Proteccion: Los mecanismos que utilizo para garantizar la integridad de mi sistema, los

accesos.

Seguridad: La confianza que tengo en los mecanismos.

Los sistemas seguros no existen, no puedo tener una garantía de que mi sistema sea 100%
seguro.
Los mecanismos de seguridad no deberán ser mas costosos que el valor que estoy
protegiendo.

5 requirimientos básico de la seguridad: Confidencialidad, autenticidad, integridad,

disponibilidad, no repudio.
Amenazas:
Amenazas físicas: accesos no autorizados a equipos, catástrofes naturales.
Amenazas lógicas: virus, troyanos, gusanos.
Intrusos: Personas ignorantes, curiosas.
Para garantizar la seguridad existen las políticas y los mecanismos. Las politicas son
documentos escritos donde se define que es lo que se va a hacer para garantizar o tratar de
establecer la seguridad de un sistema. Los mecanismos son la forma de implementar las
politicas. Las politicas es el que hacer y el mecanismo el como hacerlo.

Las politicas de seguridad en general cumplen con 3 principios lógicos:

Mínimos privilegios: siempre que se intente dar algún acceso a algún usuario hay que tener en
cuenta este requisito, ya que si le damos algún acceso
Separación de deberes o división de funciones: Todos los mecanismos de seguridad deberían
ser auditados si los accedió las misma persona que los implemento, tendríamos una falla.
Rotación de roles: Se sugiere que conveniente rotar a las personas en sus funciones, cuando
uno comienza una tarea nueva, siempre prestar un poco mas de atención y es mas fácil
detectar errores. Conocer los distintos sectores de la empresa.

Auditorias:
Auditorias interna: Suele ser un departamento dentro de la empresa, apunta a controlar que
los sistemas estén funcionando bien, auditoria de sistemas. Intentos de intrusion, información
que esta siendo vulnerable, etc.
Auditoria externa: algun estudio contratado.
Auditoria de casa matriz: controlar que las normas se estén aplicando bien, cumpliendo los
procedimientos.

Problema de seguridad para los datos:

Bombas de tiempo: Algún programa que se actue en algún determinado momento
Redondeo de centavos: Truncaba el 3er decimal de las transacciones financieras y ese decimal
que truncaba lo mandaba a su cuenta.
Terminal con sesión abierta: Ingenieria social obtener información con ninguna herramienta
hacker, simplemente pidiéndoselo a algun usuario que posiblemente confía en nosotros. La
concientización de los usuarios es fundamental.
Sesion abierta, es difícil de concientizar de que cierren cuando dejan el equipo. Se puede usar
mecanismos de seguridad como que se bloquee la sesión después de unos minutos de
inactividad.
Contraposicion entre usabilidad y seguridad: Cuanto mas segura son las rutinas mas restrictas
son y por ahí atentan contra la usabilidad.
Contraseñas: La mayoría de las rutinas nos permiten definir el nivel de seguridad, si pongo una
contraseña muy difícil el usuario lo pega en el monitor. Software que analiza las contraseñas
para saber sin son débiles o robustas.
Backdoor: Un programador podría programar un puerto abierto escuchando y permitirle
conectarse remotamente y obtener información.
¿Cómo hago para proteger la información?
Criptografia: Escritura oculta, consiste en transformar un texto, o un archivo o cierta
información, de manera tal que queda ilegible y despues poder volver a transformarlo para
que sea legible para lo cual en general se aplica un método de cifrado y una clave.
Criptografia simétrica: Utiliza la misma clave para cifrar y para descifrar. Ej: método del cesar.
Ventajas: son muy rapidos, no aumentan el tamaño del texto.
Desventajas: Como el emisor y el receptor usan la misma clave, yo se la tengo que transmitir y
si mando un texto cifrado es porque desconfio del medio debería transmitir la clave por otro
medio que considere seguro.
Escabilidad de las claves: por cada comunicación que quiero establecer necesito una clave y
transmitírsela en un medio seguro.

