PASO 4 – TRABAJO COLABORATIVO 1

PRESENTADO POR:

EDWIN LEANDRO MORENO - CÓD. 1121937879

CARLOS ANDRES MENDOZA - CÓD. 1018420776

JOSÉ ELIAS MORALES - CÓD. 88221382

MAYRA ALEJANDRA MORENO - CÓD. 1121896395

NATALIA ALMARALES VARGAS - CÓD. 1122131105

GRUPO: 201014_37

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA “UNAD”

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA

PROYECTO DE GRADO (ING. DE SISTEMAS)

2018
 PASO 4 – TRABAJO COLABORATIVO 1

PRESENTADO POR:

EDWIN LEANDRO MORENO - CÓD. 1121937879

CARLOS ANDRES MENDOZA - CÓD. 1018420776

JOSÉ ELIAS MORALES - CÓD. 88221382

MAYRA ALEJANDRA MORENO - CÓD. 1121896395

NATALIA ALMARALES VARGAS - CÓD. 1122131105

GRUPO: 201014_37

PRESENTADO A:

JAVIER MEDINA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA “UNAD”

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA

PROYECTO DE GRADO (ING. DE SISTEMAS)

2018
 TABLA DE CONTENIDO

INTRODUCCION .......................................................................................................................... 4
OBJETIVOS ................................................................................................................................... 5
General ......................................................................................................................................... 5

Específicos ................................................................................................................................... 5

PROBLEMÁTICA ......................................................................................................................... 6
Planteamiento ............................................................................................................................... 6

Tabla de síntomas, causas, pronóstico y control al pronóstico .................................................... 7

LÍNEAS DE INVESTIGACIÓN ECBTI ................................................................................... 10

Grupos de Investigación ............................................................................................................. 11

RELACIÓN DE LA PROBLEMÁTICA CON LA LÍNEA O LÍNEAS DE

INVESTIGACIÓN ENCONTRADAS ....................................................................................... 12
DESCRIPCIÓN DE LA TECNOLOGÍA ESCOGIDA PARA DAR SOLUCIÓN AL
PROBLEMA ................................................................................................................................. 13
DESCRIPCIÓN DE LA FORMA COMO SE HA DE RESOLVER EL PROBLEMA
UTILIZANDO LA TECNOLOGÍA DE PUNTA ESCOGIDA ............................................... 16
DESCRIBIR CÓMO SE EVIDENCIARÍA LA INNOVACIÓN TECNOLÓGICA O
APROPIACIÓN DE CONOCIMIENTO LUEGO DE DAR SOLUCIÓN A LA
PROBLEMÁTICA APLICANDO LA TECNOLOGÍA MODERNA ESCOGIDA .............. 20
BLOG ............................................................................................................................................ 22
CONCLUSIONES ........................................................................................................................ 23
BIBLIOGRAFÍA .......................................................................................................................... 24
 INTRODUCCION

La seguridad bajo el ambiente web desde hace muchos años se ha convertido en una tarea

fundamental para los ingenieros de sistemas y afines al área; toda vez que por medio de este canal

de comunicación se generan ataques y hurtos cibernéticos de nuestra información confidencial

debido a canales vulnerables. Es aquí donde como futuros profesionales debemos estar atentos y

documentados para hacerle frente a este aspecto, el cual no es nada fácil, debido a que por cada

método creado e implementado para generar una barrera a estos problemas, es un nuevo camino

que se puede hallar dentro del sistemas, es así que es un trabajo de constante monitoreo y mejora.

Por medio del siguiente trabajo el cual hace parte como primer paso de la materia proyecto de

grado para ingeniería de sistemas, hemos querido trabajar este tema, con el fin de analizar y poder

desarrollar prácticas y soluciones que se puedan implementar con el fin de evitar estos tipos de

ataques.

pág. 4
 OBJETIVOS

General

Analizar, definir y argumentar la propuesta de trabajo para la materia proyecto de grado (ingeniería

de sistemas)

Específicos

 Presentar diferentes propuesta para ser debatidas en grupo

 Elegir la mejor propuesta e iniciar el desarrollo de la guía

 Consultar y argumentar cada punto de la guía

pág. 5
 PROBLEMÁTICA

Planteamiento

Los medios de comunicación se han convertido en canales imprescindibles para el intercambio de

información, en un mundo globalizado donde está en constante evolución e innovación de las
tecnologías el crecimiento de Internet ha impactado directamente en la seguridad de la información
manejada cotidianamente. Sitios de comercio electrónico, servicios, organizaciones como bancos
e incluso las redes sociales contienen información sensible que en la mayoría de los casos resulta
ser muy importante.

