INSTITUTO TECNOLGICO DE TIZIMN

INGENIERIA EN INFORMATICA
CARRERA

7 SEMESTRE
GRADO

SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN

ASIGNATURA

M.P. EFREN HERNANDEZ ARCEO

DOCENTE

IRVING PATRIZIO SANTOYO CASTILLO

ZELMAN ALEXANDER DIAZ FUENTES
ALUMNOS

INTRODUCCION A LA SEGURIDAD DE LA INFORMACION

La seguridad de la informacin, es un conjunto de reglas, planes y acciones que

permiten asegurar la informacin manteniendo las propiedades de confidencialidad,
integridad y disponibilidad.
El trmino de seguridad de informacin (SI) surge por la necesidad de proteger la
informacin y a los sistemas que la administran, bien sean fsicos o informticos.

Objetivos

Proteger la integridad y la privacidad de la informacin almacenada en un sistema

informtico. De todas formas, no existe ninguna tcnica que permita asegurar la
inviolabilidad de un sistema.
Un sistema informtico puede ser protegido desde un punto de vista lgico (con el
desarrollo de software) o fsico (vinculado al mantenimiento elctrico, por ejemplo). Por
otra parte, las amenazas pueden proceder desde programas dainos que se instalan en
la computadora del usuario (como un virus) o llegar por va remota (los delincuentes
que se conectan a Internet e ingresan a distintos sistemas).

METODOS

Criptologa
La encriptacin en ordenadores, est basada en la ciencia de la criptologa, que ha sido
usada a travs de la historia con frecuencia. Antes de la era digital, los que ms hacan
uso de la cristologa, eran los gobiernos, particularmente para propsitos militares. La
existencia de mensajes codificados han sido verificados desde los tiempos del imperio
romano. Hoy en da, la mayora de los sistemas de criptografa son aplicables a
ordenadores, simplemente porque la complejidad de los algoritmos es demasiada para
ser calculada por seres humanos.
Muchos de los sistemas de encriptacin pertenecen a dos categoras:

Encriptacin de clave simtrica.

Encriptacin de clave pblica.

Clave simtrica
En este tipo de encriptacin, cada ordenador tiene una clave secrete (como si fuera una
llave) que puede utilizar para encriptar un paquete de informacin antes de ser enviada
sobre la red a otro ordenador. Las claves simtricas requieren que sepas los
ordenadores que van a estar hablando entre si para poder instalar la clave en cada uno
de ellos.
Clave pblica
Este mtodo usa una combinacin de una clave privada y una clave pblica. La clave
privada solo la sabe tu ordenador, mientras que la clave pblica es entregada por tu
ordenador a cualquier otros ordenador que quiere realizar una comunicacin con el.

Para decodificar un mensaje encriptado, un ordenador debe hacer uso de la clave

pblica, entregada por el ordenador original, y su propia clave privada.
Una clave pblica de encriptacin muy popular es PGP (Pretty good Privacy) que
permite encriptar casi todo.
Clave pblica: SSL
Una implementacin de la encriptacin de clave pblica es SSL (Secure Sockets
Layer). Originalmente desarrollada por Netscape, SSL es un protocolo de seguridad
para Internet usado por navegadores y servidores Web para transmitir informacin
sensitiva. SSL se ha convertido en parte de un protocolo de seguridad general llamado
TLS (Transport Layer Security).
En tu navegador, puedes saber si ests usando un protocolo de seguridad, como TLS
por ejemplo, de varias formas. Podrs ver que en la barra de direcciones, las primeras
letras http, sern reemplazadas con https, y podrs ver un pequeo cerrojo en la
barra de estado en la parte inferior del navegador.
Algoritmos de encriptacin hashing
La clave en una encriptacin de clave pblica est basada en un valor llamado hash.
Este valor est computado a partir de un nmero usando un algoritmo llamado hashing.
En esencia, este valor es una modificacin del valor original. Lo ms importante de un
valor hash es que es casi imposible conocer el valor original sin saber los datos que se
utilizaron para crear el valor hash.

