Documentos de Académico
Documentos de Profesional
Documentos de Cultura
¿Qué es la criptografía?
Es una técnica que protege la información privada y confidencial.
¿Cuál es el objetivo de los controles criptográficos?
Proteger la confidencialidad, autenticidad e integridad de los datos, realizando
medidas y controles que eviten las amenazas.
Los controles Criptográficos se dividen en dos partes que son:
1. Políticas de uso de controles criptográficos.
Se deberá desarrollar e implementar políticas de uso criptográfico para proteger la
información de la organización.
Para realizar dichas políticas se deberá tomar en cuenta lo siguiente:
Un enfoque de uso de las medidas criptográficas, de los principios
generales de la organización.
Basarse en la evaluación de riesgos, conforme al nivel de riesgos.
El uso de cifrado que depende del transporte de comunicación por el cual
estará navegando la información.
Métodos para recuperación de claves, en caso de pérdida, daño o
divulgación.
Los responsables de la implementación y gestión de claves.
Los estándares que deberán ser adoptados para su implementación dentro
de la organización.
Las normas que se utilizarán para cifrar la información para el fiar de la
organización.
2. Gestión de Claves
Se debe apoyar al uso de las técnicas que se realizarán en la organización,
en donde deberán proteger todo tipo de claves desde su creación hasta su
eliminación, por lo que deberán basarse en normas, procedimientos y
métodos seguros, donde se plantea lo siguiente:
Tipos de encriptación
Bases de datos
Las bases de datos contienen información importante y confidencial que deberá
ser protegida, así que se deberá aplicar la gestión de claves de encriptación de
datos a:
Los datos
Conexiones
Los procedimientos Almacenados
Cifrar el contenido del correo, incluidos los archivos adjuntos, para que éste
sea solamente accesible por su destinatario. Si un tercero no autorizado se
hace con el correo, no tendrá acceso a la información que contiene, incluido
cualquier tipo de archivo adjunto.
VPN (Red privada virtual)
Las VPN cifran su tráfico en internet y disfrazan su identidad en línea. Esto le
dificulta a terceros el seguimiento de sus actividades en línea y el robo de datos.
¿Cuáles son los beneficios de una conexión VPN?
Una conexión VPN disfraza sus datos en línea y los protege del acceso externo.
Cualquiera que tenga acceso a la red y quiera hacerlo puede ver los datos no
cifrados. Con una VPN, los hackers y los cibercriminales no pueden descifrar
estos datos.
Cifrado seguro: Para leer los datos, necesita una clave de cifrado. Sin ella, le
llevaría millones de años a una computadora descifrar el código en caso de un
ataque de fuerza bruta. Con la ayuda de una VPN, sus actividades en línea se
ocultan incluso en redes públicas.
Disfrazar su paradero: los servidores de VPN principalmente actúan como sus
servidores proxy en internet. Debido a que los datos de ubicación demográficos
provienen de un servidor en otro país, su ubicación real no se puede determinar. A
esto se suma que, en la mayoría de los casos, los proveedores de estos servicios
no guardan registros sobre sus actividades. Por otra parte, algunos proveedores
registran su comportamiento, pero no transmiten esa información a terceros. Esto
significa que cualquier registro potencial de su comportamiento de usuario
permanece oculto de manera permanente.
Acceso a contenido regional: el contenido web regional no siempre es accesible
desde cualquier parte. Los servicios y los sitios web a menudo contienen
contenido que solo puede accederse desde ciertas partes del mundo. Las
conexiones estándar utilizan servidores locales en el país para determinar su
ubicación, esto significa que no puede acceder al contenido en casa mientras
viaja, y no puede acceder a contenido internacional desde casa. Con la
suplantación de ubicación de VPN, puede cambiar a un servidor a otro país y
“cambiar” su ubicación de manera eficaz.
Transferencia segura de datos: si trabaja de forma remota, puede necesitar
acceder a archivos importantes en la red de su empresa. Por razones de
seguridad, este tipo de información requiere una conexión segura. Para obtener
acceso a la red, a menudo se requiere una conexión VPN. Los servicios de VPN
establecen conexiones con servidores privados y utilizan métodos de cifrado para
reducir el riesgo de filtración de datos.
¿Qué debe hacer una buena VPN?
Debería confiar en su VPN para realizar una o más tareas. La VPN en sí misma
también debe ser segura contra riesgos. Estas son las cualidades que deben
esperarse de cualquier solución VPN completa:
Cifrado de su dirección IP: la función principal de una VPN es ocultar su
dirección IP de su ISP y otros terceros. Esto le permite enviar y recibir información
en línea con la tranquilidad de que nadie, excepto tú y el proveedor de la VPN,
tendrá acceso a lo que hagas.
Cifrado de protocolos: una VPN le debe ayudar a no dejar rastros como cookies
e historiales de búsquedas y navegación. El cifrado de cookies es especialmente
importante porque les impide a terceros obtener acceso a información confidencial
como datos personales, información financiera y otros contenidos en los sitios
web.
Kill switch: si su conexión VPN se ve interrumpida repentinamente, su conexión
segura también se verá interrumpida. Una buena VPN puede detectar este tiempo
de inactividad repentino y finalizar los programas preseleccionados, lo que reduce
la probabilidad de que se comprometan los datos.
Autenticación de dos factores: al utilizar una variedad de métodos de
autenticación, una VPN fuerte verifica a cualquiera que intente iniciar sesión. Por
ejemplo, se le podría pedir que ingrese una contraseña, luego de lo cual se envía
un código a su dispositivo móvil. Esto le dificulta el acceso sin permiso a terceros a
tu conexión segura.
