1

Fase 3 - Discusión.
Criptografía
Didimo Cala Mejia
Edwin Alberto Novoa
Cesar Leandro Velez Mejia
Juan Camilo Tangarife Roman
UNIVERSIDAD NACIONAL ABIERTA A DISTANCIA – UNAD
dcalam@unadvirtual.edu.co, cvelezme@netmask.co, edwin02032@hotmail.com, jctr.gc@gmail.com

Resumen — En el presente trabajo se evidencia una clara operático Windows y Linux por lo que las herramientas PKI
investigación relacionada con la organización de forma completa podrá ser para cualquiera de estos sistemas operativos.
para poder identificación y solución de los diferentes
interrogantes que tiene la empresa COMPUGOV, todo esto con
el fin de prevenir una inestabilidad en el sistema de seguridad II. DESARROLLO DEL INFORME
coordinado por SYSHACK.
Cabe aclarar que la organización COMPUGOV es una
1. Qué son herramientas PKI? (Didimo Cala)
organización encargada de recibir reportes de fallos de
seguridad de las organizaciones gubernamentales de Colombia
Estas siglas corresponden al concepto de Public Key
y en ocasiones dichos reportes son confidenciales.
Infrastructure en inglés. Son las encargadas de la seguridad de
las páginas de comercio online para proteger tanto su negocio
Palabras clave— PKI, Ataques, SSL, como a sus clientes. La clave de la PKI son cuatro puntos,
indispensables para que sea eficiente y eficaz.
Abstract— In the present work a clear investigation
related to the organization is evidenced in order to be able to
identify and solve the different questions that the company
COMPUGOV has, all this in order to prevent an instability in
the security system coordinated by SYSHACK.
It should be noted that the organization COMPUGOV is
an organization responsible for receiving reports of security
failures of Colombian government organizations and
sometimes these reports are confidential.

Keywords— PKI, Attacks, SSL,

LINK: https://infosegur.wordpress.com/unidad-4/pki-
I. INTRODUCCIÓN public-key-infrastructure/

En el presente documento se les explica detalladamente la

Fiabilidad: se basa en tres vértices para asentar un
solución a los diferentes interrogantes que tiene la
triángulo equilibrado y fiable.
organización COMPUGOV.
La organización COMPUGOV es una organización
Rentabilidad: un programa que debe ser económico puesto
encargada de recibir reportes de fallos de seguridad de las
que la seguridad es importante pero las empresas no tienen la
organizaciones gubernamentales de Colombia, en ocasiones
capacidad para pagar una herramienta muy costosa.
dichos reportes son confidenciales, nosotros como SYSHACK
fuimos contratados para dar solución a dichos fallos de
Fuerte contra ataques: garantía de que nuestra información
seguridad.
digital este seguro de cualquier ataque cibernético.
Realmente COMPUGOV es una organización bastante
Aceptado por los usuarios: esto quiere decir que puede ser
pequeña, su red está estructurada por un firewall y una DMZ la
muy bueno, pero si no nos gusta definitivamente no lo
cual contiene un servidor ftp y un servidor web que es dónde
adquirimos.
se reportan los incidentes informáticos y tiene sistemas
Las PKI está compuesta de:

