Información

Información
Seguridad en las Organizaciones
Políticas y
estándares de
Seguridad
Riesgo
Vulnerabilidades
Integrity
(Integridad) Personas
Amenazas
SEGURIDAD
Tecnologías Ataques
Confidentiality Availability
(Confidencialidad) (Disponibilidad)
Autenticidad, Trazabilidad Información

Políticas y
estándares de
Seguridad
Riesgo
Vulnerabilidades
Integrity
Amenazas
SEGURIDAD

Administración de la Información
• Parte del dominio de Administración de Activos del ISO/IEC 27001

• Ciclo de vida de la información:
Procesa- Almace- Transmi- Destruc-

Creación Borrado
miento namiento sión ción
• Cada activo de información debe tener:

– Un dueño
– Una clasificación
Responsable de los Activos de Información
• Los activos inventariados deben tener un

dueño.
• Se debe implementar un proceso que
asigne oportunamente un dueño a los
activos.
• El dueño debe ser asignado en el
momento de la creación del activo.
• El dueño del activo debe ser el
responsable de gestionar el activo durante
todo su ciclo de vida.
Clasificación de la información
• Pasos de la clasificación de la información:

Ingresar el
Clasificación de Etiquetado de la Manejo de la
activo en el
inventario la información información información
• Paso 1: Ingresar el activo en el inventario

– El objetivo de desarrollar un inventario de activos es que sepa qué información
clasificada tiene en su poder y quién es responsable de ella (es decir, quién es el
propietario).
– La información clasificada puede estar en diferentes formas y tipos de medios, por
ejemplo:
• Documentos electrónicos, bases de datos, documentos físicos (en papel), medios de
almacenamiento (por ejemplo, discos, tarjetas de memoria, etc.), información transmitida
verbalmente, email
• Paso 2: Clasificación de la información
– Ayuda a comprender la importancia que tiene cada tipo de información.
– Cuanto más alta sea la clasificación, más importante es la información
• Se deben considerar más recursos para su protección.
– ISO 27001 no prescribe los niveles de clasificación. Se debe desarrollar en cada
organización.
– Ejemplos de clasificación:
Clasificación básica Gobierno Comercial
• Top secret • Sensitive (Propiedad intelectual, datos

• Público • Secret médicos)
• Interno • Confidential • Confidential (Contratos, datos del
personal)
• Restringido • Sensitive • Private (Datos de clientes)
unclassified • Propietary (Procesos organizacionales)
• Unclassified • Public (Catálogos)
• Paso 3: Etiquetado de la información

– Una vez clasificada la información, se debe
etiquetar
– ISO 27001 tampoco indica cómo hacerlo
– Ejemplo:
• Para documentos físico, indicar el nivel de
confidencialidad:
– En la esquina superior derecha de cada
página del documento
– En la carátula de la cubierta de la carpeta o
sobre que contiene dicho documento
– Etiquetado de la información suele ser
responsabilidad del propietario del activo.
• Paso 4: Manejo de la información

– Esta suele ser la parte más compleja
– Debe desarrollar reglas sobre cómo proteger cada
tipo de activo según el nivel de confidencialidad.
– Se debe combinar controles:
• Tecnológicos
• Procedimentales
• Políticas de seguridad
• Entre otros
Tecnologías de Seguridad
Políticas y
estándares de
Seguridad
Riesgo
Vulnerabilidades
Integrity
Amenazas
SEGURIDAD

Tecnologías de Seguridad
• Las soluciones de seguridad deben garantizar la Triada CIA
Integrity (Integridad)
SEGURIDAD
(confidencialidad) (Disponibilidad)
Copyright © by Profe Sang (www.profesang.com)

Triada CIA > Confidencialidad
Soluciones más comunes
Cifrado
Control de
Acceso
Estegano-
grafía
Cifrado
Cifrado
Transformación
Control de de un dato de tal
Acceso forma que sea
legible solo por
Estegano- el usuario autorizado,
grafía
es decir, quien conoce un
secreto (llave).
Tipos de Encriptación
1 llave compartida
entre los usuarios
Simétrica
(privada)
Encriptación
Asimétrica
(de llave pública)
2 llaves por usuario:

- 1 pública
- 1 privada (secreta)

