Internet de Nueva Generación (UPM)

View more presentations from InternetNG DIT UPM.

Pedro J. Canut Zazurca es Presidente de ColorIURIS

1. Durante 2010 aumentará  la preocupación de usuarios y reguladores por la privacidad en Internet y escalará la trascendencia mediática de los incidentes . La identidad de los usuarios será  cada vez más esencial en la experiencia de usuario , pues crecerá el uso y trascendencia de las redes sociales.
2. Las posibilidades de nuevos dispositivos de conexión con las redes sociales (especialmente terminales móviles Open OS) expondrán aún más los datos del cliente Probablemente se llegue a un estándar de intercambio de datos de cliente que permita la portabilidad de redes sociales
3. Los operadores de telecomunicaciones contarán con una mejor experiencia de usuario en lo relativo a gestión de identidad única
4. Posicionamiento de los operadores como proveedores de capacidades abiertas de identidad Mayor ansiedad de los usuarios sobre su privacidad online…   … a pesar de ello, seguirán primando la comodidad sobre la seguridad
5. En 2010 la publicidad orientada al perfil de cliente se generalizará en la mayor parte de los servicios con los riesgos que una mala implementación puede traer desde el punto de vista de la privacidad.
6. Mayor beligerancia de los reguladores en la legislación de protección de la privacidad…   … aunque los Gobiernos aumentarán su presión para el control de Internet

Vicente San Miguel es CTO de Telefónica e ingeniero de Telecomunicaciones por la Universidad Politécnica de Madrd.

Si acudimos a la definición del diccionario de la RAE, en s vigésima segunda edición, se define Cátedra (del lat. cathedra, y este del gr. καθέδρα, asiento) el "empleo y ejercicio del catedrático",la "facultad o materia particular que enseña un catedrático" o el "asiento elevado, desde donde el maestro da lección a los discípulos", entre casi una decena de acepciones; pero más interesante aun resulta la definición que se asocia a la acción de Sentar Cátedra, "pronunciarse docta y concluyentemente sobre alguna materia o asunto", utilizada comúnmente en sentido irónico.

Lanzamos hoy un producto nuevo que pretende poner en valor la amplia red de expertos que colaboran, tanto de forma permanente como de manera esporádica con nuestra Cátedra "Internet de Nueva Generación" de Telefónica en la Universidad Politécnica de Madrid . Se trata de un panel de expertos, de composición variable, que vertirá su opinión acerca de ciertos temas de relativo interés o actualidad, relacionados siempre con la temática de esta Cátedra. Las opiniones recogidas por nuestros analistas quedarán plasmadas en pequeñas "píldoras" de sincronización con una realidad demasiado veloz para atraparla sin ayuda.

Esas "dosis de realidad", que bautizaremos -también en sentido irónico- como "Sentando Cátedra", se administrarán sin periodicidad fija y en formato variable, siempre por vía "reticular": es decir que estarán disponibles en la Red buscando su fácil manipulación, replicación y transporte; y entrarán "por los ojos".

A pesar de su nombre -y de ahí la ironía- el objetivo de las piezas que se publiquen bajo el mismo no es sentar Cátedra, sino precisamente todo lo contrario: generar, extender, animar, dinamizar, poner en valor "la conversación" y el debate multi-lateral y multi-disciplinar alrededor de algunas de las cuestiones que subyacen al proceso de construcción de una verdadera Sociedad de la Información y puede que algún día, no muy lejano, también del Conocimiento. Esperamos, por tanto, vuestros comentarios, aportaciones, argumentos, ideas, puntualizaciones, etc. Tenemos las "orejas" puestas, aquí, en Twitter, Facebook, …

Saludos

Veo en GPS Business News una mención a INSITEO, una empresa francesa que ha desarrollado una tecnología realmente interesante.   Se trata de  extender al interior de toda clase de edificios o recintos (terminales de aeropuertos, centros comerciales, centros de fabricación, túneles,  …)   los  ya tradicionales servicios de localización móvil GPS.   Como se sabe, normalmente se precisa de visibilidad directa con (algunos al menos)  de los satélites  de la constelación  GPS para que la localización pueda tener lugar,   lo que lógicamente hacía imposible hasta el momento  la localización en interiores. 

