El documento aborda la autenticación y criptografía, describiendo cómo garantizar el acceso seguro a servicios informáticos mediante técnicas como contraseñas, biometría y criptografía. Se analizan los algoritmos de cifrado, tanto simétricos como asimétricos, enfatizando su importancia en la protección de datos y la autenticidad de la información. También se discuten los certificados digitales, firma electrónica y la gestión de riesgos en la seguridad informática.

1. Autenticación
 Identificar al usuario que desea tener acceso
a los servicios de cómputo (Web server, etc.)
 Monitoreo del flujo de paquetes y verificar
que pertenecen a un usuario y servicio
autorizado
 Identificar Software intruso y verificar que su
funcionalidad esté autorizada, libres de virus

2. Autenticación – Técnicas
 Contraseña
 Firma digital
Biométricas
 Reconocimiento de voz
 Reconocimiento de la mano
 Huella digital
 Reconocimiento del iris (muy confiable)

3. 3

4. Historia
Claude Shannon: En 1949 publicó “La teoría de la
información”
-Establece toda la base teórica de la
criptografía y criptoanálisis.
Segunda Guerra mundial: Máquinas
electromecánicas. “Enigma”.

5. Criptología
 La criptología (del griego criptos=ocultos y
logos=tratado, ciencia), se compone de:
 Criptografía: procedimientos para cifrar, o
enmascarar información de carácter confidencial.
 Criptoanálisis: procedimientos para descifrar y
recuperar la información original.
¿Para qué se usa?
- Permitir un intercambio de mensajes de
forma confidencial por un medio inseguro.

6. Criptografía
 La criptografía es una necesidad, ya que el
desarrollo de las comunicaciones electrónicas
hace posible la transmisión y
almacenamiento de información confidencial
que es necesario proteger.

7. Proceso Criptográfico
CIFRADO DESCIFRADO
DESCRIPTADO
Mensaje
cifrado
Mensaje
de origen
Mensaje
de origen
¿Mensaje de
origen?
Interceptado
B
A

8. Algoritmos de encriptación
 ROT13, a cada letra se asigna a un número y se le
suma 13, después se reemplaza el número por otra
letra. Si es mayor de 26 se le resta 26 y se convierte.
“HELLO” 8,5,12,12,15 + 13 = 21,18,25,25,28-26 =“URYYB”
 Entre más bits se usen, es más difícil de descrifrar. El
algoritmo PGP soporta claves de hasta 4,096 bits
 Se requieren 3 días para descifrar una llave de 56
bits, 6 días para 57 bits, 768 días para 64 bits, etc.
Las llaves de 128 bits hoy son seguras

9.  Un buen sistema criptográfico será aquel que
ofrezca un descrifrado imposible pero un
encriptado sencillo.
 La finalidad es doble:
 Mantener la confidencialidad del mensaje.
 Garantizar la autenticidad tanto del mensaje como
del par remitente/destinatario..
Finalidad de la criptografía

10. 10
Cifrado
Definición
– Es el mecanismo para proporcionar confidencialidad a
través de funciones matemáticas
Tipos
• Simétricos o de Llave Privada (DES).
• Asimétricos o de Llave Pública (RSA).
• Híbrido (SSL).

11. 11
Ventajas del cifrado
 Protege la información almacenada en la
computadora contra accesos no autorizados
 Protege la información mientras transita de un
sistema de cómputo a otro
 Puede detectar y evitar alteraciones accidentales o
intencionales a los datos
 Puede verificar si el autor de un documento es
realmente quien se cree que es

12. 12
Desventajas del cifrado
 No puede prevenir que un agresor borre
intencionalmente todos los datos
 Encontrar la forma de que no se tuviera
conocimiento previamente
 Acceder al archivo antes de que sea cifrado o
después de descifrar

13. 13
Elementos comunes
del cifrado
 Algoritmo cifrador (cifra y descifra datos)
 Claves de cifrado
 Longitud de clave (claves largas)
 Texto en claro (información a cifrar)
 Texto cifrado (información después de
cifrar)

14. 14
Algoritmos criptográficos
 Criptografía de clave privada - simétrica
 Ambos participantes comparten una clave (Ej. DES,
IDEA)
 Criptografía de clave pública
 Cada participante tiene una clave privada no
compartida y una clave pública que todos conocen
 El mensaje se encripta usando la llave pública y el
participante descifra el mensaje con su clave
privada (Ej. RSA de Rivest, Shamir y Adleman)

