Los espías rompen la mayoría de los sistemas de cifrado en Internet, pero ¿cómo?

La revelación de este jueves que las agencias de inteligencia estadounidenses y británicas son capaces de decodificar la mayoría del tráfico de Internet era un momento transformador para muchos, afín de obtener la prueba definitiva de la existencia de vida extraterrestre inteligente. Es un cambio  fundamental  en  los  supuestos  de  que  muchos  de  nosotros  tenemos  acerca  de  las herramientas de las que cientos de millones de personas dependen para proteger su información más privada de miradas indiscretas.  

Y cuestiono la confianza depositada en las personas que construyen y ofrecen estas herramientas.

Pero el reportaje de los diarios, The New York Times, ProPublica y The Guardian fueron cortos en relación con detalles técnicos sobre exactamente cómo las tecnologías criptográficas como las redes privadas virtuales y la capa de sockets seguros (SSL) y Seguridad de nivel de transporte (TLS) se

omiten.

Como declaró recientemente por Edward Snowden, ex contratista de la Agencia de Seguridad Nacional (NSA) que filtró documentos altamente clasificados que conducen a los informes, "La encriptación funciona. En sistemas de cifrado fuerte correctamente implementados, son una de las pocas cosas que en las que usted puede confiar." ¿Cómo es posible, entonces, que los agentes de la NSA y su homólogo británico, conocido como la Central de Comunicaciones del Gobierno (GCHQ), se informa, capaz de eludir las protecciones cifrado proporcionada por las empresas de Internet como Google, Facebook, Microsoft y Yahoo?

La respuesta corta es casi seguro comprometer el software o hardware que implementa el cifrado o al atacar o influir en las personas que tienen los secretos compartidos que constituyen uno de los ejes de cualquier sistema criptográfico seguro.

El NYT alude a estas técnicas como una combinación de "supercomputadoras, trucos técnicos,órdenes  judiciales  y  la  persuasión  detrás  de  las  escenas."  En  el  documento  se  refirió  a  las tecnologías que habían sido equipadas con puertas traseras o han sido debilitadas deliberadamente.

Snowden se pronuncio de forma diferente cuando dijo: "Desafortunadamente, la seguridad del punto final es tan terriblemente débil que la NSA puede encontrar con frecuencia las maneras de evitar el cifrado. La explotación de las implementaciones o la gente detrás de estos sistemas puede tomar muchas formas. Lo que sigue son algunos de los escenarios más plausibles.

¿No me oyes llamar?

Las puertas traseras se encuentran entre las formas más fáciles de eludir el cifrado, y pueden tomar muchas formas. Muy a menudo, están concevidas como código oculto que permite a un intruso el acceso subrepticio a la información privilegiada o a funciones sin necesidad de la contraseña u otra credencial oficial. Pero las backdoors pueden ser fácilmente las vulnerabilidades que se insertan en el código fuente o diseños, y están autorizadas a permanecer allí después de ser descubiertas. El New York Times menciona específicamente puertas traseras colocadas en micro chips utilizados para el cifrado, y también aludió a las normas de cifrado que fueron manipuladas de manera que sean más fáciles de explotar.

Una manera tal sería tratar de forzar con generadores de números pseudo aleatorios utilizados para crear las claves fuertes. Un defecto controlado por la NSA que hizo que estos números sean fáciles de predecir para proporcionar a los agentes con un método encubierto y fácil de usar para extraer una clave de protección de las comunicaciones de un objetivo. Dado el volumen impresionante de datos que la NSA maneja requiere de la capacidad de lectura, es razonable suponer que los analistas quieren técnicas que funcionan en vastas zonas de la Internet. Para hacer que la puerta trasera sea explotable de forma masiva, el fallo tendría que estar presente en un diseño muy utilizado, por ejemplo, en las bibliotecas criptográficas incluidas en el software del servidor Web de Windows de Microsoft o, en el paquete OpenSSL que permite las funciones criptográficas en Apache y otros servidores web.

Los rumores de puertas traseras colocadas en las normas mas populares de cifrado por orden de la NSA han existido por lo menos desde 2007. Teorías similares surgieron de nuevo en 2008, tras el descubrimiento de una vulnerabilidad casi catastrófica en la distribución Debian de Linux. También incluyó números aleatorios y causó que las máquinas fueran vulnerables a la hora de generar claves criptográficas peligrosamente débiles. Yo solía desestimar ese tipo de pensamientos como las teorías de la conspiración que rayaban en la paranoia. Después de todo, la programación del cifrado es una tarea ardua, y es dolorosamente fácil cometer errores honestos. Ahora, yo ya no estoy tan seguro.

