CAPITULO V

5.2 Introducción. Cifrado y Encriptamiento

En la actualidad, las organizaciones se han visto en la necesidad de afrontar la

transformación digital y de hacer uso de la tecnología para automatizar sus procesos; al
entrar en este proceso, han comenzado a recopilar grandes cantidades de datos, que no
siempre están seguros. Para evitar la pérdida de información, se ha utilizado el
encriptamiento o cifrado como una de las acciones más importantes de seguridad. Para que
quede claro estos dos términos vamos conocer sus definiciones.

Cifrado: “En criptografía, el cifrado es un procedimiento que utiliza un algoritmo

de cifrado con cierta clave (clave de cifrado) para transformar un mensaje, sin
atender a su estructura lingüística o significado, de tal forma que sea incomprensible
o, al menos, difícil de comprender a toda persona que no tenga la clave secreta
(clave de descifrado) del algoritmo” (Wikipedia, 2019)

Encriptamiento: “Se trata de un cifrado de información que no puede vulnerarse.

Esta tecnología permite resguardar archivos de texto, audio, vídeo e imágenes sin
ningún problema” (Reporte Digital, 2019)

En conclusión, tanto la palabra cifrar y encriptar significan lo mismo pero su origen viene
de distintas lenguas. Mucha gente actualmente le sigue sonando muy rara la palabra
encriptar. Por otro lado, la gran mayoría de la gente joven sí reconoce la palabra encriptar

Tipos de cifrado

Los diferentes tipos de encriptamiento que existen están determinados por la clave de
acceso, esta puede ser:

Simétrica

Este cifrado se da cuando el emisor y el receptor utilizan la misma clave para

encriptar y descifrar la información. A esto se lo denomina encriptamiento
simétrico, y se pueden destacar dos métodos.

 DES: IBM desarrolló Data Encryption Standard en 1970 y lo

estandarizó en 1977. Este sistema fundó los cimientos de la criptografía
moderna, y constaba de una clave de 64 bits, de los cuales solo 56 eran
utilizables; en 1994, su clave se descifró en 50 días. Con las
herramientas actuales, una clave DES puede ser vulnerada en cuestión de
segundos.

 AES: Advanced Encryption Standard, surgió como idea en 1990, a raíz

de la desactualización del sistema DES. Esto llevó a los desarrolladores
 Vincent Rijmen y Joan Demen a presentar el algoritmo Rijndael, que se
presentó en 1997 y se consolidó como sucesor del DES a finales del
2000.

Asimétrica

En el cifrado asimétrico, emisor y receptor generan un par de claves. Estas claves se

dividen en pública y privada. La primera se usa para llegar al destinatario, y la
segunda, para descifrar el mensaje. Este sistema proporciona una seguridad mayor,
ya que la clave privada solamente la conoce el destinatario. Una vez que el mensaje
se encripta, ni siquiera el emisor podrá descifrarlo.

 RSA: Rivest, Shamir, Adleman es considerado uno de los métodos

más seguros para encriptar con clave pública. La idea surge en
19756, gracias a un protocolo de Whitfield Diffie y Martin Hellman.
Este permite a los interlocutores acordar claves privadas en un medio
poco seguro.

 ID: Una de las vulnerabilidades que presenta el método asimétrico es

autenticar a los interlocutores. Por eso en 1984, utilizando la
estructura RSA, Shamir propuso el sistema basado en ID. El cifrado
basado en la identidad calcula una clave a partir de un identificador,
como puede ser un correo electrónico.
  Híbrida

Encriptar de manera híbrida consiste en emplear los sistemas

simétrico y asimétrico para compensar las debilidades de cada uno.
Una forma común de utilizarlo es empleando AES para cifrado de
datos y RSA para encriptar la sesión. El sistema híbrido se utiliza en
redes IP, TSL/SSL, HTTPS y cifrado de e-mails.

Aplicaciones para cifrado e encriptamiento   

El cifrado de datos se usa en numerosas aplicaciones cotidianas. Algunas de las más

habituales son:

 SSL

SSL, del inglés Secure Socket Layer, es un protocolo criptográfico que proporciona
comunicaciones seguras en Internet. Esta seguridad es en forma de privacidad y
autenticación: por un lado, autentica el servidor de la comunicación y por otra parte
selecciona un algoritmo de cifrado, permite el intercambio de claves de forma
segura entre cliente y servidor, y cifra la información con cifrado simétrico.

 Esta capa de seguridad se puede aplicar en diversos ámbitos:

 HTTPS: Protocolo http seguro

 FTP: protocolo de intercambio de ficheros. Puede utilizar SSL para ser

seguro.

 SMTP: protocolo de correo. Puede utilizar SSL para ser seguro.

 Firma digital

La firma digital es el método criptográfico que permite asociar la identidad de una

persona o máquina a un documento como autor del mismo. Para incorporar las
firmas digitales, primero se calculan los datos de la firma, que se obtienen de aplicar
cierto algoritmo matemático. Esos datos se cifran con alguno de los algoritmos
descritos anteriormente y finalmente la firma cifrada es incorporada al documento.

 VPN

La red privada virtual, en inglés Virtual Private Network (VPN), es una red con las
características de una LAN, pero está extendida sobre una red pública como
 Internet; esto es, tiene el control y la seguridad que ofrece una red LAN, pero
topológicamente tiene un ámbito descontrolado e inseguro como es Internet. Para
que estas redes sean seguras se usan técnicas de tunneling que consisten en crear un
“túnel” seguro dentro de la red insegura, por el que circulan los datos de la VPN
cifrados.

 Cifrado de archivos

También existen aplicaciones que permiten el cifrado, no ya de una información que

se va a enviar, sino de un archivo, que puede que se vaya a enviar, pero puede que
simplemente quiera guardarse cifrado para que sólo puedan leerlo quienes tengan
una clave. Esto también es útil para almacenar información confidencial de una
organización.

 Cifrado de disco duro

Tener todo el sistema de archivos cifrado permite que cada vez que se guarde un
archivo ya lo haga cifrado por defecto y que todo lo contenido en el disco duro esté
cifrado. Esto hace que haya procesos ligeramente más lentos, ya que cada vez que
se guarda, por ejemplo, ha de cifrarlo.

