Presentación realizada por César Jiménez (director técnico de buguroo) en el marco de la I Jornada de Criptografía "Hablando en Clave", celebrada en la Universidad Autónoma de Madrid el 16 de marzo de 2015.
Se trata de una presentación que analiza la criptografía desde la II Guerra Mundial hasta nuestros días, pensada para un público que no necesariamente se dedique a la criptografía o a la ciberseguridad. Tiene un marcado enfoque pedagógico.
Poniéndonos en la mente de nuestro enemigo y aplicando los preceptos del Arte de la Guerra, desentrañamos y desmitificamos cómo los sitios WordPress son atacados y lo fácil que puede ser para los sus no cuidan su seguridad.
Charla presentada en la WordCamp Zaragoza 2020
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...Iván Portillo
Ponencia impartida por Iván Portillo y Wiktor Nykiel en el congreso HC0N con el título "BLACK FRAUDEY: DESTAPANDO REDES DE COMERCIOS ONLINE EN MODALIDAD CTRL-C, CTRL-V".
Durante esta ponencia se explica cómo se destapan redes de comercios online fraudulentas permitiendo notificar a las autoridades competentes para que se ejecuten las acciones oportunas. Además, se explica como analizar cada página y automatizar este proceso sacando una escala de criticidad de la amenaza según los indicadores que cumpla la misma.
Abraham Pasamar - Quien esta leyendo mi correo [rootedvlc2018]RootedCON
La charla consiste en un caso práctico de investigación forense en un entorno empresial. Debido a la urgencia de la situación se tuvo que improvisar una técnica de trazabilidad para poder averiguar quíen estaba leyendo el correo de uno o varios directivos. La técnica fucionó perfectamente, aunque hubo alguna que otra sorpresa.
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...Javier Junquera
Tras el atentado de diciembre de 2019 en la base aérea de Pensacola se reabre el debate entre el FBI y Apple acerca de las medidas de privacidad que pueden interferir en investigaciones policiales.
Poniéndonos en la mente de nuestro enemigo y aplicando los preceptos del Arte de la Guerra, desentrañamos y desmitificamos cómo los sitios WordPress son atacados y lo fácil que puede ser para los sus no cuidan su seguridad.
Charla presentada en la WordCamp Zaragoza 2020
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...Iván Portillo
Ponencia impartida por Iván Portillo y Wiktor Nykiel en el congreso HC0N con el título "BLACK FRAUDEY: DESTAPANDO REDES DE COMERCIOS ONLINE EN MODALIDAD CTRL-C, CTRL-V".
Durante esta ponencia se explica cómo se destapan redes de comercios online fraudulentas permitiendo notificar a las autoridades competentes para que se ejecuten las acciones oportunas. Además, se explica como analizar cada página y automatizar este proceso sacando una escala de criticidad de la amenaza según los indicadores que cumpla la misma.
Abraham Pasamar - Quien esta leyendo mi correo [rootedvlc2018]RootedCON
La charla consiste en un caso práctico de investigación forense en un entorno empresial. Debido a la urgencia de la situación se tuvo que improvisar una técnica de trazabilidad para poder averiguar quíen estaba leyendo el correo de uno o varios directivos. La técnica fucionó perfectamente, aunque hubo alguna que otra sorpresa.
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...Javier Junquera
Tras el atentado de diciembre de 2019 en la base aérea de Pensacola se reabre el debate entre el FBI y Apple acerca de las medidas de privacidad que pueden interferir en investigaciones policiales.
Rouge AP, Evil Twin, Portal cautivo con proxy web son partes de una constante amenaza a redes inalámbricas:
Aprendamos los posibles ataques para saber como protegernos.
Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]RootedCON
En los modelos y metodologías de desarrollo de software ágiles, las aproximaciones tradicionales en cuanto a la seguridad en el desarrollo simplemente no funcionan. Existen demasiados ciclos, demasiadas entregas de forma muy rápida y los recursos en los equipos de seguridad son escasos. Estas aproximaciones tradicionales se han quedado más obsoletas si cabe con la introducción de prácticas DevOps, que hacen que el tiempo que transcurre desde el inicio de un nuevo ciclo de desarrollo hasta que el conjunto de funcionalidades implementadas, durante ese ciclo, esté en producción, sea cada vez menor. El objetivo de esta charla es mostrar cómo podemos actualizar las prácticas de seguridad sobre el desarrollo de software al conjunto de prácticas de desarrollo y entrega actuales. Para ello se desarrollarán conceptos como Modelado Ágil de Riesgos, Puntos de Contacto en actividades relativas a la seguridad del desarrollo durante su ciclo, la automatización de pruebas de seguridad y verificación de correcciones sobre vulnerabilidades detectadas. Estas dos últimas utilizando BDD-Security.
