Criptografía: la rama con más historia de la ciberseguridad y con un futuro prometedor

Criptografía: la rama con más historia de la ciberseguridad y con un futuro prometedor

La Criptografía es una materia apasionante. Me gusta recordar que esta ciencia ha escondido los mayores secretos de la Humanidad desde tiempos inmemoriales. Esta ciencia nos ha acompañado a lo largo de la humanidad y ha ido evolucionando con la misma, creando cada vez criptosistemas más sofisticados de modo que pudiera dar respuesta a las demandas de cada época. Pasando por los criptosistemas clásicos, como el famoso cifrado César o Vigenère, se dio paso a la Criptografía moderna, donde contamos con algoritmos tan importantes como el intercambio de claves Diffie-Hellman, el cual marcó un antes y un después en la Criptografía.

Figura 1: Criptografía: la rama con más historia de
la ciberseguridad y con un futuro prometedor

Este algoritmo resuelve el problema de cómo establecer una clave común entre los interlocutores de la comunicación sin la necesidad de utilizar un canal seguro o un contacto previo entre los mismos, el cual hasta 1976 había acompañado a la humanidad. La genialidad de este algoritmo le valió el premio A.M. Turing de 2015 de la Association for Computer Machinery y además dio lugar a la Criptografía asimétrica, en la que, a diferencia de la simétrica utilizada hasta entonces, se utiliza una clave diferente para cifrar y descifrar. 
De hecho, cada interlocutor utiliza un par de claves, una pública y otra privada. Aquí se puede hablar de algoritmos tan relevantes como RSA, la gran aportación de la firma digital y los certificados o las grandes ventajas de la Criptografía basada en curvas elípticas. Además, hay evoluciones de la Criptografía que estamos viendo, como la Criptografía ligera, la Criptografía homomórfica, etc.

La Criptografía, guardiana de la seguridad de nuestros datos y comunicaciones

La Criptografía utiliza el aparataje matemático como base para garantizar el funcionamiento de la misma, dándole aplicaciones que traen grandes aportaciones a la sociedad. De hecho, ha sabido hacer transparente esa complejidad y robustez matemática al usuario, quien la utiliza hoy en día casi sin ser consciente de ello.
¿Sabías que cuando sacas dinero de un cajero automático estás utilizando Criptografía, o cuando hablas por teléfono o cuando ves tu partido de fútbol favorito o cuando navegas por gran parte de las páginas de Internet o cuando envías un mensaje de Whatsapp/Telegram? Tantas acciones cotidianas que hacemos todos los días bajo las que subyace la Criptografía, haciendo de guardiana de la seguridad de nuestros datos y comunicaciones.

La Criptografía tiene características únicas respecto a cualquier otra rama de la Ciberseguridad. Además de ser la rama con más historia de la Ciberseguridad, también tiene un futuro prometedor. Hablamos de la Criptografía Cuántica, que permite hacer un intercambio de clave por un canal inseguro (típicamente a través de fibra óptica o aire) utilizando las propiedades de la cuántica, de forma que se puede detectar si hay un espía en el canal. Incluso ya se está trabajando en la Criptografía post-cuántica, es decir, aquella que se muestra resistente a la aparición del ordenador cuántico.

Breve repaso de la evolución de la Esteganografía

Tanto se podría decir de cada uno de los conceptos enunciados, sin embargo, en esta ocasión me gustaría hablar de la Esteganografía: una ciencia complementaria a la Criptografía cuyo objetivo es ocultar el hecho mismo de la transmisión de información. Sabiendo esto se entiende la etimología de la palabra Esteganografía, que proviene del griego “Steganos” (oculto) y “Graphos” (escritura).

Al no conocer el atacante que existe la comunicación, se reducen las probabilidades de ataque, lo que supone una medida extra de seguridad, la cual puede ser muy útil cuando se trata con información sensible o, por ejemplo, en situaciones de censura. Al igual que sucede con la Criptografía, los orígenes de la Esteganografía se remontan tiempo atrás. De hecho, se ha usado desde la antigüedad, en diferentes civilizaciones como la Griega y la China.

Haciendo un repaso por los diferentes sistemas esteganográficos a lo largo de la historia se encuentran curiosos e ingeniosos sistemas para ocultar la información. Se sitúa en el S. V a.C. el mecanismo mencionado por Heródoto, el cual escribía un mensaje en una tablilla y luego se recubría con cera para ocultar el mensaje. También es muy sonado el método de escribir un mensaje en la cabeza del mensajero. ¡Fijaos el tiempo que requería enviar un mensaje oculto de esta manera! Primero había que afeitar la cabeza del mensaje, escribir el mensaje, dejar el pelo crecer, enviar el mensaje y volver a afeitar la cabeza para leer el mensaje. ¡Nada que ver con la velocidad a la que transmitimos hoy los mensajes y la cantidad de información que manejamos!
Otra técnica utilizada durante las guerras mundiales era la utilización de tintas invisibles, como puede ser la de limón. O la ingeniosa idea de escribir el mensaje en un huevo cocido, cuya cáscara porosa absorbe la tinta y luego pelando el huevo se puede leer el mensaje.

