Seguridad Electrónica

Semana 9
Un sistema de BMS o de gestión de edificios
Los Building Management Systems
(BMS)
Un sistema de BMS o de gestión
de edificios permite la
automatización y el control
centralizado de los inmuebles para
convertirlos en verdaderos
«edificios inteligentes»

Sistemas de gestión de edificios,

cada vez son más usados en todo
tipo de inmuebles públicos y
privados.

Su función es mejorar la gestión y

control, avanzando hacia el
concepto de «edificio inteligente”.
 ¿Sabes cómo funcionan un sistema de BMS?

Desde su aparición en la década de los 70, los sistemas de gestión de edificios (Building
Management System o BMS en inglés) han ganado popularidad tanto en edificios públicos
(hospitales, universidades, aeropuertos, etc.) como en edificios privados (oficinas, fábricas,
hoteles, infraestructuras, etc.). También conocidos como sistema de automatización de edificios,
los BMS son sistemas informáticos que controlan y automatizan los elementos mecánicos,
eléctricos y tecnológicos de los inmuebles, como la climatización, la iluminación la megafonía,
los suministros, los ascensores, los sistemas de vigilancia y contraincendios, etc.
 Hardware: por ejemplo
sensores, centrales de
gestión, consolas de
¿Sabes cómo funcionan un sistema de BMS? control, etc.

Básicamente, un sistema de BMS está formado

por dos elementos:
Software: programas
. informáticos que usan
protocolos como C-Bus,
Dali, Modbus, etc

Como sucede con la domótica de los hogares, en el sector de los sistemas de BMS conviven las
soluciones cerradas que proporcionan todo el hardware y el software (suministrados por fabricantes
como Johnson Controls, Schneider, Siemens, Honeywell, etc.) junto con soluciones abiertas formadas
por elementos de hardware y software interoperables, basados en estándares abiertos como TCP-IP,
Ethernet, etc.
¿Qué ventajas ofrece un sistema de BMS? Permite el control y supervisión centralizados de todos los
elementos del edificio.

Proporciona información detallada del consumo que fomenta

la eficiencia energética.

Facilita la rápida detección de las incidencias

para un mantenimiento preventivo.
Facilita la rápida detección de las incidencias
para un mantenimiento preventivo.

La automatización de las tareas de supervisión aumenta

la productividad del personal.

La mejora de la gestión incrementa el confort y seguridad de

los usuarios del edificio.
BMS es que abre el camino hacia los llamados «edificios
inteligentes».

La combinación de las soluciones de BMS con nuevas

tecnologías como el Big Data, el aprendizaje automático o la
inteligencia artificial

Por ejemplo, el Hotel Renaissance Fira de Barcelona se ha

adaptado recientemente para mejorar la eficiencia de sus instalaciones
mediante un sistema de BMS que ha permitido reducir el consumo de energía
hasta un 30 %.
Los sistemas de control de infraestructuras, BMS (Building Management System), permiten la
administración, explotación y mantenimiento unificado de las infraestructuras que componen una
edificación.

• Sistemas eléctrico : Cuadros eléctricos, iluminación, grupos electrógenos, etc.

• Sistemas de climatización o aire acondicionado (HVAC)
• Sistemas incendios
• Sistemas hidráulicos:
• Sistemas de transporte vertical: Ascensores, montacargas, rampas o escaleras mecánicas.
• Control de accesos y CCTV
• Otros sistemas: comunicaciones, sistemas de riego, sistemas neumaticos, etc.
Beneficios Económicos:

•Tiene un alto ROI, retorno de inversión (inversión vs ahorro): Ahorro energético; la

gestión eficiente y controlada de la energía, produce un ahorro directo en la factura de
proveedores y suministradores de energía y combustibles.

•Ahorro en costes de gestión y administración: La administración centralizada, provocando

la optimización de recursos humanos y detección temprana de averias, permitiendo una
menor inversión y ahorro de costes respectivamente.

•Revalorización de la infraestructura: Permite una rápida adaptación al uso de la

infraestructura por lo que la polivalencia de la instalación es notable.
Beneficios operativos y de gestión:

•Control centralizado y monitoreo remoto: Facilita el control y administración de una o varias instalación
desde uno o varios lugares, pudiendo aprovechar infraestructuras de redes locales e Internet para ello,
ofreciendo monitoreo especifico de todos los equipos de la infraestructura.

•Gestión de históricos: Permite la gestión histórica de la información permitiendo comprobar el

funcionamiento, el resultado de las actuaciones y la toma de decisiones futuras, apoyadas por estas.

•Facilidad y capacidad de personalización de la información requerida por los gestores o personal

técnico: La información presentada por el sistema, puede ser personalizada según las necesidades del
personal de mantenimiento, tanto en que valores presentar como en que forma gráfica desea hacerlo.

•Oferta de control local para usuarios de la edificación: Los usuarios de estancias, pueden establecer
consignas o puntos de trabajo, que desencadenan el funcionamiento de las aplicaciones de control que
gobiernan las infraestructuras.

•Control individual de estancias o viviendas: Permite el reporte de consumos individuales de servicios y

suministros para su posterior tratamiento.
 Gestión de eventos de seguridad y actividad del sistema de gestión de edificios

Software House ofrece soluciones de administración de edificios inteligentes compatibles con

C▪CURE 9000 para edificios de cualquier tipo y tamaño. Con estándares abiertos de comunicación, se
pueden monitorear y controlar sistemas de automatización de edificios (BAS) sencillos y complejos,
así como diversos sistemas de seguridad.

El C•CURE BMS proporciona supervisión integrada de todas las funciones de un edificio o un campus
desde una estación de trabajo, mediante acceso web, o en forma remota desde un dispositivo móvil.

La supervisión incluye monitoreo y control de Sistemas de Automatización de Edificios (BAS) para

seguridad, control de acceso, detección y supresión de incendios, ascensores y escaleras mecánicas,
distribución eléctrica y sistemas de confort humano, como HVAC, iluminación, persianas y calidad
del aire.

La funcionalidad de administración de alarmas y eventos de C•CURE BMS se puede monitorear con

el sistema de administración de alarmas y eventos de C•CURE 9000 a través de una vista web en
tiempo real de los sistemas BAS mediante la estación de monitoreo de C•CURE 9000 para ofrecer
una manera eficaz de administrar edificios o complejos de edificios.
¿Quién usa C-CURE 9000?
Security and event management system that helps businesses provide physical security for
employees, buildings, and assets through video surveillance and access control capabilities.

¿Qué es C-CURE 9000?

Security management tool that helps businesses monitor system activities, manage personnel, and
generate reports on a unified platform.
 AC2000 Security Hub

AC2000 Security Hub is the state of the art central command and control application for the
AC2000 access control and integrated security management system.

AC2000 Security Hub offers modern, centralized security management for the real-time monitoring
and control of alarms and events across multi-sites and multiple security systems including access
control, video, fire, intruder and building systems.
https://www.youtube.com/watch?v=jj3R6U6dFkk
https://www.youtube.com/watch?v=E-xXGjb_a18
https://www.youtube.com/watch?v=6lDKP3pAPp0
https://www.youtube.com/watch?v=ORwV8fihSnw
https://www.youtube.com/watch?v=cEhTiIZmvGc
ONVIF Conformant Products and Profiles
ONVIF members today collectively offer more than 18,000 profile conformant products. It has led to
millions of installed ONVIF conformant products in the market. Each conformant product must
support at least one of the following ONVIF profiles:

•Profile A for access control configuration

•Profile C for door control and event management
•Profile G for edge storage and retrieval
•Profile Q for quick installation
•Profile S for basic streaming video
•Profile T for advanced video streaming

ONVIF continues to work with its members to expand the number of IP interoperability solutions.
 Work with Standards Groups

ONVIF también trabaja con grupos de estándares globales como IEC (Comisión Electrotécnica
Internacional) y CENELEC para que adopten especificaciones de ONVIF.

Las especificaciones de ONVIF se basan en servicios web y utilizan estándares abiertos como XML,
SOAP y WSDL para definir la comunicación entre dos dispositivos electrónicos a través de una red IP.

Las especificaciones de control de acceso de ONVIF han sido adoptadas por el estándar IEC 60839-11-
1 de requisitos de componentes y sistemas para sistemas de alarma y seguridad electrónica. La norma
se aplica a los sistemas y componentes de control de acceso electrónico que se utilizan en
aplicaciones de seguridad para otorgar acceso e incluye requisitos para el registro, la identificación y
el control de la información.

