La Inteligencia Artificial Generativa es una poderosa herramienta en la Guerra de la Desinformación Política y Social

Hoy os traigo un artículo sobre un estudio que viene a recoger con unas pruebas experimentales con humanos lo que es fácil de sospechar, y es que utilizar LLMs con herramientas como ChatGPT puede ser una gran herramienta de para mantener a una sociedad desinformada. Nada que no nos imagináramos, pero ahora en forma de estudio.

Figura 1: La Inteligencia Artificial Generativa es una poderosa herramienta en la Guerra de la Desinformación Política y Social

El paper, que se llama "Combating Misinformation in the Age of LLMs:Opportunities and Challenges", viene a probar que utilizar LLMs puede ser una herramienta que mejora la verosimilitud de una desinformación especialmente creada para manipular una opinión de un tema polémico en la sociedad.

Figura 2: Combating Misinformation in the Age of LLMs: Opportunities and Challenges

Es decir, los LLMs pueden generar usuarios desinformados de manera inintencionada, simplemente por tener una "Alucinación", o porque se ha pedido conscientemente que se genere una desinformación sobre un tema.

Figura 3: Desinformación creada intencionalmente o no con LLMs

Esta es una poderosa herramienta en manos de manipulación política y social - como ya vimos con el escándalo de Cambridge Analytica - , para erosionar temas polémicos cortando aristas de puntos claves con desinformación, por lo que el estudio trata de recoger si los usuarios detectan mejor o peor las piezas de desinformación, creadas con LLMs, en este caso con ChatGPT.

Figura 4: Ejemplo de prompting para generar desinformación en ChatGPT

En la imagen anterior, tenemos un ejemplo en el que se le pide a ChatGPT que cree una pieza de desinformación sobre un tema concreto, y éste la crea con un texto de lo más plausible posible, con lo que parece muy veraz.

Figura 5: Taxonomía de desinformación creada por LLMs

Cómo os podéis imaginar, para los usuarios es mucho más difícil detectar las piezas de desinformación que vienen creadas por LLMs que las que son creadas por seres humanos intentando hacer un texto de desinformación con la mejor de sus intenciones.

Figura 6: A los humanos les cuesta más detectar la desinformación hecha por LLMs

Esta es una poderosa herramienta que para la generación de FakeNews, o para su uso en campañas electorales, elecciones, puede ser fácilmente automatizable y conseguir modificaciones porcentuales en las intenciones de voto suficientes como para que la desinformación sea la herramienta determinante que decida quién gana o quién pierda.

Figura 7: También se pueden utilizar los LLMs para detectar la desinformación

Por supuesto, también se ha visto el otro lado del espejo, utilizado los LLMs para detectar desinformación, tanto creada por humanos como creada por LLMs de manera intencionada, y los resultados son que otra vez el humano pierde.

Figura 8: Los LLMs son mejores detectando desinformación

Es decir los LLMs son mejores que los seres humanos en detectar la desinformación, así que perdemos en la generación, y perdemos en la detección, lo que seguro que te hará pensar un poco en las implicaciones futuras de este tipo de cosas.

Protegernos de la IA creada para hacer cosas malas

Yo me preguntaba hace ya un par de años, cuando contaba el concepto de Paridad Humana en Servicios Cognitivos, qué pasaría si la IA alcanzaba la Paridad Humana en la capacidad cognitiva de las personas de mentir para conseguir sus objetivos, y parece que los LLMs ya le han dado esta capacidad.

Figura 9: "Ciberestafas: La historia de nunca acabar" por Juan Carlos Galindo en 0xWord.

No es de extrañar que en el mundo del cibercrimen, los LLMs se hayan convertido en una pieza clave y WormGPT y FraudGPT se hayan convertido en herramientas muy populares para construir piezas de malware y ataques de phishing que se despliegan por e-mail en campañas de Spam-Phishing o Spear-Phishing con textos muy adaptados a la víctima para conseguir el engaño.

