¿Qué es la seguridad de la información?

Tal y como indicamos, la seguridad de la información engloba un conjunto de técnicas y

medidas para controlar todos los datos que se manejan dentro de una institución
y asegurar que no salgan de ese sistemaestablecido por la empresa. Principalmente
este tipo de sistemas se basan en las nuevas tecnologías, por tanto la seguridad de la
información resguardará los datos que están disponibles en dicho sistema y a los que
solo tendrán acceso usuarios autorizados. Por otro lado, tampoco se podrán hacer
modificaciones en la información a no ser que sea de la mano de los usuarios que tengan
los permisos correspondientes.
La seguridad de la información debe responder a tres cualidades principales:

 Crítica
 Valiosa
 Sensible

Por un lado debe ser crítica, ya que es una pieza fundamental para que la empresa pueda
llevar a cabo sus operaciones sin asumir demasiados riesgos. También debe ser valiosa,
puesto que los datos que se manejan son esenciales para el devenir del negocio y
finalmente tiene que ser sensible, ya que al sistema solo podrán acceder las personas
que estén debidamente autorizadas. Además, también hay que tener en cuenta que la
seguridad de la información debe hacer frente a los riesgos, analizarlos,
prevenirlos y encontrar soluciones rápidas para eliminarlos si se diera el caso.

El objetivo de la seguridad de la información: características

La seguridad de la información tiene como objetivo principal proteger los datos de las
empresas. Pero este concepto es en términos generales, puesto que el sistema lo que va a
hacer es asegurar tres aspectos fundamentales: la confidencialidad, la disponibilidad y
la integridad. Para llevar a cabo estas acciones se deberán establecer estrategias donde
se redacten las políticas de actuación para cada uno de estos casos. También habrá que
establecer el uso de las tecnologías, incluir controles de seguridad y todos los procesos
que se van a llevar a cabo para detectar los riesgos a los que se puede ver expuesto el
sistema. Teniendo en cuenta todas estas cosas: ¿en qué consisten esos tres aspectos
fundamentales?

Confidencialidad
A través de ella la seguridad de la información garantiza que los datos que están
guardados en el sistema no se divulguen a otras entidades o individuos que no están
autorizados para acceder a esa información.

Disponibilidad
Toda la información que se encuentre recogida en el sistema tiene que estar siempre a
disposición de los usuarios autorizados en cualquier momento que ellos necesiten
acceder a ella.
Integridad
Para que el sistema sea veraz los datos no deben manipularse. Así se garantiza que la
información recogida sea exacta y no haya sido modificada a no ser que algún usuario
autorizado lo haya hecho por orden expresa.

Los servicios que ofrece la seguridad de la información

Ya tenemos claro que la seguridad de la información vela por el buen funcionamiento
de los datos de las empresas y la transmisión de información de unos usuarios a otros
siempre que estén autorizados. Pero además gracias a esta seguridad garantizamos que
todos los mensajes que se lleven a cabo los enviará un emisor acreditado y que los
recibirá el receptor correspondiente sin ningún tipo de interrupciones.
Además se trata de un sistema que utiliza diferentes protocolos para poder realizar su
función correctamente. Hablamos, por ejemplo de la criptografía, que utiliza un código
cifrado, la identificación, para validar el proceso e incluso una secuenciación lógica
por la que se lleva a cabo todos los pasos de envío de mensajes.
También hay que tener en cuenta que dentro de la seguridad de la información otro
aspecto muy importante es conocer las técnicas para prevenir los riesgos. Hay
empresas que intentan evitarlos a toda costa, otras que los reducen al nivel más bajo e
incluso aquellas que los aceptan e intentar solucionar el problema o por el contrario
compartir el riesgo. Todo ello forma parte del aprendizaje y de los conocimientos que
los profesionales en cuanto a seguridad pueden obtener cursando el Máster en Seguridad
de la información empresarial, el cual abre muchas puertas para encontrar trabajo.

