Categoría: Sin categoría

Esta claro que cada día que pasa nos acercamos a una revolución en el entorno económico y financiero, esto nos llevará a dar un nuevo sentido a las entidades financieras y sobre todo a sus servicios.

https://www.elconfidencial.com/mercados/2020-01-11/eurocoin-bce-revolucion-libra-facebook-cripto_2407052/

Desde hace tiempo se está hablando de las criptomonedas y los problemas que serían para las economías y el control de los estados, y este fue uno de los motivos por los que Libra de Facebook no ha logrado, o al menos de momento, salir al mercado. Hasta ahora las criptodivisas se tomaban como algo con lo que inversores de alto riesgo jugaban y especulaban, pero que pasaría si un banco central decidiera utilizar una criptodivisa controlada por él?

Esta claro que los grandes cambios cuestan y suelen tardar, pero poco a poco se posicionan y se vuelven imparables, y en la era de lo digital no podemos olvidar el marco del dinero digital.

Hasta ahora se hablaba de dinero digital a las transacciones y los pagos con tarjetas, pero poco más, pero ¿y si rediseñamos todo a través de un sistema de criptodividas? ¿Cuántos servicios nuevos aparecerían y cuantos desaparecerían? La respuesta es clara, mucho por no decir todos. Si tengo mi «cartera digital» y puedo pagar con mi móvil ¿para qué necesito una tarjeta de Visa o MasterCard de debito? ¿Un cheque o pagaré que me entrega una empresa sería necesario o me valdría con un pago aplazado digital? ¿podría ceder el cobro de este pago? ¿cómo lo tendría que hacer?

Como veis las preguntas serían muchas, ya que estas solo serían algo básico y sin profundidad, pero no solo afectaría a la banca, si ya hemos adoptado un sistema de criptomonedas ¿Cuándo compre algo quedará registrado a mi nombre de forma automática? y si es así ¿qué sentido tiene un registrador?

Lo único que queda claro es que el cambio afectaría al dinero «B» del mercado, ya que si las transacciones en papel físico desaparecen, mucho de esta economía sumergida se vería obligada a salir, ayudando a que todos los ciudadanos paguemos impuestos de igual manera y evitemos fraudes.

¿Pero que problemas tenemos? La seguridad, el dinero es uno de los elementos que más miedo tiene, las personas siempre tenemos miedo a perder lo que entendemos que es nuestro y un fallo de seguridad, una caída del sistema o un incidente de cualquier tipo, hace que la gente se vuelva miedosa y busque refugios que consideran seguros. Lo vemos todos los días en los mercados financieros, una noticia hace que suba o baje un valor, un guerra hace que una moneda valga más o menos, un incidente de seguridad tumba una empresa. Por eso es difícil que veamos un servicio de estás características de forma inmediata.

Con todo esto hay dos cosas que nos quedan claras, «SERA RÁPIDO» la respuesta es no, hay muchos factores complejos que estudiar y los actores en el mercado se tendrán que actualizar, «ES IMPARABLE» desde mi punto de vista SI, como hemos empezado diciendo hay tendencias que nacen y mueren y otras que nacen para quedarse y creo que esta es una de esas, no se va a ir.

En una discusión sobre las monedas virtuales y hablando con una persona que invierte en ella, nos pusimos a comentar la nueva moneda de Facebook, esta persona ya no veía la moneda por estar controlada por una corporación, y por tanto, sería fácil de manipular.

En ese apartado estábamos todos de acuerdo, una empresa como Facebook sería capaz de manipular una moneda a su antojo, creando oferta y demanda de forma virtual y sin un control similar al que tiene cualquier moneda de uso legal no sería bueno que existiera.

Pero, en el transcurso de la conversación hablamos del BITCOIN, la madre de todas las monedas virtuales, esta persona defendía a capa y espada la validez de esta moneda virtual, pese que el Tribunal Superior de Justicia ha declarado que no es una moneda de curso legal. Insistía en que es algo real y que no hay marcha atrás y aquí mi pregunta

Cuándo en el año 2140 aproximadamente todos los bitcoin estén en circulación ¿ quién va a minar las transacciones? Hoy esta claro el objetivo de minar, conseguir eso bitcoins por cada reto que gano, pero cuando todo esté en el mercado seguiremos siendo altruistas y minaremos los desafíos de forma gratuita.