 La autoridad de certificación.
 La autoridad de registro.
 La autoridad de validación.
 Las autoridades de los repositorios donde se
almacenan los certificados.
 Todo el software.
 Política de seguridad definida para
comunicaciones.
2. Mencione y describa al menos 2
herramientas PKI, una para Windows y una
para Linux. (Didimo Cala)
Para Windows:
SSL: (Secure Sockets Layer) es un protocolo que se
utiliza para transferir la información en la red o en
navegadores de forma segura., al transferir información como
contraseñas, cuentas bancarias con este protocolo
garantizamos que esta no puede ser descubierta por terceros
antes de llegar a su destino.
Las páginas web al contar con certificados SSL, indican a
sus usuarios que es un sitio web seguro y confiable y la
información que se transporta por ahí, va cifrada y no podrá
ser conocida por personas autorizadas.
Contar con sitios web con certificados SSL genera ventajas
como:
1. La información viaja encriptada o cifrada.
2. La información no puede ser modificada cuando este
viajando, el destino la recibirá igual como fue enviada.
3. Garantiza que el sitio web es de una empresa confiable.
Sin embargo, contar con un sitio web con certificado SSL,
requiere tener una maquina robusta, porque el envío de
información cifrada requiere más recursos frente a uno que no
tiene.
Fuente: https://revista.seguridad.unam.mx/numero-10/elcifrado-web-
ssltls
A pesar que las páginas web cuenten con certificados SSL,
2
los usuarios deben contar con antivirus, sistemas operativos
actualizados, visitar siempre páginas confiables.
Las desventajas del protocolo SSL, es que este cuenta con
muchas vulnerabilidades y es una versión obsoleta la cual fue
reemplazada por el protocolo TLS.
las
TLS: (Transport Layer Security) este protocolo es la
versión actualizada y más segura de SSL, es muy utilizado
para en los servidores de correo web, este protocolo actual en
la capa 4 del modelo OSI (transporte), este protocolo establece
una conexión segura en la información enviada, evitando que
pueda ser conocida por personas no autorizadas.
A continuación, detallo las actividades que realiza el
protocolo TLS para enviar información:
1. Valida con el servidor receptor el cifrado y negocia el
algoritmo que utilizara. 2. Cifra la información enviada 3.
Utiliza una funciona hash como MD5 para quedar con un
registro de la información enviada. 4. Intercambia las claves 5.
Transmite la información.
En esta imagen se relaciona como funciona una conexión
segura con certificado TLS:
Fuente: http://umh2805.edu.umh.es/material/practicas/seguridad-webcon-ssl-
tls/
A si los sitios web cuenten con certificados de seguridad
SSL o TLS, para que los datos se transporten de forma segura,
pueden ser vulnerables por esta razón los usuarios deben
contar con medidas de seguridad como:
1. Acceder a sitios web seguros
2. Utilizar software legitimo
3. Contar con actualizaciones automáticas activas e
instaladas.
4. Usar antivirus y antimalware
 3

Herramienta para Linux: 3. Analizar y describir la organización

planteada en el anexo 4 respecto a su labor y
Esta herramienta es gratuita lo cual nos permite maneja
tareas a realizar. (Juan Camilo Tangarife)
OpenXPKI es un software PKI / Trustcenter de nivel
empresarial. Implementa las características necesarias para
La organización COMPUGOV es una organización que se
operar una PKI en entornos profesionales. Si bien está
encarga de recibir reportes de fallos de seguridad de
diseñado principalmente para ejecutarse como un RA / CA en
organizaciones Gubernamentales, por lo que los reportes
línea para administrar certificados X509v3, su flexibilidad
recibidos son de carácter confidencial ya que en ellos se
permite una amplia gama de posibles casos de uso con
exponen los riesgos de éstas tales fallos, nuestra labor es
respecto a la administración de claves criptográficas.
verificar minuciosamente que la información sea
Permite modificar y extender las operaciones básicas del
absolutamente reservada ya que si llega a caer en malas
PKI (como la solicitud y aprobación de certificados). La
manos; esto se logra identificando los puntos débiles, sobre
personalización del comportamiento del sistema se realiza
todo las amenazas más comunes, cuáles son los posibles
modificando la descripción del flujo de trabajo en formato
impactos en la operación diaria de las organizaciones y como
XML.
los puede afectar tanto económica mente como reputacional
Adicionalmente, el motor de flujo de trabajo permite
mente, por lo que se debe garantizar que todos los sistemas
extender el sistema mediante flujos de trabajo personalizados.
estén al día de acuerdo a los estándares de seguridad
OpenXPKI incluye algunos flujos de trabajo estándar, como la
recomendados para realizar las funciones necesarias de
solicitud de certificados X.509, y entregando listas de
acuerdo al rol.
revocación de certificados que pueden ser facilmente
adaptadas al proceso PKI. Al agregar nuevas definiciones de
flujos de trabajo, es posible extender el sistema PKI. 4. Creen que la información que maneja
SYSGOV es de mucho cuidado “top secreto” por
su contenido? Si responden si deberán justificar
el por qué, y si responden no también deberán
justificar la respuesta. (Juan Camilo Tangarife)

Es correcto, al contener información de vulnerabilidades de

otras organizaciones, se vuelve un tema confidencial, el riesgo
de que se filtre la información puede tener un impacto enorme
e una empresa ya que está revelando vulnerabilidades las
cuales pueden ser aprovechadas por delincuentes informáticos
y realizar ataques por medio de virus, troyanos, ataques de
men in middle, o cualquier ataque que al delincuente pueda
usar y que aplique de acuerdo a la vulnerabilidad a la cual este
Características principales:
expuesta, esto conllevaría a secuestro, destrucción, venta o
publicación a cualquier medio que el atacante considere con el
- WebUI compatible con todos los principales navegadores
fin de realizar actividades que lo beneficien a el de manera
- Ejemplo de configuración listo para ejecutar incluido
económica o reputacional y de igual manera puede provocar
- Soporte para SCEP (Protocolo simple de inscripción de
un daño con las mismas consecuencias, por esto es necesario
certificados) y EST (Inscripción a través de transporte seguro)
manejar todas medidas pertinentes de acuerdo a las
- Se admite la inscripción automática nativa de Microsoft
recomendaciones establecidas por personal capacitado,
Windows a través de software de terceros
siguiendo los estándares para este fin y así mantener la
- Fácil ajuste de los flujos de trabajo a las necesidades
integridad de este tipo de información de manera confidencial
personalizadas.
y reservada solo para las personas que le competan de acuerdo
- Ejecute varias CA independientes con una sola instalación,
a su rol.
reinversión automatizada de las generaciones de CA
- Puede utilizar módulos de seguridad de hardware (por
ejemplo, HSM de Thales) para operaciones de cifrado
- Emitir certificados con CA públicas de confianza (por
ejemplo, SwissSign, Comodo, VeriSign)
- Basado en OpenSSL y Perl, se ejecuta en la mayoría de las
plataformas * nix
 4

