PDF de programación - Criptografía y Seguridad

Criptografía y Seguridad

Ing. Horacio A. Navarro G.

11 de noviembre de 2005

versión 1.0

slide 1

Agenda

• Definición de seguridad informática
• Criptografía
• Delito informático
• Seguridad física vs seguridad lógica
• Principios de la seguridad informática
• Debilidades
• Amenazas
• Cripto sistemas

11 de noviembre de 2005

versión 1.0 Seminario de Software

slide 2

¿Cómo definir la seguridad

informática?

•

Si nos atenemos a la definición de la Real Academia de la Lengua RAE, seguridad es “cualidad
de seguro”. Buscamos ahora seguro y obtenemos “libre y exento de todo peligro, daño o
riesgo”.

• Como a partir de estas premisas no podemos decir simplemente que la seguridad informática

es “la cualidad de un sistema informático seguro”, habrá que buscar una definición más
técnica.
Algo básico: la seguridad no es un producto, sino un proceso.
Por lo tanto, podríamos aceptar que una primera definición más o menos aceptable de
seguridad informática sería:

•
•

• Un conjunto de sistemas, métodos y herramientas destinados a proteger la información,
proceso en el cual participan además personas. Concienciarlas de su importancia será un
punto crítico.

• Recuerde: la seguridad informática no es un bien medible, en cambio sí podríamos desarrollar

diversas herramientas para medir o bien cuantificar nuestra inseguridad informática.

11 de noviembre de 2005

versión 1.0 Seminario de Software

slide 3

¿Conectado o desconectado?

No podemos aceptar esa afirmación
simpática que dice que el
computador más seguro ...

... es aquel que está apagado y, por
lo tanto, desconectado de la red.

A pesar de todas las amenazas
del entorno, que serán muchas y
de muy distinto tipo ...

... tendremos que aplicar políticas,
metodologías y técnicas de
protección de la información.

11 de noviembre de 2005

versión 1.0 Seminario de Software

slide 4

Acontecimientos en dos últimas

décadas

• A partir de los años 80 el uso del ordenador

personal comienza a ser común. Asoma ya la
preocupación por la integridad de los datos.
• En la década de los años 90 proliferan los
ataques a sistemas informáticos, aparecen
los virus y se toma conciencia del peligro que
nos acecha como usuarios de PCs y equipos
conectados a Internet.

• Las amenazas se generalizan a finales de los

90.

• En los años 00s los acontecimientos fuerzan

a que se tome en serio la seguridad
informática.

11 de noviembre de 2005

versión 1.0 Seminario de Software

slide 5

¿Qué hay de nuevo?

• Principalmente por el uso masivo de Internet, el tema

de la protección de la información se ha
transformado en una necesidad y con ello se
populariza la terminología técnica asociada a la
criptología:
– Cifrado, descifrado, criptoanálisis, firma digital, ...
– Autoridades de Certificación, comercio

electrónico, ...

• Ya no sólo se comentan estos temas en las

universidades. Cualquier usuario desea saber, por
ejemplo, qué significa firmar un e-mail o qué significa
que en una comunicación con su banco aparezca un
candado en la barra de tareas de su navegador y le
diga que el enlace es SSL con 128 bits.

• El software actual ya vienen con seguridad añadida.

11 de noviembre de 2005

versión 1.0 Seminario de Software

slide 6

La criptografía es más o menos esto

Criptografía:
Rama inicial de las Matemáticas y en la actualidad de la
Informática y la Telemática, que hace uso de métodos y
técnicas con el objeto principal de cifrar y/o proteger un
mensaje o archivo por medio de un algoritmo, usando
una o más claves. Esto da lugar a diferentes tipos de
sistemas de cifra, llamados criptosistemas, que
permiten asegurar alguno de estos tres aspectos
básicos de la seguridad informática: la confidencialidad,
la integridad y el no repudio de emisor y no repudio de
receptor.

11 de noviembre de 2005

versión 1.0 Seminario de Software

slide 7

Una definición menos afortunada...

La criptografía según la RAE:
“Arte de escribir con clave secreta o de modo
enigmático”

Desde el punto de vista de la ingeniería y la informática,
es difícil encontrar una definición menos apropiada 

 Hoy ya no es un arte sino una ciencia.
 No sólo se protegen y escriben cosas o documentos, se

generan diversos tipos de archivos y documentos.

 La clave no es única. Muchos sistemas actuales usan

dos claves, una de ellas secreta y la otra pública.

 No hay nada de enigmático  en una cadena de bits.

11 de noviembre de 2005

versión 1.0 Seminario de Software

slide 8

El término apropiado es cifrar

Cifra o cifrado:
Técnica que, en general, protege o autentica a un
documento o usuario al aplicar un algoritmo criptográfico. Sin
conocer una clave específica o secreto, no será posible
descifrarlo o recuperarlo.
No obstante, la RAE define cifrar como “Transcribir en
guarismos, letras o símbolos, de acuerdo con una clave, un
mensaje cuyo contenido se quiere ocultar” ... también muy
poco técnica .
En algunos países de Latinoamérica, por influencia del
inglés, se usará la palabra encriptar. Aunque se entienda,
esta palabra todavía no existe y bien podría ser el acto de
“introducir a alguien dentro de una cripta”, ...  ... como
puede ver, algo bastante distinto a lo que deseamos
expresar... .

