SEGURIDAD

INFORMTICA

Introduccin
La seguridad, proteccin de los equipos conectados en red
y de los datos que almacenan y comparten, es un hecho
muy importante en la interconexin de equipos.
Cuanto ms grande sea una empresa, ms importante
ser la necesidad de seguridad en la red.
Nuestro inters va ms all del hecho de los
procedimientos para compartir. En realidad se ve
compartir recursos desde la perspectiva de establecer y
mantener la seguridad en la red y en los datos.
La seguridad es bastante ms que evitar accesos no
autorizados a los equipos y a sus datos. Incluye el
mantenimiento del entorno fsico apropiado que permita
un funcionamiento correcto de la red.

Seguridad Informtica
La necesidad de la seguridad informtica
En la actualidad la informacin es el objeto de mayor
valor para las empresas.
El progreso de la informtica y de las redes de
comunicacin nos presenta un nuevo escenario, donde
los objetos del mundo real estn representados por bits
y bytes, que ocupan lugar en otra dimensin y poseen
formas diferentes de las originales, no dejando de tener
el mismo valor que sus objetos reales, y, en muchos
casos, llegando a tener un valor superior.

Seguridad Informtica
Por esto y otros motivos, la seguridad de la
informacin es un asunto tan importante para todos,
pues afecta directamente a los negocios de una
empresa o de un individuo.
La seguridad de la informacin tiene como propsito
proteger la informacin registrada, independientemente
del lugar en que se localice: Impresos en papel, Discos
duros de las computadoras o incluso en la memoria de
las personas que la conocen.

Seguridad Informtica

Funciones y Responsabilidades de la Seguridad

Informtica
una de las preocupaciones de la seguridad de la
informacin es proteger los elementos que forman parte
de la comunicacin.
As, para empezar, es necesario identificar los
elementos que la seguridad de la informacin busca
proteger:

La informacin
Los equipos que la soportan
Las personas que la utilizan

Seguridad Informtica

Responsabilidades en el manejo de la
informacin

En la actualidad, la seguridad informtica ha

adquirido gran auge, dadas las cambiantes
condiciones y las nuevas plataformas de
computacin disponibles. La posibilidad de
interconectarse a travs de redes, ha abierto
nuevos horizontes que permiten explorar ms
all de las fronteras de la organizacin. Esta
situacin ha llevado a la aparicin de nuevas
amenazas en los sistemas computarizados.

Seguridad Informtica
Consecuentemente, muchas organizaciones
gubernamentales
y
no
gubernamentales
internacionales han desarrollado documentos y
directrices que orientan en el uso adecuado de
estas destrezas tecnolgicas y recomendaciones
con el objeto de obtener el mayor provecho de
estas ventajas, y evitar el uso indebido de la
mismas.
Esto puede ocasionar serios problemas en los
bienes y servicios de las empresas en el mundo.

Seguridad Informtica

Atributos y clasificacin de la informacin

Proteger la informacin significa mantenerla
segura contra amenazas que puedan afectar su
funcionalidad:

Corrompindola,
Accedindola indebidamente, o incluso
Eliminndola o hurtndola.

Seguridad Informtica
En un reciente estudio de Datapro
Research Corp. se resuma que los
problemas de seguridad en sistemas
basados en redes responde a la siguiente
distribucin:

Errores de los empleados 50%

Empleados deshonestos 15%
Empleados descuidados 15%
Otros 20% (Intrusos ajenos a la Empresa 10%;
Integridad fsica de instalaciones 10% )

Seguridad Informtica
Se puede notar que el 80% de los problemas, son
generados por los empleados de la organizacin,
y, stos se podran tipificar en tres grandes
grupos:

Problemas por ignorancia

Problemas por haraganera
Problemas por malicia
Entre estas razones, la ignorancia es la ms fcil
de corregir.
Desarrollando tcticas de entrenamiento y
procedimientos formales e informales son fcilmente
neutralizadas. Los usuarios, adems, necesitan de

Seguridad Informtica
La forma de instrumentar la confidencialidad de
la informacin es a travs del establecimiento del
grado de sigilo:
Grado de sigilo:
La informacin generada por las personas tiene
un fin especfico y se destina a un individuo o
grupo. Por lo tanto, la informacin necesita una
clasificacin en lo que se refiere a su
confidencialidad. Es lo que denominamos grado
de sigilo, que es una graduacin atribuida a cada
tipo de informacin, con base en el grupo de
usuarios que poseen permisos de acceso.

