E. G. de León Chamam
2017-0001 Universidad San Carlos de Guatemala
092504 Intranet y Aplicaciones
erwingeo.cunor@gmail.com
Resumen
Palabras clave:
Seguridad, políticas, intranet, cifrado, PKI
Las organizaciones individualmente poseen su propio estilo y pertenencia. El estilo y gestión hacen que
la organización, alcance un grado de funcionamiento en aspectos como: clima laboral, procedimientos
administrativos, estructura organizacional, protocolos y reglamento; y recientemente, en los últimos
años, la gestión de recursos informáticos. Sin embargo para garantizar el elemento intangible más
valioso de una organización, como lo es la información; se deben identificar los aspectos y elementos
de mayor riesgo y vulnerables que atenten contra el funcionamiento normal de los sistemas de
información y la información almacenada en diversos medios de almacenamiento y bases de datos. De
forma general entendemos que mantener un sistema seguro o fiable consiste básicamente en garantizar
cuatro aspectos: confidencialidad, integridad, disponibilidad y no repudio. El uso creciente de los
sistemas informáticos ha incrementado el problema de los accesos no autorizados y la manipulación de
datos. El alto nivel de conectividad que una organización proporciona a los usuarios de sus sistemas, no
solo proporciona acceso a gran cantidad y variedad de fuentes de datos de forma cada vez más rápida,
sino que origina un aumento de las intrusiones de red.
La mayoría de las organizaciones actuales están expuestas a una serie de riesgos derivados de una
protección inadecuada o inapropiada de la información o de sus sistemas de tratamiento. Ciertamente la
relación entre riesgo y protección adecuada de sistemas, no es tratada con su debida importancia por
parte de las organizaciones, y su exposición a temas en problemas de seguridad es alta. Es por ello que
una organización debe avanzar hacia un Gobierno de Datos o Gobierno de la Información, término
adjudicado a los procedimientos organizacionales que se están realizando para poder implementar de
manera interna, políticas de seguridad, normativas de información, restricciones y autorizaciones a los
diversos sistemas informáticos internos, hardware e instalaciones físicas. Con el objetivo de proteger y
minimizar los riesgos de accesos no autorizados, robo de información, suplantación de identidad,
acceso físico a las instalaciones de IT, y una serie de elementos que como organización, son de alto
riesgo y deben preservarse bajo procedimientos de control minuciosas. Sin embargo, orientar un
conglomerado de personas hacia el Gobierno de Datos es una tarea que debe prepararse y diseñarse,
para que su adopción sea gradual. Para tal tarea, es posible utilizar metodologías actuales como lo es
COBIT, el cual provee de un marco de trabajo de mejores prácticas, orientando a los departamentos de
TI para que puedan implementar reglamentos, acuerdos contractuales y políticas, así como la gestión de
las tecnologías de información a nivel organizacional.
Cuando se crearon las tecnologías que pudieran sustentar las redes de computadoras, la prioridad era
poder realizar comunicación entre computadoras, la infraestructura de red creció hasta masificarse
alrededor del mundo y convertirse entonces en Internet, siendo un riesgo potencial para la seguridad de
la información. A mediados de los años 80s, comunidades de investigadores en temas de seguridad,
encontraron debilidades en la infraestructura, métodos y protocolos de comunicación los cuales
explotaron y dieron los primeros avisos para la invención de formas de comunicación segura en redes
de computadora. Una red de computadoras basada en TCP/IP, es insegura, los paquetes que viajan en la
misma red pueden ser interceptados y replicados; de tal forma que terceros pueden estar “escuchando”
o “copiando”, la comunicación que puede estar entablando dos o más computadoras. De esta gran
inquietud de asegurar mediante métodos y procedimientos, se implementó la criptografía para poder
enviar mensajes en redes de computadoras con contenido secreto; aunque un tercero intercepte un
mensaje, este último no podrá visualizar el contenido original del mensaje sino posee una “clave” para
poder leerlo. Al proceso de convertir un mensaje de manera que sea ilegible se le conoce como cifrado;
el proceso inverso, es decir retornar el mensaje cifrado al mensaje original, se le conoce como
descifrado.
Del anterior análisis podemos entonces suponer que una Intranet debe implementarse diversos
mecanismos de seguridad para salvaguardar la información que en ella transite. La criptografía podrá
implementarse en diferentes niveles de abstracción (según los protocolos en distintos niveles del
modelo TCP/IP).
