Tutorial basico de encriptación con Java

Criptología, algo tan importante como antigüo...

Historia

En el año 500 a.C. los griegos utilizaron un cilindro llamado "scytale" alrededor del cual enrollaban una tira de cuero. Al escribir un mensaje sobre el cuero y desenrollarlo se veía una lista de letras sin sentido. El mensaje correcto sólo podía leerse al enrollar el cuero nuevamente en un cilindro de igual diámetro. (Imagen ilustrativa)

Durante el Imperio Romano Julio Cesar empleo un sistema de cifrado consistente en sustituir la letra a encriptar por otra letra distanciada a tres posiciones más adelante. Durante su reinado, los mensajes de Julio Cesar nunca fueron desencriptados.

En el S. XII Roger Bacon y en el S. XV León Batista Alberti inventaron y publicaron sendos algoritmos de encriptación basados en modificaciones del método de Julio César.

Durante la segunda guerra mundial en un lugar llamado Bletchley Park (70 Km al norte de Londres) un grupo de científicos trabajaba en Enigma, la máquina encargada de cifrar los mensajes secretos alemanes.

En este grupo se encontraban tres matemáticos polacos llamados Marian Rejewski, Jerzy Rozycki, Henryk Zygalski y "un joven que se mordía siempre las pieles alrededor de las uñas, iba con ropa sin planchar y era más bien bajito. Este joven retraído se llamaba Alan Turing y había sido reclutado porque unos años antes había creado un ordenador binario. Probablemente poca gente en los servicios secretos ingleses sabía lo que era un ordenador (y mucho menos binario)... pero no cabía duda que sólo alguien realmente inteligente podía inventar algo así, cualquier cosa que eso fuese...

Era mucho más abstracto que todos sus antecesores y sólo utilizaba 0 y 1 como valores posibles de las variables de su álgebra." (1).

Sería Turing el encargado de descifrar el primer mensaje de Enigma y, cambiar el curso de la guerra, la historia y de... la Seguridad Informática actual.

Seguridad e-commerce: como protegerse y prevenir los ataques

Los ciudadanos hoy son más digitales que nunca. La tecnología está al alcance de la mano y a través de ella cualquier necesidad puede ser suplida. El uso de dispositivos móviles es cada vez más frecuente y las redes son más rápidas. En este contexto el comercio electrónico se ha fortalecido y han surgido grandes oportunidades para que los comerciantes de todas las ramas puedan hacer negocios en la web y los consumidores puedan adquirir nuevos servicios y productos.

Una de las causas que frena el desarrollo del comercio electrónico son los problemas de seguridad que aparecen atados al mismo. En los últimos años las empresas han empezado a promocionar opciones de facturación electrónica (e-factura) y de “carrito de compras”, impulsándolos como formas para ahorrar tiempo y costos.

Pese al desarrollo de la tecnología en materia de e-commerce, la inseguridad y la falta de confianza que se generan en el consumidor final abren una gran brecha entre el manejo de los datos personales y financieros, y la calidad y destino que tenga el producto o servicio adquirido.

Dos de las mayores amenazas a las que está expuesto el e-commerce, m-commerce y hasta el tv-commerce son el 'Phishing' y el 'Spam', los cuales generalmente buscan conseguir información confidencial de forma fraudulenta (contraseñas, datos de cuentas personales, suscripciones, correos electrónicos, códigos PIN, etc.).

Un clásico ejemplo de estos fraudes informáticos se presenta cuando el usuario recibe un correo electrónico que en apariencia proviene de su banco, en el cual se le pide que inicie sesión en una plataforma amigable y 'segura' (que a su vez parece provenir de la misma entidad) a la cual ingresa, usando sus identificación, contraseñas, información bancaria, etc. En este punto, los delincuentes ya tienen acceso a la información y la posibilidad que el cliente sea víctima de un delito aumenta.

Es importante recordar que ninguna entidad financiera solicita confirmación de datos a través de correos electrónicos o similares, bajo ninguna circunstancia.

Por todo lo anterior, es normal que como usuarios nos preguntemos antes de realizar una transacción online, si la empresa que ofrece el producto o servicio corresponde realmente a una organización confiable o si nuestra información está en riesgo. ¿Es cierto que el que está detrás de esa web es quien dice ser?, ¿qué hacen con la información personal y financiera que les facilito?

Lo primero que debemos tener claro, es que en los procesos de e-commerce fraudulentos existen cuatro actores implícitos:

1.  El comprador que usa su navegador para localizar el sitio de compra y el producto.
2. El sitio web que es gestionado por un usuario, el cual llamaremos comerciante.
3. A su vez, el comerciante contrata servicios de terceros para llevar a cabo una limpia y segura transacción, quien es conocido como proveedor.
4. El atacante es el último jugador en acción, cuyo objetivo es explotar los otros tres en el campo, para obtener beneficios de forma ilegítima.

A partir de lo anterior, encontramos que existen varios métodos de 'ataque' que podrían hacer vulnerable nuestras transacciones.

