Ley Federal de Protección de Datos Personal

La ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), es un cuerpo normativo de México, aprobado por el Congreso de la Unión el 27 de abril de 2010, mismo que tiene como objetivo regular el derecho a la autodeterminación informativa. Esta ley fue publicada el 5 de julio del 2010 y entró en vigor el día 6 de julio del 2010. Sus disposiciones son aplicables a todas las personas físicas o morales que lleven a cabo el tratamiento de datos personales en el ejercicio de sus actividades, por lo tanto empresas como bancos , aseguradoras, hospitales, escuelas, compañías de telecomunicaciones, asociaciones religiosas, y profesionistas como abogados, médicos, entre otros, se encuentran obligados a cumplir con lo que establece esta ley.

La temporalidad del manejo de tus datos personales será indefinida a partir de la fecha en que se proporcionen, pudiendo oponerte al manejo de los mismos en cualquier momento que lo consideres oportuno, con las limitaciones de Ley.

No será necesario el reconocimiento expreso para el tratamiento de Datos Personales cuando su manejo tenga el propósito de cumplir obligaciones derivadas de una jurídica entre el titular y el responsable, ni en los casos que contempla el artículo 10 de la Ley. Lo anterior sin prejuicio de la facultad que posee el titular para el ejercicio de los Derechos ARCO en términos de la Ley.

La ley define a los Datos personales, como toda aquella información que permita identificar a una persona, y a su vez menciona que, son datos personales sensibles aquellos datos que afecten a la esfera más íntima de sus titular, como podrían ser estado de salud, preferencias religiosas o sexuales.

Los Derechos ARCO, son los derechos de acceso, rectificación, cancelación y oposición. Estos derechos constituyen el has de facultades que emanan el derecho fundamental a la protección de datos y sirven a la capital función que desempeña este derecho fundamental: garantizar a la persona un poder d control sobre sus datos personales, a lo que sólo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer.

Institución Garante. Un garante es la persona (física o jurídica) que, por designación de la ley o de un documento, resulta obligada a hacer efectiva la garantía sobre un producto o servicio. Garantía, este concepto se define como el efecto de afianzar lo estipulado. Para dar esa seguridad puede utilizarse un garante real (que se compromete a dar garantía con algo concreto) o un garante simbólico (que utiliza su nombre o reputación a modo de garantía).

Cuando una personalidad o una organización apelan a su reputación o compromiso para brindar garantía en medio de ciertos conflictos, también se los denomina de este modo. En un enfrentamiento entre dos países, por ejemplo, puede aparecer una tercera nación y ofrecerse como garante de paz en el marco de las negociaciones. Esta tercera nación garantiza que ninguno de los bandos enfrentados apelará a la violencia mientras dure el proceso.

Garante legal

A nivel jurídico, el garante es quien se ve obligado a responder por otra persona cuando ella no pueda o quiera cumplir con sus obligaciones de pago. En un contrato de alquiler, por ejemplo, el locatario o inquilino (quien alquila) debe presentar un garante ante el locador (quien pone algo en alquiler, generalmente un inmueble). Si el locatario no paga el alquiler, el garante debe hacerse cargo y entregar el dinero correspondiente, ya que él ofrece la garantía al locador.

La garantía legal es la que otorga la ley frente a una relación de consumo en la que, según lo estipula la legislación vigente, ambas partes se comprometen a cumplir una parte de un trato en el que ambos están de acuerdo.

Estas garantías se encuentran protegidas por cuatro derechos fundamentales: de devolución, de reparación, de rebaja del precio y de resolución del contrato. Los mismos pueden cambiar teniendo en cuenta el tipo de producto y de relación comercial que se establezca entre las partes interesadas.

El aviso de privacidad es un texto en el cual se explica el uso que se le dará los datos al titular de los mismos, y se genera en forma impresa o electrónica (aparece como una liga e una página Web). La ley y su reglamento mencionan en varios de sus artículos la forma que tendrá este aviso de privacidad. En forma adicional, el día 17 de enero de 2013 la Secretaría de Economía publicó en el Diario Oficial de la Federación los lineamientos para la generación del Aviso de Privacidad, a efectos de minimizar la necesidad de que se deba recurrir a empresas privadas para obtener asesoramiento en su creación. En dicha publicación se diferencian tres formas del Aviso de Privacidad: Integral, Simplificado y Corto, según su aplicación.

