Técnicas y Tácticas para controles criptográficos

¿Qué es la criptografía?
Es una técnica que protege la información privada y confidencial.
¿Cuál es el objetivo de los controles criptográficos?
Proteger la confidencialidad, autenticidad e integridad de los datos, realizando
medidas y controles que eviten las amenazas.
Los controles Criptográficos se dividen en dos partes que son:
1. Políticas de uso de controles criptográficos.
Se deberá desarrollar e implementar políticas de uso criptográfico para proteger la
información de la organización.
Para realizar dichas políticas se deberá tomar en cuenta lo siguiente:
 Un enfoque de uso de las medidas criptográficas, de los principios
generales de la organización.
 Basarse en la evaluación de riesgos, conforme al nivel de riesgos.
 El uso de cifrado que depende del transporte de comunicación por el cual
estará navegando la información.
 Métodos para recuperación de claves, en caso de pérdida, daño o
divulgación.
 Los responsables de la implementación y gestión de claves.
 Los estándares que deberán ser adoptados para su implementación dentro
de la organización.
 Las normas que se utilizarán para cifrar la información para el fiar de la
organización.

2. Gestión de Claves
Se debe apoyar al uso de las técnicas que se realizarán en la organización,
en donde deberán proteger todo tipo de claves desde su creación hasta su
eliminación, por lo que deberán basarse en normas, procedimientos y
métodos seguros, donde se plantea lo siguiente:

 La generación de claves diferentes para los distintos sistemas

criptográficos y aplicaciones de usuarios finales.
 Generación y obtención de certificados en claves públicas.
 Distribuir las contraseñas a los usuarios, de la forma de activar y
recibir las claves
 Almacenar las claves.
  Cambiar o actualizar las claves cada cierto tiempo, donde se sabrá
cómo realizar este procedimiento.
 Como tratar las claves comprometidas
 Revocar, desactivar o eliminar claves, cuando el usuario ya no labora
en la organización o cuando hay problemas.
 Recuperar claves que se han perdido o corrompido.
 Archivar las claves de manera segura.
 Realizar auditorias para verificar que se estén cumpliendo las
políticas.
La gestión de claves es importante para el uso efectivo de las técnicas
criptográficas, es por eso por lo que la ISO/IEC 11770 proporciona mas
información sobre la gestión de claves, dividiéndola en dos técnicas criptográficas,
las cuales son:

A. Técnicas de Claves Secretas:

Esta es utilizada cuando dos o más personas utilizan la misma clave de
acceso para descifrar y codificar la información.

B. Técnicas de Claves publicas:

Esta se utiliza cuando cada usuario tiene un par de claves, una publica que
es la que puede compartir y una clave privada que solo el usuario utiliza y
no deberá ser compartida. Estas técnicas de claves publicas pueden ser
utilizadas para producir firmas digitales.

Tipos de encriptación
Bases de datos
Las bases de datos contienen información importante y confidencial que deberá
ser protegida, así que se deberá aplicar la gestión de claves de encriptación de
datos a:
 Los datos
 Conexiones
 Los procedimientos Almacenados

Para que la encriptación sea efectiva, al gestionar se deberá de tomar en cuenta 4

puntos claves que son:
 Estrategia
 Autenticación
  Automatización
 Registro
Correo Electrónico
Es el método de comunicación mas utilizado en la organización, porque es de fácil
utilización, entrega inmediata de la información, pero también sufre de amenazas
como:
 Spam
 Correo con ficheros adjuntos maliciosos
 Cadena de mensajes falsos
 Phishing
Además de prevenir el fraude, es una prioridad garantizar la privacidad,
confidencialidad e integridad de las comunicaciones en determinados escenarios.
Para garantizar que la comunicación sea segura se recomienda lo siguiente:
 Cifrar los correos por medio del estándar OpenPGP
 Firmas digitales.
 Doble autenticación
 Alias
 Certificados digitales.
OpenPGP es un estándar de código abierto basado en el método de cifrado PGP,
Pretty Good Privacy por sus siglas en inglés. PGP nació con la finalidad de
proteger la información que se distribuye a través de Internet (por ejemplo, por
correo electrónico) mediante el uso de un sistema de criptografía de clave pública
y de firmas digitales, que utilizan parejas de claves pública-privada para cifrar y
firmar la información.
La firma y el cifrado son operaciones criptográficas sobre el contenido del mensaje
o sobre un resumen de este. La firma nos permite identificar la procedencia del
mensaje y el cifrado nos da la garantía de que no ha sido modificado su contenido.
Entre los principales usos que se puede hacer de OpenPGP se encuentran:
 Comprobar la autenticidad y la integridad de los correos por medio de
técnicas de cifrado. Por lo tanto, se puede comprobar que, quien envía la
comunicación es quien dice ser y que ésta no ha sido alterada antes de
llegar a su destinatario.

