ArchiTecnologia

Aprendizaje abierto. Conocimiento libre.

ArchiTecnologia
Alfonso Muñoz
EntrevistaSeguridad

Alfonso Muñoz: Entrevista exclusiva para AT

Isaac 1163 Views 0 Comments

El Dr. Alfonso Muñoz es un ingeniero de telecomunicaciones por la Universidad Politécnica de Madrid e investigador en seguridad de redes. Cuenta con una extensa experiencia trabajando para proyectos avanzados para organismos europeos, fuerzas y cuerpos de seguridad del Estado, y multinacionales.

Además, es co-editor de la red temática CRIPTORED, así como autor de varios libros sobre cifrado y ciberseguridad muy interesantes que te recomiendo. Como Estegomalware – Evasion de antivirus y seguridad perimetral usando esteganografía: Ocultando ciberamenazas avanzadas y malware (con prólogo de Bernardo Quintero), Criptografía Ofensiva. Atacando y defendiendo organizaciones: Criptografía aplicada para pentesters, programadores y analistas, y Seguridad del protocolo SSL/TLS: Ataques criptoanalíticos modernos.

Architecnología: Siempre suelo comenzar con esta pregunta: ¿Quién es Alfonso Muñoz Muñoz (@mindcrypt)? (Descríbete, por favor)

Alfonso Muñoz: Un chico de barrio al que la vida le ha permitido vivir grandes aventuras y experiencias entre ellas en el campo de la ciberseguridad, una de mis pasiones. Trabajador incansable y soñador empedernido.

AT: ¿Cuándo comenzó a apasionarte el mundo de la tecnología?

AM: A los 14 años cuando mi hermano decidió, a mediados de los 90, que era buena idea modificar el autoexec.bat en el MS-DOS 6.11 para impedir que su hermano rompiera el ordenador que tanto esfuerzo había costado comprar a mis padres. Un simple mensaje “Introduce la contraseña para continuar” me tuvo entretenido durante bastante tiempo (no existía Internet y encontrar documentación no era sencillo) hasta que después de visitar varias bibliotecas buscando la respuesta me encontré que un simple Control+C solucionaba tan “complejo” mecanismo de seguridad. Después de eso, me apasioné por los virus informáticos en MS-DOS y el resto… fue llegando poco a poco.

AT: ¿Tienes algún referente? ¿Alguna persona que te haya inspirado en lo que haces?

AM: Dos personas pero no están vinculadas, o no ya, al mundo de la ciberseguridad.

Uno fue mi tutor de doctorado Justo Carracedo. Siempre recordaré dos comentarios. “La vida es relativamente simple… haz un núcleo de afecto y no lo modifiques por nada, el resto cambiará adáptate a ello…” “No sé si eres tan bueno como dice la gente… en la vida para triunfar solo hay una máxima… si te tiran, te levantas

El otro fue el profesor Randy Pausch y su obra Mi última lección.

Las paredes de ladrillo están ahí por una razón. Las paredes de ladrillo no están ahí para dejarnos fuera, las paredes de ladrillo están ahí para darnos la posibilidad de demostrar lo mucho que queremos algo. Las paredes de ladrillos están ahí para parar a la gente que no lo quieren lo suficiente. Están ahí para parar a la otra gente.

No podemos cambiar las cartas que se nos reparten, solo podemos elegir como jugar la mano”.

AT: Pasamos ahora a lo más técnico… La pandemia ha fomentado el teletrabajo y, por otro lado, está la Industria 4.0, los vehículos conectados y demás productos IoT, la nube, IA, etc. Todo ello ya está suponiendo ya un reto para la ciberseguridad. Pero… ¿Cuál crees que será el próximo reto para la ciberseguridad en un futuro próximo?

AM: El reto fundamental de la ciberseguridad es, y lo ha sido siempre, facilitar los mayores estándares de protección con la menor interacción por parte del usuario final. El uso y consumo masivo de datos e información en contexto muy variados hace que la ciberseguridad necesite evolucionar paradigmas, arquitecturas y algoritmos a entornos más distribuidos, difíciles de perfilar y casuísticas variadas. La ciberseguridad siempre ha sido una profesión de nicho pero hoy cada vez más es necesaria su integración y colaboración con equipos multidisciplinares para crear soluciones tecnologías robustas y usables.