Para el aviso de privacidad sea un mecanismo de información eficaz y práctico, se requiere que sea breve, sencillo, con información necesaria lenguaje claro y comprensible, cuidando que su estructura y diseño y diseño facilite su acceso y comprensión.

Algunas recomendaciones generales para su diseño y presentación son las siguientes:

• Contar con títulos cortos, y claros, que de manera sencilla informen al titular sobre el contenido del aviso.
• Utilizar un lenguaje claro y comprensible acorde, a fin de que el mensaje se dirija de manera adecuada al público objetivo.
• Brindar un contexto para facilitar la comprensión del contenido.
•  Tener una estructura clara  textos breves.
•  En el caso de que se requiera el consentimiento expreso utilizando medios verbales, incluir un mecanismo que permita al titular elegir entre las opciones de otorgar o negar su consentimiento.
•  Evitar la inclusión de textos o formatos que induzca al titular a elegir una opción en específico.

Referencias:

• http://definicion.de/garante/
• http://cuidatusdatos.com/infoderechosarco.html
• http://revista.seguridad.unam.mx/numero-10/ley-federal-de-protecci%C3%B3n-de-datos-personales-en-posesi%C3%B3n-de-particulares
• http://www.clubdebanqueros.com.mx/aviso-de-privacidad.php

Heartbeat

Dominio que proporciona servicios de infraestructura de clúster (comunicación y pertenencia) a sus clientes.

Esto permite a los clientes tener conocimiento de la presencia (o desaparición) de los procesos en otras máquinas e intercambiar fácilmente mensajes entre ellos.

Para resultar útil a los usuarios el dominio HEARTBEAT necesita emplearse en combinación con un gestor de recursos del clúster (clúster resource manager (CRM)) el cual posee la tarea de iniciar y parar los servicios (Direcciones IP, servidores web…) a los cuales el clúster aportará ata disponibilidad. Pacemaker es el gestor de recursos de clúster preferido para los clúster basados en Heartbeat.

Dentro de las vulnerabilidades de este dominio:

• Una función encargada de gestionar los menajes heartbeat. Estos mensajes son los denominados keep-alive; que se utilizan para informar al servidor de que seguimos ‘vivos’ para que no cierre sesión.
• OpenSSL sufre una grave vulnerabilidad cuya explotación permite revelar contenidos de memoria de aplicaciones que hagan uso de OpenSSL. Bugs en OpenSSL. OpenSSL es una de las bibliotecas de criptografía más usadas en los servidores web (alrededor de un 17% de los servidores web que ofrecen conexiones seguras con SSL se apoyaban en este componente y presentaban esta vulnerabilidad); por tanto, que aparezca una vulnerabilidad es algo para tomarse muy en serio. Catalogada con el código CVE-2014-0160, esta vulnerabilidad ha sido descubierta por expertos de Google y la compañía de seguridad Codenomicon y ha sido "bautizada" bajo el apelativo de Hearthbleed al estar vinculada a la funcionalidad heartbeat de OpenSSL.

Para entender mejor la gravedad de esta vulnerabilidad, creo que es importante que entendamos cuál es el bug que se ha encontrado. Hay que partir de la base que el protocolo SSL/TLS es complejo y se basa en la criptografía asimétrica, es decir, en una clave pública y una clave privada que reside en el servidor que ejerce de prestatario de los servicios que estamos utilizando.

La clave privada, como su nombre indica, no se comparte con nadie y es la base sobre la se apoya el cifrado de las comunicaciones; sin embargo, la funcionalidad heartbeat que implementaba OpenSSL presenta un fallo en el que responde con un dato que revela porciones de la memoria interna utilizada por este proceso.Dicho de otra forma, OpenSSL estaba revelando datos de la memoria del servidor en el que se estaba ejecutando y, claro está, entre los datos que están en su memoria se encuentra la clave privada (necesaria para realizar los cálculos de cifrado y descifrado de mensajes). Con este escenario, sin el que el administrador del sistema sea consciente, la clave privada podría haber quedado expuesta a un tercero que hubiese explotado esta vulnerabilidad, desmontando la seguridad de este tipo de comunicaciones.

