Seguridad Informática
Sitio: | Facultad de Ingeniería U.Na.M. |
Curso: | Redes II - IC421 |
Libro: | Seguridad Informática |
Imprimido por: | Invitado |
Día: | miércoles, 4 de diciembre de 2024, 23:07 |
Tabla de contenidos
1. Elementos de la Seguridad.
Hay varias líneas de defensa que protegen una red, tanto en su perímetro como en su interior. La seguridad comienza con el CONTROL DE ACCESO: políticas y controles que gestionan el acceso a la red por parte de los usuarios autorizados, pero también por dispositivos y datos. Un CORTAFUEGOS, que puede ser de hardware o software, es otra importante línea de defensa que separa la red de otras redes que no son de confianza, tales como Internet. Los cortafuegos supervisan y controlan qué tráfico puede entrar o salir de la red. La seguridad de red utiliza también sistemas de detección y prevención de intrusiones, que analizan el tráfico de red para identificar las amenazas y responder a ellas. Un importante subconjunto de la seguridad de red es la seguridad de las aplicaciones, encargada de proteger el software y las aplicaciones web, puesto que estas aplicaciones suelen presentar vulnerabilidades. También se utilizan otras estrategias y tecnologías para mantener la seguridad en centros de datos y clouds públicas, entre otros.
Ahora que hemos revisado el concepto de qué es seguridad informática y por qué es tan importante, es fundamental aprender sobre sus elementos. Una red cibernética fuerte consta de muchas características:
- Seguridad de la aplicación. Las aplicaciones web son comunes para los ciber-delincuentes y su vulnerabilidad puede causar muchos problemas. Las organizaciones que manejan un negocio en los sitios web deben garantizar su seguridad para proteger a sus clientes, sus finanzas y su información personal.
- Seguridad de la red. Es el proceso de protección de servidores, resolución de problemas de seguridad, hosts, dispositivos y servicios de Internet. La seguridad de las redes informáticas se realizan protegiendo la utilización e integridad de los datos en la red.
- Seguridad operativa. Protege las funciones principales de la organización. La seguridad operativa es importante para rastrear la información crítica y los usuarios que interactúan con ella para identificar las vulnerabilidades.
- Educación del usuario final. La estrategia de seguridad informática de las empresas es tan fuerte como el eslabón más débil del equipo. Por esta misma razón, cada empleado debe saber qué medidas hay que tomar y cómo detectar las amenazas entrantes.
- Participación de la gerencia. El último pero no menos importante elemento de qué es seguridad informática, es el compromiso de la gerencia de cada organización para invertir en ciberseguridad. Los supervisores deben entender que es importante contratar a personas cualificadas y adquirir los recursos y la tecnología de seguridad cibernética adecuados.
Algunos de los elementos que disponemos son:
- Cortafuegos.
- Seguridad de correo electrónico.
- Antivirus / Antimalware.
- Segmentación de la red.
- Control de acceso.
- Seguridad de las aplicaciones.
- Prevención de pérdida de datos.
- Detección de prevención de intrusiones.
- Seguridad web.
- VPN.
- Seguridad inalámbrica.
- Seguridad en la Nube ("Nuevo").
2. Introducción
La seguridad de la red consiste en políticas y buenas prácticas adoptadas para prevenir y monitorear el acceso no autorizado, la modificación del uso indebido o la denegación de una red informática y los recursos de la red de acceso.
Los puntos a tener en cuenta para guiar a la organización con las políticas de ciberseguridad son:
Integridad
Confidencialidad
Autenticación
Disponibilidad.
3. Confidencialidad
Confidencialidad
Es el proceso que excluye el acceso a la información para ciertas personas. Es una medida para restringir que la información sensible llegue a manos equivocadas. En una organización, a las personas se les permite o se les niega el acceso a la información de acuerdo a su ocupación. Este tipo de personas reciben la formación adecuada y las normas sobre el intercambio de secretos confidenciales, y protegen sus cuentas con contraseñas seguras. Algunos de los puntos clave de la seguridad de los ciber-delincuentes son 2FA, (Autenticación de Dos Factores) clasificación de datos, encriptación de datos, verificación biométrica, etc.
Privacidad
4. Integridad
El proceso de integridad asegura que los datos en el sistema son
consistentes, verificados, precisos y confiables. Esto significa que los
datos no pueden ser cambiados, alterados, borrados o accedidos sin
cierto permiso. Esta es la razón por la que es importante hacer un
seguimiento de los permisos de los archivos y del acceso de los
usuarios. Otra cosa importante para mantener la integridad de los datos
es contar con una copia de seguridad. Las copias de seguridad en la nube
son una de las más confiables en este momento.
5. Autenticación
La autenticación es la capacidad de demostrar que un usuario o una aplicación es realmente quién dicha persona o aplicación asegura ser. Por ejemplo, considere el caso de un usuario que se conecta a un sistema especificando un ID de usuario y una contraseña.
Tipos de autenticación
Se puede efectuar autenticación usando uno o varios de los siguientes métodos:
- Autenticación por conocimientos: basada en información que sólo conoce el usuario.
- Autenticación por pertenencia: basada en algo que posee el usuario.
- Autenticación por características: basada en alguna característica física del usuario.
Veamos algunos métodos o técnicas de autenticación.
notemos como en muchos de ellos el Celular, objeto de uso personal está involucrado.
Autenticación QR
Este modelo utiliza la cámara del dispositivo para escanear el código y tener acceso a la información o a la plataforma. Este factor garantiza que solo los usuarios seleccionados puedan acceder a su información.
Doble Factor de autenticación
La autenticación de dos factores (2FA) es un sistema de seguridad que requiere dos medios de identificación diferentes para acceder a algo. Se utiliza para reforzar la seguridad de una cuenta, de un dispositivo o de una plataforma como Facebook.
La autenticación de dos factores suele exigir dos tipos de información del usuario: una contraseña, un número de identificación personal (PIN), un código enviado al smartphone del usuario o bien una huella dactilar.
OTP (One-Time Password) SMS
El código de un solo uso (OTP) es un factor de autenticación para realizar transacciones confidenciales.
Es un método de autorización seguro en el que se envía por SMS un código numérico o alfanumérico en tiempo real al móvil del usuario para validar una operación.
El usuario posee un “calculador” específico que va a permitirle proporcionar una contraseña válida durante un período limitado. Para poder utilizar su calculador, debe entrar previamente una contraseña. El calculador le proporciona entonces a cambio una contraseña de un solo uso que el usuario va, a su vez, a proporcionar al módulo de autenticación del PC.
El módulo de autenticación dialoga a continuación con el servidor OTP para asegurarse de la validez de la información proporcionada y para aceptar o no la conexión.
Biometría
La autenticación que utiliza seguridad biométrica se basa en las características biológicas únicas de un individuo. El reconocimiento facial, lectores de huellas, biometría de voz o el reconocimiento de iris son algunos ejemplos.
Certificado digital
El certificado digital emitido por una Autoridad de Certificación acreditada es una alternativa de gran utilidad para demostrar la identidad de un usuario.
La comodidad de poder usarlos desde casa o cualquier otro lugar, a lo que le añadimos su seguridad, hace que sean muy atractivos para los ciudadanos.
El Token
Una vez establecida la autenticación inicial del usuario, es necesario transmitir el token a las aplicaciones. Una de las técnicas utilizada es el “token” de autentificación. Este “token” es un conjunto de datos que contienen los elementos que comprueban la identidad del usuario y que presenta a la aplicación.
La aplicación debe poder recuperar este token, disponible sobre el puesto de trabajo, luego ir dirigido a un distribuidor especializado que confirmará la validez del token así como la identidad asociada.
Los token más comunes hoy son Kerberos y los token SAML.
El token de tipo Kerberos , se aplican, por ejemplo, en el entorno Windows.
