Dr. Alfonso Muñoz - Prólogo: Raúl siles - Criptografía Ofensiva. Atacando y defendiendo organizaciones: Criptografía aplicada para pentesters, programadores y analistas (Spanish Edition)

El título del presente libro, "Criptografía Ofensiva", enfatiza la estrecha relación existente entre las técnicas de ataque y de defensa, y como bien dice Sun Tzu, " la mejor defensa es un buen ataque ". Durante los últimos 20 años, pero más especialmente durante la última década al haber aplicado un enfoque más ofensivo y criptográfico en las actividades diarias profesionales que realizo desde DinoSec, he tenido muy presente la importancia de abordar el estudio y análisis de seguridad de cualquier disciplina o tecnología desde esos dos puntos de vista, el ofensivo y el defensivo. Sólo conociendo en detalle las últimas técnicas, herramientas, tácticas y metodologías empleadas por los atacantes se podrá uno defender de manera efectiva y eficiente y, por otro lado, sólo conociendo en detalle el diseño y la implementación de los mecanismos defensivos, se podrá comprender y comenzar la siempre emocionante búsqueda de descubrir como vulnerarlos para evitarlos o anularlos, aplicando una mentalidad hacker . Desde el punto de vista del marketing de la industria de seguridad, es lo que hoy en día se conoce como equipos rojo y azul ( red team y blue team ), o incluso púrpura ( purple team ), combinando ambas disciplinas o aproximaciones.

Yo siempre he preferido en los cursos técnicos de formación que he impartido a lo largo de mi carrera profesional hacer referencia a esta dualidad mediante el símbolo chino del yin y el yang , representando las dos fuerzas opuestas pero complementarias que se encuentran también, en la investigación y análisis de seguridad de cualquier tecnología. La criptología no escapa a esta aproximación tan útil a la hora de comprender en profundidad todos los aspectos que rodean a una disciplina o concepto.

Es importante destacar como, independientemente de qué papel juguemos cada uno profesionalmente (pentesters o hackers éticos, programadores o arquitectos software, analistas, etc.), ofensivo o defensivo, a su vez todos somos también usuarios finales de las tecnologías actuales. De ahí, la importancia de comenzar un libro como este con una muy breve reseña (en el primer capítulo), pero no por ello menos importante, a las buenas prácticas de seguridad, privacidad y criptográficas que todos deberíamos aplicar con rigurosidad y meticulosidad en cada una de nuestras actividades diarias, lo que se suele conocer como seguridad operacional ( operational security , opsec, en inglés).

Os sorprendería conocer algunas de las barbaridades (o "descuidos") que veo constantemente en mi día a día donde el uso correcto de la criptografía brilla por su ausencia, por ejemplo, para la compartición de secretos a través de canales inseguros y/o no controlados, o la compartición de información y ficheros en "la nube" alegremente, incluso en organizaciones internacionales de referencia, o por parte de profesionales o hackers de reconocido prestigio en el sector de la ciberseguridad. Y es que ser constante, meticuloso, disciplinado, fiel a tus ciber-principios y valorar la cultura del esfuerzo, no optando por el camino más corto o sencillo, es algo que parece estar, desafortunadamente, al alcance de muy pocos…

Por eso le animo, por un lado, a ampliar sus conocimientos a través de la lectura de este libro y, por otro, le propongo un reto: aplicar en su día a día esos conocimientos y capacidades de protección sobre todos sus datos y comunicaciones, que se introducen sutilmente en el primer capítulo y se complementan en el resto de los capítulos. Esto le permitirá velar por su seguridad y privacidad, de manera consistente y continua, como usuario final y como profesional, de lo que se beneficiarán sus seres queridos, familiares y amigos, y sus compañeros de trabajo, su empresa u organización respectivamente.

El capítulo dirigido a programadores y arquitectos software es clave para tener claros los fundamentos y principios criptográficos que es necesario aplicar hoy en día desde un punto de vista defensivo, empleados a la hora de la creación de nuevos entornos tecnológicos. A modo de ejemplo, recientemente me he embarcado en una iniciativa centrada en una nueva solución tecnológica donde la criptografía es un elemento clave para su funcionamiento, y donde la correcta aplicación de muchos de los componentes y mecanismos mencionados permiten su apropiado diseño e implementación. Afortunadamente, no se concibe hoy en día el uso de tecnologías sin criptografía si se espera disponer de ciertas propiedades de seguridad y privacidad. Enfatizando que uno no debe de olvidar la historia para no cometer los mismos errores, es igualmente importante adelantarse a los tiempos y prepararse para lo que va a venir. Por ello, el capítulo se complementa con nuevos mecanismos criptográficos que ya se están empleando en la actualidad, y que tendrán incluso más protagonismo en el futuro.

Desde el punto de vista ofensivo, el foco del libro se centra por un lado en un protocolo fundamental en Internet como es TLS, y por otro, en el análisis de mecanismos de autentificación y cracking de contraseñas y credenciales, ambos objetivos comunes de las auditorías de seguridad. Desde un punto de vista más de investigación y lúdico, se introducen las herramientas de fuzzing criptográfico y algunas ideas y herramientas a la hora de resolver retos y desafíos en competiciones tipo Capture The Flag (CTF).

Finalmente, el concepto de analista planteado en el libro, un término que puede tener muchas acepciones, hace fundamentalmente referencia a analistas de malware y forenses, donde es común lidiar con especímenes binarios que han sido empaquetados haciendo uso de criptografía para dificultar su estudio, especímenes de ransomware cuya funcionalidad principal se basa en la criptografía, o evidencias forenses que deben ser descubiertas tras realizar algún tipo de análisis criptográfico. Como no podía ser de otro modo, dada la pasión del autor por esta disciplina, el capítulo finaliza con el análisis de diferentes canales encubiertos y técnicas de esteganografía de aplicación tanto por analistas, como desde un punto de vista ofensivo.

El lector debe ser consciente de que el libro proporciona un resumen práctico (como bien describe la introducción), lo que informalmente denominaríamos "culturilla general", sobre un área científica y técnica muy compleja como es la criptología, ofensiva (criptoanálisis) y defensiva (criptografía), con una aproximación concisa a múltiples temáticas, y desde diferentes puntos de vista, a través de pequeños apartados de entre una y cinco páginas. Estos breves módulos pretenden captar la atención del lector y se complementan con numerosas referencias para poder profundizar en aquellos temas que le despierten un mayor interés o curiosidad. El libro es un fiel reflejo del estilo del autor, mostrado igualmente en sus presentaciones a través de múltiples conferencias de seguridad a lo largo de los últimos años, que aglutinan un gran número de referencias esperando que el asistente profundice posteriormente en sus contenidos, ávido de adquirir nuevos conocimientos.