Figura 10: Texto AI-Generated detectado por AutoVerifAI

Así que, si queremos adaptarnos a este mundo, vamos a tener que desarrollar mucho nuestro espíritu de Fact-Checker - por eso hemos lanzado AutoVerifAI - y utilizar herramientas de Inteligencia Artificial para que nos ayuden a defendernos, porque si no, el mundo va a ser un juego en manos de los que mejor empleen la IA en su provecho.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

AutoVerifAI: Un servicio de análisis online para detectar GenAI en Vídeos, Textos o Imágenes

Cuando aparecieron las DeepFakes con voces clonas de nuestro querido Iker Jiménez, yo hablé en el programa Horizonte de un proyecto interno de Telefónica Innovación Digital orientado a detectar rastros de algoritmos de GenAI en voces, vídeos, y textos, utilizando algoritmos de Inteligencia Artificial para detectarlos. Este proyecto es AutoVerifAI.

Figura 1: AutoVerifAI: Un servicio de análisis online para

detectar GenAI en Vídeos, Textos o Imágenes

Llevamos años trabajando en estas técnicas, y os hemos hablado muchas veces de estos trabajos en forma de nuestro Test de Voigh-Kampff para detectar Deepfakes, que dio lugar a Deed Fake Detector, o los algoritmos para detectar voces clonadas que os conté en el trabajo de Are You Talkin' ta me?, así cómo los detectores de textos generados por LLMs de los que os he estado hablando en un artículo. 

Figura 2: Web pública de AutoVeriFAI

Todas estas investigaciones y trabajos nos llevaron a crear herramientas internas, que ahora hemos querido abrir, parcialmente al público, para que las probéis, y tener datos de cómo funcionan nuestras implementaciones, en un servicio que se llama AutoVerifAI. Este servicio tiene una versión privada con muchas más capacidades para empresas, y hemos abierto esta versión para que la podáis probar vosotros.

Figura 3: How we detect DeepFake in video

La web no exige registrarse, y queremos que la podáis probar subiendo vídeos, imágenes o textos generados con modelos de GenAI para ver si los resultados son correctos o no, pues lo que estamos haciendo es afinar los algoritmos de detección en el backend.

Figura 4: Vídeo de DeepFake detectado con AutoVerifAI

En la imagen anterior tenéis el resultado después de analizar un vídeo de DeepFake que ha sido analizado con AutoVerifAI y que ha obtenido un resultado de ser un Fake.

Figura 5: How we detect AI-Generated images

Lo mismo para las imágenes, donde podéis subir imágenes y ver si los algoritmos que hemos implementados las detectan o no. En este caso la famosa del Papa con el abrigo blanco.

Figura 6: Imagen GenAI detectada con AutoVerifAI

El objetivo que tenemos tras este servicio es jugar a la guerra entre el "gato y el ratón" para detectar lo máximo posible los contenidos generados por GenAI que puedan ser utilizados para cosas negativas, como DeepNudes, FakeNews, o Difamación de personas.

Figura 7: How we detect AI-Generated texts

Con los textos el trabajo también lo estamos haciendo, aunque con la aparición de tantos LLMs hoy en día, es uno de los más complejos, pero aún así puedes generar un texto con cualquiera de ellos, por ejemplo este cuento hecho con ARIA, el LLM de Opera, y ver si lo detecta o no como generado por GenAI.

Figura 8: Cuento generado por ARIA LLM de Opera

Y en este caso concreto, el servicio de AutoVerifAI lo ha detectado, pero como está en pruebas, pude ser que a veces no lo detecte. De hecho, hemos limitado a 800 palabras, lo que hace que sea más complejo todavía. Pero aún así, funciona más o menos bien.

Figura 9: Texto AI-Generated detectado por AutoVerifAI

Por supuestos, por costes en cómputo no hemos activado todos los modelos de detección de DeepFakes en vídeos o de detección de GenAI en imágenes y textos, donde iremos cambiando los modelos periódicamente para ir viendo cómo de bien o mal funcionan.  Estos se activan todos en la versión empresarial de la herramienta.

