Dudas sobre el alcance y autenticidad del sistema Captahuellas venezolano // @RaymondOrta

Abogado Especialista en Tecnologías Gerenciales, Dactiloscopista, Experto Grafotécnico

Una de las propagandas del CNE con el lema “la huella es tu llave” nos ofreció supuestamente el sistema de identificación más seguro para votar hasta la fecha, pero es importante aclarar a la ciudadanía como funcionó este sistema y cuál es la realidad y los escenarios técnicos de su funcionamiento.

¿La cédula nunca fue un documento confiable?

El poder electoral es el nuevo garante de la identificación civil en el país y al relegar a la capta huellas la posible identificación del votante es un reconocimiento de que nuestro documento principal de identidad en Venezuela, o no vale para nada, o bien no es lo suficiente confiable para una identificación plena. Son varias las denuncias que hemos realizado desde hace años sosteniendo que el documento de identidad venezolano tiene mínimos elementos de seguridad para evitar su falsificación. La versión de la cédula en cuyo título se leía “REPUBLICA DE VENEZUELA” y cuyo soporte era papel fotográfico, tenía bajo relieves en su plastificado. No podemos olvidar el problema de fondo de otorgamiento de cédulas en operativos especiales sin conexión a las bases de datos y sin verificación por parte del SAIME (antigua ONIDEX) donde con una supuesta fotocopia de la cédula anterior te renovaban la cédula. La banca es testigo de los cientos de miles de documentos falsos que circulan en el país.

¿Cuál es el tipo de sistema CAPTAHUELLAS del CNE y como funciona?

Según declaración de la rectora Tibisay Lucena estaban poniendo a tono el sistema AFIS. El AFIS tiene dos versiones principalmente la versión para investigaciones criminales y la versión civil. La primera se utiliza para identificar huellas de delincuentes encontradas en los sitios del suceso. Esta identificación se hace contra una base de datos de huellas dactilares de delincuentes. El AFIS civil se utiliza con fines de control de identificación de toda una población.

El sistema AFIS civil está constituido por un conjunto de herramientas de hardware y software que implementan lo que informática se conoce como una base de datos. Los dispositivos de entrada y salida de datos están conformados por escáneres convencionales para inscripción de personas a través de las impresiones dactilares que le fueren tomadas en papel o escáner directos que toman los dibujos (dactilogramas naturales) de los pulpejos de los dedos (inscripción en vivo).

Componentes del AFIS

El sistema informático tiene varios componentes: 1) Una base de datos (relacional) en la que se registran: nombres, apellidos y fecha de nacimiento que como conjunto son altamente individualizantes, toda vez que la correspondencia de nombres, apellidos y fecha de nacimiento idénticos en dos personas es casi imposible en una población votantes como la nuestra. A esta individualización se suman las impresiones dactilares y la fotografía del rostro, que en un futuro debería agregarse como método de identificación biométrico para evitar fraudes (Los nuevos sistemas del ingreso automatizado al país del aeropuerto de Maiquetía tienen un nuevo paso de reconocimiento facial).

¿Cómo funciona el AFIS civil?

En una primera fase se deben registrar a todos los votantes. Para esto el CNE debía registrar a todos y cada uno de los votantes por el procedimiento directo en vivo o el indirecto. De una manera descarada se ha reconocido que los mismos procesos de votaciones anteriores se han utilizado para formar la base de datos de huellas de votantes, es decir, que un acto de votación en el que se duda de la identidad de los votantes se han tomado como ciertas las huellas presumiendo que todas las cédulas presentadas son válidas, obtenidas sin fraude. En nuestra opinión la incorporación de impresiones solo debe producirse en actos especiales de otorgamiento de nuevas cédulas y/o renovaciones.

Cuando se registra a cada nuevo votante, el sistema debe realizar un chequeo de estas “nuevas huellas” y confrontarlas con todas y cada una de las huellas registradas anteriormente para no crear registros duplicados, es decir para no tener votantes registrados dos veces con distintas identidades, lo que hace a esta fase del proceso la más importante y la más sensible para los procesos de autenticación que se pretenden aplicar el día de las votaciones.

