El lio de blockchain

Microsoft agregará herramientas blockchain a su Power Platform

Cointelegraph

Un nuevo informe analiza las aplicaciones blockchain del gobierno federal de EE.UU

Cointelegraph

Menos del 20 % de las compañías está implantando Blockchain

silicon.es

Las criptomonedas son el futuro de las transferencias internacionales

criptomonedas-ICO

… y como estas noticias tenemos miles unidas a declaraciones de grandes expertos. Hay una legión de defensores de blockchain y criptomonedas y otro enorme grupo de detractores. Para mi la conclusión es que estamos perdiendo un poco el norte, si no lo hemos perdido ya del todo

¿Alguien se ha planteado qué aporta blockchain al mundo tecnológico
tradicional que no pudiera hacer con su arquitectura actual?. ¿Alguien cree que la banca va a bajar sus comisiones si usa tecnología blockchain?. ¿Por que se quiere usar una tecnología distribuida en entornos donde la seguridad es crítica?

Yo soy un defensor de blockchain, pero allá donde tiene sentido, es decir,
como tecnología diseñada para hacer transacciones al margen del sistema.
Blockchain es simple y llanamente eso: la tecnología de soporte del
movimiento criptoanarquista
. Nada más …. y nada menos

¿Y por qué el mundo financiero «parece» que quiere lanzarse a
blockchain?. Y digo «parece» porque en realidad hay mucho ruido, pero
poco movimiento. ¿Por qué la banca lanza píldoras como que quieren tener sus propias criptomonedas?

Mi opinión es que la banca y el sistema tiene miedo a que empiecen a
aparecer, por ejemplo, aplicaciones de trading sobre blockchain al margen de la regulación, y lo que es peor para ellos, al margen de sus jugosas comisiones.
El sistema se mantiene vivo gracias al «postureo». Se generan enormes
cantidades de dinero convencional, que no existe, para que los deudores paguen sus deudas atrasadas que fueron dadas con un dinero que tampoco existía en su momento

El Banco Central Europeo «envía» ingentes cantidades de dinero a
los bancos centrales para «inyectar liquidez» al sistema. Al final los
países no tienen forma de devolver esos créditos y el BCE vuelve a
«crear» una nueva enorme cantidad de un dinero …… que no existe,
solo son apuntes contables entre países y bancos

Estos mismo que viven de vender algo que no existe, son los que dicen que
las criptomonedas no tienen un respaldo. Yo les doy la razón. Las
criptomonedas tienen el mismo respaldo que hay detrás del euro: NADA

Las criptomonedas, soportadas por blockchain, son
simplemente un acuerdo entre poseedores de las mismas
de tal forma que ambos aceptan su uso como medio de pago de un bien o servicio. Exactamente igual que el euro o el dólar

¿Qué pasaría si alguien implementa una bolsa para negociar valores pero en el mundo blockchain?. Una bolsa gestionada por contratos inteligentes que hacen de forma automática los apuntes de pérdidas y ganancias en operaciones de compra venta. Todo hecho al margen de los gobiernos, del sistema, de los mercados y reduciendo la comisión de una forma inimaginable

Pues pasaría que a los gobiernos, traders, mercados etc se les pondría los pelos como escarpias solo de pensar el dinero que iban a dejar de ganar

«Es que ese sistema no tendría garantias». Efectivamente, igual que el sistema actual. Da igual el valor REAL de una empresa. Basta con que Donald Trump eructe para que su valor baje o suba. ¿En el mundo de las redes sociales y la intoxicación como forma de vida me va a hablar usted de garantia de un mercado alternativo?

Pues en este contexto se mueve el mundo a mi modo de ver. Bancos que quieren controlar algo que nació para no ser controlado, gobiernos que temen no poder controlar transacciones y «mercados» que no pueden manipular el valor de las cosas

IPFS – Un nuevo concepto de almacenamiento

IPFS son las siglas de Inter-Planetary File Sistem y es un sistema de almacenamiento DISTRIBUIDO para almacenamiento de ficheros, documentos, bases de datos, páginas web o cualquier cosa que se represente por ceros y unos

El sistema se basa en la idea de «possession and participation», es decir, lo mismo que una red de pares (P2P) tipo Torrent, emule etc. El sistema NO almacena el fichero en un único sitio sino que lo descompone en innumerables trozos identificables a través del HASH del fichero original. Es por esto por lo que al protocolo le resulta indiferente si se trata de un documento Word, un PDF , un MP3 o una película. Cuando uno baja un fichero se convierte también en distribuidor

El hecho que haya que bajar un fichero de muchos sitios significa que es muy difícil que alguien lo controle en su totalidad, el protocolo no lo permite. Esto aporta una serie de ventajas

  • Alta disponibilidad: La «descargabilidad» del fichero no depende de un único sitio
  • Dificulta el control de las autoridades: Tanto la fragmentación, como el uso de HASH’es hace más difícil el control por parte de organismos reguladores, multinacionales etc
  • Puede acelerar el acceso a los sitios ya que se prima el acceso a sitios cercanos. Los que tienen dinero usan múltiples centros de datos o usando CDN (red de distribución de contenidos), pero la mayoría no tenemos tanto

Una dirección IPFS tiene la forma «/ipfs/QmXoypizjW3WknFiJnKLwHCnL72vedxjQkDDP1mXWo6uco/misDocs/proyecto.pdf» siendo la parte en negrita denominada «content identifier«. Se trata de una etiqueta que apunta a un objeto en IPFS. No indica dónde está el contenido almacenado, sino que forma parte de un tipo de direccionamiento basado en el contenido en si. Esta basado en HASH’es criptográficos

Los links IPFS no cambian

La forma habitual de ver la ubicación de un fichero es algo parecido a

  • www.elmundo.es/deportes/finaldeliga.html
  • //mainserver/Users/manuelgarcia/musica/bbking.mp3
  • c:\\misDocumentos\videos\vacaciones2018.avi

Esa forma de localizar los objetos es en función de su UBICACION, es decir, tienes que saber dónde está para poder diseccionarlo y acceder a el. En el caso de IPFS el direccionamiento se basa en «lo que hay dentro del fichero», su contenido. El «content identifier» es un HASH del contenido lo que significa que es UNICO y siempre de la misma longitud sea cual sea el tamaño del contenido

Destacar que hablamos de CONTENIDO, no de FICHERO. El contenido puede apuntar a múltiples tipos de datos mientras que un fichero es lo que es y punto. Esto implica que el sistema necesita conocer ciertos METADATOS para poder recuperar el fichero cuando se hace referencia a el mediante su hash

Como la dirección está unívocamente ligada al contenido, los enlaces no pueden cambiar. Si el texto de una página web cambia, la nueva versión de la página tendrá un HASH distinto y por tanto un enlace diferente. Tampoco se puede MOVER contenido de un sitio a otro porque mientras no cambie el HASH del contenido no se obtiene un nuevo enlace. Mientras un solo miembro de la red tenga identificado el contenido éste seguirá existiendo (esto no encaja mucho en el mundo GDPR y lo relacionado con el derecho al olvido, aunque dudo mucho que al entorno criptoanarquista esto le importe algo)

IPFS puede ser una buena herramienta para realizar proyectos de colaboración al margen del control de organizaciones y/o de miradas indiscretas. Tiene la ventaja que puede ser todo lo público que se quiera o todo lo privado que se necesite

Enlaces:

Otra ley al servicio del ciudadano

Servidor, en su ignorancia, ostenta el pretencioso título de Consultor en Seguridad de la Información que traducido al «roman paladino» viene a significar que le digo a las empresas cómo tienen que hacer las cosas para cumplir con una determinada norma o buena práctica

Si las administraciones públicas, grandes empresas y bancos hicieran caso a los consultores, no habría ni la mitad de fugas de información que hay actualmente, pero la realidad es obstinada y se empeña en constatar que muchos «objetivos de seguridad» se establecen para cumplir con el expediente, con la ley o para que te den un certificado de que cumples con una determinada norma (y alimentar así el círculo vicioso de la hipocresía)

Ahora hay una ley nueva que se llama Ley 19/2018 de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera. El origen de esto es algo que se llama PSD2 (Payment Service Providers) que, ¿cómo no?, viene de la amada Europa. ¿Y todo esto qué es?

