Más rápido que el pensamiento

La empresa Ferranti ha construido el primer ordenador capaz de jugar a un juego de manera autónoma contra un humano. Concretamente, la actividad es el juego Nim. Se ha presentado en el Festival de Gran Bretaña y el lema que ha usado la empresa es faster than thought (más rápido que el pensamiento). La máquina se llama Nimrod.

Parece un titular de 2019, ¿no? Pues no. Concretamente, Nimrod fue presentada en 1951, y corresponde a uno de los primeros ordenadores. Fue el primero de la historia en jugar de manera autónoma a un vídeojuego, y es obra de John Bennett. Al igual que los primeros ordenadores de la historia, este ordenador solo sabía hacer operaciones matemáticas sencillas, como las que son necesarias en el juego Nim, y además, ya había un ingenio precedente electromecánico de 1940 en el que se basaron.

Fuente

La reacción de los periodistas fue de cierto temor y describián a Nimrod como una máquina pensante que dudaba antes de ejecutar su jugada. La reacción del periodista Paul Jennings, de la BBC, fue la siguiente:

This looks like a tremendous grey refrigerator.... It's absolutely frightening.... I suppose at the next exhibition they'll even have real heaps of matches and awful steel arms will come out of the machine to pick them up

O incluso en los periódicos se describía a la máquina como una caja mágica:

Fuente

 

¿Os suenan estas reacciones? Podrían escribirse hoy en día. Era el nacimiento de la industria del videojuego. No hace falta que explique aquí lo que ha evolucionado desde entonces esta tecnología. Con este pequeño artículo, pretendo demostrar lo difícil que es la regulación, el compromiso entre el freno para desarrollar nuevas ideas. No significa que no esté a favor de la regulación. Pero no será fácil y requerirá el consenso de todos.

Por cierto, el término de inteligencia artificial no se había acuñado aún, ya que no fue hasta el verano de 1956 a cargo de John McCarthy

REFERENCIAS

Nimrod, the world's first gaming computer

La leyenda del videojuego (DayoScript)

Leer más

En Naukas: ¿Por qué no se usa el “Ojo de Halcón” en el fútbol?

Os traigo mi entrada de Naukas.

Como la mayoría de los lectores sabrán, el videoarbitraje (VAR) y el Ojo de Halcón son los sistemas que se utilizan en fútbol y tenis respectivamente, para ver ciertas jugadas repetidas y ayudar a tomar una decisión cuando la simple apreciación visual del árbitro no haya sido clara.

¿En qué consiste cada sistema? El VAR está compuesto por 12 cámaras colocadas estratégicamente en algunos puntos del terreno de juego, las cuales transmitirán su señal hacia una cabina de vídeo alejada del campo donde tres árbitros están monitorizando en todo el momento las acciones del partido a través de varios monitores. Por su parte, el Ojo de Halcón se compone de 10 cámaras situadas en la pista y conectadas a unos ordenadores que realizan los cálculos para conseguir el sitio exacto del bote de la bola.

Olvidémonos de las faltas en el fútbol, y centrémonos en el seguimiento de la pelota. La razón de que haya tantas cámaras en los dos sistemas es para poder seguir los movimientos de la bola en todo momento y en distintas partes del campo de juego, de manera que no quede oculta por situarse uno o varios jugadores en medio. Ahora bien, si las definiciones son tan parecidas, ¿por qué no se usa el Ojo de Halcón también en el fútbol?

En tenis, las cámaras capturan a unos 60 fotogramas por segundo la posición de la pelota en cada instante. Empleando la triangulación de imágenes con las cámaras repartidas por la pista, las capturas son procesadas por un software, el cual se encarga de generar el mapa 3D de la pista y la trayectoria de la bola. Y esto es lo que se ve en televisión cuando un jugador pide Ojo de Halcón. Debido a que la pelota va muy rápido y puede estar oculta por el jugador, este software realiza predicciones según leyes físicas para poder predecir dónde estará la bola en ciertos momentos. Es esencial destacar que el Ojo de Halcón es una solución comercial de la empresa Sony, por lo que los algoritmos que se emplean para calcular la trayectoria de la bola no son públicos.

En fútbol, voleibol o baloncesto el cálculo de la estela de bola no es tan sencillo, ya que hay mucha más incertidumbre. No es lo mismo el movimiento de la pelota cuando está en posesión del jugador, el cual en muchas ocasiones es impredecible, que cuando la lanza o pasa a un compañero. Se entenderá enseguida con un par de ejemplos. Una pelota de baloncesto no sigue la misma trayectoria si realizamos con ella un lanzamiento balístico, que si la hacemos rotar sobre sí misma en el tiro (efecto Magnus). Lo mismo ocurre en el fútbol, y esos efectos al balón no se capturan bien con las cámaras. Podría decirse que el Ojo de Halcón realiza la predicción con cálculos físicos mucho más limitados en tenis que los que existen en otros deportes.

