REPÚBLICA DE PANAMÁ

UNIVERSIDAD TECNOLÓGICA DE PANAMÁ

CENTRO REGIONAL DE PANAMÁ OESTE

FACULTAD DE INGENIERÍA MECÁNICA

TEMA #3

PRINCIPALES TECNOLOGIAS REFERENTES A LA SEGURIDAD DE LA

INFORMACIÓN

ASIGNATURA:
COMPUTO EN INGENIERÍA MECÁNICA 7892

PERTENECE A:

OLGA ALVARADO 8-1058-2456

ZAYDETH DOMÍNGUEZ 8-982-2170

SERGIO NAVARRO 9-758-729

ALAN PHILLIPS 8-971-1966

ABNER RODRÍGUEZ 8-970-574

OSCAR RODRÍGUEZ 8-972-807

PRESENTADO A:
GIONELLA L. ARAUJO S.

FECHA DE ENTREGA:

MIÉRCOLES, 24 DE JUNIO DEL 2020

PRIMER SEMESTRE 2020

1
 ÍNDICE

INTRODUCCIÓN ........................................................................................................................ 4
PRINCIPALES TECNOLOGÍAS REFERENTES A LA SEGURIDAD DE LA
INFORMACIÓN. .......................................................................................................................... 5
I. CORTAFUEGO ............................................................................................................... 5
TIPOS DE FIREWALL ........................................................................................................ 6
II. ADMINISTRACIÓN DE CUENTAS DE USUARIOS.................................................... 7
III. DETENCIÓN Y PREVENCIÓN DE INTRUSOS ....................................................... 9
Sistemas de detección de intrusos o IDS ................................................................... 10
Sistema de prevención de intrusos o IPS................................................................... 11
Los Firewall o Los Sistemas de Detección y Prevención de intrusos .................. 12
IV. ANTIVIRUS ................................................................................................................ 12
Métodos de funcionamiento .......................................................................................... 13
Algunos de los Virus más importantes en la historia .............................................. 13
Recomendaciones para una seguridad informática ................................................. 16
V. INFRAESTRUCTURA DE LLAVE PÚBLICA ............................................................. 17
Tipos de certificados ...................................................................................................... 18
Componentes ................................................................................................................... 19
Seguridad de los certificados ....................................................................................... 19
Ejemplos de uso .............................................................................................................. 20
VI. CAPAS DE SOCKET SEGURA (SSL) .................................................................... 20
¿Cómo funciona el certificado SSL? ........................................................................... 21
Ventajas de la seguridad SSL ....................................................................................... 22
VII. CONEXIÓN ÚNICA “SINGLE SING ON – SSO”................................................... 23
Características de Single Sign On ............................................................................... 24
Tipos de Single Sign On ................................................................................................ 25
VIII. BIOMETRÍA ............................................................................................................... 26
Tipos de dispositivos biométricos ............................................................................... 27
IX. CIFRADO ................................................................................................................... 28
Métodos de cifrado ......................................................................................................... 28
X. CUMPLIMIENTO DE PRIVACIDAD ............................................................................ 30

2
 Recomendaciones para mantener el cumplimiento de la privacidad ................... 30
Ventajas de la privacidad digital .................................................................................. 31
Desventajas de la privacidad digital ............................................................................ 31
XI. ACCESO REMOTO................................................................................................... 32
Los beneficios del acceso remoto ............................................................................... 32
Programas de Acceso Remoto ..................................................................................... 33
XII. FIRMA DIGITAL ........................................................................................................ 34
¿Para qué se utiliza? ...................................................................................................... 34
¿Cómo funciona? ............................................................................................................ 34
XIII. INTERCAMBIO ELECTRÓNICO DE DATOS “EDI” Y TRANSFERENCIA
ELECTRÓNICA DE FONDOS “EFT” ................................................................................. 36
Intercambio electrónico de datos “EDI” ..................................................................... 36
Transferencia electrónica de fondos “EFT” ............................................................... 39
XIV. REDES VIRTUALES PRIVADAS “VPNs” ............................................................. 41
Factores que considerar ................................................................................................ 42
Ventajas y desventajas................................................................................................... 43
Requerimientos básicos ................................................................................................ 43
Ejemplos de programas VPN ........................................................................................ 44
CONCLUSIÓN .......................................................................................................................... 45
INFOGRAFÍA/BIBLIOGRAFÍA ................................................................................................ 46

3
INTRODUCCIÓN

La necesidad del ser humano de modernizar y hacer su vida más fácil y eficiente ha
llevado a cambiar el modo en el que se envían datos de una persona a otra o de
una empresa a otra, gracias al internet se permiten esta movilización de datos.
Dichos datos en muchas ocasiones de gran importancia requieren ser confiable y
seguro, como antes se solía enviar al mensajero con seguridad extra para evitar
que este sea asaltado de esa manera metafórica se emplea la seguridad en la
información, enfocándonos más en el ámbito empresarial que en uso personal.
Desde que se implementó esta forma de envió de datos, surgieron también los
hackers o personas que se dedican a robar esta información para su beneficio
personal, y es cuando la seguridad era más que necesario, por ello empezaremos
a explicar el uso del Firewall o Cortafuegos, explicaremos cómo funcionan y en qué
tipos de cortafuegos se dividen, pensamos en el corta fuegos como la primera
barrera, y como cada empresa tiene sus empleados y colabores estos necesitan
tener una identificación, y más los que tienen acceso a datos, por esta razón
hablaremos de la administración de cuentas de usuarios, dela Biometría, del cifrado,
de la firma digital y la detección de intrusos; y si hablamos de intrusos los virus se
llevan ese nombre, y hablaremos de la forma de contenerlos, los antivirus y la
infraestructura de llave publica, y como toda empresa necesita enviar y recibir datos
sobre dinero , hablaremos de este tema muy importante, la transferencia electrónica
de fondos, todas estas herramientas trabajan de la mano para así lograr que la
empresa tenga una seguridad inquebrantable.
La seguridad es muy importante, a nadie le gustaría que su información o bancaria
sea pirateada, y al tratar estos temas nos dará una idea de lo que necesitaremos si
en algún momento creamos una empresa o incluso saberlos para implementarlos
en nuestra vida diaria.

4
PRINCIPALES TECNOLOGÍAS REFERENTES A LA SEGURIDAD DE LA
INFORMACIÓN.

I. CORTAFUEGO
El firewall también llamado cortafuego es un sistema o
dispositivo capaz de permitir, bloquear o decodificar
comunicaciones entre un computador y el resto de la Internet,
impidiendo que usuarios o sistemas no autorizados tengan
acceso al igual que también puede permitir al mismo tiempo
comunicaciones autorizadas.

El firewall funciona como un bloqueador para cualquier intento de acceso no

autorizado a dispositivos internos privados de redes de datos desde conexiones
externas de internet.

El firewall se fundamenta en dos reglas predefinidas que permitir únicamente las

comunicaciones autorizadas explícitamente o impide cualquier comunicación que
fue explícitamente prohibida.

Estos firewalls se suelen implementar en software y hardware:

 Firewall de software.

Son aplicaciones básicas que se instalan en el ordenador y que tienen la

misma función que los Firewall de hardware que es analizar y filtrar cualquier
elemento que entre o salga del ordenador para bloquear cualquier elemento
prohibido. Suelen ser para lugares pequeños como hogares u oficinas y ya
vienen instalados en el sistema operativo.

 Firewall de Hardware

Son dispositivos que se sitúan entre el acceso a internet y el suich que

distribuye la red. Estos dispositivos se suelen añadir a la red o también
vienen ya instalados en los Reuters debido a esto todas las computadoras
que usen Reuters están protegidas ya por el firewall del Reuter.

5
TIPOS DE FIREWALL

 Nivel de aplicación de pasarela: son eficaces y se basan en el filtrado de

paquetes. Se suele utilizar para bloquear conexiones, redes y puertos
especiales que nos permiten activar o desactivar servicios selectivamente.
 Circuito a nivel de pasarela: permite el establecimiento de sesiones de mayor
a una de menor seguridad. Vigila el establecimiento de conexiones TCP o
UDP, luego del establecimiento los elementos pueden fluir sin control.
 Cortafuegos de capa de red: este es uno de los principales tipos ya que se
considera eficaz y transparente siendo difícil de modificar. Funciona a nivel
de red como filtros para inspección direcciones e intercambios de paquetes
IP empleando datos alternos como las direcciones MAC.
 Cortafuegos de capa de aplicación: estos dispositivos realizar filtrados según
la URL a la que se está intentando acceder. Es un firewall nivel 7 llamado
Proxy que permite que los computadores entren a Internet de una forma
controlada y oculta de manera eficaz las verdaderas direcciones de red
operando en base a las aplicaciones.
 Cortafuegos personal: se usa de manera personal instalándolo como
software de un ordenador para filtrar comunicaciones entre el ordenador y el
resto de la red permitiendo o denegando comunicaciones basadas en
una política de seguridad.

