edición general
OscarLage

OscarLage

Soy Oscar Lage, investigador en ciberseguridad, criptografía y blockchain. Me dedico a la investigación y transferencia tecnológica, ayudando a las empresas a adoptar nuevas tecnologías que les permitan crear sistemas más seguros y respetuosos con la privacidad de las personas.

En menéame desde octubre de 2020

10,15 Karma
1.277 Ranking
Enviadas
Publicadas
Comentarios
Notas

Soy Óscar Lage, investigador en ciberseguridad, criptografía y blockchain. Pregúntame [173]

  1. #9 Debemos concienciar a la ciudadanía, usuarios, empleados, etc. creo que esto es fundamental ya que si los usuarios no son conscientes y piensan “a mí no me va a pasar” seguirán siendo un riesgo para ellos mismos y para sus empresas.
  1. #130 sí, seguro que está optimizado, pero aun así es muy costoso. Hace algún tiempo vi algún informe sobre la huella del sistema financiero pero ahora mismo no lo encuentro :-(
  1. #43 No a corto, pero yo sí soy un defensor de que todo el mundo que actualmente utiliza efectivo por la independencia y privacidad que le otorga se moverá poco a poco a las criptomonedas ya que le van a dar una mayor flexibilidad.
  1. #42 Sí, diferentes equipos de investigación estamos trabajando en combinar blockchain + SMPC + HE + ML… las posibilidades son muy interesantes, podemos entrenar modelos y compensar por ello a desconocidos sin que estos terceros cedan su información, podemos realizar insights y querys sobre información de terceros y recompensarles y conocer únicamente el resultado y no los datos en bruto… las posibilidades son impresionantes pero estamos teniendo muchos problemas por los tipos de datos, las limitaciones de datos que tiene la blockchain, etc.
  1. #41 Creo que debemos de dar la posibilidad a los usuarios de que cedan o no sus datos, actualmente los usuarios no tienen esa opción y encima en muchos casos no son realmente conscientes del impacto de este tipo de cesión de datos.
    No soy muy favorable a ello, pero también entiendo que existen usuarios que no son sensibles sobre su privacidad y que prefieran monetizar dicha información
  1. #39 Si te soy sincero no utilizo gestores de contraseñas, en 2012 utilicé temporalmente uno para móvil y después de que se publicaran sus vulnerabilidades preferí dejar de utilizarlos. Realmente no soy una persona que utilice demasiados servicios digitales y no me cuesta tener contraseñas diferentes y con un nivel de seguridad adecuado al riesgo de cada servicio. No obstante un par de startups con las que colabora utilzan servicios como Keeper, aunque la verdad es que no me atrevo tampoco a recomendarlo porque no he analizado su seguridad ni me he informado al respecto. En cualqueir caso mejor certificados HW que contraseñas.
    Con respecto a los servicios de almacenamiento en la nube suelen ser seguros por lo general, eso sí, en el caso de que necesites subir información sensible lo mejor es que la subas cifrada {0x1f609}
  1. #38 La verdad es que no tengo una opinión formada al respecto, seguramente alguien con mayores conocimientos en economía y activos financieros podría intuir si realmente existe algún patrón anómalo en la estabilización del mercado actual. Muchos dicen que la burbuja ha cesado y que se ha normalizado su precio, quizás sea eso?
  1. #36 Creo que Lightning es muy interesante como comentaba antes, además de todo el paradigma DeFi que se ha creado en los dos últimos años. Ambos ámbitos son muy interesantes pero como comentaba sobre ambos, deben de ir creciendo de forma controlada y demostrando su resisiliencia antes de llegar a las masas. Pero el día que lleguen van a poder atraer a muchos usuarios que a día de hoy sólo encuentran privacidad en el cash y que podrán tener una opción estable, ágil y segura al efectivo.
  1. #35 Creo que marcó un antes y un después, que es realmente útil pero que no es sencillo de utilizar en el día a día, el propio Snowden tuvo un fallo en alguno de sus mensajes debido a la complejidad del sistema. Debemos crear sistemas más sencillos si queremos dotar a la ciudadanía de privacidad.
