Imprimir el Libro CompletoImprimir el Libro Completo

Seguridad Informática

Sitio: Facultad de Ingeniería U.Na.M.
Curso: Redes II - IC421
Libro: Seguridad Informática
Imprimido por: Invitado
Día: miércoles, 3 de julio de 2024, 06:23

Tabla de contenidos

1. Introducción

La seguridad de la red consiste en políticas y buenas prácticas adoptadas para prevenir y monitorear el acceso no autorizado, la modificación del uso indebido o la denegación de una red informática y los recursos de la red de acceso.

Los puntos a tener en cuenta para guiar a la organización con las políticas de ciberseguridad son:

  • Confidencialidad

  • Integridad. 

  • Autenticación.

  • Disponibilidad.

2. Elementos de la Seguridad.

Hay varias líneas de defensa que protegen una red, tanto en su perímetro como en su interior. La seguridad comienza con el CONTROL DE ACCESO: políticas y controles que gestionan el acceso a la red por parte de los usuarios autorizados, pero también por dispositivos y datos. Un CORTAFUEGOS, que puede ser de hardware o software, es otra importante línea de defensa que separa la red de otras redes que no son de confianza, tales como Internet. Los cortafuegos supervisan y controlan qué tráfico puede entrar o salir de la red. La seguridad de red utiliza también sistemas de detección y prevención de intrusiones, que analizan el tráfico de red para identificar las amenazas y responder a ellas. Un importante subconjunto de la seguridad de red es la seguridad de las aplicaciones, encargada de proteger el software y las aplicaciones web, puesto que estas aplicaciones suelen presentar vulnerabilidades. También se utilizan otras estrategias y tecnologías para mantener la seguridad en centros de datos y clouds públicas, entre otros.

Ahora que hemos revisado el concepto de qué es seguridad informática y por qué es tan importante, es fundamental aprender sobre sus elementos. Una red cibernética fuerte consta de muchas características:

  • Seguridad de la aplicación. Las aplicaciones web son comunes para los ciber-delincuentes y su vulnerabilidad puede causar muchos problemas. Las organizaciones que manejan un negocio en los sitios web deben garantizar su seguridad para proteger a sus clientes, sus finanzas y su información personal.
  • Seguridad de la red. Es el proceso de protección de servidores, resolución de problemas de seguridad, hosts, dispositivos y servicios de Internet. La seguridad de las redes informáticas se realizan protegiendo la utilización e integridad de los datos en la red.
  • Seguridad operativa. Protege las funciones principales de la organización. La seguridad operativa es importante para rastrear la información crítica y los usuarios que interactúan con ella para identificar las vulnerabilidades.
  • Educación del usuario final. La estrategia de seguridad informática de las empresas es tan fuerte como el eslabón más débil del equipo. Por esta misma razón, cada empleado debe saber qué medidas hay que tomar y cómo detectar las amenazas entrantes.
  • Participación de la gerencia. El último pero no menos importante elemento de qué es seguridad informática, es el compromiso de la gerencia de cada organización para invertir en ciberseguridad. Los supervisores deben entender que es importante contratar a personas cualificadas y adquirir los recursos y la tecnología de seguridad cibernética adecuados.

Algunos de los elementos que disponemos son:

  • Cortafuegos.
  • Seguridad de correo electrónico.
  • Antivirus / Antimalware.
  • Segmentación de la red.
  • Control de acceso.
  • Seguridad de las aplicaciones.
  • Prevención de pérdida de datos.
  • Detección de prevención de intrusiones.
  • Seguridad web.
  • VPN.
  • Seguridad inalámbrica.
  • Seguridad en la Nube ( "Nuevo" ).

3. Confidencialidad

Confidencialidad

Es el proceso que excluye el acceso a la información para ciertas personas. Es una medida para restringir que la información sensible llegue a manos equivocadas. En una organización, a las personas se les permite o se les niega el acceso a la información de acuerdo a su ocupación. Este tipo de personas reciben la formación adecuada y las normas sobre el intercambio de secretos confidenciales, y protegen sus cuentas con contraseñas seguras. Algunos de los puntos clave de la seguridad de los ciber-delincuentes son 2FA, (Autenticación de Dos Factores) clasificación de datos, encriptación de datos, verificación biométrica, etc.

Privacidad
La privacidad consiste en garantizar que solo aquellos que están autorizados a acceder a los datos puedan hacerlo, es decir darle la seguridad de acceso SOLO a quien esté autorizado, en definitiva sería como una confidencialidad para una o un grupo de personas.

4. Integridad

El proceso de integridad asegura que los datos en el sistema son consistentes, verificados, precisos y confiables. Esto significa que los datos no pueden ser cambiados, alterados, borrados o accedidos sin cierto permiso. Esta es la razón por la que es importante hacer un seguimiento de los permisos de los archivos y del acceso de los usuarios. Otra cosa importante para mantener la integridad de los datos es contar con una copia de seguridad. Las copias de seguridad en la nube son una de las más confiables en este momento.

5. Autenticación

La autenticación es la capacidad de demostrar que un usuario o una aplicación es realmente quién dicha persona o aplicación asegura ser. Por ejemplo, considere el caso de un usuario que se conecta a un sistema especificando un ID de usuario y una contraseña.

Tipos de autenticación

Se puede efectuar autenticación usando uno o varios de los siguientes métodos:

  •     Autenticación por conocimientos: basada en información que sólo conoce el usuario.
  •     Autenticación por pertenencia: basada en algo que posee el usuario.
  •     Autenticación por características: basada en alguna característica física del usuario.

Veamos algunos métodos o  técnicas de autenticación.

notemos como en muchos de ellos el Celular , objeto de uso personal está involucrado.

Autenticación QR

Este modelo utiliza la cámara del dispositivo para escanear el código y tener acceso a la información o a la plataforma. Este factor garantiza que solo los usuarios seleccionados puedan acceder a su información.

Doble Factor de autenticación

La autenticación de dos factores (2FA) es un sistema de seguridad que requiere dos medios de identificación diferentes para acceder a algo.  Se utiliza para reforzar la seguridad de una cuenta, de un dispositivo o de una plataforma como Facebook.
La autenticación de dos factores suele exigir dos tipos de información del usuario: una contraseña, un número de identificación personal (PIN), un código enviado al smartphone del usuario o bien una huella dactilar.

OTP (One-Time Password) SMS

El código de un solo uso (OTP) es un factor de autenticación para realizar transacciones confidenciales.
Es un método de autorización seguro en el que se envía por SMS un código numérico o alfanumérico en tiempo real al móvil del usuario para validar una operación.
El usuario posee un “calculador” específico que va a permitirle proporcionar una contraseña válida durante un período limitado. Para poder utilizar su calculador, debe entrar previamente una contraseña. El calculador le proporciona entonces a cambio una contraseña de un solo uso que el usuario va, a su vez, a proporcionar al módulo de autenticación del PC.
El módulo de autenticación dialoga a continuación con el servidor OTP para asegurarse de la validez de la información proporcionada y para aceptar o no la conexión.

Biometría

La autenticación que utiliza seguridad biométrica se basa en las características biológicas únicas de un individuo. El reconocimiento facial, lectores de huellas, biometría de voz o el reconocimiento de iris son algunos ejemplos.

Certificado digital

El certificado digital emitido por una Autoridad de Certificación acreditada es una alternativa de gran utilidad para demostrar la identidad de un usuario.

La comodidad de poder usarlos desde casa o cualquier otro lugar, a lo que le añadimos su seguridad, hace que sean muy atractivos para los ciudadanos.

El Token

Una vez establecida la autenticación inicial del usuario, es necesario transmitir el token a las aplicaciones. Una de las técnicas utilizada es el “token” de autentificación. Este “token” es un conjunto de datos que contienen los elementos que comprueban la identidad del usuario y que presenta a la aplicación.
La aplicación debe poder recuperar este token, disponible sobre el puesto de trabajo, luego ir dirigido a un distribuidor especializado que confirmará la validez del token así como la identidad asociada.
Los token más comunes hoy son Kerberos y los token SAML.
El token de tipo Kerberos , se aplican, por ejemplo, en el entorno Windows.
El token de tipo SAML (también llamada aserción SAML) ,se aplica en arquitecturas SOA/J2EE/Servicios Web.