Aunque no se proporcionan demasiados detalles técnicos parece que el principio básico es la instalación en el propio recinto de una serie de repetidores de las señales GPS.  También se menciona que se realiza en ocasiones uso complementario de señales WIFI y Bluetooth.  ¿Cual es la precisión obtenida?:  mejor que 3 m.   ¿A que coste?:  con inversiones de unos pocos € por metro cuadrado  (datos de INSITEO naturalmente).  

La localización en interiores, por otra parte, tampoco es una novedad.  Es ya posible hace años como parte de las capacidades de las redes WIFI  aunque su implantación hasta el momento no ha sido demasiado amplia.  Lo que si es una novedad es el uso de GPS para este tipo de aplicación.

¿Cual es la ventaja fundamental de esta solución?.    Pues simplemente que todos y cada uno de los teléfonos móviles dotados con GPS  ya existentes (un porcentaje cada vez mas amplio) son directamente compatibles con la misma.   Para  dotar de localización en interiores a un recinto determinado  (un centro comercial por ejemplo)  bastaría  por tanto con realizar la instalación del equipamiento adicional necesario. 

El resultado final de todo ello sería la disponibilidad de servicios de localización en cualquier teléfono móvil dotado de GPS  con una continuidad completa  entre exteriores e interiores. 

Los primeros clientes que espera INSITEO son grandes centros comerciales,  ferias de muestras y  aeropuertos,  lugares donde el valor adicional de disponer de localización sobre todo el área del recinto parece presentar  ventajas objetivas desde varios puntos de vista  (incluyendo el de la seguridad). 

INSITEO es una pequeña empresa europea de nueva creación.   Recibió en 2008 el Premio Especial de la competición  "Galileo Masters" de la Agencia Europea del Espacio.    Actualmente cuenta con un total de 8 empleados,  5 de los cuales son ingenieros.   En éste video y  éste video se puede conseguir una impresión mas directa de esta empresa y de las capacidades de su tecnología. 

A nadie se le escapa la creciente importancia que tienen los servicios basados en localización móvil.   Esta nueva tecnología parece completar muy adecuadamente las funcionalidades hasta ahora disponibles,  lo que debería traducirse en no demasiado tiempo en la aparición de nuevos iconos de aplicacion en nuestros teléfonos móviles  (o en una ampliación de las capacidades de algunas aplicaciones que ya utilizamos) y  posiblemente, en problemas de privacidad a añadir a la amplia colección de que disponemos hasta el momento. 

Leo en TechCrunch una noticia de hace un tiempo, sobre que Twitter comprueba que el usuario no elija una contraseña de entre una lista de ellas consideradas “muy débiles”.

Evidentemente, con la capacidad de computación de hoy en día, al alcance de casi cualquiera, el evitar elegir contraseñas que puedan estar en “diccionarios” que puedan utilizarse en ataques de fuerza bruta destinados a comprometer la privacidad de la cuenta de un usuario en un servicio web es vital.

Que los diseñadores de servicios web tengan esto en cuenta no es nuevo. Yahoo, por ejemplo, comprueba que al registrarte, tu contraseña no contenga cadenas de caracteres que hayas introducido en otros campos del registro (partes de tu nombre de usuario, fecha de nacimiento …). Otros sitios web muestran al usuario en forma de gráfico la robustez de su contraseña).  Éstos criterios suelen valorar, además de la longitud, la mezcla de caracteres y dígitos, la presencia de símbolos no alfanuméricos, la no repetición.