 Cifrar el contenido del correo, incluidos los archivos adjuntos, para que éste
sea solamente accesible por su destinatario. Si un tercero no autorizado se
hace con el correo, no tendrá acceso a la información que contiene, incluido
cualquier tipo de archivo adjunto.
VPN (Red privada virtual)
Las VPN cifran su tráfico en internet y disfrazan su identidad en línea. Esto le
dificulta a terceros el seguimiento de sus actividades en línea y el robo de datos.
¿Cuáles son los beneficios de una conexión VPN?
Una conexión VPN disfraza sus datos en línea y los protege del acceso externo.
Cualquiera que tenga acceso a la red y quiera hacerlo puede ver los datos no
cifrados. Con una VPN, los hackers y los cibercriminales no pueden descifrar
estos datos.
Cifrado seguro: Para leer los datos, necesita una clave de cifrado. Sin ella, le
llevaría millones de años a una computadora descifrar el código en caso de un
ataque de fuerza bruta. Con la ayuda de una VPN, sus actividades en línea se
ocultan incluso en redes públicas.
Disfrazar su paradero: los servidores de VPN principalmente actúan como sus
servidores proxy en internet. Debido a que los datos de ubicación demográficos
provienen de un servidor en otro país, su ubicación real no se puede determinar. A
esto se suma que, en la mayoría de los casos, los proveedores de estos servicios
no guardan registros sobre sus actividades. Por otra parte, algunos proveedores
registran su comportamiento, pero no transmiten esa información a terceros. Esto
significa que cualquier registro potencial de su comportamiento de usuario
permanece oculto de manera permanente.
Acceso a contenido regional: el contenido web regional no siempre es accesible
desde cualquier parte. Los servicios y los sitios web a menudo contienen
contenido que solo puede accederse desde ciertas partes del mundo. Las
conexiones estándar utilizan servidores locales en el país para determinar su
ubicación, esto significa que no puede acceder al contenido en casa mientras
viaja, y no puede acceder a contenido internacional desde casa. Con la
suplantación de ubicación de VPN, puede cambiar a un servidor a otro país y
“cambiar” su ubicación de manera eficaz.
Transferencia segura de datos: si trabaja de forma remota, puede necesitar
acceder a archivos importantes en la red de su empresa. Por razones de
seguridad, este tipo de información requiere una conexión segura. Para obtener
acceso a la red, a menudo se requiere una conexión VPN. Los servicios de VPN
establecen conexiones con servidores privados y utilizan métodos de cifrado para
reducir el riesgo de filtración de datos.
¿Qué debe hacer una buena VPN?
Debería confiar en su VPN para realizar una o más tareas. La VPN en sí misma
también debe ser segura contra riesgos. Estas son las cualidades que deben
esperarse de cualquier solución VPN completa:
Cifrado de su dirección IP: la función principal de una VPN es ocultar su
dirección IP de su ISP y otros terceros. Esto le permite enviar y recibir información
en línea con la tranquilidad de que nadie, excepto tú y el proveedor de la VPN,
tendrá acceso a lo que hagas.
Cifrado de protocolos: una VPN le debe ayudar a no dejar rastros como cookies
e historiales de búsquedas y navegación. El cifrado de cookies es especialmente
importante porque les impide a terceros obtener acceso a información confidencial
como datos personales, información financiera y otros contenidos en los sitios
web.
Kill switch: si su conexión VPN se ve interrumpida repentinamente, su conexión
segura también se verá interrumpida. Una buena VPN puede detectar este tiempo
de inactividad repentino y finalizar los programas preseleccionados, lo que reduce
la probabilidad de que se comprometan los datos.
Autenticación de dos factores: al utilizar una variedad de métodos de
autenticación, una VPN fuerte verifica a cualquiera que intente iniciar sesión. Por
ejemplo, se le podría pedir que ingrese una contraseña, luego de lo cual se envía
un código a su dispositivo móvil. Esto le dificulta el acceso sin permiso a terceros a
tu conexión segura.