Muchas veces se usa software especial para identificar si un servidor es vulnerable, así abriendo una página web, este analiza si el sitio web es vulnerable o no, además de mostrar ciertas estadísticas o casi acercándose a mostrar cual es el punto vulnerable del servidor.

Una solución probable para evitar este tipo de ataques y/o vulnerabilidades, es actualizando la aplicación que nos esté brindando la seguridad de nuestro servidor o sitio web.

Realmente nada puede hacer un usuario común, el trabajo recae sobre los administradores de los servidores, que trabajaran a marchas forzadas para solucionar el problema lo antes posible y rezar para que nadie conozca el fallo antes de ser reportado.

Referencias

• http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_tecnicos/grave_vulnerabilidad_funcionalidad_heartbeat_openssl_20140408
• http://www.xatakaon.com/seguridad-en-redes/heartbleed-una-gravisima-vulnerabilidad-en-una-libreria-ssl-pone-en-jaque-a-los-grandes-de-internet
• http://www.eldiario.es/turing/criptografia/Detectan-vulnerabilidad-OpenSSL-preocuparnos-comunicaciones_0_247775301.html
• http://es.wikipedia.org/wiki/Heartbeat_(Linux-HA_Daemon)

Ataque al Sistema Criptográfico RSA (Rivest, Shamir, Adelman)

Hoy en día todavía se ignora si el problema de descomponer a un entero en sus factores primos tiene complejidad subexponencial o polinomial (usando computadoras “normales”, dejaremos las cuánticas para otro momento).

El descifrado completo de un texto cifrado con RSA es computacionalmente intratable, no se ha encontrado un algoritmo eficiente todavía para ambos problemas (Factorizar números grandes y el problema RSA). Proveyendo la seguridad contra el descifrado parcial podría requerir la adición de una seguridad padding scheme.

La historia ha comprobado, una y otra vez, que el tiempo necesario para descifrar un mensaje es generalmente menor que el que se presupone según la teoría. Eso se debe a tres factores fundamentales:

• Creciente capacidad de cómputo de los computadores modernos.
• Alo largo de los años se han descubiertos algorítmicos cada vez más eficaces para la resolución de problemas matemáticos; lo que afecta muy especialmente a los algoritmos de clave asimétrica. Destacados son los avances en la factorización de números primos. Por ejemplo, en 1994 se consiguió factorizar un número de 129 dígitos mediante la llamada Criba Cuadrática Polinómica; cinco años más tarde, merced al nuevo sistema Special Number Field Sieve (Criba de Campo Numérico Especial), se factorizó un número de140 dígitos, con menos de la mitad de la potencia de cálculo.
•  Cualquier sistema de cifrado de datos tien puntos débiles, y los modernos (RSA, Diffie-Hellman, PGP, criptografía de curva elíptica) no escapan a esta regla. Casi todos os códigos actuales requieren cadenas de dígitos elegidos aleatoriamente, para lo que se utilizan generadores de números aleatorios a pseudoaleatorios. Pero si dichos números no son realmente aleatorios, las claves así generadas son vulnerables.

En tal sentido, incluso un protocolo criptográfico bien implementado puede contener imperfecciones que permitan un ataque más eficiente que el de “fuerza bruta”. Más aún, puede afirmarse rotundamente que el ingenio humano es incapaz de preparar una clave que el mismo ingenio humano no pueda resolver.

A pesar de que no existe sistema criptográfico inviolable, en la actualidad hay una creciente demanda de mejores implementaciones de encriptamiento y de versiones más robustas de las técnicas y estándares de criptografía. Esto se debe a que cada día son mayores las tareas importantes que se llevan a cabo a través de las redes mundiales: Internet, redes telefónicas, etc. Este incremento promueve el auge de ciertas actividades como el comercio electrónico (e-commerce) pero a su vez expone los datos y las comunicaciones a constantes intercepciones de los llamados “hackers”.

Las redes mundiales manejas grandes volúmenes de datos confidenciales: información de tarjetas de crédito, transacciones bancarias, información corporativa y/o gubernamental, etc. y los hackers son cada vez más hábiles en el proceso de violación de técnicas criptográficas.