Robar (o pedir) las claves.

Otra manera de romper fácilmente el cifrado es obtener las claves de cifrar y descifrar datos. La forma más fácil de obtener las claves es preguntar por ellos, y si eso no funciona, se podría utilizar una  combinación  de  órdenes  judiciales,  la  persuasión,  o  amenazas  para  obligar  al  proveedor.

Valinedose de alguno de estos métodos, los federales podrían introducirse en los servidores de las grandes empresas y robarlos. Este método tiene algunas ineficiencias en si misma. Por un lado, en algunas versiones de este escenario, los federales tienen que obtener un conjunto diferente de claves para cada servicio que desea supervisar, por lo que este método es menos escalable. Y por el otro, al menos  en  teoría,  no  sería  práctico  contra  sitios  como  Google  que  han  implementado confidencialidad  directa  perfecta  en  sus  protecciones  criptográficas.  Esa  es  la  propiedad  que combina las claves privadas utilizadas tanto por el sitio web como por el usuario final para crear una nueva clave temporal que cambia todas las veces. A menos que los federales sepan de un fallo en el proceso de intercambio de claves Diffie-Hellman que es el corazón de este sistema, no sería suficiente con obtener la clave privada de Google o de otros sitios que utilizan el secreto perfecto hacia adelante “perfect forward secrecy”.

Los  federales  también  podrían  hackear  o  coaccionar  a  una  de  las  muchas  autoridades  de certificación que validen las claves de SSL y TLS en proporcionar un certificado maestro que trabaja a través de una o más direcciones de Internet. Si bien no es imposible, este método también parece poco práctico. En primer lugar, dichos certificados serían útiles si la NSA fuera capaz de hacerse pasar por el sitio en lo que se conoce como un ataque man-in-the-middle activa, que puede hacer el ataque menos escalable y más difícil de lograr. Esto excluye la posibilidad de una escucha pasiva, en la que la NSA simplemente supervisa y descifra el tráfico que pasa entre un sitio web y uno de destino. Más importante aún, la técnica es fácil de detectar a través de lo que se conoce como el clavado de certificados “certificate pinning” que se implementan en el navegador Chrome de Google, aplicaciones de Twitter dedicados, y algun software de seguridad.

Listo para llevar.

Uno de los aspectos más frustrantes del informe sobre las revelaciones de Snowden es la falta de datos específicos. Si no sabemos exactamente cómo la NSA no pasa por el cifrado de Internet es difícil tomar medidas para evitarlo. Dicho esto, el experto en seguridad y cifrado  Bruce Schneier ha compilado una lista de las cosas concretas, que los lectores pueden hacer para al menos complicar y hacer más difícil a la agencia de inteligencia la vigilancia. Las medidas incluyen el uso del servicio de  anonimato  Tor,  el  uso  de  software  como  GPG,  TextSecure,  RedPhone,  TrueCrypt,  OTR, SilentCircle y bleachbit para cifrar los mensajes, llamadas y archivos, y un robusto régimen de operaciones de seguridad para bloquear extremos, incluyendo el uso de “*air-gapped computers” cuando se trabaja con datos realmente sensibles.

(*medida que consiste en asegurar que una red de ordenadores segura está físicamente aislado de redes inseguras, tales como la Internet pública o una red de área local insegura.)

Snowden y Schneier aseguran que las personas podemos confiar en las matemáticas que subyacen en la criptografía. Por supuesto, el reto es garantizar que las matemáticas no se han comprometido y que el software, hardware, o la gente de desarrollo nolo han echo,  reto que es cada vez más difícil de medir en esta era post-Snowden.

Firma Electrónica Transfronteriza

hemos desarrollado un sistema cluster de alta disponibilidad de servicios de Firma transfronterizas europea (podemos validar las firmas de todos los edni y certificados electrónicos reconocidos de los países miembros de la UE) capaz de sincronizar todas las listas seguras de todos los países miembros, para poder validar cualquier documento firmado en el ámbito de Unión Europea, según las Directivas citadas anteriormente, además de poder firmar electrónicamente según los formatos reconocidos.