Los límites del enfoque por token

El enfoque por token requiere que las aplicaciones sean capaces de leer el “token” y de dialogar con el servidor de autenticación. Desgraciadamente, las aplicaciones ya existentes (e incluso algunas nuevas aplicaciones) no pueden siempre adaptarse simplemente.
El SSO de empresa permite hacer el vínculo entre la autenticación inicial del usuario y las aplicaciones de la manera más universal
posible. El SSO (Single Sign-On: inicio de sesión único o inicio de sesión unificado ) de empresa interfaz directamente la ventana de demanda de identificador/contraseña de la aplicación y no tiene
necesidad de modificación ninguna.


¿Cual es la mas segura?

La fuerte autenticación multi-factores MFA , multi-soporte MSA son sin dudas las mas seguras.
Los factores de la autenticación multifactor contextual y biométrica añaden seguridad adicional y facilitan que los empleados accedan a su trabajo. Si dudas cuanto mas factores de seguridad tenemos, se vuelve mas tediosa la autenticación, por llo que se deberá buscar un equilibrio.

Les dejo un link a un artículo muy completo sobre el tema de una empresa Envian dedicada a este tema.

6. Cifrado (Criptografía)

Cifrado (Criptografía.)

Esto nació en la antigua Grecia, para evitar difundir secretos militares. La criptografía actual se inicia en la segunda mitad de la década de los años 70.

Maquina creada en 1923, utilizada en la 2da Guerra Mundial, con mecanismo de ruedas que modifica cifra lo tipeado, el mecanismo cifrado cambia al girar las ruedas y cambia el cifrado. Esto lógicamente es un cifrado que funciona mecánicamente.

No es hasta la invención del sistema conocido como DES (Data Encryption Standard) en 1976 que se da a conocer mas ampliamente, principalmente en el mundo industrial y comercial. Posteriormente con el sistema RSA (Rivest, Shamir, Adleman) en 1978, se abre el comienzo de la criptografía en un gran rango de aplicaciones: en transmisiones militares, en transacciones financieras, en comunicación de satélite, en redes de computadoras, en líneas telefónicas, en transmisiones de televisión, etcétera.

La criptografía es el desarrollo de un conjunto de técnicas que permiten alterar y modificar mensajes o archivos con el objetivo de que no puedan ser leídos por todos aquellos usuarios que no estén autorizados a hacerlo.

Ejemplo: Telegram encripta entre los extremos los mensajes. Cuando un mensaje va desde un celular a otro pasa por el Servidor, en el caso de estar encriptado en el Servidor NO se puede saber el contenido de estos mensajes, por que están encriptados extremo a extremo.

La encriptación se realiza mediante un proceso de cifrado. Cifrado es la acción por la cual el mensaje original es cambiado o alterado por alguna técnica.

Cifrar NO es gratis.

Uno de los principales límites de la “criptografía de clave pública” es que al requerir cálculos muy complejos se convierte en un proceso más lento debido al procesamiento matemático que se realiza.

La criptografía se divide en dos grandes ramas: la criptografía de clave privada o simétrica y la criptografía de clave pública o asimétrica, DES pertenece al primer grupo y RSA al segundo

6.1. Clave Pública - Clave Privada.

Criptografía.

La criptografía es el desarrollo de un conjunto de técnicas que permiten alterar y modificar mensajes o archivos con el objetivo de que no puedan ser leídos por todos aquellos usuarios que no estén autorizados a hacerlo.

Esto nació en la antigua Grecia, para evitar difundir secretos militares.

Observación: La traducción de la palabra en inglés:  encrypt  es  cifrar, pero se suele utilizar de manera erronea encriptar.

Ejemplo: Telegram cifra entre los extremos los mensajes. Cuando un mensaje va desde un celular a otro pasa por el Servidor, en el caso de estar encriptado en el Servidor NO se puede saber el contenido de estos mensajes, por que están encriptados extremo a extremo

La encriptación se realiza mediante un proceso de cifrado.

Cifrado en la acción por la cual el mensaje original es cambiado o alterado por alguna técnica.

Nada es gratis.

Uno de los principales límites de la “criptografía de clave pública” es que al requerir cálculos muy complejos se convierte en un proceso más lento debido al procesamiento matemático que se realiza.

Existen distintos tipos de Criptografía.

Criptografía simétrica:

La criptografía simétrica se refiere al conjunto de métodos que permiten tener comunicación segura entre las partes siempre y cuando anteriormente se hayan intercambiado la clave correspondiente que llamaremos clave simétrica. La simetría se refiere a que las partes tienen la misma llave tanto para cifrar como para descifrar.
Resumiendo:
Solo utiliza una clave para cifrar y descifrar. Ésta debe ser previamente conocida por todas las partes involucradas.

Aunque no existe un tipo de diseño estándar, quizá el más popular es el de Feistel, que consiste esencialmente en aplicar un número finito de interacciones de cierta forma, que finalmente da como resultado el mensaje cifrado. Este es el caso del sistema criptográfico simétrico más conocido, DES (Sistema de cifrado de datos). Una variante se llama TDES, que resulta de aplicar 3 veces DES.
Existe una clasificación de este tipo de criptografía en tres familias, la criptografía simétrica de:
  • bloques (block cipher).
  • lluvia (stream cipher).
  • de resumen (hash functions).
Aunque con ligeras modificaciones un sistema de criptografía simétrica de bloques puede modificarse para convertirse en alguna de las otras dos formas, e inversamente, sin embargo es importante verlas por separado dado que se usan en diferentes aplicaciones.

Un problema que existe es la distribución o compartir las claves simétricas, si esto se realiza de manera no segura, el resultado NO puede garantizar que realmente sea seguro!!

Criptografía asimétrica o criptografía de clave pública

La criptografía asimétrica (del inglés: asymmetric key cryptography), también conocida como criptografía de clave pública (public key cryptography) o criptografía de dos claves (two-key cryptography), es un sistema criptográfico que se caracteriza por utilizar dos claves, una clave pública y otra privada, para el envío de mensajes o datos informáticos.

La criptografía asimétrica tiene dos usos principales:
    - Autenticación.
    - Confidencialidad.

El nacimiento de la criptografía asimétrica se dio al estar buscando un modo más práctico de intercambiar las llaves simétricas (Diffie y Hellman0), proponen una forma para hacer esto, sin embargo no fue hasta que el popular método de Rivest Shamir y Adleman RSA publicado en 1978, cuándo toma forma la criptografía asimétrica, su funcionamiento esta basado en la imposibilidad computacional de factorizar números enteros grandes.

Se utiliza para intercambiar claves privadas :-)

Esta metodología tiene como base la utilización de dos claves diferentes, pero vinculadas matemáticamente entre sí, utilizadas para cifrar y descifrar el mensaje. Una de ellas debe ser pública, propia de cada participante pero puesta a disposición de cualquier usuario, sea participante en el intercambio de  información o no.
En cuanto al procedimiento, es el siguiente :

Por lo tanto, si la clave pública se usa para cifrar los datos, solo el usuario con la clave privada puede descifrar los datos.
Si la clave privada del usuario, se usa para cifrar un fragmento de datos, solo la clave pública del usuario descifrará los datos.

La clave Pública se usa para cifrar y descifrar, dependiendo del escenario.

Puesto que las claves públicas se distribuyen libremente, hace falta un esquema de confianza que garantice la autenticidad de las claves públicas, esto se logra con Infraestructuras de clave publica (PKI).

Notar el destinatario puede estar seguro que el contenido NO fue cambiado, ya que usó la clave Publica para poder descifrar.

Los métodos criptográficos garantizan que esa pareja de claves solo se puede generar una vez, de modo que se puede asumir que no es posible que dos personas hayan obtenido casualmente la misma pareja de claves.  Esto por ejemplo se usa en sitios Webs.

Ventajas y Desventajas del Cifrado Asimétrico.

La mayor ventaja de la criptografía asimétrica es que la distribución de claves es más fácil y segura ya que la clave que se distribuye es la pública manteniéndose la privada para el uso exclusivo del propietario, pero este sistema tiene bastantes desventajas:

Desventajas:
  • Para una misma longitud de clave y mensaje se necesita mayor tiempo de proceso.
  • Las claves deben ser de mayor tamaño que las simétricas (generalmente son cinco o más veces de mayor tamaño que las claves simétricas).
  • El mensaje cifrado ocupa más espacio que el original.
Ventajas:
  • Tiene un alto grado de seguridad debido al sistema y que utiliza una llave para cifrar y otra para descifrar.
  • Ofrece un alto nivel de confidencialidad y autenticidad (o integridad) y garantiza la no alteración del mensaje.

Vocabulario:

PGP

Pretty Good Privacy (PGP -  privacidad bastante buena) es un programa desarrollado por Phil Zimmermann y cuya finalidad es proteger la información distribuida a través de Internet mediante el uso de criptografía de clave pública, así como facilitar la autenticación de documentos gracias a firmas digitales.