6
 II. ADMINISTRACIÓN DE CUENTAS DE USUARIOS
Es importante para la seguridad de cualquier
sistema ya que previene sobre cambios no
autorizados en el sistema operativo e indica a los
archivos y carpetas a los que puede tener acceso.
En otras palabras, es la forma a través de la cual
se identifica y autentifica a un individuo con el
sistema.

El Control de cuentas de usuario se asegura de que los cambios que potencialmente

afecten a la seguridad se realicen solo con la aprobación del administrador. También
muestra el editor del programa y el origen del archivo ejecutable. Un enlace a “más
detalles” informa del certificado del editor y el acceso a la gestión de estas
notificaciones.

Las colisiones son un hecho y no importa cuánto lo intente, continuamente se

encontrará con colisiones. Debe planear métodos o nombres alternativos para las
colisiones en su convención de nombres. Hay muchas formas de solucionar estas
colisiones como lo son añadiendo números en secuencia al nombre de usuario
(mayleen1), añadiendo datos específicos al usuario al
nombre de usuario (mayleenka) o añadiendo
información adicional de la organización al nombre de
usuario (mayleen606).

A veces la persona suele cambiar o modificar el nombre de usuario ya sea porque

no le gusta o porque el trabajo se lo pide a alguno más formal. Cuando esto ocurre
se deben tomar en cuenta algunos aspectos como hacer el cambio en todos los
sistemas, mantener toda la información del usuario y cambiar los recursos y
archivos al usuario.

Principales problemas al cambiar el nombre del usuario:

7
  Al cambiar el nombre, propagarlo en todos los sistemas porque si no es así,
algunos sistemas funcionaran y otros no.

 Para evitar problemas al cambiar el usuario se recomienda mantener el

mismo número de identificación ya que de lo contrario no podría acceder a
sus archivos y otros recursos.

 Lo más difícil es el cambio de nombre de usuario en el correo electrónico

debido a que si no se cambia correctamente los correos estos podrían ser
dirigidos aun al antiguo usuario.

Existen dos tipos de controles de cuentas de usuario:

 Control de cuentas de usuario Windows

En este control se ejecutan predeterminadamente y sin

ningún permiso las aplicaciones. No pueden cambiar nada
en el sistema, archivo o configuración de registro ni tampoco
las propiedades de otra cuenta. Las aplicaciones pueden
modificar los archivos y registros y sus configuraciones.

 Control de cuentas de usuario Linux

Este controla el acceso al equipo y a sus recursos a través de

las cuentas de usuarios y grupos. es un sistema operativo
multiusuario en el que varias personas pueden trabajar de
manera simultánea con el sistema a través de conexiones
remotas.

Es muy importante habilitar el uso de contraseñas para poder abrir una sesión en el
equipo desde el punto de vista de la seguridad. Para el resto de las cuentas de
usuario también es necesario establecer una contraseña de acceso para proteger
el espacio privado de cada usuario del equipo.

8
Para la seguridad el programa de instalación configura sistemas que no debería
cambiar como el Message-Digest Algorithm (MD5) y contraseñas Shadow. Shadow
es un programa de ordenador que permite mejorar el sistema de contraseñas y el
MD5 se emplea para codificar contraseñas en bases de datos y generar una huella
de archivo para asegurar que no haya cambios en el mismo tras una transferencia.

Si elimina el sistema, cambiaria a utilizar el Data

Encryption Standard (DES) que limita las contraseñas a
ocho caracteres alfanuméricos y no permite caracteres
de puntuación o especiales y proporciona un nivel de
encriptación de 56 bits.

Las contraseñas deberían ser tan difíciles de adivinar como sea posible. Una
contraseña robusta es lo más recomendable para proteger tu contraseña de
intrusos, como esta 7May@lee@n@7 y así estar menos propenso a un ataque
pirata o de intrusos.

III. DETENCIÓN Y PREVENCIÓN DE INTRUSOS

El sistema de detección y prevención de intrusos es una de las herramientas
utilizadas para proteger las infraestructuras de manejo de información que resulta
fundamental para ayudar a los profesionales de seguridad en la detección y pronta
respuesta ante ataques y anomalías que permitan
estudiar el origen y estructura de los ataques cibernéticos
para crear herramientas y procesos mejorados que
permitan contrarrestar futuros ataques. En otras
palabras, es un sistema que detecta, identifica y
responde a actividades no autorizadas o anormales.

9
 Estos sistemas pueden aplicarse tanto a nivel de
software o bien, a nivel hardware mediante equipos
especializados. Es sumamente recomendable optar por
estos sistemas, en especial si es que deseamos
garantizar que las amenazas de ataques informáticos se
materialicen o bien, que generen el menor nivel de
impacto posible.

Sistemas de detección de intrusos o IDS

El sistema de detección de intrusos es una herramienta muy poderosa ya que se

une la inteligencia del IDS y el poder de bloqueo del firewall, siendo por donde deben
pasar los paquetes y así puedan ser bloqueados antes de penetrar en la red.

se encargan de monitorear y detectar comportamientos y eventos sospechosos

tanto en host como en red en tiempo real, luego,
estos sistemas evolucionaron a sistemas de
prevención de intrusos (IPS), que adoptan un
enfoque de prevención y rápida respuesta ante los
eventos sospechosos.

Los sistemas de detección de intrusos pueden clasificarse en:

 Host IDS o HIDS: operan en un host para detectar actividad maliciosa en el

mismo. depende del éxito de los intrusos para así detectar tales
modificaciones en el equipo afectado, y hacer un reporte de sus
conclusiones.
 Network IDS o NIDS: operan sobre los flujos de información intercambiados
en una red detectando así ataques a todo el segmento de la red. Su interfaz
debe funcionar en modo promiscuo capturando así todo el tráfico de la red.
 Knowledge IDS: son sistemas basados en conocimiento.

10
  Behavior IDS: sistema que asume que una intrusión puede ser detectada
observando una desviación respecto del comportamiento normal o esperado
de un usuario en el sistema y se basan en el comportamiento.
 Identificación reactiva: detecta actividad malintencionada, alerta al
administrador de las amenazas y responde a las amenazas.

Sistema de prevención de intrusos o IPS

Es un software que ejerce el control de acceso en una red

informática para proteger a los sistemas computacionales
de ataques y abusos. La tecnología de prevención de
intrusos es considerada por algunos como una extensión
de los sistemas de detección de intrusos, pero en realidad
es un tipo de control de acceso cercano a los cortafuegos.

Los IPS se clasifican en cuatro diferentes tipos:

 Basados en Red LAN o NIPS: monitorean la red LAN en busca de tráfico de
red sospechoso al analizar la actividad por protocolo de comunicación LAN.
 Basados en Red Wireless o WIPS: monitorean la red inalámbrica en busca
de tráfico sospechoso al analizar la actividad por protocolo de comunicación
inalámbrico.
 Análisis de comportamiento de red o NBA: Examina el tráfico de red para
identifica amenazas que generan tráfico inusual, como ataques de
denegación de servicio ciertas formas de malware y violaciones a políticas
de red.
 Basados en Host o HIPS: Se efectúa mediante la instalación de paquetes de
software que monitorean un host único en busca de actividad sospechosa.

11
Los Firewall o Los Sistemas de Detección y Prevención de intrusos

Los Firewall es la primera línea de defensa que bloquea o niega el acceso de

cualquier sistema que quiera acceder sin autorización y también busca intrusos en
la red. Mientras que los Sistemas de Detección y Prevención de intrusos pueden
investigar el contenido y los archivos
de registros de Firewalls, Reuters y
otros con el fin de evaluar intrusiones
sospechosas que han tenido lugar y
genera una alerta de ello al operador.

IV. ANTIVIRUS
Los antivirus son programas cuyo objetivo es detectar y eliminar virus informáticos.
Uno de los primeros antivirus que se tiene documentado fue el realizado de
manera ex profeso por Omri y Rakvi (Universidad Hebrea de Jerusalén) para
combatir al virus Jerusalén en 1987. Luego agregaron detección para otras
amenazas informáticas y fundaron la compañía BRM. El software fue vendido
a Symantec (ahora llamada NortonLifeLock); en los años siguientes Check
Point invirtió una gran cantidad de dinero para desarrollar más opciones de software
contra virus. (virus Jerusalén: Este virus se auto instalaba en la RAM de las
computadores, tomando el control de las interrupciones entre las 8:00 y las 21:00.
Desde allí afectaba únicamente a los
archivos .EXE y .COM. Aparentemente, los
efectos del virus Jerusalén no parecían
devastadores, pues solo ralentizaban los
procesos realizados por el usuario mientras
trabajaba con archivos instalados en su
ordenador. Esta lentitud era causada por
un bucle infinito sin instrucción alguna en la INT
8h.

12
Métodos de funcionamiento

De acuerdo a la tecnología empleada, un motor de antivirus puede funcionar de

diversas formas, pero ninguno es totalmente efectivo, según lo demostrado
por Frederick Cohen,( Es conocido por sus trabajos pioneros sobre los virus
informáticos, por el desarrollo de los sistemas operativos de alta integridad y la
automatización de las funciones en la administración de protección.)

