Este documento describe la importancia de la seguridad informática y los sistemas operativos. Explica los conceptos clave de protección, como control de acceso, matrices de acceso y dominios de protección. También cubre temas como cifrado, criptoanálisis, seguridad física y operacional. El objetivo es crear conciencia sobre la necesidad de proteger los sistemas y recursos de cómputo.

1. Competencias Digitales en
Seguridad Informática 1
Tema: 1. Introducción - amenazas, actores e
impacto
Mg. Luis Fernando Aguas Bucheli
+593 984015184
@Aguaszoft
Laguas@uisrael.edu.ec

2. No me diga que el cielo es el límite cuando hay
huellas en la luna.
Paul Brandt.

3. Objetivo
• Describir la importancia y
necesidad de la
seguridad en un equipo
de cómputo
● 1.1 . Ciberseguridad
● 1.2. Sistemas Operativos
Contenido

4. ODS
● 4.7: De aquí a 2030, asegurar que todos los alumnos
adquieran los conocimientos teóricos y prácticos
necesarios para promover el desarrollo sostenible, entre
otras cosas mediante la educación para el desarrollo
sostenible y los estilos de vida sostenibles, los derechos
humanos, la igualdad de género, la promoción de una
cultura de paz y no violencia, la ciudadanía mundial y la
valoración de la diversidad cultural y la contribución de la
cultura al desarrollo sostenible
Metas

5. 1.2. Sistemas Operativos

6. Concepto y objetivo de protección
● La protección es un mecanismo control de acceso de los programas,
procesos o usuarios al sistema o recursos.
● Hay importantes razones para proveer protección. La mas obvia es la
necesidad de prevenirse de violaciones intencionales de acceso por un
usuario. Otras de importancia son, la necesidad de asegurar que cada
componente de un programa, use solo los recursos del sistema de
acuerdo con las políticas fijadas para el uso de esos recursos.
● Un recurso desprotegido no puede defenderse contra el uso no
autorizado o de un usuario incompetente. Los sistemas orientados a la
protección proveen maneras de distinguir entre uso autorizado y
desautorizado.

7. Principio de separación entre mecanismo y política:
 Mecanismo → con que elementos (hardware y/o software) se realiza la
protección.
 Política → es el conjunto de decisiones que se toman para especificar
como se usan esos elementos de protección.
 La política puede variar dependiendo de la aplicación, a lo largo del
tiempo.
 La protección no solo es cuestión del administrador, sino también del
usuario.

8. El sistema de protección debe:
● Distinguir entre usos autorizados y no-autorizados.
● Especificar el tipo de control de acceso impuesto.
● Proveer medios para el aseguramiento de la protección.

9. Funciones del sistema de protección
● Control de acceso que hace referencia a las características de seguridad
que controlan quien puede obtener acceso a los recursos de un sistema
operativo. Las aplicaciones llaman a las funciones de control de acceso
para establecer quien puede obtener acceso a los recursos específicos o
controlar el acceso a los recursos proporcionados por la aplicación.
● Un sistema de protección deberá tener la flexibilidad suficiente para poder
imponer una diversidad de políticas y mecanismos.

10. Mecanismos y Políticas
● El sistema de protección tiene la función de proveer un mecanismo para el
fortalecimiento de las políticas que gobiernan el uso de recursos.
● Tales políticas se pueden establecer de varias maneras, algunas en el
diseño del sistema y otras son formuladas por el administrador del
sistema. Otras pueden ser definidas por los usuarios individuales para
proteger sus propios archivos y programas.

11. ● Un principio importante es la separación de políticas de los
mecanismos. ‘Los mecanismos determinan como algo se hará.
● Las políticas deciden que se hará'.
● La separación es importante para la flexibilidad del sistema.
● Dentro de las funciones del sistema de protección del sistema operativo
encontramos:
○ Controlar el acceso a los recursos
○ Asegurarse que todos los accesos a los recursos del sistema están controlados

12. Implementación de matrices de acceso
● Los derechos de acceso definen que acceso tienen varios sujetos sobre
varios objetos.
● Los sujetos acceden a los objetos.
● Los objetos son entidades que contienen información.
● Los objetos pueden ser:
● Concretos:
 Ej.: discos, cintas, procesadores, almacenamiento, etc.
● Abstractos:
 Ej.: estructuras de datos, de procesos, etc.

