Vodafone

Durante los últimos años la ciberseguridad ha ido cobrando cada vez mayor relevancia y en el futuro inmediato será considerado core de cualquier negocio. Un estudio reciente muestra que un 91% de los responsables de seguridad han tenido que enfrentarse a algún problema de seguridad en el último año. Se trata de un dato considerable que no deja lugar a dudas. Como explica Maxine Holt (Directora General Investigación en Ciberseguridad de OMDIA) en su informe elaborado para Vodafone Business: “Todas las organizaciones deben adoptar un enfoque proactivo con respecto a la ciberseguridad tanto si son empresas privadas, públicas u ONG. Sólo entonces —añade—, podrán superar con éxito el actual y complejo panorama empresarial e ir un paso por delante de los demás”.

La Transformación Digital y los movimientos por un entorno más sostenible están llevando a cambios tan significativos en las empresas como la eliminación de las oficinas para deslocalizar el trabajo en la nube —los Digital Work Spaces— y en el resto de organizaciones a lo que se conoce como “oficina sin papeles”. Cada vez imprimimos menos documentos y cada vez es más frecuente emitir o recibir facturas digitales. ¿Y qué ocurre con los contratos, la compra venta o los acuerdos que se cierran sin necesidad de un papel físico? Es ahí donde entra en juego la solución denominada Firma Digital. La firma como tal ya no necesita ser un grafismo que realicemos con nuestra mano. Para la RAE una firma es un “rasgo o conjunto de rasgos, realizados siempre de la misma manera, que identifican a una persona y sustituyen a su nombre y apellidos para aprobar o dar autenticidad a un documento”.  Esos rasgos pueden ser también biométricos o de datos que sean siempre únicos y se pueda demostrar quién los ha realizado de forma inequívoca. Así pues, la digitalización de esa firma tiene diferentes formas que vamos desgranar: 1. Firma biométrica Esta es a día de hoy  la más habitual, natural y con mayor similitud con la firma manuscrita en papel. Recoge el grafismo y los datos biométricos de la firma manuscrita sobre un dispositivo táctil. Estamos acostumbrados a hacerlo cuando pagamos con una tarjeta de compra en una tienda, por ejemplo. Es por tanto la que más se asemeja a la tradicional firma en papel. Se denomina firma biométrica porque se recogen y almacenan todos los datos biométricos de la firma en la pantalla del dispositivo móvil. Para ello es necesario instalarse una aplicación de Porta-Firma en tu dispositivo.  ¿Qué necesita una app de firma biométrica para garantizar la autenticidad de la misma?Los datos biométricos: Cuando firmamos en un móvil o tableta, no solo se registra el grafo de la firma, también la velocidad con la que la hemos hecho en los ejes X e Y, y la presión ejercida en cada momento. El sellado de tiempo: El proceso de firma biométrica se cierra con el sellado de tiempo de una entidad tercera certificadora que asegura la integridad del documento, ya que si se realiza cualquier modificación posterior del documento se rompería ese sellado. Otras evidencias electrónicas: Además de estos datos, que son los que habitualmente utiliza un perito calígrafo, se recogen otras evidencias electrónicas no disponibles en la firma en papel como el tiempo de firmado, la posición GPS o el dispositivo utilizado. 2. Firma electrónica Es la firma electrónica tradicional con certificados, utilizada por ejemplo en las gestiones con la Administración Pública. Es una firma con certificado centralizado en la nube, con certificados nativos, en tarjetas criptográficas o con el DNI 3.0. La firma con certificados electrónicos tiene las máximas garantías jurídicas y cada vez está más extendida, facilitándose su uso con la posibilidad de instalarla también en terminales móviles. ¿Qué se necesita para la firma electrónica?Certificados instalados en el equipo: Los certificados software pueden estar instalados en el terminal con el que queremos firmar, tanto en un móvil como en un pc tradicional. El documento se firma electrónicamente dentro del terminal tras introducir el pin del certificado. Certificados en la nube: Otra opción es firmar desde el dispositivo con un certificado instalado en un servidor en la nube. Es lo que se conoce como certificados distribuidos o centralizados. Esta firma se realiza en el servidor, aunque el pin se teclee en el terminal. Certificados con tarjetas criptográficas: Los certificados también pueden estar en una tarjeta criptográfica. En ese caso hay que acceder hasta el certificado de la tarjeta desde el terminal a través de un lector o NFC. La tarjeta más universal es el DNI 2.0 y 3.0. 