Incluso es frecuente la utilización de textos como soporte para ocultar los mensajes, no solo en textos sino por ejemplo en partituras de música. Otro mecanismo conocido es la Rejilla de Cardano, donde utilizando una rejilla con un patrón se puede leer un mensaje oculto en un texto. Para l@s que tengan curiosidad por esta técnica pueden revisar este post sobre el accidente del Yack-42 en Turquía.

Técnicas actuales donde se utilizan medios informáticos para ocultar la información

Para ocultar los mensajes, la Esteganografía se apoya en un estegomedio, es decir, el recurso utilizado para ocultar la información. Hoy en día es frecuente la utilización de diferentes formatos de archivos, como imágenes, videos, audios, textos, lenguajes de programación, protocolos, ficheros, redes sociales, etc. como “tapadera” o estegomedio. Esto tiene multitud de aplicaciones a día de hoy, desde la protección de los derechos de autor (con las famosas marcas de agua), hasta la vulneración de mecanismos de seguridad como firewalls o antivirus, exfiltración de datos o la creación de estegomalware. Como siempre, las herramientas están disponibles para sus buenos usos u otros menos buenos… La Criptografía y la Esteganografía no son ciencias excluyentes sino complementarias. De hecho, no es extraño hacer una combinación de Criptografía y Esteganografía, cifrando los mensajes ocultos por si fueran descubiertos.

En cuanto a los mecanismos de ocultación, hay muchos que se pueden utilizar. Uno muy utilizado en imagen digital es la técnica LSB (Least Significant Bit en inglés), que como su nombre indica consiste en la sustitución de los bits menos significativos de una imagen por el mensaje a ocultar. Si la cantidad de información a ocultar no es demasiado grande, este mensaje pasará inadvertido a los ojos de los visualizadores de la imagen.

El estegoanálisis es el encargado de descubrir estos mensajes ocultos, para lo cual se suele buscar información redundante, que al modificarla no afecte al estegomedio y que permita descubrir esos canales de comunicación encubiertos.

Herramientas para trabajar con Esteganografía

Hay varias disponibles, como OpenStego, Steghide, Xiao Steganography, S-tools, etcérera. Cada una tiene sus particularidades, algoritmos de cifrado, medios que soporta, etc. Para ilustrar un ejemplo de cómo se puede aplicar la Esteganografía en imágenes digitales, os voy a hablar de S-tools, una herramienta muy sencilla que permite ocultar y descubrir mensajes ocultos en imágenes. 
Su utilización es muy sencilla e intuitiva. Para visualizar la imagen que servirá como estegomedio simplemente podemos arrastrar la imagen (en formato BMP). En este caso se ha usado la imagen “Figuras.bmp”.

Figura 5: Figuras.bmp antes de introducir el mensaje secreto

El fichero que se va a ocultar es “MensajeSecreto.docx” que contiene el texto “Ataque al amanecer”. Para ocultar este archivo con el mensaje en la imagen simplemente basta con arrastrar el archivo a ocultar encima de la imagen que se usará como tapadera. Entonces la herramienta nos pedirá que introduzcamos una clave y el algoritmo de cifrado que se quiera usar. Como algoritmos se pueden emplear varios: IDEADESTripleDES y MDC. En este caso se elige IDEA con la clave 9512.    

Figura 6: Selección de opciones de ocultación del mensaje secreto

A continuación, pulsamos sobre la imagen, que ya tiene el fichero oculto incrustado y seleccionamos la opción de guardar, dándole el nombre de “Hidden.bmp” a la imagen resultante. Cuando el destinatario recibe la imagen esteganográfica, si quiere descubrir el mensaje secreto primeramente debe arrastrar la imagen para abrirla con S-tools
A continuación, pulsando el botón derecho y usando la opción Reveal, podemos introducir de nuevo el algoritmo de cifrado y la clave (previamente debe haber un intercambio de clave entre los interlocutores) y…¡tachán!…esto esto es lo que obtenemos:

Figura 7: Hay un fichero oculto en la imagen

Usando la opción de guardar podemos traernos a local este fichero, abrirlo y descubrir el mensaje secreto:

Figura 8: Fichero extraído con S-tools de la imagen

Como se puede ver, esta herramienta permite ilustrar fácilmente los conceptos de la esteganografía. Por supuesto, todo es cuestión de imaginación para hacer cosas interesantes 😊 

Figura 9: Criptografía y ciberseguridad de forma sencilla y divertida por Carmen Torrano

Si te interesan estos temas te invito a ver esta ponencia sobre ciberseguridad y criptografía (que acaba de publicarse en abierto) en el CTO Summit, el evento en el que participé junto a más de 20 profesionales del sector de la tecnología el pasado 2020.

