Seguridad de la Información Antología. 23/08/2010 Universidad Tecnológica de Izúcar de Matamoros Mtro. Sergio Valero Orea

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Seguridad de la Información Antología. 23/08/2010 Universidad Tecnológica de Izúcar de Matamoros Mtro. Sergio Valero Orea"

Transcripción

1 Seguridad de la Información Antología 23/08/2010 Universidad Tecnológica de Izúcar de Matamoros Mtro. Sergio Valero Orea

2 Seguridad de la Información Contenido Unidad I. Introducción a la seguridad de la información Introducción a la seguridad de la información Políticas de seguridad Escenarios de ataques a redes Código malicioso Principios matemáticos para criptografía Algoritmos de criptografía Normatividad Nacional e Internacional de seguridad Unidad II. Administración de la seguridad Administración de claves públicas Administración de riesgos y continuidad de actividades Prevención y recuperación de incidentes Protección de sistemas operativos Protocolo SSL y SSL Handshake Unidad III. Métodos de autenticación Servicios AAA Algoritmos de Hash MD5 y SHA Certificados digitales Unidad IV. Firewalls Medidas de seguridad preventivas y correctivas aplicables a un firewall Técnicas de implementación de Firewall... 39

3 Unidad I. Introducción a la seguridad de la información Objetivo. El alumno implementará una política de seguridad para proteger la información de la organización apoyándose en las normas aplicables. 1. Introducción a la seguridad de la información La seguridad informática es la disciplina que ocupa de diseñar normas, procedimientos, métodos y técnicas orientados a proveer condiciones seguras y confiables, para el procesamiento de datos en sistemas informáticos. La decisión de aplicarlos es responsabilidad de cada usuario. La consecuencia de no hacerlo, también. En términos generales, la seguridad puede entenderse como aquellas reglas técnicas y/o actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial. En este sentido, es la información el elemento principal a proteger, resguardar y recuperar dentro de las redes empresariales. Garantizar que los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos, es decir, que no estén dañados o alterados por circunstancias o factores externos, es una definición útil para conocer lo que implica el concepto de seguridad informática. La seguridad de la información es importante por la existencia de personas ajenas a la información, también conocidas como piratas informáticos o hackers, que buscan tener acceso a la red empresarial para modificar, sustraer o borrar datos. Tales personajes pueden, incluso, formar parte del personal administrativo o de sistemas, de cualquier compañía; de acuerdo con expertos en el área, más de 70 por ciento de las Violaciones e intrusiones a los recursos informáticos se realiza por el personal interno, debido a que éste conoce los procesos, metodologías y tiene acceso a la información sensible de su empresa, es decir, a todos aquellos datos cuya pérdida puede afectar el buen funcionamiento de la organización. Por vulnerabilidad entendemos la exposición latente a un riesgo. En el área de informática, existen varios riesgos tales como: ataque de virus, códigos maliciosos, gusanos, caballos de troya y hackers; no obstante, con la adopción de Internet como instrumento de comunicación y colaboración, los riesgos han evolucionado y, ahora, las empresas deben enfrentar ataques de negación de servicio y amenazas combinadas; es decir, la integración de herramientas automáticas

4 de "hackeo", accesos no autorizados a los sistemas y capacidad de identificar y explotar las vulnerabilidades de los sistemas operativos o aplicaciones para dañar los recursos informáticos. Específicamente, en los ataques de negación de servicio, el equipo de cómputo ya no es un blanco, es el medio a través del cual es posible afectar todo el entorno de red; es decir, anular los servicios de la red, saturar el ancho de banda o alterar el sitio web de la compañía. Con ello, es evidente que los riesgos están en la red, no en la PC. Tipos de seguridad informática Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos: hackers, virus, etc., la seguridad de la misma será nula si no se ha previsto como combatir un incendio. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar un disco de respaldo de la sala, que intentar acceder vía lógica a la misma. Así, la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial". Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. Luego de ver como nuestro sistema puede verse afectado por la falta de seguridad física, es importante recalcar que la mayoría de los daños que puede sufrir un centro de cómputo no será sobre los medios físicos sino contra información por él almacenada y procesada. Así, la seguridad física, sólo es una parte del amplio espectro que se debe cubrir para no vivir con una sensación ficticia de seguridad. Como ya se ha mencionado, el activo más importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de la seguridad física, que la aseguren. Estas técnicas las brinda la Seguridad Lógica. Es decir que la Seguridad Lógica consiste en la "aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo". Existe un viejo dicho en la seguridad informática que dicta que "todo lo que no está permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lógica. La seguridad lógica de un sistema informático incluye: restringir al acceso a programas y archivos mediante claves y/o encriptación. Asignar las limitaciones correspondientes a cada usuario del sistema informático, esto significa, no darle más privilegios extras a un usuario, sino sólo los que

5 necesita para realizar su trabajo. Asegurarse que los archivos y programas que se emplean son los correctos y se usan correctamente. Por ejemplo, el mal uso de una aplicación puede ocasionar agujeros en la seguridad de un sistema informático. Control de los flujos de entrada/salida de la información. Esto incluye que una determinada información llegue solamente al destino que se espera que llegue, y que la información llegue tal cual se envió. Los controles anteriormente mencionados se pueden hacer a nivel sistema operativo, a nivel aplicación, a nivel base de datos o archivo, o a nivel firmware. Principios de la seguridad informática Confidencialidad La confidencialidad implica mantener los datos privados. En otras palabras, se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático. Esta privacidad podría acarrear restricciones físicas y lógicas al acceder a datos delicados o cifrar tráfico a través de la red. Un sistema que proporciona confidencialidad podría hacer lo siguiente: - Utilizar mecanismos de seguridad (como un firewall) para prevenir accesos no autorizados a los recursos del sistema o la red. - Solicitar las credenciales apropiadas (nombres de usuario y/o contraseñas) para acceder a los recursos del sistema. - Cifrar el tráfico de tal forma que un hacker no pueda descifrarlo cuando sea capturado en la red. Basándose en este principio, las herramientas de seguridad deben proteger al sistema de invasiones, intrusiones y accesos, por parte de personas o programas no autorizados. Este principio es importante principalmente en sistemas distribuidos, es decir, aquellos en los que usuarios, computadoras y datos residen en localidades diferentes, pero están físicamente y lógicamente conectados. Integridad La integridad significa que los datos no sean modificados. Es decir, se refiere a la validez y consistencia de los elementos de información almacenados y procesados en un sistema informático. También, una solución en la integridad de los datos podría realizar autenticación de origen para verificar que el tráfico está originándose en una fuente confiable. Basándose en este principio, las herramientas de seguridad deben asegurar que los procesos de actualización estén sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos. Este principio es particularmente importante en sistemas descentralizados, es decir, aquellos en los que diferentes usuarios, computadoras y procesos comparten la misma información.

6 Disponibilidad La disponibilidad es una medida de la accesibilidad a los datos. Por ejemplo, si un servidor se cae solamente 5 minutos por año, tendría una disponibilidad de %. Es decir, la disponibilidad se refiere a la continuidad de acceso a los sistemas de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben reforzar la permanencia del sistema informático, en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicación que requieran. Este principio es particularmente importante en sistemas informáticos cuyo compromiso con el usuario es prestar servicio permanente. Control de acceso El control de acceso constituye uno de los servicios de seguridad que es indispensable, existe una gran variedad de formas y métodos para implementar un control de acceso. El primer paso que tenemos que tomar en cuenta para la implementación de un control de acceso es el acceso físico así como el personal que está autorizado para entrar aciertos perímetros donde se encuentran los sistemas. Lo siguiente, es implementar políticas para el control de acceso sobre los datos. El usuario que desarrolla, adquiere u obtiene un archivo (programa, aplicación, dispositivo, etc.) se considera como su dueño, y como tal es el único que puede asignar derechos de otros usuarios sobre el archivo. Constituye metodología y políticas de control de acceso que permiten a un usuario negar o aceptar el uso de sus archivos. Se implementa mediante: bits de permiso sistemas de contraseñas listas de capacidades listas de control de acceso. 2. Políticas de seguridad Una política de seguridad informática es un conjunto de reglas que definen la manera en que una organización maneja, administra, protege y asigna recursos para alcanzar el nivel de seguridad definido como objetivo. Una política de seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica, en términos generales, que está y que no está permitido en área de seguridad durante la operación general del sistema. 1 La RFC 1244 define Política de Seguridad como: "una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y 1 Villalón, Antonio. (2002). Seguridad en Unix y redes v2.1. Consultado el 5/Sep./2010. Disponible en

