Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Semana 9
Un sistema de BMS o de gestión de edificios
Los Building Management Systems
(BMS)
Un sistema de BMS o de gestión
de edificios permite la
automatización y el control
centralizado de los inmuebles para
convertirlos en verdaderos
«edificios inteligentes»
Desde su aparición en la década de los 70, los sistemas de gestión de edificios (Building
Management System o BMS en inglés) han ganado popularidad tanto en edificios públicos
(hospitales, universidades, aeropuertos, etc.) como en edificios privados (oficinas, fábricas,
hoteles, infraestructuras, etc.). También conocidos como sistema de automatización de edificios,
los BMS son sistemas informáticos que controlan y automatizan los elementos mecánicos,
eléctricos y tecnológicos de los inmuebles, como la climatización, la iluminación la megafonía,
los suministros, los ascensores, los sistemas de vigilancia y contraincendios, etc.
Hardware: por ejemplo
sensores, centrales de
gestión, consolas de
¿Sabes cómo funcionan un sistema de BMS? control, etc.
Como sucede con la domótica de los hogares, en el sector de los sistemas de BMS conviven las
soluciones cerradas que proporcionan todo el hardware y el software (suministrados por fabricantes
como Johnson Controls, Schneider, Siemens, Honeywell, etc.) junto con soluciones abiertas formadas
por elementos de hardware y software interoperables, basados en estándares abiertos como TCP-IP,
Ethernet, etc.
¿Qué ventajas ofrece un sistema de BMS? Permite el control y supervisión centralizados de todos los
elementos del edificio.
•Control centralizado y monitoreo remoto: Facilita el control y administración de una o varias instalación
desde uno o varios lugares, pudiendo aprovechar infraestructuras de redes locales e Internet para ello,
ofreciendo monitoreo especifico de todos los equipos de la infraestructura.
•Oferta de control local para usuarios de la edificación: Los usuarios de estancias, pueden establecer
consignas o puntos de trabajo, que desencadenan el funcionamiento de las aplicaciones de control que
gobiernan las infraestructuras.
El C•CURE BMS proporciona supervisión integrada de todas las funciones de un edificio o un campus
desde una estación de trabajo, mediante acceso web, o en forma remota desde un dispositivo móvil.
AC2000 Security Hub is the state of the art central command and control application for the
AC2000 access control and integrated security management system.
AC2000 Security Hub offers modern, centralized security management for the real-time monitoring
and control of alarms and events across multi-sites and multiple security systems including access
control, video, fire, intruder and building systems.
https://www.youtube.com/watch?v=jj3R6U6dFkk
https://www.youtube.com/watch?v=E-xXGjb_a18
https://www.youtube.com/watch?v=6lDKP3pAPp0
https://www.youtube.com/watch?v=ORwV8fihSnw
https://www.youtube.com/watch?v=cEhTiIZmvGc
ONVIF Conformant Products and Profiles
ONVIF members today collectively offer more than 18,000 profile conformant products. It has led to
millions of installed ONVIF conformant products in the market. Each conformant product must
support at least one of the following ONVIF profiles:
ONVIF continues to work with its members to expand the number of IP interoperability solutions.
Work with Standards Groups
ONVIF también trabaja con grupos de estándares globales como IEC (Comisión Electrotécnica
Internacional) y CENELEC para que adopten especificaciones de ONVIF.
Las especificaciones de ONVIF se basan en servicios web y utilizan estándares abiertos como XML,
SOAP y WSDL para definir la comunicación entre dos dispositivos electrónicos a través de una red IP.
Las especificaciones de control de acceso de ONVIF han sido adoptadas por el estándar IEC 60839-11-
1 de requisitos de componentes y sistemas para sistemas de alarma y seguridad electrónica. La norma
se aplica a los sistemas y componentes de control de acceso electrónico que se utilizan en
aplicaciones de seguridad para otorgar acceso e incluye requisitos para el registro, la identificación y
el control de la información.
Las especificaciones ONVIF para video en red también se han incluido en el estándar IEC 62676 para
sistemas de videovigilancia, el primer estándar internacional para sistemas de videovigilancia en
establecerse.
Las especificaciones de ONVIF para video están referenciadas en IEC 62676 Parte 2-3, que define los
protocolos de transmisión de video para la comunicación entre clientes de video en red y dispositivos
transmisores de video.
