Criptografía

La criptología es la ciencia de generar y descifrar códigos secretos. La criptografía es un método para almacenar y transmitir datos
de modo que el receptor destinado pueda leerlos o procesarlos.

La confidencialidad de los datos garantiza la privacidad de modo que solo el receptor previsto pueda leer el mensaje. Las partes
logran esto mediante la encriptación.

La encriptación es el proceso de codificar datos de modo que una parte no autorizada no puede leerlos fácilmente.

Todos los métodos de cifrado utilizan una clave para cifrar o descifrar un mensaje. La clave es un componente importante en el
algoritmo de encriptación. Un algoritmo de encriptación es tan bueno como la clave utilizada. 

 Transposición: las letras se cambian

 Sustitución: las letras se reemplazan

 Libreta de un solo uso: texto no cifrado combinado con una clave secreta que crea un nuevo carácter, que luego se combina
con el texto simple para producir el texto cifrado.

En el pasado los algoritmos de cifrado eran secretos. Ahora son públicos. La administración de claves es la parte más difícil del
diseño de un sistema criptográfico. Muchos sistemas criptográficos han fallado por errores en la administración de claves y todos
los algoritmos criptográficos modernos requieren procedimientos de administración de claves.

Existen dos enfoques para garantizar la seguridad de los datos al utilizar la encriptación:

1. Proteger el algoritmo
2. Proteger las claves.

Tipos de algoritmos:

1. SIMETRICOS: utilizan la misma clave precompartida, a veces llamada un par de clave secreta, para cifrar y descifrar
datos. El emisor y el receptor conocen la clave precompartida antes de que comience cualquier comunicación. Simples de
de poco coste computacional.
2. ASIMÉTRICOS: utilizan la misma clave precompartida, a veces llamada un par de clave secreta, para cifrar y descifrar
datos. El emisor y el receptor conocen la clave precompartida antes de que comience cualquier comunicación. Son
complejos y con alto coste computacional y lentos.

Tipos de criptografía

Los tipos más comunes de criptografía son cifrados por bloques y cifrados de flujo. Cada método se diferencia en la forma de
agrupar bits de datos para cifrarlo.

1. cifrados por bloques transforman un bloque de texto simple, de longitud fija en un bloque común de texto cifrado de 64
o 128 bits.
producen generalmente los datos de salida que son mayores que los datos de entrada, porque el texto cifrado debe ser
un múltiplo del tamaño del bloque. DES, 3DES, AES, Blowfish
2. cifrados de flujo cifran el texto simple un byte o un bit por vez.
Pueden ser mucho más rápidos que los cifrados en bloque, y no aumentan generalmente el tamaño del mensaje.

Los sistemas criptográficos complejos pueden combinar el bloque y el flujo en el mismo proceso.

proceso de encriptación asimétrica

También denominada cifrado de clave pública, utiliza una clave para la encriptación que es diferente de la clave utilizada para el
descifrado. 

El par de claves no relacionadas es lo que hace que estos algoritmos sean seguros. Los algoritmos asimétricos incluyen los
siguientes:

1. RSA (Rivest-Shamir-Adleman): utiliza el producto de dos números primos muy grandes con una longitud igual de entre
100 y 200 dígitos. Los navegadores utilizan RSA para establecer una conexión segura.

1
 2. Diffie-Hellman: proporciona un método de intercambio electrónico para compartir la clave secreta. Los protocolos
seguros, como Secure Sockets Layer (SSL), Transport Layer Security (TLS), Shell seguro (SSH) y Protocolo de seguridad
de Internet (IPsec), utilizan Diffie-Hellman.
3. ElGamal: utiliza el estándar del gobierno de EE. UU. para las firmas digitales. Este algoritmo es gratuito ya que nadie
posee la patente.
4. Criptografía de curva elíptica (ECC): usa curvas elípticas como parte del algoritmo. Para la generación de firma digital y
el intercambio de claves.

Administración de claves
Incluye generación, intercambio, almacenamiento, uso y reemplazo de claves utilizadas en un algoritmo de encriptación.

La administración de claves es la parte más difícil del diseño de un sistema criptográfico. En la práctica, la mayoría de los ataques
a los sistemas criptográficos se realizan en el nivel de administración de claves, en lugar del algoritmo criptográfico en sí mismo
dado que es MUY ROBUSTO.

Consideraciones para la administración de claves:

 Generación de claves (nº aleatorio)  Almacenamiento de claves

 Verificación de las claves  Vida útil de las claves
 Intercambio de claves  Revocación y destrucción de claves

Dos términos utilizados para describir las claves son:

 Longitud de las claves: también denominado tamaño de la clave, es la medida en bits.

 Espacio de clave: es la cantidad de intentos que una longitud de clave específica puede generar.

A medida que aumenta la longitud de la clave, el espacio aumenta de manera exponencial. El espacio de clave de un algoritmo es
el conjunto de todos los valores posibles de la clave. Las claves más largas son más seguras; sin embargo, también requieren más
recursos. 