El token de tipo SAML (también llamada aserción SAML) ,se aplica en arquitecturas SOA/J2EE/Servicios Web.
Los límites del enfoque por token
El enfoque por token requiere que las aplicaciones sean capaces de leer el “token” y de dialogar con el servidor de autenticación. Desgraciadamente, las aplicaciones ya existentes (e incluso algunas nuevas aplicaciones) no pueden siempre adaptarse simplemente.
El SSO de empresa permite hacer el vínculo entre la autenticación inicial del usuario y las aplicaciones de la manera más universal posible. El SSO (Single Sign-On: inicio de sesión único o inicio de sesión unificado) de empresa interfaz directamente la ventana de demanda de identificador/contraseña de la aplicación y no tiene necesidad de modificación ninguna.
¿Cuál es la más segura?
6. Cifrado (Criptografía)
Cifrado (Criptografía.)
Esto nació en la antigua Grecia, para evitar difundir secretos militares. La criptografía actual se inicia en la segunda mitad de la década de los años 70.
Máquina creada en 1923, utilizada en la 2da Guerra Mundial, con mecanismo de ruedas que modifica (cifra) lo tipeado, el mecanismo cifrado cambia al girar las ruedas y cambia el cifrado. Esto lógicamente es un cifrado que funciona mecánicamente.
No es hasta la invención del sistema conocido como DES (Data Encryption Standard) en 1976 que se da a conocer más ampliamente, principalmente en el mundo industrial y comercial. Posteriormente con el sistema RSA (Rivest, Shamir, Adleman) en 1978, se abre el comienzo de la criptografía en un gran rango de aplicaciones: en transmisiones militares, en transacciones financieras, en comunicación de satélite, en redes de computadoras, en líneas telefónicas, en transmisiones de televisión, etcétera.
La criptografía es el desarrollo de un conjunto de técnicas que permiten alterar y modificar mensajes o archivos con el objetivo de que no puedan ser leídos por todos aquellos usuarios que no estén autorizados a hacerlo.
Ejemplo: Telegram encripta entre los extremos los mensajes. Cuando un mensaje va desde un celular a otro pasa por el Servidor, en el caso de estar encriptado en el Servidor NO se puede saber el contenido de estos mensajes, por que están encriptados extremo a extremo.
La encriptación se realiza mediante un proceso de cifrado. Cifrado es la acción por la cual el mensaje original es cambiado o alterado por alguna técnica.
Cifrar NO es gratis.
Uno de los principales límites de la “criptografía de clave pública” es que al requerir cálculos muy complejos se convierte en un proceso más lento debido al procesamiento matemático que se realiza.
La criptografía se divide en dos grandes ramas: la criptografía de clave privada o simétrica y la criptografía de clave pública o asimétrica, DES pertenece al primer grupo y RSA al segundo
6.1. Clave Pública - Clave Privada.
Criptografía.
La criptografía es el desarrollo de un conjunto de técnicas que permiten alterar y modificar mensajes o archivos con el objetivo de que no puedan ser leídos por todos aquellos usuarios que no estén autorizados a hacerlo.
Esto nació en la antigua Grecia, para evitar difundir secretos militares.
Observación: La traducción de la palabra en inglés: encrypt es cifrar, pero se suele utilizar de manera erronea encriptar.
Ejemplo: Telegram cifra entre los extremos los mensajes. Cuando un mensaje va desde un celular a otro pasa por el Servidor, en el caso de estar encriptado en el Servidor NO se puede saber el contenido de estos mensajes, por que están encriptados extremo a extremo
La encriptación se realiza mediante un proceso de cifrado.
Cifrado en la acción por la cual el mensaje original es cambiado o alterado por alguna técnica.
Nada es gratis.
Uno de los principales límites de la “criptografía de clave pública” es que al requerir cálculos muy complejos se convierte en un proceso más lento debido al procesamiento matemático que se realiza.
Existen distintos tipos de Criptografía.
Criptografía simétrica:
- bloques (block cipher).
- lluvia (stream cipher).
- de resumen (hash functions).
Un problema que existe es la distribución o compartir las claves simétricas, si esto se realiza de manera no segura, el resultado NO puede garantizar que realmente sea seguro!!
Criptografía asimétrica o criptografía de clave pública
La criptografía asimétrica (del inglés: asymmetric key cryptography), también conocida como criptografía de clave pública (public key cryptography) o criptografía de dos claves (two-key cryptography), es un sistema criptográfico que se caracteriza por utilizar dos claves, una clave pública y otra privada, para el envío de mensajes o datos informáticos.
La criptografía asimétrica tiene dos usos principales:
- Autenticación.
- Confidencialidad.
El nacimiento de la criptografía asimétrica se dio al estar buscando un modo más práctico de intercambiar las llaves simétricas (Diffie y Hellman), proponen una forma para hacer esto, sin embargo no fue hasta que el popular método de Rivest Shamir y Adleman RSA publicado en 1978, cuando toma forma la criptografía asimétrica, su funcionamiento esta basado en la imposibilidad computacional de factorizar números enteros grandes.
Se utiliza para intercambiar claves privadas :-)
La clave Pública se usa para cifrar y descifrar, dependiendo del escenario.
Notar el destinatario puede estar seguro que el contenido NO fue cambiado, ya que usó la clave Publica para poder descifrar.
Los métodos criptográficos garantizan que esa pareja de claves solo se puede generar una vez, de modo que se puede asumir que no es posible que dos personas hayan obtenido casualmente la misma pareja de claves. Esto por ejemplo se usa en sitios Webs.
Ventajas y Desventajas del Cifrado Asimétrico.
La mayor ventaja de la criptografía asimétrica es que la distribución de claves es más fácil y segura ya que la clave que se distribuye es la pública manteniéndose la privada para el uso exclusivo del propietario, pero este sistema tiene bastantes desventajas:
Desventajas:
- Para una misma longitud de clave y mensaje se necesita mayor tiempo de proceso.
- Las claves deben ser de mayor tamaño que las simétricas (generalmente son cinco o más veces de mayor tamaño que las claves simétricas).
- El mensaje cifrado ocupa más espacio que el original.
Ventajas:
- Tiene un alto grado de seguridad debido al sistema y que utiliza una llave para cifrar y otra para descifrar.
- Ofrece un alto nivel de confidencialidad y autenticidad (o integridad) y garantiza la no alteración del mensaje.
Vocabulario:
PGP
Pretty Good Privacy (PGP - privacidad bastante buena) es un programa desarrollado por Phil Zimmermann y cuya finalidad es proteger la información distribuida a través de Internet mediante el uso de criptografía de clave pública, así como facilitar la autenticación de documentos gracias a firmas digitales.
Sello Electrónico o Sello Digital.
El certificado de sello electrónico, es el sello estampado de toda la vida y sirve para identificar una empresa o entidad sin la necesidad de incluir datos personales, por lo que solo está disponible para personas jurídicas.
Tipos de Sellos Digitales:
- P12. Puede instalarse en un gran número de ordenadores o máquinas y estos suelen estar asociados a personas que no van a realizar sellado masivo, aunque también sería posible importarlo a una aplicación que permita este tipo de servicio.
- CSR. El usuario genera la clave privada en la máquina donde va a instalar el certificado de sello electrónico. Esta es intransferible y no puede reutilizarse, por lo que no puede instalarlo en otra máquina. Suele usarse para procesos críticos y para departamentos técnicos.
- HW. Va implementado en una tarjeta y mucho más enfocado al cliente que quiere darle la mayor validez jurídica a la firma, ya que hace firma cualificada.
Firma Digital.
La firma electrónica es un conjunto de datos electrónicos que incluyen información personal y única -por lo que no hay posibilidad de repudio - sobre su firmante en el documento electrónico al que va asociada. Es mas bien de uso de personas físicas.