Mal uso del cifrado e encriptamiento

 Incluso con los algoritmos más seguros, se pueden presentar una serie de
problemas:

 Tener un fichero cifrado en un disco duro, y que el disco duro se estropee, por lo
que la información se pierda.

 La persona que sabe la clave, la olvida, o bien por deslealtad a la compañía, la filtra.

 La clave se almacena el mismo sitio que el fichero cifrado, por lo que si alguien
accede al fichero cifrado también podrá acceder a la clave para descifrarlo.

 La información cifrada está corrupta o no es válida, por lo que, aunque el cifrado y

descifrado sean correctos, la información obtenida por el destinatario seguirá corrupta o
inválida.

 Cualquier otro problema derivado de una mala gestión de la información cifrada o

las claves.

 Para evitar estos problemas hay que seguir buenas prácticas como tener backups de
la información, o garantizar la seguridad de las claves.
5.3 Defina: Autentificación, Integridad, No repudiación, Certificación.

Autentificación.

“Uso de credenciales donde se verifica que el usuario es quien dice ser y no un

suplantador de identidad” (Iris Alfonso Pagán, 2019)

En otros términos, es la comprobación de la identidad de una persona ya sea para

acceder a la cuenta del banco, como para acceder a las redes sociales, correos, etc.

Integridad

“Es la capacidad de garantizar que los datos no han sido modificados desde su
creación sin autorización. La información que disponemos es válida y consistente.
Este objetivo es muy importante cuando estamos realizando trámites bancarios por
Internet. Se deberá garantizar que ningún intruso pueda capturar y modificar los
datos en tránsito” (Infosegur, 2013)

“Es la propiedad que busca proteger que se modifiquen los datos libres de forma no
autorizada, para salvaguardar la precisión y completitud de los recursos,
garantizando que los datos permanezcan inalterados excepto cuando sean
modificados por personal autorizado” (Wikipedia, 2018)

No Repudiación

Tiene como objetivo ofrecer una prueba al emisor de que la información fue
entregada y una prueba al receptor del origen de la información recibida.

Según (Infosegur, 2013) nos dice: Garantiza la participación de las partes en una
comunicación. Existiendo un emisor y un receptor, por lo que podemos distinguir
dos tipos de no repudio:

a) No repudio en origen: garantiza que la persona que envía el mensaje no

puede negar que es el emisor del mismo, ya que el receptor tendrá pruebas
del envío.

b) No repudio en destino: El receptor no puede negar que recibió el

mensaje, porque el emisor tiene pruebas de la recepción del mismo.

Certificación

“Es la garantía que se entrega o extiende sobre algo y que tiene la misión de afirmar
 la autenticidad o la certeza de algo, para que no queden dudas respecto de su verdad
o que se está ante algo auténtico” (Cecilia Bembibre, 2012)

5.4 Algoritmos de encriptamiento públicos (RSA)

Encriptación RSA

(Katia Lomparte, 2005) nos dice: En criptografía, RSA es un algoritmo para encriptación
con clave pública. Es utilizado ampliamente en protocolos de comercio electrónico. Sujeto
a múltiples controversias, desde su nacimiento nadie ha conseguido probar o rebatir su
seguridad, y se le tiene como uno de los algoritmos asimétricos más seguros.

Debe su nombre a sus tres inventores: Ronald Rivest, Adi Shamir y Leonard Adleman, y
desde 1983 estuvo bajo patente de los RSA Laboratories hasta el 20 de setiembre del 2000,
por lo que su uso comercial estuvo restringido hasta esa fecha.

El RSA se basa en el uso de una función matemática que es fácil de calcular, pero es difícil
de invertir. La única manera de invertirla es utilizando la clave privada.

Generación de Claves

A continuación, enunciaremos los pasos a seguir para la generación de claves RSA.

1. Escoger aleatoriamente dos primos grandes p y q tales que sean diferentes

2. Calcular n = p q

3. Calcular z = (p-1) (q-1), función de Euler

4. Escoger e = 3, coprimo con z, si es necesario recalcular p y q

5. Calcular d tal que d e = 1 mod z

La clave pública está compuesta por el par (e, n) donde n se conoce como módulo y el
exponente de cifrado. Es utilizada por los emisores para que encripten el mensaje original.
La clave privada está compuesta por el par (d, n) donde d es el exponente de descifrado. Es
utilizada por el receptor para recuperar el mensaje original a través de la decriptación.

Encriptación de Mensajes
Para la encriptación de un archivo de texto se requiere que cada carácter de dicho
archivo sea convertido a número. La manera más común de hacerlo es convirtiendo
cada carácter a su correspondiente código ASCII y sumándole 100 para así trabajar
con valores de tres dígitos. Por lo general esta larga secuencia de números es
almacenada en otro archivo.

A continuación, se conformarán mensajes m para cada bloque de j caracteres que

puede conformarse. j debe determinarse de tal manera que 10 (j-1) < n < 10 j pues un
mensaje m mayor al módulo n no podrá encriptarse. En caso no contar con los
caracteres suficientes para último bloque, este será rellenado con ceros hasta
alcanzar la longitud j requerida.

Se encriptará cada bloque M así formado con la siguiente expresión

c = m e mod n

que representa la potencia modular e módulo n de c. Se obtendrá un mensaje c por

cada bloque m que deberá ser almacenado en otro archivo.

Decriptación de Mensajes

Para la decriptación de un archivo encriptado se leerá cada bloque guardado

anteriormente. Cada bloque representa el mensaje encriptado c que será decriptado
con la siguiente expresión:

m = c d mod n

que representa la potencia modular d módulo n de m. Se obtendrá un mensaje m por

cada bloque c que deberá ser almacenado en otro archivo. Este archivo contiene el
archivo convertido a números correspondiente al inicial. Adicionalmente deberá
transformarse cada secuencia de tres dígitos a su correspondiente equivalente en
carácter ASCII.