3. Firma OTP (One Time Passoword)   Esta es seguramente la forma más sencilla de firma digital. Accede al documento desde internet y firma introduciendo el pin SMS que te envían a tu móvil. Sencillo y universal, sólo se necesita internet y un móvil. Con la firma mediante PIN SMS se acumulan las evidencias electrónicas de toda la transacción, desde la ip desde la que se firma hasta el número de móvil al que se envía ese pin.4. Comunicaciones electrónicas certificadas  Cuando necesites tener una certificación de que has enviado algo a alguien, en un momento determinado, ya tienes opciones digitales: los SMS certificados y los correos electrónicos certificados.  En este caso no se trata de una operación de firma, sino de certificar el envío y recepción de una notificación electrónica por sms o email, su destinatario y contenido. La plataforma de Firma Digital de 3GMG, disponible a través de Vodafone, se somete a auditorías periódicas realizadas por Écija Abogados para validar la identidad, integridad, confidencialidad, no repudio y fehaciencia del proceso de firma.  Cuenta con hasta 6 medidas de seguridad: SSL Verisign: Todas las comunicaciones son https y viajan cifradas con un SSL de Verisign para garantizar la seguridad del tráfico de datos y documentos en la red. Certificado electrónico: Los documentos contienen el certificado electrónico de la empresa y van cifrados con él, para que sólo la empresa con sus claves pueda acceder a los datos biométricos cifrados. Cifrado de metadatos: Todas las evidencias electrónicas del proceso de firma, incluidos los datos biométricos, están autocontenidos en el propio pdf firmado como metadatos cifrados. Sellado de tiempo: Una entidad certificadora tercera pone el timestamp al documento final para dejar evidencia en caso de manipulaciones posteriores del documento. HASH de los documentos: Se calculan y almacenan el hash de todos los documentos, antes y después de firmar, para garantizar la integridad y no modificación de los mismos a lo largo del proceso. WYSIWYS: What You See Is What You Sign. Firmas viendo en la aplicación el documento que vas a firmar, lo que le da más robustez y fiabilidad al proceso de firma biométrica. La plataforma se diferencia de otras soluciones de Firma Digital de 3GMG en que dispone de una serie de ventajas en la concepción de su uso, así como en el documento resultante de la firma, para su posterior tratamiento y almacenamiento.

Investigadores de la Universidad de Tecnología y Diseño de Singapur (SUTD) han inventado un nuevo tipo de tecnología antifalsificación llamada Impresión en color Holográfica para realizar documentos seguros, como cédulas de identidad, pasaportes y billetes. El equipo de investigación dirigido por el Profesor Asociado Joel Yang demostró un dispositivo óptico que aparece como una impresión de color regular con luz blanca, pero proyecta hasta tres imágenes en una pantalla distante cuando se ilumina con luz láser. A diferencia de los elementos ópticos difractivos regulares que tienen una apariencia de vidrio esmerilado y proyectan solo imágenes individuales, estas nuevas impresiones en color holográficas constituirían un impedimento más fuerte para los falsificadores. Las impresiones consisten en estructuras de polímero impresas con nano-3-D y encuentran un uso particular en la seguridad de documentos ópticos.Los dispositivos de seguridad óptica convencionales proporcionan autenticación mediante la manipulación de una propiedad específica de la luz para producir una firma óptica distintiva. Por ejemplo, las impresiones microscópicas en color modulan la amplitud, mientras que los hologramas suelen modular la fase de la luz. Sin embargo, su estructura y comportamiento relativamente simples