Miramos por internet y no encontramos una respuesta al respecto, así que aquí os dejo la pregunta a todos por si alguien puede aportar algo de claridad al asunto.

No me vale que digamos que será dentro de muchos años y para entonces tendremos alguna tecnología nueva o que los procesadores serán tan potentes que el consumo de energía actual ya no será un problema, la pregunta sería ¿ qué pasaría en condiciones similares a las actuales si ya no hay recompensa?

Un saludo a todos y espero que alguien nos de una solución.

Muchas veces te encuentras desarrollando trabajos y con grupos de gente que son poco colaborativas o simplemente miran por si mismos. Otras veces simplemente hay una persona que destaca por encima de las demás y coge el protagonismo del trabajo y solo te queda realizar el «trabajo basura» que te van asignando del cual sacas poco o nada.

Pero algunas veces te encuentras un grupo de personas que no es que te enseñen, es que disfrutas trabajando con ellos, no porque sean muy buenos y tengan un conocimiento avanzado del tema que tratas (David ha sido el «Jedai» del gurpo), no porque corrijan el trabajo y aportan opiniones de como mejorar (Oscar el persistente y perfeccionista y Antonio el hombre que siempre tiene una visión positiva de las cosas) y yo mismo que he intentado comprender lo que me transmitía y solo aportar lo que podía, sino por el ambiente de aprender y mejorar que se demuestra cuando todos empujan hacia un lado.

Por eso es tan importante los grupos de trabajo, porque cuando encuentras gente que tienden a implicar a todo el mundo el trabajo mejora, los proyectos no se desvían y el resultado es excelente.

No escribo esto para intentar convencer a nadie del famoso «cúmbaya» ni de que todos debemos ser felices pase lo que pase, solo lo escribo para dar gracias por encontrarte por el camino con personas con las que después de terminar un proyecto tienes ganas de empezar otro o simplemente tomarte una cerveza para ver que tal están.

Todo responsable debería, al menos, intentar crear los entornos de trabajo que sean colaborativos, comprender las necesidades de cada uno e implicar dada sus características a las personas en las tareas que mejor se adapten a ellos, pero sin separar los grupos ya que hay una gran diferencia entre colaborar y separar para más tarde intentar unir.

Así que solo me queda decirles, espero encontrarnos pronto en otro proyecto y

Desde hace relativamente poco tiempo, el mundo del blockchain ha aparecido como una tecnología disruptiva que está llamada a realizar cambios en el sistema de seguridad en gestión de transacciones.

Todo sistema de seguridad informático, o al menos la gran mayoría, se basan en problemas matemáticos de difícil solución, y blockchain no iba a ser menos, así que vamos a tratar de explicar la relación de una base de datos y los algoritmos matemáticos.

Para empezar diremos que blockchain como su propio nombre indica es un sistema de cadena de bloques consecutivos que todos asimilan a un libro contable tradicional, ya que los bloqueas van “contabilizando” las transacciones que se van realizando.

Supongamos que tenemos una cadena de bloques con la siguiente situación y cada bloque tiene una información independiente pero consecutiva

Y tenemos una red donde la base de datos está distribuida en tantos nodos como aquellos que participan en los retos matemáticos que existen en blockchain. En este caso y para simplificarlo vamos a crear una red mayada de 6 nodos

En esta red, todos los nodos están conectados con todos de forma bidireccional, con lo que podemos calcular el número de conexiones (aristas) de los nodos con la siguiente fórmula matemática nodos(nodos-1)/2, en este caso sería 6(6-1)/2 = 15

En esta situación vamos a suponer que hay varios usuarios utilizando la cadena de bloques y quieren realizar una transacción nueva donde el usuario A tiene 10 botellas, el B 5 y el C solo 1

El usuario A quiere traspasa 4 botellas al usuario C y queremos que esta transacción se guarde, esto representa algunos problemas que podemos expresarlo en preguntas (hay que aclarar que aunque en este caso solo vamos a guardar una transacción, en un bloque de datos se pueden guardar varias transacciones seguidas).

1.- ¿Cómo garantizamos el orden de los bloques?

2.- ¿Cómo garantizamos la integridad de los datos?

3.- ¿Cómo evitamos la colisión de información?

Vamos a ir contestando estas preguntas explicando el funcionamiento de una red de blockchain.

