martes, 16 de enero de 2018

El Bitcoin es una de las llamadas cripto-monedas que existen en la actualidad la cual se basa en la tecnología blockchain. Voy a explicarles por qué el Bitcoin es una de las mayores burbujas que estamos teniendo en la historia y el estallido será bastante doloroso.

Para entender un poco más esta cripto-moneda quisiera que le quitaramos la palabra "cripto" que confunde y no ayuda mucho. Ahora mucho más fácil hablar de una simple y llana moneda (https://es.wikipedia.org/wiki/Dinero), lo cual conocemos todos a diario y usamos como el peso, el dolar etc etc.

Una moneda debe estar respaldada por alguien (gobierno) o por algo (activo), para hacer esta explicación sencilla voy a iniciar con un ejemplo: Imaginemonos que vamos a ir a un concierto y compramos una boleta, esta boleta, podemos decir que se convierte en moneda puesto que está respaldada por una promesa de espectáculo que lo avala una empresa reconocida y legal. Si quisieras venderle la boleta a alguien conocido que quiere asistir muy seguramente te la compra, cuánto crees que te pagaría? seguramente si hay bastantes boletas disponibles y el puede comprarla directamente te pagará lo mismo que pagaste.  Sin embargo esta boleta puede cambiar su valor debido a múltiples variables como por ejemplo: si agregan una super estrella al concierto, si la boleta que tienes adquiere un status VIP o si se cancela el evento, etc.

Comprarías una boleta de un evento a una empresa que ha quedado mal en los eventos anteriores? cuánto te pagarían si trataras de vender esa boleta que compraste de esa empresa defraudadora? seguramente nada.

Ahora bien, Bitcoin son unas boletas para ingresar a un evento que NO EXISTE!! con una empresa que no es de nadie y que nadie respalda!! Comprarías unas boletas así? Yo no! bueno, increiblemente gracias a la expeculación esta boleta que llamamos Bitcoin ha llegado a costar cerca de los 20 mil dolares, pero también ha llegado a desplomarse hasta un 40% de su valor gracias a la expeculación. Lo que la mantiene es que hay personas que todavía quieren tener un pedacito de esta boleta. En el momento de que ya nadie quiera seguir invirtiendo en estas boletas sin valor claramente tendremos el estallido de una burbuja y aquellos que tengan boleta en la mano habrán perdido su inversión.

Por otra parte, quiero hablar de la tecnología que soporta al Bitcoin o sea el Blockchain (software). No debemos satanizar el Blockchain por ser la tecnología que soporta a una burbuja como el Bitcoin. Por ejemplo, no podemos satanizar a Microsoft Word porque pudo ser la tecnología (software) que posiblemente usaron unos delincuentes para hacer panfletos terroristas. La tecnología no tiene la culpa el mal uso que se le de.

El blockchain es una tecnología que -para mi concepto- tiene bastante futuro por la cantidad de usos que tiene. Sin embargo tacho la palabra "bastante" porque sus usos son muy específicos.

Para entender el blockchain pensemos en los millones de computadores que tiene Google a nivel mundial, imaginemos que en vez de comprar computadores y que sean de propiedad de Google, este emite un mensaje a nivel mundial solicitando que les arrienden los computadores de cada uno de los hogares y pagaría un arriendo dependiendo de la capacidad del computador que le arriendes. Estos computadores arrendados por Google sería utilizados para almacenar información transaccional de un Banco o de una empresa. Esto garantizaría que si hay una catástrofe importante en alguna parte del mundo la información transaccional del Banco o de la empresa está replicada. Pero vaya sorpresa no solo se puede almacenar información transaccional de un Banco, también se podría almacenar las transacciones de los mercados financieros, o las transacciones de escrituración y registro público inmobiliario o las transacciones de seguros, etc etc etc, todo lo que sean transacciones. He aquí donde algún mago pensó... "y por qué no almacenamos información transaccional de una moneda (o boleta) que no tiene nada que lo respalde (un evento que NO EXISTE".

