ETAPA 2 SOLUCIÓN DE PROBLEMAS PARA EL MANEJO DE INTEGRIDAD

Y CONFIDENCIALIDAD DE LA INFORMACIÓN

NOMBRE DEL (OS) ESTUDIANTE (ES)

BERNABÉ SÁNCHEZ LENIS

JEFFERSON ARAGÓN AGUIRRE
ANA CRISTINA CALDERÓN
FABIÁN ANDRÉS SANTIAGO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
2020
ETAPA 2 SOLUCIÓN DE PROBLEMAS PARA EL MANEJO DE INTEGRIDAD
Y CONFIDENCIALIDAD DE LA INFORMACIÓN

NOMBRE DEL (OS) ESTUDIANTE (ES)

BERNABÉ SÁNCHEZ LENIS

JEFFERSON ARAGÓN AGUIRRE
ANA CRISTINA CALDERÓN
FABIÁN ANDRÉS SANTIAGO

EDGAR MAURICIO LOPEZ

Director de Curso

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
2020
 CONTENIDO

pág.

INTRODUCCIÓN.....................................................................................................4
OBJETIVOS...............................................................................................................5
1.1 OBJETIVOS GENERAL........................................................................................5
1.2 OBJETIVOS ESPECÍFICOS...............................................................................5
DESARROLLO DEL TRABAJO.............................................................................6
2 Plantear estrategia de seguridad para lograr la protección de la información de
BANGOV esta estrategia debe contener:.........................................................................6
3 Realizar arquitectura que refleje los componentes técnicos que se contemplan en la
estrategia y que se muestre como se transporta la información de punta a punta........11
CONCLUSIONES....................................................................................................13
BIBLIOGRAFÍA......................................................................................................14
 TABLA DE ILUSTRACIONES

Pág.

Ilustración 1. Diagrama transmisión segura...........................................................10

Ilustración 2. Proceso de encriptación....................................................................11
Ilustración 3. Arquitectura de la transmisión segura..............................................12
 LISTA DE CUADROS

Pág.

Cuadro 1. Procedimiento de transmisión segura...................................................11

 INTRODUCCIÓN

La información en una empresa es muy valiosa, por lo que protegerla,

es uno los grandes retos que deben enfrentar los administradores de
servidores y plataformas web, quienes cada día, se esfuerzan por la
seguridad de la misma; de ahí la importancia de aplicar métodos de
cifrado que mejor se adapten a las necesidades de seguridad de cada
organización.

Teniendo en cuenta lo anterior, en este documento, se analizará el

mejor método de cifrado para lograr el aseguramiento de la información
a partir de conceptos y modelos criptográficos previamente estudiados y
así garantizar la protección de la información del problema propuesto
para la organización BANGOV.

4
 OBJETIVOS

1.1 OBJETIVOS GENERAL

Proponer una estrategia de aseguramiento de la información a partir de

los conceptos y modelos criptográficos para la situación problema que se
plantea de la organización BANGOV.

1.2 OBJETIVOS ESPECÍFICOS

 Nombrar el método y el algoritmo o algoritmos criptográficos que

se van a utilizar.

 Justificar el método y algoritmo criptográfico que se van a utilizar.

 Analizar Ataques que han sufrido los algoritmos criptográficos y

como pueden ser mitigados.

 Desarrollar políticas de seguridad que apoyen al método

criptográfico elegido con el fin de garantizar la efectividad de la
protección.

 Desarrollar un procedimiento de transmisión segura, se deben

describir componentes Técnicos y roles de los involucrados en el
proceso.

 Realizar un diagrama que ilustre el paso por paso del

procedimiento de transmisión segura.

5
 DESARROLLO DEL TRABAJO

2 PLANTEAR ESTRATEGIA DE SEGURIDAD PARA LOGRAR LA

PROTECCIÓN DE LA INFORMACIÓN DE BANGOV ESTA ESTRATEGIA
DEBE CONTENER:

a. Nombrar el método y el algoritmo o algoritmos criptográficos que se

van a utilizar.

 El método a utilizar es Esteganografía

 Algoritmo simétrico AES256 para enviar y recibir la información.

b. Justificación del método y algoritmo criptográfico que se van a

utilizar.

 El método de Esteganografía, es uno de los más seguros, y bien

usado, resulta prácticamente imposible de descubrir. Este método,
nos permite esconder información dentro de otra información por
lo cual la información digital de alta relevancia para el
funcionamiento de la organización BANGOV puede ser oculta
dentro de un texto, audio, video o imagen que no muestre interés
o importancia informativa.