Las especificaciones ONVIF para video en red también se han incluido en el estándar IEC 62676 para
sistemas de videovigilancia, el primer estándar internacional para sistemas de videovigilancia en
establecerse.

Las especificaciones de ONVIF para video están referenciadas en IEC 62676 Parte 2-3, que define los
protocolos de transmisión de video para la comunicación entre clientes de video en red y dispositivos
transmisores de video.
Our Mission
The mission of ONVIF is to provide and promote standardized interfaces for effective interoperability
of IP-based physical security products.
The cornerstones of ONVIF are:
•Standardization of communication between IP-based physical security products
•Interoperability regardless of brand
•Openness to all companies and organizations
Founded in 2008 by Axis Communications, Bosch Security Systems and Sony Corporation, ONVIF has
a robust member base on six continents. ONVIF membership is open to manufacturers, software
developers, consultants, system integrators, end users and other interest groups that wish to
participate in ONVIF activities.
Seguridad de la
información e Informática
 Seguridad de la información e Informática

 Semana 10
Introducción a la Seguridad Informática

 Cualquier medida que impida

la ejecución de operaciones
no autorizadas sobre un
sistema o red informática,
cuyos efectos pueden
conllevar daños sobre la
información, comprometer su
confidencialidad,
autenticidad o integridad,
disminuir el rendimiento de los
equipos o bloquear el acceso
de usuarios autorizados al
sistema.
 Seguridad

 El ISO/IEC 17799, define CIA (Confidentialy, Integrity,

Availability) como pilar fundamental de la Seguridad
Informática.

 Principios de “defensa en profundidad”: cifrado de datos,

gestión de usuarios, configuración ribusta de equipos,
segmentación de redes (VLANs), Seguridad Perimetral.

https://www.youtube.com/watch?v=M9DAfzk5s5A
 Seguridad Informática

 Existen 4 planes de actuación: técnico, humano,

legal y organizativo.

 La seguridad es un proceso. Se necesita de un Sistema de

Gestión de Seguridad de la Información (SGSI).

 La información es un recurso vital en el mundo globalizado

de hoy en día.
 Seguridad Informática
SSE/CMM (Systems Security Engineering/ Capability Maturity
Model) define:

 Nivel 0: Nada de seguridad

 Nivel 1: Prácticas de seguridad realizadas de manera

informal

 Nivel 2: Planificación y seguimiento de las prácticas de

seguridad

El Modelo de Madurez de Capacidades o CMM (Capability Maturity Model), es un modelo

de evaluación de los procesos de una organización. Fue desarrollado inicialmente para
los procesos relativos al desarrollo e implementación de software por la Universidad
Carnegie-Mellon para el SEI (Software Engineering Institute)
 Seguridad Informática

 Nivel 3: Definición y coordinación de las políticas y

procedimientos de seguridad.

 Nivel 4: Seguridad controlada a través de distintos controles

y objetivos de calidad.

 Nivel 5: Implantación de un proceso de mejora continua.

 Seguridad Informática

 Se tiene una jerarquía de seguridad informática:

 CIA
 Políticas
 Planes
 Procedimientos
 Tareas y Operaciones
 Registros y Evidencias.
 Seguridad Informática

 Ejemplo de seguridad CIA

 Política: protección del servidor Web de la organización

contra accesos no autorizados.

 Procedimiento 1: Actualización del software del servidor Web.

 Tarea1: Revisión diaria de los parches publicados por el

fabricante.
 Tarea2: Seguimiento de las noticias sobre posibles fallos de
seguridad.
 Seguridad Informática

 Procedimiento 2: Revisión de los registros de actividad en el

servidor.

 Tarea1: revisión semanal de los “logs” del servidor para

detectar anomalías.
 Tarea2: Configuraciones de alertas de seguridad que
permitan reaccionar de forma urgente ante determinados
tipos de ataques e intentos de intrusión.

 Inventario de soportes físicos. Destructor de Discos Duros

 SGSI
 Un SGSI se encuentra estandarizado en la norma ISO
27001:2005.
 https://www.youtube.com/watch?v=BNdPQU32p2Y

 La ISO 17799:2005 define buenas prácticas de SI pero en si

no es certificable como tal. Se utilizó hasta antes de definirse
el ISO 27001:2005
https://www.youtube.com/watch?v=4tPbVq-DjuU

 Está basado en la norma británica BS7799 utilizada en

seguridad de SI.
 SGSI

 A continuación se muestran las principales versiones del

estándar:

 ISO 27000 Vocabulario y Glosario

 ISO 27001 Estándar certificable

 ISO 27002 Relevo del ISO/IEC 17799:2005

 SGSI
 ISO 27003 Guía de implantación

 ISO 27004 Métricas e indicadores

 ISO 27005 Gestión de Riesgos

 ISO 27006 Requerimientos para las entidades de auditoría y

certificación.
 SGSI

 Se basa en la metodología de Dewey (Plan, Do, Check,

Act). La cual quedaría definida así:

 Plan: Establecer el SGSI

 Do: Implantar y Operar el SGSI

 Check: Monitorear y Revisar el SGSI

 Actuar
SGSI

 Otras actividades:

 Control de Documentos
 Capacitación
 Acción Correctiva
 Acción preventiva
SGSI

 Se clasifican cada uno de los activos, se determinan

amenazas, vulnerabilidades, riesgos basándose en
una escala de 1 (muy bajo) a 5 (muy alto).

 Se debe realizar un Plan de Continuidad del Negocio,

el cual puede contener:
SGSI

 DRP Disaster Recovery Planning

 BRP Business Resumption Planning

 COOP Continuity Operations Planning

 CP Contingence Planning

 ERP Emergency Response Planning

SGSI

 Pirámide Documental:

 Manual de Seguridad

 Procedimientos

 Instrucciones de Trabajo

 Documentos
SGSI

 Se deben tomar en cuenta muchos aspectos para

establecer mecanismos de seguridad:

 Aspectos legales, sociales y éticos

 Controles físicos

 Cuestiones de política
SGSI

 Problemas operacionales

 Controles de hardware

 Soporte del Sistema Operativo

 Existen dos enfoques de seguridad: discrecional y

obligatorio.
 SGSI

 En el discrecional, los usuarios tienen derechos de acceso

diferentes (privilegios) por lo tanto son muy flexibles

 El control obligatorio, cada objeto está etiquetado con un

nivel de clasificación y a cada usuario se le da un nivel de
acreditación. Son sistemas jerárquicos y rígidos.
 SGSI

 La autenticación es el proceso que consiste en verificar que

el usuario es quién dice ser.

 La autorización es el proceso para que un usuario pueda

realizar una acción.

 Registro de auditoría es un archivo o base de datos en el que

el sistema lleva la cuenta de las operaciones realizadas por los
usuarios.
 SGSI

 Los controles de acceso obligatorio se rigen en base al

principio de Bell-LaPadula:

El usuario i puede recuperar el objeto j sólo si el nivel de

acreditación de i es mayor o igual al nivel de clasificación de j
(“propiedad de seguridad simple”).
 SGSI

 El usuario i puede actualizar el objeto j sólo si el nivel de

acreditación de i es igual al nivel de clasificación de j.

 Los controles de acceso se dividen en 4: D, C, B y A.

 Donde D es la protección mínima, C es discrecional, B es

obligatoria y A es verificada.
 SGSI
 Dentro de C, se encuentran los niveles C1 (menos segura) y
C2.

 La seguridad física es muy importante a tal punto que se debe

de considerar en todo SGSI.

 Una de las normas de seguridad física más utilizada es:

BS 7799-2:2002.
 SGSI

 No sobrecargar los circuitos eléctricos y cordones de extensión.

Asegurarse que el voltaje combinado no exceda la capacidad
de los circuitos.

 Tener un extintor de fuegos .

 No utilizar ningún tipo de electrodoméstico dentro del site.

 SGSI

 No tomar líquidos dentro del site.

 No fumar.

 Tener letreros de seguridad.

