Seguridad informatica Jose Fabidn Roa Buendia Cee cnc)Seguridad informatica José Fabién Roa Buendia Revision Técnica Francisco Javier Sanz [MADRID - BARCELONA BOGOTA BUENOS AIRES -CARACAS -GUATEMALA [AN FRANCIGCO - SIDNEY -SNGAPUR ST.LOUIS. TORO TORONTOSeguridad informstica + Ciclo Formativo Grado Medio [No est permitida la reproduceidn total o parcial de este Tibro, ni su tratamiento informético, ni la transmisin de ninguna forma o por cualquier medio, ya sea lectrénico, mecinico, por fotocopia, por registro u otros métodos, sin el permiso previo y por eserito de Ios titulares del Copycight, ‘Si necesita fotocopiar o escanear algtin fragmento de esta obra, diefjase a CEDRO (Centro Espafiol de Derechos Reprogrificos, www.conlicencia.org). Nota: Este libro se aticne al articulo 32 del derecho de cita de la Ley de Propiedad Intelectual de 1996 (R.D. Leg. 1/1996, de 12 de abril) Derechos reservados © 2013, respecto a la primera edicién en espanol, por ‘MeGraw-Hill/Interamericana de Espaiia, S.L. Bait 28023 Aravaca (Madrid) ISBN: 978-84-481-8569.5 © José Fabidn Roa Buendia Obra ofiginal: Seguridad informética © 2013, respecio ala segunda edicién en espaitol, por McGraw-Hill Interamericana de Expaita, S.L. ISBN edicién original: 978-84-481-8396-7 Autores del material complementario: José Fabia Roa Buendia, Gopal Bijani Chiquero Paloma Sanchez, Maria Dolores Cris Diseiio de cublerta: tload.es Disefio interior: direate.es Fotografias: 123RF, iStockphoto lustraciones: M? Carmen Fuente Canalda ‘Composicisn Diseno y Control Gratico, S. L. U.Presentacion Cuando alguien me progunta qué lesiicras eri SMR [SerfemeeiMoerot fies y Redes), yo fs planteo esta anclogla: @ muchos nos gustan los Conduction 5 apcrece olga aati eee Pinve sun nection Rt en Shit pons heads ordenardoresy redes. Este libro cubre ol médvlo de Seguridad Informetica denro de currculo Ciclo fermatvo de Formacicn Profesional Es un tema imp ie al mundo es digitdized o iodo eae eee eee namental. La era de la informacién, con Internet como principal exponent Imejorado el nivel de vida y la convene pode, luego hay que protegeria Todos ls servicios avanzados que di temas informticos que iiizan orden concteos,conigurados adecuadamente mmediontes redes de comunicaciones, Coal to, Falla, La seguridad eee recuperr el srvicio fo antes posible, Al vsvario final no le importa st ha sido tn claque de un equipo de hackers conirciegl Toe petencia oun simple ‘empresa ha dejado de prestarle. Pera tenemos que asumir que la seguridad total e rtetafisica o lagica, el olocante buscaré una forma de romperla 0 rod ha sido hasta ahora y seguiré ocurriendo. Debemos tomar tedas kas aque esién a nuestro aleance y enlren en nuestro presupuesto, dependeré del interés que oltos tengan por acceder a nuestros da No se protege igual la caja de un banco que la hucha de un no. Quiero agradecer la total colaboracién material y humana por parte d legio Valle de! Miro, tanto de mis compaiteros informaticas como, sobre todo, de la jefatura de esiudios, lo direccién y la presidencia del centro. Nos que- dan muchos afi juntos, y los vamos a distrutar. Muchas gracias también la editorial MeGrawHill, a mis dos editoras, Ariadna ¥ loly, y@ mi revisor, Francisco Javier, por toda la paciencia que hon derrocher do conmigo. Pero este libro va dedicado a los que cada dia me dan todo su amor y cari: mi mujer, Tote; mis hos, Daniel y Enrique; mis podres, Fabidn y Amparo, y todos los miembros de mi familia. Volviendo a la enalogia del coche, el piloto y el mecéinico, ienen algo en co- min, ademés del vehicuo: les gusta su abajo. Y encima les pagan por hacerlo. Si vas a trabajar ocho horas de lunes a viernes, durante muchos afos, intenta aque tea haciendo algo que le guste de verdad, ¥ férmate para conseguido. El autorIndice Conceptos sobre seguridad informética ] [heer pote 2. Qué proteger? 3. Definiciones 4. Tipos de alaques 5. Buenas précicos 6. Legislacién Sintesis Test de repaso ‘Comprueba tu aprendizaje Criptogratia 2 | hatoraut ctor 2. Criptografia 3. Criplografa simétrica y asimétrica 4. Cifary frmar 5.PKI NI Sinesis Test de repaso ‘Comprusba tu aprondizaje Seguridad pasiva: equipos | Tuba det cro 2. Centro de respaldo. 3, SAI/UPS wn Sintesis Test de repaso Comprueba tu oprendizaje Seguridad pesiva: almacenamiento {| !Exteait de alnacenonene 2. Backup de datos 3. Imagen del sistema Sintess Test de repaso Comprueba tu aprendizaje 28 29 30 40 48 58 59 02 67 68 72 73 76Seguridad active: sistema operative y aplicaciones 5 1. Carrera de obstéculo.... 2. Avtenticacién en el sistema operative 3. Cuotas 4, Actualizaciones y parches 5, Antivirus 6. Monitorizacién 7. Aplicaciones web 8. Cloud computing Sintesis Test de repaso Comprueba tu aprendizaje Seguridad activa: acceso a redes 6 1. Redes cableadas 2. Redes inalimbricas 3. VPN 4, Servicios de red. Nmap y nelstat... Sintesis Test de repaso Comprucba tu aprendizaie Seguridad activa: control de redes 7 1. Espior nuestra red. 2. Firewall... 3. Proxy 4. Spam Sintesis Test de repaso Comprucba tu aprendizaje y contramedidas 1. Ataques TCP/IP. MIT. 2. Ataques wif. Alrcrackng.. 3. Ataques web, WebGoat. 