Ejemplo

Se seleccionan dos números primos:

p=5

q=11

Para ilustrar el método de una manera sencilla se han elegido primos muy pequeños.
Para encriptar el mensaje “4”, calculamos el tamaño del bloque, aplicando la
fórmula 10 (j-1) < n < 10 j y recordando que n es 55

Por tanto, el bloque a encriptar debe ser de 2 caracteres de longitud. “4” se convierte
en 52. No sumaremos 100 como indicamos en el algoritmo pues obtendríamos un
mensaje mayor a 55 el cual ya no podría ser encriptado con estas claves. Se
conforma un bloque de 2 caracteres y aplicamos la siguiente fórmula c = m e mod
n:

Para la decriptación del mensaje c, aplicaremos la fórmula m = c d mod n:

por tanto, m=52, el cual convertido a carácter ASCII representa el valor original
“4”.
 CAPÍTULO VI

6.2 Algoritmos de encriptamiento privados (DES)

(García Méndez, 2011) nos comenta: el algoritmo DES es un sistema de cifrado por bloque
tipo producto que opera sobre bloques de información de 64 bits de longitud produciendo
un bloque de texto cifrado del mismo tamaño. La longitud de la llave es de 56 bits, pero
comúnmente se expresa como un bloque de 64 bits de los cuales cada octavo bit se usa para
verificar la paridad, estos son los bits de chequeo de paridad que normalmente se
eliminarán.

En un nivel básico, el algoritmo DES resulta ser la combinación de dos conceptos básicos
del cifrado: la confusión y dispersión. El bloque fundamental de DES es una sola
combinación de estos dos conceptos, esto es, una substitución seguida de una permutación.

Permutación PC1 y permutación PC2

Inicialmente, la llave de 64 bits se reduce a una de 56 bits removiendo los bits en las
posiciones que son múltiplos de 8. Estos bits pueden usarse como bits de chequeo de
paridad para asegurarse que la llave no tenga errores. Después, los bits restantes se
permutan según la tabla de permutación P C1. Este tipo de tabla se conoce como
permutación de compresión porque permuta el orden de los bits y elige un subconjunto de
ellos.

Estructura general del sistema DES

A partir de esta llave, se generan 16 subllaves de 48 bits de longitud que se usarán en las 16
rondas de DES. Otra permutación de compresión que también se usa en la generación de las
subllaves es la P C2 la cual toma como entrada un bloque de 56 bits y devuelve un
subconjunto permutado de 48 bits.

Generación de las subllaves

Para generar las subllaves, primero, se eliminan los 8 bits de paridad de la llave original de
64 bits. Los 56 bits restantes se permutan de acuerdo a la tabla P C1.

El bloque resultante se divide dos partes de 28 bits cada una, llamadas tradicionalmente, C 0
y D0. Luego, estas mitades recorren sus bits hacia la izquierda cierto número de posiciones
según la tabla. Por ejemplo, recorrer los bits de un bloque de 28 bits en dos posiciones a la
izquierda significa que los bits ubicados en las posiciones tercera y cuarta, ahora ocuparán
la primera y segunda posición, respectivamente. Los bits posteriores se recorren hasta la
posición 26, mientras que los bits 1 y 2, se ubicarán hasta las posiciones 27 y 28,
respectivamente. Esto produce 16 bloques Ci y 16 bloques Di de 28 bits con i = 1, ..., 16.

se tiene el siguiente algoritmo:

para i=1,...,16 donde ←- denota el corrimiento de bits hacia la izquierda.

Cifrado y descifrado con DES

El cifrado comienza aplicando la permutación inicial IP a un bloque de texto M.

Después, se aplican 16 rondas de la función Feistel y, finalmente, se aplica la
permutación final IP −1 al bloque resultante:

para i = 1, ..., 16 donde Li y Ri representan la i-ésima mitad izquierda y mitad

derecha del bloque, respectivamente. Además, f es la función de Feistel.

El descifrado consiste, esencialmente, en ir hacia atrás. Esto es, se aplican las

mismas operaciones que en el cifrado sólo que, en este caso, se comienza con la
subllave K16 y se finaliza con K1. De tal manera que:

donde j = 16 − i para i = 1, ..., 16. Después de estas rondas, sólo resta aplicar la
permutación IP −1 para recuperar el bloque original.

6.3 Administración de llaves criptográficas (KDC)

Para hablar de la administración de llaves criptográficas mediante el Centro de Distribución

de Llaves (KDC) tenemos que hablar de kerberos ya que este trabaja de la mano con KDC.

¿Qué es Kerberos?
Kerberos es un protocolo de autenticación de redes que trabaja utilizando el concepto de
tickets para permitir que unos nodos se comuniquen dentro de una red no segura. Kerberos
fue desarrollado por el MIT (Massachusetts Institute of Tecnology) para proteger los
servicios de red que proveía el Proyecto Atenea (proyecto que buscaba crear una red de
computación distribuida para fines educativos por todo el campus).

Una gran cantidad de empresas conocidas se encuentran entre la lista de los inversores
fundadores como Apple Inc., Google, Microsoft y otras instituciones académicas como el
MIT o Stanford.

¿Cómo funciona Kerberos?

Kerberos utiliza a un tercero de confianza que se llamará KDC (Key Distribution Center o
Centro de Distribución de Llaves). Kerberos trabaja con 3 partes involucradas, el cliente, el
KDC ya mencionado y el servidor de ficheros.

El cliente puede ser una computadora cliente, pero comúnmente suele ser un cliente/usuario
sentado ante su PC queriendo acceder a los servicios de un servidor. En Kerberos no habrá
comunicación directa entre el KDC y la fuente de recursos, el servidor de ficheros.

Función del KDC

Las cosas empiezan a funcionar cuando el cliente quiere conectarse a la red, el cliente
creará un autentificador, un paquete que contiene información de quien eres, la hora, fecha
y otros datos. Estos autentificadores tienen un tiempo tras el cual expiran. Parte de los
autentificadores están sin encriptar, datos como el nombre del usuario y datos similares,
para que el KDC sepa quién quiere conectar y otra parte estará encriptada con la clave del
usuario. Esta clave conocida por el usuario la tiene guardada el KDC por lo que cuando el
cliente quiera conectar a la red, el KDC podrá ver quien quiere conectarse y después
desencriptar con la clave del usuario la información para verificar que realmente el cliente
es quien dice ser, por lo tanto, Kerberos no manda las contraseñas por la red, están
guardadas en el KDC y conocidas por los clientes. Si un cliente que no es quien dice ser
intenta conectar a la red, el KDC intentará utilizar la contraseña que en principio debería
coincidir con el supuesto usuario, pero al no poder desencriptarlo, el cliente no sería quien
dice ser.
Una vez que el KDC ha verificado la identidad del cliente, el autentificador no es necesario.
Ahora el KDC creará un TGT (Ticket granting Ticket), el KDC, tiene su propia clave de
encriptación, la cual utilizará para encriptar parte del TGT, que contendrá la información
del usuario que ha sido verificado anteriormente. El TGT será enviado al cliente y guardada
en el Kerberos Tray para futuras peticiones al KDC.

