La historia de la criptografía comienza simultánea a la historia de las civilizaciones. Desde siempre el hombre ha tenido la necesidad, por unas u otras razones, de transformar un mensaje original que cualquiera podía entender en otro cuyo contenido aparente fuese caótico y sin sentido, de forma que sólo quienes conociesen el método para descifrar el mensaje clave pudieran acceder al contenido original del mismo.

Los romanos por ejemplo, usaban un sencillísimo sistema de cifrado que consistía en desplazar cada letra del mensaje un número determinado de posiciones dentro del alfabeto, tal como sigue:

Mensaje original: "las tropas deben ir al norte"
Mensaje con 1 desplazamiento: "mbt uspqbt efcfo wjbkbs bm opsufm"
Mensaje con 2 desplazamientos: "ncu vtqrcu fgdgp xkclct cn pqtvgn"
Mensaje con 3 desplazamientos: "odv wursdv ghehq yldmdu do qruwho"
(...)
Etcétera.

Este método de cifrado se llama "Cifrado César", presuntamente porque Julio César lo utilizó frecuentemente con un desplazamiento de 3 en sus órdenes militares.

Para descifrar un mensaje, generalmente se requieren 3 cosas: el mensaje cifrado (obviamente), la clave (datos que nos permiten aplicar el descifrado), y el método de cifrado (para saber cómo aplicar la clave). En el caso del Cifrado César, por ejemplo, la clave sería el número de desplazamientos utilizados.

Por supuesto este método es muy inseguro y hay múltiples formas de romperlo (incluso aunque el atacante no sepa que clase de cifrado se está usando). Variantes de este método consisten en tablas que cambian una letra por otra de forma fija (la tabla incrementa el tamaño de clave a costa de mejorar sensiblemente la dificultad de ruptura), este método es conocido como Cifrado de Vigenère.

Estos algoritmos eran muy precarios. En realidad, cualquier proceso que consista en cambiar de forma fija una letra por otra (es decir, hacer el mismo cambio durante todo el mensaje), o una letra por un símbolo o conjunto de idems, etc, puede romperse fácilmente usando las más básicas herramientas de criptoanálisis. En estos casos concretos, la distribución estadística del número de repeticiones de cada letra deja en evidencia el cambio utilizado.

Aunque no nos lo parezca, cada letra del abecedario tiene en cada idioma una frecuencia de aparición muy personal. En textos suficientemente largos la frecuencia de aparición apenas varía de la media teórica total calculada, de esta forma este tipo de cifrados se vuelven inútiles si el atacante tiene un texto mediano o muchos textos pequeños.

Por ejemplo, en español la letra 'a' representa (de media) el 12.53% de las letras de un texto, la letra 'b' el 1.42%, y la letra 'c' el 4.68%. Basta con estudiar cuanto se repite cada símbolo o cada carácter de un texto cifrado con estos métodos y comparar luego los porcentajes para revelar el símbolo original. Por supuesto algunas letras tienen porcentajes parecidos o el texto puede tener violaciones estadísticas en algunos caracteres; pero siempre podremos adivinar la mayor parte de las letras o reducir las posibilidades a unas pocas opciones, con lo que el mensaje quedará suficientemente descifrado como para ser leído y entendido.

Esta técnica de ruptura es conocida como "análisis de frecuencias". Fue inventada en algún momento alrededor del año 1000 y fue el avance criptoanalítico más importante de la historia hasta la segunda guerra mundial. Esencialmente, todos los cifrados conocidos hasta esa época quedaron vulnerables a esta técnica.

(***)

No fue hasta el renacimiento cuando nacieron los primeros sistemas criptográficos invulnerables al análisis de frecuencias, todos basados en el cifrado polialfabético ideado por Leon Battista Alberti. Ejemplo clásico de este tipo de cifrados es el Cifrado de Trithemius, que usaba una tabula recta como tabla de desplazamientos basándose en el Cifrado César; de esta forma se lograba anular la aparición estadística de símbolos.