 No situar equipos en sitios altos para evitar caídas. No colocar

equipos cerca de ventanas.
Amenazas de Seguridad

 Intercepción

 Interrupción

 Modificación

 Fabricación
Amenazas de Seguridad

 Ingeniería Social

 Ataques pasivos
 Ataques activos

 Análisis de Riesgos
 Interrupción del Serivicio
 FPGA
Amenazas de Seguridad

 Virus informáticos
 Gusanos
 Troyanos
 Spyware
 Adware
 Dialers
 Exploit
 Bots
 Pharming
Amenazas de Seguridad

 Backdoor

 Bomba fork

 Hijacker

 Keystroke o Keyloggers

 Párasito Informático
Amenazas de Seguridad

 Phishings
 Pornware
 Rabbit
 Rootkit
 Spam
 Pop-Ups
 Bomba Lógica
 Cookies (Malas)
 Trampas y/o Inocentadas
Mecanismos de Seguridad

 Cifrado

 Autorización

 Autenticación

 Auditoría
Mecanismos de Seguridad

 Derecho a la intimidad

 Elaboración de perfiles

 Dispositivos biométricos

 Uso de VPN

 Uso de certificados de autoridad

Mecanismos de Seguridad

 Antivirus
 Firewall

 Anti-Spyware
 Anti-Rootkits

 Parches (Service Pack)

 Configuraciones
 Trucos, Trucos y más trucos
Mecanismos de Seguridad

 Hacer copias de seguridad

 Habilitar las zonas de seguridad

 Utilizar antivirus y dos firewalls*

 Control para padres

 Utilización de sockets seguros (SSL)
Mecanismos de Seguridad

 Emplear claves difíciles de acordar.*

 Comprobar el estado del sistema operativo.

 Comprobación del estado del hardware

 Evitar descargas de archivos.

 IDS Sistemas Detector de Intrusos

 Utilización de Proxys
Firewall

 Es un monitor de redes cuya finalidad es el filtrado de

paquetes y funcionar de pasarela de alto nivel.

 Seguridad en un Cisco Catalyst:

 permit tcp any host 209.98.208.33 established

 acces-list 100 permit tcp any 179.12.244.1 eq smtp.
Herramientas Monitoreo

 Se encargan de ver el estado de algunos procesos

 Los sniffers entran en esta categoría aunque no son

del todo herramientas de monitoreo.

 Algunos monitores: Cacti, Nagios, Nessus

 Utilerías: Pathping, Tracert, nslookup

Superusuario

 Se debe controlar esta cuenta por que este usuario

puede:

 Borrar, agregar o modificar cuentas de usuario

 Leer y escribir todos los archivos y crear unos nuevos.

 Agregar o borrar dispositivos

 Superusuario

 Instalar nuevo software

 Leer el correo electrónico de otros

 Husmear el tráfico de toda la LAN

 Modificar las bitácoras del sistema

Certificados de Seguridad

 Es un documento emitido y firmado por una

Autoridad de Certificación CA.

 Se pueden obtener certificados digitales de prueba,

por ejemplo de VeriSign.

 Si se planifica bien una red, se pueden reducir del 80-

90% de los problemas de la red.
Resolución de Problemas

 Desarrollar una estrategia para resolver problemas

 Conocer la red

 Enseñar a los usuarios a reconocer un problema

 Conocer el proceso de trabajo de la organización

 Mantener un registro con problemas y soluciones

 Ajustar los servidores y estaciones de trabajo

 Revisar la memoria virtual pagefile.sys

 Revisar si está conectado el cable

 Nbtstat –n
 DMZ, DDNS.
 Se recomienda tener un solo servicio por máquina. La
tendencia es a virtualizar servicios.

 La seguridad es una cuestión de directivas y no de

tecnología.

 Utilización de NAT para enmascarar direcciones.

Solucionar los problemas
paso a paso
 Obtener toda la información que sea posible sobre el
problema.

 Anotar los mensajes de error cuando aparezcan o

cuando un usuario los envié.

 Comenzar con las soluciones más sencillas.

 Determinar si alguien más está experimentando el

problema.
Gracias
 Sistemas de Gestión de
Seguridad de la Información
Indice
• Conceptos básicos SGSI
• ISO/IEC 27000
• Implementaciones de ISO/IEC 27000
• La seguridad del lado del usuario.
• El SGSI de la UCR
Indice
Conceptos básicos SGSI
ISO/IEC 27000
Implementaciones de ISO/IEC 27000
La seguridad del lado del usuario.
El SGSI de la UCR
Implementación del ISO/IEC 27000
La seguridad del lado de los usuarios de
los sistemas de información
Phishing
Spam
Recomendaciones para la seguridad de contraseñas
 Implementación de un SGSI para la UCR
Administración General de la Seguridad y el Entorno de TI
Algunas políticas a implementar
Algunas políticas a implementar
Algunas políticas a implementar
Ciberseguridad
Material Semana 12
 Modelo de Madurez de la Capacidad de Ciberseguridad para las Naciones

El Centro Global de Capacidad en Seguridad Cibernética

(GCSCC, por sus siglas en inglés) 33 de la Universidad de
Oxford, en consulta con más de 200 expertos internacionales
provenientes de gobiernos, la sociedad civil y la academia,
desarrolló el Modelo de Madurez de la Capacidad de
Ciberseguridad para las Naciones (CMM, por sus siglas en inglés) .
Se trata de un modelo que busca ofrecer una evaluación del nivel
de madurez de las capacidades de ciberseguridad de un país,
asignándole una etapa específica que corresponde a su grado de
logro en materia de ciberseguridad. Las cinco etapas de madurez,
que se fijan por medio de una evaluación, van desde la más básica
(inicial) hasta la más avanzada (dinámica)
Inicial: En esta etapa no existe madurez en ciberseguridad o bien se
encuentra en un estadio muy embrionario. Puede haber discusiones iniciales
sobre el desarrollo de capacidades de ciberseguridad, pero no se han tomado
medidas concretas. Falta evidencia observable de la capacidad de seguridad
cibernética.

Formativa: Algunos aspectos han comenzado a crecer y formularse,

pero pueden ser ad hoc, desorganizados, mal definidos, o simplemente
nuevos. Sin embargo, se puede demostrar claramente evidencia de este
aspecto

Consolidada: Los indicadores están instalados y funcionando. Sin embargo,

no se le ha dado mucha consideración a la asignación de recursos. Se han
tomado pocas decisiones acerca de los beneficios con respecto a la inversión
relativa en este aspecto. Pero la etapa es funcional y está definida.
Estratégica: En esta etapa se han tomado decisiones sobre qué
indicadores de este aspecto son importantes y cuáles lo son menos para la
organización o el Estado en particular. La etapa estratégica refleja el hecho de
que estas elecciones se han realizado condicionadas por las circunstancias
particulares del Estado o de las organizaciones.

Dinámica: En esta etapa existen mecanismos claros para alterar la

estrategia en función de las circunstancias prevalentes, como la
sofisticación tecnológica del entorno de amenaza, el conflicto global o un
cambio significativo en un área de preocupación (por ejemplo, delito
informático o privacidad). Las organizaciones dinámicas han
desarrollado métodos para cambiar las estrategias con calma. Sin embargo,
la rápida toma de decisiones, la reasignación de recursos y la atención
constante al entorno cambiante son características de esta etapa.
La evaluación de los niveles de madurez se divide en cinco dimensiones (véase el
gráfico 2) que corresponden a aspectos esenciales y específicos de la
ciberseguridad, entre ellos:

(i) Política y estrategia de ciberseguridad;

(ii) Cultura cibernética y sociedad;
(iii) Educación, capacitación y habilidades en ciberseguridad;
(iv) Marcos legales y regulatorios; y
(v) Estándares, organizaciones y tecnologías. Estos se subdividen en un conjunto
de factores que describen y definen lo que significa poseer capacidad de
seguridad cibernética en cada factor, e indican cómo mejorar la madurez
Norma ISO/IEC 27032, nuevo estándar de ciberseguridad
La Organización Internacional de Normalización (ISO por sus siglas
en inglés) ha anunciado la creación del estándar ISO/IEC 27032 para
la ciberseguridad. La organización ha explicado que pretende
garantizar la seguridad en los intercambios de información en la Red
con este nuevo estándar, que puede ayudar a combatir el
cibercrimen con cooperación y coordinación.
"ciberespacio es un entorno complejo que consta de interacciones entre
personas, software y servicios destinados a la distribución mundial de
.
información y comunicación"
El ciberespacio es un mundo virtual que contiene los entornos de internet,
personas, organizaciones, actividades y toda clase de tecnología, dispositivos y
redes interconectados entre si (ISO 27032)

La ciberseguridad es la seguridad en un mundo digital-virtual, para prevenir los

ciberataques que provienen de nuevas amenazas y riesgos.
(Carlos Manuel Fdez. & Boris Delgado - AENOR)
En la ISO 27032 se abordan riesgos y amenazas específicas de
ciberseguridad:
1. los ataques de ingeniería social.
2. El acceso secreto y no autorizado a sistemas informáticos (Hacking);
3. La proliferación de software malicioso (Malware);
4. El software espía (Spyware);
5. Otros tipos de software potencialmente no deseables (Ransomware).
6. Amenazas Persistentes (APTs)

Y propone controles:

1. Controles a nivel de aplicaciones

2. Controles para la protección de Servidores (Hardening)
3. Controles para usuario final (end-user) e ingeniería social
SO/IEC 27032, según explican desde ISO. Se trata de un estándar que
garantiza directrices de seguridad.