Este sitio es para la creación de una firma digital con validez en nuestro país.
DES.
DES (Data Encryption Standard). A finales de la década de 1990 se lanzaron diferentes desafíos para comprobar el esfuerzo necesario para romper el cifrado DES. Observándose que DES ya no era adecuado como sistema de cifrado. Incluso TDES triple DES, un algoritmo en el que se utiliza DES tres veces, no es seguro frente a ataques de fuerza bruta.
AES
Advanced Encryption Standard. El NIST (National Institute of Standards Technology) convocó a un concurso para poder tener un sistema simétrico que sea seguro y pueda usarse al menos en los próximos 20 años como estándar. En la mitad del año de 1998 se aceptaron 15 candidatos, estos se han sometido a pruebas públicas y por parte del NIST. En el concurso quedaron 5 finalistas que eran: MARS, RC6, Rijndael (pronunciado "Rain Dahl" en inglés), Serpent, y Twofish.
El ganador fué Rijndael (pronunciado "Rain Dahl" en inglés) con un esquema de cifrado por bloques adoptado como un estándar de cifrado por el gobierno de los Estados Unidos, creado en Bélgica.
El AES fue anunciado por el NIST como FIPS PUB 197 de los Estados Unidos (FIPS 197) el 26 de noviembre de 2001 después de un proceso de estandarización que duró 5 años. Se transformó en un estándar efectivo el 26 de mayo de 2002. Desde 2006, el AES es uno de los algoritmos más populares usados en criptografía simétrica.
El cifrado de datos AES es un algoritmo criptográfico más elegante y eficiente, pero su principal fortaleza reside en la opción de utilizar diferentes longitudes de clave. Pudiéndose elegir entre claves de 128, 192 o 256 bits, lo que lo hace mucho más robusta que la clave de sólo 56 bits empleada en DES.
AES además es un algoritmo eficiente tanto en implementaciones de software como de hardware, cosa que no sucedía con DES. Las implementaciones software de DES no eran eficientes.
Hash.
Una herramienta fundamental en la criptografía son las funciones HASH, usadas principalmente para resolver el problema de la integridad de los mensajes, así como la autenticidad de mensajes y de su origen.
Una función HASH es también ampliamente usada para la firma digital, ya que los documentos a firmar pueden ser en general demasiado grandes. La función HASH les asocia una cadena de longitud 160 bits que son más manejables para el propósito de firma digital.
La función HASH tiene como entrada un conjunto de elementos, que suelen ser cadenas, y los convierte en un rango de salida finito, normalmente cadenas de longitud fija.
MD5 (técnicamente llamado MD5 Message-Digest Algorithm) es una función de hash criptográfico, veamos como calcularlo desde la terminal de Linux.
Como podemos ver los archivos cadena_de_text.txt y cadena_de_texto1.txt NO son iguales de largos, pero los Hash tienen la misma cantidad de caracteres.
6.2. ¿Que problemas resuelve?
Confidencialidad, Autenticidad e Integridad.
En este escenario, el Emisor genera las claves públicas y privadas. Socializa la Clave Pública, o sea que cualquiera que le envíen un mensaje, correo en este caso y lo encripta con la Clave Pública del Emisor, se está asegurando que SOLO el Emisor podría ver el contenido, por que es el único que conoce la clave Privada para descifrar, esto permite tener una Confidencialidad e Integridad.
Por el contrario si el Emisor cifra con la clave Privada, solo los receptores con la clave pública podrán leer el contenido, esto permite tener Autenticidad e Integridad.
Autenticidad:
Se refiere a garantizar que el mensaje ha sido enviado por quien dice ser.
En este caso, David generó las claves. El mensaje que escribe David SOLO puede ser desencriptado por la llave pública que generó David, por lo tanto Ana puede estar SEGURA que el mensaje es definitivamente de David, esto se conoce como Firma Digital.
Integridad:
La integridad, se refiere a que la información no pueda ser alterada en el transcurso de ser enviada.
Se refiere a que los elementos, mensajes, datos, documentos, y otras formas de contenido no han sido modificados en tránsito o en reposo. Para esto se requiere poner o incrustar un sello electrónico dentro del mensaje, este sello es creado combinando la totalidad del mensaje o una parte significativa en una cadena la cual deberá ser pasada por un algoritmo de digestión como MD5, SHA-1, SHA-2 con el fin de crear una cadena mucho mas reducida, esta cadena deberá ser cifrada mediante un certificado de sello digital. Si en el camino alguien MODIFICA el mensaje se podrá detectar.
Notar que aquí NO validamos quien envió por ejemplo, estamos hablando del Contenido... buscamos que el contenido NO sea modificado y si es modificado que se pueda detectar.
Imaginemos los expedientes del Poder Judicial, con las transcripciones de declaraciones de testigos, por ejemplo.
6.3. PKI
La Infraestructura de Clave Pública (PKI, por sus siglas en inglés, Public Key Infrastructure) es un conjunto de tecnologías, políticas y estándares diseñados para facilitar la gestión segura de claves criptográficas y certificados digitales.
La PKI se utiliza principalmente para asegurar la comunicación y autenticación en entornos digitales, como la transferencia segura de datos a través de Internet y la autenticación de usuarios en sistemas informáticos.
Los componentes principales de una PKI incluyen:
Certificados Digitales: Son documentos electrónicos que vinculan una clave pública a una entidad específica, como una persona, una organización o un dispositivo. Los certificados digitales se emiten y firman digitalmente por una Autoridad de Certificación (CA) de confianza.
Claves Criptográficas: Las claves públicas y privadas son pares de claves utilizados en criptografía asimétrica. La clave pública se comparte libremente, mientras que la clave privada se mantiene en secreto. Estas claves se utilizan para cifrar, firmar y verificar información.
Autoridades de Certificación (CA): Las CAs son entidades de confianza que emiten, renuevan y revocan certificados digitales. También garantizan la autenticidad de las entidades que solicitan certificados.
Autoridades de Registro (RA): Las RAs son responsables de verificar la identidad de las entidades que solicitan certificados antes de enviar la solicitud a la CA.
Directorio o Base de Datos de Claves Públicas: Es un repositorio donde se almacenan las claves públicas y otros datos relacionados con los certificados digitales para que las partes puedan buscar y verificar la información.
Políticas de Certificación y Declaraciones de Prácticas: Estos documentos definen las reglas y procedimientos que rigen la emisión y el uso de los certificados digitales en una PKI específica.
La PKI se utiliza en una variedad de aplicaciones, como la firma electrónica, el cifrado de datos, la autenticación de usuarios y la seguridad de transacciones en línea. Proporciona una infraestructura sólida para garantizar la seguridad y la integridad de la información en entornos digitales, ayudando a prevenir la suplantación de identidad, el fraude y el acceso no autorizado a datos confidenciales.
Secuencia de funcionamiento...
Sitios que generan Certificados:
https://letsencrypt.org/ Gratuito
6.4. Intercambio de llaves - Key exchange
Para comprender mejor, vamos a plantear un ejemplo de cartas:
Supongamos que Alicia le escribe una carta a Roberto, el cartero o cualquier otro pueden abrir la carta y leer su contenido, el contenido NO está cifrado. Entonces vamos a implementar otra manera para lograr privacidad de la información transmitida o recibida.
Roberto tiene sistema de cifrado Asimétrico (clave Pública/Privada), entonces Alicia cifra con la clave pública el contenido de la carta.
Alicia esta segura que el único que puede saber que dice la carta es Roberto. Roberto no está seguro que la carta que le llega sea necesariamente de Alicia, pero si puede saber que él es el único que sabe el contenido.