CONTROL DE ACCESO

Este proceso, es otro mtodo para mantener una comunicacin seguro entre
ordenadores. La autenticacin es usada para verificar que la informacin viene de una
fuente de confianza. Bsicamente, si la informacin es autentica, sabes quin la ha
creado y que no ha sido alterada. La encriptacin y la autenticacin, trabajan mano a
mano para desarrollar un entorno seguro.
Hay varias maneras para autenticar a una persona o informacin en un ordenador:

Contraseas El uso de un nombre de usuario y una contrasea provee el modo

ms comn de autenticacin. Esta informacin se introduce al arrancar el
ordenador o acceder a una aplicacin. Se hace una comprobacin contra un
fichero seguro para confirmar que coinciden, y si es as, se permite el acceso.

Tarjetas de acceso Estas tarjetas pueden ser sencillas como si de una tarjeta
de crdito se tratara, poseyendo una banda magntica con la informacin de
autenticacin. Las hay ms sofisticadas en las que se incluye un chip digital con
esta informacin.

Firma digital Bsicamente, es una manera de asegurar que un elemento

electrnico (email, archivo de texto, etc.) es autentico. Una de las formas ms
conocidas es DSS (Digital Signature Standard) la cual est basada en un tipo de
encriptacin de clave pblica la cual usa DSA (Digital Signature Algorithm). El
algoritmo DSA consiste en una clave privada, solo conocida por el que enva el
documento (el firmante), y una clave pblica. Si algo es cambiado en el
documento despus de haber puesto la firma digital, cambia el valor contra lo
que la firma digital hace la comparacin, invalidando la firma.

BUENAS PRATICAS

Elige el medio de almacenamiento: Si slo manejas archivos de texto, hojas de clculo,

presentaciones con diapositivas o documentos PDF, stos requieren de muy poco
espacio, por lo que es mejor utilizar USBs o CDs; pero si manejas grandes cantidades
de informacin utiliza dispositivos de mayor capacidad, como dice el dicho de acuerdo
al sapo es la pedrada.
Establece tus tiempos de respaldo: Dedica un tiempo para resguardar tu informacin, si
manejas informacin crtica y de constante actualizacin, es recomendable que
respaldes tu informacin regular y peridicamente, diario si te es posible, no te
distraigas ni dejes la mquina desatendida por largos periodos de tiempo al efectuar tu
respaldo. Si hay oportunidad pide a alguien que te ayude en esta tarea.
Selecciona y divide tu informacin: Separa cuidadosamente la informacin importante,
no la mezcles con informacin de menor importancia (tal como imgenes, juegos,
msica, videos), puede suceder que al borrar una carpeta de imgenes que ya no te
gusten, accidentalmente borres comprobantes de pago que habas escaneado y los
tenias en formato imagen.
Control de los medios de almacenamiento: Sea cual sea el medio de almacenamiento
que utilices, etiqutalo de manera adecuada y lleva un control de: etiquetas de los
medios, fechas y tipo de informacin respaldada. Si llevas este control en un
documento electrnico ten a la mano una impresin, seguramente te ser muy til a la
hora de restaurar.
Utiliza el mayor espacio posible del medio: Es posible que cuando llevemos a cabo el
respaldo de nuestra informacin, stos no llenen completamente el medio de
almacenamiento. Si esto sucede, indica el espacio que qued disponible en el

etiquetado o regstralo en tu control de respaldos, este espacio siempre puede ser

