La revolución de 5G en sanidad, «un paso gigantesco para el progreso de la humanidad»

Mercedes Núñez    10 mayo, 2022

Hace unos días se daba a conocer la primera cirugía asistida de cáncer de mama en tiempo real entre España y Portugal con 5G y realidad aumentada. Ha empezado, sin duda, la revolución de 5G en sanidad.

Los 900 km de distancia que separan Zaragoza de Lisboa no fueron impedimento para la colaboración entre los dos reputados cirujanos responsables de la intervención. El hasta ahora “milagro tecnológico” tuvo lugar en el marco del 10º Congreso de AECIMA (Asociación Española de Cirujanos de la Mama) y los asistentes pudieron verlo de forma inmersiva, así como todos los parámetros propios de la operación.

Los «poderes» de 5G

 “Gracias a dos características clave de 5G, unidas a las enormes posibilidades de la realidad virtual, estamos avanzando en la creación de servicios que optimizarán la labor de los profesionales médicos». Así lo explica Ana María Vega, experta en Innovación y pilotos 5G de Telefónica España. Se refiere a la baja latencia de 5G, que permite la trasmisión sin retardos, y la posibilidad de gestionar grandes flujos de video a alta velocidad.

Una operación sincronizada Málaga-Tokio

Pero no es el primer hito de 5G y realidad aumentada en salud en el que participa Telefónica Empresas. Recordemos que en octubre de 2019 ya contábamos en este blog una operación sincronizada Málaga-Tokio. En concreto, siete cirugías endoscópicas digestivas.

En aquella ocasión, el Hospital Quirónsalud Málaga y Telefónica Empresas y presentaron el primer sistema de asistencia experta a las intervenciones médicas, gracias a estas tecnologías.

Sergio Fernández, responsable de Desarrollo de negocio eHealth en Telefónica España está convencido de que la mayor velocidad y baja latencia de 5G aportará muchas ventajas en salud. Algunas ya se están poniendo en práctica y otras aún no somos capaces de imaginarlas.

Telecirugía, docencia, teleoftalmología o rehabilitación cognitiva

Aparte de la telecirugía, con ejemplos como los que veíamos, destaca las posibilidades que brinda 5G, junto a la realidad virtual y3D. para la docencia del profesional sanitario.

Apunta, asimismo, que será clave para la sensorización y la comunicación entre equipos de electromedicina.

También en teleoftalmología. De hecho, Telefónica Empresas está trabajando con el Hospital de Vigo en un prototipo de exploración y diagnóstico oftalmológico remoto en tiempo real. Consiste en la captura de imágenes en alta resolución y filtrado de las mismas, con inteligencia artificial.

Por otro lado, está arrancando un proyecto con el Hospital de la Princesa, que usa 5G en combinación con realidad virtual para terapias de rehabilitación cognitiva.

La revolución de 5G en sanidad: un salto cualitativo

Sobre la revolución de 5G en sanidad, hablaba Eduard Martín Lineros, CIO y director del Programa 5G de Mobile World Capital Barcelona en una entrevista reciente.

Destacaba que supondrá un salto cualitativo a la hora de prestar asistencia al ciudadano sin necesidad de desplazarse o en el acompañamiento a personas mayores a distancia. En la telemonitorización hará posible una comunicación más continua, segura y de bajo consumo para una nueva generación de wearables. Esto permitirá un seguimiento más eficaz de personas con condiciones médicas en riesgo de descompensación.  Por esto y todo lo anterior, Eduard considera que, junto a la movilidad y la industria, es en el campo de la salud donde va a suponer una mayor disrupción 5G.

¿Equipos de desfibrilación a bordo de drones 5G?

5G es, por tanto, una realidad prometedora en este ámbito y aun queda mucho por llegar… Así lo contaba mi compañero Julio Jesús. Puestos a imaginar aplicaciones, él apuntaba el despliegue de equipos de desfibrilación a bordo de drones 5G para llegar a ubicaciones remotas en tiempo récord en caso necesario.

Seguro que es cuestión de tiempo. La ambulancia 5G ya está aquí.

Digital Medical Services, una de las cinco startups seleccionadas en el reto V2X de Andalucía Open Future, busca dar respuesta con ella a los cuatro grandes retos de los servicios de emergencia médica en la actualidad. Estos son: geolocalización de ambulancias y pacientes, sistema de optimización de rutas, optimización del servicio de urgencias y constantes vitales del paciente. La startup, a través de una solución EV2X, conecta a todas las partes: pacientes, ambulancias, centro coordinador y hospital.

Igualmente hay empresas como RedZink, que, gracias a 5G, llevan a un nuevo nivel las posibilidades de colaborar en telemedicina, a través de vídeo en la asistencia a emergencias.

En el último Congreso de la Asociación de Salud Digital, David García, de Bayer, explicaba que, con 5G, en el futuro el hospital estará en el móvil.

Posibilidades exponenciales

Como contaba recientemente Juan Cambeiro, experto en Innovación en Telefónica España en este mismo blog “estamos en una fase exponencial de 5G, en la que surgen casos de uso y aplicaciones en el mundo de la empresa y la sociedad que no estaban previstos. Nos sorprenden cada semana. Es una fase creativa que nos obliga a reinventarnos constantemente, pero que promete mejoras más allá de lo imaginable”.

Sin duda, la revolución de 5G en sanidad tiene especial relevancia. Porque 5G no es un fin en sí mismo sino, como dijo Pedro J. Ramírez, en el “I Observatorio 5G” de El Español e Invertia, «un paso gigantesco para el progreso de la humanidad».

Imagen: Sala de prensa Telefónica

Dark Markets, el concepto de mercado negro en la Internet actual

Marta Mª Padilla Foubelo    9 mayo, 2022

¿Que son los Dark Markets o Black Markets? Pues un hecho tan simple como traducirlo al español, ya nos dará una gran idea de qué será. Black Market se traduce en Mercado Negro. Este concepto viene sonando ya en los informativos desde hace muchísimo tiempo como consecuencia de las ventas clandestinas. Los mercados de la droga y fármacos o de armas de fuego, por ejemplo.

Así como la venta ilegal de animales, tarjetas de crédito, pornografía infantil, documentación, permisos, licencias, dinero falso, contratación de operaciones de estética, la contratación de sicarios, y un largo etcétera. Casi cualquier cosa que se pueda llegar a pensar ahí estará, en los mercados negros.

En la era de la digitalización, y esto viene ocurriendo ya desde hace unos cuantos años, todo se moderniza, hasta el mercado negro. Mientras que antiguamente era necesario conocer a alguien, que ese alguien conociera a otro que tuviera un contacto en alguna banda que operase en el mercado negro, vamos el boca a boca de toda la vida, ahora ya no es necesario.

Ahora, únicamente, se necesita un ordenador, conexión a internet y, en el peor de los casos, un “amigo informático” que te explique cómo conectarte a la red del mercado negro online. Aunque, disculpad la broma, nuestros nietos, hijos y sobrinos van a saber casi más que cualquiera de nuestros amigos. Pero el caso es: un ordenador, conexión a internet y alguien que te ayude y ya tienes vía libre para buscar, pagar y conseguir lo que realmente quieras.

Qué son la Deep Web y la Dark Web

Con el objetivo de dar valor a la parte en la que interviene el “amigo informático” y para que se entienda el funcionamiento, queremos explicar de manera muy resumida este proceso. Cierto es que no es tan fácil como parece el acceso a algunos de los mercados negros, porque sí, hay muchos sitios, muchas bandas y mucha demanda, de ahí tanta oferta.

Para poder entender mínimamente cómo se puede acceder y cual es esa parte en la que el “amigo que sabe de ordenadores” te va a ayudar, hay que saber en qué parte de internet se encontrarían esos mercados negros. Esa parte es la conocida como Deep Web y Dark Web.

Aunque los términos Deep Web y Dark Web tienen “mala fama” no todo en ellas es malo o ilegal

Por hacer una pequeña aclaración, el término de Deep Web fue acuñado en 2001 por Michael K. Bergman. Así como el de Dark Web no tiene un claro origen, únicamente se puede decir que las primeras veces que se utilizó este término se remontan al año 2009.

Ambas tienen la “mala fama” de ser sitios donde únicamente se pueden cometer actos ilegales. Sin embargo, nada más lejos de la realidad. ¿Qué pasaría si os dijéramos que absolutamente todos nosotros, hasta mi madre, utilizamos la Deep Web a diario?