4, Ataques proxy. Ulrasurf Sintesis Test de repaso Comprucbs ty aprendizaje indice 12 121 129 131 132 133 138 139 ul 142 170 183 194 200 204 206 208 214 216 219 222 223 224a Cémo se utiliza este libro @ Presentacién de la unidad ‘Aqui encontrarés los eiterios de evaluacién de la unidad ‘Ademas, te avanzamos los contenidos que se van @ desarrollar. @ Desarrollo de los contenidos ~\ e ‘CASOS PRACTICOS ACTIVIDADES Aplican los conocimientos aprendides a problemas Permiten trabojar los contenidos « medida que se van sitvaciones reales del entorno profesional ‘explicando, y aseguran un aprendizaje progresivo, Una exposicién clara y concisa de la teoria, acompe- fiada de recuadros que ayudan a la comprensién de los aspectos més importantes: OD sesicrqve.2 Q vorsitate D inreree ® srs ew Sintesis:esquemaresumen de los con tenidos estudiados en la unidad. Tost aya deta cual nna de conocimientos Comprueba tv aprendizaje: activi des Hales agra por cre 9s de evaluc jalUnidad Conceptos sobre seguridad informatica En esta unidad aprenderemos a: '* Valorar la importancia de mantener la informacién segura, + Conocer las diferencias entre seguridad fisica y légica * Contrastar la incidencia de las tSenicas de ingenieria social en los fraudes informéticos y robos de informacién. + Conocer la legislacién sobre proteccién de datos de cardcter personal. + Conocer la legislacién actual sobre los servicios de la sociedad de la informacion y comercio lecténico, + Contrastar los normas sobre gen de seuidad la informacion, Y estudiaremos: * La aplicacisn de medidas de seguridad tor modo pa lo privacidad * Los métodos para asegurar la privaci de lo informacin transmitida # Los fraudes informatics y robos de informacién. * Lo legislacién sobre proteccién de datos. * La legislacién sobre los servicios dee sociedad de a informocion el correo electronic.1 conepos sb seid norétia @.. En ol Centro de Ensesanza On Tine de ast libro http://www. rmhe.es/finformatica) encontra rds todos los documenios mencio- ‘rados an los coadros CEO. Centro de Estuckonte © voo00 En agotto de 2012 algunos Futbor jamoros sufiaron un ata lists Centro de Informacion = quo on sus cventar de Twit: Sin hacker podia incl mon sojes falsos, que aparecian en sus eventas, pero no los habjan czerito ellos: Ihip://g00.gV/1G160 £18 de julio de 2008 hubo una coordinada de la ma- yoria de los fabricanios de soft Ware y hardware para resolver cactuac une vlnerabilidad descubier ta en el protocolo DNS, el res ponsable de traducir nombres © diracciones IP. Toda la red In tornot estaba on peligro ipl /g00.e/SEryq Adividades 1. Encuentra los defecios de seguridad del ejemplo Eel poritilconta {Cémo los resolverias? . ) @ 1. Por qué proteger? Una experiencia personal: una persona me trae su portdtil porque dice que va lento. Le extraiia que haya entrado algiin troyano porque le puso un antivirus. Recojo el ordenador y le pregunto por la contrasefia del administrador. Dice que no fie- ne ningin usuario que se llame asi, solo el usvario con sv nombre. ¥ no lene contrasefo, entra directamente ol pinchar sobre el icono. —=gNo temes que alguien pueda usar tu ordenador sin ty permiso? —aPor qué? Mi port solo lo uso yo. —Poro silo conectas @ Internet. zNo sabes que pueden entrar por ahi? —Imposible: si que tengo contrasefia en la wifi de casa No insist més y cojo el ordenador. En efecto, lonia un antivvus, pre estaba cadueado. Lo quit, insialo otro y encuentra un troyano. El antivirus lo quita y devuelvo el ordenador 4.80 duefo. le volveré a ver pronto, me temo. Ajo ronan mayra de be uote de randy stan, mie. Osbaron saber que sus méquinas son muy pederosas, pero también muy vulnerables. Es impor. tante reconocerlo, dado que nuestra vida es digital: ¢ Hablamos por teléfonos méviles. ‘* Enviamos mensajes con aplicaciones IP, como e-mail, WhatsApp, etc. + Hacemos compras por Internet. De todo tipo: libros, viojes, comida + Extudiamos por Internet, desde una simple bisqueda de informacién en la Wikipedia hasta clases en directo en un campus virtual * Entromos en contacto con determinadas empresas y organizaciones « través de su pagina web para concer las novedades de sw climo lanzamiento, pedir ayuda con un problema, etc. * Las empresas realzan entre si conttatos elechénicos sin necestor una firme en vn papel. No hay marcha ats. La era de la informacién es el presente y el fulro de nvesta civi- lizacién. Por exo hay que estar preparados para evita estos sitvaciones: * Nuestras conversaciones son personales: nadie més deberia poder escuchatlas. ‘+ Nuestros mensajes son privados: nadie deberia tener acceso a ellos * Una compra solo interesa al vendedor y al comprador. ¥ debe cxegurarse quo el vende- dor proporcionart los productos elagidos y el comprader pagaré el precio acordado, © La informacién poblica en Internet debe estar al alcance de todos. * Las empresas deben cuidar su imagen: no pueden consentir un ctaque a su pagina web que modifique el contenido, engariando a sus clientes y usuarios * Los contrtos ene empresas son privados en muchos casos, y en todos los casos les com- prometen o levarlos a cabo. Nadie externo debe poder allerarls, ni siquiera conoceros Lo seguridad informética intenta proteger el elmacenamiento, procesamiento y transi sién de informacién digital. En los ejemplos anteriores: * Las conversaciones por telefono méwil van cifradas: aunque olro mévil pueda recibir la misma sefal, no puede entender qué estan fransmifiendo. * Los mensajes se almacenan en el servidor de correo y, opcionalmente, en el cliente de correo que ejecuta en mi ordenador. Debemos proteger esos equipos, asi como la co- municacién entre ambos (como veremos en la Unidad 6). Por ejemplo, podemos eirer el mensaje y enviatlo al servidor por una conexién cifrada, * La navegacién por la web del vendedor puede ser una conexin no cifrad, pero cuando se utiliza el carrito debemos pasar a servidor seguro. Por otra parte, la web del vende: dor debe estar disponible a todas horas: hay que protegeria frente a caidas de tensién, cortes de red, accidentes 0 sabotajes de sus instalaciones [inundaciones, incendios, etc) * Los servidores de informacin de una red mundial deben estar disponibles a todas horas.Cones ste sega inbomsico | * Las empresos deben restrngir el acceso a las partes protegides de su web, como la codministracién y la edicién de contenides (Unidad 5}. * Los contratos deben llevar la firma digital de las empresas interesades (Unidad 2} y deben almacenarse en discos cifrados con alnacenamiento redundante (Unidad 4), cuyo copia de seguridad iré tombin cifrada (Unidad 4), y se dejaré en un edifcio erento, 2 ser posible on ora cluded [Unidad 3} ‘Apesar de toda nuesta preacupacién y todas las medides que tomemos, la seguridad com- pleta es imposible. Debemos asumir que hemos desplegado la maxima seguridad posible Con el presupuesto cxignado y la formacién actucl de nuestos