Sin embargo, la innovación tenística hace un flaco favor al público al hacer pensar que siempre es infalible y calcula a la perfección el punto de bote de la bola. Hay fallos, incluso a pesar de que se emplean filtros como el de Kalman o el de partículas para seguir mejor la bola. De hecho, Sony garantiza una precisión mínima de ±6mm. La realidad es que ningún sistema será capaz de llegar nunca a una exactitud total.

La razón es muy sencilla: en ciencia, al hacer cualquier medición cometemos errores, y siempre hay que indicar el margen de error con el que trabajamos. Eso lo entienden muy bien en el cricket, ya que su sistema de repetición de jugadas indica la incertidumbre a los espectadores cuando es necesario.

Hemos explicado hasta ahora dos sistemas que se basan en captación visual y de cálculos físicos para monitorizar la posición de una pelota en el deporte. Sin embargo, hay más sistemas en otras actividades. Por ejemplo, en robótica es muy habitual instalar cámaras infrarrojas alrededor de una sala y colocar en partes concretas del robot, unos pequeños marcadores detectables por infrarrojos. De esta manera, un programa de ordenador puede saber la posición y orientación del robot. Los más habituales se llaman sistema Vicon y Optitrack. Y si necesitamos una precisión menor, también podemos usar sensores Bluetooth para posicionar a un objeto móvil en un espacio.

Por ejemplo, este sistema Bluetooth se emplea en algunos centros comerciales para saber dónde y cuánto tiempo está el cliente en cada sección del supermercado. En este caso, el emisor de ondas acostumbra a situarse en el carro de la compra. La ventaja de esta solución es que consume muy poca energía.

Leer más

Reescribiendo el diccionario: un poco de lenguaje e inteligencia artificial

No es habitual promulgarme en eventos de charlas. Hoy os dejo mi última participación en una de ellas, en la pasada Semana de la Ciencia de Donostia. 

En esta ocasión, hablé sobre las consecuencias que puede tener la inteligencia artificial en nuestra visión de las cosas, y de un poco de seguridad informática. Espero que os guste. Tenéis todas las charlas que se impartieron junto a la mía aquí. Cada una de ellas dura unos 10 minutos y tienen una buena dosis de humor.

ZIENTZIA CLUB en Donostia:Julián Estévez Donosti from UPV/EHU on Vimeo.

Leer más

Algunas reflexiones sobre el Open Source

Últimamente le puedo dedicar muy poco tiempo al blog por temas varios. Pero no quería dejar pasar la oportunidad de compartir unas reflexiones sobre Open Source, tras tener algunas experiencias con bastantes desarrolladores y gente de la industria en los últimos meses. La diferencia entre el software libre y el open source es pequeña, y reside en matices. Las opiniones que arrojaré en el artículo están dirigidas a los dos movimientos.

Sin ninguna duda, me parecen una gran idea, y se ha convertido en una herramienta imprescindible. Lo compruebo prácticamente todas las semanas, ya que consulto habitualmente código Github y soy usuario Linux, Scilab, Wordpress o Python. Creo que son una herramienta genial para aprender de manera autodidacta. Pero me encuentro con profesionales en la industria que rotundamente preferían un software comercial para sus fines profesionales, que uno libre. 

Pensemos en un simulador de robótica comercial y otro abierto. Obviamente, las ecuaciones que rigen el movimiento de un brazo robótica no cambian entre softwares, son las que son. Pero tal y como escuché hace poco, "probablemente el software comercial tenga más en mente al cliente".

Un software comercial implementa las ecuaciones, pero probablemente después haga un tratamiento de datos, los filtre, se asegure que el programa no "casque", que no dé fallos, y que la interfaz gráfica para interactuar con el programa sea agradable. Y todo eso está gestionado por un grupo controlado de personas, por un grupo pequeño.

En cambio, el open source consiste en dejar el código de tu programa en un repositorio, y que cualquier persona pueda acceder a él, y modificarlo. Esa posibilidad está dirigida a que la comunidad opine sobre tu trabajo, y sea capaz de mejorarlo. Al igual que en la Ciencia, los desarrolladores y usuarios de open source se apoyan en hombros de gigantes previos. Pero esto entraña en ocasiones incomodidades: podría darse la ocasión de que continuamente se estén realizando cambios y actualizaciones, lo que es una incomodidad para el cliente final. O que el equipo que modifica el programa no lo conozcas. O que no se pueda cuidar bien la interfaz con tanta actualización. 