5. Justifiquen si creen que el sistema de La importancia radica entonces para SYSGOV que tendremos
un CA que sería la autoridad de certificación que nos dejara
seguridad que tiene actualmente SYSGOV es
emitir y revocar los certificados digitales necesarios. Además
suficiente para enviar y recibir información de de un RA o autoridad de registro que estará encargada de
forma segura (mínimo una página) (Didimo poder controlar toda la generación de los certificados,
Cala) verificando todo el enlace entre los certificados y logrando
concretarla clave pública del certificado en las comunicaciones
de SYSGOV con la identidad del titular.
Yo creo que el sistema de seguridad que maneja actualmente
SYSGOV para enviar y recibir información de forma segura
Se podrá además aplicar por medio de la PKI un VA que
no es suficiente; la red está estructurada por un firewall y una
cumplirá con la tarea de ser la autoridad de validación y que
DMZ la cual contiene un servidor ftp y un servidor web que es
comprobara que los certificados digitales de la compañía si
dónde se reportan los incidentes informáticos, A su vez cuenta
puedan tener validez.
con una red LAN bastante pequeña con un total de tres
computadoras de las cuales una trabaja con S.O Linux y las
Adicional la herramienta nos entregaría la opción de contar
otras dos computadoras con Windows.
con las autoridades de los repositorios para poder almacenar
los certificados que se emiten y los que son revocados y que ya
La oficina de COMPUGOV consta de un solo nivel y cuenta
no son válidos con la idea de poder tener una trazabilidad.
con las medidas de seguridad básicas como: sistemas de
control de acceso, sensores de movimiento, alarma de
Además de poder contar con todo el software necesario para
incendios, alarma de intrusos y cámaras de seguridad.
poder utilizar los certificados digitales. Y estandarizar una
política de seguridad bien definida que ayude en las
comunicaciones de la empresa SYSGOV.
La empresa cuenta con unos servicios de seguridad básicos
para la protección de la información, creo que no es suficiente
La siguiente imagen muestra las funciones que puede entregar
debido a que la tecnología actualmente está un poco obsoleta y
la infraestructura de clave pública a la empresa SYSGOV
los ataques informáticos cada día se están renovando para
después de una implementación.
vulnerar los sistemas de seguridad.

Revisando todas las alternativas de solución como la que se

propone en el punto 10; se propone un PKI privado ya que Las
organizaciones implementan módulos de seguridad del
hardware SafeNet de Gemalto, los cuales trabajan en conjunto
con un servidor huésped de AC para proporcionar una
ubicación de almacenamiento de hardware segura para la clave
raíz de la AC o subordinar las claves privadas de las AC. Se
gestiona de forma separada y se almacena fuera del software
del sistema operativo, para prevenir robo, manipulación y
acceso al material de claves secretas.

Estas vulnerabilidades están afectando las relaciones con los

clientes y se está perdiendo la credibilidad de la organización
en el mercado.

6. Por qué sería necesario implementar o

pensar en una herramienta PKI para SYSGOV?
(Cesar Velez)
Pienso que la empresa SYSGOV debe implementar o pensar
en una herramienta PKI ya que es importante para el hardware
y el software de la empresa y todas las comunicaciones; esto
mediante la utilización de los certificados y firmas digitales, ya
que lo ideal para ellos es poder cubrir los objetivos más
importantes y los cuales son la autenticidad, confidencialidad,
integridad y el no repudio.
Imagen: El autor
7. Teniendo en cuenta el mapa de red de
SYSGOV y el servidor que tienen totalmente
nuevo y no aparece en el mapa de red, ¿dónde
ubicarían dicho servidor y que instalarían en el
para cumplir el objetivo de seguridad deseado
por SYSGOV? (la respuesta debe ser mínimo
una página) (Cesar Velez)
 5

trae el aplicativo por defecto. Estas modificaciones se realizan

con la idea de cambiar los valores de las variables definidas
internamente en los ficheros ya que traen configuración
EJBCA. Estos ficheros son el database.propierties.sample,
ejbca.propierties.smaple y web.propierties.sample que
definen los parámetros de instalación bastante importantes que
ayudan al gestor de base de datos que van a utilizar las
propiedades de la CA que se crea por defecto a las
propiedades HTTP. Para esto realizamos una copia de los
archivos originales.