Ahora supongamos que el cliente una vez dentro de la red, quiere acceder a un fichero del
servidor de ficheros. Por lo que se mandara el TGT de vuelta al KDC junto con la petición
de los servicios requeridos. Cuando al KDC le llegue el TGT, utilizará su clave de
encriptación para verificar la validez del TGT.

Una vez que el cliente tiene en su poder el TGT es hora de crear el ticket para comunicarse
directamente con el servidor. El KDC generará un ticket encriptado con la clave del
servidor que conoce y se lo enviará al usuario. Este ticket de servidor será guardado
también junto al TGT en la Kerberos Tray. Cada vez que el cliente quiera conectarse al
servidor solo tendrá que enviar dicho ticket y el servidor al desencriptarlo correctamente,
dependiendo de los datos del cliente que se han incluido en el ticket por el KDC, ofrecerá
los servicios correspondientes al cliente según sus permisos.

6.4 Tokens de seguridad

Un token de seguridad es un dispositivo físico utilizado para acceder a un recurso

restringido electrónicamente. El token se utiliza como complemento o en lugar de una
contraseña. Actúa como una llave electrónica para acceder a algo.

Ejemplo:

una tarjeta de acceso inalámbrica que abre una puerta cerrada, o en el caso de un
cliente que intenta acceder a su cuenta bancaria en línea, el uso de un token
proporcionado por el banco puede probar que el cliente es quien dice ser.

Algunos tokens pueden almacenar claves criptográficas que pueden utilizarse para generar
una firma digital, o datos biométricos, como los detalles de las huellas dactilares, mientras
que otros pueden incluir pequeños teclados para permitir la introducción de un PIN o un
simple botón para iniciar una rutina de generación con cierta capacidad de visualización
para mostrar un número de clave generado. Los tokens conectados utilizan una variedad de
interfaces que incluyen USB, NFC, RFID o Bluetooth. Algunos tokens tienen audio,
diseñados para personas con problemas de visión. (Wikipedia, 2017)

Tipos de token de seguridad

- Dispositivos:

Existen tokens que se conectan directamente al ordenador o que lo hacen por

métodos como bluetooth, aunque aquí también podríamos incluir los mensajes al
móvil.

Otros no requieren conexión, sino que generan claves que luego se tendrán que
introducir en el ordenador o dispositivo móvil de manera manual. Este tipo de token
es el más común y se suele utilizar de manera adicional a las contraseñas.

- Contraseñas:

Los tokens de seguridad más populares son los que se conocen como OTP Tokens
(One-Time Password).

Los hay que generan claves que se van renovando cada cierto tiempo: disponemos,
por ejemplo, de un número que sólo podremos usar una vez porque a los 30
segundos cambia. El problema con estos tokens es que se queden sin batería o que
no estén bien sincronizados con el reloj del servidor

- TOKENS USB:

Los tokens USB son tokens electrónicos que tienen un tamaño pequeño que
permiten ser cómodamente llevados en el bolsillo o la cartera y son normalmente
diseñados para atarlos a un llavero. Los tokens electrónicos se usan para almacenar
claves criptográficas como firmas digitales o datos biométricos, como las huellas
digitales. Algunos diseños se hacen a prueba de alteraciones, otros pueden incluir
 teclados para la entrada de un PIN.

CAPÍTULO VII

Seguridad en redes

La seguridad de redes consiste en las políticas y prácticas adoptadas para prevenir y

supervisar el acceso no autorizado, el uso indebido, la modificación o la denegación de una
red informática y sus recursos accesibles. La seguridad de redes involucra la autorización
del acceso a datos en la red, que es controlada por el administrador de red. Los usuarios
eligen o se les asigna una identificación y contraseña u otra información de autenticación
que les permite acceder a información y programas dentro de sus autorizaciones. La
seguridad de red cubre una variedad de redes de computadoras, tanto públicas como
privadas, que se usan en trabajos cotidianos; realizar transacciones y comunicaciones entre
empresas, agencias gubernamentales e individuos. Las redes pueden ser privadas, como
dentro de una empresa, y otras que pueden estar abiertas al público. La seguridad de la
redes está presente en organizaciones, empresas y otros tipos de instituciones. Hace como
su nombre indica: protege la red, además de proteger y supervisar las operaciones que se
realizan. La forma más común y simple de proteger un recurso de red es asignándole un
nombre único y la contraseña correspondiente.

conceptos de seguridad de redes

La seguridad de redes empieza con la autenticación, usualmente con un nombre de usuario

y una contraseña. Ya que esto requiere solamente autenticar un nombre de usuario, por
ejemplo, con la contraseña, se utiliza el término autenticación de un factor. Con un doble
factor de autenticación se utiliza algo que el usuario "tiene", por ejemplo, un token de
seguridad, una tarjeta de crédito o un teléfono celular; y con un factor triple de
autenticación se usa algo que el usuario "es", por ejemplo huella dactilar o reconocimiento
de iris.

Una vez autenticado, un cortafuegos aplica políticas de acceso, por ejemplo, asignar los
servicios a los cuales pueden acceder los usuarios de la red.      Aunque esta medida es
efectiva para prevenir acceso no autorizado, este componente puede fallar al revisar
contenido que puede ser dañino, un ejemplo sería un gusano informático o un troyano que
esté siendo transmitido en la red. Un antivirus o un Sistema de prevención de intrusos
(SPI )    ayuda a detectar e inhibir la acción de un malware. Un sistema de prevención de
intrusos, basado en anomalías, también puede monitorear la red, por ejemplo usando
wireshark se puede analizar tráfico en la red con propósitos de auditoría o para un análisis
de alto nivel.

La comunicación entre dos hosts en una red puede ser encriptada para asegurar la
privacidad.

