Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seg3 Correo Electronico PDF
Seg3 Correo Electronico PDF
Copyright . Todos los derechos reservados. Prohibida su copia, distribucin parcial o total sin la autorizacin del titular de la obra.
Editorial
Una vez ms .Seguridad es publicada para ofrecer a los lectores un espacio donde se
puedeninformarsobreasuntosdeSeguridadInformtica,enestaocasinconeltemade:
SeguridadenelCorreoElectrnico.
El uso del correo electrnico es ya tan comn que para muchos de nosotros ya forma
parte de la rutina diaria el revisar nuestra bandeja de entrada. Este medio de
comunicacinsehavueltomuyprcticodebidoaloeconmicoqueresultaysobretodoa
surapidez.Ademsdequetienelagranventajadepermitircompartirarchivosdeforma
sencilla.
De esta forma, este medio de comunicacin es usado por diversos grupos de personas y
con distintos fines como asuntos de trabajo, comunicacin entre amigos, con la familia
etc.
Estegranusoqueseledaactualmentealcorreoelectrnicolohaceblancodeamenazas
de seguridad. En este Nmero 3 de .Seguridad se muestra como funciona el correo
electrnico y nos informa de los amenazas a los que nos podemos enfrentar al utilizarlo
ascomodelasprcticasquepodemosutilizarparaprevenirservctimasdeellas.
RocodelPilarSotoAstorga
DepartamentodeSeguridadenCmputo
Copyright . Todos los derechos reservados. Prohibida su copia, distribucin parcial o total sin la autorizacin del titular de la obra.
SergioAndrsBecerrilLpez
Copyright . Todos los derechos reservados. Prohibida su copia, distribucin parcial o total sin la autorizacin del titular de la obra.
Figura1
Anaabreentoncessuprogramafavoritodecorreoelectrnico(Outlook,Eudora,sunavegadorde
Internet posiblemente) y, una vez autenticada (es decir, habiendo introducido su nombre de
usuario y contrasea), enva su correo. Es importante resaltar este punto: es imprescindible
indicarleanuestroservidordecorreoquienessomos,parapoderhacerusodelmismo,aunquea
vecesestoserealizademaneraautomtica.
Lo que pasa una vez que Ana hace click en Enviar es donde reside la verdadera magia. Dijimos
antesquelasegundapartedeladireccindecorreocorrespondealaubicacindelapersona;en
estecaso,AnaquierecontactaraBrunoenlaubicacinempresa.com.Sinembargo,esposible
que el servidor que administra el correo dentro de la organizacin empresa.com no sea
precisamente el servidor empresa.com, sino, digamos, otro servidor llamado
correo.empresa.com. Esta prctica es muy comn y sirve para delegar responsabilidades (un
equipoqueadministreelsitioweb,usualmentedominio.com;unservidordecorreo,etc.)
Portanto,necesitamossaberexactamentequservidorseencargarderecibirnuestrocorreoen
empresa.com. Para ello, contactamos a otro equipo, un servidor DNS
1
, que nos entrega
1Servidorqueseencargaderelacionarnombresdedominio(e.g.dominio.com)ydireccionesIP(identificadoresnumricos),ascomo
servidoresasociadosaundominio(e.g.unservidordecorreo).
Copyright . Todos los derechos reservados. Prohibida su copia, distribucin parcial o total sin la autorizacin del titular de la obra.
justamente esta informacin (como se aprecia en la Figura 1). En este caso, nos contesta que el
servidor es correo.empresa.com; esta informacin se conoce como el registro MX del servidor
empresa.com.Usualmente,setienemsdeunregistroMX,deformaquesialgnservidordeja
defuncionar,podamosseguirrecibiendocorreoconalgnotro.
Unavezconocidoestedato,elservidorsmtp.escuela.com.mxcontactaacorreo.empresa.comy
deestardisponible,leenviarnuestrocorreoelectrnico,endonderesidirhastaqueBrunoabra
suclienteyleasucorreo.
SiAnaenviarauncorreoamltiplesdestinos,suservidordecorreorealizaraesteprocedimiento
por cada destino diferente. Esto es, si voy a enviar correos a 100 personas diferentes, todas en
empresa.com, hara este procedimiento una vez, y enviara 100 correos al registro MX
correspondiente; si fueran, en cambio, 100 personas en 100 dominios diferentes, realizara este
procedimiento 100 veces. Tambin es posible que nuestro destinatario se encuentre en nuestro
mismo destino (por ejemplo, que Ana quisiera contactar a Carlos, cuya direccin es
carlos@escuela.com.mx); en este caso, nuestro servidor de correo simplemente lo copiara a las
bandejasdeentradadecadaquien.