Luego para finalizar y después de modificar los ficheros

aplicamos el comando ANT que nos asegura que sea
independiente del sistema operativo y lo cual ayuda para que
no tengamos que realizar la tarea de manera mecánica, este
Imagen 1: El autor comando que es el ANT INSTALL genera los certificados y
los pares de claves que se van a necesitar para comenzar a
utilizar CA y los almacenara junto con otros datos en la BD,
Como grupo de especialistas realizamos el grafico 1 basados
este comando solo funcionara la primer vez, si se trata de usar
en el adjunto del anexo 4, aquí establecemos el servidor en la
de nuevo se genera error sin obtener resultados.
zona después del SW que va conectada después del firewall 2
aquí estaría el servidor PKI EJBCA y la base de datos y se
Cuando se culmina todo y si no se tienen errores se ingresa
demarca como firma y emisión del certificado el cual sería el
desde algún navegador a la interface public web
paso 2 del proceso.
(http://ovh1.firmaprofesional.com:8080/ejbca) y admin
web de EJBCA. Es importante tener muy encuenta que la
Esta misma zona a su vez tendrá después del firewall SW la
versión que se describe en este trabajo cuenta con un bug que
DMZ como se muestra en el grafico 1 con la otra zona que
muestra que cuando se intenta acceder a la admin web desde la
pensamos es segura para tener los servidores de la compañía.
public web la cual utiliza para conexión el puerto 8442, esta
En la parte superior se ve el canal seguro que conecta el SW1
herramienta intentara utilizar el mismo puerto y aquí genera
con el SW2, en la parte inferior izquierda se ve que conectado
entonces el error de autenticación ya que la admin web solo
al SW de la LAN donde están todos los equipos de la red se
entra con el puerto 8442 y solo puede entrar con el 8443.
muestra el paso 1 que muestra cómo se pide la solicitud del
certificado, luego se ve también en el paso 3 la recepción del
certificado. Arquitectura propuesta de integracion
El servidor estaría conectado en esta parte y cuenta con buen general PKI
blindaje ya que el firewall 1 conecta a internet y luego se
cuenta con el firewall 2 que apoya la seguridad interna y de
este dispositivo.

Este servidor se instalar la última versión de EJBCA buscando

cumplir con el objetivo requerido, es entonces que se ingresa
al sitio web https://ejbca.org/download.html aquí en esta
página descargamos la versión más resiente 6.10.1.2, esto tiene
varios paquetes el primero contiene la herramienta EJBCA que
requerimos y el otro paquete la API de un RA externo que se
puede implementar dentro.

Esta instalación creara por defecto una autoridad de tipo

certificadora y en este punto se le da el usuario administrador y
el certificado SSL del servidor. Elementos que para nosotros
serán necesarios ya que con uno de ellos vamos a poder emitir
los certificados y con los otros 2 para ingresar a la
administración del sitio web. Es importante saber que luego
podemos realizar cambios en el contenido de los elementos.

Luego vamos a modificar la configuración de los ficheros que

Imagen 2: El autor
 6

descripción. (La respuesta debe ser mínimo una

¿Topología de red ubicación logica? página) (Edwin Novoa)
Con la idea de poder cumplir con el objetivo de seguridad que
requiere la empresa, se propone para la empresa SYSGOV la
siguiente topología donde el ROOT CA se basa en el
certificado autofirmado, este servidor en muchos de los casos
estaría por fuera de la infraestructura SYSGOV y solo estaría
activo cuando se requiera emitir los certificados.