  1. #34 La generación de las direcciones de bitcoin y otras redes en base técnicas de hashing combinadas nos permitiría generar nuevas claves asimétricas para los usuarios y mantener el protocolo tal cual, simplemente introduciendo un nuevo prefijo en la dirección para que en la validación se pueda conocer por parte del minero de que se trata de una dirección generada en base a un nuevo critposistema. Esto nos permitiría introducir algún algoritmo post-cuántico, mantener el protocolo con una mínima modificación, y proteger la integridad de los bloques anteriores ya que en la medida de que los nuevos bloques estén protegidos en su mayoría con usuarios que ya hayan migrado al nuevo criptosistema damos protección a todos los bloques anteriores.
    No obstante los usuarios que no generaran nuevas identidades y migraran sus activos seguirían en peligro de que dichos activos protegidos por criptografía menos fuerte pudieran ser manipulados por terceros.
    Con respecto al concurso del NIST desgraciadamente a pesar de que Francia y Alemania auditan periódicamente algoritmos o que ENISA lanza periódicamente informes con respecto a la criptografía… a día de hoy en gran medida dependemos de la investigación que realizan criptógrafos en todo el mundo combinada con la neutralidad de concursos extranjeros como el del NIST que son una referencia y en el que se basan muchas decisiones políticas.
  1. #74 Seguro que complementas perfectamente lo que comento y agregas más información que puede ser de utilidad para la comunidad, anímate {0x1f44d}
  1. #33 Me parece una respuesta gubernamental a la falta de información que las criptomonedas descentralizadas les producen. Estos gobiernos no son muy favorables al efectivo o las criptomonedas descentralizadas por lo que creo que la apuesta es crear un híbrido que les permita tener un mínimo de control e información.
  1. #26 Creo que lo importante es tener claro los riesgos e impacto de los mismos de cara a poder moderar la inversión, teniendo en cuenta dos premisas. La primera es que la seguridad total no existe y la segunda es que para la mayoría de mortales y empresas una serie de buenas prácticas de coste controlado limitan enormemente los riesgos.
    Realmente cosas sencillas como las siguientes nos pueden ayudar enormemente y no tienen un gran coste para una organización: hacer copias de seguridad, controlar el acceso a aplicaciones críticas y áreas restringidas como el CPD, gestionar de forma segura toda la criptografía, formar y concienciar a los empleados (phishing, ingeniería social, etc.), monitorizar activos críticos, realizar una buena segmentación de la red, tener un firewall actualizado, activar seguridad en los endpoints y mantener al día aplicaciones y antivirus.
    Pero lo dicho, eso sería lo mínimo para cualquier organización, pero a partir de ahí si nuestro riesgo es alto deberíamos auditar el software de terceros, desarrollar de forma segura el propio, SOC propio o de terceros, etc.
  1. #66 Si buscamos una seguridad óptima deberíamos trabajar en redes abiertas y libres, y que además tengan una capacidad de cómputo grande que no permita “alquilar” capacidad de cómputo para generar temporalmente una “doble verdad” en la cadena. Estos ataques se han producido en cadenas secundarias con una capacidad de cómputo limitada en el que podría llegar a ser rentable alquilar la capacidad de cómputo necesaria para realizar un doble gasto.
    Aun así, este tipo de ataques no son permanentes y todo se destapa una vez que se deja de tener esa mayoría en la red. Tampoco implican que cambies lo anterior, el punto inicial es aquel en el que comienza tu capacidad de cómputo superior a la del resto.
    En cualquier caso, en redes permisionadas prácticamente no se utiliza el proof of work y por tanto lo que debemos primar es diseñar la red para que los propios participantes en la misma no tengan intereses comunes, para ello deberemos aplicar teoría de juegos y analizar los posibles conflictos a los que se puede enfrentar y ver si a los participantes les conviene de forma mayoritaria o incluso total en algunos casos alinearse para alterar el correcto funcionamiento de la red.
  1. #23 Increíble reflexión @preparado, como te puedes imaginar no tengo respuestas a estas preguntas, pero comparto tu curiosidad en algunas de ellas. Realmente no sé hasta qué punto necesitamos un nuevo Internet o lo que necesitamos es cambiar la cultura a las empresas/desarrolladores y usuarios para valorar (pagar) por la seguridad y que sobre la capa actual de Internet las aplicaciones que operan sean robustas y no confíen para nada en el protocolo de transporte, asumiendo desde la capa de aplicación las responsabilidades oportunas.