Para concluir, crear una moneda y ponerle un nombre sofisticado como cripto-moneda no está mal, lo que está mal es que no tenga un respaldo. La tecnología llamada Blockchain que soporta esta cripto-moneda no tiene la culpa de las bestialidades que la gente se invente para hacer transacciones. Es solo un uso que tiene pero no solo es para monedas.


lunes, 10 de febrero de 2014
Hace un par de días vi una noticia de eltiempo.com donde el Sr Presidente Juan Manuel Santos, mencionaba que Colombia se encuentra en panales y expuesta en cuanto a Ciberdefensa, razón por la cual se crea este articulo.

Primero que todo quisiera mencionar que desde el ano 2011, en Colombia existe un documento CONPES 3701, el cual define los lineamientos de la política para la CiberSeguridad y CiberDefensa con un costo superior a los 16 mil millones de pesos (pag 32 del link), que prácticamente se acaba este ano 2014, 4 anos que no lo digo yo, lo dice el mismísimo Dr Santos públicamente, "estamos en panales en CiberSeguridad y Ciberdefensa",  por lo cual me surge una pregunta: que paso con ese dinero?. Trato de responderla yo mismo y pienso que aunque el CONPES fue una buena intención, no paso de ahi, de una buena intención que no ha servido.

5 Cosas por las que estamos en panales en CiberSeguridad.


  • Copiar y pegar. En Colombia lo que tenemos en materia de CiberSeguridad y Ciberdefensa no pasa de ser mas que intentos aislados de hacer bien las cosas y de hacer lo mejor que sabemos hacer los Colombianos, intentar "talcualizar" o "pastelear" o "copipastear" modelos que no entendemos, que no sabemos como funcionan o si funcionan para nuestro entorno pero pues si eso les funciona a los gringos a nosotros por que no?. 


  • Malos estudios acerca de lo que tenemos. Resulta que si tratamos de copiar modelos de países de primer mundo sin tener en cuenta nuestro entorno terminaríamos diciendo cosas tan absurdas como que si el Agro presenta un ataque informático causaría una catástrofe en nuestro país, lo cual poniéndole cinco de sentido nos damos cuenta que el porcentaje de automatización o de dependencia de los sistemas del Agro en Colombia es casi nulo, (ejemplo, Corabastos no se vería afectado si todos los computadores en Colombia se apagan o colapsan ante un Ciberataque, caso contrario de lo que pasaría con el Sector Financiero, Telecomunicaciones, entre otros, si esto mismo les ocurre) pero en países del primer mundo el Agro puede llegar a niveles importantes de automatizacion por lo que lo hace un objetivo importante de proteger.

  • Mezclar lo virtual con lo real.  Alguna vez escuche decir que no es lo mismo "una marrana mona que la mama ramona".  Creo que se le apunta un punto a la Fuerzas Militares Colombianas, tratar de hacerse cargo de la CiberSeguridad, pero resulta que así como existen fuerzas especializadas en cada campo por ejemplo, Fuerza Aerea, Marina, Ejercito, Armada, Policia, debería existir una Ciber Fuerza, o por que no dejamos que los Soldados o Policias que patrullan vayan a pilotear aviones de guerra? sencillamente porque requieren especialización en la materia, no? entonces por que no especializamos nuestro Ciber Ejercito y creamos una nueva fuerza?, donde la rotación del personal sea por ejemplo que un CiberSoldado va de monitorear una infraestructura critica energética a una de telecomunicaciones sin moverse del Ciberespacio y no teniendo que ir a patrullar físicamente porque tuvo un traslado, o porque hubo cambio de Comandante.

  • No apoyar lo virtual con lo real. No quisiera tratar de confundir con el punto anterior. Aunque no es bueno que las Fuerzas Militares que están trabajando en temas de lo real vayan a trabajar en lo virtual porque no es su campo de acción, si se debe tratar de aprender y o utilizar la experiencia de las estrategias que se utilizan en la vida real, para aplicarlas en la vida virtual. Pienso que cada una de las cosas que ocurren en la vida real se pueden ejemplificar en la vida virtual y esto nos ayudaría a entender mejor las cosas, por ejemplo si comparamos una pagina web con un local comercial en la vida real podríamos relacionar una denegación de servicio a dicho portal como si tenemos un grupo de personas ubicadas enfrente del local comercial impidiendo el ingreso de los clientes, esto nos permitiría tratar de entender muchísimos mejor los problemas actuales que se tienen en la vida virtual como son las leyes escasaz con que contamos en el Ciberespacio y entender que estamos en "panales" en CiberSeguridad.

