domingo, 29 de mayo de 2016

Cifrado

Actualmente en la mayoría de las comunicaciones así como al trabajar con archivos en la red, la información queda protegida mediante encriptación. En la entrada de esta semana he querido resumir los aspectos básicos de los métodos utilizados para proteger la confidencialidad, integridad y autenticación, términos explicados a continuación.


Imagen 1. Cifrado

Cifrado

Se encarga de la confidencialidad, es decir, que únicamente puedan acceder a la información las personas autorizadas.


Criptografía de clave simétrica o privada

-    Base de funcionamiento


La información a transmitir es encriptada y desencriptada con la misma clave (simetría), la cual debe conocerla el emisor y el receptor (privada).


-    Ventajas


Rapidez en cifrado y descifrado.


-    Desventajas

Todo depende de la clave; en caso de querer que dentro de un grupo ciertas personas tengan acceso y otras no, tendrá que generarse una clave nueva por cada caso. Disminuyendo la seguridad cuantas más personas conozcan la clave así como en la manera de compartir dicha clave.


Criptografía de clave asimétrica o pública

-    Base de funcionamiento

Cada usuario dispone de dos claves, una de ellas se mantendrá en secreto por parte del usuario, clave privada, mientras que la otra es revelada a todo el que lo necesite, clave pública. Estas dos claves están relacionadas entre sí como se explica a continuación.

Cuando queramos comunicarnos con dicho usuario, ciframos la información con su clave pública y solo podrá ser descifrada por la clave privada, es decir, por el usuario objetivo; del mismo modo, el usuario puede cifrar la información con su clave privada y nosotros descifrarla con su clave pública. He aquí la relación entre ambas claves, cuando una se emplea para realizar el cifrado, el descifrado debe llevarse a cabo con la otra.

-    Ventajas

Solventa el problema de la criptografía de clave simétrica sobre la distribución de la clave.

-    Desventajas

Lentitud.


Combinación

Para hacer frente a las desventajas de cada tipo se realiza una combinación de los mejores aspectos de ambas. En ella la información primero se cifra con la clave simétrica que en este caso recibe el nombre de clave de sesión y el resultado se vuelve a cifrar con la clave pública del destinatario. Por tanto, lo recibido  se descifra con la clave privada del destinatario en primer lugar y luego con la clave de sesión.

Hash


Los algoritmos de Hash cubren la integridad de la información transmitida, lo que significa que esta no haya podido ser modificada por alguien no autorizado.

-    Base de funcionamiento

Estos algoritmos toman la información a transmitir y generan un valor mediante operaciones matemáticas. Sobre el valor generado destacar dos aspectos: a partir de él no puede obtenerse la información inicial y es muy improbable que dos entadas diferentes originen el mismo valor.

De esta manera el emisor del mensaje junto a la información a enviar indica también el valor hash, y en recepción se aplica el mismo algoritmo (existen varios) a la información recibida; de ser el resultado igual al obtenido por el emisor, la información no ha sido interceptada ni modificada.

Suelen utilizarse en la firma digital.

Firma digital


Encargada de la autenticidad de emisor, verificar la identidad de este; consiguiéndose también el no repudio, evitar que el emisor niegue el envío del mensaje. Del mismo modo también se encarga de la integridad del mensaje al hacer uso de los algoritmos hash, como se explica a continuación.

-    Base de funcionamiento

El emisor aplica un algoritmo hash sobre la información a enviar y cifra el resultado hash con su clave privada dando lo que se conoce como firma digital.

Se envía la firma digital, la información deseada y la clave pública del emisor. En recepción la firma digital solo puede descifrarse con la clave pública del emisor, por la relación entre las clave pública y la privada, de este modo se verifica la identidad del emisor; al descifrar la firma digital se obtiene el resultado hash del emisor. Con la información recibida se realiza lo explicado en el apartado 'Hash' para verificar la integridad del mensaje comparándose el hash recibido y el calculado.

Pero hay un punto que falla en la verificación del emisor y es que es posible generar un par de claves público y privada de modo que al enviar los mensajes se diga que pertenecen a un emisor que se quiera suplantar. Para evitar esto están los certificados digitales.