La versión oficial: Una ley que pretende organizar un sector en alza para que puedas obtener más aprovechamiento de tus productos financieros, inversiones y recibas más información para poder elegir más libremente

La realidad: Una puerta abierta a que todo aquel que tenga algo que vender, estafar o robar, pueda acceder a tus datos bancarios para ver qué haces, dónde lo haces, cómo lo haces y así intentar colocártela lo mejor posible …. para él

¿Puedes defenderte?: Si, claro que si. Prohibiendo a tu banco que de acceso a tus datos a los actores contemplados en la ley. ¿Lo vas a hacer?: No, claro que no. Ni siquiera sabes lo que estás firmando cuando usas Facebook o Twitter

La ley contempla dos actores

  • Los que acceden a tus datos iniciando un proceso de pago: por ejemplo un comercio, El Corte Inglés, un bar, Media Mark etc
  • Los servicios de información de cuentas que, y cito literalmente, «proporcionan al usuario del servicio de pago información agregada en línea sobre una o varias cuentas de pago mantenidas en sus proveedores de servicios de pago, lo que permite al usuario del servicio de pago tener en todo momento una información global e inmediata de su situación financiera.”

Hasta ahora, los primeros, hacían todo a través de un número limitado de pasarelas de pago MUY SEGURAS que procesaban millones de transacciones al día. A partir de ahora el banco pone algo que se llama API a disposición de todo aquel que tenga que cobrarte alguna cosa. (API = Application Program Interface)

El ecosistema de una API es complicado. Hay una parte de frontend (del lado de quien inicia el cobro), hay un backend (del lado del banco que gestiona la operación) y hay toda una arquitectura software y hardware que dirige todo el proceso. ¿Y eso es seguro?: Hoy SI, mañana no lo sé porque no se sabe si, en todo ese ecosistema, aparecerá un 0-day que permita un ataque externo

Lo que es de sentido común es:

  • Un sistema donde cada cual accede por sus medios es mucho más inseguro que un sistema donde todo el mundo pasa por un único punto (redsys etc). La dispersión favorece «la investigación» y no precisamente con buenos fines
  • Nos están vendiendo todo esto POR NUESTRO BIEN y cada vez que un poderoso, un político o un publicista empieza diciendo que hace algo «por tu bien» es porque te la va a colocar doblada y va a obtener mucho más beneficio del que puedas obtener tu

Así que una vez más, la ley, el poder, el statu quo se convierte en el gran hermano que se va a enterar de lo que haces con tu dinero, si te has corrido una juerga del nueve, si has comprado criptomonedas, en qué tienda de ropa compras, en qué restaurante de comida rápida pides, que coche eléctrico has alquilado (y posiblemente el recorrido). Antes también el banco lo sabía, PERO SOLO EL BANCO. Por supuesto que el banco explotaba tu información sin tu permiso para su propio interés, pero lo malo es que ahora lo va a poder explotar todo aquel que se convierta en uno de los actores arriba indicados

No quiero pensar las mafias traficantes de datos al rededor de los «servicios de información de cuentas». Estos si que van a ganar dinero

Naturalmente todo esto está SUPERVISADO por el BANCO DE ESPAÑA ……. y procura contener la risa porque yo no puede hacerlo. Si; el mismo BdE que se comió las preferentes, el mismo BdE que se tragó las hipotecas en divisas, el mismo BdE que se fumó las quiebras de las Cajas de Ahorros, el mismo BdE que dice que no va a recuperar el dinero de los rescates bancarios que los ESPAÑOLES hemos REGALADO a los bancos

Yo ya he recibido dos cartas de dos bancos: BBVA y Openbank y se despachan con lindezas que ni el mismo Vitto Corleone habría superado con sus «ofertas que nadie podía rechazar»

  • «Si no está de acuerdo con estas condiciones le rogamos nos lo comunique para proceder a la cancelación de sus datos». O sea, o estas de acuerdo o te vas a tomar por saco a otro banco donde te van a obligar a lo mismo porque esta maniobra viene de muy arriba
  • «Si usted no nos comunica lo contrario entenderemos que acepta estas nuevas condiciones». O sea, me paso el reglamento general de protección de datos por donde me parece (y ojo que esto lo han supervisado los abogados, y si lo hacen hay que suponer que es correcto ¿? …… y yo estoy equivocado claro)

Claro, para que Christine Lagarde siga cobrando lo que cobra hay que facilitar barra libre aunque los derechos de los ciudadanos tengan el mismo valor que los excrementos de mi perro (que yo me molesto en recoger, ojo). Ya más adelante, si eso, hacemos una nueva ley de protección de datos, también por el interés de los ciudadanos

¿Blockchain y GDPR?

Disquisiciones filosóficas a raiz de la lectura de este artículo y del enorme interés que ponen los gobiernos y organizaciones en proteger el derecho a la privacidad de los mismos ciudadanos a los que espian

Quede claro es esto son MIS OPINIONES, y no representan a ninguna empresa

En el mundo de la tecnología / seguridad / privacidad estamos metidos en una serie de «movidas» que chocan unas con otras. De una parte está blockchain, tecnología emergente «revolucionaria» que usa conceptos de hace 30 años (criptografía de clave pública, algoritmos hash etc). Observando lo que ocurre con blockchain me queda la duda de cual de las dos afirmaciones siguientes es cierta

  • Los gobiernos y los bancos NO han entendido el fundamento REAL de blockchain y se creen que todo concepto tecnológico es adaptable a sus objetivos
  • Los gobiernos y los bancos SI lo han entendido perfectamente y, dado que ven que no se le puede poner puertas, han decidio intentar monopolizarlo

Vamos con la primera (como las sevillanas). Blockchain es la tecnología que soporta las criptomonedas. Nace dentro del movimiento criptoanarquista como base tecnológica para que los ciudadanos puedan hacer transacciones económicas CONFIABLES, NO FALSIFICABLES NI ALTERABLES al margen de gobiernos y bancos en un entorno que «el sistema» no pueden «tirar«. Por lo tanto señores del gobierno y banqueros, no se extrañen que a muchos nos «chirrie» eso que ustedes quieran usar blockchain para prestar servicios. Ustedes, precisamente, son la antítesis y el enemigo de los principios que dieron lugar al nacimiento de blockchain

Vamos con la segunda. Gobiernos y bancos son perfectamente consicientes de lo que implica una tecnología que pone en duda, e incluso permite saltarse, las normas del sistema. Ante estas circunstancia solo se puede hacer una cosa: intentar hacerse pasar por ese «revolucionario disruptivo» para seguir cobrando las mismas comisiones que antes. No nos engañemos, vivimos en un mundo donde una mentira repetida el suficiente número de veces, se convierte en realidad

En este contexto llegan los bancos y se lanzan implantar proyectos blockchain que les debe costar lo que no está en los escritos. Hay muy pocos programadores / analistas que se desenvuelvan en este ecosistema, y por tanto son caros …… (somos). Una vez metidos en harina se dan cuenta de dos cosas

  • Los datos almacenados en blokchain chocan con el «derecho al olvido» que contempla el nuevo GDPR ( que vamos a suponer que es un derecho demandado por los ciudadanos, aunque yo no tengo claro que sea asi)
  • Ah pero …. ¿pero resulta que blockchain está pensado para guardar datos?