    La inteligencia artificial tiene múltiples usos, y junto a la digitalización ofrece muchas oportunidades, pero también riesgos. Hemos creado unas tecnologías como las redes sociales que compiten por nuestra atención y que están creando auténtica dependencia, falta de sueño, dificultad para concentrarse, etc. en la ciudadanía. Deberíamos de crear órganos que velen por la salud de los usuarios y sus intereses ya que de momento estos algoritmos de IA han demostrado que son muy eficientes en su cometido, pero que su objetivo es la rentabilidad de sus empresas y no el bienestar de los ciudadanos.
  1. #22 Lo siento peor no soy un buen asesor financiero ☹
  1. #21 El que va acompañado de un segundo factor de autenticación {0x1f609}
  1. #20 Como comentaba anteriormente con cebolla siempre {0x1f609}
  1. #17 Entiendo que te refieres a la mensajería instantánea y a riesgos como puede ser los nuevos paradigmas computacionales comentarte que hay avances significativos a nivel conceptual de cómo aplicar criptografía post-cuántica en el protocolo Signal. Introducir CSIDH como alternativa a ECDH en el protocolo nos introduce una latencia superior en el primer intercambio de mesajes pero el resto del hilo no se ve afectado. Pasando de una media de 0,35 segundos a más de 4 segundos en esos primeros mensajes en cada sentido, manteniéndose 12-13ms para el resto de mensajes consecutivos de la conversación.
  1. #16 Creo que es un activo interesante y útil para el ámbito financiero, pero deberían de dejar de insistir en el carácter descentralizado total de la red y en la independencia de Ripple sobre el activo.
    No hay nada malo en admitir que hay una cierta centralización que les permite una mayor facilidad para construir el sistema, ser más eficientes, etc. Seguramente para las entidades financieras que son uno de sus usuarios más activos esto sea incluso una garantía y un vínculo favorable con su cultura y concepto de seguridad. El que realmente desee un activo totalmente descentralizado seguramente opte por Bitcoin.
    Lo importante como siempre es ser transparente para que cada usuario pueda seleccionar en función de sus preferencias o necesidades.
  1. #13 En #6 comentábamos algunos usos interesantes y el contexto de cambio de paradigma económico que puede producir la descentralización.
  1. #12 Creo que en el caso de Bitcoin se ha trabajado mucho en su escalabilidad directa, pero a día de hoy quizás la respuesta más prometedora de escalabilidad sea Lightning Network. Debemos esperar todavía para ver cómo evoluciona pero si demuestra una estabilidad y seguridad podría ser una segunda capa para Bitcoin que permita dar ese salto de escalabilidad que todos estábamos esperando.
  1. #11 En Google Scholar o ResearchGate puedes encontrar otras publicaciones sobre esos temas. Además justo desde hace un año y pico me he propuesto volver a ser más activo en el ámbito académico ya que a pesar de tener un perfil de “practitioner” creo que es importante estar presente en el mundo más académico.
  1. #10 Creo que es un ámbito experimental y todavía necesita madurar mucho. En este 2020 DeFi ha crecido muchísimo y han surgido infinidad de proyectos, pero realmente es un ámbito con una historia breve (unos 2 años), muy prometedor pero que antes de que nos planteemos que pueda ser utilizado de forma generalizada debe demostrar en los próximos años que algunos de estos proyectos son resistentes ante cualquier situación o intento de manipulación/ataque externa.
    Estamos en un punto clave para DeFi, si no hay grandes problemas en los próximos dos años, si se resuelve favorablemente y de forma gestionada los inconvenientes que vayan surgiendo se generará la confianza necesaria y podremos comenzar a hablar de una nueva herramienta financiera descentralizada y libre.
    Realmente creo que comunidades como MakerDAO están haciendo un trabajo de investigación y experimentación fabuloso, y aunque no soy ni mucho menos un experto en el ámbito financiero sí que me generan confianza.
  1. #9 Debemos concienciar a la ciudadanía, usuarios, empleados, etc. creo que esto es fundamental ya que si los usuarios no son conscientes y piensan “a mí no me va a pasar” seguirán siendo un riesgo para ellos mismos y para sus empresas.

menéame