A continuación, se ofrece una aproximación de lo que uno se puede llegar a encontrar en las tres partes diferenciadas de la web:

  • Surface web: son las que sí están indexadas en los principales buscadores de internet. Todas las páginas que aparecen tras una simple búsqueda de Google, Bing, Yahoo, etc. Todas, comprenden parte de la Surface web. A estas páginas se puede acceder desde cualquier navegador convencional como Google Chrome, Firefox, Opera, Safari, etc.
  • Deep Web: son las que no están indexadas en los principales motores de búsqueda. Por ejemplo, nuestra área privada en el banco, en Amazon, en nuestra tienda de ropa favorita, la bandeja de entrada de nuestro correo, incluso servicios de mensajería como puede ser WhatsApp.
    Eso es Deep Web. Cierto es que hay otros servicios y Markets no indexados en los principales motores de búsqueda, y que sí formarían parte de la Deep Web, que llevan a cabo actividades ilícitas. Como veis, no todo en la Deep Web es malo o ilegal. A estas páginas también se puede acceder desde cualquier navegador convencional.
  • Dark Web: Estas páginas tampoco están indexadas en los principales motores de búsqueda. Sin embargo, sí que suelen estar asociadas a actividades ilícitas, aunque no siempre. De igual modo, yo misma, podría montarme un foro en Dark Web y proveer acceso única y exclusivamente a las personas que yo considere oportunas.
    Únicamente podrían acceder las personas a las que yo comparta mi dirección URL y el foro puede tratar, únicamente, de temas del horóscopo, por poner un ejemplo. Y no estaría asociado a ninguna actividad ilegal.
    Cierto es que nadie quiere ser “invisible” y no aprovecharse de ello y sacarle ventajas. Por ejemplo, un tema bastante candente es el hecho de que el Islamic State of Iraq and Syria (ISIS) utiliza la Dark Web para comunicarse internamente. Este seguimiento se hace casi imposible por estar tan protegidos por los protocolos utilizados en este tipo de navegación.

Cómo acceder a los Dark Markets

Como ya se ha comentado, las páginas de la Dark web serán accesibles, únicamente, a través de protocolos o servicios que anonimizan a sus usuarios, como Tor (The Onion Router), Freenet, I2P, Zeronet y otro largo etcétera. Aquí se menciona Tor porque es el más utilizado y conocido por la mayoría.

Este tipo de navegadores ofrecen capas de seguridad para poder evitar o entorpecer al máximo, ser identificados durante la navegación, es decir, la gorra con las gafas de los famosos cuando salen por el centro de una gran ciudad, y las páginas, en vez de tener acabar en “.com”, “.es”, “.org”, etc. Acaban en “.onion”.  

Una vez se tiene acceso a estos navegadores, se necesita saber qué pagina es la del Market al que nos queremos conectar. A veces, esas páginas se pueden encontrar en buscadores como podría ser DuckDuckGo, incluso, en el propio buscador de Google se pueden encontrar artículos en los que se comparten las últimas direcciones de los principales Markets de la Dark Web.

Sin embargo, en otras ocasiones, es necesario tener esa página a través de contactos y, aquí sí que volveríamos al boca a boca, pero por Telegram, Discord, o cualquier otro tipo de plataformas de mensajería.

Una vez se haya conseguido esa dirección URL concreta, únicamente se tiene que entrar a través del navegador que sea, dependiendo de la web, y, lo que comentábamos antes, buscar lo que a uno le interese en ese mercado concreto.

Vigilancia policial en los Dark Markets ilegales

Estos Markets, y ya hablando del concepto central del artículo, ofrecen de todo. Si bien es cierto que unos están especializados en drogas, otros en armas, otros en documentos, etc. siempre va a haber un Market, como muy poco, que pueda satisfacer las necesidades de quien lo busca. Cabe destacar que esta práctica es tan ilegal y punible como cuando se lleva a cabo a la antigua usanza.

Hay que mencionar que la labor policial se complica en este sentido mucho ya que es muy difícil y, en ocasiones, imposible atribuir un acto delictivo dentro de este tipo de navegación.

De este modo, al igual que antiguamente había policías infiltrados en las bandas para poder identificar todos los detalles de las actividades ilegales, ahora ocurre lo mismo, pero en las bandas que operan en los Markets de esta parte de la web.

Igual que hay policías infiltrados en las bandas para identificar actividades ilegales, ocurre lo mismo en las bandas que operan en los Markets de esta parte de la web

De igual modo, una parte de la labor policial centrada en la Dark Web consiste en poner trampas a las personas que quieran consumir cierto tipo de comercio ya que, únicamente con el acceso supone un delito, como sería el claro ejemplo del consumo de pornografía infantil.

Esto consiste en páginas de tipo honeypots. Una honeypot es un señuelo ubicado, en este caso, en internet, para ser objetivo de visita y llamar la atención de las personas a las que se quiere identificar consultando cierto tipo de información. La Dark Web está llena de honeypots para poder rastrear las actividades ilegales.

Uno de los Markets más activos en los últimos meses se ha podido confirmar que no está especializado en la venta de una mercancía ilegal en concreto, sino que es un mercado general que brinda muchos servicios, tal y como se puede ver en el panel de navegación situado a la izquierda de la página web. Lo que sí se puede afirmar es que la oferta mayoritaria se centra en la venta de drogas.

Captura de uno de los Markets más activos en los últimos meses
Uno de los Markets más activos en los últimos meses

Lo mismo ocurre con otro de los Markets con más oferta en los últimos meses. Este Market protagonizó la ciber-redada más grande de la historia en el mercado de la Dark Web cuando el administrador del sitio fue arrestado. Sin embargo, este ha resurgido de sus cenizas como el ave fénix y vuelve a estar entre los Markets más cotizados.

Captura de uno de los Markets con más oferta en los últimos meses.
Este es uno de los Markets con más oferta en los últimos meses.

Tal y como se muestra, ofrece más de lo mismo que el anteriormente expuesto. Sobre todo, se centraría en la venta de drogas.

Profundizando aún más en los mercados negros de la Dark Web, encontramos otro que está empezando fuerte. En este caso ya podemos ver ofertas de armas, venta de artículos robados e, incluso, se puede ver una sección catalogada como: “órganos para trasplantes”.

Tal y como se ha encontrado este tipo de Markets, se pueden encontrar muchos más. Sin embargo, mejor parar en este punto ya que considero que nos podemos hacer una idea lo suficientemente importante de lo que “se cuece” por estos lares.

Por qué los expertos en ciberseguridad deben monitorizar la Dark Web

Actualmente trabajo en uno de los equipos dedicados a la ciberseguridad en Telefónica Tech. Desde el servicio frecuentamos este tipo de sitios web, principalmente, para hacer análisis de la compraventa de accesos a servicios, así como ventas de información privilegiada y vulnerabilidades asociadas a los activos expuestos de nuestros clientes.

La historia de la Dark Web

Por ejemplo, podremos encontrar ventas de usuario y contraseña para accesos a servicios de VPN, accesos a escritorios remotos expuestos a Internet e, incluso, ventas de exploits, es decir, programas que aprovecharían vulnerabilidades de los servicios expuestos y podrían permitir, por ejemplo, la ejecución de código remota en los sistemas de la empresa víctima. Cualquier tipo de venta que pudiera resultar en una intrusión en sistemas de nuestros clientes estaría cubierto con este tipo de búsquedas.

De aquí solo nos quedaría dar algunos consejos obvios:

  • Si se necesita algún fármaco, lo mejor es ir al médico y que los recete.
  • Para obtener alguna licencia, estudiar o hacer los trámites necesarios, debemos utilizar siempre la vía legal.
  • Si estás pensando en una operación de estética especial, mejor nos remitimos a la bella y la bestia: ¡la belleza está en el interior!
  • En caso de querer acabar con alguien, la mejor idea es contar hasta 10 y enfocar el “asunto” de una forma que no sea extrema.

En términos generales, los elementos que encontramos en estas páginas suelen ser ilegales o de uso poco ético, en el mejor caso. Si fuera mercancía legal, los podríamos adquirir en portales legítimos. Debemos pensarnos muy bien cualquier actividad en este tipo de entornos.