Our Mission
The mission of ONVIF is to provide and promote standardized interfaces for effective interoperability
of IP-based physical security products.
The cornerstones of ONVIF are:
•Standardization of communication between IP-based physical security products
•Interoperability regardless of brand
•Openness to all companies and organizations
Founded in 2008 by Axis Communications, Bosch Security Systems and Sony Corporation, ONVIF has
a robust member base on six continents. ONVIF membership is open to manufacturers, software
developers, consultants, system integrators, end users and other interest groups that wish to
participate in ONVIF activities.
Seguridad de la
información e Informática
Seguridad de la información e Informática
Semana 10
Introducción a la Seguridad Informática
https://www.youtube.com/watch?v=M9DAfzk5s5A
Seguridad Informática
CIA
Políticas
Planes
Procedimientos
Tareas y Operaciones
Registros y Evidencias.
Seguridad Informática
Otras actividades:
Control de Documentos
Capacitación
Acción Correctiva
Acción preventiva
SGSI
CP Contingence Planning
Pirámide Documental:
Manual de Seguridad
Procedimientos
Instrucciones de Trabajo
Documentos
SGSI
Controles físicos
Cuestiones de política
SGSI
Problemas operacionales
Controles de hardware
No fumar.
Intercepción
Interrupción
Modificación
Fabricación
Amenazas de Seguridad
Ingeniería Social
Ataques pasivos
Ataques activos
Análisis de Riesgos
Interrupción del Serivicio
FPGA
Amenazas de Seguridad
Virus informáticos
Gusanos
Troyanos
Spyware
Adware
Dialers
Exploit
Bots
Pharming
Amenazas de Seguridad
Backdoor
Bomba fork
Hijacker
Keystroke o Keyloggers
Párasito Informático
Amenazas de Seguridad
Phishings
Pornware
Rabbit
Rootkit
Spam
Pop-Ups
Bomba Lógica
Cookies (Malas)
Trampas y/o Inocentadas
Mecanismos de Seguridad
Cifrado
Autorización
Autenticación
Auditoría
Mecanismos de Seguridad
Derecho a la intimidad
Elaboración de perfiles
Dispositivos biométricos
Uso de VPN
Antivirus
Firewall
Anti-Spyware
Anti-Rootkits
Conocer la red
Nbtstat –n
DMZ, DDNS.
Se recomienda tener un solo servicio por máquina. La
tendencia es a virtualizar servicios.
Y propone controles:
2.Seguridad en Internet
3.Seguridad de la información
•Activos críticos
•Amenazas
•Vulnerabilidades
•Impacto y riesgo
•Responsabilidades
•Políticas
•Identificación de roles
•Métodos de implementación
•Procesos afectados
•Controles tecnológicos
Fase IV: Implementación
Por ello, en 1995, se convocó a un grupo de expertos en sistemas informáticos, quienes tuvieron
la función de redactar este convenio, el mismo que fue aprobado en 2001.
El Perú aprobó este convenio el 12 de febrero del 2019 con la Resolución Legislativa 30913, que
trajo como consecuencia la adaptación de nuestra legislación a este convenio
Sin embargo, ya anteriormente se ha sancionado la ciberdelincuencia. En el artículo 186
del Código Penal se reguló una pena no menor de tres ni mayor a seis años cuando el hurto
se realizaba mediante la utilización de transferencia electrónica de fondos, de la telemática
en general o la violación del empleo de claves secretas.
Posteriormente, la pena aumentó de cuatro a ocho años, pero este artículo fue derogado con la
entrada en vigencia de la Ley 30096, Ley de delitos informáticos, publicada el 22 de
octubre del 2013. Cabe precisar que también los delitos informáticos fueron regulados en el
Título V, Capítulo X del Código Penal, que fue incorporado por la Ley 37309 del 17 de julio del
2000. Sin embargo, estos también fueron derogados con la Ley 30096.
Los delitos informáticos se encuentran recogidos en la Ley 30096, pero existen también
otros ciberdelitos dispersos en el Código Penal, tales como difusión de pornografía infantil a
través de nuevas tecnologías, el ciber acoso, entre otros. Inicialmente, la investigación se
encontraba a cargo del Ministerio Público con ayuda de las unidades especializadas de la
Policía Nacional del Perú, por ejemplo, la unidad de robos, estafas, etc.