  • No entendemos que esta pasando. Cada vez que los medios de comunicación o que cualquier persona intenta hablar sobre la CiberSeguridad y la Ciberdefensa lo hacen de una forma mítica y tan Hollywoodense que lo único que le queda a las personas es sentir esa fascinación de escuchar historias mágicas y creer, pero al no entender que podríamos tener situaciones tan criticas y tan a la deriva como:
  • Que pasaría si todo el dinero del sistema financiero Colombiano es movido a cuentas internacionales durante un Ciberataque? - Otro saqueo Colonial? o sea si vamos a consultar nuestras cuentas y están en ceros inexplicablemente porque al parecer Ud hizo una transferencia al exterior? 
  • Que pasaria si los sistemas que controlan automaticamente el acueducto o las centrales electricas no funcionan por un Ciberataque?
  • Que pasaria si las comunicaciones tanto internet como celular dejan de funcionar por un Ciberataque?


Tenemos un CiberEjercito especializado que nos defienda y tome medidas

Por que China en estos momentos tiene un CiberEjercito de unos cuantos miles de efectivos especializados en la materia?

Sin hablar nada del CiberEjercito Americano. EEUU sabe la importancia de tener un Ciberejercito.

Paises como Reino Unido, les da sentido tener un ciberejercito. 

Iran tiene su propio ciberejercito.


No tener un Ciberejercito  Colombiano es como cuando Cristobal Colon nos descubrió, que paso? se aprovecharon de nosotros y nos robaron, el ciberespacio es un importante medio que debemos usar y debemos proteger porque por ahi son las carreteras que van a transportar el oro (información) que tenemos y que otros si saben el precio que tiene y como utilizarlo, como hacer negocios.

Por eso estamos en Ciber-panales.



miércoles, 9 de noviembre de 2011
Conferencia Security-Zone 2011 en Colombia
Compártelo en Facebook
The Muro Group International presenta SECURITY-ZONE 2011, un evento de seguridad informática de talla internacional presentado en Centro de Eventos Valle del Pacifico en Cali, Colombia, Noviembre 28 al 30, 2011. Ver cronograma.

SECURITY-ZONE 2011 reúne a 16 reconocidos expertos de seguridad informática provenientes de USA, Europa, Asia, y Colombia, en un ambiente propicio para el intercambio de conocimiento, actualización de información, y networking.

SECURITY-ZONE 2011 le da la oportunidad a profesionales en seguridad informática interactuar con reconocidos expertos de la industria y escuchar acerca de los nuevos avances en seguridad informática, nuevas metodologías siendo utilizadas por hackers sofisticados, nuevas tendencias de ataques, y otros temas relacionados con seguridad informática.

SECURITY-ZONE 2011 tiene una duración de tres (3) días, programado de la siguiente manera:

Días uno y dos, Workshops presentados por los expertos invitados.
Día 3 presentaremos entrenamiento técnico divido en tres niveles: Básico, Intermedio, y Experto.


Tomado de http://blog.segu-info.com.ar/2011/11/conferencia-security-zone-2011-en.html
lunes, 17 de octubre de 2011



Que es un CTF?
CTF quiere decir Capture The Flag, o Capture la bandera, donde se trata de atacar a los servicios (apache, FTP, correo, etc) de los otros equipos buscando un código de ciertas características, para enviarlo a un equipo que registra los puntos y así ir ganando puntos, si mis servicios no están online voy perdiendo puntos ya que un robot esta verificando cada ciertos segundos que mis aplicativos estén corriendo.

Que diferencia existe entre un WarGame y un CTF?
Un WarGame es estatico, o sea no se ataca a nadie, es una serie de retos que hay que solucionar y finalmente enviar una solucion para ir ganando puntos, mientras que en un CTF se ataca a los otros equipos para obtener los puntos, se intenta sacar de linea a los otros equipos para que vayan perdiendo puntos.