1. Engañar al comprador. También conocida como la técnica de ingeniería social en la cual está implícita una vigilancia al comportamiento del comprador. Un escenario común es el de registro de usuarios y contraseñas en sitios de mayor interés especialmente bancos, redes sociales y portales como e-bay o mercadolibre.
2. Espiar el ordenador del comprador. Millones de computadoras se enlazan a internet cada mes y los conocimientos de los usuarios sobre vulnerabilidades suelen ser muy escasos. Las empresas proveedoras de software y hardware en su afán por garantizar que sus productos sean fáciles de instalar, desactivan sus funciones de seguridad haciéndolos vulnerables. Esos vacíos son aprovechados por los atacantes, quienes con ciertas técnicas de escaneo de puertos detectan los puntos de entrada al computador, accediendo así al sistema operativo, y a la información personal y financiera del usuario.
3. Fisgonear la red. En este esquema, el atacante controla los datos entre el ordenador del comprador y el servidor, interceptando los paquetes de datos que van de un servidor a otro, usando un software criptográfico para descifrarlos, permitiendo al atacante tener acceso a los datos que circulan online.

Sabiendo lo anterior, tenemos un punto de partida para hacer nuestras transacciones virtuales de una forma segura y sin riesgos, siguiendo unas sencillas recomendaciones:

• Tenga en cuenta que los portales o las páginas en las que se va a realizar alguna transacción deben tener instalado un certificado digital SSL, gracias al cual tenemos certeza de estar en el sitio ‘oficial’ de la entidad. Esto lo sabremos porque al entrar al sitio veremos que la dirección URL del sitio cambiará  de http:// a https:// (se añadirá una “s” al protocolo que utiliza el cifrado SSL). 
• Sospeche siempre de cualquier correo electrónico con solicitudes urgentes de información financiera personal. Evítelos por completo y en caso de tener dudas comuníquese con los canales oficiales de su entidad bancaria, antes de registrar cualquier dato en otro lugar.
• Procure que su contraseña, aparte de letras y números, contenga caracteres especiales (*, ¿, &, etc.), los cuales dificultan el trabajo de los delincuentes informáticos.
• Cuando conecte su equipo a una red asegúrese tener activado el “Firewall”, con esto reduce posibles vacíos de seguridad.
• No se puede estar seguro de que un correo electrónico con contenidos financieros sea verídico a menos que cuente con una firma digital (sistema encriptado de registro de la identidad del emisor del contenido electrónico). Los phisher suelen incluir contenidos tentadores o inquietantes (pero falsos) en sus correos para que el usuario acceda de inmediato.
• No utilice los enlaces o links incluidos en un mensaje de correo electrónico o en el chat para ir a cualquier sitio web. Si sospecha que no es un link auténtico, ni reconoce al remitente evite dar clic y póngase en contacto con la entidad remitente.
• Evite diligenciar formularios de encuestas o suscripciones.
• Adquiera el hábito de revisar la dirección URL. Los sitios de transacciones electrónicas mantienen visible su nombre dentro de su URL para garantizar la seguridad; lea siempre a dónde se está dirigiendo su información y en caso de dudas cancele la transacción que esté realizando.
• Considere la instalación de un navegador web con barra de herramientas que ayude a proteger la información de los sitios fraudulentos. Internet Explorer y Mozilla Firefox cuentan con estas herramientas.
•  Inicie sesión regularmente con sus cuentas en línea. Asegúrese de no dejar habilitado en su navegador la opción de “recordar contraseña” por defecto. Cualquiera podría tener acceso a los datos y poner en riesgo su información.
• Asegúrese que su navegador web esté actualizado para contar con los nuevos sistemas de seguridad.

Como resumen les dejo una entrevista, en un programa nacional (Banda 3.0), para proteger datos personales. 

Informa sobre enlaces engañosos, engaños mediante ingeniería social, robo de contraseñas, phising, diferencia entre hacker y los crackers y demás.

¿Como protegerce de ataques informáticos?

RESGUARDAR LA SEGURIDAD INFORMÁTICA EN 2013

Hola Chicos! Encontré este artículo que me resultó muy interesante para proteger nuestros datos cuando no tenemos nuestras PC's y necesitamos acceder a nuestra información, y decidí compartirlo.

Recientes ataques a redes sociales han encendido alertas con respecto a proteger la información personal en internet. Existen diversas alternativas para impedir que extraños accedan a nuestra información, pero todas confluyen en una estrategia: la portabilidad de datos.

Durante la primera semana de febrero hemos sabido del robo de 250 mil contraseñas de Twitter. Mientras la red de microblogging ejecuta medidas para evitar nuevos hackeos, los usuarios pueden desarrollar sus propias estrategias para resguardar sus datos y realizar una navegación segura.

La principal medida que deben tomar los usuarios de Internet es evitar el uso de computadores desconocidos para acceder a sus cuentas personales, ya sea correo electrónico o redes sociales, y preferir los dispositivos propios, administrados según las disposiciones de seguridad que el propio usuario haya establecido.

Si no siempre es posible cargar con un dispositivo propio, una solución liviana y efectiva es tener un pendrive con urDrive, software que cuenta con navegador web y antivirus instalado. Este tipo de pendrives guarda las cookies y archivos temporales de Internet en su propia memoria, junto con las páginas favoritas y el historial de navegación, de manera de no dejar huellas en el computador que se está usando.