utilizado.
Respaldar fotografas, imgenes, msica o videos: Es preferible utilizar discos pticos,
ya que esta informacin no cambia constantemente y puede ser preservada por mucho
tiempo (hasta por 100 aos) con el debido cuidado.
Las mquinas no son un medio seguro de respaldo: Tener informacin respaldada en
dos o ms particiones en el disco duro de la computadora no es seguro, ya que si es
infectada por virus todas las particiones lo estarn, al igual que la informacin contenida
en ellas. Igualmente, si el disco duro se daa, la informacin en las particiones se
perder. Las particiones del disco duro nicamente son tiles para tener respaldos
temporales y a corto plazo, la informacin siempre debe respaldarse en algn medio
externo para evitar perderla.
Un solo respaldo no es suficiente: No basta con tener un solo respaldo de la
informacin, si te es posible haz un duplicado de ste, los respaldos tambin son
susceptibles a factores externos o fallas a la hora de la restauracin.
Un respaldo total o parcial: Si realizas respaldos totales, asegrate que sea informacin
que no cambie constantemente, as evitars redundancia y un alto costo en medios de
almacenamiento, se puede llevar a cabo un respaldo total cada semana, junto con
respaldos diarios de la informacin que haya cambiado; de este modo al momento de
restaurar bastar con tomar el ultimo respaldo total junto los subsecuentes respaldos
parciales.
Comprime tu informacin: Comprimir la informacin consiste en utilizar un software de
compresin (Winzip, Winrar, 7Zip, entre otros), para juntar toda la informacin en un
solo archivo con opcin de ponerle contrasea y utilizar menos espacio en el medio, no
est por dems tener unos cuantos mega bytes extras.
Alternativas virtuales[3] de almacenamiento: Si necesitamos respaldar inmediatamente
informacin latente y no contamos con un dispositivo de almacenamiento a la mano,

pero s con una conexin a internet, un correo electrnico nos puede sacar del apuro,
Google ofrece 7.5GB de almacenamiento en correo electrnico con la capacidad de
enviar informacin adjunta que no rebase los 25MB, as mismo existen proveedores de
alojamiento de espacio virtual ej. Dropbox, muy tiles si queremos que nuestra
informacin est disponible desde cualquier parte del mundo.
Protege tu informacin si se encuentra respaldada en la nube: Si utilizas un correo
electrnico o un espacio de alojamiento en la Red, comprime tu informacin y mantenla
bajo contrasea, de esta manera evitars que caiga en manos equivocadas y hagan
mal uso de ella.
Verifica tus respaldos cada determinado tiempo: No dejes pasar ms de 6 meses,
mximo un ao, sin revisar que los medios y la informacin resguardada se encuentran
en buenas condiciones, realizando simulacros de restauracin para verificar el estado
de la informacin, cualquier sospecha de falla en la lectura del medio ser indicador que
es tiempo de transferirla a uno nuevo.
Ten presente la compatibilidad y versatilidad de los medios: Utiliza medios que sean
compatibles con la mayora de los equipos de cmputo y que no requieran dispositivos
de hardware adicionales para su utilizacin.
Maneja adecuadamente los medios de almacenamiento: Mantn alejado cualquier
medio de almacenamiento de altas temperaturas, polvo, luz solar y humedad. Limpia
los discos pticos con agua y un pao para lentes (slo en caso de requerirlo), evita
manipularlos por la parte de lectura del disco y utiliza estuches para CDs.
Para tarjetas SD, memorias USB y discos duros externos, evita golpearlos y retirarlos
de la computadora de manera repentina o mientras se encuentren en proceso de
transferencia de datos, utiliza siempre la expulsin segura del sistema operativo que
manejes.

MECANISMOS

Los mecanismos de seguridad son tambin llamadas herramientas de seguridad y son

todos aquellos que permiten la proteccin de los bienes y servicios informticos. Con
estos mecanismos es con lo que se contesta la ltima pregunta de la metodologa de la
seguridad informtica: Cmo se van a proteger los bienes?
Estos mecanismos pueden ser algn dispositivo o herramienta fsica que permita
resguardar un bien, un software o sistema que de igual manera ayude de algn modo a
proteger un activo y que no precisamente es algo tangible, o una medida de seguridad
que se implemente, por ejemplo las polticas de seguridad.