13. ● Los objetos están protegidos contra los sujetos.
● Las autorizaciones a un sistema se conceden a los
sujetos.
● Los sujetos pueden ser varios tipos de entidades:
 Ej.: usuarios, procesos, programas, otras entidades, etc.

14. Dominios de protección
● Un sistema de cómputos contiene muchos objetos que necesitan
protección. Estos objetos pueden ser el hardware, la CPU, los segmentos
de memoria, terminales, unidades de disco o impresoras; o bien ser del
software, como los proceso, archivos, bases de datos o semáforos.
● Cada objeto tiene un único nombre mediante el cual se la hace referencia
y un conjunto de operaciones que se pueden realizar en el. READ y
WRITE son operaciones adecuadas para un archivo; UP y DOWN tiene
sentido en un semáforo.

15. ● Para tener una forma de analizar los distintos mecanismos de proteccion,
es conveniente presentar el concepto de dominio. Un dominio es un
conjunto de parejas (objeto, derechos). Cada pareja determina un objeto y
cierto subconjunto de las operaciones que se pueden llevar a cabo en el.
Un derecho es, en este contexto, el permiso para realizar alguna de las
operaciones.

16. Sistemas operativos
● Un dominio es un conjunto de parejas (objeto, derechos):
● Cada pareja determina:
 Un objeto.
 Un subconjunto de las operaciones que se pueden llevar a cabo en el.
● Un derecho es el permiso para realizar alguna de las operaciones.
● Es posible que un objeto se encuentre en varios dominios
con “distintos” derechos en cada dominio.
● Un proceso se ejecuta en alguno de los dominios de protección:
 Existe una colección de objetos a los que puede tener acceso.
 Cada objeto tiene cierto conjunto de derechos.

17. Sistemas
● En algunos S. O. los dominios se
llaman anillos .
● Una forma en la que el S. O. lleva un registro
de los objetos que pertenecen a cada
dominio es mediante una matriz
 Los renglones son los dominios.
 Las columnas son los objetos.
● Cada elemento de la matriz contiene los
derechos correspondientes al objeto en ese
dominio, por ej.: leer, escribir, ejecutar.

18. Matriz de acceso
● El modelo de protección del sistema se puede ver en forma abstracta
como una matriz, la matriz de acceso.
● Una matriz de acceso es una representación abstracta del concepto de
dominio de protección.
● Es el modelo mas utilizado, del que existen numerosas variaciones,
especialmente en su implementación.

19. Los elementos básicos del modelo son los
siguientes:
● Sujeto: Una entidad capaz de acceder a los objetos. En general, el
concepto de sujeto es equiparable con el de proceso. Cualquier usuario o
aplicación consigue acceder en realidad a un objeto por medio de un
proceso que representa al usuario o a la aplicación.
● Objeto: Cualquier cosa cuyo acceso debe controlarse. Como ejemplo se
incluyen los archivos, partes de archivos, programas y segmentos de
memoria.
● Derecho de acceso: la manera en que un sujeto accede a un
objeto. Como ejemplo están Leer, Escribir y Ejecutar.