Este procedimiento est documentado como un estndar (es decir, es el mismo para todos los
servidores de correo que quieran comunicarse utilizando este esquema) y se conoce como el
protocolo SMTP, cuyas siglas en ingls significan Simple Mail Transfer Protocol, o Protocolo
SencillodeEnvodeCorreo.Comosepuedeapreciar,hacehonorasunombre.
El protocolo describe una gran cantidad de opciones; un servidor de correo puede presentar
mensajesdeerror,porejemplosinotieneregistradoalusuarioquebuscamos(digamosqueAna
se equivocara al escribir la direccin, y no existiera ese usuario, recibira un correo electrnico
indicndole el problema). Por otra parte, tambin es comn que un servidor de correo tenga
instaladounantivirusyunfiltroparadistinguiralspam,ocorreonodeseado,delcorreoautntico
ya que por ejemplo durante el 2008, el 60.56% del total de casos de incidentes reportados al
DepartamentodeSeguridadenCmputoUNAMCERTsetratdespam.
Estabrevedescripcinpuedeayudarnosaentendermejorelfuncionamientotrasbambalinasla
prximavezqueenviemoslasltimasfotosdelafiestaoaqulmemorndumdeltrabajo.
Referencias:
http://www.ietf.org/rfc/rfc2821.txt(estndar)
http://es.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol(WikiespecficadelSMTP).
http://www.cert.org.mx/estadisticas.dsc
Copyright . Todos los derechos reservados. Prohibida su copia, distribucin parcial o total sin la autorizacin del titular de la obra.
JavierUlisesSantillanArenas
uchasdelastcnicasutilizadasparaconseguirinformacindeformailegalcontemplan
la utilizacin de mecanismos, herramientas, equipos, etc., y la mayora de las veces
quienes las ejecutan necesitan de sofisticados conocimientos tcnicos y amplia
experienciaparaquelosataquesseanefectivos,sinembargo,lallamadaingenierasocialomite
el dominio de cuestiones tcnicas y se basa en el aprovechamiento del eslabn ms dbil
dentrodelaseguridadinformtica:elusuario.
M
Mientraslasnuevastecnologasdecomunicacioneshanpermitidoquelabrechaentreusuariosy
mquinasseacadavezmenor,loscomplejossistemasdecomunicacintambinhandesarrollado
modelos que dan al usuario la capacidad de intercambiar informacin de una manera cada vez
msrpida,fcilysencilla.Ejemplosdeestoeslaevolucindelosmensajesdecorreoelectrnico,
mensajeros instantneos, redes sociales, mensajes de texto, etc., los cuales proporcionan una
maneraefectivadeintercambiodeinformacin.
El uso y aprovechamiento de tecnologas de este tipo, conlleva que el usuario confe en todo lo
que hay detrs, es decir, si el usuario ve una interfaz amigable o conocida, normalmente
supondraqueelemisordedichainformacinesprecisamentequienlaestpublicando.Enotras
palabras,siveuncorreoocartelelectrnicodelbancoX,supondrqueesefectivamenteelbanco
Xquienestemitiendolainformacin,oalmenosesloquelamayoradelosusuariosquenohan
sidoinformadosdelosriesgosyamenazasdeseguridadinformticatendranenmente.
Ingenierasocialylascomunicacioneselectrnicas
Ahora, cmo se relaciona la ingeniera social en todo esto? El saber que el punto ms dbil de
toda una infraestructura de seguridad es el usuario, da pauta a que puedan omitirse todas las
protecciones implementadas detrs de l. La ingeniera social se trata de prcticas, tcnicas
especializadas o empricas, acciones estudiadas, planeaciones estratgicas, etc., cuyo principal
objetivo es manipular a una entidad, en este caso a las personas, para que directa o
indirectamenterealicenaccionesquellevarnaconseguirunfinespecficoparaquienlasaplica,
en palabras sencillas, es la habilidad de engaar para obtener informacin de una persona o
sistema.