Los mecanismos tambin reciben el nombre de controles ya que dentro de sus

funciones se encuentran el indicar la manera en que se deben ejecutar las acciones
que permitan resguardar la seguridad y se eviten vulnerabilidades en la misma.
Finalmente los mecanismos pueden clasificarse de acuerdo con el objetivo principal de
los mismos en:
Mecanismos preventivos. Como su nombre lo dice, son aquellos cuya finalidad consiste
en prevenir la ocurrencia de un ataque informtico. Bsicamente se concentran en el
monitoreo de la informacin y de los bienes, registro de las actividades que se realizan
en la organizacin y control de todos los activos y de quienes acceden a ellos.
Mecanismos detectores. Son aquellos que tienen como objetivo detectar todo aquello
que pueda ser una amenaza para los bienes. Ejemplos de stos son las personas y
equipos de monitoreo, quienes pueden detectar cualquier intruso u anomala en la
organizacin.

Mecanismos correctivos. Los mecanismos correctivos se encargan de reparar los

errores cometidos o daos causados una vez que se ha cometido un ataque, o en otras
palabras, modifican el estado del sistema de modo que vuelva a su estado original y
adecuado.
Mecanismos disuasivos. Se encargan de desalentar a los perpetradores de que
cometan su ataque para minimizar los daos que puedan tener los bienes

SERVICIOS DE SEGURIDAD

Confidencialidad

La confidencialidad: consiste en que la informacin sea accesible slo para aqullos

que estn autorizados.

La propiedad que impide la divulgacin de informacin a personas o sistemas no

autorizados. A grandes rasgos, asegura el acceso a la informacin nicamente a
aquellas personas que cuenten con la debida autorizacin. La prdida de la
confidencialidad de la informacin puede adoptar muchas formas. Cuando alguien mira
por encima de su hombro, mientras usted tiene informacin confidencial en la pantalla,
cuando se publica informacin privada, cuando un laptop con informacin sensible
sobre una empresa es robado, cuando se divulga informacin confidencial a travs del
telfono, etc. Todos estos casos pueden constituir una violacin de la confidencialidad.

Autenticacin
La autenticacin es la situacin en la cual se puede verificar que un documento ha sido
elaborado (o pertenece) a quien el documento dice.
Aplicado a la verificacin de la identidad de un usuario, la autenticacin se produce
cuando el usuario puede aportar algn modo de que se pueda verificar que dicha
persona es quien dice ser, a partir de ese momento se considera un usuario autorizado.
Otra manera de definirlo seria, la capacidad de determinar si una determinada lista de
personas ha establecido su reconocimiento sobre el contenido de un mensaje.
Propiedad que permite identificar el generador de la informacin. Por ejemplo al recibir
un mensaje de alguien, estar seguro que es de ese alguien el que lo ha mandado, y no
una tercera persona hacindose pasar por la otra (suplantacin de identidad). En un
sistema informtico se suele conseguir este factor con el uso de cuentas de usuario y
contraseas de acceso.
Esta propiedad se puede considerar como un aspecto de la integridad -si est firmado
por alguien, est realmente enviado por el mismo- y as figura en la literatura
anglosajona.

Integridad

La integridad: radica en que la informacin slo puede ser creada y modificada por
quien est autorizado a hacerlo.

Propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No
es igual a integridad referencial en bases de datos.) A groso modo, la integridad es el
mantener con exactitud la informacin tal cual fue generada, sin ser manipulada o

alterada por personas o procesos no autorizado. La violacin de integridad se presenta

cuando un empleado, programa o proceso (por accidente o con mala intencin)
modifica o borra los datos importantes que son parte de la informacin, as mismo hace
que su contenido permanezca inalterado a menos que sea modificado por personal
autorizado, y esta modificacin sea registrada, asegurando su precisin y confiabilidad.
La integridad de un mensaje se obtiene adjuntndole otro conjunto de datos de
comprobacin de la integridad: la firma digital Es uno de los pilares fundamentales de la
seguridad de la informacin

CONTROL DE ACCESO

Hay varias maneras para autenticar a una persona o informacin en un ordenador:

Contraseas El uso de un nombre de usuario y una contrasea provee el modo ms
comn de autenticacin. Esta informacin se introduce al arrancar el ordenador o
acceder a una aplicacin. Se hace una comprobacin contra un fichero seguro para
confirmar que coinciden, y si es as, se permite el acceso.
Tarjetas de acceso Estas tarjetas pueden ser sencillas como si de una tarjeta de
crdito se tratara, poseyendo una banda magntica con la informacin de autenticacin.
Las hay ms sofisticadas en las que se incluye un chip digital con esta informacin.
Firma digital Bsicamente, es una manera de asegurar que un elemento electrnico
(email, archivo de texto, etc.) es autentico. Una de las formas ms conocidas es DSS
(Digital Signature Standard) la cual est basada en un tipo de encriptacin de clave
pblica la cual usa DSA (Digital Signature Algorithm). El algoritmo DSA consiste en una
clave privada, solo conocida por el que enva el documento (el firmante), y una clave
pblica. Si algo es cambiado en el documento despus de haber puesto la firma digital,
cambia el valor contra lo que la firma digital hace la comparacin, invalidando la firma.

No repudio

Proporciona proteccin contra la interrupcin, por parte de alguna de las entidades

implicadas en la comunicacin, de haber participado en toda o parte de la
comunicacin. El servicio de Seguridad de No repudio o irrenunciabilidad est
estandarizado en la ISO-7498-2.

No Repudio de origen:
El emisor no puede negar que envo porque el destinatario tiene pruebas del envo, el
receptor recibe una prueba infalsificable del origen del envo, lo cual evita que el emisor,
de negar tal envo, tenga xito ante el juicio de terceros. En este caso la prueba la crea
el propio emisor y la recibe el destinatario.
Prueba que el mensaje fue enviado por la parte especfica.

No Repudio de destino:
El receptor no puede negar que recibi el mensaje porque el emisor tiene pruebas de la
recepcin. Este servicio proporciona al emisor la prueba de que el destinatario legtimo
de un envo, realmente lo recibi, evitando que el receptor lo niegue posteriormente. En
este caso la prueba irrefutable la crea el receptor y la recibe el emisor.

Prueba que el mensaje fue recibido por la parte especfica.

Si la autenticidad prueba quin es el autor de un documento y cul es su destinatario, el
no repudio prueba que el autor envi la comunicacin (no repudio en origen) y que el
destinatario la recibi (no repudio en destino). El no repudio evita que el emisor o el
receptor nieguen la transmisin de un mensaje. As, cuando se enva un mensaje, el
receptor puede comprobar que, efectivamente, el supuesto emisor envi el mensaje. De
forma similar, cuando se recibe un mensaje, el emisor puede verificar que, de hecho, el
supuesto receptor recibi el mensaje. Definicin segn la recomendacin X.509 de la
UIT-T Servicio que suministra la prueba de la integridad y del origen de los datos,

ambos en una relacin infalsificable que pueden ser verificados por un tercero en
cualquier momento.

Vulnerabilidades, Amenazas y ataques a la informacin

Amenazas y puntos dbiles

Las amenazas son agentes capaces de explotar los fallos de seguridad, que se
denominan puntos dbiles y, como consecuencia de ello, causar prdidas o daos a los
activos de una empresa, afectando a sus negocios
Las amenazas siempre han existido y es de esperarse que conforme avance la
tecnologa tambin surgirn nuevas formas en las que la informacin puede llegar a
estar expuesta, por tanto es importante conocer el marco general en cmo clasifican las
vulnerabilidades o puntos dbiles que pueden hacer que esas amenazas impacten en
los sistemas, comprometiendo los principios de la seguridad de la informacin

Vulnerabilidades
Los puntos dbiles o vulnerabilidades, son los elementos que, al ser explotados por
amenazas, afectan la confidencialidad, disponibilidad e integridad de la informacin de
un individuo o empresa.
Uno de los primeros pasos para la implementacin de la seguridad es rastrear y
eliminar los puntos dbiles de un ambiente de tecnologa de la informacin.

Al ser identificados los puntos dbiles, ser posible dimensionar los riesgos a los cuales
el ambiente est expuesto y definir las medidas de seguridad apropiadas para su
correccin.

Tipos de vulnerabilidades

Fsicas
Naturales
Del Hardware
Del Software
De Medios de Almacenamiento.
De Comunicacin (Redes).
Humanas