Y hoy tengo el gusto de presentarles al catedrático Milton Quiroga Becerra Ingeniero de

sistemas de la “U.I.S” (0:00:18), posteriormente obtuvo la maestría en Ingeniería de sistemas

de la “Universidad de los Andes” y luego una maestría en la universidad de ¿_________?
(0:00:28) En seguridad informática y se graduó con honores.

Tiene nuestra empresa CYBER-TECH hace 22 años y es un experto bastante fuerte con patentes
propias en temas de criptografía y hoy y el miércoles nos va a acompañar ayudándonos a
entender un poco más y profundizar más en el tema de criptografía.

Este taller de formación nace o nació como una respuesta a las inquietudes o a muchas de las
inquietudes que se plantearon durante el desarrollo del piloto y el interés del proyecto es:
parte de lo que se quiere hacer es que se pueda pasar sobre todas esas dificultades que
tuvimos de una manera mucho más ágil mucho más clara y tener fundamentos sólidos para
poder implementar la factura desde nuestras empresas para hacerlas llegar a la DIAN.

Hoy los dejo con nuestro profesor quiero que el haga la introducción.

MILTON:- Bueno, ¡Muy Buenos días! ¿como les ha ido? BUENOS DIAS.

Nosotros llevamos ya varios años trabajando el tema de criptografía y firmas digitales, tenemos
un par de productos a cerca de firmas digitales, y uno de los problemas que siempre nos
encontramos con los clientes es que cometen los errores muy muy difíciles, por ejemplo,
mandan por correo electrónico unas claves de banco, o por ejemplo… y ese error lo han
cometido algunas autoridades certificadoras, generan la pareja de claves dentro de la autoridad
certificadora y el cliente hace un acto de fe, que en realidad no va haber ningún problema con
ese material criptográfico generado.

En general lo que hemos encontrado es que la gente por desconocimiento hace un mal, manejo
de material criptográfico. Y tiene todo el sentido piénselo bien, si todavía con el tema de pagos
los colombianos nos enredamos, imagínense ustedes con el tema de material criptográfico es
un poco más misterioso, más difícil de manejar.

Nos ha sucedido muchas veces, nosotros hemos participado en algunos proyectos de revisión
de código, por ejemplo, y nos ha pasado con aplicaciones muy sensibles, pero muy sensibles,
que llega uno a la oficina y el programador dice “ah no, eso está encriptado”, ese es un término
que utilizan mucho en Colombia de “está encriptado” y si está “encriptado” absolutamente
cualquier discusión se detiene, porqué el de auditoria ¿que hace? “Ah no, si esta encriptado yo
no lo debo mirar, eso debe estar muy bien encriptado” y típicamente lo que uno ve es por
ejemplo, esta codificado apenas.

Hay una codificación que vamos a ver acá que se llama “base 64” y mucha gente lo que hace es
simplemente coger material súper sensible, lo codifica en base 64 y dice: “esta encriptado” y
luego uno le pregunta: “¿Cómo es que lo protegió?” No yo lo protegí utilizando un cifrario de
64 bitz” apenas le hizo un cifrario de 64 bitz, uno dice, “apenas lo codifico y está convencido
que lo cifro y que eso es seguro” .Para darles una idea, más adelante vamos a hablar de esto. Es
como si alguien dijera “no mire esa información está protegida por que yo la puse en
mayúsculas, entonces está protegida, o las puse en minúsculas, está protegida porque nadie
más la puede ver”, eso es la diferencia entre codificar y cifrar.

aquí vamos a ver, a un buen detalle, temas de ciframiento, temas de chequeos de integridad. El
grave problema con la criptografía es que es muy fácil “darse un tiro en un pie”, ok?
Es muy fácil cometer un error, es muy fácil y es un error que además puede salir súper costoso.
¿por qué puede salir súper costoso? Porque si esta encriptado nadie más lo vuelve a ver, nadie
más lo vuelve a revisar, y puede suceder es, que se trate de un fraude continuado por muchos
años hasta que por fin alguien se atreve a revisar algo que aparentemente estaba encriptado, lo
que pasa es que está mal encriptado, más o menos esa es la idea.

Entonces cual es la idea, lo que nosotros vamos a ver es una serie de contenidos, que
completamente auto contenidos eso es supremamente importante, ustedes no van a necesitar
nada adicional de lo que está en este material.

Hay unos contenidos de hoy, hay unos contenidos de pasado mañana, empiezan el nivel de
dificultad con temas digamos relativamente básicos de historia de la criptografía y que
terminan con la factura electrónica Colombiana con todo el detalle de XML, y las firmas
digitales en XML y todo ese tipo de cosas.

Entonces, hoy en particular vamos a estar tocando estos temas. Está organizado entorno a seis
sesiones, sin embargo, digamos la división entre sesión y sesión no quisiera que fuera tan
estricta, quisiera que más bien, digamos en la medida que surjan las preguntas, en la medida
que vayamos conversando, podamos de repente extender algún tema o recortar algún tema
todo depende de cómo ustedes lo vean…

Entonces hablaremos de la historia de la criptografía, hasta llegar más o menos a la segunda

guerra mundial y hablaremos un poco de las maquinas “Turing” (0:05:56) si hay interés de
parte de ustedes en construir una réplica de una maquina enigma, si hay interés de parte de
ustedes podemos mirar la maquina enigma funcionando todo depende, yo sé que el énfasis no
es cifrar, el énfasis es firma digital, firma electrónica, pero si les interesa de pronto la puedo
hacer traer y que la miremos.

Hablaremos de “Revisiones de integridad”, Revisiones de integridad es esa tecnología que le

permite a uno revisar que un documento no ha sido alterado. Haber, cuando yo terminé
pregrado uno de los primeros trabajos que tuve que hacer fue, para una empresa desarrollar
una nómina, en esa época sucedía algo muy curioso, y es que la nómina se imprimían los
cheques, entonces uno programaba todo el código, la lógica de la nómina, y al final generaba
un archivo “skoler” (0:06:48) para la impresora; en la impresora se metía las formas continuas
de cheques y simplemente lo que se hacía era imprimir los cheques uno tras otro, uno tras otro,
pasaba a tesorería, el tesorero llegaba y firmaba, de pronto había otra firma, entonces firmaban
los dos.
¿Cuál era el problema? Que técnicamente las impresoras eran impresoras viejas que hacían
mucho ruido, entonces uno como ingeniero nunca se metía al centro de cómputo a imprimir,
siempre había un tecnólogo que era el encargado de todo, de cuadrar la impresora, además
porque eran impresoras, si mal no recuerdo, eran difíciles de cuadrar.

¿Entonces cual era el problema? Yo escribí el código de la nómina. ¿Cuál era el problema? Que
de repente ese operador del centro de cómputo podía coger ese archivo de nómina y alterarlo.
¿y que pasa si lo altera? Piensen ustedes, se podría poner el sueldo que quiera ¿y quien sería el
responsable de ese fraude?

Entonces ¿Qué fue lo que hice en ese momento? me inventé algo supremamente inocente que
llamábamos totales de control, y yo creo que todos, los que pasamos de cierta edad, en algún
momento programábamos totales de control ¿Quién recuerda cómo eran los totales de
control? ¿Qué hacia uno con los totales de control? Están muy jóvenes… pero en esa época…
en la época heroica cuando no había mouse cuando uno se enfrentaba como un varón a la línea
de comandos, no había mouse ni ninguna de esas interfaces graficas de ahora y técnicamente
lo que uno hacia era un programita que sumaba todos los saldos, multiplicaba por las cedulas,
restaba por la codificación en ABC de los nombres para ponerle un número y al final le daba un
numerito el “35”.

Entonces cuando ya estaba todo listo para imprimir los cheques, ¿uno que hacia? volvía a
correr el programa total de control y si le daba “35” como le dio al principio significaba que los
archivos no habían sido cambiados, ¿Todo bien no?

Bueno, pues esto es supremamente inocente uno trataba de ser ingenioso, uno multiplicaba
sumaba, dividía, hacia un montón de operaciones aritméticas, pero en realidad eso no tenía
ninguna fortaleza. Porque hoy en día lo que se utiliza son las funciones Hashing, que hacen las
funciones de Hashing?... Detectar, el más mínimo cambio de un archivo. ¿Dónde se utilizan?
Yo creo que ustedes lo han utilizado todo el tiempo; cuando uno baja Sofware libre,
típicamente que hace si uno baja, hace rato no bajo “ Red drive/ Hard” (0:09:19) pero cuando
uno bajaba “ Red drive/ Hard” (0:09:21) ,bajaba la imagen en ISO ¿y que pasaba? Esa imagen
incluso podría ser alterada ¡¿o no?!

Entonces, había unos totales de control, no son totales de control, sino funciones de Hashing,
es el resultado de MD5 (0:09:32), que se calcula sobre el ¿_______? (0:09:34), eso es lo que
vamos a ver acá, Funciones de Hashing y como se utilizan para chequeos de Integridad, en
particular porque estos chequeos de Integridad son componentes fundamentales de las firmas
digitales ¿o no? Imagínense un control de un algoritmo digital que no detecta alteraciones en
un documento, no sirve. Necesitamos algo que nos permita detectar alteraciones.