Con este sistema podemos validar las firmas electrónicas de cualquier ciudadano y empresa de la Unión Europea a través de las ventanillas únicas.

• Firma de documentos: Permite realizar firmas electrónica transfronterizas.

•  XadES(XML Advanced Electronic Signatures), según espeficicación ETSI TS 101 903.
• CAdES(CMS Advanced Electronic Signatures), según espeficicación ETSI TS 733.
• PAdES(PDF Advanced Electronic Signatures), según espeficicación ETSI TS 102 778-2 Y ETSI TS 102 778-3.

• Verificar una firma:Permite analizar una firma existente en un fichero y generar un informe de validación (información detallada sobre la firma electrónica).

• Sincronizamos todos los días todas las listas seguras de todos los países miembros, para poder validar cualquier documento firmado en el ámbito de Unión Europea.

• Extender una firma: Permite al usuario mejorar una firma electrónica ya existente mediante la adición de propiedades avanzadas a ella, reforzándolo con la interoperabilidad transfronteriza, la validez a largo plazo y las características de no repudio.
  
  
  Permite al usuario comunitario realizar cuestiones con la administración electrónica tales como :
  
  
  
  - Los estudiantes, que podrán matricularse en una universidad extranjera en línea, sin tener que viajar fuera para cumplimentar los papeles en persona.
  
  
  - Los ciudadanos que preparen su mudanza a otro país de la UE, una boda en el extranjero o múltiples declaraciones fiscales.
  
  
  - Los pacientes que requieran asistencia médica en el extranjero podrán controlar o autorizar de forma segura a un médico para que acceda a su historial médico en línea.
  
  
  - Las empresas podrán presentar ofertas en línea para contratos públicos en línea en cualquier lugar de la UE. Podrán firmar y sellar sus ofertas, además de indicar su fecha y hora, por vía electrónica en lugar de imprimir y enviar múltiples copias en papel de las ofertas mediante servicios de mensajería.
  
  
  - Las personas que deseen hacer negocios en otro país de la UE podrán crear empresas a través de Internet y presentar informes anuales en línea, todo ello con facilidad.
  
  
  - Las administraciones podrán reducir las cargas administrativas y aumentar la eficiencia, con lo que ofrecerán un mejor servicio a sus ciudadanos y ahorrarán dinero a los contribuyentes.
  
  
  Hasta el momento sólo con eDNI o certificado digital español se puede hacer consultas a través de la administración electrónica española, con este dispositivo cualquier eDNI o certificados electrónicos reconocidos de los países miembros de la UE puede acceder a los servicios que ofrece la administración electrónica española.
  
  
   

Lectura y clasificación documental.

A vueltas con el problema de la lectura de documentos, he probado sobre un conjunto limitado de documentos de entrenamiento y el algoritmo SVM es muy bueno, tiene sus limitaciones solo podemos entrar en un rango de clasificación de cien elementos como máximo, pues nos comemos la memoria RAM del servidor.

Esto nos indica que para resolver problemas del ámbito de la gestión tributaria es aplicable a ciertos aspectos donde las decisiones a tomar están restringidas en un pequeño conjunto posibilidades, ejemplo que hacia referencia en otros escritos a la resolución de alegaciones de un acto administrativo de cualquier naturaleza.

Desde mi punto de vista la bondad del sistema se va a sustentar en función de la calidad de los documentos de aprendizaje del sistema experto, esto inclina la balanza hacia los gestores junior con mayor experiencia en detrimento de los analistas y programadores que hasta este momento eran los que podían trasmitir el lenguaje administrativo a los sistemas informáticos. Ponemos en valor la experiencia humana y la veteranía en la gestión.

Pone en el horizonte un nuevo paradigma en el diseño del software de administración electrónica, pasando del modelo relacional de un formulario, a otro basado en el documento electrónico, con la posibilidad de abrir vías de comunicación con los ciudadanos en lenguaje natural, español en nuestra experiencia, pero posible a cualquier idioma simultáneamente, pensemos en la diversidad lingüística de nuestras autonomías.

A finales de los 90 comencé los estudios de estas herramientas que a fecha de hoy creo que están lo suficientemente maduras como para iniciar una línea de trabajo sin temor a ser tildados de locos visionarios, que piensan en las nubes.