En base a lo anterior se puede entender o al menos imaginar gran cantidad de formas por las
cuales pueden aplicarse tcnicas de engao en medios como el correo electrnico, mensajes de
texto, pginas web, etc., de modo que los usuarios ingenuos proporcionen informacin o
realicen acciones que deliberadamente han sido planeadas para lograr objetivos como robo de
informacin,accesoacuentasdeusuario,etc.Dehecho,enlosltimosaoshannacidotrminos
comophishing,hoax,shouldersurfing,etc.,loscualesserefierenaunconjuntodeacciones
aplicadasdeingenierasocial.
Copyright . Todos los derechos reservados. Prohibida su copia, distribucin parcial o total sin la autorizacin del titular de la obra.
Abordando ejemplos especficos, el phishing consiste en suplantar a una entidad con la finalidad
de obtener informacin tal como contraseas, nmero de tarjetas de crdito, informacin
personal de cuentas, etc., y el medio de propagacin de esta amenaza se da principalmente por
correo electrnico y portales web falsos. Generalmente tratan de dar la apariencia de la entidad
que estn suplantando, sin embargo, estn diseados de manera que el intercambio de
informacin ser entre el usuario y una entidad externa, as, sta puede utilizar la informacin
proporcionada por el usuario y utilizarla con los fines que se desee. Hay muchas referencias en
dondeasumenqueeltrminodephishingprovienedelconceptoenqueelengaorepresentaun
anzuelo,yseestalaesperaqueelmsingenuoseapescado.
Defensas,consideracionesybuenasprcticas
Con todo lo anterior se puede formular la pregunta existen defensas efectivas en contra de la
ingenierasocial?Larespuestaestotalmenteafirmativa,sinembargolosmecanismosatomaren
cuentavanmsenfocadosaunaculturainformticaynotantoaunacuestintcnica.
Sedebeentenderqueunapartemuyimportantedelaseguridadrecaeenelusuario.Tantoenlas
comunicacioneselectrnicascomoenlavidareal,siempresedebetenerpresentequehaycosas
delasquedebemosdesconfiar,omanejarconparticularcuidado.
Copyright . Todos los derechos reservados. Prohibida su copia, distribucin parcial o total sin la autorizacin del titular de la obra.
- Alutilizarserviciosbancariosenlnea,sedebenverificarcaractersticascomoquesetrata
de una pagina segura (inicia con https), as como que la direccin del portal realmente
pertenezcaalaurldelaentidad,porejemplo,sielbancoXofreceserviciosenlnea,ycon
total seguridad se sabe que su direccin web es www.bancox.com, entonces cuidarse de
direcciones aparentes. Una caracterstica del phishing es que paginas autnticas pueden
suplantarse conunasimplesimilituddelaspalabras,paraelcasoanteriorpodraserque
la pgina falsa fuera www.banncox.com. El simple hecho de que se parezca, hace que
muchos usuarios desprevenidos caigan en este tipo de engaos que por muy triviales y
sencillosqueparezcan,siguensiendomuyefectivos.
- Noenviarinformacindeaccesopersonalporcorreoelectrnico.
El no aplicar este tipo de medidas a pesar de su sencillez, causa que ms all de los trminos de
seguridad informtica, la ingeniera social represente un problema econmico. Solo por citar un
ejemplo,enelreinounidosealcanzlacantidadde52.5millonesdeeurosen2008,msdeldoble
22.6millonesreportadosen2007decasosdefraudeenlnea.
Referencias:
http://www.perantivirus.com/sosvirus/pregunta/ingsocial.htm
http://www.microsoft.com/latam/seguridad/hogar/spam/phishing.mspx
http://www.theregister.co.uk/2009/08/27/online_banking_fraud_survey/
Copyright . Todos los derechos reservados. Prohibida su copia, distribucin parcial o total sin la autorizacin del titular de la obra.
AlejandroReyesPlata
on los avances tecnolgicos de los ltimos aos, sobre todo en las tecnologas de la
informacin,unamayorcantidaddepersonastienenacceso,alosgrandesbeneficiospero
tambinalosriesgosdeInternet.unodeloscualeseslapropagacindecdigomalicioso
atravsdelcorreoelectrnico.