Sello Electrónico o Sello Digital.

El certificado de sello electrónico, es el sello estampado de toda la vida y sirve para identificar una empresa o entidad sin la necesidad de incluir datos personales, por lo que solo está disponible para personas jurídicas.

Tipos de Sellos Digitales:

  • P12. Puede instalarse en un gran número de ordenadores o máquinas y estos suelen estar asociados a personas que no van a realizar sellado masivo, aunque también sería posible importarlo a una aplicación que permita este tipo de servicio.
  • CSR. El usuario genera la clave privada en la máquina donde va a instalar el certificado de sello electrónico. Esta es intransferible y no puede reutilizarse, por lo que no puede instalarlo en otra máquina. Suele usarse para procesos críticos y para departamentos técnicos.
  • HW. Va implementado en una tarjeta y mucho más enfocado al cliente que quiere darle la mayor validez jurídica a la firma, ya que hace firma cualificada.

Firma Digital.

La firma electrónica es un conjunto de datos electrónicos que incluyen información personal y única -por lo que no hay posibilidad de repudio - sobre su firmante en el documento electrónico al que va asociada. Es mas bíen de uso de personas físicas.

Este sitio es para la creación de una firma digital con validez en nuestro país.


DES.

DES (Data Encryption Standard - ). A finales de la década de 1990 se lanzaron diferentes desafíos para comprobar el esfuerzo necesario para romper el cifrado DES. Observándose que DES ya no era adecuado como sistema de cifrado. Incluso TDES triple DES, un algoritmo en el que se utiliza DES tres veces, no es seguro frente a ataques de fuerza bruta.

AES

Advanced Encryption Standard.  El NIST (National  Institute of Standards Technology)  convocó a un concurso para poder tener un sistema simétrico que sea seguro y pueda usarse al menos en los próximos 20 años como estándar.   En la mitad del año de 1998 se aceptaron  15 candidatos,  estos se han sometido a  pruebas públicas y por parte del NIST. En el concurso quedaron 5 finalistas que eran: MARS, RC6, Rijndael (pronunciado "Rain Dahl" en inglés), Serpent, y Twofish.

El ganador fué Rijndael (pronunciado "Rain Dahl" en inglés) con un esquema de cifrado por bloques adoptado como un estándar de cifrado por el gobierno de los Estados Unidos, creado en Bélgica. 

El AES fue anunciado por el NIST como FIPS PUB 197 de los Estados Unidos (FIPS 197) el 26 de noviembre de 2001 después de un proceso de estandarización que duró 5 años. Se transformó en un estándar efectivo el 26 de mayo de 2002. Desde 2006, el AES es uno de los algoritmos más populares usados en criptografía simétrica.

El cifrado de datos AES es un algoritmo criptográfico más elegante y eficiente, pero su principal fortaleza reside en la opción de utilizar diferentes longitudes de clave. Pudiéndose elegir entre claves de 128, 192 o 256 bits, lo que lo hace mucho más robusta que la clave de sólo 56 bits empleada en DES.

AES además es un algoritmo eficiente tanto en implementaciones de software como de hardware, cosa que no sucedía con DES. Las implementaciones software de DES no eran eficientes.

Hash.

Una herramienta fundamental en la criptografía son las funciones HASH, usadas principalmente para  resolver el problema de la integridad de los mensajes, así como la autenticidad de mensajes y de su origen.
Una función HASH es también ampliamente usada para la firma digital, ya que los documentos a firmar pueden ser  en general demasiado grandes la función HASH les asocia una cadena de longitud 160 bits que son mas manejables para el propósito de firma digital.

La función HASH tiene como entrada un conjunto de elementos, que suelen ser cadenas, y los convierte en un rango de salida finito, normalmente cadenas de longitud fija.

MD5 (técnicamente llamado MD5 Message-Digest Algorithm) es una función de hash criptográfico, veamos como calcularlo desde la terminal de Linux.

Como podemos ver los archivos cadena_de_text.txt y cadena_de_texto1.txt NO son iguales de largos, pero los Hash tienen la misma cantidad de caracteres.

6.2. ¿Que problemas resuelve?

Confidencialidad, Autenticidad e Integridad.

La privacidad o confidencialidad se refiere a que la información  sólo pueda ser leída por personas autorizadas.
Es la capacidad de un mensaje para mantener oculto su contenido de tal forma que si una tercera persona ve el mensaje no pueda interpretar su contenido.

En este escenario, el Emisor genera las claves públicas y privadas. Socializa la Clave Pública, o sea que cualquiera que le envíen un mensaje, correo en este caso y lo encripta con la Clave Pública del Emisor, se está asegurando que SOLO el Emisor podría ver el contenido, por que es el único que conoce la clave Privada para descifrar, esto permite tener una Confidencialidad e Integridad.

Por el contrario si el Emisor cifra con la clave Privada, solo los receptores con la clave pública podrán leer el contenido, esto permite tener Autenticidad e Integridad.


Autenticidad:

La autenticidad, se refiere a que se pueda confirmar que el mensaje recibido haya sido mandado por quien dice lo mando o que el mensaje recibido es el que se esperaba.

Se refiere a garantizar que el mensaje ha sido enviado por quien dice ser.

En este caso, David generó las claves. El mensaje que escribe David SOLO puede ser desencriptado por la llave pública que generó David, por lo tanto Ana puede estar SEGURA que el mensaje es definitivamente de David, esto se conoce como Firma Digital.

Integridad:

La integridad, se refiere a que la información no pueda ser alterada en el transcurso de ser enviada.

Se refiere a que los elementos, mensajes, datos, documentos, y otras formas de contenido no han sido modificados en tránsito o en reposo.  Para esto se requiere poner o incrustar un sello electrónico dentro del mensaje, este sello es creado combinando la totalidad del mensaje o una parte significativa en una cadena la cual deberá ser pasado por un algoritmo de digestión como MD5, SHA-1, SHA-2 con el fin de crear una cadena mucho mas reducida, esta cadena deberá ser cifrada mediante un certificado de sello digital. Si en el camino alguien MODIFICA el mensaje se podrá detectar.

Notar que aquí NO validamos quien envió por ejemplo, estamos hablando del Contenido.. buscamos que el contenido NO sea modificado y si es modificado que se pueda detectar.

Imaginemos los expedientes del Poder Judicial , con las transcripciones  de declaraciones de testigos, por ejemplo.

Imaginemos que recibimos un mail del Rector de la Universidad indicando que se disolverá la Facultad de Ingeniería. Deberíamos poder estar seguros que efectivamente el escribió eso en el mail y que alguien no cambió el contenido del mismo.

6.3. PKI

La Infraestructura de Clave Pública (PKI, por sus siglas en inglés, Public Key Infrastructure) es un conjunto de tecnologías, políticas y estándares diseñados para facilitar la gestión segura de claves criptográficas y certificados digitales.

La PKI se utiliza principalmente para asegurar la comunicación y autenticación en entornos digitales, como la transferencia segura de datos a través de Internet y la autenticación de usuarios en sistemas informáticos.

Los componentes principales de una PKI incluyen:

  1. Certificados Digitales: Son documentos electrónicos que vinculan una clave pública a una entidad específica, como una persona, una organización o un dispositivo. Los certificados digitales se emiten y firman digitalmente por una Autoridad de Certificación (CA) de confianza.

  2. Claves Criptográficas: Las claves públicas y privadas son pares de claves utilizados en criptografía asimétrica. La clave pública se comparte libremente, mientras que la clave privada se mantiene en secreto. Estas claves se utilizan para cifrar, firmar y verificar información.

  3. Autoridades de Certificación (CA): Las CAs son entidades de confianza que emiten, renuevan y revocan certificados digitales. También garantizan la autenticidad de las entidades que solicitan certificados.

  4. Autoridades de Registro (RA): Las RAs son responsables de verificar la identidad de las entidades que solicitan certificados antes de enviar la solicitud a la CA.

  5. Directorio o Base de Datos de Claves Públicas: Es un repositorio donde se almacenan las claves públicas y otros datos relacionados con los certificados digitales para que las partes puedan buscar y verificar la información.

  6. Políticas de Certificación y Declaraciones de Prácticas: Estos documentos definen las reglas y procedimientos que rigen la emisión y el uso de los certificados digitales en una PKI específica.