Algunos de los mecanismos que usan los antivirus para detectar virus son:

 Firma de virus: El antivirus dispone de una base de datos en las que

almacena firmas de virus.
 Detección heurística: Consiste en el escaneo de los archivos buscando
patrones de código que se asemejan a los que se usan en los virus.
 Detección por comportamiento: consiste en escanear el sistema tras detectar
un fallo o mal funcionamiento.
 Detección por caja de arena (o sandbox): consiste en ejecutar el software en
máquinas virtuales y determinar si el software ejecuta instrucciones
maliciosas o no.

Algunos de los Virus más importantes en la historia

1- Gusano Morris (1988)

El malware ralentizaba enormemente los equipos en los

que se alojaba, además de crear procesos y archivos
en carpetas temporales

2. CIH/Chernobyl (1998)

13
Su nombre se debe al día en que fue activado: el 26 de
abril, el mismo en que tuvo lugar la archiconocida
hecatombe nuclear en Rusia. formateaba el disco duro
de los equipos borrando toda la información
almacenada. Al mismo tiempo, acababa con el
contenido de la BIOS (lo que provocaba que el
ordenador no pudiese arrancar) e infectaba los ficheros ejecutables en los
sistemas con Windows 95 y Windows 98.

3. Melissa (1999)

Este virus empleaba técnicas

de ingeniería social con el fin de engañar
al usuario. Llegaba por correo
electrónico, y en el asunto se podía leer
«Aquí está el documento que me pediste…
no se lo enseñes a nadie». Una vez se
abría el mensaje, este se reenviaba a los
50 primeros contactos que encontrase en la cuenta del afectado.

4. ILove You (2000)

El malware se presentaba como un mensaje de

amor, llamado «Love letter for you», que llegaba
a los afectados disfrazado de correo electrónico.
Una vez activado, el virus sustituía los archivos
del dispositivo por copias y trataba de descargar
un troyano que robaba toda la información del
usuario.

14
5. Mydoom (2004)

Llegaba a los ordenadores bajo un mensaje en el

que se podían leer palabras como «Error» o
«Prueba». Una vez se activaba, se abría el bloc de
notas del equipo, en el que comenzaba a aparecer
un texto ilegible. Tras esto, se reenviaba a todos los
contactos del usuario. Además, contaba con puerta
de atrás, por lo que permitía que otros usuarios pudiesen acceder a los equipos
infectados.

6. Conficker (2008)

Conficker era capaz de replicarse a sí

mismo; Una vez activado, el equipo
infectado perdía varios servicios de
Windows. Al mismo tiempo, trataba
de descargar un troyano. Este malware
trajo a Microsoft de cabeza. Tanto que la
empresa llegó a ofrecer una recompensa de 250.000 dólares por el nombre de
su creador.

7. WannaCry (2017)

El último gran ataque masivo de la historia

de la informática. Este virus, presuntamente
de origen norcoreano, puso en jaque a
empresas de todo el mundo, entre
ellas Telefónicas. WannaCry se dedicaba
a encriptar los datos que encontraba en los
sistemas que infectaba provocando que fuesen inaccesibles para el usuario.

15
Recomendaciones para una seguridad informática

 Actualizaciones regulares: En primer lugar, debes mantener el software

de tu equipo lo más actualizado posible y las actualizaciones periódicas
te ayudarán. Las actualizaciones ayudan a eliminar posibles agujeros de
seguridad.
 Proteje tu equipo con programas antivirus: Recomendamos un programa
antivirus actualizado que ayude a proteger el equipo de virus y troyanos.
Los programas de este tipo escanean el ordenador, manual o
automáticamente, e informan de cualquier problema que se produzca.
Existen tres tipos diferentes de análisis: el análisis en tiempo real, el
análisis manual y el análisis en línea.
 ¡Atención a fuentes de datos desconocidas!: Las fuentes de datos
desconocidas, por ejemplo, memorias USB o discos duros externos.
Estos parecen ser seguros a primera vista, pero pueden contener
malware o archivos contaminados con virus.
 Precaución con archivos desconocidos en Internet: Como medio de
comunicación más importante, el correo electrónico presenta un riesgo
especialmente elevado en lo que se refiere a la suplantación de identidad.
 ¡No debes abrir archivos adjuntos de correo electrónico de remitentes
desconocidos!: Puedes utilizar un programa antivirus para comprobar los
archivos adjuntos del correo electrónico, de modo que esté seguro.
 Cuidado al instalar un software nuevo: Es muy probable que todos los que
navegan por Internet ya hayan instalado algún software. También en este
caso debe comprobarse de antemano si la fuente tiene buena reputación
y en qué medida.
 Copias de seguridad regulares: A pesar de todas las precauciones de
seguridad, es posible que el equipo se haya infectado con troyanos u
otros programas malintencionados.

16
 V. INFRAESTRUCTURA DE LLAVE PÚBLICA
Una infraestructura de clave pública (PKI) es una combinación
de hardware, software, y políticas y procedimientos de seguridad, que permiten la
ejecución con garantías de operaciones criptográficas, como el cifrado, la firma
digital, y el no repudio de transacciones electrónicas.

El término PKI se utiliza para referirse tanto a la autoridad de certificación y al resto

de componentes, como para señalar, de manera más amplia y a veces confusa, al
uso de algoritmos de clave pública en comunicaciones electrónicas. Este último
significado es incorrecto, ya que no se requieren métodos específicos de PKI para
usar algoritmos de clave pública. Propósito y funcionalidad.

La tecnología PKI permite a los usuarios autenticarse frente a otros usuarios y usar la
información de los certificados de identidad (por ejemplo, las claves públicas de otros
usuarios) para cifrar y descifrar mensajes, firmar digitalmente información, garantizar el no
repudio de un envío, y otros usos.

En una operación criptográfica que use PKI, intervienen conceptualmente como

mínimo las siguientes partes:

 Un usuario iniciador de la operación.

 Unos sistemas servidores que dan fe de la ocurrencia de la operación y
garantizan la validez de los certificados implicados en la operación
(autoridad de certificación, Autoridad de registro y sistema de Sellado de
tiempo).

17
  Un destinatario de los datos cifrados/firmados/enviados garantizados por
parte del usuario iniciador de la operación (puede ser él mismo).

Tipos de certificados

Existen diferentes tipos de certificado digital, en función de la información que contiene cada
uno y a nombre de quién se emite el certificado:

 Certificado personal, que acredita la identidad del titular.

 Certificado de pertenencia a empresa, que además de la identidad del titular
acredita su vinculación con la entidad para la que trabaja.
 Certificado de representante, que además de la pertenencia a empresa
acredita también los poderes de representación que el titular tiene sobre la
misma.
 Certificado de persona jurídica, que identifica una empresa o sociedad como
tal a la hora de realizar trámites ante las administraciones o instituciones.
 Certificado de atributo, el cual permite identificar una cualidad, estado o
situación. Este tipo de certificado va asociado al certificado personal. (p.ej.
Médico, director, Casado, Apoderado de..., etc.).

Además, existen otros tipos de certificado digital utilizados en entornos más técnicos:

 Certificado de servidor seguro, utilizado en los servidores web que quieren

proteger ante terceros el intercambio de información con los usuarios.

18
  Certificado de firma de código, para garantizar la autoría y la no modificación
del código de aplicaciones informáticas.

Componentes

Los componentes más habituales de una infraestructura de clave pública son:

 La autoridad de certificación (o, en inglés, CA, Certificate Authority): es la

encargada de emitir y revocar certificados.
 La autoridad de registro (o, en inglés, RA, Registration Authority): es la
responsable de verificar el enlace entre los certificados y la identidad de sus
titulares.
 Los repositorios: son las estructuras encargadas de almacenar la información
relativa a la PKI. Los dos repositorios más importantes son el repositorio de
certificados y el repositorio de listas de revocación de certificados.
 La autoridad de validación (o, en inglés, VA, Validation Authority): es la
encargada de comprobar la validez de los certificados digitales.
 La autoridad de sellado de tiempo (o, en inglés, TSA, TimeStamp Authority):
es la encargada de firmar documentos con la finalidad de probar que existían
antes de un determinado instante de tiempo.
 Los usuarios y entidades finales son aquellos que poseen un par de claves
(pública y privada) y un certificado asociado a su clave pública.

Seguridad de los certificados

La seguridad en la infraestructura PKI depende en parte de cómo se guarden las claves

privadas. Existen dispositivos especiales denominados tokens de seguridad para facilitar la
seguridad de la clave privada, así como evitar que ésta pueda ser exportada. Estos
dispositivos pueden incorporar medidas biométricas, como la verificación de huella dactilar,
que permiten aumentar la confiabilidad, dentro de las limitaciones tecnológicas, en que sólo
la persona dueña del certificado pueda utilizarlo.

19
Ejemplos de uso

Los sistemas de PKI, de distintos tipos y proveedores, tienen muchos usos, incluyendo la
asociación de una llave pública con una identidad para:

 Cifrado y/o autenticación de mensajes de correo electrónico (ej.,

utilizando OpenPGP o S/MIME).
 Cifrado y/o autenticación de documentos (ej., la firma XML o el cifrado XML
si los documentos son codificados como XML).
 Autenticación de usuarios o aplicaciones (ej., logo por tarjeta inteligente,
autenticación de cliente por SSL).
 Bootstrapping de protocolos seguros de comunicación, como IKE y SSL.
 Garantía de no repudio (negar que cierta transacción tuvo lugar).