 El algoritmo de cifrado simétrico AES 256, es uno de los más

utilizados por empresas y gobiernos, cifra la información por
bloques y además actualmente no presenta ruptura ni colisión por
ataque de fuerza bruta; los ataques contra este algoritmo se
centran en la reducción del número de rondas del cifrado, pero
son poco comunes. Este algoritmo es uno de los más seguros
dado que trabaja con una sola clave privada y esta posee un
tamaño que la hace prácticamente irrompible. El cifrado de 256
bits sigue inexpugnable, aunque se han dado ataques contra AES-
128 bits, para romper una clave de 256 bits se requiere de tal
potencia que con el hardware con el que actualmente contamos se
tardaría el doble de la edad total del universo.
 

6
c. Ataques que han sufrido los algoritmos criptográficos y como pueden
ser mitigados.

 Ataque a partir del cifrado: En este ataque se desconoce el

contenido del mensaje y se trabaja únicamente sobre el texto
cifrado.

 Ataque a partir del texto en claro: El ejecutor de este ataque

conoce o puede conocer el texto en claro correspondiente o
algunas partes del texto cifrado. El objetivo de este ataque es
descifrar el resto de los bloques del texto usando esta
información, y se suele hacer averiguando la clave usada para
cifrar los datos.

 Ataque a partir del texto en claro elegido: En este ataque se

puede elegir un texto en claro y obtener su correspondiente
cifrado.

 Ataque a partir de la clave: En este ataque se intenta determinar

la clave actual a partir de claves que conoce el atacante y que ya
han sido utilizadas previamente en otros cifrados.

 Ataque de canal lateral: Consiste en intentar descifrar la

información, pero, no vulnerando el método de cifrado o el propio
algoritmo, sino, aprovechando debilidades colaterales, como los
momentos en que se sincroniza la información, el consumo
energético o las fugas electromagnéticas.

 Ataque Crime: Es un exploit de seguridad empleado contra las

cookies web; se usa para recuperar el contenido de cookies de
autenticación, secuestrando una sesión web autenticada.

 Ataque mediante intromisión: La técnica de este ataque es

permanecer en el medio de la línea de comunicación mientras
ambas partes piensan que están manteniendo una comunicación
segura cuando en realidad se está interceptando todo.

Estos ataques pueden disminuirse al evitar abrir correos de direcciones

desconocidas, no descargar ni ejecutar archivos sospechosos, usar los
algoritmos más seguros y usar una clave larga para que sea más
segura.

7
Estos son los ataques más comunes realizados al algoritmo criptográfico
AES, específicamente:

 Impossible Differentials Attack: Es un ataque a N número de

rondas, dependiendo N de la cantidad de bits del AES, respecto al
AES-256 en específico, este ataque no suele ser muy efectivo.

 Square Attack: Este ataque puede romper a Rijndael de 6 a 7

rondas, que puede ser mejorado para atacar a 9 rondas de AES-
2561.

 Collision Attack: Colisión de hash que afecta AES en todas sus

versiones con 7 rondas.

d. Desarrollo de políticas de seguridad que apoyen al método

criptográfico elegido con el fin de garantizar la efectividad de la
protección (Mínimo 5 y máximo 7 de no más de 100 palabras cada una
– mínimo dos políticas por estudiante).

Políticas de uso de la información:

 La información que se maneja en los servidores de la empresa

BANGOV, debe estar siempre protegida por el método de cifrado
elegido, tanto en tránsito, como cuando este almacenada para así
asegurar la confidencialidad y seguridad de la misma.

 La información almacenada en medios informáticos cómo equipos

alquilados, discos externos, USB, utilizados por la empresa,
posterior a su utilización o al momento de ya no hacer uso de
estos recursos informáticos, debe de eliminarse de manera
segura.

 Los documentos físicos confidenciales también deben destruirse de

manera segura a través de una maquina destruye papel.

Políticas de uso de las contraseñas:

1
SEQUEIRA, Luis. AES: otros ataques [blog]. TelecomSharing. 24 abril de 2014. [Consultado: 14
de octubre de 2020]. Disponible en:
https://www.telecomsharing.com/es/laboratorio/resultados/item/82-aes-otros-ataques.

8
  Se deben establecer contraseñas seguras, es importante que las
contraseñas no sean nombres propios o palabras predecibles; al
crear las contraseñas estas deben ser robustas y contener
elementos como una mayúscula, minúsculas, números y
caracteres especiales, deben tener una longitud mínima de 8
caracteres.

 Cada usuario debe poder contar con una identificación única y

deben cambiar la contraseña por lo menos una vez cada tres
meses.

 No se debe generar una contraseña igual o similar a las

anteriormente utilizadas.