Certificados digitales

Son documentos electrónicos que relacionan cada clave pública con su propietario. Para otorgar validez a estos documentos existen autoridades de certificación destinadas a firmarlos, es decir, realizan la función de notario; por ejemplo, la Fábrica Nacional de Moneda y Timbre.


Con todo esto, un pequeño resumen que por lo menos a mí me ha ayudado a tener los conceptos más claros.

Saludos,

Carlos A. Molina

Recursos

Libros utilizados
Caballero, M.A., Cilleros, D. y Shamsaifar, A. (2015). El libro del Hacker. Madrid: Anaya.
Ramos, A., Barbero C.A., González, J.M., Picouto, F. y Serrano E. (2014). Seguridad perimetral, monitorización y ataques en redes. Madrid: Ra-Ma.

Letras título entrada

domingo, 22 de mayo de 2016

Googol y googolplex

El nombre del buscador más utilizado en la actualidad, llamado por algunos el oráculo, posee su origen en un número gigante del que nació otro prácticamente infinito; veamos en esta entrada sus raíces.

Imagen 1. Googol y googolplex

En 1938 durante una conversación entre el matemático Edward Kasner y su sobrino de 9 años Milton Sirotta, el primero mencionó que dar nombre al número 10^100 sería algo útil ante lo que el pequeño inventó el término googol.

De este surgió googolplex, el cual Kasner definió como un número mayor al googol, estando formado por un 1 y tantos ceros como seamos capaces de escribir, por lo que curiosamente es un número finito ya que en algún momento nos cansaremos de dibujar ceros. De cualquier manera, la equivalencia sería:

1 googolplex = 10^googol

Esto supone un número inmenso; al igual que la información almacenada en el famoso buscador. Curiosamente, mientras que el nombre del buscador viene de googol cambiado a una manera más amena de pronunciar, también el de su sede central, como no podría ser de otra manera, deriva de googolplex.

Toda esta información es un resumen de una pequeña parte del capítulo 11 del libro The Simpsons and their mathematical secrets; es una de las numerosas y divertidas curiosidades que componen el libro, el cual recomiendo a quien quiera pasar un buen rato. Y si tenéis buena vista (o preguntáis al oráculo) podréis encontrar el edificio en la ciudad de los Simpsons llamado Googolplex en el capítulo Coronel Homer, o Colonel Homer en su idioma original.

Terminar con la explicación de Carl Sagan en el programa Cosmos; famoso investigador, profesor y divulgador científico que llevó a cabo junto a otros los mensajes de las Placas Pionner y de los Discos de Oro Voyager. Muchas gracias a Laura Rodríguez por el aporte.



Un saludo,

Carlos A. Molina

Recursos


Singh, S. (2013). The Simpsons and their mathematical secrets (pp. 129,131). Londres: Bloomsbury.

Carl Sagan
https://en.wikipedia.org/wiki/Carl_Sagan

Pioneer plaque
https://en.wikipedia.org/wiki/Pioneer_plaque

Voyager Golden Record
https://en.wikipedia.org/wiki/Voyager_Golden_Record

Letras título entrada

domingo, 15 de mayo de 2016

2FA. Gmail y Twitter

Ya con Outlook protegido pasemos a los servicios de Google y la red social Twitter.

Imagen 1. 2FA. Gmail y Twitter

Servicios de Google


Para los servicios que ofrece Google como Gmail, no explicaré el proceso ya que está perfectamente detallado en el siguiente enlace oficial, el cual lleva a los lugares requeridos para realizar la configuración de manera cómoda mediante enlaces.


Únicamente indicar que la verificación en dos pasos primero debe realizarse mediante mensaje de texto aportando para ello nuestro número de teléfono, tal como explica el enlace anterior, tras lo cual podrá configurarse la aplicación 'Google Authenticator'. No hay que preocuparse ya que al configurar la aplicación móvil se dejarán de utilizar los sms.

Twitter


En este caso, una vez configurada la verificación en dos pasos, en lugar de trabajar con códigos como en Outlook y Gmail, desde la aplicación de Twitter para teléfonos móviles deberá autorizarse la petición de inicio de sesión.