Esta fase del proceso es tan delicada que debe ser supervisada por expertos dactiloscopistas en el caso de que el sistema arroje una alarma de que una persona ya estaba registrada previamente, y en este caso, un experto en dactiloscopia deberá confirmar si es un duplicado o no, ya que el mismo fabricante del AFIS reconoce una margen de error en la identificación de un 0.5%.

Metodológicamente, esta fase de la formación debe estar planificada para ello por cuanto se debe controlar. La pregunta inmediata , la de los dos dedos de frente es: ¿Cuando fue que el CNE levantó organizadamente esta base de datos con la que se compararan las huellas cada día de elecciones?.

Partiendo de la hipótesis que de que se han usado los datos del SAIME de cedulación y /o la de registro de nuevos votantes, no servirán a todo evento los datos de los cedulados en operativos por cuanto en los mismos nunca ha habido conexión directa con los servidores del SAIME. En este escenario el AFIS no podía dar respuesta inmediata a los cedulados de presunta duplicidad. En la hipótesis de que la base de datos haya sido levantada durante procesos electorales, tampoco estamos seguros de su efectividad y su posibilidad debido a que el sistema solo puede procesar 80000 registros en 22 horas lo cual hace imposible se haya hecho previamente.

Todo lo antes expuesto nos lleva a la conclusión de que el AFIS trabaja cada día de elecciones haciendo solo funciones de AUTENTICACION uno contra uno, es decir, haciendo cotejo de huella de elector, contra la ultima huella registrada en la última votación o en el momento de cedulación y ello no es garantía de que en la base de datos no existen duplicados que puedan votar varias veces que la máquina los certifique varias veces como válidos.

El CNE debe aclarar el estatus de la confiabilidad y precisión de la base de datos de huellas que pretende aplicar en cada elección, así como su origen, procedencia y si aplicaron o no los mecanismos de control de duplicados en su formación. La ciudadanía debe saber como conformaron la base de datos y como hicieron para otorgar cada cédula en operativos, si los computadores estaban en línea con el sistema AFIS en los momentos de cedulación o votación.

Los partidos deberían pedir auditorias de este sistema antes de aceptarlo como bueno y apto así como declararse cual es su alcance de efectividad tomando en cuenta el proceso de formación de la base de datos. Los partidos le tienen terror a tocar estos temas por presuntamente incentivar la abstención. El miedo el libre pero la verdad solo la encuentran los que usan la lupa de la lógica, la observación y el análisis.

Como crear passwords 100% seguros sin que se te olviden // @RaymondOrta y @DiscoDuro #MP3

Entrevista a @RaymondOrta por Carlos Jose Monzon de Alta Densidad @DiscoDuro

Nuestro editor, Raymond Orta es abogado con postgrado en Tecnologías Gerenciales y Derecho Procesal. Se desempeña como Perito en Informática Forense y Grafotécnica desde hace mas de 20 años y es un especialista en seguridad informática. Es también un reconocido generador de ideas e inventos científicos.

Raymond Orta ha desarrollado un método de hacer passwords seguros en corto tiempo, fáciles de memorizar con diversas técnicas de relación visual y mental.


El método Orta de elaboración de passwords fue expuesto por primera vez en el 2do Foro de Ciudades Digitales llevado a cabo en Caracas del 09 al 12 de Julio de 2012. www.ciudadesdigitales.org.ve

Nuestro agradecimiento a Carlos José Monzón por autorizar la difusión de esta entrevista realizada el 13 de Julio de 2012

Parte 1

Parte 2

Parte 3

Parte 4

Recomentamos complementar esta información viendo el video

LOS 10 MANDAMIENTOS DEL PASSWORD EN YOUTUBE

http://www.youtube.com/watch?v=s_rjbKJwsVY

 

No sea la próxima víctima

eluniversal.com

La falta de seguridad personal es un tema que preocupa a la mayoría de la población. Ser precavido es fundamental para evitar ser víctima del hampa común

La inseguridad es una de las demandas principales y recurrentes de los venezolanos. Si bien el Estado está en la obligación de garantizar y proporcionar la seguridad de sus habitantes, los ciudadanos deben asumir e incorporar a su rutina diaria una serie de conductas y consideraciones que los ayuden a evitar ser el próxima blanco de ladrones y estafadores.

Franklin Chaparro Rojas, especialista en seguridad afirma que lo más importante para evitar verse involucrado en un hecho delictivo es “no darle oportunidad a la delincuencia, y aprender a no ser víctima. Las personas deben aprender a autodefenderse, a autoprotegerse”.