Encriptación Simétrica
• Fue el único tipo de encriptación hasta fines de 1970 (cuando se inventó la
encriptación de llave pública)
• Es más rápido que la encriptación asimétrica
• Se usa la misma llave para encriptar y para desencriptar (la razón de su
nombre)
Llave
Doc. Doc.
Secreto Secreto
Algoritmo de Algoritmo de
Encriptación Desencriptación
Bob Alice

• Una ejemplo básico de encriptación simétrica: utilización de XOR

Texto 10 001 100
Texto en 01 0 0 0 0 0 1 Letra “A” en
cifrado
claro: ASCII (Texto XOR
Llave: 11 001 101 Llave)
Texto 10 001 100 Letra “Œ” Llave: 1 1 00 1 1 0 1
cifrado (grafema) en
(Texto XOR ASCII Texto en 0 1 00 0 0 0 1
Llave) claro:
Texto cifrado:
10 001 100
Bob Alice

• Algoritmos de Encriptación Simétrica más conocidas
Tamaño de la
Algoritmo Usado en
llave (bits)
DES (Data Encryption 56 (más 8 de Estándar más utilizado en los inicios de la
Standard) paridad) criptografía moderna. No es usado ahora.
3DES (Triple Data Encryption Creado como mejora del DES. Se usó en Office,
112, 168 Firefox, etc. Ya no se recomienda su uso.
Standard)
AES (Advanced Encryption El más usado en la actualidad (estándar para la
128, 192, 256 mayoría de productos)
Standard)
IDEA (Advanced Encryption Se ha usado por diferentes servicios como PGP.
128 No fue popular debido a 3DES y AES.
Standard)
Usado en dispositivos ligeros. No es muy usado
Blowfish 32 – 448 en la actualidad
Sucesor del Blowfish. Usado en dispositivos
Twofish 128, 192, 256 ligeros.
Encriptación simétrica: Aplicaciones
Cifrado de disco
Cifrado de
archivos
Cifrado de
comunicaciones
Ej.: WiFi, VPN

• Dos tipos de ataques:

– Criptoanálisis
• Analiza la naturaleza del algoritmo para determinar la llave o el mensaje
– Ataque de Fuerza Bruta (Brute Force attack)
• Intenta repetidamente hasta descifrar el mensaje
Tamaño de la Llave Número de combinación Tiempo requerido Tiempo requerido (si 106
(en bits) de llaves (si 1 desencriptación por s) desencriptaciones por s)
32 232 232 s = 71.5 min 1.54 horas

56 256 256 s = 2316.6 años 50.04 horas
128 2128 2128 s=1.09 x 1025 años 1.09 x 1019 años
168 2168 2168 s=1.2 x 71037 años 1.2 x 1031 años

• Existen 3 requerimientos
– Un algoritmo seguro de encriptación/desencriptación
– Una llave segura (difícil de adivinar)
– El transmisor y el receptor deben compartir la llave de manera segura
¿Cómo asegurar esto?
Llave Llave
Algoritmos Algoritmos
seguro seguro
(p.ej.: AES) (p.ej.: AES)
Bob Alice
Corea Ecuador
Atacante

• Hace uso de 2 llaves: llave pública y Encriptación Asimétrica
llave privada. (de Llave Pública)
• Llave pública NO es secreta.
• Llave privada SI es secreta.
Llave Llave
Pública Pública
Atacante de Bob de Alice
Llave Llave Llave Llave

Privada Pública Pública Privada
de Bob de Bob de Alice de Alice
Bob Alice
Uso 1 Mensaje Lo que se cifra con la llave Mensaje
pública sólo se descifra con
su llave privada
Llave Pública Llave Privada
de Alice de Alice
Mensaje encriptado
Bob Alice
Uso 2 Mensaje Mensaje

Lo que se cifra con la llave
privada sólo se descifra con
Llave Privada su llave pública Llave Pública
de Bob de Bob
Mensaje encriptado
Bob Alice
• Uso 1: Garantizar la Encriptación Asimétrica
confidencialidad de información (de Llave Pública)
secreta.
La llave privada
es conocido
solamente por
Llave Llave
Alice.
Pública Pública
de Alice de Bob
Doc. Doc.
Secreto Secreto
Llave Llave
Privada Privada
de Bob Bob Alice de Alice
• Uso 2: Verificar la Encriptación Asimétrica
autenticidad/origen de la (de Llave Pública)
información (no repudio).
¡Es un
Llave documento Llave
Pública de Bob! Pública
de Alice de Bob
Doc.
Llave Llave
Privada Privada
de Bob Bob Alice de Alice
Encriptación Asimétrica
• Algoritmos de Encriptación Asimétrica