Figura 10: Un vídeo Prototipo de AutoVerifAI hecho por TID

Esperamos que os guste el servicio, que ahora es solo un proyecto de investigación e innovación pura, pero que no descartamos en convertirlo en un servicio que permita lanzar todos los algoritmos de detección posibles con algún tipo de suscripción por computo, que es lo costoso de estos modelos de detección.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

GenAI Apps & Services: Cómo explotar arquitecturas RAG con Plugins Inseguros

Dentro del OWASP TOP 10 para LLM Apps & Services, el LLM07 está dedicado al "Insecure Plugin Desing", o como diríamos en Español, al uso de plugins conectados a modelos LLM con fallos de seguridad que pueden hacer que una GenAI App o un GenAI Service utilizado un LLM puedan tener fallos de seguridad. 

Figura 1: GenAI Apps & Services. Cómo explotar

arquitecturas RAG con Plugins Inseguros

De esto he hablado en la charla que impartí en la pasada TRC 2023 en la charla de "Hacker & Developer in the Age of GenAI", que mis compañeros del equipo de Ideas Locas me prepararon una demo para explicar este concepto en detalle.

Figura 2: Hacker & Developer in the Age of GenAI LLM Apps & Services

El objetivo final es poder mezclar datos y acciones con datos privados o con capacidades en plataformas terceras con la potencia de los modelos LLM. Para eso hay que conectar un modelo público, o entrenado con datos públicos o incluso privados de una organización, con datos puramente personales.

Ampliando el alcance de los modelos LLM

Cómo hacer esta conexión es lo que ha llevado a extender capacidades con plugins, a crear entrenamientos extendidos con datos nuevos, a las arquitecturas RAG (Retrieval Augmented Generation) que tanto se están extendiendo hoy en día, y al uso de funciones que son llamadas a la hora de resolver un prompt.

Figura 3: Microsoft Azure OpenAI Fine-Tuning

En la imagen anterior tenéis, por ejemplo, el flujo de datos en la arquitectura de Fine-Tunning de modelos LLM desde Azure OpenAI, donde se ajustan los datos del modelo LLM de OpenAI que estés utilizando (GPT3, GPT3.5 Turbo, GPT4), con vectores de tokens sobre datos nuevos de entrenamiento generados desde el usuario, de tal manera que la app o el servicio de una compañía puede tener resultados ajustados sobre datos de la corporación, al mismo tiempo que usa la potencia de los modelos entrenados con datos públicos de OpenAI. 

Figura 4: Microsoft Azure OpenAI Arquitectura RAG

Con estas arquitecturas que interconectan el modelo LLM dentro de sistemas más complejos, se pueden diseñar arquitecturas RAG donde cuando la App hace un Prompt, en lugar de ir directamente al modelo LLM, este hace un Retrieval de los datos añadidos en esta arquitectura, y con ellos, hace un "Augmented Prompting" al motor LLM añadiendo datos necesarios.

Figura 5: Arquitectura Microsoft 365 Copilot

Un ejemplo de esto, es el propio Copilot de Microsoft 365, donde se puede ver que los datos privados de un usuario de mantienen en un "Knowledge Graph" que es consultado antes de hacer el Augmented Prompting al motor LLM de OpenAI. Así se mezcla la potencia del modelo entrenado con los datos públicos, con los datos privados de un usuario.

Creando un arquitectura RAG de demo con ChatGPT y Google Drive

Pero claro, dependiendo de cómo hagas estas arquitecturas, puedes encontrarte con situaciones de conexiones, funciones y flujos inseguros que pueden llevar a filtraciones de datos personales o privados de una organización que puede que no sea lo que te interesa, y esto es el LLM07 del OWASP Top Ten para LLM Apps & Services.

Figura 6: LLM07 - Insecure Plugin Design

Para que podáis entender este caso, lo primero que vamos a suponer es que tenemos un servicio (en este caso será el propio ChatGPT) que utiliza una serie de Plugins. Para que entendáis esta arquitectura debéis imaginar que este ChatGPT podría ser cualquier Copilot que haya diseñado cualquier empresa para una de sus aplicaciones, y que utilice por detrás un motor LLM (que puede ser GPT4, Gemini, Mixtral, Llamav2 etc...) - e incluso un  SLM -  para orquestar la lógica de interacción. 