Referencias

• http://ldc.usb.ve/~poc/RedesII/EXPO-em01/AES/Retos_Modernos.htm
• http://www.a2secure.com/empresa/noticias-seguridad/261-rsa-sufre-un-ataque-informatico-muy-sofisticado-y-pierde-datos-sobre-sus-sistemas-de-seguridad
• http://es.wikipedia.org/wiki/Criptograf%C3%ADa_asim%C3%A9trica
• http://html.rincondelvago.com/criptografia_seguridad-informatica.html

Sistema Criptográfico RSA (Rivest, Shamir, Adelman)

Algoritmo que se desarrolló en 1977 en el MIT (Instituto Tecnológico de Massachusetts) por Ronald Rivest, Adi Shamir y Leonard Adelman. Registrado el 20 de septiembre de 1983, tras expirar su patente RSA, pasa a ser un algoritmo de dominio público.

Es un algoritmo asimétrico cifrador de bloques, que utiliza una clave pública (la cual se distribuye en forma autentica) y otra privada, la cual es guardada en secreto por su propietario. Es el primer y más utilizado algoritmo de este tipo. Utiliza factorización de números enteros, además de dos números primos grandes elegidos al azar, que oscilan en un orden entre 100 y 200.

Las etapas que engloba este algoritmo son las siguientes:

                                                                                                             

Su implementación de este sistema criptográfico de da en:

• Se usó para proteger los códigos de las armas nucleares de Estados Unidos y Rusia.
• Intercambio de claves.
•  Generación de tokens.
• Firma digital.

La seguridad de RSA:

• Depende del tamaño de n.
• Cuanto mayor sea el tamaño del módulo mejor será la seguridad del criptosistema y mucho más difícil será factorizar cantidades que son producto de dos números primos argos, mediante algún algoritmo.
• El tamaño de n influye negativamente en la velocidad de las operaciones del RSA.

Referencias

• http://www.slideshare.net/amadapa/el-algoritmo-rsa
• http://informatica.uv.es/iiguia/MC/Teoria/mc_capitulo12.pdf
• http://es.kioskea.net/contents/134-cifrado-por-medio-de-rsa
• http://neo.lcc.uma.es/evirtual/cdd/tutorial/presentacion/rsa.html

Máquina Enigma

Máquina Enigma

El interés de la criptografía comenzó en Alemania durante la Primera Guerra Mundial pero se detuvo en 1918 después del Armisticio. Pero al renacer el militarismo en Europa, el interés se reavivó y en Alemania se usaron los trabajos del Ingeniero Arthur Scherbius, que había construido una máquina encriptadora a rotor que llamó Enigma, inspirándose en la máquina inventada por el Holandés Hugo Koch.

Enigma era el nombre de una máquina que disponía de un mecanismo de cifrado rotativo, que permitía usarla tanto para cifrar, como para descifrar mensajes. Dentro del gran campo de la criptografía Enigma marca el punto de inflexión entre la criptografía clásica y la moderna, entre la de antes y la de después de la existencia del ordenador. Este es el método de cifrado que pudo hacerse con una máquina que utilizaba la corriente eléctrica pero con principios de funcionamiento mecánicos.

La máquina enigma era un Dispositivo Electromecánico, es decir, tenía una parte eléctrica y otra mecánica. El mecanismo consistía en una serie de teclas (las letras de alfabeto), al igual  que una máquina de escribir, que en realidad eran interruptores que accionaban los dispositivos eléctricos y hacían mover unos cilindros rotatorios, y un tablero luminoso de 26 letras, los tres rotores o modificadores, que podían permutar sus posiciones, montados sobre sendos ejes, con 26 posiciones posibles (una por cada letra del alfabeto), y un clavijero, cuyo cometido era llevar a cabo un primer intercambio de letras en función del modo en que se dispusieran las clavijas.

Funcionamiento:

El proceso físico de cifrado era relativamente sencillo. En primer lugar, el emisor disponía las clavijas y los rotores en una posición de salida especificada por el libro de claves que estuviera vigente en ese momento. A continuación, tecleaba la primera letra del mensaje llano y la máquina, de forma automática, generaba una letra alternativa que se mostraba en el tablero luminoso: la primera letra del mensaje cifrado.