Que otros CTF existen como RuCTF?
En las Vegas, esta el CTF de DEFCON, en donde todo el ano se realizan las eliminatorias y quedan 8 equipos finalistas que realizan el juego final en las Vegas, equipos como la Universidad de Carnegie Mellon participan, Espana, Japon, etc, etc.

Como funciona RuCTF?
Es un juego por equipos en donde, a cada equipo se le entrega una imagen virtual con un sistema operativo y aplicativos instalados (servicios como FTP, apache, sql, webservices, android, etc), es una sorpresa que van con lo que salen, el ano pasado un servicio era un servidor FTP corriendo sobre un simulador android que estaba sobre un sistema operativo FreeBSD.

Como se ven los ataques que realizan los equipos?
Aca existe un video que muestra un momento del juego en donde habían bastante ataques (Nuestro equipo es LowNoise)

Como es la arquitectura de red del juego?




Donde me registro?

Cuando es el juego?
Noviembre 19.

Cuanto tiempo dura?
9 horas

Que gano?
Compartir experiencias con equipos de hacking realmente buenos.

Que reglas existen?
Basicamente cosas como no hacer ataques de denegación de servicio, propagar virus, etc.

Cuantos equipos Colombianos han concursado?
El ano pasado concursamos aprox 3 equipos Colombianos.
Como se pueden dar cuenta quedamos de 18, a pesar que el puntaje fue realmente bajo, cabe resaltar que la defensa fue buena y realizamos ataques manuales a 8 equipos, no se automatizaron los ataques como si lo hicieron los otros equipos. Realizar un solo ataque implica haber encontrado una vulnerabilidad en este caso al servidor FTP que estaba sobre android sobre FreeBSD y realizar los correspondientes exploits, defender implica filtrar el trafico dañino sin dejar fuera del aire los servicios.

lunes, 11 de julio de 2011
Internet permite que los crimenes informaticos traspasen los paises y que tenga que ver mas de un pais en un mismo crimen, para lo cual se vuelve complicada la aplicacion de la legislacion, el control, etc. Creo que se deberia considerar Internet como un pais mas, como una nacion, como un estado, incluso con la necesidad de tener un pasaporte para poder permanecer alli y por que no, hasta la posibilidad de obtener una ciudadania, que tal seria oir algo asi como, de donde es usted, de internet... espectacular no?

Al tener un poder de decision independiente, y al ser un lugar independiente, cuando se cometa un crimen o fraude, sin importar la tecnologia que se use o el pais donde se haga, seria juzgable de una mejor manera, mas facil, como se hace en cada pais, si alguien voy a otro pais con un pasaporte y hace algo ilegal, debe responder alla, facil no?

Se tendria una propia fuerza publica generalizada, que atienda los incidentes, que haga las investigaciones, capturas, etc etc.

Lo mas importante es que las regulaciones que se hagan, serian mas generalizadas y efectivas.

Creo que muchos estaran pensando en muchas preguntas como:

Pero es que los diferentes paises tienen diferentes culturas y seria injusto hacer regulaciones generales.... Ante esto creo que si una persona quiere ingresar a un club de golf (yo no se ni jugar golf) o cualquier otro, debe primero conocer las reglas, entenderlas y aceptarlas, esto presionaria a los gobernantes de cada pais a buscar estrategias para la inclusion en este nuevo pais virtual.

Que tecnologia se requeriria para hacer de internet un pais virtual?... no tengo ni idea, habria que desarrollarla...

Como se conformaria el gobierno? Por cibervotaciones... ciberdemocracia.

Que tipo de estado seria (comunista, capitalista, etc etc)? no se... capitalista.

Quien asumiria los gastos? Internet es una gran economia que podria generar cierto tipo de impuestos y mantenerse por su cuenta.

Que pasaria si un gobierno comete un delito grave? se le desconectaria o algo asi...se le aplican sanciones.
sábado, 11 de junio de 2011
Despues de varios meses de esperar el dichoso examen ahora debo esperar 2 mese mas los resultados :)...

Que es el CISM?
Es una certificacion de Seguridad de la Informacion que se obtiene presentando un examen de 4 horas con 200 preguntas orientadas a perfiles de Gerentes de Seguridad de la Informacion, solo es posible presentar el examen solamente 2 veces al ano.