Figura 7: Accediendo a ficheros de Google Drive con ChatGPT

Este motor LLM, para extender sus funcionalidades utiliza varios plugins, que permiten automatizar tareas o extender su alcance. Esto es una forma de ampliar las capacidades del motor LLM sobre otros conjuntos de datos, algo que dará lugar, pero también para ampliar las capacidades de prompting, validación o ejecución de acciones. 

Figura 8: La primera vez que se conecte MixerBox ChatDrive debemos dar acceso

Con estos plugins, en una GenAI APP o en un GenAI Service como ChatGPT se pueden hacer cosas como acceder a datos de un Google Drive, a automatizar prompting con URLS o a enviar los resultados por e-mail, que son los tres plugins de ChatGPT que vamos a ver en esta demo. Que son los siguientes. El primero de ellos es MixerBox ChatDrive, que permitirá acceder a contenido de Google Drive desde ChatGPT. 

Figura 9: Conseguimos un Token OAuth de ese Google Drive para ChatDrive

Para ello, la primera vez se debe realizar un proceso de autenticación, que sería como configurar una conexión interna de nuestro motor LLM a una fuente de datos externa. Así que hacemos el proceso, se genera un Token OAuth que utilizará la GenAI App, en este caso ChatGPT. Luego ya podemos hacer Augmented Prompting para que no pida ninguna autenticación extra.

Figura 10: Usando ChatDrive con "Augmented Prompting" manualmente

Y una vez hecho esto, ya tenemos nuestra arquitectura RAG de demo hecha con un plugin, y ChatGPT manualmente, que como se puede ver en el Augmented Prompting le recordamos - a mano - que ya tiene el Token OAuth para que la experiencia de autenticación sea transparente.

Insecure Pluging Desing en LLM Apps & Services

Así que hemos conectado una fuente de datos a un motor LLM como ChatGPT, pero si no controlamos ese Prompt en la App que ponemos en frente de los usuarios, se podrían producir diferentes ataques por no haber contemplado todos los posibles vectores de ataque. Vamos a ver algunos ejemplos.

Filtrar todos los datos de las fuentes de datos vinculadas a una LLM App

La idea es tan sencilla que, si has conectado una fuente de datos externa con un plugin y no has tenido en cuenta que te pueden hacer ataques de extracción de datos masivos, pues la puedes liar. Imagínate un escenario en el que un usuario haciendo SQL Injection pudiera volcar todos los datos de una base de datos. En este caso es lo mismo, no hay control de acceso de seguridad, así que si vinculas una fuente de datos como hemos hecho ahora, y alguien pide todos los datos, podrá llevárselos. 

Figura 11: Usando Prompt en una URL para WebPilot y el plugin de Email Me

Para hacerlo más rápido y visual, hemos utilizado dos plugins más, como son WebPilot para automatizar Prompts desde URLs (genial para pentesting y exploiting), o el de Email Me, para que los datos lleguen filtrados por e-mail por un canal paralelo que nos permita saltarnos cualquier filtro que pueda haber por la aplicación en el front-end. Así que en lugar de pedirle que nos muestre todos los datos por pantalla como hemos visto en la Figura 10, se lo pedimos por e-mail.

Figura 12: El prompt en una URL de GitHub

Es solo un ejemplo de cómo conectar un plugin sin control de acceso a la información de una fuente de datos externa puede ser un verdadero problema, ya que en este ejemplo se ha hecho con ChatGPT, pero... ¿cuántos Copilots de empresa tiene conectadas fuentes de datos que cualquiera se puede llevar masivamente con este ejemplo? Pues muchos, me temo.

Figura 13: Todos los datos de la fuente externa por e-mail

Es solo un ejemplo muy sencillo, pero creo que es fácil de entender en qué consiste el LLM07 de OWASP TOP 10 para LLM Apps & Services.

Filtrando los prompts de otros usuarios

En el ejemplo anterior hemos visto cómo se pueden acceder a todos los datos de una fuente externa vinculada a un modelo LLM si no se han puesto controles de seguridad en el prompting y en los canales de respuesta de datos, ahora vamos a ver cómo en un entorno multiusuario se pueden filtrar los prompts de otros usuarios.