Secuestros express, robos a mano armada y delincuencia motorizada son algunos de los delitos más comunes en las calles del país.
Estos pueden evitarse o disminuir al mínimo las probabilidades de que ocurran “manteniendo una actitud alerta ante lo que nos rodea. Ningún ataque se produce a distancia”, sugiere el especialista.

“Ser prudente, desconfiado y modesto; y utilizar todos los medios y mecanismos de protección a su disposición, es primordial para evitar ser candidato del hampa”, agrega.

“La inseguridad es un fenómeno social internacional. En el caso de Venezuela es producto de un deterioro que suma más de veinte años, porque la impunidad a estimulado la delincuencia; por lo que los ciudadanos comunes deben tomar en cuenta esta situación y sembrar una cultura de seguridad”, expresa Chaparro.

Blinde su vida virtual
El robo de información personal en línea, la clonación de tarjetas de crédito y el hackeo de cuentas de redes sociales se ha hecho común y consecuente estos últimos años en Venezuela. En el caso de la clonación de tarjetas, expresa Raymond Orta, especialista en seguridad informática, “este ha disminuido con la tecnología Chip”.
Continue reading “No sea la próxima víctima”

“Hampa usa el Facebook para planear secuestros”

panorama.com.ve, 04/10/2009 Entrevista a Raymond Orta

Más de 500 zulianas exponen sus perfiles y proporcionan información a bandas delictivas

Alerta la Disip, que capturó a una banda que extorsionaba una mujer con datos obtenidos de su cuenta. Emplean este medio para espiar. Marian Chávez Castro

En un arma de doble filo se han convertido las redes sociales, como Facebook, Twitter y My Space que, más allá de ser utilizadas como medios para el entretenimiento y diversión, son empleadas por los delincuentes para acceder a información de primera mano de sus posibles víctimas para secuestro o extorsión, informan las autoridades policiales.

Reportes de cuerpos de inteligencia en el Zulia determinaron que las bandas delictivas recurren con frecuencia a la tecnología para conocer al detalle a sus “carnadas”.
Continue reading ““Hampa usa el Facebook para planear secuestros””

Expertos recomiendan aumentar la seguridad en correos electrónicos

120808_blackberrypreview

Timoteo Zambrano, Mónica Fernández y Milos Alcalay son tres de las miles de personas que alguna vez han sido víctimas de delitos electrónicos 03 de diciembre 2008 | 09:51 am – Ermelinda Maglione

Expertos recomiendan aumentar la seguridad en correos electrónicos
Timoteo Zambrano, Mónica Fernández y Milos Alcalay son tres de las miles de personas que alguna vez han sido víctimas de delitos electrónicos

Bogotá retiró al cónsul colombiano Carlos Galvis Fajardo luego de que el programa Los Papeles de Mandinga, que se transmite por Venezolana de Televisión, divulgara el sábado pasado una conversación telefónica presuntamente grabada por servicios de inteligencia venezolanos. En ella, el diplomático hablaba con un consejero presidencial del presidente de Colombia, Álvaro Uribe, sobre la victoria de algunos opositores a Chávez en los comicios del 23 de noviembre.

En Venezuela es ilegal grabar cualquier tipo de conversación ya que atenta contra la privacidad de las personas. Así lo establece la Ley de Delitos Informáticos, que dice también que está prohibido divulgar datos o información obtenida a través de sistemas que usen tecnologías de información o de una comunicación.

La Constitución Nacional también estipula, en su artículo 48, la inviolabilidad de las comunicaciones privadas en todas sus formas. Gracias a las nuevas tecnologías de información éstas pueden ser a través del correo electrónico, chats y otros tipos de servicios de internet. Es legal instalar en las computadoras cualquier tipo de programas que garanticen la privacidad.

Sin embargo, Raymond Orta Martínez, abogado y especialista en derecho procesal y pruebas científicas, asegura que hay maneras sencillas de protegerse contra hackers de correos electrónicos o chats.

“La navegación web y chats así como otros servicios de internet, se realizan con protocolos conocidos que son señales abiertas, no codificadas, y es por ello que toda comunicación convencional de internet puede ser objeto de espionaje”, dice Orta en su texto “Cómo evitar el espionaje en su correo electrónico”.