Lo primero que tiene que quedar claro es que blockchain NO ES una tecnología pensada para guardar datos, y menos en grandes cantidades. El tamaño del bloque varía dependiendo de la implementación, pero estamos hablando que va de 1 Mb en Bitcoin original a 8 Mb en algunas criptomonedas. Si usted necesita guardar datos va a tener que hacer coexistir su sistema blockchain con un gestor de base de datos tipo Oracle, SQL Server etc. Esto no es una trivialidad porque hay que pensar muy en serio como establecer las prioridades entre la cadena de bloques y el gestor de base de datos, y sobre todo, como mantener la integridad de ambos

Ah pero ¿no se habian dado cuenta que si quieren seguir en este juego tendrán que hacer coexitir blockchain con su base de datos?

sa ching ao: Sabio chino en el siglo Xii a.c

Si el entorno fue creado para hacer transacciones al margen del sistema, es evidente que solo hacen falta dos cosas: una identidad digital y los datos de la transacción. Nada más. El resto de datos NO SON NECESARIOS en el ecosistema REAL para el cual blockchain fue concebido. No olvidemos además, que la identidad digital no tiene porque estar relacionada con la identidad real, es mas, solo sobrevivirán los que garanticen anonimato total

Otra cosa es que los bancos y organizaciones estén intentando hacerse con una tecnología que NO SOLUCIONA los problemas que ellos tienen que solucionar. Para blockchain no es importante la calle, el piso, la ciudad, el nombre, la edad, el estado civil, el código postal etc; son datos que NO INTERESAN en una perspectiva criptoanarquista. No digamos nada ya de eso que el sistema llama «big data» y que debería llamarse «big spy». En este caso nadie se acuerda de lo que dice GDPR en cuanto a la elaboración de perfiles y los derechos del ciudadano con respecto a la toma de decisiones de forma automática ….. ( y que los bancos se pasan por donde la espalda pierde su casto nombre)

Para rizar el rizo aparece otro concepto que es contrario al espíritu de blockchain: «la blockchain privada«. A ver que yo lo entienda: ¿usted quiere usar una propuesta nacida del criptoanarquismo pero donde controle todos sus nodos, accesos y transacciones?. La verdad que hay cosas que hacen que uno se decante por la primera de las alternativas que se plantearon al principio: no saben de que va esto

Resumiendo, esta es la situación:

  • una tecnología nueva que nace para saltarse el sistema
  • un mundo criptoanarquista que no dispone de medios para hacer nuevas aplicaciones de uso exclusivo de los ciudadanos pero …….. donde hay individuos que poco a poco van haciendo cosas que verán la luz de aqui a un par de años
  • unas organizaciones que quieren mantener su puesto en el sistema y que se ponen a experimentar con una tecnología que no se adapta por completo a sus necesidades
  • una normativa de privacidad en un mundo donde, ni siquiera, la identidad digital coincidirá con la real (porque no hace falta identificarse para tener una par de claves pública y privada)

En fin, ¿no será que quieren llevar a blockcain los problemas del dia a dia actual?. ¿No sería más normal empezar por cumplir DE VERDAD las normas de privacidad?. ¿No sería más lógico preocuparse de tener inventariados y auditados los accesos a bases de datos en producción de los sistemas reales? (si el lector piensa que eso se hace ….. es mejor que lo siga pensado). ¿No sería más práctico gastar el esfuerzo y el dinero en cumplir las muchas normas que se dice que se cumplen?. ¿Es que va usted a perder el tiempo en pensar como cumplir con una norma de privacidad en un mundo que nació para ser anónimo?

¿Cómo de hackeable eres?

Esta pregunta viene al hilo que los robos, hackeos, entradas ilegales etc etc han aumentado en 2017 una barbaridad. Se estima que 978 millones de personas han sido víctima de los cibercriminales. Se calcula que a esa gente les han robado unos 146.000 millones de € (eso es muuuucho dinero)

En España son unos 16 millones de personas las que se calcula han sido atacadas y el botín asciende a unos 1700 millones de €. De media se tardan unas 22 horas desde que se detecta una infeción en un equipo hasta que queda operativo otra vez (limpio y con todo su software instalado). Esto para una empresa es una eternidad en los tiempos que corren. El 60% de las personas infectadas no eran conscientes de ello y un 36% de los que han recibido un ataque reconocen haber compartido contraseñas con alguien (manda narices)

El fraude representa el 74% de los más de 81.000 ataques de 2017 y las coacciones o amenazas representan el 15%. Los «malos» tienen tanta tecnología o más que los «buenos»

El 80% de los incidentes se producen por el DESCONOCIMIENTO. Los particulares y muchas empresas no tienen ninguna estrategia de defensa y lo que es peor, carecen de CONCIENCIACION, ya no basta con un antivirus

La estrategia de la represión no da resultados. Es muy dificil capturar a los culpables y los juicios son «peculiares» en tanto en cuanto no hay juzgados especializados en delitos tecnológicos

El problema ya va mucho más alla de un simple ordenador. Se calcula que hay 30.000 millones de dispositivos conectados a internet y los fabricantes no se suelen caracterizar por fabricar equipos seguros. Si a ello le sumamos las malas prácticas de los usuarios a la hora de ponerlos en funcionamiento, tenemos la ecuación perfecta que satisface a los amantes de lo ajeno. Hay una iniciativa en la UE relacionada con una «certificación» o sello de «dispositivo seguro», pero claro, es bastante complejo y hay unos intereses impresionantes

A este enjambre de dispositivos se les llama el IoT, el internet de las cosas

Is the user time

Pues si, ha llegado el momento que el usuario entienda lo que es un equipo vulnerable y las consecuencias que puede tener

Te voy a decir cómo es un ataque sencillito

Ese esquema es de lo más normal. Tienes un ADSL al que se conectan los ordenadores de los niños, de tu mujer o marido, la tele inteligente, las cámaras para presumir con los amigos, una alarma y me he dejado los móviles y las tabletas, pero ahi están

Un atacante en un coche hace un escaneo de dispositivos y saca una dirección de tu router. Todos los accesos a tu dispositivos desde el exterior (lo controlados) tienen un puerto y una redirección a un dispositivo interno para que funcione.

El atacante escanea los puestos abiertos entre 0 y 65535 (y no hay más). Empieza a probar comandos telnet normales y corrientes por los puertos abiertos. Si usan un buen programa de escaneo obtienen la información de qué tipo de dispositivo está tras ese puerto. Cuando ya saben el dispositivo buscan en internet sus vulnerabilidades conocidas y la lista de contraseñas por defecto. Como no la hayas cambiado, la has jodido pero a base de bien.

Si el dispositivo permite inyectar código propio te colocarán un IP scanner interno con lo cual ya tienen un mapa perfecto de tu instalación y a partir de ahi a intentar tener acceso, esnifar tráfico para sacar contraseñas en claro etc

¿Esto es ciencia a ficción?. NO, esto lo hace un chaval de 15 años solo con programas que se baja de internet

Avisados estais 🙂

Fuentes:

Ministerio del Interior

Actualidad Económica

H+K Strategies

Incibe

 

Robo de criptomonedas y caídas de precio

Es una noticia que se repite de vez en cuando (24 horas después de escribir estas notas vuelve producirse otra en la misma línea)

Hacia el 11 de junio se produce una venta generalizada de criptomonedas (CPM) por un valor de 42.000 millones de US $ lo que hace que se produzca una caída del precio del bitcoin (BRC) en aproximadamente un 50%. Esto además llevó en cascada a una caída generalizada de otras CPM, especialmente Etherum

Paralelamente se produce (o se produjo) un ataque a una bolsa de criptomonedas en Corea del Sur que desató las alarmas y disparó una serie de rumores en los dias siguientes. Estos a rumores iban en la línea que el gobierno de Corea del Sur quería prohibir las CPM

A finales de enero se produjo el robo de 500 millones de $ en Coincheck Inc, bolsa de criptomonedas de Japón. Se estima en que los últimos seis meses se han robado unos 925 millones de euros en CPM. Posiblemente uno de los robos más espectaculares sea el que perpetraron contra un youtuber contra su monedero mientras daba una charla, en directo, sobre el tema

Al día siguiente de escribir este artículo se produce otra noticia: «hackean la casa de cambio Bithumb y sustraen $30 millones de criptomonedas«. (En algunos sitios hablan de dólares).

En este caso hay una actuación especial: hubo un protocolo de actuación que comenzó por la parada de todos los servicios de depósito y retirada de fondos. Hubo un reconocimiento rápido del hecho lo que causó un efecto tranquilizante (dentro de la gravedad). Lo malo de estas cosas es enterarse 6 meses después. Lo más especial de todo es que la propia casa robada aseguró que las criptodivisas robadas serían cubiertas por la propia casa

El mercado de BTC cayó más de 200 $ en unos minutos aunque luego se volvió a restablecer en 6500 $ el BTC. Por cierto, se estima que Bithumb tiene reservas por valor de 6.358 billones de wones, el equivalente a 5.918 mil millones de dólares

Conclusión: la cantidad robada es ridícula en comparación con la fortaleza del mercado robado y aún así se produce una gran caída en la cotización. ¿Por qué?: a mi modesto entender porque si robas 30 K puedes robar 300 K o 3000 K o 3000.000 K. La banca tiene contramedidas y regulación para detectar esto, las criptomonedas no.