20. Protección basada en el lenguaje.
● La especificación de protección en un lenguaje de programación permite
la descripción de alto nivel de políticas para la asignación y uso de
recursos.
● La implementación del lenguaje puede proveer software para hacer
cumplir la protección cuando no se pueda validar si el hardware está
soportado.
● Interpretar las especificaciones de protección para generar llamadas en
cualquier sistema de protección provisto por el hardware y el SO.
○ Seguridad
○ Flexibilidad
○ Eficiencia

21. Concepto de seguridad
● Los términos seguridad y protección se utilizan en forma indistinta. Sin
embargo, es útil hacer una distinción entre los problemas generales
relativos a la garantía de que los archivos no sea leídos o modificados por
personal no autorizado, lo que incluye aspectos técnicos, de
administración, legales y políticos, por un lado y los sistemas específicos
del sistema operativo utilizados para proporcionar la seguridad, por el otro

22. Seguridad
● La seguridad tiene muchas facetas. Dos de las mas importantes son la perdida de
datos y los intrusos. Algunas de las causas mas comunes de la perdida de datos son:
 Actos divinos: Incendios, inundaciones, terremotos, guerras, revoluciones o
ratas que roen las cintas o discos flexibles.
 errores de Hardware o Software: Mal funcionamiento de la CPU, discos o cintas
ilegibles, errores de telecomunicación o errores en el programa.
 Errores Humanos: Entrada incorrecta de datos, mal montaje de las cintas o el
disco, ejecución incorrecta del programa, perdida de cintas o discos.
 La mayoría de estas causas se pueden enfrentar con el mantenimiento de los
respaldos adecuados; de preferencia, en un lugar alejado de los datos originales.

23. Protección de un sistema en 4 niveles
● Físico. El nodo o nodos que contengan los sistemas informáticos deben
dotarse de medidas de seguridad físicas frente a posibles intrusiones
armadas o subrepticias por parte de potenciales intrusos. Hay que dotar
de seguridad tanto a las habitaciones donde las maquinas residan como a
los terminales o estaciones de trabajo que tengan acceso a dichas
maquinas.

24. ● Humano. La autorización de los usuarios debe llevarse a cabo con
cuidado, para garantizar que solo los usuarios apropiados tengan acceso
al sistema. Sin embargo, incluso los usuarios autorizados pueden verse
“motivados” para permitir que otros usen su acceso (por ejemplo, a
cambio de un soborno). También pueden ser engañados para permitir el
acceso de otros, mediante técnicas de ingeniería social . Uno de los tipos
de ataque basado en las técnicas de ingeniería social es el
denominado phishing

25. ● Sistema operativo. El sistema debe auto protegerse frente a los diversos
fallos de seguridad accidentales o premeditados. Un problema que este
fuera de control puede llegar a constituir un ataque accidental de
denegación de servicio. Asimismo, una cierta consulta a un servicio podría
conducir a la revelación de contraseñas o un desbordamiento de la pila
podría permitir que se iniciara un proceso no autorizado. La lista de
posibles fallos es casi infinita.

26. ● Red. Son muchos los datos en los modernos sistemas informáticos que
viajen a través de líneas arrendadas privadas, de líneas compartidas
como Internet, de conexiones inalámbricas o de líneas de acceso
telefónico. La interceptación de estos datos podría ser tan dañina como el
acceso a un computador, y la interrupción en la comunicación podría
constituir un ataque remoto de denegación de servicio, disminuyendo la
capacidad de uso del sistema y la confianza en el mismo por parte de los
usuarios.

27. Clasificaciones de la seguridad
● La seguridad interna esta relacionada a los controles incorporados al
hardware y al Sistema Operativo para asegurar los recursos del sistema.
● Seguridad Externa
○ La seguridad externa consiste en:
 Seguridad física.
 Seguridad operacional.

28. ● La seguridad física incluye:
 Protección contra desastres(como inundaciones, incendios, etc.).
 Protección contra intrusos.
● En la seguridad física son importantes los mecanismos de detección ,
algunos ejemplos son:
 Detectores de humo.
 Sensores de calor.
 Detectores de movimiento.

29. ● La seguridad física trata especialmente de impedir la entrada de intrusos:
● Se utilizan sistemas de identificación física:
○ Tarjetas de identificación.
○ Sistemas de huellas digitales.
○ Identificación por medio de la voz.

30. Seguridad Operacional
● Consiste en las diferentes políticas y procedimientos implementados por la
administración de la instalación computacional.
● La autorización determina que acceso se permite y a quien.
● La clasificación divide el problema en subproblemas:
 Los datos del sistema y los usuarios se dividen en clases:
 A las clases se conceden diferentes derechos de acceso.