La División de Investigación de Delitos de Alta Tecnología – DIVINDAT
Una inyección de código SQL (por sus siglas en inglés Structured Query
Language) es un tipo de ciberataque utilizado para tomar el control y
robar datos de una base de datos. Los cibercriminales aprovechan las
vulnerabilidades de las aplicaciones basadas en datos para insertar
código malicioso en una base de datos mediante una instrucción SQL
maliciosa. Esto les brinda acceso a la información confidencial contenida
en la base de datos.
Phishing
El phishing es cuando los cibercriminales atacan a sus víctimas con correos electrónicos que
parecen ser de una empresa legítima que solicita información confidencial. Los ataques de
phishing se utilizan a menudo para inducir a que las personas entreguen sus datos de tarjetas de
crédito y otra información personal.
Ataque de tipo “Man-in-the-middle”
Un ataque de tipo “Man-in-the-middle” es un tipo de ciberamenaza en la que un cibercriminal
intercepta la comunicación entre dos individuos para robar datos. Por ejemplo, en una red Wi-Fi
no segura, un atacante podría interceptar los datos que se transmiten desde el dispositivo de la
víctima y la red.
Ataque de denegación de servicio
Un ataque de denegación de servicio es cuando los cibercriminales impiden que un sistema
informático satisfaga solicitudes legítimas sobrecargando las redes y los servidores con tráfico.
Esto hace que el sistema sea inutilizable e impide que una organización realice funciones vitales.
Ciberamenazas más recientes
¿Cuáles son las ciberamenazas más recientes contra las que deben protegerse las personas y las
organizaciones? A continuación, se presentan algunas de las ciberamenazas más recientes
comunicadas por los gobiernos de Estados Unidos, Australia y el Reino Unido.
Malware Dridex
En diciembre del 2019, el Departamento de Justicia de los Estados Unidos (DoJ) imputó al líder
de un grupo de cibercriminales organizados por su participación en un ataque global del malware
Dridex. Esta campaña malintencionada afectó al público, al gobierno, a la infraestructura y a las
empresas de todo el mundo.
Dridex es un troyano financiero que posee diferentes funcionalidades. Desde el 2014, afecta a las
víctimas e infecta a las computadoras a través de correos electrónicos de phishing o malware
existente. Es capaz de robar contraseñas, datos bancarios y datos personales que pueden
utilizarse en transacciones fraudulentas, y ha causado pérdidas financieras masivas que suman
cientos de millones de dólares.
En respuesta a los ataques de Dridex, el Centro Nacional de Seguridad Cibernética del Reino
Unido aconseja a las personas que “se aseguren de que los dispositivos estén actualizados y los
antivirus estén activados y actualizados, y de que se realicen copias de seguridad de los
archivos”
Estafas románticas
En febrero del 2020, el FBI advirtió a los ciudadanos de EE. UU. que tuvieran cuidado con el
fraude a la confianza que los cibercriminales cometen a través de sitios de citas, salas de chat y
aplicaciones. Los perpetradores se aprovechan de las personas que buscan nuevas parejas y
engañan a las víctimas para que proporcionen sus datos personales.
El FBI informa que las ciberamenazas románticas afectaron a 114 víctimas de Nuevo México
durante 2019, cuyas pérdidas financieras sumaron 1 600 000 dólares.
Malware Emotet
A finales del 2019, el Centro Australiano de Seguridad Cibernética advirtió a las organizaciones
nacionales sobre la ciberamenaza mundial generalizada del malware Emotet.
Emotet es un sofisticado troyano que puede robar datos y también cargar otros malware. Emotet
se aprovecha de las contraseñas poco sofisticadas y es un recordatorio de la importancia de
crear una contraseña segura para protegerse de las ciberamenazas.
Consejos de ciberseguridad: protéjase de los ciberataques
¿Cómo pueden las empresas y las personas protegerse contra las ciberamenazas? A
continuación, presentamos nuestros mejores consejos de ciberseguridad:
1.Actualizar el software y el sistema operativo: esto significa que aprovechará las últimas
revisiones de seguridad.