Tres tipos de seguridad informática que debes conocer

Existen diversos tipos de seguridad informática que una empresa debe vigilar para evitar
pérdida de datos y/o prestigio. Se trata de uno de los temas más importantes en las
organizaciones. Con tantas cosas ocurriendo en Internet, se vuelve extremadamente
necesario asegurar el contenido de nuestra red y nuestras comunicaciones ante posibles
problemas de pérdida o interceptación de datos. La seguridad informática es la rama de
la tecnología de la información que se ocupa de la protección de datos en una red, sus
comunicaciones o una computadora independiente. Debido a que todas las
organizaciones son dependientes de la informática, la tecnología relacionada con la
seguridad requiere un desarrollo constante. Estos son tres diferentes tipos de seguridad
informática.

Seguridad de Hardware
La seguridad de hardware se puede relacionar con un dispositivo que se utiliza para
escanear un sistema o controlar el tráfico de red. Los ejemplos más comunes incluyen
cortafuegos o firewalls de hardware y servidores proxy. Otros ejemplos menos comunes
incluyen módulos de seguridad de hardware (HSM), los cuales suministran claves
criptográficas para funciones críticas tales como el cifrado, descifrado y autenticación
para varios sistemas. De entre los diferentes tipos de seguridad informática, son los
sistemas de hardware los que pueden proporcionar una seguridad más robusta, además
de que también pueden servir como capa adicional de seguridad para los sistemas
importantes. La seguridad de hardware también se refiere a cómo podemos proteger
nuestros equipos físicos de cualquier daño. Para evaluar la seguridad de un dispositivo
de hardware, es necesario tener en cuenta las vulnerabilidades existentes desde su
fabricación, así como otras fuentes potenciales, tales como código que se ejecuta en
dicho hardware y los dispositivos entrada y salida de datos que hay conectados en la
red.

Seguridad de Software
La seguridad de software se utiliza para proteger el software contra ataques maliciosos
de hackers y otros riesgos, de forma que nuestro software siga funcionando
correctamente con este tipo de riesgos potenciales. Esta seguridad de software es
necesaria para proporcionar integridad, autenticación y disponibilidad. Entre los tipos de
seguridad informática, este campo de la seguridad de software es relativamente nuevo.
Los primeros libros y clases académicas sobre este tema aparecieron en 2001, lo que
demuestra que ha sido recientemente cuando desarrolladores, arquitectos de software y
científicos informáticos han comenzado a estudiar sistemáticamente cómo construir
software seguro. Los defectos de software tienen diversas ramificaciones de seguridad,
tales como errores de implementación, desbordamientos de buffer, defectos de diseño,
mal manejo de errores, etc. Con demasiada frecuencia, intrusos maliciosos pueden
introducirse en nuestros sistemas mediante la explotación de algunos de estos defectos
de software. Las aplicaciones que tienen salida a Internet presentan además un riesgo de
seguridad más alto. Se trata del más común hoy en día. Los agujeros de seguridad en el
software son habituales y el problema es cada vez mayor. La seguridad de software
aprovecha las mejores prácticas de la ingeniería de software e intenta hacer pensar en la
seguridad desde el primer momento del ciclo de vida del software.

Seguridad de red
La seguridad de red se refiere a cualesquiera actividades diseñadas para proteger la red.
En concreto, estas actividades protegen la facilidad de uso, fiabilidad, integridad y
seguridad de su red y datos. La seguridad de red efectiva se dirige a una variedad de
amenazas y la forma de impedir que entren o se difundan en una red de dispositivos. ¿Y
cuáles son las amenazas a la red? Muchas amenazas a la seguridad de la red hoy en día
se propagan a través de Internet. Los más comunes incluyen:

 Virus, gusanos y caballos de Troya

 Software espía y publicitario
 Ataques de día cero, también llamados ataques de hora cero
 Ataques de hackers
 Ataques de denegación de servicio
  Intercepción o robo de datos
 Robo de identidad
Hay que entender que no hay una solución única que protege de una variedad de
amenazas. Es necesario varios niveles de seguridad. Si uno falla, los demás siguen en
pie. Seguridad de la red se lleva a cabo a través de hardware y software. El software
debe ser actualizado constantemente para lograr protegerse de amenazas emergentes.
Un sistema de seguridad de la red por lo general se compone de muchos componentes.
Idealmente, todos los componentes trabajan juntos, lo que minimiza el mantenimiento y
mejora la seguridad. Los componentes de seguridad de red incluyen:

 Antivirus y antispyware
 Cortafuegos, para bloquear el acceso no autorizado a su red
 Sistemas de prevención de intrusiones (IPS), para identificar las amenazas de
rápida propagación, como el día cero o cero horas ataques
 Redes privadas virtuales (VPN), para proporcionar acceso remoto seguro
 ENCRIPTACION Y CERTIFICADOS DIGITALES
1. ¿Qué es la encriptación informática?

