PDF de programación - Capítulo 3 Introducción a la Seguridad Informática

Libro Electrónico de Seguridad Informática y Criptografía v4.1

Capítulo 3

Introducción a la Seguridad Informática

Seguridad Informática y Criptografía

Ultima actualización del archivo: 01/03/06
Este archivo tiene: 56 diapositivas

v 4.1

Material Docente de
Libre Distribución

Dr. Jorge Ramió Aguirre
Universidad Politécnica de Madrid

Este archivo forma parte de un curso completo sobre Seguridad Informática y Criptografía. Se autoriza el uso,
reproducción en computador y su impresión en papel, sólo con fines docentes y/o personales, respetando los
créditos del autor. Queda prohibida su comercialización, excepto la edición en venta en el Departamento de
Publicaciones de la Escuela Universitaria de Informática de la Universidad Politécnica de Madrid, España.

Curso de Seguridad Informática y Criptografía © JRA

Capítulo 3: Introducción a la Seguridad Informática

Página 50

¿Cómo definir la seguridad informática?
• Si nos atenemos a la definición de la Real Academia de la Lengua

RAE, seguridad es la “cualidad de seguro”. Buscamos ahora seguro y
obtenemos “libre y exento de todo peligro, daño o riesgo”.

• A partir de estas definiciones no podríamos aceptar que seguridad

informática es “la cualidad de un sistema informático exento de
peligro”, por lo que habrá que buscar una definición más apropiada.

• Algo básico: la seguridad no es un producto, sino un proceso.
• Por lo tanto, podríamos aceptar que una primera definición más o

menos aceptable de seguridad informática sería:

• Un conjunto de métodos y herramientas destinados a proteger la
información y por ende los sistemas informáticos ante cualquier
amenaza, un proceso en el cual participan además personas.
Concienciarlas de su importancia en el proceso será algo crítico.

• Recuerde: la seguridad informática no es un bien medible, en cambio
sí podríamos desarrollar diversas herramientas para cuantificar de
alguna forma nuestra inseguridad informática.

© Jorge Ramió Aguirre Madrid (España) 2006

http://www.rae.es/



Capítulo 3: Introducción a la Seguridad Informática

Libro Electrónico de Seguridad Informática y Criptografía v4.1

Capítulo 3: Introducción a la Seguridad Informática

Página 51

¿Y qué es la criptografía?

La criptografía es aquella rama inicial de las Matemáticas y
en la actualidad también de la Informática y la Telemática,
que hace uso de métodos y técnicas con el objeto principal de
cifrar, y por tanto proteger, un mensaje o archivo por medio
de un algoritmo, usando una o más claves.
Un término más genérico es criptología: el compendio de las
técnicas de cifra, conocido como criptografía, y aquellas
técnicas de ataque conocidas como criptoanálisis.

He aquí una definición menos afortunada de
criptografía que podemos encontrar en el
diccionario de la Real Academia Española...

© Jorge Ramió Aguirre Madrid (España) 2006

Capítulo 3: Introducción a la Seguridad Informática

Página 52

Una definición menos afortunada...



La criptografía según la RAE:
“Arte de escribir con clave secreta o de modo
enigmático”

Desde el punto de vista de la ingeniería y la informática,
es difícil encontrar una definición menos apropiada
Hoy ya no es un arte sino una ciencia.
No sólo se escriben documentos, se generan diversos tipos

de archivos DOC, DLL, EXE, JPG, etc.

La clave no es única. Muchos sistemas actuales usan dos

claves, una de ellas secreta y la otra pública. En sistemas de
navegación segura en Internet se llega a usar 4 claves.

No hay nada de enigmático ☺ en una cadena de bits.

© Jorge Ramió Aguirre Madrid (España) 2006

Capítulo 3: Introducción a la Seguridad Informática

Libro Electrónico de Seguridad Informática y Criptografía v4.1

Capítulo 3: Introducción a la Seguridad Informática

Página 53

El término es cifrar no encriptar

Cifra o cifrado:
Técnica que, en general, protege o autentica a un documento o
usuario al aplicar un algoritmo criptográfico. Sin conocer una clave
específica o secreta, no será posible descifrarlo o recuperarlo.
No obstante, la RAE define cifrar como “Transcribir en guarismos,
letras o símbolos, de acuerdo con una clave, un mensaje cuyo
contenido se quiere ocultar” ... también muy poco técnica .
En algunos países de Latinoamérica, por influencia del inglés, se
usará la palabra encriptar.
Si bien se entiende, esta palabra todavía no existe y podría ser el
acto de “introducir a alguien dentro de una cripta”, ... ... algo
bastante distinto a lo que deseamos expresar... ☺.