Alicia puede estar segura que el contenido que transmite solo Roberto puede verlo, por que usa la clave pública para cifrar, pero lo que Alicia recibe debe descifrar con la clave pública de Roberto, por lo que NO tiene privacidad en lo que recibe.
Como el cartero NO conoce la clave privada de Roberto NO puede saber que dice la carta que Alicia le envió a Roberto, pero podría intentar leer lo que Roberto le contesta a Alicia, ya que la clave utilizada para cifrar y descifrar es pública y de público conocimiento.
Alicia y Roberto tienen un canal seguro (canal cifrado) donde el contenido que le llega a Roberto SOLO lo puede ver Roberto, pero lo que recibe Alicia LO PUEDE VER CUALQUIERA .
En este canal Roberto y Alicia comparten una clave privada, SOLO Roberto puede saber la clave privada por que utiliza su clave privada del cifrado asimétrico para saber la clave que le comparte Alicia.
De ahora en mas, Roberto va a usar con Alicia esta clave privada simétrica para cifrar el mensaje.
El Cartero, va a intentar usar la clave Pública de Roberto para ver, pero el mensaje está cifrado por una clave privada que compartieron Roberto y Alicia, de ahora en mas la comunicación logra privacidad de la información transmitida o recibida.
6.5. TLS y SSL
TLS (Transport Layer Security - Seguridad de la capa de transporte) y SSL (Secure Sockets Layer - Capa de Sockets Seguros) se mencionan a menudo cuando se habla de la seguridad de Internet y del sitio web.
Para hacer las cosas aún más confusas para los legos, estos términos a menudo se usan indistintamente y no son lo mismo.
Pero, ¿Cómo funcionan realmente TLS y SSL? ¿Hay alguna diferencia que debamos tener en cuenta?. Vamos a tratar de responder esas preguntas.
SSL:
El procedimiento que se lleva acabo para establecer una comunicación segura con SSL es el siguiente:
1) El cliente (browser) envía un mensaje de saludo al Server “ClientHello”.
2) El server responde con un mensaje “ServerHello”.
3) El server envía su certificado.
4) El server solicita el certificado del cliente.
5) El cliente envía su certificado: si es válido continúa la comunicación si no, se detiene o sigue la comunicación sin el certificado del cliente.
6) El cliente envía un mensaje “ClientKeyExchange” solicitando un intercambio de claves simétricas si es el caso.
7) El cliente envía un mensaje “CertificateVerify” si se ha verificado el certificado del server, en caso de que el cliente este en estado de autenticado.
8) Ambos (cliente y server) envían un mensaje “ChangeCipherSpec” que significa el comienzo de la comunicación segura.
9) Al término de la comunicación ambos envían el mensaje “finished” con lo que termina la comunicación segura, este mensaje consiste en un intercambio del HASH de toda la conversación, de manera que ambos están seguros que los mensajes fueron recibidos intactos.
La versión más reciente de SSL es la v3, existen otro protocolo parecido a SSL solo que es desarrollado por IETF que se denomina TLS y difiere en que usa un conjunto un poco mas amplio de algoritmos criptográficos. Por otra parte existe también SSL plus, un protocolo que extiende las capacidades de SSL y tiene por mayor característica que es interoperable con RSA, DSA/DH y CE (Criptografía Elíptica).
TLS:
SSL | TSL | |
---|---|---|
Cifrado | Ofrece soporte para el paquete de cifrado Fortezza. | Ofrece soporte para cifrado RC4, Triple DES, AES, IDEA. |
Mensajes de Alerta | Mensaje de alerta "Sin certificado". | Diferentes mensajes de alerta según la situación |
Protocolo de Registro | Utiliza MAC (Código de autenticación de mensajes). | Utiliza HMAC (código de autenticación de mensajes basado en hash). |
Proceso de Handshake | El cálculo de hash incluye el secreto maestro y el pad. | Los hashes se calculan sobre el mensaje de protocolo de enlace. |
Mensaje de Autenticación | Método ad-hoc para adjuntar detalles clave y datos de la aplicación. |
Adjuntar detalles clave y datos de la aplicación a través de HMAC. |
¿ Que es la Fortezza Cripto Card ?
Actualmente, la NSA está trabajando con empresas (como "VLSI") para desarrollar productos comerciales que implementen algoritmos de Fortezza. VLSI está diseñando un chip "Regente" que agrega algoritmos DES y RSA. La NSA también apoya el desarrollo comercial de chips de tarjetas inteligentes con capacidad de algoritmo Fortezza.
IPsec -Internet Protocol SECcurity.
Es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado.
IPSEC combina encriptaciones asimétricas y simétricas para brindar seguridad y mantener la velocidad.
Utiliza IKE protocol (Internet Key Exchange -Intercambio de claves de Internet) para lograr el cifrado.
La mayoría de los otros protocolos de seguridad funcionan en la capa de aplicación de la comunicación de red. Una ventaja importante de IPsec es que, debido a que opera a nivel de red en lugar de a nivel de aplicación, puede encriptar un paquete completo de IP.
Lo hace con dos mecanismos:
Encabezado de autenticación (AH): Coloca una firma digital en cada paquete, protegiendo su red y sus datos de la interferencia de terceros => Integridad. Un AH significa que el contenido de un paquete de datos no puede modificarse sin detección, y también permite la verificación de identidad entre los dos extremos de una conexión IPSec.
Observación: Si en el encabezado IP se implementara un cifrado para dar privacidad, los routers podrían saber origen/destino :-).
Carga de Seguridad Encapsulada (ESP): Mientras que el AH evita la manipulación de un paquete, el ESP garantiza que la información dentro del paquete esté encriptada y no pueda leerse =>Privacidad. Se utilizan un encabezado ESP, un tráiler y un bloque de autenticación para cifrar la carga útil completa de un paquete.
Para Windows hay varios artículos que indican como implementar o bien habilitar esta característica.Ventajas
Como IPSec opera en la capa de red, los cambios solo deben realizarse en el sistema operativo en lugar de las aplicaciones individuales.
IPSec es completamente invisible en su funcionamiento, por lo que es la opción ideal para las VPN.
El uso de AH y ESP garantiza los niveles más altos posibles de seguridad y privacidad.
Desventajas
IPSec es más complicado que los protocolos de seguridad alternativos y más difícil de configurar.
Se requieren claves públicas seguras para IPSec. Si su clave se ve comprometida o tiene una gestión deficiente de la clave, puede experimentar problemas.
Para la transmisión de paquetes de pequeño tamaño, IPSec puede ser una forma ineficiente de encriptar datos.
6.6. Certificados e Infraestructura.
Certificado:
Un certificado es un pequeño archivo de datos que vincula identidad digital en una clave criptográfica con los datos de una organización.
Los certificados se pueden dividir según la identidad:
- Certificados de Persona Física. Son los que incorporan la identidad de un sujeto físico o ciudadano. Está orientado a ciudadanos (es decir, a terceros físicos) y están fundamentalmente pensados para trámites personales aunque, en determinadas circunstancias, pueden ser usados en el ámbito profesional.
- Certificados de Persona Jurídica. Incorporan una identidad jurídica. Su uso está pensado para todo tipo de organizaciones, ya sean empresas, administraciones u otro tipo de organizaciones, todas ellas con una identidad de tipo jurídico.
- Certificados de entidad sin personalidad jurídica. Vinculan a su suscriptor unos datos de verificación de firma y confirma su identidad para ser utilizados únicamente en las comunicaciones y transmisiones de datos por medios electrónicos, informáticos y telemáticos en el ámbito tributario.
Un certificado digital identifica a su titular, mientras que la firma digital solo identifica al firmante de un documento o archivo concreto.
Por ejemplo, en el caso del sitio de un banco, una vez instalado en el servidor web, el certificado activa el candado y el protocolo HTTPS y, de esta forma, se habilita una conexión segura desde el servidor web hasta el navegador.