Para saber qué es la encriptación Informática, primero definiremos lo que es la

encriptación. El término encriptar no existe en español, es una traducción literal del
inglés. Lo correcto sería utilizar la palabra cifrar. Por ello, encriptar cualquier tipo
de información o documento consiste en codificarlo para que resulte indescifrable a
cualquier persona que no conozca la clave para poder descifrarlo. Por ello la
encriptación es aquel proceso por el que la información es cifrada para que resulte
ilegible a menos que conozcamos los medios para su interpretación.

Por lo tanto, la encriptación informática sería la codificación de la información de

archivos o de un [correo electrónico] para que no pueda ser descifrado en caso de ser
interceptado por alguien mientras esta información viaja por la red. Esta codificación se
lleva a cabo gracias al uso de diversas fórmulas matemáticas con el objetivo de
transformar un texto o imágenes en un criptograma. Que es un conjunto de caracteres
que a simple vista no tiene ningún sentido para el navegante. En la mayoría de los casos
se utiliza una palabra clave para poder descifrar el mensaje que hemos cifrado con
anterioridad.

2. Metodologías de encriptación

Transposición

La transposición es simplemente alternar de lugar las letras de un mensaje.

Generalmente no se utiliza por si sola, sino acompañada de algún método de sustitución.
La transposición se puede utilizar en cualquier parte de la encriptación para dificultar
aún más la posible lectura del mensaje o texto plano. Para realizar esto es necesaria de
una clave privada, de tal manera que pueda volverse al mensaje original usando la clave
de manera inversa.

Sustitución directa

Este método es el más simple de sustitución y se basa en un principio de que cada letra
tiene una correspondencia con otra. En el momento de encriptar el mensaje se sustituye
la letra original por su correspondencia. Estas correspondencias se encuentran en
la Clave privada y si esta clave cae en diferentes manos, el mensaje puede ser leído
aplicando el mismo método.

Encriptación por número de palabra

En este método asignamos a cada carácter del alfabeto un valor numérico único. Estos
números deben ser consecutivos. Esta asignación de números a cada letra, conformará la
clave que debemos ocultar. Este algoritmo lo que hace es tomar una palabra ingresada
por el usuario y sumar sus caracteres de acuerdo a sus correspondientes valores en
la clave. El resultado de esto es un único número que se utilizará como semilla en
cualquier algoritmo para obtener números pseudoaleatorios. La cantidad de números
pseudoaleatorios que deben obtenerse debe ser igual al número de caracteres del
mensaje a transmitir.
Encriptación por palabra

Este tipo de encriptación se basa en una palabra secreta, conocida únicamente por los
extremos de la comunicación. Al igual que en el anterior método también cada caracter
del alfabeto se hace corresponder con un número. Deben ser consecutivos también. La
palabra clave se concatena a si misma tantas veces como la longitud del mensaje a
encriptar, luego se suma letra a letra con los valores de su correspondencia,
obteniéndose nuevos caracteres que serán los que se transmitirán.

Ejemplo

Este es un algoritmo que permite encriptar y desencriptar cadenas de caracteres. La

función se llama EncryptString y tiene tres parámetros:

Public Function EncryptString UserKey As String, Text As String, Action As Single As

String. El parámetro UserKey es la clave. El parámetro Text es el texto a encriptar o
desencriptar. El parámetro Action indica QUE hacer, ..es decir Encriptar o desencriptar.
(El valor ENCRYPT es para encriptar y el valor DECRYPT para desencriptar)

Código fuente de la función:

2. 3. '//For Action parameter in EncryptString 4. Const ENCRYPT = 1 5. Const
DECRYPT = 2 6. 7. 8. Public Function EncryptString ( 9. UserKey As String, Text As
String, Action As Single 10. ) As String 11. Dim UserKeyX As String 12. Dim Temp
As Integer 13. Dim Times As Integer 14. Dim i As Integer 15. Dim j As Integer 16.
Dim n As Integer 17. Dim rtn As String 18. 19. '//Get UserKey characters 20. n =
Len(UserKey)21. ReDim UserKeyASCIIS(1 To n) 22. For i = 1 To n 23.
UserKeyASCIIS(i) = Asc(Mid$(UserKey, i, 1)) 24. Next 25. | 26. '//Get Text characters
27. ReDim TextASCIIS(Len(Text)) As Integer 28. For i = 1 To Len(Text) 29.
TextASCIIS(i) = Asc(Mid$(Text, i, 1) 30. Next 31. 32. '//Encryption/Decryption 33. If
Action = ENCRYPT Then 34. For i = 1 To Len(Text) 35. j = IIf(j + 1 >= n, 1, j + 1) 36.
Temp = TextASCIIS(i) + UserKeyASCIIS(j)37. If Temp > 255 Then 38. Temp = Temp
- 255 39. End If 40. rtn = rtn + Chr$(Temp) 41. Next 42. ElseIf Action = DECRYPT
Then 43. For i = 1 To Len(Text)44. j = IIf(j + 1 >= n, 1, j + 1) 45. Temp =
TextASCIIS(i) - UserKeyASCIIS(j)46. If Temp < 0 Then 47. Temp = Temp + 255 48.
End If 49. rtn = rtn + Chr$(Temp)50. Next 51. End If 52. 53. '//Return 54. EncryptString
= rtn 55. End Function |}

Anotaciones

La encriptación de la informática se hace cada vez más necesaria debido al aumento de

los robos de claves de tarjetas de crédito, número de cuentas corrientes, y en general
toda la información que viaja por la red, etc. Estos métodos mencionados se pueden
implementar en infinidad de aplicaciones, desde un simple chat, a programas avanzados
que mandan un mayor caudal de información por la red, como aplicaciones de bases de
datos distribuidas. Mientras más intrincados sean los métodos, o las combinaciones
entre ellos más se le dificultará la tarea a los que tratan de leerlo.
 CERTIFICADOS LEGALES

Los certificados digitales permiten la identificación exclusiva de una entidad; en

esencia, son tarjetas de identificación electrónica emitidas por compañías de confianza.
Los certificados digitales permiten a un usuario verificar a quién se ha emitido un
certificado, así como el emisor del certificado.

Los certificados digitales son el vehículo que SSL utiliza para la criptografía de clave
pública. La criptografía de clave pública utiliza dos claves criptográficas diferentes:
una clave privada y una clave pública. La criptografía de clave pública también se
conoce como criptografía asimétrica, porque puede cifrar la información con una clave
y descifrarla con la clave complementaria desde un par de claves pública-privada
determinado.

Los pares de claves pública-privada son simplemente cadenas largas de datos que
actúan como claves en un esquema de cifrado de un usuario. El usuario mantiene la
clave privada en un lugar seguro (por ejemplo, cifrada en el disco duro de un sistema) y
proporciona la clave pública a cualquiera con quien el usuario desee comunicarse. La
clave privada se utiliza para firmar digitalmente todas las comunicaciones seguras
enviadas desde el usuario; el destinatario utiliza la clave pública para verificar la firma
del emisor.

La criptografía de clave pública se construye a partir de la confianza; el destinatario de

una clave pública ha de confiar en que la clave pertenece realmente al emisor y no a un
impostor. Los certificados digitales proporcionan esta confianza.

Un certificado digital sirve para dos finalidades: establece la identidad del propietario y
hace que la clave pública del propietario esté disponible. Una autoridad de confianza --
una autoridad de certificación (CA)-- emite un certificado digital y sólo se emite para un
plazo de tiempo limitado. Cuando pasa la fecha de caducidad, debe sustituirse el
certificado digital.