Figura 14: Un usuario pide un Prompt cualquiera

En este caso, hemos hecho un Prompt desde ChatGPT, que supuestamente lo ha hecho un usuario desde una GenAI App o GenAI Service para hacer algo. Ahora otra usuario inyecta un Prompt para conseguir que nos de la lista de los últimos prompts que se han solicitado al modelo LLM de la empresa.

Figura 15: Un Prompt que pide todos los prompts por e-mail en una URL de GitHub

Para ello, de nuevo, utilizamos un Prompt en una URL de GitHub para utilizar WebPilot, y el plugin de Email Me con el objeto de filtrar la información por un canal paralelo y nos llegue al e-mail.

Figura 16: Prompteamos esa URL y ejecutamos el exploit

El resultado es que si no se han tenido estos controles de seguridad, con estos plugins podemos filtrar información privada de otros usuarios. 

Figura 17: Recibimos todos los prompts por e-mail

Hay que tener en cuenta que en el Prompt que llega al LLM va información, más cuando se está usando Augmented Prompting, con lo que se ha enriquecido con datos.

Conclusiones

Estos son solo algunos ejemplos de la cantidad de bugs y fallos de seguridad que nos vamos a encontrar en este nuevo mundo de Pentesting GenAI Apps & Services, así que más vale que te pongas las pilas. Si quieres conocer más de esto, en la próxima Hackr0n 2024 hablaré de estas cosas, así que te espero por allí.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Hackr0n 2024: El 9 de Febrero nos vemos en Canarias

Este año he querido comenzar despacio las charlas y conferencias, y sólo he participado en Enero en X1Red+Segura que para mí era ineludible. Pero ahora que llega Febrero, ya tengo una buena cantidad de actividades que tengo cerradas, y que os pasaré a contar por si alguna os encaja. La primera, sin lugar a dudas, la Hackr0n 2024 en Tenerife.

Figura 1: Hackr0n 2024 - El 9 de Febrero nos vemos en Canarias

La CON tendrá lugar el día 9 de Febrero y cuenta con una agenda larga, larga, larga, en la que me toca estar en la primera sesión, así que espero que madruguéis para venir a verme, que abro la sesión muy tempranito. Junto a mí, Ofelia Tejerina, la Presidenta de la Asociación de Internautas, que tendremos que arrancar la jornada.

Figura 2: Ofelia Tejerina y yo abriremos la Hackr0n 2024

La agenda es larga con muchos ponentes, así que te recomiendo que entres en EventBrite y la consultes, pero entre otros tienes a Deepak Daswani, Marc Rivero "Seifreed", Bojan Simetic o Pablo San Emeterio, que seguro que hacen una tarde más que entretenida.

Figura 3: Cuatro grandes como Deepak Daswani, Marc Rivero "Seifreed",

Bojan Simetic o Pablo San Emeterio en la tarde de Hackr0n 2024

Y para cerrar, dos grandes, Sandra Bardón y  Pedro Candel "S4ur0n", que tendrán la obligación de cerrar una jornada plagada de grandes ponentes con charlas más que interesantes, que no deberías perderte si estás en las islas y quieres dedicarte al mundo de la ciberseguridad o el hacking.

Figura 4: Sandra Bardón y  Pedro Candel "S4ur0n" en el cierre de Hacr0n 2024

Yo, además de dar la charla, estaré firmando libros en el stand de 0xWord durante un rato, antes de volverme a Madrid, y colaboramos también desde MyPublicInbox y Singularity Hackers. La organización entregará 300 Tempos a todos los asistentes solo por asistir, y hay tres tests de Singularity Hackers que se sortearán entre los asistentes, para poder tener el test de capacidades en ciberseguridad realizado.

Figura 5: Compra tu entrada para Hackr0n 2024

Si quieres asistir a Hackr0n 2024, tienes que compra la entrada cuanto antes, que están a precio de 55€ la entrada general y a 30€ la entrada de estudiante. Pero si tienes Tempos de MyPublicInbox en tu cuenta, puedes conseguir un descuento de 10€ con el código que puedes conseguir en MyPublicInbox.

Figura 6: Consigue 10€ de descuento con Tempos.

Puedes conseguir Tempos Gratis en MyPublicInbox.