téenicos y usuarios: * Con més dinero podriamos replica los servidores las conexiones, el suministo eléc trio 0 todo a la vez (Unidad 3). * Con més formacién en los Kcnicos podriamos desplegor sistemas avanzados de protec: cin, como los NIPS [Network Intusion Prevention System), que veremos en la Unidad 7. * Con mds formacisn en los usuerias podriamos estar tranquiles porque no compart rian su contrasefia con otto usuarios, no enfarian en paginas potencialmente peligro sas, vende legaran a casa, el portil © el mévil de empresa no lo usar evalquier ‘tro componente de su familia Por otra parte, podemos estar seguros de que en nuestra casa 0 en nuestra empresa estamos aplicando todas las medidas; pero ne sabemos qué hacen las otras personas con las que nos comunicames. En el émbio personal, posiblemente enviamos imagenes @ alguien que no sabe que fiene un lroyano en su ordenador, y que ese Woyano esté especializado en difundit en Internet cualquier imagen que encventra En el fondo, todo es informacién: sean los excasos 140 caracteres de un tweet, sean ficheros de varios megabytes, estén en nuestro equipo y alguien puede intentar obenes- los, La clave es la motivactn: quié est interesado en nuestra informaciSn. Es poco pro- bable que algin superhacker intento entrar en nuestro ordenador portal a por nuestras fotos dascargadas de la cémara 6 nuestros cpuntes de clase; seguramente no le costaria mucho, pero el esfuerzo no le merece la pena. En cambio, las empresas sf con mucho més alractivas para estas actividades delictvas. Hasta tal punto que existen las auditorias de seguridad: contratamos a una empresa externa especiaizada en seguridad informética para que revise nuestros equipos y restos procedimientos. Un ejemplo de estas empresas son los tiger teams (equipo: tigre} ntentan acceder @ nuesrasinstalaciones como lo haria un hacker, para confirmar si podemos estar tranauilos. Por oro lado, los mecanismos de seguridad deben estar adoptados a cada caso particular: una contrasefa de 20 caracteres que utliza mayésculas, mindsculas, nimeros y signos de punluacién es muy segura; pero si obligames a que sean as las conrasefas de lodos los templeades, la mayoria a epuntaré en un papel y fo pegard con celon en el monitor. Cua quiera que se sienfe en el ordenador fendra acceso © ls recursos de ese usuario. Un coto real donde se mezcla lo profesional y lo personal: una persona regala a su pa reja un teléfono mévil de la empreso. La pareja no lo sabe, pero el equips lleva preine talodo un troyano que registra todas las llamadas y mensajes efectuados con exe tolé fono. Con esa informacién, el programa elabora un informe que luego cuelga en una web, donde se puede consular introduciendo el usuario y la contrasefia adecuados Por este medio descubre que su poreja manfiene una relacién paralela con ofa persone, que es amigo de la pareja y tombién trabajo en la misma empresa. El siguiente poso es regalar otro mévila.ese amigo con el mismo troyane, para asi espiar la vide de ambos. Afortunadamente, la empresa de telefonia que da servicio a lo empresa tiene un equipo de vigilancia que detecta exe fico exirafio de informes esponténecs, Avisa alos direc tivos de la empresa y se denuncia al empleade. Este hime ejemplo también muestra que, cunqve los ataques necesiton un componente Senico informatica més o menos avanzade, muchos veces hay un acer humane que facilta enormemente la tarea del otacante y conta el que los edministradores de sistemas poco pueden hacer Qo. En as empresas es habitual en Contarcerelas en los pasos vo recwerdan los empl Sef go lor datos que manejan son importantes y deben pro- togeros1 conepos sb seid norétia @... El niimoro de atogues aumento, y las consiguientes pérdidas eco: rnémicas también: bip://g00.g/4QR Pora lanzar un atague no hacen falta muchos conocimientos de in formatica: simplemente podemos compratl: bhip://a00.g/R66 lox principals objstoy do lot tidedy bancon bip://g00.g/ET69@ @ 2. Qué proteger? Debido al presupuesto, no pedemes aplicar todas las medidas de seguridad pesibles a todos los equipos de la empresa. Debemos identificar los actives que hay que proteger: qué equipos son més importantes y qué medidas aplicamos en cada uno. Por ejemplo, todos los equipos deben llevar antvius y firewall sin embargo, la ocupacién del disco duro solo nos preocupard en los servidores, no en los puestos de trabajo. Del mismo ‘modo, el control del software instalado es mucho més exhaustive en un servidor que en tun ordenador personal Sin embergo, el mayer active es la infermacién contenida en los equipes, porque un equipo dantado o perdido se puede volver @ comprar y podemos volver @ insialar y configurar todes las aplicaciones que tenia. Es caro, pero tenemos el mismo ordenador © mejor; sin embargo, los datos de nuestra empresa son nvestos, nadie nos los puede devolver si se pierden. En este punto nuestra ‘nica esperanza son las copias de seguri- dad y e! almacenamiento redundante, que veremos en la Unidad © 2.1. Equipos En cuanto a la seguridad fisica de los equipos: * Es fundamental que no se puedan sustraer, ni el equipo entero ni alguna pieza del mismo {principalmenie el disco duro, pero también ol dispositive donde se hace la copia de seguridad de ese disco} * Enel caso de los porttles no podemos evitar que salgan de la empresa, porque los trabajadores visitan las dependencias del cliente o se levan trabajo a cata. Fero si debemos vigilar que esos ordenadores apliquen cifrado en el disco duro y tengan contrasefias actualizadas, sobre todo en los usuarios con perfil de administrador. + Es importante que no se puedan introduc nuevos equipes ne autorizados. Un hacker no necesita romper la seguridad de un zervidor si puede conectar a la red de la em presa un equipe suyo con el software adecuade para realizar el ataque. © si puede inttoducir un troyano en algin ordenador de un empleado. + Aplicaremos mantenimiento preventive para evitar averias. Por ejemplo, en cada or: denador, una vez al af, abr la caja para