Y por último, otro punto que se suele olvidar es quién gana dinero con el software libre. Actualmente, empresas que sean rentables usando solo esta herramienta son contadas, como RedHat, u OpenBravo. (¿Seguro?). Y hablo desde el desconocmiento, ¿pero puede el software libre eliminar puestos de trabajo? ¿Podría una empresa X usar el código Github de algunos programas para ahorrarse invertir en desarrollar su propio programa? En toda la comunidad que desarrolla librerías de Python, ¿quién gana finalmente dinero, si es que alguien lo hace?

Sobre por qué algunos prefieren sofware privativo sobre libre lo tengo medianamente claro. Sobre el último párrafo, solo tengo preguntas.

Actualización (4 diciembre 2015)

@mariusmonton a cuenta de estas líneas, recomienda la lectura de las siguientes referencias, ambas escritas por Richard Stallman, a cuenta de dudas y cuestiones que planteo en el artículo.

Why Open Source misses the point of Free Software
Why Free Software is better than Open Source

Por otro lado, he visto que un gran banco, BBVA, está en plena campaña de marketing, y entre otras cosas, publicita y hace alarde open source. Pero esa filosofía requiere más pruebas para que sean creíbles. Por ejemplo, a día de hoy no indica qué condiciones legales acepto por descargarme su libro de Open Source, por no hablar de las apps que tienen, cuyo código no está en ningún lado.



 

Leer más

Mi participación en Naukas15: errores al copiar la realidad

Ya hace algunos fines de semana que pasó el evento Naukas15, donde impartí la charla de aproximadamente 10 minutos que os dejo a continuación: errores al copiar la realidad.

No me dispongo a hacer un resumen del evento, que ya hace tiempo que ocurrió. Solo os recomiendo ver cualquiera de las charlas del canal de EITB en el que están colgadas. 

El evento de este año fue espectacular. Muchas gracias a todos con los que compartí algún rato, y lo siento a los que no pude atender en condiciones. Prometo seguir intentando mejorar mis actuaciones.

Leer más

Pint of Science, mi participación

El pasado miércoles tuve la ocasión de impartir una pequeña charla en el marco del evento Pint of Science, del que no conocía nada y me he llevado una grata impresión. Pint of Science nació en Reino Unido como iniciativa de unos investigadores que abrieron sus laboratorios para la gente de la calle, para que pudieran ver el trabajo que ellos estaban realizando. Y eso finalmente derivó en que los investigadores comenzaron a explicar sus trabajos en pubs de manera cercana para todo el mundo.

A pesar de los orígenes de la idea, Pint of Science se ha extendido a varios países europeos, y entre ellos el nuestro. Tenéis toda la información en su página global http://pintofscience.com/.

En mi caso, pude dar pequeña charla en el restaurante Ni Neu, sito junto al Kursaal en San Sebastian. Mi charla, anunciada en esta página, se titulaba Conexiones inseguras y robo de cuentas. 

Las diapositivas de la charla las tenéis a continuación.

En la charla realizamos una pequeña prueba de concepto y demostré ante el público cómo se puede conseguir el usuario y contraseña de una cuenta de correo si tanto el atacante como la víctima están conectadas a la misma red WiFi. Es decir, es un alegato frente a confianzas de los usuarios en redes de Internet públicas.

Para saber cuáles son las IPs locales de la red WiFi, empleé la app gratuita de Android, Fing, altamente recomendable para los que os gustan estas cosas. El ataque lo realicé haciendo un Man In The Middle entre el router y la víctima, y posteriormente, ejecutando el ataque SSLStrip, creado en 2009 por Morlinspike.

El MITM permite que el tráfico que genera la víctima pase antes por por el servidor web que quiere consultar. Y el ataque SSLStrip es imprescindible, ya que en este caso, la cuenta de correo contaba con certificado SSL. Es decir, su dirección url está acompañada de https, lo cual cifra todos los datos que se intercambian entre víctima y servidor web. ¿Siempre? Bueno, no, según cómo esté implementado el certificado SSL, SSLStrip funciona todavia a pesar de ser una herramienta relativamente antigua. La distribución Kali Linux que empleé en la demo facilita muchísimo las cosas.

La prueba de concepto en directo realizada no pretendía enseñar al público cómo se roban credenciales, sino concienciar sobre lo fácil que se pueden conseguir esos datos si no andamos con cuidado en WiFis públicas.

