Tecnologas para la Administracin y Generacin de Firmas Digitales

CAPTULO

III

CRIPTOGRAFA Y SEGURIDAD
3.1

Introduccin a la Criptografa

3.2 Sistemas y mecanismos de Encriptacin

3.3 Algoritmos y Funciones Criptogrficas
3.4 Algoritmos de llaves simtricas
3.5

Algoritmos de llaves pblicas

3.6 Criptografa y el web

3.7

Estndares criptogrficos y electrnicos aplicables

3.8 Comprobacin de Integridad de Mensajes

3.9 Escuchas Electrnicas
3.10 Crackers y Hackers

Luis Surez Zambrano

106

Tecnologas para la Administracin y Generacin de Firmas Digitales

3.1

Introduccin a la Criptografa

La Criptografa es el: "Arte de escribir con clave

secreta o de un modo enigmtico". Existen dos
documentos fundamentales que sientan las bases de la
Teora de la Informacin, y que junto con otro artculo
posterior del mismo autor sirvi de base para la
Criptografa moderna, uno escrito por Claude Shannon
en 1948 "A Mathematical Theory of Communication".
El otro, publicado por Whitfield Die y Martin Hellman
en 1976, "New directions in Cryptography", que
introdujo el concepto de Criptografa de Llave Pblica,
dando el punto de partida al estudio de esta ciencia. La
palabra Criptografa slo se refiere al uso de cdigos
para cifrar documentos, por lo que no engloba a las
tcnicas que se usan para romper dichos cdigos
(Criptoanlisis). De ah nace el trmino Criptologa,
que se encarga del estudio tanto de la Criptografa
como del Criptoanlisis.
La criptografa es un conjunto de tcnicas utilizadas
para conservar segura la informacin, con ella es
posible transformar palabras escritas y otros tipos de
mensajes de forma que sean incomprensibles para
receptores no autorizados. Un receptor autorizado
puede despus regresar las palabras o mensajes a un
mensaje perfectamente comprensible. Esta tcnica
utiliza

algoritmos

funciones

matemticas

que

permiten transformar la informacin en un conjunto de

Luis Surez Zambrano

107

Tecnologas para la Administracin y Generacin de Firmas Digitales

smbolos ilegibles y tambin permiten el proceso

contrario, transformar el conjunto de smbolos ilegibles
en textos legibles. El origen de la criptografa es muy
antiguo, los generales griegos y romanos por ejemplo,
la utilizaban para enviar mensajes en clave a los
comandantes que estaban en el campo de batalla, estos
sistemas primitivos se basaban en ciertas tcnicas:
La Sustitucin.-

cuyo principio es reemplazar

cada letra del mensaje que se desea encriptar con

otra. Por ejemplo la letra a por la d, la b por
la e, etc.
La Transposicin.- que se basa en la revoltura39
de

los

caracteres

del

mensaje,

que

implica

escribir un mensaje dentro de una tabla, rengln

por rengln y luego leerlo columna por columna.
Doble Transposicin.- similar a la transposicin
con la diferencia que se necesita repetir la
revoltura otra vez.
Durante aos la criptografa se ha desarrollado de
forma paralela a la tecnologa militar que fue la que
con mayor nfasis hizo uso de la criptografa por lo que
fue considerada como una tecnologa militar, sin
embargo casi todos los sistemas criptogrficos han sido
inventados por civiles y usados en distintos fines tales
como:

secretos

militares,

religiosos,

diplomticos,

cientficos, etc. En la actualidad la criptografa es la

39

Proceso de ocultar el mensaje que se quiere enviar, como si se lo metiese dentro de una
proteccin.

Luis Surez Zambrano

108

Tecnologas para la Administracin y Generacin de Firmas Digitales

primera herramienta usada dentro de los negocios y el

comercio electrnico a travs del Internet logrando un
gran desarrollo y avance en los negocios a travs de
medios electrnicos. La criptografa es una tecnologa
de uso dual, que tiene aplicaciones tanto militares
como civiles, para todos los usuarios la criptografa es
una forma de comprar seguridad y reducir el riesgo en
un mundo de incertidumbres. [LIB 05]
Criptografa Moderna
Cuando

se

desea

computadores,

transmitir

especialmente

informacin
a

travs

de

entre
redes

pblicas, se plantea la necesidad de que la transmisin

sea segura. La seguridad de la informacin transmitida
tiene dos aspectos:
Que sea el destinatario del mensaje el nico que
pueda leerlo.
Que nadie pueda suplantar la identidad de emisor
del mensaje o modificar el contenido de los
mensajes que enva.

Figura 3.1 Principio de la

Criptografa

Luis Surez Zambrano

109

Tecnologas para la Administracin y Generacin de Firmas Digitales

La Criptografa se basa en dos procesos

complementarios
La

Encriptacin.-

proceso por el cual un

mensaje legible, es transformado en un mensaje

ilegible (encriptacin o cifrado), salvo para su
destinatario

cifrado

mediante

una

transformacin matemtica y una clave secreta

denominada clave de encriptacin
Desencriptacin.-

proceso

inverso

la

encriptacin; a partir de un texto cifrado y una

clave secreta se reconstruye el texto original. Con
unos sistemas, la clave de encriptado es la misma
que para desencriptar; con otros sistemas, las
claves son distintas.
Todos los sistemas criptogrficos, sin importar cuan
complejos tienen las siguientes partes bsicas.
Plaintex (texto en claro).- es el mensaje antes
de que se haga cualquier cosa, Este es entendible
por los humanos en un formato que cualquier
software adecuado pueda usar.
Texto

Cifrado.-

es el mensaje en plaintext

despus de que ha sido modificado para hacerlo

ilegible. El proceso de convertir texto en claro a
texto cifrado se dice encriptar

y la operacin

inversa es desencriptar.
Algoritmo de encripcin.-

es la operacin

usada para convertir texto en claro a texto cifrado

y viceversa.
Luis Surez Zambrano

110

Tecnologas para la Administracin y Generacin de Firmas Digitales

Llave.- es una llave secreta usada para encriptar

o desencriptar el mensaje. Cada llave transforma
el mismo texto en claro en diferente texto cifrado.
Si

el

sistema

criptogrfico

funciona

bien,

solamente las personas que conocen la llave

correcta pueden descifrar el texto cifrado. [WWW
025]

3.2

Sistemas y mecanismos de Encriptacin

La criptografa incluye tcnicas como de esconder

informacin almacenada o en trnsito. Hoy en da la
criptografa se asocia ms a convertir texto sencillo a
texto cifrado y viceversa. La Criptografa se ocupa de
dar

solucin

los

problemas

de

identificacin,

autenticacin y privacidad de la informacin en los

sistemas informticos. En la medida en que han ido
creciendo las redes, el intercambio seguro de las
claves secretas se ha vuelto costoso y problemtico.
Algoritmo.- en general es la serie de reglas que no
pueden ser de doble sentido y deben tener una meta
clara. Los algoritmos pueden ser expresados en
cualquier lenguaje, y en cualquier
programacin

de

computadoras.

Los

lenguaje de
algoritmos

criptogrficos son la base para construir aplicaciones y

protocolos de encripcin.

Luis Surez Zambrano

111

Tecnologas para la Administracin y Generacin de Firmas Digitales

Existen dos tipos generales de algoritmos basados en

claves que son
1. Algoritmos de Encripcin Simtricos
Cuando la clave que va a encriptar el mensaje
puede

ser

desenciptar

calculada
y

desde

viceversa

se

la
le

clave

para

conoce

como

algoritmo simtrico. En muchos de los algoritmos

asimtricos,

la

desencriptar

es

clave
la

de

encripcin

misma.

Estos

para

algoritmos

requieren que el emisor y el receptor tengan la

misma clave antes de comunicarse. La seguridad
de un algoritmo simtrico realmente recae en la
clave. El divulgar la clave significa que cualquiera
puede encriptar o desencriptar la informacin. La
clave tiene que mantenerse en secreto tanto
tiempo como la comunicacin se quiere mantener
en secreto.
2. Algoritmos de Encripcin Asimtricos
Son diseados de tal manera que una clave se usa
para encriptar y una diferente para desencriptar.
Esto

ocasiona

que

teniendo

la

clave

para

desencriptar, no se puede calcular la clave de

encripcin. Estos algoritmos son llamados de
clave pblica porque la clave para encripcin se
puede publicar. Una persona cualquiera, puede
usar la clave para encriptar el mensaje, pero slo
una persona puede desencriptar el mensaje. En
estos sistemas, la clave de encripcin es llamada

Luis Surez Zambrano

112

Tecnologas para la Administracin y Generacin de Firmas Digitales

clave pblica y la clave para desencriptar se llama

clave privada. [LIB 01]
Mtodos de Encripcin.- Cada uno de los algoritmos
es identificado por un nombre, un propsito, un rango
de clave y por la fecha de creacin.

Todos los

algoritmos tienen uno o ms propsitos:

Encripcin.- los algoritmos se usan simplemente
para encriptar comunicacin. Tanto el emisor
como el receptor encriptan y desencriptan el
mensaje usando el mismo algoritmo.
Firmas

Digitales.-

son

algoritmos

de

clave

pblica con informacin secreta para firmar

documentos e informacin pblica para verificar
las firmas. Al proceso de firmado se conoce como
encriptar con una clave privada y la verificacin
se conoce como desencriptar con una clave
pblica.
Hashing y Digest.- funciones matemticas que
toman una cadena de longitud variable y la
convierten a una cadena de longitud fija. Es una
manera de obtener una huella digital de los datos.
El algoritmo de hashing genera un valor para el
mensaje. El Digest es la representacin del texto
en forma de una cadena de dgitos, creado con
una frmula de hashing de una sola direccin. El
encriptar un digest de un mensaje con una clave
privada,

Luis Surez Zambrano

genera

una

firma

digital.

Usando

113

Tecnologas para la Administracin y Generacin de Firmas Digitales

criptografa de clave pblica,

el emisor del

mensaje cifrar el mensaje aplicando la clave

pblica

del

destinatario.

Ser

por

tanto

el

destinatario, el nico que podr descifrar el

mensaje aplicando su clave privada.

