Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1. Realice la lectura del eje 2 del módulo de criptografía, y reflexione a partir del siguiente
interrogante; ¿se puede garantizar la privacidad y confidencialidad de una comunicación
cuando el intermediario conserva copias de sus archivos y mensajes?
Las políticas de seguridad en muchas empresas no reducen para nada los ataques
informáticos que se puedan realizar por elementos externos o internos, los individuos que
laboran en grandes, medianas o pequeñas compañías aumentan en alto grado las
vulnerabilidades de los sistemas de información, esto debido a la escaza o nula
capacitación frente a los indicadores de fallos o “descuidos” intencionales o no que
impactan negativamente la estabilidad de cualquier tipo de negocio. Sumado a esto, las
personas envían información privilegiada y de alto valor a sus amigos, familiares o
conocidos, sin medir las consecuencias futuras que generan errores de divulgación masiva,
generando altísimos riesgos vulnerando muchas veces la intimidad de millones de personas
usuarias de este tipo de servicios. Con base en los conceptos anteriores podemos
evidenciar claramente que la interfaz del usuario permite en gran porcentaje la filtración de
muchos aspectos sensibles a todo nivel, sin embargo; debemos sumar a esta ecuación
todos y cada uno de los procesos que integran la transmisión de la información, desde la
arquitectura del hardware utilizado, seguido por las características lógicas de los sistemas
operativos, luego; por la transmisión de paquetes mediante la infraestructura de conexión
en redes WAN, LAN, MAN y los ISP que correspondan de acuerdo a las asignaciones de
transmisión de datos público y privada, se suman también las empresas particulares que
ofrecen servicios de hosting, VPS, Cloud Computing, canales dedicados de transmisión de
datos por antivirus VPN, y por múltiples empresas dedicadas al manejo y administración de
bases de datos, minería de datos entre otros. Si bien es cierto las políticas que se
determinan en Colombia, para mantener a salvo los tres pilares fundamentales de la
información como lo son: la confidencialidad, integridad y disponibilidad de los recursos.
Aún así no es del todo seguro enviar información privada, vital o de cualquier aspecto que
pueda ser utilizado por empresas dedicadas a secuestrar información, pedir rescates por no
publicar fotografías comprometedoras, etc. Es responsabilidad de todas las personas que
trabajen o no en actividades de información y tecnología, un documento recomendado
para evitar ser victima de personajes siniestros es NORMA TÉCNICA NTC-ISO/IEC
COLOMBIANA 27001 2006_03_22_NTC-ISO-IEC 27001.pdf (serviciocivil.gov.co) En suma no es
100% seguro dejar que terceros realicen backup de nuestra información privilegiada, lo mejor que
se puede hacer al respecto es utilizar todas las medidas de seguridad posibles, alcanzables y
medibles por nuestra cuenta, por ejemplo discos duros externos, con archivos encriptados,
realizar el envío de información NO vital, más bien trivial, si es necesario encriptar mensajes en
imágenes; Hacking Tutorial: Como ocultar informacion en imagen | OpenWebinars.
R. Ximena Camero Coral:
Para garantizar la seguridad y privacidad con los años se han generado nuevos retos para las
nuevas tecnologías, programas, especialmente las redes sociales. Es una responsabilidad mutua
tanto del proveedor de alguno de los servicios ya mencionados como de la persona que hace uso
de la información. Por ambas partes considero que no hay una garantía concreta, en muchas
partes se firma que todo es “hackeable” y que ya no existe una barrera inquebrantable, sino que
ahora todo está en el tiempo que se demore alguien en violar un sistema. La falta de dicha
garantía se ha convertido en un problema social, las personas estamos expuestas a amenazas
informáticas como virus “maleware”, suplantación de identidad o “Phishing” como modalidad de
fraude que se deriva de diferentes estafas. El robo de identidad se presta para averiguar
información bancaria que es sensible, como números de cuenta, números de tarjeta de crédito; el
dato de las tarjetas de crédito es el dato que mayor oportunidad de robos se ha tenido en
internet, Etc. Los usuarios o personas comunes que usan todo tipos de sistemas, no tienen una
cultura de autocuidado con las claves, registro de información en links o páginas no autorizadas,
no solo se han visto estafadas por las formas que ya se mencionaron sino también afectando su
privacidad como la divulgación de fotos privadas, pensamientos, conversaciones / mensajes que
pueden prestarse para exponerse y sufrir ataques sociales. Los menores están expuestos a ser
extorsionados para divulgar contenido para pornografía infantil.
PUNTO 2
2. Haga la lectura del documento que se sugiere en el módulo, el libro blanco de WhatsApp,
y a partir de la información que usted maneja en referencia al tema, trate de encontrar
algún punto vulnerable en el cifrado extremo a extremo que hace la aplicación de
mensajería.
R: Para el año 2021 WhatsApp presentó una Vulnerabilidad, la cual fue corregida a la fecha:
“Fuga de datos confidenciales: El exploit requería una serie de pasos complejos para ejecutarse
además de necesitar una amplia interacción del usuario parara que los atacantes pudieran acceder
a los datos. En caso de que todos los pasos se ejecutasen correctamente se podría leer
información confidencial de la memoria de WhatsApp. Además de una serie de paso complejos, el
exploit requería que los atacantes enviasen un archivo adjunto que contenía una imagen
maliciosa. Abierta la imagen y aplicado un filtro concreto, se ejecutaba el código malicioso. De esta
forma, los datos del usuario quedan expuesto al ser enviada la imagen de vuelta al atacante.
Provocando un bloqueo de la memoria: La vulnerabilidad estaba relacionada con la funcionalidad
del filtro de imágenes de WhatsApp y se desencadenaba cuando un usuario abría un adjunto que
contenía un archivo de imagen creado con fines malintencionados, luego aplicaba un filtro y
enviaba la imagen con el filtro aplicado de nuevo al atacante. Una vulnerabilidad grave de
WhatsApp permitía robar información (hipertextual.com)”
ANALISIS: La descripción del protocolo de cifrado a grandes rasgos permite dar análisis al cifrado
E2EE, de extremo a extremo , lo cual permite que sólo el emisor y el receptor puedan leer los
mensajes que son enviados, también indica que el servicio de WhatsApp no puede leer los
mensajes enviados a través de este cifrado.
WhatsApp vs Telegram 2021: ¿cuál es la mejor aplicación de mensajería? (xatakandroid.com)
El cifrado de extremo a extremo de WhatsApp para mayor protección, por cada mensaje
que se envía tiene su propio candado y código único, es decir, no se puede descifrar un
mensaje del pasado con la "llave" del mensaje actual. Además, una vez llegado el mensaje
al receptor este es borrado del servidor de WhatsApp.
La seguridad que tiene WhatsApp con respecto a los mensajes enviados, se organiza de la
siguiente forma:
Los mensajes llegan al servidor solo por la captura de la metadata, por lo tanto; es posible que la
seguridad en este proceso en específico se aplique de forma correcta, de hecho ; al momento de
transmitir la información las llaves como se explicó anteriormente no devuelven la información y
por ende es efímero “desaparece sin dejar rastro alguno de la trazabilidad del mensaje”.
La posible brecha de seguridad que puede resultar en una gran vulnerabilidad no se encuentra en
los servidores, posiblemente en el transcurso del envió del mensaje, pero, aun así, no sería posible
ver o abrir el paquete. La vulnerabilidad real se encuentra en el “backup” alojado en Google
Drive, dado que allí reposan los mensajes con extensión .txt o archivos planos sin encriptar, es en
este punto donde creemos es posible que se capture información valiosa, confidencial y sensible
para cualquier usuario.