Los honeypots, esencialmente recursos accesibles en la red que actúan como señuelos,
pueden ser desplegados en una red para vigilar y como herramienta de vigilancia y alerta
temprana, ya que los honeypots normalmente no se utilizan para fines legítimos. Las
técnicas utilizadas por los atacantes que intentan comprometer estos recursos señuelo se
estudian durante y después de un ataque, para observar las nuevas técnicas de intrusión.
Dicho análisis puede ser usado para futuros reforzamientos en la seguridad de la red que
está siendo protegida por ese honeypot. Un honeypot también puede dirigir la atención de
un atacante lejos de servidores legítimos. Un honeypot alienta a los atacantes a gastar su
tiempo y energía en el servidor señuelo mientras distrae su atención de los datos del
servidor real. Similar a un honeypot, una honeynet es una red configurada con
vulnerabilidad intencional. Su propósito es, también, el de invitar a los atacantes para que
sus técnicas de ataque puedan ser analizadas y ese conocimiento pueda ser usado para
aumentar la seguridad de la red. Una honeynet normalmente contiene uno o más honeypots.

Tipos de ataques

Las redes están sujetas a ataques de fuentes maliciosas. Los ataques pueden ser de dos
categorías: "pasivos" cuando un intruso intercepta datos que viajan a través de la red, y
"activos" cuando un intruso inicia comandos para interrumpir el funcionamiento normal de
la red o para realizar reconocimiento y "espionaje" para encontrar y obtener acceso a
activos disponibles a través de la red. de tovar salas 11-09.

Tipos de ataque:

 Pasivos

 Red

 Escucha telefónica

 Escáner de puertos

 Escaneo libre

 Activos

 Ataque de denegación de servicio

 DNS spoofing

 Ataque Man-in-the-middle

 ARP Spoofing
  Ataque por salteo de VLAN

 Ataque smurf

 Desbordamiento de búfer

 Desbordamiento de montículo

 Ataque de formato String

 Inyección SQL

 Phishing

 Cross-site scripting

 CSRF

 Ataque informático

El sistema de autentificación Kerberos.

Los sistemas de verificación biométrica que se utilizan habitualmente son: biometría de

huella dactilar, biometría vascular, biometría facial, biometría de iris, de voz, de retina,
biometría de la palma de la mano y firma.

De todos los sistemas de verificación biométrica, la biometría de iris es la que da los

resultados más óptimos, pero requiere que los ojos del individuo se aproximen mucho al
dispositivo por lo que es un método un poco desagradable. Además, suelen ser caros y
aparatosos, por lo que resulta una aplicación poco práctica.

El sistema de reconocimiento biométrico voz es más práctico, pero no seguro ya que está
sujeta a los cambios de voz debidos a cualquier enfermedad, ronquera o ruidos externos que
puedan interferir en el reconocimiento de la voz.

El reconocimiento de la palma de la mano tiende a ocupar mucho espacio y tiene una tasa
de FAR (False Acceptance). Por tanto, este sistema raramente se utiliza en zonas de alta
seguridad.

El sistema de reconocimiento mediante la firma, de la misma manera que el sistema por

voz, está condicionado por diferentes factores, por lo que no resulta práctico.

Son entonces, la biometría de huella digital, la tecnología biométrica vascular y el

reconocimiento biométrico facial los sistemas más fiables para su uso en numerosas
aplicaciones.
  La tecnología biométrica de huella dactilar es la más extensa por su madureza,
coste, utilidad y rapidez de identificación, pero no es la única. De los sistemas
biométricos de huella dactilar los más resistentes, segures y fiables son los que están
basados en un escáner o sensor óptico.

La biometría de huella digital es utilizada en muchas aplicaciones, donde la

identificación de personas se quiere realizar de manera segura y cómoda para el
usuario, evitando los riesgos de suplantación de identidad derivada del robo, copia o
pérdida de tarjetas y códigos; de la manera más práctica para el usuario, que no debe
recordar códigos ni contraseñas.

 Los lectores biométricos vasculares de dedo dan un plus en seguridad, pues el

template biométrico es prácticamente imposible de falsificar y no deja rastro, por lo
que es ideal para aplicaciones de alta seguridad. Este lector biométrico utiliza el
esquema de venas del dedo como patrón biométrico para identificar a el usuario. El
patrón vascular es una característica interna por lo que no afecta que el dedo esté
dañado o erosionado. A diferencia de otros sistemas vasculares de la palma de la
mano, el terminal de biometría vascular Kimaldi FingerVein utiliza el patrón
vascular del dedo, por lo que su uso es más fácil y rápido.

 Alternativamente, la biometría facial que ofrece Kimaldi permite la identificación

sin contacto, muy rápida y segura debido a la doble cámara que captura la luz
visible e infrarroja para conseguir un patrón 3D. Gracias a esto el terminal de
control de Acceso y control de Presencia con reconocimiento biométrico facial 3D
integrado obtiene la fisionomía craneal de la persona como patrón biométrico único.
El equipo diferencia entre gemelos con rostro aparentemente idéntico. Debido a que
se utiliza tecnología infrarroja y 3D inhabilita el uso de caretas, fotografías, etc. para
falsificar el rostro, diferenciándose claramente de la tecnología biométrica facial
2D.

Aplicaciones más habituales que utilizan la biometría

Aplicaciones realizadas con Biometría de Huella Digital:

• Control de presencia biométrico en PC

• Instalación domótica de control de acceso mediante dispositivos biométricos

• Pago por huella digital para restaurantes

• Control de Acceso biométrico a la habitación de un hotel

Aplicaciones realizadas con Biometría Vascular:

• Biometría vascular para entornos sanitarios

 • Control de acceso y control de presencia con tecnología biométrica vascular en
sedes corporativas de alta seguridad

• Control de presencia y acceso mediante biometría vascular a entornos ofimáticos y

de PC de alta seguridad

Aplicaciones realizadas con Biometría Facial:

• Control de presencia biométrico en talleres mecánicos

• Reconocimiento facial 3D para control de acceso y presencia en hospitales y

farmacéuticas

• Reconocimiento biométrico facial 3D para restauración

• Reconocimiento biométrico facial 3D para la construcción

CAPITULO VIII

Seguridad en bases de datos

Necesidad de seguridad

La seguridad de las bases de datos es un área amplia que abarca varios temas, entre ellos se
encuentran los siguientes:

Cuestiones éticas y legales relativas al derecho de tener acceso a cierta información

Cuestiones de política a nivel gubernamental, institucional o corporativo,

relacionadas con el tipo de información que no debe estar disponible para el publico

Cuestiones relacionadas con el sistema, como los niveles del sistema en que deben
manejarse diversas funciones de seguridad

Las necesidades en las organizaciones de identificar múltiples niveles de seguridad

y clasificar los datos y los usuarios según estos niveles

Modelo de seguridad en SQL Server

Tipos de seguridad

En la actualidad se acostumbra hablar de dos tipos de mecanismos de seguridad en las

bases de datos:

• Los mecanismos de seguridad discrecionales se usan para otorgar privilegios a los

usuarios, incluida la capacidad de tener acceso a archivos, registros o campos de datos
específicos en un determinado modo.