Una alternativa para navegar seguro es utilizando el protocolo SSL (Secure Socket Layer) que se trata de una lenguaje de comunicación informático que proporciona privacidad de la información mediante el uso de la criptografía. De todas las empresas que ofrecen servicios de correo gratuito sólo una permite el uso del protocolo SSL sin costo adicional, que es gmail, asegura Orta en su trabajo.

Cuando el navegador de internet está conectado con protocolos convencionales no seguros, el prefijo de las páginas será “http”. Cuando la conexión es segura, leerá “https”. Generalmente los sitios web bancarios utilizan la opción segura. En gmail es posible activarla entrando en “configuración” y eligiendo el botón “usar siempre https” donde indica “conexión del navegador”.

Se puede identificar también si se está navegando de forma segura o no si aparece un candado en una o varias partes del explorador de internet. Generalmente, si se utiliza Outlook o cualquier programa administrador de correos, las configuraciones de seguridad no tendrán efecto.

En cuanto a los teléfonos Blackberry que pueden navegar y manejar correos, sólo los envíos vía PIN o los chats de la mensajería instantánea son seguros.

Timoteo Zambrano, director político de Un Nuevo Tiempo, fue víctima de un hacker cuando hace dos años descubrieron la clave de su correo electrónico y la divulgaron a través de los medios masivos. Luego, la semana antes de las elecciones de diciembre de 2007, publicaron el contenido de su cuenta de correo en el programa Los Papeles de Mandinga.

Mónica Fernández, directora del Foro Penal Venezolano, Milos Alcalay, ex embajador ante la ONU, y dos personas más, también sufrieron las consecuencias de ese delito electrónico. Zambrano sugiere cambiar la clave del correo electrónico al menos una vez a la semana y que la misma esté compuesta por letras y números.

http://www.el-nacional.com/www/site/p_contenido.php?q=nodo/57600/Tecnología/Expertos%20recomiendan%20aumentar%20la%20seguridad%20en%20correos%20electrónicos

ESPIONAJE EN LA WEB 2.0 / Entrevista a Raymond Orta

El anonimato que permite Internet es explotado por ciberdelincuentes para cometer fechorías que van desde usurpación de identidad y robo de información hasta agresiones sexuales (Archivo)

DANIEL RICARDO HERNÁNDEZ
EL UNIVERSAL

Internet lo aguanta todo. Y si brinda la oportunidad de establecer comunicación sin tener que dar la cara, aguanta aun más. Pero, si se trata de la Web 2.0, plataforma idónea para entrar en contacto con mucha gente, compartir fotos, experiencias y muchas cosas más, las posibilidades se pierden de vista y la convierten en una herramienta vulnerable, ideal para delinquir de distintas maneras.

Facebook, Hi5, MySpace, emblemas rimbombantes de la Web 2.0, no escapan a los tentáculos de mentes inescrupulosas que, bien por diversión o por motivaciones más perversas, capitalizan el boom que causan estas redes y la ciega confianza que suelen depositar en ellas las personas que se suman día a día a la legión de usuarios.

En Facebook, particularmente, son muchos los que caen por inocentes y son presa fácil de espías y usurpadores de identidad. La creación de perfiles falsos, con fotos e incluso datos personales exactos de celebridades, políticos y artistas, es una de las fechorías más comunes. Raymond Orta Martínez, abogado especialista en Derecho procesal, pruebas científicas y seguridad informática, explica que a la luz del marco jurídico venezolano esta práctica es un delito y, como tal, tiene su castigo: “El artículo 12 de la Ley contra Delitos Informáticos establece como delito la falsificación electrónica, que consiste en la creación, modificación, alteración o manipulación de documentos electrónicos en cualquier sistema informático. La condena por estos delitos es prisión de 3 a 6 años con multas adicionales de 300 a 600 unidades tributarias”.

foto-4110140ESPIONAJE EN LA WEB 2.0

29/06/2008
ESPIONAJE EN LA WEB 2.0

El anonimato que permite Internet es explotado por ciberdelincuentes para cometer fechorías que van desde usurpación de identidad y robo de información hasta agresiones sexuales (Archivo)

DANIEL RICARDO HERNÁNDEZ
EL UNIVERSAL

Internet lo aguanta todo. Y si brinda la oportunidad de establecer comunicación sin tener que dar la cara, aguanta aun más. Pero, si se trata de la Web 2.0, plataforma idónea para entrar en contacto con mucha gente, compartir fotos, experiencias y muchas cosas más, las posibilidades se pierden de vista y la convierten en una herramienta vulnerable, ideal para delinquir de distintas maneras.