"proporcionará una colaboración general entre las múltiples partes interesadas

para reducir riesgos en Internet".
"La norma (ISO/IEC 27032) facilita la colaboración segura y fiable para
proteger la privacidad de las personas en todo el mundo. De esta
manera, puede ayudar a prepararse, detectar, monitorizar y responder a
los ataques",

ISO/IEC 27032 permita luchar contra ataques de ingeniería social,

hackers, malware, spyware y otros tipos de software no deseado.
La Norma ISO/IEC 27032:2012
"Tecnologías de la información - Técnicas de seguridad - Directrices
para la Ciberseguridad"
ofrece unas líneas generales de orientación para fortalecer el estado de
la Ciberseguridad en una empresa, utilizando los puntos técnicos y
estratégicos más importantes para esa actividad y los que están
relacionados con:

1.La Seguridad en la Redes

2.Seguridad en Internet

3.Seguridad de la información

4.la Seguridad de las Aplicaciones

¿Qué incluye?

•Tecnologías en las que se puede implementar.

•Herramientas de seguridad.
•Buenas prácticas.
•Políticas.
•Seguridad de los activos digitales.
•Entrenamiento.
•Gestión de riesgos.
•Conceptos de seguridad.
•Guías y estándares.
 ¿CUÁL ES SU OBJETIVO?

• Ofrecer seguridad a todo el ciberespacio de la empresa.

• Tener un plan de acción en caso de que se llegue a presentar una
crisis.
• Planificar la resolución de incidentes.
• Brindar capacitaciones a los miembros de la organización en todo lo
relacionado a ciberseguridad y sus riesgos.
• Crear alertas que permitan identificar alguna amenaza que pueda
poner en peligro los activos de la empresa.
• Contar con una estrategia para combatir los riesgos que se puedan
presentar o que se lleguen a materializar.
• Identificar los riesgos que se puedan presentar en este aspecto.
 Marco de Ciberseguridad

•Prevención: La prevención se basa en la implantación de medidas y

controles que limiten y contengan los impactos de posibles eventos de
ciberseguridad

•Protección y Detección: Donde se implementan controles destinados a

la gestión de la seguridad y la monitorización de eventos de seguridad
con el fin de detectar y protegerse ante este tipo de eventos

•Respuesta y Comunicación: Debemos estar preparados ante posibles

incidentes relacionados con la ciberseguridad y constará de acciones
para mitigar elementos adversos una vez se hayan materializado

•Recuperación y Aprendizaje: Acciones para restaurar los sistemas y

servicios relacionados con el ciberespacio y se definirán procedimientos
para reducir la probabilidad de ocurrencia de estos incidentes
 Controles
Aplicaciones
Validación, códigos y cookies.
Sesiones, scripts, políticas y autenticación.
Personas
Campaña de seguridad.
Capacitación constante.
Servidores
Parches, backups, monitoreo, testing.
Estándares de instalación y configuración.
Usuarios
Capacitación continúa, IPS personal y
firewall.
Correos, seguridad web y antivirus.
Fase I: Entendimiento de la Organización

En esta primera fase se realiza un trabajo importante de inmersión en

los procesos de la empresa para conocer el funcionamiento de éstos
y que uso realizan del Ciberespacio sus servicios. Para llevar a cabo
esta tarea será necesario:

•Revisar productos y servicios

•Revisar el marco normativo de seguridad en uso
•Recopilar y revisar documentación de seguridad
•Conocer los flujos de información en los procesos
•Conocer las medidas técnicas de seguridad implementadas, etc

Esta fase permitirá también disponer de un inventario de activos de

los servicios en el alcance.
Fase II: Análisis de Riesgos
La toma de decisiones en cuanto a los controles y medidas de
seguridad que se van a implementar debe estar basada en la gestión
de los riesgos y el alineamiento con las necesidades de la empresa.
Es por ello que, en esta fase, se llevará a cabo
esta evaluación considerando, entre otros, aspectos como:

•Activos críticos
•Amenazas
•Vulnerabilidades
•Impacto y riesgo
•Responsabilidades

Esta tarea se lleva a cabo con alineamientos a normas reconocidas a

nivel internacional, que permiten su mantenimiento y gestión en el
tiempo.
Fase III: Plan de Acción

En esta fase, y gracias al trabajo realizado en las fases anteriores, se

redactará el plan que permita conocer la priorización y medidas que
deberán desarrollarse para la consecución de los alineamientos de
la ISO/IEC 27032:2012 en base a las exigencias del negocio.
Este Plan afrontará diferentes estrategias que incluirán y deberán
aplicarse a diferentes niveles de la organización, incluyendo:

•Políticas
•Identificación de roles
•Métodos de implementación
•Procesos afectados
•Controles tecnológicos
Fase IV: Implementación

Como tal, esta es la etapa que más esfuerzos va a requerir

habitualmente dado que es en la que todas las acciones definidas en
la fase anterior se plasmarán en el Plan de Acción. Es importante
tener presente que la ISO/IEC 27032:2012 pretende obligar a quien la
implemente, a ser proactivo en las medidas de seguridad, con énfasis
importante en los mecanismos de prevención en los procesos que
hacen uso del Ciberespacio.
Esta fase del proyecto se focalizará entonces en la implementación de
controles que deberán tener en cuenta el nivel de madurez en la gestión
de la seguridad existente y que considerará, entre otros, aspectos como:
Fase IV: Implementación

•Existencia de Política de Seguridad

•Procedimientos de Seguridad
•Marcos existentes para el intercambio de información
•Planes de concienciación del personal
•Metodología Monitorización TIC
•Gestión de incidentes
Controles adicionales que incluirán:

• Controles a nivel de aplicación: gestión de sesiones, validación de datos,

protección ante ataques, procesos de autenticación, etc

• Controles a nivel de servidores: configuraciones seguras, gestión de parches,

monitorización., revisiones periódicas, etc

• Controles para los usuarios finales: Actualizaciones de SO, uso de aplicaciones,

antivirus, herramientas y configuraciones de seguridad, etc

• Controles contra ataques de Ingeniería social: Programas de concienciación,

pruebas regulares, controles de seguridad, etc
La regulación de la ciberseguridad en Perú

Convenio sobre la Ciberdelincuencia, conocido también como el Convenio de Budapest.

Este convenio tuvo su origen en la necesidad de los países de Europa, pues al ser países
desarrollados, advirtieron problemas con el empleo de la tecnología, la protección de derechos y
la regulación de sanciones.

Por ello, en 1995, se convocó a un grupo de expertos en sistemas informáticos, quienes tuvieron
la función de redactar este convenio, el mismo que fue aprobado en 2001.

El Perú aprobó este convenio el 12 de febrero del 2019 con la Resolución Legislativa 30913, que
trajo como consecuencia la adaptación de nuestra legislación a este convenio
Sin embargo, ya anteriormente se ha sancionado la ciberdelincuencia. En el artículo 186
del Código Penal se reguló una pena no menor de tres ni mayor a seis años cuando el hurto
se realizaba mediante la utilización de transferencia electrónica de fondos, de la telemática
en general o la violación del empleo de claves secretas.

Posteriormente, la pena aumentó de cuatro a ocho años, pero este artículo fue derogado con la
entrada en vigencia de la Ley 30096, Ley de delitos informáticos, publicada el 22 de
octubre del 2013. Cabe precisar que también los delitos informáticos fueron regulados en el
Título V, Capítulo X del Código Penal, que fue incorporado por la Ley 37309 del 17 de julio del
2000. Sin embargo, estos también fueron derogados con la Ley 30096.

