Darknet, ¿por qué es tan difícil atacarla?

Es muy habitual la metáfora en la que internet se representa como un iceberg: el usuario medio tan solo conoce la punta. Una porción menor al 10% en la que se encuentra la parte indexada de la red. Aquello a lo que Google, Yahoo!, Bing y compañía llegan. Bajo el mar se encuentra lo que muchos denominan Deep Web. El resto del iceberg, el no comercial y no indexado. Y más abajo aún de esa enorme masa de datos se encuentra Darknet.

Podríamos definirlo como un conjunto de tecnologías y redes superpuestas que tienen como fin proteger el anonimato de sus usuarios. El peaje por esta oscuridad es que puede que tengan que conectarse a un servidor privado o cumplir unos requisitos específicos como tener instalado un software determinado.

De facto esto hace que los buscadores “tradicionales” no puedan rastrear sus contenidos y, además, tanto el origen como el destino de los datos permanece oculto. Todo el proceso de la red es invisible. Esto hace que sea el emplazamiento perfecto para contenidos de seguridad, datos de administraciones, etc. Pero también permite que se lleven a cabo en este espacio operaciones ilícitas. En cualquier caso, todo atisbo de ciberataque es prácticamente inútil puesto que se trata de una zona de la red “impenetrable”.

¿Por qué? Al fin y al cabo, sobre el papel, si sabemos “dónde está” deberíamos poder atacarla -si así quisiéramos-. Un estudio publicado en la revista Physical Review E ha averiguado que Darknet es capaz de autoprotegerse y corregir por sí misma agresiones de forma espontánea. En él Manlio De Domenico y Alex Arenas, del Departamento de Ingeniería Informática y Matemáticas de la Universidad Rovira y Virgili y Tarragona concluyen que la clave está en su “particular topología más descentralizada que el resto de la red”.

Para poder constatar esto los autores de la investigación crearon un modelo que explica cómo se transmite la información en la Darknet y descubrieron que no emplea una distribución homogénea de conexiones sino que se va encriptando en distintas capas.

Una vez hecho esto simularon tres tipos de ataques: dirigidos contra un nodo en concreto; contra varios de forma aleatoria y otros diseñados para provocar una cascada de fallos y propagarse por la red (el modelo). El resultado es que concluyeron que para atacar Darknet es necesario atacar cuatro veces más sus nodos que los del resto de internet. Y esto tan solo provocaba ciertas perturbaciones. Además, su propia estructura permite solucionar de forma autónoma los problemas y neutralizar los fallos en cascada.

Esto hace que, a pesar de que se considere más ineficiente que la red superficial -la información emplea algoritmos criptográficos más complejos y va de nodo en nodo aleatoriamente en vez de directamente al destinatario- haya una pequeña base de fieles que hayan construido una zona libre informativa en la que están apartados del resto de la red. Con todo lo bueno y todo lo malo que esto trae.

Sorgina, de Euskadi al mundo (vía Steam)

¿Te gustaría que un juego vasco diera el salto internacional? Vota aquí por él en Steam Greenlight

El negocio de los videojuegos tiene muchas características que lo diferencia de otras industrias como la música o el cine (tiene un dependencia casi nula del star system) pero, como cualquier plataforma de ocio tiene en común con éstas su carácter universal y un potencial enorme para que un producto crezca sea cual sea su origen.

Además, su desarrollo de la mano de las tecnologías digitales y la explosión móvil ha hecho que haya aprovechado como ninguna otra industria las posibilidades de expansión de la era de internet y las redes sociales. El mejor ejemplo, sin duda, es Steam, una plataforma de distribución y gestión de derechos digitales, comunicaciones y servicios multijugador creada por Valve Corporation que permite poner al mismo nivel a los grandes estudios y a los desarrolladores independientes.

Con un fondo de más de 7.300 títulos y 142 millones de cuentas, ha llegado a tener picos de hasta 12,3 millones de jugadores de forma simultánea. En definitiva, un escaparate inmejorable en el que un producto modesto se puede convertir en un éxito (un título viable) gracias a las posibilidades de captar jugadores de cualquier rincón del planeta.