• Los mecanismos de seguridad obligatorios sirven para imponer igualdad de múltiples

niveles clasificando los datos y los usuarios en varias clases (o niveles) de seguridad e
implementando después la política de seguridad apropiada de la organización.

Control de acceso

 Un problema de seguridad común a todos los sistemas de cómputo es el de evitar

que personas no autorizadas tengan acceso al sistema, ya sea para obtener
información o para efectuar cambios mal intencionados en una porción de la base de
datos.
• El mecanismo de seguridad de un SGBD debe incluir formas de restringir el acceso al
sistema como un todo. Esta función se denomina control de acceso y se pone en práctica
creando cuentas de usuarios y contraseñas para que el SGBD controle el proceso de entrada
al sistema.

Cifrado de datos

• Otra técnica de seguridad es el cifrado de datos, que sirven para proteger datos
confidenciales que se transmiten por satélite o por algún otro tipo de red de
comunicaciones. El cifrado puede proveer protección adicional a secciones confidenciales
de una base de datos.

• Los datos se codifican mediante algún algoritmo de codificación. Un usuario no

autorizado que tenga acceso a los datos codificados tendrá problemas para descifrarlos,
pero un usuario autorizado contara con algoritmos (o claves) de codificación o descifrado
para descifrarlos.

Violaciones de la seguridad

• Entre las formas de acceso malintencionado se encuentran:

o La lectura no autorizada de los datos (robo de información)

o La modificación no autorizada de los datos

o La destrucción no autorizada de los datos

• La seguridad de las bases de datos se refiere a la protección frente a accesos

malintencionados. Para proteger la base de datos hay que adoptar medidas de seguridad en
varios niveles:

o Sistema de bases de datos

o Sistema operativo

o Red

o Físico

o Humano

Autorizaciones

• Los usuarios pueden tener varios tipos de autorización para diferentes partes de la
base de datos.
• Entre ellas están las siguientes:

o La autorización de lectura permite la lectura de los datos, pero no su modificación.

o La autorización de inserción permite la inserción de datos nuevos, pero no la

modificación de los existentes.

o La autorización de actualización permite la modificación de los datos, pero no su

borrado.

o La autorización de borrado permite el borrado de los datos.

Estrategias de seguridad

• Uso de vistas y funciones

– Dar permisos a vistas y funciones en lugar de a las propias tablas

– Ocultan la complejidad de la BD

– Permiten gestionar el acceso a nivel de columna

• Uso de procedimientos almacenados

– Impiden operaciones incorrectas asegurando las reglas de negocio

– Los usuarios no necesitan tener permiso para acceder a las tablas, solo permiso de
ejecución de los procedimientos

– Permiten establecer el nivel de seguridad más fino (contexto)

Encriptación y autenticación

• Una técnica de seguridad es el cifrado de datos que sirve para proteger datos
confidenciales que se transmiten por satélite o algún tipo de red de comunicaciones.
Asimismo, el cifrado puede proveer protección adicional a secciones confidenciales de una
base de datos.

• Los datos se codifican mediante algún algoritmo de codificación. Un usuario no

autorizado tendrá problemas para descifrar los datos codificados, pero un usuario
autorizado contará con algoritmos para descifrarlos.
Hardware de seguridad: Smartcard

Desde hace algunos años, las SmartCards cumplen un rol importantísimo en la vida
cotidiana de las personas y las empresas. Como portadoras de información personal son un
mecanismo muy seguro y portátil, cada vez son más las transacciones que pueden llevarse a
cabo utilizándolas.    El rango va desde la tarjeta SIM a una tarjeta de crédito.

Las smartcards (tarjetas inteligentes) se aplican hoy en día en la mayoría de las industrias,
como las finanzas, comunicaciones, transporte, seguridad social, impuestos, etc. A su vez
mejoran enormemente la eficiencia del trabajo y la vida cotidiana.

Como proveedores de smartcards, Macroseguridad.org presenta diferentes productos para

la autenticación, finanzas, seguridad social, comunicaciones móviles y otros campos.

Smartcards de Macroseguridad FIPS

JAVA CARD: La smartcard JavaCard que MacroSeguridad.org ofrece, es conocida como

una plataforma, que soporta un grupo de especificaciones incluidas en la tecnología Java,
como por ejemplo la Especificación Java Card Virtual Machine, Java Card Runtime
Environment, y la especificación API, además de permitir que coexistan múltiples
aplicaciones del mismo o de diferentes vendors.

ID SMARTCARD: Las IDCard de Macroseguridad.org son las smartcards utilizadas para

reemplazar el documento de identidad, y se utilizan para verificar algunos aspectos de la
identidad de una persona. Hay diferentes tipos de smartcards que se utilizan para
reemplazar:

 documentos de identidad como el documento nacional,

 la tarjeta de ciudadanía,

 la licencia de conducir,

 pasaporte (documento internacional más reconocido), etc.

NET SMARTCARD: La .NET SmartCard de Macroseguridad.org brinda toda la

funcionalidad de la plataforma .NET en el formato de una tarjeta inteligente.    Soporta
Windows Vista de manera nativa y trabaja sin complicaciones dentro del entorno .NET de
Microsoft, con arquitecturas orientadas a servicios.

PKICARD: La Infraestructura PKI, o infraestructura de Clave Pública y Privada, ha sido

ampliamente adoptada en muchísimas aplicaciones para brindar una mayor seguridad.
Debido a que la Infraestructura PKI trabaja con datos sensibles, como claves privadas y
certificados digitales
Técnicas biométricas de identificación

¿Qué es la biometría?