Antes de terminar el post, debemos recordar que las compras en este tipo de portales están siempre al margen de la fiscalidad que aplique y que —en casi todos los casos— los elementos o servicios a adquirir será ilegales a nivel internacional siendo el mismo proceso de compra (o de intento de uso posterior) delito penal en la jurisdicción correspondiente.

Edge Computing, una tecnología en la que cada vez invierten más las empresas

Raúl Salgado    9 mayo, 2022

Cuatro de cada diez empresas españolas duplicarán sus inversiones en Edge Computing en 2022. ¿Por qué está pegando tan fuerte esta tecnología, qué ventajas tiene para las organizaciones, cuál es su grado de madurez en España?

Lo primero que debemos responder es qué es el Edge Computing (computación de borde). Se trata de un nuevo paradigma que desplaza el procesamiento de datos de la nube a su lugar de origen, reduciendo la latencia y el consumo energético, lo que resulta especialmente relevante tras el encarecimiento abrupto de la factura que tan en apuros ha puesto a tantos miles de compañías.

En otras palabras, hablamos de una nueva filosofía de computación en la que los datos se procesan en la misma fuente que los genera o tan cerca de ella como sea posible.

Ventajas del Edge Computing

Entre sus principales ventajas, destacan las siguientes:

  1. Escalabilidad: al distribuir el almacenamiento y tratamiento de los datos en muchas localizaciones, el crecimiento de la inversión en infraestructura y capacidades para un mayor volumen de tráfico o mejores algoritmos es mucho más controlado.
  2. Seguridad: al controlar los datos desde su localización de origen y por tanto decidir qué y cuándo enviar a la nube, los riesgos de ciberseguridad por robo o acceso indebido a información son menores.
  3. Eficiencia: las frecuencias de análisis desde el edge permiten trabajar con miles de datos de manera casi instantánea, y los tiempos de análisis y respuesta se sitúan en el orden de milisegundos. Esto permite casos de uso de tiempo casi real, impensables en los entornos cloud más orientados al análisis offline de lotes de información.

Hasta ahora, en la mayoría de los casos, las grandes plataformas de Cloud Computing se encargaban de hacer el trabajo de analizar los datos recolectados por los sensores y dispositivos IoT. Ahora, «gracias al Edge Computing, los datos no tienen por qué ser centralizados en su totalidad, sino que parte pueden procesarse en computadores distribuidos. llamados Nodos Edge, en el mismo lugar donde se generan dichos datos”, advierten desde Barbara IoT.

En este caso, solo el resultado o agregado de dicha computación puede ser centralizado. Así se evita sobrecargar la infraestructura, eliminando latencias innecesarias y mitigando los riesgos de seguridad y soberanía de los datos que tanto importan actualmente a empresas y ciudadanos.

Los sectores eléctrico y de telecomunicaciones, a la cabeza

De todos los sectores de actividad, el eléctrico y las telecomunicaciones son los que más han apostado por esta tecnología. Las inversiones oscilan entre los 100.000 euros y el millón de euros.

De hecho, más de la mitad de los proyectos de más de un millón de euros que se acometieron el año pasado en torno al Edge Computing se realizaron en el sector de la distribución y el transporte de energía eléctrica (Smart Grids).

Más de 250.000 millones de dólares en Egde Computing

El gasto global en la computación de borde podría escalar por encima de los 250.000 millones de dólares. Y según algunas proyecciones, en 2025 el 80% de proyectos de IoT empresarial incorporarán datos procesados por sistemas de Inteligencia Artificial. De ellos, el 75% se tratarán mediante el Edge.

Más allá de las predicciones a futuro, el Edge Computing es ya una realidad, que se sitúa en el centro de la revolución tecnológica. Porque una vez superado el debate en torno al cuándo digitalizarse, a sabiendas de que es ahora o nunca, conviene hablar del cómo. Sobre todo porque contar con procesos digitalizados podría no ser suficiente, y se requerirá maximizar su eficacia.

Reforzar el sector industrial

De sobra es sabido que el crecimiento y la salud de una economía dependen en buena medida de su sector industrial. Este suele llevar aparejado la creación de empresas más competitivas y productivas y, por ende, empleos más estables y mejor remunerados.

En este sector, uno de los grandes desafíos pasa por culminar exitosamente esa transformación digital. Y en este contexto cabría preguntarse: ¿está suficientemente implantado el Edge Computing en las empresas españolas?

Las estimaciones sugieren que cada vez un mayor volumen de datos se tratará con esta tecnología, también en España, lo que hace pensar que las compañías sí están implantando proyectos de Edge Computing o Computación en el extremo.

Los analistas de Gartner vaticinan que este año la mitad de las grandes empresas integrarán proyectos de Edge Computing. Y remarcan que las compañías que más se pueden beneficiar de las bondades de esta tecnología son aquellas que trabajan con un alto volumen de dispositivos que se encuentren en situaciones geográficas distribuidas y generen datos con frecuencias altas.

Artículos relacionados:

Edge Computing, 3 historias de éxito
Latencia y Edge Computing: ¿Por qué es importante?

Videojuego español: avances y retos pendientes

Mercedes Núñez    9 mayo, 2022

La consolidación del videojuego como fenómeno cultural de masas y sector estratégico es una realidad. En 2021 el número de jugadores en el mundo superó la barrera de los 3.000 millones, con la plataforma móvil a la cabeza. Pero, ¿cuál es el estado de salud del videojuego español?

Más de la mitad de la comunidad gamer está en la región Asia-Pacífico, que representa el 50 por ciento de la facturación global. Oriente Medio y África fue la región que más creció el año pasado. Tanto América del Norte como Europa perdieron peso. El volumen de negocio del Viejo Continente supone el 18 por ciento de la industria, con 31.500 millones.

España en el ranking europeo y mundial de videojuegos  

España es el quinto mercado europeo y el décimo mundial de videojuegos pero estamos todavía lejos de ocupar el lugar que nos correspondería en el ranking internacional por el tamaño de nuestro mercado.

Contamos con el talento, la creatividad y la tecnología necesaria para competir internacionalmente pero hay algunas trabas que superar, como veremos más adelante.

Motivos para el optimismo en 2021

Aún así, podemos ser optimistas respecto a la industria española productora de videojuegos y su potencial. Sigue creciendo tanto en número de estudios como de proyectos y facturación.

En 2021 se contabilizaron un total de 755 estudios activos (un 15 por ciento más) y la facturación alcanzó los 1.105 millones de euros (un crecimiento del 20 por ciento). Para 2024 se prevé que la cifra de negocio ronde los 2.300 millones de euros y el sector supere los 11.000 empleos directos.

Todos estos datos se recogen en la octava edición del “Libro blanco del desarrollo español de videojuegos 2021”, que se presentaba la semana pasada, promovido por DEV, con el apoyo del ICEX.

Radiografía del videojuego español

Frente a años anteriores, en que la mayoría de los estudios era de reciente creación, ahora la tendencia se ha invertido: el 60 por ciento supera los cinco años de antigüedad y cerca del 90 por ciento lleva funcionando más de dos. Otro dato relevante es que el 88 por ciento de ellos está trabajando en algún proyecto original con propiedad intelectual propia.

El tamaño representa un problema porque los estudios españoles siguen siendo, de manera mayoritaria, pequeñas y medianas empresas. La mitad de ellos cuenta con menos de cinco empleados y un 94 por ciento con plantillas por debajo de los cincuenta trabajadores. Tan solo el 6 por ciento supera esa cifra.

Los ingresos del 63 por ciento de esos pequeños estudios no superan los 200.000 euros anuales y juntos solo representan el 2 por ciento de la facturación total del sector. Los estudios que ingresan más de 10 millones de euros al año, en cambio, son el 4 por ciento del total pero su volumen de negocio supone el 64 por ciento del sector.

Continúa la concentración geográfica: la mitad de estas empresas están en Cataluña (27 por ciento) y Madrid (24 por ciento), seguidas por Andalucía (14,7 por ciento) y la Comunidad Valenciana (9,7 por ciento). Cataluña concentra, además, el 50 por ciento de la facturación y casi la mitad de los trabajadores, seguida de lejos por la Comunidad de Madrid, la Comunidad Valenciana y Andalucía.

El 72 por ciento de los ingresos de la industria española de videojuegos proviene de mercados internacionales, principalmente de Europa (53 por ciento) y Norteamérica (31 por ciento).