Quería detallar este caso ya que la primera vez que lo utilicé tardé un poco en encontrar el apartado donde se autoriza la petición. Esto se debe a que tengo las notificaciones desactivadas por lo que debo navegar por el menú de configuración para poder aprobar los inicios de sesión.

El proceso es el siguiente; una vez iniciada sesión en la página web de Twitter, en configuración de la cuenta (pinchar en nuestra foto en la parte superior derecha), acceder a 'Seguridad y privacidad'.

En la siguiente imagen se observan las opciones seleccionadas una vez realizada la configuración; con la primera queda activada la verificación en dos pasos mientras que con la inferior se especifica que se pida la contraseña como se realiza habitualmente.

Imagen 2. Twitter configuración seguridad

En esta imagen la verificación en dos pasos ya se ha configurado, para ello, tras escoger la primera opción se debe añadir nuestro número de teléfono, como se indica en esta guía de ESET (página 11); también hay que descargar y configurada la aplicación Twitter.

No se ha entrado en detalle ya que lo que interesa es cómo utilizarlo una vez configurada. Al iniciar sesión e introducir usuario y contraseña en la web, aparecerá el siguiente mensaje a la espera de que el inicio de sesión quede aprobado desde la aplicación móvil.

Imagen 3. Twitter verificar identidad

Ahora toca utilizar la aplicación móvil de Twitter. Los pasos se ejemplifican con la aplicación para iPhone.

Paso 1. Acceder a 'Cuenta'.

Seleccionar la parte inferior derecha, resaltada con un cuadrado rojo en la siguiente imagen.


Imagen 4. Twitter móvil, apartado Cuenta

En esta ventana click en la rueda dentada de configuración de la parte superior, indicada en la imagen anterior mediante un recuadro rojo.

Paso 2. En el menú de Configuración acceder a 'Cuenta' y después a 'Seguridad'

Imagen 5. Twitter móvil, menú Configuración

Imagen 5. Twitter móvil, 'Cuenta' y 'Seguridad'

Paso 3. Ya en Seguridad, ir a 'Solicitudes de inicio de sesión' y aceptar la deseada.

Imagen 7. Solicitudes inicio de sesión

Imagen 8. Aceptar solicitud de inicio de sesión

Tras aceptar la solicitud, en el navegador web del ordenador se accede de manera automática.


Esta entrada principalmente ha tratado la utilización en Twitter de tener las notificaciones desactivadas, espero que ahorre unos minutillos a quien se vea en la misma situación.

Otras cuentas. Conclusión

Recordar que cuando se utilizan los segundos factores de autenticación, podemos indicar que no se pida en ciertos ordenadores con el fin de que tener la cuenta protegida no sea algo tedioso y que impida utilizarla en equipos extraños sin nuestro consentimiento.

Por supuesto, Facebook, iCloud, etc. poseen segundo factor de autenticación. Espero que os animéis a buscar por Internet los 2FA disponibles y cómo utilizarlos; también existen aplicaciones enfocadas a proteger los inicios de sesión que descubriréis con una rápida búsqueda. ¡Ganas no deben faltar!


¡Saludos!

Carlos A. Molina

Webs

Servicios de Google. Configurar verificación en dos pasos

Servicios de Google. Configurar verificación en dos pasos mediante mensaje de texto

Guía ESET doble autenticación

Letras título entrada

domingo, 8 de mayo de 2016

2FA. Outlook con app Google Authenticator

Una de las noticias de esta semana ha sido el robo de los usuarios y contraseñas de millones de cuentas, entre las que se incluyen servicios como Hotmail y Gmail; uno de los links que hablan de ello se indica al final de esta entrada.

Imagen 1. 2FA. Outlook con app Google Authenticator

Por tanto he creído útil realizar una serie de entradas en las que se explica cómo proteger nuestras cuentas con un segundo factor de autenticación (2FA); aunque es verdad que en Internet existen multitud de tutoriales al respecto, los realizados en este blog se diferenciarán en ser actuales y explicar algunas opciones de configuración que están ocultas a primera vista o que han cambiado en los últimos meses.

Introducción 2FA


Primero entender qué es y lo que supone un 2FA; así como algunos términos que conviene conocer.

