La Autentificación en tiempos modernos. Introducción

Llevo mucho tiempo queriendo escribir sobre sistemas de doble autentificación, y específicamente sobre FIDO, y después de varios años, he creído que ya era hora. Así que aprovechando la gran demora en años, voy a aprovechar para dar un repaso del paradigma actual de la identificación.

La identificación puede parecer algo antiguo e incluso sencillo, algo que incluso nuestros abuelos y nuestros hijos/nietos bien conocen. Quizás el ejemplo más cotidiano sea nuestro DNI. ¿Y cual es la funcionalidad principal de este? Pues ni más ni menos, incluso en los tiempos que corren, la de identificarnos de forma única ante el mundo.

Internet no es tan diferente, es una entidad “virtual”, pero se rige más o menos por los mismos principios. Por supuesto puede ser deseable permanecer anónimo dentro de la gran red de redes, al igual que puede ser deseable muchas veces en el mundo real querer ocultar nuestra identidad, y para nada sólo con fines delictivos. Pero al igual que pasa en el mundo real, también necesitamos muchas veces, la mayoría de ellas, que el mundo sepa quien somos, algo que nos apunte de forme inequívoca.


EL USUARIO COMO IDENTIDAD

Internet supuso un antes y un después, y con él aparecieron un sin fin de nuevos… “servicios” para las personas. Desde el correo electrónico, las nuevas formas de comunicación como IRC (que con el tiempo evolucionaría a la mensajería instantánea), foros, blogs, comercio online, redes sociales… un universo que sigue una escalada exponencial, y en el que cada vez, nosotros como individuo, tenemos más peso. Nos comunicamos por Internet, compramos por Internet, nos informamos por Internet… tal es así que incluso vamos dejando muchos servicios tradicionales, y moviéndonos rápidamente a los digitales.

Pero para que todo ello haya sido posible, ya desde los orígenes, ha sido necesario que la inmensa mayoría de servicios que usamos sean únicos para cada persona, donde podremos muchas veces mentir sobre los datos que queramos dejar, pero sean falsos o ciertos, nos identifican en sus sistemas. No hizo falta ser un genio, sólo el sentido común para entender la necesidad de diferenciar … Leer Más...

La Autentificación en tiempos modernos. Índice.

Como siempre, empecé con una publicación sencilla y la cosa terminó siendo necesaria una división por partes… A medida que vaya publicando el resto de contenidos, iré actualizando los enlaces.

  • Introducción
  • Usuarios y Contraseñas
  • Biométricos Concepto de PIN
  • Certificados Digitales y Tarjetas de Acceso.
  • Doble Autentificación:
    • Códigos OTP (HOTP y TOTP)
    • FIDO U2F
  • Autentificación sin Contraseña: FIDO2
  • Llaves de Seguridad: Yubikey/Plug-Up…

Leer Más...

DNS Over HTTPS/TLS: Encriptado del tráfico DNS

 

A lo largo de los años, la mayoría de los protocolos “base” con los que se constituyó el Internet que hoy conocemos han ido evolucionando, algunos más algunos menos. Es cierto que la base en la que se sostiene es a groso modo la misma, pero no así los protocolos que están encima de la mesa. El mejor ejemplo es el propio protocolo HTTP, que aunque parezca muy antiguo, realmente su primera especificación es de 1991. Vale, son 27 años, pero Internet podemos datarla más o menos por 1980. Sí, a día de hoy el protocolo HTTP es la base de toda la Internet navegable, pero muy poco queda de esa primera especificación de 1991. En 1996 aparecería la especificación HTTP/1.0, en 1999 HTTP/1.1 (la más usada a día de hoy) y en 2015 HTTP/2.0. HTTP ha evolucionado y es posible que continúe haciéndolo, y HTTP/2.0 ofrece grandes mejoras en todos los aspectos frente a especificaciones más viejas.

HTTPS apareció en 1992, un modo ingenioso, práctico y seguro de poder enviar/recibir la información HTTP de forma cifrada punto a punto, es decir, se cifra y descifra en origen, permitiendo conocer si ha existido manipulación en medio y además añadiendo identificación de las partes por medio de certificados digitales. Ahora, en 2018, HTTPS lo vemos como imprescindible, y con los certificados digitales más a mano que nunca hemos visto como el % de webs que lo han implementado se han disparado. ¿Por qué? Porque después de años de hartazgo de las propias instituciones gubernamentales, de fallos de seguridad, de robos de datos… ahora somos más desconfiados que nunca, y nos gusta pensar que, aunque lo que estemos mirando en Internet sea donde comprar un colchón, nadie va a poder saberlo (Bueno, todo tiene sus limitaciones, claro). Realmente su importancia principal fue y ha sido y será, debido al intercambio de datos privados entre usuario y servidores. Desde usuarios y contraseñas, direcciones postales, tarjetas de crédito, expedientes médicos… todo. Cualquier información que no vaya cifrada punto a punto corre el riesgo de ser leída… y ya no solo por … Leer Más...