Mis objetivos a corto medio plazo es tener un clasificador de mi bandeja de correo electrónico, para ir buscando los límites del sistema y tomar la experiencia necesaria para ponerlo en productos comerciales.

Por otro lado quiero probar el algoritmo de agrupamiento clustering en ingles, que ofrece un abanico muy basto de aplicaciones, visión artificial, genética, minería de datos, etc.

Os tendré informado, además voy a publicar unas direcciones web URL's donde vais a poder interactuar con los prototipos. En uno de mis ejemplos me he creado un buzón de correo en GMAIL al cual le voy enviando correos con soporte de documentos adjuntos y este es el simple mecanismo de alimentación, del motor de clasificación, también voy a intentar que lea paginas html a través de su URL.

El correo electrónico (eMail)

Extraer conocimiento de la memoria colectiva.

Una de las principales armas del arsenal que nos ofrece Internet, es el eMail, nos permite comunicarnos en el más amplio sentido de la palabra. Ha sido el sustituto natural del correo postal, aportando innumerables beneficios añadidos.

Para mi, su principal valor, es poder atender a mis relaciones de forma asíncrona, es decir cuando puedo, al contrario del habitual, cuando me lo solicitan, que es lo que le ocurre con teléfono y sobre todo con el móvil. Saben hasta donde estoy geográficamente, en cada momento.

Gracias al eMail soy dueño de organizar mi tiempo con respecto a mis necesidades y prioridades, además de gozar de privacidad.

Con mi móvil, soy esclava suya, mientras lo llevo encendido, para voz. Desde el punto de vista del trabajo, la comunicación vía móvil con clientes, es muy rápida y dinámica, acelera nuestras vidas hacia lo inmediato.

Mi intención es disfrutar de mi tiempo, que pase lo más lenta y placentera posible, por lo tanto valoro mucho mi eMail, como centro estratégico de mis comunicaciones empresariales.

Mi actividad habitual es el desarrollo de servicios web para sistemas de computación en nube, con la plataforma Amazon AWS, de la que somos colaboradores desde principios del año 2008.

Aportamos valor añadido incorporando sistemas criptográficos que cumplen las principales normas Españolas, Europeas y EE.UU.

La privacidad y la confidencialidad son el leitmotiv de nuestros servicios.

Debido a mi trabajo tengo retos, desafíos tecnológicos que tengo que estar resolviendo para conseguir mis objetivos, que real mente son los objetivos de mis clientes los que contratan mis servicios, Administración Local, Servicios Financieros, Concesiones Administrativas, Colegios de Actividades Profesionales.

Esto me obliga a leer cantidades ingentes de información que tengo que ir seleccionando, categorizando, pues la verdad es que estamos sobre saturados de información que llega a nuestro buzón de entrada.

En ocasiones, por diversas causas, viajes, reuniones, etc., se me acumula y cuando me enfrento a la bandeja de entrada me da pereza y me abruma, con el repetido otra vez a limpiar el buzón.

Para paliar estos problemas he creado nuestro sistema de correo electrónico avanzado que en clave interna denominamos, proyecto MercuryMail. La idea sobre la que descansa, es que tengo que respetar el sistema de correo actual, hay años de historia de mis actividades, es mi memoria a largo plazo, no puedo renunciar. Tampoco me ilusiona tener otro cliente más de correo.

Esto ha marcado el diseño, se integra con mi buzón habitual de correo y le aporta las características que necesito, privacidad y fehaciencia de lectura (solo lo ha leído quien yo indico).

No lo pueden leer, interceptar, personas no autorizadas de cualquier naturaleza, incluido el propio sistema de envió y recepción de correos, mi proveedor de eMail.

Me organiza la bandeja de entrada y la de salida, indicando que correo ha sido leído por mi interlocutor, aportándome evidencias electrónicas, fecha de lectura, fehaciencia y además los datos criptográficos de la comunicación.

Como soy consciente de que es mi memoria a largo plazo, le he puesto un sistema de búsqueda inteligente, que me ayuda a encontrar, recordar, lo que busco de una forma natural, incluso adelantándose a mis posibles errores ortográficos, los acentos, sobre todo para mi que me comunico habitualmente en castellano, inglés y francés.