Luego Hablaremos de criptografía asimétrica; ¿Qué es eso de criptografía asimétrica? En

realidad el tema de criptografía no es fácilmente escalable, a menos que se utilice criptografía
simétrica, con criptografía simétrica lo que se quiere es tener sistemas criptográficos, de miles o
incluso millones de participantes… Y que el sistema escale, con la criptografía Simétrica, no se
puede tener un futuro de escalabilidad; aquí vamos a ver todo el tema de criptografía simétrica,
llave pública, llave privada y esas cosas…

Como empatan con los certificados Digitales… ¿Ok? Y hay de paso vemos que es un certificado
digital, que son las cadenas de certificación, los “Certification Padd” (0:10:43)… Los sobres
digitales, de repente si ustedes han visto allí, han trabajado con el tema de criptografía… ´No es
que este interlocutor, utiliza “PGP” (0:10:53)… Y en cambio este interlocutor utiliza “CMS”
(0:10:56), o “PGAS-7” (0:10:58) y aquel otro utiliza “Secure mine “(0:11:00), entonces no se
pueden hablar, aun cuando están utilizando material criptográfico Standard, con llaves
Standard y todo, pero no puede inter-operar porque es que son diferentes sobres Estándares,
esos son los sobres digitales. Y eso es lo que vamos a ver justo en este capítulo, con esto
terminaríamos el Primer Día, es una introducción a los componentes teóricos más importantes.

¡¿Luego que hacemos?! En el día dos, que sería pasado mañana… Operación de una Autoridad
Certificadora, ¿Qué vamos a ver ahí? ¿Qué hace una Autoridad Certificadora? En Colombia está
Certicámara, está Andes, está GCE, ¿Qué es lo que hacen ellos? ¿Cómo es la operación de
ellos? ¿Cómo interactúa uno con ellos? ¿Cómo es eso que uno reenvía y pega “CS10” (0:11:43)
y que ellos contestan con un “X509 Extendido” (0:09:46)? ETC, ETC… ¿Qué es eso? Y luego
hablaremos de SSL/TLS. En particular porque posiblemente ese es el algoritmo, más extendido
de corrección criptográfica en el mundo.

Típicamente, cuando se cierra el candadito, En un “Browser” (0:12:05) es porque se está

utilizando SSL/TLS. Y por otra razón también, y es que yo no sé ustedes que opinan, en general
lo que uno ve, en desarrollo de Software, es que típicamente las aplicaciones se desarrollan
como pueden, es decir, típicamente ´a las patadas ‘ y justo antes de salir a la operación…
“Ay esto requiere Seguridad… Llamemos al de seguridad”… llaman al de seguridad, ¿y el de
seguridad que hace? Pone los seguidores “SSL, Control File, Contrato Magnético” (0:12:38) y a
continuación, “Padre nuestro que estas en los cielos”… Porque el de seguridad jamás participó
en el desarrollo de esa aplicación, además típicamente le sueltan el chicharrón, una semana
antes de que salga a producción, y típicamente lo que le dicen es: “Que hubo, que hubo, pero
es que la gente de seguridad es el caballo muerto ahí que no deja trabajar, es el caballo muerto
en la carretera que no deja pasar, apúrele, apúrele; Apruebe, para que salgamos a producción,
únicamente el aire comercial es supremamente activo. ¿De que se trata todo esto?

La mejor manera de desarrollar Software hoy en día, es incluir seguridad desde el principio,
pero sobre eso estamos bastante lejos, es decir, lo que quiero que ustedes piensen es que
seguridad es un requerimiento no funcional de la aplicación, así como esta escalabilidad, así
como esta continuidad, un requerimiento no funcional, un requerimiento por fuerza propia, así
como hay requerimientos funcionales en los cuales ustedes suman 5 + 3 y allá al final le debe
dar 8, son requerimientos funcionales, deben haber requerimientos no funcionales, ahora
típicamente cual es el problema, que si le pone SSL/TLS ya con eso se supone que queda
asegurado; a mí me encanta la gente que trabaja en arquitectura porque todo lo resuelven con
Capas ¿o no? Puede que la aplicación allá quedado súper mal desarrollada, pero él pone la capa
de seguridad, y entonces ya con la capa de seguridad queda resuelto el problema y en realidad
lo único que se está haciendo es “barriendo debajo de la forma” ¿Ok?
Entonces, lo que quisiéramos con todos estos contenidos, es que ustedes entendieran
perfectamente, para que sirve cada tecnología criptográfica. ¿Cómo se usa? ¿Cómo funciona?
¿Y cómo falla?… ¿Y cómo falla? ¿Ok?

Porque como toda tecnología, tiene su ámbito de utilización… Ustedes no van a ponerle un
candado de cinco mil pesos a la puerta del Banco. Puede ser que el candado le sirva,
perfectamente bien para proteger la puerta del Closet, pero no les va a servir, para proteger la
entrada del Banco, cada tecnología tiene, su ámbito de uso dependiendo del adversario.

¿Más o menos tiene sentido? A los que trabajamos en seguridad típicamente nos pasa algo y
es: “La tía mala” Yo no sé si alguno de ustedes tenga una tía mala que típicamente le dice a uno:
-“Mijito usted que trabaja en Seguridad, dígame: ¿Mi casa es segura?”
-“Tía Pero…” -“¡Si, Mijo, es que le puse una reja! Le puse una reja a la puerta… ¿Mi casa es
segura?”… ¿Qué le dice uno a la Tía? - “Pues depende Tía, a ver, ¡¿Si su adversario es el ladrón
de barrio, una reja lo detiene?! ¡¿O no?! Pero si usted tiene problemas con la mafia rusa…
¡¿Será que una reja, puede detener a la mafia rusa?! Por supuesto que no, es la mafia rusa,
llegara por un helicóptero y no sé, entrará por el patio, donde no hay ninguna reja y se le
meterá a la casa a la tía ¿o no?

Entonces por esta misma razón, hay cierto tipo de aplicaciones que requieren cierto tipo de
protección dependiendo del adversario al cual se está enfrentando ¿o no? ¿Tiene sentido o no
tiene sentido? No es lo mismo enfrentarse uno al ladrón de barrio, que enfrentarse a un
gobierno extranjero y desafortunadamente en el tema en sí de seguridad eso es lo que estamos
viendo, es un arma de guerra, un “ Zero there Exploite” (0:16:19) es un arma de guerra ¿o no?
Piénsenlo bien, no puedo dar ejemplos específicos, pero piénsenlo bien…

Entonces, la idea es que ustedes tengan un contexto de toda esta tecnología criptográfica,
¿Cómo se usa? ¿Qué aplicaciones tiene? ¿Cómo falla? ´sobre todo´… ¿Y en qué contexto se
puede usar de manera segura? Para no hacer violencia con la tecnología.
Luego hablaremos de XML… Y hablaremos de los estándares XAdes de firma digital en XML y
hablaremos del Canon XML, vamos a ver que es el Canon XML, ¿Por qué se utiliza? , Etc, Etc…

Y finalmente terminaremos con la factura electrónica Colombiana. Pero, además de estos

contenidos vamos a tener una serie de talleres, El primer taller es de criptografía simétrica…
¿Cómo les parece que tuve un estudiante? , supremamente pilo, y el muy “salvaje”, programó
“Desk” en Excel…” (0:17:29). Yo creo que acababa de pelear con la novia y estaba entusado, y
estuvo entusado por los siguientes cuatro meses, pero este muchacho muy pilo, fue capaz de
programar “Desk” en Excel…” (0:17:40).

Entonces, lo que quiero en este taller, yo les voy a pasar el enunciado y es que ustedes cojan la
hoja de cálculo, que cifra es… y en esa hoja de cálculo ustedes triangulan sus “procesos”
(0:17:53). Para ver ´Efecto avalancha´ y cosas de esas que tiene Desk(0:17:57).. Todo esto
queda en código para ustedes.

El segundo taller tiene que ver con funciones de Hashing, ¿Se acuerdan de los sitios de
integridad? ¿Se acuerdan de los totales de control? Bueno aquí, lo que voy a hacer es
entregarles código, que típicamente lo que hace es… ´Calcular el Hash´… Entonces tenemos un
archivo, ustedes cogen el Hash y luego cambian el archivo y la idea es que ustedes vean que el
Hash cambia, aún con cambio mínimo, súper chiquito, el resultado del Hash cambia…

Luego veremos, el siguiente taller tiene que ver con Parsing X.509… ¿Qué es X.509? una familia
de Estándar que tiene que ver con certificados digitales, pero tiene que ver también con listas
de revocación y tiene que ver también con solicitud de certificados, esto va, digamos en un
grupo de estándares que tiene que ver con certificación digital. Entonces, aquí hay un código
que les voy a entregar, para que ustedes legalicen Parsing a un certificado X.509, un certificado
digital, como los de “CertiCard” (0:19:08). Entonces ustedes lo van a ver y van a aparecer una
serie de campus que aparecen ahí, en particular, quisiera pues que vieran que aparecen
“E, N”… Que más adelante veremos es la clave pública del certificado digital, porque
típicamente, y eso es algo sobre lo cual volveremos más adelante, un certificado digital no es
otra cosa que una clave pública, certificada por un tercero.