VI. CAPAS DE SOCKET SEGURA (SSL)

La capa de conexión segura, o Secure Sockets Layer (SSL) en
inglés, es un protocolo de seguridad tecnológica. El SSL se
encarga de establecer un vínculo encriptado asegurando que
todos los datos que se transmiten entre un servidor web y un
navegador se mantienen íntegros y privados.

Esto puede resultar muy útil en casos como, por ejemplo, en los que los clientes van
a introducir sus datos sensibles como números de tarjetas bancarias, de
identificación (pasaporte o DNI), dirección, etc. Es decir que la SSL es una
tecnología estandarizada que permite cifrar el tráfico de datos entre un navegador
web y un sitio web (o entre dos servidores web), protegiendo así la conexión. Esto

20
impide que un hacker pueda ver o interceptar la información que se transmite de un
punto a otro, y que puede incluir datos personales o financieros.

¿Cómo funciona el certificado SSL?

Una de las formas más comunes de proceder de los hackers es el

“ataque intermediario”. Este ataque consiste en colocar un programa
de espionaje indetectable en el servidor del sitio web y éste capta la
información que los internautas insertan en la web y se la manda al
hacker.

Cuando una página web tiene el cifrado SSL, el navegador establece una conexión
segura con el servidor web y evita que nadie pueda acceder o ver lo que el usuario
escribe en el navegador. Para crear una conexión SSL hay que adquirir un
certificado SSL, el cual creará dos llaves: una privada y una pública. La llave pública
se inserta en una solicitud de firma de certificado (Certificate Signing Request, CSR)
que contendrá el nombre del dominio, el nombre de la empresa, la dirección. Esto
se envía a la autoridad de certificación para que valide los detalles y emita el
certificado SSL y le permita usar la capa de conexión segura. De esta manera, se
establece un encriptado rápido entre el sitio web y el navegador del internauta.

El usuario puede saber cuándo una página web es segura gracias al certificado
SSL por una serie de detalles:
La URL empieza por “https://” en vez de por “http://”

21
Se ve un candado
verde seguido de “Es
seguro” antes de la
URL, y si lo pinchas,
sale el siguiente
cuadro con la
información
pertinente.

Ventajas de la seguridad SSL

Son muchas las transacciones y comunicaciones que realizamos cada día a través
de Internet, por lo que usar SSL es en realidad lo más lógico. El SSL es compatible
con los siguientes principios de seguridad de la información:

Cifrado: protege la transmisión de datos (p. ej., de

navegador a servidor, de servidor a servidor, de
aplicación a aplicación, etc.).

Autenticación: garantiza que el servidor al que se conecta es, en efecto, el servidor

correcto.

Integridad de los datos: garantiza que los datos solicitados o enviados son
realmente los datos legítimos

22
El SSL puede utilizarse para proteger:

 Las transacciones mediante tarjeta de crédito a través de Internet u otros

pagos a través de Internet.
 Los servidores de correo web, como el acceso web a Outlook o los servidores
Exchange y Office Communications.
 La conexión entre un cliente de correo electrónico como Microsoft Outlook y
un servidor de correo electrónico como Microsoft Exchange.
 La transferencia de archivos mediante HTTPS y los servicios de FTP, como
las actualizaciones de nuevas páginas por parte del responsable del sitio web
o la transferencia de archivos de gran tamaño.

VII. CONEXIÓN ÚNICA “SINGLE SING ON – SSO”

En el ámbito de las TI, el Single Sign on, también llamado
“inicio de sesión único”, consiste en un proceso de
autenticación que, por lo general, consta siempre de los
mismos pasos:

 El usuario inicia sesión una vez en el dispositivo.

 Automáticamente, puede acceder a todos los ordenadores y servicios para
los cuales haya obtenido autorización local.
 En cuanto el usuario cierra la sesión en el dispositivo, se cancelan todos los
derechos de acceso. Esto puede ocurrir al final de un plazo de tiempo

23
 programado, si el usuario apaga el equipo o si ejecuta manualmente el single
sign out, single sign off.

Por lo tanto, el SSO es una manera de acceder a múltiples aplicaciones

interrelacionadas, aunque independientes, con las que el usuario solo tiene que
iniciar sesión una única vez en lugar de introducir los datos de acceso individuales
de cada software. Debido a su facilidad de uso, los
servicios de single sign on se utilizan tanto en el ámbito
privado (aplicaciones web y nubes privadas) como en
el profesional (aplicaciones internas de empresa y
portales en Intranet)

Características de Single Sign On

Este procedimiento de autenticación facilita las tareas de acceso a las diferentes

plataformas, además cuenta con otras importantes características en aspectos de
gestión sencilla, seguridad, facilidad de uso y transparencia.

Gestión sencilla: El uso de SSO realiza la sincronización de contraseñas e

información del usuario, lo que proporciona la simplificación del acceso a los
diferentes plataformas y recursos.

Seguridad: Este sistema de autenticación mejora la seguridad de la red y de las

aplicaciones. Single Sign On puede identificar inequívocamente a un usuario por lo
que cumple con normas más exigentes respecto a la seguridad.

Facilidad de uso: Las soluciones SSO mejoran la experiencia del usuario evitando
las interrupciones producidas por las solicitudes de contraseñas para acceder a sus
herramientas informáticas.

Transparencia: Los accesos a todas las aplicaciones por parte del usuario se
realizan de forma transparente debido a la automatización del inicio de sesión.

24
Tipos de Single Sign On

 Enterprise Single Sign on (E-SSO): Este tipo de sistema

opera como una autenticación primaria interceptando los
requisitos de login que se requieren por las aplicaciones
secundarias con el fin de completar los campos de usuario
y contraseña. El sistema E-SSO permite la interacción con
otros sistemas que pueden deshabilitar la pantalla de
login.

 Web single sign-on (Web-SSO): Este tipo de solución opera solo

con aplicaciones a las que es posible acceder a través de la web
y que tienen como objetivo la autenticación de un usuario en
diversas aplicaciones sin la necesidad de volver a introducir una
identificación.

 Identidad federada: Este tipo de

Single Sign On corresponde a una
solución de gestión de identidad
que utiliza estándares para
habilitar que las aplicaciones
puedan identificar a los clientes
sin la necesidad de una
autenticación redundante. Por
ejemplo, en el caso de las empresas.

25
  Open ID: Open ID es un proceso de
SSO descentralizado en el que la
identidad del usuario se compila en
una URL que cualquier servidor
puede verificar.

VIII. BIOMETRÍA
La biometría son las medidas biológicas, o características físicas, que se pueden
utilizar para identificar a las personas. Si bien la clasificación de huellas dactilares,
el reconocimiento facial y los exámenes de retina son todas formas de tecnología
biométrica, también son las opciones más conocidas.

Las técnicas biométricas existentes se clasifican en función del rasgo analizado:

• Fisiológico: el reconocimiento de huella dactilar, de iris, de retina y de rostro,

entre otros.

• De comportamiento: el reconocimiento de voz, de firma o de la manera de

andar, entre otros

Cuando se hace referencia a las computadoras y la seguridad, la biometría es la

identificación de una persona mediante la medición de sus características
biológicas. Por ejemplo, un usuario que se identifica a una computadora o edificio
por su huella dactilar o voz se considera una identificación biométrica.

Cuando se compara con una contraseña, este tipo de sistema es mucho más difícil
de falsificar ya que es único para la persona.

26
Tipos de dispositivos biométricos

 Escáner de la cara – escáneres biométricos faciales

identificar a una persona mediante la adopción de medidas
de la cara de una persona. Por ejemplo, la distancia entre la
barbilla, los ojos (distancia interpupilar), la nariz y la boca de
la persona.

 Escáner de mano - al igual que su huella dactilar, la palma de

su mano también es única para usted. Un escáner de mano
biométrico identificará a la persona con la palma de su mano.

 Escáner de dedos - al igual que la imagen que se

muestra en esta página, un escáner biométrico de
dedos identifica a la persona por su huella dactilar.

 Escáner de retina o iris - una retina biométrica o un escáner

de iris identifica a una persona escaneando el iris o la retina
de sus ojos. Estos escáneres son esquemas de
autenticación biométrica más seguros.

 Escáner de voz - finalmente, un escáner de análisis

de voz analizará matemáticamente la voz de una
persona para identificarlos. Estos escáneres
pueden ayudar a mejorar la seguridad, pero con
algunos escáneres menos sofisticados pueden pasarse por alto con una
grabación de cinta.

27
IX. CIFRADO
El cifrado es un método que permite aumentar la seguridad de un mensaje o de un archivo
mediante la codificación del contenido, de manera que solo pueda leerlo la persona que
disponga de la clave de cifrado adecuada para descodificarlo. Por ejemplo, si realiza una
compra en un sitio web, la información de la transacción (como su dirección, número de
teléfono y número de tarjeta de crédito) suele cifrarse con el fin de mantenerla a salvo.