Una vez completado este proceso, el primer rotor llevaba a cabo una rotación que lo situaba en la siguiente de sus 26 posiciones posibles (un modificador era capaz de llevar a cabo 26 cifrados posibles distintos) y como contaba con tres rotores conectados de forma mecánica uno con otro, y el total de rotaciones que se hacía era de 26*26*26=17576). La nueva posición del modificador traía consigo un nuevo cifrado de los caracteres y el emisor introducía entonces la segunda letra, y así sucesivamente. En adición a los tres rotores, Enigma disponía también de un clavijero situado entre el primero de ellos y el teclado. Este clavijero permitía intercambiar entre sí pares de letras antes de su conexión con el rotor, y añadía de este modo un número considerable de claves adicionales al cifrado. El diseño estándar de la maquina Enigma poseía seis cables, con los que se podían intercambiar hasta seis pares de letras.

Para decodificar el mensaje, bastaba con introducir los caracteres cifrados en otra máquina Enigma con la condición de que los parámetros de salida de esta última fueran iguales a los de la máquina con la que se había llevado a cabo la encriptación.

Referencias

è http://www.exordio.com/1939-1945/militaris/espionaje/enigma.html

è www.areatecnologia.com/maquina-enigma-alemana.htm

è www.u-historia.com/uhistoria/tecnico/articulos/enigma/enigma.html

è http://es.wikipedia.org/wiki/Enigma_(m%C3%A1quina)

Factura Electrónica en México y La Firma Electrónica

La factura Electrónica en México es la representación de un tipo de comprobante fiscal, que está apegada a los estándares definidos por el Servicio de Administración Tributaria (SAT). Es un documento electrónico que cumple con los requisitos legal y reglamentariamente exigibles a las facturas tradicionales garantizando, entre otras cosas, la autenticidad de su origen y la integridad de su contenido.

La factura electrónica es el remplazo de las facturas tradicionales. Es más funcional y legalmente equivalente a estas últimas, pero a diferencia de las otras y por su propia naturaleza, las facturas electrónicas pueden almacenarse, gestionarse e intercambiarse por medios electrónicos o digitales, y esto hace que la información sea más accesible, segura y flexible.

Según documentos oficiales (La Segunda Resolución de modificaciones a la Resolución Miscelánea Fiscal para 2013 y su anexo 3) establecen que los contribuyentes con ingresos de hasta doscientos cincuenta mil pesos anuales deberán facturar electrónicamente.

Para la factura electrónica tenga validez debe estar completada con la firma electrónica, que le da validez legal permitiendo eliminar la factura en papel.

La firma digital da como caracterización la información firmada digitalmente, esta es equiparable a los documentos impresos con firma autógrafa, teniendo igual valor aprobatorio, y en consecuencia, produce los mismos efectos que las leyes otorgan a estos documentos.

Con el fin de regular la firma digital que, a través de medios de comunicación electrónica, utilicen los servidores públicos y los particulares, en las comunicaciones, trámites, prestación de servicios, actos y procedimientos administrativos, resulta lo que es la Firma Electrónica Avanzada (FIEL).

Que en su conjunto la FIEL es un conjunto de datos que se adjuntan a un mensaje electrónico, cuyo propósito es identificar al emisor del mensaje como su autor legítimo, como si se tratara de una firma autógrafa. También hace referencia a un medio electrónico con el que el contribuyente puede llevar a cabo transacciones fiscales electrónicas y das su autorización para ejecutarlas a través de esta herramienta, es decir, es un medio de autorización electrónica. Dentro de sus funciones de la FIEL están:

à Declaraciones patrimoniales                                      à Emisión de documentos oficiales

à Solicitudes de acceso a la información pública                            

à Emisión de dictámenes                                               à Control y gestión de documentos

Todos aquellos contribuyentes (personas físicas y morales) están obligados a tramitarla.

Referencias

à http://es.wikipedia.org/wiki/Factura_electr%C3%B3nica

à http://www.soyconta.mx/para-que-sirve-la-firma-electronica-avanzada-fiel/

àhttp://www.funcionpublica.gob.mx/index.php/ua/ssfp/funcion-publica/firma-electronica-avanzada-fiel.html