Lo primero que tenemos que saber para ello es que es un HASH, un HASH es una cadena de datos que han sido transformadas mediante un algoritmo, si quisiéramos hacer referencia al sistema  más famoso que utiliza blockchain como base donde se guarda la información, hablaríamos de Bitcoins, esta red utiliza el algoritmo SHA256 para securizar sus transacciones.

El algoritmo SHA256 fue diseñado por la NSA en los años 2001 como estándar federal de procesamiento de la información.

Una de las características del algoritmo SHA256 es que convierte todo un texto en una cadena de caracteres de una misma longitud, esta cadena de caracteres es el HASH.

Y el HASH de esta última frase sería: 

E5A32EC10292ABB938ABD978DE25A2516C413CD71D5B14B22CB6B40400D53027

Pero si cambiamos un solo dato de la cadena como puede ser el último punto, el HASH cambia

C3A2F3E77062AF4D4A7504253137AFB7303DE4274721952FDD5519279ACC3746

Para realizar este cálculo se ha utilizado esta web pública que realiza el algoritmo SHA256 sobre un texto cualquiera

https://passwordsgenerator.net/sha256-hash-generator/

Por lo que podríamos comprobar sin problema si se ha variado un texto o mensaje inicial comprobando si el HASH coincide con el texto o mensaje.

Pero ¿es seguro este algoritmo? La respuesta es sí, ya que no es reversible y aunque capturen el HASH no podrían ver la información original con solo esa información, esto hace que solo se pueda atacar por fuerza bruta.

Hoy en día, la mayoría de los lenguajes de programación tienen implementado este algoritmo con una función directa sin necesidad de programar demasiado

Phyton

>>> import hashlib

>>> m = hashlib.sha256()

>>> m.update(b"Nobody inspects")

>>> m.update(b" the spammish repetition")

>>> m.digest()

b'\x03\x1e\xdd}Ae\x15\x93\xc5\xfe\\\x00o\xa5u+7\xfd\xdf\xf7\xbcN\x84:\xa6\xaf\x0c\x95\x0fK\x94\x06'

>>> m.digest_size

32

>>> m.block_size

64

https://docs.python.org/3/library/hashlib.html

Java

MessageDigest digest = MessageDigest.getInstance(«SHA-256»);

byte[] encodedhash = digest.digest(

  originalString.getBytes(StandardCharsets.UTF_8));

private static String bytesToHex(byte[] hash) {

    StringBuffer hexString = new StringBuffer();

    for (int i = 0; i < hash.length; i++) {

    String hex = Integer.toHexString(0xff & hash[i]);

    if(hex.length() == 1) hexString.append(‘0’);

        hexString.append(hex);

    }

    return hexString.toString();

}

SHA-256 and SHA3-256 Hashing in Java

y otros como .Net

https://docs.microsoft.com/es-es/dotnet/api/system.security.cryptography.sha256?view=netframework-4.7.2

Se puede ver una extensa información sobre SHA2 en la url

https://es.m.wikipedia.org/wiki/SHA-2

Pero si alguien se pregunta si se puede realizar el cálculo a mano podéis ver este video donde se demuestra cómo se realiza el algoritmo SHA256 a mano

EXPLICAR EL RETO MATEMÁTICO

Una vez que sabemos que es un HASH, podemos decir en que parte se componen un bloque de la base de datos

La cabecera está compuesta por un HASH que se calcula con el valor del anterior nodo,  en el ejemplo que hemos puesto tendríamos que escribir el bloque número 7 y se calculará el HASH de la cabecera con el HASH que sale de utilizar el algoritmo SHA256 sobre los datos del bloque 6 (todos los datos contenidos en el bloque), y esto da contestación a la primera respuesta,  se lee el último bloque escrito y se obtiene la siguiente cabecera.

De esta forma si un nodo quisiera modificar los datos del bloque 2 por ejemplo, el HASH de los bloques siguientes no sería válido, ya que tendríamos que aplicar el algoritmos SHA256 a todos los siguientes bloques, en este caso del 3 al 6, y se demostraría que los datos han sido manipulados, como la base de datos está distribuida en todos los nodos y ha sido solo un nodo el que lo ha modificado, el resto de los nodos rechazará esta modificación y volverá a re-escribir los datos del nodo modificado con el consenso del resto de los nodos.