Si fuera “charladito”, un certificado digital, como los que genera certicámara, Ares o Andes,
diría: “Yo Certicámara certifico, que la clave pública del señor fulano de tal es, este valor de él,
este valor de él…” y Firma, eso es fundamentalmente un certificado digital, Pero aquí
hablaremos un poco de todo el proceso de cómo se solicita el certificado, que puede hacer uno,
como opera la autoridad certificadora, como generar el certificado digital, Etc.
Y luego hay otro taller que tiene que ver con Canon XLM, la versión canónica, estándar en un
documento XLM y veremos que eso es supremamente importante, específicamente para el
tema de firmas digitales. Y luego hay una serie, un par de talleres que tienen que ver con la
factura electrónica colombiana, que ya la definición especifica que hizo la DIAN de la factura
electrónica colombiana.

Esa es fundamentalmente la idea, me devuelvo un poquito, estos son los contenidos del día 1,
del día 2 y el siguiente es de los talleres, ¿cómo la ven? ¿Preguntas, comentarios hasta acá?
Planeamos una visón bastante completa de todo el tema, de todo lo que ustedes necesitan
saber, para poder llegar a la factura electrónica.

Siéntanse libres por favor de interrumpir cuando lo quieran, distribuimos en una llave USB el
material de clase, están los talleres, están en todos los computadores. Ahora vamos a hacer, lo
que hemos imaginado, ya que estamos un poquito como idos… Lo que hemos imaginado es que
de ocho a nueve y media trabajamos, dos sesiones. Luego de nueve y media a diez hacemos
una pausa, de diez a once y media hacemos dos sesiones, de once y media a una hacemos un
break para que puedan almorzar ustedes, “el almuerzo no está incluido”...
De una a una media a dos y media tenemos ya las últimas dos sesiones y de dos y media a tres y
media lo que tenemos es una sesión informal de preguntas y respuestas… Es decir el que se
quiera quedar, nos quedamos charlando, y hablamos de todo, si quieren hablar de “Turing” si
quieren hablar de historia de la criptografía que es supremamente pintoresca, hablamos de
“Turing” , si se quieren quedar jugando con la maquina enigma, nos quedamos jugando con la
maquina enigma, ustedes dirán mejor dicho… ¿Si? ¡Y estos son los contenidos!
¿Preguntas, comentarios?... Vamos a estar trabajando dos días… Sr. – “¿Yo tengo una
pregunta, Cual es tu nombre? “. – Milton Quiroga. Ahora más tarde preguntamos nombres
como para poder recordarnos… La idea es, vamos a estar hoy y pasado mañana, es decir,
siéntanse libres de preguntar, siéntanse libres de interrumpir cuando ustedes lo consideren, y
bueno, pues si no hay más temas, les parece que arranquemos…

Bueno, La Primera Sesión tiene que ver con una breve historia de la criptografía y los cifrarios
simétricos hasta la segunda guerra mundial. Seguridad tiene que ver, groso modo con cuatro
conceptos. Bueno, alguno de ustedes dirá: “Pero hay falta disponibilidad…” y tienen toda la
razón, hoy en día la disponibilidad es posiblemente el problema que más atormenta a alguien
responsable de seguridad en una organización, es decir, como hacer para tener el servidor
activo, pase lo que pase, vienen los ataques de abnegación del servicio, etc., etc… todos eso
ataques anónimos y estas cosas y aquí haría falta disponibilidad, sin embargo no está
disponibilidad por una razón clara, como especie todavía no sabemos cómo conseguir
disponibilidad, con criptografía, sabemos cómo conseguir confidencialidad, autenticidad, No-
repudio, Integridad, pero no sabemos cómo hacerlo con criptografía, entonces por eso no está
incluido disponibilidad, pero por supuesto que hay que reflexionar en estos servicios de factura
electrónica, factura digital, tenemos que reflexionar acerca de disponibilidad, como hacer para
que este el servicio arriba, cuando hayan miles de contribuyentes, enviando sus facturas…

O como hacer, cuando ustedes estén operando su sistema de facturación dentro de su

empresa, como hacer para que este arriba, porque es que si ustedes no facturan, pues “no se
come en la casa más o menos…” Bueno, entonces, Confidencialidad…
¿Qué es Confidencialidad? La Confidencialidad tiene que ver con, mantener información
secreta, fuera de las manos de usuarios no autorizados, piénsenlo bien.

Entre otras cosas… ¿Será que la información de facturación, es confidencial? ¿Ustedes que
opinan? ¿O se trata de un documento público? ¿O será que si alguien…? Poniéndose ustedes en
los zapatos de la organización a la cual le está tratando la factura, ¿Sera que se sepa…? que se
sepa, en cuanto vendieron ustedes algo, con que descuentos, con qué plazo, ¿será confidencial
o no será confidencial? Por ejemplo si yo soy, por decir algo, casa editorial el Tiempo, en la
información de los subscriptores está la factura ¿o no? ¿Será confidencial o no será
confidencial? Yo me imagino que alguien del espectador le interese esa información ¿o no?
Quien es suscriptor, dirección, teléfono, cédula o NIT, valores, descuentos, plazos… Esa
información es confidencial, esa información, no es perdiblemente confidencial, pero es
información confidencial, piensen por ejemplo ustedes en la parte de nómina, que es un error
que algunas organizaciones cometen, la nómina, hoy en dia en una organización, ¿Cómo se
paga la nómina? ¿Será que, como en mis tiempos, se imprimen unos cheques? ¿Cómo se hace?
Con un archivo plano, ¿ese archivo plano típicamente donde se genera? En la aplicación de
nómina y ese archivo plano se envía a través de la red, al Banco ¿Será esa información
confidencial? ¿Será nosotros somos confidenciales? ¿Sí o No? piénsenlo bien.
¿Recuerdan esa definición de colega? Colega es persona completamente carente de habilidades
que inexplicablemente gana el mismo sueldo que uno… Que sepa solo ese extracto, (0:26:50).
pero será que la información de pago de una empresa, por ejemplo una empresa paga nómina
y paga proveedores, la información de proveedores ¿Sera confidencial?...
¿Ustedes que opinan? ¿Será que lo que ustedes le pagan a Codensa, por energía eléctrica, es
confidencial? Para Codensa Sí... Para Codensa si pero en general…

Ahora, ¿Cuál es el problema de pago de proveedores? Quizá la información de pago de

proveedores no es confidencial, pero ¿cuál es el problema? Qué pasa si allá donde dice:
“Páguese a Codensa tantos miles de millones de pesos por energía eléctrica, ¿qué pasa si yo allá
cambio, y el lugar donde dice Codensa pongo, Pedro Pérez?” y pongo el número de la cuenta de
Pedro Pérez… y lo mando al banco y el banco hace la inspección, ¿Y qué sucede? Resulta que
ese Pedro Pérez dos horas después puede estar en las islas Caimán, tomándose en “Daiquiris”…
La plática del pago de Codensa ¿o no?... Porque ahora, recuerden ustedes como sucedían, los
que se acuerdan… como sucedían los pagos con cheque, uno consignaba el cheque y había que
esperar tres días para que hiciera canje. Hoy en día en cuanto tiempo queda ese pago efectivo,
tres horas, hasta la siguiente tanda de “ACH” (0:20:07). Entonces, pago a proveedores no es
quizás confidencial. ¿Qué tiene ese pago de proveedores, que característica tiene? Integridad…
No debe ser alterable, Integridad, Integridad…

Autenticidad, ¿En qué consiste Autenticidad? ¿Qué será Autenticidad? Verificar con certeza la
Identidad del interlocutor, antes de cometer alguna embarrada, ¿tiene sentido o no tiene
sentido?, a ver, si yo voy por la caracas… y ahí en la esquina de la cincuenta y tanto con caracas,
hay una chasita así pequeñita que dice: “Bancolombia, deje sus ahorros acá” ¿ustedes creen
que yo voy a ir a esa chasita a dejar mi dinero porque dice Bancolombia, escrito en un cartón?
NO. ¿Pero que pasa en internet?, en Internet ustedes no tienen forma de distinguir una chasita
del servidor real de Bancolombia ¿o no?

Entonces, ¿En qué consiste la Autenticidad?, hombre que yo antes de, dar mis claves y dar mi
información, sepa con certeza que estoy hablando con: Bancolombia… Y por el otro lado, desde
el punto de vista de la factura electrónica, Que la DIAN sepa con certeza, que yo como
contribuyente, soy realmente yo, no hay sea que haya alguien travieso generando facturas
falsas, para crear “Ivas espurios” (0:29:46)., y que finalmente termine la empresa, envainada
porque se generaron facturas falsas ¿o no? Es posible, en estos escenarios que estamos
manejando de fraude, claro que es posible.