limpiar los disipadores y los ventiladores, porque el polvo acumulado puede anular su funcién de rebajar la temperatura del sislemo, © 2.2. Aplicaciones los ordenadores de una empresa deben tener las aplicaciones esriclamente necesarias para llevar @ cabo el trabajo asignade: ni més ni menos. Menos es evidente porque impeditia cumplir la tarea; pero también debemos evilarinstalar software extra por que puede tener vulneral les que puedan daiar al sistema completo. Cuando una empresa adquiere un nuevo equipo, el personal de sistemas procede a ‘maquetarlo:insiala las aplicaciones vilizadas en eso empresa, cada una en la versin adecvada para esa empresa, con la configuracién particular de esa empresa. incluso puede llegar a susiir el sistema operativo que traia el equipo por la versién que se viliza en Ta empresa, El objetivo perseguido es miliple: * Ahorrar al usuario la tarea de instolary configurar cada aplicacién ly de paso evita mos darle demasiades privlegios) * Asegurar que el software instlado responde « las lcencias comprades en la empresa + Homogeneizar el equipamiento, de manera que solo tendremos que enfrentarnos 6 os problemas en una lista reducida de configuraciones de hardware. le solucién encontrada se aplica répidamente a todos los equipos afectados,splos sabre seguridad informetica Pero debemos estor preparados porque olras aplicaciones intentarén instalarse: * Intencionadamente. E! usuario lanza un instolador del programa que ha descargado de Internet o lo trae de casa en un CD/USB. * Inocentemente. El usvario entra en una pagina pirata que hace la descarga sin que lo sea, 0 introduce un CD/USB que desconoce que est6 infectado por un virus En ambos casos, el antivirus seré una barrera y la ausencia de privilegios de administra cién también ayudard. Pero conviene aplicar otras medidas para no ponerlos a prueba: * Ala hora de crear un usuario, evitar que tenga privilegios de administracién del site ma. Aunque todavia puede instalar determinadas aplicaciones, solo afectarén a ese usuario, no a todos los de esa maquina. * Desactivar el mecanismo de auloarranque de aplicaciones desde CD 0 USB (en algu: nos empresas, al maquetar los equipos de usvarro, incluso quitan los lectores de CD y desactivan los USB de la méquing}. Q coopccico Autoarranque de aplicaciones en sistema Windows et) © Duracién: © 15 minutos Difieultad: © Fécil Objetive. Conocer el mecanismo de autoarranque de apli ee eee ee caciones y los riesgos que conlleva, ‘owe Material. Ordenadores con distinlos versiones de Windows, I Poems pendrive USB, 1. En Windows 95, Microsoft introdujo la funcionalidad llamada AutoRun. El objetivo era facilitar ol usuario la instalaci6n de oplicaciones en los ordenadores: bas- taba con introducir el CD del programa y autométiea- . mente arrancaba el asistente de instalacién. 8 Noreateraigun acctin 2. Para que ocurriera asi, debia existr un fichero llamado autorun.inf en la raiz del CD. En este fichero se (Ci) Realza siemere la acc selocconada. indicaba el programa que habia que lanzar cuando se insertaba el CD. som 3. Sin embargo, un virus puede aprovechar este meca: nismo para reproducirse fécilmente,inlroduciéndose en cada CD que se grabe en esa maquina Fig, 1-1. Acciones posibes. 4, Por desgracia, también funciona con los USB. ¥ ufliza- ‘mos mucho més los USB que los CD. 5. Vamos a comprobarlo. En un ordenador con XP SP2 inseriamos el USB. El sisiema lo reconoce y nos pre- gunta qué queremos hacer con esa unidad (Fig. 1.1) No elegiimos nada especial 6 Ahora nos vamos « la raiz de esa unidad para crear dls ficheros. Uno seré una copia del bloc de notas (le llamaremos bloc.exe); el ofro serd un autorun.int que simplemente lanzard ese bloc de notes. El conie- nido del fichero seré (Fig. 1.2) [autorun] shellexecute=bloc.exe Fig, 1.2. Preparamos fa wampa,1 conepos sb seid norétia Caso préctico 1 (Continvocén) 7. listo. Sacamos y volvemos 4 meter el USB. De nuevo, ro elegimos ninguna accién y vamos Inicio > Mi PC para localizar la unided correspondiente (Fig. 1.3) Unidades desc dare HP rove Dispostivos cn amacenamsento extra Qa ene Fig. 1.3. localizomos la unidad. 8. Si hacemos doble clic sobre la unidad €: no aparece- ran los ficheros de la unidad, sino que se ejeculara el bloc de notas. Si ese ejecutable tuviera un virus, ya estoriamos infectados. 9. Ahora vamos a un Windows Vista y repetimos la prueba. Al conectar el USB también aparece una ven- tana de acciones posibles (Fig. 1.4) 10. De nuevo evitamos elegir nada y vamos a Inicio > Equipo para intentar el doble clic en la unidad. Afortu- nadamente, se ignora nuestro autorun.inf y apare- cen los fcheros sin ningin riesgo (Fig. 1.5} _APUNTES (F) (Renan sempre to para setae gos isos oe we pat er ncarpetpra vers aie Teno’ eens rani tne pore genes y vee Fig, 1.4. Accionas an Windows Visto 11. Este cambio de comportamiento con los USB ha sido una decisién de Microsoft que afecta a Windows 7, Vista y XP SP3. Est explicado en esta webs: hitp://goo.gl/NXXVE. Fig. 1.5. lista de fcheros. Adividades 2. Discute en clase si resulta conveniente desactivar los USB de los ordenadores de los empleados. 