Infraestructura para llaves pblicas

El principal problema que tiene la firma digital es que
no se ha convertido en un estndar global debido a
razones polticas (en muchos pases no tiene el mismo
peso legal que una firma normal, y en muchos de ellos
todava no se ha masificado el software necesario para
su implementacin y utilizacin)
Una firma digital es un conjunto de datos asociados a
un mensaje que permite asegurar la identidad del
firmante y la integridad del mensaje. La firma digital
no implica que el mensaje est cifrado, esto es, un
mensaje firmado ser legible en funcin de que est o
no cifrado. El firmante generar mediante una funcin,
un 'resumen' o huella digital del mensaje. Este
resumen o huella digital la cifrar con su clave privada
y el resultado es lo que se denomina firma digital, que
enviar adjunta al mensaje original. Cualquier receptor
del mensaje podr comprobar que el mensaje no fue
modificado desde su creacin porque podr generar el
mismo resumen o misma huella digital aplicando la
misma funcin al mensaje. Adems podr comprobar

Luis Surez Zambrano

114

Tecnologas para la Administracin y Generacin de Firmas Digitales

su autora, descifrando la firma digital con la clave

pblica del firmante, lo que dar como resultado de
nuevo el resumen o huella digital del mensaje. La
criptografa de clave pblica o asimtrica esta basada
en el uso de un par de claves que lo que se puede cifrar
con una de ellas, solo se puede descifrarlo con la otra y
slo con ella. Una de las claves solo est en poder del
propietario, que debe conservarla de forma segura, y
se denomina clave privada. La otra clave es publicada
para que la conozcan todos aquellos que quieran
comunicarse

de modo

seguro con

el

propietario

mencionado, a esta ltima se la denomina clave

pblica.

3.3

Algoritmos y Funciones Criptogrficas

Figura 3.2 Principio de la Infraestructura de

Clave Pblica

Los algoritmos de encriptacin actuales se agrupan en

dos grandes clases segn el proceso de encriptacin y
descifrado, si se usa la misma clave se denominan
algoritmos de claves simtricas; si se utilizan claves
distintas

se

denominan

algoritmos

de

claves

asimtricas o algoritmos asimtricos.

Luis Surez Zambrano

115

Tecnologas para la Administracin y Generacin de Firmas Digitales

a) Algoritmos de llaves simtricas: En este tipo

de algoritmos se utiliza la misma llave para

encriptar y desencriptar el mensaje. Estos
algoritmos se conocen tambin como algoritmos
de llave privada.
b) Algoritmos de llave pblica: En este tipo de

algoritmos se utiliza una llave para encriptar el

mensaje y otra llave para desencriptar el mensaje,
la llave de encriptacin por lo general se conoce
como llave pblica40, ya que puede ser divulgada
al pblico sin poner en peligro la confidencialidad
del mensaje ni la llave de desenciptacin. La llave
de desenciptacin es conocida como llave
privada

o secreta.

41

La seguridad de la criptografa depende de los

siguientes parmetros
Que la clave sea realmente secreta.
Longitud de la clave
Que el algoritmo no sea invertible; es decir, que si
se conoce cmo funciona, no se pueda dar la
vuelta al proceso sin la llave
Que el algoritmo no permita descifrar todo el
texto si se conoce el contenido de una parte
Propiedades de los algoritmos de clave pblica
Segn Diffie y Hellman, todo algoritmo de clave
pblica debe cumplir las siguientes propiedades de
complejidad computacional:

40
41

Llave que puede ser conocida por todo el mundo

Que solo la puede conocer el propietario de la Firma.

Luis Surez Zambrano

116

Tecnologas para la Administracin y Generacin de Firmas Digitales

Cualquier usuario puede calcular sus propias

claves pblica y privada en tiempo polinomial.
El emisor puede cifrar su mensaje con la clave
pblica del receptor en tiempo polinomial.
El receptor puede descifrar el criptograma con la
clave privada en tiempo polinomial.
La persona criptoanalista que intente averiguar la
clave privada mediante la pblica se encontrar
con un problema intratable.
La persona criptoanalista que intente descifrar un
criptograma teniendo la clave pblica se
encontrar con un problema intratable.
c) Algoritmos de Hashing: Son una parte esencial
en casi todas las soluciones criptogrficas del
mundo real. El propsito de estos algoritmos es
reducir un texto de cualquier longitud a otro de
una longitud fija llamado resumen, digesto o hash
cumplindose que:
Dos textos distintos no pueden tener un
mismo hash. (libre de colisiones)
No se puede recuperar el texto original
desde un hash. (irreversible)
En general estos algoritmos se utilizan para:
Comprobar la integridad de un mensaje.- con
solo cambiar un bit del texto original, el hash cambia
radicalmente de forma impredecible, por lo tanto si
se transmite un mensaje junto con su hash, el
receptor puede recalcularlo y compararlo con el
recibido, si estos difieren quiere decir que el
mensaje fue modificado en el camino. Para este tipo
de

usos

Luis Surez Zambrano

se

recomienda

HMACSHA1

117

Tecnologas para la Administracin y Generacin de Firmas Digitales

MACTripleDES ya que requieren de una clave

secreta (solo conocida por el emisor y el receptor)
para le generacin del hash por lo que si alguien
quiere cambiar el mensaje en el camino (tampering)
no podr pasar inadvertido tan solo reemplazando el
hash original con uno calculado a partir del mensaje
modificado. [WWW 026]
Proteger datos como contraseas en una base
de datos.- es muy recomendable que en lugar de
guardar las contraseas de los usuarios en una base
de datos o archivo de configuracin, se guarde el
hash de las mismas, evitando que si alguien no
autorizado logra acceder a la BD pueda hacerse de
los accesos al sistema. Por este motivo ASP.NET
provee

una

funcin

especfica:

FormsAuthentication.HashPasswordForStoringInCon
figFile.

3.4

Algoritmos de llaves simtricas

Luis Surez Zambrano

Figura 3.3 Esquema de Llaves
Simtricas

118

Tecnologas para la Administracin y Generacin de Firmas Digitales

La encriptacin y descifrado con claves simtricas es

entre diez y cien veces ms rpido que un algoritmo de
claves asimtricas (claves distintas). Su esquema de
trabajo con claves simtricas se muestra en la Figura
3.3.

En

esta

imagen,

un

texto

"plain

text"

es

transformado segn una clave (Ksecret), trasferido, y

desencriptado con la misma palabra clave. Esta clave
debe haberse suministrado por un medio seguro al
receptor, de manera que no haya sido "capturada" o
robada por algn intruso.
a) Algoritmo DES
Adoptado como estndar
Encryption

Standard

ANSI en 1977. El Data

(DES)

el

Algoritmo

de

Encripcin de Datos (DEA) fue un estndar por cerca

de 20 aos. Este algoritmo se ha desempeado muy
bien y ofrece seguridad.

DES es un bloque cifrado,

encriptando los datos en bloques de 64 bits, el mismo

algoritmo se usa para encriptar y desencriptar la
informacin.
DES es un mtodo de cifrado altamente resistente
frente a ataques criptoanalticos diferenciales, ya que
transforma segmentos de mensaje de 64 bits en otros
equivalentes de texto cifrado, empleando una clave de
56 bits.

Sin embargo, es vulnerable frente a los

potentes mtodos de decodificacin posibles para los

Luis Surez Zambrano

119

Tecnologas para la Administracin y Generacin de Firmas Digitales

grandes
apropiado

ordenadores
para

las

no

ha

sido

aplicaciones

considerado

recientemente

realizadas. En la actualidad ofrece proteccin contra el

pirata informtico habitual, pero no contra un esfuerzo
masivo por parte de un usuario con grandes recursos.
DES fue el primer sistema de cifrado en bloque que se
extendi al sector pblico, por lo que es usado a
menudo

para

describir

nuevas

tcnicas

de

criptoanlisis. Incluso hoy, no existe ninguna tcnica de

criptoanlisis que pueda vulnerar completamente DES
de un modo estructural; la nica debilidad de DES es el
pequeo tamao de la clave y quiz el pequeo tamao
del bloque. DES maneja lo que se conoce como Claves
dbiles42; La misma sub-clave es generada en cada
iteracin. DES tiene 4 claves dbiles. Y las Claves
semi-dbiles43: Slo dos sub-claves se generan en
iteraciones alternadas. DES maneja doce claves de este
tipo en seis pares. [WWW 028]
Funcionamiento.- DES cifra bloques de datos de 64
bits usando una clave de 56 bits. Normalmente se tiene
una cantidad de informacin arbitraria para cifrar y se
necesita una forma de especificar cmo se realiza ese
cifrado. La manera en que se usa un cifrador en bloque
se denomina modo de uso y para DES estndar ANSI
ha definido cuatro, dos en bloque y dos en flujo:
42
43

Las Misma Clave es utilizada durante todo el proceso de cifrado, por lo que es fcil saberla.
Se utilizan dos subclaves durante todo el proceso, es ms difcil conocer la clave.

Luis Surez Zambrano

120

Tecnologas para la Administracin y Generacin de Firmas Digitales

En bloque
Electronic Codebook Book (ECB): El mensaje
se divide en bloques independientes de 64 bits y
el cifrado se efecta bloque a bloque.
C(i) = DES(K1) (P(i))
Cipher Block Chaining (CBC): De nuevo el
mensaje se divide en bloques de 64 bits, pero
estos se unen en el cifrado mediante un vector de
inicializacin IV.
C(i) = DES(K1) (P(i)(+)C(i-1)), con C(-1)=IV
En flujo
Cipher FeedBack (CFB): Los bits del mensaje
son aadidos a la salida del DES, y el resultado se
lleva al siguiente bloque. Requiere tambin de un
vector de inicializacin.
C(i) = P(i)(+) DES(K1) (C_(i-1)), con C_(-1)=IV
Output

FeedBack

(OFB):

Es

igual

que

el

anterior pero sin realimentacin.

C(i) = P(i)(+) O(i) O(i) = DES(K1)(O(i-1)), con O(1)=IV
Cada modo de cifrado presenta sus ventajas y sus
desventajas.
Caractersticas:
Propsito: Encripcin
Rango de clave: 56 bits
Fecha de Creacin: 1976
b) Algoritmo Triple-DES
Luis Surez Zambrano

121

Tecnologas para la Administracin y Generacin de Firmas Digitales

Algoritmo similar a DES, con la diferencia que utiliza

tres

claves

distintas.

Es

el

ms

utilizado

en

transacciones en instituciones financieras. Basado en

tres iteraciones sucesivas del algoritmo DES, con lo
que se consigue una longitud de clave de 128 bits, y
que es compatible con DES simple. Este hecho se basa
en que DES tiene la caracterstica matemtica de no
ser un grupo, lo que implica que si se encripta el
mismo bloque dos veces con dos llaves diferentes se
aumenta el tamao efectivo de la llave.
Funcionamiento.- Se toma una clave de 128 bits y se
divide en 2 diferentes de 64 bits, aplicndose el
siguiente proceso al documento en claro:

Figura 3.4 Esquema del Algoritmo

Triple DES

Se le aplica al documento a cifrar un primer cifrado

mediante

la

primera

clave,

C1.