Formato de los certificados digitales

El certificado digital contiene fragmentos específicos de información acerca de la

identidad del propietario del certificado y acerca de la autoridad de certificación:

 Nombre distinguido del propietario. Un nombre distinguido es la combinación

del nombre común del propietario y su contexto (posición) en el árbol de
directorios. En el árbol de directorios sencillo que se muestra en la Figura 54,
por ejemplo, LaurenA es el nombre común del propietario y el contexto
es OU=Engnring.O=XYZCorp; por consiguiente, el nombre distinguido es:
 .CN=LaurenA.OU=Engnring.O=XYZCorp
 Clave pública del propietario
 Fecha en que se emitió el certificado digital.
 Fecha en que caduca el certificado digital.
 Nombre distinguido del emisor Éste es el nombre distinguido de la CA.
 Firma digital del emisor.
Figura 54. Un árbol de directorios sencillo

La Figura 55 muestra el diseño de un certificado digital típico.

Figura 55. Diseño simplificado de un certificado digital

Consideraciones de seguridad para los certificados digitales

Si envía a otra persona el certificado digital que contiene la clave pública, ¿qué impide a
esa persona hacer un mal uso del certificado digital y que se haga pasar por usted? La
respuesta es la clave privada.

Un certificado digital, por sí solo, no se puede ser nunca una prueba de la identidad de
una persona. El certificado digital sólo permite verificar la identidad del propietario del
certificado digital, al proporcionar la clave pública que se necesita para comprobar la
firma digital del propietario el certificado digital. Por consiguiente, el propietario del
certificado digital debe proteger la clave privada que pertenece a la clave pública del
certificado digital. Si se ha robado la clave privada, el ladrón puede hacerse pasar por el
propietario legítimo del certificado digital. Sin la clave privada, no se puede hacer un
mal uso de un certificado digital.

Autoridades de certificación y jerarquías de confianza

La confianza es un concepto muy importante en los certificados digitales. Cada

organización o usuario debe determinar cuáles son las CA que se pueden aceptar como
fiables.

Un usuario de un servicio de seguridad que necesita conocer una clave pública

generalmente tiene que obtener y validar un certificado digital que contenga la clave
pública necesaria. Recibir un certificado digital de un equipo remoto no da al
destinatario ninguna seguridad sobre la autenticidad del certificado digital. Para
verificar que el certificado digital es auténtico, el destinatario necesita la clave pública
de la autoridad de certificación que ha emitido el certificado digital.

Si el usuario de clave pública no tiene ya una copia confirmada de la clave pública de la

autoridad de certificación que firmó el certificado digital, el usuario podría necesitar un
certificado digital adicional para obtener dicha clave pública. En general, se podría
necesitar una cadena de varios certificados digitales que abarque un certificado digital
del propietario de clave pública (la entidad final) firmado por una CA y, opcionalmente,
uno o más certificados digitales de CA firmados por otras CA. La Figura 56 muestra
una cadena de confianza.

Figura 56. Cadena de confianza - Las CA que firman certificados digitales de CA

hasta la CA raíz
Tenga en cuenta que muchas aplicaciones que envían un certificado digital de un sujeto
a un destinatario, no sólo envían ese certificado digital, sino también todos los
certificados digitales digitales de CA para verificar el certificado digital inicial hasta la
CA raíz.

La cadena de confianza comienza en la CA raíz. El certificado digital de la CA raíz es

autofirmado; es decir, la autoridad de certificación utiliza su propia clave privada para
firmar el certificado digital. La clave pública utilizada para verificar la firma es la clave
pública del propio certificado digital (consulte la Figura 57). Para establecer una cadena
de confianza, el usuario de clave pública debe haber recibido el certificado digital de la
CA raíz de una de las maneras siguientes:

 En un disquete recibido por correo certificado o recogido en persona

 Precargado con software recibido de una fuente fiable o descargado de un
servidor autenticado

Usos para los certificados digitales en las aplicaciones de Internet

Las aplicaciones que utilizan sistemas de criptografía de clave pública para el

intercambio de claves o las firmas digitales tienen que utilizar certificados digitales para
obtener las claves públicas necesarias. Las aplicaciones de Internet de esta clase son
numerosas. A continuación se proporcionan descripciones breves de algunas
aplicaciones de Internet de uso habitual que utilizan la criptografía de clave pública:

SSL
Protocolo que proporciona privacidad e integridad para las comunicaciones. Los
servidores web utilizan este protocolo para proporcionar seguridad para las
 conexiones entre servidores web y navegadores web porLDAP para
proporcionar seguridad para las conexiones entre clientes LDAP y servidores
LDAP y por Tivoli Risk Manager para proporcionar seguridad para las
conexiones entre el cliente y un servidor.