La PKI se utiliza en una variedad de aplicaciones, como la firma electrónica, el cifrado de datos, la autenticación de usuarios y la seguridad de transacciones en línea. Proporciona una infraestructura sólida para garantizar la seguridad y la integridad de la información en entornos digitales, ayudando a prevenir la suplantación de identidad, el fraude y el acceso no autorizado a datos confidenciales.



Secuencia de funcionamiento,,,



Sitios que generan Certificados:

https://letsencrypt.org/    Gratuito

https://www.sectigo.com/   Pago

6.4. Intercambio de llaves - Key exchange

La criptografía de clave simétrica, también conocida como criptografía de clave secreta compartida, se utiliza como medida de seguridad para el envío y recepción de información.
Es una manera de asegurar la privacidad de la información transmitida o recibida, así como la seguridad de los archivos personales a los cuales no deseas que otras personas puedan tener acceso.
Recordemos que el propósito de que  compartan una clave simétrica es por que con ella estas personas consiguen:privacidad de la información transmitida o recibida.

El punto flojo en ese escenario es que ambos extremos deben poseer una clave simétrica y compartir la clave simétrica entre los extremos es el punto flojo.
Para poder subsanar ese punto flojo se utiliza inicialmente un sistema de claves asimétrica, para generar un canal seguro (en un sentido)  y luego poder compartir en ese cana la clave simétrica.

Para comprender mejor, vamos a plantear un ejemplo de cartas:

Supongamos que Alicia le escribe una carta a Roberto , el cartero o cualquier otro pueden abrir la carta y leer su contenido, el contenido NO está cifrado. Entonces vamos a implementar otra manera para lograr privacidad de la información transmitida o recibida.

Roberto tiene sistema de cifrado Asimétrico ( clave Pública/Privada ), entonces Alicia cifra con la clave pública  el contenido de la carta.

Alicia esta segura que el único que puede saber que dice la carta es Roberto. Roberto no está seguro que la carta que le llega sea necesariamente de Alicia, pero si puede saber que él es el único que sabe el contenido.

Alicia puede estar segura que el contenido que transmite solo Roberto puede verlo, por que usa la clave pública para cifrar, pero lo que Alicia  recibe debe descifrar con la clave pública de Roberto, por lo que NO tiene privacidad en lo que recibe. 

Como el cartero NO conoce la clave privada de Roberto NO puede saber que dice la carta que Alicia le envió a Roberto, pero podría intentar leer lo que Roberto le contesta a Alicia,  ya que la clave utilizada para cifrar y descifrar es publica y de publico conocimiento.

Alicia y Roberto tienen un canal seguro (canal cifrado) donde el contenido que le llega a Roberto SOLO lo puede ver Roberto, pero lo que recibe Alicia LO PUEDE VER CUALQUIERA .

En este canal Roberto y  Alicia comparten una clave privada, SOLO Roberto puede saber la clave privada por que utiliza su clave privada del cifrado asimétrico para saber la clave que le comparte Alicia.

De ahora en mas, Roberto va a usar con Alicia esta clave privada simétrica para cifrar el mensaje.

El Cartero, va a intentar usar la clave Pública de Roberto para ver, pero el mensaje está cifrado por una clave privada que compartieron Roberto y Alicia, de ahora en mas la comunicación logra privacidad de la información transmitida o recibida.

6.5. TLS y SSL

TLS (Transport Layer Security - Seguridad de la capa de transporte ) y SSL (Secure Sockets Layer - Capa de Sockets Seguros) se mencionan a menudo cuando se habla de la seguridad de Internet y del sitio web.

Para hacer las cosas aún más confusas para los legos, estos términos a menudo se usan indistintamente y no son lo mismo.

Pero, ¿cómo funcionan realmente TLS y SSL? ¿Hay alguna diferencia que debamos tener en cuenta?. Vamos a tratar de responder esas preguntas.

Tanto TLS como SSL funcionan como protocolos criptográficos que se utilizan para cifrar datos entre un servidor web y los usuarios, con el propósito de que no se puede "ver" el contenido que se está intercambiando entre los equipos, esto se logra encriptando los datos y autentificando una conexión cuando se mueven los datos en Internet.

SSL:

La versión original de SSL fue desarrollada por Netscape en 1994, pero nunca se lanzó oficialmente debido a fallas de seguridad fácilmente explotables.
Una versión mejorada 2.0 fue lanzada en febrero de 1995, pero tenía serias fallas propias, que serían parcheadas por SSL 3.0 solo un año después.
Con SSL se pueden usar diferentes algoritmos para las diferentes aplicaciones, por ejemplo usa DES, TDES, RC2, RC4, MD5, SHA-1, DH y RSA, cuando una comunicación está bajo SSL la información que es cifrada.

El procedimiento que se lleva acabo para establecer una comunicación segura con SSL es el siguiente:
    1) El cliente (browser) envía un mensaje de saludo al Server “ClientHello”.
    2) El server responde con un mensaje “ServerHello”.
    3) El server envía su certificado.
    4) El server solicita el certificado del cliente.
    5) El cliente envía su certificado: si es válido continua la comunicación si no, se detiene o sigue la comunicación sin el certificado del cliente.
    6) El cliente envía un mensaje  “ClientKeyExchange” solicitando un intercambio de claves simétricas si es el caso.
    7) El cliente envía un mensaje “CertificateVerify” si se ha verificado el certificado del server, en caso de que el cliente este en estado de autenticado.
    8) Ambos (cliente y server) envían un mensaje “ChangeCipherSpec” que significa el comienzo de la comunicación segura.

9) Al término de la comunicación ambos envían el mensaje  “finished” con lo que termina la comunicación segura, este mensaje consiste en un intercambio del HASH de toda la conversación, de manera que ambos están seguros que los mensajes fueron recibidos intactos.

La versión más reciente de SSL es la v3, existen otro protocolo parecido a SSL solo que es desarrollado por IETF que se denomina TLS y difiere en que usa un conjunto un poco mas amplio de algoritmos criptográficos. Por otra parte existe también SSL plus, un protocolo que extiende las capacidades de SSL y tiene por mayor característica que es interoperable con RSA, DSA/DH y CE (Criptografía Elíptica).

TLS:

TLS fue concebido por Consensus Development como una actualización de SSL 3.0.
Fue lanzado en 1999 y sería reemplazado en 2006 por TLS 1.1, que agregó protección contra CBC (Cipher Block Chaining - Encadenamiento de Bloques de Cifrado ). En 2008, TLS 1.2 agregó un conjunto adicional de actualizaciones, siendo la última versión TLS 1.3, lanzada en 2018.
 
El TLS es la siguiente generación del Certificado SSL : permite y garantiza el intercambio de datos en un entorno securizado y privado entre dos entes, el usuario y el servidor, mediante aplicaciones como HTTP, POP3, IMAP, SSH, SMTP o NNTP. Nos referimos al TLS como la evolución del SSL dado que está basado en éste último certificado y funciona de manera muy similar, básicamente: encripta la información compartida.
 
¿Cómo la encripta?
Mediante dos protocolos en capas diferentes: el protocolo de autenticación (llamado TLS Record Protocol) y el de mútuo acuerdo (también conocido como TLS Handshake Protocol).
 
El protocolo TLS se distingue por la seguridad con la interoperabilidad (las transmisiones de datos encriptados de diferentes aplicaciones como HTTP, que pasa a ser HTTPS).

Si bien TLS y SSL son fundamentalmente similares, teniendo en cuenta que TLS 1.0 se basó en SSL 3.0, aún existen diferencias en la forma en que funcionan:

SSL TSL
Cifrado Ofrece soporte para el paquete de cifrado Fortezza.  Ofrece soporte para cifrado RC4, Triple DES, AES, IDEA.
Mensajes de Alerta Mensaje de alerta "Sin certificado". Diferentes mensajes de alerta según la situació
Protocolo de Registro Utiliza MAC (Código de autenticación de mensajes). Utiliza HMAC (código de autenticación de mensajes basado en hash).
Proceso de Handshake El cálculo de hash incluye el secreto maestro y el pad. Los hashes se calculan sobre el mensaje de protocolo de enlace.
Mensaje de Autoenticación Método ad-hoc para adjuntar detalles clave y datos de la aplicación.


 Adjuntar detalles clave y datos de la aplicación a través de HMAC.

¿ Que es la Fortezza Cripto Card ?