Para que todo el proceso funcione cada usuario debe disponer de un par de claves, similar
a tener dos llaves, una que daremos a la gente (clave pública) y otra que no daremos a
nadie (clave privada).

Clave pública: se la enviaremos a todo el mundo que la quiera, la subiremos a un servidor,

o a nuestra web... Esta clave permitirá a la gente verificar nuestra firma y crear mensajes
cifrados para nosotros.

Clave privada: no se la daremos a nadie, ya que nos permitirá firmar y descifrar correo.

Métodos de cifrado

El cifrador de Polybios: siglo II a.C. El cifrador por sustitución de caracteres más antiguo
que se conoce. Atribuido al historiador griego Polybios, el cifrador consistía en hacer
corresponder a cada letra del alfabeto un par de letras
que indicaban la fila y la columna en la cual aquella se
encontraba, en un recuadro de 5x5 = 25 caracteres. En
la figura, se muestra una tabla para cifrar de Polybios
adaptada al inglés, con un alfabeto de cifrado A, B, C, D
y E; aunque también se suele representar el alfabeto con los números 1, 2, 3, 4 y 5.

Entonces en este método, la letra A se cifrará como AA, y la H como BC, etc. Por ejemplo,
si tenemos el mensaje: M = QUE BUENA IDEA LA DEL GRIEGO.

28
El criptograma sería: C = DADEAE ABDEAECCAA BDADAEAA CAAA ADAECA
BBDBBDAEBBCD. Y usando el alfabeto numérico tenemos: C = 414515 1245153311
24141511 3111 141531 224224152234.

El cifrador del César: siglo I a.C., aparece un cifrador básico llamado el cifrador del César
en honor al emperador Julio César y en el cual ya se aplicaba una transformación del texto
en claro del tipo monoalfabética. El cifrador estaba basado en la sustitución de una letra por
la situada tres puestos después en el alfabeto latino. En la figura, se muestra el alfabeto y
por tanto la transformación que utiliza este
cifrador por sustitución de caracteres para el
alfabeto castellano de 27 letras.

Entonces tenemos:

Cifrado: Ci = Mi + 3 mod 27 Descifrado: Mi = Ci - 3 mod 27.

Por ejemplo, si tenemos el mensaje: M1 = AL CÉSAR LO QUE ES DEL CÉSAR.

El criptograma sería: C1 = DÑ FHVDU ÑR TXH HV GHÑ FHVDU.

El cifrador de Vigenère: El cifrador polialfabético más conocido es

el sistema de Vigenère, así denominado en honor al criptólogo
francés Blaise de Vigenère (1523-1596). El sistema utiliza el
mismo método que el cifrador del César, esto es una sustitución
monográmica por desplazamiento de que caracteres en el texto,
con la diferencia de que dicho desplazamiento viene indicado por
el valor numérico asociado a uno de los caracteres de una clave
que se escribe cíclicamente bajo el mensaje como se indica a
continuación:

Entonces, en este caso la clave CERVANTES tendrá una periodicidad de 9, pues son los
caracteres que forman esta palabra.

Entonces el resultado final será el criptograma: C =GQMILHZEKF ICVMNGGZCH VXULI.

29
 X. CUMPLIMIENTO DE PRIVACIDAD
La privacidad de información es el aspecto de la tecnología de la información (TI)
que se ocupa de la capacidad que una organización o individuo tiene para
determinar qué datos en un sistema informático pueden ser compartidos con
terceros. El cumplimiento de la privacidad es muy importante para las
organizaciones ya que es el estímulo que ayuda a proteger las aplicaciones y los
datos confidenciales de su organización y no el resultado final. Esta es la razón por
la que las organizaciones deben abordar las estrategias para el cumplimiento de las
normativas y la reducción de los riesgos generales de seguridad informática de
forma conjunta, mediante un mayor esfuerzo en la seguridad de las aplicaciones, el
control del acceso a los datos, la gestión de la identidad y el acceso, así como con
las mejores prácticas de seguridad informática relacionadas.

Si a lo largo de la comprobación se encuentra algún incumplimiento, el sujeto

autorizado tendrá que:

 Establecer las causas que han llevado al incumplimiento.

 Evaluar las medidas que se tienen que tomar para asegurar que no vuelva a
suceder el incumplimiento.
 Determinar e implementar las acciones correctivas necesarias.
 Revisar las acciones correctivas utilizadas, para saber si están funcionando.

Recomendaciones para mantener el cumplimiento de la privacidad

 Mantener los sistemas actualizados con los últimos parches de seguridad.

 Proteger el acceso al centro de datos y formar en seguridad a los empleados.

30
  Revisar las características de los dispositivos para asegurarnos de que no puedan
ser accesibles de forma física.
 Detección de intrusiones en dispositivos e información.
 Es probable que las implementaciones de IOT deban cumplir una serie de
requisitos normativos relacionados con la privacidad

Ventajas de la privacidad digital

 Aumentar la seguridad de la información y protege frente a fraudes,

ciberataques como hackeos o suplantación de identidad.
 Decidir cuál es nuestra identidad digital, es decir, la imagen que internet
proyecta de nosotros al resto de usuarios
 Permitir que solo accedan a nuestros datos aquellos usuarios, empresas o
proveedores de servicios a los que hayamos otorgado nuestro
consentimiento.
 Adecuar a nuestro perfil y nuestros intereses los contenidos, productos o
servicios que se nos ofrecen.
 Concienciar cada vez más a la gente sobre la importancia de proteger los
datos personales en internet.

Desventajas de la privacidad digital

 Internet es una red inmensa, en la que circula una cantidad ingente de datos.
Por tanto, tratar de controlar todo este flujo de información no es un objetivo
realista. Como se suele decir, sería como poner puertas al campo.
 Entra en conflicto con los intereses de grandes empresas y corporaciones.
Muchas de estas compañías tienen un enorme poder y prefieren hacer frente
al pago de multas antes que hacer caso a las normas sobre privacidad que
dictan los gobiernos.
 Todavía existe mucha gente que no comprende la importancia de proteger la
información digital. Muchas personas siguen aceptando términos y
condiciones de uso sin leerlas.

31
  A las generaciones pasadas les cuesta adaptarse a las nuevas exigencias
en este campo, ya que la era digital avanza rápidamente y no espera por
nadie.

XI. ACCESO REMOTO

Acceso remoto se define como la capacidad de acceder a
cualquier computadora o red desde una computadora que se
encuentra a una distancia lejana. Acceso remoto es proporcionar
una conexión remota entre una computadora con una red u otro
dispositivo. En muchas empresas y organizaciones de software,
la gente necesita viajar por negocios o realizar trabajos remotos
en el lugar del cliente. Mientras viaja, o cuando están en el
campo, la necesidad puede surgir cuando el empleado puede
acceder a la red de su empresa. Esto es cuando el uso de acceso
remoto entra en jugo. En palabras simples, acceso remoto puede
explicarse con el ejemplo de conexión a internet de usuarios
particulares. Los usuarios pueden conectarse a internet durante
el contacto lejano a un proveedor de servicios de Internet.

Los beneficios del acceso remoto

 Mejor productividad y flexibilidad del trabajo

 Mejor seguridad de extremo a extremo

 Menores costos con BYOD (Bring your own device Es una política
empresarial consistente en que los empleados lleven sus
propios dispositivos personales a su lugar de trabajo)

 Mejor continuidad del negocio

 Mejor adquisición del talento

32
Programas de Acceso Remoto

 GoToMyPC: Es una de las mejores

soluciones de acceso remoto para PC
que hay hasta el momento. Tiene la
capacidad de superar casi todos los
problemas asociados. La principal
función de este software es que da acceso a total a la PC remota. Esto no
significa que solamente permita el uso de archivos ubicados en la otra
computadora, sino que permite utilizar todos sus programas y hasta la red a
la que está conectada.

 Teamviewer: Es una aplicación profesional

de acceso remoto que está enfocada
principalmente a usuarios empresariales.
Aunque existe una versión gratuita para uso
privado que contiene casi todas las mismas
funciones que la versión profesional.

 Laplink Everywhere: Es una excelente herramienta de acceso

remoto a PC que permite acceder desde casi cualquier
dispositivo que cuente con navegador web y conexión a
Internet, esto quiere decir que se puede acceder desde otra
PC, un Smartphone e inclusive desde el Nintendo Wii.

 LogMeIn Pro: LogMeIn, es una compañía dedicada a la producción de

diversos productos para acceso remoto, pero la aplicación que más interesa
es LogMeIn Pro, que cuenta con una versión
gratuita, pero con sus respectivas limitaciones. La
principal ventaja de este software es que permite

33
 el acceso remoto a diferentes equipos, incluyendo archivos y ciertos
programas desde cualquier lugar con conexión a Internet.