¿Que es el nuevo Reglamento General de Protección de Datos (RGPD), que no está dejando títere con cabeza?

 

LOPD (antigua) Vs RGPD

El día 25 de Mayo de 2018 será recordado, con bastante seguridad, por ser un antes y un después, porque han cambiado las reglas del juego, las reglas de un juego en el que el producto era el propio ciudadano, y el vendedor y el comprador empresas de medio mundo. Pero antes de entrar en detalles… ¿Que diablos es la RGPD?

En España llevamos años rigiéndonos por la Ley Orgánica de Protección de Datos (LOPD), supervisada por la agencia de protección de datos. Este organismo ha tenido un papel fundamental en los últimos años, sobre todo si tenemos en cuenta que cada año que pasa nos metemos más de lleno en una sociedad totalmente “tecnologizada”, en una sociedad donde cada vez vale más nuestra información, lo que hacemos, lo que nos gusta, todo. Y si tengo que ser justo, tengo que decir que al contrario de la opinión que tengo sobre como funcionan la mayoría de las cosas aquí en España, la agencia de protección de datos a cumplido con su cometido, ha sido tanto comprensible,  flexible, firme como implacable, en función de las irregularidades, y más importante, de la intencionalidad.

El Reglamento General de Protección de Datos (RGPD) no es una ley ni un reglamento Español, tiene un alcance Europeo, es el acuerdo de años de trabajo de la UE, y digamos que sienta las bases, unas nuevas bases, de como se deben de tratar, recolectar, vender… cualquier dato/información de carácter personal de sus ciudadanos. Esto no va (solo) del mundo digital, ojo, esto se aplica absolutamente a todo. En España, el RGPD sustituye/modificará por tanto la LOPD actual, para darle cabida. Y sí, es de obligado cumplimiento para todos. Nuestra ya vieja LOPD, si bien es cierto que en algunas cosas era más restrictiva, en muchas otras se quedaba corta. El RGPD unifica en territorio europeo las nuevas reglas del juego de los datos personales.

El que más o el que menos ya sabe lo que es la RGPD. Vale, puede que desconociesen lo que estaba detrás, pero lo lleva viviendo … Leer Más...

Vuelve a pasar, “un carácter de la muerte” vuelve a los equipos de Apple

Para quien no esté al corriente de otras ocasiones, digamos que actualmente cualquier dispositivo de Apple (iOS o MacOS) por actualizado que esté (excepto versiones betas) provocará el cierre/bloqueo de la aplicación si esta tiene que renderizar un carácter concreto. En este caso es un carácter Telegu, un dialecto Indio: జ్ఞ‌ా

Sí, eso significa que incluso este mismo post producirá el bloqueo/cierre de la aplicación que lo abra en los dispositivos de Apple. Pero esto no es nuevo. Hace ya algunos años pudimos ver algo similar, aunque en aquella ocasión era más bien una cadena de texto: “سمَـَّوُوُحخ ̷̴̐خ ̷̴̐خ ̷̴̐خ امارتيخ ̷̴̐خ”. Ya en su día escribí un pequeño artículo al respecto:

La Cadena de la Muerte

La historia es la misma, de echo todo lo que puse en ese post se podría volver a poner aquí. La única salvedad es que en esta ocasión es un carácter, en vez de una pequeña cadena.

Vemos fallos de seguridad y bugs a diario, nadie se salva de ellos. La mayoría no suelen tener una gran transcendencia por grave que sean debido a que explotarlos es algo complicado. Es aquí donde este tipo de errores alcanza una importancia capital, aunque sea algo inocuo y que no afecte demasiado. Es decir, para que un fallo de seguridad o un bug sea realmente importante se deben de dar una de estas dos premisas: O que el grado de peligrosidad, a lo que afecta, sea enorme aunque sea muy complicado usarlo, o que con independencia de lo peligroso que sea, sea extremadamente sencillo disparar el fallo.

Algo similar vimos hace poco cuando se descubrió que cualquier usuario de MacOS podía resetear la contraseña de administrador de forma extremadamente sencilla, sin conocerla, sin tener los credenciales necesarios. En dicho caso, la peligrosidad, al margen del efecto logrado, es que era algo tan simple como hacer clic dos veces en un botón.

Vivimos ahora mismo en el mundo de las comunicaciones. Es más, la mayoría que lea este artículo lo hará posiblemente desde un teléfono. La mayoría del tiempo que pasamos con nuestros dispositivos … Leer Más...

Volver a arriba

Sobre Mí

Alma Oscura por Theliel is licensed under a Creative Commons Reconocimiento-No comercial-Sin obras derivadas 3.0 Unported License.
Política de Privacidad.
Para otros permisos que puedan exceder el ámbito de esta licencia, contactar en blog.theliel.es/about/contactar.