La Crypto Card de Fortezza, anteriormente llamada Tessera, es una tarjeta de PC (anteriormente PCMCIA, Asociación Internacional de Tarjetas de Memoria para Computadoras Personales) desarrollada por la NSA ( National Security Agency - Agencia Nacional de Seguridad ) que implementa los algoritmos Capstone. La tarjeta brinda seguridad a través de la verificación, autenticación, no repudio y encriptación.
Las tarjetas PCMCIA, ya no son comunes de observar en los equipos actuales.
Fortezza está diseñado para usarse con el Servicio de mensajería de defensa (DMS) y está controlado por exportación.
Varios proveedores han anunciado compatibilidad con la tarjeta Fortezza; La NSA también ha creado y demostrado una biblioteca basada en PKCS #11  que interactúa con la tarjeta. En criptografía, PKCS (Public-Key Cryptography Standards - Estándares de criptografía de clave pública) se refiere a un grupo de estándares de criptografía de clave pública concebidos y publicados por los laboratorios de RSA en California, hay distintas versiones de PKCS.  Actualmente la última es PKCS#15.

Actualmente, la NSA está trabajando con empresas (como "VLSI") para desarrollar productos comerciales que implementen algoritmos de Fortezza. VLSI está diseñando un chip "Regente" que agrega algoritmos DES y RSA. La NSA también apoya el desarrollo comercial de chips de tarjetas inteligentes con capacidad de algoritmo Fortezza.

IPsec -Internet Protocol SECcurity.

Es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado.

IPSEC combina encriptaciones asimétricas y simétricas para brindar seguridad y mantener la velocidad.

Utiliza IKE protocol (Internet Key Exchange -Intercambio de claves de Internet) para lograr el cifrado.

La mayoría de los otros protocolos de seguridad funcionan en la capa de aplicación de la comunicación de red. Una ventaja importante de IPsec es que, debido a que opera a nivel de red en lugar de a nivel de aplicación, puede encriptar un paquete completo de IP. Lo hace con dos mecanismos:

Encabezado de autenticación (AH) : Coloca una firma digital en cada paquete, protegiendo su red y sus datos de la interferencia de terceros => Integridad . Un AH significa que el contenido de un paquete de datos no puede modificarse sin detección, y también permite la verificación de identidad entre los dos extremos de una conexión IPSec .

Observación: Si en el encabezado IP se implementara un cifrado para dar privacidad, los routers podrían saber origen/destino :-).


Carga de Seguridad Encapsulada (ESP) :  Mientras que el AH evita la manipulación de un paquete, el ESP garantiza que la información dentro del paquete esté encriptada y no pueda leerse   =>Privacidad . Se utilizan un encabezado ESP, un tráiler y un bloque de autenticación para cifrar la carga útil completa de un paquete.

Para Windows hay varios artículos que indican como implementar o bien habilitar esta característica.
Para Linux, se instala desde una terminal con sudo apt-get install.
IPsec es recomendado y no obligatorio para IPv6. Para IPv4, su uso es opcional.

Ventajas


    Como IPSec opera en la capa de red, los cambios solo deben realizarse en el sistema operativo en lugar de las aplicaciones individuales.
    IPSec es completamente invisible en su funcionamiento, por lo que es la opción ideal para las VPN.
    El uso de AH y ESP garantiza los niveles más altos posibles de seguridad y privacidad.


Desventajas


    IPSec es más complicado que los protocolos de seguridad alternativos y más difícil de configurar.
    Se requieren claves públicas seguras para IPSec. Si su clave se ve comprometida o tiene una gestión deficiente de la clave, puede experimentar problemas.
    Para la transmisión de paquetes de pequeño tamaño, IPSec puede ser una forma ineficiente de encriptar datos.

6.6. Certificados e Infraestructura.

Certificado:

Un certificado  es un pequeño archivo de datos que vincula identidad digital en una clave criptográfica con los datos de una organización.

Los certificados se pueden dividir según la identidad:

  • Certificados de Persona Física. Son los que incorporan la identidad de un sujeto físico o ciudadano. Está orientado a ciudadanos (es decir, a terceros físicos) y están fundamentalmente pensados para trámites personales aunque, en determinadas circunstancias, pueden ser usados en el ámbito profesional.
  • Certificados de Persona Jurídica. Incorporan una identidad jurídica. Su uso está pensado para todo tipo de organizaciones, ya sean empresas, administraciones u otro tipo de organizaciones, todas ellas con una identidad de tipo jurídico.
  • Certificados de entidad sin personalidad jurídica. Vinculan a su suscriptor unos datos de verificación de firma y confirma su identidad para ser utilizados únicamente en las comunicaciones y transmisiones de datos por medios electrónicos, informáticos y telemáticos en el ámbito tributario.

Un certificado digital identifica a su titular, mientras que la firma digital solo identifica al firmante de un documento o archivo concreto

Por ejemplo, en el caso del sitio de un banco, una vez instalado en el servidor web, el certificado activa el candado y el protocolo HTTPS y, de esta forma, se habilita una conexión segura desde el servidor web hasta el navegador.

Los certificados también se pueden dividir por:

  • ámbitos de aplicación
  • software
  • hardware.

Infraestructura de clave pública

La infraestructura de clave pública (PKI) es un conjunto de roles, políticas, hardware, software y procedimientos necesarios para crear, administrar, distribuir, usar, almacenar y revocar certificados digitales y administrar el cifrado de clave pública. El propósito de una PKI es facilitar la transferencia electrónica segura de información para diversas actividades de la red, como comercio electrónico, banca por Internet y correo electrónico confidencial.
Por tanto, una PKI incluye los elementos de red, servidores, aplicaciones, etc. Ahora vamos a identificar algunos de los componentes lógicos básicos de una infraestructura de clave pública:

- Autoridad de certificación CA. Una autoridad de certificación es el componente responsable de establecer las identidades y de crear los certificados que forman una asociación entre la identidad y una pareja de claves pública y privada.

- Autoridad de registro RA. Una autoridad de registro es la responsable del registro y la autenticación inicial de los usuarios a quienes se les expedirá un certificado posteriormente si cumplen todos los requisitos.

- Servidor de certificados. Es el componente encargado de expedir los certificados aprobados por la autoridad de registro. La clave pública generada para el usuario se combina con otros datos de identificación y todo ello se firma digital mente con la clave privada de la autoridad de certificación.

- Repositorio de certificados. Es el componente encargado de hacer disponibles las claves públicas de las identidades registradas antes de que puedan utilizar sus certificados. Suelen ser repositorios X.500 o LDAP. Cuando el usuario necesita validar un certificado debe consultar el repositorio de certificados para verificar la firma del firmante del certificado, garantizar la vigencia del certificado comprobando su periodo de validez y que no ha sido revocado por la CA y que además cumple con los requisitos para los que se expidió el certificado; por ejemplo, que el certificado sirve para firmar correo electrónico.
A título Informativo.
En Argentina ACONTI ( Autoridad Certificante de la Oficina Nacional de Tecnologías de Información )  administrada por la DIRECCIÓN NACIONAL DE TRAMITACIÓN E IDENTIFICACIÓN A DISTANCIA de la  SUBSECRETARÍA DE GESTIÓN ADMINISTRATIVA dependiente de la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA de la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS DE LA NACIÓN, presta los servicios de certificación, de acuerdo con los términos de la Política Única de Certificación.
La ACRAIZ (Autoridad Certificante Raíz de la República Argentina) que permite gestionar una firma digital indica en la pagina web los pasos a seguir:
Para el caso de una firma digital  este sitio también proporciona ayuda-:

7. Disponibilidad

Disponibilidad. 

En términos de componentes necesarios como hardware, redes informáticas, software, dispositivos, equipos y disponibilidad significa que todo debe ser actualizado y mantenido. 

La razón por la que es importante es que proporciona un funcionamiento sin problemas y acceso a los datos sin interrupciones. 

Las utilidades como cortafuegos, servidores proxy, soluciones de copia de seguridad y planes de recuperación son puntos clave contra un ataque cibernético. Otro tipo de autenticación es la que se basa en algo de propiedad del usuario, por ejemplo, la tarjeta de crédito, pasaportes o también son los Tokens que generan números aleatorios o palabras claves.

Las copias de seguridad, normalmente se ven como perdidas de tiempo y se busca que el proceso sea automático y eterno, pero no tenemos en cuenta que debe ser responsabilidad de alguien verificar que todo esté funcionando, si no es como el seguro de un auto, se puede pagar toda la vida, pero si no pagaste justo el mes que chocaste ..no sirve de nada.

Otra cuestión importante es tener certeza sobre que se debe hacer backup, ejemplo, sobre las bases de datos debería ser diario por ejemplo, pero sobre las aplicaciones, solo cuando se van a actualizar.