AT: Y cuando se extienda el uso de la computación cuántica ¿Qué será del cifrado actual? Porque las computadoras clásicas van a seguir conviviendo durante un tiempo con las cuánticas…

AM: Mucho se está hablando de esta problemática. Siendo sincero, cualquier estudio actual científico que se consulte no vislumbra el avance de la computación cuántica para la rotura de la criptografía actual, siendo optimistas, al menos en unas décadas si esto se produce. Es difícil estimar una fecha concreta, si es que algún día se produce, y por las filtraciones parece que en entornos de inteligencia y defensa están todavía muy lejos de eso hito. En cualquier caso parece razonable pensar que las propuestas de estándar de criptografía post-cuántica se publicarán antes de este hito computacional y probablemente su difusión a la industria de manera generalizada (que puede llevar 1 o más décadas) también. Es un tema apasionante que hay que revisitar cada poco tiempo.

AT: ¿Son realmente seguros algoritmos de cifrado? Me explico, supongo que son tan seguros como su desarrollador lo sea. ¿No es así? Hay que confiar en que no tengan puertas traseras.

AM: En algunos de mis libros he escrito capítulos enteros para intentar responder esta pregunta 😊. En general, los algoritmos criptográficos, y me voy a centrar en este caso en los estandarizados por el NIST norteamericano, son seguros bajos los estándares que entendemos en criptografía. Son seguros frentes a todos los ataques conocidos, la comunidad científica mundial no encuentra ningún atajo significativo y mientras sucede todo esto son seguros computacionalmente (no es posible atacar al algoritmo más rápido que un ataque de fuerza bruta a la clave).

AT: ¿Es posible que los algoritmos que usamos ahora tengan puertas traseras? Ya se han detectado en otros que se han dejado de emplear en algunos casos…

AM: Si, pero no es tan común como las mentes conspiranóicas podrían pensar. En el pasado se han descubierto algoritmos con puertas traseras incluso algunos apoyados por el NIST. Son casos puntuales y no siempre fáciles de detectar.

AT: Si tuvieras que proteger datos altamente confidenciales, pongamos para un cifrado de grado militar. ¿Qué tipo y algoritmo de cifrado usarías y por qué?

AM: Siempre que se puede elegir criptografía simétrica (autenticada) frente a criptografía asimétrica Siempre que se pueda, si la información es muy sensible y de larga duración, usar cifrado encadenado (usar 2 o 3 algoritmos criptográficos considerados robustos)

El término grado militar es en ocasiones usado de forma incorrecta. La mayoría de países disponen de algoritmos distintos a los de uso civil para proteger su información. La base matemática de los mismos no es muy diferente a los que se utilizan en el mundo civil pero añaden una capa adicional que dificulta la investigación por parte de investigadores externos. Ejemplo de la NSA sería la Suite-A frente a la Suite-B.

A día de hoy usaría algoritmos civiles, los estandarizados, para proteger la información.

AT: Sé la respuesta, pero me gustaría conocer tu opinión: ¿Crees que se están protegiendo adecuadamente las infraestructuras más críticas en Europa? Por ejemplo, estaciones de energía, hospitales, instalaciones de comunicación, sectores industriales críticos, etc.

AM: Creo sinceramente que Europa es consciente del recorrido enorme que tiene que hacer en esta dirección y la dependencia estratégica que tiene de otros países, entre ellos, EE.UU. Creo que se están tomando decisiones acertadas pero creo que no veremos los frutos hasta dentro de unos años.

AT: Algunos se están fijando en la IA como una nueva herramienta de ciberseguridad que pueda ayudar a mejorar, por ejemplo, el software anti-malware. ¿Cómo puede la IA ayudar a mejorar el cifrado? ¿Y a los ataques?