Mauro Cáseres «plaguedoktor» nos compartió en el #DragonJARCON 2020 una charla titulada "I fought the law and the law lost" cuya descripción es:
Es una serie de charlas que apunta a relevar y publicar vulnerabilidades informáticas de Fuerzas Armadas y de Seguridad de Argentina.
Entre sus distintos capítulos se han recopilado unas 50 vulnerabilidades críticas de las fuerzas de seguridad y armadas requisadas hasta el momento, incluyendo pero no limitándose a Gendarmería Nacional Argentina, Policía Federal Argentina, Policía de la Ciudad de Buenos Aires (llamada \"la más moderna del mundo\") y hasta organismos de gobierno como Ministerio de Defensa, Ministerio de Justicia, Ministerio de Seguridad y Secretaría de Inteligencia.
Se cubren temas como ataques hacktivistas; filtraciones internas de agentes de fuerzas; ataques organizados políticamente; la divulgación de bases de datos de Crimen Organizado (narcotráfico, trata de personas, entre otros) conteniendo información de denunciantes, testigos de identidad reservada, oficiales encubiertos e investigaciones de inteligencia en curso; el robo de las bases de datos del Sistema Nacional de Información Criminal; y hasta el hackeo a la Ministra de Seguridad, sumando al menos, un repaso de unos 25+ casos durante la charla, todos con su debida evidencia técnica.
-----------------------------------------------------------------------------------------------
Youtube: DragonJARtv (http://bit.ly/DragonJARtv)
Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb)
Twitter: @DragonJAR (http://bit.ly/DragonJARt)
Instagram: Dragon.JAR (http://bit.ly/DragonJARig)
Discord: https://invite.gg/DragonJAR
Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR)
-----------------------------------------------------------------------------------------------
¿Te preocupa que tus datos personales los tenga la CIA, el FBI y Putin?
¿Te has cambiado tu Huawei por que le pasa la biometría de tu cara al gobierno Chino?
¿Pasas de Chrome en favor de Brave por que te preocupa tu privacidad?
¿Pagas 20 pavos al mes por usar una VPN privada que difumine tu rastro por la red?
¿Crees que Trump hace muy bien baneando TikTok de los USA?
Pues igual deberías empezar a preocuparte también por la privacidad de otras cosas que te interesan… como tus servidores, por ejemplo.
En esta charla repasaremos las técnicas de extracción de datos más bizarras que hemos encontrado, y veremos cómo ninguno de nosotros, ni de nuestros servidores, está a salvo de la automatización.
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...RootedCON
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montón: La IA al servicio de la Ciberseguridad (en lo bueno y en lo malo) [rooted2019]
Charla sobre privacidad con software libre dada en el FLISoL 2014 de Lanús organizado por el grupo de usuarios de software libre de dicha ciudad (Lanux).
Charla en YouTube:
http://youtu.be/T7DXg5ocyS4
Si desean descargarsela:
Video (webm):
https://mega.co.nz/#!N9Z1yDyD!eVbjRh-vdJMD5XnRTMm13SEm3aQfXfgtLwYn5ysRPCc
Presentación (pdf):
https://mega.co.nz/#!Eph0WZxJ!Me63I2qK1ycKsXoa4lDq3xGT1UV22T1AXG3nhsBghl0
Presentación (odp):
https://mega.co.nz/#!ktAxWAqJ!HhgJVklW-JqhqwWyVi-0dQx9a49qKYITiQ0JyEWL2wU
Rouge AP, Evil Twin, Portal cautivo con proxy web son partes de una constante amenaza a redes inalámbricas:
Aprendamos los posibles ataques para saber como protegernos.
Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]RootedCON
En los modelos y metodologías de desarrollo de software ágiles, las aproximaciones tradicionales en cuanto a la seguridad en el desarrollo simplemente no funcionan. Existen demasiados ciclos, demasiadas entregas de forma muy rápida y los recursos en los equipos de seguridad son escasos. Estas aproximaciones tradicionales se han quedado más obsoletas si cabe con la introducción de prácticas DevOps, que hacen que el tiempo que transcurre desde el inicio de un nuevo ciclo de desarrollo hasta que el conjunto de funcionalidades implementadas, durante ese ciclo, esté en producción, sea cada vez menor. El objetivo de esta charla es mostrar cómo podemos actualizar las prácticas de seguridad sobre el desarrollo de software al conjunto de prácticas de desarrollo y entrega actuales. Para ello se desarrollarán conceptos como Modelado Ágil de Riesgos, Puntos de Contacto en actividades relativas a la seguridad del desarrollo durante su ciclo, la automatización de pruebas de seguridad y verificación de correcciones sobre vulnerabilidades detectadas. Estas dos últimas utilizando BDD-Security.
Mauro Cáseres «plaguedoktor» nos compartió en el #DragonJARCON 2020 una charla titulada "I fought the law and the law lost" cuya descripción es:
Es una serie de charlas que apunta a relevar y publicar vulnerabilidades informáticas de Fuerzas Armadas y de Seguridad de Argentina.
Entre sus distintos capítulos se han recopilado unas 50 vulnerabilidades críticas de las fuerzas de seguridad y armadas requisadas hasta el momento, incluyendo pero no limitándose a Gendarmería Nacional Argentina, Policía Federal Argentina, Policía de la Ciudad de Buenos Aires (llamada \"la más moderna del mundo\") y hasta organismos de gobierno como Ministerio de Defensa, Ministerio de Justicia, Ministerio de Seguridad y Secretaría de Inteligencia.
Se cubren temas como ataques hacktivistas; filtraciones internas de agentes de fuerzas; ataques organizados políticamente; la divulgación de bases de datos de Crimen Organizado (narcotráfico, trata de personas, entre otros) conteniendo información de denunciantes, testigos de identidad reservada, oficiales encubiertos e investigaciones de inteligencia en curso; el robo de las bases de datos del Sistema Nacional de Información Criminal; y hasta el hackeo a la Ministra de Seguridad, sumando al menos, un repaso de unos 25+ casos durante la charla, todos con su debida evidencia técnica.
-----------------------------------------------------------------------------------------------
Youtube: DragonJARtv (http://bit.ly/DragonJARtv)
Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb)
Twitter: @DragonJAR (http://bit.ly/DragonJARt)
Instagram: Dragon.JAR (http://bit.ly/DragonJARig)
Discord: https://invite.gg/DragonJAR
Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR)
-----------------------------------------------------------------------------------------------
¿Te preocupa que tus datos personales los tenga la CIA, el FBI y Putin?
¿Te has cambiado tu Huawei por que le pasa la biometría de tu cara al gobierno Chino?
¿Pasas de Chrome en favor de Brave por que te preocupa tu privacidad?
¿Pagas 20 pavos al mes por usar una VPN privada que difumine tu rastro por la red?
¿Crees que Trump hace muy bien baneando TikTok de los USA?
Pues igual deberías empezar a preocuparte también por la privacidad de otras cosas que te interesan… como tus servidores, por ejemplo.
En esta charla repasaremos las técnicas de extracción de datos más bizarras que hemos encontrado, y veremos cómo ninguno de nosotros, ni de nuestros servidores, está a salvo de la automatización.
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...RootedCON
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montón: La IA al servicio de la Ciberseguridad (en lo bueno y en lo malo) [rooted2019]
Charla sobre privacidad con software libre dada en el FLISoL 2014 de Lanús organizado por el grupo de usuarios de software libre de dicha ciudad (Lanux).
Charla en YouTube:
http://youtu.be/T7DXg5ocyS4
Si desean descargarsela:
Video (webm):
https://mega.co.nz/#!N9Z1yDyD!eVbjRh-vdJMD5XnRTMm13SEm3aQfXfgtLwYn5ysRPCc
Presentación (pdf):
https://mega.co.nz/#!Eph0WZxJ!Me63I2qK1ycKsXoa4lDq3xGT1UV22T1AXG3nhsBghl0
Presentación (odp):
https://mega.co.nz/#!ktAxWAqJ!HhgJVklW-JqhqwWyVi-0dQx9a49qKYITiQ0JyEWL2wU
Charla informativa que inaugura la segunda edición del Seminario básico actual en Criminología. Casa Lethe -2015.