Prohibir contraseñas “débiles” es un buen paso, (coincide con el principio de diseño en seguridad informática que reza que no se debe dejar en manos del usuario final la responsabilidad de proteger el acceso a sus datos), aunque ésto cause un pequeño inconveniente, porque todos acudimos a datos de acceso que podamos recordar fácilmente, y esto, obviamente, incluye multitud de datos “públicos”, como las fechas de nacimiento, por ejemplo.

Consejos de Google sobre la elección de contraseñas.

Leo aquí un post de Sergio Hernando, que se hace eco de una notica aparecida hace un par de días: la vulneración de la seguridad de ciertos pendrives que estaban certificados con el nivel de certificación FIPS 140-2 (certificación, explicación de Wikipedia). Estos pendrives no estaban fabricados por cualquiera, sino que pertenecen a fabricantes destacados en este área.

¿Vulnerabilidad? ¿Algoritmos de cifrado rotos? No, de momento no.

La falla de seguridad no estaba en el algoritmo (AES de 256 bits  sigue siendo seguro), sino en la implementación del criptosistema. Más concretamente, en el proceso de autenticación (cuando el usuario introduce la contraseña para poder acceder al dispositivo de almacenamiento cifrado).  Se puede encontrar más sobre el fallo en el artículo de Bruce Schneier.

Como se menciona en los artículos citados, esto nos lleva a una pregunta. Es evidente que no todos los potenciales enemigos que puedan tener acceso a nuestros datos cifrados (imaginad cuantos pendrives, discos duros portátiles e incluso ordenadores portátiles se extravían o se dejan olvidados) tienen los conocimientos necesarios para explotar este tipo de fallas. Sin embargo, ¿cuan seguro resulta que un fabricante nos indique que su producto está certificado? ¿Deberían las certificaciones valorar la implementación? ¿Es ésta seguridad real? De nada nos sirve que nuestro software implemente algoritmos de cifrado realmente probados, si se dejan puertas abiertas para evitar estos procedimientos de cifrado.

Citando textualmente a Bruce Schneier (me quedo principalmente con la idea de que no hay que ceder a la cautivadora imagen del marketing): “The problem is that no one really understands what a FIPS 140-2 certification means. Instead they think something like: “This crypto thingy is certified, so it must be secure.” In fact, FIPS 104-2 Level 2 certification only means that certain good algorithms are used, and that there is some level of tamper resistance and tamper evidence. Marketing departments of security take advantage of this confusion — it’s not only FIPS 140, it’s all the security standards — and encourage their customers to equate conformance to the standard with security.”

Más sobre AES : especificación oficial,  explicación amena tipo cómic .

Actualización: Desde el blog de la Cátedra Telefónica de Telemedicina en la Universidad de la Laguna nos dan su visión sobre este tipo de problemas en el ámbito de la Sanidad.

Al hilo de esta noticia, en la que se alerta de nuevas amenazas en el terreno de la seguridad informática, no estaría de más comentar el concepto de “Ransomware“.

El Ransomware es un tipo de malware, derivado de los desarrollos teóricos de Adam Young  y Moti Yung (artículo original, 1996). La idea básica era explorar los posibles usos de algoritmos criptográficos en materia de virus informáticos.  Aunque también había surgido algún que otro malware parecido antes (1989, un antecesor más rudimentario, en software distribuido en disquetes por correo postal), la eclosión vino después. Tras su prueba de concepto, empezaron a surgir distintos ejemplos de Ransomware que aprovechaban esas ideas.

La manera de actuar se puede resumir de manera muy sencilla: tras la infección del sistema informático, el malware toma el control y “extorsiona” . Esa extorsión suele consistir en bloquear el sistema (o el acceso a ciertas partes de él), y exigir al usuario un pago económico (vía telemática), a cambio de reestablecer la normalidad. Para ese bloqueo suele servirse de técnicas como encriptar los archivos del sistema para evitar el arranque, o encriptar los documentos personales del usuario.

Un ejemplo de malware sería el Win32/RansomSMS.AH, que bloquea el acceso a Internet, y exige el envío de un sms a un número de teléfono situado en Rusia.