Hasta el año 1800 la criptografía se hizo todavía más importante (de forma secreta) como consecuencia de la competición política y la revolución religiosa. Lamentablemente esta importancia no se tradujo en técnicas más sofisticadas. Por ejemplo, en Europa, durante el Renacimiento, ciudadanos de varios estados italianos, incluidos los Estados Pontificios y la Iglesia Católica, fueron responsables de una rápida proliferación de técnicas criptoanalíticas. Por desgracia, muy pocas reflejaban un entendimiento (o siquiera el conocimiento) del avance de Alberti en métodos polialfabéticos. Los "cifrados avanzados", incluso después de Alberti, no eran tan avanzados como afirmaban sus inventores/desarrolladores/usuarios (y seguramente ellos mismos creían).

(***)

Desde el siglo XIX hasta la segunda guerra mundial se mejoraron e idearon métodos matemáticos más sólidos que mejoraban considerablemente la dificultad de ruptura de los mensajes, generalmente basados en sistemas de rotaciones que darían lugar a los cifrados base hasta finales del siglo XX. Hasta esta época, el cuello de botella para el avance criptográfico era lo tedioso que resultaba cifrar y desencriptar mensajes con estas técnicas; sin ordenadores ni máquinas, los procesos se volvían cada vez más largos, lentos y costosos.

Ante esta necesidad aparecieron las primeras máquinas manuales que aplicaban algoritmos de rotación de forma mecánica, prototipos de lo que sería pocos años después la archiconocida máquina Enigma.

Estas máquinas permitían realizar el gran número de iteraciones que requerían los nuevos cifrados de forma rápida y automática. La complejidad y seguridad que los nuevos estudios matemáticos proporcionaban junto a la comodidad y velocidad de las máquinas, hicieron que por primera vez en la historia el descifrado de códigos se convirtiese en un auténtico reto de proporciones colosales (tanto temporales como económicas y humanas).

Finalmente los nuevos estudios y análisis sobre los métodos de rotación, junto a la aparición de los primeros ordenadores (máquinas electrónicas más que ordenadores tal y como conocemos el término hoy en día), permitieron que ataques de fuerza bruta empezaran a dar resultados efectivos. Con la aparición de la computación comercial, ya en la segunda mitad del siglo XX, y la constatación de la ley de Moore, la humanidad comenzó a sumirse en una lenta pero inexorable crisis de fe hacia la criptografía: pues parecía que cualquier sistema podría romperse con ordenadores en sólo algunos meses.

(***)

En realidad, a lo largo del siglo XX se desarrollaron sistemas mucho más seguros que los utilizados en la práctica y que eran incluso inmunes a cualquier ataque por fuerza bruta que pudiese desarrollarse en la época, y por ende, al uso de ordenadores. Pero estos sistemas eran engorrosos de utilizar y no se generalizaron.

El sumun de estos sistemas alternativos, y que merece un comentario especial, fue el llamado "Secreto Perfecto", menos mística pero más popularmente conocido como "Libreta de un sólo uso". Este método acabó siendo demostrado como irrompible por Claude Shannon 25 años después de su invención; la teoría de la información y la matemática dictaminaron que del mensaje cifrado era imposible extraer ninguna característica, propiedad, o información de algún tipo, y que éste era análogo a una secuencia perfectamente aleatoria de símbolos.

Este aparente santo de grial de la criptografía no lo fue tanto como puede parecer, pues la clave debía tener ciertas características que hacía su manejo muy poco práctico, a saber:

- La clave debía ser una secuencia 100% aleatoria, cualquier fallo en el generador de símbolos aleatorios volvía al mensaje irremediablemente vulnerable.

- La clave debía ser estrictamente igual de larga que el mensaje, una sóla repetición de una porción de la clave hacía el mensaje fácilmente rompible.

- La clave sólo podía usarse una sola vez, por cada mensaje había que generar una nueva clave aleatoria.

