Juan Carlos romero lagos

CRIPTOGRAFA
Qu es la Criptografa?
La Criptografa es una rama de las matemticas que, al orientarse al mundo de
los mensajes digitales, proporciona las herramientas idneas para solucionar
los problemas relacionados con la autenticidad y la confiabilidad. El problema
de la confidencialidad se vincula comnmente con tcnicas denominadas de
"encripcin" y la autenticidad con tcnicas denominadas de "firma digital",
aunque la solucin de ambos, en realidad, se reduce a la aplicacin de
procedimientos criptogrficos de encripcin y desencripcin.
Cul propsito Criptografa?
El uso de tcnicas criptogrficas tiene como propsito prevenir algunas faltas
de seguridad en un sistema computarizado.
Diferencia entre Criptografa y seguridad informtica
En un modelo criptogrfico tpico, existen dos puntos: "a" y "b", que se
consideran fiables y, entre ellos, se transmite informacin mediante un canal
no fiable. La Criptografa se ocupa de los problemas relacionados con la
transmisin confidencial y segura por el medio no fiable, en tanto la seguridad
informtica se ocupa de asegurar la fiabilidad de los nodos "a" y "b".
Partes de la criptografa
La Criptografa simtrica:
Se ha implementado en diferentes tipos de dispositivos: manuales, mecnicos,
elctricos, hasta llegar a las computadoras, donde se programan los algoritmos
actuales. La idea general es aplicar diferentes funciones al mensaje que se
desea cifrar de modo tal, que slo conociendo la clave, pueda descifrarse.
Aunque no existe un tipo de diseo estndar, tal vez, el ms popular es el de
Fiestel, que realiza un nmero finito de interacciones de una manera particular,
hasta que finalmente el mensaje es cifrado. Este es el caso del sistema
criptogrfico simtrico ms conocido: DES (Data Encryption Standard).
La Criptografa de clave pblica o asimtrica:
Tambin denominada RSA por las siglas de los apellidos de sus inventores
Rivest Shamir y Adelman, es por definicin aquella que utiliza dos claves
diferentes para cada usuario, una para cifrar que se llama clave pblica y otra
para descifrar que es la clave privada. El nacimiento de la Criptografa
asimtrica ocurri como resultado de la bsqueda de un modo ms prctico de
intercambiar las llaves simtricas.

Juan Carlos romero lagos

LIMITACIONES DE LA CRIPTOGRAFA
Los algoritmos criptogrficos tienden a degradarse con el tiempo. A medida
que transcurre el tiempo, los algoritmos de encripcin se hacen ms fciles de
quebrar debido al avance de la velocidad y potencia de los equipos de
computacin.
Todos los algoritmos criptogrficos son vulnerables a los ataques de fuerza
bruta -tratar sistemticamente con cada posible clave de encripcin, buscando
colisiones para funciones hash, factorizando grandes nmeros, et, la fuerza
bruta es ms fcil de aplicar en la medida que pasa el tiempo.
Conclusin:
La Criptografa es una disciplina/tecnologa orientada a la solucin de los
problemas relacionados con la autenticidad y la confidencialidad, y provee las
herramientas idneas para ello.

RUTEO Y CONTROL DE FLUJO

Mecanismo de protocolo que permite al receptor controlar la razn a la que

enva datos un transmisor. El control de flujo hace posible que un receptor que
opera en una computadora de baja velocidad pueda aceptar datos de una de
alta velocidad sin verse rebasada.

Juan Carlos romero lagos

Mecanismos bsicos de seguridad

Autenticacin
Definimos la Autenticacin como la verificacin de la identidad del usuario,
generalmente cuando entra en el sistema o la red, o accede a una base de
datos.
Normalmente para entrar en el sistema informtico se utiliza un nombre de
usuario y una contrasea. Pero, cada vez ms se estn utilizando otras tcnicas
ms seguras.
Es posible autenticarse de tres maneras:
Por lo que uno sabe (una contrasea)
Por lo que uno tiene (una tarjeta magntica)
Por lo que uno es (las huellas digitales)
La utilizacin de ms de un mtodo a la vez aumenta las probabilidades de que
la autenticacin sea correcta. Pero la decisin de adoptar mas de un modo de
autenticacin por parte de las empresas debe estar en relacin al valor de la
informacin a proteger.
La tcnica ms usual (aunque no siempre bien) es la autenticacin utilizando
contraseas. Este mtodo ser mejor o peor dependiendo de las caractersticas
de la contrasea. En la medida que la contrasea sea ms grande y compleja
para ser adivinada, ms difcil ser burlar esta tcnica.

