Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Hasta ahora...
¿Cómo vamos?
¿Ideas principales?
¿Dudas?
¿Sugerencias?
Seguridad
1
¿Qué se debe cuidar?
Datos
Información
Datos técnicos / información técnica
Datos de prueba
Definición de políticas de
seguiridad
Enfoque de las 4 P’s:
Paranóico: Nada está permitido (Sin conexión
a Internet)
Prudente: Lo que no está expresamente
permitido, está prohibido.
Permisivo: Lo que no está expresamente
prohibido, está permitido
Promiscuo: Todo está permitido
Jerarquía de seguridad
De misión crítica
Confidencial
del
departamento
Confidencial de la
empresa
Información pública
2
Firewalls
Colección de componentes colocados entre dos
redes, para controlar el tráfico de la red privada
hacia Internet y viceversa
Bloquea el tráfico no confiable y autoriza el
aprobado
Filtra paquetes de información
No protege de ataques de datos ejecutados
dentro de la misma red.
Control anti-virus
Ejemplo
Internet
Internet
Ruteador Ruteador
selectivo selectivo
Zona
desmilitarizada
Zona
militarizada
3
¿De quién se debe cuidar?
Los hackers
Los crackers
Los scripters
Los keyloggers
Phishing
Cartas Nigerianas
Hackers
Origen del término: Finales de los ’60
Programador con alto dominio de su profesión,
capaz de solucionar problemas a través de
hacks (segmentos de código muy ingeniosos).
Verdaderos conocedores de la tecnología de
cómputo y telecomunicaciones.
La búsqueda de conocimiento siempre fue su
fuerza impulsora.
Kevin Mitnick
Cracker
Persona que en forma persistente realiza
intentos hasta obtener acceso a sistemas
computacionales. Una vez logrado el
acceso produce daños a los recursos del
sistema atacado.
No necesariamente tiene el mismo nivel
de conocimientos del hacker.
4
Scripters
Gente con la capacidad de buscar un programa
en la red y ejecutarlo.
No hay una meta fija
Necesidad de pertenencia, aunque sea al
inframundo.
No hay preocupación por las consecuencias
reales de sus actos.
Se sienten muy “tesos”
Keyloggers
Son piezas de software que se instalan en
computadoras públicas y que almacenan
los datos que un usuario escribe desde su
teclado. Posteriormente los datos
almacenados son enviados a un ladrón
por Internet.
Solución: Teclados virtuales.
5
Phishing
Es un modelo de “pesca” electrónica, que
se realiza vía correo electrónico. Se le
comunica a los usuarios una supuesta
validación de datos que está haciendo una
entidad bancaria. Se le solicita al usuario
visitar un sitio Web para re-ingresar los
datos de logueo y estos son enviados a
una base de datos de un delincuente.
6
7
8
Cartas nigerianas
…I discovered an abandoned sum of$30million
USD(THIRTYmillion US dollars)only , in an account that belongs to
one of our
foreign customers who died along with his entire family in a plane
crash
that took place in Kenya,East Africa,the Late DR. GEORGE
BRUMLEY,a citizen
of Atlanta,United States of America but naturalised in
Burkinafaso,West
Africa…
http://www.cnn.com/2003/WORLD/africa/07/20/kenya.crash/index.ht
ml
Texto original
Estadísticas...
No estuvo
comprometida
14%
9
Privacidad
Asurar que la información que se
transmite por Internet no ha sido
capturada o entregada a un tercero sin el
consentimiento del remitente.
Integridad
Asegurar que la información que se envía
o recibe no ha sido alterada.
Autenticación
¿Cómo se verifican las identidades del
emisor de un mensaje o iniciador de una
transacción y el destinatario?
10
No repudio
Probar que un mensaje o una transacción
fue enviada o recibida, de manera que
ninguno de los participantes en ella pueda
argumentar que no la hizo.
Disponibilidad
Garantizar que la red a través de la cual
se hace la transacción está operando
continuamente, para que se pueda
realizar la transacción.
Seguridad en Internet
Ha sido muy mal posicionada
Es un medio seguro si cumple con ciertos
requisitos
Es más inseguro movilizar el dinero físicamente
Quiénes son los ladrones?
Encriptación
Certificados digitales
11
Criptografía
Es construir códigos secretos
Son las técnicas utilizadas para alterar los
símbolos de información, sin alterar el
contenido, de tal forma que sólo quien
conoce las técnicas utilizadas pueda
acceder al contenido real.
Criptografía
Se han desarrollado técnicas desde la
antigüedad.
Hoy se utilizan diferentes algoritmos para
encriptar / desencriptar la información.
12
Procedimientos clásicos de
encripción
Sustitución:
Se definen correspondencias entre las letras
del alfabeto en que está escrito el mensaje y
otro conjunto que puede ser o no del mismo
alfabeto. (murciélago, aurelio, etc.)