7 delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán." 2 Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad. No debe tratarse de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el porqué de ello. El objetivo principal de una política de seguridad es proteger los activos de una organización. Estos, no se reducen simplemente a cosas tangibles, sino cosas como: propiedad intelectual, procesos y procedimientos, datos de usuario, funciones específicas de servidores (por ejemplo, web o correo electrónico). 3. Escenarios de ataques a redes Una forma útil de clasificar los ataques a la seguridad, empleada en la recomendación X.800 y RFC 2828, es la distinción entre ataques pasivos y ataques activos. Un ataque pasivo intenta conocer o hacer uso de información del sistema, pero no afecta los recursos del mismo. Un ataque activo, por el contrario, intenta alterar los recursos del sistema o afectar su funcionamiento. Ataques pasivos Los ataques pasivos se dan en forma de escucha o de observación no autorizadas de las transmisiones. El objetivo del oponente es obtener información que se esté transmitiendo. Dos tipos de ataques pasivos son la obtención de contenidos de mensajes y el análisis de tráfico (sniffing). La obtención de contenidos de mensajes se entiende fácilmente. Una conversación telefónica, un mensaje por correo electrónico y un archivo enviado pueden contener información confidencial. Queremos evitar que un oponente conozca los contenidos de estas transmisiones. Un segundo tipo de ataque pasivo, el análisis de tráfico, es más sutil. Supongamos que hemos enmascarado los contenidos de los mensajes u otro tráfico de información de forma que el oponente, incluso habiendo capturado el mensaje, no pueda extraer la información que contiene. La técnica común para enmascarar los contenidos es el cifrado. Incluso si tuviésemos protección mediante cifrado, un oponente podría observar el patrón de los mensajes, determinar la localización y la identidad de los servidores que se comunican y descubrir la frecuencia y la 2 RFC (1991). Site Security Handbook. Consultado el 5/Sep./2010. Disponible en

8 longitud de los mensajes que se están intercambiando. Esta información puede ser útil para averiguar la naturaleza de la comunicación que está teniendo lugar. Los ataques pasivos son muy difíciles de detectar ya que no implican alteraciones en los datos. Normalmente, el mensaje se envía y recibe de una forma aparentemente normal y ni el emisor ni el receptor son conscientes de que una tercera persona ha leído los mensajes o ha observado el patrón de tráfico. Sin embargo, es posible evitar el éxito de estos ataques, normalmente mediante el uso del cifrado. Así, al tratar con los ataques pasivos, el énfasis se pone más en la prevención que en la detección. Ataques activos Los ataques activos implican alguna modificación del flujo de datos o la creación de un flujo falso y se pueden dividir en cuatro categorías: suplantación de identidad (phishing), repetición, modificación de mensajes e interrupción del servicio. Una suplantación se produce cuando una entidad finge ser otra. Un ataque de este tipo incluye habitualmente una de las otras formas de ataque activo. Por ejemplo, las secuencias de autentificación pueden ser capturadas y repetidas después de que una secuencia válida de autentificación haya tenido lugar, permitiendo así, que una entidad autorizada con pocos privilegios obtenga privilegios extra haciéndose pasar por la entidad que realmente los posee. La repetición implica la captura pasiva de una unidad de datos y su retransmisión posterior para producir un efecto no autorizado. La modificación de mensajes significa que una parte de un mensaje original es alterada, o que los mensajes se han retrasado o reordenado, para producir un efecto no autorizado. Por ejemplo, el mensaje permitir a Jesús Sánchez que lea las cuentas de archivos confidenciales se modifica para convertirlo en permitir a Juan Sánchez que lea las cuantas de archivos confidenciales. La interrupción del servicio impide el uso o la gestión normal de las utilidades de comunicación. Este ataque podría tener un objetivo específico; por ejemplo, una entidad podría suprimir todos los mensajes dirigidos a un destino en particular. Otra forma de este tipo de ataque es la interrupción de una red completa, ya sea inhabilitándola o sobrecargándola con mensajes para reducir su rendimiento. Los ataques activos presentan las características opuestas a los pasivos. Aunque los ataques pasivos son difíciles de detectar, existen medidas para prevenir su éxito. Sin embargo, es bastante difícil prevenir por completo los ataques activos, debido a que se requeriría protección física de todas las herramientas de comunicación y las rutas en todo momento. Por el contrario, el objetivo es el de detectarlos y recuperarse de cualquier interrupción o retraso que originen. Como la detección tiene un efecto disuasivo, también podría contribuir a la prevención. Ejemplo de escenarios de ataques a redes en este link

9 4. Código malicioso Podemos definir el término código malicioso como todo programa o fragmento de código, que genera en su accionar, algún tipo de problema en el sistema de cómputo en el cual se ejecuta, interfiriendo de esta forma con el normal funcionamiento del mismo. Existe una cierta confusión en lo que a la clasificación de los distintos códigos maliciosos se refiere. No es raro ver cómo se utilizan términos tales como "virus" o "gusano" indistintamente. Sin embargo, cada uno de estos nombres responde a un tipo de código malicioso en concreto que posee características propias. En realidad, todos los códigos maliciosos pueden englobarse dentro de un concepto mucho más amplio denominado malware, y que puede definirse como cualquier programa, documento o mensaje susceptible de causar perjuicios a los usuarios de sistemas informáticos. Así, dentro del malware se encuentran los llamados genéricamente virus. Se trata del tipo de código malicioso más abundante y que, por lo tanto, suele protagonizar los incidentes más graves. Sin embargo, en realidad, el conjunto de los virus está compuesto por tres subgrupos: virus, gusanos y troyanos. Los virus son programas informáticos capaces de multiplicarse mediante la infección de otros programas mayores e intentan permanecer ocultos en el sistema hasta darse a conocer. Pueden introducirse en las computadoras de formas muy diversas, produciendo efectos molestos, nocivos e incluso destructivos e irreparables. Por su parte, un gusano es un programa similar a un virus que, a diferencia de éste, solamente realiza copias de sí mismo, o de partes de él. Así, no necesita infectar otros archivos para poder multiplicarse. Finalmente, los troyanos son programas que llegan al ordenador por cualquier medio, se introducen en él, se instalan y realizan determinadas acciones para tomar el control del sistema afectado. La historia mitológica "El caballo de Troya" ha inspirado su nombre. Los programas que conocemos como "antivirus" tienen como misión principal detectar y eliminar los tipos de códigos maliciosos antes mencionados, ya que, en la práctica, son los que pueden causar daños más importantes a los sistemas. 5. Principios matemáticos para criptografía

10 Según la Real Academia Española, la criptografía se define como arte de escribir con clave secreta o de algún modo enigmático. 3 Lo cual, podría ser un poco utópico para nuestros tiempos. Una definición más formal, nos indica que la criptografía es una rama inicial de las matemáticas y en la actualidad también de la informática y la telemática, que hace uso de métodos y técnicas con el objeto principal de cifrar, y por lo tanto proteger, un mensaje o archivo por medio de un algoritmo, usando una o más claves. 4 Habitualmente, se usan dos formas de cifrado: cifrado convencional o simétrico, y cifrado de clave pública o asimétrica. Cifrado simétrico (criptografía simétrica) También conocido como cifrado convencional o cifrado de clave privada, el cifrado simétrico es la técnica más antigua y mejor conocida. Una clave secreta -o privada-, que puede ser un número, una palabra o simplemente una cadena de letras, aleatorias, se aplica al texto de un mensaje para cambiar el contenido en un modo determinado. Esto podría ser tan sencillo como desplazando cada letra a un número de posiciones en el alfabeto. Siempre que el remitente y destinatario conocen la clave secreta, puede cifrar y descifrar todos los mensajes que utilizan esta clave. Esta técnica consiste en el uso de una clave que es conocida tanto por el emisor como por el receptor y, se supone, por nadie más. La siguiente figura muestra un esquema de este tipo Figura 1. Cifrado simétrico E y R conocen la clave K. El emisor E, desea transmitir el mensaje Mensaje a R. Para ello, utilizando determinado algoritmo de cifrado simétrico y la clave K, genera el mensaje Mensaje k, que es transmitido a R. Éste, aplicando la misma clave y el algoritmo inverso, obtiene nuevamente el mensaje original. 3 Real Academia Española (2010). Consultado el 5/Sep./2010. Disponible en 4 Ramió, Jorge (2009). Seguridad Informática y Criptografía. Consultado el 5/Sep./2010. Disponible en:

11 Quizás el ejemplo más simple del cifrado simétrico sea el juego de niños de desplazar las letras del mensaje una determinada cantidad de posiciones: Por ejemplo, cifrar el mensaje ``Hola Mundo'' como ``Ipmb Nvñep'', desplazando las letras una posición. En este caso, la clave que ambas partes deben conocer es la cantidad de posiciones que se desplazaron las letras. 5 Es importante observar que la seguridad del cifrado simétrico depende de la privacidad de la clave, no de la privacidad del algoritmo. Es decir, se asume que no es práctico descifrar un mensaje teniendo el texto cifrado y conociendo el algoritmo de cifrado/descifrado. En otras palabras, no es necesario que el algoritmo sea secreto; lo único que hay que mantener en secreto es la clave. Esta característica del cifrado simétrico es la causa de su uso tan extendido. El hecho de que el algoritmo no sea secreto significa que los fabricantes pueden desarrollar y han desarrollado implementaciones con chips de bajo costo de los algoritmos de cifrado de datos. Estos chips se pueden conseguir fácilmente y se han incorporado a una serie de productos. Con el uso del cifrado simétrico, el problema principal consiste en mantener la privacidad de la clave. Cifrado asimétrico (criptografía asimétrica) También conocido como cifrado de clave pública, fue propuesto por primera vez por Diffie y Hellman en Es el primer avance realmente revolucionario en el cifrado en miles de años. El motivo es que los algoritmos de clave pública están basados en funciones matemáticas y no en simples operaciones sobre los patrones de bits. Además, la criptografía de clave pública es asimétrica, lo que implica el uso de dos claves separadas, a diferencias del cifrado simétrico convencional, que emplea sólo una clave. El uso de dos claves, tiene importantes consecuencias en el terreno de la confidencialidad, la distribución de claves y la autentificación. Figura 2. Cifrado asimétrico 5 Smaldone, Javier (2006). Introducción al Secure Shell. Consultado el 5/Sep./2010. Disponible en:

12 Las técnicas de cifrado asimétrico se basan en el uso de dos claves: una pública y otra privada. En el ejemplo de la figura 2, R posee dos claves KR (su clave privada, conocida solo por él) y KR P (su clave pública, conocida por cualquiera). En este ejemplo, E desea transmitir el mensaje Mensaje a R, de manera que nadie, excepto este último, pueda conocer su contenido. Para ello, utilizando la clave KR P y un algoritmo de cifrado asimétrico, genera el mensaje Mensaje KR, el cual es transmitido. Luego, R, utilizando el algoritmo inverso y su clave privada KR, reproduce el mensaje original. Figura 3. Diferencias entre el cifrado simétrico y el asimétrico Los pasos fundamentales del cifrado asimétrico son los siguientes: 1. Cada usuario genera una pareja de claves para el cifrado y el descifrado de mensajes. 2. Cada usuario localiza una de las dos claves en un registro público u otro archivo accesible. Esta es la clave pública. La otra clave no se revela. Cada usuario mantiene un grupo de claves públicas que han obtenido de otros. 3. Como se muestra en la figura 3, si Andrea quiere enviar un mensaje privado a Bruno, cifra el mensaje usando la clave pública de Bruno. 4. Cuando Bruno recibe el mensaje, lo descifra usando su clave privada. Ningún otro receptor puede descifrar el mensaje porque sólo Bruno conoce su clave privada. En este enfoque, todos los participantes tienen acceso a las claves públicas, y las claves privadas las genera cada participante de forma local y, por lo tanto, nunca necesitan ser distribuidas. Mientas el usuario proteja su clave privada, la comunicación entrante es segura. En cualquier momento un usuario puede cambiar la clave privada y publicar la clave pública que la acompaña para sustituir la clave pública antigua. La clave empleada en el cifrado convencional se denomina comúnmente clave secreta. Las dos claves empleadas para el cifrado de clave pública se denominan clave pública y clave privada. Invariablemente, la clave privada se mantiene en secreto, en vez de llamarse clave secreta se llama clave privada para evitar confusiones con el cifrado convencional.

13 6. Algoritmos de criptografía Los algoritmos de cifrado simétrico pueden ser divididos en algoritmos de bloques y algoritmos de flujo. Los algoritmos de cifrado en bloques transforman bloques de texto plano de n bits a bloques de texto cifrado de n bits bajo la influencia de una clave k. Los algoritmos de cifrado de flujo son algoritmos que pueden realizar el cifrado incrementalmente, convirtiendo el texto plano en texto cifrado bit a bit. Es decir, el cifrado por flujo protege un texto plano bit a bit mientras que el cifrado por bloques toma un número de bits y lo encapsula como una unidad simple En las secciones siguientes, se describen los algoritmos de cifrado de bloque más importantes: el DES, 3DES, AES y el RSA. DES (Data Encryption Standard) El esquema de cifrado más extendido se basa en DES. El cual, fue desarrollado en 1977 y rápidamente se convirtió en un estándar por el gobierno de los Estados Unidos y otros países. DES es un cifrado en bloques con una longitud de 64 bits por bloque (pueden ser 16 números hexadecimales), de los que 8 bits se utilizan como control de paridad, por lo tanto la clave tiene una longitud útil de 56 bits, es decir, realmente se utilizan sólo 56 bits del algoritmo El algoritmo se encarga de realizar combinaciones, sustituciones y permutaciones entre el texto a cifrar y la clave, asegurándose al mismo tiempo de que las operaciones puedan realizarse en ambas direcciones (para el descifrado). Hay 16 etapas del proceso. Se generan 16 subclaves partiendo de la clave original, una para cada etapa. La clave es codificada en 64 bits y se compone de 16 bloques de 4 bits, generalmente nombrados de k 1 a k 16. Dado que solamente 56 bits sirven para el cifrado, puede haber hasta 2 56 (o 7.2 x ) claves diferentes. Fig. 4. Algoritmo DES Ejemplo Texto a cifrar: En hexadecimal Clave: Texto Cifrado: Your lips are smoother than Vaseline (36 caracteres + Chr(13) + Chr(10)) 596F C D 6F6F E C696E650D0A0000 (relleno) 0E329232EA6D0D73

14 3DES (Triple DES) C0999FDDE378D7ED 727DA00BCA5A84EE 47F269A4D D9D52F78F AC9B453E0E653 El triple DES se estandarizó inicialmente para aplicaciones financieras en el estándar ANSI en El algoritmo 3DES desarrollado por Tuchman en 1978, es una manera de mejorar la robustez del algoritmo DES que consiste en aplicarlo 3 veces consecutivas. Se puede aplicar con la misma clave cada vez o con claves distintas y combinando el algoritmo de cifrado con el de descifrado. El resultado es un algoritmo seguro y que se utiliza en la actualidad, aunque resulta muy lento comparado con otros algoritmos más modernos que también son seguros. 6 AES (Advanced Encryption Standard) El algoritmo 3DES tiene dos atractivos que aseguran su uso durante los próximos años. Primero, son su longitud de clave de 168 bits evita la vulnerabilidad al ataque de fuerza bruta del DES. Segundo, el algoritmo de cifrado que se usa es el mismo que en el DES. Este algoritmo ha estado sujeto a más escrutinios que ningún otro en un largo periodo de tiempo, y no se ha encontrado ningún ataque criptoanálitico efectivo basado en el algoritmo que no sea la fuerza bruta. Por tanto, hay un alto grado de seguridad en la resistencia al criptoanálisis del 3DES. Si la seguridad fuera la única consideración, el 3DES sería una elección adecuada para un algoritmo de cifrado estándar durante las próximas décadas. El inconveniente principal del 3DES es que el algoritmo es relativamente lento en su implementación software. El DES original se diseñó para implementaciones hardware de mediados de los 70 y no produce código software eficiente. El 3DES tiene 3 veces más etapas que el DES y, por ello, es más lento. Un inconveniente secundario es que tanto el DES como el 3DES usan un tamaño de bloque de 64 bits. Por razones tanto de eficiencia como de seguridad, es preferible un mayor tamaño de bloque. Debido a estos inconvenientes, el 3DES no es un candidato razonable para usarlo durante mucho tiempo. Para reemplazarlo, el NIST (National Institute of Standards and Technology) realizó en 1997 un concurso de propuestas para el desarrollo de un nuevo estándar de cifrado avanzado (AES), que deberá ser tan robusto o más que el 3DES y que mejoraría significativamente la eficiencia. Además de esos términos generales, el NIST especificó que el AES debía ser un cifrador simétrico de bloque con una longitud de bloque de 128 bits y permitir longitudes de clave de 128, 192 y 256 bits. Los criterios de evaluación incluyeron seguridad, eficiencia computacional, requisitos de memoria, la idoneidad para hardware y software y la flexibilidad. 6 Palacios R., Delgado V. (2006). Introducción a la criptografía: tipos de algoritmos. Anales de mecánica y electricidad [en línea], Volumen LXXXIII, Número 1, Págs Disponible en https://www.icai.es/contenidos/publicaciones/anales_get.php?id=1210