Al

resultado

(denominado ANTIDES) se le aplica un segundo cifrado

con la segunda clave, C2. Y al resultado se le vuelve a
aplicar un tercer cifrado con la primera clave, C1. Si la
clave de 128 bits est formada por dos claves iguales
de 64 bits (C1=C2), entonces el sistema se comporta
como un DES simple, actualmente TDES usa 3 claves
diferentes, lo que hace el sistema mucho ms robusto,

Luis Surez Zambrano

122

Tecnologas para la Administracin y Generacin de Firmas Digitales

al conseguirse longitudes de clave de 192 bits (de los

cuales son efectivos 168), mientras que el uso de DES
simple no est aconsejado. [WWW 027]
c) Algoritmo RC2
Sistema desarrollado por Ronald Rivest. Que realiza el
cifrado en bloques, adoptado inicialmente por la
agencia RSA; admite claves con longitudes entre 1 y
2048 bits. La versin de exportacin limita su uso a
claves de 40 bits.
d) Algoritmo RC4
Sistema de cifrado de flujo, tambin adoptado por por
la agencia RSA; admite claves con longitudes entre 1 y
2048 bits. La versin de exportacin limita su uso a
claves de 40 bits. Desarrollado por Ronald Rivest en
1994.
e) Algoritmo RC5
Sistema de cifrado en bloques adoptado inicialmente
por la agencia RSA; admite claves con longitudes entre
1 y 2048 bits. Permite que el usuario vare el tamao
del bloque que se encripta en cada paso. Desarrollado
por Ronald Rivest en 1994.
f) Algoritmo DESX
Este algoritmo es una variacin del DES; introduce un
proceso

de

encriptado

en

dos

fases

que

hace

prcticamente imposible encontrar la clave.

3.5

Algoritmos de llaves pblicas

Luis Surez Zambrano

123

Tecnologas para la Administracin y Generacin de Firmas Digitales

Los algoritmos asimtricos o de Clave Pblica, son

lentos pero tienen la ventaja de que una de las claves
puede

ser

conocida

por

cualquiera;

el

mensaje

encriptado por esa clave "pblica" slo puede ser

descifrado por la otra clave, privada, conocida slo por
el destinatario.

Figura 3.5 Estructura de la PKI (Una llave pblica y una

Privada)

Si A desea enviar un mensaje a B, A encripta el

mensaje con la clave pblica (KB,public) de B; al
recibir el mensaje, B lo descifra con su clave privada
(KB,private). Por el contrario, si B desea enviar un
mensaje a A, B encripta el mensaje con la clave pblica
(KA,public) de A; al recibir el mensaje, A lo descifra
con su clave privada (KA,private)

Figura 3.6 Proceso de Encriptacin y

Existen algoritmos asimtricos para bloques de texto,

Desencriptacin

que trabajan sobre un nmero de bytes, en tamaos

definidos; y algoritmos asimtricos de flujo de datos,
que encriptan byte a byte toda la informacin. El
sistema de firma digital (digital signature system) fue

Luis Surez Zambrano

124

Tecnologas para la Administracin y Generacin de Firmas Digitales

desarrollado por la Agencia de Seguridad Nacional de

los EE. UU. (NSA) y puede utilizar claves entre 512 y
1024 bits de longitud. La seguridad de estos sistemas
depende de la longitud de la clave.
Paso 1: A genera la clave simtrica (Ks) que deben
utilizar A y B en sus transmisiones en esa sesin. Las
razones para utilizar una clave simtrica son la
velocidad y que, para mayor seguridad, se genera para
el caso. Para enviar esta clave de manera segura a B, A
utiliza la clave asimtrica pblica de B (Kb, public);
cuando B recibe la clave Ks encriptada con su clave
pblica, la descifra con la clave asimtrica privada (Kb,
private) que slo posee B.
Paso 2: Una vez que A y B poseen la misma clave
simtrica

(Ks) la trasmisin se realiza encriptando

toda la informacin con esa clave en ambos sentidos.

Figura 3.7 Proceso de Transmisin de un mensaje

Encriptado

Luis Surez Zambrano

125

Tecnologas para la Administracin y Generacin de Firmas Digitales

Digest o funciones resumen para la criptografa

Un digest es una funcin matemtica que produce una
secuencia de caracteres, normalmente entre 128 y 256
bits de longitud, a partir de un archivo de informacin
inicial de cualquier longitud.
Propiedades
Al resumen de un mensaje, se la llama
generalmente huella digital del mensaje.
Cada bit de salida del digest es influenciado por
cada bit de entrada
Para cualquier bit que se cambie a la entrada,
cada bit de salida tiene al menos un 50% de
probabilidades de cambiar
Dado
un
texto
de
entrada,
debe
ser
informticamente viable encontrar otro texto de
entrada que del mismo producto en el digest.
Dos mensajes iguales producen huellas digitales
iguales
Dos mensajes parecidos producen huellas
digitales completamente diferentes.
Dos huellas digitales idnticas pueden ser el
resultado de dos mensajes iguales o de dos
mensajes completamente diferentes.
Una funcin hash es irreversible, no se puede
deshacer, por tanto su comprobacin se realizar
aplicando de nuevo la misma funcin hash al
mensaje.

Figura 3.8 Proceso de transformacin de un Digest a

Luis Surez Zambrano

un Texto Normal

126

Tecnologas para la Administracin y Generacin de Firmas Digitales

Funciones digest ms utilizadas

HMAC.- Hassed Message Authentication Code,
usa una clave secreta
MD2.-

Message

Digest

#2,

desarrollado

por

Ronald Rivest, produce un digest de 128 bits,

requiere mucho tiempo para su clculo.
MD4.- Desarrollado por Ronald Rives como
alternativa al MD2. Ha resultado ser un tanto
inseguro.
MD5.- Ms seguro que el MD4, genera un digest
de 128 bits
SHA.- Desarrollado por la NSA, produce un digest
de 160 bits
Siempre es posible utilizar un digest dentro de un
mensaje y encriptar el digest con una clave; de esta
forma

se

puede

firmar

digitalmente

el

mensaje.

Tambin se utilizan para generar claves a partir de

frases; de este modo el usuario no tiene que recordar
una clave compleja, ilegible y larga para que sea
segura, sino una frase tan larga como quiera, que es
transformada por un digest en su clave para descifrar.
Una huella digital es un conjunto de datos asociados a
un mensaje que permiten asegurar que el mensaje no
fue modificado. Esta huella digital o resumen se
obtiene aplicando una funcin digest, a ese mensaje,
Luis Surez Zambrano

127

Tecnologas para la Administracin y Generacin de Firmas Digitales

esto da como resultado un conjunto de datos singular

de longitud fija. [WWW 029]
Algoritmos Asimtricos ms comunes
a) Algoritmo RSA
RSA es un Sistema Criptogrfico de Claves Pblicas y
Autenticacin que usa un algoritmo desarrollado en
1977 por Ron Rivest, Adi Shamir y Leonard Adleman.,
el algoritmo RSA es el ms usado en Internet, es parte
de los navegadores como Netscape e Internet Explorer,
as como de muchos otros ms. Es un algoritmo
utilizado tanto para encriptar informacin como para
firma digital. Los sistemas de firma digital se utilizan
para garantizar que el autor de la informacin es el
firmante y no ha sido modificada por un tercero. La
clave puede tener una longitud variable y puede ser
tan grande como se desee y se pueda generar.
Caractersticas:
Propsito: Encripcin y Firma Digital.
Rango de clave: 1024 bits para uso corporativo y

2048 para claves valuables.

Fecha de Creacin: 1977
En lugar de emplear una sola clave para encriptar y
desencriptar datos, el sistema RSA emplea un par
combinado

de

claves

que

desarrolla

una

transformacin en un solo sentido. Cada clave es la

funcin inversa de la otra, es decir, lo que una hace,

Luis Surez Zambrano

128

Tecnologas para la Administracin y Generacin de Firmas Digitales

slo la otra puede deshacerlo. La Clave Pblica en el

sistema RSA es publicada por su propietario, en tanto
que la Clave Privada es mantenida en secreto. Para
enviar un mensaje privado, el emisor lo encripta con la
Clave Pblica del receptor deseado. Una vez que ha
sido encriptado, el mensaje slo puede ser descifrado
con la Clave Privada del receptor. Inversamente, el
usuario puede encriptar datos utilizando su Clave
Privada. Es decir, las claves del sistema RSA pueden
ser empleadas en cualquier direccin. Esto sienta las
bases para la firma digital. Si un usuario puede
desencriptar un mensaje con la Clave Pblica de otro
usuario, ste debe, necesariamente, haber utilizado su
Clave Privada para encriptarlo originariamente. Desde
el momento que solamente el propietario puede utilizar
su propia Clave Privada, el mensaje encriptado se
transforma

en una

especie de firma

digital,

un

documento que nadie ms ha podido crear. Bajo RSA se

desarroll el algoritmo estndar de firmas digitales
para correos S/MIME. [WWW 030]
Funcionamiento.- Los nmeros enteros (0, 1, 2... y
sus

opuestos

-1,-2

etc.)

tienen

una

estructura

algebraica determinada con las operaciones producto y

la suma. Esta estructura es la de anillo conmutativo y
una de sus caractersticas es la existencia de un
elemento neutro respecto al producto, que es la

Luis Surez Zambrano

129

Tecnologas para la Administracin y Generacin de Firmas Digitales

unidad. En este anillo existen dos divisores de la

unidad (el nmero 1), el 1 y el -1.
Dados dos nmeros enteros, p y q, es posible encontrar
otros dos, c y r tales que p = q.c + r. A c se le suele
llamar cociente y a r resto. Particularmente, existe un r
tal que r < Iqi. Cuando r es cero, entonces decimos que
q es un factor de p. Fijado un entero q, existen II restos
posibles: 0, 1, 2,....,Iq-1I y es definible una relacin de
equivalencia: Dos enteros m y n son equivalentes si y
slo si m-n es un mltiplo de q. Esto es lo mismo que
decir que tanto m como n tienen el mismo resto, o que
m es congruente con n mdulo q, y lo simbolizaremos
por m = n (mod q). El conjunto de las clases de
equivalencia forma a su vez un anillo y tendremos
tantas como restos posibles.
Se dice que d es el mximo comn divisor de dos
nmeros p y q cuando es el factor ms grande de p y q:
d = m.c.d (p,q). Dos nmeros p y q son primos entre s,
cuando m.c.d (p,q) = 1. Un nmero p es primo cuando
siempre que exista un factor q tal que p =q.k entonces
k slo se puede dividir por si mismo). Cualquier
nmero q es un producto de primos y este producto es
nico (salvo divisores de la unidad). Existe un nmero
infinito de primos, no hay una frmula para obtenerlos
y su distribucin no se puede determinar por mtodos
numricos.