Facebook, Hi5, MySpace, emblemas rimbombantes de la Web 2.0, no escapan a los tentáculos de mentes inescrupulosas que, bien por diversión o por motivaciones más perversas, capitalizan el boom que causan estas redes y la ciega confianza que suelen depositar en ellas las personas que se suman día a día a la legión de usuarios.

En Facebook, particularmente, son muchos los que caen por inocentes y son presa fácil de espías y usurpadores de identidad. La creación de perfiles falsos, con fotos e incluso datos personales exactos de celebridades, políticos y artistas, es una de las fechorías más comunes. Raymond Orta Martínez, abogado especialista en Derecho procesal, pruebas científicas y seguridad informática, explica que a la luz del marco jurídico venezolano esta práctica es un delito y, como tal, tiene su castigo: “El artículo 12 de la Ley contra Delitos Informáticos establece como delito la falsificación electrónica, que consiste en la creación, modificación, alteración o manipulación de documentos electrónicos en cualquier sistema informático. La condena por estos delitos es prisión de 3 a 6 años con multas adicionales de 300 a 600 unidades tributarias”.

Pero la ley tiene mayor alcance. Quien ose hacerse pasar, por ejemplo, por Alicia Machado en Internet, también puede ser calificado y castigado como un espía: “Aquellos que creen perfiles falsos y obtengan información de otros contactos -explica Orta Martínez- podrían incurrir en el delito de espionaje informático, previsto en el artículo 11 de la misma ley, por cuanto al tener el falsificador del perfil acceso a su información personal estaría obteniendo sin su consentimiento datos íntimos y personales, siempre y cuando el nivel de privacidad del usuario esté configurado para ser visto sólo para contactos declarados como amigos en el sistema”. Pero sea por diversión o por obtener algún tipo de beneficio económico, este tipo de delitos cibernéticos no siempre quedan impunes. De acuerdo con el jurista “es posible rastrear hasta dar con el paradero del usurpador, porque la tecnología de Internet y los protocolos de comunicación están diseñados para ser rastreados”.

Mujeres vulnerables
Según investigaciones llevadas a cabo por Orta Martínez, una de las características que ponen en riesgo la seguridad del usuario de una red social es el indicar si está buscando pareja u otro tipo de relación interpersonal: “El anonimato de la Internet hace muy peligroso este tipo de aventura. Las estadísticas indican que 1 de cada 5 encuentros realizados a través dela red termina con agresiones psicológicas o físicas a mujeres, incluyendo delitos sexuales”.

Seguridad real en el mundo virtual
– En caso de ser víctima de usurpación de identidad e incluso de uso y/o alteración de fotos personales sin autorización, el afectado debe contactar inmediatamente a los administradores y responsables del servicio web o red social para denunciar la irregularidad.

– Las denuncias por esos delitos informáticos pueden ser interpuestas en la Fiscalía o en la División contra Delitos Informáticos del Cuerpo de Investigaciones Científicas, Penales y Criminalísticas (Cicpc).

– Mayor información y tips para proteger la integridad y la identidad en redes sociales o en toda Internet se puede consultar a través del sitio en Internet www.informaticaforense.com.

Fuente: http://noticias.eluniversal.com/2008/06/29/qhay_art_espionaje-en-la-web_918930.shtml

delitos informaticos, delitos, internet, ley, raymond orta, martínez, contactos, seguridad, web, rastrear, electrónica, falsificador, perfil, perfiles, falsos, creación, usurpador, facebook

Blindados contra el robo

Hay métodos que inutilizan al teléfono y bloquean el acceso a su data al ser robado

El uso de contraseñas evita que la información contenida en los equipos robados sea utilizada para extorsión. Además es posible inhabilitar el teléfono y así evitar que el ladrón lo venda (Archivo)

copy-of-3047031697_c219e43c9cboris-veldhuijzen-van-zanten-flkrBlindados contra el robo

eluniversal.com

Entrevista a Raymond Orta: Blindados contra el robo / Delito cibernético

Hay métodos que inutilizan al teléfono y bloquean el acceso a su data al ser robado