Es posible afirmar que muchas compañías e instituciones utilizan estos medios de comunicación
para transar información sensible, lo cual ha generado interés a los llamados ciber-intrusos y se han
incrementado en una medida vertiginosa los métodos de espionaje informático y los ataques
externos a las redes.

Las Empresas y organizaciones hoy en día necesitan implementar una política de seguridad para
prevenir el acceso no autorizado de usuarios a sitios web. Un caso en particular serían las
universidades que debido a la continua evolución la gran mayoría dan la oportunidad de tomar las
clases virtuales, teniendo en cuenta que frecuentemente los estudiantes acceden a sus páginas
ingresando datos personales, desarrollo de las actividades e información de gran importancia para
el desarrollo de sus carreras profesionales.

Es aquí donde la seguridad en la Web toma su importancia ya que la tecnología seleccionada puede
ser una alternativa de solución, para el problema plateado, ya que busca mitigar los riesgos de
seguridad en los diferentes procesos que se realizan a diario en la web, orientado a las empresas y
organizaciones, que de una u otra forma se han visto afectados por no implementar este tipo de
tecnología. (Godaddy.com, 2017)

pág. 6
Tabla de síntomas, causas, pronóstico y control al pronóstico

CONTROL AL
SÍNTOMAS CAUSAS PRONÓSTICOS
PRONÓSTICO

El uso no Acceso y Manejo Adecuado de

autorizado e manipulación de contraseñas que

ilegitimo de datos sin la contengan un alto

Contraseñas que autorización del nivel de complejidad

le permiten al usuario. que impidan el

Exposición de Datos
hacker ingresar a acceso fácil del

la plataforma de hacker.

la Universidad sin

autorización del

usuario.

Esto lo hace con Interceptación de La utilización

el fin de cambiar Correos para permanente de

lo que los obtener cortafuegos o

Modificar el código de un usuarios ven y información y firewalls examinando

sitio web con el fin de enviarlos a privada de los que la URL de

interceptar el correo páginas alternar usuarios. ingreso de la página

electrónico con el fin de sea la correcta.

obtener

información

personal de los

pág. 7
 correos y de esta

forma poder tener

acceso a la

información

personal.

- Consiste en Impedimento de Firewalls o sistemas

enviar un gran acceso a las IPS y IDS, para

número de plataformas de la minimizar sus

Ataques de denegación de peticiones a un Universidad. efectos.

servicio (DoS) que servidor de

deshabilitan la manera que los Estos elementos

disponibilidad de los usuarios legítimos correctamente

servicios ofrecidos por la del servicio no configurados con

plataforma de la puedan acceder a balanceos de carga,

universidad. (!Web.com, esos recursos. detección de

2017) anomalías en el

- En este caso los tráfico de red,

estudiantes no bloqueo de fuentes de

podrían ingresar a tráfico pueden ayudar

la página de la a soportar casi

pág. 8
 universidad cualquier tipo de

porque le DoS.

encontrarían

caída.

Un programa que Manipulación de la Evitar abrir correos

se ejecuta en una totalidad de la base electrónicos con

computadora y de información de remitentes

encripta toda la la universidad. desconocidos o

Ataque masivo de
información que sospechosos, ejecutar
ransomware WannaCry
encuentre. archivos .exe no
(libre, 2017)
solicitados y hacer

clic en enlaces de

procedencia

desconocida.

pág. 9
 LÍNEAS DE INVESTIGACIÓN ECBTI

Línea de Investigación:

Ingeniería de Software: Desarrollar experiencias de orden formativo y disciplinar en el campo de

la investigación, con base a la construcción de software de forma sistémica y estructurada de
acuerdo a los principios propios de la ingeniera de software.

Sub-línea de Investigación:

 Técnicas y metodologías de análisis y diseño.

 Sistemas inteligentes.
 Desarrollo de soluciones de software de calidad.
 Tecnología para la educación.