Y ahora viene la sección de preguntas …….

  • ¿por qué se desploma una CPM cuando se produce un robo?
  • ¿por qué no cambia el precio de las acciones de un banco cuando se produce un robo (físico o técnico)

…. y la sección de «mis reflexiones»

Si un hacker o grupo de hackers hace un robo en un banco no se entera absolutamente nadie. El tema se investiga internamente, se subcontratan empresas de análisis forense especializadas etc pero no se entera ni Dios. En los robos con máscaras y pistolas no se manejan las cantidades de los robos tecnológicos. Pocas veces los ladrones físicos consiguen disfrutar del botín tomando daikiris en el Caribe el resto de su vida

Hay un pequeño detalle y es que los bancos cuentan con seguros que en muchos casos incluyen cláusulas contra robo físico. El seguro contra robo tecnológico es algo que ya es habitual en ciertos países

Con las CPM no pasa igual. Ultimamente hemos tenido conocimiento de bastantes robos, algunos de ellos tan llamativos como el del youtuber. La seguridad no depende enteramente de la bolsa de CPM con la que operemos, aunque son factor importante

Los vectores de ataque son diversos por ser una tecnología nueva que puede ser vulnerable en varios puntos. Uno de esos puntos es, por definición, vulnerable: el usuario

Resumiendo

BANCOS

  • Robo físico: 
    • cada vez más difícil por las medidas tecnológicas y de protección
    • demasiados implicados como para no dejar rastro
    • hay un riesgo físico al cometer el robo (suele haber una fecha planificada en función de cantidades de dinero o joyas, descansos de personal, periodos especiales de pagos o cobros etc)
    • aunque sea pasado un tiempo, los suelen coger
  • Robo tecnológico:
    • No se suele enterar nadie (y creanme que en los últimos años se han producido varios)
    • se pueden perpretar desde cualquier parte del mundo
    • si el equipo es bueno, se puede eliminar gran parte del rastro (de hecho en muchos casos, una parte del equipo diseña y efectúa la limpieza de rastros)
    • no hay presencia física y por tanto no hay riesgo físico

CRIPTOMONEDAS

  • Robo físico: No aplica
  • Robo tecnológico:
    • deficiente gestión de seguridad en las centros de negociación. No hay una normativa ni regulación
    • ataques 0-day a la criptografía o cualquier parte susceptible de ser atacada (sistema operativo, comunicaciones etc)
    • falta de buena práctica por parte de los usuarios (el youtuber tenía la clave privada de su monedero anotada en el evernote sin ningún sistema de cifrado)
    • por lo general el atacante no depende de fechas, tiene todo el tiempo del mundo para equivocarse (solo tiene que acertar una vez)

¿Qué efecto produce todo esto?. Pues que cuando se produce un robo de CPM bajan los precios y cuando se produce un robo en un banco no pasa nada

¿Por donde se puede trabajar para evitar estos robos?. Pues a mi modo de ver no es fácil pero me atrevo a apostar por una solución que afecte a todas las partes. Por un lado la criptografía y las claves secretas de monederos y por otro la autorización de operaciones por un canal ajeno al que es vulnerable. ¿Una OTP enviada al móvil?, ¿una antigua tarjeta de coordenadas?, ¿un sistema de generación de OTP mediante dispositivo físico independiente?

Hay quien piensa, y yo lo respeto y lo tengo en cuenta, que regular el mundo de las CPM es querer ponerle puertas al campo. Es posible que la regulación suponga limitar «ciertas acciones» mas o menos legales al margen de las haciendas y la policía. Mi opinión es que si no se regula y se establecen contramedidas para tranquilizar los mercados en caso de robo, no veremos despegar el mundo de las CPM ni hacerlo accesible al pequeño inversor

Regulación y seguridad tecnológica soportada por buenas prácticas bien auditadas. Para mi esa es la clave

Pues estas son mis reflexiones para que sean analizadas por los grandes gurús ….. lo que con toda seguridad no va a ocurrir 🙂

 

Blockchain y el caldo de pollo

¿Por qué ese título?. Pues porque si pongo «Qué es y que no es blockchain» la gente pasa de largo porque ya está harta de leer cosas así. No obstante si sigue usted leyendo entenderá porque lo relaciono con el «caldo de pollo» ……. remotamente, lo reconozco

Aquí todo el mundo parte de la base que blockchain lo va a revolucionar «todo» y le atribuyen, a esta nueva forma de trabajar con criptografía, ciertas propiedades casi milagrosas

Yo voy a dar mi opinión al respecto, e intentaré justificarla lo mejor que pueda. No obstante si usted quiere publicar algo en contra (o a favor) deje un comentario y/o mándeme un artículo que publicaré con su nombre (y foto si quiere)

Vaya por delante que SI CREO QUE BLOCKCHAIN VA A TENER IMPORTANTE REPERCUSION EN CIERTOS SECTORES. En mi opinión en los financieros y particularmente en todo lo relacionado con cotizaciones, negociación, compra venta de valores, opciones, futuros etc

Quiero recalcar que tal y como digo en la pagina principal de este blog: MIS OPINIONES NO REPRESENTAN A NINGUNA EMPRESA

Blockchain es una nueva tecnología

Bueno, en realidad eso no es cierto. Blockchain es una nueva METODOLOGIA DE TRABAJO CON LA «VIEJA» CRIPTOGRAFIA.

Los temas de certificación digital, infraestructura PKI (claves públicas y privadas), hashing y criptografía es algo muy antiguo y hace mucho que se usan. Los jeroglíficos son criptografía para los egiptólogos y si no es por la Piedra Rosseta (que tenía un edicto en lenguaje de jerolíficos, escritura demótica y griego antiguo) aún seguirían siendo un misterio

A partir de ahí la criptología pasa a 1977 año en que se diseñó RSA …… (como pasa el tiempo)

Hace ya años que se utilizan certificados digitales y se hacen hash de cadenas para guardar contraseñas. Lo que a nadie se le había ocurrido era enlazar items (anotaciones, elementos, eventos, hechos …) donde cada uno de ellos contiene el hash de la evento anterior generar uno nuevo lanzando un acertijo, y no le demos más vueltas porque blockchain es eso.

La tecnología existe desde hace mucho, la forma de tratarla es lo que realmente aporta algo nuevo

Blockchain es una base de datos distribuida

Esta afirmación me hace mucho daño a la vista. Desmenucemos eso de «base de datos distribuida»

Base de datos: No. Blockchain no es una base de datos. Si el lector quiere mantener un registro de 300.000 personas con información geográfica, económica, imágenes etc,. Si usted quiere enlazar la información de esa persona mediante una clave siguiendo un modelo relacional donde hacer inserciones, borrado o modificaciones de información, más vale que elija un verdadero gestor de base de datos

DB2, Oracle, SQL Server, el antiguo Informix, File Maker, Access, incluso dBase III, son gestores de base de datos. Blockchain no lo es, es una estructura secuencial (y quédese el lector con esta palabra)

Bitcoin tiene una limitación de 1Mb por bloque y por lo general hay una recomendación de no usar mas de 2 – 2,5 Mb por bloque en desarrollos blockchain

Distribuida:  Si por distribuido entendemos que está repartida por medio mundo, pues si, es distribuida.