2.Utilizar software antivirus: las soluciones de seguridad, detectarán y eliminarán las amenazas.
Mantenga su software actualizado para obtener el mejor nivel de protección.
3.Utilizar contraseñas seguras: asegúrese de que sus contraseñas no sean fáciles de adivinar.
5.No hacer clic en los vínculos de los correos electrónicos de remitentes o sitios web
desconocidos: es una forma común de propagación de malware.
6.Evitar el uso de redes Wi-Fi no seguras en lugares públicos: las redes no seguras lo dejan
vulnerable a ataques del tipo “Man-in-the-middle”.
Clonación de tarjetas de crédito: Conducta delictiva cometida “mediante aparatos
electrónicos de lectura de bandas magnéticas (skimmer) donde malos empleados de
restaurantes, gasolineras y otros locales extraen los datos de la tarjeta de crédito.
Luego, son copiadas a una computadora portátil o personal y, finalmente, copiadas a
otra tarjeta clonada con los mismos datos personales de la tarjeta original.” (16) Ejm:
Cuando se realiza la compra mediante delivery y se utiliza un POS modificado para
extraer los datos de la tarjeta de crédito y luego los delincuentes clonan dicha tarjeta
y efectúan compras por internet u otros canales digitales.
Spear Phishing o Phishing segmentado: Conducta delictiva que funciona como la
modalidad anterior; sin embargo, en este caso los criminales deciden atacar a
grupos vulnerables como por ejemplo los adultos mayores.
Transferencias electrónicas fraudulentas: Conducta delictiva “mediante la
modalidad del “phishing”, donde el timador busca que alguien revele información
confidencial personal que puede ser usada para robarle su dinero, luego de obtener la
información necesaria para acceder a la cuenta del banco y procedan a efectuar
operaciones fraudulentas por internet” (18). Ejm: Cuando se utilizan correos falsos de
entidades bancarias, pidiéndote una serie de información, momento en el cual el
ciberdelincuente trata de conseguir toda la información posible de su víctima para
luego realizar transferencias electrónicas fraudulentas.
Compras por internet mediante información de tarjetas de crédito o débito:
HERRAMIENTAS CRIPTOGRAFICAS
AUTORIDADES CERTIFICANTES
LOGIN
PASSWORD
Herramientas criptográficas
Confidencialidad:
Criptografía clásica:
Ejemplo:
Clave de sustitución: 3
Pág 10/59
Código por sustitución de letras
CódigoFuncionamiento:
por Sustitución de Letras(I)
- Reemplaza cada letra del alfabeto por otra.
- La clave especifica el tipo de sustitución.
Ejemplo:
Clave de sustitución:
A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z
I C Ñ H O M T L B S A R Q P E W J F V U K X D Y N Z G
Cifrar:
OSOQJRW
. EJEMPLO
LWRI
. HOLA
Pág 11/59
https://es.planetcalc.com/4884/?longtext=hola%20alumnos%20estas%20son%20las%20claves%20del%20exam
en%0A&action=c
Problema.
Código por Sustitución de Letras(II)
Puede romperse fácilmente para textos planos usando la
frecuencia relativa de las letras.
Mejora.
Cambiar la sustitución de cada letra de acuerdo con un patrón
periódico (sustitución múltiple).
Pág 12/59
Código por
Ejemplo. Sustitución Sustitución
múltiple. de Letras(III)
Seleccionamos un periodo L. Por ejemplo L=2;
0: A H L O
L O H A
1: A H L O
O L A H
Posición: 0 1 0 1
T. Cifrado: O
O H
H H
H o
O
T. Plano: H
H O
O L A
Pág 13/59
Código por Transposición
Para aplicarlo, se considera el texto en filas de L
(10 por ejemplo) letras cada una, y se envía el texto columna a columna:
Pág 14/59
Historia
DES (Data Encription Standard) (I)
En 1977, el gobierno de EEUU lo adoptó como método
de encriptación para información no clasificada.
Características
Es un cifrado simétrico, caracterizado por:
. Forma de cifrar y descifrar conocidas
Pág 16/59
DES Problema
(Data Encription Standard) (III)
La seguridad de cualquier cifrado simétrico
reside en mantener secreto de la clave.
Consecuencia
La clave k debe distribuirse de forma segura.