Luis Surez Zambrano

130

Tecnologas para la Administracin y Generacin de Firmas Digitales

b) Algoritmo DSA
El Digital Signature Algorithm (DSA) fue publicado por
el Instituto Nacional de Tecnologa y Estndares (NIST)
en el estndar llamado Digital Signature Standard
(DSS) que es parte de gobierno de los Estados Unidos.
DSS fue seleccionado por el NIST con ayuda del NSA
(National Security Agency) para ser el estndar de
autenticacin digital del gobierno de los Estados
Unidos a partir de Mayo 19 de 1994. DSA est basado
en el problema de logaritmos discretos y se deriva de
sistemas criptogrficos propuestos por Schnorr y El
Gamal. Es nicamente para autenticacin.
Caractersticas:
Propsito: Firmas Digitales
Rango de clave: 56 bits
Fecha de Creacin: 1994
c) Diffle-Hellman (DH)
Fue el primer algoritmo de clave pblica inventado
(1976). Tiene su seguridad en la dificultad de calcular
logaritmos

discretos

principalmente

para

infinitamente.
distribucin

de

DH

se

usa

claves,

para

generar claves secretas, aunque no es recomendable

para encriptar ni desencriptar.

Luis Surez Zambrano

Figura 3.9 Diagrama del Algoritmo Diffie

131

Tecnologas para la Administracin y Generacin de Firmas Digitales

Su importancia se debe al hecho de ser el inicio de los

sistemas asimtricos, ya que en la prctica slo es
vlido para el intercambio de claves simtricas, y con
esta funcionalidad es muy usado en los diferentes
sistemas seguros implementados en Internet, como
SSL (Secure Socket Layer) y VPN (Virtual Private
Network).
Caractersticas:
Propsito: Firmas Digitales.
Rango de clave: 1536 bits.
Fecha de Creacin: 1976.
Funcionamiento.- DH basa su funcionamiento en las
potencias de los nmeros y en la funcin mod (mdulo
discreto). Uniendo estos dos conceptos se define la
potencia discreta de un nmero como Y = X a mod q. Si
bien el clculo de potencias discretas es fcil, la
obtencin de su funcin inversa, el logaritmo discreto,
no tiene una solucin analtica para nmeros grandes.
Pasos de implementacin:
1. Se busca un nmero primo muy grande, q.
2. Se obtiene el nmero , raiz primitiva de q, es
decir, que cumple que mod q, 2 mod q,...., q-1
mod q son nmeros diferentes.

Luis Surez Zambrano

132

Tecnologas para la Administracin y Generacin de Firmas Digitales

3. y q son las claves pblicas.

Para generar una clave simtrica compartida entre dos

usuarios, A y B, ambos parten de un generador de
nmeros pseudoaleatorios, que suministra un nmero
de este tipo diferente a cada uno, X a y Xb. Estos son las
claves privadas de A y B. Con estos nmeros y las
claves pblicas y q que ambos conocen, cada uno
genera un nmero intermedio, Ya e Yb, mediante las
frmulas: Ya = Xa mod q, Yb = Xb mod q.
Estos nmeros son intercambiados entre ambos, y
luego cada uno opera con el que recibe del otro,
obteniendo en el proceso el mismo nmero ambos: K
= Yb

Xa

mod q, K = Ya

Xb

mod q

Este nmero K es la clave simtrica que a partir de ese

momento ambos comparten, y que pueden usar para
establecer

una

comunicacin

cifrada

mediante

cualquiera de los sistemas simtricos.

Con este esquema, si se desea compartir una clave
privada con otro usuario cualquiera, basta con acceder
a su Yu y enviarle la nuestra. Para facilitar este proceso
se suelen publicar las Yu de todos los usuarios
interesados en un directorio de acceso comn. [WWW
030]

d) Algoritmo MD5

Luis Surez Zambrano

133

Tecnologas para la Administracin y Generacin de Firmas Digitales

MD5 es una funcin de hashing de una sola direccin,

produciendo un resultado de 128 bits. Despus de un
proceso inicial, MD5 procesa el texto insertado en
bloques de 512 bits, divididos en 16 bloques de 32 bits.
El resultado de el algoritmo son 4 bloques de 32 bits,
que juntos forman un bloque de 128 bits.
Caractersticas:
Propsito: Hashing (Digestin de documentos
digitales)
Rango de clave: 128 bits
Fecha de Creacin: 1992

e) El Gamal
Propuesto por T. El Gamal, este sistema de clave
pblica est basado en un procedimiento de cifrado
que usa dos valores pblicos: un nmero primo p de
aproximadamente 200 dgitos y un entero g tal que sus
potencias generan todos los elementos del grupo. As,
la clave secreta del firmante es un entero aleatorio x
elegido por el mismo tal que 1 < x < p-1, y la clave
pblica asociada y se obtiene como sigue: y = gx (mod
p)
El cifrado de un mensaje en claro M tal que 1 < M < p,
se lleva a cabo eligiendo un valor entero aleatorio k
con 1 < k < p-1 y k relativamente primo con p. Si los
valores de k elegidos para la computacin de un mismo
mensaje en claro son distintos los cifrados resultantes
Luis Surez Zambrano

134

Tecnologas para la Administracin y Generacin de Firmas Digitales

tambin lo sern. Un inconveniente importante de este

sistema de cifrado es la capacidad de almacenamiento
necesaria, al ser la longitud del mensaje cifrado el
doble que la del mensaje en claro.
La ruptura de este sistema pasa por la resolucin de un
problema

de

complicado

logaritmo
cuando

discreto,

se

trabaja

lo

cual

con

resulta
nmeros

suficientemente grandes. Sin embargo, en ocasiones el

clculo del logaritmo discreto resulta viable incluso
para valores de p de gran tamao, lo cual se debe a la
existencia de nmeros primos con caractersticas
debilitantes para el sistema, esto es, nmeros a partir
de los que resulta posible obtener la clave secreta x a
partir de la pblica y, que deberemos evitar.

Es el

predecesor del DSS (Digital Signature Standard) y su

uso est bastante extendido a pesar de que no se ha
creado ningn estndar conocido para ello.
f) Algoritmo Rijndael
Para sustituir al ya obsoleto algoritmo DES, el NIST
(National

Institute

of

Standards

and

Technology)

propuso una competicin para desarrollar el estndar

AES, hasta cuya resolucin ha adoptado el sistema
Triple-DES como una solucin temporal. Los cinco
algoritmos finalistas para AES, elegidos entre un total
de quince, fueron MARS, RC6, Rijndael, Serpent y
Twofish.

As, Rijndael es un cifrador en bloque

Luis Surez Zambrano

135

Tecnologas para la Administracin y Generacin de Firmas Digitales

diseado por John Daemen y Vincent Rijmen como

algoritmo candidato al AES (Advanced Encryption
Standard). Su diseo estuvo fuertemente influenciado
por el de un cifrador (block cipher Square), que
tambin fue creado por John Daemen y Vincent Rijmen
y se centraba en el estudio de la resistencia al
criptoanlisis diferencial y lineal. El nombre del
algoritmo es una combinacin de los nombres de sus
dos creadores. El cifrador tiene longitudes de bloque y
de clave variables y puede ser implementado de forma
muy eficiente en una amplia gama de procesadores y
mediante hardware. Como todos los candidatos del
AES es muy seguro y hasta la fecha no se le han
encontrado puntos dbiles.
La longitud de la clave de Rijndael, debe ser de 128,
192 o 256 bits, segn los requisitos establecidos para
el AES. Asimismo, la longitud del bloque puede variar
entre

128,

192

256

bits.

Todas

las

posibles

combinaciones (nueve en total) entre longitudes de

clave y bloque son vlidas, aunque la longitud oficial de
bloque para AES es de 128 bits. Las longitudes de la
clave y el bloque pueden ser fcilmente ampliadas a
mltiplos de 32 bits. El nmero de iteraciones del
algoritmo principal puede variar de 10 a 14 y depende
del tamao del bloque y de la longitud de la clave. Una
de las crticas ms habituales de Rijndael es el escaso
nmero de iteraciones, pero esto no supone un

Luis Surez Zambrano

136

Tecnologas para la Administracin y Generacin de Firmas Digitales

problema, pues el coste operacional puede aumentarse

sin ms que incrementar el tamao del bloque y la
longitud de la clave.
La implementacin Stealth de Rijndael usa una clave
de 256 bits y un bloque de 128 bits de tamao. Usando
la mayor longitud posible de clave conseguimos la
mxima seguridad para el usuario. La filosofa de este
diseo

concedera

pues

mayor

importancia

la

seguridad que a la velocidad. Si el usuario proporciona

una clave de menor longitud Stealth la transforma de
una forma especial, casi aleatoriamente, para hacerla
de 256 bits. Y aunque acepta tamaos de bloque
mayores que 128 bits, no existe ninguna razn para
usarlos siendo que este nmero de bits ha sido elegido
como tamao estndar.
g) Algoritmo Basado en Curvas Elpticas.
En 1985, la teora de las curvas elpticas encontr de la
mano de Miller aplicacin en la criptografa. La razn
fundamental que lo motiv fue que las curvas elpticas
definidas sobre cuerpos finitos proporcionan grupos
finitos abelianos, donde los clculos se efectan con la
eficiencia que requiere un criptosistema, y donde el
clculo de logaritmos es an ms difcil que en los
cuerpos finitos. Este algoritmo basa su seguridad en el
Problema del Logaritmo Discreto Elptico, es decir que
basa su seguridad en la PLD sobre el grupo abeliano de