Línea de Investigación:

Gestión de Sistemas: Apoyar el desarrollo productivo, tecnológico y social empresarial a través del
análisis, diseño, implementación o administración de sistemas de información y las TIC que estén
basados en la planificación, dirección, control, evaluación y realimentación de actividades
procedimentales.
Se ocupa de integrar, planificar y controlar los aspectos técnicos, humanos, organizativos,
comerciales y sociales del proceso completo empezando con el análisis del dominio del problema,
continuando con el diseño de alternativas de solución y finalizando con la operatividad de un
sistema. La gestión de sistema incluye también procesos que abarcan la planificación de
actividades, metas, responsables, indicadores de eficiencia eficacia y efectividad.

Sub-líneas de Investigación:

 Gestión del conocimiento.

 Auditoría de sistemas.
 Cibernética organizacional.
 Administración de tecnología.

pág. 10
Línea de Investigación:

Auditoría de sistemas: Incluye control de información, calidad de procesos, seguridad informática,

que son vitales para asegurar la validez y veracidad de la información.

Grupos de Investigación

 GRUPO GUANE: Línea de investigación: Ingeniería de Software y Gestión de Sistemas.

Categoría: D. Líder: Eliécer Pineda Ballesteros
 GRUPO BYTE IN DESING: Línea de investigación: Gestión de sistemas. Categoría: Sin
clasificar. Líder: María Consuelo Rodríguez Niño
 GRUPO DAVINCI: Línea de investigación: Ingeniería de Software y Gestión de Sistemas.
Categoría: C. Líder: Sixto Enrique Campaña
 GRUPO GIDESTEC: Línea de investigación: Ingeniería de Software y Gestión de
Sistemas. Categoría: Reconocido UNAD líder: Harold Esneider Pérez Walteros. (UNAD,
2017).

pág. 11
 RELACIÓN DE LA PROBLEMÁTICA CON LA LÍNEA O LÍNEAS DE

INVESTIGACIÓN ENCONTRADAS

La problemática planteada para trabajar en el curso se encuentra relacionada con la línea de

investigación Gestión de Sistemas, específicamente en la sub-línea de Auditoria de Sistemas,
debido a que la solución planteada al problema de seguridad en la web, la que a su vez se puede
considerar como seguridad en la red o seguridad informática, se encuentra reflejado en el contexto
de esta sub-línea la cual define lo siguiente:

“Auditoría de Sistemas: Incluye control de información, calidad de procesos, seguridad

informática, que son vitales para asegurar la validez y veracidad de la información.”1

1
Tomado del documento “La investigación ciencias en la escuela de básicas, tecnología e ingeniería”, año 2011,
página 27

pág. 12
 DESCRIPCIÓN DE LA TECNOLOGÍA ESCOGIDA PARA DAR SOLUCIÓN AL

PROBLEMA

Ya que el protocolo HTPPS utiliza el certificado de cifrado SSL/TSL, el cual se encarga de cifrar
la información para que llegue a su destino de una forma segura, es importante reforzar la seguridad
de este certificado, ya que es allí donde se presentan los ataques.

Recomendaciones o Mejoras:

Mantener una versión actualizada del certificado SSL o TSL, ya que hay versiones antiguas que
con muy vulnerables. Emplear algoritmos robustos en las configuraciones de cifrado. Un
Certificado SSL (Secure Sockets Layer, Capa de Zócalos Seguros) con el que un portal web
evidencia a sus usuarios que se trata de un sitio web seguro y sobre el cual las personas podrán
navegar sin el temor de ser víctimas de un ataque cibernético o robo de información. Se usa
principalmente para hacer saber a una persona que una transacción económica que se efectúe
haciendo uso de ese portal web. Gracias al Certificado SSL, los portales web se aseguran de que
los atacantes, en su gran mayoría de sus casos, no puedan realizar acciones maliciosas como instalar
software en el sistema del visitante por medio de la manipulación del código web.

Activar TLS Fallback Signaling Cipher Suite Value (SCSV), el cual sirve para impedir ataques de
degradación del protocolo en la seguridad de la capa de transporte TLS y protocolos de seguridad
de capa de transportes de datagramas (DTLS).

pág. 13
Activar HTTP Strict Transport Security (HSTS), el cual permite evitar ataques que pueden
interceptar comunicaciones.