Yo aún recuerdo cuando Lotus Notes (modelo distribuido por excelencia) empezó a perder influencia porque la tendencia tecnológica se encaminó en centralizar los repositorios de datos y acceder a ellos usando arquitecturas cliente/servidor. ¿Se acuerda el lector?, yo lo vivi en primera persona

¿Que hacemos con estos sistemas millonarios?. ¿Qué hacemos con los millones de líneas de código SQL que manejan datos? ……. con excelente rendimiento por cierto. Prudencia antes de lanzarse a «cambios revolucionarios»

No vamos a hablar de esa «alta disponibilidad» que proporciona el modelo blockchain porque una cosas son las churras y otras las merinas. Yo, por lo que a mi banco respecta, sigo prefiriendo un entorno clusterizado con sus máquinas virtuales (llámame antiguo). Me consta además, porque he trabajado en él, que mi banco se toma en serio el tema de la seguridad

Blockchain va a solucionar ………

En mi pueblo existía la expresión para resaltar las bondades de algo: «esto es mejor que el caldo (de pollo) de la Tia Benita», …………. he aquí el por qué del título

Estos son algunos de los titulares que recibo a diario sobre la palabra «blocklchain» 

  • Precandidato a la presidencia de Brasil propone el uso de blockchain en servicios de notaría
  • Universidad suiza emitirá diplomas usando blockchain
  • Intel aplicará blockchain para evitar el abuso de medicamentos opioides 
  • La tecnología blockchain puede mejorar el sistema electoral
  • ALIBABA y PwC usaran blockchain para garantizar la seguridad alimentaria 
  • Blockchain de IBM será usada para rastrear piezas de joyería 

Algunas veces leo el contenido de las noticias y muchas de ellas son de risa. 

  • ¿Cree el lector que el PP hubiera pagado en blanco y con factura las obras de su sede si hubiera existido blockchain?
  • ¿Cree el lector que el PSOE en Andalucía no habrían robado millones de los ERE si hubiera tecnología blockchain en el sistema de ayudas?
  • ¿Cree el lector que una dictadura no dará un pucherazo si se aplicara blockchain en un proceso electoral?

En pocas palabras, el fraude, la mentira, el robo, la usurpación, la evitación de controles etc, es algo que se hace en función del método de trabajo, NO EN FUNCION DE LA TECNOLOGIA. Los chorizos no son tontos, primero estudian cómo  funcionan los procesos, luego estudian como saltárselos y luego se los saltan y crean nuevos procesos en paralelo ajenos al control. ¿Cree el lector que Ignacio Gonzalez fue a Colombia por placer o que Javier Guerreo se gastaba el dinero público en «putas y cocaína» sin estar seguro de poder hacerlo?. ¿Cree el lector que las Cámaras de Cuentas de Madrid y Andalucía no avisaron de lo que ocurría?. ¿Cree usted que introduciendo un método basado en blockchain no se van a diseñar procesos paralelos para delinquir?

OTRA COSA MUY DISTINTA ES que una vez «aislado blockchain del resto del universo», sea un sistema manipulable o no, y ahí estamos de acuerdo, es imposible de manipular el contenido de un bloque sin que se detecte ……. hasta que alguien lo consiga

Recuerde el lector que cuando de tecnología se trata, la pregunta NO ES «¿se puede hacer esto?», la pregunta es «¿cuando se puede hacer esto?»

Blockchain garantiza la integridad de la información

No no no ………. que nos estamos liando.

Lo que garantiza blockchain es que una información ya procesada NO PUEDE SER CAMBIADA. Un bloque creado, cerrado y que apunta al nuevo bloque, ya no puede ser cambiado ……. y se acabó …….  que no es poco.

Si a eso lo queremos llamar «integridad» adelante. Para mi la integridad es otra cosa más relacionada con procesos que pueden manipular datos simultáneamente y por tanto producir inconsistencias. Eso no lo arregla blockchain. Si el dato llega a la cadena mal procesado entrará con valor erróneo. Si mi desarrollo permite que dos personas procesen el mismo dato a la vez sin ningún control, tendré un problema aunque use blockchain.

Blockchain permite evitar intermediarios

Esa si que es buena

Que yo sepa, para comprar o vender criptomonedas cuyo soporte es blockchain, es necesario pagar una comisión. Exactamente igual que cuando compro o vendo divisas con mi banco. ¿Alguien cree que la banca va a quedar fuera de un mercado multimillonario como puede ser el de las criptomonedas?. Yo no lo creo

«Es que hay menos intermediarios y son más colegas ……. » …… A ver, si no me fío de un banco que tiene más regulaciones que una lata de conservas, como me voy a fiar de un «colega». Tienen mis ojos que ver que, efectivamente con blockchain, se reducen las comisiones. Aquí a la hora de comer seguimos siendo los mismos o más, y cada vez con más hambre

¿Qué sectores han tirado de la tecnología tradicionalmente?: pues dependiendo de para qué cosas, sector financiero y la defensa así que si alguien empieza a gastar dinero en desarrollos blockchain muy probablemente pertenezca a uno de estos sectores

OTRA COSA MUY DISTINTA es crear mercados paralelos ajenos a los reguladores tradicionales, ya sean de criptomonedas o no. Para eso no hacen falta grandes alardes tecnológicos, se puede hacer con el notepad. No hace falta blockchain

Silk Road no usaba blockchain, y si lo hubiera usado, el resultado habría sido el mismo. 

(Lea el lector el artículo Operación Bayonet en este mismo blog que cuenta el cierre de otro mercado de la dark web)

Blockchain proporciona anonimato y por tanto independencia de supervisión gubernamental

A ver, blockchain proporciona anonimato si el que lo diseña (programa)  lo permite y si el que te introduce en el ecosistema (banco o portal) hacen la vista gorda

Sacar una cuenta de banco deja rastro y no te dan tarjetas anónimas, así que en el mercado que operes, vas a dejar más huellas que los dinosaurios dejaron en Teruel. Otra cosa es que ahora hay bancos on-line que, a poco que pienses, te permiten mentir en el registro (y los hay). El anonimato se puede conseguir, pero siguiendo un plan muy minucioso y estando al tanto de las implicaciones penales que tenga

¿Te gusta invertir sin organismos reguladores de por medio?, adelante, …… pero luego no quiero lloros

Contratos inteligentes

No entro en este tema

Si a día de hoy, con unos contratos visados y revisados es necesario llegar a los tribunales, no quiero pensar lo que pasaría con un contrato «inteligente» cuya evolución depende de lo que ha «entendido» un programador que le ha «explicado» un analista que a su vez se lo contó «negocio«. Da miedo pensarlo

¿Ummmmm a ti esto del blockchain no te cuadra?, …. se pregunta el lector

Si. Si me cuadra, me parece algo brillante que puede dar mucho juego en cierto tipo de soluciones …..

……… pero, como todo en tecnología, me cuadra en el sitio adecuado, en el momento adecuado y en el lugar adecuado.

Yo lo que veo hasta ahora es que blockchain es como una pieza del tetris que un niño intenta encajar a martillazos si o si

¿Donde aplicar blockchain?

A mi humilde entender, para poder aplicar blockchain a un proyecto, tienen que darse una serie de circunstancias:

  1. El proyecto tiene que estar basado en la anotación de una serie de items que, una vez confirmados, no se van a borrar ni modificar. Si usted tiene que modificar o borrar items olvídese de blockchain. Hay quien comprara blockchain como el mantenimiento de un libro mayor de contabilidad, para mi con muy buen criterio
  2. El punto anterior nos da una pauta de algo que tenemos que tener presente en un proyecto blockchain: LA SECUENCIALIDAD y la ORDINALIDAD. El problema que se pretenda abordar con blockchain tiene que tener un concepto de items encadenados, secuenciales, y en algunos casos será vital, no solo la secuencia, sino además el orden dentro de ella. Si en su proyecto no se da alguna de estas circunstancias yo me plantearía usar una herramienta tradicional
  3. ¿Mis datos repartidos por el mundo?: NO GRACIAS. Los nodos mineros de blockchain deben estar en un «mundo privado», o sea, en mis instalaciones, en mis sucursales, en mis centros de trabajo etc. Eso de poner un dato, por muy cifrado que esté, para que cualquiera pueda «jugar» con él durante horas, a mi no me da ninguna confianza
  4. Atención con los costes de programación. ¿Cuantos programadores HTML – PHP – MySQL conoce?……. ¿y cuantos programadores de Solidity, Truffle, Hyperledger?