Además, si quieres especializarte en esta área y dar un salto profesional en tu carrera, te invito a que eches un vistazo al programa del Bootcamp Online Ciberseguridad (empieza el 24 de septiembre) del que formo parte también y junto a un equipo de docentes con muchísima experiencia en el sector. Si has llegado leyendo hasta aquí te doy las gracias y espero que lo hayas disfrutado.

¡Hasta pronto!

Autora: Carmen Torrano, experta en Ciberseguridad en Telefónica y docente en cursos de Ciberseguridad.

Fuente: https://www.elladodelmal.com/2021/08/criptografia-la-rama-con-mas-historia.html

Nuevas formas para la fotovoltaica: paneles solares cónicos con refrigeración por convección

Nuevas formas para la fotovoltaica: paneles solares cónicos con refrigeración por convección

Se simulan tres nuevas formas de módulos fotovoltaicos -piramidales, hexagonales y cónicos- para estudiar su eficiencia y comportamiento térmico en combinación con un sistema de refrigeración por flujo de aire forzado.

¿Y si la fotovoltaica cambiara de forma? ¿Qué pasaría si los módulos planos tradicionales se sustituyeran por paneles solares de forma cónica o piramidal?

Por ahora, la idea sigue sobre el papel, pero un grupo de científicos internacionales ha estudiado algunos modelos nuevos para evaluar el rendimiento y las prestaciones térmicas.

La investigación, publicada en Case Studies in Thermal Engineering, pretende avanzar en la tecnología fotovoltaica investigando formas y estructuras innovadoras.

Las células y los módulos solares están ocupando una parte cada vez mayor del mercado energético, pero aún quedan muchos aspectos técnicos por optimizar.

Uno de ellos es la eficacia de la conversión de la luz en electricidad. Uno de los parámetros que influyen es la temperatura de la parte trasera del panel fotovoltaico. Cada grado centígrado de aumento de este nivel puede suponer una pérdida de eficiencia del 0,5%.

A lo largo de los años, la investigación en el sector ha estudiado y desarrollado diversos sistemas activos y pasivos de refrigeración de las células. Entre ellos se encuentran los mecanismos de refrigeración por convección que usan agua, aire o una mezcla de refrigerantes.

A partir de los últimos estudios realizados en este sentido, un equipo internacional de investigación -dirigido por el ingeniero Hamdi Ayed, de la Universidad Rey Khalid- ha propuesto nuevos conceptos.

En detalle, el grupo simuló y comparó el rendimiento de la refrigeración por flujo de aire forzado en nuevos paneles solares cónicos, piramidales y hexagonales.

Estas nuevas formas“, se lee en la publicación, “pueden utilizarse ampliamente en zonas domésticas (carreteras y parques solares) sin necesidad de sistemas de seguimiento solar […]” Las hipótesis aplicables al presente estudio son para zonas cercanas al ecuador y para las horas centrales del día, lo que da lugar a una luz solar relativamente homogénea en todas las superficies laterales.

En la configuración propuesta, el aire entra en los módulos a través de una abertura en su parte inferior y el flujo de calor sale a través de un agujero en su parte superior.

El equipo evaluó el rendimiento térmico mediante un software CFD de código abierto, un programa de simulación de dinámica de fluidos computacional.

Los resultados muestran que los paneles solares cónicos funcionan mejor que otras geometrías, con una desviación de más de 10°C respecto al panel piramidal. Además, se comprobó que la eficiencia del módulo cónico era hasta un 8,4% superior a la de otras formas.

Más información: www.sciencedirect.com

Teja solar fotovoltaica – Made in Germany

Teja solar fotovoltaica – Made in Germany

El fabricante alemán Autarq vende sus tejas solares a un precio que oscila entre los 25 y los 30 euros por pieza. Afirma que un sistema fotovoltaico construido con sus tejas puede cubrir alrededor del 70% de las necesidades de un hogar convencional alemán.

El fabricante solar alemán Autarq ha anunciado que aumentará la capacidad de su planta de fabricación de tejas solares en la ciudad de Prenzlau, al este de Alemania, donde la producción comenzó en 2018.

La empresa informa que sus productos ya se han usado en 205 tejados en Alemania.

“Los proyectos varían en tamaño de 5 a 8 kW”

El precio para los clientes oscila entre 25 y 30 euros por teja. Según Autarq, un tejado que incorpore sus tejas solares monocristalinas puede cubrir hasta el 70% de las necesidades de electricidad de una vivienda unifamiliar.