Capa de Aplicación: se extiende la capacidad de cifrado a través de protocolos sin depender del sistema
operativo, algunos protocolos que funcionan en la capa de aplicación y permiten utilizar mecanismos
de cifrado son: kerberos, PGP el cual puede implementarse para la transferencia entre agentes MTA de
correos electrónicos cifrados, SSH, SET, IPSec y Radius.
Capa de Transporte: el cifrado se realiza a nivel de paquetes, las cabeceras de los paquetes se
mantienen intactos, sin embargo el contenido del mensaje se transfiere de manera cifrada. Protocolos
que funcionan en esta capa son: SSL y TLS.
Capa de Red: la implementación de cifrado a nivel de capa de red, disminuye la negociación excesiva
de claves entre nodos, las aplicaciones web no sufren de modificaciones dado que es totalmente
transparente. A nivel de capa de red se pueden crear Redes Privadas Virtuales. Los protocolos que
funcionan a nivel de capa de red son: IPSec (AH, ESP), NLSP (ISO), Protocolos de tunneling como
PPTP y L2TP.
Capa de Enlace de Datos: los protocolos de cifrado a nivel de enlaces de datos son más rápidos, sin
embargo funcionan bien solo para enlaces dedicados de redes. Los protocolos presentes son: ATMs,
CHAP, PAP.
En una Intranet se debe plantear la implementación de una infraestructura de llave pública. La PKI es
un protocolo que trata de describir los procesos organizativos necesarios para la gestión de certificados
digitales de claves públicas para el intercambio seguro de información, que permite firmar digitalmente
un documento electrónico (un email, el código de un programa, una transacción bancaria, unos análisis
médicos, etc.), o permite identificar a una persona o empresa en Internet, o permite acceder a un recinto
o servicio restringido. Los usos son muchos. Las PKIs, son sistemas mixtos hardware/software,
basados en diferentes agentes que permiten dotar a máquinas y usuarios de Certificados Digitales de
Identidad (certificados X509v3).
La seguridad informática se divide en tres segmentos conocidos como 3A. Es un mundo que engloba
las herramientas de autentificación, autorización y administración. La autentificación engloba las
soluciones PKI y en menor medida los token, dispositivos de hardware que generan claves de un solo
uso; en el segmento de autorización figuran los cortafuegos, redes privadas virtuales, detección de
intrusos, filtros de contenido, mecanismos de control para acceder a una sede web, tarjetas inteligentes
(smartcards) y dispositivos biométricos. Por último la administración abarca los sistemas de gestión de
perfiles y aplicaciones de control centralizado.
En el entorno empresarial es mucho más común, en la actualidad, que las diversas aplicaciones de la
misma empresa estén desarrolladas para un entorno web. La orientación de infraestructura PKI permite
muchas ventajas a la organización, desde el punto de vista de seguridad, control y seguimiento de
accesos a los diferentes sistemas internos y accesos desde el exterior.
Comentarios y recomendaciones
La implementación de arquitecturas de llave pública, pueden suponer ventajas muy amplias a las
empresas con Intranets muy amplias, portándolas de métodos y controles de seguridad a través de
cifrado de mensajes y también seguridad perimetral.
El uso de Listas de Control de Acceso permite que los niveles jerárquicos de una organización, se
reflejen en una Intranet. De esa forma la información queda disponibles y accesible para los que se
encuentren autorizados.
Conclusiones
El aseguramiento de los sistemas informáticos presentes en una Intranet; debe ser una prioridad muy
alta para las organizaciones. Dado que en los sistemas se trabaja con información crítica y
salvaguardarla debe de ser un objetivo de alto interés.
Las infraestructuras de llave pública, permiten el uso de cifrado y distintos protocolos de comunicación
por redes de computadoras en diferentes capas de red; haciendo transparente para aplicaciones de
Intranet el cifrado de la comunicación entre los usuarios.
Mientras más alto sea el nivel de seguridad, traerá consigo más molestias para los usuarios legítimos.
La estrategia de la protección de la red ideal debe combinar procedimientos de la seguridad múltiples
para protección de los datos sin crear resistencia en los usuarios de la intranet.
Bibliografía
Berta, S. (2013). Web hacking - Claves para desarrolladores y administradores de sitios. Buenos
Aires: Dalaga.
Jara, H. (2012). Ethical Hacking 2.0 - Implementación de un sistema para la gestión de la seguridad.
Buenos Aires: Dalaga.