El ataque bien explicado aparece en muchos vídeos de la Red. Éste por ejemplo me gusta por la claridad con la que está explicado:

La charla tuvo una gran acogida entre el público, así que intentaré seguir haciendo pequeñas pruebas siempre que me sea posible. Desde aquí, gracias a los asistentes y al equipo de Pint Of Science Donostia.

Leer más

Explícame cómo se hackea el WiFi

Sí, el término habitual es hackear WiFi, a pesar de que la palabra hacker esté siendo tan denostada. En este artículo, voy a intentar explicar qué hace una de las herramientas más típicas para nuestro propósito. Este software se llama AirCrack, y es un programa desarrollado por el especialista de seguridad, Christoph Devine.

Si probáis a poner en YouTube el término de búsqueda "hackear WiFi" os van a aparecer miles de vídeos de demostración donde se ve paso a paso cómo se utiliza AirCrack, y sobre todo en Linux. En este artículo yo voy a limitarme a explicar qué ocurre con el protocolo WEP, y antes de continuar, recuerdo que el hackear una red WiFi sin consentimiento de su propietario está tipificado como delito.

WEP (Wired Equivalent Privacy) fue el primer protocolo de encriptación introducido en el primer estándar IEEE 802.11 allá por 1999, y no fue creado por expertos en seguridad o criptografía. Su cifrado funciona de la siguiente manera (extraído de aquí):

Y el paquete que se emite es este:

donde cada celda corresponde a los siguientes puntos:

• Cabecera 802.11: contendrá información relativa al tipo de paquete, las direcciones MAC del emisor y receptor del mensaje y determinada información de sincronismo.
• Vector de inicialización (IV): es la clave dinámica generada por el emisor y utilizada para concatenar con la clave estática dando origen a la semilla RC4. Como se puede observar esta secuencia de bits crítica para preservar correctamente la privacidad de los datos viaja por la red sin ningún tipo de cifrado.
• Datos encriptados: el mensaje que se desea transmitir de manera segura desde un nodo emisor a un nodo receptor.
• CRC encriptado: código de redundancia cíclica correspondiente al mensaje que se va a transmitir.
• CRC del paquete: código de redundancia cíclica correspondiente al paquete completo. El CRC, dicho de manera simple, es el checksum para comprobar la integridad del mensaje. Este sistema era muy bueno para detectar ruido en transmisión de señales, pero deja un poco que desear en su nueva misión de cifrado, y mejores alternativas son MD5 o SHA-1

Han aparecido numerosas variantes para atacar el cifrado WEP, pero la original y más extendida es la basada en el RC4. El RC4 es un sistema de cifrado creado en 1987. Fue tratado como alto secreto, hasta que un anónimo coló en una lista de correo en 1994 cómo funcionaba, y ya en 1995 publicaron la primera vulnerabilidad.

Si miramos el cuadro de cifrado WEP, el RC4 crea una cadena de 64 bits, 40 de las cuales corresponden a la clave estática, y 24 al vector de inicialización (IV). Esta clave estática es la contraseña que anhelan los que intentan hackear la red WiFi en cuestión. Sin embargo, tal y como se ve en el cuadro, el IV es transmitido sin cifrado en el paquete final, y este es el pilar sobre el que se fundamenta el ataque. La razón es que el atacante puede capturar estos paquetes sin ningún problema. 3 bytes corresponden al IV y el resto es mensaje cifrado.

El vector IV al ser de 24 bits solo puede estar formado mediante 16 millones de combinaciones posibles, y el objetivo que persigue es cifrar con claves diferentes para así intentar impedir que un atacante pueda recopilar tráfico suficiente para poder deducir la contraseña. Sin embargo, el WEP no especifica cómo varía el vector de inicialización, quedando en manos de los fabricantes la decisión sobre este aspecto.

La consecuencia de esto es que buena parte de las implementaciones optan por una solución sencilla: cada vez que arranca la tarjeta de red, se fija el IV a 0 y se incrementa en 1 para cada trama. Y esto ocasiona que las primeras combinaciones de IVs y clave secreta se repitan muy frecuentemente. Más aún si tenemos en cuenta que cada estación utiliza la misma clave secreta, por lo que las tramas con igual clave se multiplican en el medio (fuente).

Al ser el número de combinaciones posibles tan reducido, incluso en el mejor de los casos, incluso eligiendo un vector al azar hay un 50% de posibilades que el IV se repita con menos de 5000 paquetes (la paradoja del cumpleaños). Y aquí está el meollo del asunto, ya que probablemente lo que ocurra es que usemos el mismo vector de inicialización para cifrar el mismo mensaje. Esto es lo inaceptable (y eso que Microsoft lo volvió a usar en 2005 con el Word).