Como siempre antes de abordar un nuevo proyecto (con la tecnología que sea), hay que hacer números y pensar en qué se tiene, qué me aporta la nueva tecnología, cuanto me cuesta y si ese coste justifica el cambio, ahí es nada

 

 

La realidad supera la ficción

Mas abajo hay dos enlaces

El primero es una traducción al castellano del segundo, que es el enlace al sitio original donde se publicó el artículo. Se trata de una auténtica novela negra sobre como la policía holandesa secuestró un sitio de venta de drogas en la dark web o deep web. Quería que las personas con escasa formación técnica y poco inglés tuvieran acceso a este documento sobre el que se puede hacer una película

He intentado hacer la mejor traducción posible y que además se entienda porque ojo como son los ingleses para sus cositas

Sin pretender quitarle mérito a los investigadores, hay que decir que los «malos» cometieron una serie de errores de libro, por eso, si estas pensando en dar un palo, habla conmigo. Diseñaremos un protocolo de actuación que se seguro 🙂

Página interna de K62Unit: Operación Bayonet

Artículo original «wired.com» en inglés

Operación Bayonet

Operación Bayonet: Analizando la operación que secuestró todo un mercado de la droga en la dark web

Para aquellos que hayan sido testigos del juego del gato y del ratón en los mercados ocultos de la deep web el siguiente patrón les resultará familiar: un supermercado tipo Silk Roads atrae a miles de distribuidores de drogas y sus clientes siempre sometidos a un escrutinio intenso por parte de la policía y agencias de «tres letras» (NSA, FBI ….. agencias de seguridad). Las autoridades cazan a los administradores y dejan el sitio fuera de línea (ofline) sumergido en una dramática caída para comprobar que compradores y vendedores han emigrado a otro mercado en la dark web

Por eso, cuando la Policia Holandesa siguió la pista del popular mercado Hansa en otroño de 2016, decidieron otra estrategia: no tirar el mercado, mejor tomar el control

En entrevistas realizadas por WIRED (www.wired.com), dos oficiales de la Unidad contra el Crime Tecnológico de los Paises Bajos (NHTCU), antes de dar una conferencia en el Kaspersky Security Analyst Summit, decidieron  dar detalles de sus investigaciones durante 10 meses sobre Hansa que se había convertido en el mayor mercado opaco de la dark web en Europa. A esas alturas los 3.600 distribuidores de Hansa, ofrecían más de 24.000 productos distintos, desde cocaína a MDMA o heroína así como un pequeño entrenamiento sobre herramientas de fraude y falsificación de documentos.

A su investigación sobre esa zona de «libre-comercio» se le bautizó con el nombre de Operación Bayoneta. Los investigadores alemanes no solo identificaron a los dos supuestos administradores de Hansa en Alemania, sino que además llegaron a secuestrar las dos cuentas de los dos administradores que fueron arrestados

Los oficiales de la NHTCU explicaron cómo, en la investigación posterior, vigilaron a los compradores y vendedores de Hansa. Alteraron el código fuente de la página discretamente para recabar más información de esos usuarios e incluso engañaron a docenas de vendedores anónimos de Hansa para poder establecer su ubicación (en el original los vendedores abrieron un «beacon file» en sus ordenadores para revelar su ubicación. O sea, los buenos le colocaron un malware a los malos)

Las consecuencias de este golpe, según los oficiales, ha sido una de las operaciones más exitosas contra la dark web en su pequeña historia. Se confiscaron millones de dólares en bitcoins, más de una docena de arrestos y la lista de los principales traficantes de drogas del sitio. También se consiguió una amplia base de datos sobre información de usuarios que compraron o vendieron drogas en Hansa que las autoridades dicen que van a perseguir

«Cuando un mercado oscuro cae, todo el mundo va al siguiente». «Efecto whack-a-mole» dice Marinus Boekelo uno de los investigadores de la NHTCU que trabajó en la operación contra Hansa (ignoro lo que es el efecto wack-a-mole, traducción literal -golpe ruidoso a un espía»).

Al tomar el control del lugar, en lugar de «tirarlo», Boekelo dice que el y sus coleas de la Policía Alemana, acertaron no solo a destapar a los «inocentes» usuarios de Hansa, sino además a dar una bofetada psicológica al mercado de drogas de la dar web. «Pensamos que tal vez podríamos dañar la confianza en este sistema», dijo Boekelo

Mientras que la toma de Hansa a veces involucraba una estrecha cooperación de la aplicación de la ley estadounidense y alemana, ni el Departamento de Justicia de los EE. UU. Ni la Oficina Federal de Policía Criminal respondieron a las preguntas de WIRED, dejando algunos elementos de la cuenta del NHTCU sin confirmación. Lo que sigue es la propia descripción sincera de la policía holandesa de su experiencia de indagar -y finalmente ejecutar- una de las operaciones de narcóticos en línea más importantes del mundo.

Atando cabos sueltos

A pesar de los giros dramáticos, la investigación de Hansa comenzó siguiendo una moda tradicional: con un aviso. Una compañía de investigadores en temas de seguridad creyó que habían encontrado un servidor de Hansa en los Países Bajos en un centro de proceso de datos dedicado a alojar páginas web. (La compañía de seguridad BitDefender ha pedido que se reconozca su participación en la operación contra Hansa, pero la NHTCU declinó revelar el nombre de la compañía de seguridad o de la compañía de hosting asi como otros detalles que dicen mantener en secreto para proteger sus métodos y fuentes. Incluso los nombre de los dos detenidos alemanes permanece en secreto ya que la ley alemana prohibe su difusión hasta que no se celebre el juicio)

Como dijo Boekelo, la empresa de seguridad de alguna manera encontró el servidor de desarrollo de Hansa, una versión del sitio donde probaba nuevas características antes de implementarlas en la versión en vivo que manejaba su carga formidable de miles de visitas de compradores de drogas todos los días. Mientras que el sitio en vivo de Hansa estaba protegido por Tor, el servidor de desarrollo de alguna manera había sido expuesto en línea, donde la empresa de seguridad lo descubrió y registró su dirección IP

La policía holandesa se puso rápidamente en contacto con la empresa de hosting que alojaba la web, exigió el acceso a su centro de datos e instaló un equipo de monitoreo de red que les permitió espiar todo el tráfico hacia y desde la máquina. Inmediatamente descubrieron que el servidor de desarrollo también estaba conectado a un servidor Tor protegido en la misma ubicación que ejecutó el sitio en vivo de Hansa, así como a un par de servidores en otro centro de datos en Alemania. A continuación, hicieron una copia de la unidad completa de cada servidor, incluidos los registros de cada transacción realizada en la historia de Hansa, y cada conversación que tuvo lugar a través de su sistema de mensajería anónimo

Incluso esa brecha de seguridad masiva no debería necesariamente haber expuesto a los proveedores o administradores del sitio, ya que todos los visitantes y administradores de Hansa usaron seudónimos, y los sitios protegidos por Tor solo pueden acceder los usuarios que ejecutan Tor, anonimizando sus conexiones web. Pero después de revisar el contenido de los servidores, la policía encontró un error operativo importante: uno de los servidores alemanes contenía los registros de chat de los dos supuestos fundadores en el anticuado IRC. Las conversaciones se remontaban a años atrás e, increíblemente, incluían los nombres completos de los administradores y, en un caso, su dirección particular.

Preparando la trampa

Los dos presuntos administradores de Hansa, según descubrieron los policías holandeses, cuando cruzaban la frontera en Alemania: un hombre de 30 años en la ciudad de Siegen y otro de 31 años en Colonia. Pero cuando la NHTCU se puso en contacto con las autoridades alemanas para solicitar su arresto y extradición, descubrieron que ya estaban en el radar de la policía alemana, y bajo investigación para la creación de Lul.to, un sitio que vende libros electrónicos y audiolibros pirateados

Eso dio una idea a los investigadores holandeses: tal vez podrían usar la investigación alemana existente para encubrir su propia operación, permitiendo que la policía alemana atrape a sus sospechosos de piratería de libros electrónicos y luego se haga cargo en secreto de Hansa sin molestar a los usuarios del mercado. «Se nos ocurrió este plan para tomar el control. Podríamos utilizar el arresto por lo de los libros», dice Gert Ras, el director del NHTCU. «Tuvimos que deshacernos de los administradores reales para convertirnos en los administradores nosotros mismos».