SSL utiliza certificados digitales para el intercambio de claves, la autenticación

de servidor y, opcionalmente, la autenticación de cliente.

Autenticación de cliente
La autenticación de cliente es una opción de SSL que necesita que un servidor
autentique un certificado digital de un cliente antes de permitir que el cliente se
conecte o acceda a determinados recursos. El servidor solicita y autentica el
certificado digital del cliente durante el protocolo de enlace de SSL. En ese
momento, el servidor también podrá determinar si confía en la CA que emitió el
certificado digital al cliente.
Correo electrónico seguro
Muchos sistemas de correo electrónico, utilizando estándares como Privacy
Enhanced Mail (PEM) o Secure/Multipurpose Internet Mail
Extensions (S/MIME) para un correo electrónico seguro, utilizan certificados
digitales para firmas digitales y para el intercambio de claves para cifrar y
descifrar mensajes.
Redes privadas virtuales (VPN)
Las redes privadas virtuales, también denominadas túneles seguros, se pueden
configurar entre cortafuegos para habilitar conexiones protegidas entre redes
seguras a través de vínculos de comunicaciones inseguros. Todo el tráfico
destinado a estas redes se cifran entre los cortafuegos.

Los protocolos utilizados en el túnel siguen el estándar IP Security (IPsec). Para

el intercambio de claves entre cortafuegos asociados, se ha definido el estándar
de intercambio de claves de Internet (IKE), conocido anteriormente como
ISAKMP/Oakley.

Los estándares también permiten una conexión segura y cifrada entre un cliente
remoto (por ejemplo, un empleado que trabaja desde su casa) y un host o red
seguros.

Transacción electrónica segura ( SET )

SET es un estándar diseñado para realizar pagos seguros con tarjeta de crédito
en redes inseguras (Internet). Los certificados digitales se utilizan para
poseedores de tarjetas (tarjetas de crédito electrónicas) y comerciantes. El uso de
certificados digitales en SET permite las conexiones seguras y privadas entre
poseedores de tarjetas, comerciantes y bancos. Las transacciones creadas son
seguras e indiscutibles y no se pueden falsificar. Los comerciantes no reciben
información sobre tarjetas de crédito que se pueda robar o de la que se pueda
hacer un mal uso.
Certificados digitales y solicitudes de certificados

De forma simplificada, un certificado digital firmado contiene el nombre distinguido del

propietario, la clave pública del propietario, el nombre distinguido de la autoridad de
certificación (o del emisor) y la firma de la autoridad de certificación sobre estos
campos.

Un certificado digital autofirmado contiene el nombre distinguido del propietario, la

clave pública del propietario y la propia firma del propietario sobre estos campos, tal
como se muestra en la Figura 57.

Figura 57. Certificado digital autofirmado

Un certificado digital de CA raíz es un ejemplo certificado digital autofirmado.

También puede crear sus propios certificados digitales autofirmados para utilizarlos al
desarrollar y probar un producto de servidor. Puede crear un certificado digital
autofirmado con el programa de utilidad keytool, proporcionado con la máquina virtual
Java (JVM), o bien puede utilizar el programa de utilidad iKeyman. Consulte el
apartado Creación de un certificado digital autofirmado de prueba para obtener
información acerca del uso de iKeyman para crear certificados autofirmados.

Una petición de certificado que se envía a una autoridad de certificación para ser
firmada contiene el nombre distinguido del propietario (solicitante), la clave pública del
propietario y la propia firma del propietario sobre estos campos. La autoridad de
certificación verifica esta firma con la clave pública en el certificado digital para
asegurar que:

 La petición de certificado no se ha modificado durante el tránsito entre el

solicitante y la CA.
 El solicitante está en posesión de la clave privada que pertenece a la clave
pública de la petición de certificado.

La CA también es responsable para algún nivel de verificación de la identificación. Esto

puede abarcar desde una prueba muy escasa a la seguridad absoluta sobre la identidad
del propietario.