son fácilmente imitados. Los investigadores de SUTD diseñaron un píxel que se superpone a un elemento de color estructural en una placa de fase para controlar tanto la fase como la amplitud de la luz, y organizaros estos píxeles en impresiones monolíticas que muestran un comportamiento complejo. Sus impresiones fabricadas aparecen como imágenes en color con luz blanca, mientras proyectan hasta tres hologramas diferentes con iluminación láser roja, verde o azul. Estas impresiones holográficas en color se pueden verificar fácilmente pero son difíciles de emular, y puede proporcionar seguridad mejorada en aplicaciones contra la falsificación.Dado que las impresiones codifican la información solo en el relieve superficial de un material polimérico único, la impresión 3D a nanoescala personalizada de masters puede permitir su fabricación en masa mediante litografía por nanoimpresión. El concepto de una impresión holográfica en transmisión se ilustra en la Fig.  1. La capa superior contiene filtros de color que codifican una impresión en color, y la capa inferior contiene placas de fase que codifican los hologramas. Los filtros de color tienen dos funciones: para formar colectivamente una imagen en color bajo iluminación de luz blanca, y para controlar la transmisión de luz láser roja, verde y azul (RGB) a través de los píxeles de los hologramas multiplexados subyacentes. Con una iluminación monocromática coherente (p. Ej., La luz de un láser), la luz incidente se filtra de manera que solo las placas de fase relevantes con filtros de color que coincidan con la longitud de onda de iluminación se seleccionan para una proyección holográfica determinada, mientras que las otras placas de fase no forman una proyección ya que sus filtros de color no coinciden y rechazan la luz incidente. Por lo tanto, La impresión de color holográfico multiplexado mostrará diferentes proyecciones holográficas cuando se ilumine con láser rojo, verde y azul. Debido a que la luz incidente pasa a través de todos los píxeles en paralelo, los píxeles pueden actuar independientemente para permitir la transmisión de diferentes longitudes de onda en algunas regiones del espacio pero no en otras, lo que permite que varios hologramas ocupen conjuntamente el área total disponible en un esquema de multiplexación espacial. Al usar la libertad de dividir el espacio en regiones de formas y tamaños arbitrarios, las áreas de hologramas individuales pueden asignarse estratégicamente de tal manera que la disposición de sus filtros de color codifique adicionalmente una imagen de color elegida. Bajo iluminación de luz blanca incoherente (por ejemplo, luz de una lámpara o antorcha). Figura 1:
Ilustración de una impresión holográfica en color. Esquema en vista de despiece de una impresión en color holográfica de transmisión ( b ), un dispositivo óptico en capas en el que los filtros de color están integrados en la parte superior de los hologramas. Los filtros de color actúan como píxeles de color en una imagen en color bajo la iluminación de luz blanca de una lámpara o antorcha ( a ) y también sirven para controlar la transmisión de luz láser roja, verde y azul (RGB) a través de los píxeles de los hologramas multiplexados subyacentes ( c). Bajo la iluminación láser RGB, cada longitud de onda de la luz selecciona una proyección holográfica diferente, que es independiente de la imagen en color y de las otras proyecciones. Las proyecciones de campo lejano aparecen a lo largo del eje de iluminación láser. Se muestran tres ángulos de incidencia diferentes para ilustrar las tres proyecciones holográficas distintas. Las proyecciones permanecen enfocadas a cualquier distancia en el campo lejano, se pueden lograr en una amplia gama de ángulos incidentes, y se superponen perfectamente en la iluminación de varios colores colineales