WIFI
Es una red inalámbrica por el cual se conectan distintos dispositivos para
interactuar por internet, por lo tanto, la conexión deberá ser cifrada para brindar la
seguridad de los paquetes transportados en esa red.
Elaboración de VLAN
Rangos de IP
Encriptado AES (Estándar de Cifrado Avanzado)
Es una solución de cifrado mas reciente para la seguridad de una red Wi-Fi
utilizando la nueva y segura estándar WPA2.
WPA2 usa AES para una seguridad óptima, también tiene la opción de utilizar
TKIP para la compatibilidad con dispositivos asociados. En tal estado, los
dispositivos compatibles con WPA2 se conectarán con WPA2 y dispositivos
compatibles con WPA se conectará con WPA. Así que «WPA2» no siempre
significa WPA2-AES. Sin embargo, en los dispositivos sin un «TKIP» visible o la
opción «AES», WPA2 es generalmente sinónimo de WPA2-AES.
WPA-PSK (AES): Esto selecciona el protocolo de cifrado inalámbrico
WPA con el cifrado AES. Los dispositivos que soportan AES casi
siempre soportarán WPA2, mientras que los dispositivos que requieren
WPA1 casi nunca podrán usar el cifrado AES.
WPA2-PSK (TKIP): Utiliza el estándar WPA2 con cifrado TKIP más
moderno. Esto no es seguro, y es sólo una buena idea si tienes los
dispositivos más antiguos que no pueden conectarse a una red WPA2-
PSK (AES).
WPA2-PSK (AES): Esta es la opción más segura. Utiliza WPA2, el
último estándar de encriptación Wi-Fi, y el más reciente protocolo de
encriptación AES.
WPAWPA2-PSK (TKIP / AES) (recomendado): Esto cifrado permite tanto
WPA y WPA2 con TKIP y AES. Esto proporciona la máxima
compatibilidad con todos los dispositivos antiguos que pueda tener, sino
que también garantiza que un atacante no pueda acceder a la red tan
fácilmente.
Páginas web
HTTPS
Simplemente es una combinación del protocolo HTTP (usado en cada transacción
web) con el protocolo SSL/TLS usada para establecer comunicaciones cifradas en
sitios web.
OFUSCACIÓN DE ENLACE
Es el hecho de ocultar un contenido a los motores de búsqueda en el seno de una
arquitectura web, con el fin de dirigir a los robots, a través del enlazado interno, a
las páginas de mayor calidad.
OFUSCACIÓN DE CÓDIGO
Es una herramienta que se utiliza para aumentar la seguridad del código. En
términos generales, la ofuscación convierte el código de un software o proyecto en
un tipo de código que es más difícil de comprender para los humanos, logra este
objetivo aplicando mecánicas y patrones de encriptación para evitar el acceso a
secciones críticas del código. En tecnología, la ofuscación es sinónimo de
seguridad.
Computadoras
Tanto como en el ámbito empresarial como personal, la integridad,
confidencialidad y disponibilidad de la información es tan importante que a través
del avance tecnológico en cualquier de sus ramas, se ha considerado
constantemente nuevas técnicas de protección y transporte de los datos que
pueden ser sensibles para el dueño de la información que se conserva y/o se
comparte.
El concepto de privacidad de la información se ha extendido tanto que se ha
llegado a métodos de conservación de los datos en formato ilegible, utilizando
técnicas de descifrado o desencriptado de la información, a partir de una llave que
solo el responsable de encriptar los datos conoce.
En una corporación de la talla que estamos evaluando, los riesgos que
representan no tener cifrados los datos, es tan alto como el valor que representa la
conservación de los datos para los dueños de cada proceso en la empresa.
La información no encriptada puede tener dos riesgos principales:
- La divulgación de la información
- La encriptación de la información, utilizando métodos no establecidos en la
corporación.
Divulgación de la información:
La información contenida en medios de almacenamiento tanto locales como
portables, puede ser comprometida si son accedidos por entes no autorizadas
dentro o fuera de la organización. Esto conlleva a la afectación tanto de la
confiabilidad como de la integridad de la información. Debido a este riesgo, es de
suma importancia la encriptación de la información de los medios que se
consideren demasiado sensibles para su divulgación.
Encriptación de la información utilizando métodos no autorizados
Este riesgo abarca dos puntos:
1. Encriptación de un medio de almacenamiento por error de usuario
Puede existir un escenario en donde un usuario con poco conocimiento
del tema puede realizar un procedimiento que lleve a realizar un cifrado
de la información debido a que no cuenta con protección de parte de la
infraestructura de red de dominios.
2. Encriptación de la información por un atacante
Este escenario puede suceder cuando una persona infiltrada logre
acceder a algún equipo en nuestra red que cuente con información de
suma importancia y debido a la presencia de encriptado realice un
procedimiento para cifrar toda la información contenida en el dispositivo
y/o dispositivos que encuentre sin protección.
Para los riesgos anteriores podemos realizar las siguientes mitigaciones:
1. Crear una matriz con los equipos de trabajo, servidores, servidores SAN y
dispositivos portátiles que se utilicen en la organización y evaluarlos por
nivel de riesgo que represente la pérdida de la información contenida en
cada equipo o almacenamiento.
2. Crear un plan de activación de cifrado de discos duros, unidades extraíbles,
raid de discos, etc. En todos aquellos equipos considerados como
altamente riesgosos
3. Crear un plan de concientización a los usuarios de la organización en
donde se expongan los riesgos que tiene la mala manipulación de la
información y/o la falta de conocimiento sobre qué es y cómo funciona el
encriptado y/o cifrado.