Por último le estoy añadiendo prestaciones de lectura básica, pretendo que me clasifique el correo que recibo no solo por destinatarios sino que sea un poco más habilidoso, que lea el cuerpo del correo y sus documentos adjuntos, con la intención de que me los clasifique en función de mis áreas de interés, para cada periodo de mi vida.

Como miembro de una organización, mi inteligencia es parte del conocimiento de la organización y en numerosas ocasiones tengo que acceder a la memoria a largo plazo de mis colaboradores más allegados.

El sistema de búsquedas es capaz de leer en todos los correos de la organización, ayudando a la personas autorizadas a tener conocimiento de la memoria colectiva.

Tiene algunos extras más que podréis descubrir mediante su uso.

Seguridad y Privacidad en las comunicaciones electrónicas.

La privacidad es un pilar fundamental de la Democracia, sin privacidad no existe la Democracia


La privacidad es un pundamental de la Democracia,Seguridad sin privacidad no existe la Democracia.
Vivimos en un mundo cada vez más conectado a la red Internet y más dependiente de los teléfonos móviles, ordenadores personales, portátiles, tabletas y móviles inteligentes.

De todos es conocido, que en Internet, está lo bueno y malo de nuestra sociedad, que el lado oscuro, intentará aprovecharse de los incautos, confiados y de todas las organizaciones con pocos recursos (presupuesto) dedicados a la seguridad informática en las comunicaciones electrónicas.

Basándonos en estos principios y siendo conscientes de estos riegos, hemos creado un conjunto de servicios para ayudar a nuestros clientes con las herramientas más avanzadas, por el momento sólo a disposición de las fuerzas de seguridad pública y grandes compañías que pueden realizar la cuantiosa inversión necesaria, para disponer de este tipo de herramientas.

Nuestra aportación ha sido crear aplicaciones muy fáciles de manejar que incorporan los mismos mecanismos y normas (AES 256) que aplican los servicios de inteligencia, militares y fuerzas de seguridad pública, para la custodia y distribución de documentación sensibles, además de entrega fehaciente mediante tercero de confianza y notario electrónico.

Se cumplen todas las normas establecidas de seguridad informática en el ámbito español, de la unión europea y algunas normas norte americanas como la Health Insurance Portability and Accountability Act of 1996 (HIPAA) .

Con estas herramientas nuestros usuarios, pueden disfrutar de un entorno seguro, sin tener que realizar un gran desembolso económico, gracias a nuestro modelo de negocio basado en el pago por uso.

Por una suscripción mensual tendrás todo el almacenamiento, a través de unas simples páginas web, accesibles desde cualquier dispositivo conectado a Internet. Tú información siempre encriptada con los sistemas más exigentes del momento, no necesitas servidores, técnicos, licencias, etc.

Todo esto gracias a la computación en nube que nos presenta la informática como un servicio. Las grandes compañías del sector (IBM, Amazon, Microsoft, etc.) ponen sus equipos más modernos a nuestra disposición mediante un alquiler mensual, con la capacidad de adaptarse a nuestras necesidades en cada momento, creciendo o disminuyendo recursos bajo demanda.

Tus documentos, más seguros que en tu propia caja fuerte.

Como nos atrevemos a decir esto, pues cualquier intruso prefiere atacar un ordenador de un usuario sin medidas de seguridad, que una fortaleza a la cual le tendrá que dedicar ingentes cantidades de tiempo y computación para poder acceder a los sistemas. No se conoce ningún ataque con éxito a los sistemas criptográficos basados en la norma AES 256.

Tenemos una solución para cada necesidad, cubriendo el espectro que va desde un despacho profesional, hasta grandes corporaciones con delegaciones al rededor de todo el planeta.

A través de la infraestructura de nuestros proveedores de servicios de computación en nube, que
está disponible a nivel global en las regiones de EEUU, Europa, y Asia Pacífico.

Contacta con nuestro departamento comercial, para una explicación en detalle y atención personalizada, para su necesidad concreta.

Ejemplos de uso de OpenSSL

Manejo de certificados digitales X509 v3 a través del software libre OpenSSL.

Se utiliza un ejemplo real de sucesiones de ordenes de línea de comandos para que el lector pueda realizar ejercicios prácticos.

Sólo tendrás que ir copiando las ordenes de este tutorial en la consola de la maquina y disponer de un certificado además de una copia del software OpenSSL.