En otros sistemas, la clave solía ser corta (como una contraseña) y se repetía en todos los mensajes. De esta forma si una persona A quiere mandar un mensaje cifrado a B, basta con que los 2 conozcan la clave y el método para ir descifrando los mensajes que intercambien. Con "Secreto Perfecto", primero A debía crear una libreta con las claves aleatorias a utilizar, darle esa libreta a B, y luego mandar los mensajes a B adjuntando en cada mensaje qué clave de las que tiene B utiliza. Después, tanto A como B deben destruir la clave usada para evitar el robo o un uso posterior por error (por eso se le llama "libreta de un sólo uso"). Dado que las claves tenían que ser guardadas en formatos físicos (no se podían memorizar por largas y aleatorias), y que perder la clave (por descuido o robo) impedía irremediablemente descifrar el mensaje, el uso de este método no se generalizó tanto como cabría de esperar en un principio.

(***)

Y entonces, nació Internet.

---

Archivado en: Seguridad, Spanish.

Con la aparición de las primeras redes, a partir de 1969, surgió el problema de la seguridad. El enorme potencial que la codificación de información sobre los canales de telefonía clásica tenía salpicaba a todos los ámbitos imaginables. El problema era, de nuevo, la facilidad con la que se podía pinchar una línea telefónica y leer así cualquier dato transmitido de computadora a computadora.

Las técnicas de criptografía conocidas hasta esa época tenían un problema para ser usadas en Internet, y es que, cuando dos entidades quisieran comunicarse con datos cifrados, tenían primero que ponerse de acuerdo en establecer la clave que usarían (uno la usaría para cifrar, y el otro para descifrar). Esto era poco práctico... porque obviamente mandar la cable no cifrada por la propia red hubiera supuesto que cualquiera pudiera interceptarla y obtener la capacidad de descifrar todos los mensajes posteriores (esto mismo se aplicaba al teléfono, al correo, etc). Además imaginemos que una entidad quiere comunicarse con muchas otras, por ejemplo, un banco con todos sus clientes; el banco debería usar claves separadas para cada cliente particular (para que unos no pudieran descifrar los datos del otro). Esto era muy costoso de implantar y mantener, además todavía estaba el problema de cómo hacer llegar a cada cliente la clave de la que dependerían todos sus ahorros.

Un ejemplo que ilustra este problema es que, incluso con la producción en serie de máquinas Enigma, Berlín tenía que mandar agentes que hicieran llegar a los capitanes de los submarinos y de otras divisiones los libros con el funcionamiento, la puesta a punto, y los códigos y configuraciones usadas en la máquina para los mensajes diarios. Naturalmente, si el enemigo hubiera capturado uno solo de estos libros, todo habría terminado.

Imaginemos por un momento que tuviéramos uno de esos sistemas criptográficos en el Internet actual. Para registrarnos en Gmail, Google tendría que ponerse en contacto con nosotros por medio de un canal seguro (probablemente un correo confidencial) para mandarnos nuestra clave para cifrar nuestra contraseña cada vez que quisiéramos comprobar el correo, si no, la contraseña viajaría sin cifrar y cualquiera podría obtenerla fácilmente. Esto mismo se aplica a foros, sitios de subastas como ebay, cuentas de mensajería instantánea, y en general, cualquier sitio que requiera contraseñas o mande información confidencial como números de tarjetas de crédito, etc; por cada sitio tendríamos que ponernos en contacto con la empresa para obtener la clave por una vía segura. Sería engorroso, ¿verdad?.

La respuesta a este problema se forjó a partir de la segunda mitad de la década de los 70, con una magnífica idea teórica que luego se volvió práctica. Hasta ese momento, todos los sistemas criptográficos eran simétricos, es decir, para descifrar se hacía exactamente lo mismo que para cifrar, pero al revés; en sentido contrario.

Fueron los sistemas de clave pública que conocemos hoy, que funcionan en un sólo sentido gracias al uso de funciones trampa, los que permitieron la seguridad cómoda y práctica en la red que conocemos. La idea es que hay dos claves diferentes usadas cada una en un proceso, una para cifrar, y la otra para descifrar.