15 El algoritmo seleccionado por el NIST como propuesta del AES fue el Rijndael, desarrollado y presentado por dos criptógrafos belgas: Dr. Joan Deamen y Dr. Rijmen. RSA (Rivest, Shamir Adleman) El algoritmo RSA es uno de los algoritmos de clave pública (asimétricos) más usados. Fue publicado en 1978 por Ron Rivest, Adi Shamir y Len Adleman en el MIT y ha sido desde entonces el enfoque más aceptado e implementado para el cifrado de clave pública. El sistema RSA se basa en el hecho matemático de la dificultad de factorizar números muy grandes. Para factorizar un número el sistema más lógico consiste en empezar a dividir sucesivamente éste entre 2, entre 3, entre 4,..., y así sucesivamente, buscando que el resultado de la división sea exacto, es decir, de resto 0, con lo que ya tendremos un divisor del número. Ahora bien, si el número considerado es un número primo (el que sólo es divisible por 1 y por él mismo), tendremos que para factorizarlo habría que empezar por 1, 2, 3,... hasta llegar a él mismo, ya que por ser primo ninguno de los números anteriores es divisor suyo. Y si el número primo es lo suficientemente grande, el proceso de factorización es complicado y lleva mucho tiempo. Basado en la exponenciación modular de exponente y módulo fijos, el sistema RSA crea sus claves de la siguiente forma: Se buscan dos números primos lo suficientemente grandes: p y q (de entre 100 y 300 dígitos). Se obtienen los números n = p * q y Ø = (p - 1) * (q - 1). Se busca un número e tal que no tenga múltiplos comunes con Ø. Se calcula d = e - 1 mod Ø, con mod = resto de la división de números enteros. Y ya con estos números obtenidos, n es la clave pública y d es la clave privada. Los números p, q y Ø se destruyen. También se hace público el número e, necesario para alimentar el algoritmo. El cálculo de estas claves se realiza en secreto en la máquina en la que se va a guardar la clave privada, y una vez generada ésta conviene protegerla mediante un algoritmo criptográfico simétrico. En cuanto a las longitudes de claves, el sistema RSA permite longitudes variables, siendo aconsejable actualmente el uso de claves de no menos de 1024 bits (se han roto claves de hasta 512 bits, aunque se necesitaron más de 5 meses y casi 300 computadoras trabajando juntos para hacerlo). RSA basa su seguridad es ser una función computacionalmente segura, ya que si bien realizar la exponenciación modular es fácil, su operación inversa, la extracción de raíces de módulo Ø no es factible a menos que se conozca la factorización de e, clave privada del sistema.

16 RSA es el más conocido y usado de los sistemas de clave pública, y también el más rápido de ellos. Presenta todas las ventajas de los sistemas asimétricos, incluyendo la firma digital, aunque resulta más útil a la hora de implementar la confidencialidad el uso de sistemas simétricos, por ser más rápidos. Se suele usar también en los sistemas mixtos para encriptar y enviar la clave simétrica que se usará posteriormente en la comunicación cifrada. Ejemplo de RSA Un ejemplo trivial del algoritmo RSA se muestra a continuación. Para este ejemplo hemos seleccionado p=17 y q=11, dando n=187 (11x17) y Ø=160 (16x10). Un valor adecuado de e es 7. Con estas selecciones, d puede encontrarse determinando tal que d x e mod 160 = 1 y d < 160. El valor correcto es d = 23, porque 23x7 = 161 mod 160 = 1 y 23 < 160. El texto cifrado, C, de un mensaje de texto normal, P, se da por la regla C = P 7 (mod 187). El texto cifrado lo descifra el receptor de acuerdo con la regla P = C 23 (mod 187). Observe tanto en el emisor como en el receptor, donde se muestra el cifrado-descifrado del texto normal "CASA". Simbólico Numérico P 7 P 7 (mod 187) Texto cifrado C 23 C 23 (mod 187) Simbólico (C) C C e +49 A A S S e+49 A A Tabla 1. Ejemplo del algoritmo RSA Otro ejemplo Clave pública (7,187), clave privada (23,187). Cifrado Descifrado 88 7 mod 187 = mod 187 = 88 Texto plano 88 Texto cifrado 11 Texto plano Normatividad Nacional e Internacional de seguridad ISO Publicada el 15 de Octubre de Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS :2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs

17 (Sistemas de Gestión de Seguridad de la Información) de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. En México, está publicada bajo la norma NMX-I-041/02-NYCE 7. ISO Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO contiene un anexo que resume los controles de ISO 27002:2005. COBIT El IT Governance Institute fue establecido por ISACA (Information Systems Audit and Control Association) en 1998 para aclarar y orientar en cuestiones actuales y futuras relativas a la administración, seguridad y aseguramiento TI. Como consecuencia de su rápida difusión internacional, ambas instituciones disponen de una amplia gama de publicaciones y productos diseñados para apoyar una gestión efectiva de las TI en el ámbito de la empresa. Uno de sus documentos más conocidos, referencia a nivel mundial, es CobiT (Objetivos de control para tecnologías de la información y similares). Se trata de un marco compatible con ISO (anterior ISO 17799:2005) y COSO, que incorpora aspectos fundamentales de otros estándares relacionados; por tanto, aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por CobiT están más cerca de adaptarse y lograr la certificación en ISO Organismo Nacional de Normalización y Evaluación de la Conformidad (2009), Normas Mexicanas NMX- NYCE, Normalización y Certificación Electrónica AC. Disponible en :

18 CobiT se estructura en cuatro partes; la principal de ellas se divide de acuerdo con 34 procesos de TI. Cada proceso se cubre en cuatro secciones (objetivo de control de alto nivel para el proceso, los objetivos de control detallados, directrices de gestión y el modelo de madurez para el objetivo) que dan una visión completa de cómo controlar, gestionar y medir el proceso. Utiliza un ciclo de vida de tipo PDCA (Plan-Do-Check-Act) que lo integra en los procesos de negocio. No existe un certificado en las prácticas indicadas por CobiT, aunque ISACA sí ofrece la posibilidad a título personal de obtener certificaciones como Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM) y "Certified in the Governance of Enterprise IT" CGEIT. Figura 4. Marco de trabajo Cobit 4.0 NIST Serie 800 El National Institute of Standards and Technology (NIST), fundado en 1901, es un organismo federal no regulador que forma parte de la Administración de Tecnología (Technology Administration) del Departamento de Comercio (Department of Commerce) de los EE.UU.

19 La misión del NIST consiste en elaborar y promover patrones de medición, normas y tecnología con el fin de incrementar la productividad, facilitar el comercio y mejorar la calidad de vida. Distintos principios y prácticas en seguridad comunes y de aplicación tanto en agencias gubernamentales como en corporaciones privadas están recogidos en una larga lista de publicaciones identificadas bajo la Serie 800 y disponibles para su libre descarga 8. Estas guías y directrices son documentos muy elaborados y de reconocido prestigio, que cubren múltiples aspectos relacionados con la seguridad de la información y que pueden servir de apoyo a la hora de desarrollar políticas, procedimientos y controles. WebTrust WebTrust es el sello de confianza, calidad y seguridad que se concede a la página Web de la empresa que, previamente ha obtenido un Informe Favorable de Auditoría Independiente, por una Firma de Auditoría Habilitada para la Prestación de Servicios WebTrust al cumplir, durante un cierto periodo de tiempo, los Criterios y Principios WebTrust, establecidos por las entidades promotoras y licenciatarias del sello; Instituto Americano de Auditores Públicos de Cuentas (AICPA), Instituto Canadiense de Auditores de Cuentas (CICA), e Instituto de Auditores Censores Jurados de Cuentas de España (IACJCE). Desde el año 1997, se han desarrollado y mejorado (tres versiones) los Principios y Criterios que debe cumplir un sitio Web para que obtenga el sello, a la vez que se han ido otorgando licencias a los colectivos más representativos de Auditores en los principales países de todo el mundo, que han iniciado el proceso de desarrollo de la nueva actividad para los auditores de dichos países, de forma que WebTrust se ha convertido en el método más efectivo de transmitir confianza para los usuarios de Internet. Para saber más Whatkins, Michael (2008). CCNA Security Official Exam Certification Guide. Cisco Press. Stallings, Williams (2005). Fundamentos de seguridad en redes. Aplicaciones y Estándares. 2ª Edición. Pearson Educación. 8 National Institute of Standards and Technology. (2010). Special Publications (800 series). Disponible en