La biometría es la ciencia del análisis de las características físicas o del comportamiento,

propias de cada individuo, con el fin de autenticar su identidad. En el sentido literal y el
más simple, la biometría significa la "medición del cuerpo humano".

Hay dos categorías de tecnologías biométricas:

Mediciones fisiológicas

Pueden ser morfológicas o biológicas. Los análisis morfológicos, consisten, principalmente,

en las huellas dactilares, la forma de la mano, del dedo, el patrón de las venas, el ojo (iris y
retina) y la forma de la cara.

Los análisis biológicos, el ADN, la sangre, la saliva o la orina pueden usarse por parte de
los equipos médicos y la policía forense.

Mediciones del comportamiento

Las formas más comunes son el reconocimiento de voz, la dinámica de la firma (velocidad
de movimiento del bolígrafo, aceleraciones, presión ejercida, inclinación), la dinámica de la
pulsación de las teclas, la manera en que se utilizan los objetos, la marcha, el sonido de los
pasos, los gestos, etc.

La biometría permite que una persona se identifique y autentique con base en un conjunto
de datos reconocibles y verificables, que son únicos y específicos para él/ella.

La identificación biométrica consiste en determinar la identidad de una persona. El

objetivo es capturar un elemento biométrico, por ejemplo, tomando una foto del rostro,
grabando la voz, o capturando una imagen de la huella dactilar.

La autenticación biométrica, también conocida como verificación, es el proceso por el

que se comparan los datos de las características de una persona con la "plantilla" biométrica
de esa persona, con el fin de determinar su semejanza.

Usos de la biometría

 Las autoridades nacionales son quienes, principalmente, introducen estas

aplicaciones, debido a que el registro y la gestión biométrica de las huellas
dactilares de una población necesitan un marco legal y técnico estrictamente
regulado.

 La aplicación más ampliamente implementada hasta la fecha es el pasaporte

electrónico (ePassport), en particular con la segunda generación de esos
documentos, también conocidos como pasaportes biométricos, en los que se
almacenan dos huellas dactilares, además de una foto.

 Además, muchos países han establecido infraestructuras biométricas para el control

de los flujos migratorios desde y hacia sus territorios. Las cámaras y los escáneres
de huellas dactilares instalados en los puestos fronterizos capturan cierto tipo de
información que ayuda a identificar, de una manera más precisa y confiable, a los
viajeros que entran en el país.

CAPITULO IX

Seguridad en computadores personales: Acceso al PC, Virus

Los dispositivos que te permiten conectarte a distancia, como los celulares inteligentes, las
tabletas o las laptops, se enfrentan cada día a mayores riesgos de infección por los diversos
códigos maliciosos que se crean, además de que a través de malware los delincuentes
puedan interceptar datos o robar información comercial que es muy valiosa para tu futuro.

Sin importar el tipo de equipo electrónico que se use en la actualidad para laborar, todos
son susceptibles y vulnerables a los delincuentes cibernéticos y los riesgos aumentan si no
hay un buen manejo de los mismos.

Protección contra virus

Los virus son uno de los medios más tradicionales de ataque a los sistemas y a la
información que sostienen. Para poder evitar su contagio se deben vigilar los equipos y los
medios de acceso a ellos, principalmente la red.

Control del software instalado

Tener instalado en la máquina únicamente el software necesario reduce riesgos. Así

mismo tener controlado el software asegura la calidad de la procedencia del mismo
(el software obtenido de forma ilegal o sin garantías aumenta los riesgos). En todo
caso un inventario de software proporciona un método correcto de asegurar la
reinstalación en caso de desastre. El software con métodos de instalación rápidos
facilita también la reinstalación en caso de contingencia.

Control de la red

Los puntos de entrada en la red son generalmente el correo, las páginas web y la
entrada de ficheros desde discos, o de ordenadores ajenos como portátiles.

Mantener al máximo el número de recursos de red solo en modo lectura, impide que
ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los
permisos de los usuarios al mínimo. Se pueden centralizar los datos de forma que
detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las
máquinas.

Controlar el acceso a Internet puede detectar, en fases de recuperación, cómo se ha

introducido el virus.

Medidas de Seguridad en su Computadora

Use Antispyware en su equipo

Use un firewall personal.

Actualiza tu sistema operativo

Utilize un antivirus
Contraseñas seguras

Sistemas Confiables

Se dice que un sistema es confiable si no produce fallas costosas o peligrosas al usarse de

manera razonable, es decir, de tal forma que un usuario típico espera que sea normal. Esta
definición reconoce que los sistemas no siempre se utilizan en la manera en que los
diseñadores lo esperan.

Existen dos niveles de confiabilidad.

 El primero es en el que el sistema cumpla con los requerimientos correctos. Por

ejemplo, se espera que un sistema tenga características o controles específicos de
seguridad, construidos dentro de él a petición de los usuarios.

Pero si el diseño no los específica y permite la pérdida de información durante

mucho tiempo antes de que el problema sea detectado, el sistema no es confiable.
La confiabilidad a nivel diseño es posible sólo si el analista lleva a cabo una
determinación cabal y efectiva de los requerimientos del sistema.

 El segundo nivel de la confiabilidad del sistema tiene que ver con los resultados
reales que el sistema entrega al usuario. En este nivel, la confiabilidad del sistema se
entrelaza con la ingeniería del software y su desarrollo.

Un error aparece cuando el sistema no produce los resultados esperados. Una falla
es la aparición de un error del software, con un cierto peso dado por su seriedad. Por
ejemplo, si se desarrolla un sistema para el control de inventarios, que trunca en vez
de redondear los precios al calcular el valor de las mercancías hay un error si las
especificaciones señalan redondeo. Pero esto no puede ser de consecuencia para
algunos usuarios. Sin embargo, si el programase brinca cierto artículo con
regularidad o indica que no hay en existencia cuando en realidad sí lo están, hay una
falla seria.

Elementos de un sistema confiable

Control

Solo los usuarios autorizados deciden cuando y como permitir el acceso a la información.

Integridad

Los componentes del sistema permanecen inalterados a menos que sean modificados por
los usuarios autorizados.

Auditoria

Determinar qué, cuándo, cómo y quién realiza acciones sobre el sistema.