Juan Carlos romero lagos

Adems, la contrasea debe ser confidencial. No puede ser conocida por nadie
ms que el usuario. Muchas veces sucede que los usuarios se prestan las
contraseas o las anotan en un papel pegado en el escritorio y que puede ser
ledo por cualquier otro usuario, comprometiendo a la empresa y al propio
dueo, ya que la accin(es) que se hagan con esa contrasea es o son
responsabilidad del dueo.
Autorizacin
Definimos la Autorizacin como el proceso por el cual se determina qu, cmo
y cundo, un usuario autenticado puede utilizar los recursos de la organizacin.
El mecanismo o el grado de autorizacin pueden variar dependiendo de qu
sea lo que se est protegiendo. No toda la informacin de la organizacin es
igual de crtica. Los recursos en general y los datos en particular, se organizan
en niveles y cada nivel debe tener una autorizacin.
Dependiendo del recurso la autorizacin puede hacerse por medio de la firma
en un formulario o mediante una contrasea, pero siempre es necesario que
dicha autorizacin quede registrada para ser controlada posteriormente.
En el caso de los datos, la autorizacin debe asegurar la confidencialidad e
integridad, ya sea dando o denegando el acceso en lectura, modificacin,
creacin o borrado de los datos.
Por otra parte, solo se debe dar autorizacin a acceder a un recurso a aquellos
usuarios que lo necesiten para hacer su trabajo, y si no se le negar. Aunque
tambin es posible dar autorizaciones transitorias o modificarlas a medida que
las necesidades del usuario varen.

Administracin
Definimos la Administracin como la que establece, mantiene y elimina las
autorizaciones de los usuarios del sistema, los recursos del sistema y las
relaciones usuarios-recursos del sistema.
Los administradores son responsables de transformar las polticas de la
organizacin y las autorizaciones otorgadas a un formato que pueda ser usado
por el sistema.
La administracin de la seguridad informtica dentro de la organizacin es una
tarea en continuo cambio y evolucin ya que las tecnologas utilizadas cambian
muy rpidamente y con ellas los riesgos.

Juan Carlos romero lagos

Normalmente todos los sistemas operativos que se precian disponen de
mdulos especficos de administracin de seguridad. Y tambin existe software
externo y especfico que se puede utilizar en cada situacin.
Auditora y registro
Definimos la Auditora como la continua vigilancia de los servicios en
produccin y para ello se recaba informacin y se analiza.
Este proceso permite a los administradores verificar que las tcnicas de
autenticacin y autorizacin utilizadas se realizan segn lo establecido y se
cumplen los objetivos fijados por la organizacin.
Definimos el Registro como el mecanismo por el cual cualquier intento de violar
las reglas de seguridad establecidas queda almacenado en una base de
eventos para luego analizarlo.
Pero auditar y registrar no tiene sentido sino van acompaados de un estudio
posterior en el que se analice la informacin recabada.
Monitorear la informacin registrada o auditar se puede realizar mediante
medios manuales o automticos, y con una periodicidad que depender de lo
crtica que sea la informacin protegida y del nivel de riesgo.

Mantenimiento de la integridad
Definimos el Mantenimiento de la integridad de la informacin como el
conjunto de procedimientos establecidos para evitar o controlar que los
archivos sufran cambios no autorizados y que la informacin enviada desde un
punto llegue al destino inalterada.
Dentro de las tcnicas ms utilizadas para mantener (o controlar) la integridad
de los datos estn: uso de antivirus, encriptacin y funciones 'hash'

Configuracin lgica de una red

La configuracin lgica hace referencia a los parmetros que hay que introducir
en los equipos de la red para que la comunicacin pueda realizarse
adecuadamente. Los dos modelos ms comunes son:

Juan Carlos romero lagos

Peer-to-peer: Todos los equipos de la red actan por igual y ninguno tiene
control sobre otro. Estas redes se configuran en un grupo de trabajo.
Cliente-servidor: Todos los equipos de la red estn controlados por un equipo
llamado servidor. Estas redes se configuran mediante un dominio.
Firewall / Cortafuegos
Quizs uno de los elementos ms publicitados a la hora de establecer
seguridad, sean estos elementos. Aunque deben ser uno de los sistemas a los
que ms se debe prestar atencin, distan mucho de ser la solucin final a los
problemas de seguridad.
De hecho, los Firewalls no tienen nada que hacer contra tcnicas como la
Ingeniera Social y el ataque de Insiders.
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que
ejerce la una poltica de seguridad establecida. Es el mecanismo encargado de
proteger una red confiable de una que no lo es (por ejemplo Internet).
Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:
Todo el trfico desde dentro hacia fuera, y viceversa, debe pasar a travs de l.
Slo el trfico autorizado, definido por la poltica local de seguridad, es
permitido.
Algunos Firewalls aprovechan esta capacidad de que toda la informacin
entrante y saliente debe pasar a travs de ellos para proveer servicios de
seguridad adicionales como la encriptacin del trfico de la red. Se entiende
que si dos Firewalls estn conectados, ambos deben "hablar" el mismo mtodo
de encriptacin, des encriptacin para entablar la comunicacin.
Polticas de Seguridad
La poltica de seguridad define una serie de reglas, procedimientos y prcticas
ptimas que aseguren un nivel de seguridad que est a la altura de las
necesidades del sistema.
Se basa, por tanto, en la minimizacin del riesgo, el cual viene definido por la
siguiente ecuacin:
RIESGO = (AMENAZA x VULNERABILIDAD) / CONTRAMEDIDAS.
En esta ecuacin, la amenaza representa el tipo de accin maliciosa, la
vulnerabilidad es el grado de exposicin a dicha accin y la contramedida es el
conjunto de acciones que se implementan para prevenir o evitar la amenaza.
La determinacin de estos componentes indica el riesgo del sistema.

Juan Carlos romero lagos

Etapas
La poltica de seguridad de un sistema informtico se define en cuatro etapas:
1- La definicin de las necesidades de seguridad y de los riesgos informticos
del sistema as como sus posibles consecuencias, es el primer escaln a la hora
de establecer una poltica de seguridad. El objetivo de esta etapa es
determinar las necesidades mediante la elaboracin de un inventario del
sistema, el estudio de los diferentes riesgos y de las posibles amenazas.

2- La implementacin de una poltica de seguridad consiste en establecer los

mtodos y mecanismos diseados para que el sistema de informacin sea
seguro, y aplicar las reglas definidas en la poltica de seguridad. Los
mecanismos ms utilizados son los sistemas firewall, los algoritmos
criptogrficos y la configuracin de redes virtuales privadas (VPN).

3- Realizar una auditora de seguridad para validar las medidas de proteccin

adoptadas en el diseo de la poltica de seguridad. Cuando se trata de
compaas, organismos oficiales o grandes redes, suelen realizarlas empresas
externas especializadas. Tambin se llama etapa de deteccin de incidentes, ya
que ste es su fin ltimo.

4- La definicin de las acciones a realizar en caso de detectar una amenaza es

el resultado final de la poltica de seguridad. Se trata de pever y planificar una
las medidas que han de tomarse cuando surga algn problema. Esta etapa
tambin es conocida como etapa de reaccin puesto que es la respuesta a la
amenaza producida.

Mtodos
Para definir una poltica de seguridad informtica se han desarrollado distintos
mtodos, diferencindose especialmente por la forma de analizar los riesgos.
Algunos de ellos son:
Mtodo MEHARI
(Mtodo armonizado de anlisis de riesgos), desarrollado por CLUSIF (Club de
la Scurit de l'Information Franais), se basa en mantener los riesgos a un

Juan Carlos romero lagos

nivel convenido mediante un anlisis riguroso y una evaluacin cuantitativa de
los factores de riesgo.

Mtodo EBIOS
(Expresin de las necesidades e identificacin de los objetivos de seguridad),
desarrollado por la DCSSI (Direction Centrale de la Scurit des Systmes
d'Information, permite apreciar y tratar los riesgos relativos a la seguridad de
los sistemas de informacin.
La norma ISO/IEC 17799
es una gua de buenas prcticas pero no especifica requisitos para establecer
un sistema de certificacin.
La norma ISO/IEC 27001
es certificable ya que especifica los requisitos para establecer, implantar,
mantener y mejorar un sistema de gestin de la seguridad segn el PDCA,
acrnimo de "plan, do, check, act" (planificar, hacer, verificar, actuar)