En ese contexto, el estudio bilbaíno Binary Soul ha lanzado su juego estrella, Sorginen Kondaira, en Steam Greenlight donde, en solo pocos días, ha conseguido buenos comentarios y un buen recibimiento por parte del público. ¿Sus atractivos? Como siempre, su forma de plasmar curiosidades sobre la mitología vasca y un formato sencillo perfecto para los pequeños y realmente adictivo para los no tan pequeños.

Por supuesto, estar en un escenario tan llamativo requiere por parte de los desarrolladores ciertos esfuerzos. Léase, el inglés es lingua franca casi obligatoria para llegar a mercados como el asiático. De esta forma, esta versión de las aventuras de la joven bruja pasa a llamarse Sorgina, A Tale of Witches con el fin de acceder a un mercado mucho mayor y dar eco a uno de los juegos vascos más interesantes de los últimos tiempos.

Binary Soul, además, se muestra ambicioso con el acceso a Steam Greenlight: de conseguirlo, podrían añadir nuevos escenarios así como pequeños enemigos a los que enfrentarse en cada nivel (los gaizkines) y una gran “batalla” contra Gaueko a modo de climax de la aventura. En definitiva, una forma de dar más profundidad a la historia y, sobre todo, de convertirlo en el punto de partida de una aventura prometedora.

Greenlight es, probablemente la opción más democrática del mundo de los videojuegos ya que cada usuario -darse de alta no lleva más de un par de minutos y no tiene coste alguno- permite votar para que se sumen al catálogo juegos que resultan interesantes para la audiencia. Merece la pena invertir ese tiempo y ese click para que propuestas como Sorgina: A Tale of Witches reciba apoyo y pueda dar el salto a Steam.

En cualquier caso, desde aquí os invitamos a votar a favor de la entrada de la bruja en la gran plataforma para gamers. Nos esperan unas cuantas sorpresas y, sobre todo, podremos ayudar a expandir la mitología y la cultura vasca por todo el mundo.

Tim Berners-Lee, preocupado por la evolución de internet

Este fin de semana tuvo varias efemérides. Ayer, por ejemplo, se cumplían 70 años del nacimiento del primer Ferrari. Y este mismo fin de semana hacía 28 de la propuesta de Tim Berners-Lee de una red global. Así, el británico aprovechó el aniversario para publicar una carta abierta en la que mostraba sus sensaciones sobre el estado de la web y sus retos.

En el artículo Berners-Lee se muestra muy preocupado por tres tendencias que cree que necesitan combatirse con urgencia: el más importante, la difusión indiscriminada de noticias falsas. Lo más importante, es que el británico apunta a quiénes deben realizar más esfuerzos por mitigar este problema. Google y Facebook han de liderar la lucha por mucha presión que tengan de los usuarios.

El problema reside en que, mediante los algoritmos, los grandes de internet priorizan el contenido sobre el que creen que vamos a hacer click. No importa que este sea cierto o falso. Esto hace que sea demasiado fácil hacer que los contenidos desinformativos se conviertan en virales en la red. Al fin y al cabo “a través de la ciencia de datos y de los ejércitos de bots, aquellos con malas intenciones pueden engañar al sistema para difundir información errónea y obtener beneficios financieros o políticos”, sentencia.

Berners-Lee también apunta a los usuarios que somos los que debemos hacer presión para que las grandes tecnológicas no cesen en su empeño de controlar la veracidad de los contenidos así como de evitar que se creen “órganos centrales que decidan que es verdad y qué no”. Por eso es importante que los algoritmos sean públicos y transparentes y que la sociedad sea consciente y pueda ejercer de forma natural su poder regulador.

En segundo lugar muestra su preocupación por la pérdida del control sobre nuestros datos personales mediante largos y confusos “términos y condiciones de uso” que se han de aceptarse a la hora de registrarse y acceder de forma gratuita a algunas webs y servicios. Si a esto le sumamos, como reveló hace pocos días WikiLeaks, que los Gobiernos están realizando recopilaciones masivas de datos sin permiso de los particulares, nos encontramos con la libertad de expresión seriamente dañada así como evita que la red sea un espacio libre independientemente de nuestro sexo, religión o procedencia.

