de la UPM a Bruce Schneier. Ha participado en entrevistras de RTVE, TV3, El Mundo y otros medio de prensa en España y en Latinoamérica. Recibe el Premio Extraordinario del Jurado de la revista Red Seguridad en el año 2011 por la difusión de la seguridad de la información a través de los proyectos Cátedra UPM Applus+ y Red Temática Criptored.

Alfonso Muñoz. Doctor de Telecomunicaciones por la Universidad Politécnica de Madrid e investigador postdoctoral en Computer Security & Advanced Switching Network en la Universidad Carlos III de Madrid. Profesional con más de 10 años de experiencia en el campo de la seguridad informática en los cuales ha trabajado en proyectos con organismos europeos, ministerios y multinacionales. Experto en protección de datos digitales y diseño de sistemas seguros basados en algoritmos criptográficos, esteganográficos y anonimato. Actualmente aplica este conocimiento en el diseño de redes de comunicaciones seguras a medida (MANETs) en escenarios hostiles y el diseño de herramientas para la protección de comunicaciones frente a interceptación de comunicaciones y deep packet inspection (dpi). Ha publicado más de 30 artículos en journals y conferencias científicas (revisión ciega por pares) de IEEE, ACM, etc. Por ejemplo: IEEE Communication Letter, Security and Communications Networks, IEEE International Symposium on Trust - Security and Privacy for Emerging Applications, SECRYPT, RECSI, etc. Impartiendo conferencias en diversos países: Brasil, Argentina, Uruguay, Grecia, Inglaterra, etc. Actualmente es evaluador de investigaciones enviadas a Journal IET Networks y IEEE Transactions on Information Forensics and Security. Ha publicado diversas herramientas de esteganografía de software libre como son stegsecret (2005), stelin (2009) o stegosense (2009). Desde 2009 aplica su conocimiento en Natural Language Processing (NLP) y monitorización de redes sociales en el diseño de herramientas de esteganografía lingüística. Su trabajo de investigador lo combina con su faceta de divulgacion, trabajo reconocido por el Premio de Red Seguridad 2012 (en la categoría de concienciación). Algún trabajo reseñable es la creación de la enciclopedia visual de la seguridad de la información (Intypedia), la creación del Aula Virtual Crypt4you o la pertenencia al equipo desarrollador de eventos como DISI (Día Internacional de la Seguridad de la Información), las conferencias anuales TASSI (Temas Avanzados de Seguridad y Sociedad de la Información) o la red de Criptografía y Seguridad de la Informacón Criptored. Ha sido entrevistado en medios generalistas (elPais y elMundo) y revistas variadas (PcWorld, MuyInteresante, RedSeguridad, etc.). Siempre que puede asiste y participa en eventos, retos y conferencias de seguridad informatica/hacking: RootedCon, Jornadas de Seguridad Coruña (GSICKMINDS), etc.

Eloi Sanfelix. Trabaja en Riscure (www.riscure.com) como Analista de Seguridad desde finales de 2008. Allí realiza evaluaciones de seguridad en smart cards y dispositivos electrónicos (embedded devices), especializándose en tests de resistencia ante ataques laterales (Side Channel Attacks). Además, participa en la investigación y desarrollo de nuevas herramientas y técnicas de ataques laterales para incorporarlas en la plataforma de test de Riscure, Inspector. Finalmente, Eloi proporciona formación en temas relacionados con ataques laterales a clientes de Riscure en todo el mundo. Ha presentado ponencias en varios congresos, incluyendo varias ediciones de RootedCon, Insomni'hack 2013 y otros.

Román Ramírez. Profesional con más de quince años de experiencia en el sector de las Tecnologías de Información TI, ha desarrollado su carrera en empresas tales como Intercomputer/encomIX, donde ejerció como responsable de sistemas, eEye Digital Security como responsable técnico para el sur de Europa, como emprendedor con su propia empresa, Chase The Sun, como gerente en PricewaterhouseCoopers o en sus funciones actuales como Responsable de Seguridad en Arquitecturas, Sistemas y Servicios en Ferrovial. Es, además, miembro fundador y presidente del Congreso de Seguridad Rooted CON y colaborador de diversos grupos de interés dentro del sector de la seguridad en TI.