15. 15
Algoritmos criptográficos
 Función Hash o de Digestión del mensaje:
 No involucran el uso de claves
 Determina una suma de verificación única
(checksum) criptográfica sobre el mensaje
 El algoritmo más usado es el MD5 (Message Digest
versión 5)

16. 16
Sistemas de claves privadas
 RC2
 Cifrador de bloque permite de 1 a 2048 bits
 IDEA – International Data Encryption Algorithm
 Usa una clave de 128 bits, utilizado por el
programa PGP (para e-mail).
 SKIPJACK
 Utilizado por el circuito integrado de cifrado
CLIPPER, utiliza 80 bits

17. 17
Sistemas de clave privada –
DES (Data Encription Std. IBM-1980)
• Usa las técnicas de confusión y difusión
• Cifra por bloques de 64 bits con una llave secreta de
64 bits (56 útiles y 8 de paridad)
• Realiza 16 iteraciones y en cada una hace una
sustitución y una permutación con la llave
• En Hardware es más rápido hasta 1Gb/seg.
• La llave privada se puede enviar con cada mensaje

18. 18
Algoritmos de llave privada

19. 19
Algoritmos de llave privada -
Ventajas
• El descifrado utiliza el mismo algoritmo pero con
las llaves en orden inverso
• Se requieren 1500 años para hallar la clave o 6
meses si se usan 300 PCs en paralelo
• Estándar ampliamente utilizado en la industria,
donde para mayor seguridad se encripta 3
veces (3DES), usando tres claves diferentes

20. 20
Algoritmos de llave privada -
Desventajas
• Quedan algunas incógnitas por resolver
• Ya cumplió con su ciclo de vida
• Puede romperse por fuerza bruta
• Como todo algoritmo simétrico, tiene el
problema de la distribución de la llave

21. 21
Algoritmos de llave pública
• Todos los usuarios tienen una llave pública y una
privada
• Si alguien envía un mensaje, lo cifra con tu llave
pública y sólo se descifra con la clave secreta
• La seguridad depende de la confidencialidad de
la llave secreta
• Se basan en funciones matemáticas complejas
como los logaritmos discretos y curvas elípticas

22. 22
Algoritmos de llave pública
Esquema de cifrado.
Digamos que existen un par de llaves que pertenecen al
usuario A:
• PK A : Llave pública de A
• SK A : Llave secreta de A
Entonces:
• B -> A: PK A {mensaje} : Mensaje Cifrado
• A : SK A {PKA {mensaje} } : Descifrado
• El mensaje solamente lo puede entender el usuario A

23. 23
 EL GAMAL
 Basado en aritmética exponencial y modular, puede
usarse para cifrado y firmas digitales.
 DSA
 Algoritmo de firmas digitales, puede ser de
cualquier longitud, solamente se permiten claves
entre 512 y 1024 bits bajo FIPS
Sistemas de clave pública

24. 24
 Pohlig-Hellman
 Sistema para el intercambio de claves
criptográficas entre partes activas. La clave
puede ser de cualquier longitud, dependiendo de
la implementación de que se trate.
 RSA – Data Security Inc.
 Puede usarse tanto para cifrar información como
para ser la base de un sistema digital de firmas.
Sistemas de clave pública

25. 25
Algoritmo de llave pública - RSA
• Surge en 1978 gracias a Ron Rivest, Adi Shamir y
Leonard Adleman fundadores de RSA Data Security
• Su seguridad radica en la dificultad de factorizar
números muy grandes (esp. números primos)
- De 100-200 dígitos (512 bits). Hoy se usan llaves de 1024 bits
• Proporciona mayor flexibilidad
– Se puede utilizar tanto para encriptar como para firmar
mensajes
• La firma se hace con la llave privada y se verifica
usando la llave pública

26. 26
Funciones criptográficas Hash
 Aceptan como entrada un conjunto de datos
y genera un resultado de longitud fija único:
 No debe ser posible reconstruir la fuente de datos
con el resultado compendiado
 El resultado debe parecer un conjunto aleatorio
de datos para que al agregarlos a los datos
cifrados no se pueda determinar donde terminan y
donde inicia la firma digital

27. 27
Algoritmo Hash MDn (2 o 5)
 Calculan una suma de verificación
(checksum) criptográfica de longitud fija de
un mensaje de entrada de longitud arbitraria
 Operan en partes de mensaje de 512 bits con
transformaciones complejas
 Para la firma se usa RSA sobre el resultado
de la Checksum