Por si fuera poca la vulnerabilidad de que el IV sea cíclico, el RC4 tampoco se queda corto. En su implementación en el cifrado WEP, se ha visto que el RC4 genera claves más débiles que otras. "Claves débiles" significa que la correlación entre el input y el output del cifrado tienen más correlación y parecido de lo conveniente. Por lo tanto, es sencillo capturar unos 9000 paquetes, quedarnos con aquellos que sugieran una "clave débil" y probar con unas pocas contraseñas.

Los ataques WEP tuvieron una mejoría muy sustancial cuando se descubrió cómo el atacante podía inyectar paquetes nuevos en el sistema: con este sistema, la fuente se veía obligada a generar paquetes más rápidamente, ya que los paquetes falsos eran aceptados sin ningún problema.

El primer ataque basado en reventar WEP basado en la debilidad RC4 es de 2001, y se denomina FMS en honor a sus autores Scott Fluhrer, Itsik Mantin y Adi Shamir. Sin embargo, rara vez se usa el ataque exactamente en la forma que lo describieron ellos.

Desde entonces, han aparecido muchas variantes (como el KoreK, el PTW, y algunos con nombres tan atractivos como café latte) y herramientas como el Aircrack implementan estas vulnerabilidades fácilmente. Las variantes de ataques pueden ser distintas metodologías de descubrir la clave estática con el menor número de paquetes a partir de la debilidad IV y RC4 descrita aquí. No es baladí la matemática que emplean para el común de los mortales, sino que usan muchas funciones lógicas y matemáticas propias de criptografía. Pero es capaz de implementarse en un software sin mucho esfuerzo y lo único que se precisa para atacar es una red que genere bastante tráfico y estar bastante cerca del punto de acceso a atacar.

Lo explicado en este artículo está lleno de simplificaciones, y dejo al lector multitud de textos sobre el tema para profundizar. El cifrado WEP tiene más vulnerabilidades que las que aquí he descrito (aquí aparecen explicadas de manera sencilla las principales), y definitivamente se ha relegado a un cifrado de uso doméstico y muerto para los que nos tomamos la seguridad en serio.

- Encrypt Your Wireless Traffic to Avoid Getting Hacked
- Understanding WEP weaknesses
- Distintos ataques WEP
- What's wrong with WEP
- What's the deal with RC4?
- Artículo que describe matemática el ataque FMS, KoreK y PTW
- Cracking WiFi WEP with aircrack-ng
- Interpretación de qué hace un software línea a línea
- Seguridad WiFi (historia y descripción de problemas, en ESP)
- Explicación de debilidades WEP desde el punto de vista de criptografía
- Cómo no funciona el WEP

Leer más

Cualquiera va a ser capaz de hacer un estropicio informático

Este artículo es una pequeña reflexión personal sobre el rumbo que percibo que está tomando la seguridad informática. El título elegido para las siguientes líneas puede parecer que la inseguridad informática sólo afecta a las empresas, servidores, webs, a los gobiernos... y no es verdad. Los usuarios corrientes, si no tomamos precauciones mínimas en el uso de nuestros móviles, aplicaciones instaladas, conexiones de Internet, etc., somos uno de los blancos más fáciles para que nos puedan hacer un roto.

Hacker hace ya tiempo que se corrompió como término y es una palabra denostada. Nada más lejos de la realidad, ya que en su origen la palabra hacker respondía a una sed de conocimiento y de dominio de una disciplina, una tecnología o un concepto, para poder mejorarlo.

Hace 20 años, para los amantes de la seguridad informática cada avance o logro obtenido en una incursión en un sistema era todo una hazaña. Internet no estaba tan extendido, y no había casi por ningún sitio manuales. Sí que había un fuerte sentimiento colectivo y muchos de los éxitos cosechados se conseguían gracias a la pertenencia a una comunidad. Sin embargo, hoy en día hay miles de herramientas software destinadas a rastrear redes, realizas tests de pentesting, búsqueda de vulnerabilidades, y también hay millones de vídeos y manuales que explican cómo usarlos. El uso de esas herramientas, en mi modesta opinión, no requiere de unos grandes conocimientos informáticos. Sí que se necesita un dominio de la técnica para crear la herramienta, depurarla, mejorarla, etc. El hacker de verdad es quien la desarrolla, no quién la usa. Es como los magos: un mago de verdad es el que tiene la creatividad y capacidad para inventarse nuevos trucos que miles de aficionados a la magia imiten o estudien.