Bueno, No-repudio, ¿En qué consiste no repudio? Bueno, en resumidas cuentas, que una vez se
generen la factura ustedes no tengan forma de decir que no la generaron. La factura se causó,
se cargó el Iva, Listo. Integridad, lo veíamos, no alterar un documento, ¿Cómo se consiguen
estos atributos en papel? –“Con firmas y con marcas de agua sencillos…”
Firmas, marcas de agua por ejemplo, que es la primera, hagan memoria ustedes… por allá en su
infancia la primera vez que vieron una escritura pública, ¿Qué les llamo la atención a ustedes de
una escritura pública la primera vez que la vieron? Los sellos, los sellos los facilitan ahí en la
diez y siete con tercera… y hacen unos mejores que los originales. ¿Qué otra cosa? El sello seco
digamos que llaman…

Pero también los hacen, ¿Qué otra cosa? -´¿El papel?´… ¡El papel! ¿Qué tiene el papel de las
escrituras públicas? -‘Es de un gramaje específico…’ Es de un gramaje específico, también lo
podría ser, pero también hay otras características. Tiene unas marquitas de agua, ¿Para que
serán esas marcas de agua?... ¿Se acuerdan ustedes por allá en el bachillerato cuando uno le
tocaba hacer planchas, yo no sé si ahora les toque hacer planchas, pero hacer planchas era una
mamera… y uno se equivocaba y ¿qué hacia uno? Borraba… ¿Qué borraba? Con una cuchilla,
empezaba uno a raspar… ¿Qué pasa si el papel tiene una marca de agua y yo me pongo a raspar
con una cuchilla? Se daña la marca de agua. Entonces, típicamente el papel sellado, ‘ustedes
miran así´, a través de la luz y dicen: “Aquí, borraron”.

Pero hay otra característica, piénsenlo bien, hay otra característica, en las escrituras públicas…
- ´La numeración…´ La numeración´ ¿Qué más? ´La autenticación de la Notaria…´ Bueno, pero la
verdad, no le creo mucho a la Autenticación de la notaria, finalmente lo que uno ve en una
Notaria es que ¿Quién lo autentica a uno? El operario de la Notaria ¿No? Porque realmente lo
que yo he visto es que el notario firma lo que le ponga el secretario… el muchacho que lo está
atendiendo a uno, la muchacha que lo está atendiendo a uno, ellos firman lo que le pongan,
quizás lo único que revisan es que uno haya pagado.

Pero son los usos y costumbres en Colombia de la notaria, no tenemos por qué espantarnos ni
hacernos cruces ni nada, esos son los usos y costumbres en Colombia. Las escrituras públicas no
tienen punto y aparte… Punto seguido, todo es punto seguido, ¿Será para ahorrar papel? NO.
Para no dejar blancos, porque si dejan blancos queda la tentación que alguien valla y complete
la frase, entonces no hay punto y aparte, sino al final, ya en el momento de las firmas, ¡¿Si,
tiene Sentido?! ¿Porque sucede esto? Para evitar alteraciones.

Ahora, ¿Cuál es el problema? Bueno, haber… ´En video y todo, pero bueno´. Les toco a ustedes,
por allá en bachillerato, que se portaron mal, y la profesora le decía: “¡Ahora tiene que traer
esto firmado por sus papas! ¿Les toco o no les toco? ¿Y qué hacían uno? Uno sabía que llegaba
a la casa y… No son como los muchachos de hoy en día, en nuestros tiempos era ´Rejo´…
¿Y entonces uno que hacia? Pues uno sabía que si llegaba con la noticia que tenía que firmar el
papá, ¿Entonces que hacia uno? Bueno pues algunos, ´a mí me contaron que hacían´…

Cogía uno, un trozo de papel y un lapicero, y empezaba, a firmar por el papá, hagan memoria
aquellos que les tocó, no tienen que confesarlo ahora. Pero hagan memoria y verán, que
típicamente, uno terminaba con una firma mejor que la que hacia el papa, ¿o no?
Y es que pónganse ustedes a pensar en una firma manuscrita, si ustedes se ponen ocho horas
diarias durante 300 días del año, todos los días entrenar a falsificar una firma, falsificar una
firma, ¿Ustedes que opinan, será que son capaces de falsificar una Firma?
Ahora, ustedes dirán, “A no pero, un grafólogo experto ve esa firma y se da cuenta que es
falsa”, Si pero cuantos grafólogos expertos conocen ustedes, yo conozco dos… Y en toda mi vida
trabajando en Seguridad de la información y tengo dos, ambos “XTAS Y 1.T AS” (0:34:58), es
decir, grafólogos expertos, no son comunes, porque el tema de falsificar una firma es un tema
artístico ¿o no? Es simplemente, ensaye, y ensaye y ensaye… Y verá que al final termina siendo
una firma bastante parecida. Lo que queremos es que todos estos atributos se puedan
conseguir, con firmas digitales, con ciframiento, quisiéramos poder conseguir:
Confidencialidad, Autenticidad, No-repudio e Integridad, utilizando “BITZ, no ATOMS”
(0:35:42).

No quisiéramos que la garantía fuera artística, quisiéramos que la garantía fuera matemática, y
que ustedes dijeran: “Ay, es que para falsificar esta Firma me tardo dos veces la edad del
Universo para poderla falsificar. Y no tengo tanto tiempo, por lo tanto la firma es demorada,
eso es lo que se busca fundamentalmente.

Bueno, esta es una caricatura de ´New Yorker´ de hace muchos años, pero más o menos ilustra
cual es el problema… “En Internet, nadie sabe que usted es un perro”… ¿Quién es su
interlocutor al otro lado? Nada, uno no sabe quién pueda estar al otro lado, puede estar el
amor de su vida, o puede estar una sorpresa. Bueno, Este es el modelo genérico de la
criptografía tradicional, ¿Cuál es la idea? Nosotros tenemos un texto claro que lo vamos a
llamar (M) Y en general la convicción es de aquí en adelante es que todo lo sea texto claro, le
ponemos (M). Qué pasa por un método descifrado, que está parametrizado por una llave y este
método descifrado pasa por un canal potencialmente inseguro, piensen en Internet, piensen
incluso una “VTN” (0:37:01).
¿O no? O piensen incluso en un canal contratado por un “Care” (0:37:06). ¿Será que es
inseguro? A ver, los muchachos del centro de control del “Care” (0:37:12) a las dos de la
mañana con un administrador de protocolos bajo el brazo ¿Qué se ponen a hacer? Aburridos,
para no dormirse, porque no se pueden dormir… pues se ponen a leer el tráfico ¿o no? A penas
normal…

Y este mensaje cifrado, protegido con esta clave descifrada, que utilizaremos esta rotación que
significa el mensaje (M) cifrado con la clave “E,k”, pasa por un método descifrado en el destino,
que tiene una clave descifrada donde obtenemos el mensaje. ¿Ok? Típicamente, esta clave y
esta clave son las mismas y esto, por eso se llama, criptografía simétrica, porque la clave de acá,
es igualita a la de acá… Lo cual nos pone un problema ¿o no? ¿Qué problema tenemos ahí?
¿Cómo la distribuimos? Piensen ustedes, un banco pequeño, un banco pequeño tiene ciento
cincuenta oficinas, ¿Cómo distribuyen ustedes Claves, en las ciento cincuenta oficinas? No es
fácil ¿o no? ¿Cómo hacemos, “será que mandamos por Servientrega, con el policía…? No es
fácil. Pero hay otro tipo de criptografía que la vamos a llamar Criptografía Asimétrica, en la cual,
esta clave y esta clave, son diferentes… ¡Por eso se llama A-simétrica! Y veremos, que distribuir
la clave con criptografía Asimétrica, se simplifica, Muchísimo.

Y por eso en la factura electrónica Colombiana, se incluye Criptografía Asimétrica para que el
sistema sea escalable, para que se puedan tener claves, material criptográfico de miles de
contribuyentes, sin que nos enredemos, ¿Tiene sentido o no tiene sentido? Bueno, ¿Qué tipo
de intrusos tenemos acá? Hay intrusos pasivos que solamente escuchan, Ahí pendientes,
´escuchando en el canal, a ver, a ver… que es lo que están cometiendo, que es lo que están
enviando´… ¡Y hay intrusos activos! ¿Qué hacen estos intrusos activos? Escuchan el mensaje y
de repente lo alteran… Yo no sé, pero de pronto por allá en alguna mente malvada, tiene
sentido generar facturas falsas… Y meter al contribuyente en un lío ¿o no?