Qué es

Un segundo factor de autenticación es un paso añadido al proceso de identificación en un servicio. Tras escribir el usuario y la contraseña, se pedirá un código único para esa sesión o que cambia cada pocos segundos.

Qué supone

La gran ventaja de este método es que aunque la contraseña de la cuenta sea robada dará igual ya que de no disponer del código 2FA no se podrá acceder.

Generar código 2FA

Se utilizará el teléfono móvil para generar o recibir estos códigos de segundo factor de autenticación. Destacar que no es necesario introducir siempre el código ya que pueden establecerse dispositivos de confianza.

Dispositivos de confianza

Aunque hay gente que lo hacemos, sería muy incómodo escribir el código 2FA siempre que accedamos a nuestra cuenta desde el ordenador de casa o cualquier otro que utilicemos normalmente. Para evitar esto pueden guardarse los ordenadores, teléfonos móviles, etc. que queramos como dispositivo de confianza con el fin de que al acceder desde ellos a las cuentas no se pregunte por el código 2FA.

Código de aplicación

En caso de utilizar nuestra cuenta en aplicaciones que no soporten el 2FA, por ejemplo una aplicación de correo electrónico que gestione varias cuentas de correo al mismo tiempo, habrá que introducir una clave diseñada para estas aplicaciones en lugar de la contraseña de la cuenta.

Outlook / Hotmail

Ya con las nociones requeridas para comprender de manera básica los 2FA vamos a empezar protegiendo las cuentas de Outlook (Hotmail).

Paso 1

Tras iniciar sesión, click en la esquina superior derecha (donde aparece nuestro nombre y fotografía) y luego en 'Configuración de la cuenta'.

Imagen 2. Acceso a la configuración de nuestra cuenta de Outlook

Puede que no aparezca la opción 'Configuración de la cuenta', en tal caso escoger 'Ver cuenta'.

Paso 2
  
Ir a 'Seguridad y privacidad', tras esto, a 'Más opciones de configuración de seguridad'


Imagen 3. Acceder a Seguridad y privacidad

Paso 3

Como vamos a acceder a información confidencial debemos introducir un código para continuar. En mi caso me lo enviarán a otra cuenta de correo electrónico que tengo asociada a la actual para tratar temas relacionados con la seguridad y el acceso a la cuenta, me referiré a ella como cuenta de apoyo. De no tener configurada una cuenta de apoyo ver si ofrece otras opciones para llevar a cabo esto, en caso contrario se deberá añadir una (ver final de este 'Paso 3').

Para recibir el código debo escribir la dirección completa de correo de apoyo y click en 'Enviar código'.


Imagen 4. Cuenta de apoyo


Imagen 5. Cuenta de apoyo verificada, a la espera del código

Tras recibir el código e introducirlo accedo una pantalla que me pregunta si deseo utilizar otra manera de verificación, omito esta pantalla y llego a la que de verdad interesa para este caso.

Imagen 6. Menú Seguridad y privacidad completo. Aparece la cuenta de apoyo
En la imagen anterior se marca dónde se configura la cuenta de apoyo.


Paso4

La pantalla a la que hemos accedido es la misma que en el paso 2 pero ya se tienen disponibles todas las opciones. Bajar hasta la opción 'Verificación en dos pasos' y escoger 'Configurar la verificación en dos pasos'.

Imagen 7. Opción verificación en dos pasos

 Aparece una pantalla explicativa, click en 'Siguiente'.

Paso 5

El método escogido para generar el código será mediante una aplicación, en concreto con Google Authenticator. Por tanto en 'Verificar mi identidad con:' escoger 'Una aplicación'.

Imagen 8. Seleccionar aplicación para trabajar con 2FA

Tras esto, al indicar el sistema operativo del teléfono móvil se dan una serie de enlaces donde descargar la aplicación.

Imagen 9. Escoger aplicación a utilizar. Dos opciones

Aquí hay un punto importante a aclarar. Como se ha dicho el objetivo es utilizar la aplicación Google Authenticator pero la primera opción que aparece seguramente sea la aplicación propia de Microsoft. Esto ocurre por ejemplo, eligiendo el sistema operativo Android y al haber hecho click en el punto 1 'Instalar la aplicación desde Google Play Store' (1. Install the app from the Google Play Store); para iPhone no ocurre esto.