"HTTP Strict Transport Security (HSTS) permite a los sitios web declararse
accesible sólo a través de HTTPS (HTTP Seguro) y fue diseñado para evitar que los
atacantes puedan crear conexiones a través de HTTP o de abusar de los errores en
las implementaciones de HTTPS, lo cual pone en peligro la integridad del
contenido".2

Figura 1: Muestra de los Scripts.

"HSTS evita el uso de contenido mixto (HTTP y HTTPS) que puede afectar la
seguridad e integridad de los sitios web HTTPS. El contenido mixto se carga cuando
algunos scripts u otros recursos incrustados en una página web habilitada para
HTTPS se cargan desde una ubicación de terceros a través de una conexión
insegura HTTP. Esto puede ser el resultado de un error de desarrollo o puede ser
intencional".3

Configurar Perfect Forward Secrecy (PFS), ya que es la propiedad de los sistemas criptográficos
que garantiza que si se llegan a descubrir las claves utilizadas actuales, no comprometa la seguridad
de las claves usadas con anterioridad.

2
http://blog.segu-info.com.ar/2012/11/aprobado-como-standar-http-strict.html
3
https://foro.elhacker.net/noticias/http_strict_transport_security_hsts_aprobado_como_protocolo_estandar-
t377031.0.html

pág. 14
"Cuando un navegador se conecta a un servidor seguro HTTPS, en los primeros milisegundos, el
navegador envía una configuración con la que se establecerá dicha conexión, que se suele mostrar
con un candado verde.

"Un nuevo formato de cifrado, denominado Perfect Forward Secrecy, se está desarrollando para
ofrecer a los usuarios la mayor seguridad posible frente ataques informáticos. Esta nueva
configuración de conexión HTTPS asegura a los usuarios la máxima confidencialidad de datos y
garantiza que sus datos viajarán seguros por la red aunque se realice algún tipo de ataque de red
que intente capturar los paquetes. El principal problema actual de este nuevo protocolo es que, por
el momento, el número de servidores que lo soportan es bastante bajo (GitHub, por ejemplo, es
uno de ellos) y tiene que ser compatible con el navegador (Google Chrome, entre otros, es
compatible con este protocolo).

"Con el protocolo Perfect Forward Secrecy , aunque un atacante (la NSA, por
ejemplo) consiga tener acceso a la clave privada del servidor, será prácticamente
imposible conseguir la clave de sesión del cliente, por lo que los datos serán
imposibles de descifrar y de acceder a ellos. Tarde o temprano es probable que la
NSA termine por hacerse con el control de Perfect Forward Secrecy aunque, si hay
una mínima probabilidad de tener unas conexiones de red, debemos tener esperanza
en que el desarrollo siga adelante y que tanto los usuarios como los desarrolladores
y administradores lo acepten"4.

En este artículo específicamente se habla del protocolo capa conexión segura (SSL), nos
concentramos en las aplicaciones HTTP y HTTPS. HTTPS es el protocolo HTTP usado por encima
del protocolo SSL. Las comunicaciones SSL entre el cliente y el servidor se efectúan mediante
sesiones SSL. El Protocolo Handshake es responsable de la creación de sesión: este negocia
parámetros criptográficos que son compartidos por varias conexiones, evitando las renegociaciones
frecuentes. Esto permite a clientes y servidores identificarse mutuamente, negociar algoritmos de
cifrado y de MAC e intercambiar en modo seguro la clave de sesión por cuenta del Protocolo de

4
https://www.redeszone.net/2014/01/12/perfect-forward-secrecy-el-futuro-de-los-cifrados-de-red/

pág. 15
Registro SSL. El Protocolo de Registro SSL proporciona servicios de integridad y privacidad. Este
fragmenta los mensajes de entrada en bloques, comprime cada bloque, aplica un código de
Autenticación de Mensaje (Message Authentication Code; MAC) y luego cifra el bloque usando
una clave privada intercambiada por el Protocolo Handshake. Este agrega un encabezado al
mensaje y lo envía a través del TCP. Los mensajes recibidos son decodificados, verificados,
descomprimidos y reconstruidos, para después ser enviados a la capa de aplicación. (Bregni,
Giacomazzi, & Poli., 2011)