Más financiación y marketing como retos

Mejorar la inversión y encontrar financiación para el desarrollo de proyectos es el principal reto para los estudios españoles, de cara a poder crecer y diversificar su catálogo. En este sentido, entre las medidas que DEV solicita al Gobierno y a las Comunidades Autónomas destacan:

  • Incentivo fiscal a la producción de videojuegos como el que recibe la industria audiovisual.
  • Puesta en marcha este año de un Plan de apoyo a la industria española de desarrollo de videojuegos dentro del Plan de Impulso al Sector Audiovisual (Spain Audiovisual Hub).
  • Diseño de un esquema de reinversión de las multinacionales en el videojuego español.

Otro de los retos que han detectado los estudios de videojuegos españoles tiene que ver con la necesidad de una mayor visibilidad y marketing de los proyectos para garantizar el éxito en las ventas.

Características del empleo en el sector del videojuego español

Un dato positivo es que desde 2014 a 2021 ha crecido significamente (del 36 al 51 por ciento) el número de estudios que asegura no tener problemas para contratar perfiles con la formación adecuada.

El sector continúa creando empleo cualificado -el 97 por ciento de los trabajadores cuenta con educación superior- y, además, promueve el empleo joven. Más de la mitad de sus trabajadores (un 52 por ciento) tiene menos de 30 años. El año pasado se incrementó, además, la presencia femenina en la industria del videojuego.

Por perfiles, los departamentos que priman en los estudios son programación seguido de arte. A distancia, diseño, animación, producción, QA, gestión y administración de empresa, desarrollo de negocio, marketing (un perfil que gana peso y contribuirá a alcanzar el reto que señalábamos) y distribución.

Aparecen también nuevas especialidades como los especialistas en realidad virtual o aumentada blockchain y criptomonedas.

Afianzamiento de los serious games y tendencias para este año

La industria española de videojuegos no solo se dedica a los productos lúdicos. También trabaja para otros sectores en categorías que han crecido respecto al año anterior, sobre todo el desarrollo de software. Pero también trabajan en aplicaciones, entornos de realidad extendida, virtual y aumentada, desarrollo web, la animación o el sector audiovisual.

La categoría de los serious games, de los que ya escribimos en este blog se afianza y representa ya el 21 por ciento de los juegos publicados. Los principales receptores son educación (85 por ciento), cultura (37 por ciento) y turismo (33 por ciento), seguidos de servicios empresariales (22 por ciento), marketing y relaciones públicas (19 por ciento) y sanidad (19 por ciento).

Juegos en la nube en el televisor

Entre las tendencias para 2022, junto a la irrupción del metaverso y su impacto en la realidad virtual, la apertura de los ecosistemas de Apple y Google o la nueva versión de uno de los motores gráficos más populares del mercado, continúa ganando peso el juego en la nube. En “Libro blanco del desarrollo español de videojuegos” apunta que, aunque la mayoría de soluciones en la nube han estado ligadas a ordenadores y móviles, está tecnología cobrará fuerza en el televisor.

Imagen: Alejo.

Boletín semanal de ciberseguridad, 30 de abril — 6 de mayo

Telefónica Tech    6 mayo, 2022

TLStorm 2 – Vulnerabilidades en conmutadores Aruba y Avaya

Investigadores de Armis han descubierto cinco vulnerabilidades en la implementación de comunicaciones TLS en múltiples modelos de conmutadores de Aruba y Avaya.

En concreto, las vulnerabilidades se producen por un error de diseño similar a las vulnerabilidades TLStorm, descubiertas también por Armis a principios de año, que podrían permitir a un actor malicioso ejecutar código de forma remota en los dispositivos, afectando a potencialmente millones de dispositivos de infraestructura de red a nivel empresarial.

La causa del problema es debido a que el código que utilizan los proveedores no cumple con las pautas de la librería NanoSSL, por lo que en Aruba puede provocar desbordamientos de datos por las vulnerabilidades rastreadas como CVE-2022-23677 y CVE-2022-23676, con CVSS de 9.0 y 9.1 respectivamente.

Por otro lado, en Avaya, la implementación de la librería presenta tres fallos, un desbordamiento de reensamblaje de TLS (CVE-2022-29860 y CVSS de 9.8), desbordamiento de análisis de encabezado HTTP (CVE-2022-29861 y CVSS de 9.8) y un desbordamiento en el manejo de peticiones HTTP POST, sin CVE asignado.

Asimismo, de explotarse las vulnerabilidades de manera satisfactoria, podría producir desde fugas de información, la toma completa del dispositivo, hasta el movimiento lateral y la anulación de las defensas de segmentación de la red.

Desde Armis destacan que la infraestructura de la red en sí misma está en riesgo y es explotable por los atacantes, lo que significa que la segmentación de la red ya no puede considerarse una medida de seguridad suficiente.

Más info:  https://www.armis.com/blog/tlstorm-2-nanossl-tls-library-misuse-leads-to-vulnerabilities-in-common-switches/

* * *

Millones de dispositivos IoT afectados por un error grave en el sistema DNS

El equipo de Nozomi Networks Labs ha descubierto una vulnerabilidad no parcheada que afecta directamente al sistema de nombres de dominio (DNS) de múltiples enrutadores y dispositivos IoT, implementados en varios sectores de la infraestructura crítica.

Concretamente, el fallo detectado se ubica en dos librerías C (uClibc y uClibc-ng) de uso muy común en productos IoT, empleadas por distribuciones de Linux como Embedded Gento, y ampliamente utilizadas por los principales proveedores como Netgear, Axis y Linksys.

Según la investigación, un actor amenaza podría usar el envenenamiento de DNS o la suplantación de DNS para redirigir el tráfico de red a un servidor bajo su control directo y, por lo tanto, robar o manipular la información transmitida por los usuarios y realizar otros ataques contra los dispositivos para comprometerlos por completo.

Nozomi calcula que más de 200 proveedores podrían verse afectados por esta vulnerabilidad, sin identificador CVE por el momento, y teniendo en cuenta que actualmente no existe parche que la solucione, los detalles técnicos concretos sobre su explotación no han sido publicados hasta que se encuentren disponibles nuevas versiones de firmware que corrijan el problema.

Más info:  https://www.nozominetworks.com/blog/nozomi-networks-discovers-unpatched-DNS-bug-in-popular-c-standard-library-putting-iot-at-risk/

* * *

​Vulnerabilidades graves en AVAST y AVG

El equipo de SentinelOne descubrió en diciembre de 2021 dos vulnerabilidades graves catalogadas como CVE-2022-26522 y CVE-2022-26523, en los antivirus de Avast y AVG. Estas vulnerabilidades habrían estado presentes para su explotación en los productos desde el año 2012 y afectaban al sistema “Anti Rootkit” de ambos productos.

Los fallos permitían a actores maliciosos explotar la conexión de socket en el controlador del kernel para escalar privilegios y así lograr deshabilitar los productos de seguridad, posibilitando la sobreescritura de los componentes del sistema, corromper el sistema operativo y/o realizar operaciones maliciosas sin obstáculos, como inyectar código, realizar movimientos laterales, instalar backdoors, etc.

Ambas vulnerabilidades fueron parcheadas con la versión 22.1 del antivirus Avast (AVG fue adquirido por el propio Avast en 2016), lanzada el pasado 8 de febrero. Finalmente, cabe destacar que a pesar del tiempo en el que han existido estas vulnerabilidades, no se han detectado indicios de explotación.

Más info: https://www.sentinelone.com/labs/vulnerabilities-in-avast-and-avg-put-millions-at-risk/

* * *

Vulnerabilidad en varias familias de ransomware podría evitar el cifrado de información

El investigador de seguridad John Page (hyp3rlinx) ha demostrado que varias de las familias de ransomware con mayor actividad reciente, son vulnerables a un fallo del tipo “secuestro de DLL” que impediría el propósito final de cifrar la información de sus víctimas.

Los detalles de su investigación han sido publicados a través del proyecto Malvuln, creado por el propio investigador, donde cataloga vulnerabilidades detectadas en muestras de malware. La explotación del fallo detectado consiste en un secuestro de DLL, un tipo de vulnerabilidad que generalmente se utiliza con fines de ejecución de código arbitrario y escalada de privilegios.