20 Unidad II. Administración de la seguridad Objetivo. El alumno administrará la seguridad informática para garantizar la disponibilidad de la información. 1. Administración de claves públicas Una de las funciones principales del cifrado de clave pública es la del tratar del problema de la distribución de claves. Hay dos aspectos fundamentales sobre el uso del cifrado de clave pública en este sentido: La distribución de claves públicas. El uso de cifrado de clave pública para distribuir clave secreta. Certificados de clave pública A la vista de todo esto, la base del cifrado de clave pública se encuentra en el hecho de que la clave pública es pública. Así, si hay un algoritmo de clave pública aceptado, como el RSA, cualquier participante puede enviar su clave pública a cualquier otro o difundir la clave a la comunidad en general. Aunque este enfoque es conveniente, presenta una debilidad fundamental: cualquiera puede falsificar ese dato público. Es decir, un usuario podría hacerse pasar por el usuario A y enviar una clave pública a otro participante o difundirla. Hasta el momento en que A descubre la falsificación y alerta a los otros participantes, el falsificador puede leer todos los mensajes cifrados enviados a A y puede usar las claves falsificadas para la autentificación. La solución a este problema es el certificado de clave pública. Básicamente, un certificado consiste en una clave pública y un identificador o nombre de usuario del dueño de la clave, con todo el bloque firmado por una tercera parte confiable. Comúnmente, la tercera parte una autoridad de certificación (CA, Certificate Authority) en la que confía la comunidad de usuarios, que podría ser una entidad gubernamental o una institución financiera. Un usuario puede presentar su clave pública a la autoridad de forma segura, obtener su certificado y luego publicarlo. Cualquiera que necesite la clave pública de este usuario puede obtener el certificado y verificar que es válida por medio de la firma fiable adjunta. El esquema que se ha aceptado mundialmente para el formateo de los certificados de clave pública es el estándar X.509, cuyos certificados se emplean en la mayoría de las aplicaciones de seguridad de redes, incluyendo la seguridad IP, las capas de conexión segura (SSL), las transacciones electrónicas seguras (SET) y S/MIME.

CRIPTOGRAFÍA SIMÉTRICA Y ASIMÉTRICA

CRIPTOGRAFÍA SIMÉTRICA Y ASIMÉTRICA CRIPTOGRAFÍA SIMÉTRICA Y ASIMÉTRICA Para generar una transmisión segura de datos, debemos contar con un canal que sea seguro, esto es debemos emplear técnicas de forma que los datos que se envían de una

Más detalles

Seguridad de la información

Seguridad de la información Seguridad de la información Se entiende por seguridad de la información a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar

Más detalles

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN EN COMPETENCIAS PROFESIONALES ASIGNATURA DE SEGURIDAD DE LA INFORMACIÓN

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN EN COMPETENCIAS PROFESIONALES ASIGNATURA DE SEGURIDAD DE LA INFORMACIÓN INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN EN COMPETENCIAS PROFESIONALES ASIGNATURA DE SEGURIDAD DE LA INFORMACIÓN UNIDADES DE APRENDIZAJE 1. Competencias Dirigir proyectos de tecnologías

Más detalles

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN INGENIERÍA HOJA DE ASIGNATURA CON DESGLOSE DE UNIDADES TEMÁTICAS 1. Nombre de la asignatura Seguridad de la Información 2. Competencias Dirigir proyectos de tecnologías de información (T.I.) para contribuir

Más detalles

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN INGENIERÍA HOJA DE ASIGNATURA CON DESGLOSE DE UNIDADES TEMÁTICAS 1. Nombre de la asignatura Seguridad de la Información 2. Competencias Dirigir proyectos de tecnologías de información (T.I.) para contribuir

Más detalles

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN HOJA DE ASIGNATURA CON DESGLOSE DE UNIDADES TEMÁTICAS

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN HOJA DE ASIGNATURA CON DESGLOSE DE UNIDADES TEMÁTICAS INGENIERÍA HOJA DE ASIGNATURA CON DESGLOSE DE UNIDADES TEMÁTICAS 1. Nombre de la asignatura Seguridad de la Información 2. Competencias Dirigir proyectos de tecnologías de información (T.I.) para contribuir

Más detalles

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB Nombre: 1. Protocolo HTTPS Hyper Text Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto),

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

QUÉ OCURRE EN LA ACTUALIDAD CON LA SEGURIDAD? INVESTIGA

QUÉ OCURRE EN LA ACTUALIDAD CON LA SEGURIDAD? INVESTIGA QUÉ OCURRE EN LA ACTUALIDAD CON LA SEGURIDAD? INVESTIGA AUTORÍA MARÍA CATALÁ CARBONERO TEMÁTICA SEGURIDAD, REDES ETAPA CICLO SUPERIOR DE INFORMÁTICA Y PROFESORADO Resumen La seguridad en los sistemas en

Más detalles

Cifrado de la información. Guía corporativa

Cifrado de la información. Guía corporativa Cifrado de la información Guía corporativa La encriptación de datos en las empresas 1. Introducción 3 Guía corporativa de encriptación de datos 1. Introducción La información es uno de los recursos más

Más detalles

CRIPTOGRAFIA. Qué es, usos y beneficios de su utilización. Universidad Nacional del Comahue

CRIPTOGRAFIA. Qué es, usos y beneficios de su utilización. Universidad Nacional del Comahue CRIPTOGRAFIA Qué es, usos y beneficios de su utilización Introducción Antes, computadoras relativamente aisladas Hoy, computadoras en redes corporativas conectadas además a Internet Transmisión de información

Más detalles

SEGURIDAD EN INTERNET. MALWARE

SEGURIDAD EN INTERNET. MALWARE 1 SEGURIDAD EN INTERNET. MALWARE En Internet, como en casi todos los ámbitos de la vida, la seguridad, entendida tal cual se recoge en la Real Academia de la Lengua, es prácticamente imposible de conseguir;

Más detalles

Algoritmos de cifrado Definir el problema con este tipo de cifrado

Algoritmos de cifrado Definir el problema con este tipo de cifrado Criptografía Temario Criptografía de llave secreta (simétrica) Algoritmos de cifrado Definir el problema con este tipo de cifrado Criptografía de llave pública (asimétrica) Algoritmos de cifrado Definir

Más detalles

AUDITORIA ESPECIFICA SEGURIDAD LOGICA Y FISICA SISTEMAS ORIENTADOS A OBJETOS

AUDITORIA ESPECIFICA SEGURIDAD LOGICA Y FISICA SISTEMAS ORIENTADOS A OBJETOS AUDITORIA ESPECIFICA SEGURIDAD LOGICA Y FISICA SISTEMAS ORIENTADOS A OBJETOS Presentado por: ANDRÉS RINCÓN MORENO 1700412318 JORGE ARMANDO MEDINA MORALES 1700321660 Profesor: Carlos Hernán Gómez. Asignatura:

Más detalles

Software y Aplicaciones

Software y Aplicaciones Software y Aplicaciones 1. Consejo de Seguridad Informática ST04-006 Saber qué son los Parches Cuando los proveedores advierten vulnerabilidades en sus productos, a menudo largan parches para solucionar

Más detalles

Servidor Criptográfico Software. CRIPTOlib/RSA V3.0. Servidor Criptográfico Software. Indra Diciembre de 2.002

Servidor Criptográfico Software. CRIPTOlib/RSA V3.0. Servidor Criptográfico Software. Indra Diciembre de 2.002 Servidor Criptográfico Software CRIPTOlib/RSA V3.0 Servidor Criptográfico Software Indra Diciembre de 2.002 Índice Índice Í N D I C E Pág. 1 INTRODUCCIÓN...4 2 EVOLUCIÓN DE LOS SISTEMAS DE SEGURIDAD...8

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Cuando hablamos de Informática nos referimos a todos los recursos que están relacionados con el manejo de la información y, como es de todos conocido la información viene a representar

Más detalles

Seguridad en el correo electrónico y colaboración de su empresa

Seguridad en el correo electrónico y colaboración de su empresa Seguridad en el correo electrónico y colaboración de su empresa Estrategia de defensa en profundidad Hoy debido a las múltiples amenazas en seguridad que han evolucionado en Internet, las compañías están

Más detalles

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN INGENIERÍA HOJA DE ASIGNATURA CON DESGLOSE DE UNIDADES TEMÁTICAS 1. Nombre de la Seguridad de la Información asignatura 2. Competencias Dirigir proyectos de tecnologías de información (T.I.) para contribuir

Más detalles

Cómo afrontar la Seguridad en Redes Abiertas: Consideraciones Técnicas y Escenarios.