Los certificados también se pueden dividir por:
- ámbitos de aplicación
- software
- hardware
Infraestructura de clave pública
- Autoridad de certificación CA. Una autoridad de certificación es el componente responsable de establecer las identidades y de crear los certificados que forman una asociación entre la identidad y una pareja de claves pública y privada.
- Autoridad de registro RA. Una autoridad de registro es la responsable del registro y la autenticación inicial de los usuarios a quienes se les expedirá un certificado posteriormente si cumplen todos los requisitos.
- Servidor de certificados. Es el componente encargado de expedir los certificados aprobados por la autoridad de registro. La clave pública generada para el usuario se combina con otros datos de identificación y todo ello se firma digital mente con la clave privada de la autoridad de certificación.
- Repositorio de certificados. Es el componente encargado de hacer disponibles las claves públicas de las identidades registradas antes de que puedan utilizar sus certificados. Suelen ser repositorios X.500 o LDAP. Cuando el usuario necesita validar un certificado debe consultar el repositorio de certificados para verificar la firma del firmante del certificado, garantizar la vigencia del certificado comprobando su periodo de validez y que no ha sido revocado por la CA y que además cumple con los requisitos para los que se expidió el certificado; por ejemplo, que el certificado sirve para firmar correo electrónico.
7. Disponibilidad
Disponibilidad.
En términos de componentes necesarios como hardware, redes informáticas, software, dispositivos, equipos y disponibilidad significa que todo debe ser actualizado y mantenido.
Este punto aporta a la seguridad Informática, y no a la integridad, confidencialidad y autenticación como el cifrado.
La razón por la que es importante es que proporciona un funcionamiento sin problemas y acceso a los datos sin interrupciones.
Las utilidades como cortafuegos, servidores proxy, soluciones de copia de seguridad y planes de recuperación son puntos clave contra un ataque cibernético. Otro tipo de autenticación es la que se basa en algo de propiedad del usuario, por ejemplo, la tarjeta de crédito, pasaportes o también son los Tokens que generan números aleatorios o palabras claves.
aplicar los mecanismos preventivos, es la aceptación y el compromiso de todos los
involucrados, hacer entender que no es una carga, es parte de los procesos y de lo
que se debe hacer bien en la organización."
Habeas Data
Concepto de Habeas Data
Definición de habeas data en el contexto del derecho administrativo público argentino.
Garantía de amparo judicial que respalda el derecho de cada uno a controlar la información que le concierne, accediendo a los bancos de datos públicos y privados.
En la fundamentación del habeas data se tuvo en cuenta el derecho de las personas a conocer la información sobre ella, que se encontraba oculta, había sido arbitraria e igualmente obtenida o distorsionada, parcial y fundamentalmente destinada a la «persecución ideológica», que obraba en los registros de las oficinas de inteligencia respondiendo su compilación a una decisión política sesgada por designios represivos de los gobiernos de facto o dictatoriales.
En este link podemos ver la ley 25326 que trata este tema de datos personales.
https://www.argentina.gob.ar/normativa/nacional/ley-25326-64790
8. Amenazas
Ya hemos hablado de los resultados que se derivan de la falta de seguridad informática. Puede causar problemas financieros, médicos, gubernamentales o incluso desastres. Pero, ¿Qué los causa exactamente? Los ciber-delincuentes se vuelven muy sofisticados cuando se trata de sus tácticas, por lo que crean muchas amenazas o "trampas" que pueden atraer a personas inocentes hacia las ciber-amenazas.
Virus.
La más popular con la que probablemente todo el mundo se ha topado a lo largo de su vida. Aunque muchos se refieren a cada amenaza de seguridad informática como un virus, no es del todo cierto. El virus es un fragmento de código malicioso que se carga en un equipo sin el permiso de los usuarios. Puede adjuntarse a otros archivos y extenderse por toda la red. Uno de los principales objetivos de la ciberseguridad es prevenir este tipo de amenazas.
DDoS (Denegación de Servicio Distribuida).
Esta amenaza intenta interrumpir el tráfico normal de la web y desconectar un sitio inundando el sistema con más solicitudes de las que puede manejar.
Malware.
Este es un término que se refiere a un programa que se crea para dañar una computadora. Abarca: virus, spyware, troyanos, ingeniería social y gusanos.
Gusanos.
Es una amenaza similar a un virus. Puede auto-replicarse como un virus, pero no necesita conectarse a un programa de computadora. Buscan vulnerabilidades en una computadora y las reportan a su creador, que toma las medidas correspondientes.
Troyano.
Otra amenaza popular de la que probablemente todo el mundo ha oído hablar. Es un tipo de malware que se disfraza de software legítimo. Puede ser en forma de programas de eliminación de virus, pero en su lugar realiza actividades maliciosas cuando se instala y ejecuta.
Ingeniería social.
Es una técnica que se utiliza para engañar y manipular a los usuarios para obtener su información y acceder a su ordenador. Esto se consigue mediante enlaces maliciosos o accediendo físicamente al mismo. Esto puede causar enormes problemas a muchas organizaciones si no son conscientes de lo qué es seguridad informática.
En este link https://www.incibe.es/ tenemos una presentación con algunos conceptos y definiciones.
Phishing.
Es una forma de amenaza de ingeniería social, que trata de adquirir información sensible o confidencial de los usuarios.
Spyware.
Supervisa la actividad de su ordenador y recopila información personal.
El spyware o adware se puede instalar en un dispositivo a través de enlaces, software o archivos adjuntos maliciosos.
Ransomware.
Esto puede considerarse como la amenaza cibernética de más rápido crecimiento.
Es un tipo de malware que exige el pago después de encriptar los archivos de los usuarios, haciéndolos inaccesibles. Cabe señalar que el pago del rescate no garantiza la recuperación de los datos cifrados, así que tenga cuidado.
Algunas formas de contagio:
1. Archivos adjuntos de correo electrónico
2. URL maliciosas
3. Protocolo de escritorio remoto
4. Malvertising (publicidad maliciosa)
5. Descargas automáticas
6. Propagación de red
7. Software pirateado
MITM (Hombre en el Medio).
Esta amenaza se produce cuando el usuario se expone a la red no segura. Se llama MITM porque el cibercriminal se inserta entre el usuario y el servidor. El usuario pasará la información a través del hacker sin saberlo.
Inyección de SQL.
Esto sucede cuando el atacante inserta código malicioso en un servidor que utiliza el lenguaje de consulta estructurado SQL. Las "inyecciones" sólo tienen éxito cuando existe una vulnerabilidad de seguridad. Si lo hace, el ataque obligará al servidor a proporcionar acceso o a modificar los datos.
9. Ataques
¿Qué es un ataque de intermediario?
Un ataque de intermediario es aquel en el que un hacker es capaz de interceptar, modificar y redirigir el tráfico de red de un usuario. De este modo, el atacante puede espiar las comunicaciones del usuario, robar datos confidenciales o dinero y hacer ataques de pharming o phishing.
Existen diferentes
métodos para hacer ataques de este tipo.
- El envenenamiento de ARP
- El DNS Spoofing
- El ataque con SSLStrip
Estos son los tres de los más comunes. Para ahondar acerca del tema de qué es un ataque de intermediario, a continuación te explicamos en qué consisten estas tres técnicas:
Envenenamiento de ARP
El envenenamiento de ARP es una de las formas de perpetrar ataques MITM (Man In The Middle).
ARP es un protocolo que permite que un dispositivo conozca la dirección física (MAC) de una tarjeta de interfaz de red correspondiente a una IP. El envenenamiento de ARP consiste en infectar un dispositivo y utilizarlo para hacerle creer a otros dispositivos de la red que él es el router. De este modo, los otros ordenadores dirigen todas sus comunicaciones a ese ordenador y queda interceptado el tráfico de la red. Por esta razón, configurar de forma segura una red compartida es un factor esencial para defenderse de este ciberataque.