"La Barrera más fuerte a la que se enfrenta una empresa al querer
aplicar los mecanismos preventivos, es la aceptación y el compromiso de todos los
involucrados, hacer entender que no es una carga, es parte de los procesos y de lo
que se debe hacer bien en la organización."

Habeas Data

Concepto de Habeas Data

Definición de habeas data en el contexto del derecho administrativo público argentino.

 Garantía de amparo judicial que respalda el derecho de cada uno a controlar la información que le concierne, accediendo a los bancos de datos públicos y privados

En la fundamentación del habeas data se tuvo en cuenta el derecho de las personas a conocer la información sobre ella, que se encontraba oculta, había sido arbitraria e igualmente obtenida o distorsionada, parcial y fundamentalmente destinada a la «persecución ideológica», que obraba en los registros de las oficinas de inteligencia respondiendo su compilación a una decisión política sesgada por designios represivos de los gobiernos de facto o dictatoriales.

En este link podemos ver la ley 25326 que trata este tema de datos personales.

https://www.argentina.gob.ar/normativa/nacional/ley-25326-64790



8. Amenazas

Ya hemos hablado de los resultados que se derivan de la falta de seguridad informática. Puede causar problemas financieros, médicos, gubernamentales o incluso desastres. Pero, ¿Qué los causa exactamente? Los ciber-delincuentes se vuelven muy sofisticados cuando se trata de sus tácticas, por lo que crean muchas amenazas o "trampas" que pueden atraer a personas inocentes hacia las ciber-amenazas.

Virus.

La más popular con la que probablemente todo el mundo se ha topado a lo largo de su vida. Aunque muchos se refieren a cada amenaza de seguridad informática como un virus, no es del todo cierto. El virus es un fragmento de código malicioso que se carga en un equipo sin el permiso de los usuarios. Puede adjuntarse a otros archivos y extenderse por toda la red. Uno de los principales objetivos de la ciberseguridad es prevenir este tipo de amenazas.

DDoS (Denegación de Servicio Distribuida).

Esta amenaza intenta interrumpir el tráfico normal de la web y desconectar un sitio inundando el sistema con más solicitudes de las que puede manejar.

Malware.

Este es un término que se refiere a un programa que se crea para dañar una computadora. Abarca: virus, spyware, troyanos, ingeniería social y gusanos.

Gusanos.

Es una amenaza similar a un virus. Puede auto-replicarse como un virus, pero no necesita conectarse a un programa de computadora. Buscan vulnerabilidades en una computadora y las reportan a su creador, que toma las medidas correspondientes.

Troyano.

Otra amenaza popular de la que probablemente todo el mundo ha oído hablar. Es un tipo de malware que se disfraza de software legítimo. Puede ser en forma de programas de eliminación de virus, pero en su lugar realiza actividades maliciosas cuando se instala y ejecuta.

Ingeniería social.

Es una técnica que se utiliza para engañar y manipular a los usuarios para obtener su información y acceder a su ordenador. Esto se consigue mediante enlaces maliciosos o accediendo físicamente al mismo. Esto puede causar enormes problemas a muchas organizaciones si no son conscientes de lo qué es seguridad informática.

En este link https://www.incibe.es/    tenemos una presentación con algunos conceptos y definiciones.

Phishing.

Es una forma de amenaza de ingeniería social, que trata de adquirir información sensible o confidencial de los usuarios.

Spyware.

Supervisa la actividad de su ordenador y recopila información personal

El spyware o adware se puede instalar en un dispositivo a través de enlaces, software o archivos adjuntos maliciosos.


Ransomware.

Esto puede considerarse como la amenaza cibernética de más rápido crecimiento.

Es un tipo de malware que exige el pago después de encriptar los archivos de los usuarios, haciéndolos inaccesibles. Cabe señalar que el pago del rescate no garantiza la recuperación de los datos cifrados, así que tenga cuidado.

Algunas formas de contagio:

1. Archivos adjuntos de correo electrónico

2. URL maliciosas

3. Protocolo de escritorio remoto

4. Malvertising  (publicidad maliciosa)

5. Descargas automáticas

6. Propagación de red

7. Software pirateado


MITM (Hombre en el Medio).

Esta amenaza se produce cuando el usuario se expone a la red no segura. Se llama MITM porque el cibercriminal se inserta entre el usuario y el servidor. El usuario pasará la información a través del hacker sin saberlo.


Inyección de SQL.

Esto sucede cuando el atacante inserta código malicioso en un servidor que utiliza el lenguaje de consulta estructurado SQL. Las "inyecciones" sólo tienen éxito cuando existe una vulnerabilidad de seguridad. Si lo hace, el ataque obligará al servidor a proporcionar acceso o a modificar los datos.



9. Ataques

¿Qué es un ataque de intermediario?

Un ataque de intermediario es aquel en el que un hacker es capaz de interceptar, modificar y redirigir el tráfico de red de un usuario. De este modo, el atacante puede espiar las comunicaciones del usuario, robar datos confidenciales o dinero y hacer ataques de pharming o phishing.

Existen diferentes métodos para hacer ataques de este tipo.

  • El envenenamiento de ARP
  • El DNS Spoofing
  • El ataque con SSLStrip

Estos son los tres de los más comunes. Para ahondar acerca del tema de qué es un ataque de intermediario, a continuación te explicamos en qué consisten estas tres técnicas:

Envenenamiento de ARP

El envenenamiento de ARP es una de las formas de perpetrar ataques MITM (Man In The Middle).

ARP es un protocolo que permite que un dispositivo conozca la dirección física (MAC) de una tarjeta de interfaz de red correspondiente a una IP. El envenenamiento de ARP consiste en infectar un dispositivo y utilizarlo para hacerle creer a otros dispositivos de la red que él es el router. De este modo, los otros ordenadores dirigen todas sus comunicaciones a ese ordenador y queda interceptado el tráfico de la red. Por esta razón, configurar de forma segura una red compartida es un factor esencial para defenderse de este ciberataque.

DNS Spoofing

Otra manera de intervenir el tráfico de datos es redirigir al usuario a sitios webs maliciosos por medio del DNS Spoofing. Un servidor DNS (Domain Name System) cumple con la función de conectar el nombre de un dominio con la dirección IP de la página web que un usuario solicite visitar. El ciberataque del DNS Spoofing consiste en intervenir el servidor DNS para que redirija el tráfico de la red hacia sitios webs maliciosos, con el fin de robar datos confidenciales, dinero e instalar malwares.

SSLStrip

El ataque con SSLStrip fue descubierto por Moxie Marlinspike, quien estuvo a cargo de la ciberseguridad de la red social Twitter. Con este ataque, su desarrollador se concentró en encontrar cómo descifrar el tráfico de datos después de que se logra interceptarlo.

Algunas páginas web cuentan con una política de ciberseguridad conocida como HSTS (HTTP Strict Transport Security), que obliga a que la conexión con un sitio deba ser siempre por medio del protocolo HTTPS, que cifra la comunicación entre el usuario y la página.

Sin embargo, SSLStrip es una herramienta que permite identificar qué páginas no cuentan con la política de HSTS y redirigen al usuario a la versión HTTP del sitio. De este modo, se adquiere acceso a las comunicaciones del usuario sin la capa de cifrado.  La idea es que la víctima y el agresor se comuniquen a través de HTTP, mientras que el atacante y el servidor, se comunican a través de HTTPS con el certificado del servidor. Por lo tanto, el atacante es capaz de ver todo el tráfico en texto plano de la víctima.


9.1. Phising

Son correos electrónicos en apariencia legítimos o incluso llamadas telefónicas que solicitan información confidencial, suplantando la identidad de una organización o persona. Su objetivo es acceder a los datos privados de sus víctimas, como contraseñas o datos bancarios.

Una encuesta global de OpenText revela que el volumen medio global de ataques de phishing se incrementó 34% desde 2020. Lo preocupante es que el 76% admite abrir emails de emisores desconocidos y el 59% asegura que los emails ilegítimos son más realistas que nunca.

En un caso de reciente difusión, el Banco Central de la República Argentina alertó sobre emails y mensajes de texto que simulan ser legítimos, pero son falsos. La nueva modalidad en estafa virtual consiste en el envío de un correo con una firma falsa de un directivo de la institución, con el objetivo de  obtener datos de cuentas bancarias y acceder a sus fondos.
El phishing no es un software, se trata de diversas técnicas de “Ingeniería social” como la suplantación de identidad, con el fin de obtener datos privados de las víctimas, como por ejemplo las contraseñas o datos bancarios.