3. Aunque un usuario tenga privilegios limitados en {una maquine, glodavia es un peligro potencial® 4. sResulta totalmente fiable Uilzor las oplicaciones descargades de Google a lo primera garantia que debemos tener a la hora de instalar una aplicacién es su ori= gen: si ha llegado en un CD del fabricante o si la descargamos de su web, o si est6 incluida en el mecanismo de actualizaciones avtométicas de la versién actual. Si el CD ro es original, o si descargamos de la web de otro, debemos desconfiar Por ejemplo, en los teléfonos méwilesy tabletas la mayoria de las aplicaciones procede de la aplcacisn oficiol del fobricante Google Play en Android, App Store en iPhone}. Uiiizames su opcién de bisqueda, miramos que el nimero de descargas sea elevado y la bajamos. Durante la instalacién nos pide permiso para hacer algunas cosas en el equipo, aunque no tiene mucho sentido porque el 99 % de los usuarios no sabe qué le std preguntando y siempre acepta. En el fondo, confiamos en que la aplicacién no es ligrosa porque la hemos encontrado en el sto oficial, donde se supone que la prue- Pan anes de clgarla © 2.3. Datos Como hemos dicho antes, las méquinas y las aplicaciones se compran; pero los datos de nvestra empresa son exclusivamente suyos. Hay que protegerlos por dos aspectos: * Si desaparecen, la empresa no puede funcionar con normalidad. * Sillegan a manos de la competencia, la estrategia empresarial y el futuro de la com: paiia estén en riesgo.Cones ste sega inbomsico | las empresos modernes responden al esquema de a 3 sum a 0204 2 pruoba > a For tanto, si nos han enviado un fichero, para compro- bar que ha llegado bien deberiamos preguntar al emi- sor cul es el sum en su maquina, y compararlo con el sum del fichero que hemos recibido. - En algunos Ficheros pequefios, el comando sum puede fallar y generar el mismo por de nimeres, aunque efec- fivomente se hayan producido algunos cambios. Es més fiable el comondo cksun (Fig. 17) 3.3. Sabes-tienes-eres le autenticacién es especialmente importante enemas de seguridad, Debemos estar muy seguros de la identidad de la persona o sistema que solicita ccceder @ nuestra informe én. Un exquema muy uilizedo pera analiza la aulentcacién es clasifcer las medides adoptades segtin ies erterios: @® sisotes — 6.£n los primeros Unix el Usuario root estaba disponi ble pora entrar al sisema; cecivalmente no. gPor qué? * Algo que sabes. Para acceder al sistema necesitas conocer alguna palabra secreta: la tipica contrasefa + Algo que tienes. En este caso es imprescindible aportar algin elemento material: ge En las webs de los bar. neralmente una tarjeta cos puedes entrar con un usuario y contraseia Pero para realizar trans. ferencias a otras cuentas solicitan una nueva avten ficacién. gCuale * Algo que eres. El sistema solicite reconocer alguna caracteristca fisica del individuo (biometric): huella dacter,escdner de rena, reconccimiento de vow, ef Lo autenticacién sera més fiable cuantos més criterios distinlos cumple * Para entrar en casa solamente nos hace falta una llave (algo que tienes). Pero en al- gunos paises europeos los portales tienen un cédigo (algo que sabes). En a pelicula la omenaza de Andrémedo, la auto destruccién del laborato- fio solo se podia detener de una forma. gCémo? * Pora entrar a un ordenador, generalmente necesitamos un usuario [algo que sobes) y una contrasefia (algo que sabes) * Para sacar dinero de un cajero necesitamos una tarjeta (algo que tienes} ¢ introducir un PIN (algo que sabes). En cambio, en la web del banco solo necesitamos un usuario ) {que suele ser nuestro DNI, relativamente fécil de localizar] y un PIN (algo que sabes.Cones ste sega inbomsico | * ora recoger en Correos un envio cerlficado 0 para idenfifcarte« la Policia, necesi tas llevar tu DNI (algo que tienes) y que sea tu cara la que aparece (algo que eres. los sistemas biométrcos no siempre se aplican en entornos de muy alta seguridad. Por ejemplo, pueden estar en el comer de la empresa, comprobande quién es empleado Y quién no para decidir solictar el pago del mend © 34.AAA La sigla AAA ¢6 refiore c autenticacién, autorizacién y accounting. Las dos primeras ya las hemos visto con anterioridad: la tercera se refiere a la informacisn interna que los siste- mas generan acerca de si mismos. Coneretamente, el uso que se hace de sus servicios. Esta informacién sirve pare revsar el dimensionodo de los equipos y, debidemente asocio- de a cada departamento de la empresa, permite establecerlmitaciones y penalizaciones. Pero la informacién del accounting también permite comprobar la eficacia de las med das de autenticacién y autorizacidn, sobre todo en un andlisis forense tras un ataque. Siguiendo el rastro podremos localizar por dénde ha entrado e intent resolvelo. Por este motivo, es importante que el registro del accounting se haga en una maquina distinta: si ol hacker ha conseguido entrar, puede Facilmente borrar sus huellas. Sin em- argo, si el registro se hace simultineamente en olra méquina, ya son dos las méquinas ‘que debe atacar ly generalmente la méquina de registro se carga con el minimo soft- ware posible, para reducir las opciones de entrada), © 3.5.e2e 24 significa extremo a extreme: la seguridad debe contolarse en el origen de los datos, nel destino dels datos yen el canal de comunicacionulizedo ene origeny desi * Enel origen y en el destino intentaremos que el equipo y las aplicaciones no hayan sido modificados. Si alguno no esté bajo nuestro contra, debemos desconfir. * Enel canal infentaremos limitar quién accede y, sobre lodo, cilraremes, porque nues- tros datos alravesardn las redes de ottas compaiias. Sobre sus equipes y el personal ue opera con ellos no tenemos ningun contol, luego debemos desconfir. © 3.6. Vulnerabilidad, malware, exploit El software esté hecho por humanos, luego debemos estor errores intoducidos durante su program cido}, graves (corrupci dotos confidencials) Una vulnerabilided es un defecto de una aplicacién que puede ser aprovechado por un ctacante. Silo descubre, el alacante programard un sofware (lamado malware) que ut liza esa vulnerabilidad para tomar el contral de la maquina (exploit) o realizar cualquier coperacin no autorizada aos dos para sir ls én. Pueden ser leves (algiin mensaje mal tradu- de datos y eticos fun agujoro de seguridad da acceso ibe a Hay tres tipes de vulnerabilidades: * Vulnerabilidades reconacidas por el suminishador de la aplicacién y para las cules ya fiene un parche que las corrige. Si nuestro empresa ufliza esa aplicacin, debe- ‘mos oplicar el parche inmedialamente. * Vulnerabildades reconocids por el suministrador, pero todavia ne hay un parche. En clgunos casos si se proporciona una solucién temporal {workaround}, pero, general- mente, lo mejor es desactivar el servicio hasta haber aplicado el parche. * Vulnerabilidades no recenocidas por el suministrador. Es el peor caso, porque pode- ‘mos