DNS Spoofing
Otra manera de intervenir el tráfico de datos es redirigir al usuario a sitios webs maliciosos por medio del DNS Spoofing. Un servidor DNS (Domain Name System) cumple con la función de conectar el nombre de un dominio con la dirección IP de la página web que un usuario solicite visitar. El ciberataque del DNS Spoofing consiste en intervenir el servidor DNS para que redirija el tráfico de la red hacia sitios webs maliciosos, con el fin de robar datos confidenciales, dinero e instalar malwares.
SSLStrip
El ataque con SSLStrip fue descubierto por Moxie Marlinspike, quien estuvo a cargo de la ciberseguridad de la red social Twitter. Con este ataque, su desarrollador se concentró en encontrar cómo descifrar el tráfico de datos después de que se logra interceptarlo.
Algunas páginas web cuentan con una política de ciberseguridad conocida como HSTS (HTTP Strict Transport Security), que obliga a que la conexión con un sitio deba ser siempre por medio del protocolo HTTPS, que cifra la comunicación entre el usuario y la página.
Sin embargo,
SSLStrip es una herramienta que permite identificar qué páginas no
cuentan con la política de HSTS y redirigen al usuario a la versión
HTTP del sitio. De este modo, se adquiere acceso a las
comunicaciones
del usuario sin la capa de cifrado. La idea es que la víctima y el
agresor se comuniquen a través de HTTP, mientras que el atacante y el
servidor, se comunican a través de HTTPS con el certificado del
servidor. Por lo tanto, el atacante es capaz de ver todo el tráfico en
texto plano de la víctima.
9.1. Phising
Son correos electrónicos en apariencia legítimos o incluso llamadas telefónicas que solicitan información confidencial, suplantando la identidad de una organización o persona. Su objetivo es acceder a los datos privados de sus víctimas, como contraseñas o datos bancarios.
Una encuesta global de OpenText revela que el volumen medio global de ataques de phishing se incrementó 34% desde 2020. Lo preocupante es que el 76% admite abrir emails de emisores desconocidos y el 59% asegura que los emails ilegítimos son más realistas que nunca.
Los medios más utilizados son el correo electrónico, mensajería o llamadas telefónicas, mediante el cual el atacante se hace pasar por alguna entidad u organización conocida, solicitando datos confidenciales, para posteriormente utilizar esos datos en beneficio propio.
A la fecha, el phishing es uno de los ataques más habituales dirigidos tanto a miembros de una empresa, como a personas naturales mediante una práctica llamada "spear fishing", en el cual se busca usurpar la identidad en perjuicio de una persona seleccionada por su alto nivel de vulnerabilidad.
Spear phishing
El spear phishing (Suplantación de identidad) consiste en una modalidad phishing dirigida contra un objetivo específico, en el que los atacantes intentan, mediante un correo electrónico, conseguir información confidencial de la víctima.En numerosas ocasiones, estos ataques son lanzados por hackers y activistas informáticos patrocinados por gobiernos. Los cibercriminales hacen lo mismo con la intención de revender datos confidenciales a gobiernos y empresas privadas.
9.2. Typosquatting
El “typosquatting” es una clase de ataque de ingeniería social.
Se aprovecha de quienes optan por escribir a mano las direcciones web
que quieren visitar (en lugar de usar un buscador, por ejemplo) y, al
hacerlo, cometen un error de escritura (como dislexia por ejemplo).
El ataque, por lo general, consiste en hacer que el usuario visite un sitio malicioso con una dirección muy similar, pero no exactamente igual, a la del sitio verdadero. La persona ingresa el sitio y, en ocasiones, carga información confidencial sin percatarse del engaño. El riesgo no es solo para el visitante, ya que estas copias falsas pueden costarle la reputación al dueño del sitio verdadero.
El ataque recibe este nombre porque “typo”, en inglés, es una palabra que se refiere a los pequeños errores que de tanto en tanto cometemos al escribir con el teclado. El typosquatting se basa en este fenómeno.
Este sitio permite probar varios sitios:
9.3. Punycode
Unicode (Introducción)
La tabla ASCII es un subconjunto de UNICODE.
A partir de la versión 15.1 de Unicode, hay 149.878 caracteres con puntos de código, que cubren 161 escrituras modernas e históricas, así como múltiples conjuntos de símbolos.
Unicode es un sistema de codificación de caracteres utilizado por los equipos informáticos para el almacenamiento y el intercambio de datos en formato de texto. Asigna un número único (un punto del código) a cada carácter de los principales sistemas de escritura del mundo. También incluye símbolos técnicos y de puntuación, y otros muchos caracteres utilizados en la escritura de textos.
En Unicode, un carácter se corresponde con un punto de código. Los puntos de código son los números asignados por Unicode Consortium a cada carácter en cada sistema de escritura. Los puntos de código se representan como U+ seguido de cuatro cifras o letra. Ejemplo: l = U+006C
Unicode define cómo se interpretan los caracteres, no cómo se representan o visualizan.
Un glifo, que es la representación visual de un carácter, es la marca realizada en la pantalla del equipo o la página impresa.
En el sistema Unicode existes tres formas o esquemas de codificación que se conocen como Unicode Trasnformation Format (UTF). Tanto UTF-8, como UTF-16 o UTF-32 funcionan de la misma manera, esto es muy usado en las definiciones del tipo de dato en por ejemplo las Bases de Datos.
Punycode.
Punycode (código púny) es una sintaxis de codificación usada en programación que usa una cadena Unicode que puede ser traducida en una cadena de caracteres más limitada compatible con los nombres de red.
Punycode se llama a la técnica que se utiliza para confundir, la representación visual que realizamos para los equipos en realidad es interpretado de otra manera!
Resumen: se ve como un carácter pero es otro!!
Desde el navegador puede ser difícil o se debe prestar mucha atención ya que son similares los caracteres.-
La sintaxis está publicada en Internet en el documento RFC 3492. La codificación es usada como parte de IDNA, que es un sistema que habilita el uso de IDNA (iniciales de nombres de dominios internacionalizados en inglés) en todos los archivos de órdenes soportados por Unicode. Un nombre de dominio internacionalizado o Internationalized Domain Name (IDN) es un nombre de dominio de Internet que (potencialmente) contiene caracteres no ASCII.
Por ejemplo "münich" sería codificado como "mnich-kva". Un IDN (nombre de dominio internacionalizado) toma la codificación punycode y agrega "xn--" delante de ella. Entonces "münich.com" se convertiría en "xn--mnich-kva.com".
Mostraremos solo algunos a modo de ejemplo, esto fue obtenido de:
https://cybersecurityventures.com/beware-of-lookalike-domains-in-punycode-phishing-attacks/
9.4. Whaling o "caza de ballenas".
Es una variante del Phishing.
Son ataques dirigidos a perfiles CEO (Chief Executive Officer - Director Ejecutivo) se conoce también como CEO Fraud (Fraude al CEO).
El objetivo es robarles credenciales de alto nivel a Gerentes, Directores de compañías, información crítica o clonar sus identidades para Phishing, entre otros fines maliciosos.
9.5. Malware
El malware o software malicioso puede presentarse en varias formas:
Adware:
La función principal del Adware es la de mostrar publicidad de forma invasiva. Aunque su intención no es la de dañar equipos, es considerado por algunos especialistas una variante de Spyware, ya que puede llegar a recopilar y transmitir datos para estudiar el comportamiento de los usuarios y orientar mejor el tipo de publicidad.
Virus:
Se define como un Software capaz de reproducirse por todo el sistema. Como destacan desde "Optical Networks" (empresa de telecomunicaciones especializada en el sector corporativo), la clave es que el usuario lo ejecute. Una vez que lo activa... se disemina por todo el sistema y todos los dispositivos conectados a su red.
