Cuidado con tu ordenador en los aeropuertos

17 de Mayo de 2008 — Manuel Delgado

Zeitgeist: todos los viajeros son culpables de algo hasta que no se demuestre lo contrario.

Desde hace algún tiempo, se está hablando mucho sobre los agentes de fronteras americanos y sus prácticas de revisar ordenadores portátiles e incluso confiscarlos para revisarlos con detenimiento. Bruce Schneier habla de este asunto en su último post, a raíz de la sentencia judicial de hace unas semanas en las que se daba carta blanca a esta práctica, que ya viene ocurriendo desde hace algún tiempo en Estados Unidos y en varios otros países. Los consejos de Schneier sobre cómo protegerte no son nuevos, ya los explicó con detalle el pasado noviembre y nos los recordó cuando habló de este asunto por primera vez en febrero. Básicamente, se pueden resumir así: no lleves en tu ordenador ninguna información innecesaria cuando hagas viajes internacionales (preferiblemente, no lleves ninguna información: accede a ella una vez estés en tu destino, por VPN o similar), utiliza herramientas de encriptación como PGP Whole Disk Encryption o TrueCrypt, utiliza contraseñas difíciles de adivinar y planifica con antelación qué hacer si llegas a tu destino sin portátil. Hay que recordar, además, que la medida afecta también a otros dispositivos como PDAs o teléfonos móviles.

Leer el resto del artículo »

El ataque del frío me deja frío

29 de Febrero de 2008 — Manuel Delgado

En un mundo en el que la encriptación de la información personal y empresarial sigue siendo una utopía, en el que la gente va perdiendo por ahí llaves USB con todo tipo de datos confidenciales, en el que las contraseñas más habituales son tu DNI o la fecha de nacimiento de tu primogénito, en el que los gobiernos mandan por correo DVDs rebosantes de datos personales de los contribuyentes y en el que colocar un keylogger en un equipo es una cuestión trivial, no entiendo el revuelo organizado por el llamado "ataque del frío" (en inglés, cold boot attack) [PDF:2,46MB], que no es más que la posibilidad de mantener durante un tiempo la información contenida en la memoria RAM de un equipo apagado manteniéndola a muy baja temperatura gracias a, por ejemplo, un spray con nitrógeno líquido -o incluso un simple spray de aire, invertido-. Gracias a esta forma de acceder a la información de la RAM, sería posible, por ejemplo, recuperar las claves usadas por diversos programas de seguridad para desencriptar la información que protegen.

Leer el resto del artículo »

Nueva versión de TrueCrypt

6 de Febrero de 2008 — Manuel Delgado

Ya ha salido la versión 5.0 de TrueCrypt. Entre sus novedades más interesantes están un importante aumento del rendimiento y la posibilidad de encriptar (o cifrar, para que no se me enfaden algunos) la partición de sistema completa, ambas cosas para Windows. Para otros sistemas operativos las novedades son una interfaz gráfica para Linux y, por vez primera, una versión para Mac.

Las novedades menos fácilmente apreciables por el gran público son el modo de operación XTS (que sustituye al modo LRW, aunque se mantiene la retrocompatibilidad) y el algoritmo de hash SHA-512, en sustitución del SHA-1 (es posible, además, reescribir el encabezado de un archivo creado usando SHA-1 para que use el nuevo algoritmo).

No he podido dedicar aún mucho rato a probarlo pero, hasta ahora, no me ha fallado y sigo trabajando con mis archivos creados con la 4.3 sin problema alguno.

Si quieres saber más sobre TrueCrypt, hace un par de meses le dediqué un post titulado "Acerca de TrueCrypt".

Fotografía de una máquina Enigma cortesía de austinmills mediante una licencia Creative Commons by-sa.

Acerca de TrueCrypt

16 de Diciembre de 2007 — Manuel Delgado

Hace tiempo, me llevé una gran decepción cuando PGP (siglas de Pretty Good Privacy) dejó de ser freeware y pasó a convertirse en un producto de pago. PGP era un producto simple y efectivo para firmar y encriptar tu correo electrónico usando el modelo PKI y, además, era el estándar de facto para esas operaciones, con lo que su base de usuarios era amplísima (no tanto en España). Sin embargo, aunque la aplicación primordial de PGP era la securización del correo electrónico, tenía otros usos igualmente interesantes, como la encriptación de datos en tu disco duro. Por diversas cuestiones que no vienen al caso, el proyecto dejó de ser abierto y gratuito y se convirtió en un producto comercial, lo que tuvo dos efectos inmediatos: dejó de ser económico y, además, su base de usuarios descendió drásticamente.

Llevaba yo bastante tiempo intentando encontrar una solución de encriptación comparable a PGP tanto en términos de fiabilidad como de facilidad de uso. Hace como un año, mi búsqueda terminó gracias a una nota de Kriptópolis que me hizo llegar hasta TrueCrypt. Se trata de un software para la creación de volúmenes encriptados, abierto y gratuito -pero no libre-, que se instala en un abrir y cerrar de ojos y que cuenta con suficiente tiempo en el mercado y suficientes revisiones por parte de terceros como para poder confiar en él (al menos, tanto como se puede confiar en cualquier producto de seguridad cuando tú mismo no eres una eminencia en ese campo). TrueCrypt incorpora los algoritmos de encriptación AES, Serpent y TwoFish y puede usar varios de ellos de forma sucesiva para sus operaciones de encriptación (sacrificando, obviamente, la velocidad de computación), con lo que, en teoría, se puede llegar a conseguir un nivel de seguridad mucho más que aceptable. Si a eso le sumamos un manual de uso hecho con la seguridad en la cabeza, que ofrece detalles concretos sobre cómo funciona el software y no simple jerga de marketing y que da multitud de pistas sobre cómo usar el programa de forma realmente segura, parece que podemos acercarnos a este software con tranquilidad.

Leer el resto del artículo »