DESCRIPCIÓN DE LA FORMA COMO SE HA DE RESOLVER EL PROBLEMA

UTILIZANDO LA TECNOLOGÍA DE PUNTA ESCOGIDA

El envío de datos mediante el protocolo HTTPS está protegido mediante el protocolo de seguridad
de la capa de transporte (TLS), que proporciona las tres capas clave de seguridad siguientes:

Cifrado: se cifran los datos intercambiados para mantenerlos a salvo de miradas indiscretas. Ello
significa que cuando un usuario está navegando por un sitio web, nadie puede "escuchar" sus
conversaciones, hacer un seguimiento de sus actividades por las diferentes páginas ni robarle
información.
Integridad de los datos: los datos no pueden modificarse ni dañarse durante las transferencias, ni
de forma intencionada ni de otros modos, sin que esto se detecte.
Autenticación: garantiza que tus usuarios se comuniquen con el sitio web previsto. Proporciona
protección frente a los ataques "man-in-the-middle" y contribuye a la confianza de los usuarios, lo
que se traduce en otros beneficios empresariales.

Es recomendable utilizar el protocolo HTTPS ya que este utiliza:

 Certificados De Seguridad Potentes

Para poder habilitar el protocolo HTTPS en un sitio web, se debe obtener un certificado de
seguridad. El certificado lo emite una autoridad de certificación (CA), que toma las medidas
pág. 16
necesarias para verificar que la dirección web pertenezca realmente a la organización que lo está
solicitando y, por lo tanto, protege a los usuarios de cualquier ataque "man-in-the-middle". Al
configurar el certificado, se debe asegurar de obtener un nivel de seguridad alto escogiendo una
clave de 2048 bits.

HTTPS no sólo impide que alguien vea las páginas web que se visita si no también impide que
puedan conocer las URL por la que se navega, los parámetros que se envían al servidor haciendo
las páginas mucho más seguras. Hay que autenticar los servidores. No sirve de nada tener los datos
cifrados si no se asegura que cuando el usuario ingresa se está conectando al servidor correcto.
Para eso están los certificados SSL, que contienen la clave pública y los nombres de dominio en
los que se pueden usar. Las CA (terceros de confianza) aseguran que el certificado es válido y que
el servidor es quien dice ser.

Por lo que una firma de una CA asegura que el servidor es quien dice ser. Por lo que hay que
verificar la firma para asegurarse de que es real. Para ello, el navegador busca el certificado en su
almacén (en realidad es un anillo de confianza, algo más complejo) y verifica la firma. Si no es
válida o no encuentra el certificado, mostrará un aviso de que no puede autenticar la conexión al
servidor. (Guillermo, 2017).

El certificado SSL es la tecnología estándar para mantener segura una conexión a Internet, así como
para proteger toda información confidencial que se envía entre dos sistemas, e impedir que los
delincuentes lean y modifiquen datos que se transfieran, incluso datos que pudieran considerarse
personales. Los dos sistemas pueden ser un servidor y un cliente (por ejemplo, un sitio web de
compras y un navegador), o de servidor a servidor (por ejemplo, una aplicación con información
que se considere personal o con datos de nóminas).

Esto lo lleva a cabo asegurándose de que todos los datos que se transfieren entre usuarios y sitios
web, o entre dos sistemas, sean imposibles de leer. Utiliza algoritmos de cifrado para codificar los
datos que se transmiten e impedir que los hackers los lean al enviarlos a través de la conexión. Esta
información podría ser cualquier dato confidencial o personal, por ejemplo, números de tarjeta de
crédito y otros datos bancarios, nombres y direcciones. (¿Qué son SSL, TLS y HTTPS?, 2018)

pág. 17
El sistema se basa en la utilización de claves públicas. El navegador del cliente incluye las claves
públicas de las denominadas Entidades Certificadoras Autorizadas, que son esencialmente unos
notarios electrónicos. El cliente contacta con el servidor seguro, el cual le envía su clave pública,
certificada por la Entidad Autorizada, una vez verificada la identidad del servidor, el cliente genera
una clave aleatoria que se envía cifrada con la clave pública del servidor. Una vez que ambas partes
conocen la clave de sesión, puede comenzarse la transferencia de datos.
SSL trabaja en conjunto con entidades certificadoras. Las principales Autoridades Certificadoras
actuales son Verisign y Thawte. El sistema se basa en una autoridad de confianza, en países
industrializados es el estado o policía, que atestigua que la persona portadora de dicho documento
es quién dice ser. El formato de los Certificados Digitales es estándar, y se caracterizan por ser
demasiado grandes pero necesarios para proporcionar seguridad en SSL, siendo X.509 v3 el
recomendado por la ITU y el que está en vigor en la actualidad. (Romero, 2005).