Luis Surez Zambrano

137

Tecnologas para la Administracin y Generacin de Firmas Digitales

puntos racionales de una curva elptica sobre un

campo finito.
La principal caracterstica que tienen los sistemas
sobre curvas elpticas es que el PLDE es totalmente
exponencial, es decir no existe un algoritmo eficiente
que calcule logaritmos discretos. Esto permite usar
claves de longitud reducida en los
Sistemas criptogrficos que los usan. Vale entonces
realizar la siguiente comparacin:
Claves CCE de 163b = claves RSA de 1024b
Claves CCE de 210b = claves RSA de 2048b
Otra caracterstica de CCE es que su relativa longitud
de la clave
dispositivos

hace posible ser implementados en

de

bajos

recursos

de

procesamiento,

memoria, ancho de banda,... (smart cards, ATM,

telfonos celulares, PCs,..) En la actualidad existen
varios estndares que permiten el uso adecuado y
ptimo de los CCE, entre los cuales se encuentran:
IEEE P1363

(Institute of Electrical and Electronics

Engineers), el ANSI X9.62, 63, ANSI TG-17, ANSI X12

UN/EDIFACT, ISO/IEC 14888, ISO/IEC 9796-4, ISO/IEC
14946 (International Standards Organization), ATM
Forum (Asynchronous Transport Mode), WAP (Wireles
Application Protocol). En comercio electrnico: FSTC

Luis Surez Zambrano

138

Tecnologas para la Administracin y Generacin de Firmas Digitales

(Financial Services Technology Consortion), OTP 0.9

(Open Trading Protocol), SET. En internet IETF, IPSec.
Ataques a CCE
Bsqueda a fuerza bruta calculando A, 2A, 3A,
Si el orden de la curva tiene todos los factores
pequeos se puede aplicar el mtodo de PohligHellman
El mtodo Baby-Step Giant-Step
El mtodo de la raz de Pollard (pi*n/2)^(1/2)
Mtodo paralelizado de Pollard (pi*n)^1/2 / (2r)
Ataque MOV (Menezes Okamoto Vanstone) que
encaja una curva elptica sobre un campo F_{q} a
una curva elptica sobre una extensin del campo
F_{q^k}, si la curva es supersingular k<=6, por
lo que no son recomendables para usos
criptogrficos hay que verificar si es necesario
para el caso nosupersingular que n, el orden del
punto base no divide a q^k -1 para los primeros k
(hasta 20)
No elegir curvas anmalas es decir que
#E(F_{p}) = p
No elegir curvas definidas sobre F_{2^m} con m
compuesto, aunque no se ha mostrado una
practicidad de este ataque cuando m es
compuesto, algunos estndares recomiendan no
usarlos
h)Sistema Probabilstico.
Aunque la criptografa de clave pblica resuelve el
importante problema de la distribucin de claves que
se presenta en la criptografa de clave secreta; en
clave pblica se presenta otro problema, el texto
cifrado

C=Ek

informacin

(M)

sobre

siempre
el

texto

deja

escapar

original

alguna

porque

el

criptoanalista puede calcular por s mismo la funcin

Luis Surez Zambrano

139

Tecnologas para la Administracin y Generacin de Firmas Digitales

de cifrado con la clave pblica sobre cualquier texto

que quiera. Dado cualquier M' de su eleccin, puede
fcilmente descubrir si el mensaje original M=M', pues
esto se cumple si, y slo si Ek(M')=C. Incluso aunque
recuperar M a partir de C fuera efectivamente
infactible, no sabemos cmo medir la informacin que
deja

escapar

sobre

M.

El propsito de la criptografa probabilstica (nocin

ideada por Golwaser y Micali) es cifrar mensajes de
manera que no exista clculo factible que pueda
producir informacin en lo que respecta al texto
original correspondiente (salvo con una probabilidad
nfima). Hay que decir que estos sistemas no ofrecen
verdadero secreto perfecto, son totalmente inseguros
contra criptoanalistas con poder de clculo ilimitado.
La

principal

diferencia

tcnica

entre

el

cifrado

probabilstico y los criptosistemas de clave pblica es

que los algoritmos de cifrado son probabilsticos en
lugar de determinsticos: el mismo mensaje original
puede dar lugar a un gran nmero de criptogramas
distintos. En consecuencia, un criptoanalista que tenga
un candidato para el texto original no podra verificar
su suposicin cifrndolo y comparando el resultado con
el criptograma interceptado.
Otros algoritmos de Encripcin
Sistema de Rabin. Se basa tambin en la
factorizacin.
Luis Surez Zambrano

140

Tecnologas para la Administracin y Generacin de Firmas Digitales

Sistema de Merkle-Hellman. Esta basado en el

problema de la mochila.
Sistema de McEliece. Se basa en la teora de la
codificacin algebraica, utilizando el hecho de que
la decodificacin de un cdigo lineal general es un
problema NP-completo.
3DES y ya se est implementando el AES
(Advanced Encryption Standard).
RC2
RC4
RC5
ECC (Criptografa de Curvas Elpticas)
Otros algoritmos de Hashing
MD2.- Message Digest 2.

Se

dise

para

ordenadores con procesador de 8 bits, y hoy

apenas se utiliza. Se conocen ataques a versiones
parciales de MD2. Es una funcin de un sentido
usada en Privacy Enhanced Mail (PEM) junto con
MD5. Produce cdigo de hash de 128 bits para
una entrada arbitraria. Es similar en su estructura
a MD4 y MD5, pero ms lento e inseguro
MD4.- Message Digest 4. Fue desarrollado por
Ron Rivest, de RSA Data Security. Su diseo es la
base de otros hash, aunque se le considera
inseguro.

Un

ataque

desarrollado

por

Hans

Dobbertin permite generar colisiones (mensajes

aleatorios con los mismos valores de hash) en
cuestin de minutos para cualquier PC. Por ese
motivo, est en desuso.

Se public inicialmente

en 1990 y una versin revisada se publica como

RFC 1320 en Abril del 992, junto con MD5.

Luis Surez Zambrano

141

Tecnologas para la Administracin y Generacin de Firmas Digitales

Comparte los objetivos de diseo con MD5, sin

embargo

MD5

es

ms

complejo

lo

que

lo hace ms seguro, pero tambin ms lento.

Resumen es de 128 bits
SHA-1.- SHA (Secure Hash Algorithm) fue
desarrollado como parte del estndar hash seguro
(Secure Hash Standard, SHS) y el estndar de
cifrado digital (Digital Signature Standard, DSS)
por la Agencia de Seguridad Nacional
norteamericana (NSA). Aparentemente se trata de
un algoritmo seguro y sin fisuras, al menos por
ahora. La primera versin, conocida como SHA,
fue mejorada como proteccin ante un tipo de
ataque que nunca fue revelado. El documento
FIPS (Federal Information Processing Standard)
que oficialmente lo describe afirma que los
principios subyacentes al SHA-1 son similares a
los del MD4 de Rivest. Su implementacin puede
estar cubierta por patentes en Estados Unidos y
fuera de ellos. A falta de ataques ulteriores, se le
puede considerar seguro. Es el algoritmo de
firmado utilizado por el programa PGP en sus
nuevas claves DH/DSS (que significa: cifrado
mediante clave Diffie-Hellman y firmado mediante
funcin hash/ Digital Signature Standard).
Para la generacin de otro tipo de firmas digitales
suelen usarse algoritmos basados en criptografa de
clave pblica, sobre todo RSA y DSS. [WWW 031]

Luis Surez Zambrano

142

Tecnologas para la Administracin y Generacin de Firmas Digitales

3.6

Criptografa y el web

En todo momento cuando se necesita enviar y recibir

informacin por la WWW, realizar algn tipo de
transaccin, una compra en lnea, consultar el saldo de
nuestra cuenta en el banco, etc. la preocupacin ms
importante

es

transacciones

saber
estn

si

realmente

realizndose

de

todas
una

estas

manera

segura de tal manera que nada ni nadie pueda

interceptar

los

datos

proporcionados

en

las

transacciones. Todos queremos estar protegidos contra

ataques a nuestra informacin sobre todo de los
hackers, es por esto que la mejor solucin hasta el
momento ha sido utilizar la Criptografa como nico
mecanismo de seguridad para la informacin que se
enva y recibe a travs del Internet. La Criptografa se
ha convertido en una tecnologa fundamental para
proteger la informacin, sin embargo se requiere de
muchos recursos tanto tcnicos como humanos y sobre
todo tecnolgicos y econmicos para asegurar las
comunicaciones de una empresa u organizacin.
Al existir muchas tcnicas criptogrficas que cubren
distintas necesidades, se hace ms necesario que
dentro de cada

organizacin

exista

la suficiente

capacidad para tomar decisiones, las ms certeras que

permitan el aseguramiento de la informacin, en
muchos casos las diferencias existentes entre los

Luis Surez Zambrano

143

Tecnologas para la Administracin y Generacin de Firmas Digitales

sistemas de encriptacin son tcnicas, en otros casos

las diferencias son resultados de restricciones con lo
que tiene que ver con aspectos legales como patentes,
secretos comerciales, etc. y lo ms comn, sobre todo
en nuestros pases subdesarrollados, las restricciones
criptogrficas son resultado de decisiones polticas.
La Criptografa y la Seguridad en la Web
Para la mayora de expertos en seguridad electrnica,
se han identificado cuatro puntos clave que se debe
cumplir para describir todas las funciones que tiene la
encriptacin en los sistemas de informacin modernos:
a. Confidencialidad.- la encriptacin se utiliza para
ocultar la informacin a travs de Internet y
almacenarla

en

servidores

de

manera

que

cualquiera que intente interceptar no pueda tener

acceso al contenido de los datos. Para muchos
esta propiedad es privaca, aunque para la
mayora

simplemente

es

proteccin

de

la

informacin de la agregacin o el uso inapropiado.

b. Autenticacin.- las firmas digitales sirven para
identificar al autor del mensaje, las personas que
reciben

el

mensaje

pueden

comprobar

la

identidad de quin lo firm, pueden utilizarse

junto con claves de acceso o como alternativa a
las claves.
c. Integridad.- para verificar que un mensaje no ha
sido modificado durante el camino que recorre

Luis Surez Zambrano

144

Tecnologas para la Administracin y Generacin de Firmas Digitales

desde su emisor

hasta su receptor, se pueden

utilizar varios mtodos, mediante cdigos de

Compendios de Mensajes firmados digitalmente.
d. No Repudio.- mediante la encriptacin se crean
recibos de forma que el autor de un mensaje no
pueda negar falsamente su envo.