En este caso, mediante la creación de un archivo DLL especialmente diseñado que suplanta a la DLL necesaria para la ejecución del malware, se interceptarían y finalizarían los procesos del ransomware, evitando así el cifrado de la información.

Por el momento, Malvuln ha publicado algunas pruebas de concepto (PoC) que afectan a las familias de ransomware Conti, REvil, Loki Locker, Black Basta, AvosLocker, LockBit y WannaCry, sin descartar que el fallo también sea perfectamente explotable en otros ransomware.

Más info: https://www.malvuln.com/

¿Estás infoxicado? Cómo actuar ante la sobrecarga de información en tu empresa

Raúl Alonso    6 mayo, 2022

Son las 8:10 horas de la mañana, Carlos enciende su ordenador y vuelve a consultar su correo. El mismo gesto lo había repetido en su smartphone a las 6:45 h. mientras desayunaba, y a las 7:30 h. durante el trayecto al trabajo. Ahora revisará su cuenta de Linkedin e Instagram, pero una alarma de su agenda le recuerda que debe repasar el informe trimestral que va a presentar en la reunión de ventas a las 11:00 h, justo ahora que a la intranet de la empresa llega una circular de Recursos Humanos sobre el cuadrante de vacaciones.

Nada especial en la jornada de trabajo de Carlos. Sin embargo, él, como otros millones de profesionales, reacciona con nerviosismo, va a tener problemas de concentración al revisar su informe e incluso puede que olvide añadir esa información que le había aconsejado incluir su jefe. ¿Te resulta familiar la situación?

Qué es la infoxicación 

Fallos de memoria, dificultad para concentrarse y ansiedad forman parte del cuadro típico de un empleado infoxicado. Lo advierte Top Employers Institute, que define la infoxicación o el síndrome de sobrecarga informativa como “el fenómeno que se produce cuando recibimos mucha más información de la que somos capaces de procesar”.

Es la consecuencia de tener el radar informativo permanentemente activo, la insatisfacción por no poder leer toda la documentación a la que tenemos acceso, y mucho menos procesarla. Esto “nos paraliza y nos impide avanzar hacia los objetivos que nos hemos propuesto, ya sean individuales o colectivos”, según explica la profesora Begoña Gómez Nieto en El consumidor ante la infoxicación en el discurso periodístico.

En el ámbito estrictamente profesional, esa sobrecarga de información consume el 28% de la jornada laboral de los empleados en Estados Unidos, según una estimación de la consultora Basex, de un ya lejano 2007. De haber encontrado un dato fiable más actualizado, seguramente el porcentaje sería superior, ya que en los últimos años los canales y el tráfico de información en la empresa se han multiplicado vertiginosamente.

Qué medidas están tomando las empresas ante la infoxicación

De hecho, la situación preocupa. Lo demuestra el mencionado estudio presentado por Top Employers España el pasado mes de abril. Entre las empresas certificadas por esta firma como empleadores líderes, el 43% ya ha implementado programas para afrontar la sobrecarga informativa, un 7% más que el año pasado.

El objetivo de estas medidas es crear espacios libres de estímulos en sus empleados, y “poner en sus manos técnicas y herramientas que les puedan ayudar a mantener la capacidad de concentración en este entorno caracterizado por la hiperconexión”.

Se trata de poner fin al bombardeo de información, el exceso de reuniones, comunicados internos o mensajes enviados fuera de la jornada de trabajo. Todas ellas acciones que estresan y conducen al síndrome del empleado quemado.

Las acciones más comunes puestas en marcha en este contexto de gran empresa son:

  • El 92% ha implementado cursos de gestión del tiempo.
  • El 86% programas de meditación, tipo mindfulness.
  • El 69% medidas para desalentar el envío de correos electrónicos fuera del horario laboral.
  • El 51% políticas para no molestar durante los periodos vacacionales.

Cómo podemos protegernos frente a la infoxicación 

La solución definitiva pasa por la acción individual, porque cada uno debe decidir poner fin a una espiral que perjudica nuestro rendimiento y salud. Algunos de los consejos son:

● Selecciona bien las fuentes y guárdalas en favoritos

Es evidente, tener toda la información a golpe de clic es una de las grandes ventajas del siglo XXI, pero en ocasiones también puede ser un peligro. Selecciona las fuentes más útiles y fiables para tu trabajo y guárdalas en la herramienta de favoritos de tu navegador. Cuando encuentres otra fuente interesante, piensa si puede sustituir a otra anterior, pero no trates de hacer un seguimiento de todas.

Esta misma técnica se puede utilizar para tus canales de información general, de blogueros e  influencers, aficiones, etc. Cualquier lector de RSS, tipo Feedly, resulta de gran utilidad para organizar las fuentes principales de información, impidiendo que malgastes el tiempo navegando con escaso criterio y efectividad. Scoop.it, un software de curación de contenidos, es otra alternativa.

● Lee menos, pero más en profundidad

El rápido escaneo de textos (pasear la mirada por la pantalla en busca de una información o dato concreto) resulta agotador y poco productivo. Si has realizado previamente una buena selección, confía en ella, céntrate en esas fuentes y dedica el tiempo que se merecen para leer y nutrirte de su conocimiento de un modo más apropiado.

● Establece rutinas horarias

La disciplina es también una herramienta útil para combatir la infoxicación.

  • Concéntrate en cada cometido. Es importante trabajar sin distracciones, evitando una multitarea constante. Además, se debe establecer un tiempo máximo en las búsquedas de información en la red, para no caer atrapado por ese adictivo bucle de la navegación.
  • Marca un tiempo para las redes sociales. Establece una o dos franjas horarias a lo largo del día –según la importancia que tenga en tu trabajo– para consultarlas. El resto del día, trata de olvidarlas.
  • Deja de enviarte continuos recordatorios a tu correo. Las herramientas como la agenda digital o los autoenvíos de emails o Whatsapp a modo de recordatorios son útiles para organizar el trabajo, hasta que te saturan. Hay que utilizarlas solo en los casos en los que está realmente justificado.
  • No trates de estar permanentemente informado. Vivir pendiente de la última hora informativa durante todo el día acrecienta el problema de sobreinformación: haz un uso racional de la radio, la televisión y las webs.

● Busca espacios para la desconexión

En 2021 pasamos 6,11 horas al día conectados a Internet (estudio We Are Social Digital 2021 España). El 75% de los adultos utiliza el teléfono móvil cuando está con su familia o amigos (Programa Desconect@).

Si te ves representado en estas estadísticas, puede que sufras de nomofobia. Este palabro define el miedo irracional a la desconexión de Internet, las redes sociales y el móvil, que genera angustia por una sensación incontrolable de estar perdiéndose algo importante.

Se trata de un síndrome asociado a la  infoxicación. Desde Desconect@ explican que algunas de las alertas para comprobar si nos afecta son la vibración fantasma (cuando sientes que tu teléfono vibra en tu bolsillo o incluso suena sin que realmente lo haga), o cuando se comprueba compulsivamente si hay actualizaciones, mensajes o cómo va la duración de la batería.

Tú sabes de qué hablamos, así que valora tomar medidas como:

  • Desconectar de tu móvil las alertas de redes sociales y apps.
  • Dejar de mirar el teléfono a partir de una determinada hora de la noche.
  • Filtrar a los contactos de redes sociales más invasivos. Por ejemplo, silenciando a esos que bombardean con posts irrelevantes, o dejando de seguir a los que realmente no te interesan. 
  • Reducir al máximo el uso del móvil y las redes sociales en los días no laborales. 

Liderazgo híbrido: “Be water, my friends!”

Cristóbal Corredor Ardoy    6 mayo, 2022

La revolución digital está transformando el panorama laboral- hoy escribiré del liderazgo híbrido– y sacudiendo los pilares de nuestra sociedad. Con la misma fuerza que la Revolución Industrial cambió la vida de los trabajadores y a la sociedad del siglo XVIII.

Pero ¿qué ocurre con los gerentes y directivos en esta nueva realidad? Deben cambiar de estado como el hielo en agua cuando se calienta. Haciendo un símil, podríamos decir que la transformación digital – que ha acelerado la pandemia- ha “sobrecalentado” a las empresas, que se han vuelto líquidas. Y los managers deben estar capacitados para fluir en este nuevo medio y adaptarse a las nuevas circunstancias y las nuevas tendencias.