Para romper el consenso hay que manipular la mitad de los nodos +1 o à (nodos/2) + 1 esto es la regla del 51%, en una red de 6 nodos sería viable un ataque, pero si imaginamos una red de 1.000 nodos ya sería muy complicado atacar a la mitad de ellos simultáneamente, y así exponencialmente a 10.000, 100.000 o más.

Para entenderlo de forma rápida, la red blockchaing asume el siguiente principio “si el 51% de los nodos de la red toman algo por cierto, el recto de los nodos lo toman como cierto”

Aunque en teoría este ataque podría ser cierto, veremos como en la práctica el coste real de realizar un ataque en este sentido tiene un coste tan elevado que no merece la pena.

Con lo que ya hemos respondido a las dos primeras preguntas y ahora vamos a por la tercera y quizás la más interesante de todas, como evitamos la colisión de la información.

Hay varios sistemas, pero en este caso vamos a explicar el que utiliza bitcoins que se denomina Proof Of Work (POW) o prueba de trabajo

En que consiste la prueba de trabajo propuesta por bitcoins, pues en un reto matemático que de forma sencilla nos dice que si tenemos un algoritmo SHA256, donde es un dato de 256 bits, queremos que halles el HASH de la cabecera del siguiente bloque que empiece por n número de 0

En este ejemplo solicitamos un HASh que sus primero ocho números sean ocho ceros, y ¿cómo podemos calcularlo? Pues la respuesta es que no se puede, simplemente  empiezan a realizar prueba error añadiendo datos a la 3 parte del bloque hasta que por casualidad uno de los nodos que están haciendo los cálculos de forma simultáneamente lo encuentra y se lo comunica al resto de los nodos, se verifica que sea cierto y así se pasa a escribir el bloque número 7 que es retransmitido a todos los nodos para que se pueda crear el bloque número 8 con el HASH que se volverá a calcular gracias al anterior bloque que acabamos de escribir.

Por si alguien le parece fácil o sencillo podemos mostrar el gráfico donde se ver el nivel de dificultad y las transacciones de un día

https://www.blockchain.com/es/charts/difficulty

Para que nos hagamos una idea del número de HASH y la capacidad de computación por segundo que se está utilizando para encontrar el reto matemático

https://www.blockchain.com/es/charts/hash-rate

Cuantos más nodos están realizando cálculo más nivel de dificultad se añade al HASH.

Por este último punto, realizar el ataque del 51% no tiene sentido por el coste, no solo por modificar un dato en un momento dado, sino porque habría que recalcular todos los demás datos de la red siguientes al dato modificado, y con el coste computacional, aparte de convencer al 51% de los nodos para realizar una modificación, habría que recalcular todos los HASH.

Vamos a ver el mapa de nodos aproximadamente que hay

https://bitnodes.earn.com/

Si realizamos el cálculo veremos que actualmente hay una red con conexiones increíble, apliquemos la formula nodos(nodos-1)/2 à 10.339(10.338)/2=53.442.291, de esta cifra de conexiones (aristas) se puede comprobar la maravilla tecnológica y de interconexión que es la red blockchain y lo difícil que sería romper la seguridad del bitconint en este caso.

BIBLIOGRAFÍA

Todas las direcciones web ya mencionadas en el documento y las siguientes fuentes de información

¿Qué es una colisión en criptografía? – Criptografía aplicada a Bitcoin

Minería y algoritmos de consenso

https://www.coincrispy.com/2018/03/03/proof-of-work-stake-pow-pos/

https://en.bitcoin.it/wiki/Proof_of_work

https://academy.bit2me.com

Hemos tenido una divertida discusión sobre los contenidos de RGPD en la cual la discusión principal era la vida de los datos.

Como muchos de vosotros sabéis, uno de los principios del RGPD son la limitación de conservación de los datos, donde quedan claramente marcada la temporalidad de los datos y debe estar definida al fin de los mismos y una vez finalizado el fin se deberían eliminar de forma automática.

Esto queda supeditado a leyes, como puede ser la ley que obliga a los bancos a conservar los datos durante 10 años por prevención de blanqueo de capitales, o el historial médico de un paciente con 5 años de duración (salvo que la comunidad autónoma diga lo contrario) y así un largo listado de supuestos.

Y aquí llegamos a la discusión en concreto, ¿una red social que he dejado de usar y no he tenido actividad durante un largo periodo (digamos 2 años) debería borrar de forma automática mis datos?