El uso de contraseñas evita que la información contenida en los equipos robados sea utilizada para extorsión. Además es posible inhabilitar el teléfono y así evitar que el ladrón lo venda (Archivo)

Los teléfonos celulares, no importa el modelo ni lo sofisticado o sencillo que sean, son de los botines más preciados por el hampa en Venezuela. Más aún ahora cuando hay una lluvia de promociones que han facilitado la abundancia en la calle de equipos más modernos y vistosos, que le abren el apetito a cualquier malhechor.

Un fenómeno relativamente reciente es la búsqueda muy particular y frenética de una de las vedettes de las telecomunicaciones, el Blackberry. Es común escuchar el hurto y robo del modelo estrella del fabricante canadiense Research in Motion, a plena luz del día y en sitios muy concurridos.

Pero puede ser cualquier equipo la víctima de un delito, no importa si cuesta 30 ó 6.000 bolívares fuertes: los infortunados usuarios, no solamente se quedan sin su preciado teléfono, sino que además pierden data, archivos e información personal valiosa que puede ser totalmente irrecuperable.

Pero más allá del mal momento y de la impotencia que causa el ser una estadística más de los niveles de seguridad del país, hay estrategias clave para proteger la data contenida en el celular e, incluso, para inutilizar al equipo para que no pueda ser aprovechado por nadie, ni siquiera cambiándole el chip.

De acuerdo con Raymond Orta, abogado experto grafotécnico e informática forense, “la primera recomendación es tener el celular con bloqueo automático, principalmente por el robo de llamadas, que es posible por ejemplo en oficinas, que es donde uno suele dejar al teléfono solo. El segundo tema es por robo de información personal, ya que ahora los teléfonos son agendas, contienen archivos, fotos, videos, etc.”. Destaca que “si lo tienes bloqueado con su clave y te lo roban, no pueden descargar la información que está en el equipo. Eso es vital porque la información personal en los celulares ha sido utilizada en casos de extorsión y secuestro. La clave no debe ser de un solo dígito, debe ser de por lo menos cuatro números que sea fácil de recordar para el día a día, pero que también sea difícil de descifrar por un tercero”.

Código Candado

Orta comenta existe una suerte de candado electrónico que impide la función de comunicaciones del teléfono víctima de robo: “Es un serial , el código IMEI (siglas en inglés de Identidad Internacional de Equipo Móvil), que debemos anotar y guardar pues será útil en caso de robo. Si vas a hacer una denuncia de robo, debes notificar ese código a la compañía de teléfono para que lo deje totalmente inutilizado”. Sin embargo, el abogado aclara que hay quienes “han podido hackear y burlar el sistema del código IMEI, y logran que algunos teléfonos reportados como robados funcionen. Tal vez si hubiera una alianza entre todas las operadoras, pudiera ser bloqueado el celular y no le serviría de nada al delincuente”. Pero subraya que muchos de los robos los cometen e”para extraer repuestos”. Para saber el código IMEI de cada celular sólo hay que marcar *#06# y el número aparece automáticamente en pantalla.

Delito cibernético
– El robo o hurto físico de celulares no es el único delito que implica a estos equipos de telecomunicaciones.

– Existe el “smishing”, que según el abogado Raymond Orta “es igual a phishing pero vía mensajes de texto. Los ciberdelincuentes envían mensajes masivos a escala mundial, simulando que vienen de empresas y te piden datos personales fundamentales”. Es un delito que ha cobrado fuerza en EEUU.

– Ningún usuario debe responder mensaje de texto alguno en donde se pida información personal.

– Más información sobre seguridad electrónica en el site www.informaticaforense.com

Texto: Daniel Ricardo Hernández

Fecha: 03 de mayo, 2009

Fecha de lectura: 03 de mayo, 2009

Fuente: EL UNIVERSAL
Enlace: http://calidaddevida.eluniversal.com/2009/05/03/ten_apo_delito-cibernetico_1372963.shtml

Los 10 Mandamientos del Password

Por Raymond Orta (*)
(*) Abogado, Especialista en Tecnologías Gerenciales, Experto en Informática Forense, Delitos Informáticos y Seguridad Informática.
“Si quieres que tu secreto sea guardado, guárdalo tu mismo” Seneca, Filosofo latino (4 a.C.- 65 d.C.)