Ser como el agua: metáfora y filosofía práctica

Ser como el agua significa que debemos liberarnos de cuerpo y forma, de estructuras, ser moldeables. Cuando Bruce Lee se refiere a formless en su famosa cita quiere decir realmente que no debemos dejarnos atrapar en el día a día o por la rutina del trabajo, sino abandonar -o mejor ampliar, como dice Yoriento- nuestra zona de confort y crecer.

Recordémosla: “Empty your mind, be formless, shapeless, like water. If you put water into a cup, it becomes the cup. You put water into a bottle and it becomes the bottle. You put it in a teapot it becomes the teapot. Now, water can flow or it can crash. Be water, my friend.” Y esto se hace con un cambio cultural, nuevos conocimientos y habilidades.

En la nueva normalidad laboral, en un punto intermedio y conciliador entre la presencialidad y el teletrabajo, todo se convierte en híbrido y esto debe incluir al liderazgo. La relación entre el manager y el empleado es ahora más importante que nunca. Pero ¿qué debe hacer un gerente o directivo para ser como el agua y fluir con los nuevos tiempos? En su caso, el equivalente al calor del hielo proviene de una mayor humanización -para las tareas automatizables ya está la tecnología. Para ello necesita de una serie de superpoderes (soft skills), entre los que destacan la facilitación digital, la comunicación, el fomento del trabajo en equipo, el coaching de equipos y la empatía:

Superpoderes del liderazgo híbrido

  • Facilitación digital. Durante la pandemia se ha producido una adopción masiva de herramientas colaborativas: Microsoft Teams, Zoom Meetings, Cisco Webex, WhatsApp, Google Workspace, Slack, videoconferencia de sala, telepresencia inmersiva, etc. Muchas de ellas conviven en nuestro día a día y los trabajadores se han visto obligados por las circunstancias a desembarcar en ellas de modo urgente. Los gerentes y directivos deben liderar el cambio y ayudar a sus colaboradores para la adopción y un correcto uso de las mismas, sin perder de vista el derecho a la desconexión digital y a la conciliación.
  • Comunicación. Para el trabajador híbrido, el manager es el principal nexo de conexión con la empresa y tiene una función vital para la divulgación de la cultura corporativa y en la experiencia de empleado.
  • Trabajo en equipo remoto. Los detractores del teletrabajo siempre han alegado la pérdida de del sentimiento de pertenencia. Pero el team working en entornos híbridos también es posible y se puede potenciar mediante las nuevas herramientas del puesto de trabajo (Meta Workplace, Microsoft Yammer, etc.). Es más, en un futuro no tan lejano las relaciones laborales también se forjarán y reforzarán en el entorno virtual del metaverso, como explicaba un compañero.
  • El coaching de equipos, dar feedback y ejemplo es muy valioso y ayuda a llegar más lejos.
  • Empatía. Las tareas de gerencia se automatizarán y dejarán espacio a los managers para que puedan establecer relaciones más humanas con sus colaboradores. En entornos laborales híbridos las pantallas pueden usarse como muros o como puentes

¿La clave? Que personas y tecnología sumen

La noticia positiva es que en el viaje a la digitalización parece que vamos por buen camino en este sentido. En los entornos laborales híbridos la relación entre el manager y sus empleados no se ha visto deteriorada por los avances del teletrabajo. Según datos de un estudio de mercado de la agencia Markteffect, los profesionales españoles se sienten apoyados de manera correcta por sus jefes prácticamente en la misma medida cuando trabajan de forma presencial (58 por ciento), que cuando lo hacen online (55  por ciento).

Ahora queda avanzar en esa cifra de la mano de un liderazgo híbrido que ofrezca lo mejor de los managers como personas y sepa quedarse con las oportunidades de la tecnología, salvando sus riesgos.

Imagen: Clement Soh

Breve e incompleta historia de las contraseñas, aliados y enemigos (I)

David García    5 mayo, 2022

Mucho se ha hablado (y se seguirá haciendo) de las contraseñas. Una «tecnología» con demasiados defectos y primitiva. Podríamos calificarla de eslabón débil con el permiso de las «preguntas de seguridad»; no son más que un refrito que nunca debió existir y mucho menos en la era de la exhibición, donde un disco duro en un rack de un centro de datos en Arkansas tiene más datos públicos de nosotros mismos de los que creemos recordar.

De hecho, muchos titulares de los medios generalistas ignoran que tras ese «Hackean…» no se esconde una APT sigilosa sino una menos cinematográfica y rimbombante versión real de los hechos: han dado con una contraseña débil o robada mediante un phishing

Una acción que mezcla buen tino, suerte, una mala interpretación de las reglas seguras para gestionar credenciales y la ignorancia o despiste de un usuario desprevenido. Vamos a borrar todo lo que sabemos sobre autenticación y comencemos con un lienzo en blanco. Tenemos una empresa que ha desarrollado una aplicación y unos usuarios dispuestos a usarla. Naturalmente, no queremos que nadie más acceda a los recursos de cada usuario que sus legítimos propietarios. ¿Cómo solucionas esto? 

Lo más fácil sería poner una norma y que todo el mundo la acepte: «Se prohíbe el acceso a los recursos de otros usuarios». Listo, ¿no? Problema solucionado. Pero ya sabemos que el mundo no funciona así, ni mucho menos. Sí el lunes se inventó la puerta, el martes ya había un señor instalando la primera cerradura de la historia. 

infografia contraseñas
https://imgs.xkcd.com/comics/security_question.png

En el otro lado del extremo, la empresa podría hacer un despliegue de medios para asegurar mediante tecnología la identidad y voluntad del usuario. Por ejemplo, enviando un kit de autenticación continua, basada en el análisis permanente de ADN y lectura de ondas cerebrales; por si acaso el cliente está siendo obligado a iniciar sesión en contra de su voluntad.

El problema es que si eso existe debe ser bastante caro y, además, poco práctico si el cliente quiere salir a la calle con los electrodos puestos… El termino medio entre los absurdos es algo barato, probado y que sea fácil de implementar. 

La seguridad, que en el negocio es muchas veces percibida como una incómoda esquina que entorpece los rectos renglones del desarrollo, posee muchos mecanismos que cuadran con el exiguo presupuesto y tiempo que se invierte en poner cerraduras a las puertas. Así pues, lo que se busca son soluciones probadas, fáciles de implementar y a ser posible, que ya vengan de serie en las librerías de desarrollo. Un checklist de peticiones que cumplen de sobra las contraseñas.

La triada de la autenticación

Los tres tipos de autenticación que todos conocemos se basan en lo que se conoce o sabe, lo que se posee y los sistemas biométricos. Las contraseñas entrarían en la primera categoría, pero, gracias a esas notitas pegajosas de color amarillo chillón, poseen la increíble cualidad de mutar hacia la segunda categoría.

Luego de algo que se sabe y no debería ser conocido por nadie más, se convierte en algo que poseemos y por descuido, que podrían poseer los demás. Hablando de la primera categoría, las contraseñas entran dentro de esta, es decir, «lo que se sabe». Pero ¡ay! amigo, la memoria humana tiene su propia papelera de reciclaje y termina por desechar aquellos recuerdos que no le son útiles.

Esto es una debilidad implícita en nosotros, al final terminamos creando una contraseña única para casi todo y con un claro esquema de composición «para no olvidarla». Este truco barato que nos imponemos es precisamente la técnica que se usa para adivinar las contraseñas. La facilidad para recordarlas es inversamente proporcional a la dificultad para dar con ellas.

infografia contraseñas dos image
https://imgs.xkcd.com/comics/identity.png

Ahora dejemos la orilla del cliente y vámonos a la parte del servidor. El problema del almacenamiento seguro. En primer lugar: NO SE ALMACENAN LAS CONTRASEÑAS. Nunca, jamás. Es un pecado capital y lo peor de todo es que a estas alturas de siglo XXI, aún siguen cayendo tablas repletas de contraseñas en texto plano en diferentes leaks y pentestings.

Hashes to hashes

La solución clásica a esto es almacenar no la contraseña sino su hash. Es decir, pasamos la contraseña que hemos recibido del usuario por una función unidireccional y esta nos producirá una cadena de una determinada longitud.