28. 28
Funciones criptográficas Hash
 SNERFU
 N-HASH
 MD2, MD4, MD5 – Message Digest Algorithm
 SHA – Secure Hash Algorithm
 RIPE – MD
 HAVAL

29. 29
Sistemas de seguridad completos
 PGP – Pretty Good Privacy (Phil Zimmerman)
opera en la capa de aplicación
 Encriptación y autenticación para correo
electrónico
 Usa una llave pública certificada por alguien
 PGP puede utilizar diferentes algoritmos de
encriptación

30. 30
Sistemas de seguridad completos
 El protocolo IPSEC opera a nivel de capa de
red
 Seguridad de nivel capa de transporte –
HTTPS
 Usa un puerto seguro de TCP (443)
 Otros protocolos de capa de transporte son
SSL y TLS, proporcionan privacidad,
integridad y autenticación

31. 31
Protocolo de capa de red
SSL – Secure Socket Layer (Netscape)
• Cifra los datos con clave privada RC4 o IDEA y la clave
de sesión de RC4 o IDEA mediante RSA de clave
pública
• La clave de sesión es la que se utiliza para cifrar los
datos que vienen o van al servidor seguro, se genera
una clave distinta por transacción
• Además proporciona autenticación de servidores,
integridad de mensajes y de conexiones TCP/IP

32. 32
Protocolo de capa de red
SSL – Secure Socket Layer (Netscape)
•¨Cuando el cliente pide una comunicación segura, el
servidor abre un puerto cifrado gestionado por SSL:
• Fase Hola – acuerdo sobre los algoritmos a usar
• Fase Intercambio de claves, generando la maestra
• Fase de producción de clave de sesión para cifrar
• Fase de verificación del servidor al usar RSA
• Fase de autenticación del cliente
• Fase de fin para iniciar el intercambio de inf.

33. 33
Protocolo de capa de red
SSL – Secure Socket Layer (Netscape)
•¨Se sabe que el servidor es seguro si en Netscape
aparece una llave o un candado si se usa Explorer
• http aparece ahora como httpa
• Sólo protege transacciones entre dos puntos: servidor
Web y navegador del cliente o emisor de tarjeta
• No protege al comprador del uso fraudulento de su
tarjeta de crédito
• Los vendores corren el riesgo de que les sea
proporcionado un número de tarjeta no autorizada

34. 34
Protocolo Secure Elecronic
Transaction – (SET)
 Producto de la alianza IBM, Microsoft,
Netscape, Visa y Mastercard
 No es adecuado para micropagos (< US$10)
 Garantiza la autenticación de todas las partes:
cliente, vendedor, bancos emisor y adquiriente
 Alta confidencialidad, el vendedor no tiene acceso
al número de tarjeta y el banco no accesa los
pedidos
 Permite la gestión de la actividad comercial,
registros, autorizaciones y liquidaciones

35. 35
Protocolo Secure Elecronic
Transaction – (SET)
 Limitantes
 Lento desarrollo de software de monedero y POST
(punto de venta)
 No hay compatibilidad completa de los productos
que maneja SET
 Exige rígidas jerarquias de certificación, diferentes
para cada tarjeta, lo cual es engorroso
 El costo de su implementación es elevada

36. 36

37. 37
Sistemas de certificación
 Se autentifica a los clientes que desean
acceder a servidores
 Los procedimientos se iniciaron en el MIT con
Kerberos y ahora se tiene el estándar X.509
 La verificación la hace un tercero “servidor de
certificación”. Tanto el cliente, como el
servidor y el certificador usan encriptación

38. 38
Certificado digital
La empresa mas importante
a nivel mundial para la
expedicion de firma o
certificado digital es:
http://www.verisign.com/clie
nt/enrollment/index.html
Costo del certificado:
• 60 Días Gratis.
• $14.95 por Año.

39. 39
Certificado digital

40. 40
Proceso de Certificación
El proceso de certificación incluye servicios de
registro, "naming", autenticación, emisión,
revocación y suspensión de los certificados.
VeriSign ofrece tres niveles de servicios de
certificación de acuerdo a las necesidades del
usuario.

41. 41
Certificado digital Clase 1
Son emitidos y comunicados electrónicamente a
personas físicas, y relacionan en forma
indubitable el nombre del usuario o su "alias" y
su dirección de E-mail con el registro llevado
por VeriSign.
No autentican la identidad del usuario. Son
utilizados fundamentalmente para Web
Browsing y E-mail, afianzando la seguridad de
sus entornos. No son para uso comercial.