– RSA
• Desarrollado por Ron Rivest, Adi Shamir
y Len Adleman en 1977 (publicado en
1978)
– Elliptic Curve Cryptography (ECC)
• Un algoritmo que intenta solucionar las
limitaciones del RSA (lentitud y tamaño
de las llaves)
• Su popularidad está en crecimiento
Aplicaciones de Encriptación Asimétrica
Ransomwares
Firmas digitales
Comunicacion
es seguras
Certificados digitales y PKI
Encriptación Simétrica vs Encriptación Asimétrica
Encriptación RSA, ECC

Simétrica
• Característica: Hace • Característica: Hace
uso de una sola llave uso de dos llaves
compartida (pública y privada)
• Ventaja: Es rápido • Ventaja: No hay
• Desventaja: Es difícil compartición de llave
compartir de manera secreta.
segura la llave secreta • Desventaja: Es lenta.
TLS/SSL
HTTPS Encriptación
DES, 3DES, AES PGP Asimétrica
Encriptación Híbrida
(Sobre Digital)
Mezcla las ventajas de la encriptación simétrica y asimétrica
RSA Soy rápido, pero

Soy lento, Pero NO tengo que compartir
tengo que compartir secretos
secretos
AES
Encriptación Híbrida
Docum. Encriptación Desencriptación Docum.

Secreto Simétrica Simétrica Secreto
Llave Llave
simétrica simétrica
Llave
aleatoria Encriptación Desencriptación aleatoria
simétrica
Asimétrica aleatoria Asimétrica
Llave
Privada
de Alice
Llave
Pública
de Alice
Bob Alice
Idea de Trabajo de Titulación
Propuesta de solución de seguridad
basado en encriptación híbrida.
Control de Acceso
Cifrado
Ayuda a asegurar
Control de que los datos
Acceso sean accedidos
Estegano- solo por
grafía personas
autorizadas.
Factores de Autenticación
• Hay 4 factores de autenticación Factor biométrico
Algo que la persona
Algo que la persona Algo que la persona Algo que la persona es
hace (biometría
conoce posee (Biometría estática)
dinámica)
Ejemplos: password, PIN, Ejemplo: smart card, Ejemplo: datos Ejemplo: patrones de
respuestas a preguntas llaves, tarjetas biométricos: huella digital, voz/escritura/caminar,
electrónicas, OTP retina, iris, cara ritmo de mecanografía

Análisis de la exposición de la
privacidad por métodos de los
factores biométricos
Esteganografía
Cifrado
Consiste
Control de básicamente
Acceso en esconder un
Estegano- dato secreto
grafía dentro de
otro dato.
Esteganografía
Cifrado
Control de Información
Información
Acceso
Comunicación
Estegano-
grafía
Bob
Atacante
? Alice
Triada CIA > Integridad
Hash
Firma
digital
Certificado
Digital
Hash
Hash
Una función hash
Firma toma como entrada
digital un dato y devuelve
un valor de longitud
Certificado fija (valor hash), la
Digital cual es usada como la
identificación del dato.
Hash MD5:128 bits, SHA-1: 160 bits

Dato original Dato modificado:
Hash Entrada: dato de
“Mi nombre es “Mi nombre es
Cualquier tipo y
tamaño Juan” María”
Firma
Función
digital Hash
SHA-1 SHA-1
Certificado
Digital Valor Hash
Salida: dato de
0f5428b0b8c6f22366c8
f80e8f44de52c2ccfc83
Salida de 160 bits

≠ da1565ba0da7b4163b21
e4c8ee96abeb0e6fa926
Salida de 160 bits

longitud fija (en hexadecimal) (en hexadecimal)
Firma Digital
Hash
Permite identificar
Firma el origen del
digital mensaje y
Certificado verificar que
Digital éste no haya sido
alterado.
Confianza de la Llave Pública
• ¿Es todo perfecto con la solución híbrida?