Hoy en día ya hay herramientas de software para que aficionadillos sin mucha idea intenten hacer un ataque DoS, o distribuciones enteras que recopilan miles de herramientas de seguridad (Kali Linux es la estrella). Pero desde hace un tiempo, cada vez están apareciendo más sistemas de botón gordo. Es decir, cada vez los sistemas requieren de menos conocimientos por parte de los atacantes, y su modo de uso se está simplificando para que con mínimos conocimientos se infrinjan varias vulnerabilidades importantes.

Algunos de estos aparatos son: hardware keylogger, Pinneaple Mark, aparatos para jugar con redes wireless, RTL-SDR para sniffar comunicaciones de radio, etc. Estos aparatos se pueden adquirir a un precio al alcance de cualquiera, y pueden afectarnos sin darnos cuenta (que es el objetivo ideal de cualquier ataque).

Como consecuencia, cada vez se hace más necesario una concienciación de seguridad digital y seguir unos simples pasos, sin entrar en la paranoia. Por ejemplo, cosas tan simples como elegir contraseñas robustas, doble autenticación de login, desconectar el acceso Bluetooth, WiFi o cualqueir otro cuando no se esté usando, eliminar de la caché las redes que no usas, leer y ser crítico con los permisos que pide una aplicación de móvil al ser instalada, tener el ordenador y el móvil lo más actualizado posible, contar con un antivirus, no pinchar en cualquier hipervinculo sin estar seguros, etc.

Son medidas muy simples que nos pueden ahorrar más de un susto. El empleo de máquinas o herramientas sencillas sin entender qué hacen ni cómo funcionan se denominan script-kiddies, y no tienen buena fama entre los aficionados a la seguridad. Siempre han existido este tipo de recursos muy usables, y es ahora cuando se están masificando y están al alcance de cualquiera.

Existen varias iniciativas que intentan explicar a los usuarios los peligros de la Red, como X1RedMasSegura o Hácker Épico. No hace falta estudiarse grandes tomos para protegerse mínimamente, es como cerrar la puerta de casa con llave.

Pero lo que tengo claro, es que ahora un buen roto en tu vida digital te lo puede hacer alguien con mala idea, y no con muchos conocimientos.

Leer más

Las conexiones de Internet en vacaciones

Si sois como yo, probablemente al llegar a un nuevo destino de vacaciones lo primero que hagáis sea comprobar si hay red WiFi en el lugar. En algunos sitios, es posible que hasta la conexión sea de pago a precio de barril de Brent, pero en otros no. Estas son algunas de las alternativas que nos podemos encontrar para las conexiones gratuitas:

Lo primero y más importante es saber el tipo de protección que tiene la red. Puede ser red abierta, cifrado WEP o WPA. Red abierta significa que nos podemos conectar a ella sin necesidad de contraseña y puede acceder cualquiera. Sin embargo, en WEP hay que introducir una clave que normalmente la proporcionará el hotel. Es una manera por la que el hotel se asegura que solo sus huéspedes tienen la clave necesaria. Sin embargo, tanto la red abierta como la red WEP tienen el problema de que no cifran el tráfico que va a través de su conexión, por lo que cualquier persona que esté conectado a la WiFi con un sniffer (un programita al alcance de todo el mundo) puede capturar datos sensibles de nuestras sesiones de navegación, tal y como se contó hace tiempo en una charla Naukas. 

Es posible que la red aparentemente esté abierta, pero que al abrir el navegador de nuestro móvil/portátil nos redirija a una página donde nos pida clave y usuario, tal y como aparece en la imagen:

Se trata de un portal captivo, pero normalmente no aumenta la seguridad. Normalmente sirve para que firmemos un contrato de buen uso de la red WiFi y estemos advertidos por el hotel de que no la liemos. Aún así, esta sesión sigue siendo visible para cualquier sniffer. ¿Qué es lo más seguro entonces?

Sin ninguna duda, lo mejor es optar por una red WPA siempre que sea posible, ya que este tipo de redes nos piden una contraseña para conectarnos y además el tráfico está cifrado, de manera que ningún hacker es capaz de interpretar nuestros datos de navegación. Bueno, esto no es del todo cierto, ya que mediante técnicas como man-in-the-middle alguien experto en informática sí que puede datos de páginas web que no envíen sus datos encriptados.

Aún así, siempre hay que estar muy atento si nos conectamos en redes de las que no conocemos sus dueños, tal y como expliqué en este artículo.