42. 42
Certificado digital Clase 2
Son emitidos a personas físicas, y confirman la
veracidad de la información aportada en el acto
de presentar la aplicación y que ella no difiere de
la que surge de alguna base de datos de
usuarios reconocida.
Es utilizado para realizar comunicaciones vía E-
mail; transacciones comerciales de bajo riesgo,
validación de software y suscripciones on-line.

43. 43
Certificado digital Clase 3
Son emitidos a personas físicas y organizaciones
públicas y privadas.
En el primer caso, asegura la identidad del
suscriptor, requiriendo su presencia física ante
una LRA o un notario.

44. 44
Certificado digital Clase 3
En el caso de organizaciones asegura la
existencia y nombre mediante el cotejo de los
registros denunciados con los contenidos en
bases de datos independientes.
Son utilizados para determinadas aplicaciones
de comercio electrónico como ‘Electronic
banking' y Electronic Data Interchange (EDI).

45. 45

46. 46
Firma electrónica
Por Firma Electrónica se entiende "aquel
conjunto de datos en forma electrónica, anexos
a otros datos electrónicos o asociados
funcionalmente con ellos, utilizados como medio
para identificar formalmente al autor o a los
autores del documento que la recoge.”

47. 47
Firma electrónica avanzada
Permite la identificación del signatario y ha
sido creada por medios que este mantiene
bajo su exclusivo control, vinculada
únicamente al mismo y a los datos a los que
se refiere, lo que permite que sea detectable
cualquier modificación ulterior de estos.
Tiene iguales efectos jurídicos que en la firma
manuscrita.

48. 48
Certificado digital
 Certificado de Navegador, Intranets/Extranets. Este
tipo de certificados permiten firmar digitalmente los
documentos, garantizando la autenticidad y el no
repudio de los mismos.
 Certificado de Servidor Seguro. Garantizan la identidad
del servidor y posibilitan las comunicaciones seguras y
privadas con clientes, socios, proveedores u otras
personas.
 Certificado de firma de Software. Garantizan la
identidad del fabricante y la integridad del contenido.

49. 49

50. 50
Seguridad en la Web
 La WWW es un sistema para intercambiar información
sobre internet.
 Se construye de servidores web que ponen la
información disponible en la red.
 Los examinadores de la web se usan para tener
acceso a información almacenada en los servidores y
para desplegarla en la pantalla del usuario.

51. 51
Servidor seguro cont…
 Al construir un servidor web, se debe estar
seguro de:
 Los usuarios no deben ser capaces de ejecutar
comandos arbitrarios o interactuar con el intérprete
de comandos en el servidor.
 Los guiones CGI que se ejecutan deben
desempeñarse ya sea haciendo la función esperada
o devolviendo un mensaje de error.
 Un agresor no debería ser capaz de usar el
servidor para ataques posteriores.

52. 52
Servidor seguro cont…
 Los servidores usan tres técnicas principales para
controlar el acceso a los archivos y directorios:
 Restringir el acceso a las direcciones IP, subredes o
dominios DNS particulares.
 Restringir el acceso a usuarios en particular.
 Restringir el acceso de usuarios que presenten
claves públicas firmadas por una autoridad de
certificación apropiada.

53. 53
Desarrollo de un sitio oculto
 El sitio oculto puede pasar a producción y contiene
información sobre el producto que puede servir en
caso de fallas
 En caso de problemas es mejor avisarle a todo
mundo que se está consciente del problema y que se
toma la responsabilidad del caso
 De no hacerlo, los usuarios descontentos pueden
hacer una campaña negativa de publicidad en línea

54. 54
Desarrollo de un sitio oculto
 En 1994 un matemático descubrió que el chip
Pentium no hacía cálculos correctos de punto flotante
en ciertas condiciones, al avisarle a Intel no hizo
caso, trataron de esconder el problema
 Hubo una gran protesta por Internet, por los medios,
los usuarios pedían reemplazo de chips. Intel
reemplazó los chips por una nueva serie. (Ford en
llamas)
 Ahora tiene una base de datos on line de errores
detectados. El Pentium II se puede corregir por soft.