estar expuestos @ un alaque durante un fiempo largo sin soberl. Qw Podemos convertinos en peritos informéticos foranses con asta bpi//g00 Tey Enestarculo podemos ampior eeeae Pepe memes extromo o exon: | hip:l/g00-e/qi08r1 conepos sb seid norétia Qo ‘Aqui tenemos un exploit contra Jeol Iria Vk En tte video nos hablan sobre Io importancia dal mabware hitp://go0.gl/Bfedw los fabricantes de software intentan reaccionar rGpidomente ante cualquier informe que demuesire una volnerabilided en sus programes. Gracias a Internet, de manera progra- ‘mada, los programas conectan con la web de su suminishador pora comprober si hay Clan parche penglene de apicar lactvlizaciones automatics) Es dec, no esperan & aque el administrador de la maquina comprvebe uno a uno el estado de todos los progra- ‘mas instolados, porque puede posar un tiempo precioso desde que se lbera el parche hasta que el adminiskador se entero, lo descarge y lo aplica Hay muchos tipos de malware: * Virus. intentan dejar inservible el ordenador infectado. Pueden actvar aleatoriamente © esperar una fecha concreia {por ejemplo, Viernes 13}. * Gusanos. Van acaparando todos los recursos del ordenador: disco, memoria, ced ET vsuario nota que ol seme va cada vex més leno, hate que ne hay Terma de trabajar. + Troyanos. Svelen hobiltar puertas raseras en los equipos: desde otto ordenador po- demos eonectar con el royano para ejecuiar programas en el ordenador infectado. Reclmente no es tan importante qué malware nos ha entrado: hay que eliminarle de to- das formas porque es una aplicacién que no hemos querido instalar y que no nes traerd nada bueno [incluso puede mutar: un gusano convertirse en troyano, ele) Todos tienen en comin sv afdn de replicacién: intentan contaminar el maximo niémero de ordenadores posible para continua la infeccion Tembién hay que fener cidado con los fos anivirus. En algunos péginas web pl rosas (servicios de descargas ilegales, por ejemplo) aparece un mensaje que nos avisa de que estamos infectados y se ofrecen amablemente para descargar un antivirus que 10s limpiaré el ordenador. Si pulsamos en el enlace y descargamos e instalamos ese programa, lo que realmente ‘ocurre es que hemos dejado entrar un malware que, desde ese instante, puede hacer cualquier cosa: lanzar cnuncios sin porar, instalar olfos virus, abrir una puerta rasera para convertinos en ordenador zombi en algin ataque organizado, robar datos perso- rales (imagenes, videos), ote En algunos casos, el virus da la cara y directamente nos dice que ha secuestrade nuestro. ordenador. Efectivamente: ya no podemos hacer nada con el teclada ni el ratén. Para recuperar la maquina hay que intraducir una contraseha que solo nos la proporcionan tras efectuar un pago econdmico (es decir, piden un resccte) Por supuesto, el primer avico era folso; seguramente, al entrar de nuevo en esa pagina, seguiré apareciendo. Si bion es cierto que los navegadores pueden realizar andlisis del disco duro buscando virus (os llamados antivirus omine, como Panda Activesean], pora ello necesitan la instalacién previa de un software expeclico para esa tarea de buscar virus. Después podrén avisar © no, dependiendo de lo que encuentren; pero nunea apa- receré un eviso solo por entrar a una pagina, Lo mismo puede ocurrr con programas que nos aseguran que acelerarén el rendimien to del ordenador, o al disco duro, o la conexién a Internet. Estos programas existen, pero debemos descargarlos desde fuentes de toda confianza, como las webs de los ‘autores de ese software 0 un sitio con buena reputacién (Softonic, CNET, etc). Pora evitar que ocurra, lo mejor es tener siempre activado el anfvius y tenerlo actval- zado, claro}. ¥, si por evalquierrazén, el ordenador ya esti secuestrado, algunes antivi- tus fienen la opcian de ejecularse desde un LiveCD. Es decir, descargamos desde lo web del fabricante del onivifus una imagen que grabamos en un CD. Esa imagen lleva un ninisislema operafivo y el programe del antivirus. Arrancamos el ordenador desde ese CD podemos hacer una limpieza o fondo, con la tranguilidad de que el virus no se ha cctivade porque no esti uncionando el sistema operalivo del disco duroCones ste sega inbomsico | @ 4.Tipos de ataques Una vez que alguien esté decidido a atacarnos, puede elegir alguna de estas formas: * Interrupeién. El ataque consigue provocar un corte en la prestacién de un servicio: el serie no esta disponible, el esco.en ved no aparece o solo podemos leer [no escribir), etc. * Interceptacién. El atacante ha logrado acceder a nvestras comunicaciones y ha copia- do's nlormacign que excbomes weromifende " + Medifcacién. Ha conseguido acceder, pero, en lugar de copiar la informacién, la esta tmodiicardo para que leque slterada hosio el destino y provogue alguna reaccon tenormal, Por ejemplo, cambia las cifras de une Hransaccién bancaria * Fabricacién. El atacante se hace pasar por el destino de la transmisién, por lo que puede tranquilamente conocer el objeto de nuestra comunicacién, engafarnes para ebiener informacién valiosa, etc. Porta conseguir su objetivo puede aplicar una 0 varias de estas técnicas: * Ingenieria social. A la hora de poner una contrasefa, los usvarios no suelen utilizar combinaciones cleatorias de caracteres. En cambio, recurren a palabras conocidas a ellos: el mes de su cumpleatis, el nombre de su calle, su moscota, su fubolista Tevorto, ek. S'conocemor bien a osa persona, podemor inlntar advinar su con- kasefe. También consfituye ingenieria social pedir por favor a un compaiero de trabajo que inroduzca 30 varia y conrasena, que ef nvesto parece que ne funciona. En esa sesién podemes aprovechar para introduc un troyane, por ejemplo. * Phishing. El atacanto se pone en contacto con la victima (generalmente, un correo electrénico) haciéndose pasar por una empresa con la que tenga alguna relacién (su banco, su empresa de telefonia, et. En el contenido del mensaje intenta convencer le para que pulse ut que le llevaré a una (falsa) web de la empresa. En esa web slictrén su