En la misma topología vemos en la parte inferior esta USER

CA el cual representa la autoridad de certificación
subordinada para los usuarios, esta administra en la red todos
los tipos de certificados que están relacionados con usuarios,
estos certificados son almacenados en tarjetas de tipo
inteligentes y que buscan poder realizar la autenticación a dos
factores una seguridad que estaría muy bien para la empresa
SYSGOV y que buscamos como equipo de consultores.
Imagen: El autor
Seguido tenemos Devices CA un tipo de autoridad de
certificación que es subordinada para los dispositivos y con la 1. El Usuario 2 se autentifica enviando la llave
cual buscamos para la empresa que pueda administrar los pública a la AC (Autoridad de
certificados del sistema emitidos para los dispositivos, estos es Certificación).
bastante importante ya que nos sirve para servidores, sistemas 2. Para recibir su Certificado.
de CCTV, Computadoras, tablets, y teléfonos inteligentes y 3. La AC (Autoridad de
algunos otros sistemas que sean de comunicación de la Certificación) guarda el Certificado
empresa. del Usuario 2 en el CS (Servidor de
Certificados).
En la parte superior vemos USER RA que utilizaremos para
registro de los usuarios, este genera los certificados PKCS #
Cuando el Usuario 1 quiera cifrar un mensaje para el
10 Y #12 para usuario final y que puede realizar la
Usuario 2:
recuperación de claves de usuario, además de poder editar
datos de usuario y revocar los certificados y renovarlos para
los usuarios que se tienen en el momento además poder tener 4. Debe solicitar el Certificado del Usuario
un almacenamiento de claves también para estos usuarios, todo 2 al CS (Servidor de Certificados), este
esto se trabajaría con el software EJBCA. servidor le envía la llave pública
del Usuario 2.
En la parte superior se instala un DEVICES RA que es la 5. Así, el Usuario 1 cifra el mensaje, y lo envía
autoridad de registro para los dispositivos y que va a generar al Usuario 2.
los certificados para los dispositivos y que lograra editar los 6. El Usuario 2 puede descifrar este mensaje
perfiles de dispositivos y podrá revocar certificados , usando su llave privada que está
renovarlos para los que ya se tienen estos operan igual con el almacenada en el SR (Servidor de
software EJBCA. Recuperación).

Por último se incorpora un PKI backup log server que será

utilizado como medio de recuperación en caso de desastres y
que a su vez también servirá como medio para auditar los
procesos de gestión de los certificados, es importante tener
encuentra que muchas veces los registros se tengan que copiar
en otro tipos de sistemas para ser auditados y es por esto que
tenemos este sistema en toda la arquitectura que queremos
proponer para SYSGOV.
8. Cómo funciona una herramienta PKI? Genere
un gráfico para explicar paso a paso dicha
herramienta y posteriormente redactar dicha
9. Aparte de la herramienta PKI qué
sugerencia de seguridad aportarían ustedes como
integrantes de SYSHACK a la organización
SYSGOV respecto a ransomware? (Cesar Velez)
El equipo SYSHACK tiene propuesto como medida de
prevención ante el Ransomware los siguientes 5 pilares, con
los cuales como equipo de profesiones pensamos se pueden
contrarrestar los ataques al sistema interno de la compañía.