AM: Soy muy crítico en el uso y casos de uso de la IA en el campo de la ciberseguridad. En el caso de su uso en el campo de la criptografía es un tema que he estudiado bastante en el pasado. Hay ideas muy prometedoras, tanto de cifrado como de criptoanálisis, pero o son conceptuales o poco prácticas en el mundo real. Adicionalmente, la IA, en general, permite algoritmos probabilísticos pero no deterministas, eso dificulta, por ejemplo, hacer algoritmos criptográficos que siempre descifren lo que han cifrado.

AT: Y ya que he citado el software anti-malware. ¿Cuál es tu opinión sobre los antivirus? Me explico… Darren Bilby, un ingeniero de seguridad de Google, dijo “Los antivirus hacen cosas útiles, pero en realidad son más como un canario en la mina de carbón. De hecho, es peor que eso. Es como si estuviésemos parados alrededor del canario diciendo ‘Gracias a dios que inhaló todo el gas nocivo’.”. ¿Crees que se debería mirar hacia otras tecnologías de protección más disruptivas?

AM: Personalmente me gusta ver los antivirus como una “abuela”. Son muy útiles prediciendo el pasado pero cuestionables opinando sobre el presente o futuro. Los antivirus son necesarios pero complementados y evolucionados con muchas otras capas de sobra conocidas en el sector de la ciberseguridad. Entre ellos, aunque no perfectos, los sistemas de protección de endpoint (EDR) con su complemento de inteligencia o recopilación de información utilizando tecnología cloud (XDR, etc.).

AT: ¿Qué opinas de TEE, TPM,…, con soluciones como TrustZone, etc.? ¿Crees que son realmente seguros? ¿O volvemos a lo mismo de los algoritmos, que tienes que tener fe en la buena voluntad de los creadores?

AM: Técnicamente no es posible garantizar, en mayúsculas, una comunicación criptográfica (cifrado, firmado, etc.) entre extremos sin un elemento de almacenamiento seguro. Son elementos fundamentales, no siempre ideales en muchas ocasiones con fallos detectados, de lo que dependeremos cada vez más. Como poder aumentar la auditoría externa de estos dispositivos por terceros y aumentar la confianza en los mismos es todo un reto del sector.

AT: Whatsapp ha estado envuelto en polémica desde hace tiempo, más aún tras la compra de este servicio por parte de Facebook. Supuestamente su cifrado extremo a extremo “funcionaba”. En cambio, están apareciendo noticias recientes que apuntan a todo lo contrario. Y se les ha dicho a los usuarios tantas otras cosas que luego no son… ¿Qué opinas?

AM: Muchas veces me han preguntado sobre esta cuestión y lo he comentado con colegas en foros técnicos. Diferenciaría el diseño del protocolo criptográfico (en papel) de la implementación y uso por la compañía. De esto último no dispongo de suficiente información de detalle de todas las partes involucradas en la comunicación para garantizar que la comunicación es segura. Por mi parte, cualquier tecnología de mensajería instantánea de las populares no debería ser utilizada para enviar información sensible. Cada uno debe evaluar que significa sensible en el caso de que una organización pueda obtener esa información y ofrecerla a terceros o gobiernos, si es que realmente puede.

AT: Por último, según tu experiencia, si tuvieras que dar SOLO 3 consejos a un usuario para mantenerse seguro. ¿Cuáles serían?

AM: Protegete y ten cuidado de los vectores de ataques más probables. Esto vendrán por urls que pinches, correos electrónicos y documentos ofimáticos (permitiendo la ejecución de macros).

Configura un solución antimalware y un cortafuegos (si puedes a nivel de aplicación). La mayoría de sistemas operativos disponen de soluciones gratuitas

Invierte un poco de tiempo en conocer tu sistema operativo. La mayoría de ellos te permiten configurar muchas temas relacionados con la ciberseguridad que te ahorran problemas.

Isaac

Apasionado de la computación y la tecnología en general. Siempre intentando desaprender para apreHender.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Si continuas utilizando este sitio aceptas el uso de cookies. más información

Los ajustes de cookies de esta web están configurados para "permitir cookies" y así ofrecerte la mejor experiencia de navegación posible. Si sigues utilizando esta web sin cambiar tus ajustes de cookies o haces clic en "Aceptar" estarás dando tu consentimiento a esto.

Cerrar