Índice:
• Introducción
• Conozca la Fuerza Bruta de la Era Digital
• La Fortaleza de su Password
• La Real Academia Contra la Seguridad Informática
• Los Diez Mandamientos del Password
• Recomendaciones para Crear Passwords
• Señales Wi-Fi, Sin Claves o Con Claves fáciles y sus consecuencias legales.
• Legalidad del uso de programas forenses de Fuerza bruta digital
• Auditoria de Passwords en las Empresas.
• Conclusiones

Introducción:
Todos los sistemas operativos y aplicaciones informáticas ofrecen la posibilidad de proteger los su inicio, los archivos y todo tipo de documentos electrónicos con passwords o claves secretas. Quienes tienen un vehículo, le colocan sistemas de seguridad anti robo; ¿por qué no asegurar una de las cosas más valiosas como lo es nuestra información digital? .
La facilidad de descubrir un password es directamente proporcional a la uniformidad de los caracteres utilizados, la lógica del mismo y su relación con los idiomas. Raymond Orta

Muchos usuarios de informática utilizan passwords o palabras claves que son tan fáciles de adivinar, que ofrecen la mínima seguridad. La fecha de nacimiento es utilizada por el 10 % de los usuarios de Internet como su contraseña de acceso o como parte de ellas para acceder a sistemas protegidos. Los nombres y apellidos completos, son utilizados por otro 15 % de los usuarios de sistemas de información como password. Las claves más usadas en la red según una encuesta son: “password”, “123456”, “qwerty” (Las primeras letras del teclado al que le deben su nombre. , “abc123”, “password1” y el nombre del usuario entre otros o bien sus equivalentes en castellano. Steven Mitnik declaró que podía conseguir el password de cualquier persona en 15 minutos de conversación utilizando técnicas de Ingeniería social. Se estima que el 50% de los passwords a nivel mundial son débiles.
Conozca la Fuerza Bruta de la Era Digital
Si bien, podemos temer a los hackers que con mentes no tan brillantes utilizaran primero los passwords estadísticamente más usados para encontrar nuestras claves, otra preocupación es que existen otras formas tecnológicas de encontrar romper con la seguridad de nuestros secretos industriales, comerciales y personales. Desde hace años, varias empresas diseñan programas especialmente para descifrar las claves en todo tipo de archivos como los de Office, Outlook, PDF, Access, Oracle, VBA, sistemas operativos Windows UNIX y archivos cifrados via PGP. El método que se utiliza es el de ir probando todas las combinaciones de letras y números uno a uno hasta dar con su claves. La Mayoría de los sitios web de correo gratuito están preparados contra los ataques de fuerza bruta inhabilitando las cuentas temporalmente después de varios intentos fallidos.
La Fortaleza de su password
Los password basados solo en los números decimales son los más fáciles de descubrir. Los de dos cifras tienen solo 100 combinaciones posibles (0-99) y con los procesadores actuales se descubren instantáneamente; un password de de cinco cifras tiene 10000 combinaciones posibles y es revelado en 10 segundos. Un password de 9 cifras numéricas, tendrá 100 Millardos de combinaciones y solo tarda descubrirse en 28 horas con los procesadores actuales. Las nuevas tecnologías de aceleración de las tarjetas de video está siendo utilizada para resolver los acertijos de los password utilizando una combinación del CPU con los GPU que además pudiéndose instalar en forma múltiple en la actualidad (hasta 4) se pueden obtener una velocidad de fuerza bruta de 1 billón de passwords por segundo.