Justo cuando la complicada trampa del NHTCU comenzaba a tomar forma, sin embargo, también se estaba desmoronando: los servidores de Hansa que los policías holandeses estaban analizanzo de repente se callaron. Ras y Boekelo dicen que sospechan que su copia de los servidores de alguna manera alertó a los administradores del sitio. Como resultado, habían movido el mercado a otra ubicación protegida por Tor, mezclándolo en la vasta plataforma de máquinas anónimas de Tor en todo el mundo. «Eso fue un revés», dice Ras

Incluso entonces, sorprendentemente, los policías holandeses no cesaron en su investigación e incluso pidieron a los alemanes que arrestaran a los administradores de Hansa. Usaron pistas de sus computadoras para encontrar los servidores en el sitio al que lo habían llevado y cerrarlos. En cambio, decidieron seguir con su sigiloso plan de adquisición y pasaron los meses siguientes estudiando detenidamente las pruebas. Incluso mientras el sitio continuaba su constante comercio de drogas, siguieron intentando localizar los servidores de Hansa nuevamente y secuestrarlos discretamente. Finalmente, en abril de 2017, obtuvieron otro golpe de suerte: los supuestos administradores habían realizado un pago de bitcoin desde una dirección que se había incluido en esos mismos registros de IRC. Usando el software de análisis de cadena de bloques Chainalysis, la policía pudo ver que el pago fue a un proveedor de pagos de bitcoin con una oficina en los Países Bajos. Y cuando la policía envió a esa firma de pagos de bitcoin una demanda legal para obtener más información, identificó al destinatario de esa transacción como otra empresa de hosting, esta vez en Lituania (¿anonimato en bitcoin?: No, no es cierto)

Dos por uno

No mucho tiempo después de localizar esos servidores por segunda vez, la NHTCU se enteró de otra sorpresa inesperada: el FBI se puso en contacto con ellos para decirles que habían localizado uno de los servidores de AlphaBay, el mercado de drogas oscuras más popular del mundo en ese momento. -mucho más grande que Hansa- en los Países Bajos. Los investigadores estadounidenses se estaban acercando y querían tirar del tapón («pull the plug», entiendo que en castellano podría ser «levantar la manta», «tirar de la manta»), justo cuando los holandeses planeaban apoderarse de Hansa

La policía holandesa se dio cuenta rápidamente de que después de que AlphaBay se cerrara, sus refugiados buscarían un nuevo mercado. Si su esquema funcionaba, los usuarios de AlphaBay inundarían a Hansa, que estaría secretamente bajo control policial. «No solo obtendríamos este efecto de socavar la confianza en los mercados oscuros, sino que también obtendríamos esta afluencia de personas», dice Ras. Podrían vigilar una porción mucho mayor de la economía de la red oscura, dice, e infundir en los usuarios la sensación de que no había dónde esconderse. Incluso huir a otro mercado no les permitiría escapar del alcance de las fuerzas del orden público

Con las piezas del plan de intervención de los servidores en su lugar, la policía holandesa envió un par de agentes al centro de datos de Lituania, aprovechando el tratado de asistencia legal mutua de los dos países. El 20 de junio, en un movimiento cuidadosamente programado diseñado para atrapar a los dos sospechosos alemanes en el teclado, la policía alemana entró en las casas de los dos hombres, los arrestó y se apoderó de sus computadoras con sus discos duros sin cifrar. Luego, los alemanes señalaron a la policía holandesa, que inmediatamente comenzó la migración de todos los datos de Hansa a un nuevo conjunto de servidores que ya estaban bajo control policial completo en los Países Bajos

«Coordinamos con los alemanes, de modo que cuando tiraron la puerta, inmediatamente comenzamos nuestra acción», dice Boekelo. «No queríamos tener ningún tiempo de inactividad».

Al ser interrogados en una cárcel alemana, los dos hombres entregaron las credenciales de sus cuentas, incluido el sistema de chat entre pares de Tor que habían usado para comunicarse con los cuatro moderadores del sitio. Después de tres días, Hansa fue «migrada» (entiéndase «secuestrada» por completo a los Países Bajos y bajo el control de la policía holandesa. Ningún usuario, o incluso esos moderadores, parecieron haber notado el cambio.

Control total

Durante el siguiente mes, la policía holandesa sacó provecho de su papel de «administrador» del mayor mercado de la droga en la dark web, para llevar a cabo una vigilancia cada vez más agresiva de sus usuarios. Reescribieron el código del sitio para registrar la contraseña de cada usuario, en lugar de almacenarla como hashes cifrados. Modificaron una función diseñada para cifrar automáticamente los mensajes con las claves PGP de los usuarios, de modo que guardase el texto completo de cada mensaje antes de cifrarlo, lo que en muchos casos les permitía capturar las direcciones de los compradores mientras enviaban la información a los vendedores. El sitio se configuró para eliminar automáticamente los metadatos de las fotos de los productos cargados en el sitio; alteraron esa función para que primero grabara una copia de la imagen con los metadatos intactos. Eso les permitió sacar datos de geolocalización de muchas fotos que los vendedores habían tomado de sus mercancías ilegales

Según cuentan, la policía finalmente se volvió tan «descarada» (confiada dentro del riesgo) que simularon un falso error del servidor que borró todas las fotos del sitio, lo que obligó a los vendedores a volver a subir fotos y a las autoridades holandesas tener otra oportunidad de capturar los metadatos. Ese simple maniobra consiguió las coordenadas geolocalizadas de más de 50 vendedores

En quizás su movimiento más intrusivo de todos, el NHTCU dice que esencialmente engañó a los usuarios para descargar y ejecutar un faro de referencia («homing beacon». Traducción literal «faro de vuelta al palomar». Digamos que simplemente les introdujeron un malware). Hansa ofreció a los vendedores un archivo para que sirviera como clave de respaldo, diseñado para permitirles recuperar el bitcoin que se les enviaba después de 90 días, incluso si los sitios estaban caídos. Los policías reemplazaron ese documento de texto inofensivo con un archivo Excel cuidadosamente elaborado, dice Boekelo. Cuando un vendedor lo abría, su dispositivo se conectaba a una URL única, revelando la dirección IP del vendedor a la policía. Boekelo dice que 64 vendedores cayeron en la trampa

(NOTA: No viene en el texto pero deduzco que de alguna forma se dejaba 1 BTC de señal, o algo parecido, que luego se les devolvía. Ese «faro de referencia» permitía recuperar el BTC aún estando el sitio de Hansa caído)

Durante todo el engaño, Hansa prosperó bajo el control secreto de la NCHTU. Los agentes encubiertos habían estudiado los registros de las conversaciones reales de los administradores con sus moderadores y los usuarios del sitio el tiempo suficiente para suplantarlos convincentemente, dicen Ras y Boekelo. De hecho, un equipo completo de oficiales se turnaron para hacerse pasar por los dos administradores, de modo que cuando las disputas entre compradores y vendedores escalaron más allá de la autoridad de los moderadores, los agentes encubiertos estaban listos para lidiar con ellos aún más eficientemente que los administradores reales. «La calidad realmente aumentó», dice Ras. «Todos estaban muy satisfechos con el nivel de servicio que obtuvieron»

Lanzar la trampa

Ese buen hacer también hizo de Hansa el destino natural cuando AlphaBay repentinamente desapareció  (5 de julio de 2017). A medida que los compradores de drogas se impacientaban, eventualmente más de 5,000 al día acudieron en manada a Hansa, ocho veces la tasa de registro normal, dice el NHTCU, y todos cayeron inmediatamente bajo vigilancia policial.

Una semana después de la última caída de Alphabay, el Wall Street Journal informó que los servidores del sitio habían sido confiscados en una redada policial y que su fundador, el canadiense Alexandre Cazès, aparentemente se había suicidado en una prisión tailandesa. Las noticias arrojaron al caos a la comunidad de compradores y vendedores de droga de la dark web. La inundación resultante de refugiados Alphabay se hizo tan grande que el NHTCU cerró nuevos registros durante diez días. La policía estaba obligada por la ley holandesa a rastrear e informar a Europol de todas las transacciones que ocurrían en el sitio bajo su control; con aproximadamente 1,000 transacciones ilegales ocurriendo todos los días bajo su vigilancia, la documentación se estaba volviendo inmanejable

Durante su tiempo como administradores del mercado negro, la policía holandesa solo prohibió un producto en Hansa: el opioide altamente peligroso Fentanyl. Todas las otras drogas en el sitio continuaron fluyendo libremente, una circunstancia sobre la cual Ras y Boekelo no presentaban objeciones. «Se habrían llevado a cabo de todos modos», dice Ras sin dudarlo, «pero en un mercado diferente».