11 de noviembre de 2005

versión 1.0 Seminario de Software

slide 9

Unas cuantas definiciones previas

Criptología: ciencia que estudia e investiga todo aquello
relacionado con la criptografía: incluye cifra y criptoanálisis.
Criptógrafo: máquina o artilugio para cifrar.
Criptólogo: persona que trabaja de forma legítima para
proteger la información creando algoritmos criptográficos.
Criptoanalista: persona cuya función es romper algoritmos
de cifra en busca de debilidades, la clave o del texto en
claro.
Texto en claro: documento original. Se denotará como M.
Criptograma: documento/texto cifrado. Se denotará como C.
Claves: datos (llaves) privados/públicos que permitirán cifrar.

11 de noviembre de 2005

versión 1.0 Seminario de Software

slide 10

¿Es atractivo el delito informático?

• Suponiendo que todos entendemos más o menos qué

es un delito informático, parece ser que es un buen
negocio:
– Objeto pequeño: la información está almacenada

en contenedores pequeños: no es necesario un
camión para robar un banco, llevarse las joyas, el
dinero, etc.

– Contacto físico: no existe contacto físico en la

mayoría de los casos. Se asegura el anonimato y
la integridad física del propio delincuente.

– Alto valor: el objeto codiciado tiene un alto valor. El
contenido (los datos) puede valer mucho más que
el soporte que los almacena: computador, disco,
CD, etc.

• La solución será el uso de técnicas criptográficas.

11 de noviembre de 2005

versión 1.0 Seminario de Software

slide 11

Seguridad Física vs Seguridad

Lógica

• El estudio de la seguridad informática podríamos plantearlo

desde dos enfoques distintos aunque complementarios:
– La Seguridad Física: puede asociarse a la protección del

sistema ante las amenazas físicas, incendios, inundaciones,
edificios, cables, control de accesos de personas, etc.

– La Seguridad Lógica: protección de la información en su
propio medio, mediante el enmascaramiento de la misma
usando técnicas de criptografía. Este enfoque de las
aplicaciones criptográficas, es el que será tratado a lo largo
de los capítulos de este libro.

– La gestión de la seguridad está en medio de la dos: los

planes de contingencia, políticas de seguridad, normativas,
etc. Aunque muy brevemente, este tema será tratado en un
próximo capítulo.

 No obstante, tenga en cuenta que esta clasificación en la

práctica no es tan rigurosa. En resumidas cuentas,
podríamos decir que cada vez está menos claro dónde
comienza una y dónde termina la otra.

11 de noviembre de 2005

versión 1.0 Seminario de Software

slide 12

Principios de la seguridad

informática

• Veremos a continuación los tres principios
básicos de la seguridad informática: el del
acceso más fácil, el de la caducidad del
secreto y el de la eficiencia de las medidas
tomadas.

• Tras los acontecimientos del 11/09/2001 y

del 11/03/2004, que echaron por tierra
todos los planes de contingencia, incluso el
más paranoico, comenzamos a tener muy en
cuenta las debilidades de los sistemas y
valorar en su justa medida la seguridad.

Es necesario
aprender de
los errores 

11 de noviembre de 2005

versión 1.0 Seminario de Software

slide 13

1er principio de la seguridad

informática

PREGUNTA:

¿Cuáles son los puntos

débiles

de un sistema informático?

• “El intruso al sistema utilizará cualquier
artilugio que haga más fácil su acceso y
posterior ataque”

• Existirá una diversidad de frentes desde los

que puede producirse un ataque. Esto
dificulta el análisis de riesgos porque el
delincuente aplicará la filosofía del ataque
hacia el punto más débil.

11 de noviembre de 2005

versión 1.0 Seminario de Software

slide 14

2º principio de la seguridad

informática

PREGUNTA:

¿Cuánto tiempo
deberá protegerse

un dato?

• “Los datos confidenciales deben protegerse

sólo hasta que ese secreto pierda su valor
como tal”

• Se habla, por tanto, de la caducidad del

sistema de protección: tiempo en el que debe
mantenerse la confidencialidad o secreto del
dato.

• Esto nos llevará a la fortaleza del sistema de

cifra.

11 de noviembre de 2005

versión 1.0 Seminario de Software

slide 15

3er principio de la seguridad

informática

• “Las medidas de control se implementan para

ser utilizadas de forma efectiva. Deben ser
eficientes, fáciles de usar y apropiadas al
medio”
– Que funcionen en el momento oportuno.
– Que lo hagan optimizando los recursos del

sistema.

– Que pasen desapercibidas para el usuario.

d

a

u

g

ri d
I n f o r m á ti c

e

S

a

Medidas de control

» Y lo más importante: ningún sistema de

control resulta efectivo hasta que
debemos utilizarl