Entonces, este tipo de intrusos, este tipo de intrusos, este tipo de Atacantes, también están
contemplados en los controles criptográficos que tiene la factura electrónica colombiana.
Hay una serie de atacantes: “El máscaras, el narices, el fotocopias, el pinzas, el torcido, el
cucarachas”… Cada uno tiene sus propias destrezas, por ejemplo, “el máscaras”, ¿Qué hace?
Se pone la “dirección IP” de otro, ¿Qué tan difícil es ponerse la “dirección IP” de otro? Trivial,
doble Click en el panel de control, Doble Click en el icono de red y cambia la dirección IP?

¡”El narices”! ¿Qué hace “el narices”? Olfatea la red, ¿Cómo les parece? ¿Qué tan difícil es
olfatear la red? ¿Será que uno utiliza tecnología de la NASA para olfatear el tráfico de red?
“Debe estar bien ubicado”… Bien ubicado… ¿Hay que comprarlo? NO,
“¡WareShare”(0:40:36).es “Open Surce” 0:40:40). Es gratuito uno lo puede bajar, y si se ubica
adecuadamente en la red, porque a veces es un poco más difícil olfatear ¿________________?
(0:40:48). ETC, ETC… Si ustedes se pueden ubicar adecuadamente, ahí pueden ver toda la
información que pasa…
Toda la información que pasa, es más, alguien me contaba de un banco, un fraude que tuvieron
que capotear muy complicado porque, en la “UPS”, (0:41:01) el regulador de voltaje del cajero
automático, alguien puso una “RedRAREPAIR” (0:41:09) por dentro, ¿han visto la
“RedRAREPAIR” (0:41:12)?… ¡Eso es mágico, es una maquina “librets” (0:41:16) de 30 $USD Es
realmente una ´machera´, realmente una ´machera´. Le metieron una “RedRAREPAIR”
(0:41:22) con “WareShare” (0:41:23) que es “Open Surce” (0:41:24) todo es “Open Surce” y
tenía un Puerto “ITERNET” (0:41:27) a un puerto “ITERNET” y ¿Qué hacia el operador del
cajero? Pues sin entender mucho lo que estaba haciendo decía: “No pues si esto es una unidad
que protege contra “Tipos de Voltaje, pues yo le pongo el cable “ITERNET” y “ITERNET”,
“ITERNET” y estaban olfateando con el cable “ITERNET” todo lo que pasaba en el cajero
automático… el cajero automático, la información del “PIN” (0:41:45) va cifrada, pero el resto
no, bueno, mejor dicho, es un fraude interesante pero no vale la pena mencionar más detalles
acá…

Solo les quiero hacer notar que, un analizador de protocolos, un “Snifer” (0:41:56) no es
tecnología de la NASA, no hay que comprarla, eso se baja, en cualquier maquina funciona,
desde que este bien ubicado el “Snifer” ustedes pueden olfatear todo el tráfico que pase por la
Red.

¡“El Fotocopias”!, “El Fotocopias” es más interesante todavía, porque el “El Fotocopias” captura
el tráfico de la red, e inyecta copias, ¿Qué tan difícil es eso?…
Yo nunca lo he hecho con “WareShare” (0:42:26) pero hay unas librerías, las librerías de
captura son las librerías “Pkab” (0:42:31) para Windows son las librerías “Pkab. Las librerías de
inyección, son… No sé si es “libnet o netlib”, pero si alguien tiene Google y nos saca de la duda,
es una de estas dos, si alguien, puede buscar, búsquenlo por “Packet Inyection”, puede ser o
“netlib o libnet”, son librerías de inyección, de tráfico. Entonces, escogen un paquete
perfectamente válido… Original, Perfecto. Pero si ustedes le sacan cien copias… ¿Podrían haber
problemas o no?

Piensen ustedes, pago de nómina, el pago de nómina está perfecto, ¿pero que pasa si yo le saco
una copia, a ese archivo de pago de nóminas y genero cincuenta copias y las mando al banco y
el banco, muy tontamente, pues me paga mi sueldo cincuenta veces o no? Y me voy para las
islas caimán, no toca por ahí unas doscientas veces para irme a las islas caimán tranquilo…

“Libnet” (0:43:43) bueno entonces, por favor es “Libnet”, son librerías de “Packet Inyection” si
ustedes tienen destrezas en “Zet” (0:43:53), estas librerías… Además que es impresionante, Son
súper veloces entonces son una ´machera´, es una ´machera´, y es increíble, hay mucha
tecnología que con copias con simplemente introducir copias espurias, causan problemas.

A bueno, “el torcido”, ¿Qué hará el torcido? “El torcido” lo llamamos el torcido porque como
les parece que ´está más atrasito del farol´… Es alguien que de pronto comparte el baño con
ustedes, comparte la cafetería con ustedes, ¿Han sabido de casos de fraude interno?,
claramente, hoy en día es más importante el fraude interno que el fraude externo, Más fácil…

A veces, ni siquiera el tipo es malo, lo que hemos encontrado en muchos casos de fraude
interno es que, ni siquiera es fraude interno, es que el tipo es un inocente, buena persona
¿___________________? (0:44:50) y va y hace el fraude en una empresa. Ósea, es bien
complicado el tema de los usuarios, la forma en la que los usuarios se comportan, con el uso de
la tecnología y con los temas de seguridad es muy complicado, y ahí la única forma es:
Sensibilización, Sensibilización, Sensibilización… pero es de nunca parar.

¡¿“El cucarachas”, que hace “el cucarachas”?! No tiene ninguna destreza, lo que hace es meter
trafico oscuro en la Red, que con “libnet” es bastante fácil de hacer. Bueno, Entonces, ¿Que
tenemos? Usuarios legítimos, Ana, Beto, el honesto Juan, Alicia “siete pareceres”. Ana es el
cliente, Beto es el banquero, ni Ana ni Beto son realmente, digamos, con una honorabilidad
comprobada, si alguno ve la posibilidad de hacerle un fraude al otro lo hace. No tiene ningún
problema, el honesto Juan, ¿Quién es el honesto Juan? El honesto Juan es alguien de nuestra
entera confianza… Hagan de cuenta, el hijo del Papa y la Madre Teresa de Calcuta, alguien así,
del cual absolutamente todos creemos, ¿Existirá el “Honesto” Juan? Si, Piénsenlo bien. El
administrador del correo electrónico de la empresa en la cual ustedes trabajan es el “Honesto
Juan” ¿o no?... Ustedes confían en que él no les está revisando el correo y confían en que el no
genera correo electrónico a cargo de ustedes. ¿Sí o no?

Bueno, aquí veremos, una autoridad certificadora no es exactamente el “honesto Juan” en el

sentido en que no confiamos ciegamente en ellos, en las autoridades certificadoras… Y esta
Alicia, ¿Qué hace Alicia? A, Alicia cambia de opinión todo el tiempo, a veces dice una cosa, y
luego dice: “No, no, no, realmente no dije eso, yo lo que quise decir fue esto y esto… Fíjense
ustedes que ese es un candidato súper interesante para: No-repudio. Y este tipo de adversarios
o de participantes tenemos que modularlo con la factura digital, con la firma digital, queremos
que alguien no ´heche pa´ atrás´ lo que ya dijo. Bueno, y los Hackers que ya les decía a ustedes
las diferentes destrezas que tiene cada uno.

Uno de los primeros cifrarios del cual se tiene noticias se llama “el cifrario de César”, ¿Qué
hacía César, cuando quería enviar un mensaje secreto? Él decía, no pues listo, yo tomo el
mensaje, y cada letra del mensaje lo remplazo por el carácter que esta tres posiciones adelante,
¿fácil o no? ¿Cómo les parece? Bueno, la verdad, fue una mejora en tiempo real, porque antes
de antes de esto ¿Qué hacían los egipcios si querían enviar un mensaje secreto? Cogían al
mensajero, le rapaban la cabeza, le tatuaban en la cabeza el mensaje, esperaban unos meses a
que le creciera el pelo y lo mandaban. Entonces, ¿Es mejor en tiempo real o no?

¿Más o menos? Podemos hacer un cifrario de César generalizado, ¿Qué les parece a ustedes?
Que en lugar de cifrar con el carácter que esta tres posiciones adelante, ¿Qué les parece a
ustedes si lo ciframos por el carácter que está en posición más adelante? ¿Cuántos intentos
tengo que hacer para descifrar un mensaje de César generalizado? -“32… 32 permutado”… No
más fácil… ósea, tenemos que intentar con 1, concejo… “N – 1”… Sería N – 1, si son 28 letras del
alfabeto, tendríamos que hacer veintisiete intentos. No es nada del otro mundo, lo que pasa es
que para la época si posiblemente era muy raro, si la gente ni siquiera sabía leer y escribir,
piensen ustedes, ósea ya con que en el papel estuviera escrito ya estaba cifrado ¿o no?