La primera clave es la clave pública, con esta clave ciframos la información que queramos, pero no podremos descifrarla de ninguna manera mientras no conozcamos la segunda clave: la clave privada.

La clave pública se llama así porque cualquiera puede tenerla y cifrar lo que quiera. En el caso de un banco, o de un proveedor de correo electrónico, a todos los clientes nos llega la misma clave pública de forma clara y transparente cada vez que visitamos sus páginas web. Con esa clave, nuestro ordenador cifra la contraseña y los números de tarjeta de crédito y las manda, ya cifradas y teóricamente indescifrables, al servidor central del banco o del proveedor de correo, el cual es el único que dispone de la clave privada usada para descifrar los mensajes y acceder a la información original.

Este método difiere de los anteriores en que el proceso de descifrado no es la inversa (práctica) del de cifrado, y pertenece pues a los métodos de cifrado asimétrico.

Este fantástico sistema empezó a forjarse en 1976 con la publicación de un importante artículo científico escrito por dos matemáticos de la universidad de Stanford, en California: Whit Diffie y Martin Hellman. Este artículo sentaba la idea pero no describía ningún algoritmo que la implementase. Las bases de lo que se buscaba eran claras: un sistema de clave pública y clave privada asimétrico, pero nadie conocía ninguno (y ni siquiera estaba probado que tal cosa existiese y fuese posible).

Diffie en particular, era el arquetipo del antisistema melenudo y joven de los años 70. Hellman tenía firmes ideales en que los avances sobre criptografía debían ser públicos para beneficio de todos y no exclusivamente gubernamentales. Las agencias de inteligencia del país (USA) fueron basándose en los avances públicos de los científicos y haciéndolos suyos; sólo que sus avances quedaban archivados bajo un elegante sello de "Top Secret". Por suerte, los matemáticos convencidos de la distribución libre del conocimiento llevaron la delantera en todo momento hasta la resolución final del sistema que conocemos hoy.

(***)

Ron Rivest, del Massachussets Institute of Tecnology, fue uno de los muchos que se inspiraron en el artículo de Diffie y Hellman. Rivest, en contraste con el estilo rebelde de Diffie y Hellman, era (y es) un hombre que respeta las convenciones: una persona reservada, que habla en voz baja, y que actúa con prudencia ante el mundo que le rodea. En la época en la que le leyó el New Directions of Cryptography (el artículo de Diffie y Hellman), soñaba con formar parte del stablishment académico. Sus sueños estaban plagados de teorías y teoremas, pero no de espías y códigos secretos: no podía imaginar que la lectura de aquel artículo le llevaría a diseñar uno de los sistemas criptográficos más potentes y de más éxito comercial jamás creados.

Rivest ingresó en el departamento de informática del MIT en 1974. Rivest al igual que Turing, amaba la relación entre la teórica abstracta puramente matemática y las máquinas reales. En tiempos de Turing la cuestión más importante en el ámbito del cálculo matemático, inspirada por el segundo y el décimo problema de Hilbert, era la existencia teórica de programas que pudieran determinar cuales de las verdades matemáticas eran demostrables (el famoso Entscheidungsproblem). En los años 70 otra cuestión causaba furor en los departamentos informáticos: y era, en la suposición de un programa determinado capaz de resolver un problema determinado... ¿se puede analizar cuanto tardará o cuanto le costará al programa resolver el problema?: esta pregunta fue la precursora de la complejidad computacional.