Problemas a los que la Criptografa no da una

solucin adecuada
Proteccin de documentos no encriptados.aun cuando se configuren los servidores Web para
que slo enven archivos a conexiones que utilicen
SSL,

siempre

los

originales

sin

encriptar

permanecern en el servidor, a menos que se

encripten los documentos independientemente,
siguen siendo vulnerables si alguien viola el
servidor y tiene acceso a la informacin.
Proteccin

contra

el

robo

de

llaves

de

encriptacin.- es hacer posible que quienes

tienen

las

llaves

criptogrficas

puedan

desencriptar los archivos o mensajes, por ello

cualquier atacante que pueda robar o comprar
una llave podr desencriptar cualquier archivo o
mensaje encriptado con dicha llave. El principal
problema es que SSL permite tener copias de la
llave secreta del servidor en el disco duro de la
computadora.

Luis Surez Zambrano

145

Tecnologas para la Administracin y Generacin de Firmas Digitales

Proteccin contra ataques de negacin del

servicio.- muchos protocolos criptogrficos como
SSL dan proteccin segura contra la intercepcin
de la informacin, pero los atacantes informticos
tienen muchos otros propsitos, no simplemente
el dao se lo hace interceptando la informacin
sino daando los sistemas de
accediendo

los

comunicaciones o

servidores

borrando

la

informacin.
Proteccin contra programas de encriptacin
con trampas.- un atacante puede acceder y
modificar un programa de encriptacin para
hacerlo

fraudulento,

puede

hacer

que

el

navegador Web por defecto del servidor utilice la

misma llave de encriptacin y as podr cometer
el delito. Ante esto lo ms prudente ser obtener
sistemas de encriptacin confiables y cuando se
obtenga

algn

software

solicitar

su

correspondiente Firma de Cdigo para as poder

detectar cambios en la programacin de los
mismos.
Proteccin
nunca

contra

podr

estar

errores.segura

la
si

informacin
despus

de

transmitirle en forma encriptada, el receptor no

toma las debidas precauciones al desencriptar y
usa dicha informacin de una forma maliciosa,
ms

aun si una persona encargada de la

administracin de los sistemas informticos es

Luis Surez Zambrano

146

Tecnologas para la Administracin y Generacin de Firmas Digitales

sorprendida por alguna persona que aduce ser

miembro de la polica, de seguridad, etc. y hace
que le proporcione las claves de acceso.

3.7

Estndares criptogrficos y electrnicos

aplicables

Las polticas de certificacin y prcticas establecen un

marco de estandarizacin de las actividades que
permite la operacin efectiva de la firma electrnica
desde el punto de vista tcnico. A continuacin se
mencionan algunos documentos de referencia que
estn siendo utilizados como estndares de la industria
de certificacin

digital y PKI. Estos documentos

pueden agruparse, segn su nivel de operacin, en los

siguientes temas:
ESTANDARES INTERNACIONALES
ISO

9796,

Organizacin

Internacionales

de

Estndares

("International

Standards

Organization "), Norma ISO 9796 de Tecnologa

de

la

Informacin,

Mecanismo

de

Technology

Tcnicas

Firma
Security

Digital

de

Seguridad,

("Information

Techniques

Digital

Signature Scheme"). [WWW 032]

ANSI X9.31, Instituto Americano de Estndares
Nacionales

("American

National

Standards

Institute"), estndar X9.31 de Autenticado de

Mensajes

Luis Surez Zambrano

para

Instituciones

Financieras

147

Tecnologas para la Administracin y Generacin de Firmas Digitales

"Financial Institution Message Authentication"

para el sistema bancario estadounidense
ITU-T

X.509,

Unin

Internacional

de

Telecomunicaciones, Sector de Estandarizacin de

Teleco-municaciones
Telecommunication

("International
Union,

Telecommunication

Standardization Sector"), estndares X.509 de

Tecnologa de la Informacin Interconexin de
Sistemas Abiertos El Directorio: Marco para el
Autenticado
Systems

("Information

Interconnection

Technology
-

The

Open

Directory:

Authentication Framework") [WWW 033]

PKCS,

Estndares

de

Criptografa

de

Clave

Pblica ("Public Key Cryptography Standards")

desarrollados por RSA Corporation en forma
conjunta con Apple, Microsoft, Digital, Lotus, Sun
y Massachussets Institute of Technology. [WWW
034]
SWIFT, Sociedad para las Telecomunicaciones
Financieras Interbancarias Mundiales ("Society
for

Worldwide

Interbank

Financial

Telecommunications")
Declaracin

de

Prcticas

Poltica

de

Certificacin
ANSI X9.79: Public Key Infraestructure (PKI),
Practices and Policy Framework.

Luis Surez Zambrano

148

Tecnologas para la Administracin y Generacin de Firmas Digitales

RFC25272:

Internet

X.509,

Public

Key

Infraestruture, Certificate Policy and Certification

Practices Framework.
Seguridad
ISO/IEC 17799:2000 Information Technology Code for information security management.
BS 7799 Part 2 The specification for information
security management systems, 1998, en la cual se
bas la Norma ISO/IEC 17799.
ISO IS 15408 Common criteria version 2.1 (2000)
FIPS

PUB

140-1.

Security

requirements

for

cryptography modules, October 2001.

Estructura de Certificados
ITU-T X.509
ISO/IEC 9594
Repositorio de Informacin para implementacin
de PKI
RFC 1777 Yeong, W. Et al., Lightweight Directory
Access Protocol, Marzo 1995.
RFC 2251 Wahl, M. Et al. Lightweight Directory
Access Protocol v3, Diciembre 1997.
RFC 2559 Boeyen, S. Et al. Internet X.509 Public
Key

Infraestructure.

Operational

Protocols

LDAPv2, Abril 1999.

RFC 2585 Housley, R., Hoffman, P., X.509 Internet
Public Key Infraestructure
Luis Surez Zambrano

149

Tecnologas para la Administracin y Generacin de Firmas Digitales

Operational Protocols: FTP and HTTP, Myo 1999.

RFC 2587 Boeyen, S. Et al., Internet X.509 Public
Key Infraestructure. LDAPv2 Schema, Junio 1999.
X.500 ITU-T Recommendation X.500, Information
technology

Open

Interconnection

The

Directory: Overview of concepts, models and

services, 1997.
Organismos de Estandarizacin
[IEC]

International

Engineering

Consortium.

[WWW 035]
[IETF] The Internet Engineering Task Force.
[WWW 036]
[ISO]

International

Organization

for

Telecommunication

Union.

Standardization. [WWW 032]

[ITU]

International

[WWW 037]
[ITU-T] ITU Telecommunication Standardization
Sector.
[PKIX] Public-Key Infrastructure (X_509). [WWW
038]
[SMIME] S/MIME Mail Security (SMIME). [WWW
039]
[STD 1] ITU-T Recommendation X.680 | ISO/IEC
8824-1, "Information technology - Abstract Syntax
Notation One (ASN.1): Specification of basic
notation", 1997

Luis Surez Zambrano

150

Tecnologas para la Administracin y Generacin de Firmas Digitales

Estndar de Notacin Abstracta

[ISO/IEC 8824-1] ITU-T Recommendation X.680 |
ISO/IEC

8824-1,

Abstract

Syntax

"Information
Notation

technology
One

(ASN.1):

Specification of basic notation", 1997

[ISO/IEC 8825-1] ITU-T Recommendation X.690 |
ISO/IEC 8825-1, "Information Technology - ASN.1
encoding rules: Specification of Basic Encoding
Rules (BER), Canonical Encoding Rules (CER) and
Distinguished Encoding Rules (DER)", 1997
[X.208]

CCITT

Recommendation

X.208,

"Specification of Abstract Syntax Notation One

(ASN.1)", 1988
Certificacin Electrnica
[RFC 2459] Housley, R, "Internet X.509 Public Key
Infrastructure Certificate and CRL Profile", Enero
1999. [WWW 040]
[RFC 2510] Adams, C., Farrel, S., "Internet X.509
Public

Key

Infrastructure.

Management Protocols", Marzo 1999.

Certificate
[WWW

041]
[X.509v3] ITU-T Recommendation X.509 | ISO/IEC
9594-8, "Information technology - Open Systems
Interconnection - The Directory: Authentication
framework", 1997
[X.509v4] Draft Revised ITU-T Recommendation
X.509 | ISO/IEC 9594-8, "Information technology -

Luis Surez Zambrano

151

Tecnologas para la Administracin y Generacin de Firmas Digitales

Open Systems Interconnection - The Directory:

Public Key and Attribute Certificate Frameworks",
2000 (work in progress)
Terceras Partes de Confianza
ISO/IEC 10181-4, "Information Technology - Open
Systems Interconnection - Security frameworks
for open systems: Non-repudiation framework",
1997
ISO/IEC-18014,

"Information

Technology

Security Techniques - Time Stamping Services".

Working Document. Enero 2000.
[RFC 2560] Myers, M. et al., "X.509 Internet
Public

Key

Infrastructure.

Online

Certificate

Status Protocol - OCSP", Junio 1999. [WWW 042]

Estndares de Criptografia de Clave Pblica
[PKCS#1]

RSA

Laboratories,

"PKCS#1:

RSA

Cryptography Standard, Version 2.0", Octubre

1998
[PKCS#3] RSA Laboratories, "PKCS#3: DiffieHellman Key Agreement Standard, Version 1.4",
Noviembre 1993
[PKCS#5] RSA Laboratories, "PKCS#5: PasswordBased

Cryptography

Standard,

Version

2.0",

Marzo 1999

Luis Surez Zambrano

152

Tecnologas para la Administracin y Generacin de Firmas Digitales

[PKCS#6] RSA Laboratories, "PKCS#6: ExtendedCertificate

Syntax

Standard,

Version

1.5",

Noviembre 1993
[PKCS#7]

RSA

Cryptographic

Laboratories,

Message

Syntax,

"PKCS#7:
Version

1.5",

Noviembre 1993
[PKCS#8] RSA Laboratories, "PKCS#8: PrivateKey Information Syntax Standard, Version 1.2",
Noviembre 1993
[PKCS#9] RSA Laboratories, "PKCS#9: Selected
Object Classes and Attribute Types, Version 2.0",
Febrero 2000
[PKCS#10]

RSA

Laboratories,

"PKCS#10:

Certification Request Syntax Standard, Version

1.7", Mayo 2000
[PKCS#11]

RSA

Laboratories,

"PKCS#11:

Cryptographic Token Interface Standard, Version

2.10", Diciembre 1999
[PKCS#12]

RSA

Laboratories,

"PCKS#12:

Personal Information Exchange Syntax, Version

1.0", Junio 1999
[PKCS#15]

RSA

Cryptographic

Laboratories,

Token

"PKCS#15:

Information

Syntax

Standard, Version 1.1", Junio 2000

[RFC 2314] Kaliski, B., "PKCS #10: Certification
Request Syntax, Version 1.5.", RFC 2314, Marzo
1998. [WWW 043]

Luis Surez Zambrano

153

Tecnologas para la Administracin y Generacin de Firmas Digitales

[RFC 2315] Kaliski, B., "PKCS #7: Cryptographic

Message Syntax, Version 1.5.", RFC 2315, Marzo
1998. [WWW 044]
[RFC 2437] Kaliski, B., Staddon, J., "PKCS #1:
RSA Cryptography Specifications, Version 2.0.",
RFC 2437, Octubre 1998. [WWW 045].
Seguridad en MIME
[RFC 2311] Dusse, S. et al., "S/MIME Version 2.
Message Specification", Marzo 1998. [WWW 046]
[RFC 2312] Dusse, S. et al., "S/MIME Version 2.
Certificate Handling", Marzo 1998. [WWW 047]
[RFC 2632] Network Working Group, "S/MIME
Version 3. Certificate Handling", Junio 1999.
[WWW 048]
[RFC 2633] Network Working Group, "S/MIME
Version 3. Message Specification", Junio 1999.
[WWW 049]
[RFC 2634] Network Working Group, "Enhanced
Security

Services

for

S/MIME",

Junio

1999.