Bueno, ¿Qué pasa, si con este cifrario de César generalizado, yo cifro dos veces? Uno con una
clave (M) y luego con otra clave (N)… ¿Cuántos intentos tengo que hacer?... Tomo el mensaje,
tomo el mensaje (M) y lo cifro primero con un cifrario pero con un cifrario generalizado
digamos, con un “(N) = Algún valor” y a lo que me da, vuelvo y lo cifro con un “(M) = Algo”
¿Ustedes que opinan? ¿Habré ganado en seguridad? A cifrar dos veces, ¿o será que esto es
completamente equivalente a cifrar con (M) + (N)? Del mensaje... ¿Completamente equivalente
o no?
Es decir, noten ustedes que aquí no ha habido ningún error. Aquí tenemos que ponerle
“modulo 26 ¿tal vez?”… Para que empate, pero groso modo lo que les quiero hacer notar es
que cifrar dos veces no mejora la situación, en este caso.

Este es el cifrario de César generalizado, entonces, ciframiento con la “clave K del mensaje E…
(M + K) Modulo 26” (VERIFICAR FORMULA) (0:50:56) Para cada letra… Y esa es
fundamentalmente la idea. Esto lo utilizaban los franceses, se llama la regleta Saint-Cyr. Yo
traje algunas por si las quieren ver… Esto lo utilizaban los oficiales del ejército, francés. Fue lo
que les enseñaron en la academia militar Saint-Cyr. Una réplica histórica bastante simpática;
¿Entonces cuál es la idea? La idea regla adentro ustedes la pueden deslizar, esta entra y sale,
tranquilos…
Y entonces dependiendo del numerito de la clave que escojan ustedes hay les aparece el
mensaje cifrado, claro si ustedes están en plena batalla con Alemanes por todos lados etc...
Pues, ponerse ustedes a calcular módulo, en pleno campo de batalla, como que no dan ganas…
Entonces saca usted la regleta y ya, lo que quieren decir es tal cosa y tal otra… De nuevo, fíjense
ustedes el uso militar de este tipo de tecnología…

Bueno, pero no solamente uso militar, por ejemplo, si ustedes leen el Kama Sutra, además de
un montón de información supremamente interesante; Aparece este cifrario. Es decir, noten
ustedes que también tenía una aplicación en el amor. Y por qué la gráfica es casi auto-
explicativa, ¿Quién me quiere indicar, cual es el texto cifrado? -“Traidor”… El traidor ¿NO?
¿Cómo la ven?...
´Yo creo que ni se estresen tomando apuntes, ni se estresen tomándole fotos, porque yo les
puedo enviar el material de la presentación en PDF, tranquilos… Yo creo que no hay problema
por la DIAN, en distribuir el PDF, tranquilos.

Entonces, ¿Vieron porque “El Traidor”? Rápidamente, porque esto es E, ´porque este cajoncito
mira para arriba´ ¿Cuál es el único cajoncito que mira para arriba? ¡Este! Y el punto está en la
mitad, lo que es una E. La L, miren ustedes esta cajita, va para allá, que es esta, y el punto está
en la tercera posición, fácil. ¡Ese es el Cifrario Masón, igualito! Recuerdan ustedes la masonería
haciendo una, una sociedad secreta…

Pues está en su mejor interés, mantener esta información confidencial, es más alguien me
contaba algo muy simpático, y es que me contaban que en la cámara de comercio, donde se
registran las actas, la gran logia de Colombia, alguien me decía que las actas llegan así, con este
cifrario. ¿Quién me quiere ayudar a ver como escribimos “El Traidor”? ¿”Como sería “El
Traidor”? ´Cuadrado, la L sería menor que´, más o menos… ´La T, póngamele un puntico, o una
raya perdón, una raya pero que no se nos valla a cerrar, ¿La R cómo sería? Cuadrado con
rayita, ¿La A cómo sería? Sin raya, La I sería así… Bueno y así sucesivamente. Si ustedes se fijan,
aquí el método es Secreto, porque el método de la clave no se distingue ¿Cierto? Un ejercicio
de dos minutos:
Un carácter… Podemos inventarnos un cifrario en el cual un carácter lo remplazamos por uno
cualquiera, por uno diferente, ¿Les parece? Chévere…

¿Alguien me puede decir que dice ahí? A ver, la tabla no tiene mayor gracia, porque lo único
que hice fue: Tomar el texto y pasarlo al “FONT, WINDINS” (0:56:30), Y ahí me aparece eso,
¿Sera que somos capaces de romperlo, sin saber la codificación “WINDINS”? ¿Qué haríamos,
como lo romperían ustedes?... ´Esto sucedió hace cuarenta años, recibiste este mensaje secreto
´.

Hagan memoria de algo, no sé si sea solo de mi generación, o de pronto, ¿Ustedes jugaron Stop
de niños? El juego era muy bien hasta que llegaba: ´Fruta por X´… ¡¿Alguien fue capaz de
encontrar fruta por X?! Todavía no entiendo por qué uno se ponía a jugar Stop, nunca se podía
terminar el bendito juego, en el mejor de los casos se podía llegar a la X, ¿Qué pasa con la X?
Salvo de Instrumento Musical por X, que era Xilófono ¡no había nada que uno pudiera hacer!
¡¿O sí?! ¿Qué pasa con la X? Qué características tiene la X? ¡La X en castellano es muy rara, no
aparece! - “Excepto para los mexicanos”. Para los mexicanos si aparece mucho la X”… Si pero
en Castellano… Además que en castellano antiguo trata de distinguirse con la J.
En Fin, ¿Qué les parece a ustedes? En cambio la letra A, la letra E, la E es la que más
frecuentemente aparece, es más, estas son unas cuentas muy rápidas en inglés, ¿cuál es la letra
que más frecuentemente aparece en Ingles? La letra E. En Español, es posiblemente la A, La W,
¿Qué tanto aparece en Inglés? Bastante, en Español… No, la W es escasa, aunque de un tiempo
para acá hay un montón de”Wilsons y Willians”…Y ya la W se ha vuelto más popular en
castellano. Pero hasta hace cincuenta años no había acá; era casi tan escasa como la X, O fruta
por W ¡Haber! ¿Quién se sabe una fruta por W? Típicamente uno en Stop, si paraba en la X, era
con el ánimo de llegar a la W. Bueno, pero en fin, sabiendo que hay caracteres más frecuentes
que otros,
¿Podrían ustedes romper este mensaje? ¿Qué harían ustedes? Contarlos, por ejemplo, ¿Cuál
creen ustedes que sea el carácter que más frecuentemente aparece ahí? Siendo texto en
español. ¿Esta? La “M” ¿Qué creen que sea? ¿Cuadrito pequeño negro, o cuál?
¿Cuál crees que sea, la A?... ¿El cuadrado así es la que? La “N”, entonces ¿podemos ir leyendo?
´En… y ahí es otra N; En un… Lugar de la Mancha´ -“… de Don Quijote”…
Al primer intento, en cuestión de minutos, en cuestión de minutos.

Entonces, puede que esto parezca muy sofisticado, pero en realidad se rompe si ustedes tienen
en cuenta la distribución de las letras del alfabeto. Es más, si ustedes vieron la película de “The
Turing”, la que salió el año pasado, o el año antepasado… Recuerdan ustedes que hay un
militar, que pone a “Turing” lo pone a trabajar, con un poco de tipos y tipas, ¿Qué qué era lo
que hacían? ¿Se acuerdan que era lo que tenían que hacer ellos? Contar símbolos… Y hasta la
primera guerra mundial era la forma en que se rompían mensajes secretos, contando símbolos,
¿Cómo la ven? Es más mucho de la trama de la película de ¡¿_________?! (1:01:34) Es “Turing”
diciendo:
´Por ese lado no es´… y vamos a ver porque, por ese lado no era.

Bueno, para evitar contar símbolos, para evitar que el atacante contara símbolos, se utilizaba el
tema de las homófonas y mudas, ¿Cómo la ven? ¿Qué es esto de las homófonas y mudas?
Por ejemplo, la X nunca aparece en español, pero si yo le pongo aquí una X, artificial, que no
altere el significado del mensaje, ¿Qué pasa cuando el atacante empiece a contar símbolos?
Aparece un carácter raro, ´ ¿Será la W, será la B? Lo enredamos un poco. Estas son las
homófonas y mudas que se utilizaban… también se utilizaban los nomencladores, este era el
Nomenclador de María Estuardo. ¿No sé si lo alcancen a distinguir acá?

¿Qué ven ustedes? La letra E, a veces se codifica como este símbolo, a veces se codifica como
este símbolo, a veces se codifica como este símbolo, a veces se codifica como este símbolo…
Y noten ustedes que las letras, que más se aparecen en este alfabeto, son usualmente las letras
que tienen más remplazo ¿Si? Por ejemplo, aparentemente la M no aparece mucho, entonces
se utiliza mucho en estas dos codificaciones. Y adicionalmente, ¿Qué hacían…? Tenían
abreviaturas, por ejemplo, el Rey de Francia se remplazaba así, se remplazaba por este
carácter, Reina de Navarra se remplazaba por ese carácter. ¿Cómo la ven? ¿Tiene Sentido?
¿Qué pasa si yo me pongo a contar caracteres de un texto cifrado con este nomenclador? ¿Qué
me va a suceder? Si el alfabeto tiene veintiséis caracteres, ahí me aparecerán no sé, ¿sesenta,
setenta? Es decir, ¿Qué es lo que se busca, si yo grafico la distribución de probabilidades de los
símbolos?, es decir, si, yo gráfico con el texto cifrado, una gráfica como esta, ¿Qué debería
haber? ¡Igual!, una distribución uniforme, una distribución así parejita, ese sería el mejor
cifrario, ese sería el mejor cifrario, si lográramos hacer que la distribución fuera Uniforme,
¿Porque que hace el atacante? Nada, ósea con ponerse a contar no gana información adicional,
¿Tiene Sentido?