Las preguntas no tienen nada tecnico, o sea de pila tcp, redes, bases de datos, configuraciones linux, nada nada, simplemente preguntas de como se deberian hacer estrategias de seguridad de informacion, como sustentarlas con la alta gerencia, obtener recursos para el area, toma de decisiones en situaciones de desastre, de nuevas implementaciones tecnologicas para que sean seguras, enfin creo que con estos ejemplos ya hay una idea de lo aburrido que es.

Para que sirve el CISM y por que lo tome?
Bueno finalmente las certificaciones en el mercado sirven para mejorar el empleo y en conferencias para decir que tienes certificaciones jejejeje...

Siento que se puede tener muy buenas ideas tecnicas, pero poderlas comunicarlas y poderlas promocionar han sido el gran reto y la gran diferencia en la historia, vemos el caso Microsoft o Apple, por esto me parece que es importante manejar la habilidad de solicitar recursos o patrocinadores para proyectos de seguridad de informacion, sea en la empresa donde se trabaja o en la propia empresa, con esta certificacion espero poder tener oportunidades de labores que tengan que ver con comunicar ideas a la gerencia y seguir esta linea, aunque para nada voy a dejar a un lado mi apasionante parte tecnica.

Como es el procedimiento para obtener la Certificacion?
Basicamente se debe pagar 540 dolares mas 80 de comisiones en el pago de la tarjeta, si no es miembro de ISACA, eso le da derecho al examen y a la membresia por 1 ano, luego llegan unos paquetes a la direccion que registra en la inscripcion, como una revista, informacion, etc etc, y el documento de admision para ser utilizado el dia del examen, si pierde esta carta la puede imprimir del correo de confirmacion que llega cuando se compra la subscripcion.

Se presenta el examen el lugar y el dia indicado, si se quiere aplazar vale 50 dolares, a las 8am llegue y a las 8:15am empezaron a llamar a lista para ingresar, hasta las 8:30, luego desde ese momento hasta las 9:00 pm, las personas responsables de la logistica leen y explican o mejor confunden de como se debe llenar el examen y las reglas de juega durante el examen.

Debido a que son 4 horas seguidas del examen sin break oficial, se puede salir del salon para ir al bano etc, pero yo no pude ir ya que no me alcanzo el tiempo, fue muy justo el tiempo, 12:58 am y estaba rellenando la ultima bolita, no alcance a revisar ninguna pregunta y eso que iba contestando super rapido.

Hasta este punto de la historia es lo que he recorrido de la certificacion, luego que salimos del examen las demas personas empezaron a comentar que se debia esperar 2 meses para saber los resultados y culminar el proceso de certificacion en caso de que se haya pasado con el 70% de las respuestas correctas, luego

"Una vez has aprobado el examen debes de demostrar tu experiencia en la materia. Para ello debes:

  • Rellenar y enviar el documento de Application correspondiente.
  • Cumplir con el Código de Ética profesional.
  • Adherirse a la Pólitica Profesional de ISACA"
Con respecto a los libros no voy a decir que compre uno o el otro, simplemente que yo compre los 3 y el mas grande me aburrio, es una tabla remamerta durante todo el libro que simplemente dice mmmm oiga ud debe saber esto esto esto pero no explica como ni nada, por ejemplo en algun lado recuerdo que decia que para proyectos seria bueno algo asi como ser PMP y pues pienso que para una preparacion a muyyyyy largo plazo si sirve, ya que para el solo PMP se debe demostrar 5 anos en proyectos ... enfin los 2 mas pequenos y mas baratos son una preparacion con preguntas y respuestas y explicacion de las respuestas que finalmente una buena cantidad sale en el examen, pues lo que uno puede esperar de unos libros que valen como 250 dolares en total (3 libros).

Recomendacion.
Llevar lapiz borrador y tajalapiz porque no entregan.
Llevar la hoja de inscripcion.
Llevar la identificacion.


lunes, 21 de febrero de 2011
Since now, I'm going to post in Spanish in http://lownoisehg.blogspot.com/ and i highly recommend to visit http://www.lownoisehg.org, while i will be posting in English here.

Páginas vistas en total

Con la tecnología de Blogger.

Entradas populares

Seguidores