Imagen: El autor
1. Entrenamiento de los usuarios:
Por lo general en su mayoría el ransomware es propagado por
medio de los correos electrónicos que contienen Phishsing, es
por esto la importancia de estar atentos ante las nuevas
tendencias en Spam y estafa. Por eso SYSHACK propone
como requisito fundamental ya que los usuarios son el eslabón
más débil tener una adecuada formación al personal de la
compañía que opera con equipos de cómputo ya que pueden
con entrenamiento ayudar a prevenir brechas de seguridad y si
en algún momento se genera una brecha ayudar a contener
estas amenazas.
2. Gestión eficiente de parches:
Como todos sabemos muchos de los ataques en internet que se
realizaron el año pasado fueron por un problema de
actualización de dos y cuatro años atrás. Y es por esto que el
grupo SYSHACK tiene como pensamiento que estas son
causas muy comunes ya que muchas de las actualizaciones que
no se realizan generan inestabilidad y riesgo, algunos de los
parches que en muchos de los casos no están probados pueden
dar inconvenientes a los sistemas.
Y es aquí la importancia de poder tener para SYSGOV un
sistema bien administrado con los últimos parches de
seguridad probados, ya que instalar parches de seguridad no
probados o que se lanzaron apresuradamente pueden
solucionar el tema de seguridad, pero generar problemas en los
sistemas de la empresa, incluso muchas veces se instalan
parches que se publican para solucionar problemas generados
por un parche de seguridad anterior.
3. Capacitación del equipo de seguridad
de TI y Mesa de ayuda:
La seguridad informática es un tipo de campo que se encuentra
en constantes cambio y que por eso es importante capacitarse y
tener una buena investigación, aquí es donde los equipos De
7
TI se dan cuenta de los riesgos potenciales y brechas de
seguridad, es importante que la estrategia además vea la
seguridad de la compañía con importancia ya que un
porcentaje muy alto de empresas solo lo valoran después que
les pasa algún impase. SYSHACK quiere proponer un
cronograma de actividades para capacitar tanto al equipo de TI
como a los agentes de mesa de ayuda y formarlos en nuevas
tecnologías y procesos que ayuden a mitigar los
inconvenientes por Ransomware.
4. Respaldo de seguridad:
Una de las mejores defensas contra el Ransomware es tener
copias de seguridad actualizadas de los archivos y copias de
las máquinas virtuales de servidores y cluster, no somos
partidarios de no tener bien salvaguardados los datos de
usuarios corporativos ya que en muchos de los casos estos se
guardan en unidades de red pensando que al tener problemas
físicos en su equipo los datos quedaran respaldados.
Este guardado de información que en muchos de los casos se
realiza para guardar datos o el escritorio entre otros , debería
ser un poco más pensadas con un sistema inteligente de
backup, como grupo SYSHACK proponemos la regla 321 y
que esta se realice por medio de la herramienta Veeam, donde
para los equipos de los usuarios se tendrá una copia original en
las NAS 1 y luego esta realizara un segundo backup en la NAS
2 ya que por regla no es bueno tener backup en la misma NAS
o en otra partición o unidad de red del mismo dispositivo, lo
ideal es que esta se envié al segundo equipo de backup y por
medio de una replicación se pueda restaurar la información.
Luego de tener esta configuración la regla enviara a otro lugar
geográfico de una sede alterna toda la información
salvaguardada en la NAS 2 y se tendrá como contingencia en
caso de un virus Ransomware o hasta siniestro de la misma
compañía SYSGOV.
5. Control de privilegios elevados
El conocimiento como grupo de seguridad nos muestra que
solo cuando un usuario de la empresa es atacado los archivos
de datos que son accesibles al usuario se pueden cifrar, es
entonces que nuestra premisa se basa en que se deben
restringir privilegios o tener una matriz para aplicar. Muchas
veces los administradores de la red utilizan privilegios para un
tipo de operación común, que pueden ser la navegación
ingresar al correo electrónico y es aquí que con algún clic en
partes que no sabemos con privilegios aplicados nos puede
descargar y ejecutar Ransomware y que a su vez se ejecutaran
con los privilegios elevados antes nombrados y que pueden
terminar en el secuestro de la mayor parte de información de la
compañía que se encuentra en la res y servidores.

Imagen: El Autor
Prevención de contacto inicial:
Para Syshack es claro que el correo electrónico es el medio
más habitual por donde se propaga el Ransomware, aquí el
usuario recibe un correo con archivo adjunto y al momento de
ejecutarse este realiza el proceso de cifrado.
Entonces como empresa consultora pensamos que es
importante poder reducir este riesgo de infectarse
concientizando a los usuarios de Sysgov que no ejecuten
correos ni archivos que vengan adjuntos de cuentas de correo
que sean desconocidas para la compañía.
Buscamos adicional integrar filtros anti Spam al correo
electrónico con la idea de monitorizar todo el tráfico entrante y
poder filtrar la salida de los correos con links y archivos
adjuntos que sean potencialmente inseguros.
Nuestra trayectoria nos muestra que el 80 % del tráfico de
correo en las empresas que realizamos consultoría y mejoras
corresponde a Spam y es lo que nos lleva a realizar
configuraciones adecuadas para poder bloquear el 99 o 100%
del Spam recibido desde afuera a dentro de la organización y
que será nuestra tarea para SYSGOV.
Prevención de descargas:
En muchos de los casos que la plataforma Antispam no logre
contener correos con archivos maliciosos o adjuntos, cuando el
usuario SYSGOV ejecuta el archivo adjunto y el Ransomware
inicia con la comunicación a los servidores del atacante aquí
entra nuestra arquitectura de solución con una capa de
protección, utilizando el filtrado de contenido que
recomendamos de la empresa Intel Security como lo es Global
Threat Intelligence (GTI) y Threat Intelligence Exchange
(TIE), algunas de las empresas también nos piden trabajar con
otras soluciones que ya tienen, es el caso de los firewall de
próxima generación que ya internamente cuentan con filtrado
de contenido y además AMP y que aplica en clientes con
soluciones CISCO y Cisco Meraki este AMP no es más que un
Advance Malware Protection que nos da una respuesta
8
eficaz durante todas las etapas del ataque, antes, durante y
después logrando proporcionar prevención y detección frente a
las amenazas sin sacrificar en ningún momento la eficiencia
operativa de la compañía.
En una solución como la que se propone para SYSGOV ya
que no cuentan con estas opciones es el caso que se
implementaría GTI y TIE las cuales son capaces de detectar
todo el tráfico establecido por el malware, bloqueando las
conexiones y comunicación con el comando y control.
Otra recomendación adicional es contar con un Enpoint que
contenga 2 tipos de herramientas las cuales serían Dynamic
Application Conteiment y Real Protect (Static y Dinamic)
que estaría operando como un tipo de Sandbox Local.
También es importante realizar cambio del firewall a uno de
próxima generación y por activar todo el filtrado de contenido,
realizar políticas y activar IDS e IPS. Como recomendación
estaría un Cisco Meraki MX64W con licencia Advance
security que pueda contener para una mayor seguridad.
 Detección y prevención de intrusos
 Filtrado de contenido
 Antivirus y Anti-Phishing
 Filtrado Web
 Alertas de conectividad
 Directivas de grupo
Prevenir la ejecución del Malware:
En caso de la capa anterior no poder bloquear la comunicación
que se establece entre el equipo comprometido y el servidor
del atacante, el malware va a comenzar su ejecución, aquí es
cuando la plataforma que recomendamos un Endpoint como
McAfee virus Enterprise o Endpoint Security van a lograr
detener la ejecución de algún código malicioso, utilizando
funciones de escaneo de acceso y prevención de ejecución
además de lograr detectar las anomalías que encuentren.
Esta fase pretende tener un paso más adelante a SYSGOV que
las amenazas por Malware.
Detectar y prevenir archivos encriptados:
Con nuestra arquitectura se busca poder monitorear y detectar
en el sistema los archivos y llaves del registro, ya sean por
creación, ejecución o modificación logrando mostrar los
eventos en tiempo real y previniendo la infección completa de
los equipos de la compañía SYSGOV.
Nuestra recomendación es utilizar la solución de McAffe y un
File Integrity Monitorización que se pueda utilizar para
detectar todos los cambios de tipo maliciosos en algún archivo
del sistema y del registro. Esta monitorización de integridad
para los archivos se utilizara para lograr detectar alguna
actividad de creación y modificación de archivos en masa o
cambio de nombres generando una alerta cuando se generen.