 Ninguna contraseña podrá almacenarse de manera legible ni en

ninguna ubicación donde pueda descubrirse fácilmente.

Políticas de uso de la información proveniente de terceros:

 Toda la información que provenga de terceros, y que se encuentre

cifrada debe ser analizada por un software antivirus que cuente
con una consola de administración donde se pueda visualizar el
reporte de amenazas o vulnerabilidades de los archivos en caso de
existir alguno de estos.

 De igual manera la empresa como manera preventiva debe contar

con un firewall que permite detectar virus y bloquear correo no
deseado.

 Todos los sistemas con conexión a internet deben contar con un

software que permita identificar posibles vulnerabilidades y
ejecutarlo mínimo una vez al año.

Política de cifrado de datos:

 El cifrado permite que se proteja la confidencialidad de la

información, permite prevenir robo, manipulación o fuga de esta y
también se protege de personas malintencionadas.

 La empresa solo recibirá mensajes cifrados por el algoritmo

simétrico AES 256, dada la alta seguridad que este provee.

9
  Es importante clasificar la información sensible, se debe verificar
que las transferencias de la información sean seguras, el cifrado
debe realizarse antes de transferir la información, datos
confidenciales como las nóminas, la seguridad social, reportes,
Backups con información de empleados o clientes, entre otros
datos sensibles deberán ser cifrados.

Política de almacenamiento y protección de claves de cifrado:

 La aplicación de almacenamiento de claves que utilizara la

empresa BANGOV, es Java Key Store y solo el personal autorizado
y capacitado podrá hacer uso de ella, esta autorización será
otorgada por el gerente de TI avalado por la gerencia general.

 Las claves de encriptación deberán protegerse con permisos del

sistema de ficheros, deben ser de solo lectura y la aplicación que
accede a ellas es la única que debe tener estos permisos, también
es importante que se configuren como no exportables, al
momento de la petición de firma del certificado.

Políticas de Backup:

 La empresa BANGOV debe realizar un Backup de la información

sensible con una frecuencia de quince (15) días hábiles y de igual
manera realizar pruebas periódicas para validar el buen estado de
la información guardada.

 Los registros de las aplicaciones que contengan eventos de

seguridad se tienen que guardar por un periodo mínimo de cuatro
meses y es importante que estén asegurados de tal manera que
no se puedan modificar ni visualizar por personas no autorizadas,
esto con el fin de utilizarlos para corrección de errores, auditorias,
investigación de omisión de seguridad, investigación sobre
incidentes de error.

Políticas de seguridad criptográfica de la empresa respecto a las

claves simétricas:

 Debe separarse el uso de las claves (autenticación, cifrado de

datos, envoltura de claves), para evitar que se debilite la
seguridad de alguno de estos procesos.

10
  El servidor debe poseer una implementación escalada para que al
momento de que se cree una nueva clave simétrica todos los
valores cifrados se cifren nuevamente con este valor.

 Las claves deben volver a generarse cada 3 años por seguridad

(esto limitara el tiempo para que intenten amenazar el servidor) o
en el caso de que se evidencie una amenaza contra este.

e. Desarrollo del procedimiento de transmisión segura, se deben

describir componentes Técnicos y roles de los involucrados en el
proceso.

Cuadro 1. Procedimiento de transmisión segura.

PROCEDIMIENTO DE TRANSMISIÓN SEGURA

COMPONENTES TÉCNICOS ROLES DE LOS INVOLUCRADOS

Creación de carpeta compartida

en red si el emisor o el receptor
es nuevo, es fundamental dar Administradores del sistema
permisos de acceso y permisos
NTFS.
Instalación y configuración de
OpenVPN si el emisor o el
receptor es nuevo. Administradores del sistema

Apertura de OpenVPN. Administradores del sistema

Identificación de usuario emisor. Usuario
Envío de mensaje seguro a
Usuario
través del protocolo TCP.
Identificación de usuario
receptor. Usuario

Recepción de mensaje seguro. Usuario

Cierre de OpenVPN. Administradores del sistema
Fuente: elaboración propia.

11
f. Diagrama paso por paso del procedimiento de transmisión segura
(Grafico).

Ilustración 1. Diagrama transmisión segura.

12
Fuente: elaboración propia.

3 REALIZAR ARQUITECTURA QUE REFLEJE LOS COMPONENTES

TÉCNICOS QUE SE CONTEMPLAN EN LA ESTRATEGIA Y QUE SE
MUESTRE COMO SE TRANSPORTA LA INFORMACIÓN DE PUNTA A
PUNTA.

a. Se muestra el proceso de encriptación del informe de BANGOV

Cifrado por el algoritmo simétrico AES 256.