De acuerdo a la problemática planteada y a la descripción de la Tecnología escogida para dar

solución, como aporte a esta descripción es importante tener en cuenta los siguientes aspectos:

Como punto de partida la tecnología escogida por la Compañera Natalia es el certificado de cifrado
Secure Sockets Layer y Transport Layer Security (SSL/TLS), que es una familia de protocolos que
proporciona servicios de seguridad a una conexión TCP. SSL está construida sobre TCP, lo que
tiene dos consecuencias:

 Funciona como un proceso de usuario, i.e., no requiere alteraciones del sistema operativo.
 Funciona encima de TCP, de forma que se basa en una conexión (stream de datos) fiable y
no tiene que ocuparse de secuencias de paquetes ni de retransmisión o timeouts.

Historia de SSL/TLS:

La primera versión de SSL (SSLv2) fue introducida por Netscape en su navegador con la intención
(fallida) de crear un monopolio de certificación. Microsoft, de acuerdo con su práctica habitual,

pág. 18
introdujo algunas “mejoras” y creó un producto paralelo e incompatible conocido por PCT (Private
Communications Technology).

Netscape creó en consecuencia una vasta mejora del protocolo, bajo el nombre de SSLv3. La IETF,
en vista del daño que para la industria representaría la existencia de tres estándares similares pero
incompatibles, introdujo un cuarto protocolo similar pero incompatible denominado TLS
(Transport Layer Security). La versión del protocolo más ampliamente desarrollada y extendida es
SSL versión 3.
Como funciona:

El objetivo de SSL consiste en construir, sobre el servicio de stream fiable de TCP, un stream fiable
cifrado con protección de integridad y con autenticación (posiblemente mutua) entre cliente y
servidor.

Para esto, el stream se divide en registros (records) dotados de cabecera y protección criptográfica.
En el protocolo básico, Alicia (el cliente) inicia contacto con Bernardo (el servidor). Éste le envía
su certificado. Alicia lo verifica y extrae de él la clave pública de Bernardo. Alicia genera un
número aleatorio secreto S y se lo envía a Bernardo cifrado con su clave pública, EB(S). A partir
de aquí se generan seis claves de sesión que permiten que el resto de la comunicación sea cifrada
y protegida en su integridad. (Cobas, 2005).

Capas del Protocolo SSL/TLS.

Capa de mensaje
Capa de Registro
(records y alertas)
Capa de transporte (TCP)

pág. 19
 Figura 2: Como funciona SSL.

DESCRIBIR CÓMO SE EVIDENCIARÍA LA INNOVACIÓN TECNOLÓGICA O

APROPIACIÓN DE CONOCIMIENTO LUEGO DE DAR SOLUCIÓN A LA

PROBLEMÁTICA APLICANDO LA TECNOLOGÍA MODERNA ESCOGIDA

La innovación tecnológica se evidenciaría al momento de hacer uso de la plataforma virtual de la

UNAD, teniendo un mejor control y seguridad al momento de hacer inicio de sesión con su
respectivo usuario y contraseña, disminuyendo así el acceso no autorizado de los hackers, toda vez
que se verificarán los protocolos de seguridad y los certificados CA con el fin de garantizar que los
estudiantes y docentes ingresen al servidor correcto.

Se implementarán políticas de protección de datos que ayuden a mejor la navegación por la

plataforma virtual y al uso correcto del correo institucional de la universidad, validación en acceso
a diferentes páginas a ingresar. El principio básico es que, al instalar un certificado SSL en el
servidor y un navegador se conecta a él, la presencia del certificado SSL activa el protocolo SSL
(o TLS), que cifra la información que se envía entre el servidor y el navegador (o entre servidores);
por supuesto, los detalles son un poco más complejos.

El protocolo SSL funciona directamente encima del protocolo de control de transmisión (TCP) y
actúa como una especie de capa de seguridad. Permite que las capas de protocolo superiores se

pág. 20
mantengan sin cambios y al mismo tiempo se proporciona una conexión segura. Así que, debajo
de la capa de SSL, las otras capas de protocolo pueden funcionar con normalidad.