Autenticidad

Definir que la información requerida es válida y utilizable en tiempo, forma y distribución.

No repudio

Evitar que cualquier entidad que o recibió información alegue, que no lo hizo.

Privacidad

Los componentes del sistema son accesibles solo por los usuarios autorizados.

Disponibilidad

Los usuarios deben tener disponibles todos los componentes del sistema cuando así lo
deseen.

Análisis de Riesgos

El propósito de un análisis es el de identificar los riesgos de una red, los recursos de red y
los datos. Esto no significa que se debe de identificar cada posible punto de entrada a la red,
o cada uno de los posibles medios de ataque.

Es la finalidad del análisis de riesgos el identificar porciones de red, asignar una

calificación de riesgo a cada porción y aplicar los niveles de seguridad apropiados. Es decir,

 ¿Qué se necesita proteger?

 ¿De quién debe de protegerlo?

 ¿Cómo debe de protegerlo?

Del análisis de estos puntos, es posible realizar estimaciones del riesgo de la pérdida de un
determinado recurso (R) (a todo nivel) versus su importancia (I). Si les asignamos un valor
numérico, digamos de cero a diez, tendremos entonces que para “R”, cero indica que no
existe riesgo y diez como el nivel de riesgo más alto, y para “I”, cero indicaría un recurso
sin importancia, mientras que un valor de diez indicaría al recurso más importante de la red.
Estos valores tienden a ser subjetivos a nivel global, pero si se consideran dentro del marco
de funcionalidad de una red, podemos ver, por ejemplo, que será muy difícil encontrar un
recurso sin importancia, o que simplemente no exista riesgo de pérdida. Así también
probablemente tan sólo uno o dos recursos alcanzarán los valores máximos en ambas
escalas, o quizás la funcionalidad de la red dependa de la funcionalidad total de todos los
recursos (véase, por ejemplo, el caso de una red privada que requiera que todos sus
elementos funcionen en sincronía). Como sea, la evaluación total del riesgo (W) estará
determinada por el producto de ambos factores, dando así:

Wi=Ri * Ei

Siendo “W” la importancia del riesgo de pérdida de un determinado recurso, “R” el riesgo
de pérdida del recurso, “E” la importancia del recurso, y el subíndice “i” el número del
recurso evaluado.

Ejemplificando, supongamos una red simple con un servidor, un MODEM y un router.

Los valores fueron entregados luego un análisis previo que entregaba estas cifras como las
mejores para estimar esta red (en este caso, por ejemplo, puede ser el laboratorio de una
escuela).

A cada componente se le ha asignado un cierto riesgo y una cierta importancia, de acuerdo

a la funcionalidad que cumpla esta red. Tenemos entonces:

Servidor:              R1=10    E1=10

MODEM:          R3=3        E3= 3

Router:                    R2=6        E2=7

El cálculo del riesgo evaluado será, por lo tanto:

Servidor: 10 x 10 = 100 (máximo valor de riesgo!!)

MODEM: 3 x 3 = 9 (nivel de seguridad bajo)

Router: 6 x 7 =42 (nivel de seguridad medio)

Mediante este método, podemos evaluar cuáles son los principales puntos de riesgo en una
red. En este caso, vemos que el servidor muestra un valor máximo ponderado de riesgo; la
seguridad de este recurso debe ser, por tanto, prioridad por sobre la de los demás. Al
realizar cualquier análisis de riesgo, deben ser considerados todos los recursos (aún por
triviales que parezcan) cuya seguridad esté en riesgo de ser quebrantada.

Los recursos que deben ser considerados en cualquier análisis son:

• Hardware: procesadores, tarjetas, teclados, terminales, estaciones de trabajo,

 computadoras personales, impresoras, unidades de disco, líneas de comunicación,
cableado de la red, servidores de terminal, routers, Bridges, etc.

• Software: programas fuente, programas objeto, utilerías, programas de

diagnóstico, sistemas operativos, programas de comunicaciones.

• Datos: durante la ejecución, almacenados en línea, archivados fuera de línea, back-

up, bases de datos, en tránsito sobre medios de comunicación.

• Gente: usuarios, operadores, técnicos.

• Documentación: sobre programas, hardware, sistemas, procedimientos

administrativos locales.

• Accesorios: papel, formularios, cintas, información grabada

Es importante considerar la asignación de un nivel de riesgo a cada una de los siguientes:

o Dispositivos centrales de la red

o Dispositivos de distribución de red

o Dispositivos de acceso a la red

o Dispositivos de monitoreo de la red (Monitores SNMP y RMON)

o Dispositivos de seguridad de la red (RADIUS y TACACS)

o Sistema de correo electrónico

o Servidores de archivos

o Servidores de impresión

o Servidores de aplicaciones de la red (DNS y DHCP)

o Servidores de información (Oracle o alguna otra aplicación)

PC de escritorio y otros dispositivos (servidores de impresión separados de la red y

máquinas de fax en red).

Equipos de red tales como los switches, ruteadores, servidores DNS y servidores DHCP
pueden permitir acceso a la red y por lo tanto son dispositivos de mediano o alto riesgo.
Una vez que los niveles de seguridad han sido asignados, es necesario identificar los tipos
de usuarios del sistema.
LINKS

http://www.juntadeandalucia.es/servicios/madeja/contenido/recurso/554

https://es.wikipedia.org/wiki/Cifrado_(criptograf%C3%ADa)

https://reportedigital.com/negocios/tecnologia/que-es-encriptar/

https://infosegur.wordpress.com/tag/no-repudio/

https://rua.ua.es/dspace/bitstream/10045/93270/1/
Sistema_de_Autentificacion_Robusto_Alfonso_Pagan_Iris_Maria.pdf

https://www.definicionabc.com/general/certificacion.php

http://tesis.pucp.edu.pe/repositorio/bitstream/handle/20.500.12404/131/
LEON_KATIA_ENCRIPTACION_RSA_TEXTO.pdf?sequence=1&isAllowed=y

http://mat.izt.uam.mx/mcmai/documentos/tesis/Gen.05-O/Garcia-MPS-Tesis.pdf

https://justyusblog.wordpress.com/2016/05/16/kerberos-y-la-criptografia/

http://virtual.usalesiana.edu.bo/web/conte/archivos/2397.pdf