Prevención en el uso de dispositivos electrónicos y de comunicación. Interacción en internet y navegación.
Recomendado para padres de familia, profesores y estudiantes a partir de los 10 años de edad.
4.1 Protección y seguridad
Fundamentos de Ciberseguridad
Criptografía
VPN
IPsec
IDS/IPS
Buenas prácticas de la seguridad de la información
Ingeniería en TI
Blockchain se perfila como la solución definitiva para establecer modelos de seguridad y confianza en la red, pero... ¿Son estos modelos seguros jurídicamente? ¿Qué valor probatorio tienen frente a terceros? ¿Qué hay de verdad y qué de charlatanería en todo el revuelo mediático alrededor de la seguridad con Blockchain?
Seguridad actual
•
Que es un hacker?
•
La importancia de nuestros datos
•
OSINT
•
Fases de hacking
•
Ataques
•
Controla tu exposición digital
•
Como convertirse en un profesional de la seguridad
¿Que carcaterísticas deben cumplir los datos insertado en una cadena de bloques? ¿Que dificultades vamos a encontrar en el proceso? Y muy especialmente... ¿Cómo resisten el paso del tiempo los datos asegurados mediante blockchain?
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)Oskar Laguillo
Virus, el arte de algunos. Conferencia presentada en /Rooted CON 2011 por Alberto García de Dios el 3 de Marzo de 2011 en Madrid.
Ver la conferencia en YouTube: http://youtu.be/ZUgHdX_6iGM
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
Estructuras básicas_ conceptos básicos de programación.pdf
Criptografía moderna. No Siempre es SecretA (NSA)
1. C R I P T O G R A F I A
M O D E R N A .
I J O R N A D A D E C R I P T O G R A F I A . H A B L A N D O E N C L A V E
N O S I E M P R E E S
S E C R E TA
2. C R I P T O G R A F I A M O D E R N A
P R E S E N TA C I O N
3. ¿ C U A N D O
E M P I E Z A ?
• Segunda guerra mundial
• Bletchley Park. un grupo
de científicos entre los que
se encontraba Alan Turing.
trabajaba en el proyecto
ULTRA
• Colossus
• Nace al mismo tiempo que
las computadoras
5. VA L O R D E L A I N F O R M A C I Ó N
• La información tiene un valor
• Decrece con el tiempo
• La información es poder
• “Cuidate bien del que te niega el acceso a la información, porque en
el fondo de su corazón, tan solo desea ser tu amo”
• La seguridad de la información es el conjunto de medidas preventivas
y reactivas de las organizaciones y de los sistemas tecnológicos que
permiten resguardar y proteger la información buscando mantener la
confidencialidad, la disponibilidad e integridad de la misma.
7. N U M E R O S G R A N D E S
• En la criptografía moderna se utilizan números grandes
• Normalmente expresados en base 2 o numero de bits
• Una clave de cifrado simétrico DES (56 bits) es una de las 72 mil
billones de claves posibles (2^56 = 72.057.594.037.927.936)
E V E N T O P R O B A B I L I D A D
• Ser fulminado por un rayo (por día) • 2^33
• Ganar la Lotería Primitiva • 2^23
• Ganar la Lotería Primitiva y ser fulminado por un rayo
el mismo día
• 2^56
L O N G I T U D C L AV E D E S 2 ^ 5 6
8. N U M E R O S G R A N D E S
• 2^512 =
13.407.807.929.942.597.099.574.024.998.205.846.127.479.36
5.820.592.393.377.723.561.443.721.764.030.073.546.976.801.