Si un certificado SSL se utiliza correctamente, lo único que podrá ver un atacante será el puerto y
la dirección IP que están conectada, y la cantidad aproximada de datos que se envían. Quizá puedan
cortar la conexión, pero el servidor y el usuario podrán percatarse de que esto se debe a un tercero.
Sin embargo, como el atacante no puede interceptar ningún dato, esta acción no tiene prácticamente
ninguna utilidad.

Tal vez el hacker llegue a averiguar el nombre del host al que está conectado el usuario, pero lo
importante es que no podrá identificar el resto de la URL. Dado que la conexión está cifrada, la
información importante queda a salvo. (¿Qué son SSL, TLS y HTTPS?, 2018).

Es bueno recordar que SSL es un estándar de facto, propuesto por Netscape y ampliamente
disponible en navegadores y servidores Web, por lo que es uno de los sistemas de seguridad más
utilizado en Internet. SSL es el único protocolo que se mantiene, en base a sus continuas
actualizaciones, que le han servido para depurar sus errores y constituirse en la arquitectura de
seguridad de mayor fortaleza. En sus inicios tuvo muchos inconvenientes de implantación per sin
embargo todos estos problemas fueron superados hasta convertirlo en la mejor solución de
seguridad de la actualidad.

La Innovación al aplicar esta tecnología moderna se evidenciaría al proveer a la aplicación Web,

sea cual sea, mecanismos confiables de seguridad en contra de espías y de otros ataques pasivos
dando una ventaja importante ya que sus servicios de seguridad son transparentes al usuario y a la
aplicación y puede ser utilizado por otros protocolos.

Una de las razones que tienen a SSL a la vanguardia de la seguridad en redes es su flexibilidad a
constantes cambios que lo llevan a un depuramiento continuo de sus falencias, esta característica
se ve reflejada en su diseño ya que muchas de las funcionalidades que SSL presta están
contempladas en las características de segundad que implementa IPv6.

pág. 21
SSL no permite tener el control de acceso a determinada aplicaciones., además de poder realizar
una jerarquización de los niveles de acceso a las aplicaciones. La aplicación de técnicas que nos
permitan mantener niveles aceptables de confidencialidad e integridad son menos complicadas que
las de otras soluciones como IPSec y WAP. (Romero, 2005).

BLOG

https://unadidea.blogspot.com.co/

pág. 22
 CONCLUSIONES

Podemos concluir con este trabajo que la temática que estamos trabajando es muy importante
debido a que en el entorno informático y de las nuevas tecnologías estamos muy vulnerables a
ataques por medio del internet y por esto es muy importante definir protocolos de seguridad que
nos permita navegar y hacer cualquier transacción de una manera confiable.

Así mismo, es muy importante para nuestra vida profesional trabajar mediante la práctica de esta
materia el cómo definir una idea y como redactar un trabajo de grado, el cual se podría decir es un
complemento del desarrollo de proyectos, los cuales muy seguramente estaremos desarrollando en
nuestro ámbito profesional.

pág. 23
 BIBLIOGRAFÍA

¿Qué son SSL, TLS y HTTPS? (2018). Obtenido de

https://www.websecurity.symantec.com/es/mx/security-topics/what-is-ssl-tls-https

blog.segu-info.com.ar. (11 de 2012). Obtenido de http://blog.segu-info.com.ar/2012/11/aprobado-

como-standar-http-strict.html

Bregni, Giacomazzi, & Poli., &. (2011). Cost-performance optimization of SSL-based secure

distributed infrastructures. IEEE Latin America Transactions, 550-556.

Cobas. (2005). . (2005). Secure Sockets Layer (SSL).

foro.elhacker.net. (s.f.). Obtenido de

https://foro.elhacker.net/noticias/http_strict_transport_security_hsts_aprobado_como_prot

ocolo_estandar-t377031.0.html

Romero, C. (2005). Romero Cando, W. F. (2005). Determinación de los procedimientos para la

implementación del protocolo SSL (Secure Sockets Layer) en redes móviles. QUITO:

Bachelor's thesis.

www.redeszone.net. (12 de 01 de 2014). Obtenido de

https://www.redeszone.net/2014/01/12/perfect-forward-secrecy-el-futuro-de-los-cifrados-

de-red/

pág. 24