¿Cómo?
Pág 17/59
Tipos de Cifrado
Una vez que el emisor y receptor acuerdan que
algoritmo de cifrado usar, se distinguen dos tipos de
cifrado:
Cifrado simétrico:
Si la clave de cifrado y descifrado es la misma .
Cifrado asimétrico:
Se hace uso de dos claves distintas:
Pública: Generalmente para cifrar.
Privada: Generalmente para descifrar.
Pág 7/59
• Algoritmos pueden ser:
• Simétricos o de Llave Secreta
• Usan misma llave para cifrar y descifrar
• Flujo
• El mensaje se procesa como un todo por unidad
básica
• Algoritmos Simétricos o de Llave Secreta
• DES (anterior estándar mundial)
• AES (Nuevo estándar mundial)
• 3DES
• Algoritmos Asimétricos o de Llave Pública
• RSA (Estándar de facto)
• ElGamal
• DSS (Digital Signature Standard)
• Algoritmos Hash
• MD5
• SHA-1
• Algoritmos Simétricos
• Basan su diseño en operaciones
elementales
• Buscan eficiencia
• Seguridad depende del tiempo y los
recursos de cómputo
• Aplicaciones de Criptografia Simétrica
• Cifrado de información no clasificada
(Confidencialidad)
• Verificación de Integridad
• Autenticación
• Algoritmos Asimétricos
• Diseño basado en problemas matemáticos
• Seguros computacionalmente
• Seguridad no depende de tiempo ni de
recursos de cómputo
• Pero........
Implementación de un mecanismo de
autenticación difícil con las claves
secretas
La implementación de un sistema de
firma digital implica intercambio de
información secreta
Sistema óptimo Combinación de ambos tipos de criptografía: el mensaje se encripta con clave secreta, la que se adjunta al mensaje y es
encriptado con modalidad de clave pública. Seguridad y velocidad.
Esteganografía
• La esteganografía es el arte o ciencia de ocultar
mensajes invisibles en mensajes visibles. Al
interceptar estos archivos, se obtiene un mensaje
que no guarda ninguna particularidad.
La Firma Electrónica, puede vincularse a un documento para identificar al autor, para señalar
conformidad (o disconformidad) con el contenido, para indicar que se ha leído o, según el tipo de firma,
garantizar que no se pueda modificar su contenido.
La Firma Digital
· Revocación del certificado digital del firmante (puede ser por OCSP o CRL),
La función hash es un algoritmo matemático que permite calcular un valor resumen de los datos a ser firmados
digitalmente. Funciona en una sola dirección, es decir, no es posible, a partir del valor resumen, calcular los
datos originales. Cuando la entrada es un documento, el resultado de la función es un número que identifica
inequívocamente al texto. Si se adjunta este número al texto, el destinatario puede aplicar de nuevo la función y
comprobar su resultado con el que ha recibido. Ello no obstante, este tipo de operaciones no están pensadas
para que las lleve a cabo el usuario, sino que se utiliza software que automatiza tanto la función de calcular el
valor hash como su verificación posterior.
La Firma Digital es:
• Autenticación
– Permite probar la identidad de un ciudadano
Certificados
• Integridad
– Prueba
Firma Digitalde que la información no ha sido alterada
• Confidencialidad
– Capacidad de intercambiar información de forma secreta
Cifrado
• No repudio
– Certifica
Certificado que el Digital
y Firma ciudadano ha realizado una transacción
Posibilitar al usuario la realización de firma de
documentos a través de su dispositivo
Disponibilidad
Acceso 24x7 a las Comprobación de aprobaciones
aplicaciones del documentales y flujos e autorización
entorno
realizados mediante firma electrónica
desde ordenador
Usabilidad
Interfaces Procesos de votación y participación
amigables, vinculante a través del dispositivo
sistemas táctiles
integrados móvil
Algunas definiciones
Mensaje: Representación digital de la información.
Criptosistema Asimétrico: Algoritmo o serie de
algoritmos que brindan un par de claves Confiables.
Clave Privada: de dos claves, una de ellas se usa para
crear una firma digital.
Clave Pública: de dos claves, una de ellas se usa para
Verificar una firma digital.