Seguridad Informtica
Dependiendo del tipo de informacin y del
pblico para el cual se desea colocar a
disposicin los grados de sigilo podrn ser:

Confidencial
Secreto
Restrictivo
Sigiloso
Pblico

Seguridad Informtica

Conceptos bsicos de la seguridad informtica

Confidencialidad
Integridad
Autenticidad
No Repudio
Disponibilidad de los recursos y de la
informacin
Consistencia
Control de Acceso
Auditoria

Seguridad Informtica

Confidencialidad
Consiste en proteger la informacin contra
la lectura no autorizada explcitamente.
Incluye no slo la proteccin de la
informacin en su totalidad, sino tambin
las piezas individuales que pueden ser
utilizadas para inferir otros elementos de
informacin confidencial.

Seguridad Informtica

Que
la
informacin
sea
accesible
solamente a las entidades que tienen
derecho a ella, tanto para leerla,
imprimirla, desplegarla o para cualquier
otra forma de divulgacin de la misma.

Transformar la informacin de tal forma

que solo sea entendible o utilizable por
aquellas entidades para las que fue
creada.

Seguridad Informtica

Integridad
Es necesario proteger la informacin contra la
modificacin sin el permiso del dueo.
La informacin a ser protegida incluye no slo
la que est almacenada directamente en los
sistemas de cmputo sino que tambin se
deben considerar elementos menos obvios
como respaldos, documentacin, registros de
contabilidad del sistema, trnsito en una red,
etc. Esto comprende cualquier tipo de
modificaciones:

Seguridad Informtica

Que la informacin no sea destruida y/o

modificada, mas que por los usuarios y
mecanismos autorizados para ello.

La informacin no debe modificarse o

destruirse ni en los sistemas de
procesamiento ni al ser transmitida por
algn medio de comunicacin.

Seguridad Informtica
Esto comprende cualquier tipo de
modificaciones:

Causadas por errores de hardware y/o

software.
Causadas de forma intencional.
Causadas de forma accidental

Cuando se trabaja con una red, se debe

comprobar que los datos no fueron
modificados durante su transferencia.

Seguridad Informtica

Autenticidad
La autenticidad garantiza que quien dice ser "X" es
realmente "X".
Es decir, se deben implementar mecanismos para
verificar quin est enviando la informacin.
Que el origen de la informacin sea correctamente
identificado, asegurando que la identidad no es
falsa.

Seguridad Informtica

Los usuarios deben de poder

realmente son quien dicen ser.

Tipos de autenticacin:

probar

que

Por factores:

De un factor: Algo que yo se.

De dos factores: Algo que yo se y algo que yo tengo.

De tres factores: Algo que yo se, algo que yo tengo y algo

que yo soy *.

*Algo que yo hago

Seguridad Informtica

No repudio
Ni el origen ni el destino en un mensaje
deben poder negar la transmisin. Quien
enva el mensaje puede probar que, en
efecto, el mensaje fue enviado y
viceversa.

Seguridad Informtica
Que las parte involucradas en un proceso
de intercambio de informacin puedan
probar la participacin de su contraparte
de forma inequvoca, as como puedan
probar su propia participacin en dicho
intercambio.
Tener los medios para probarle a alguien
que hizo algo dentro de un sistema o con
cierta informacin.

Seguridad Informtica

Disponibilidad
informacin

de

los

recursos

de

la

De nada sirve la informacin si se encuentra intacta en

el sistema pero los usuarios no pueden acceder a ella.
Por tanto, se deben proteger los servicios de cmputo
de manera que no se degraden o dejen de estar
disponibles a los usuarios de forma no autorizada.
La disponibilidad tambin se entiende como la
capacidad
de
un
sistema
para
recuperarse
rpidamente en caso de algn problema.

Seguridad Informtica
Que se garantice la disponibilidad de
los recursos informticos cuando se
requieran y por consecuencia de la
informacin contenida en estos recursos.
La informacin debe estar disponible
siempre, de acuerdo a las reglas
establecidas de antemano para su uso.

Seguridad Informtica

Consistencia
Se trata de asegurar que el sistema
siempre se comporte de la forma
esperada, de tal manera que los usuarios
no encuentren variantes inesperadas.