idenficacion habitual y desde exe momento ol acon pods utilizarla. + Keyloggers. Un troyano en nuestra maquina puede tomar nota de todas las teclos que pulses, buscando el momento.en que infoducimos un vvario coniosefa, St lo Consigue, os envia al atacante + Fuerza bruta. Las contrasefias son un nimerolimitado de earacteres (eras, nimeros y signos de puntuaciér). Une aplicacién malware puede ir generando todas las combi- naciones posibles y probarlas una a ung; tarde © temprano, acertaré, Inluso puede horrarfiempo si utiliza un diecionario de palabras comunes y aplica combinaciones de exas palabras con nmeros y signos de puntvacién Contra los ataques de fuerza bruta hoy varias medidas: ~ Ulizar contrasefias no trviales. No uiilizar nada personal ¢ insertar en medio de la palabra o al final un némero o un signo de puntvacién. En algunos sislemas nos covisan de la Fortaleza de la contrasefa elegide (Fig. 1.8) = Cambiar la contrasefia con frecuencia (un mes, una semana). Dependiendo del hardware utlizado, los alaques pueden tardar bastante; si antes hemos cambiado la clave, se lo ponemos dificil = Impedir rélagas de intentos repetidos. Nuestro software de aulenticacién que s0- lice usuario y contrasefa Faciimente puede detectar varios intentos consecutivos cen muy poco fempo, No puede ser un humano: debemos responder inttoduciendo tna espera. En Windows se hace: ras cuatro intentos flldos, el sistema deja pasar varios minutos antes de dejamos repetir. Esta demora alarga muchisimo el tiempo ecesario para completar el ataque de fuerza bruta Actividades 9. Busca informacién sobre la iniciativa Confianza on- line. Qué te parece? 10. 4Cémo detectarias un ata- gue DoS? sQué harias pora defenderte?1 conepos sb seid norétia Qu. En esta web puedes probar la fortaleza de las contrasefas que vias habituelmente: hnp://g0e.gV/basne A veces un hace contol por la compara a la que ha per: judicado, Aunque esa rlacién no suele dorar mucho fiempo: htip://goo.gl/zvyia Algin ayuntamianto ha sufrido robos de hackers en sus cuentas bancarias: bhtp://goo g/0xBEW . ~ Establecer un méximo de fallos y después bloquear el acceso. el caso de las tr- jetas SIM que llevan los méviles GSM/UMTS: ol tercer intento fallido de inkroducir el PIN pore desbloquecr la SIM, ya no permite ninguno més. Como el PIN es un niimero de cuatro cifras, la probabilided de acertar un nimero entre 10.000 en tres infentos es muy boja Google accounts Change password on Ca) Fig. 1.8. Fortaleza de contrasef, * Spoofing. Alteramos clgin elemento de la méquina para hacemos paser por otra maquina, Por ejanpo, generames mensoes con la misma decién que la maquina + Sniffing. El atacante consigue conectarse en el mismo tramo de red que el equipo cotacado, De esta manera fiene acceso directo a todas sus conversaciones. * DoS (Denial of Service, denegacién de servicio). Consisto en tumbar un servidor satu randelo con falsas peticiones de conexin. Es decir, intenta simular el efecto de una carga de trabajo varias veces superior a la normal. + DDoS [Distributed Denial of Service, denegacién de servicio disribuide). Es el mismo ‘taque DoS, pero ahora no e una nica méquina la que genera las petciones faleos (que es féciinente localizable y permite cetuar contra ella, sino muchas mquins re- partidas por ditinlos puntos del planeta. Esto es posible porque todas esas méquinas han side infectadas por un troyano que las he convertide en ordenadores zombis (obedecen las érdenes del ctacante} © 4.1. Tipos de atacantes Se svele hablar de hacker de manera genérica para referirse © un individvo que se salta las protecciones de un sistema. A partir de ahi podemos distinguir entre: + Hacker. Alaca la defensa informética de un sistema solo por el relo que supone hacerlo Si fiene éxito, moralmente deberia avisar a los adminishadores sobre los agujeros de seguridad que ha uilizado, porque estén disponibles para cualquiera * Cracker. También ataca la defensa, pero esta vez si quiere hacer daiior robar datos, desactivar servicios, alterar informacién, etc + Script kiddie. Son oprendices de hacker y cracker que encuentran en Inlernet cval- quier ataque y lo lanzan sin conocer muy bien qué estan haciendo y, sobre todo, las consecvencias derivadas de su actuacién (esto les hace especialmente peligrosos) + Programadores de malware. Expertes en programacién de sistemas operatives y apli- Cactones copaces de aprovechar las vlherebiidedes de ciguna version conctea de un software conocide para generar un programa que les permita atacer. + Sniffers. Expertos en protocolos de comunicaciones capaces de procesar une eaptura de tréfico de red pots localiza la informacion interesante + Giberterrorista, Cracker con intereses polticos y econémi @ gran escala,Cones ste sega inbomsico | @ 5.Buenas practicas £s muy dura la tarea del responsable de seguridad informética en una empresa grande: hy mucha infomarién que protege ¥ milpes pues por donde str inmsiones ‘Sus funciones son: * Localizar los actives que hay que proteger: equipos, aplicaciones, datos y comunica- ciones. Sobre ton, revisor poitea de copies de seguridad: qué copiomos, vance eopiamos, dénde lo copiamos, dénde guardamos de manera segura los disposivos de copia, eémo verficamos que la copia te ha hecho bien, evéndo hacemos una prueba de recuperacién de una copia, ete * Rdactoryrevisaequlement bs planes de avin ante estos, conemplon do todas las posibilidades: ataqve intencionado, desasite natural, arranque parcial de servicios [pocos servicios o todes los servicios pero con menor eapacidas * No instalar nada que no sea estrictamente necesario, y revisar la configuracién de los sistemas y aplicaciones por s estamos olrgando més permitos de los impres cindibles. * Estar al dia de todos los informes de seguridad que aparezcan. Fara ello hay que registrarse en listas de correo sobre seguridad y, ademds, en las lstas de nuestros proveedores (lanlo de hardware como de software) para recibir sus noficias directa- mente. * Activar los mecanismos de actualizacién