Los medios más utilizados son el correo electrónico, mensajería o llamadas telefónicas, mediante el cual el atacante se hace pasar por alguna entidad u organización conocida, solicitando datos confidenciales, para posteriormente utilizar esos datos en beneficio propio.

A la fecha, el phishing es uno de los ataques más habituales dirigidos tanto a miembros de una empresa, como a personas naturales mediante una práctica llamada "spear fishing", en el cual se busca usurpar la identidad en perjuicio de una persona seleccionada por su alto nivel de vulnerabilidad.

Spear phishing

El spear phishing (Suplantación de identidad) consiste en una modalidad phishing dirigida contra un objetivo específico, en el que los atacantes intentan, mediante un correo electrónico, conseguir información confidencial de la víctima.
Funciona así: llega un correo electrónico, aparentemente de una fuente confiable, que dirige al destinatario incauto a un sitio web falso con gran cantidad de malware. A menudo, estos correos electrónicos utilizan tácticas inteligentes para captar la atención de las víctimas. Por ejemplo, el FBI advirtió de estafas de "spear phishing" que involucraban correos electrónicos "supuestamente" procedentes del Centro Nacional para Menores Desaparecidos y Explotados.

En numerosas ocasiones, estos ataques son lanzados por hackers y activistas informáticos patrocinados por gobiernos. Los cibercriminales hacen lo mismo con la intención de revender datos confidenciales a gobiernos y empresas privadas.

9.2. Typosquatting

El “typosquatting” es una clase de ataque de ingeniería social. Se aprovecha de quienes optan por escribir a mano las direcciones web que quieren visitar (en lugar de usar un buscador, por ejemplo) y, al hacerlo, cometen un error de escritura (como dislexia por ejemplo) .

El ataque, por lo general, consiste en hacer que el usuario visite un sitio malicioso con una dirección muy similar, pero no exactamente igual, a la del sitio verdadero. La persona ingresa el sitio y, en ocasiones, carga información confidencial sin percatarse del engaño. El riesgo no es solo para el visitante, ya que estas copias falsas pueden costarle la reputación al dueño del sitio verdadero.

El ataque recibe este nombre porque “typo”, en inglés, es una palabra que se refiere a los pequeños errores que de tanto en tanto cometemos al escribir con el teclado. El typosquatting se basa en este fenómeno.

Este sitio permite probar varios sitios  :


Com un desafío va mostrando varios sitios y el visitante debe decir si es correcto o no, como el siguiente:

que parece correcto pero no lo es:

9.3. Punycode


Unicode ( Introducción)

Antes de explicar que es Punycode, repasemos que es UNICODE.


La tabla ASCII es un subconjunto de UNICODE.

A partir de la versión 15.1 de Unicode, hay 149.878 caracteres con puntos de código, que cubren 161 escrituras modernas e históricas, así como múltiples conjuntos de símbolos.

Link a tabla de Unicode.



Unicode es un sistema de codificación de caracteres utilizado por los equipos informáticos para el almacenamiento y el intercambio de datos en formato de texto. Asigna un número único (un punto del código) a cada carácter de los principales sistemas de escritura del mundo.También incluye símbolos técnicos y de puntuación, y otros muchos caracteres utilizados en la escritura de textos.

En Unicode, un carácter se corresponde con un punto de código. Los puntos de código son los números asignados por Unicode Consortium a cada carácter en cada sistema de escritura. Los puntos de código se representan como U+ seguido de cuatro cifras o letra. Ejemplo: l = U+006C

Unicode define cómo se interpretan los caracteres, no cómo se representan o visualizan.

Un glifo, que es la representación visual de un carácter, es la marca realizada en la pantalla del equipo o la página impresa.


En el sistema Unicode existes tres formas o esquemas de codificación que se conocen como Unicode Trasnformation Format (UTF). Tanto UTF-8, como UTF-16 o UTF-32 funcionan de la misma manera, esto es muy usado en las definiciones del tipo de dato en por ejemplo las Bases de Datos.

Punycode.

Punycode (código púny) es una sintaxis de codificación usada en programación que usa una cadena Unicode que puede ser traducida en una cadena de caracteres más limitada compatible con los nombres de red.

Punycode se llama a la técnica que se utiliza para confundir, la representación visual que realizamos para los equipos  en realidad es interpretado de otra manera!

Resumen: se ve como un caracter pero es otro!!

Desde el navegador puede ser difícil o se debe prestar mucha atención ya que son similares los caracteres.-

La sintaxis está publicada en Internet en el documento  RFC 3492. La codificación es usada como parte de IDNA, que es un sistema que habilita el uso de IDNA (iniciales de nombres de dominios internacionalizados en inglés) en todos los archivos de órdenes soportados por Unicode.  Un nombre de dominio internacionalizado o Internationalized Domain Name (IDN) es un nombre de dominio de Internet que (potencialmente) contiene caracteres no ASCII.

Por ejemplo "münich" sería codificado como "mnich-kva". Un IDN (nombre de dominio internacionalizado) toma la codificación punycode y agrega "xn--" delante de ella. Entonces "münich.com" se convertiría en "xn--mnich-kva.com".

Mostraremos solo algunos a modo de ejemplo, esto fue obtenido de:

https://cybersecurityventures.com/beware-of-lookalike-domains-in-punycode-phishing-attacks/



9.4. Whaling o “caza de ballenas”.

Es una variante del Phishing.

Son ataques dirigidos a perfiles CEO ( Chief Executive Officer - Director Ejecutivo, ) se conoce también  como CEO Fraud (Fraude al CEO).

El objetivo es robarles credenciales de alto nivel a Gerentes, Directores de compañías, información crítica o clonar sus identidades para Phishing, entre otros fines maliciosos.


9.5. Malware

El malware o software malicioso puede presentarse en varias formas:

Adware:

La función principal del Adware es la de mostrar publicidad de forma invasiva. Aunque su intención no es la de dañar equipos, es considerado por algunos especialistas una variante de Spyware, ya que puede llegar a recopilar y transmitir datos para estudiar el comportamiento de los usuarios y orientar mejor el tipo de publicidad.

Virus:

Se define como un Software capaz de reproducirse por todo el sistema. Como destacan desde "Optical Networks" (empresa de telecomunicaciones especializada en el sector corporativo), la clave es que el usuario lo ejecute. Una vez que lo activa... se disemina por todo el sistema y todos los dispositivos conectados a su red.

Gusanos:

Son muy difíciles de detectar y su acción consiste en infectar un equipo y realizar copias de sí mismo para difundirlas por una red, sin requerir que intervengamos.

Troyanos:

Se disfrazan de "software legítimo" para causar daños o recopilar datos. ¿Cómo lo hacen? Abren una BACKDOOR (Puerta Trasera) en el sistema para favorecer el ingreso de otros programas maliciosos.

Spyware:

Registra "en secreto" lo que hace un usuario. Es un "espía" avanzado que trabaja de manera silenciosa para no despertar nuestra atención y preocupación.

Botnets:

Redes de computadoras infectadas por gusanos o troyanos que se utilizan para realizar tareas en línea sin el consentimiento del usuario. 

Exploit´s:

Software que aprovecha una vulnerabilidad o debilidad para ingresar a un sistema o red informática, como "llave informática" para: robar datos, atacar infraestructuras críticas, infectar equipos, y secuestrar de información sensible que permita solicitar el pago de un rescate para recuperarla, al estilo ransomware.

Ransomware

Este es uno de los más sofisticados y modernos dentro de la categoría de malwares, ya que lo que hace es secuestrar datos (encriptándolos) y pedir un rescate por ellos (DINERO). Normalmente, se solicita una transferencia en criptomonedas, para evitar el rastreo y localización de la transferencia. Este tipo de ciberataque va en aumento y debido a sus recientes variaciones es uno de los más temidos en la actualidad.

9.6. Inyección SQL

Es un método de infiltración de un código intruso que toma el control de la computadora y roba datos de una base de datos. 

Es un ciberataque realizado por el vector de Aplicación Web como los campos de formularios de acceso, registro o búsqueda que explota los errores y vulnerabilidades de una página web. Comúnmente es utilizado para acceder a las bases de datos y robar, manipular o destruir la información


9.7. DDoS - Denegación de distribución de servicio

Impide que un sistema informático opere normalmente, bloqueándolo o colapsándolo, al sobrecargar redes y servidores con tráfico.
Para lograrlo los piratas informáticos pueden utilizar botnets, equipos infectados cuyos usuarios no saben que están formando parte del ataque, lo cual favorece a que sea muy complejo identificar al atacante.
Los ataques de tipo DDoS (“Distributed Denial of Service” - Denegación de distribución de servicio) consisten en realizar tantas peticiones a un servidor, como para lograr que éste colapse o se bloquee. Existen diversas técnicas, entre ellas la más común es el uso de botnets, equipos infectados con troyanos y gusanos en los cuales los usuarios no saben que están formando parte del ataque.