Gusanos:
Son muy difíciles de detectar y su acción consiste en infectar un equipo y realizar copias de sí mismo para difundirlas por una red, sin requerir que intervengamos.
Troyanos:
Se disfrazan de "software legítimo" para causar daños o recopilar datos. ¿Cómo lo hacen? Abren una BACKDOOR (Puerta Trasera) en el sistema para favorecer el ingreso de otros programas maliciosos.
Spyware:
Registra "en secreto" lo que hace un usuario. Es un "espía" avanzado que trabaja de manera silenciosa para no despertar nuestra atención y preocupación.
Botnets:
Redes de computadoras infectadas por gusanos o troyanos que se utilizan para realizar tareas en línea sin el consentimiento del usuario.
Exploits:
Software que aprovecha una vulnerabilidad o debilidad para ingresar a un sistema o red informática, como "llave informática" para: robar datos, atacar infraestructuras críticas, infectar equipos, y secuestrar de información sensible que permita solicitar el pago de un rescate para recuperarla, al estilo ransomware.
Ransomware
Este es uno de los más sofisticados y modernos dentro de la categoría de malwares, ya que lo que hace es secuestrar datos (encriptándolos) y pedir un rescate por ellos (DINERO). Normalmente, se solicita una transferencia en criptomonedas, para evitar el rastreo y localización de la transferencia. Este tipo de ciberataque va en aumento y debido a sus recientes variaciones es uno de los más temidos en la actualidad.
9.6. Inyección SQL
Es un método de infiltración de un código intruso que toma el control de la computadora y roba datos de una base de datos.
Es un ciberataque realizado por el vector de Aplicación Web como los campos de formularios de acceso, registro o búsqueda que explota los errores y vulnerabilidades de una página web. Comúnmente es utilizado para acceder a las bases de datos y robar, manipular o destruir la información
9.7. DDoS - Denegación de distribución de servicio
De todos los tipos de ataques informáticos éste es uno de los más conocidos y temidos, ya que es muy económica su ejecución y muy difícil de rastrear al atacante.
De esta forma, la eficacia de los ataques DDoS se debe a que no tienen que superar las medidas de seguridad que protegen un servidor, pues no intentan penetrar en su interior, solo bloquearlo generando severas pérdidas económicas al negocio objetivo.
9.8. "Doxing" o "Doxeo"
Se denomina de esta manera a una práctica asociada a un software malicioso del tipo ransomware,
que consiste en publicar o difundir información privada de un individuo
en Internet, con diversos propósitos, como: extorsionar, intimidar,
humillar o amenazar, en caso que la persona no pague un determinado
"rescate" (DINERO), esta "práctica" es también considerada un tipo de CIBERACOSO.
9.9. SS7 (Informativo)
Qué es SS7
El sistema de señalización 7 (SS7), también conocido como Sistema de canal común de señalización 7 (CCSS7) o canal común entre oficinas de Señalización 7 (CCIS7), es un conjunto de Protocolos desarrollado en 1975 que permite a las conexiones de una red de telefonía móvil a otro. La información que se pasa de una red a otra son necesarios para el encaminamiento de las llamadas y mensajes de texto entre varias redes.El SS7 realiza fuera de la banda de señalización en apoyo del
- 1) establecimiento de la llamada
- 2) red telefónica de facturación
- 3) funciones de enrutamiento
- 4) el intercambio de información del pública conmutada (PSTN)
Cuando los usuarios acceden a una PSTN (red de conmutación de telefonía publica), que intercambia constantemente la señalización con elementos de la red, por ejemplo, la información se intercambian entre un usuario móvil y la red telefónica de señalización.
La información incluye la marcación de dígitos, proporcionando el tono de marcación, el envío de un tono de llamada en espera, para acceder a un buzón de voz, etc.
Un canal digital separado del de voz se utiliza para el intercambio de información de señalización se denomina enlace de señalización, cuando se hace una llamada, los dígitos marcados, se envía el tronco seleccionado, y otra información entre interruptores usando sus enlaces de señalización, en lugar de los troncos utilizados para llevar la conversación .
El SS7 también se utiliza para implementar la red de itinerancia (cambio de lugar de origen) cuando los usuarios necesitan usar diferentes proveedores de la red.
La realidad es que los Protocolos SS7 son viejos e inseguros podrían dañar nuestra privacidad ampliar drásticamente nuestra superficie de ataque.
Últimamente se conocieron muchos casos de estafas y robo de información utilizando el SS7 para lograr el colectivo.
El sistema fue construido hace décadas, cuando sólo unos pocos portadores grandes controlan la mayor parte del tráfico telefónico mundial. Ahora miles de empresas usan SS7 para proporcionar servicios a miles de millones de teléfonos y otros dispositivos móviles.
Con este crecimiento, se pierde el control o aparecen empresas que proveen por algún dinero acceso a esta red.
Todas estas empresas tienen acceso a la red y se puede enviar consultas a otras empresas en el sistema SS7, por lo que toda la red sean más vulnerables a la explotación. Cualquiera de estas empresas podría compartir su acceso con los demás, incluidos los responsables de los sistemas de vigilancia.
Localización móvil con SS7
Cada proveedor de servicios de telefonía móvil proporciona la información de localización dentro del campo de mensaje inicial de dirección (IAM Identity and access management) del Protocolo de la parte usuario RDSI (ISUP) del marco SS7 usando un formato propietario.Esto significa que el acopio de la información, es imprescindible conocer la forma en que el ISP gestiona.
La parte de usuario de Servicios de Red digital de integración (ISUP) es una extensión de SS7 que se utiliza para configurar las conexiones con cables entre los intercambios. El ISUP es el Protocolo utilizado para apoyar la señalización necesaria para proporcionar servicios de voz y no de voz en las comunicaciones telefónicas.
Los datos de localización SS7 se envía utilizando el atributo ‘Cell ID’ en el Protocolo ISUP, en el mensaje IAM, el campo “Número de ubicación” y el campo “dirección llamada número”
El Protocolo SS7 permite a las compañías de telefonía celular para recoger los datos de localización relacionados con el dispositivo del usuario de torres de telefonía celular y compartirla con otras compañías. Mediante la explotación de la SS7, un portador puede descubrir la posición de su cliente por todas partes él.
Además de permitir que las empresas de telecomunicaciones para consultar la ubicación de los teléfonos en las redes de otros operadores, el Protocolo SS7 les permite enrutar las llamadas y mensajes de texto a través de un proxy, antes de llegar al destino legítimo.
Por supuesto, las funciones implementadas por un proxy podrían permitir a un atacante falsificar la identidad de las víctimas.
¿Qué es un ataque SS7?
En pocas palabras, un ataque SS7 implica la explotación de vulnerabilidades en el protocolo SS7 para interceptar y manipular comunicaciones móviles.
Esto puede permitir a los atacantes realizar una variedad de acciones maliciosas, como la interceptación de llamadas y mensajes de texto, el rastreo de la ubicación de los usuarios y la suplantación de identidad.
Cómo funciona un ataque SS7
El protocolo SS7, que sirve como puente entre diferentes redes de comunicación inalámbrica como el 2G y el 3G, ha sido un pilar en el mundo de las telecomunicaciones.
Sin embargo, su diseño original, concebido para una era de menor complejidad tecnológica, ha dejado expuestas a las redes más modernas, como el 4G y el 5G, a posibles vulnerabilidades.
Este protocolo, que facilita el intercambio de información esencial para realizar llamadas y enviar mensajes de texto fue concebido como un sistema cerrado y seguro entre proveedores de telecomunicaciones.