WIFI
Es una red inalámbrica por el cual se conectan distintos dispositivos para
interactuar por internet, por lo tanto, la conexión deberá ser cifrada para brindar la
seguridad de los paquetes transportados en esa red.
 Elaboración de VLAN
 Rangos de IP
 Encriptado AES (Estándar de Cifrado Avanzado)
Es una solución de cifrado mas reciente para la seguridad de una red Wi-Fi
utilizando la nueva y segura estándar WPA2.
WPA2 usa AES para una seguridad óptima, también tiene la opción de utilizar
TKIP para la compatibilidad con dispositivos asociados. En tal estado, los
dispositivos compatibles con WPA2 se conectarán con WPA2 y dispositivos
compatibles con WPA se conectará con WPA. Así que «WPA2» no siempre
significa WPA2-AES. Sin embargo, en los dispositivos sin un «TKIP» visible o la
opción «AES», WPA2 es generalmente sinónimo de WPA2-AES.
 WPA-PSK (AES): Esto selecciona el protocolo de cifrado inalámbrico
WPA con el cifrado AES. Los dispositivos que soportan AES casi
siempre soportarán WPA2, mientras que los dispositivos que requieren
WPA1 casi nunca podrán usar el cifrado AES.
 WPA2-PSK (TKIP): Utiliza el estándar WPA2 con cifrado TKIP más
moderno. Esto no es seguro, y es sólo una buena idea si tienes los
dispositivos más antiguos que no pueden conectarse a una red WPA2-
PSK (AES).
 WPA2-PSK (AES): Esta es la opción más segura. Utiliza WPA2, el
último estándar de encriptación Wi-Fi, y el más reciente protocolo de
encriptación AES.
 WPAWPA2-PSK (TKIP / AES) (recomendado): Esto cifrado permite tanto
WPA y WPA2 con TKIP y AES. Esto proporciona la máxima
compatibilidad con todos los dispositivos antiguos que pueda tener, sino
que también garantiza que un atacante no pueda acceder a la red tan
fácilmente.

Páginas web

El cifrado de páginas web es el proceso que transforma tu información de manera

que no cualquier usuario pueda entenderla, se realiza con base a un elemento
único conocido como llave, así nadie, excepto el poseedor puede leerla. El
procedimiento inverso al cifrado es el descifrado.
Entre los cifrados de páginas web se encuentran:

CERTIFICADO DIGITAL SSL/TLS

Es un documento digital único que garantiza la vinculación entre una persona o
entidad con su llave pública.
Contiene información de su propietario como nombre, dirección, correo
electrónico, organización a la que pertenece y su llave pública, así como
información propia del certificado por mencionar: periodo de validez, número de
serie único, nombre de la AC que emitió, firma digital de la AC cifrada con su llave
privada y otros datos más que indican cómo puede usarse ese certificado.

HTTPS
Simplemente es una combinación del protocolo HTTP (usado en cada transacción
web) con el protocolo SSL/TLS usada para establecer comunicaciones cifradas en
sitios web.
OFUSCACIÓN DE ENLACE
Es el hecho de ocultar un contenido a los motores de búsqueda en el seno de una
arquitectura web, con el fin de dirigir a los robots, a través del enlazado interno, a
las páginas de mayor calidad.

La ofuscación de un enlace de la estructura de un sitio web, es un método muy

utilizado para indicarle a los motores de búsqueda el camino más optimizado hacia
las mejores páginas del sitio.
Problemática al no tener encriptada una página web.

OFUSCACIÓN DE CÓDIGO
Es una herramienta que se utiliza para aumentar la seguridad del código. En
términos generales, la ofuscación convierte el código de un software o proyecto en
un tipo de código que es más difícil de comprender para los humanos, logra este
objetivo aplicando mecánicas y patrones de encriptación para evitar el acceso a
secciones críticas del código. En tecnología, la ofuscación es sinónimo de
seguridad.

 VENTAJAS DEL CIFRADO DE PAGINAS WEB

 Al ofuscar enlaces, ocultamos un contenido a los motores de búsqueda
dentro de una arquitectura web, para poder dirigir a los robots, a través del
enlazado interno, a las páginas de mayor calidad.

 La ofuscación de código ayuda a proteger la propiedad intelectual. Cada

vez que se crea código, éste se convierte en la propiedad intelectual de la
compañía o del desarrollador. Si el software o el proyecto en el que se
trabaja no es ´open-source´ y no se desea compartir el código o permitir
que este sea copiado, entonces la ofuscación de código es una excelente
forma de evitar infracciones contra los derechos de propiedad intelectual en
proyectos relacionados a la tecnología.