Syshack es fiel creyente que la función de la supervisión de
contenido nos muestra pistas de los cambios en el contenido de
los archivos y nos ayuda a recuperar algunos que se encuentren
en alguna fase crítica. Además de apoyar a bases de datos
como TALOS que es una aliado, en la persecución de
amenazas mundiales.
 Protección de las bases de datos:
Otra medida importante es la de proteger las bases de datos,
para esto le apostamos a McAfee Database Security un
producto que se instala de frente a la base de datos y que
estaría todo el tiempo escaneando todos los comandos y el
trafico entrante y saliente además de custodiar los repositorios
de bases de datos, y las sentencias SQL ofuscadas. Tiene la
particularidad de proteger la base de datos si no tiene parche si
esta ya está actualizada en la base de datos de amenazas de la
herramienta esto se llama parcheo virtual.
10. ¿Qué tipo de PKI recomendarían, una
paga o una libre? ¿Por qué? Argumenten la
respuesta. (Respuesta mínimo en media página)
(Edwin Novoa)
Considero que el tipo de PKI a implementar en una
organización debe ser paga, teniendo en cuenta la seguridad
que se debe tener para los certificados y claves PKI. Un
ejemplo de esto es la empresa Gemalto.
El almacenamiento seguro y protección de claves privadas
es una parte integral de la seguridad de la criptografía de
claves asimétrica usada en un PKI. Si la clave raíz de la
Autoridad de Certificación (AC) es vulnerable, la credibilidad
de las transacciones financieras, los procesos comerciales y los
sistemas de control de acceso complejos se verán
perjudicados.
Por lo tanto, en un entorno de PKI (particularmente uno
esencial para los procesos empresariales, las transacciones
financieras o los controles de acceso, es imprescindible que las
claves privadas estén protegidas con el más alto nivel de
seguridad posible a través de un dispositivo de seguridad
dedicado: un módulo de seguridad de hardware (HSM).
Las organizaciones implementan módulos de seguridad del
hardware SafeNet de Gemalto, los cuales trabajan en conjunto
con un servidor huésped de AC para proporcionar una
ubicación de almacenamiento de hardware segura para la clave
raíz de la AC o subordinar las claves privadas de las AC. Se
gestiona de forma separada y se almacena fuera del software
del sistema operativo, para prevenir robo, manipulación y
acceso al material de claves secretas.
Características destacadas del módulo de seguridad del
hardware de SafeNet:
9
 Validación FIPS 140-2
 Generación de claves, almacenamiento y copias de
seguridad con hardware seguro
 Firma digital con hardware seguro
 Actualizaciones de software con PKI autentificado
 Autentificación de dos factores, independiente del
huésped
 Roles operativos reforzados
III. AGRADECIMIENTOS
Agradecemos al Ingeniero Julio Alberto Vargas, Tutor del
curso de Criptografía, por él acompañamiento y el querer
compartir sus conocimientos en este curso.
IV. CONCLUSION
Se evidencio la investigación para las diferentes
necesidades de la organización dando unas posibles
soluciones, propone protocolos y herramientas para analizar a
los problemas identificados de seguridad en la transferencia de
información.
V. REFERENCIAS
[1] Noriega, S. (2018). PKI y sus cuatro fortalezas. [online]
Blog de Certificados SSL y Seguridad en Internet.
Available at: https://www.certsuperior.com/Blog/pki-
sus-cuatro-fortalezas
[2] McClure, S., Scambray, J., & Kurtz, G. (2010). Hackers
6: secretos y soluciones de seguridad en redes. México:
McGraw-Hill Interamericana. Recuperado de
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reade
r.action?ppg=1&docID=10433876&tm=1465509236690
[3] Foster, J. C. (2005). Buffer Overflow Attacks : Detect,
Exploit, Prevent. Rockland, MA: Syngress.. Recuperado
de
http://bibliotecavirtual.unad.edu.co:2048/login?url=http://
search.ebscohost.com/login.aspx?direct=true&db=nlebk&
AN=126911&lang=es&site=ehost-live
[4] Alcance libre. (2014). OpenSSH con autenticación a
través de firma digital. Recuperado el 01 de diciembre de
2016 de
http://www.alcancelibre.org/staticpages/index.php/como-
ssh-clave-publica.
 10