Relacionado con los anteriores, el tercer problema es la falta de transparencia de las campañas políticas en internet. Al acceder a nuestros datos -como hemos visto en el segundo punto- los políticos pueden lanzar varios mensajes a cada usuarios -la desinformación del primer ítem- de una forma poco ética pero tremendamente eficaz a la hora de conseguir votos: a cada uno le dicen lo que quieren oír.

¿Hay alguna solución a estos problemas? Básicamente “devolverle a la gente el control de sus datos”. Crear un sistema justo de micropagos que no bloquee a la gente el acceso a los servicios y que nos libere de la publicidad, crear legislación para las campañas políticas y la desinformación y tribunales supranacionales contra los abusos de las administraciones. Nada de esto será rápido pero es la única forma de proteger un mundo digital cada vez más hibridado con el real.

Perspective, IA para plantar cara a los trolls

Pocos países han aupado más internet que Estados Unidos. Su penetración en la sociedad, en las costumbres de los ciudadanos, es enorme. Por una parte, Silicon Valley y sus empresas retroalimentan la digitalización de una sociedad en parte menos temerosa que otras a las nuevas tecnologías. Por otra, la regulación permite la creación de nuevos modelos de negocio sin la supervisión de otras áreas económicas. Sin embargo, ser el conejillo de indias tiene un precio: un estudio del Instituto de Investigación Data Society sobre acoso y abuso en internet revela que casi la mitad de los usuarios estadounidenses ha sufrido acoso; que tres cuartas partes ha sido testigo de ese acoso y que tres de cada diez se autocensuran a la hora de opinar por miedo a las consecuencias.

Google, el ojo que todo lo ve en internet ha decidido tomar medidas en el asunto -igual que prometió combatir las noticias falsas que tantas consecuencias han tenido en 2016- y lanzó el pasado jueves Perspective. Se trata de una herramienta de inteligencia artificial diseñada para identificar los comentarios tóxicos de los “trolls” de la red para eliminarlos y excluir a esos usuarios de la conversación.

Jigsaw, la filial de Alphabet que ha desarrollado el software y que antes respondía al nombre de Google Ideas, busca que en internet “se puedan volver a entablar conversaciones y debates interesantes”. Un código abierto -buscan potenciar a todas las plataformas en la red- que busca hacer de internet un entorno más seguro. Cualquier editor o desarrollador de contenido podrá usarlo para controlar qué se puede decir y qué no en su web.

Además, Perspective se ha creado con varios niveles de exigencia para que cada titular de una web pueda decidir qué hacer con la información que recibe: se pueden marcar los comentarios para que se moderen uno a uno y que se decida si entran o no en la conversación; que la propia persona que escribe los comentarios pueda ver en tiempo real el nivel de “toxicidad” de su reseña o que se clasifiquen de forma automática los comentarios en base a ese mismo criterio.

Su funcionamiento es sencillo en teoría. Un conjunto de personas han clasificado comentarios que consideran tóxicos porque incluyen faltas de respeto, insultos, amenazas o palabras malsonantes. Después, la IA se ha encargado de analizar de forma autónoma miles de comentarios en la red y, para saber si son tóxicos o no los ha comparado con los de su base de datos. Un entrenamiento con el que Perspective ha ganado capacidad ante palabras y frases. El último paso fue su lanzamiento a la web para que sea empleado por quien quiera. Además, cuanto más se implante más aprenderá.

Su mejor baza es el machine learning de Google que tiene la capacidad de analizar datos y crea patrones a partir de los mismos. Cuanto más se usa más aprende. Y en esta fase de aprendizaje serán tan importante los moderadores como los propios usuarios que podrán enseñarle al sistema qué es un comentario tóxico y qué no.