[WWW 050]
Sintaxis de Mensaje Criptogrfico
[PKCS#7]
Cryptographic

RSA

Laboratories,

Message

Syntax,

"PKCS#7:

Version

1.5",

Noviembre 1993
[RFC 2630] Housley, R., "Cryptographic Message
Syntax", Junio 1999. [WWW 051]
Mecanismos de Autentificacin
Luis Surez Zambrano

154

Tecnologas para la Administracin y Generacin de Firmas Digitales

[RFC 2025]

Adams, C; "The Simple Public-Key

GSS-API Mechanism (SPKM)", Octubre 1996.

[WWW 052]
[SSL 2]

Netscape Communications Corp., "the

SSL Protocol" Febrero 1995

[SSL 3]

Netscape Communications Corp., "the

SSL 3.0 Protocol" Noviembre 1996

[RFC 2743] Linn, J., "Generic Security Service
Application Program Interface. Version 2, Update
1", Enero 2000. [WWW 053]
[RFC 2246] T.Dierks et al., "The TLS Protocol.
Versin 1.0" Enero 1999 [WWW 054]
OSI

[X.200]/[ISO/IEC

7498-1]

ITU-T

Recommendation X.200, "Information technology Open Systems Interconnection - Basic reference

model: The basic model", 1994
Autoridades de Certificacin Internacionales
Argentina

[WWW 055]

Francia [WWW 056]

Italia

[WWW 057]

Reino Unido, entre otras.

3.8

Comprobacin de Integridad de Mensajes

Mecanismos de seguridad

Luis Surez Zambrano

155

Tecnologas para la Administracin y Generacin de Firmas Digitales

Intercambio de autenticacin: garantiza que

una entidad, ya sea origen o destino de la
informacin, es la ms segura y deseada.
Cifrado: garantiza que la informacin no es
inteligible para individuos, entidades o procesos
no autorizados (confidencialidad). Consiste en
transformar

un texto

en claro

mediante un

proceso de cifrado en un texto cifrado, gracias a

una informacin secreta o clave de cifrado.
Integridad de datos: implica el cifrado de una
cadena comprimida de datos a transmitir, llamada
valor de comprobacin de integridad (Integrity
Check Value). Este mensaje se enva al receptor
junto con los datos ordinarios. El receptor repite
la compresin y el cifrado posterior de los datos y
compara el resultado obtenido con el que le llega,
para

verificar

que

los

datos

no

han

sido

modificados.
Firma digital: este mecanismo implica el cifrado,
por medio de la clave secreta del emisor, de una
cadena

comprimida

de

datos

que

se

va

transferir. La firma digital se enva junto con los

datos ordinarios. Este mensaje se procesa en el
receptor,

para

verificar

su

integridad.

Este

mecanismo es esencial en el servicio de no

repudio.

Luis Surez Zambrano

156

Tecnologas para la Administracin y Generacin de Firmas Digitales

Control

de

acceso:

slo

aquellos

usuarios

autorizados pueden acceder a los recursos del

sistema o a la red, mediante claves de acceso,
autorizaciones, etc.
Trfico de relleno: consiste en enviar trfico
espurio junto con los datos vlidos para que el
atacante no sepa si se est enviando informacin,
ni

qu

cantidad

de

datos

tiles

se

est

transmitiendo.
Control de encaminamiento: permite enviar
determinada informacin por determinadas zonas
consideradas

clasificadas.

Asimismo

posibilita

solicitar otras rutas, en caso que se detecten

persistentes violaciones de integridad en una ruta
determinada.
Unicidad: consiste en aadir a los datos un
nmero de secuencia, la fecha y hora, un nmero
aleatorio, o alguna combinacin de los anteriores,
que se incluyen en la firma digital o integridad de
datos. De esta forma se evitan amenazas como la
reactuacin o resecuenciacin de mensajes.
Los mecanismos bsicos pueden agruparse de varias
formas para proporcionar los servicios previamente
mencionados. Conviene resaltar que los mecanismos
poseen tres componentes principales:

Luis Surez Zambrano

157

Tecnologas para la Administracin y Generacin de Firmas Digitales

Una

informacin

contraseas,

secreta,

conocidas

como

por

las

claves

entidades

autorizadas.
Un conjunto de algoritmos, para llevar a cabo el
cifrado, descifrado, hash y generacin de nmeros
aleatorios.
Un conjunto de procedimientos, que definen cmo
se usarn los algoritmos, quin enva qu a quin
y cundo.
Los sistemas de seguridad requieren una gestin de
seguridad, que comprende dos campos bien amplios:
Seguridad

en

la

generacin,

localizacin

distribucin de la informacin secreta, de modo

que

slo

pueda

ser

accedida

por

aquellas

entidades autorizadas.
La poltica de los servicios y mecanismos de
seguridad para detectar infracciones de seguridad
y emprender acciones correctivas. [LIB 01]

3.9

Escuchas Electrnicas

Las escuchas electrnicas son una de las formas de

delitos informticos que se utilizan y emplean para el
robo de la informacin, los "delitos electrnicos", son
cualquier conducta criminal que en su realizacin hace
uso de la tecnologa electrnica ya sea como mtodo,
medio o fin.
Luis Surez Zambrano

158

Tecnologas para la Administracin y Generacin de Firmas Digitales

Existen varios delitos que con diversos nombres

realizan diferentes acciones que conducen al fraude
informtico, se pueden citar a:
La "bomba lgica".- es la alteracin de un
programa

con

la

finalidad

de

detener

el

funcionamiento del sistema en el momento

decidido por el autor del hecho, destruir los
datos o los programas de los mismos.
El virus informtico.- programa que pasa de
mano

en

mano

entre

los

usuarios,

producindose el contagio entre los equipos

informticos con la consecuente destruccin de
todos o parte de los sistemas con los que opera
al ingresarse una determinada instruccin o en
un tiempo dado.
Las caractersticas principales de este tipo de delitos
son:
Conductas criminales de cuello blanco, en tanto
que slo un determinado nmero de personas con
ciertos conocimientos (en este caso tcnicos)
pueden llegar a cometerlas.
Son acciones ocupacionales, que se realizan
cuando la persona se halla trabajando.
Son acciones de oportunidad, que aprovechan una
ocasin creada o altamente intensificada en el

Luis Surez Zambrano

159

Tecnologas para la Administracin y Generacin de Firmas Digitales

mundo de funciones y organizaciones del sistema

tecnolgico y econmico.
Provocan serias prdidas econmicas, pues casi
siempre producen "beneficios" de ms de cinco
cifras a aquellos que las realizan.
Ofrecen posibilidades de tiempo y espacio, ya que
en milsimas de segundo y sin una necesaria
presencia fsica pueden llegar a consumarse.
Son muchos los casos y pocas las denuncias, y
todo ello debido a la misma falta de regulacin
por parte del Derecho.
Son muy sofisticados y relativamente frecuentes
en el mbito militar.
Presentan

grandes

dificultades

para

su

comprobacin, por su mismo carcter tcnico.

En

su

mayora

son

imprudenciales

no

los

necesariamente se cometen con intencin.

Ofrecen

facilidades

para

su

comisin

menores de edad.
Tienden a proliferar cada vez ms, por lo que
requieren una urgente regulacin.
Los delitos como instrumento
Falsificacin de documentos va computarizada
(tarjetas de crdito, cheques, etc.)
Variacin de los activos y pasivos en la situacin
contable de las empresas.

Luis Surez Zambrano

160

Tecnologas para la Administracin y Generacin de Firmas Digitales

Planeamiento

simulacin

de

delitos

convencionales (robo, homicidio, fraude, etc.)

Lectura,

sustraccin

copia

de

informacin

confidencial.
Modificacin de datos tanto en la entrada como en
la salida.
Aprovechamiento indebido o violacin de un
cdigo para penetrar a un sistema introduciendo
instrucciones inapropiadas.
Variacin en cuanto al destino de pequeas
cantidades de dinero hacia una cuenta bancaria
apcrifa.
Uso no autorizado de programas de cmputo.
Alteracin en el funcionamiento de los sistemas, a
travs de los virus informticos.
Obtencin de informacin residual impresa en
papel luego de la ejecucin de trabajos.
Acceso a reas informatizadas en forma no
autorizada.
Los delitos como fin u objetivo.
Programacin de instrucciones que producen un
bloqueo total al sistema.
Destruccin de programas por cualquier mtodo.
Dao a la memoria.
Atentado

fsico

contra

la

mquina

sus

accesorios.

Luis Surez Zambrano

161

Tecnologas para la Administracin y Generacin de Firmas Digitales

Sabotaje poltico o terrorismo en que se destruya

o

surja

un

apoderamiento

de

los

centros

neurlgicos computarizados.
Secuestro de soportes magnticos entre los que
figure informacin valiosa con fines de chantaje
(pago de rescate, etc.).
Existen tipos de delito que son cometidos y que se
encuentran ligados directamente a acciones efectuadas
contra los propios sistemas como son:
Acceso no autorizado: Uso ilegitimo de passwords
y la entrada de un sistema informtico sin la
autorizacin del propietario.
Destruccin de datos: Los daos causados en la
red mediante la introduccin de virus, bombas
lgicas, etc.
Infraccin al copyright de bases de datos: Uso no
autorizado de informacin almacenada en una
base de datos.
Interceptacin de e-mail: Lectura de un mensaje
electrnico ajeno.
Estafas

electrnicas:

travs

de

compras

realizadas haciendo uso de la red.