De todos los tipos de ataques informáticos éste es uno de los más conocidos y temidos, ya que es muy económica su ejecución y muy difícil de rastrear al atacante.

De esta forma, la eficacia de los ataques DDoS se debe a que no tienen que superar las medidas de seguridad que protegen un servidor, pues no intentan penetrar en su interior, solo bloquearlo generando severas pérdidas económicas al negocio objetivo.

9.8. "Doxing" o "Doxeo"

Se denomina de esta manera a una práctica asociada a un software malicioso del tipo ransomware, que consiste en publicar o difundir información privada de un individuo en Internet, con diversos propósitos, como: extorsionar, intimidar, humillar o amenazar, en caso que la persona no pague un determinado "rescate" (DINERO), esta "práctica" es también considerada un tipo de CIBERACOSO.

10. Políticas de Seguridad

  • Instala y actualiza regularmente el software antivirus de todos los equipos utilizados en tu empresa, hogar u otros lugares.
  • Actualiza regularmente el software y los sistemas operativos de la computadora.
  • Investiga un poco y encuentra el mejor proveedor de protección en Internet y no compres el software más barato.
  • Protege tu conexión a Internet utilizando un cortafuegos.
  • Haz copias de seguridad de los datos importantes y mantenlos a salvo.
  • Capacita a los empleados o familiares sobre qué es seguridad informática y sus principios.
  • Cambia regularmente las contraseñas y utiliza contraseñas seguras. Una contraseña segura contiene letras mayúsculas, minúsculas y números. Se recomienda no convertirla en una palabra, sino en una combinación aleatoria.
  • Asegura a nivel de red el sistema (Gestión de la Red).

11. Caso de Seguridad de la Información (Informativo)

A modo de ejemplo para el Ministerio de Comercio, el  Poder Ejecutivo Nacional desde una resolución dispone aprobar a “Política de Seguridad de la Información” y designa  como Responsable de Seguridad de la Información a la titular de la Secretaría Legal
y Administrativa del ministerio de Economía.

https://www.argentina.gob.ar/sites/default/files/8._rs-2021-19942521-apn-mec.pdf

En este manual :

https://www.argentina.gob.ar/sites/default/files/9._if-2021-19601238-apn-slyamec_anexo_psi.pdf

Se establecen las políticas de Seguridad de la Información para nuestro País.

En el mismo se indican respetar las siguientes normas.

Protección de Datos Personales. Ley Nº 25.326 (Habeas Data):

Establece responsabilidades para aquellas personas que
recopilan, procesan y divulgan información personal. Define criterios para procesar datos personales o cederlos a terceros/as.

Ética en el Ejercicio de la Función Pública. Ley Nº 25.188:

Obliga a todas las personas que se desempeñen en la función pública a abstenerse de utilizar información adquirida en el cumplimiento de sus funciones para realizar actividades no relacionadas con sus tareas oficiales o de permitir su uso en beneficio de intereses privados.

Ley Marco de Regulación de Empleo Público Nacional Nº 25.164:

Establece que los Funcionarios Públicos deben observar el deber de fidelidad que se derive de la índole de las tareas que le fueron asignadas y guardar la discreción correspondiente o la reserva absoluta, en su caso, de todo asunto del servicio que así lo requiera.

Confidencialidad. Ley N° 24.766:

Impide la divulgación a terceros, o su utilización sin previo consentimiento y
de manera contraria a los usos comerciales honestos, de información  secreta y con valor comercial que haya sido objeto de medidas razonables para mantenerla secreta.

Entre otras normas.

Solo observaremos algunos puntos de este documento a modo informativo..

12.1.4 Control: Separación de entornos de desarrollo, pruebas y operacionales.

12.2 Categoría: Protección contra el malware (código malicioso).

12.3 Categoría: Resguardo (backup).

12.4 Categoría: Registro y Monitoreo.

13.1 Categoría: Gestión de la Red.

12. ¿Y por la Justicia como andamos?

Como todos sabemos, estas cuestiones de seguridad son sin duda cada vez mas importantes para la vida diaria y cuando hay problemas esto puede terminar en la justicia y es esa justicia la que debe hacer justicia 🙂.

En ese caso y esto intenta observar este capítulo, la justicia tiene a las Leyes como guías que permitan determinar si existen o no delitos y sus penas.

Veremos en esta materia cuestiones que resuelven:

  1. Confidencialidad
  2. Integridad
  3. Autenticación

Es en este punto que quiero resaltar algunas cuestiones respecto de la Justicia.

1) Las Leyes pueden no estar a la altura de las circunstancias, es mas puede que no incluyan delitos que son considerados delitos en otros países.

2) Esta preparado el sistema Judicial para dar Fe de algo como un Video , una grabación?.

3)Está preparado el sistema Judicial para

Solo para jugar.

https://share.synthesia.io/f0d203f2-3baf-4cd7-adce-684a17ed64a4

13. Niveles de Seguridad (Informativo)

El estándar de niveles de seguridad mas utilizado internacionalmente es el TCSEC  (Trusted Computer System Evaluation Criteria), del Departamento de Defensa de los Estados Unidos en su Orange Book2, desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos.

Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo.

Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC).

Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1 y el D.

define siete niveles distintos de seguridad:

Nivel D1
El sistema no es seguro, ya que no cumple con ninguna especificación de seguridad. No dispone de protección del hardware ni autenticación de los usuarios.

Nivel C1
Se implementa un mecanismo de control de acceso laxo para la identificación y autenticación de los usuarios. Se distingue entre administradores del sistema y usuarios normales.

Nivel C2
Aplica un mecanismo seguro de control de acceso de los usuarios e implementa registros de auditoría.

Nivel B1
Incorpora un mecanismo de seguridad jerárquico o multinivel asignando etiquetas para ello a los distintos objetos del sistema, tanto a los datos como a los usuarios.

Nivel B2
Sistema de seguridad estructurado, en el que se etiquetan los objetos del sistema de nivel superior con respecto a los del inferior.

Nivel B3
Se incluyen dominios de seguridad y distintas políticas de acceso, gestionadas de manera centralizada y con un control de acceso seguro implementado.

Nivel A
El sistema implementa mecanismos de seguridad para el control y la verificación mediante métodos matemáticos. Este es el máximo nivel de seguridad de un sistema.

Actualmente, se utiliza otro estándar de referencia para medir el nivel de seguridad de un sistema, el Common Criteria, pero los niveles que definió el TCSEC son la base sobre la que se desarrolla este y otros intermedios, como el europeo ITSEC (Information Technology Security Evaluation Criteria) creado en 1991, el canadiense CTPEC (Canadian Trusted Computer Product Evaluation Criteria) de 1993, y el estadounidense FCITS (Federal Criteria for Information Technology Security), también de 1993.

ISO 27000

Tambien existen Normas ISO referidas a la Seguridad Informática.
Las normas ISO son normas o estándares de seguridad establecidas por la Organización Internacional para la Estandarización (ISO - Internacional Organization for Standardization) y la Comisión Electrotécnica Internacional (IEC) que se encargan de establecer estándares y guías relacionados con sistemas de gestión y aplicables a cualquier tipo de organización internacional y mundial, con el propósito de facilitar el comercio, facilitar el intercambio de información y contribuir a la transferencia de tecnologías.

En concreto la familia de normas ISO/IEC 27000 representa un conjunto de estándares de seguridad (desarrollados o en fase de desarrollo) que proporciona un marco para la gestión de la seguridad.

Contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

La seguridad de la información, según la ISO 27001, se basa en la preservación de su confidencialidad, integridad y disponibilidad, así como la de los sistemas aplicados para su tratamiento.

14. Glosario

L2TP :Protocolo de Túnel de Capa 2 es un protocolo VPN pero con una gran desventaja, no ofrece ninguna encriptación. Es por eso que se implementa junto con IPsec Encriptación.

VPN : Hay tres tipos de implementaciones.

  • VPN de acceso remoto: Los equipos acceden a un equipo central o servidor utilizando conexiones encriptadas, luego de esto es como si el equipo estuviera en la misma red Lan.
  • VPN punto a punto: Los equipos acceden a un equipo central o servidor utilizando conexiones encriptadas  El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha
  • Tunneling: La técnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un túnel dentro de una red de computadoras, SSH se podría utilizar como Tunel.