Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
CRIPTOGRAFÍA
C’ → no permitido M → no permitido
Integridad Intruso Confidencialidad
M EB MT DDBB M
Usuario A C C Usuario B
Criptograma protegida
M → no permitido
M DAA
D MT EA M
Usuario A C C Usuario B
protegida Criptograma
Observe que se
cifra con la clave
C’ → no permitido
privada DA del
Integridad Intruso emisor A.
Se firma sobre un
hash h(M) del Las cifras DA y EA (claves) La firma DSS estará
basada en el algoritmo
mensaje, por ejemplo son inversas dentro de un de cifra de ElGamal.
SHA-1. cuerpo
TIPOS DE CIFRA CON SISTEMAS
ASIMÉTRICOS
M DA EB D
DBB EA M
C
Usuario A Usuario B
Confidencialidad
Firma Integridad
Autenticación
digital del usuario A e
Información cifrada integridad de M
Cifrado de la información:
- Usaremos sistemas de clave secreta
Firma e intercambio de clave de sesión:
- Usaremos sistemas de clave pública
SISTEMA HÍBRIDO DE CIFRA Y
FIRMA DIGITAL
k privada k pública
de A k secreta k secreta de A
h(M) h(M)
DA Ek(M) Dk(C) EA
M M
C
Usuario A k Usuario B k
Amenazas
La seguridad informática
se convierte en un nuevo
motivo de preocupación
A finales del siglo XX e inicios del XXI tanto las empresas, organismos e
incluso particulares comienzan a tomar verdadera conciencia de su
importancia. Hoy en día, tener un sistema que cumpla con los estándares
de gestión de la seguridad es sinónimo de calidad de servicio.
ACONTECIMIENTOS EN DOS
ÚLTIMAS DÉCADAS
• A partir de los años 80 el uso del ordenador personal
comienza a ser común. Asoma por tanto la preocupación
por la integridad de los datos.
• En la década de los años 90 aparecen los virus y gusanos
y se toma conciencia del peligro que nos acecha como
usuarios de PCs y equipos conectados a Internet.
• Además, comienzan a proliferar ataques a sistemas
informáticos. La palabra hacker aparece incluso en
prensa.
• Las amenazas se generalizan a finales de los 90;
aparecen nuevos gusanos y malware generalizado.
• En los años 00s los acontecimientos fuerzan a que se
tome muy en serio la seguridad informática.
¿QUÉ HAY DE NUEVO EN LOS 00S?
• Las amenazas
afectan Flujo Normal
principalmente al
hardware, al software
y a los datos. Éstas Interrupción Interceptación
se deben a
fenómenos de:
• Interrupción Modificación Generación
• Interceptación
• Modificación
• Generación
AMENAZAS DE INTERRUPCIÓN
Interrupción
Intruso
Interceptación
Intruso
Intruso
Intruso
Datos
Ejemplos de amenzas
Los datos serán la parte más
vulnerable del sistema
Hardware Software
Esto se entiende en el
DATOS DATOS DATOS siguiente sentido: los
datos sólo pueden ser
conocidos por aquellos
Confidencialidad Integridad Disponibilidad usuarios que tienen
privilegios sobre ellos,
sólo usuarios autorizados
DATOS
los podrán crear o bien
modificar, y tales datos
deberán estar siempre
Datos Seguros disponibles.
SISTEMA DE CIFRA
Medio de
Transmisor Transmisión Receptor
M C C M
T MT R
Canal inseguro
A?&% | $”/n_*
VjbmljYSB3kZSBNYWR
y+WQgQ0ExLTAr8BgN= C = {c1, c2, ..., cn}
• Normalmente el alfabeto es el mismo que el
utilizado para crear el mensaje en claro.
• Supondremos que el espacio de los textos
cifrados C y el espacio de los mensaje M (con y
sin sentido) tienen igual magnitud.
• En este caso, a diferencia del espacio de
mensajes M, serán válidos todo tipo de
criptogramas, con y sin sentido, como es lógico.
EL ESPACIO DE CLAVES K
Ek: M → C kK
Dk: C → M kK
CIFRADO EN FLUJO
Ventajas: Desventajas:
* Alta velocidad de cifra al no * Baja difusión de elementos en el
tener en cuenta otros elementos. criptograma.
* Resistente a errores. La cifra es * Vulnerable. Pueden alterarse los
independiente en cada elemento. elementos por separado.
CONFIDENCIALIDAD VERSUS
INTEGRIDAD
• Vamos a ver cómo se obtienen en cada uno de estos
sistemas de cifra (cifrado con clave secreta o sistemas
simétricos y cifrado con clave pública o sistemas
asimétricos) los dos aspectos más relevantes de la
seguridad informática:
La confidencialidad y la
integridad de la información
Llegaremos a un concepto de mucha utilidad en criptografía al analizar
el sistema con clave pública...
CRIPTOSISTEMAS DE CLAVE
SECRETA
Medio de
Clave k Transmisión Clave k
M C C M
Texto Cifrado MT Descifrado
Texto
Base
Base
Ek Mensaje cifrado Dk
Clave El problema es
única cómo hacerla
llegar al destino
Cifrado: Ek Descifrado: Dk
CONFIDENCIALIDAD CON CLAVE
SECRETA
Medio de
k Transmisión k
M C C M
EK MT DDKK
Texto Texto
Base Criptograma Base
protegida
Protegeremos el
extremo receptor
Buscamos la intruso
confidencialidad No le estará
permitido leer M
Medio de
k Transmisión k
M C C M
EEKK MT DK
Texto Texto
Base protegida Criptograma Base
No le estará permitido
generar un C’ Buscamos la
intruso
integridad
Protegeremos ahora el extremo emisor
M no permitido
Usuario A Usuario B
Confidencialidad
Integridad
Esta característica
La integridad y la confidencialidad se
será muy importante
obtendrán ahora por separado ...