Cómo afrontar la Seguridad en Redes Abiertas: Consideraciones Técnicas y Escenarios. Cómo afrontar la Seguridad en Redes Abiertas: Consideraciones Técnicas y Escenarios. Encarnación Sánchez Vicente 1. INTRODUCCIÓN No cabe ninguna duda que en nuestros días, la información es la clave. Esta

Más detalles

Certificados Digitales y su utilización en Entornos Clínicos

Certificados Digitales y su utilización en Entornos Clínicos La Informática de la Salud: Punto de Encuentro de las Disciplinas Sanitarias Certificados Digitales y su utilización en Entornos Clínicos Reche Martínez, D.; García Linares, A.J.; Richarte Reina, J.M.

Más detalles

1. INTRODUCCION. -ATAQUES A LA SEGURIDAD: Qué acciones pueden comprometer la seguridad de la información que

1. INTRODUCCION. -ATAQUES A LA SEGURIDAD: Qué acciones pueden comprometer la seguridad de la información que TEMA 7: TECNOLOGIAS Y SERVICIOS DE SEGURIDAD EN INTERNET 1. INTRODUCCION Los requisitos en seguridad de la información manejada dentro de una organización han evolucionado sustancialmente en las últimas

Más detalles

Métodos Encriptación. Tópicos en Sistemas de Computación Módulo de Seguridad

Métodos Encriptación. Tópicos en Sistemas de Computación Módulo de Seguridad Métodos Encriptación Tópicos en Sistemas de Computación Módulo de Seguridad Temario Introducción Breve historia Algoritmos simétricos Algoritmos asimétricos Protocolos seguros Ejemplos Introducción Porqué

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL)

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Cuando su empresa cuenta con más de una sucursal o mantiene intercambio constante de información entre sus proveedores y clientes, es vital encontrar

Más detalles

e-commerce Objetivo e-commerce

e-commerce Objetivo e-commerce Presenta: UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO FACULTAD DE CONTADURIA Y ADMINISTRACIÓN Sitios web comerciales Tema II Comercio Electrónico 2.4 Elementos del e-commerce y seguridad. ING. y M.A. RENÉ

Más detalles

Seguridad Wi-Fi. Seguridad Wi-Fi

Seguridad Wi-Fi. Seguridad Wi-Fi Cuando Ud. se comunica a través de Internet usando una conexión cableada o inalámbrica, querrá asegurar que sus comunicaciones y ficheros tienen privacidad y están protegidos. Si sus transmisiones no son

Más detalles

SEGURIDAD INFORMATICA. Prof.: Ing. Alberto Esteban Barrera Alumno: Ricardo Farfán Patiño

SEGURIDAD INFORMATICA. Prof.: Ing. Alberto Esteban Barrera Alumno: Ricardo Farfán Patiño SEGURIDAD INFORMATICA Prof.: Ing. Alberto Esteban Barrera Alumno: Ricardo Farfán Patiño DEFINICIONES DE HACKER: Un hacker (del inglés hack, recortar), también conocidos como sombreros blancos es el neologismo

Más detalles

Seguridad en la transmisión de Datos

Seguridad en la transmisión de Datos Seguridad en la transmisión de Datos David Peg Montalvo Santiago de Compostela Noviembre 2005 Índice 01 Seguridad. Ámbito de aplicación 02 Control de acceso 03 Conceptos básicos de criptografía 04 PKI

Más detalles

Recordando 28/05/2014. Es el conjunto que resulta de la integración de cuatro. Cuál es el objetivo de integrar estos componentes?

Recordando 28/05/2014. Es el conjunto que resulta de la integración de cuatro. Cuál es el objetivo de integrar estos componentes? Introducción a la Seguridad Informática Dra. Maricela Bravo La información como activo estratégico Recordando Qué es un sistema de información? Es el conjunto que resulta de la integración de cuatro elementos:

Más detalles

Estos servicios han de ser prestados satisfaciendo las siguientes propiedades:

Estos servicios han de ser prestados satisfaciendo las siguientes propiedades: 1. 1. Introducción. En los últimos tiempos el fenómeno Internet está provocando cambios tanto tecnológicos como culturales que están afectando a todos lo ámbitos de la sociedad, con una fuerte repercusión

Más detalles

Seguridad del Protocolo HTTP

Seguridad del Protocolo HTTP Seguridad del Protocolo HTTP - P R O T O C O L O H T T P S. - C O N E X I O N E S S E G U R A S : S S L, TS L. - G E S T IÓN D E C E R T IF I C A D O S Y A C C E S O --S E G U R O C O N H T T P S Luis

Más detalles

Hostaliawhitepapers. Qué amenazas nos podemos encontrar por la red

Hostaliawhitepapers. Qué amenazas nos podemos encontrar por la red Qué amenazas nos podemos encontrar por la red Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Todo el mundo que utiliza algún equipo informático ha escuchado alguna vez

Más detalles

Unidad VII: CONCEPTOS DE SEGURIDAD

Unidad VII: CONCEPTOS DE SEGURIDAD Unidad VII: CONCEPTOS DE SEGURIDAD Introducción La infraestructura de red, los servicios y los datos contenidos en las computadoras conectadas a la red son activos comerciales y personales muy importantes.

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

cfj Esquema de una organización Esquema de mi hogar, bar, la plaza, mi auto Centro de Formación Judicial C.A.B.A. Uso Seguro de Internet Año 2014

cfj Esquema de una organización Esquema de mi hogar, bar, la plaza, mi auto Centro de Formación Judicial C.A.B.A. Uso Seguro de Internet Año 2014 Esquema de una organización Esquema de mi hogar, bar, la plaza, mi auto Pág. 1 Esquema de una organización o de mi dispositivo personal Pág. 2 Tecnologías de (TI) y de las Comunicaciones (TIC) Cuál es

Más detalles

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA Capítulo 5 POLÍTICAS DE SEGURIDADD INFORMÁTICA En este capítulo se describen las políticas de seguridad para optimizar el control del ISP Cap.5 Pág. 99 POLÍTICAS DE SEGURIDAD INFORMÁTICA La Seguridad informática

Más detalles

Seguridad SSL Número: 18 Sección: Artículos.

Seguridad SSL Número: 18 Sección: Artículos. Seguridad SSL Número: 18 Sección: Artículos. Es un hecho de todos conocido que Internet constituye un canal de comunicaciones inseguro, debido a que la información que circula a través de esta vasta red

Más detalles

1. SEGURIDAD INFORMÁTICA. 1.1. Seguridad informática

1. SEGURIDAD INFORMÁTICA. 1.1. Seguridad informática 1. SEGURIDAD INFORMÁTICA 1.1. Seguridad informática Seguridad física. Se entiende como el conjunto de medidas y protocolos para controlar el acceso físico a un elemento. Aplicado a la seguridad informática

Más detalles

TEMA 7 Seguridad Informática

TEMA 7 Seguridad Informática TEMA 7 Seguridad Informática 7.1 Introducción (1/2) La información es uno de los activos más importantes de las organizaciones, y de modo especial en algunos sectores de actividad. La seguridad de datos

Más detalles

Redes Privadas Virtuales (VPN)

Redes Privadas Virtuales (VPN) Redes Privadas Virtuales (VPN) Integrantes: - Diego Álvarez Delgado - Carolina Jorquera Cáceres - Gabriel Sepúlveda Jorquera - Camila Zamora Esquivel Fecha: 28 de Julio de 2014 Profesor: Agustín González

Más detalles

1.264 Tema 17. Seguridad Web: Encriptación (clave pública) SSL/TLS Firmas ciegas (SET)

1.264 Tema 17. Seguridad Web: Encriptación (clave pública) SSL/TLS Firmas ciegas (SET) 1.264 Tema 17 Seguridad Web: Encriptación (clave pública) SSL/TLS Firmas ciegas (SET) Premisas de seguridad Web Navegador-red-servidor son los 3 componentes clave. Premisas del usuario (navegador): El

Más detalles

HERRAMIENTAS DE SEGURIDAD

HERRAMIENTAS DE SEGURIDAD Seguridad Informática I M.C. Cintia Quezada Reyes HERRAMIENTAS DE SEGURIDAD Siempre es conveniente instalar herramientas de seguridad y es aconsejable que éstas sean las que se consideren necesarias después

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN 1 OBJETIVO Describir los lineamientos aplicados a la gestión y administración de los equipos de seguridad instalados en la salida a internet y en

Más detalles

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad.