HASH: Es un algortimo que tiene como entrada un determinado texto y como salida un código,
o un conjunto de caracteres que es único para ese texto y de tamaño fijo. Le aplico una función
de Hash a un texto de 2 kb y me devuelve 30 caracteres, y le aplico una función de Hash, a
partir del Hash, por mas que sepa el algortimo por el cual se hizo, no puedo obtener el texto
original.
Las funciones de hash se usan para la controversia, en vez de guardar la contraseña p incluso
hacer viajar por la red la contraseña, si le aplico la función de hash, se obtiene el dato y viaja el
dato cifrado por la red, cuando llego a la BD de contraseñas se compara porque en la BD esta
almacenado el Hash, si coincide bien.

SALT: Es un agregado para las claves para que sean mas seguras.
El problema de los hash como MD5 y SHA es la cantidad de bits que utilizan y porque si tengo
tengo un hash de algo es irreversible, pero puedo obtener un documento que tiene todos los
hash de conocidos de MD5, por ejemplo. El hash aplicado a una misma palabra siempre da lo
mismo. Si bien no son reversibles los hash son deducibles.
El SALT se lo agrego a la contraseña en texto plano, y a eso le aplico el HASH, entonces si yo
obtengo la traducción de ese hash de alguna forma lo que me va a estar dando es la
contraseña mas el salt, pero no se cual es la contraseña tendría que saber como trabaja mi
sistema con el SALT.
Por ejemplo que le agregue 3 digitos al final. El SALT puede ser fijo por ejemplo cuando valido
la contraseña le agrego 5 caracteres al final, cuando yo quiero comprobar el hash, tomo la
contraseña, le agrego esos 5 carcteres, calculo el hash y si me da es valida. Si alguien descubre
como funciona el sistema, el hash pierde validez.- Ademas si logro descubrir una clave ya voy a
saber como es el SALT de las demás claves.
Puedo hacer un hash variable, calculado hacer una función random que calcule un SALT, si ese
salt es calculable, lo tengo que guardar en algun lado, en la BD por ejemplo y se vuelve
vulnerable por ese lado.
Otra opción es usar un salt variable o fijo pero no constante, por ej a la contraseña le agrego
de usuario y a eso le aplico el hashm me permite validar las contraseñas.

Clave simétrica: También conocido como algoritmo de clave publica, cuando quiero encriptar
algo, mediante un soft o un certificado digital necesito generar un par de claves. Los
algoritmos de clave publica utilizan dos claves una publica y una privada. Encriptan con una
clave y desencriptan con la otra, no puedo inferir una clave partiendo de la otra, son
independientes.
Son algoritmos mas complejos que los de clave simétrica, por eso son mas lentos y además el
texto cifrado mediante un algoritmo de clave simétrica es mucho mas grande que el texto
original.
Si quiero enviar un mensaje cifrado a un destinatario lo cifra con la clave publica del
destinatario y este cuando lo recibe, lo descifra con su clave privada. De esa forma garantizo la
confidencialidad, el único que lo puede ver con su clave privada. Integridad también me
asguero que nada lo modifico. El no repudio no, ya que el que le lo envio lo encripta con tu
clave publica. La autenticidad se garantiza encriptando el mensaje con mi clave privada y el
receptor lo desencripta con mi clave publica.
Si quiero garantizar la confidencialidad, la integridad, y la autenticidad puedo hacer un doble
encriptado. 1ero por clave privada y 2do por clave publica del receptor

Firma Digital: Sirve para garantizar la autenticidad y la integridad.