Así que ya lo sabes, este es el primero de los eventos que tengo en Febrero, el segundo del año, y espero verte por allí, que ya tengo ganas de hacking a tope. Reserva tu plaza ya en Hackr0n 2024.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Zero Knowledge Protocols: El Poder de los Secretos

Hola, apasionados de la seguridad y la privacidad, hoy vamos a adentrarnos en el fascinante mundo de los protocolos de conocimiento cero (Zero Knowledge Protocols), esos enigmáticos héroes de la criptografía moderna. Imagina poder demostrar que sabes un secreto sin tener que revelar ni una pizca del mismo. 

Figura 1:Zero Knowledge Protocols: El Poder de los Secretos

Suena a magia, ¿verdad? pues eso es exactamente lo que hacen los protocolos de conocimiento cero; permiten que pruebes que tienes un conocimiento específico sin divulgarlo. En un mundo donde la privacidad es oro, estos protocolos son como el Santo Grial de la seguridad.

¿Qué son las pruebas de conocimiento cero?

Se refieren a las técnicas criptográficas que permite a un “Probador” comprobar inequívocamente que conoce un dato o una información específica a un “Verificador”, sin revelar nada sobre la información misma.

Figura 2: Imagen Zero Knowledge generada con ChatGPT4.

Dentro de las pruebas de conocimiento cero, se distinguen principalmente dos tipos: los zk-STARKs y los zk-SNARKs. Los zk-STARKs son resistentes a los ataques cuánticos y requieren interacción entre el Verificador y el Probador, lo que les otorga ciertas características de seguridad únicas. 

Figura 3: Libro de Cifrado de las comunicaciones digitales:
de la cifra clásica a RSA 2ª Edición de 0xWord

Por otro lado, los zk-SNARKs son más ligeros y rápidos, y tienen la ventaja de no necesitar interacción entre las partes involucradas. Debido a su eficiencia y practicidad, los zk-SNARKs se han convertido en la opción predominante en la actualidad, y es en ellos donde centraremos nuestra atención en este artículo.

Ejemplo práctico de zero knowledge

Para crear una Zero Knowledge Proof necesitaremos primero un circuito conocido por ambas partes (Probador y Verificador). Este circuito está escrito en un lenguaje especializado como Circom o Zokrates. En este ejemplo vamos a ver como se haría con Zokrates ya que tiene una integración bastante visual en Remix IDE.

Figura 4: Plugin ZOKRATES en Remix IDE

En esta imagen anterior observamos el circuito arriba a la derecha, y los pasos a seguir para generar la prueba de conocimiento cero a la izquierda. Vamos a explicar los pasos uno a uno:

1.- Compile: Compilar el circuito escrito en Zokrates

def main(private field a, field b) {
    assert(a * a == b);
    return;
}

2.- Compute: El Probador pasará los valores válidos para que se cumpla el circuito. En este caso a = 3 y b = 9, siendo “a” la variable privada que no va a conocer el Verificador.

Figura 5: Creando el “witness”

3.- Setup: Se crean llaves de verificación de y de prueba a partir de un número aleatorio.

4,- Generate Proof: Se genera a partir de el paso segundo y tercero generados por el Probador.

Figura 6: Prueba generada

5.- Export Verifier: Al ser un ejemplo de un zk-SNARK no interactivo, el Verificador será un código generado a partir del circuito que permita saber si el valor de la prueba es correcto sin saber los parámetros privados. En este caso se despliega un SmartContract de Solidity con una función pública para determinar si este valor es correcto. 

Figura 7: Prueba verificada

Como parámetros hemos pasado los obtenidos en el paso Generate Proof:

La prueba:

[["0x109b7a48a253af99694912bdedc2067fcc2795cc6f7f8771bd548d3706ae7eff",

"0x30164869c99abafaa6c020cfa6c7725a46fe6e8d8d144654edb3e665355fce90"],

[["0x261c5b83bd5f59c8f62cb9b53789f34b4a8aabd3eb58cf395159d72f406d2c29",

"0x0e3f97868f33e6809a4434f3e057f40cec38c13d351b72ccb1dbe81a591252ac"],

["0x041bc3604e4864e493ae44ec0ed3873e49849e1f6612e3ce9bc4358905fe0ad4",

"0x00bcbaef597cde379b1e8f4b259dc2cc144df04edac945f8f9b5d70ef877f9e7"]],

["0x2129a223e0c8e321b3e1d832392a017bf8756185e38dead75eb4c369ac8fe97e",

"0x2a0702baf1d41279a46474b5de0e067b2a02e6403bd43bc4ffff1680eab0f7c4"]]

Las variables públicas del circuito:

["0x0000000000000000000000000000000000000000000000000000000000000009"]

El resultado obtenido: 

Es “True” verificando así que el Probador conoce el secreto.