Transferencias

de

fondos:

Engaos

en

la

realizacin de este tipo de transacciones.

Por otro lado, la red Internet permite dar soporte para
la comisin de otro tipo de delitos:

Luis Surez Zambrano

162

Tecnologas para la Administracin y Generacin de Firmas Digitales

Espionaje:

Acceso

informticos
empresas

no

autorizado

gubernamentales
e

interceptacin

sistemas

de

grandes

de

correos

electrnicos.
Terrorismo: Mensajes annimos aprovechados por
grupos terroristas para remitirse consignas y
planes de actuacin a nivel internacional.
Narcotrfico: Transmisin de frmulas para la
fabricacin de estupefacientes, para el blanqueo
de dinero y para la coordinacin de entregas y
recogidas.
Otros

delitos:

Las

mismas

ventajas

que

encuentran en la Internet los narcotraficantes

pueden ser aprovechadas para la planificacin de
otros

delitos

como

el

trfico

de

armas,

proselitismo de sectas, propaganda de grupos

extremistas, y cualquier otro delito que pueda ser
trasladado de la vida real al ciberespacio o al
revs". [WWW 059]

3.10

Crackers y Hackers

Hackers.- Un hacker es un individuo que se dedica a

infiltrarse en sistemas informticos. Su actividad, tan
antigua

como

las

redes

de

ordenadores,

conoce

diversas variantes. Desde aquellos que no tratan de

Luis Surez Zambrano

163

Tecnologas para la Administracin y Generacin de Firmas Digitales

hacer ningn dao, y que consideran estas actuaciones

como un excitante reto a sus inteligencias, hasta
aquellos cuyo nico objetivo es sabotear una red,
llevndose toda la informacin que posea para luego
venderla. Los Hackers se consideran a si mismos una
casta, y su filosofa de la vida es casi una religin.
Delincuentes para unos, Hroes para otros, hoy los
hackers estn considerados por muchos como los
dominantes de la era Tecnolgica. Adems de hackers
hay otros grupos, tales como los crackers, que se
dedican a la copia ilegal de software, y los phreakers,
que

dirigen

sus

esfuerzos

hacia

las

compaas

telefnicas. Cada uno de ellos se especializa en algn

tipo de actividad, curiosamente las actividades de los
crackers y phreakers suelen ser siempre delictivas,
mientras que las de los hackers en algunos casos no lo
son.

Claro que todos ellos justifican sus formas de

pensar y actuar con argumentos de lo ms valederos

para ellos, que tienen como punto comn la lucha
contra el sistema establecido. Peridicamente los
medios de comunicacin nos sorprenden con alguna
nueva hazaa de estos personajes, contribuyendo,
junto con la industria cinematogrfica, al crecimiento y
propagacin de su leyenda.
Un Hacker es un individuo muy ingenioso y bien
informado

muy

conocedor

de

las

tcnicas

Criptogrficas, que se dedica a buscar y explotar fallos

ms o menos sutiles en los sistemas de seguridad.
Luis Surez Zambrano

164

Tecnologas para la Administracin y Generacin de Firmas Digitales

Puesto que cada sistema es nico, los buenos Hackers

suelen elaborar ataques a medida, poniendo a prueba
su

profundo

conocimiento

sobre

las

redes

de

ordenadores. Es prcticamente imposible proteger un

sistema al cien por cien de un ataque de esta
naturaleza. La actuacin de los Hackers es muy
variada, muchos actan solos, otros suelen formar
grupos, en los que cada uno tiene su Alias 44, y que
normalmente slo establecen contacto a travs de la
red, no conocindose entre ellos.
Cmo acta un Hacker
Para infiltrarse en computadores ajenos a travs de la
Red, TCP/IP es el protocolo que se ha impuesto como
norma universal de facto en las comunicaciones.
Puerto
21
23
25
37
43
80
110
117
119
513
514
515

Funcin
FTP
Telnet
SMTP (Mail)
Time
Whois
HTTP(Servidor Web)
POP3 (Mail)
UUCP
NTTP(News)
Login
Shell
Spooler

Tabla 3.1 Algunos puertos TCP/IP.

Protocolo TCP/IP. Demonios y Puertos

Internet basa su funcionamiento en el protocolo TCP/IP,
y aunque existan otros protocolos para redes locales, la
44

Nombre ficticio por el cual es reconocido entre su grupo.

Luis Surez Zambrano

165

Tecnologas para la Administracin y Generacin de Firmas Digitales

mayora de sistemas operativos actuales permiten su

coexistencia, por lo que cualquier mquina conectada a
Internet entiende el protocolo TCP/IP. Un computador
con TCP/IP puede establecer mltiples comunicaciones
simultneamente, a travs de los denominados puertos
bien conocidos. Un puerto se comporta como los
canales de un televisor: a travs de un nico cable
llegan mltiples emisiones, de las cuales podemos
escoger

cul

ver

con

solo

seleccionar

el

canal

correspondiente. Existen puertos dedicados a tareas

concretas. As por ejemplo el puerto 80 se emplea para
las pginas Web, y el 21 para la transferencia de
ficheros. En la tabla 3.1 podemos ver algunos de los
ms usuales, aunque existen muchos ms. Nada nos
impedir situar nuestro demonio de FTP en el puerto
300, por ejemplo, aunque eso obligar a quienes
quisieran

establecer

una

comunicacin

FTP

con

nosotros a emplear dicho puerto. De hecho, ciertos

servidores de acceso restringido emplean puertos no
normalizados para evitar visitantes molestos.
Un demonio45 es un programa que escucha a travs de
un puerto a la espera de establecer comunicaciones.
As, por ejemplo, un servidor de pginas Web tiene un
demonio asociado al puerto 80, esperando solicitudes
de conexin. Cuando nosotros cargamos una pgina en
el navegador estamos enviando una solicitud al puerto
80
45

del

servidor,

que

responde

con

la

pgina

Programa que cuando se ejecuta, espera que algn suceso lo active.

Luis Surez Zambrano

166

Tecnologas para la Administracin y Generacin de Firmas Digitales

correspondiente. Si el servidor Web no estuviera

ejecutando el demonio o ste estuviera escuchando en
otro puerto, no podramos consultar la pgina que
buscamos. Una vez que se establece la comunicacin
en un puerto, los ordenadores hablan entre ellos,
usando diferentes idiomas, como por ejemplo HTTP
para las pginas Web, FTP para las transferencias de
ficheros, etc. En general, el Hacker se dedica a tratar
de averiguar en qu puertos est escuchando el
ordenador objetivo, y luego a localizar y explotar
posibles fallos en los demonios correspondientes, para
tomar el control del sistema. Muchas veces nuestro
ordenador puede que est escuchando algn puerto sin
que nosotros lo sepamos. Existe un troyano que corre
sobre los sistemas Windows, denominado Back Orifice,
que escucha un puerto a la espera de que el ordenador
atacante tome el control de nuestra mquina.
Por desgracia, existen programas cuya configuracin
por defecto no es lo suficientemente conservadora, y
que habilitan ciertas caractersticas a no ser que se les
diga lo contrario, abriendo inevitablemente agujeros de
seguridad. [LIB 02]
Suplantando Usuarios
Lo ideal para entrar en un sistema es hacerlo como
administrador,

lo

cual

proporciona

suficientes

privilegios como para alterar cualquier cosa sin ningn

problema. A veces ocurre que el ordenador vctima no
presenta vulnerabilidades en los puertos que escucha,
Luis Surez Zambrano

167

Tecnologas para la Administracin y Generacin de Firmas Digitales

por lo que debemos buscar otros medios para entrar en

el. La mayora de los sistemas operativos permiten la
existencia de usuarios genricos, llamados invitados,
que no necesitan contrasea para entrar en el sistema
y que tienen unos privilegios de acceso bastante
limitados. En muchos casos esos privilegios pueden
llegar a ser suficientes como para perpetrar un ataque
con garantas de xito, debido a que un invitado puede
acceder al fichero que almacena las contraseas. Una
posibilidad bastante inquietante es la de, una vez que
se han ganado suficientes privilegios, sustituir el
fichero de contraseas por otro elaborado por el
hacker, lo cual dejara sin acceso a todos los usuarios
legtimos del sistema, (incluidos los administradores)
En tal caso habra que desconectar el sistema de la red
y restaurarlo manualmente, con el consiguiente coste
tanto de tiempo como de dinero.
Borrando las Huellas
Todos los sistemas operativos serios incorporan algn
sistema de registro de los eventos del sistema que
permite saber con detalle lo que en la computadora ha
ido ocurriendo. Un Hacker debe eliminar todas las
entradas de dicho registro relativas a su paso por el
sistema, si no quiere verse en problemas a los pocos
das. Adems de tratar de borrar todas sus huellas, un
hacker suele organizar sus ataques de forma que si
queda algn rastro de su paso por el sistema elegido,
este sea realmente confuso. Para ello nada mejor que
Luis Surez Zambrano

168

Tecnologas para la Administracin y Generacin de Firmas Digitales

emplear

otros

plataforma

ordenadores

para

atacar

ms
al

modestos

autntico

como

objetivo.

Normalmente los Hackers buscan ordenadores poco

protegidos,

entran

en

ellos,

controlndolos

remotamente intentan encontrar las debilidades del

objetivo real. Esta estrategia hara que en los registros
del sistema atacado aparezcan datos sospechosos
acerca del ordenador intermedio, pero pocas veces del
autntico

enemigo. Las autoridades tendran que

ponerse en contacto con el ordenador empleado como

plataforma

para

buscar

el

indicio del verdadero

atacante.
Cmo Protegerse del Ataque de los Hackers
Almacene en su ordenador slo la Informacin
Necesaria. no almacene informacin sensible en
su ordenador si esta no necesita ser consultada
desde el exterior.
Cuando instale cualquier software que incluya
algn demonio, asegrese de que se trata de la
versin ms reciente y actualizada, que debera
ser la ms segura.
Desconfe de las versiones beta, a no ser que sepa
muy bien lo que hace.
Configure

sus

servidores

de

la

forma

ms

conservadora posible.
No

habilite

asegurarse

Luis Surez Zambrano

usuarios
de

que

genricos
no

poseen

sin

antes

excesivos

169

Tecnologas para la Administracin y Generacin de Firmas Digitales

privilegios. Si tiene alguna duda sobre alguna

funcionalidad

del

servidor

en

cuestin,

deshabiltela.

Luis Surez Zambrano

170