Ilustración 2. Proceso de encriptación.

Fuente: elaboración propia.

13
c. Arquitectura de la transmisión segura de la información desde
BANGOV (Bogotá) a BANGOV (Francia).

Ilustración 3. Arquitectura de la transmisión segura.

Fuente: elaboración propia.

14
15
 CONCLUSIONES

 La utilización de un cifrado en las organizaciones, es muy

importante para mantener sus activos seguros, de igual forma,
para garantizar la confidencialidad y seguridad de la información.

 Para brindar una solución de problemas para el manejo de la

integridad y confidencialidad de la información, se debe justificar
el método y algoritmo criptográfico que se va a utilizar mediante
un análisis sobre los ataques que estos han sufrido y cómo pueden
ser mitigados para el apoyo a nuestro método criptográfico a
utilizar.

 Establecer políticas de seguridad claras en las empresas,

disminuye la pérdida o fuga de información, por lo que es
responsabilidad de todos los integrantes de la organización
ponerlas en práctica y vigilar su cumplimiento.

 Los métodos criptográficos utilizan complejas funciones

matemáticas para cifrar la información, todo en pro de poder
gestionar las claves de cifrado y descifrado, y de aumentar la
seguridad de la información.

 La principal importancia de la criptografía radica en garantizar las

propiedades de la información, como son: integridad,
confidencialidad y disponibilidad.

 Las técnicas criptográficas de clave simétrica permiten una

comunicación rápida y fluida debido a su bajo costo
computacional, no obstante, su nivel de seguridad dependerá de
la probabilidad de obtener la clave de cifrado.

 Para establecer una estrategia adecuada es conveniente diseñar

una política de protección en los distintos niveles que abarque
física, lógica y humana la interacción que existe entre estos
factores.

16
 Una estrategia puede ser proactiva (proteger y proceder) o de
previsión de ataques, que contenga un conjunto de pasos que
ayude a reducir al mínimo la cantidad de puntos vulnerables
existentes en las directivas de ciberseguridad y a desarrollar
planes de contingencia.

17
 BIBLIOGRAFÍA

CORRALES SÁNCHEZ, Héctor; CILLERUELO RODRÍGUEZ, Carlos y Cuevas

Notario, Alejandro. Criptografía y Métodos de Cifrado [En línea]. España. Utiliza
Matemáticas. 2014. 19 p. [Consultado: 5 de octubre de 2020]. Disponible en:
http://www3.uah.es/libretics/concurso2014/trabajos2014.html

HARDZONE. Rendimiento: Así funciona el sistema de cifrado AES-256 bits, ¿es

realmente seguro? [Sitio web]. España: Grupo ADSLzone. 25 de junio de 2020.
[Consultado: 9 de octubre de 2020]. Disponible en:
https://hardzone.es/tutoriales/rendimiento/cifrado-aes-256-bits-como-funciona/.

KASPERSKY. Kaspersky daily: ¿Qué Es Un Hash Y Cómo Funciona? [Sitio web].

Kaspersky lab. 10 de abril de 2014. [Consultado: 7 de octubre de 2020]. Disponible
en: https://latam.kaspersky.com/blog/que-es-un-hash-y-como-funciona/2806/.

SEQUEIRA, Luis. AES: otros ataques [blog]. TelecomSharing. 24 abril de 2014.

[Consultado: 14 de octubre de 2020]. Disponible en:
https://www.telecomsharing.com/es/laboratorio/resultados/item/82-aes-otros-
ataques.

UNIVERSIDAD JOHN F. KENNEDY. Esteganografía [En línea]. Buenos Aires.

Cybsec. 1998. 22 p. [Consultado: 3 de octubre de 2020]. Disponible en:
http://www.cybsec.com/upload/Stegano.pdf.

UNIVERSITAT DE VALÈNCIA. Ataques más importantes sobre algoritmos

criptográficos [Sitio web]. España: Universitat de València. [Consultado: 9 de
octubre de 2020]. Disponible en:
https://www.uv.es/~sto/cursos/seguridad.java/html/sjava-9.html.

WORKSHOP DE INVESTIGADORES EN CIENCIAS DE LA COMPUTACIÓN [En

línea]. En: (19: 1, abril 2017: Buenos Aires). Esteganografía Simulada para
Análisis de Efectos sobre Portadores Imagen. Buenos Aires: Red de
Universidades con Carreras en Informática, 2017. 1052 p. [Consultado: 12 de
octubre de 2020]. Disponible en: http://sedici.unlp.edu.ar/handle/10915/62687.

18