Posibles aplicaciones

En un futuro se prevé que con esta tecnología desbloquearemos un mundo de oportunidades con respecto a la privacidad y la autenticación con usos desde votaciones electrónicas, cumplimiento regulatorio hasta juegos y apuestas en línea. Sin embargo, en el presente, esta tecnología se está utilizando para cadenas de Blockchain y las criptomonedas. Esto se debe a que juntos son como un matrimonio perfecto entre privacidad y transparencia. 

Figura 8: Libro dedicado a "Bitcoin: La tecnología Blockchain y su investigación"
de Yaiza Rubio y Félix Brezo

Por un lado, tienes una cadena de bloques pública y transparente. Por otro, deseas realizar transacciones o ejecutar contratos sin revelar todos tus secretos. Aquí es donde entran los Protocolos de Conocimiento Cero, permitiendo, por ejemplo, transacciones anónimas o la verificación de contratos inteligentes sin exponer los detalles sensibles. Esta combinación ha permitido dos grandes usos dentro de las cadenas de Blockchain:

• Privacidad: Protocolos como Zcash o Tornado Cash se benefician de esta oportunidad para ofrecer transacciones completamente anónimas, desvinculando el origen y el destino de los fondos. Sin embargo, debido a su funcionalidad, también se están utilizando para el lavado de dinero y están siendo sometidas a procesos judiciales tanto a los creadores como a los usuarios de los mismas.

• Zk rollups en cadenas públicas: Los zk-Rollups son una solución de escalado que agrega múltiples transacciones en un solo lote y luego las procesa en la cadena Blockchain principal. Utilizando ZKP, los zk-Rollups pueden validar estas transacciones masivamente agrupadas sin revelar sus contenidos individuales. Esto reduce los costos de transacción manteniendo la integridad. Cabe aclarar que, pese a su nombre, no deberíamos enviar transacciones privadas en estas redes porque su funcionamiento es de escalado y no privacidad, ya que, en la Layer2 dónde subas tu transacción se podrá acceder al contenido como en cualquier otra cadena Blockchain pública.

Conclusión

Mirando hacia el futuro, los protocolos de conocimiento cero tienen el potencial de transformar radicalmente nuestra forma de interactuar. Así como los alquimistas soñaban con convertir los metales básicos en oro, los protocolos de conocimiento cero buscan transformar nuestra percepción de la seguridad y la privacidad, convirtiéndolos en elementos accesibles y transparentes para todos en la era digital.

Figura 9: Bit2Me Academy: Una plataforma online para aprender

 de Web3, BitCoin, Tokenomics o Ethereum con cursos gratuitos

Recuerda que si quieres aprender de estas tecnologías, tienes Bit2Me Academy, que es una plataforma online para aprender de Web3, BitCoin, Tokenomics o Ethereum con cursos gratuitos además del libro dedicado a "Bitcoin: La tecnología Blockchain y su investigación" de Yaiza Rubio y Félix Brezo que seguro que te ayudan a ponerte las pilas.