OpenSSL es un software que tiene tantas utilidades como la navaja suiza, ideal para la gestión de los certificados digitales.

                                          Indice

1.-Exportar Certificado para openSSL.
2.-Firmar documento
3.-Cifrado asimétrico
4.-Verificar firma
5.-Extraer los certificados a formato .DER


1.-Exportar Certificado para openSSL.

Despues de exportar el certificado desde el almacen de certificados de Mozilla Firefox en formato .p12

Pasos para convertir un certificado emitido por la FNMT al formato OpenSSL
Lo pasamos a formato manejable por openSSL, en este caso al formato de tipo texto .txt y le damos la extension .pem

Pasar de pkcs12 a formato pem muy importante el parametro -clcerts para que coja nuestro certificado y no el raiz.

c:>openssl pkcs12 -in antonio_fnmt.p12 -out antonio_fnmt.pem -clcerts -passin
pass:Redmoon3632 -passout pass:Redmoon3632

Ver datos del certificado por consola

c:>openssl x509 -in antonio_fnmt.pem -noout -subject

Borrar la pass phrase de la clave privada de un certificado y pasar la clave privada a un archivo .key

openssl rsa -in antonio_fnmt.pem -out antonio_fnmt.key

Extaer la clave publica para realizar la verificaciones

openssl rsa -in antonio_fnmt.pem -out publica_antonio_fnmt.pem -pubout

2.-Firmar documento

openssl dgst -sign antonio_fnmt.pem -out firmado.sig entrada.txt

Verificar documento

openssl dgst -verify publica_antonio_fnmt.pem -signature firmado.sig entrada.txt

3.-Cifrado asimétrico

Generar llave del algoritmo asimétrico RSA: Vamos a generar una llave privada de 1020 bits

OpenSSL> genrsa -out privada1.key 1024

Cifrar la clave privada con DES para evitar su uso fraudulento:

OpenSSL> genrsa -out privada2.key -passout pass:redmoon2010 -des 1024

Se realiza este cifrado porque la clave privada se genera como un fichero de texto que cualquiera podría leer, para evitar esto la ciframos.

Generar claves públicas derivadas:


OpenSSL> rsa -in privada1.key -pubout -out publica1.key
OpenSSL> rsa -in privada2.key -pubout -out publica2.key -passin pass:redmoon2010

Firmar el archivo digitalmente:

OpenSSL> dgst -c -sign privada1.key -out firmado.sig entrada.txt

El archivo firmado.sig contendrá la firma digital en formato binario.

4.-Verificar firma

OpenSSL> dgst -c -verify publica1.key -signature firmado.sig entrada.txt

OpenSSl mostrará un Verified OK si todo ha sido correcto, o un Verification Failure si algo ha fallado.

Conversión de firmas binarias a texto: Como ya he dicho antes las firmas generadas tienen un formato binario, con lo cual para su envio por correo electrónico las convertimos a texto. Así que vamos a generar una versión en base64.

OpenSSL> base64 -in firmado.sig -out firmado.b64

Como puedes observar, el fichero generado es legible y fácilmente agregable a cualquier fichero de texto.

5.-Extraer los certificados a formato .DER

c:>openssl pkcs7 -in antonio.pem -print_certs -out certs.pem
c:>openssl pkcs7 -in antonio.pem -outform DER -out antonioPKCS7.der

Espero que esta información ayude a adentraros en este tema.

Redmoon Consultores y la Administración Electrónica

Redmoon Consultores aporta un valor añadido a la administración electrónica granadina, lleva varios años desarrollando software para el desarrollo de la Administración Electrónica con el fin del uso del papel y que se implante el expediente electrónico.

Le damos instrumentos de cambio y modernización a la administración para que sea mas eficaz y más sostenible para el medio ambiente y para la sociedad en su conjunto.

Através de la Administración Electrónica permitimos a los ciudadanos acceder de manera electrónica a la información de los principales servicios, además que el ciudadano pueda presentar su solicitud cómodamente desde el ordenador, para pedir, por ejemplo, una subvención, matricularse en una Universidad, pedir cita en un centro de salud o conocer el estado de tramitación de un expediente administrativo.

La administración electrónica nos permite un ahorro de recursos lo que aporta enormes ventajas en términos de eficiencia y estos recursos aplicarlos a partidas más sociales como la educación, la sanidad.