 El certificado HTTPS nos permite “blindar” nuestra información enviada,

Verificación de identidad, Confianza, mejora el posicionamiento orgánico de
la web, favorece las ventas, mejora la satisfacción del usuario.
  El certificado SSL Cifre los datos confidenciales y evite la manipulación de
datos, genere confianza en sus clientes en línea, mejora su clasificación de
Google para aumentar el tráfico de su sitio, autentica la identidad de tu sitio
web.

DESVENTAJAS AL NO UTILIZAR CIFRADOS EN PAGINAS WEB

 Desprotección del usuario final: La encriptación o cifrado de datos y

archivos vuelve ilegibles los datos de cualquier archivo. Es decir, éste será
inservible para usuarios no autorizados, pero al mismo tiempo ello supone
un riesgo. De hecho, la desprotección de los datos de un archivo reversible
resulta obvia, pues contar con la contraseña o los algoritmos permitirá
acceder a ellos, aún sin tener autorización.

 Desprotección de los datos críticos: Los datos confidenciales (sensibles y/o

importantes) no tienen una protección especial con este método cuando se
produce una violación de archivos encriptados. En estos casos, se corre un
importante riesgo económico, pues atenta contra los intereses de la
organización, y también de vulneración de normativas de protección de
datos:

 Al existir vulnerabilidad no está libre la página de los riesgos de ataques.

 Al no haber cifrado parcial o total fácilmente nos arriesgamos a perder
los datos.

¿CÓMO SE CIFRAN LOS DATOS?

Un método de cifrado se compone fundamentalmente de dos elementos, un
algoritmo criptográfico y una o más claves secretas. Mientras que el algoritmo
describe el método de encriptado (p. ej., "desplaza cada letra a lo largo de la
secuencia del alfabeto"), la clave proporciona el parámetro ("C = tres posiciones").
Esto es lo que permite definir al cifrado como un procedimiento por el cual se
entrega un texto en claro y una clave al algoritmo criptográfico y se obtiene un
texto cifrado.

Computadoras
Tanto como en el ámbito empresarial como personal, la integridad,
confidencialidad y disponibilidad de la información es tan importante que a través
del avance tecnológico en cualquier de sus ramas, se ha considerado
constantemente nuevas técnicas de protección y transporte de los datos que
pueden ser sensibles para el dueño de la información que se conserva y/o se
comparte.
El concepto de privacidad de la información se ha extendido tanto que se ha
llegado a métodos de conservación de los datos en formato ilegible, utilizando
técnicas de descifrado o desencriptado de la información, a partir de una llave que
solo el responsable de encriptar los datos conoce.
En una corporación de la talla que estamos evaluando, los riesgos que
representan no tener cifrados los datos, es tan alto como el valor que representa la
conservación de los datos para los dueños de cada proceso en la empresa.
La información no encriptada puede tener dos riesgos principales:
- La divulgación de la información
- La encriptación de la información, utilizando métodos no establecidos en la
corporación.
Divulgación de la información:
La información contenida en medios de almacenamiento tanto locales como
portables, puede ser comprometida si son accedidos por entes no autorizadas
dentro o fuera de la organización. Esto conlleva a la afectación tanto de la
confiabilidad como de la integridad de la información. Debido a este riesgo, es de
suma importancia la encriptación de la información de los medios que se
consideren demasiado sensibles para su divulgación.
Encriptación de la información utilizando métodos no autorizados
Este riesgo abarca dos puntos:
1. Encriptación de un medio de almacenamiento por error de usuario
Puede existir un escenario en donde un usuario con poco conocimiento
del tema puede realizar un procedimiento que lleve a realizar un cifrado
de la información debido a que no cuenta con protección de parte de la
infraestructura de red de dominios.
2. Encriptación de la información por un atacante
Este escenario puede suceder cuando una persona infiltrada logre
acceder a algún equipo en nuestra red que cuente con información de
suma importancia y debido a la presencia de encriptado realice un
procedimiento para cifrar toda la información contenida en el dispositivo
y/o dispositivos que encuentre sin protección.
Para los riesgos anteriores podemos realizar las siguientes mitigaciones:
1. Crear una matriz con los equipos de trabajo, servidores, servidores SAN y
dispositivos portátiles que se utilicen en la organización y evaluarlos por
nivel de riesgo que represente la pérdida de la información contenida en
cada equipo o almacenamiento.
2. Crear un plan de activación de cifrado de discos duros, unidades extraíbles,
raid de discos, etc. En todos aquellos equipos considerados como
altamente riesgosos
3. Crear un plan de concientización a los usuarios de la organización en
donde se expongan los riesgos que tiene la mala manipulación de la
información y/o la falta de conocimiento sobre qué es y cómo funciona el
encriptado y/o cifrado.