• Problema: ¿Cómo Bob puede estar seguro que la llave pública que
recibió es de Alice y no del atacante?
Llave Llave
Llave Pública Privada
Pública Llave de Alice de Alice
Pública
Atacante
de Alice
Bob de Alice

Solución a la limitación de la Llave Pública
• Solución: Usar un intermediador confiable
Una persona que

conoce a los dos
¿Realmente
de Alice?
Llave
Pública Llave
de Alice Pública Llave Llave
Bob de Alice Alice Pública Privada
de Alice de Alice

• Solución: Usar un intermediador confiable

Autoridad
Certificadora
CertificadoBob Datos Datos CertificadoAlice

personales personales
Llave de Bob de Alice Llave
Pública Pública
de Bob de Alice
Privada Pública Bob Alice Pública Privada

• Solución: Usar un intermediador confiable (Autoridad de Certificación)
Llave
Pública Bob verifica que
de Alice el Certificado
sea de Alice
CertificadoBob CertificadoAlice
CertificadoAlice

Privada Pública Bob Alice Pública Privada

Firmas Digitales

Firmas Digitales
• Es una herramienta tecnológica que permita garantizar la autoría e

integridad de los documentos digitales
– Autenticidad del documento
– Integridad del documento
– No repudio (negación) de un documento
• Mezcla las siguientes tecnologías:
– Encriptación asimétrica (RSA)
– Función hash (SHA)
• Se puede combinar con la encriptación
para darle confidencialidad al documento

Firma Digital
Generación de un documento firmado digitalmente (Ejecutado por Transmisor)

Llave Privada Documento firmado
Documento
de Bob digitalmente
Documento
Hash del Encriptación Hash Hash

Hash Documento Asimétrica encriptado encriptado
Bob
Validación de un documento firmado digitalmente (Ejecutado por el Receptor)
Llave Pública
de Bob
Documento ¿Iguales?
Hash Encriptación Hash del Hash del
encriptado Asimétrica Documento Documento Hash
Alice

Certificado Digital
Hash
Solución
Firma tecnológica que
digital permite identificar
Certificado a una persona u
Digital organización en
Internet.
Certificados Digitales
• Soluciona el problema de ¿cómo puedo asegurarme una llave

pública es de la persona que dice ser?
• Un certificado digital contiene:
✓ La llave pública de la persona o entidad

✓ Datos de identificación de la persona o
entidad
✓ Datos adicionales del certificado (p.ej.:
algoritmos usados, datos del CA, etc.)
✓ Todo firmado digitalmente por una
autoridad certificadora

Autoridad
Certificadora
Datos
personales
(CA)
de Alice
Llave
Privada
Llave Pública
de Alice Del CA
Datos Datos
Datos
Llave Pública personales
adicionales
adicionales
de Alice de Alice
Hash de los Encriptación Hash

Hash Datos Asimétrica encriptado Certificado Digital de Alice
Alice

Bob
Llave
Pública
Del CA
Datos Datos
Llave Pública personales
de Alice adicionales
de Alice
Hash
Envía ¿Iguales?
encriptado
Desencriptación Hash de los Hash de los
Certificado Digital de Alice Datos Datos
Hash
Asimétrica
Alice

• Certificados digitales en Servidores Web Reales
• X.509
– El tipo de certificado digital usado más extensamente es el ITU X.509
– Los datos más importantes que incluye en estos son:
• Versión
• Número de serie
• La llave pública del usuario
• La identificación del usuario
• Período de vigencia del certificado
• Identificación de la autoridad certificadora
• Algoritmos criptográficos utilizados
– Función hash y encriptación asimétrica
Infraestructura de Llave Pública (PKI)
• PKI = Public Key Infrastructure

• Todo lo necesario (tanto roles, políticas,
procedimientos, hardware como software)
para crear, administrar, distribuir, usar,
almacenar y revocar certificados digitales
y administrar la encriptación de llave
pública.
• Se logra:
– Confidencialidad
– Integridad
– Autenticidad

Infraestructura de Llave Pública (PKI)
Autoridad Autoridad de
Certificadora Validación
(CA) (VA)
Autoridad de
Registración
(RA)

Infraestructura de Llave Pública (PKI): Componentes
• Autoridad de Registración (RA)

– El RFC 3647 del IETF (Internet Engineering Task
Force) define una RA como una entidad que es
responsable de:
• Identificación y autenticación de los solicitantes de
certificados
• Aprobación o rechazo de las solicitudes de
certificados
• Inicio de revocaciones o suspensiones de
certificados
• Aprobar o rechazar las solicitudes de los suscriptores
para renovar o cambiar la clave de sus certificados.
• Sin embargo, las RA no firman ni emiten certificados
(es decir, a una RA se le delegan ciertas tareas en
RA
nombre de un CA.