Verificar una firma digital: Determinar fehacientemente
que la firma digital fue creada por la clave privada
correspondiente a la clave pública, y que el mensaje no
ha sufrido modificaciones con posterioridad a la creación
del mensaje.
Suscriptor: Persona que:
• Es el sujeto cuyo nombre figura en un certificado; acepta el
certificado, y tiene una clave privada que corresponde a la clave
pública mencionada en dicho certificado.
Certificado Válido: Certificado:
• Que ha sido emitido por una autoridad certificante.
• Que ha sido aceptado por el suscriptor allí mencionado.
• Que no ha sido revocado ni suspendido.
• Que no ha vencido.
Donato
Carlos
Sistema de Encripción de Claves
Públicas y Privadas (Asimétrico)
Donato
Carlos
Sistema de Encripción de Claves Públicas
y Privadas (Asimétrico) y Firmado.
Clave Mensaje Mensaje Clave
Pública de Encriptado Encriptado Privada de
Donato con Clave MENSAJE ENCRIPTADO con Clave Donato
Privada de Privada de
Mensaje Carlos y Mensaje
Carlos y Encriptado
Encriptado Pública de Pública de
con Clave Donato con Clave
Donato Privada de
Privada de
Carlos Carlos
Clave Clave
Privada de Pública de
Carlos Carlos
Carlos
Donato
Algoritmo Hash
Esta es la razón por la cual los sistemas de internet no pueden devolverte la contraseña olvidada,
porque no la tienen. Deberás generar una nueva contraseña, para que se calcule el Hash y que el
sistema la guarde.
Otra de las utilidades de las funciones Hash es determinar de forma rápida la
inalterabilidad de un documento o archivo.
Como cada documento genera un Hash único (como una matrícula de coche),
si un documento ha sido alterado su Hash será diferente al anterior. Esta
misma función permite una trazabilidad de los documentos o archivos.
bf8b9e9a120d6052435216387aa5deaad820ea4fd8a080620e7d7036ccb0f878
https://herramientas-online.com/generador-hash-
online.html#resp
Mensaje Algoritmo
HASH Clave Privada
Del Firmante
Digesto Algoritmo
Encripción
Firma Digital
• Aplicaciones
• Firma de datos
Servidor Cliente
Clave
privada Clave pública
Hash Hash
Firma
0111001001
1110011100
0011101011
1000111010
Certificados digitales
• Son el medio de vincular una clave criptográfica con uno o más
atributos del usuario.
El receptor de un documento firmado puede tener la seguridad de que éste es el original y no ha sido
manipulado y el autor de la firma electrónica no podrá negar la autoría de esta firma.
El certificado digital permite cifrar las comunicaciones. Solamente el destinatario de la información podrá
acceder al contenido de la misma.
En definitiva, la principal ventaja es que disponer de un certificado le ahorrará tiempo y dinero al realizar
trámites administrativos en Internet, a cualquier hora y desde cualquier lugar.
Certificados digitales
Un Certificado Digital consta de una pareja de claves criptográficas, una pública y una privada, creadas
con un algoritmo matemático, de forma que aquello que se cifra con una de las claves sólo se puede
descifrar con su clave pareja.
El titular del certificado debe mantener bajo su poder la clave privada, ya que si ésta es sustraída, el
sustractor podría suplantar la identidad del titular en la red. En este caso el titular debe revocar el
certificado lo antes posible, igual que se anula una tarjeta de crédito sustraída.
La clave pública forma parte de lo que se denomina Certificado Digital en sí, que es un documento digital
que contiene la clave pública junto con los datos del titular, todo ello firmado electrónicamente por
una Autoridad de Certificación, que es una tercera entidad de confianza que asegura que la clave pública se
corresponde con los datos del titular.
Certificados digitales
La Firma Electrónica sólo puede realizarse con la clave privada.
La Autoridad de Certificación se encarga de emitir los certificados para los titulares tras comprobar su
identidad.
El formato de los Certificados Digitales está definido por el estándar internacional ITU-T X.509. De esta
forma, los certificados pueden ser leídos o escritos por cualquier aplicación que cumpla con el mencionado
estándar.
.
• La autenticación cliente-servidor SSL: cuando se
accede a una solución de banca on-line se
intercambian varios mensajes antes de que
aparezca la primera página segura.