Las capacidades de procesado de datos de los ordenadores cuánticos que permiten realizar avances exponenciales en todos los campos de la ciencia, también pueden suponer un reto para los gestores de seguridad informática, al enfrentarse a una potencia de cálculo capaz de hackear cualquier contraseña o algoritmo de seguridad. En este terreno trabaja Nathan Hamlin, director del Math Learning Center en la Universidad del Estado de Washington, quien ha publicado un interesante paper en Open Journal of Discrete Mathematics sobre cómo las matemáticas pueden ayudar a resolver este reto. El autor se basa en un código que escribió para una tesis doctoral —llamado Generalized Knapsack Code— y asegura que sería capaz de “frustrar” a los piratas informáticos del futuro. El documento aclara malentendidos sobre el complejo campo de la criptografía de clave pública y proporciona una base común de entendimiento para los expertos técnicos que tendrán la tarea de diseñar nuevos sistemas de seguridad de Internet para la era de la computación cuántica. «El diseño de sistemas de seguridad para proteger los datos implica expertos de muchos campos diferentes que trabajan con números de manera diferente.» —dijo Hamlin— “Va a haber matemáticos puros y aplicados, programadores e ingenieros entre todos los involucrados en el proceso en algún momento. Para que funcione en la vida real, todas estas personas necesitan tener un lenguaje común para comunicarse de manera que puedan tomar importantes decisiones sobre cómo proteger las transacciones en línea y comunicaciones personales en el futuro «. Los ordenadores cuánticos operan en el nivel subatómico y teóricamente proporcionan capacidad de procesamiento de millones, incluso miles de millones de veces, más rápida que las computadoras basadas en silicio. Un pirata armado con un ordenador cuántico de próxima generación, en teoría, podría descifrar cualquier comunicación por Internet enviada hoy, dijo Hamlin. Con el fin de crear un sistema de seguridad en línea mejor y estar preparados para futuras demandas, los profesor de matemáticas Hamlin y el ya retirado William Webb crearon el Código Generalized Knapsack en 2015 mediante la adaptación de una versión anterior del código con representaciones de números alternativos que van más allá de los estándares binarios y secuencias de base 10 que usan los ordenadores de hoy para operar. Fuente: Universidad del Estado de Washington Proceso de encriptado descrito en el estudio (Imagen: WSU) Los propios requisitos de la computación cuántica obligará a quienes tengan que analizar sus datos o ejecutar algoritmos a cifrar la información. Debido a este requisito, los investigadores de DTU Physics  y la Universidad de Toronto han investigado si un ordenador cuántico puede funcionar igual de bien con señales codificadas y no codificadas. Los resultados indican que la eficacia se mantiene casi sin cambios.El desarrollo de un ordenador cuántico universal, generalmente se considera el objetivo final dentro del área de la física llamada teoría de la información cuántica. Si se logra este objetivo permitirá enorme progreso dentro de una larga lista de campos de estudio en los efectos cuánticos son importantes. Esto aceleraría, por ejemplo, el diseño de nuevos medicamentos o nuevos tipos de materiales para la construcción o la electrónica. Inspirado por la historia del desarrollo de la ordenador clásico, los investigadores esperan que la primera generación de ordenadores cuánticos será grande, caro y difícil de operar y mantener. Por estas razones también se espera que estos dispositivos, al menos al principio, solamente estarán disponibles para las grandes organizaciones y gobiernos. Esto conduce a la idea de computación cuántica delegada , donde un usuario obtiene acceso a un ordenador cuántico centralizada a través de una red, a menudo considerado como una versión cuántica de la Internet. Si el usuario lo desea desea la solicitud enviada a la computadora cuántica debería ser secreta, incluso para el propio ordenador cuántico, que es capaz de cifrarla y descifrarla. La pregunta entonces es si un ordenador cuántico que está trabajando a ciegas, porque la entrada está cifrada, es tan eficiente como cuando se está trabajando en una entrada normal. En un artículo publicado en Nature Communications, Kevin Marshall y otros colaboradores asegura que que no hay una reducción significativa en esta eficiencia. En otras palabras, un quantum ordenador funciona igual de bien con señales codificadas y no codificadas.