Los delitos informáticos se encuentran recogidos en la Ley 30096, pero existen también
otros ciberdelitos dispersos en el Código Penal, tales como difusión de pornografía infantil a
través de nuevas tecnologías, el ciber acoso, entre otros. Inicialmente, la investigación se
encontraba a cargo del Ministerio Público con ayuda de las unidades especializadas de la
Policía Nacional del Perú, por ejemplo, la unidad de robos, estafas, etc.
La División de Investigación de Delitos de Alta Tecnología – DIVINDAT

Mediante Resolución Directoral No. 1695-2005-DIRGFN/EMG del 08 de agosto de 2005, la

Dirección General de la Policía Nacional del Perú creó la División de Investigación de Delitos de
Alta Tecnología – DIVINDAT para que esta Unidad especializada investigue la comisión de
delitos informáticos y aquellos casos en los que se empleen medios informáticos para la
comisión de otros delitos (difusión de pornografía infantil, fraudes electrónicos, hurtos de fondos,
etcétera). De acuerdo al artículo 2 de la citada Resolución, la DIVINDAT está conformada por
tres departamentos y una de ellas, a su vez, por cuatro secciones.
Tipos de ciberamenazas
1.El delito cibernético incluye agentes individuales o grupos que
atacan a los sistemas para obtener beneficios financieros o causar
interrupciones.

2.Los ciberataques a menudo involucran la recopilación de información

con fines políticos.

3.El ciberterrorismo tiene como objetivo debilitar los sistemas

electrónicos para causar pánico o temor.
Malware
“Malware” se refiere al software malicioso. Ya que es una de las
ciberamenazas más comunes, el malware es software que un
cibercriminal o un hacker ha creado para interrumpir o dañar el equipo de
un usuario legítimo. Con frecuencia propagado a través de un archivo
adjunto de correo electrónico no solicitado o de una descarga de
apariencia legítima, el malware puede ser utilizado por los
ciberdelincuentes para ganar dinero o para realizar ciberataques con
fines políticos.
Hay diferentes tipos de malware, entre los que se incluyen los siguientes:

•Virus: un programa capaz de reproducirse, que se incrusta un archivo

limpio y se extiende por todo el sistema informático e infecta a los
archivos con código malicioso.

•Troyanos: un tipo de malware que se disfraza como software legítimo.

Los cibercriminales engañan a los usuarios para que carguen troyanos a
sus computadoras, donde causan daños o recopilan datos.

•Spyware: un programa que registra en secreto lo que hace un usuario

para que los cibercriminales puedan hacer uso de esta información. Por
ejemplo, el spyware podría capturar los detalles de las tarjetas de
crédito.
Hay diferentes tipos de malware, entre los que se incluyen los siguientes:

•Ransomware: malware que bloquea los archivos y datos de un usuario,

con la amenaza de borrarlos, a menos que se pague un rescate.

•Adware: software de publicidad que puede utilizarse para difundir

malware.

•Botnets: redes de computadoras con infección de malware que los

cibercriminales utilizan para realizar tareas en línea sin el permiso del
usuario.
Inyección de código SQL

Una inyección de código SQL (por sus siglas en inglés Structured Query
Language) es un tipo de ciberataque utilizado para tomar el control y
robar datos de una base de datos. Los cibercriminales aprovechan las
vulnerabilidades de las aplicaciones basadas en datos para insertar
código malicioso en una base de datos mediante una instrucción SQL
maliciosa. Esto les brinda acceso a la información confidencial contenida
en la base de datos.
Phishing
El phishing es cuando los cibercriminales atacan a sus víctimas con correos electrónicos que
parecen ser de una empresa legítima que solicita información confidencial. Los ataques de
phishing se utilizan a menudo para inducir a que las personas entreguen sus datos de tarjetas de
crédito y otra información personal.
Ataque de tipo “Man-in-the-middle”
Un ataque de tipo “Man-in-the-middle” es un tipo de ciberamenaza en la que un cibercriminal
intercepta la comunicación entre dos individuos para robar datos. Por ejemplo, en una red Wi-Fi
no segura, un atacante podría interceptar los datos que se transmiten desde el dispositivo de la
víctima y la red.
Ataque de denegación de servicio
Un ataque de denegación de servicio es cuando los cibercriminales impiden que un sistema
informático satisfaga solicitudes legítimas sobrecargando las redes y los servidores con tráfico.
Esto hace que el sistema sea inutilizable e impide que una organización realice funciones vitales.
Ciberamenazas más recientes
¿Cuáles son las ciberamenazas más recientes contra las que deben protegerse las personas y las
organizaciones? A continuación, se presentan algunas de las ciberamenazas más recientes
comunicadas por los gobiernos de Estados Unidos, Australia y el Reino Unido.

Malware Dridex
En diciembre del 2019, el Departamento de Justicia de los Estados Unidos (DoJ) imputó al líder
de un grupo de cibercriminales organizados por su participación en un ataque global del malware
Dridex. Esta campaña malintencionada afectó al público, al gobierno, a la infraestructura y a las
empresas de todo el mundo.
Dridex es un troyano financiero que posee diferentes funcionalidades. Desde el 2014, afecta a las
víctimas e infecta a las computadoras a través de correos electrónicos de phishing o malware
existente. Es capaz de robar contraseñas, datos bancarios y datos personales que pueden
utilizarse en transacciones fraudulentas, y ha causado pérdidas financieras masivas que suman
cientos de millones de dólares.
En respuesta a los ataques de Dridex, el Centro Nacional de Seguridad Cibernética del Reino
Unido aconseja a las personas que “se aseguren de que los dispositivos estén actualizados y los
antivirus estén activados y actualizados, y de que se realicen copias de seguridad de los
archivos”
Estafas románticas
En febrero del 2020, el FBI advirtió a los ciudadanos de EE. UU. que tuvieran cuidado con el
fraude a la confianza que los cibercriminales cometen a través de sitios de citas, salas de chat y
aplicaciones. Los perpetradores se aprovechan de las personas que buscan nuevas parejas y
engañan a las víctimas para que proporcionen sus datos personales.
El FBI informa que las ciberamenazas románticas afectaron a 114 víctimas de Nuevo México
durante 2019, cuyas pérdidas financieras sumaron 1 600 000 dólares.

Malware Emotet
A finales del 2019, el Centro Australiano de Seguridad Cibernética advirtió a las organizaciones
nacionales sobre la ciberamenaza mundial generalizada del malware Emotet.
Emotet es un sofisticado troyano que puede robar datos y también cargar otros malware. Emotet
se aprovecha de las contraseñas poco sofisticadas y es un recordatorio de la importancia de
crear una contraseña segura para protegerse de las ciberamenazas.
Consejos de ciberseguridad: protéjase de los ciberataques
¿Cómo pueden las empresas y las personas protegerse contra las ciberamenazas? A
continuación, presentamos nuestros mejores consejos de ciberseguridad:

1.Actualizar el software y el sistema operativo: esto significa que aprovechará las últimas
revisiones de seguridad.

2.Utilizar software antivirus: las soluciones de seguridad, detectarán y eliminarán las amenazas.
Mantenga su software actualizado para obtener el mejor nivel de protección.

3.Utilizar contraseñas seguras: asegúrese de que sus contraseñas no sean fáciles de adivinar.

4.No abrir archivos adjuntos de correos electrónicos de remitentes desconocidos: podrían

estar infectados con malware.

5.No hacer clic en los vínculos de los correos electrónicos de remitentes o sitios web
desconocidos: es una forma común de propagación de malware.