Aunque de momento solo esta disponible en inglés, la empresa ha explicado que pronto estará disponible en otros idiomas. Será fundamental la colaboración de editores y plataformas de otros países (no angloparlantes) para que se pueda crear un modelo efectivo como ocurrió en su momento con el inglés y el medio The New York Times, que ya tiene un equipo humano que se encarga de moderar los 11.000 comentarios diarios de su web. Eso ha provocado que solo se pueda comentar en el 10% de los artículos de su web. Perspective, gracias a su algoritmo permitirá que su trabajo sea más eficaz y sencillo.

Aunque hay empresas como Twitter y Mozilla que tienen en marcha iniciativas similares, la de Google -por potencial y herramientas- parece la más capaz de sobrevivir y de convertirse en estándar en internet.

VISA, ¿pueden hackear tu tarjeta en solo unos segundos?

Tesco es el tercer detallista mundial y el primer supermercado del mundo. Su posición en las Islas Británicas es tal que, según un estudio llevado a cabo hace una década, una de cada siete libras gastadas en Reino Unido en 2007 se hacía en un establecimiento de la marca. De hecho, su presencia en algunas ciudades es tal que se las conoce en el sector como Tesco Towns, puesto que más de la mitad del gasto en comestibles se hace en sus supermercados.

Pero aunque sea conocido como un gigante de la distribución es una empresa sobradamente diversificada: desde su tienda en línea en ¡1994! hasta la cadena de restaurantes Giraffe, una empresa de telecomunicaciones en joint venture con O2 pasando por la venta de productos culturales y una entidad financiera que proporciona tarjetas, cuentas, créditos, etc.

Su sólida expansión geográfica por Europa (sobre todo central) y Asia, la han convertido en una empresa de referencia para millones de consumidores en todo el planeta que confían en esta firma que se acerca al siglo de vida.

Sin embargo, su tamaño también la convierte en una diana muy deseada para aquellos que quieren hacer dinero fácil a su costa y a la de sus clientes. De hecho, el mes pasado, la ciberdelincuencia le costo 2,5 millones de libras. ¿El motivo? Fallos en el sistema de pagos de las tarjetas VISA que permiten descubrir el número de las tarjetas de crédito y débito, la fecha de caducidad y el código de seguridad en tiempo récord: 6 segundos.

El método empleado, según ha hecho público un grupo de expertos de la Universidad de Newcastle es el Distributed Guessing Attack en el que la plataforma de seguridad de VISA no detectaba que los criminales simplemente hacían multitud de intentos hasta dar con las códigos correctos de identificación y seguridad de cada tarjeta. Cuando combinaban todos los aciertos se abría la puerta para realizar compras a cargo de las cuentas de terceros.

Como se puede comprobar en la imagen que abre el post, los hackers aprovechaban que empleaban webs que pedían datos de autenticación de la tarjeta distintos con lo que podían conseguir más fácilmente cruzar los errores y aciertos para conseguir el acceso a la tarjeta.

Según Mohammed Ali, uno de los responsables de la Universidad de Newcastle encargado de analizar el fraude, la mezcla de “un número ilimitado de intentos y errores” sumado a “la solicitud de diferentes datos” permitían conseguir el acceso con una enorme facilidad ya que cada campo se puede generar consecutivamente tarjeta tras tarjeta y web tras web para conseguir el robo.

El estudio va más allá (y pone en jaque la seguridad que otorga VISA a sus plataformas de pago) y es que, con solo los seis primeros dígitos de una tarjeta de crédito, los que se encargan de reflejar la entidad bancaria y el tipo de tarjeta, un hacker puede conseguir en solo unos segundos los otros tres bloques de información esencial para hacer una compra online.

Según la multinacional americana el estudio no es válido ya que no tiene en cuenta “las múltiples capas de prevención de fraude que existen en los sistemas de pago en línea, cada una de las cuales debe ser validada para hacer una transacción”. Por si fuera poco, consideran que tanto los comercios como los emisores deben tomar medidas para evitar ataques por fuerza bruta como estos. ¿Es hora de dar un salto en los sistemas de seguridad de pagos virtuales?