El documento trata sobre la privacidad y seguridad en Internet. Explica que toda persona tiene derecho a la privacidad incluso cuando usa Internet, y que la privacidad incluye tanto la confidencialidad como el anonimato. Si las personas se sienten obligadas a exponer información privada solo por conectarse a Internet, es probable que rechacen usarla.
1. SEGURIDADES DEL
INTERNET
Sin embargo, la Seguridad en Internet no es sólo una
preocupación empresarial. Toda persona tiene derecho a la
privacidad y cuando ésta accede a Internet su necesidad de
privacidad no desaparece. La privacidad no es sólo
confidencialidad, sino que también incluye anonimato. Lo que
leemos, las páginas que visitamos, las cosas que compramos y la
gente a la que hablamos representan información que a la mayoría
de las personas no les gusta dar a conocer. Si las personas se ven
obligadas a exponer información que normalmente desean ocultar
por el hecho de conectarse a Internet, probablemente rechazarán
todas las actividades relacionadas con la red.
2. Seguridad en Internet
Gestión de claves (incluyendo negociación de claves y su almacenamiento): Antes de
que el tráfico sea enviado/recibido, cada router/cortafuegos/servidor (elemento activo de
la red) debe ser capaz de verificar la identidad de su interlocutor.
Confidencialidad: La información debe ser manipulada de tal forma que ningún atacante
pueda leerla. Este servicio es generalmente prestado gracias al cifrado de la información
mediante claves conocidas sólo por los interlocutores.
Imposibilidad de repudio: Ésta es una forma de garantizar que el emisor de un mensaje
no podrá posteriormente negar haberlo enviado, mientras que el receptor no podrá negar
haberlo recibido.
Integridad: La autenticación valida la integridad del flujo de información garantizando que
no ha sido modificado en el tránsito emisor-receptor.
Autenticación: Confirma el origen/destino de la información -corrobora que los
interlocutores son quienes dicen ser.
Autorización: La autorización se da normalmente en un contexto de autenticación previa.
Se trata un mecanismo que permite que el usuario pueda acceder a servicios o realizar
distintas actividades conforme a su identidad.
Dependiendo de qué capa de la pila de protocolos OSI se implemente la seguridad, es
posible prestar todos o sólo algunos de los servicios mostrados anteriormente. En algunos
casos tiene sentido proveer algunos de ellos en una capa y otros en otra diferente.
3. Requisitos y Amenazas de la
Seguridad
Requisitos y Amenazas de la Seguridad
Para comprender los tipos de amenazas a la seguridad que existen, daremos algunos conceptos de los requisitos en seguridad. La seguridad en
computadores y en redes implica tres exigencias:
- Secreto: requiere que la información en una computadora sea accesible para lectura sólo a usuarios autorizados. Este tipo de acceso incluye la
impresión, mostrar en pantalla y otras formas que incluyan cualquier método de dar a conocer la existencia de un objeto.
- Integridad: requiere que los recursos de un computador sean modificados solamente por usuarios autorizados. La modificación incluye escribir,
cambiar de estado, suprimir y crear.
- Disponibilidad: requiere que los recursos de un computador estén disponibles a los usuarios autorizados.
Los tipos de agresión a la seguridad de un sistema de computadores o de redes se caracterizan mejor observando la función del sistema como
proveedor de información. En general, existe un flujo de información desde un origen, como puede ser un fichero o una región de memoria principal, a
un destino, como otro fichero o un usuario.
Hay cuatro tipos de agresión:
Interrupción: un recurso del sistema se destruye o no llega a estar disponible o se inutiliza. Ésta es una agresión de disponibilidad. Ejemplos de esto
son la destrucción de un elemento hardware (un disco duro), la ruptura de una línea de comunicación o deshabilitar el sistema de gestión de ficheros.
Intercepción: un ente no autorizado consigue acceder a un recurso. Ésta es una agresión a la confidencialidad. El ente no autorizado puede ser una
persona, un programa o un computador. Ejemplos de agresiones a la confidencialidad son las intervenciones de las líneas para capturar datos y la
copia ilícita de ficheros o programas.
Modificación: un ente no autorizado no solamente gana acceso si no que deteriora el recurso. Ésta es una agresión a la integridad. Algunos ejemplos
son los cambios de valores en un fichero de datos, alterando un programa para que funcione de una forma diferente, y modificando el contenido de los
mensajes que se transmiten en una red.
Fabricación: una parte no autorizada inserta objetos falsos en el sistema. Esta es una agresión a la autenticidad. Un ejemplo sería la incorporación de
registros a un fichero.