C
Cierta parte de este malware que se inyecta en imgenes, al ser abiertas en los sistemas
operativos, permite la ejecucin de cualquier instruccin en los equipos afectados, sin el
conocimiento o el permiso de los usuarios. sta es una manera hbil de introducir cdigo
malicioso a otras mquinas saltndose las alarmas y evitando las herramientas de seguridad en
red.
2malicioussoftware
Copyright . Todos los derechos reservados. Prohibida su copia, distribucin parcial o total sin la autorizacin del titular de la obra.
- Virus.Escdigoquesereplicaunindoseaotroobjetogeneralmentesinconsentimiento
ni conocimiento del usuario, algunos toman el control de los programas de correo
electrnico, intentando duplicarse a s mismos. Otros virus pueden destruir o corromper
archivos de datos, borrar programas instalados o daar el propio sistema operativo. Los
virus de script son una subcategora escrita en una variedad de lenguajes de script (VBS,
JavaScript,BAT,PHP,etc).Unadelasprincipaleshabilidadesdelosvirusdescriptconsiste
en ser capaces de enviarse con gran facilidad a travs de programas de correo como
OutlookoclientesdeIRCcomomIRCoPIRCH.
- Gusanos. Un gusano es un programa o conjunto de programas que realizan copias
completas de s mismos en distintos equipos informticos, se reproducen a tal velocidad
que pueden colapsar y tirar las redes en las que se infiltran, se propagan a travs de las
conexionesdeunaredperoprincipalmenteseextiendenatravsdelcorreoelectrnico.
La mayora utilizan Outlook y Outlook Express (uno de los clientes de correo electrnico
ms utilizados en todo el mundo), como transporte hacia otros equipos y as poder
propagarse rpidamente. Es necesario destacar que los clientes de correo electrnico
menos empleados no son inmunes, ya que todos pueden ser susceptibles de servir de
medio de propagacin para un gusano. Los gusanos actuales han sido modificados y
mejoradosdeformaqueseenvandemaneraindependiente,sinnecesidaddeutilizarun
clientedecorreoelectrnicodeterminado.EmpleansupropiomotorSimpleMailTransfer
Protocol(SMTP).ParaenviarsenicamenterequierendeunaconexinaInternetyenviar
determinadoscomandosatravsdelpuerto25/TCP.
Recomendaciones:
Sindudamuchodelmalwarequeinfectanuestrosequiposseinstalasinnuestroconsentimientoy
muchas de las veces ni siquiera nos enteramos de ello, nuestra misma computadora puede ser
partedeunareddezombisenestemomento.Demanerageneralserecomiendanoabrircorreos
electrnicos de remitentes desconocidos, no reenviar correos que sean cadena, instalar un
software antivirus y mantenerlo actualizado. No dar clic en ligas que nos dirigen hacia ligas con
videos de algn personaje pblico. Aunque conozcamos al emisor del mensaje no nos garantiza
queelcontenidoestlibrederiesgos,debemosdesermuyprecavidos.
Referencias:
www.techfaq.com/botnet.shtml
http://www.terra.es/tecnologia/articulo/html/tec10570.htm
http://es.wikipedia.org/wiki/Adware
http://www.antivirusworld.com/articles/pharming.php
http://www.pharming.org/index.jsp
http://www.microsoft.com/latam/athome/security/viruses/virus101.mspx
http://www.monografias.com/trabajos15/virusinformatico/virusinformatico.shtml
Copyright . Todos los derechos reservados. Prohibida su copia, distribucin parcial o total sin la autorizacin del titular de la obra.
RocodelPilarSotoAstorga
ldajueves4demayodel2000unaalarmasacudialmundodelascomputadoras,setrat
de un gusano informtico que se propagaba rpidamente va correo electrnico. Esta
amenaza fue conocida por varios nombres, entre los ms mencionados se encuentran:
ILOVEYOU y LOVE LETTER y fue la causante incluso de que varias empresas cesaran sus
actividades.ElasuntodelcorreoelectrnicoeraILOVEYOU,conunadjuntodenombre"LOVE
LETTERFORYOU.TXT.vbs". En el cuerpo del mensaje se lea: "kindly check the attached
LOVELETTERcomingfromme".
E
Result tentador para muchas personas el proceder a abrir dicho adjunto suponiendo que se
tratabadeunaverdaderacartadeamorprovenientedeunadireccinelectrnicaconocida.