Aplicaciones
Cuatro protocolos utilizan algoritmos de clave asimétrica:

 Intercambio de claves por Internet (IKE), que es un componente fundamental de las redes privadas virtuales (VPN) de IPsec.
 Secure Sockets Layer (SSL), un medio para implementar la criptografía en un navegador web.
 Shell seguro (SSH), un protocolo que proporciona una conexión de acceso remoto segura a un dispositivo de red.
 Pretty Good Privacy (PGP), un programa informático que proporciona privacidad y autenticación criptográfica para mejorar la
seguridad de las comunicaciones por correo electrónico.

Una VPN es una red privada que utiliza una red pública, generalmente Internet, para crear un canal de comunicación seguro. Los
servicios de IPSec permiten la autenticación, la integridad, el control de acceso y la confidencialidad. Con IPsec, los sitios remotos
pueden intercambiar información cifrada y verificada.

2
Tipo de control de acceso
1. Control de acceso físico
Son obstáculos reales implementados para evitar el contacto directo con los sistemas. El objetivo es evitar que los
usuarios no autorizados tengan acceso físico a las instalaciones, el equipo y otros activos de la organización.
2. Control de acceso lógico
Los controles de acceso lógico son soluciones de hardware y software que se utilizan para administrar el acceso a
recursos y sistemas. Estas soluciones basadas en tecnología incluyen las herramientas y los protocolos que los sistemas
informáticos utilizan para la identificación, autenticación, autorización y responsabilidad.

3. Controles de acceso administrativo.

Son las políticas y los procedimientos que definen las organizaciones para implementar y hacer cumplir todos los
aspectos del control de acceso no autorizado. Los controles administrativos se enfocan en las prácticas de personal y las
prácticas empresariales.

4. Control de acceso obligatorio (MAC).

Restringe las acciones que un sujeto puede realizar en un objeto. Un sujeto puede ser un usuario o un proceso. Un objeto
puede ser un archivo, un puerto o un dispositivo de entrada/salida. Una regla de autorización se aplica si un sujeto puede
acceder al objeto o no.

5. Control de acceso Discrecional (DAC)

6. Control de acceso basado en roles

7. Control de acceso basado en reglas

3
Identificación
La identificación aplica las reglas establecidas por la política de autorización:
Un sujeto solicita acceso a un recurso del sistema. Cada vez que el sujeto solicita acceso a un recurso, los controles de acceso
determinan si otorgar o denegar el acceso. 

 Nombre de usuario/contraseña
 Tarjetas inteligentes
 Llaveros electrónicos
 Sistemas biométricos o de comportamiento.
 2FA – Autenticación de varios factores

Autorización
Después de que un usuario prueba su identidad, el sistema verifica a qué recursos de red puede acceder el usuario y qué pueden
hacer los usuarios con los recursos. 

Una política de autorización define los permisos de acceso según la posición de un empleado dentro de la organización. 

Auditoría
Rastrea una acción hasta una persona o un proceso y realiza el cambio a un sistema, recopila esta información e informa los datos
de uso. Permite que una organización localice acciones y errores durante una auditoría o una investigación.

La implementación de responsabilidad consta de tecnologías, políticas procedimientos y formación.

Controles preventivos
Los controles de acceso preventivo evitan que ocurran actividades no deseadas o no autorizadas. Para un usuario autorizado, un
control de acceso preventivo significa restricciones. La asignación de privilegios específicos a un usuario en un sistema es un
ejemplo de control preventivo. 

Controles disuasivos
 Los obstáculos del control de acceso desalientan a los delincuentes cibernéticos a obtener acceso no autorizado a los sistemas
de información o a datos confidenciales. Los obstáculos del control de acceso desalientan los ataques al sistema, el robo de datos
o la propagación de códigos maliciosos.

4
Controles de detección
Las detecciones de control de acceso identifican diferentes tipos de actividad no autorizada. Buscan la actividad inusual o
prohibida. También proporcionan métodos para registrar o alertar a los operadores del sistema sobre un posible acceso no
autorizado. 

Controles correctivos
Los controles correctivos restauran el sistema a un estado de confidencialidad, integridad y disponibilidad.

También pueden restaurar los sistemas a la normalidad luego de que se produzca una actividad no autorizada.

Controles de recuperación
Restauran recursos, funciones y capacidades después de una violación de la política de seguridad.

Estos controles tienen capacidades más avanzadas sobre los controles de acceso correctivos.

5
Esteganografía
La esteganografía oculta datos (el mensaje) en otro archivo, como un archivo de texto gráfico, de audio u otro archivo de texto. La
ventaja de la esteganografía con respecto a la criptografía es que el mensaje secreto no atrae ninguna atención especial. 

1. datos integrados: es el mensaje secreto.

2. Texto cubierto: imagen cubierta o audio cubierto que oculta los datos integrados y genera un estegotexto (o una
estegoimagen o estegoaudio).
3. Estegoclave: controla el proceso de ocultamiento

Estegoanálisis es el descubrimiento de que existe información oculta.

Ofuscación de datos es el uso y la práctica de las técnicas de esteganografía y enmascaramiento de los datos en el área de
ciberseguridad y la profesión de inteligencia cibernética: La ofuscación es el arte de hacer que el mensaje sea confuso, ambiguo o
más difícil comprender.

La marca el agua de software protege al software del acceso o la modificación no autorizada.