Imagen 10. Aplicación que se da como primera opción

Como más adelante también se configurarán cuentas con 2FA de Gmail, es más cómodo utilizar la aplicación Google Authenticator, cuantas menos aplicaciones mejor. Para ello, en la imagen 9, se debe hacer click en 'Pruebe con esta aplicación' al lado de '¿El dispositivo Android no es compatible?' (Android device not compatible? Try this app instead). Aparece la siguiente pantalla.

Imagen 11. Aplicación a utilizar, menú

Click en el punto 1 'Instalar la aplicación desde Google Play Store' (1. Install the app from the Google Play Store).

Imagen 12. Aplicación a utilizar



Paso 6

Tras descargar la aplicación y seguir los pasos para añadir una nueva cuenta, en iPhone seleccionar el símbolo más arriba a la derecha, o bien se escanea el código de barras que aparece en la anterior imagen o en caso de no poder escanearlo  trabajar con la opción 'No puedo digitalizar el código de barras' (I can't scan the bar code) y seguir los pasos.

Imagen 13. Google Authenticator iPhone, añadir cuenta y escanear código

En la imagen 13 se han modificado los números, en realidad son variados y diferentes para cada cuenta.

Tras escanear el código de barras o elegir la opción de introducción manual aparece la cuenta en la aplicación. En la caja inferior de la imagen 11 debe introducirse el código dado por la aplicación móvil y click en siguiente; estos códigos caducan tras unos segundos, indicados por el reloj azul al lado del nombre de la cuenta a la que le corresponde cada código. Se pedirá de nuevo introducir la contraseña del correo y accedemos al ya conocido menú de seguridad.

Para salir hacer click en la parte superior derecha de la pantalla, no utilizar la opción 'Cerrar mi cuenta' que hay al final de la página ya que esta última elimina la cuenta, puede verse en la imagen 16.

De realizarse todo correctamente debe llegar un correo a esta cuenta y a la de apoyo que indica 'Se agregó la información de seguridad de la cuenta Microsoft.'

Comprobación

Con estos pasos, la próxima vez que se acceda a la cuenta, tras introducir usuario y contraseña, se deberá introducir el código generado por la aplicación móvil.

Imagen 14. Iniciar sesión. Usuario y contraseña

Imagen 15. Introducir código 2FA

Otro cambio se da en el paso anterior en el que hubo que enviar un código a la cuenta de apoyo, imagen 4, ya que a partir de ahora se pedirá el código generado por la aplicación.

Dispositivos de confianza

Para que no se pida código desde un ordenador o dispositivo móvil, seleccionar la opción 'Inicio sesión con frecuencia en este dispositivo. No quiero que se me pida un código' al escribir el código generado por la aplicación móvil, imagen 15.

En el menú 'Seguridad y privacidad' están los enlaces para trabajar con estos dispositivos de confianza; como se observa, pueden eliminarse todos los dispositivos para que ninguno sea de confianza.

Imagen 16. Menú Seguridad. Dispositivos de confianza


Nota importante

El dispositivo desde el que se haya realizado estos pasos queda automáticamente guardado en la lista de dispositivos de confianza.

De pinchar en la imagen 16 en la opción 'Más información sobre los dispositivos de confianza', se tiene un menú de ayuda en el que se explica porqué Outlook no muestra la lista de confianza, y que un dispositivo dejará de ser de confianza automáticamente de no utilizarlo para acceder a una cuenta 1 vez en los últimos dos meses. Por lo que de ocurrir se deberá volver a escoger la opción de no volver a preguntar en este dispositivo cuando se introduce el código 2FA al iniciar sesión.

Imagen 17. Información dispositivos de confianza

Con esta entrada tenemos protegidas las cuentas de Hotmail. Aunque sea un proceso que requiera de varios pasos, merece la pena.


Código de aplicación

Para el caso de Outlook los pasos se explican en el siguiente enlace
http://windows.microsoft.com/es-ES/windows/app-passwords-two-step-verification


Animaros y asegurad vuestras cuentas!

Carlos A. Molina

Webs

Robo millones de usuarios y contraseñas


Letras título entrada