Comoatacaelgusano
ElsistemaoperativoafectadoporelgusanofueWindowsconelWindowsScriptingHostactivado.
ILOVEYOU es un programa, realizado en Visual Basic, que tiene la habilidad de mandarse a si
mismo va correo electrnico a todas las direcciones contenidas en la libreta del programa
Microsoft Outlook de la computadora infectada. Despus de instalarse en la computadora, el
gusanoalteraimgenesyarchivosdeaudio.
DeacuerdoalCERTCoordinationCenter
3
elgusanoactadelasiguienteforma:
- Remplazaarchivosconcopiasdelmismo.
- CreacdigomIRC4conelfindepropagarse.
- ModificalapginadeiniciodeInternetExploreraunapginaenblanco.
- Mandacopiasdesimismoporcorreoelectrnico.
- Modificallavesderegistro.
3ComputerEmergencyReadinessTeam,CoordinacinubicadaenlaUniversidaddeCarnegieMellon,queseocupadelaseguridaden
internet.
4LenguajeembebidoenmIRC,unclientedeIRCInternetRelayChat
Copyright . Todos los derechos reservados. Prohibida su copia, distribucin parcial o total sin la autorizacin del titular de la obra.
Figura1
Bsquedadelautor
EsemismojueveselFBIcomenzconlasinvestigacionesdelresponsabledelataqueoriginadoen
Filipinas. La procedencia del virus se supo ya que una compaa de servicios de Internet en
Filipinas,SkyInternet,comentquealbergabapartedelcdigodelgusano.
La identificacin del culpable se hizo ms fcil cuando la Escuela de Informtica AMA en Filipinas
informalapolicaquelatesisdeunalumnoseparecamuchoaloquesucedaconelvirus,esta
tesis fue rechazada por la escuela debido a no mostrar un trabajo tico. Las investigaciones
condujeron al estudiante de 23 aos, Onel de Guzmn quien se encontraba viviendo en un
departamentojuntoconsuhermanayelnoviodeesta.
LasautoridadesdeFilipinasnosabanquehaceryaquenosecontabaconunalegislacinparael
crimen ciberntico en el pas, por aquel entonces. Durante la defensa, el abogado de Onel
argumentqueseraposiblequeeljovenestudiantehubieraliberadoelvirusperosolocomoun
accidenteynegandolaautoradirecta.
Los cargos fueron retirados bajo argumento de que los estos no aplicaban al caso o que no se
contaban con las suficientes pruebas para demostrarlo. Tampoco tuvo caso una demanda por
Copyright . Todos los derechos reservados. Prohibida su copia, distribucin parcial o total sin la autorizacin del titular de la obra.
partedelasempresasafectadasyaqueademsdequeloscargosnopudieronseraplicados,Onel
eraunestudiantequevivainclusodedineroprestado.
Consecuencias
EntrealgunasdelascompaasqueresultaronafectadosseencuentranlaeditorialAxelSpringer,
lacompaadetelefonaVodafone,PacificBellenSanFrancisco,lasfbricasdeDellenIrlanda,el
peridicoespaolelPas,laForddeReinoUnidoentreotrasmuchasempresasdetodoelmundo
devariospasesquellegaronatenerunacantidadconsiderabledecomputadorasinfectadas,por
locualvariasdeestascompaastuvieronquedesconectarsusservidoresdecorreos.
Otra consecuencia fue la creacin de leyes en Filipinas que castigaran los delitos informticos.
Esto se dio mediante la conocida como Acta de Comercio Electrnico de Filipinas en la que se
penalizan actos de hacking o cracking tales que interfieren en un sistema de informacin o
acceden con el fin de corromper, alterar, robar o destruir mediante el uso de la computadora o
cualquier otro dispositivo de comunicacin sin consentimiento, as como la introduccin de virus
informticososemejantesquealterenodestruyaninformacin,siendoporello,losqueincurran
enestosdelitos,merecedoresalpagodeunafianzaotiempoenprisin.
Dentro de este gran caos, se tuvieron lecciones aprendidas como es el tener cuidado con los
mensajes de correo electrnico que contengan adjuntos a pesar de que sean enviados por
direccionesconocidasyaqueenellospuedenestarsetransportandovirusyprogramasmaliciosos.
Sisesospechadealgncorreoderemitenteconocidoesmejorenviaruncorreoaesteremitente
aclarandolasituacin.