Infraestructura de Llave Pública (PKI): Componentes
• Autoridad Certificadora (CA)

– Entidad de confianza encargada de emitir y revocar los certificados digitales.
• Autoridad de Verificación (VA)
– Provee de los servicios de validación de certificados.
– Servicios de validación de certificados puede incluir CRL (Certificate Revocation Lists),
OCSP (Online Certificate Status Protocol) y descarga de CA chain certificate.

Adaptación de las funcionalidades de
un PKI basado en Blockchain
Triada CIA > Disponibilidad
Redundancia
y tolerancia a
fallos
Redundancia de Redundancia de
Discos Servidores
1000 Conexiones
Redundancia Internet Servidor 1

y tolerancia a
fallos Balanceador
de carga
Balanceador de
Carga
Servidor 2
Redundancia
y tolerancia a
fallos
Respaldos Fuente de energía

(Backups) alterna

Información

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Información

Cargado por

Copyright:

Formatos disponibles

Información

Seguridad en las Organizaciones

Autenticidad, Trazabilidad Información

Autenticidad, Trazabilidad Información

• Parte del dominio de Administración de Activos del ISO/IEC 27001

Procesa- Almace- Transmi- Destruc-

• Cada activo de información debe tener:

• Los activos inventariados deben tener un

• Pasos de la clasificación de la información:

• Paso 1: Ingresar el activo en el inventario

Clasificación básica Gobierno Comercial

• Top secret • Sensitive (Propiedad intelectual, datos

• Paso 3: Etiquetado de la información

• Paso 4: Manejo de la información

Autenticidad, Trazabilidad Información

• Las soluciones de seguridad deben garantizar la Triada CIA

Copyright © by Profe Sang (www.profesang.com)

2 llaves por usuario:

Copyright © by Profe Sang (www.profesang.com)

Copyright © by Profe Sang (www.profesang.com)

• Una ejemplo básico de encriptación simétrica: utilización de XOR

Copyright © by Profe Sang (www.profesang.com)

Copyright © by Profe Sang (www.profesang.com)

• Dos tipos de ataques:

32 232 232 s = 71.5 min 1.54 horas

Copyright © by Profe Sang (www.profesang.com)

Copyright © by Profe Sang (www.profesang.com)

Llave Llave Llave Llave

Uso 2 Mensaje Mensaje

• Algoritmos de Encriptación Asimétrica

Encriptación RSA, ECC

Mezcla las ventajas de la encriptación simétrica y asimétrica

RSA Soy rápido, pero

Docum. Encriptación Desencriptación Docum.

Copyright © by Profe Sang (www.profesang.com)

Hash MD5:128 bits, SHA-1: 160 bits

Salida de 160 bits

Salida de 160 bits

• ¿Es todo perfecto con la solución híbrida?

Copyright © by Profe Sang (www.profesang.com)

• Solución: Usar un intermediador confiable

Una persona que

Copyright © by Profe Sang (www.profesang.com)

• Solución: Usar un intermediador confiable

CertificadoBob Datos Datos CertificadoAlice

Copyright © by Profe Sang (www.profesang.com)

• Solución: Usar un intermediador confiable (Autoridad de Certificación)

Llave Llave Llave Llave

Copyright © by Profe Sang (www.profesang.com)

Copyright © by Profe Sang (www.profesang.com)

• Es una herramienta tecnológica que permita garantizar la autoría e

Copyright © by Profe Sang (www.profesang.com)

Generación de un documento firmado digitalmente (Ejecutado por Transmisor)

Hash del Encriptación Hash Hash

Copyright © by Profe Sang (www.profesang.com)

• Soluciona el problema de ¿cómo puedo asegurarme una llave

• Un certificado digital contiene:

✓ La llave pública de la persona o entidad

Copyright © by Profe Sang (www.profesang.com)

Hash de los Encriptación Hash

Copyright © by Profe Sang (www.profesang.com)

Copyright © by Profe Sang (www.profesang.com)

• PKI = Public Key Infrastructure