Tengo un texto plano que quiero enviar, le aplico una función de Hash, y me genera un
resumen(hash). Ese resumen lo cifro con mi clave privada y obtengo un hash cifrado.
Le puedo asociar un certificado digital, que es el certificado que me provee la clave privada.
Puedo mandarle al receptor el certificado digital que lleva mi clave publica. Y yo envio al
receptor el texto mas mi hash cifrado con el certificado. El texto viaja plano, no se cifra
El receptor recibe el texto mas el certificado digital con la clave publica del emisor mas el hash
cifrado.
Entonces el receptor descifra el hash con la clave publica que viene en el certificado y obtiene
el hash del texto descifrado. Le aplica la función de hash al texto y obtiene el hash del texto
descifrado también, so estos 2 hashes son iguales, significa que el texto no fue alterado y que
el emisor es quien dice ser. Con esto garantizo el no repudio. No garantiza la confidencialidad
porque el texto viaja plano, lo que no puedo hacer es modificarlo.

Certificado digital: Es una estructura de datos que lo genera una entidad certificadora y
contiene datos que validan la identidad de quien posee el certificado y que me permite realizar
comunicaciones en forma segura.
Un uso muy común es en los sitios web como homebanking. El certificado tiene la clave
publica, la identidad y un nombre. Si quiero tener un sitio seguro y una https necesito un
certificado.
PKI: certificado de clave publica
Los certificado digitales están firmados digitalmente por la entidad que lo emite. Los
navegadores tienen incorporadas las clave publicas de las entidades. Cuando un navegador se
topa con un certificado digital, para validar si ese certificado es bueno, lo intenta vlaidar con la
clave publica de la entidad que dice haberlo firmado.
El certificado tiene 2 funciones en un sitio web
1) Garantizar la identidad
2) La información cuando utilizo https viaja encriptada, gracias al certificado que me
permite encriptar información en un sitio.
El sitio encripta información con un certificado, puedo mandar información encriptada
con la clave pública y el sitio la desencripta con su clave privada.
Cuando el sitio me manda información a mi la encripta con su clave privada.

1) Cliente inicia la comunicación y dice al servidor quiero comunicarme de manera

segura.
2) El server envía un certificado digital que contiene el nombre del sitio, la clave
publica, además esta firmado por la autoridad certificadora. La comunicación
segura entre cliente y servidor se realiza mediante la criptografía simétrica.
3) El cliente escoge que método de encripcion simétrica va utilizar, genera una clave,
la encripta toda esa información con la clave publica del certificado y se la manda
encriptada al servidor. La información viaja segura, porque esta cifrada con la
clave publica del servidor, el único que la va a pode rleer es el servidor que la cifra
con su clave privada. Adentro le mando el algoritmo que voy a usar y la clave que
voy a usar.
4) A partir de este momento el servidor se comunica con el cliente mediante
encriptación simétrica con el algoritmo y la clave que yo le mande comienza una
comunicación bidireccional cifrado con un algoritmo simétrico.

Si quiero implementar una estructura de clave publica, PKI interna en mi empresa, no necesito
tener certificados expedidos por una entidad, instalo un servidor género mis propios
certificados .Para que no aparezcan en todos los navegadores la advertencia de sitio no
seguro, instalo el certificado de mi root ca. Una vez que el navegador confía en esa entidad
certificante ya tomo los certificados como validos.

Implementar PKI a través de software:

PGP(pretty good privacy): Conjunto de programas se estandarizo gpb.
Se puede bajar y generar las claves PGP se basa en confianza, si quiero comunicarme con otra
persona de forma segura esa persona tiene que tener mi clave publica, tiene que instalarse mi
clave publica. El problema es que debe confiar en su clave publica, porque no tiene certeza
que esa clave publica sea mia, donde puedo instalarle pgp y decir que es pepito y subirla a un
repositorio.
Tambien utilizo criptografía simétrica al igual que los certificados utiliza la asimétrica para
generar las claves
Estenografia ocultar un objeto en otro objeto, lo mas común es ocultar texto en una imagen o
en un audio.

Autenticacion: Proceso principal de validación de identidad, para entrar en el sistema. Por ej

los metos de validación se basan en 3 propiedades:
1) Algo que el usuario tiene tarjeta, token, algo físico.
2) Algo que el usuario sabe contraseñas.
3) Alguna propiedad del usuario huella digital.