Nodebemosolvidarnosdeestecasohistricoyaquesuimportanciaradicenquefuediseminado
congranrapidezdebidoalganchodelasrelacionespersonales.Conelaugedelasredessocialesy
el hecho de que gran parte de los usuarios son jvenes menores de edad, es muy fcil que esta
treta pueda ser utilizada nuevamente con fines de propagacin de malware. Es por esto que
debemos estar bien informados sobre las amenazas actuales y no olvidarnos de los hechos
sucedidosenelpasadoparapoderestarsiemprealertasypoderhacerusosegurodeInternet.
Referencias:
http://www.cert.org/advisories/CA200004.html
http://www.sophos.com/pressoffice/news/articles/2000/08/va_guzman.html
http://www.ua.es/es/novedades/comunicados/2000/iloveyou.htm
http://www.elmundo.es/navegante/2000/05/05/ailofiu_virus.html
http://news.bbc.co.uk/2/hi/uk_news/736080.stm
http://news.zdnet.com/21009595_22107318.html?legacy=zdnn
BROADHURSTyGRABOSKY.CyberCrime,TheChallengeinAsia.HongKongUniversityPress,Hong
Kong,2005.ELECTRONICCOMMERCEACTOFTHEPHILIPPINES.
Copyright . Todos los derechos reservados. Prohibida su copia, distribucin parcial o total sin la autorizacin del titular de la obra.
MiriamJ.PadillaEspinosa
l ataque de MITM por sus siglas en ingls (Man in the middle), consiste en intervenir la
comunicacin que establecen dos partes entre ellas, sin que stas puedan percibir la
intromisin, el atacante puede estar ubicado de forma fsica o lgica. Un ataque de tipo
MITMcomprometeprincipalmentelassiguientescaractersticasdeseguridad:
Confidencialidad:alescucharlacomunicacinentredospersonasoequipos
Integridad:alinterceptarlacomunicacinymodificarlainformacin
Disponibilidad:aldesviarodestruirlosmensajesdetalformaqueseprovoqueelfindela
comunicacinentrelasdospartesquesecomunican.
Paracontribuiralentendimientodeestetipodeataque,supongamoselsiguienteescenariodonde
seafectalaconfidencialidad,laintegridadyladisponibilidad:
Entredosmiembrosdeunaempresaserealizarelenvodeunarchivovacorreoelectrnico,hay
untercero(elintruso)queduranteunaconversacin,sinserdescubiertohaescuchadolahoraen
lacualserealizarunintercambioelectrnicoafectandoaslaconfidencialidad(Figura1),deesta
forma el atacante durante la transmisin del archivo interceptar la comunicacin y modificar el
documentodaandoaslaintegridad(Figura2)detalformaquecuandoeldestinatarioloreciba,
nopercibirlamodificacin;porltimo,sielatacantedestruyelainformacinobtenidadurantela
intercepcin est ya no llegar al destinatario, lo que ocasionar el fin de la comunicacin
afectandoasladisponibilidad(Figura3).
Figura1Figura2
Copyright . Todos los derechos reservados. Prohibida su copia, distribucin parcial o total sin la autorizacin del titular de la obra.
Figura3
Como medidas preventivas para este tipo de ataque se recomienda a los usuarios el empleo de
clavespblicasdecifrado,cifradodelainformacin,usodecertificadosyfirmasdigitales.
Debido a la importancia que en la actualidad ha adquirido el uso de correo electrnico, para el
intercambiodeinformacin,porserunaherramientadecomunicacinrpida,econmica,directa
y personalizada; se ha vuelto un blanco de amenazas que atentan contra la seguridad de esta
herramienta de comunicacin. De esta forma surge como una medida de proteccin contra
intrusoselusodelcorreoelectrnicocifrado,queconsisteenutilizarunalgoritmodecifradopara
transformarelmensajeenunarepresentacinincomprensibleparaaquellapersonaquenocuente
conautorizacinpararecibirlainformacin.