XII. FIRMA DIGITAL

Para garantizar la seguridad, la trasmisión de datos y hacer posible la identificación a través
de la red, se ha creado la firma digital. La firma digital es un esquema matemático para la
verificación de la autenticidad de los mensajes digitales o documentos. Es un mecanismo
criptográfico que permite al receptor de un mensaje firmado digitalmente identificar a la
entidad originadora de dicho mensaje (autenticación
de origen y no repudio), y confirmar que el mensaje
no ha sido alterado desde que fue firmado por el
originador (integridad). Es decir que es un conjunto
de datos por resumen cifrado asociado a un mensaje
que permiten garantizar con total seguridad la
identidad del firmante y la integridad del documento
enviado.

¿Para qué se utiliza?

La firma digital Permite validar la identidad del otro extremo de la comunicación, bien sea
una persona o una entidad, lo que indica falsificaciones y supone también una garantía en
la seguridad del envío y acceso a datos de carácter confidencial y es una defensa contra el
robo, el espionaje y una pérdida de información crítica.

La aplicación de la firma digital en nuestra actividad diaria deja atrás las filas y
desplazamientos para realizar gestiones de manera presencial y evitar la suplantación de
personalidad en la red. Ahora se pueden realizar transacciones seguras de forma remota.

¿Cómo funciona?

Se basa en dos claves numéricas una privada y una pública con una relación matemática
entre ellas, que generan a partir de un certificado digital solicitado por el usuario a una

34
entidad de certificación acreditada o a través del DNI (Documento Nacional de Identidad)
electrónico. La clave privada debe ser conocida únicamente por su titular, se almacena
normalmente en el disco duro o en una tarjeta criptográfica. La clave pública en cambio se
distribuye junto con el mensaje firmado, si la clave del cifrado sólo la tiene una persona, lo
que cifre esa persona podrá ser utilizado como su firma electrónica, ya que sólo ella puede
realizar.

Existen muchas aplicaciones informáticas que

nos ayudan a firmar electrónicamente un
documento que son fácilmente asequibles.
Primero tienen una huella digital del mensaje,
un dato que la identifica inequívocamente
frente a cualquier otro documento y que se
extrae mediante la aplicación de una función
llamada HASH, a esta huella digital se le aplica
una segunda función para cifrarla con la clave
privada del firmante, el resultado de este
proceso es la firma digital propiamente dicho.

A continuación, se encapsula toda la información en un único fichero, ya firmado incluye el

documento original, la huella digital cifrada con la clave privada y la clave pública del
firmamento.

Ahora ya está listo para ser enviado, por ejemplo, por correo electrónico, una vez recibido
el destinatario puede verificar la identidad del remitente y comprobar que el documento no
ha sido interceptado y modificado por nadie lo hace mediante el uso de un software que
aplique la función HASH al documento recibido y extrae la huella del mensaje.

Por otro lado, y utilizando la clave pública enviada en el mensaje se descifra la firma digital,
el resultado es una huella que debe coincidir con la del mensaje si esto es así, existe la
garantía de que el documento no ha sido modificado y de que ha sido emitido por el titular
de la firma.

Existen varios tipos de firmas:

35
  La básica es la que recoge la huella digital, el certificado del firmante y la propia
firma.
 La firma afichada añade la referencia temporal sobre el momento de la firma.
 La firma validada añade datos sobre la vigencia del certificado de empleado.

XIII. INTERCAMBIO ELECTRÓNICO DE DATOS “EDI” Y TRANSFERENCIA

ELECTRÓNICA DE FONDOS “EFT”
Intercambio electrónico de datos “EDI”

EDI, que es intercambio electrónico de datos. Es un método de comunicación usando

mensajes estándar desde un sistema de ordenadores a otro, sin intervención humana
usando medios electrónicos, ambos sistemas utilizan el mismo estándar de forma que dos
compañías diferentes, en dos países distintos puedan intercambiar documentos como
órdenes de compras, recibos, órdenes de entrega, etc., sin que haya intervención humana
que pueda introducir errores.

El EDI es muy antiguo, está inspirado por la logística militar, que fue necesario crear en
1948 cuando hubo que transportar por aire todas las mercancías de Berlín por el bloqueo
soviético y después de esto la primera evolución en los años 70 de los sistemas EDI fue el
control de mercancías en puertos y aeropuertos.

Los fundamentos del EDI

 Formato compatible: Es un formato compatible para que dos instituciones internas

o externas se puedan entender.

36
  Ruta de comunicación entre entidades: Realmente dentro del concepto de EDI está
todo el proceso de intercambio electrónico de datos incluyendo la transmisión, el
flujo del mensaje, el formato del documento, incluso el software utilizado, pero los
estándares lo que describen son de forma muy rigurosa los formatos de los
mensajes electrónicos, por lo tanto, se pueden transmitir estos mensajes con
cualquier tecnología en la que se pongan de acuerdo el emisor y el receptor.
 Sin intervención humana: Esto se hace con un mensaje que sea entendido por las
computadoras de inicio y fin de la comunicación y sin que los humanos intervengan
de por medio.

Documentos EDI

Los documentos de EDI normalmente tienen la misma información que tendría un

documento de papel para la misma función en una organización, Pero, aunque es para esto
para lo que más se usa EDI y para lo que se inventó, no solamente está confinado o está
dedicado sólo a estas cosas se utiliza también en medicina, para los registros de pacientes
y los resultados de laboratorio, también en transporte para la información de los
contenedores, en ingeniería, en construcción e incluso se ha utilizado a veces para crear
nuevos flujos de información empresarial que no estaban reflejados en papel.

Standards de EDI

37
Es bien sabido que, por medio de EDI, los socios comerciales pueden intercambiar
cualquier tipo de documento electrónico inclusive si se encuentran en varios países o
regiones. Para esto, los mensajes (o documentos) deben estar bajo un formato estándar
que pueda ser leído y traducido por nuestros socios comerciales.

Lo malo del EDI es que en principio debería haber solo un standard, pero, como en todo lo
que intervienen los seres humanos hay más de un standard, entonces dependiendo del
país y dependiendo de las entidades involucradas no se usan unos u otros standards.

Se clasifican en:

 Públicos: los que son desarrollados para su uso en una o varias industrias.

 Privados: lo que se desarrollaron para una empresa o industria en específico.

También pueden ser conocidos como no públicos o propietarios.

Tecnologías EDI

Ya no solamente es el standard de los mensajes, es ver cómo lo transmitimos. EDI es

independiente de la tecnología, pero los dos participantes de la conversación tienen que
ser capaces de estar de acuerdo y ser capaces de emitir y recibir el mensaje igual.

Se pueden utilizar:

 Módem: se pueden utilizar redes de área local (LAN), red de área extendida (WAN),
redes privadas virtuales (VPN) si queremos que sea más seguro.
 Transferencia de archivos: OFTP, OFTP2, FTP, AS3.
 Protocolos web: HTTPS, SOAP, WebDAV, AS2, AS4.
 E-mail: POP3, SMTP, X.400, AS1

38
  Control de dispositivos remotos: TELNET

Hay muchas maneras distintas de mandar estos mensajes, pero, hay que tener muy claro
que EDI es independiente de los métodos utilizados para transmitirlos, pero, que también
el emisor y el receptor tienen que estar de acuerdo en el método utilizado para transmitirlo.

Tipos de redes

Las redes que podemos utilizar en el sistema EDI son:

 Intranet: Red privada dentro de una compañía.

 Extranet: Son redes privadas conectadas con; compañía-compañía, compañía-
proveedor, compañía-cliente, compañía-otras entidades.
 Virtual private network (VPN): Son redes privadas a través de la red pública y
encripta la información antes de enviarla.
 Red de valor añadido (VAN): Posee un servicio de hosting con red privada lo cual
proporciona: seguridad de información, servicios de transacción, formato de
mensajes, protocolo de comunicación.

Transferencia electrónica de fondos “EFT”

La banca electrónica también conocida como transferencia electrónica de fondos (EFT) usa
tecnología informática y electrónica en lugar de cheques y otras transacciones en papel.
Las EFT se inician a través de dispositivos tales como tarjetas o códigos que le permiten
acceder a su cuenta. Para este propósito, muchas instituciones financieras usan tarjetas de
débito o ATM y número de identificación personal (PIN). Algunos usan otro tipo de tarjetas
que requieren de su firma o un escaneo. La transferencia
electrónica de dinero se realiza de una cuenta de una
institución financiera a otra, ya sea dentro de una sola
institución financiera o a través de múltiples instituciones,
a través de sistemas informáticos, sin la intervención
directa del personal de la institución financiera. Es la
transferencia electrónica de dinero de una cuenta bancaria
a otra, ya sea en una sola institución financiera o en varias

39
instituciones, a través de los sistemas basados en
ordenador y sin la intervención directa del personal del
banco.

Las transacciones de EFT se conocen por varios nombres

entre países y diferentes sistemas de pago. Por ejemplo, en
los Estados Unidos, pueden denominarse " cheques
electrónicos " o "cheques electrónicos". En el Reino Unido,
se utilizan el término "transferencia bancaria" y "pago
bancario", mientras que en otros países europeos "
transferencia de giro " es el término común.