874.298.166.903.427.690.031.858.186.486.050.853.753.882.8
11.946.569.946.433.649.006.084.096 (155 dígitos)
• 2^1024 =
179.769.313.486.231.590.772.931.....304.835.356.329.624.224
.137.216 (309 dígitos)
• Atomos estimados del universo (sin materia oscura) : 2^255
10. N U M E R O S A L E AT O R I O S
• Muy importantes a la hora de elegir claves de cifrado
• Los ordenadores “no pueden” elegir números aleatorios
S E C U E N C I A S
A L E AT O R I A S
S E C U E N C I A S P S E U D O -
A L E AT O R I A S
S E C U E N C I A S
E S TA D Í S T I C A M E N T E
A L E AT O R I A S
S E C U E N C I A S
C R I P T O G R A F I C A M E N T E
A L E AT O R I A S
12. C I F R A D O S I M É T R I C O
http://www.fgcsic.es/lychnos/es_es/articulos/criptografia_si_no_existiera_habria_que_inventarla
• Misma clave para cifrar y para descifrar
13. C I F R A D O S I M É T R I C O
X O R
A B R
0 0 0
0 1 1
1 0 1
1 1 0
H o l a
01001000 01101111 01101100 01100001
p epe
01110000 01100101 01110000 01100101
00111000
Texto cifrado
A:
B:
R: 00001010 00011100 00000100
14. C I F R A D O S I M É T R I C O
• Cifrado perfecto es poco util
• Algoritmos con claves mas “pequeñas” que el texto claro
a cifrar.
• DES: 56 bits (2^56) , 3DES: 112 bits efectivos(2^112)
• AES: 128, 192 y 256 bits.
• Es rapido
• El problema es el intercambio de la clave de cifrado
15. C I F R A D O S I M É T R I C O
• De Bloques. Se divide en bloques de n bytes la
información a cifrar
• De flujo. Se cifran byte a byte
17. C I F R A D O A S I M É T R I C O
• Utilizan una clave distinta para cifrar y para descifrar
http://www.fgcsic.es/lychnos/es_es/articulos/criptografia_si_no_existiera_habria_que_inventarla
19. C I F R A D O A S I M É T R I C O
• El intercambio de claves no es problema. La clave
publica se entrega a todo el mundo , o a aquel que
nos quiere enviar el texto cifrado.
• Solamente el poseedor de la clave privada puede
descifrarlo
• Son lentos, hasta 100 veces mas lentos que los
simétricos
• Necesitan claves mas largas
21. F U N C I O N E S H A S H
• Funciones “resumen” parten de un conjunto de bytes
de cualquier longitud y lo trasladan a un conjunto de
bytes de longitud fija
100011101 111011101 001011101 011011101110011101 11111101 010011101 01111101
22. F U N C I O N E S H A S H
• Propiedades
• Deterministas (un mensaje siempre tiene el mismo
valor hash)
• No reversibles
• Uniformes (dan distribuciones uniformes)
• Con efecto avalancha (cambiar un bit de entrada
cambia todo el resultado)
23. • Problemas de colisiones
• Tienes un numero de bytes de entrada de cualquier
longitud.
• Das como salida una longitud fija
• Hay ∞ entradas que dan la misma salida
F U N C I O N E S H A S H
24. F U N C I O N E S H A S H . P R I N C I P I O D E L
PA L O M A R
29. H T T P S
• Cifra las comunicaciones http de nuestra navegación
por internet
• La información se mantiene cifrada entre el servidor y
el navegador del cliente
• Utiliza cifrado asimétrico (certificado del servidor) para
gestionar una clave de cifrado simétrico con la que
establecer la comunicación.
32. G L O B A L S U R V E I L L A N C E
• Five Eyes o Cinco Ojos
• Revelaciones de Snowden
• Al menos 15 000 archivos de la
inteligencia australiana, según los
funcionarios de ese país
• Al menos 58 000 archivos de la
inteligencia británica, según los
funcionarios de ese país
• Aproximadamente 1,7 millones de
archivos de la inteligencia
estadounidense, según funcionarios
de ese país
36. N S A
• 3rd PARTY/LIAISON: dentro del Acuerdo UKUSA
• REGIONAL:
• 80 servicios regionales especiales de recolección (SCS)
• Financiado con fondos no declarados o de dudosa procedencia operado por la NSA y la CIA,
• Atenas, Bangkok, Berlín, Brasilia, Budapest, Frankfurt, Ginebra, Lagos, Milán, Nueva Delhi, París, Praga,
Viena y Zagreb, además de otros lugares como América Central, la Península arábiga, el este de Asia y
Europa Continental.
• CNE: abreviatura de Computer Network Exploitation.
• Malware que infectó más de 50 000 redes. Desarrollado por Tailored Access Operations (TAO), uno de
los departamentos de élite de la NSA que emplea a un millar de hackers altamente cualificados. Sus
centros de dirección se localizan en Brasil, China, Egipto, India, México, Arabia Saudí y algunos países
de Europa del Este.