Pues después de muchas discusiones todos coincidimos en los mismo, SI se deberían borrar como una buen practica, pero aquí también nos hemos encontrado con la pregunta ¿y si luego quiero algo que había en esta red social?

La verdad es que no es fácil decidir si sería o no una buena práctica, desde mi punto de vista si, ya que una vez que ha trascurrido una tiempo prudencial esos datos ya carecen de importancia en si y, esta claro, que para realizar estudios de mercado donde ofrecernos productos ya no tendrían validez alguna.

Así que os dejo la pregunta ¿sería una buena práctica?

Un saludo.

Hoy he recibido una llamada de un amigo que hacia tiempo que no hablaba con él, trabaja en el sector financiero y por lo que me ha contado va a ser el encargado de la protección de datos, ¡pero aún andamos así!

Bueno, después de una buen charla dando unas pequeñas recomendaciones, le he encaminado a que su departamento legal le eche una mano, pero aquí viene la pregunta clave

¿Debo realizar una evaluación de impacto? Ufff que buena pregunta, si somos realistas y seguimos lo que dice el reglamento mi respuesta sería SI, pero voy a dar uno de los motivos claros que aparece en varios artículo de reglamento

 

•  Una entidad financiera realiza perfilados de clientes –> SI
• Una entidad financiera puede llegar a excluir automáticamente de financiación sin intermediación humana –> SI
• Excluye a clientes por su condición o nacionalidad –> SI (esto último no es racismo, simplemente que los datos demuestran que unas nacionalidades son más propensas al impago que otras, por lo que, insisto, no es racismo ni ningún tipo de discriminación, son estadísticas puras y duras)

Pues si todas o alguna de estas preguntas han sido respondidas de forma positiva deberíamos realizar una evaluación de impacto, ya que así lo indica el RGPD.

Que yo conozca, pocas son las empresas que lo han realizado, sobre todo porque no es sencillo realizar la evaluación y sobre todo poner contra medidas para evitar el posible impacto, ya sea por temas económicos, por temas tecnológicos o bien porque la empresa no esta lo suficientemente concienciada.

Si bien, todo esto, como bien se explica en el RGPD «NO te obligo a nada, pero si te pillo o te denuncian y no tienes echos los deberes te vamos a multar»

Ya queda menos tiempo para ver las primera sanciones, y seguro que a partir de este momento, las empresas se tomarán más en serio la protección de datos.

PD: os dejo el que parece que va a ser el Informe definitivo RGPD mejorado que se presentará en el Congreso de los Diputados de España.Informe_definitivo_Ponencia_PLOPD

Durante mucho tiempo, todas aquellas personas que nos gustaría que los datos estén seguros, vamos predicando y diciendo que es necesario implementar medidas de seguridad en todos los entornos.

No solo en las grandes empresas, sino en cualquier tipo de empresas, ya que es necesario proteger los datos que «cedemos» en una pequeña empresa que realiza el mantenimiento de la caldera de nuestra casa, por poner un ejemplo.

La nueva normativa europea indica que hay que realizar un análisis de riegos y que ya no es valido aplicarlas después de que haya sucedido un incidente, sino que hay que tener medidas de seguridad en las empresas, así dice:

1. Protección de datos desde el comienzo
2. Protección de datos por regla general
3. Medidas de seguridad
4. Establecer un registro de tratamientos
5. Realización de análisis de impacto en la protección de datos
6. Nombramiento de un Delegado de Protección de Datos
7. Comunicación de infracciones de la seguridad de los datos
8. Promoción de códigos de conducta y esquemas de certificación

Viendo todo esto, y solo desde mi punto de vista, es como tener una míni ISO 27001 en la empresa, así que solo me queda decir que es una oportunidad para todos, el poder aplicar la nueva normativa que entrará en funcionamiento en mayo de 2018 y será de obligatoria aplicación dos años después.

Ya estoy oyendo a las empresas diciendo «esto es para sacar dinero a las empresas» , espero que no se tengan que ver una gran sanción a las empresas para que se den cuenta que los datos van a ser la nueva «fiebre del oro» para las empresas.

A ver si por una vez no esperamos al último día y a última hora para cumplir una normativa y avanzamos hacia una mejora en la seguridad de los datos.

Un saludo a tod@s.