Luis Delgado. Estudia el Graduado en Ingeniería de Tecnologías y Servicios de Telecomunicación en la Escuela Técnica Superior de Ingenieros de Telecomunicación (ETSIT-UPM). Estuvo trabajando durante dos años en el Grupo de investigación de Sistemas Inteligentes (DIT-UPM) en proyectos relacionados tanto con la robótica como con sistemas de recomendación y búsqueda relacional. Actualmente trabaja como freelance realizando consultorías de seguridad (pentesting, auditoría de código, formación, entre otros). Ha estado involucrado en proyectos en el sector de defensa, entidades financieras e importantes ISPs. Además, se dedica a la seguridad Web&IM, protocolos inalámbricos y el desarrollo e investigación en plataformas móviles (Android). Es colaborador del blog de seguridad Security by Default.

José Picó. Es fundador y analista de seguridad de Taddong. Licenciado en Informática por la Universidad Politécnica de Valencia UPV y CISSP. Con 13 años de experiencia en compañías multinacionales de tecnología IT, ha centrado finalmente sus actividades en el mundo de la seguridad. Desde Taddong, además de formación y servicios de seguridad para clientes, realiza tareas de investigación específica. Es co-autor del libro ”Hacking y seguridad en comunicaciones móviles GSM/GPRS/UMTS” y del plugin de exportación de objetos SMB/SMB2 para Wireshark, y es ponente habitual en eventos de seguridad.

David Pérez. Es fundador y analista de seguridad de Taddong. David lleva más de 10 años dedicado a realizar servicios técnicos avanzados de seguridad e investigación. Es Ingeniero Superior de Telecomunicaciones por la Universidad Politécnica de Valencia UPV, autor de artículos, ponencias y cursos, coautor del libro "Hacking y seguridad en comunicaciones móviles GSM/GPRS/UMTS/LTE" y uno de los pocos profesionales que han obtenido la certificación GIAC Security Expert (GSE).

Raúl Siles. Es fundador y analista de seguridad de Taddong (www.taddong.com), con más de 10 años de experiencia ofreciendo servicios y soluciones avanzadas de seguridad en diferentes sectores y tecnologías, apasionado por los retos técnicos y la investigación. Raúl es uno de los pocos profesionales que han obtenido la certificación GSE; es autor e instructor de cursos de seguridad y ponente habitual en congresos.

Lord Epsylon. Estudió Telecomunicaciones y actualmente trabaja como auditor especializado en test de penetración de tipo "caja negra". Participa activamente cómo creador y desarrollador de varios proyectos de software libre relacionados con la seguridad informática (XSSer, CIntruder, AnonTwi, ...), y es miembro activo de la OWASP Foundation y GNU.

Sergio de los Santos. Sergio de los Santos es consultor y auditor técnico de seguridad. Actualmente lidera el laboratorio técnico de ElevenPaths, participa en proyectos aportando ideas, los coordina y se encarga del blog de la compañía. Anteriormente ha sido coordinador de varios servicios en Hispasec: antifraude, formación, SANA y responsable del boletín diario de seguridad más veterano en español, una-al-día. Ingeniero técnico en informática de sistemas, certificado CISA, nombrado MVP de seguridad por Microsoft, Auditor PCI (Qualified Security Assesor) y profesor en másters de seguridad de la Universidad de Sevilla y Almeria. Posee más de trece años de experiencia profesional en la seguridad, y ha trabajado y colaboradoa con diferentes empresas y universidades desde el año 2000. Es autor de cuatro libros sobre seguridad y hacking: "Hack paso a paso" (volumen I y II en 2004-2005), el anuario "Una-al-día: 12 años de seguridad informática" (2009-2010) y "Máxima seguridad en Windows, secretos técnicos" (2011). Ha participado en numerosas ponencias, conferencias y charlas organizadas por las más prestigiosas instituciones nacionales.