Resumiendo (o si no me tiro aquí 2 meses escribiendo): Rivest pensó en las funciones trampa e imaginó como base los problemas que hasta entonces a los ordenadores les había costado mucho tiempo resolver (basándose en parte en los recién nacidos estudios de complejidad computacional). También necesitaba a alguien con quien discutir sus ideas y, aunque él era un informático teórico, compartía pasillo de despacho con algunos matemáticos, especialmente con Leonard Adleman y Adi Shamir. Finalmente (la historia detallada de todo lo que pasó es apasionante y os recomiendo leerla en la bibliografía), tomaron como base el problema de la factorización de enteros en números primos. No se conocía (ni se conoce) ningún algoritmo para factorizar rápidamente enteros muy grandes en tiempos aceptables (dependiendo de la longitud del número (con un mínimo de longitud aceptable), desde muchísimos años hasta tiempos incalculables aún con los ordenadores más potentes). Así nació el algoritmo criptográfico de cable pública y clave privada que usamos hoy en día, conocido como RSA, que son las siglas de Rivest, Shamir y Adleman. Adleman pensaba que en cualquier momento podría aparecer un algoritmo capaz de factorizar enteros rápidamente y no creía que aquello fuese a llegar tan lejos... por ello aceptó a regañadientes que su nombre formara parte del algoritmo sólo con la condición de ser el último.

En la wikipedia tenéis ejemplos y explicación de como funciona el algoritmo. Su belleza radica en lo simple y sencillo que resulta, y la potencia y dificultad que desata romperlo.

Como adición adicional, el algoritmo RSA requiere "bastante" potencia para encriptar información con la clave pública; algo que a un ordenador común no le cuesta más que unos milisegundos, pero que nuevos dispositivos como teléfonos móviles (sobretodo los primeros modelos, hoy en día eso ya no es un problema) no pueden permitirse. Por ello en estos dispositivos también se usa criptografía de curvas elípticas, un sistema alternativo a RSA formulado en 1985. Como curiosidad, no hace mucho el gobierno Ruso anunció que todas sus comunicaciones confidenciales habían dejado de usar RSA en sustitución por las curvas elípticas. Esto no quiere decir que RSA sea más inseguro, de momento las competiciones de factorización dejan entrever que RSA seguirá vivo durante muchos años.

---

Archivado en: Seguridad, Spanish.

Ahora que ya tenemos un poco de culturilla nerd sobre el tema y unas nociones básicas de criptografía moderna, veamos como funciona (a groso modo) la interconexión de equipos y hasta que punto estamos protegidos.

Primero veamos la red interna:

En una red interna (una red local típica, o una wifi no cifrada), en general tenemos un montón de equipos conectados a un router, el cual está conectado al exterior. El router es la puerta por la que sale y entra información desde internet hacia la red local. Salvo que tengamos routers internos, routers con diferentes segmentos de red o switchs, todo lo que mandemos al router será legible por todos los ordenadores de la red local. Así por ejemplo si leéis vuestro correo o habláis por el msn, a no ser que dichas comunicaciones estén cifradas (no suelen estarlo más que para mandar la contraseña e iniciar sesión), cualquier miembro de vuestra familia podrá leer lo que recibís/mandáis (a no ser que, como ya he dicho, estéis en segmentos diferentes por un switch, un router intermedio, etc).

Esta es la primera lección sobre privacidad. Si os preocupa vuestra privacidad dentro de vuestra red local debéis, o cifrar la comunicación (lo cual muchas veces no es posible porque el servicio que usáis no lo soporta), o aislar vuestro ordenador en un segmento de red independiente mediante switchs u otros routers (ojo, los hubs no valen para esto).

Leer datos de tu red local (de tu segmento de red, mejor dicho) que "salen de"/"son para" otros equipos es muy sencillo y basta un sniffer y poner vuestra tarjeta de red en modo promiscuo.

Red externa:

En la red externa es más aparatoso filtrar la información, pero es perfectamente posible y el proceso es análogo a un pinchazo teléfonico. La diferencia es que no podemos controlar ni aislar un cable particular desde nuestra línea de teléfono hasta el ISP tal y como sí podemos hacer en la red local. De esta forma, todos los datos importantes que vayan al exterior deben estar cifrados: el método normalmente es el RSA del que hemos hablado.