6.Evitar el uso de redes Wi-Fi no seguras en lugares públicos: las redes no seguras lo dejan
vulnerable a ataques del tipo “Man-in-the-middle”.
Clonación de tarjetas de crédito: Conducta delictiva cometida “mediante aparatos
electrónicos de lectura de bandas magnéticas (skimmer) donde malos empleados de
restaurantes, gasolineras y otros locales extraen los datos de la tarjeta de crédito.
Luego, son copiadas a una computadora portátil o personal y, finalmente, copiadas a
otra tarjeta clonada con los mismos datos personales de la tarjeta original.” (16) Ejm:
Cuando se realiza la compra mediante delivery y se utiliza un POS modificado para
extraer los datos de la tarjeta de crédito y luego los delincuentes clonan dicha tarjeta
y efectúan compras por internet u otros canales digitales.
Spear Phishing o Phishing segmentado: Conducta delictiva que funciona como la
modalidad anterior; sin embargo, en este caso los criminales deciden atacar a
grupos vulnerables como por ejemplo los adultos mayores.
Transferencias electrónicas fraudulentas: Conducta delictiva “mediante la
modalidad del “phishing”, donde el timador busca que alguien revele información
confidencial personal que puede ser usada para robarle su dinero, luego de obtener la
información necesaria para acceder a la cuenta del banco y procedan a efectuar
operaciones fraudulentas por internet” (18). Ejm: Cuando se utilizan correos falsos de
entidades bancarias, pidiéndote una serie de información, momento en el cual el
ciberdelincuente trata de conseguir toda la información posible de su víctima para
luego realizar transferencias electrónicas fraudulentas.
Compras por internet mediante información de tarjetas de crédito o débito:

La conducta delictiva se comete cuando el delincuente aprovechando que la víctima

está realizando una compra mediante una conexión WiFi-pública sustrae información
de la tarjeta de crédito o débito (16 dígitos del anverso de la tarjeta, la fecha de
vencimiento o el código de verificación) utilizando la tecnología. Posteriormente, ese
mismo día utilizando dicha información realiza compras por internet en distintas
páginas web conocidas o seguras a fin de evitar sospechas.
Vishing: Conducta delictiva “en la cual el sujeto activo envía un SMS haciéndose
pasar por una entidad bancaria, pidiendo bajo alguna excusa que te comuniques con
algún teléfono falso o respondas el SMS con información confindencial (número de
tarjeta o clave secreta).” (19)
Ransomware: Conducta delictiva “que utiliza un tipo de malware (software
malintencionado) que los criminales instalan en las PC sin consentimiento y
bloquean el equipo desde una ubicación remota (…) a fin de que el ordenador se
bloquee” (20) y con ello sustraer información. Ejm: Cuando la víctima abre un
adjunto malintecionado en un correo electrónico, sitio web de compras o redes
sociales, descargando dicho programa en su computadora lo que facilita la
sustracción de información.
Smishing: Conducta delictiva “que utiliza los mensajes de texto en telefonía celular
los cuales enmascaran el número telefónico de origen y, asimismo, suelen mostrar en
el contenido del mensaje de texto direcciones de instituciones (…) que, en realidad,
en caso de que el usuario de clic (…) lo llevarán a una página de phishing o su
dispositivo móvil será contaminado por un código malicioso.” (21) Ejm: Cuando la
víctima recibe mensajes de texto señalando que ha ganado un premio y para ello
debe ingresar a un link que se encuentra en el mismo mensaje.
CONCLUSIONES:
1.El comercio electrónico o también conocido como “E-commerce” permite que una
actividad empresarial ofrezca un bien o servicio usando canales digitales (vía internet, vía
App del celular u otra forma digital).
2.Los delitos informáticos se encuentran establecidos en una ley especial, Ley Nº 30096-
Ley de Delitos Informáticos.
3.La investigación en este tipo de delitos es llevada a cabo por el Ministerio Público con
apoyo de la División de Investigación de Delitos de Alta Tecnología (DIVINDAT).
4.Los delitos que se comenten de forma más usual en nuestro país son los delitos de Fraude
Informático y Suplantación de identidad.
5.Los principales fraudes informáticos que se pueden cometer en el E-commerce son
clonación de tarjetas, transferencias electrónicas fraudulentas, compras por internet
mediante información de tarjetas de crédito o débito, vishing, ransomware, smishing y
phishing.
6.A modo de recomendación, sugerimos que al momento de realizar compras en canales
digitales evite comprar en páginas web no seguras o poco conocidas y en ningún caso se
debe responder correos electrónicos o mensajes de texto donde te piden información
personal muy detallada.
 SEGURIDAD
INFORMATICA
SEMANA 13
Criptografía , Firma Digital
 CONTENIDO

HERRAMIENTAS CRIPTOGRAFICAS

FIRMA DIGITAL cvfdkfi

enreik
diekfg
h

AUTORIDADES CERTIFICANTES
LOGIN

PASSWORD
Herramientas criptográficas
Confidencialidad:

“Condición que asegura que la información no puede estar disponible

por o para personas o entidades no autorizadas”.
. Integridad:
• “Condición que garantiza que la información es modificada,
incluyendo creación y borrado por el personal autorizado”. (saldos en
un sistema bancario).
Autenticación:
• “Mecanismo que permite conocer si la persona que esta accediendo
es realmente quien debe ser y no un extraño”.
Disponibilidad:
• “Grado en el que un dato esta en el lugar, momento y forma en el que
es requerido por el usuario autorizado”. D
 Definición de criptografía
• “cripto”- “kryptó” :Oculto

• Criptología: palabra oculta, describe campos de

investigación de criptografía y criptoanálisis

• Criptografía: arte de mantener la privacidad de

la información

• Criptoanálisis: arte de descifrar algoritmos

desarrollados mediante criptografía
 Definición de criptografía
• Algoritmos criptográficos permitían mantener
comunicaciones privadas (ENIGMA se creó para
enviar y recibir mensajes encriptados –
Alemania, y Gran Bretaña construyó COLLOSUM
– 2da Guerra Mundial)

• Hace más de 30 años, los bancos comenzaron a

tener redes de sucursales conectadas a un
mainframe central. Se desarrolló (DES).

• Se considera a la encriptación un componente de

la seguridad cuando es un mecanismo de
protección.
 Encriptar

Texto plano + Clave de Encriptado = TEXTO CIFRADO

minino
 Desencriptar

Texto Cifrado + Clave de Desencriptado = Texto Plano

Recuperado
minino
• Algoritmos usan diferentes bases de diseño:
• Operaciones elementales
• Sustituciones (César, Vigenere, Vernam, etc.)
• Permutaciones
• Combinación de ambas (DES, AES, etc.)
• Matemáticas
• Teoría de Números (RSA, ElGamal, DSS, etc.)
• Problemas NP y NP Completos
• Curvas Elípticas (ECC)
• Fisica Cuántica
• Mecanica Cuántica
• Principio de Incertidumbre de Heinsenberg
• Otras
Historia(I)
Se distinguen varias épocas:

Criptografía clásica:

- Época de los romanos y griegos en campañas

militares.
- Algoritmo de sustitución simple y transposición.
- Destaca el Cifrado de César
Criptografía Medieval:
-Ruptura de los cifrados de sustitución.
-Aparición de los cifrados de sustitución múltiple.
(Leon Battista Alberti)
Pág 5/59
 Segunda Guerra mundial: Máquinas electromecánicas.
Historia(II)
“Enigma”.

Claude Shannon: En 1949 publicó “La teoría de la

información”
-Establece toda la base teórica de la criptografía
y criptoanálisis.
Pág
6/59
Métodos de encriptación de la Información
• Cifrado César

• Código por sustitución de letras

• Código por transposición

• Criptografía de clave secreta.DES

• Criptografía de clave pública. RSA

Pág 8/59
 Cifrado César
Cifrado César(I)
Funcionamiento:
- Reemplaza cada letra del alfabeto por otra más
adelante en el alfabeto. Siempre a la misma
distancia.
- La clave especifica la distancia.

Ejemplo:
Clave de sustitución: 3

Para cifrar y descifrar:

Donde n es la clave, x la letra a cifrar y 27 el número

de letras del alfabeto.
Pág 9/59
 https://es.planetcalc.com/1434/?license=1

Cifrado César. Código (II)

Pág 10/59
 Código por sustitución de letras
CódigoFuncionamiento:
por Sustitución de Letras(I)
- Reemplaza cada letra del alfabeto por otra.
- La clave especifica el tipo de sustitución.
Ejemplo:

Clave de sustitución:

A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z

I C Ñ H O M T L B S A R Q P E W J F V U K X D Y N Z G

Cifrar:
OSOQJRW
. EJEMPLO
LWRI
. HOLA

Pág 11/59
https://es.planetcalc.com/4884/?longtext=hola%20alumnos%20estas%20son%20las%20claves%20del%20exam
en%0A&action=c
 Problema.
Código por Sustitución de Letras(II)
Puede romperse fácilmente para textos planos usando la
frecuencia relativa de las letras.

(Ejemplo: la ‘a’ es la letra más usada en español).

Mejora.
Cambiar la sustitución de cada letra de acuerdo con un patrón
periódico (sustitución múltiple).