• Se entenderá como:
– Todo el conjunto de datos y ficheros de la empresa.
– Todos los mensajes intercambiados.
– Todo el historial de clientes y proveedores.
– Todo el historial de productos.
– En definitiva, el know-how de la organización.
• Si esta información se pierde o deteriora, le será muy difícil a la
empresa recuperarse y seguir siendo competitiva. Por este
motivo, es vital que se implanten unas políticas de seguridad y
que, además, se haga un seguimiento de ellas.
IMPORTANCIA DE LA
INFORMACIÓN
• El éxito de una empresa dependerá de la
calidad de la información que genera y
gestiona. Así, una empresa tendrá una
información de calidad si ésta posee, entre
otras características, las de confidencialidad,
de integridad y de disponibilidad.
• La implantación de una política y medidas de seguridad
informática en la empresa comienza a tenerse en cuenta sólo a
finales de la década pasada. En este nuevo siglo, es un factor
estratégico en el desarrollo y éxito de la misma. Después de
atentados terroristas, incendios, huracanes y diversas amenazas,
muchas empresas han desaparecido por no haber sido capaces
de recuperarse tras haber perdido toda su información.
VULNERABILIDAD DE LA
INFORMACIÓN
• La información (datos) se verá afectada
por muchos factores, incidiendo
básicamente en los aspectos de
confidencialidad, integridad y Un empleado
disponibilidad de la misma. descontento...
• Desde el punto de vista de la empresa, uno
de los problemas más importantes puede
ser el que está relacionado con el delito o
crimen informático, bien por factores
externos o internos. Habrá que estar muy
atentos al factor humano interno.
HAY QUE IMPLANTAR POLÍTICAS
DE SEGURIDAD
El tratamiento y vulnerabilidad de la información se
verá influida por otros temas, como por ejemplo los
aspectos legales vigentes. Además, las empresas
cada día dependen más de sus comunicaciones y de
su trabajo en red, lo que aumenta su inseguridad.
Solución Política 1
Política 2
La solución parece Política 3 ... Y solamente ahora
muy sencilla: crear
comienza a tomarse
y aplicar políticas
verdaderamente en serio.
de seguridad...
ACCIONES CONTRA LOS DATOS
Fraude
Acto deliberado de manipulación de datos perjudicando
a una persona física o jurídica que sufre de esta forma
una pérdida económica. El autor del delito logra de esta
forma un beneficio normalmente económico.
Sabotaje
Acción con la que se desea perjudicar a una empresa
entorpeciendo deliberadamente su marcha, averiando
sus equipos, herramientas, programas, etc. El autor no
logra normalmente con ello beneficios económicos pero
pone en jaque mate a la organización.
CHANTAJE Y MASCARADA
Chantaje
Acción que consiste en exigir una cantidad de dinero a
cambio de no dar a conocer información privilegiada o
confidencial y que puede afectar gravemente a la
empresa, por lo general a su imagen corporativa.
Mascarada
Utilización de una clave por una persona no autorizada
y que accede al sistema suplantando una identidad. De
esta forma el intruso se hace dueño de la información,
documentación y datos de otros usuarios con los que
puede, por ejemplo, chantajear a la organización.
VIRUS Y GUSANOS
Virus
Código diseñado para introducirse en un programa,
modificar o destruir datos. Se copia automáticamente a
otros programas para seguir su ciclo de vida. Es común
que se expanda a través de plantillas, las macros de
aplicaciones y archivos ejecutables.
Gusanos
Virus que se activa y transmite a través de la red. Tiene
como finalidad su multiplicación hasta agotar el espacio
en disco o RAM. Suele ser uno de los ataques más
dañinos porque normalmente produce un colapso en la
red como ya estamos acostumbrados.
CABALLOS DE TROYA Y SPAM
Caballos de Troya
Virus que entra al ordenador y posteriormente actúa de
forma similar a este hecho de la mitología griega. Así,
parece ser una cosa o programa inofensivo cuando en
realidad está haciendo otra y expandiéndose. Puede
ser muy peligroso cuando es un programador de la
propia empresa quien lo instala en un programa.
Spam
El spam o correo no deseado, si bien no lo podemos
considerar como un ataque propiamente dicho, lo cierto
es que provoca hoy en día pérdidas muy importantes
en empresas y muchos dolores de cabeza.
ATAQUES Y DELITOS RECIENTES
De todas maneras, recuerde que la seguridad informática total no existe... ¿ha pensado
que su disco duro puede quemarse ahora mismo por una repentina subida de voltaje? Y
estas cosas son más habituales de lo que piensa.
Fin del capítulo
CUESTIONES Y EJERCICIOS
1. ¿Qué diferencia hay entre el concepto de información y su calidad según lo entienda
una empresa o los estudios de ingeniería?
2. ¿Por qué se dice que la información de una empresa es su activo más valioso?
Compare este activo con el personal de la misma y póngase en situaciones en las que
ambos se pierden, ¿qué situación podría ser es más perjudicial para la continuidad de
dicha empresa?
3. Como responsables de seguridad hemos detectado que alguien está realizando
acciones no lícitas, por ejemplo copias no autorizadas de información. ¿Qué actitud
debemos tomar?
4. ¿Qué medidas podrían ser las más adecuadas de cara a minimizar los ataques por
virus en nuestra empresa?
5. Si deseamos que nuestra empresa esté debidamente protegida tanto física como
lógicamente, ¿qué deberíamos hacer?