Entrelosmecanismosmsutilizadosenlaactualidadparaelcifradodecorreoelectrnicodestacan
PGPyS/MIME,loscualessedetallanenlaTabla1:
ESTNDARESDECIFRADODECORREOELECTRNICO
NOMBRE PGP
(PrettyGoodPrivacy)
S/MIME
(SecureMultipurposeInternetMailExtensions)
FUNCIONAMIENTO
a. Generacindeclavesdesesinaleatorias.
b. Elmensajeescifradoutilizandolasclaves
aleatoriasgeneradasyutilizandounalgoritmode
cifradosimtrico(mismaclaveparacifrary
descifrar).
c. Laclavedesesinescifradautilizandolaclave
pblicadeldestinatario.
d. SeutilizaunalgoritmoSHAquegeneraun
extractodelmensaje(hash),elcualesfirmado
conlaclavepblicadelremitentecreandouna
firmadigital.
e. Laclavedesesincifradaseadjuntaenel
mensaje.
f. Elmensajeesenviadoaldestinatario.
g. Eldestinatarioinviertelospasosantes
mencionados,recuperalaclavedesesiny
descifraelmensaje.
Copyright . Todos los derechos reservados. Prohibida su copia, distribucin parcial o total sin la autorizacin del titular de la obra.
DIFERENCIA
La gran diferencia entre PGP y S/MIME consiste en el modelo de gestin de claves, ya que PGP utiliza un
modelodenominadoCirculodeconfianza,enstemodelonohayunemisorcentraldeclavesoautoridadde
aprobacin, esdecirsebasaenlos usuariosparaelcontrolylagestinde claves, estemodelo esapropiado
parausuariosyorganizacionespequeas,porotroladoS/MIMEutilizaunmodelojerrquicoenelcualexiste
un registro maestro y una autoridad de aprobacin denominada como Autoridad de certificacin con
autoridadeslocalesderegistrosubordinadas.
VENTAJAS
1. Apropiadoparagrupospequeosyusuarios
individuales.
2. MayorseguridadconsoporteparaAES.
3. Versionesfreewaredisponibles
4. Norequiere(perosoportaencasodeser
requerida)unainfraestructuraexternadeclave
pblica(PKI).
5. Puedeserutilizado,concualquieraplicacinde
clientedecorreotalescomo(Netscape
Messenger,EudorayMicrosoftOutlook).
1. Apropiadoparagruposgrandesy
organizaciones.
2. Compatibleampliamenteconel
estndardecifradodecorreo
electrnico.
3. Soportadoenlamayoradelas
principalesaplicacionesdeclientede
correoelectrnico.
4. Mstransparenteparaelusuariofinal.
FUENTES
InternationalPGPSite
http://www.pgpi.org/
MITPGPFreewareDistribution
http://web.mit.edu/network/pgp.html
PGPSite(versincomercial)
http://www.pgp.com/
OpenPGPSite
http://www.openpgp.org
Autoridadesdecertificacin
Baltimore
http://www.baltimore.com
Entrust
http://www.entrust.com
Verisign
http://www.verisign.com
Tabla1.
Paralaseleccinadecuadadelalgoritmodecifradodecorreoelectrnicoesnecesarioconsiderar
lossiguientesaspectos:
Elvalordelainformacinparalaorganizacin(considerandoelimpactoqueconllevarala
divulgacin,perdidaomodificacinnoautorizada),yaquealintercambiarinformacinde
altaconfidencialidadserrequeridounalgoritmodecifradorigurosoparasuproteccin.
Copyright . Todos los derechos reservados. Prohibida su copia, distribucin parcial o total sin la autorizacin del titular de la obra.
Copyright . Todos los derechos reservados. Prohibida su copia, distribucin parcial o total sin la autorizacin del titular de la obra.
JuanPatioCorona
razdelgranimpactoquehantenidolastecnologasdelainformacinenlavidadiaria,en
el aspecto laboral o para el entretenimiento y sumado a las enormes ventajas que nos
ofrecen, estas herramientas se han vuelto algo ms que indispensables para un gran
nmerodepersonas,elcualcreceacadasegundo.
A
Son pocas las personas o instituciones que actualmente no cuentan con una direccin de correo
electrnico,ynoesparamenos,yaqueelemailesunodelosserviciosmspopularesytilesque
senosofrecenenelampliomundodelared.