Cada teja tiene una potencia de 10 a 12,5 W, según el tamaño, y una densidad de potencia de 127-135 W por metro cuadrado.

Según la empresa, una instalación de 5 kW requeriría aproximadamente 500 tejas para una superficie total de unos 40 m².

Visualmente, las tejas fotovoltaicas apenas se distinguen de las tejas originales. Tampoco hay diferencias de peso, por lo que la estática del tejado no se ve afectada, según el fabricante.

La empresa también afirma que la teja y la unidad fotovoltaica están conectadas formando un componente robusto, de modo que se conservan el flujo de agua y la estanqueidad de los tejados. Los cables y los contactos de los enchufes están situados bajo el revestimiento del tejado y, por tanto, están protegidos contra los efectos de la intemperie.

Autarq también especifica que un sistema fotovoltaico construido con su teja es insensible al sombreado debido a la conexión paralela.

Las claraboyas, las chimeneas, los conductos de ventilación o las antenas tampoco influyen en la instalación y el funcionamiento eficaz de los sistemas.

Proceso de instalación:

Las tejas tienen una garantía de 25 años.

Más información: www.autarq.com

Fuente: https://ecoinventos.com/

Hackers de China apuntan a militares y gobiernos vietnamitas

Hackers de China apuntan a militares y gobiernos vietnamitas

Un grupo de hackers relacionado con un actor de amenazas de habla china ha sido vinculado a una campaña avanzada de ciberespionaje dirigida al gobierno y organizaciones militares en Vietnam.

Los ataques han sido atribuidos con baja confianza a la avanzada amenaza persistente (APT) llamada Cycldek (o Goblin Panda, Hellsing, APT 27 y Conimes), que es conocida por usar técnicas de spear-phishing para comprometer objetivos diplomáticos en el sudeste asiático, India y Estados Unidos al menos desde 2013.

Según los investigadores de Kaspersky, la ofensiva, que se observó entre junio de 2020 y enero de 2021, aprovecha un método llamado DLL side-loading para ejecutar shellcode que descifra una carga útil final apodada“FoundCore”.

La carga lateral dll ha sido una técnica probada utilizada por varios actores de amenazas como una táctica de ofuscación para eludir las defensas antivirus. Mediante la carga de archivos DLL maliciosos en ejecutables legítimos, la idea es enmascarar su actividad maliciosa bajo un sistema de confianza o proceso de software.

En esta cadena de infección revelada por Kaspersky, un componente legítimo de Microsoft Outlook carga una biblioteca maliciosa llamada “outlib.dll”, que “secuestra el flujo de ejecución previsto del programa para decodificar y ejecutar un shellcode colocado en un archivo binario, rdmin.src.”

Además, el malware viene con una capa adicional diseñada explícitamente para proteger el código del análisis de seguridad y dificultar el ingeniería inversa. Para lograr esto, el actor de amenaza detrás del malware se dice que ha limpiado la mayor parte del encabezadode la carga útil, mientras que dejando el resto con valores incoherentes.

Kaspersky dijo que el método “indica un gran avance en la sofisticación para los atacantes en esta región”.

Además de dar a los atacantes control total sobre el dispositivo comprometido, FoundCore viene con capacidades para ejecutar comandos para la manipulación del sistema de archivos, manipulación de procesos, captura de capturas de pantalla y ejecución arbitraria de comandos. Las infecciones que involucran FoundCore también se encontraron para descargar dos malware adicional. El primero, DropPhone, recopila información relacionada con el entorno de la máquina víctima y la exfiltra a DropBox, mientras que el segundo, CoreLoader, ejecuta código que permite al malware frustrar la detección por productos de seguridad.

La firma de ciberseguridad teorizó los ataques originados con una campaña de spear-phishing u otras infecciones precursoras, que desencadenan la descarga de documentos RTF señuelo de un sitio web falso, lo que en última instancia conduce al despliegue de FoundCore.

Entre decenas de organizaciones afectadas, el 80% de ellas tienen su sede en Vietnam y pertenecen al gobierno o al sector militar, o están relacionadas de otro modo con la salud, la diplomacia, la educación o las verticales políticas, con otras víctimas, ocasionalmente detectadas en Asia Central y Tailandia.

“No importa qué grupo orquestó esta campaña, constituye un importante paso adelante en términos de sofisticación”, concluyeron los investigadores. “Aquí, han añadido muchas más capas de ofuscación e ingeniería inversa significativamente complicada.”

“Y esto indica que estos grupos pueden estar buscando expandir sus actividades. En este momento, puede parecer que esta campaña es más una amenaza local, pero es muy probable que la puerta trasera FoundCore se encuentre en más países de diferentes regiones en el futuro”, dijo mark Lechtik, investigador principal de seguridad de Kaspersky.

Fuente: Hackers From China Target Vietnamese Military and Government (thehackernews.com)