Cesar Vélez Nacido en – Medellín,

[5] ecurityInABox. (2016). MailVelope OpenPGP encryption Ingeniero de telecomunicaciones
for webmail. Recuperado el 20 de junio de 2017 de UNAD, Certificado ITIL, CMNA,
https://securityinabox.org/en/guide/mailvelope/web/ Purple Wi-Fi, actualmente candidato a
especialización en seguridad
[6] Carvajal, I. (Octubre 24 de 2017). Criptografía basada informática.
en Identidad. Recuperado el 11 de Noviembre de 2018
de https://blog.agetic.gob.bo/2017/10/criptografia-basada- Experiencia profesional como
en-identidad/ arquitecto de soluciones Cisco, Cisco
Meraki y colaboración, enfocado en el
[7] Gemalto. (s.f.). Seguridad de la PKI: Gestión y campo de la infraestructura de TI, AM
Autentificación de claves de cifrado. Recuperado el 11 en preventa de Telecomunicaciones.
de Noviembre de 2018 de
https://safenet.gemalto.es/data-protection/pki-security- Edwin Alberto Novoa Gutiérrez nació
solutions/ en Colombia – Bucaramanga, el 17 de
enero de 1980. Se graduó de las
[8] EJBCA Pki by PrimeKey / la Ca de código abierto / Unidades Tecnológicas de Santander
https://www.ejbca.org/ (UTS), en Tecnología en Electrónica, de
la Universidad Nacional Abierta y a
[9] Evaluación de la herramienta EJBCA / Distancia (UNAD), en Ingeniería en
https://upcommons.upc.edu/bitstream/handle/2099.1/61 Telecomunicaciones, y estudia en la
00/Memoria_final_Juan_Alor.pdf?sequence=1&isAllow Universidad Nacional Abierta y a
ed=y Distancia (UNAD), la Especialización en Seguridad
Informática.
[10] PKI Public Key Infraestructure / Seguridad informatica /
https://infosegur.wordpress.com/unidad-4/pki-public- Su experiencia profesional está enfocada como Analista de
key-infrastructure/ Infraestructura TI, actualmente en John Restrepo A. y
Cía.(Medellín).
[11] Transferencia segura de información /
https://sistemas2009unl.wordpress.com/transferencia-
segura-de-informacion/
Juan Camilo Tangarife Román, Ingeniero
Electrónico egresado de la Universidad
[12] Researchgate PKI /
Cooperativa de Colombia actualmente
https://www.researchgate.net/figure/The-different-
vivo en el municipio de Caldas-
actors-and-the-protocol-operations-of-a-Public-Key-
Antioquia. Me desempeño como
Infrastructure-The_fig1_254046025
Ingeniero de plataformas y estudio la
especialización en Seguridad informática
[13] Arquitectura PKI /
en la UNAD.
https://www.slideshare.net/JgabrielS/actividad-5-pki-
public-key-infraestructure/3 /

VI. PERFIL EXPERTOS

Didimo Cala Mejia Nació en

Doncello, Caquetá, el 08 de octubre de
1987. Tecnólogo automotriz, Ingeniero
de Sistema en la UNAD; Postulado a
especialización en la unad.