Gracias a ste servicio podemos comunicarnos con cualquier persona alrededor del mundo,
compartirtodotipodeinformacinyevitarlosdiversosinconvenientesdelcorreoordinarioytodo
demaneraprcticamentegratuita.Pero,sihaymillonesdepersonashaciendousolegitimodeun
servicio,entoncestambindebehaberunaformadeaprovecharloparafinesilegtimos,yesoeslo
que ha ocurrido con el correo electrnico, donde existe un gran nmero de amenazas ocultas,
mismasquesehanincrementadodebido,entreotrascosas,aquelagentenoprestaelsuficiente
cuidadoalabrirsucorreo,menospreciandoodesconociendolosriesgoqueexisten.
Amenazascomolosvirus,gusanos,troyanosydemsfaunacibernticaconocidacomomalware,o
ataquesdespam,pharmingyphishing,hanencontradounverdaderonichodeaccinenelcorreo
electrnico. Por lo que a continuacin se presenta una serie de recomendaciones para mitigar el
riesgoypoderestartranquilosalrevisarnuestrabandejadeentrada.
1) Tenercontrolsobreaqupersonasoinstitucionesselesproporcionalacuentadecorreo
electrnico. sta direccin es parte de nuestra informacin personal y no debe ser
difundida indiscriminadamente, as mismo es muy recomendable revisar las polticas de
privacidad que maneja cada institucin y saber que harn con nuestros datos antes de
proporcionarlos.
2) Noabrir,responder,nidarclicenenlacesodescargararchivosadjuntos,querecibamosen
correosnosolicitadosodeloscualessedesconozcaelremitente.Comosehacomentado,
stemedioesunapuertaparalapropagacindemalwareyotrasamenazas.
3) Ignorar las cadenas. Este tipo de mensajes son muy comunes y abarcan un volumen
importante de los buzones. En la mayora de los casos los usuarios slo reenvan la
informacin, provocando que en el cuerpo del mensaje se acumulen cada vez ms
referencias de correos electrnicos, lo cual conforma una rica fuente de direcciones para
los spammers. Quienes podrn recabarlas fcilmente haciendo uso de herramientas
automatizadas.
4) No contestar el correo basura. Estos mensajes se relaciona principalmente con ofertas,
publicidad, avisos de haber ganado un premio, o prcticamente cualquier cosa con el
objetivo de llamar la atencin. Cuando se enva una respuesta se le est confirmando al
Copyright . Todos los derechos reservados. Prohibida su copia, distribucin parcial o total sin la autorizacin del titular de la obra.
DIRECTORIO
UNIVERSIDADNACIONALAUTNOMADEMXICO
Dr.JosNarroRobles
Rector
Dr.SergioAlcocerMartnezdeCastros
SecretarioGeneral
DIRECCINGENERALDESERVICIOSDE
CMPUTOACADMICO
Dr.IgnaciodeJessAniaBriseo
Director
Ma.deLourdesVelzquezPastrana
DirectoradeTelecomunicaciones
Ing.RubnAquinoLuna
ResponsabledelDepartamentodeSeguridadenCmputoUNAMCERT
2009D.R.UniversidadNacionalAutnomadeMxico
Revistaelaboradaporla
DireccinGeneraldeServiciosdeCmputoAcadmico
Copyright . Todos los derechos reservados. Prohibida su copia, distribucin parcial o total sin la autorizacin del titular de la obra.
CRDITOS
PUNTOSEGURIDAD,DEFENSADIGITAL
MenI.RocodelPilarSotoAstorga
Edicin
SergioAndrsBecerrilLpez
MiriamJ.PadillaEspinosa
JuanPatioCorona
AlejandroReyesPlata
IvnSantaMaraGonzlez
JavierUlisesSantillnArenas
RocodelPilarSotoAstorga
Colaboraciones
Ing.RubnAquinoLuna
ResponsabledelDepartamentodeSeguridadenCmputoUNAMCERT
RocodelPilarSotoAstorga
RubnAquinoLuna
ManuelI.QuinteroMartnez
RevisindeContenidos
Act.GuillermoChvezSnchez
CoordinacindeEdicinDigital
Lic.LizbethLunaGonzlez
DoloresMontielGarca
L.D.C.V.CarolinaSilvaBretn
DiseoGrfico
DianaChvezGonzlez
LilianaMinervaMendozaCastillo
Formacin
2009D.R.UniversidadNacionalAutnomadeMxico
Revistaelaboradaporla
DireccinGeneraldeServiciosdeCmputoAcadmico
Copyright . Todos los derechos reservados. Prohibida su copia, distribucin parcial o total sin la autorizacin del titular de la obra.