Listos.

Y así llegamos al cifrario de Vigenére, ¿Cuál es la idea? Bueno, el cifrario de Vigenére necesita
una tabla de veintiséis por veintiséis, lo que pasa es que poner los veintiséis por veintiséis me
parece que no va a quedar visible. Entonces, típicamente puse solamente algunas letras que
son las que vamos a usar, miren ustedes, supongan que el mensaje es “Estamos Descubiertos”.
Y la clave, muy inocentemente vamos a suponer que es ´Ábrete Sésamo ´, pero miren ustedes lo
que voy a hacer, escribo: ´Ábrete Sésamo´, ´Ábrete Sésamo´, ´ Ábrete Sésamo´, ´Ábrete Sésamo
´… De ahí en adelante ´Ábrete Sésamo´ cuantas veces quiera, ¿Si? Y el mensaje “Estamos
Descubiertos”.
¿Cierto? ¿Qué hacemos?
(FAVOR VERIFICAR LETRAS, MAYUSCULAS O MINUSCULAS DE LA FORMULA O CIFRARIO)
(1:05:33) Miro la letra ‘e´ del mensaje, ¿con que la ciframos? La letra ´e´ del mensaje, la
buscamos acá, ¿y con qué fila nos vamos? Con la fila de la ´a´, entonces esta ´e´, como esta con
la fila de la ´a´, Se convierte en una E Mayúscula, ¿Si?

Ahora, la siguiente letra es la ´s´ pero está bajo la ´b´, ¿Si la ven? Entonces nos vamos por la fila
´b´, ¿Y qué me da? T. y la letra T, está bajo la letra ´r´ ¿o no? Letra ´r´, letra ´t´ ¿Cómo se cifra?
Como una ´k´ (1:06:15) Y así sucesivamente… Esto se puede programar súper fácil, pero
digamos, esa es la descripción en tabla, noten algo ustedes súper interesante, ¿Qué pasa con
esta letra ´e´, de ´estamos´… y con esta letra ´e´ de descubiertos´? Aquí se cifro como: E
mayúscula, y aquí se cifro como: W, ¿Porque? A, porque por esas cosas de la vida, aquí estamos
bajo la ´S´ Y aquí estamos bajo la ´A´. Entonces, fíjense ustedes que siendo la misma letra, se
cifra de manera diferente, dependiendo de la Clave, ¿Cómo la ven, tiene sentido o no tiene
sentido? ¿Cómo lo rompen? Es súper difícil ¿o no?

Señor… - “Eh, esto todavía se usa en banca hoy en día, nosotros imprimimos estados de cuenta
bancarios y vienen cifrados, los números vienen así, y tenemos once distintos cuadros, y ellos
nos envían por separado cuál de los cuadros vamos a usar este mes…” Sí, no te puedo contestar
pero creo que tú te contestaste, es que nosotros trabajamos mucho con bancas y tenemos
mucho acceso a información que no creo que podamos compartir, pero esto pese a que, es del
siglo, no sé, es del Siglo XVIII posiblemente, todavía se utiliza en algunos casos. Y se utiliza para
autenticación, mejor dicho, es que el tema de seguridad de información, la verdad, apenas
estamos ´arañando la superficie´.
Ustedes lo que encuentran típicamente, es un montón de procesos viejísimos, viejísimos, que
no han sido alterados por tecnología moderna, excepto el atacante, que si tiene toda la
tecnología moderna para romperlo, esto se rompe supremamente fácil, pues ya en
retrospectiva. Y se los voy a hacer notar porque se rompe fácil, ¿Ven ustedes este ´SK´ y este
´SK´? Una casualidad muy rara ¿o no? ¿Por qué este ´SK´ y ´SK´? Raro, ¿Por qué se repite ´SK´?
Miren ustedes algo súper interesante, este SK´ se repite ¿porque? Porque corresponde a un ´os
´ debajo de un ´es´ y aquí tenemos otro ´os´ debajo de un ´es´ esta tenas, digamos que suceda…
especialmente en Español, un ´os´ con de un ´es´ todo el tiempo aparecen en Español,
castellano. Ahora, que se repita, ¿Me da a mi algún indicio como atacante? Piénsenlo bien…

A ver miren, ¿Qué pasa si yo cuento? 1, 2, 3, 4, 5,6, 7, 8, 9, 10, 11, 12… 12, ¿Cuántas letras tiene
la clave? 1, 2, 3, 4, 5,6, 7, 8, 9, 10, 11, 12. Miércoles, que se repita ´SK´ y ´SK´ ¿Qué me está
indicando? El tamaño de la Clave, es decir, el texto cifrado filtra el tamaño de la clave.

Y si filtra el tamaño de la clave ¿Qué significa? –“Reducir el espacio de búsqueda”… Reduces el

espacio de búsqueda, porque esto se convierte en doce cifrarios mono-alfabéticos que se
rompen de la misma manera que ustedes rompieron ´en un lugar de la Mancha’. Es decir, si en
un lugar de la Mancha, del cual no quiero acordarme, que ustedes lo rompieron ahorita, se
gastaron dos minutos, para descifrar este nos gastamos doce por dos minutos, veinticuatro
minutos, ¿Cómo la ven? Pero viendo esto ¿Ustedes a que conclusión pueden llegar? ¿Cómo
hacemos para fortificar Vigenére? ósea si los bancos lo están usando, ¿Cómo hacemos para
que, lo puedan seguir usando, solamente haciendo cambios mínimos. ¿Qué deberíamos hacer?
Una clave más grande, una clave más grande ¿Por qué? Porque si es una clave muy grande,
este ´SK´ y este ´SK´ no se van a repetir.

Y esto es precisamente lo que nos lleva al cifrario de Vernam, ¡Atérrense! Es inviolable, es

inviolable, completamente inviolable, ¿Cuál es la idea? Se necesita una clave tan larga como el
mensaje, ese cifrario de Vernam, que es una patente de Gilbert Vernam, se utilizaba para
teletipos, entonces la cosa era que, una cinta que tenía la clave y otra cinta que tenía el
mensaje…
Y simplemente lo que se hacía era operar la clave con el mensaje, si lo hiciéramos hoy en día, lo
haríamos, con un “XOR” (1:11:49) es decir, haríamos un “XOR” bit a bit” (1:11:51) de la clave
con el mensaje. –“¿Eso es lo que significa una clave de 64 bits o de 128 bits?”…

No, Groso modo, pero más adelante lo vamos a precisar porque, hay viene lo complicado. Ósea
“Desk: 56 bitz, XAdes 128 o 256 bitz” (1:12:07), entonces depende del algoritmo. Es que una
cosa es la criptografía y otra cosa es cuando tú lo vas a programar en tu computador, porque tú
tienes que seguir un estándar, sino sigues un estándar ¿Cómo haces para que la DIAN te
entienda la factura? O si eres Alpina y le vendes Yogurts a Carulla, ¿Cómo haces? Tienes que ser
Estándar para que el “ERP” (1:12:33) de Carulla que puede ser “ZAP” o “JB EDWARADS O
PEOPLE SOFT” (1:12:35) pueda inter-operar con el tuyo que es de pronto un desarrollo local, si
todos nos seguimos estándares, hay inter-operatividad, entonces por eso digamos uno no ve un
cifrario de “59 NIT” (1:12:46), de tamaño de clave, pues porque todo el mundo va por el
estándar para conseguir inter-operabilidad, Bueno, ¿Entonces cuál es la idea? Una clave tan
larga como el mensaje, y se hace el “XOR” “bit a bit” (1:12:57) entre el mensaje y la clave
¿Cómo la ven ustedes? Súper rápido ¿o no? Súper rápido.