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Tema 38 Conceptos de seguridad TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Índice 1 INTRODUCCIÓN 1 2 CONCEPTOS GENERALES

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

Seguridad en Sistemas

Seguridad en Sistemas Seguridad en Sistemas Introducción En nuestra presentación el objetivo principal es entender que es seguridad y si existe la seguridad en los sistemas, y comprobamos que la seguridad en los sistemas no

Más detalles

PROCEDIMIENTO ESPECÍFICO. Código G022-02 Edición 0

PROCEDIMIENTO ESPECÍFICO. Código G022-02 Edición 0 Índice 1. TABLA RESUMEN... 2 2. OBJETO... 2 3. ALCANCE... 2 4. RESPONSABILIDADES... 3 5. ENTRADAS... 3 6. SALIDAS... 3 7. PROCESOS RELACIONADOS... 3 8. DIAGRAMA DE FLUJO... 4 9. DESARROLLO... 5 9.1. COMPONENTES

Más detalles

Seguridad de la Información. Juan Heguiabehere

Seguridad de la Información. Juan Heguiabehere Seguridad de la Información Juan Heguiabehere Temario Qué es seguridad de la información? Atributos esenciales de la información Arquitectura de seguridad de la información Procesos Herramientas Regulaciones

Más detalles

Las condiciones que debe reunir una comunicación segura a través de Internet (o de otras redes) son en general las siguientes:

Las condiciones que debe reunir una comunicación segura a través de Internet (o de otras redes) son en general las siguientes: Componentes de seguridad Las condiciones que debe reunir una comunicación segura a través de Internet (o de otras redes) son en general las siguientes: Confidencialidad: evita que un tercero pueda acceder

Más detalles

Diseño de arquitectura segura para redes inalámbricas

Diseño de arquitectura segura para redes inalámbricas Diseño de arquitectura segura para redes inalámbricas Alfredo Reino [areino@forbes-sinclair.com] La tecnología de redes inalámbricas basada en el estándar IEEE 802.11 tiene unos beneficios incuestionables

Más detalles

GUIA DE SOLUCIONES Y SEGURIDADES ANTE POTENCIALES ATAQUES A LA PLATAFORMA LINUX

GUIA DE SOLUCIONES Y SEGURIDADES ANTE POTENCIALES ATAQUES A LA PLATAFORMA LINUX CAPITULO 7 CONCLUSIONES Y RECOMENDACIONES 1.- CONCLUSIONES Linux es un sistema operativo que requiere de altos conocimientos técnicos como programación, una alta cultura investigativa, curiosidad e iniciativa,

Más detalles

Seguridad de la información en SMart esolutions

Seguridad de la información en SMart esolutions Seguridad de la información en SMart esolutions Índice Qué es SMart esolutions? Qué es la seguridad de la información? Definiciones Opciones de seguridad de SMart esolutions Preguntas frecuentes 04/05/2005

Más detalles

Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia

Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia Con el tiempo a los firewalls se les ha agregado mas características: Autenticación de Usuarios VPN

Más detalles

Protocolos de Seguridad en Redes

Protocolos de Seguridad en Redes Protocolos de Seguridad en Redes Meleth 22 de julio de 2004 1 1. Introducción Para asegurar que una comunicación a través de una red es segura tiene que cumplir cuatro requisitos [1] : 1.Autenticidad:

Más detalles

La seguridad en la red: verdades, mentiras y consecuencias Aproximación práctica a la criptografía aplicada

La seguridad en la red: verdades, mentiras y consecuencias Aproximación práctica a la criptografía aplicada La seguridad en la red: verdades, mentiras y consecuencias Aproximación práctica a la criptografía aplicada 1 2 Aproximación práctica a la criptografía aplicada 1- Qué es la criptografía aplicada 2- Propiedades:

Más detalles

SEGURIDAD EN INFORMÁTICA

SEGURIDAD EN INFORMÁTICA SEGURIDAD EN INFORMÁTICA LA SEGURIDAD Y SUS IMPLICACIONES Características principales de la seguridad en Internet: Confidencialidad. Sólo deben tener acceso a aquellas personas autorizadas para ello. Autentificación

Más detalles

GUÍA DE AMENAZAS. Las diez amenazas más peligrosas de Internet

GUÍA DE AMENAZAS. Las diez amenazas más peligrosas de Internet GUÍA DE AMENAZAS Botnet Su accionar consiste en formar una red o grupo de computadoras zombis (infectados con malware), que son controlados por el propietario de los bots (atacante). Es decir, toman control

Más detalles

TALLER DE DETECTIVES: DESCIFRANDO MENSAJES SECRETOS. 1. Introducción

TALLER DE DETECTIVES: DESCIFRANDO MENSAJES SECRETOS. 1. Introducción TALLER DE DETECTIVES: DESCIFRANDO MENSAJES SECRETOS charamaria@gmail.com Resumen. Notas del taller para estudiantes Taller de Detectives: descifrando mensajes secretos dictado durante el tercer festival

Más detalles

Sistemas Operativos Distribuidos

Sistemas Operativos Distribuidos Fiabilidad y Seguridad Fallos Conceptos Básicos Diversos elementos de un sistema distribuido pueden fallar: Procesadores, red, dispositivos, software, etc. Tipos de fallos: Transitorios: Falla una vez

Más detalles

Transferencia segura de Datos en Línea con SSL

Transferencia segura de Datos en Línea con SSL Transferencia segura de Datos en Línea con SSL Guía para comprender los certificados SSL, cómo funcionan y su aplicación 1. Aspectos generales 2. Qué es SSL? 3. Cómo saber si un sitio web es seguro 4.

Más detalles

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 1. Certificados Digitales 1. Formatos 2. Autoridades de Certificación 2. Firmas Digitales 3. Comercio Electrónico 1. Participantes 2. Elementos 4.

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

SEGURIDAD EN LA RED: FIREWALLS Y ENCRIPTACIÓN

SEGURIDAD EN LA RED: FIREWALLS Y ENCRIPTACIÓN SEGURIDAD EN LA RED: FIREWALLS Y ENCRIPTACIÓN ARISO Alumnes: JUAN ANTONIO FERNÁNDEZ ALEJANDRO RÍOS BLANCO Diciembre del 2001. Introducción a la seguridad. Con la introducción de los computadores, la seguridad

Más detalles

Ing. Cynthia Zúñiga Ramos

Ing. Cynthia Zúñiga Ramos Ing. Cynthia Zúñiga Ramos Criptografía Criptografía Datos Datos Encriptación ase4bhl Desencriptación Datos cifrados Confidencialidad en las comunicaciones Algoritmos Hash de una dirección Algoritmos

Más detalles

Cuaderno de notas del OBSERVATORIO CÓMO COMPROBAR LA INTEGRIDAD DE LOS FICHEROS

Cuaderno de notas del OBSERVATORIO CÓMO COMPROBAR LA INTEGRIDAD DE LOS FICHEROS Cuaderno de notas del OBSERVATORIO Instituto Nacional de Tecnologías de la Comunicación CÓMO COMPROBAR LA INTEGRIDAD DE LOS FICHEROS Comprobar la integridad de un fichero consiste en averiguar si algún

Más detalles

Seguridad desde el primer click. Seguridad desde el primer click

Seguridad desde el primer click. Seguridad desde el primer click Las nuevas posibilidades que proporciona la acelerada evolución de Internet resultan evidentes. Posibilidades que nos permiten en BBVA net cash completar, día a día, nuestra ya nutrida y flexible gama

Más detalles

Redes de comunicaciones actuales permiten la conectividad de un gran número de usuarios. Explosión de servicios que necesitan la transmisión de datos

Redes de comunicaciones actuales permiten la conectividad de un gran número de usuarios. Explosión de servicios que necesitan la transmisión de datos Redes de comunicaciones actuales permiten la conectividad de un gran número de usuarios. Explosión de servicios que necesitan la transmisión de datos por estas redes: necesidad de protección de la información.

Más detalles

Seguridad Web. Presentación basada en el curso dictado por el Profesor Ernst Leiss en la EVI 2013

Seguridad Web. Presentación basada en el curso dictado por el Profesor Ernst Leiss en la EVI 2013 Seguridad Web Presentación basada en el curso dictado por el Profesor Ernst Leiss en la EVI 2013 Lista de contenidos Seguridad de los datos Autenticación Integridad Malware Spam Denegación de servicio

Más detalles

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS GUÍA DE USUARIO DELITOS INFORMÁTICOS El uso de Internet, además de darnos mucha información, también nos ofrece algunos peligros. Al igual que nuestro mundo real, en el mundo virtual también hay gente

Más detalles

Seguridad (informática) en redes corporativas

Seguridad (informática) en redes corporativas Seguridad (informática) en redes corporativas Algunos aspectos de la seguridad informática en departamentos de salud Joan Pau García Úbeda Informática Hospital Lluís Alcanyís Departament Xàtiva-Ontinyent

Más detalles

Unidad 4 Criptografía, SSL/TLS y HTTPS. Despliegue de aplicaciones web

Unidad 4 Criptografía, SSL/TLS y HTTPS. Despliegue de aplicaciones web Unidad 4 Criptografía, SSL/TLS y HTTPS Índice Introducción. Criptografía Introducción Algoritmos criptográficos Introducción. Clave secreta. Clave pública. Funciones resumen (hash). 2 Índice Firma digital.