Seguridad Informtica

Control de acceso a los recursos

Consiste en controlar quin utiliza el sistema o
cualquiera de los recursos que ofrece y cmo lo
hace.
Tipos de control de acceso:

Discrecional (DAC): la validez del mtodo de

autenticacin esta a discrecin del usuario.

Mandatorio (MAC): se validan aspectos sobre los

cuales el usuario no tiene control.

Seguridad Informtica

Autorizacin
Que un usuario tenga acceso solamente
a la informacin que le corresponde una
vez que tiene acceso aun sistema o a una
red de sistemas de acuerdo a sus
privilegios y restricciones.

Seguridad Informtica

Auditoria
Consiste en contar con los mecanismos para poder
determinar qu es lo que sucede en el sistema,
qu es lo que hace cada uno de los usuarios y los
tiempos y fechas de dichas acciones.
En cuanto a los dos ltimos puntos resulta de
extrema importancia, cuando se trata de los
derechos de los usuarios, diferenciar entre
espiar y monitorear a los mismos.
La tica es algo que todo buen administrador debe
conocer y poseer.

Seguridad Informtica

Finalmente, todos estos servicios de seguridad

deben ser tomados en cuenta en el momento de
elaborar las polticas y procedimientos de una
organizacin para evitar pasar por alto cuestiones
importantes como las que sealan dichos servicios.

De esta manera, es posible sentar de forma

concreta y clara los derechos y lmites de usuarios y
administradores.

Sin embargo antes de realizar cualquier accin para

lograr garantizar estos servicios, es necesario
asegurarnos de que los usuarios conozcan sus
derechos y obligaciones.

Seguridad en redes

Implantacin de la seguridad en
redes

La planificacin de la seguridad es un
elemento importante en el diseo de
una red.

Es mucho ms sencillo implementar una

red segura a partir de un plan, que
recuperar los datos perdidos.

Introduccin a la
criptografa

Criptografa: Ciencia que se dedica a mantener

las comunicaciones seguras.

Criptoanlisis: ciencia y arte que analiza la forma

de romper los algoritmos criptogrficos.

Introduccin a la
criptografa

Cifrado: transformacin de datos en alguna forma

que los hace ilegibles si no se cuenta con la
llave.
Criptologa: Rama de las matemticas que incluye
a la criptografa y al criptoanlisis.

Terminologa

Texto claro: Datos, informacin legible.

Texto cifrado (Ciphertext): Datos que

han sido cifrados.

Terminologa

Decripcin: Proceso que convierte el texto cifrado en

texto claro.

Algoritmo criptogrfico (Cipher): funcin matemtica

utilizada para cifrar y descifrar informacin.

Cifrado Simtrico

La llave de cifrado y la de descifrado son

iguales o la llave de descifrado se puede
derivar de la de cifrado.

Conocidos como algoritmos de llave secreta o

privada.

El emisor y el receptor comparten la misma

llave.

Ejemplos:
Skipjack.

DES,

3DES,

RC2,

RC5,

IDEA,

El problema de la distribucin de llaves

Como asegurar que la llave es

distribuida de forma segura a todos los
participantes en una comunicacin?.

Para n usuarios se requieren n(n-1)/2

llaves diferentes.

Si se compromete la llave, toda la

comunicacin est en peligro.

Cifrado asimtrico

La llave utilizada para cifrar el mensaje es diferente a la

utilizada para descifrarlo.

Conocidos como de llave pblica.

Ambas llaves estn matemticamente relacionadas.

Su seguridad radica en la dificultad para obtener una

llave a partir de la otra.

Estn basados en problemas matemticos complejos:

Factorizacin de nmeros grandes primos, Logaritmos
discretos, Curvas elpticas.

Algoritmos asimtricos y la
distribucin de las llaves

Se genera un par de llaves.

Una se mantiene de forma privada.

La otra se hace del conocimiento de todos.

Alguien que quiera mandar un mensaje al

dueo de las llaves la cifra con la llave
pblica, y el dueo de las llaves la descifra
con la llave privada.

Autenticacin con cifrado

asimtrico

Si cifro con mi llave privada, cualquiera puede descifrar el

mensaje con mi llave pblica y as pueden estar seguros
de
que
fui
yo
quien
mand
el
mensaje.