Transposición:
“barajar”los símbolos del mensaje original,
colocándolos en un orden diferente que los
hace incomprensibles.
Ejemplo de Sustitución
CUÁNDO SERÁ ESE CUANDO,
ESA DICHOSA MAÑANA
QUE NOS LLEVEN A LOS DOS
EL DESAYUNO A LA CAMA
MURCIELAGO =12345678910
428ND 10 S638 6S6 428ND 10,
6S8 D54H 10S8 18Ñ8N8
Q26 N 10S 776V6N 8 7 10S D 10S
67 D6S8Y2N 10 8 78 4818
Ejemplo de transposición
La escítala lacedemonia
Dos varas idénticas, alrededor de una de
ellas se envolvía un pergamino
El mensaje se escribía a lo largo del
bastón, se retiraba la cinta y se enviaba.
El destinatario tenía la segunda vara
La cinta por sí sola, no era más que una
sucesión de símbolos del alfabeto griego,
ordenados de manera ininteligible.
13
Métodos criptográficos
Simétricos
Llave encriptado coincide con la de
descifrado
La llave tiene que permanecer secreta
Emisor y receptor se han puesto de acuerdo
previamente o existe un centro de distribución
de las llaves.
Métodos criptográficos
Asimétrico
Llave de encriptado es diferente a la de
decriptado.
Llave encriptado es conocida por el público,
mientras que la de decriptado sólo por el
usuario
Fuente: Internet and the World Wide Web how to program. Deitel, Deitel y Nieto
14
Protocolo Seguro
SSL (Secure Socket Layer)
Servidores certificados
Sesiones seguras
Información encriptada al salir del cliente
El servidor desencripta la información
El cliente no se tiene que certificar
Utiliza claves para autenticarse
HTTPS://
Cómo funciona?
¿Cómo se identifica?
HttpS://
Candado
Verisign
Información de Sitio
seguro
“La confianza se
gana”
15
16
Medios de pago
electrónicos
17
¿Qué son los medios de pago para
Internet?
Según FeLaBan:
Es la utilización de instrumentos como
efectivo, tarjetas de crédito, tarjetas débito,
cheques, en actividades de índole comercial,
bien sea para la adquisición de bienes o
servicios, utilizando para ello la red de redes
(Internet), con las mismas características de
uso que en un ambiente de relaciones
comerciales tradicionales.
ACH
Compensan las transacciones de
diferentes actores financieros.
Operaciones en batch.
Pueden servir de “gateway” financiero.
En Colombia los bancos son sus dueños.
Sirve de red interbancaria.
18
Categorías medios de pago
Micro pagos
Inferiores a $5 dólares
Pagos de
Consumidores
Transacciones entre $5 y
$500 dólares
Pagos de Negocios
Transacciones por encima
de $500 dólares
Características Medios de
Pago
Seguro
Integridad
(La información enviada no puede ser
modificada)
Autenticidad
(Las partes que están intercambiando la
información, son quienes dicen ser)
Confidencialidad
(Solo las partes que están intercambiando
la información tienen acceso a ella)
No Repudiación
(El autor del mensaje no puede negar
posteriormente el haberlo enviado)
Características Medios de
Pago
Ampliamente
aceptado
Por las “tiendas virtuales”,
usuarios e intermediarios (Bancos
y franquicias).
Portable
Ubicuo
19
Comercio electrónico (1)
Banco del
merchant
Banco del
merchant
Banco del
cliente
20
Medios de Pago Disponibles en
Colombia (2)
Tarjetas Prepago
Es una combinación entre TDC y débito sin
presencia del plástico.
La persona carga la tarjeta en el sitio web del banco
con fondos de su cta. corriente o de ahorros y luego
va a la tienda web y realiza su compra como si fuera
una TDC normal.
Ejem. Tarjeta e-Prepago Bancolombia MasterCard
21
Realidad del Fraude On-Line
Entiéndase por fraude una violación a
alguna de las tres reglas de seguridad (1.
Integridad, 2. Autenticidad, o 3.
Confidencialidad)
Con los últimos desarrollos en tecnologías
de encripción, las violaciones a las reglas
1 y 3 son muy escasas.
22
Realidad del Fraude On-Line
Soluciones (sobretodo para venta con TDC)
Limitar las TDC aceptadas (Ej. sólo nacionales)
Pero... existe la malicia indígena!!!
Dudar de pedidos por cantidades inusuales de un mismo
ítem.
Dudar de compras individuales que se salen del promedio.
Dudar de una compra pequeña con un # de TDC y al poco
tiempo, una del mismo usuario, más grande pero con otra
TDC.
-- El
El comercio
comercio no
no pierde.
pierde.
23
24