Más detalles

AUDITORIA ESPECÍFICA: SEGURIDAD FISICA Y LÓGICA SISTEMAS ORIENTADOS A OBJETOS

AUDITORIA ESPECÍFICA: SEGURIDAD FISICA Y LÓGICA SISTEMAS ORIENTADOS A OBJETOS AUDITORIA ESPECÍFICA: SEGURIDAD FISICA Y LÓGICA SISTEMAS ORIENTADOS A OBJETOS Universidad de Caldas Facultad de Ingeniería Programa Ingeniería de Sistemas y Computación Blanca Rubiela Duque Ochoa Código

Más detalles

(CAST5, BLOWFISH,AES, AES192, AES256, TWOFISH)

(CAST5, BLOWFISH,AES, AES192, AES256, TWOFISH) Unidad 2 2.2 Criptografia Simetrica 2.2.1 Sistema de Encriptamiento de Información (DES) y 3DES 2.2.2 Practicas de encriptación con algoritmos simetricos (CAST5, BLOWFISH,AES, AES192, AES256, TWOFISH)

Más detalles

Criptografía Algoritmos Simétricos Algoritmos Asimétricos Firma electrónica y algoritmos Protocolos SSL, TLS OpenSSL. Criptografía

Criptografía Algoritmos Simétricos Algoritmos Asimétricos Firma electrónica y algoritmos Protocolos SSL, TLS OpenSSL. Criptografía Criptografía Víctor Bravo, Antonio Araujo 1 1 Fundación Centro Nacional de Desarrollo e Investigación en Tecnologías Libres Nodo Mérida CENDITEL, 2008 Licencia de Uso Copyright (c), 2007. 2008, CENDITEL.

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

2.3.5 Capa de sesión. Protocolos

2.3.5 Capa de sesión. Protocolos 2.3.5 Capa de sesión Protocolos RPC El RPC (del inglés Remote Procedure Call, Llamada a Procedimiento Remoto) es un protocolo que permite a un programa de computadora ejecutar código en otra máquina remota

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

Capítulo 5. CRIPTOGRAFÍA

Capítulo 5. CRIPTOGRAFÍA Capítulo 5. CRIPTOGRAFÍA Autor: Índice de contenidos 5.1. PRINCIPIOS DE CRIPTOGRAFÍA 5.2. TIPOS DE ALGORITMOS DE CIFRADO 5.2.2. Criptografía a simétrica 5.2.3. Criptografía a de clave asimétrica 5.2.4.

Más detalles

Introducción: Seguridad Activa: Medidas de Prevención. Objetivo: Evitar daños en sistemas informáticos antes que ocurran. Mecanismos de protección

Introducción: Seguridad Activa: Medidas de Prevención. Objetivo: Evitar daños en sistemas informáticos antes que ocurran. Mecanismos de protección Introducción: Seguridad Activa: Medidas de Prevención. Objetivo: Evitar daños en sistemas informáticos antes que ocurran. Mecanismos de protección contra intrusos: Protección contra personas y/o programas.

Más detalles

Semana 14: Encriptación. Cifrado asimétrico

Semana 14: Encriptación. Cifrado asimétrico Semana 14: Encriptación Cifrado asimétrico Aprendizajes esperados Contenidos: Características y principios del cifrado asimétrico Algoritmos de cifrado asimétrico Funciones de hash Encriptación Asimétrica

Más detalles

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades

Más detalles

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente.

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. DEFINICIONES IMPORTANTES QUE DEBE CONOCER: Confidencialidad: hace referencia a que la información

Más detalles

Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts

Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts Índice de contenido Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts...1 Licencia...1 Cortafuegos...1 Sin estado...2 Con estado

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Tema 17. Algunos aspectos de seguridad informática

Tema 17. Algunos aspectos de seguridad informática Tema 17. Algunos aspectos de seguridad informática Virus y otro malware Cortafuegos Criptografía Recomendaciones de seguridad generales Virus y otro malware Malware Virus Troyanos Keyloggers Programas

Más detalles

3. Algoritmo DES (Data Encription Standard)

3. Algoritmo DES (Data Encription Standard) 3. Algoritmo DES (Data Encription Standard) 3.1. Fundamentos Cifrado por bloques (block cipher) Opera sobre un bloque de texto plano de n bits para producir un texto cifrado de n bits. Tipicamente, la

Más detalles

Protección de los clientes contra los ataques a la red

Protección de los clientes contra los ataques a la red Protección de los clientes contra los ataques a la red La información incluida en este documento representa el punto de vista actual de Microsoft Corporation acerca de los temas tratados hasta la fecha

Más detalles

Guía para principiantes. sobre los certificados SSL. Cómo tomar la mejor decisión a la hora de considerar sus opciones de seguridad en Internet

Guía para principiantes. sobre los certificados SSL. Cómo tomar la mejor decisión a la hora de considerar sus opciones de seguridad en Internet WHITE PAPER: Guía PARA principiantes sobre los certificados SSL White paper Guía para principiantes sobre los certificados SSL Cómo tomar la mejor decisión a la hora de considerar sus opciones de seguridad

Más detalles

TEMA 2 - parte 3.Gestión de Claves

TEMA 2 - parte 3.Gestión de Claves TEMA 2 - parte 3.Gestión de Claves SEGURIDAD EN SISTEMAS DE INFORMACIÓN Libre Elección http://ccia.ei.uvigo.es/docencia/ssi 1 de marzo de 2011 FJRP, FMBR 2010 ccia SSI 1. Gestion de claves Dos aspectos

Más detalles

CI Politécnico Estella

CI Politécnico Estella SÍNTESIS PROGRAMACIÓN DEL MÓDULO/ DEPARTAMENTO:INFORMÁTICA GRUPO/CURSO: 2º MR 2014-15 MÓDULO / : SEGU PROFESOR: SARA SANZ LUMBIER 3.- CONTENIDOS: 3.1.- Enumera las Unidades Didácticas o Temas: (precedidos

Más detalles

Redes de comunicación

Redes de comunicación UNIVERSIDAD AMERICANA Redes de comunicación Unidad IV- Sistemas de Autenticación y firmas digitales Recopilación de teoría referente a la materia Ing. Luis Müller 2011 Esta es una recopilación de la teoría

Más detalles

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA La Auditoría de las Tecnologías de la Información y las Comunicaciones adquiere cada vez mayor importancia, debido a la necesidad de garantizar

Más detalles

Seminario Internet y Buscadores NAVEGACIÓN SEGURA Y HERRAMIENTAS DE MOTORES DE BUSQUEDA

Seminario Internet y Buscadores NAVEGACIÓN SEGURA Y HERRAMIENTAS DE MOTORES DE BUSQUEDA Seminario Internet y Buscadores NAVEGACIÓN SEGURA Y HERRAMIENTAS DE MOTORES DE BUSQUEDA Santa Cruz de la Sierra, Bolivia Realizado por: Ing. Juan Carlos Castro Chávez 1 Indice Navegacion segura Criptografía

Más detalles

Capítulo 8 Seguridad en Redes Conexiones TCP Seguras: SSL

Capítulo 8 Seguridad en Redes Conexiones TCP Seguras: SSL Capítulo 8 Seguridad en Redes Conexiones TCP Seguras: SSL Basado en: Computer Networking: A Top Down Approach 5 th edition. Jim Kurose, Keith Ross Addison-Wesley, April 2009. Capítulo 8 contenidos 8.1

Más detalles

Seguridad en Correo Electrónico

Seguridad en Correo Electrónico Seguridad en Correo Electrónico PGP S/MIME Contenido Introducción Pretty Good Privacy (PGP) S/MIME 1 Seguridad en correo electrónico El correo electrónico es uno de los servicios de red más utilizados

Más detalles

Julio César Mendoza T. Ingeniería de Sistemas Quito

Julio César Mendoza T. Ingeniería de Sistemas Quito 46 Julio César Mendoza T. Ingeniería de Sistemas Quito 47 RESUMEN En el presente artículo se presenta una breve introducción a la criptografía sin profundizar en las matemáticas que soportan los algoritmos

Más detalles

INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N 001-2011/UIE-PATPAL - FBB

INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N 001-2011/UIE-PATPAL - FBB INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N 001-2011/UIE-PATPAL - FBB Contenido 1. NOMBRE DEL AREA... 2 2. RESPONSABLES DE LA EVALUACIÓN... 2 3. CARGOS... 2 4. FECHA... 2 5. JUSTIFICACIÓN... 2 6.

Más detalles