55. 55
Experiencias on line
 Jugo de manzana Odwalla con la bacteria E-coli mata
a bebé. Se retiraron jugos en 4,500 comercios, se
instaló una página para información y consulta. Al
final 90% de los clientes seguían prefiriendo la marca
 Lo mismo sucedió con Swiss Air en su accidente en
Canada, cuando la empresa dio toda la información
 En el caso del descarrilamiento del tren de alta
velocidad de Alemania de la Deutche Bundesbahn, no
dio ninguna información y perdió mucha credibilidad

56. 56
Servicios de reclamos en línea
 Complain.com, Fight Back y Complain To Us,
cobran una tarifa por escribir una carta y dar
seguimiento de quejas

57. 57
Administración de riesgo
 Auditorias regulares de riesgo
 Documentar planes de emergencia
 Monitoreo de palabras clave
 Manual de crisis accesible en Intranet
 Sitios ocultos completos y actualizados
 Simulacros de emergencia
 Información a los medios y usuarios en caso de
emergencia

58. 58
Planeación estratégica para casos
de emergencia
 Desarrollar un sitio oculto con información acerca de
medidas de seguridad, debe incluir formas de
contactar a expertos y debe reemplazar al sitio
normal en menos de una hora, con declaraciones de
la alta dirección
 El sitio debe estar en CD o ZIP para llevarlo a un ISP
y publicarlo, avisando por los medios al público
 Hay sitios que monitorean la red en caso de
problemas, “The informant” y “Mind It” (perro
guardian)

59. 59

60. 60
Seguridad Computacional
Seguridad Informática
 Disciplina que busca proteger la información ante
eventos adversos
Se basa en 3 principios básicos:
Confidencialidad
Integridad
Disponibilidad

61. 61
Seguridad Computacional
 Confidencialidad
– La información sólo es revelada a los individuos o
procesos autorizados
 Integridad
– La información no debe ser modificada de manera
accidental o maliciosa
• Disponibilidad
– Los recursos de información son accesibles en todo
momento.

62. 62
Los 10 mandamientos del
usuario de la red
 La utilización de los antivirus es importante,
se debe ejecutar por lo menos una vez al
día
 En caso de que su equipo quede
desatendido por alguna razón, debe de
colocar el Protector de pantalla protegido
con contraseña.

63. 63
Los 10 mandamientos del
usuario de la red
 Si maneja información secreta lo mejor es
mantenerla encriptada en su disco duro y en
el servidor. Usar PGP(Pretty Good Privacy). No
olvide asegurar su llave privada.
 Para compartir información en la red,
asegúrese de colocar los permisos
estrictamente necesarios a los usuarios
adecuados y por el mínimo tiempo posible.

64. 64
Los 10 mandamientos del
usuario de la red
 Absténgase de instalar programas no
autorizados en la red.
 Procure que su equipo se encuentre en
optimas condiciones, buena ventilación,
mantenimiento de hardware y software por el
personal autorizado de la empresa.

65. 65
Los 10 mandamientos del
usuario de la red
 Recuerde realizar copias de respaldo
actualizadas de la información vital y colocarla
en un lugar interno y externo seguro bajo llave
y encriptada.
 Mantener la información de la empresa en la
misma y no transportarla a otros sitios
diferentes.
 Asegurarse de seguir cada uno de los 10
mandamientos.

66. 66
Los 10 mandamientos del
administrador de la red
 Siga, respalde y audite cada uno de
Los 10 Mandamientos del usuario de la Red.
 Establezca políticas de seguridad
apropiadas para la red computacional de la
empresa,
 Implemente sistemas de seguridad para la
red en cada uno de los servidores de la
empresa utilizando Firewalls, proxy o filtros.

67. 67
Los 10 mandamientos del
administrador de la red
 Responda inmediatamente a cualquier
sugerencia o queja de un usuario con
respecto a la seguridad de su información.
 Procure no sobrecargar los servidores
asignándoles muchos servicios, recuerde que
esto baja el rendimiento y atenta contra la
seguridad y la constancia de los servicios.

68. 68
Los 10 mandamientos del
administrador de la red
 El manejo de los puertos es fundamental a
la hora de auditar posibles huecos de seguridad.
 Implementar estrategias para la creación
de copias de respaldo.
 Debe leer diariamente los logs ( Archivo de
texto que muestra el funcionamiento y la
utilización del equipo)

69. 69
Los 10 mandamientos del
administrador de la red
 El acceso al centro de computo donde se
encuentran los servidores de la empresa, debe
ser completamente restringido y auditado a
cada instante
 Verificar la seguridad, conviértase en el
Hacker de su empresa.