Problemas graves… Esto funciona y es inviolable, es más esto… -“La distribución de la Clave…”
La distribución de la Clave, ¿Por qué? Por aquí tenemos una clave tan larga como el mensaje,
¿Sí o no? Y ustedes para poder distribuir la clave, tuvo que haberla distribuido de una manera
segura y la clave es tan larga como el mensaje, entonces uno se pregunta: ¿Y porque no
distribuyo de una vez el mensaje? Pudo haber distribuido de una vez el mensaje, ahora, generar
estos números aleatorios. El secreto, mejor guardado en criptoanálisis, es: los generadores de
números aleatorios son muy malos.
Cualquier criptoanalista serio no se pone a romper “XAdes” (1:14:05)¿´Pa´ que´? Se gasta
mucho tiempo, es preferible romper el generador de números aleatorios con el cual se generó
la clave “XAdes” es más fácil… Y es sorprendentemente fácil, es más, al parecer eso es lo que
hacen ciertas agencias, de ciertos gobiernos extranjeros para poder espiar, comunicación…

Este por ejemplo es un One-time Pad, capturado por los servicios secretos de su majestad, de
un espía Ruso, ¿Qué ven ustedes ahí? Un librito, y ahí están las tablas, La verdad, no tengo idea
como funciona esto, me imagino que ´la página veinticinco es para el día veinticinco de
diciembre´… Entonces el veinticinco de diciembre, todos los mensajes los envían, los envían
haciendo el “XOR” con estos numeritos ¿Cómo la ven? Pero desafortunadamente, hay varios
problemas, uno de los problemas es como generar “números” que sean realmente aleatorios…
Y si quieren en el Break lo podemos ver o en la tarde lo podemos ver… ¿Qué sucedía?
Típicamente los militares que hacen cuando tenían que “llenar” los números aleatorios, que
hacían cuando tenían que “llenar” los números aleatorios, cogían por allá, jerárquicamente al
más inferior de todos, mejor dicho un tipo que por allá esta, ´apenas encima de “ Zooplanton,
entre y Zooplanton y Flitoplanton” en la cadenas de mando…

-“¡Lance dados, apure! Necesito cinco mil lanzamientos de dados para esta tarde, ¿entonces
que hacia el tipo? Lanzaba, lanzaba, lanzaba, lanzaba… El otro se aburre y el tipo empezó a
reutilizar números aleatorios. Y ese es uno de los casos más sonados de contraespionaje en
Estados Unidos, porque lograron descifrar mensajes secretos de la Unión Soviética, porque el
operador de la Unión Soviética que generaba los números aleatorios en algún momento se
emperezo y empezó a hacer ´Copy, Paste´… Pero apenas normal ¿o no? Yo creo que si ustedes
se ponen la mano en el corazón, encontrarán, recordarán alguna vez en su oficina un vecino
que hizo algo parecido en algún momento y cometió una súper embarrada porque es muy fácil
hacer
´Copy, Paste´ ¿NO?

Bueno, La Scitala Espartana, ¿En qué consiste la Scitala Espartana? Esparta era un pueblo muy
guerrero, entonces típicamente cuando querían enviar un mensaje secreto cogían un bastón,
amarrado a una cinta de cuero el bastón, y luego escribían el mensaje así… ¿Cómo la ven,
Chévere o no? Desata uno la cinta ¿Y qué pasa? ¿Leyendo la cinta podrían leer el mensaje?
Tengo que amarrarla, la clave es el Diámetro de la Varilla, ¿Tiene sentido o no tiene sentido?
Ahora, fíjense ustedes que aquí la letra A, sigue siendo A ¿o no? Aquí no hemos sustituido las
letras, ¿Qué es lo que hemos hecho? ´Re barajarlas, como en una baraja revolver las cosas´…

Esos son los cifrarios de la antigüedad y básicamente se habla de cifrarios de sustitución, como
los que vimos de César, como esta regleta etc, etc… Y cifrarios de trasposición y más o menos
llegamos después de la Segunda Guerra mundial con el algoritmo “Desk” que convina
sustituciones y trasposiciones, pero justo antes del algoritmo “Desk” hay una revolución
tecnológica que eran las maquinas Enigma, las maquinas enigma, básicamente parece una caja
de embolar pero en realidad, para la época, es una maquina supremamente sofisticada, ¿Qué
sucedía en la segunda guerra mundial? Ya había relojes de pulsera, ya había relojes…

Es decir, había la posibilidad de hacer engranajes muy sofisticados, muy muy sofisticados,
¿Entonces qué fue lo que se hizo? Con estas máquinas enigma, ustedes aquí oprimen una letra
y aquí fíjense que se enciende ¿que será, la letra S? no la letra N. Entonces que sucede, aquí
oprimieron la letra S, y se encendió la N ¿Cierto? ¿Qué significa? Que la letra S se va a trasmitir,
como una letra N. Y esa era exactamente la forma en la que funcionaba, si ustedes ven esta
foto histórica aquí está la maquina enigma, aquí está el general Alemán, no sé qué rango
tenga… ´No, está en la trinchera, no es un general…´ El tipo está en la trinchera, básicamente
dice: -“Bueno, que ataquen por la derecha, ¡taquen por la derecha!” Se digita acá: La letra A, se
cifra, la letra T…
Y eso se trasmitía por radio, acá ven ustedes el operador de radio, acá… Este cifraba y este
codificaba por radio, Se trasmitía por radio a todo el campo de batalla, los aliados ¿Podían
entender eso? En general no. ¿Más o menos?

¿Cómo funciona? Funciona así: Son tres rotores conectados, recuerden ustedes que ya los
relojes para la tecnología de pulso, había evolucionado… Y ya existían relojes de pulso,
¿Entonces básicamente cual era la idea? Ustedes digitan la letra hacia acá y miren ustedes, hay
un cableado interno del rotor, por supuesto, el cableado interno del rotor es: Secreto. Aquí
pasa al siguiente rotor y aquí pasa al siguiente rotor… y sale la letra E. Pero como digitaron una
letra, que pasa con este rotor, este rotor se movió, una posición… Y ahora este rotor, tiene una
posición adelante. ¿Qué pasa cuando digito veintiséis caracteres? Este rotor dio toda la vuelta
¿y qué pasa con este? Se movió una vez… Es decir, para volver a la maquina enigma original,
¿Cuántos caracteres tengo que digitar? Por veintiséis, es decir, yo podría contar símbolos… Pero
necesitaría contar el símbolo que aparece cada veintiséis por veintiséis por veintiséis
caracteres, por esa razón en esta película con “Turing” que “Turing” le dice al militar, no hay
forma, porque tendría que tener tablas de cada veintiséis por veintiséis por veintiséis… Y no hay
computadores, no hay nada que yo pueda estar tabulando esa información y adicionalmente
los alemanes cambiaban todos los días de clave, entonces por eso “Turing” le dice al militar:
-“Mira, es inútil no tiene ningún sentido contar símbolos, hay que hacer algo aquí matemático
antes…”

Y eso fue exactamente lo que hizo Alan Turing, Alan Turing básicamente… Bueno, hay algo que
no cuenta la película completa y es que Alan Turing tuvo acceso a varios rotores de estos, a
varios rotores… entonces ya no tendría que ser veintiséis por veintiséis por veintiséis
combinaciones, tenían que ser solamente veintiséis por veintiséis, porque uno de los rotores ya
lo conocía, ¿Tiene Sentido? Y adicionalmente los alemanes cometían un error grave y es que en
las mañanas trasmitían el estado del clima, entonces a las seis de la mañana, lo primero que se
enviaba era el estado del clima, dos veces. ¿Para qué servía esto? Para que todas las maquinas
enigmas se sincronizaran porque cada una tenía una clave diferente, entonces si empezaba el
día, empezaba una nueva clave, entonces típicamente que hacían los operadores se asomaban
y decían: “Niebla” pues muy raro que haya niebla en el canal… “Niebla” si decía “niebla” miraba
la decodificación en alemán de “niebla” y se daban cuenta como se cifraba “niebla”.

Toda esa información la utilizo Alan Turing para lograr descifrar estos temas, estos mensajes
secretos, la idea es que a las seis de la mañana empezaban la trasmisión y a las diez de la
mañana ya “Wiston Shorshin” (1:22:34) tenía toda la información descifrada, en su escritorio.
La segunda guerra mundial, se dice que fue una guerra Nuclear, o quedo en nuestra memoria,
que fue una guerra nuclear. No fue una guerra nuclear, las bombas nucleares cayeron sobre
Japón, cuando ya estaba derrotada Alemania. La bomba nuclear fue simplemente para hacer
rendir a Japón… Y segundo, la verdadera arma que se utilizó en la segunda guerra mundial, de
manera masiva, fue: Inteligencia. Inteligencia porque se logró descifrar unos mensajes secretos
de los Alemanes muy fácilmente, o mejor dicho, muy rápidamente…

Imagínense ustedes tratar de combatir una guerra en la cual, se sabía exactamente lo que
estaban haciendo los Alemanes, muy difícil. Y la otra gran tecnología de la Segunda Guerra
Mundial fue… Los Radares, ¿Para que servían los radares? Inglaterra tenía muy pocos ´caza-
bombarderos´… venían los bombarderos de Alemania y esos pocos caza-bombarderos ya sabían
los Ingleses, donde venían los bombarderos. Entonces hay ponían todos sus cazas a derribar
bombarderos.

Y bueno esa es la idea, Si quieren en la tardecita, o de pronto pasado mañana conversamos de

la maquina enigma y jugamos con la maquina enigma, a ver que quisieran ustedes explorar.
¿Preguntas, comentarios hasta acá?…

FIN DE SESION # 1: TIEMPO TOTAL 1:24:23