Lamentablemente, con la evolución tecnológica y la proliferación de dispositivos móviles, se han añadido capas adicionales de protocolos de comunicación, creando nuevos puntos de acceso que podrían ser explotados por delincuentes para acceder y manipular datos sensibles.
Los ciberdelincuentes pueden aprovechar estas vulnerabilidades para espiar a individuos, robar información confidencial o incluso cometer fraudes financieros.
Los problemas con el protocolo SS7 salieron a la luz en 2014, cuando investigadores de seguridad alemanes revelaron debilidades que permitían a los atacantes rastrear la ubicación y las comunicaciones de los usuarios de teléfonos móviles, así como escuchar sus conversaciones.
La situación se agravó en 2017, cuando piratas informáticos lograron acceder a cuentas bancarias de víctimas al interceptar códigos de autenticación de dos factores destinados a proteger las cuentas.
También se registro, en 2020, una actividad similar, por parte de la Marina de México para interceptar comunicaciones en el país.
10. Políticas de Seguridad
- Instala y actualiza regularmente el software antivirus de todos los equipos utilizados en tu empresa, hogar u otros lugares.
- Actualiza regularmente el software y los sistemas operativos de la computadora.
- Investiga un poco y encuentra el mejor proveedor de protección en Internet y no compres el software más barato.
- Protege tu conexión a Internet utilizando un cortafuegos.
- Haz copias de seguridad de los datos importantes y mantenlos a salvo.
- Capacita a los empleados o familiares sobre qué es seguridad informática y sus principios.
- Cambia regularmente las contraseñas y utiliza contraseñas seguras. Una contraseña segura contiene letras mayúsculas, minúsculas y números. Se recomienda no convertirla en una palabra, sino en una combinación aleatoria.
- Asegura a nivel de red el sistema (Gestión de la Red).
11. Caso de Seguridad de la Información
A modo de ejemplo para el Ministerio de Comercio, el Poder Ejecutivo Nacional desde una resolución dispone aprobar a “Política de Seguridad de la Información” y designa como Responsable de Seguridad de la Información a la titular de la Secretaría Legal y Administrativa del ministerio de Economía.
https://www.argentina.gob.ar/sites/default/files/8._rs-2021-19942521-apn-mec.pdf
En este manual :
https://www.argentina.gob.ar/sites/default/files/9._if-2021-19601238-apn-slyamec_anexo_psi.pdf
Se establecen las políticas de Seguridad de la Información para nuestro País.
En el mismo se indican respetar las siguientes normas.
Protección de Datos Personales. Ley Nº25.326 (Habeas Data):
Establece responsabilidades para aquellas personas que recopilan, procesan y divulgan información personal. Define criterios para procesar datos personales o cederlos a terceros/as.
Ética en el Ejercicio de la Función Pública. Ley Nº25.188:
Obliga a todas las personas que se desempeñen en la función pública a abstenerse de utilizar información adquirida en el cumplimiento de sus funciones para realizar actividades no relacionadas con sus tareas oficiales o de permitir su uso en beneficio de intereses privados.
Ley Marco de Regulación de Empleo Público Nacional Nº25.164:
Establece que los Funcionarios Públicos deben observar el deber de fidelidad que se derive de la índole de las tareas que le fueron asignadas y guardar la discreción correspondiente o la reserva absoluta, en su caso, de todo asunto del servicio que así lo requiera.
Confidencialidad. Ley Nº24.766:
Impide la divulgación a terceros, o su utilización sin previo consentimiento y de manera contraria a los usos comerciales honestos, de información secreta y con valor comercial que haya sido objeto de medidas razonables para mantenerla secreta.
Entre otras normas.
Solo observaremos algunos puntos de este documento a modo informativo..
12.1.4 Control: Separación de entornos de desarrollo, pruebas y operacionales.
12.2 Categoría: Protección contra el malware (código malicioso).
12.3 Categoría: Resguardo (backup).
12.4 Categoría: Registro y Monitoreo.
13.1 Categoría: Gestión de la Red.
12. ¿Y por la Justicia como andamos?
Como todos sabemos, estas cuestiones de seguridad son sin duda cada vez mas importantes para la vida diaria y cuando hay problemas esto puede terminar en la justicia y es esa justicia la que debe hacer justicia 🙂.
En ese caso y esto intenta observar este capítulo, la justicia tiene a las Leyes como guías que permitan determinar si existen o no delitos y sus penas.
Veremos en esta materia cuestiones que resuelven:
- Confidencialidad
- Integridad
- Autenticación
Es en este punto que quiero resaltar algunas cuestiones respecto de la Justicia.
1) Las Leyes pueden no estar a la altura de las circunstancias, es mas puede que no incluyan delitos que son considerados delitos en otros países.
2) Esta preparado el sistema Judicial para dar Fe de algo como un Video, una grabación?.
3)Está preparado el sistema Judicial para
Solo para jugar.
https://share.synthesia.io/f0d203f2-3baf-4cd7-adce-684a17ed64a4
13. Niveles de Seguridad
El estándar de niveles de seguridad mas utilizado internacionalmente es el TCSEC (Trusted Computer System Evaluation Criteria), del Departamento de Defensa de los Estados Unidos en su Orange Book2, desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos.
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo.
Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC).
Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1 y el D.
define siete niveles distintos de seguridad:
Nivel D1
El sistema no es seguro, ya que no cumple con ninguna especificación de seguridad. No dispone de protección del hardware ni autenticación de los usuarios.
Nivel C1
Se implementa un mecanismo de control de acceso laxo para la identificación y autenticación de los usuarios. Se distingue entre administradores del sistema y usuarios normales.
Nivel C2
Aplica un mecanismo seguro de control de acceso de los usuarios e implementa registros de auditoría.
Nivel B1
Incorpora un mecanismo de seguridad jerárquico o multinivel asignando etiquetas para ello a los distintos objetos del sistema, tanto a los datos como a los usuarios.
Nivel B2
Sistema de seguridad estructurado, en el que se etiquetan los objetos del sistema de nivel superior con respecto a los del inferior.
Nivel B3
Se incluyen dominios de seguridad y distintas políticas de acceso, gestionadas de manera centralizada y con un control de acceso seguro implementado.
Nivel A
El sistema implementa mecanismos de seguridad para el control y la verificación mediante métodos matemáticos. Este es el máximo nivel de seguridad de un sistema.
Actualmente, se utiliza otro estándar de referencia para medir el nivel de seguridad de un sistema, el Common Criteria, pero los niveles que definió el TCSEC son la base sobre la que se desarrolla este y otros intermedios, como el europeo ITSEC (Information Technology Security Evaluation Criteria) creado en 1991, el canadiense CTPEC (Canadian Trusted Computer Product Evaluation Criteria) de 1993, y el estadounidense FCITS (Federal Criteria for Information Technology Security), también de 1993.
ISO 27000
En concreto la familia de normas ISO/IEC 27000 representa un conjunto de estándares de seguridad (desarrollados o en fase de desarrollo) que proporciona un marco para la gestión de la seguridad.
Contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
La seguridad de la información, según la ISO 27001, se basa en la preservación de su confidencialidad, integridad y disponibilidad, así como la de los sistemas aplicados para su tratamiento.
14. Glosario
L2TP :Protocolo de Túnel de Capa 2 es un protocolo VPN pero con una gran desventaja, no ofrece ninguna encriptación. Es por eso que se implementa junto con IPsec Encriptación.
VPN: Hay tres tipos de implementaciones.
- VPN de acceso remoto: Los equipos acceden a un equipo central o servidor utilizando conexiones encriptadas, luego de esto es como si el equipo estuviera en la misma red Lan.
- VPN punto a punto: Los equipos acceden a un equipo central o servidor utilizando conexiones encriptadas El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha
- Tunneling: La técnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un túnel dentro de una red de computadoras, SSH se podría utilizar como Tunel.