Más artículos de Web3, Blockchain & SmartContracts

• Blockchain & SmartContracts: Una serie para aprender
• BlockChain & SmartContrats: Primer SmartContract con Solidity
• Blockchain & SmartContracts: Cómo probar y desplegar un SmartContract en Ethereum
• WWW, Web 1.0, Web 2.0, Web 3.0, Web3 y ¿Web 4.0?
• Metaverso, multiverso y las tierras digitales en que vivimos en forma de avatar
• Los Fan Tokens vs. las Criptomonedas y los NFTs: Level 101
• Tokenomics: Las criptomonedas y las "Proof-of-work": Level 101
• Los NFTs y el registro mundial de los dueños de activos digitales en el Metaverso
• BitCoin: Blockchain y su investigación
• Criptomonedas & Ciberestafas: Valor y Peligro en la Web3
• BlockChain & SmartContrats: El Internet descentralizado y el almacenamiento off-chain en IPFS
• Reentrancy Attack: Cómo te roban criptomonedas por un bug en tu SmartContract
• BlockChain & SmartContract: Bugs que pueden dejar tu SmartContrat "fuera de juego"
• Blockchain & SmartContracts: Patrones y buenas prácticas de seguridad
• Blockchain & SmartContracts: Herramientas de Auditoría de Seguridad de SmartContracts
• BlockChain & SmartContracts: Ataque de phishing a tx.origin y robo de criptomonedas
• BlockChain & SmartContracts: Ataques de Ice Phishing
• Blockchain & SmartContracts: Herramientas de análisis dinámico
• ZIION: Una distribución Linux para auditar SmartContracts (& BlockChain)
• Dominios Web3 en Etherenum Name Service y la trazabilizad de las transacciones Blockchain
• BlockChain & SmartContracts: Actualizar SmartContracts como los grandes protocolos
• Jumping level up (from) web2 (to) web3: Vulnerabilities & SCAMs - SmartContracts
• 20 millones (Euros) en Tokens de Optimism perdidos por no saber cómo funcionan los Wallets Multifirma
• BlockChain & SmartContracts: Cómo crear una DApp de la Web3 con Python (y Flask)
• Pentesting SmartContracts: From Web2.0 to Web3
• Tokenomics 101: Una explicación con gráficos
• Read-Only Reentrancy Attack: $220k robados y otros +$100M en riesgo
• Como utilizar ChatGPT para encontrar bugs en SmartContracts
• BlockChain & SmartContracts: Nuevas áreas profesionales relacionadas con la Web3
• Las voces de Satoshi: Un canal para estar al día en Web3, Blockchain, Criptos & IA
• BlockChain & SmartContracts: Nuevas áreas profesionales relacionadas con la Web3
• Bit2Me Academy: Una plataforma online para aprender de Web3, BitCoin, Tokenomics o Ethereum con cursos gratuitos
• Level_Up!: Una plataforma para aprender a hacer pentesting en Web3 (SmartContracts & BlockChain ) a través de retos hacking
• Level_Up!: Web3 Security WarGames para los amantes del Challenge Based Learning
• Level_up!: WriteUp del Reto Questions para comenzar el pentesting en la Web3
• Level_Up! Deny_to_me Challenge activado en la plataforma Level_up! de retos hacking Web3
• Level_Up!: WriteUp del Ownership Challenge para hacer pentesting en Web3
• Nuevo reto Hacking Web3 de Level_UP! -> Forensic Ouch! 
• Level_Up!: WriteUp del reto "Safeguarding" para hacer pentesting en Web3
• Reto Web3 en Level_Up! "Replay_me": La importancia de una correcta validación de firmas
• Level_Up! Configuración paso a paso de la plataforma de pentesting en Web3
• Level_Up! Consigue tus NFTs mientras cuando supera retos Web3
• Telefónica validará nodos de la cadena BlockChain de Celo
• Latch Web3: Un pestillo de seguridad para SmartContract
• Level_Up!: El WriteUp del reto "Origin" y un nuevo reto "Guess my number"
• CrazyToolBox: Una herramienta multifunción de utilidades Web3
• Level_Up!: El WriteUp del reto "ReLottery" y un nuevo reto de agosto llamado “Pay Me!”
• WriteUp: Reto Overworld y nuevo reto DEX Knowledge disponible en Level_Up!
• WriteUp del Reto Hacking Web3 Blockchain Tour & Nuevo Reto Gas Knowledge en Level_Up!
• WriteUp del Reto Hacking Web3 "Snippet Delegated" & Nuevo Reto "Send to me" en Level_Up!
• Una comparativa de Seguridad, Transparencia, Privacidad y Cumplimiento Regulatorio en Exchangers Web3

Autor: Luis García Adán (Intership en el equipo de IdeasLocas)

Contactar con Luis García Adán