Para ello se usan "certificados". Un certificado lo emite una empresa internacional que te asegura, que la empresa que te ofrece el certificado con la clave pública correspondiente, es quien dice ser. La mayoría de los navegadores tienen una lista de proveedores de certificados válidos a los que consultan cada vez que una página nos manda el suyo, si el navegador comprueba con éxito que ese certificado es válido, entonces muestra el icono de un candado (usualmente en la parte inferior derecha) el cual indica que: todo lo que se trasmita hacia esa página irá cifrado, y que el dueño de esa página es de verdad quien dice ser.

Que una empresa proveedora de certificados te certifique suele ser bastante caro (unos 300/400 euros al año). Por ello muchas páginas no validan sus certificados y, en este caso, el explorador dice que no ha podido comprobar la identidad del emisor del certificado; es responsabilidad del usuario confiar en si esa empresa es quien dice ser.

Ejemplo:

Si yo ahora hago un sistema de inicio de sesión cifrado para el log85, vuestro navegador recibiría el certificado cuando fueseis a iniciar sesión. Si pago a una autoridad certificadora para que me investigue y compruebe que legalmente soy quien digo ser, entonces este proceso será transparente para vosotros y sólo veréis un candado en vuestro navegador web cuando iniciéis sesión. Si no, el navegador os dirá algo parecido como "Firefox no ha podido comprobar la identidad del emisor del certificado, quien dice ser un tal "LoG85", ¿quieres aceptar el certificado?".

Esto funciona así para evitar que yo me haga pasar por otra entidad. Por ejemplo, imaginemos que me hago pasar por twenty (obviamente tendría que imitar la estética de dicha página para que alguien se lo crea, y usar una url falsa que pase desapercibida como "twenti.com" o algo así). Entonces os mando mi "certificado" diciendo que soy twenty, y vosotros iniciáis sesión tan felizmente con la clave pública que os proporciona mi certificado "mentiroso". Yo recibo los datos y los descifro con la clave privada correspondiente... con lo que obtengo los datos de vuestra cuenta.

La firma digital es en muchos sentidos similar al certificado, sólo que además de comprobar si, por ejemplo, un documento viene de quien dice venir, puede asegurar que el documento esté intacto, entre otras cosas más (dependiendo del tipo de firma). El método es el mismo que con los certificados: si yo os mando un documento con firma electrónica por email diciendo "soy microsoft", vuestro software (si es fiable y seguro) debería avisaros de que no ha podido comprobar la validez de esa firma que viene de un tal "Microsoft"; vosotros, que sabéis mi dirección de email y que no soy "Microsoft", sabréis que os estoy engañando. En cambio, si os mando lo mismo pero diciendo que soy "Log85", sabréis que digo la verdad y podréis aceptar el documento aunque vuestro software no haya podido comprobarlo. El problema por supuesto, es cuando no conocéis o no confiáis en quien os manda el documento (ya es vuestra responsabilidad aceptarlo (y ante la duda mejor no aceptar, es mi consejo)).

Por ello, todas las empresas grandes validan sus certificados para que el usuario pueda estar seguro de que las páginas y las conexiones son de quien de dicen ser y no imitaciones. 300 euros al año es algo que una empresa mediana debería poderse permitir.

---

Archivado en: Seguridad, Spanish.

Básicamente eso es un buen resumen respecto a la seguridad en las comunicaciones. No obstante el peligro real viene no por la conexión, si no de parte de virus, troyanos, y usuarios ignorantes.

En cualquier ordenador público (o en el vuestro privado si alguien tiene acceso y no os dais cuenta) es fácil instalar un keylogger que registrará todas vuestras pulsaciones de teclado. El atacante luego leerá el log y podrá recuperar vuestras cuentas, contraseñas, conversaciones... etc. Los keyloggers "caseros" son prácticamente idetectables por antivirus.

