domingo, 18 de octubre de 2015

Alfonso Muñoz: "Investigo la ocultación de código ejecutable"

Alfonso Muñoz, segundo de a bordo de CriptoRed.


La mayoría de nuestras lectoras y lectoras posiblemente no imaginan a un criptógrafo como Alfonso Muñoz: guapo, 34 años, sin gafas ni traje, más hacker que nerd, trabaja como "senior security consultant" en IOActive, empresa puntera de la escena mundial de ciberseguridad. "Nací y vivo en Madrid, soy familiar y bastante casero, necesito poco para vivir. Mi integridad física la defiende mi perro, un “fiero” yorkshire capaz de triturar cualquier espía que ose entrar en mi casa ;)". Sólo su nick, @mindcrypt, revela que hay algo "raro" en él. 

Alfonso entró en 1999 en la Universidad Politécnica de Madrid para cursar ingeniería técnica de telecomunicaciones. "Quería estudiar algo rápido para ganarme la vida. Mi familia es la clásica familia obrera que emigraron a Madrid para buscar un futuro mejor". Pero empezó a sacar matrículas de honor y a pasárselo pipa, así que acabó haciendo otra carrera más, Telecomunicaciones, y después el doctorado, y luego un postdoc, y se metió en múltiples proyectos, e inclusó hizo de profesor. Pero Alfonso es un diamante en bruto y las paredes de la universidad se le quedan pequeñas. Aquí está, en plena labor de remontar el vuelo.


- Acabas de aterrizar en IOActive y ya publicas un "paper", sobre esteganografía.

- Mis esfuerzos actuales están centrados en la ocultación mediante esteganografía de código ejecutable que pueda autoejecutarse, lo cual a día de hoy es posible con ciertas limitaciones. Aunque tengo investigaciones en curso...

- ¿Qué hace un chico como tú metido en criptografía?

- Es uno de los muchos temas que me apasionan de la seguridad informática. Quizás me atrapó esa idea romántica en la que un ser humano con un lápiz y una papel pudiera desarrollar un algoritmo que ningún otro ser humano fuera capaz de vulnerar. En resumen, la poesía de las matemáticas.

- Eres autor de diversas herramientas para generar "estegotextos". ¿Qué es eso?

- Ocultar información en textos en lenguaje natural. Existen diversas maneras de transmitirla, por ejemplo puedes leer un estegotexto por teléfono. He centrado mi interés en la ocultación en textos en lengua castellana, modificando textos existentes o generándolos automáticamente.

Particularmente estoy orgulloso de Stelin: dados unos textos de entrenamiento, es capaz de imitar su lenguaje y producir textos nuevos en los que, en función de las palabras elegidas, puedo ocultar información. Además, un emisor puede introducir mejoras en el texto manualmente, sin que el receptor necesite saber cuáles son esas mejoras para recuperar la información oculta. Con práctica y tiempo se pueden producir textos completamente humanos y muy difíciles de detectar.

- Después de 15 años en la universidad, ¿por qué te vas?

- Me encanta la universidad “pública” y la capacidad que tiene para cambiar la sociedad. Mi motivo fundamental es la falta de opciones reales con un mínimo de estabilidad a medio plazo. Por otro lado, para conseguir una plaza en una universidad pública, y es una pena, a menudo no influye exclusivamente tu capacidad o resultados. Al igual que en el sector privado, hay mucho corporativismo, elitismo rancio y humo. Mucho humo.

- Tu nombre está muy unido al del profesor Jorge Ramió...

- Nos conocimos hace 9 años, a través de mi tutor de tesis, Justo Carracedo. Fue cuestión de tiempo darnos cuenta de que la red temática Criptored, que había creado Jorge en 1999 para un ámbito cerrado (investigación universitaria), debía ser abierta y transformada hacia el sector profesional y después al público en general.

- ¿Podrías describir Criptored con números? 

- No es fácil. Odiamos profundamente que la gente tenga que registrarse para “consumir” información, así que lo único que conocemos son los varios miles de usuarios que están suscritos voluntariamente a la lista de correo, Twitter o Linkedin, y el tráfico que mueve el sitio: varios millones de accesos y descargas (800 GB de documentos descargados este año), 1.208.833 reproducciones de vídeos en YouTube, más de medio millón de visitas en el MOOC Crypt4you (el primer MOOC en español de seguridad informática).

Criptored tiene tres partes: Une profesionales del mundo de la seguridad informática, intercambiando información, eventos, noticias. Crea proyectos de formación masiva gratuita en seguridad informática en castellano (Proyecto Intypedia, crypt4you, thoth, DISI, TASSI). Y, por último, formación y asesoría especializada y proyectos privados. Una de las cosas que mas me satisface es cuando nos escriben personas de Latinoamérica sin recursos y nos indican que la información que publicamos les ayuda a abrirse un futuro laboral.

- Últimamente publicas criptoretos en Criptored.

- Me gustaría hacer más de los que hago pero necesito dormir, aunque sea poco :). Adicionalmente he realizado unos 40 miniretos, menos complejos, para el Cybercamp de INCIBE. Estoy en proceso de buscar patrocinadores para otorgar premios en metálico para quien los resuelva, quizás así se anime más gente.

- Mi impresión es que hace 10-15 años había más afición por la criptografía.

- Puede ser. La criptografía se ha convertido en una “commodity”, como el agua o la electricidad. Es una ciencia madura y existen multitud de herramientas para intentar garantizar la privacidad de nuestros datos y comunicaciones. Probablemente haya mas gente interesada en desarrollar herramientas para ocultación de comunicaciones (fuga de datos, control remoto de sistemas, evasión de seguridad perimetral). O quizás sea mucho más interesante el pentesting o el reversing.

- Después de las revelaciones de Snowden, lo lógico habría sido que aumentase el uso de criptografía en comunicaciones privadas...

- Es una batalla perdida. El principal problema de la criptografía es que la gente no la usa. Debemos simplificar al máximo su uso y hacerla lo más transparente posible al usuario.

- Si la policía no puede descifrar la criptografía cuántica, ¿permitirá que su investigación tire para adelante?

Como te gusta la conspiración, como si la policía no tuviera otra cosa mejor que hacer :). Ahora que no nos lee nadie te seré sincero, a riesgo de equivocarme. La criptografía cuántica, dejemos por un lado ataques concretos a dispositivos o protocolos que la implementan, tiene múltiples inconvenientes, tradicionalmente la necesidad de enlaces dedicados y la dificultad de comunicaciones a larga distancia. Dudo que su uso se generalice en la población. No debe olvidarse que este tipo de criptografía lo que hace exclusivamente es distribuir una clave criptográfica, luego esta debe utilizarse con otro algoritmo donde pueden surgir los problemas. Veo mucho más razonable el uso generalizado de algoritmos post-cuánticos (https://en.wikipedia.org/wiki/Post-quantum_cryptography), y en este caso la policía o quién sea se encontrará con los mismo problemas que existen actualmente al intentar descifrar una comunicación con RSA o AES, atacar a la clave o “robarla” :)

- ¿Tienes una frase que guíe tus pasos?

- Es una adaptación de una frase de Charles Chaplin: La vida es una obra de teatro que no permite ensayos, canta, ríe, baila... antes que el telón baje y la función termine sin aplausos.


Texto: Mercè Molist



0 comentarios:

Publicar un comentario