31. Cifrado
● Existen muchas defensas frente a los ataques informáticos, que abarcan
toda la gama que va desde la metodología a la tecnología. La herramienta
de carácter mas general que esta a disposición de los usuarios y de los
diseñadores de sistemas es la criptografía.
● La criptografía moderna se basa en una serie de secretos,
denominados clave , que se distribuyen selectivamente a las
computadoras de una red y se utilizan para procesar mensajes. La
criptografía permite al receptor de un mensaje verificar que el mensaje ha
sido creado por alguna computadora que posee una cierta clave: esa
clave es el origen del mensaje.

32. Sistema de privacidad criptográfico
● En un sistema de privacidad criptográfico, el remitente desea transmitir
cierto mensaje no cifrado a un receptor legitimo, la transmisión ocurre
sobre un canal inseguro asume ser monitoreado o grabado en cinta por un
intruso.
● El remitente pasa el texto a una unidad de encriptación que transforma el
texto a un texto cifrado o criptograma; el mismo no es entendible por el
intruso. El mensaje es transmitido entonces, sobre un canal seguro. Al
finalizar la recepción el texto cifrado pasa a una unidad de descripción que
regenera el texto.

33. Criptoanálisis
● Criptoanálisis es el proceso de intentar regenerar el mensaje desde el
texto cifrado pero sin conocimiento de las claves de encriptación. Esta es
la tarea normal de los intrusos. Si el intruso o criptoanalista no puede
determinar un mensaje desde el texto cifrado (sin la clave), entonces el
sistema de criptografiado es seguro.

34. Sistemas de cifrado simétrico.
● Los sistemas de cifrado simétrico son aquellos que utilizan la misma clave
para cifrar y descifrar un documento.
● El principal problema de seguridad reside en el intercambio de claves
entre el emisor y el receptor ya que ambos deben usar la misma clave.
● Por lo tanto se tiene que buscar también un canal de comunicación que
sea seguro para el intercambio de la clave.
● Es importante que dicha clave sea muy difícil de adivinar ya que hoy en
día los ordenadores pueden adivinar claves muy rápidamente. Por
ejemplo el algoritmo de cifrado DES usa una clave de 56 bits, lo que
significa que hay 72 mil billones de claves posibles.

35. Sistemas de cifrado asimétrico.
● También son llamados sistemas de cifrado de clave publica. Este sistema
de cifrado usa dos claves diferentes. Una es la clave publica y se puede
enviar a cualquier persona y otra que se llama clave privada, que debe
guardarse para que nadie tenga acceso a ella. Para enviar un mensaje, el
remitente usa la clave publica del destinatario para cifrar el mensaje

36. ● Autenticación ( Griego : αυθεντικ?? = verdadero o genuino, de ' los
authentes' = el autor) es el acto de establecimiento o confirmación de algo
(o alguien) como autentico, es decir que reclama hecho por o sobre la
cosa son verdadero. La autenticación de un objeto puede significar
(pensar) la confirmación de su procedencia, mientras que la autenticación
de una persona a menudo consiste en verificar su identidad. La
autenticación depende de uno o varios factores de autenticación.

37. Distribución de claves
● Lo ideal seria que pudiéramos distribuir nuestra clave entregándosela en
persona a nuestros corresponsales. Sin embargo, en la practica las claves
se distribuyen a menudo por correo electrónico o algún otro medio de
comunicación electrónica. La distribución por correo electrónico es una
buena practica solo cuando tengamos unos pocos corresponsales, e
incluso si tuviéramos muchos corresponsales, podríamos usar un medio
alternativo como puede ser publicar nuestra clave publica en nuestra
pagina en Internet. Sin embargo, esto es inútil si las personas que
necesitan nuestra clave publica no saben donde encontrar nuestra pagina.

38. Gracias
Responsabilidad con pensamiento positivo