© Jorge Ramió Aguirre Madrid (España) 2006

Capítulo 3: Introducción a la Seguridad Informática

Página 54

Más definiciones y palabras no recogidas

o En el trabajo diario con temas de seguridad informática, nos

encontraremos con muchas situaciones parecidas a ésta.

o Por ejemplo, podemos ver en algunos documentos palabras

nuevas como securizar y hacker que, a la fecha, no están
recogidas en el diccionario de la Real Academia Española.
o Más aún, aunque le parezca increíble no encontrará en ese

diccionario palabras tan comunes como factorizar, primalidad,
criptólogo, criptógrafo, criptoanalista, etc.

o No obstante sí se recogen criptograma como “Documento
cifrado” y además criptoanálisis como “El arte de descifrar
criptogramas”... tal vez no muy acertada esta última porque
normalmente se habla aquí de criptoanalizar y no descifrar .

http://www.rae.es/



© Jorge Ramió Aguirre Madrid (España) 2006

Capítulo 3: Introducción a la Seguridad Informática

Libro Electrónico de Seguridad Informática y Criptografía v4.1

Capítulo 3: Introducción a la Seguridad Informática

Página 55

Unas cuantas definiciones previas

- Criptología: ciencia que estudia e investiga todo aquello
relacionado con la criptografía: incluye cifra y criptoanálisis.
- Criptógrafo: máquina o artilugio para cifrar.
- Criptólogo: persona que trabaja de forma legítima para
proteger la información creando algoritmos criptográficos.
- Criptoanalista: persona cuya función es romper algoritmos
de cifra en busca de debilidades, la clave o del texto en claro.
- Texto en claro: documento original. Se denotará como M.
- Criptograma: documento/texto cifrado. Se denotará como C.
- Claves: datos (llaves) privados/públicos que permiten cifrar
un documento y descifrar el correspondiente criptograma.

© Jorge Ramió Aguirre Madrid (España) 2006

Capítulo 3: Introducción a la Seguridad Informática

Página 56

¿La solución será estar desconectado?

No podemos aceptar esa
afirmación simplista que
dice que el computador
más seguro ...

© Jorge Ramió Aguirre Madrid (España) 2006

... es aquel que está
desconectado y, por lo
tanto, libre de todos los
peligros que hay en la red.
A pesar de todas las
amenazas del entorno,
que serán muchas y de
muy distinto tipo ...
... tendremos que aplicar
políticas, metodologías y
técnicas de protección
de la información porque
la conectividad es vital.

Capítulo 3: Introducción a la Seguridad Informática

Libro Electrónico de Seguridad Informática y Criptografía v4.1

Capítulo 3: Introducción a la Seguridad Informática

Página 57

¿Tenemos conciencia de las debilidades?

Habrá debilidades tanto internas como externas...

Amenazas

La seguridad informática
se convierte en un nuevo
motivo de preocupación

A finales del siglo XX e inicios del XII tanto las empresas, organismos e
incluso particulares comienzan a tomar verdadera conciencia de su
importancia. Hoy en día, tener un sistema que cumpla con los estándares
de gestión de la seguridad es sinónimo de calidad de servicio.

© Jorge Ramió Aguirre Madrid (España) 2006

Capítulo 3: Introducción a la Seguridad Informática

Página 58

Acontecimientos en dos últimas décadas

• A partir de los años 80 el uso del ordenador personal

comienza a ser común. Asoma por tanto la preocupación
por la integridad de los datos.

• En la década de los años 90 aparecen los virus y gusanos y

se toma conciencia del peligro que nos acecha como
usuarios de PCs y equipos conectados a Internet.

• Además, comienzan a proliferar ataques a sistemas

informáticos. La palabra hacker aparece incluso en prensa.
• Las amenazas se generalizan a finales de los 90; aparecen

nuevos gusanos y malware generalizado.

• En los años 00s los acontecimientos fuerzan a que se tome

muy en serio la seguridad informática.

© Jorge Ramió Aguirre Madrid (España) 2006

Capítulo 3: Introducción a la Seguridad Informática

Libro Electrónico de Seguridad Informática y Criptografía v4.1

Capítulo 3: Introducción a la Seguridad Informática

Página 59

¿Qué hay de nuevo en los 00s?

• Principalmente por el uso masivo de Internet, el tema de la

protección de la información se ha transformado en una
necesidad y con ello se populariza la terminología técnica
asociada a la criptología:
– Cifrado, descifrado, criptoanálisis, firma digital, ...
– Autoridades de Certificación, comercio electrónico, ...
• Ya no sólo se comentan estos temas en las universidades.
Cualquier usuario desea saber, por ejemplo, qué significa
firmar un e-mail o qué significa que en una comunicación
con su banco aparezca un candado en la barra de tareas de
su navegador y le diga que el enlace es SSL con 128 bits.

• El software actual viene con seguridad añadida o embebida.

© Jorge Ramió Aguirre Madrid (España) 2006

Capítulo 3: Introducción a la Seguridad Informática

Página 60

¿Es atractivo el delito informático?

• Suponiendo que todos entendemos más o menos qué es un delito

informático, algo no muy banal dado que muchos países no se
ponen de acuerdo, parece ser que es un buen negocio:
– Objeto pequeño: la información que se ataca está almacenada

en contenedores pequeños: no es necesario un camión para
robar un banco, llevarse las joyas, el dinero, etc.

– Contacto físico: no existe contacto físico e