El término abarca una serie de diferentes sistemas de pago, por ejemplo:

 transferencias de cajero automático (ATM)

 pago de depósito directo o retiros de fondos iniciados por el pagador
 pagos de débito directo por los cuales una empresa debita las cuentas bancarias
del consumidor para el pago de bienes o servicios
 transferencias iniciadas por teléfono
 transferencias resultantes de transacciones con tarjeta de crédito o débito, iniciadas
o no a través de una terminal de pago.
 transferencia bancaria a través de una red bancaria internacional como SWIFT
 pago de facturas electrónicas en banca en línea, que puede ser entregado por EFT
o cheque en papel
 transacciones que impliquen el valor almacenado de dinero electrónico,
posiblemente en una moneda privada
 pago inmediato.

Tipos de servicios de la banca electrónica

Existen varias formas de realizar una transferencia electrónica. Estas incluyen lo siguiente.

 ATM son terminales electrónicas que le permiten realizar operaciones bancarias

prácticamente en cualquier momento. Para retirar efectivo, realizar depósitos o
transferir fondos entre cuentas, generalmente se inserta una tarjeta ATM y se
ingresa un Pin. Algunas instituciones financieras y propietarios de ATM cobran un

40
 cargo, especialmente si no tiene cuenta con ellos o si sus transacciones se realizan
en lugares remotos.
 Los Depósitos directos le permiten autorizar depósitos específicos, como el salario,
los cheques del Seguro Social y otros beneficios en su cuenta de forma regular.
También puede autorizar por adelantado los retiros directos para que las facturas
recurrentes como las del seguro, hipotecas, recibos de servicios o cuotas se paguen
de forma automática.
 Los Sistemas de pagos por teléfono le permiten llamar a su institución financiera
con instrucciones para pagar ciertas facturas o para transferir fondos entre cuentas.
Debe tener un acuerdo con su institución para realizar estas transferencias.
 Las operaciones con computadoras personales le permiten manejar muchas
transacciones utilizando su computadora personal.
 Las Compras con tarjetas de débito o los Pagos le permiten comprar o pagar con
una tarjeta de débito, que también puede ser su tarjeta ATM. Las transacciones
pueden realizarse en persona, en línea o por teléfono. El proceso es similar al uso
de una tarjeta de crédito, con algunas excepciones importantes: una compra o pago
con tarjeta de débito transfiere dinero rápidamente de su cuenta bancaria a la cuenta
de la empresa, por lo que debe tener fondos
suficientes en su cuenta para cubrir su compra.
 La conversión electrónica de cheques convierte
un cheque en papel en un pago electrónico en
una tienda o cuando una compañía recibe su
cheque por correo.

XIV. REDES VIRTUALES PRIVADAS “VPNs”

Una Red privada Virtual (Virtual Private Network) es una red privada que se extiende,
mediante un proceso de encapsulación y
en algún caso de encriptación, desde los
paquetes de datos a diferentes puntos
remotos, mediante el uso de
infraestructuras públicas de transporte.
Los paquetes de datos de la red privada
viajan por un tunel definido en la red
pública. En el caso de acceso remoto, la

41
VPN permite al usuario acceder a su red corporativa, asignando a su ordenador remoto las
direcciones y privilegios de esta, aunque la conexión la haya realizado mediante un acceso
público a Internet: En ocasiones, puede ser interesante que la comunicación que viaja por
el túnel establecido en la red pública vaya encriptada para permitir una confidencialidad
mayor.

La VPN utiliza el Protocolo de túnel punto a punto (PPTP, Point-to-Point Tunneling Protocol)
o el Protocolo de túnel de nivel dos (L2TP, Layer Two Tunneling Protocol), mediante los
cuales se puede tener acceso de forma segura a los recursos de una red al conectar con
un servidor de acceso remoto a través de Internet u otra red.

Factores que considerar

Las VPNs se pueden establecer utilizando dispositivos dedicados a esta tarea appliances
o también mediante el uso de software que corra en servidores. Microsoft provee
funcionalidad de VPN en sus servidores de Microsoft Windows 2003 y Microsoft Small
Business Server.

Es bien importante que los equipos que se utilicen para establecer las VPNs o Firewalls
tengan su sistema operativo endurecido "hardened" esto significa que se quiten todas
aquellas funcionalidades que no son críticas para el sistema. EN algunos casos el fabricante
incluso desmota la interfaz gráfica GUI. El fin de endurecer el sistema operativo es reducir
los puntos vulnerables y limitar la capacidad de un eventual intruso de explotar dichas
vulnerabilidades mediante servicios que corran a nivel de sistema operativo y no estén
configurados adecuadamente. Es decir, entre menos módulos tenga cargado el OS, más
difícil será encontrar un punto vulnerable.

Los Appliances son un buen ejemplo de sistema operativo endurecido, como son
construidos específicamente para una labor, el fabricante personaliza el sistema operativo

42
embebido en la máquina (Normalmente Linux) y sobre este Mini-Kernel monta toda la
funcionalidad del Appliance. Estas Cajas están diseñadas desde el principio con un objetivo
en mente y tanto su memoria como procesador y arquitectura están optimizados para la
labor de túnel de VPNs o Firewall según el caso.

Ventajas y desventajas

Ventajas

La principal ventaja de usar una VPN es que nos permite disfrutar de una conexión a red
con todas las características de la red privada a la que queremos acceder. El cliente VPN
adquiere totalmente la condición de miembro de esa red, con lo cual se le aplican todas las
directrices de seguridad y los permisos de un ordenador en esa red privada.

Desventajas

Entre las desventajas se puede mencionar una mayor carga en el cliente VPN, ya que ha
de realizar la tarea adicional de encapsular los paquetes de datos una vez más. Esta
situación se agrava cuando, además, se hace una encriptación de los datos que produce
una mayor ralentización de la mayoría de las conexiones. También se produce una mayor
complejidad en el tráfico de datos, que puede producir efectos no deseados en cambiar la
numeración asignada al cliente VPN y que puede requerir cambios en las configuraciones
de aplicaciones o programas (proxy, servidor de correo, permisos basados en nombre y
número IP).

Requerimientos básicos

43
  Identificación de usuario: La VPN debe ser capaz de verificar la identidad de los
usuarios y restringir el acceso a la VPN a aquellos usuarios que no estén
autorizados.
 Administración de direcciones: La VPN debe establecer una dirección del cliente en
la red privada y debe cerciorarse que las direcciones privadas se conserven así.
 Codificación de datos: Los datos que se van a transmitir a través de la red pública
deben ser previamente encriptados para que no puedan ser leídos por clientes no
autorizados de la red.
 Administración de claves: La VPN debe generar y renovar las claves de codificación
para el cliente y el servidor.
 Soporte a protocolos múltiples: La VPN debe ser capaz de manejar los protocolos
comunes que se utilizan en la red pública. Estos incluyen el protocolo de internet
(IP), el intercambio de paquete de internet (IPX) entre otros.

Ejemplos de programas VPN

 Hamachi: es aplicación gratuita (freeware) configuradora de redes privadas virtuales
capaz de establecer vínculos directos entre computadoras que están bajo firewalls
de NAT sin requerir reconfiguración alguna (en la mayoría de los casos)
 Cisco VPN Client: el software cliente VPN de Cisco es compatible con conexiones
IPSec de Cisco concentradores de VPN. Esta aplicación de software VPN se ejecuta
en Windows, Linux y Mac OS X.
 OpenVPN: es una implementación de redes privadas virtuales que permite el acceso
remoto de estaciones de trabajo en forma cifrada por medio de túneles seguros
 Shimo 2: Apple Mac OS incluye soporte incorporado para redes privadas virtuales.
Shimo es un cliente GUI para ordenadores Mac OS X. El más reciente Shimo la
versión 2 funciona como un sustituto para el cliente VPN de Cisco en ordenadores
Mac y es compatible con otros como PPTP, L2TP y tecnologías basadas en SSH
VPN incluyendo Hamachi y OpenVPN.
 Tinc VPN Daemon: Es una solución de software VPN IPSec para redes Linux. El
desarrollo activo de FreeS / WAN se ha detenido, por lo que esta solución de interés
principalmente para los estudiantes e investigadores.

44
CONCLUSIÓN

Cada una de estas herramientas son imprescindibles para el perfecto funcionamiento de las
empresas, cada vez más y más necesitan tener estas medidas y así garantiza el estado seguro de sus
datos, desde el uso más básico como la identidad de cada usuario sea identificado para la red, así
también medidas de seguridad antivirus que pueden llegar a inhabilitar completamente a toda la
base de datos si no es controlado, también es muy importante que el acceso web sea seguro, por lo
cual un controlador SSL es fundamental; y con el uso de SSO será un red optimizada para su uso en
línea. Por lo tanto, la seguridad informática se respalda de estas herramientas y así asegurar que
cada colaborador y cliente sea identificado para tener acceso a su información de manera segura
esto se logra de muchas formas desde la biometría hasta una firma digital, pero todo esto debe
respaldarse y para ello la infraestructura de llave publica tiene su participación con estos algoritmos
se asegura que la información este perfectamente organizada y que cada usuario tenga lo que es
suyo. Y como ultimo el acceso remoto garantiza que por cualquier error o fallos ocurridos en la red
sea resuelto remotamente lo cual es mucho más rápido que esperar de manera física a un técnico,
sin duda grandes avances necesario en esta lucha sin fin entre la seguridad de la información y
personas que solo buscar causar daño, estas herramientas has llevado a la informática hasta hoy y
aún queda mucho por ver.