Pág 12/59
Código por
Ejemplo. Sustitución Sustitución
múltiple. de Letras(III)
Seleccionamos un periodo L. Por ejemplo L=2;

La clave de sustitución sería:

0: A H L O
L O H A

1: A H L O
O L A H

Posición: 0 1 0 1
T. Cifrado: O
O H
H H
H o
O
T. Plano: H
H O
O L A

Pág 13/59
 Código por Transposición
Para aplicarlo, se considera el texto en filas de L
(10 por ejemplo) letras cada una, y se envía el texto columna a columna:

- El código se puede romper probando varias longitudes de fila distintas.

- Combinando sustitución con transposición se puede alcanzar una seguridad fiable con
algoritmos de bajo coste computacional.

Pág 14/59
 Historia
DES (Data Encription Standard) (I)
En 1977, el gobierno de EEUU lo adoptó como método
de encriptación para información no clasificada.

Fue desarrollado por IBM, y usa una combinación

de sustituciones y transposiciones.
Chip VLSI
Existen chips VLSI encargados que realizan este
tipo de cifrado.

Características
Es un cifrado simétrico, caracterizado por:
. Forma de cifrar y descifrar conocidas

. La clave es secreta (desconocida)

Pág 15/59
 Criptografía de clave secreta.DES
¿Cómo funciona?
DES (Data Encription Standard) (II)
- Dividimos el texto plano en bloques de 64 bits.
- La clave secreta es de 64 bits:
- 56 bits útiles para el algoritmo
- 8 bits de paridad
- Se divide en 16 fases idénticas denominadas rondas.

- PI y PF son funciones de transposición inversas entre sí: Facilita carga

y descarga de los bloques sobre el HW.

-La función F mezcla la mitad del bloque con parte de la clave

(subclave). A la salida se combina con la otra mitad del bloque y se
intercambian.

-Para descifrar las subclaves se introducen en orden inverso.

Pág 16/59
DES Problema
(Data Encription Standard) (III)
La seguridad de cualquier cifrado simétrico
reside en mantener secreto de la clave.
Consecuencia
La clave k debe distribuirse de forma segura.

¿Cómo?

- Usando una clave maestra, acordada al

reunirse físicamente.
Sirve para transmitirse la clave k. La clave maestra se
usa muy rara vez.

Pág 17/59
 Tipos de Cifrado
Una vez que el emisor y receptor acuerdan que
algoritmo de cifrado usar, se distinguen dos tipos de
cifrado:

Cifrado simétrico:
Si la clave de cifrado y descifrado es la misma .

Cifrado asimétrico:
Se hace uso de dos claves distintas:
Pública: Generalmente para cifrar.
Privada: Generalmente para descifrar.
Pág 7/59
• Algoritmos pueden ser:
• Simétricos o de Llave Secreta
• Usan misma llave para cifrar y descifrar

• Asimétricos o de Llave Pública

• La llave que cifra es diferente a la que descifra

• Funciones Hash, Resumen o Compendio

• No usan llave
• También pueden ser por:
• Bloque
• El mensaje se procesa en bloques del mismo
tamaño

• Flujo
• El mensaje se procesa como un todo por unidad
básica
• Algoritmos Simétricos o de Llave Secreta
• DES (anterior estándar mundial)
• AES (Nuevo estándar mundial)
• 3DES
• Algoritmos Asimétricos o de Llave Pública
• RSA (Estándar de facto)
• ElGamal
• DSS (Digital Signature Standard)
• Algoritmos Hash
• MD5
• SHA-1
• Algoritmos Simétricos
• Basan su diseño en operaciones
elementales
• Buscan eficiencia
• Seguridad depende del tiempo y los
recursos de cómputo
• Aplicaciones de Criptografia Simétrica
• Cifrado de información no clasificada
(Confidencialidad)
• Verificación de Integridad
• Autenticación
• Algoritmos Asimétricos
• Diseño basado en problemas matemáticos
• Seguros computacionalmente
• Seguridad no depende de tiempo ni de
recursos de cómputo
• Pero........

• Aplicaciones de Criptografia Asimétrica

• Cifrado de informacion clasificada
(Confidencialidad)
• Acuerdo de llave simétrica
• Firma Digital (Autenticación y No Repudio)
• Algoritmos Hash
• Diseño basado en operaciones elementales
• Son eficientes
• Seguridad depende del tiempo y recursos de
cómputo
• Proporcionan una huella digital del mensaje

• Aplicaciones de Algoritmos Hash

• Verificación de Integridad
• Autenticación
• Demostrar posesión de secretos sin revelar el
secreto
• Virología
https://cifraronline.com/
Descifrar texto
• j6jQAKpfkik1kdG7Ie7lXTOaQP1+9AX7B2vAfaL4FXzGUgbeBIcuGw7Fz1
Up5Rquvk6pfwGXaGexVTgEd2mg/k8yTq2SG06AHwZ9+5HhpDS8KU/k
/Ak4D/hnR58iAxxCBxPFhPGPHIT2s5h5vFQuiFl/AjtIzsiZz9LEttUQXN0Lv
neMmHWZAf2isaQohWQshc9PADJSNJGMYhJuzS7xmgcHTbmrx9YU
 Motivos para usar la encriptación
• El uso de esta técnica es
importante y modificará el
funcionamiento de las empresas.

• Encriptación fuerte: permite

enviar documentos confidenciales
sin ser interceptados
• En el correo electrónico, la
encriptación es imprescindible
 Comparación entre criptografías
Criptografía clave pública Criptografía clave secreta

Ventajas Sistema más seguro y conveniente: las Tecnología rápida –

claves privadas no se envían nunca Archivos grandes

Implementación sencilla de sistema de

firma digital utilizando infraestructura
de clave pública

Desventajas Encriptación que no sirve para archivos La inevitable transmisión de la clave

grandes constituye un riesgo de seguridad

Implementación de un mecanismo de
autenticación difícil con las claves
secretas
La implementación de un sistema de
firma digital implica intercambio de
información secreta

Sistema óptimo Combinación de ambos tipos de criptografía: el mensaje se encripta con clave secreta, la que se adjunta al mensaje y es
encriptado con modalidad de clave pública. Seguridad y velocidad.
 Esteganografía
• La esteganografía es el arte o ciencia de ocultar
mensajes invisibles en mensajes visibles. Al
interceptar estos archivos, se obtiene un mensaje
que no guarda ninguna particularidad.

• Existen paquetes de software de distribución

gratuita que permiten encriptar por medio de
esteganografía (SteganosSafe).

• Paquetes comerciales de software esteganográfico

ofrecen mayor calidad de protección.
Firma Digital
 La Firma Digital NO es:

• La impresión del dígito pulgar

derecho
• La imágen escaneada de una firma
quirografaria
• Porqué no?

Porque son fácilmente duplicables!

La Firma Digital es un método criptográfico que asocia la identidad de una persona o de un equipo
informático al mensaje o documento. En función del tipo de firma, puede, además, asegurar la integridad
del documento o mensaje.

La Firma Electrónica es un concepto más amplio que el de Firma Digital.

Mientras que el segundo hace referencia a una serie de métodos criptográficos, el concepto de “Firma
Electrónica” es de naturaleza fundamentalmente legal, ya que confiere a la firma un marco normativo que

le otorga validez jurídica.

La Firma Electrónica, puede vincularse a un documento para identificar al autor, para señalar
conformidad (o disconformidad) con el contenido, para indicar que se ha leído o, según el tipo de firma,
garantizar que no se pueda modificar su contenido.
La Firma Digital

La firma digital de un documento es el resultado de aplicar cierto algoritmo matemático, denominado

función hash, a su contenido y, seguidamente, aplicar el algoritmo de firma (en el que se emplea una clave
privada) al resultado de la operación anterior, generando la firma electrónica o digital. El software de firma
digital debe además efectuar varias validaciones, entre las cuales se pueden mencionar:

· Vigencia del certificado digital del firmante,

· Revocación del certificado digital del firmante (puede ser por OCSP o CRL),

· Inclusión de sello de tiempo.

La función hash es un algoritmo matemático que permite calcular un valor resumen de los datos a ser firmados
digitalmente. Funciona en una sola dirección, es decir, no es posible, a partir del valor resumen, calcular los
datos originales. Cuando la entrada es un documento, el resultado de la función es un número que identifica
inequívocamente al texto. Si se adjunta este número al texto, el destinatario puede aplicar de nuevo la función y
comprobar su resultado con el que ha recibido. Ello no obstante, este tipo de operaciones no están pensadas
para que las lleve a cabo el usuario, sino que se utiliza software que automatiza tanto la función de calcular el
valor hash como su verificación posterior.
 La Firma Digital es:

• Un proceso que permite asegurar la

• IDENTIDAD del autor del documento, y la

• INALTERABILIDAD del contenido del documento
luego de haber sido firmado.
• FECHA y HORA de la firma.