Los pendrives con urDrive también cuentan con un antivirus que realiza un escaneo completo para detectar virus, incluyendo spyware, worms y adware, revisa qué está pasando si hay desempeño lento, y se mantiene atento a los riesgos de exposición de identidad y datos.

El software urDrive viene precargado en los pendrives Kingston DT 101G2, DT 108 y DT 109, DT SE9 y DT G3.

Una tercera opción aún más segura es usar un pendrive con encriptación de hardware. Este tipo de dispositivos cuenta con un sistema de contraseñas personalizable para proteger la información. En caso de que un extraño intente acceder a la contraseña, al décimo intento el pendrive se reformatea automáticamente. El pendrive Kingston DT Locker+ G2 es ejemplo de esto.

Actualmente existen pendrives con capacidades crecientes, por lo que se están convirtiendo en una alternativa viable para mantener los datos protegidos de ojos intrusos. El más grande disponible es de Kingston y tiene 512GB, y durante 2013 saldrá al mercado uno de 1TB, también de Kingston, que ampliará la posibilidad de tener la información “donde mis ojos la vean”.


Fuente: http://enfoqueit.com/tecnologia/resguardar-la-seguridad-informatica-en-2013/

Al incrementar la seguridad informática, desciende el confort del personal.

Encontré un artículo que me pareció interesante ya que se refiere a la relación entre la seguridad informática y el personal de la empresa.

El autor del artículo sostiene que existe una relación inversa entre el nivel de seguridad y el confort del personal, es decir a mayor seguridad menor es el confort.

La justa medida es un equilibrio que debe encontrar cada empresa mediante prueba y error. Se suele partir de un nivel restrictivo y de ahí escuchar a los usuarios para dosificarla. Cada firma debe conocer que necesitan sus empleados para ejercer sus funciones e implementar mecanismos eficientes para garantizar la seguridad informática.

En mi caso particular que no trabajo, no puedo opinar desde la experiencia, pero me parece que esto puede llegar a suceder porque tal vez las empresas hacen más foco en las amenazas internas es decir las que provienen de los propios empleados, y por esto ellos se sientes controlados en exceso y sufren la falta de confianza. Pero me parece más posible que esto ocurra porque los empleados no lleguen a comprender la importancia de la seguridad informática en la empresa y el importante rol que ellos desempeñan. 

Por ello hay que generar conciencia entre los trabajadores para que conozcan su responsabilidad, respecto a fortalecer la seguridad informática de la empresa en que trabajan.

Fuente: http://gestion.pe/empresas/level-3-cuando-incrementa-seguridad-informatica-desciende-confort-personal-2065846

Smartphones y tabletas: Se multiplican peligrosamente los programas maliciosos que los infectan!!

En este escenario, Android resulta ser, por su amplia variedad de aplicaciones y por la facilidad que existe para publicar en su tienda virtual (Android Market), la plataforma más afectada.  Sin embargo, los expertos han comprobado que todos los celulares, sin importar su sistema operativo, están comenzando a ser usados como 'agentes transmisores', es decir que, a través de sus sistemas de almacenamiento (interno o tarjetas SD), los delincuentes infectan de 'carambola' a otras plataformas como Windows. Se han descubierto códigos maliciosos que son instalados en celulares o tabletas, pero que no infectan a esos aparatos, sino que se activan cuando el dispositivo se conecta mediante USB a una red o a un PC, sus verdaderos objetivos.

Pese a que para algunos expertos los virus para celulares y tabletas no son equiparables hoy, en términos de peligrosidad, a los de los computadores, no hay duda de que en el mediano plazo comenzarán a causar más daño. El robo de información personal y de negocios o el espionaje industrial son algunas de las tendencias que veremos.

Algunas "apps" que protegen:

Para teléfonos que funcionan con Android, hay aplicaciones como Play Store, AVG Antivirus, Avast Mobile y Lookout que, además de ofrecer protección, incluyen opciones como la de hallar el equipo de manera remota en caso de robo o pérdida.

Para los celulares iPhone, Blackberry y Nokia, los expertos recomiendan buscar programas gratis o de pago de marcas reconocidas como Norton y McAfee.

Algunos consejos para que minimice los riesgos de infección:

1. NO al 'hackeo'. Desbloquear el teléfono para saltarse las limitaciones del fabricante o el operador, con procesos como el 'jailbreak' (para iPhone y iPad) o el 'root' (para Android) puede exponer al equipo a infecciones de código malicioso.

2. OJO al conectarse. Las redes Wi-Fi públicas y abiertas o un PC con dudosa reputación también pueden exponer su celular a virus, que luego podrían meterse en su PC o su red doméstica.

3. Irónico: desconfíe de los antivirus. Así es, algunos códigos malignos son 'disfrazados' de programas gratuitos de seguridad.

Fuente: http://m.eltiempo.com/tecnologia/actualidad/expertos-advierten-que-los-virus-en-el-celular-no-son-leyenda-urbana/11676781