Sin embargo, después de 27 días y alrededor de 27,000 transacciones, el NHTCU decidió terminar con la farsa (to hang up its ledger – colgar el libro mayor. No tiene traducción al castellano). Desconecto a Hansa, reemplazando el sitio con un aviso de incautación y un enlace al sitio Tor de la NHTCU que muestra una lista de compradores y vendedores de droga identificados y arrestados. «Hacemos un seguimiento de las personas que están activas en Dark Markets y ofrecen bienes o servicios ilícitos», decía el sitio. «¿Eres uno de ellos? Entonces tienes nuestra atención».

Las consecuencias (Fallout – precipitación radicativa, restos radiactivos)

La policía holandesa terminó con la suplantación en Hansa y ofreció recompensas concretas: obtuvieron al menos algunos datos sobre 420.000 usuarios, incluyendo al menos 10.000 direcciones de domicilios, que entregaron a Europol para ser distribuidas a otras agencias policiales de Europa y el mundo. Desde la finalización del engaño, dice Ras, han arrestado a una docena de los principales vendedores de Hansa, con más arrestos planificados para las próximas semanas. Se incautaron de 1.200 bitcoins de Hansa, por un valor de alrededor de 12 millones USD (al cambio en ese momento). Dado que Hansa utilizó transacciones multifirma de Bitcoin para proteger los fondos de la incautación policial, esa confiscación solo fue posible porque la NHTCU se había apoderado del sitio y saboteó su código para desactivar esa función durante el último mes que Hansa estuvo on line (se hizo con varias claves privadas)

La policía holandesa dice que también han realizado aproximadamente 50 visitas personales a los hogares de los compradores para avisarles que han sido identificados por sus compras de drogas en la red oscura, aunque dicen que solo uno, el que más volumen compró, ha sido arrestado hasta el momento. «Queremos que las personas estén al tanto», dice Ras. «Tenemos los datos. Está aquí y no va a desaparecer».

En cuanto al impacto de la operación en el comercio global de drogas, la policía señala un estudio de la Organización Holandesa para la Investigación Científica Aplicada, que encontró que el secuestro de Hansa tuvo un resultado significativamente diferente a los cierres realizados hasta la fecha. Si bien la mayoría de los vendedores de droga que huyeron de AlphaBay aparecieron poco después en otros sitios en la dark web, aquellos que huyeron de Hansa no lo hicieron, o si lo hicieron, cambiaron su identidad en línea lo suficiente como para no reconocerlos. «En comparación con los derribos de Silk Road, o incluso con el derribo de AlphaBay, el cierre de Hansa Market se destaca de manera positiva», dice el informe. «Vemos los primeros signos de una intervención policial que cambia el juego».

Otros investigadores de la dark web no están tan seguros. Nicolas Christin, investigador de Carnegie Mellon, dice que es difícil medir el impacto a largo plazo de la operación de Hansa, ya que los compradores y vendedores de drogas aún acuden a sitios alternativos como Dream Market, el nuevo sitio de compra venta de drogas en la dark web, e incluso a sitios de solo invitación creados por vendedores individuales. «Creo que en el corto plazo, creó una gran agitación», dice Christin. «Si fue sostenido, realmente no lo sé».

En cuanto a los usuarios de Hansa, la opinión parece dividida. «Parece que estaré sobrio por un tiempo. No confío en ningún mercado», escribió un usuario en el foro reddit de Reddit el día en que se anunció el derribo de Hansa el verano pasado.

Pero algunos insistieron en que la red oscura rebotaría, incluso desde la operación más elaborada que jamás se haya visto. «Las cosas se estabilizarán, siempre lo hacen», escribió ese usuario anónimo. «El gran juego de whack-a-mole nunca termina».

 

 

¿Qué es SSL y TLS?

Un protocolo es un acuerdo de funcionamiento entre dos partes. Por ejemplo, cuando vemos esa imagen en la pista de un aeropuerto de un individuo moviendo unas banderitas delante de un A390, está usando un protocolo que también conoce el piloto. Si alguno de los dos no conociera el protocolo no sería bueno para los pasajeros. Los idiomas se podrían considerar como protocolos light, son formas de comunicación, pero no implican acciones como los protocolos

Los ordenadores son iguales. Necesitan establecer algún tipo de mecanismo o acuerdo de funcionamiento para entenderse entre ellos. Pueden ser todo lo «tontos» o «listos» que la persona que diseña el protocolo quiera. Entre ordenadores, un protocolo se parecería a lo siguiente

  • PC-1: Hola, soy un PC con Windows 10
  • PC-2: Hola, soy un PC con Linux. ¿PC-1, estás preparado para recibir algo que te quiero mandar?
  • PC-1: Si
  • PC-2: Comienzo trasmisión de paquete 1 de 200
  • PC-2: Lanzo el 1 de 200
  • PC-1: Recibido
  • PC-2: Lanzo el 2 de 200
  • PC-1: Recibido
  • PC-2: Lanzo el 3 de 200
  • PC-1: Error de checksum (o sea, lo ha recibido mal)
  • PC-2: Me anoto reenviar el paquete 3 cuando tenga un rato
  • ——–
  • … y así hasta que……..
  • PC-2: Fin de la transmisión, 200 paquetes originales, 5 erróneos, 205 enviados en total
  • PC-1: OK, fin de transmisión

… y dicho esto, ¿Para que sirven SSL y TLS?

Para cifrar un canal de comunicación entre dos máquinas, es decir, evitar que si alguien “pincha” el cable y lee el tráfico, no sea capaz de entender nada.

Una vez establecido ese canal cifrado ya se puede usar HTTP «por encima» y entonces pasará a ser HTTPS, se puede usar FTP sobre SSL/TLS y pasará a ser SFTP y así con todo protocolo que se ponga sobre alguno de los dos (algún día hablaremos de «capas» dentro de las pilas de protocolos)

Cuando digo que HTTP está «por encima» de SSL o TLS es un «encima» funcional. Realmente ambos son nivel 4 (Application Layer) de modelo TCP

Vamos con los «ruegos y preguntas»

¿Cuál es más seguro?: TLS

TLS que actualmente está en su versión 1.2 (1.3 en borrador) es la evolución de SSL. Ya hace tiempo se encontraron diversas vulnerabilidades en el protocolo SSL lo que hace recomendable deshabilitarlo en el navegador y/o en las opciones de internet

¿Puede un ordenador usar SSL y el otro TLS?: No

Las diferencias entre ambos no son excesivamente grandes, pero son lo suficiente para que no puedan hablar entre si

¿Vale mi certificado de la FNMT para cualquier de ellos?: Si (y pongo de la FNMT porque son conocidos, pero la pregunta aplica a cualquier certificado)

El certificado (de una máquina o una persona) es independiente del protocolo. No hay certificados para SSL o para TLS

¿Qué tiene que ver el puerto y el protocolo?: Pues algo y nada

Existen una serie de puertos denominados «seguros» que son los que son porque es un estándar, pero podrían ser otros. Un puerto seguro y bien conocido es el 443 que es el de HTTPS. Cuando el navegador se dirige a un servidor «atacando» su puerto 443 significa que el cliente ya sabe que el servidor tiene un certificado y directamente y la conexión es segura desde el primer instante. Es decir, dirigiendo el tráfico a un puerto seguro se inicia una conexión segura desde el principio

Otra forma de «atacar» el servidor es por protocolo. En este caso la sesión se inicia sin cifrar con un simple «hola que tal». Luego son las máquinas las encargadas de «negociar» el protocolo que se va a utilizar estableciendo un mecanismo de cifrado en común

Hay sitios donde se dice que las conexiones por puerto son SSL y por protocolo son TLS. Yo no estoy muy de acuerdo con eso pero esto no es importante

Si quieres ampliar esto mira estos enlaces. El primero es especialmente bueno

https://www.ecured.cu/TLS

http://profesores.elo.utfsm.cl/~agv/elo322/1s14/projects/reports/G5/Informe%20TLS.pdf

https://www.rediris.es/tcs/doc/ccncert/CCN-CERT_BP-01-17_Recomendaciones_implementacion_HTTPS.pdf