A nadie le gusta pensar en ello pero existe una amenaza real en la Red de ser atacados. En un entorno que tiende a la conectividad total en las smart cities e Internet de las Cosas, la seguridad tiene que estar siempre encima de la mesa como una de nuestras prioridades. En este artículo encontrarás los consejos de tres expertos en TI y cuáles son sus herramientas favoritas para defenderse de ciberataques. El último ataque global de Ramsomware  o el habitual phising, junto al resto de malware y ataques de denegación de servicio, ponen en evidencia que la inversión en medidas de seguridad no pueden dejarse al azar y la suerte. Por ello, estas amenazas están impulsando un mayor gasto en seguridad cibernética. IDC cifraba esta inversión en más de 101,6 millones de dólares para software, servicios y hardware. Según el Instituto Nacional de Ciberseguridad (INCIBE) el ataque sufrido por miles de empresas en todo el mundo se trata de un software malicioso variante del WCry/WannaCry llamado WanaCrypt0r. El mismo día 12 el director global de Kaspersky Lab estimaba vía twitter que se habían producido más de 45.000 ataques en 74 países. Expertos como Jakub Kroustek, de Avast, dijeron haber conocido una primera versión de este virus en febrero hasta en 28 idiomas. Aún así muchas compañías estaban desprevenidas y desprotegidas suficientemente. Otras, como Vodafone España, se libraron de ser atacadas. Según ha informado por carta a los clientes el Director General de la Unidad de Negocio de Empresas, Andrés Vicente: «Vodafone había distribuido entre sus empleados el parche de seguridad contra la vulnerabilidad relacionada con el ataque unas semanas antes, tan pronto como Microsoft informó de la misma. —Andrés Vicente explicó además el procedimiento que emplearon— Estos parches de seguridad se instalan cuando, una vez distribuidos, el PC se reinicia; por este motivo, y como medida de prevención, el viernes se pidió a todos los empleados que apagaran sus equipos y que el lunes (o el martes, en Madrid) reiniciasen el PC en cuanto llegasen a la oficina para garantizar que todos los empleados tienen activado el parche de seguridad.» Aon es una de las mayores empresas de seguros y reaseguros y por tanto, objetivo potencial de todo tipo de hackers. De todos los posibles ciberataques, su director de seguridad, Anthony Belfiore confiesa que su principal temor son los ataques distribuidos de denegación de servicio (DDoS). Para protegerse, tienden a ejecutar el software corporativo, incluyendo VoIP, chat y correo electrónico en un sistema central. Aunque el escenario habitual es centralizar esos servicios en la nube, lo que supone un riesgo en cadena en caso de ataque al proveedor. En el caso de Aon, la herramienta de seguridad elegida es Tanium. Belfiore dice que el software abarca todo, desde las operaciones del núcleo de un procesador del servidor a la cartera de aplicaciones que está operando en él. En el ámbito de las instituciones públicas como la ciudad de Las Vegas, su CIO Mike Sherwood explica que a las amenazas comunes a cualquier servicio en red, tienen que añadir las constantes consultas de las fuerzas de seguridad a la Deep Web y otros focos de malware extremadamente peligrosos. En su caso, confían en lo que consideran un “as en la manga”, el software Darktrace que ya utilizó en la ciudad de Irvine, California. La aplicación monitoriza tráfico entrante y saliente en su red informática, una tarea crucial que no pudo lograr con su ingeniero de seguridad a tiempo completo y cuatro trabajadores de plantilla. Darktrace utiliza las capacidades de inteligencia y de aprendizaje automático artificiales para aprender más de las vulnerabilidades a medida que se descubren. Quien ya ha sufrido los efectos de un ciberataque por parte de piratas de Letonia es la empresa DA Davidson, por lo que contrató los servicios del especialista en seguridad informática Vince Skinner. En 2007, la empresa de servicios financieros fue víctima de un ataque de inyección SQL para acceder a la base de datos de la compañía, una infiltración que costó a la compañía 375.000 dólares en multas. A pesar de que han pasado casi una década, Skinner dice que los ataques cibernéticos de hoy son muy similares. Skinner se basa en Carbon Black, que utiliza listas blancas de aplicaciones y análisis de comportamiento que ayudan a detectar anomalías. El software le dice si un código ejecutable es conocido o desconocido, o si siendo conocido puede ser peligroso. Más detalles en el artículo original: IT leaders Share how they quell cybersecurity attacks.