• LARGE CABLE: los 20 principales puntos de acceso, la mayoría de ellos ubicados en Estados Unidos.
• FORNSAT: abreviatura de Foreign Satellite Collection (colección de satélites extranjeros). Se refiere a los
datos que la NSA interceptaba de una serie de satélites espaciales de países como Gran Bretaña, Noruega,
Japón y Filipinas.
38. B U L L R U N
• Bullrun es un programa secreto de la NSA cuyo
objetivo es burlar la seguridad de distintas tecnologías
de cifrado usadas en redes de comunicaciones.
• Su homólogo británico sería el programa Edgehill de
la GCHQ
• De todos los programas que han sido filtrados por
Edward Snowden, el Programa de descifrado Bullrun
es de lejos el más caro
39. B U L L R U N
• Objetivos
• Influyendo para que se promuevan y adopten estándares, protocolos o sistemas con
debilidades. Por ejemplo en los documentos se menciona específicamente a la utilización
que la NSA hizo del NIST para insertar una puerta trasera en un estándar de 2006 para la
generación de números aleatorios (Dual_EC_DRBG). Posteriormente el estándar fue
adoptado como estándar por la Organización Internacional de Estandarización (ISO).3 4
• Trabajando con proveedores de software o hardware criptográfico para que liberen
sistemas con debilidades. Por ejemplo implementando directamente puertas traseras o
utilizando algoritmos criptográficos con debilidades. Por ejemplo se dice que se pagó a la
empresa RSA, filial de EMC, para que usara la fórmula matemática Dual_EC_DRBG como
método generador de números aleatorios por defecto de su software de cifrado BSafe
aún a sabiendas de la existencia de debilidades.5 4 Según Edward Snowden hay muchos
acuerdosmás de este tipo.
40. B U L L R U N
• Objetivos
• Buscando, y frecuentemente encontrando, debilidades a la
seguridad en distintos sistemas de comunicaciones. Por ejemplo se
afirma que consiguen descifrar conexiones SSL o tener acceso a muchas
de las comunicaciones peer-to-peer de voz y de texto
• Estableciendo una red de infiltrados en la industria de las
telecomunicaciones que estén dispuestos a proporcionarles
información.
• Identificando y rompiendo claves que resguardan la seguridad de
sistemas
43. P R I S M
• Correos electrónicos, vídeos, chat de voz, fotos,
direcciones IP, notificaciones de inicio de sesión,
transferencia de archivos y detalles sobre perfiles en
redes sociales.
45. M U S C U L A R
• De acuerdo con el documento filtrado, la NSA envía millones de registros todos
los días desde las redes internas de Yahoo! y Google (tras el cifrado HTTPS) a
los almacenes de datos en la sede de la agencia en Fort Meade, Maryland
54. T O R
• La gente usa Tor para
• Protegen su intimidad de los vendedores sin escrúpulos y ladrones de
identidad.
• Protegen sus comunicaciones de las empresas irresponsables.
• Protegen a sus hijos en línea. Usted ha dicho a sus hijos que no deben
compartir información de identificación personal en línea, pero
pueden compartir su ubicación con sólo no ocultar su dirección IP.
• Investigan temas delicados.
• Evitar la vigilancia.
55. T O R
• También existen “servicios ilegítimos” sobre la red TOR
• Trafico de armas
• Documentos falsos
• Venta de drogas
• Explotación sexual
• …
56. M A N U E L J .
L U C E N A L Ó P E Z
• “Es imposible desligar la Criptografía
moderna de todas las consideraciones
políticas. filosóficas y morales que
suscita. Hoy por hoy. tiene más poder
quien más información controla. por lo
que permitir que los ciudadanos
empleen técnicas criptográficas para
proteger su intimidad limita de forma
efectiva ese poder. Con el pretexto de
la seguridad se están aplicando
medidas para ralentizar el acceso de
los ciudadanos a la Criptografía fuerte.
bien desprestigiando a quienes la
usan. bien dificultando por distintos
medios su adopción generalizada ”
57. – B E N J A M I N F R A N K L I N
“Quienes son capaces de renunciar a la libertad
esencial, a cambio de una seguridad transitoria, no
son merecedores de la seguridad ni de la libertad”