La Real Academia Contra la Seguridad Informática
Una de las técnicas más utilizadas para acelerar el descifrado de los passwords es la utilización de diccionarios. Los programas para hackear claves pueden utilizar primero las palabras de una lista suministrada por el usuario para ahorrar tiempo; un diccionario convencional puede tener hasta 120.000 palabras. Pero de internet se pueden bajar diccionarios para programas de este tipo y además se distribuyen gratuitamente programas para crear diccionarios de la fuerza bruta digital con nombres, apellidos y fechas de nacimiento vigentes por promedios de vida mundial. Es importante señalar que los hackers pueden contar con diccionarios en todos los idiomas.
Los Diez Mandamientos del Password
1. Jamás des a conocer o prestar tu password. (En Caso de uso autorizado por terceros genere uno nuevo inmediatamente después).
2. Tenga un password para cada sistema (Si no, una vez descubierto esta será una llave maestra).
3. No Utilice el mismo nombre del “usuario” como “password”
4. Jamás utilice solo números y menos en secuencia lógica progresiva o regresiva.
5. Use un password con mezcla de letras mayúsculas y minúsculas, números y signos de puntuación (no utilice caracteres especiales como los acentuados).
6. Use passwords largos, con más de diez, caracteres combinados conforme a la regla anterior.
7. Utilice programas de especiales para guardar passwords (Muchos teléfonos celulares ya los tiene y vienen cifrados). No escriba sus passwords en soporte alguno.
8. No habilite el resguardo de claves de navegadores de internet.
9. Cambie Sus Password mínimo una vez al año.

Recomendaciones para Crear Passwords
1. No sea flojo, dedique tiempo a la formulación de sus passwords, y sus a reglas nemotécnicas para recordarlos o esconderlos digitalmente.
2. Cree su propio sistema de passwords.
3. Utilice Frases celebres, nombre de películas, escribiéndolas tipo titulo, es decir, todas las primeras letras de las frases en mayúsculas.
4. Suprima las vocales de nombres, apellidos, personajes con nombres ficticios, como por ejemplo “El Vengador Errante” daría una secuencia de caracteres “lVngdrrrnt”.
5. La combinación de letras con números puede estar relacionada con números que conozca, invertidos o con transposición de números cambiando los finales o centrales.
6. Ud. Puede sustituir algunas letras por números que se les parezcan. La F con el 7, la E por un 3, dando como resultado, el que si una palabra que forma parte del password es “feísimo” su transformación seria “73isimo”.
7. Para recordar nombres combinados cree imágenes absurdas que son mas fáciles de recordar.
8. Utilice varias técnicas de las anteriores combinadas.

Señales Wi-Fi, Sin Claves o Con Claves fáciles y sus consecuencias legales.
Wardriving y rompedores de claves: El wardriving se denomina a la actividad de pasear los toda una zona de una ciudad buscando conexión inalámbricas sin cifrado para utilizarlas libramente y se corre el riesgo de que se cometan delitos a través de nuestra conexión a internet registrando las victimas la dirección IP de la conexión inalámbrica abierta. 20% de las conexiones Wi-Fi se encuentran sin cifrado, pero adicionalmente existen programas rompedores de claves para WI-FI que pueden tardar poco tiempo en encontrar la puerta de entrada a nuestra conexión y si misma es corta o fácil de descubrir por via de ensayo y error de combinaciones. Consecuencias legales. Tal vez no sean culpados penalmente pero dejar una conexión inalámbrica libre a todo público pudiera generar responsabilidades civiles. Cuando se presta un vehículo a un tercero y este causa daños penalmente es responsable el conductor (el robador de señal) pero civilmente lo es el dueño del vehículo (dueño de la señal)
Legalidad del uso de programas forenses de Fuerza bruta digital
Hace muchos años se planteó si este tipo de programas era ilegal y después de largos juicios se concluyó: 1) Que los usuarios tenían derecho a contar con software para encontrar las claves que había olvidado; 2) Que los programadores y empresas que desarrollaban este tipo de software no estaban cometiendo delitos; 3) Que para utilizarlos en archivos creados por terceros era necesario una autorización judicial.
Auditoria de Passwords en las Empresas
Uno de los servicios que está en franco crecimiento es el de asesoría y auditoria de passwords en las empresas para evaluar su riesgo, tanto en servidores, estaciones de trabajo así como en conexiones de internet e inalámbricas.

Conclusiones: El Password es la llave de muchas puertas digitales a la seguridad personal y empresarial, elcuidado en su elección y preservación pueden ser fundamentales en esta nueva era digital, utilicemos nuestro subutilizado cerebro para producir passwords inimaginables por nuestros vecinos, amigos y enemigos. Protejamos nuestros equipos con conciencia por cuanto, vale perder un poco de tiempo ahora y no llorar luego por la pérdida de control de su información.

Derechos Reservados. Prohibida su Publicación parcial sin citar este enlace activo.