Otro peligro son los virus y troyanos, que buscan contraseñas o información útil en vuestro ordenador, o permiten que un atacante se conecte y os espíe abriendo agujeros de seguridad desde dentro. Aún con todo, los antivirus sólo logran detectar una pequeña porción de los virus existentes (muchos de los cuales nunca serán descubiertos), por lo que la eficacia de estos programas, es limitada.

Si os preocupa la seguridad en este sentido, debéis usar sistemas operativos bien diseñados para limitar la acción, el daño, y la propagación de malware en la medida de lo posible. Como Linux, MaxOSX, *BSDs, Solaris, y en general, cualquiera cuyo nombre no empieza por Win y acabe por dows.

Estas amenazas no son triviales, pero el mayor riesgo hoy en día es sin duda el desconocimiento de los usuarios. Mucha gente usa, por ejemplo, la misma contraseña para muchas cosas. Si usáis la misma contraseña para la web del banco y para la cuenta de email, el banco podrá leer vuestro mail o el proveedor de correo podrá hacerse pasar por vosotros en vuestro banco. Si usáis la misma contraseña para el msn que para el log85 podré tomar el control de vuestro messenger o microsoft podrá tomar el control de vuestro log85*.

*Tranquilos, las contraseñas están cifradas en la base de datos y no tengo forma de leerlas. No obstante podría cambiar la aplicación si quisiera y hacer que cuando iniciéis sesión, por ejemplo, se guarde aparte con qué password lo habéis hecho en un archivo de texto que yo pueda leer después (lo cual sería ilegal, pero 100% posible). Es por ello, que debéis usar una contraseña para cada sitio, porque aunque os podéis fiar de mí, en muchos foros y páginas web de segunda el admin será para vosotros un completo desconocido con intenciones desconocidas.

Aparte de eso, los emails se guardan sin cifrar en el disco duro del servidor del proveedor de correo, así como todas vuestras conversaciones de msn quedan también grabadas por Microsoft. Cualquier empleado podría, de nuevo, acceder a esa información fácilmente (esto también sería ilegal, pero es una práctica casi imposible de detectar que se suele hacer...). Si queréis que nadie tenga acceso a esos datos debéis cifrarlos, usando bien un cliente de correo que soporte cifrado (como Mozilla Thunderbird) o protocolos de mensajería instantánea que soporten cifrado (como Jabber (google talk usa jabber, por ejemplo)).

Y la última moda son páginas web como meebo (por decir una), desde las que podemos usar el messenger desde el explorador. Estás páginas son muy peligrosas porque, en primer lugar, las contraseñas viajan directamente sin cifrar, y en segundo lugar, le estamos dando a una empresa desconocida nuestra cuenta y nuestro password de msn. Generalmente estas empresas (no digo que esta en particular lo haga, pues no tengo pruebas), suelen leer toda la lista de contactos del usuario y luego venden esas direcciones a spammers.

Como ha ocurrido siempre a lo largo de la historia, es la confianza infundada, el logro que hace la ingeniería social, el eslabón más débil en seguridad confidencial.

---

Archivado en: Seguridad, Spanish.

Todo lo que digo está basado en cosas que he ido aprendiendo a lo largo de los años leyendo diversos papers, páginas, etc. La criptografía, aunque no soy un experto ni mucho menos, es algo que siempre me ha interesado (en realidad casi todos los aspectos matemáticos/informáticos me han interesados siempre xD).

En especial muchas cosas las he refrescado volviendo a leer la wikipedia (ya os he puesto múltiples enlaces sobre los conceptos).

Por último, muchas cosas de "El camino a la práctica" las he sacado de un pequeño capítulo de "La música de los números primos", el cual se centra en la historia de la Hipótesis de Riemann, pero tiene este pequeño capítulo sobre la criptografía y su relación con los números primeros al final.

De este libro ya he hablado y os lo recomiendo fervientemente, no es un libro de matemáticas, es un libro de historia de las matemáticas; escrito de manera apasionante. Si tenéis un mínimo de interés por estos temas os aseguro que el libro os encantará.

---

Archivado en: Seguridad, Spanish.