Este es el principio de las firmas digitales.

Tipos de Algoritmos de
cifrado

40

Por el tipo de llave:

Simtricos. Se utiliza la misma llave para

cifrar y descifrar (llave privada)

Asimtricos. Se utilizan llaves diferentes

para cifrar y descifrar (llave pblica)

41

Tipos de Algoritmos de
cifrado

Encripcin Privada
42

Bases:

Ventajas

Sencillo y Rpido

Desventajas

Utiliza la misma llave para cifrado y descifrado

Se basa en una llave secreta

Se basa en un secreto

Ejemplos

DES, Lucifer, RC4

El nacimiento de DES
43

En 1972, el gobierno de EUA empez un esfuerzo para

el desarrollo de un estndar de cifrado que tuviera las
siguientes caractersticas:

Alto nivel de seguridad

Completamente especificado y fcil de entender

La seguridad del algoritmo no debe de basarse en la
confidencialidad del algoritmo.
Debe estar disponible para cualquier usuario
Debe de poderse usar en diversas aplicaciones
Debe de ser barato
Debe de ser validable
Debe de ser exportable

DES
44

Digital Encryption Standard

Esfuerzo coordinado por NBS y NSA en EUA

National Bureau of Standards

National Security Agency

Basado en Lucifer desarrollado por IBM

Lucifer usaba llaves de 128 bits

Se creo DES con llaves de 56 bits

Se aprob por el departamento de comercio de EUA en 1976 y se

pblico

Basado en operaciones manipulacin de bits

DES y su evolucin
45

Ha estado en uso por ms de 20 aos

Se puede romper pero toma tiempo

EUA solo permite la exportacin de DES con llaves

de 40 bits, las cuales se pueden romper facilmente

Ahora est en proceso

exportacin de DES 56.

Tripple DES

Nace RC4, que es ms eficiente

la

aprobacin

para

DES y su evolucin
46

Conventional Encryption

DES y su evolucin
47

Tripple DES

Cifrado Pblica
48

Bases:

Utiliza distintas llaves para cifrar y descifrar

Se basa en factorizacin de nmeros primos muy grandes

Ventajas

Altamente seguro

Desventajas

Es ms lento, la distribucin de llaves no es trivial

Ejemplos

RSA, Diffie-Hellman

RSA
49

Rivest, Shamir, and Adleman

RSA

Inventado por Ron Rivest, Adi Shamir y Leonard

Adleman en 1977.

Basado en la factorizacin de nmeros primos

muy grandes.

En Hardware RSA es 1000 veces ms lento que

DES y en software 100 veces ms lento.

Estndar de-facto para cifrado de llave pblica.

La patente (E. U.) expira el 20 de Septiembre de

2000.

Algoritmo de RSA
51

Se escogen 2 nmeros primos (p y q)

muy grandes
n=pq

Se escoge una llave de cifrado de forma

tal que e y (p-1) (q-1) son relativamente
primos
ed = 1 mod (p-1)(q-1)
d=e^-1 mod ((p-1)(q-1))

De esta forma e y n son la llave pblica, d es la

llave privada, p y q solo se necesitan para la
generacin de llaves

Llaves pblicas
52

El problema: Creacin y distribucin de

llave

Quin las crea?

Cmo sabes si la persona correcta las

creo?

Si yo te envo mi llave pblica a travs

de correo electrnico, estas seguro de
que fui yo?

Creacin y Distribucin de llaves

53

Autoridad certificadora

Puntos de confianza

Verisign en EUA

y en Mxico?

Banco de Mxico
Bancos
Notarias
Quin?

Intercambio de llaves
privadas

54

Llaves de sesin

Utilizamos Diffie-Hellman

Algoritmo de criptografa

Criptografa pblica

Creado por Diffie y Hellman

1976

Sencillo

Diffie - Hellman
55

Ambos A y B, acuerdan en dos nmeros primos

grandes n y g.
Usuario
Estos
nmeros
A son secretos.
Selecciona un entero
grande x, y le manda a
B esto:

X = g^x mod n

Usuario B

Selecciona un entero
grande y y lo manda a
A esto:
Y = g^y mod n

B calcula:
A calcula:
k = X^y mod n
k = Y^x mod n
Ambas k y k son igual a g^(xy) mod n. Nadie en medio
de la comunicacin puede calcular ese valor.

k es la llave secreta o de sesin que ambas partes usan

Herramientas de Seguridad.