Esa cadena es la que, en principio, se almacenaría, luego veremos cómo. Así cuando por un ataque o filtración se ven expuestos los hashes al menos no se pueden usar estos directamente puesto que no son la contraseña ni contienen información alguna que dé alguna pista. Notemos que hemos dicho «función unidireccional».

Esto significa que las funciones hash no poseen una función inversa o reciproca. Esta es una propiedad muy interesante y necesaria. La salida de una función hash no debe servir de parámetro para una función recíproca de esta que nos devuelva la contraseña original. Si esa función existiera, nos daría igual almacenar tanto el hash como la contraseña en claro, puesto que sería igualmente inseguro.

Echando de nuevo mano a las matemáticas, las funciones hash son sobreyectivas o producen colisión. Recordemos que son las mismas funciones que usamos precisamente para implementar el tipo abstracto de datos «tabla hash» (de ahí su nombre). Esto quiere decir que hay un número más grande de entradas que de salidas, por lo que es perfectamente posible que un grupo de entradas obtengan idéntica salida. ¿Jugáis a la lotería? Pues, eso, que no jugáis a un número en exclusiva, este posee numerosas impresiones en diferentes series, pero al final es el mismo número.

infografia contraseñas 3 imagen
https://imgs.xkcd.com/comics/code_talkers.png

Un posible ataque sobre estos hashes, es intentar dar con la contraseña introduciendo miles y miles de contraseñas posibles en una función hash y comprobar si obtenemos un hash idéntico. Si es el mismo hash, entonces es la misma (o no) contraseña. Un momento ¿hemos dicho «o no»? Exacto. Por la misma propiedad de colisión, sería perfectamente posible dar con una cadena que no tenga parecido alguno con la contraseña original y sin embargo la salida de la función que calcula el hash… ¡Sea la misma! Eureka, podemos entrar en la cuenta de un tercero usando una contraseña…que no es la contraseña.

Un conocido ejemplo de colisión usando la función (ya obsoleta) MD5, disponible aquí. Otro, en el que podemos ver la visualización de bloques, donde a pesar de las diferencias de bits, estos bloques producen un solo e idéntico hash. Este tipo de ataques permitió la proliferación de gigantescas bases de datos que contienen hashes precalculados. Hay cientos de páginas disponibles para comprobar si un hash está ahí. Otro curioso mecanismo que ayuda a dar con la contraseña son las denominadas Rainbow Tables o tablas arcoíris. Para evitar o dificultar este tipo de ataques se agrego lo que conocemos como sal.

La sal, el pequeño detalle que marca la diferencia

La sal. Muchas veces no entendida correctamente. La sal mete ruido, interferencia. Entorpece todo el trabajo hecho de antemano por esas bases de datos o tablas arcoíris que comentábamos ¿Por qué? Pues porque si agregamos una cadena «extra» a la hora de calcular el hash evidentemente el resultado no es el mismo y aunque la contraseña ya haya sido calculada de antemano y se sepa el hash, deberíamos de volver a calcular de nuevo todos los hashes de nuestra colección.

En primer lugar, no es necesario cifrar, ocultar o dificultar el acceso a la sal. Eso sí, si solo tenemos un valor de sal para todas las contraseñas, entonces deberíamos preocuparnos si este valor se hace público y alguien se toma la molestia de crear tablas de hashes precalculadas con este valor. No siendo el caso, la sal puede ser incluida perfectamente en texto plano como una columna más en la tabla de una base de datos.

https://imgs.xkcd.com/comics/authorization.png

No obstante, idealmente la sal debe tener ciertas propiedades para considerarla segura:

  • Siempre, una sal diferente por cada contraseña.
  • Que la longitud de la sal no sea demasiado corta.

El primero dificulta todo tipo de ataque con tablas precalculadas y el segundo complica sobremanera la creación de nuevas tablas arcoíris para esa sal. 

Por esto, no debe preocuparnos almacenar esta sal en su forma, al final se debe rescatar de la base de datos, adosarla a la contraseña del usuario y generar el hash final. Lo que se busca aquí no es esconder un secreto arcano sino dificultar los ataques una vez los hashes han sido comprometidos. 

Por cierto, es un error tremendamente común decir que se han comprometido las contraseñas de un sitio, cuando en realidad lo que se ha obtenido son los hashes; luego habrá que ver si estos resisten los ataques comentados o no, pero si las contraseñas no estaban almacenadas en texto claro…no han sido comprometidas.

Funciones hash seguras… de momento

MD4, MD5, SHA1, estas funciones ya no son consideradas seguras para usos o procesos críticos. Ojo, esto no significa que no dejen de tener uso, por ejemplo, SHA1 sigue siendo usado en Git para identificar unívocamente los objetos con los que trata. Significa que no podemos garantizar que el uso de estas funciones sea seguro en determinados ámbitos, entre ellos la autenticación. ¿Por qué? Porque es relativamente fácil encontrar colisiones y, por ende, podemos encontrar cadenas que nos otorguen el mismo hash; ergo podremos usarlas como contraseñas válidas.

¿Entonces, que usamos? ¿SHA-256, SHA-512…? Ninguna de ellas. Desde hace unos años este tema de las funciones hash o funciones de derivación de claves ha sido tratado de diferentes perspectivas y aproximaciones.

Una iniciativa curiosa es la de Password Hashing Competition, una competición de funciones de esta familia a la que se presentaron 24 candidatos y durante un largo proceso, finalmente, proclamaron como ganadora la especificación Argon2 (implementación canónica en C, disponible aquí) Aunque no está muy extendido su uso, Argon2 reúne un buen número de características deseadas: resistencia a ataques de fuerza bruta, solvencia frente a ataques del tipo side-channel, etc. 

https://imgs.xkcd.com/comics/encryptic.png

Otro «concurso» famoso es el promocionado por el NIST que resultó en la elección de Keccak como nuevo estándar de la familia SHA, en concreto el SHA-3. Esta función ya posee numerosas implementaciones en las distintas y populares librerías criptográficas, incluidas OpenSSL o Bouncy Castle. 

Junto con Argon2, también disponemos de funciones aceptables para esta tarea, se trata de PBKDF2, scrypt y bcrypt; muy conocidas en el ámbito UNIX.

  • bcrypt, está basada en el algoritmo de cifrado simétrico Blowfish y presente en muchas distribuciones Linux. Una de las características notables es que ya incluye la sal en la forma final del hash producido. Una vieja conocida, que podemos encontrar en los archivos shadow de muchos sistemas UNIX. 
  • Scrypt, por otro lado, agrego una característica interesante respecto a los ataques de fuerza bruta: que fuera muy costoso generar un hash. Es decir, una especie de «prueba de trabajo» que exige recursos para crear un intento. Es, por supuesto, un arma de doble filo en aquellos sistemas con necesidad de generar grandes cantidades de hashes por segundo… ¿Os suena esto de algo? Exacto, de hecho, scrypt se usa precisamente en criptomoneda como prueba de trabajo. 
  • PBKDF2. Esta función es muy conocida, probablemente te sonará si alguna vez has buceado por la documentación técnica del estándar WIFI WPA2. De hecho, la salida de esta función es la PSK o Pre-shared Key. Una curiosa propiedad es el número de iteraciones de la función. Este parámetro es un compromiso entre seguridad y rendimiento. Su recomendación ha crecido y seguirá haciéndolo con el tiempo. Por ejemplo, hace años se recomendaba 1000 iteraciones (año 2000), mientras que actualmente el número de iteraciones para ciertos ambientes productivos se ha incrementado hasta 100.000.

Ahora bien, tenemos que tener presente el factor tiempo. En criptografía, lo que hoy es seguro mañana no lo será. Notemos que no hablamos en condicional, «podría ser». No, con toda certeza, tanto por el aumento de capacidad computacional como los sofisticados ataques de criptoanálisis, consiguen cada cierto tiempo destronar un cifrado o función que se consideraba robusta y confiable. Hoy es seguro, mañana no. 

Vale, pero entonces, ¿cómo deben ser las contraseñas para que sean seguras? Lo veremos en la siguiente entrada.

Se filtra la mayor colección de usuarios y contraseñas… o no (II)

NFT y su relación con Blockchain

AI of Things    5 mayo, 2022

Los NFT se han vuelto cada vez más relevantes en el entorno digital, abarcando sectores como arte, la moda, el metaverso y los play-to-earn (juegos en los que las recompensas son activos digitales). Este escenario no sería posible sin el desarrollo de las tecnologías Blockchain, que constituyen la base de todo el entorno de las finanzas descentralizadas y de criptomonedas como Bitcoin y Ethereum.