45
INFOGRAFÍA/BIBLIOGRAFÍA

María Estela Raffino. CONCEPTO DE FIREWALL (Última edición: 23 de noviembre

de 2018). Recuperado de: https://concepto.de/firewall/#ixzz6P5bfvEg8 , consultado:
11 de junio de 2020.

©Wikipedia. CORTAFUEGO (última edición: 28 de mayo 2020 a las 23:52).

Recuperado de:
https://es.wikipedia.org/wiki/Cortafuegos_(inform%C3%A1tica)#Tipos_de_cortafue
gos, consultado: 12 de junio de 2020.

©Aspen. FIREWALL Y FUNCIONES (PDF). Consultado el 11 de junio de 2020.

Recuperado de: https://apen.es/newsletters/PDF/Firewall_Como%20funciona.pdf

Rubén Andrés. FIREWALL Y FUNCIONES. (publicado: 28/04/2015 - 07:19).

Recuperado de: https://computerhoy.com/noticias/internet/cortafuegos-
informaticos-que-son-que-sirven-26747, consultado: 11 de junio de 2020.

©EcuRed. Cortafuego. Consultado: 11 de junio de 2020. Recuperado de :

https://www.ecured.cu/Cortafuego#Cortafuegos_de_capa_de_red_o_de_filtrado_d
e_paquetes

© 2020 VMware, Inc. Administración de cuentas de usuario (publicado: 05/31/2019).

Recuperado de : https://docs.vmware.com/es/VMware-Cloud-
Director/9.1/vcd_sec/GUID-062B1D47-5D14-427B-9D03-70DEE0934BE2.html,
Consultado: 11 junio de 2020.

Juan Ranchal. Gestión de usuarios Windows (publicado: 18 de abril de 2019).

Recuperado de: https://www.muyseguridad.net/2019/04/18/control-de-cuentas-de-
usuario-en-windows/, consultado: 11 junio de 2020.

46
©Adminso. Administración de sistemas operativos. Recuperado de:
http://www.adminso.es/index.php/Linux_-_Administraci%C3%B3n_de_usuarios ,
consultado: 11 junio de 2020.

Copyright © Cristian Borghello 2000 – 2020. Detección de Intrusos en Tiempo Real.

recuperado de: https://www.segu-info.com.ar/proteccion/deteccion.htm

Sheyla Leacock. Qué es un sistema de detección y prevención de intrusos

(publicado: 10 abril de 2018). Recuperado de:
https://backtrackacademy.com/articulo/que-es-un-sistemas-de-deteccion-y-
prevencion-de-intrusos-ids, consultado: 11 junio de 2020.

Lorena Fernández. Protege tu red con sistemas IDS/IPS y descubre cuáles son los
mejores (Publicado el 10 de abril, 2020 • 19:00). Recuperado de:
https://www.redeszone.net/tutoriales/seguridad/sistemas-deteccion-prevencion-
intrusiones-ids-ips/, consultado: 11 junio 2020.

Carlos Vilalgomez. Sistema de prevención de intrusiones (Última

actualización: miércoles 17 enero 2018 à 23:15). Recuperado
de:https://es.ccm.net/contents/163-sistema-de-prevencion-de-intrusiones-ips
,consultado: 11 junio de 2020.

©Wikipedia. Antivirus. Consultado: sábado 13 junio de 2020. Recuperado de:

https://es.wikipedia.org/wiki/Antivirus

©Wikipedia. Infraestructura de clave. Consultado: 13 junio de 2020. Recuperado de:

https://es.wikipedia.org/wiki/Infraestructura_de_clave_p%C3%BAblica

Dante Odín Ramírez López. EL CIFRADO WEB. Consultado: 13 junio de 2020.

Recuperado de:https://revista.seguridad.unam.mx/numero-10/el-cifrado-web-
ssltls

47
©TIC. Capa de conexión segura (publicado: 19/07/2018). Recuperado de:
https://www.ticportal.es/glosario-tic/ssl-capa-conexion-segura consultado: 13 junio
de 2020.

©Digicert. SSL: Secure Sockets Layer. Recuperado

de:https://www.digicert.com/es/what-is-ssl-tls-https/, consultado: 13 junio de 2020.

© 2020 GlobalSign. ¿Qué es el SSL? Recuperado de:

https://www.globalsign.com/es/ssl-information-center/what-is-ssl consultado:13
junio de2020.

© Chakray. ¿QUÉ ES EL SINGLE SIGN ON (SSO)? DEFINICIÓN,

CARACTERÍSTICAS Y VENTAJAS. Recuperado de:
https://www.chakray.com/es/que-es-el-single-sign-on-sso-definicion-
caracteristicas-y-
ventajas/#:~:text=Single%20Sign%20On%20conocido%20tambi%C3%A9n,los%2
0diferentes%20sistemas%20y%20recursos.,consultado: 13 junio de 2020.

©Digital Guide IONOS. SSO: un solo inicio de sesión para todo (publicado:
25.06.19). Recuperado de:
https://www.ionos.es/digitalguide/servidores/herramientas/single-sign-on/
consultado: junio 13 de 2020.

©CualHost. Programas de Acceso Remoto. Consultado:15 junio de 2020.

Recuperado de:https://www.cualhost.com/sitios-web/los-4-mejores-programas-
acceso-remoto/

© 1999-2020 Citrix Systems, Inc. ¿Qué es el acceso remoto? consultado: 15 junio

de 2020. Recuperado de: https://www.citrix.com/es-mx/glossary/what-is-remote-
access.html

48
Goldreich, Oded (2001), Fundamentos de la criptografía I: Herramientas básicas,
Cambridge: Cambridge University Press, ISBN 978-0-511-54689-1

Goldreich, Oded (2004), Fundamentos de la criptografía II: las aplicaciones

básicas (. 1. publ ed), Cambridge [UA]: Cambridge Univ. Press, ISBN 978-0-521-
83084-3

Pase, Rafael, Un Curso de criptografía (PDF), recuperado 31 de diciembre del año

2015

J. Katz y. Lindell, "Introducción a la criptografía moderna" (Chapman & Hall / CRC

Press, 2007)

Stephen Mason, la firma electrónica en la Ley (4ª edición, Instituto de Estudios

Jurídicos Avanzados de la Biblioteca de Humanidades SAS Digital, Escuela de
Estudios Avanzados, Universidad de Londres, 2016). ISBN 978-1-911507-00-0.

Lorna Brazell, la firma electrónica y las identidades Ley y el Reglamento (segunda

edición, Londres: Sweet & Maxwell, 2008); Dennis Campbell, editor, comercio
electrónico y la Ley de Firmas Digitales (Oceana Publications, 2005).

MH M Schellenkens, tecnología de autenticación de firma electrónica desde una

perspectiva legal, (TMC Asser Press, 2004).

Jeremiah S. Buckley, John P. Kromer, Margo HK tanque, y R. David Whitaker, La

Ley de Firma Electrónica (3ª edición, West Publishing, 2010).

"FIPS PUB 161-2: intercambio electrónico de datos (EDI)”. Instituto Nacional de

Estándares y Tecnología. 1996-04-29. Archivado desde el original el 11/05/2008.
Estándar retirado: 2008-09-02.

49
Gifkins, Mike; Hitchcock, David (1988). El manual de EDI. Londres: Blenheim en
línea.

Tweddle, Douglas (1988), "EDI en comercio internacional: una vista de aduanas",

en Gifkins, Mike; Hitchcock, David (eds.), El manual EDI, Londres: Blenheim
Online
"Aviso de envío anticipado EDI 856 (ASN)”. Consultado el 6 de noviembre de
2019.

"AS2 e Internet EDI - Nueve años más tarde - OpenText Blogs”. 9 de septiembre
de 2011.
"EDI: la guía completa y centro de recursos”.

Anderson, Molly (29 de junio de 2019). "Dinero en línea" Comprobar |url=valor

(ayuda). Decoración. Consultado el 29 de junio de 2019.

"Comercio electrónico: ventajas del formato EDI”. Archivado desde el original el

30/05/2012. Consultado el 3 de mayo de 2012.

"¿Cuál es la diferencia entre los 4 tipos de reconocimientos EDI? - Blogs

OpenText”. 21 de octubre de 2013.

Ar03. (19 de abril de 2005). para www.adslayuda.com. Obtenido de Configurar

VPN en Windows: https://www.adslayuda.com/servidores-
configurar_vpn_windows.html

Carreon, R. N. (martes 3 de septiembre de 2002). Monografía, VPN Software

Libre. Obtenido de https://www.monografias.com/trabajos11/repri/repri.shtml

Laukkonen, J. (23 de enero de 2020). VPN Software TOP. Obtenido de

https://www.lifewire.com/best-free-vpn-services-818192

50