Firewalls.
Single Sign On.
Deteccin de Intrusin.

PKI.

SSL.
SET.

Criptosistemas
Hbridos

Los algoritmos asimtricos son lentos en

comparacin con los simtricos.

Los algoritmos simtricos son vulnerables

a ataques de texto claro elegido.

Las implementaciones prcticas utilizan

algoritmos de llave publica para distribuir
y proteger las llaves y algoritmos de llave
simtrica para asegurar (cifrar) el trfico
de los mensajes.

Niveles de Ataque

Slo texto cifrado

El atacante posee uno o ms textos cifrados

Texto claro conocido

El atacante posee uno o ms textos cifrados y sus textos claros

Texto claro elegido

El atacante puede elegir textos claros y conocer sus textos
cifrados

Texto cifrado elegido

El atacante puede elegir textos cifrados y conocer sus textos
claros

Algoritmos seguros de
Hash
Tambin conocidos como:

Propiedades:

Digest de mensajes
Checksum criptogrfico
Huella digital del mensaje
Checksum para integridad del mensaje.

Es fcil generar un hash a partir de un mensaje.

Es difcil determinar el mensaje en base a un hash
determinado.
Es difcil obtener el mismo hash de dos mensajes
diferentes.

Algoritmos populares de hash: MD5, SHA.

Firmas Digitales

Generacin:

Se procesa el mensaje con una funcin de

Hash para generar una digestin del mensaje.

Se cifra (firma) el mensaje con la llave

pblica.

Se enva el mensaje firmado (mensaje y firma

juntos).

Obtencin del mensaje:

Firmas Digitales

El ms popular: DSA (Digital Signature Algorithm.

Utiliza SHA (Secure Hash Algoritm), parte del estndar DSS (Digital
Signature Standar), llaves desde 512 hasta 1024 bits, estndar
federal 1994.

Problemas:

No sirve para distribucin de llaves.

El NSA le pudo haber puesto un trap door.

Llaves demasiado pequeas.

Ms lento que RSA.

Requerimientos de Seguridad
Requerimiento

Base de
Datos

Sistema
Operativo

Confidencialidad

Si

Autentificacin

Si

Integridad

Si

No-repudiacin

Si

Si

Control de Acceso

Si

Si

Autorizacin

Si

Disponibilidad

Si

Red
Si

Si

Si

Si

Implementacin
Requerimiento

Implementado mediante

Confidencialidad

SSL y contrasea de acceso

Autentificacin

Contrasea de acceso

Integridad

Permisos en la base de datos

No-repudiacin

Bitacoras de acceso

Control de Acceso Polticas de seguridad

Autorizacin

Permisos en la base de datos

Disponibilidad

SSL e implementacin en
Web

Implementacin Segura
Requerimiento

Implemencin mediante

Confidencialidad

SSL y contrasea de acceso

Autentificacin

Certificados digitales

Integridad

Permisos en la base de datos.

No-repudiacin

Firma y certificado digital

Control de
Acceso
Autorizacin

Certificados digitales y
polticas de seguridad
Permisos en la base de datos

Disponibilidad

VPN y enlaces punto a punto

Ejemplo de Aplicacin de Web

normal
Bienvenido

Internet

FW

Servidor de Web
Seguro

ISP

WEB
SERVER

Informacin

Solicitud de certificacin del

servidor
Solicitud de
certificacin
Internet

WEB
SERVER

ISP
Autoridad
Certificadora.

Solicitud de certificacin del

cliente
Solicitud de
certificacin
Internet

CLIENTE

ISP
Autoridad
Certificadora.

Ejemplo de aplicacin con llave

pblica
Solicitud
servicio
Yo soy X
Internet

FW

Quien es?
ISP

WEB
SERVER

Informacin
Autoridad
Certificadora.

Bienvenido
X

Aplicaciones de los esquemas de llave

pblica.

SSL (Secure Socket Layer).

SET (Secure Electronic Transactions).

Se les conoce como Infraestructuras de

Llave Pblica.

Componentes de una Infraestructura de

Llave Pblica.

Autoridad Certificadora.

Autoridad Registradora.

Esquema de cifrado.

Certificados digitales.

Uno o dos pares de llaves (uno para cada

participante en la comunicacin).