Se trata de un conjunto de tecnologías que están replanteando la forma en que desarrollan diversos procesos, desde finanzas hasta medicina, y que actualmente cobija grandes proyectos a nivel global en múltiples áreas.

¿Qué es Blockchain?

Blockchain, o cadena de bloques, es una tecnología computacional que permite llevar un registro descentralizado de las operaciones digitales. Es algo así como un libro de registros público en el que queda asentado cada movimiento, sin posibilidad de alterar el historial.

Su creación se le atribuye a Satoshi Nakamoto, una persona o colectivo responsable del Bitcoin y de la tecnología que lo sustenta, es decir, blockchain.

Hablamos de una base de datos descentralizada, sustentada en una red de nodos que representan puntos de conexión a la red. La información es estructurada en bloques encriptados que deben validarse antes de ser incluidos en la cadena de bloques. Algunas de sus particularidades son: 

  • Los bloques validados siguen una secuencia histórica. 
  • La red no es controlada por individuos o instituciones, por el contrario, es descentralizada 
  • Una vez añadidos a la cadena de bloques, los registros no pueden ser modificados.

Lo anterior se traduce en una estructura que otorga total transparencia a las operaciones, con plena independencia. Esto ha ampliado las aplicaciones del blockchain, las cuales van desde finanzas hasta registros de identidad descentralizados, entre muchas otras.

Ethereum: la base de los NFT  

A partir del blockchain surge Ethereum, una plataforma de código abierto que permite la creación de smart contracts o contratos inteligentes, piezas de código creadas en lenguaje de programación en donde se expresarían instrucciones específicas que serían ejecutados por la máquina virtual de Ethereum. 

Como vimos en un artículo anterior, Ethereum es la plataforma en la que se sustentan los tokens no fungibles (NFT), activos digitales únicos e irremplazables que operan en blockchain, lo que les otorga un valor único. 

Lo anterior ha permitido a empresas monetizar sus operaciones digitales, así como abrir un mundo de oportunidades para artistas, ya que los NFTs pueden ser obras de arte digital, sonidos, textos o cualquier archivo respaldado por un certificado digital generado en blockchain.

NFT: elementos únicos e irremplazables

Un NFT solo puede ser alojado en una dirección de la red, no podrá ser duplicado y solo podrá ser transferido usando una llave privada. Puesto que las transacciones quedan registradas en la cadena de bloques, podemos acceder al registro histórico y confirmar la procedencia de las obras de arte digital del mercado. 

Para hacer esto, solo debemos ingresar la llave pública de la NFT en Etherscan, un explorador de blockchain de uso gratuito que permite acceder a información como direcciones de wallets, smart contracts y transacciones plasmadas en bloques. 

De esta manera, podemos navegar por la cadena de bloques y acceder a información de valor para comprobar, por ejemplo, la autenticidad de obras de arte digital o cualquier otro NFT.

Una tecnología con diversas aplicaciones

Blockchain no se limita al mundo de las criptomonedas y de los NFT, sino que se extiende a metodologías y protocolos que están siendo implementados en distintas industrias, debido a su eficiencia y transparencia. 

Como infraestructura de base de datos, ofrece grandes ventajas en servicios de validación, almacenamiento y seguridad tanto a entidades gubernamentales como privadas. De igual forma, gracias al Blockchain as a Service (BaaS), empresas de diversos sectores pueden aprovechar los beneficios que otorga este conjunto de tecnologías.

Sin duda, la cadena de bloques está reconfigurando el mercado, y entender su funcionamiento y aplicaciones es clave para adaptarse a las nuevas tendencias y, con ello, optimizar diversos procesos.

Internet + Wifi.PRO, la unión de una conectividad excelente de fibra y wifi profesional

Raúl Sánchez Molina    5 mayo, 2022

Una de tantas lecciones que ha dejado la pandemia es la importancia de contar con una conectividad que garantice el normal desarrollo de las actividades que las pymes realizan a diario.

Las redes del futuro están cada vez más cerca y, sin duda, la fibra óptica es la tecnología más adecuada para avanzar hacia un futuro digital, con una velocidad simétrica (de subida y bajada) de hasta 1Gbps de conexión a Internet.

En este sentido, lo que diferencia a España del resto de países europeos es que nuestra propuesta de valor de conectividad se basa en fibra hasta el hogar, que es la mejor opción. El cien por cien de las suscripciones son de FTTH y no de FFTB (en este caso, la fibra llega solo hasta el edificio y la última milla hasta el hogar se mantiene con la solución ya existente, el cobre, por ejemplo).

Conectividad wifi de calidad

En la parte de la conectividad inalámbrica, actualmente hay pocos establecimientos de cierto tamaño que no faciliten wifi a sus clientes, o empresas que no dispongan de esta conectividad para sus empleados. Y para convivir en este ecosistema, ha llegado el momento de que las pymes utilicen esta herramienta imprescindible a la hora de competir en el mercado digital.

La irrupción de los teléfonos móviles inteligentes, con conexión de datos y acceso a Internet, ha supuesto un cambio significativo de hábitos para las empresas en muy poco tiempo. El WiFi, que antes estaba en muchas organizaciones mal visto, como un sistema de conexión inseguro o menos seguro que la red cableada, ha pasado a ocupar un puesto de privilegio en los presupuestos de TI.

Red inalámbrica profesional

Esto es así fundamentalmente para los miembros de una empresa, que mientras están en sus oficinas pueden preservar sus tarifas de datos, lo que supone un ahorro, puesto que pueden contratar tarifas de datos más ajustadas a las necesidades de movilidad real de los trabajadores, es decir, cuando están fuera de la oficina.

Pero también se necesita un dimensionamiento adecuado. Un punto de acceso WiFi tiene una serie de limitaciones, en lo que a número de usuarios concurrentes se refiere, que pueden hacer que la experiencia sea realmente mala. Ejemplos tenemos muchos, en ferias y convenciones, donde se dispone de salas con escasa cobertura y redes WiFi insuficientes para el número de asistentes. Esto es algo que siempre hay que tener en cuenta a la hora de organizar cualquier evento.

Por otro lado, una vez hecha la inversión necesaria para tener una infraestructura WiFi adecuada para nuestra organización, podemos aprovecharla más allá de los teléfonos móviles, sobre todo con aquellos usuarios que trabajan con equipos portátiles, siempre que no dispongan de una toma de red.

Red wifi para clientes y visitantes

Otro de los retos es ofrecer una red WiFi a clientes y visitantes en nuestra empresa. Por lo general, lo más interesante es mantener dos redes separadas, por un lado, nuestra red interna y, por otro, una red de cortesía que tendrá acceso a Internet, pero no comunicará con nuestra red de trabajo.

Algunos sectores, como hoteles, restaurantes y bares saben que ofrecer wifi ya no es una oportunidad para aportar algo diferencial. Es que, si no lo haces, pierdes clientes. Transportes, clínicas, talleres, inmobiliarias, gasolineras, grandes superficies… todos los negocios donde los clientes esperan para ser atendidos comienzan a apuntarse.

Ofrecer una wifi con una solución profesional para mejorar la experiencia de usuario es una inversión que se recupera rápidamente, porque este tipo de soluciones te permiten conocer mejor a tus clientes, recopilando información de uso para poder enviarles ofertas personalizadas. Todo ello sin necesidad de seguir ningún complejo curso de formación ni de contratar ningún experto en Big Data.

Ambos servicios se están haciendo imprescindibles y tienen una dependencia directa entre ellos, ya que deben permitir a los empleados y/o clientes disponer de una conexión segura y con el mayor rendimiento posible.

Internet + Wifi.PRO

Esta unión de servicios está representada en la oferta de Telefónica de Internet + Wifi.PRO, una solución que aúna la conectividad excelente de FTTH con IP estática, garantía y mantenimiento de empresas con una solución wifi profesional con Puntos de Acceso WiFi gestionados desde una plataforma en la nube en constante evolución.

Los clientes tendrán una conectividad profesional, fiable y segura, junto a una conectividad wifi que podrán utilizar como conectividad corporativa, conectividad para clientes o ambas.