He escuchado algún comentario este verano sobre pueblos o ciudades pequeñas que ofrecen WiFi público en la calle como reclamo. Sin embargo, es conveniente saber que hay que cumplir ciertas reglas para que una red así sea legal. Concretamente, la Circular 1/2010 de la Comisión del Mercado de las Telecomunicaciones (absorbida recientemente por la Comisión Nacional de la Competencia), regula las condiciones de explotación de redes y la prestación de servicios de comunicaciones electrónicas por las Administraciones Públicas (enlace BOE).

Además, cuidado, que quizás conectarte a Internet puede exigirte el número de teléfono o que sepan en todo momento por dónde pisas. 

Este es un artículo un poco modificado del que salió originalmente publicado en Zientzia Kaiera

Leer más

Permisos de Android sospechosos

Usar una señal de WiFi privada sin consentimiento del dueño es delito y está tipificado. Sin embargo, lo más habitual es que la seguridad que tiene esa red no sea la mejor, y hay muchas aplicaciones de móvil que tienen almacenadas las claves por defecto de muchos routers. En este artículo voy a hablar de las de Android, y una de las más conocidas es WifiPassword. 

Pero no solo hay una aplicación que haga esto, sino muchas más. Eso sí, los permisos que piden unas aplicaciones y otras no son los mismos. Los de WifiPassword:

- consultar tu historial y tus marcadores web

- buscar cuentas en el dispositivo

- ubicación aproximada (basada en red)

- ubicación precisa (basada en red y GPS)

- modificar o eliminar contenido del almacenamiento USB

- probar acceso a almacenamiento protegido

- ver conexiones Wi-Fi

- consultar la identidad y el estado del teléfono

- ver conexiones de red

- conectarse a redes Wi-Fi y desconectarse

- acceso completo a red

- ejecutarse al inicio

 

 

¿Hacen falta todos esos? Veamos otra app con la misma funcionalidad: Contraseñas WiFi

 

- ver conexiones Wi-Fi

- ver conexiones de red

- acceso completo a red

- conectarse a redes Wi-Fi y desconectarse

- controlar la vibración

WiFi Router Passwords 2014

- ver conexiones Wi-Fi

- acceso completo a red

- ver conexiones de red

WiFi contraseña Router

- Recuperar aplicaciones en ejecución

- buscar cuentas en el dispositivo

- ver conexiones Wi-Fi

- acceso completo a red

- ver conexiones de red

- conectarse a redes Wi-Fi y desconectarse

- mostrar sobre otras aplicaciones

- impedir que el dispositivo entre en modo de suspensión

 

 

WiFi recovery

 

- modificar o eliminar contenido del almacenamiento USB

- probar acceso a almacenamiento protegido

 

 

WiFi Password recovery

 

- modificar o eliminar contenido del almacenamiento USB

- probar acceso a almacenamiento protegido

- ver conexiones Wi-Fi

- consultar la identidad y el estado del teléfono

- ver conexiones de red

- conectarse a redes Wi-Fi y desconectarse

- acceso completo a red

 

 

La descripción de esas aplicaciones promete que realizan la misma función, pero (a fecha de la creación del artículo), los permisos son muy dispares unos de otros.

 

En resumidas cuentas: mucho ojo con los permisos a la hora de bajaros cualquier app de móvil. Hay algunos consejos, aunque solo sirven de orientaciones:

 

- Descargar aplicaciones solo del repositorio oficial.

- Si hay varias opciones, elegir la que tenga mayor número de descargas u opiniones

- Ser crítico con la función de la app y los permisos que pide.

- No rootear el teléfono a no ser que sea imprescindible.

 

 

Chema Alonso recientemente escribió un buen post sobre estos permisos. Pedir permisos extraños no es ilegal y sólo es denunciable en el caso de que tengas pruebas de que se están usando unos permisos para actividades ilegales. De manera muy sencilla y rigurosa se explica todo esto en el 4º capítulo de Mundo Hacker TV.

 

Leer más

En Naukas: Permiso para ver e-mails ajenos

Os dejo mi última entrada en Naukas, que por cierto llegó a portada de Menéame. Agradezco mucho los comentarios que han hecho los usuarios, y a @jdelacueva en especial por su colaboración.