• Mediante métodos CRIPTOGRAFICOS

 Confianza Electrónica

• Autenticación
– Permite probar la identidad de un ciudadano
Certificados
• Integridad
– Prueba
Firma Digitalde que la información no ha sido alterada
• Confidencialidad
– Capacidad de intercambiar información de forma secreta
Cifrado
• No repudio
– Certifica
Certificado que el Digital
y Firma ciudadano ha realizado una transacción
 Posibilitar al usuario la realización de firma de
documentos a través de su dispositivo

Ubicuidad Firma de expedientes y sumarios de

Los usuarios forma segura desde terminales
tendrán acceso a móviles
aplicaciones desde
cualquier parte
Autorizaciones para intervenciones
desde ordenadores
SEGURIDAD

Disponibilidad
Acceso 24x7 a las Comprobación de aprobaciones
aplicaciones del documentales y flujos e autorización
entorno
realizados mediante firma electrónica
desde ordenador
Usabilidad
Interfaces Procesos de votación y participación
amigables, vinculante a través del dispositivo
sistemas táctiles
integrados móvil
 Algunas definiciones
Mensaje: Representación digital de la información.
Criptosistema Asimétrico: Algoritmo o serie de
algoritmos que brindan un par de claves Confiables.
Clave Privada: de dos claves, una de ellas se usa para
crear una firma digital.
Clave Pública: de dos claves, una de ellas se usa para
Verificar una firma digital.
Verificar una firma digital: Determinar fehacientemente
que la firma digital fue creada por la clave privada
correspondiente a la clave pública, y que el mensaje no
ha sufrido modificaciones con posterioridad a la creación
del mensaje.
Suscriptor: Persona que:
• Es el sujeto cuyo nombre figura en un certificado; acepta el
certificado, y tiene una clave privada que corresponde a la clave
pública mencionada en dicho certificado.
Certificado Válido: Certificado:
• Que ha sido emitido por una autoridad certificante.
• Que ha sido aceptado por el suscriptor allí mencionado.
• Que no ha sido revocado ni suspendido.
• Que no ha vencido.

Suspender un Certificado: volverlo temporalmente ineficaz a partir de

una determinada fecha.

Timbre Fechador: Significa agregar a un mensaje, a una firma digital o

a un certificado una anotación firmada digitalmente donde se indique
como mínimo la fecha, la hora y la identidad de la persona que
efectúa la anotación.
Sistema de encripción de
Clave única (Simétrico)

Donato

Carlos
Sistema de Encripción de Claves
Públicas y Privadas (Asimétrico)

Donato

Carlos
 Sistema de Encripción de Claves Públicas
y Privadas (Asimétrico) y Firmado.
Clave Mensaje Mensaje Clave
Pública de Encriptado Encriptado Privada de
Donato con Clave MENSAJE ENCRIPTADO con Clave Donato
Privada de Privada de
Mensaje Carlos y Mensaje
Carlos y Encriptado
Encriptado Pública de Pública de
con Clave Donato con Clave
Donato Privada de
Privada de
Carlos Carlos

Clave Clave
Privada de Pública de
Carlos Carlos

Carlos
Donato
 Algoritmo Hash

Un Algoritmo Hash, que actúa sobre el código

binario del documento electrónico, tomando de éste
ciertas características distintivas, y creando una
sentencia de 160 bits “única” que conforma un
resumen (Digesto) del Documento.

A este Digesto se le aplica el Algoritmo de encripción

conjuntamente con la clave privada del firmante y
de esta manera se crea la firma digital.
El Hash es muy utilizado en la gestión de los identificadores y
contraseñas.
Cuando una persona accede a un Saas (Software as a service), el sistema debe comprobar previamente
que el usuario y la contraseña introducidas son correctas para poder acceder al servicio.
Para que exista un mayor nivel de seguridad, el sistema no guarda la contraseña, sino que guarda el
Hash de la contraseña. Y, por tanto, cuando introducimos nuestra contraseña para acceder, el sistema
calcula el Hash de la contraseña y lo compara con el guardado en el sistema. Si ambos coinciden,
permitirá el acceso.

Esta es la razón por la cual los sistemas de internet no pueden devolverte la contraseña olvidada,
porque no la tienen. Deberás generar una nueva contraseña, para que se calcule el Hash y que el
sistema la guarde.
Otra de las utilidades de las funciones Hash es determinar de forma rápida la
inalterabilidad de un documento o archivo.

Como cada documento genera un Hash único (como una matrícula de coche),
si un documento ha sido alterado su Hash será diferente al anterior. Esta
misma función permite una trazabilidad de los documentos o archivos.

Al tener un identificador único, se podrán identificar cualquier copia del

documento o archivo
487e9e71eeb561ecfd4dba73882d711c233d5fa3584cf8473ea89895522d33cb

bf8b9e9a120d6052435216387aa5deaad820ea4fd8a080620e7d7036ccb0f878

https://herramientas-online.com/generador-hash-
online.html#resp
Mensaje Algoritmo
HASH Clave Privada
Del Firmante

Digesto Algoritmo
Encripción

Firma Digital
• Aplicaciones
• Firma de datos

Servidor Cliente

Clave
privada Clave pública

Hash Hash
Firma

0111001001
1110011100
0011101011
1000111010
 Certificados digitales
• Son el medio de vincular una clave criptográfica con uno o más
atributos del usuario.

• Permiten al destinatario verificar la autenticidad de la

comunicación y han ayudado a incrementar la confianza en los
negocios de Internet.

• Es un archivo encriptado y protegido con contraseña.

• Se proporciona una clave pública que se usa para verificar la

firma digital del remitente de un mensaje previamente firmado
con la correspondiente clave privada.

• Los certificados digitales se usan para que la comunicación sea

segura entre navegadores y servidores, entre clientes y
comerciantes.
 Certificados digitales
Certificado Digital es el único medio que permite garantizar técnica y legalmente la identidad de una
persona en Internet. Se trata de un requisito indispensable para que las instituciones puedan ofrecer servicios
seguros a través de Internet. Además:

El certificado digital permite la firma electrónica de documentos .

El receptor de un documento firmado puede tener la seguridad de que éste es el original y no ha sido
manipulado y el autor de la firma electrónica no podrá negar la autoría de esta firma.

El certificado digital permite cifrar las comunicaciones. Solamente el destinatario de la información podrá
acceder al contenido de la misma.

En definitiva, la principal ventaja es que disponer de un certificado le ahorrará tiempo y dinero al realizar
trámites administrativos en Internet, a cualquier hora y desde cualquier lugar.
 Certificados digitales
Un Certificado Digital consta de una pareja de claves criptográficas, una pública y una privada, creadas
con un algoritmo matemático, de forma que aquello que se cifra con una de las claves sólo se puede
descifrar con su clave pareja.

El titular del certificado debe mantener bajo su poder la clave privada, ya que si ésta es sustraída, el
sustractor podría suplantar la identidad del titular en la red. En este caso el titular debe revocar el
certificado lo antes posible, igual que se anula una tarjeta de crédito sustraída.

La clave pública forma parte de lo que se denomina Certificado Digital en sí, que es un documento digital
que contiene la clave pública junto con los datos del titular, todo ello firmado electrónicamente por
una Autoridad de Certificación, que es una tercera entidad de confianza que asegura que la clave pública se
corresponde con los datos del titular.
 Certificados digitales
La Firma Electrónica sólo puede realizarse con la clave privada.

La Autoridad de Certificación se encarga de emitir los certificados para los titulares tras comprobar su
identidad.

El formato de los Certificados Digitales está definido por el estándar internacional ITU-T X.509. De esta
forma, los certificados pueden ser leídos o escritos por cualquier aplicación que cumpla con el mencionado
estándar.

.
• La autenticación cliente-servidor SSL: cuando se
accede a una solución de banca on-line se
intercambian varios mensajes antes de que
aparezca la primera página segura.

• Sirve para identificar al servidor

• La clave pública guardada en el certificado es
usada para encriptar la clave de la sesión.

• La identificación del certificado del servidor se

coteja con la autoridad de certificación que la
emitió. Si la identidad es correcta, se crea una
clave de sesión para encriptar la comunicación que
tiene lugar en ese momento.
CERTIFICADOS SSL