En los últimos tiempos, parece que sea algo normal publicar SMS de un famoso político, o e-mails entre empresarios y banqueros. Obviamente, el acceso a esa información no es fácil y puede estar tipificado como delito. Es importante lo de puede, ya que la jurisprudencia del Tribunal Supremo establece que el delito de revelación de secretos ha de afectar al ámbito íntimo. Pero hoy querría hablar de algo mucho más habitual en la sociedad. Me llamó la atención esta noticia publicada por un famoso medio, en el que el director de un banco pide a su director de Sistemas que le entregue todos los e-mails:

Me llama la atención la facilidad con la que un jefe puede conseguir los e-mails de todos sus empleados, y además que estén almacenados con tal antigüedad. Cuando le pregunté a la abogada especialista, Verónica Alarcón, sobre si esto es legal o no, su respuesta fue:

@Jeibros Habría que estudiar el caso. Es imposible saberlo con la información que da el medio :(
— Verónica Alarcón (@Alarcon_Vero) febrero 15, 2014

Es decir, puede que no sea ilegal que tu jefe te espíe los e-mails dentro de la empresa. Además, la jurisprudencia la regulación de estos actos está repartida entre distintas leyes, jurisprudencia del Supremo y convenio de los trabajadores, entre otros documentos. Los datos hablan que el 17% de las empresas vigilan estos mensajes. En este artículo voy a recopilar algunas de las distintas leyes que hablan sobre ello:

Empezamos con la Ley Orgánica de Protección de Datos. Tenemos para ello los artículos 5 y 10:

Artículo 5 . Derecho de información en la recogida de datos.

1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: 

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. 

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. 

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. 

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. 

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Artículo 10. Deber de secreto

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

También lo contempla así el Código Penal en su artículo 197.1:

El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

Sin embargo, cabe destacar una sentencia del Tribunal Supremo en el que se absolvió a un profesor universitario que había accedido reitaradamente a unos correos electrónicos ajenos sin permiso de sus titulares. Uno de los argumentos para su acusación era el artículo 197.1 en cuestión. Sin embargo, el juez consideró que no era aplicable para ese caso concreto al tratarse de correos institucionales, de utilización para fines no estrictamente personales, y, por tanto, ajenos a la intimidad o privacidad de sus titulares.

En el Estatuto de los Trabajadores, en el artículo 4.2 e) se reconoce el derecho del trabajador al respeto de su intimidad y a la consideración debida a su dignidad, comprendida la protección frente al acoso por razón de origen racial o étnico, religión o convicciones, discapacidad, edad u orientación sexual, y frente al acoso sexual y al acoso por razón de sexo.

También en el artículo 18 se reconoce la inviolabilidad del trabajador:

Sólo podrán realizarse registros sobre la persona del trabajador, en sus taquillas y efectos particulares, cuando sean necesarios para la protección del patrimonio empresarial y del de los demás trabajadores de la empresa, dentro del centro de trabajo y en horas de trabajo. En su realización se respetará al máximo la dignidad e intimidad del trabajador y se contará con la asistencia de un representante legal de los trabajadores o, en su ausencia del centro de trabajo, de otro trabajador de la empresa, siempre que ello fuera posible.

Sin embargo, en el artículo 20.3 del mismo estatuto se contemplan medidas de vigilancia por parte del empresario:

El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.

Además, otra cosa es el convenio particular de cada sector o empresa y qué haya firmado ese empleado. Según contempla la LOPD, en caso de que el empresario advierta al trabajador de que se realiza la vigilancia del e-mail y vigilar a partir de entonces, y no antes.

Ante tanta disparidad de alternativas, el que suele sentar cátedra en estos casos suele ser el Tribunal Supremo, que va sentando precedentes con sus sentencias. Sin embargo, ahí tampoco hay una línea clara:

Enero 2001: El TS avala el despido de un empleado por enviar un chiste por e-mail a los empleados

Julio 2002: El Tribunal Superior de Justicia de Cataluña condena a una empresa a readmitir a un empleado tras espiarle el e-mail

Septiembre 2005: El Supremo impide vigilar el e-mail de los empleados

Abril 2010: El TSJM dio la razón a una empresa: “aunque el trabajador tiene derecho al respeto a su intimidad, no puede imponer ese respeto cuando utiliza un medio proporcionado por la empresa en contra de las instrucciones establecidas por ésta para su uso y al margen de los controles previstos para esa utilización y para garantizar la permanencia del servicio.”

 Octubre 2013: El TC avala que una empresa despida a un trabajador tras mirarle el e-mail

Por último, el Artículo 12 de la Declaración Universal de los Derechos Humanos, cita:

Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.

La primera polémica ley sobre esto comenzó en Europa con la Ley Nokia en Finlandia, y desde entonces ha sido extendido al resto de países. Por ejemplo, el 90% de empresas inglesas tienen definida una política de uso del e-mail durante las horas laborables.

Como se puede ver, hay una gran disparidad y todavía el tema es muy controvertido. Agradezco también a Javier de la Cueva su ayuda en la redacción de este artículo.

Leer más