automética de las aplicaciones que tenemos instaladas. Salvo sistemas delicados {tenemos que probar muy bien cada actualize- cién antes de aplicarlal, en general los fobricantes liberan actualizeciones que no dan problemas. © Dor formacién a los usuarios para que utilicen la seguridad y la vean como una ayu- da, no como un estorbo. * Revisar los log del sistema (el accounting que hemos visto antes). Algunas herramien- fas nos ayudan porque recogen los fichetos de log y aplican fécilmente muchos po- frones conocidos (buscar la palabra error o warning, etc.) * Considerar la opcin de contralar una auditoria externa, porque si hemos cometide unertor de concepto, es muy dificil que lo enconkremos por nosotros mismo. + Revisar lo lista de equipos conectados: pueden haber introducide equipos no autor zados. + Revisor lo lista de usuarios actives: puede que algtin empleado ya no esté en la em- presa pero su usuario y todos los privilegios asociades siguen disponibles para él 0 para eiguien de sv eonfianza * En aquellos sistemas que lo permitan, configurar el eviso por SMS 0 correo elects- nico para que nos enteremos los primeros de cualquier problema. Por ejemplo, los fem: ha Eoterias [SAI [sistema de climentacién ininterrumpida]) suelen tener esta Formalmente hay una serie de esténdares sobre la seguridad informética. Lo normat- ‘va ISO/IEC 27002:2009 trata sobre la gestién de la seguridad de la informacién. En ella ze propone implantar controles para afontar los riesgos inherentes a los informétices, Los controles incluyen polticas de empresa, estructura de la organi Y procedimientos. Los controles ze aplican a todas las partes afectadas: gesién de Selves, seguridad sobre los recursos humarnos antes, duran y despues de pertonacer @ la empresa), zeguridad Fisica y ambiental, gesién de comunicaciones y operaciones, control de acceso, et. la segunda referencia mundial son las normas MIL (information Technology Infrastructure brary que etn renter a gsn do sais do tenlogcs de ifomaié, y uno de los cspectos que eubren es la seguridad @... [Mata cau wo de eves do seguridad come CERT eINTECO. Importante ‘Aunque los navegadores nos in tontan foci le vide ofecion do recordar le controsona ue inoducimos en una pagina web, ne 8 esarendeble hac por Ques alguien se siento a nuestro Srdenader, entrars directamen toon exas paginas con avesra ‘Sentdad y prerlegios.1 conepos sb seid norétia Adividades T1.n algin documento oft cial de toma de datos per sonal busca ol avito que dolla tus derechos sobre los datos que estés aportando. 12, Esta misma_informacién es16 disponible junto a las ceémaras de seguridad que graban espacios pablicos. Busca alguna y irae una foto a close. 13. sCuéles son las funciones de la Agencia de Protec- cién de Datos (APD)? Qu . las sanciones por no cumplir a LOPD son elevadas mulias. Son frecvories ene las empresas del sector de los tolocomunicaciones. bhtp://goo gl/HévBe @ 6.Legislacion Como en el mundo real, romper la seguridad informatica de una empresa para robar tus datos es un delio perseguido por la ley. También el desarello de Internet ha im Pulido le apcrcén do lees completamente nieves, como la que rogl el conarco electénico, © 61. LOPD lo Ley Orgénica de Proteccién de Datos de Cardcter Personal (\O 15/1999, de 13 de diciembre) esiablece las bases para proteger el tratamiento de los datos de cardeter personel de las personas fisias. Eslos datos pueden estar en cualquier lipo de soporte, digitalizado o no. La ley establece cémo se pueden tomar los datos, qué fipo de alme- conariont protgido neceiion y qué derecho y obigacones ene ol udedane sere e208 datos suyos en manos de terceros El Real Decreto 1720/2007, de 21 de diciembre, desarrolla lo LOPD para ficheros (avtomatizades y no automatizados). Define tres tipos de medidas en funcién de la sensibilidad de los datos tratados: * Nivel bésico. Cuclquier fichero de datos de cardcter personal. Las medidas de segu- ridad con estos datos son: ~ Identificar y autenticar« los usuarios que pueden trabajar con esos datos. ~ Uevar un regis de incidencias econtecidas en ol fiche. ~ Realizar copia de seguridad como minimo semanalmente. + Nivel medio. Cuando los datos incluyen informacién sobre infracciones adminisrati- vas 6 penales, informes financieros y de gestién tributoria y datos sobre la persona lidad del sujeto. Las medidas de seguridad incluyen los de rivel bésico més — Al menes una vez cada dos aos una auditoria externa verficaré los procedimien- tos de seguridad = Debe existr control de acceso fisico a los medios de olmacenamiento de los datos. + Nivel ato, Son los datos especialmente protegidos:ideologia, vida sexual, origen racial, gflaién singe opoica, hier medio ee, Los medidas deseguiddamon as = Gihrade de las comunicaciones. = Registro detallado de todas las operaciones sobre al fichero, incluyendo usuario, fecha y hora, tipo de operacién y resultado de la autenticacién y aUtorizacisn © 6.2. LSSI-CE lo Ley de Servicios de la Sociedad de la informacién y Comercio Electrénico (\SSLCE 34/2002, de 11 de julio) intenta cubrir el hueco legal que habia con las empresas que presian servicios de la sociedad de la infermacién: * Las obligaciones de los prestadores de servicio, incluidos los que actien como inter mediaris en la transmisién de contenidos por los redes de telecomunicaciones * Las comunicaciones comerciales por via electénica * La informacién previa y posterior a la celebracién de contatos eleciénicos * Las condiciones relativas a su vlidez y eficacia, * ELsésimen sncionoderepicable ols presedoes de servis dela sociedad de aCones ste sega inbomsico | la ley es de obligade cumplimiento para todas los webs que consiguen algin tipo de ingreso, bien directo (pago de cuotas, venta de productos y servicios), bien indirecto {publicidad}, La primera obligacién que fienen es inclir en su pégina informacién de Ke persona o empresa que esté dlrés de eso page: nombre 6 denominacton soci, direccién postal, datos de inscripcin en el regisro de la propiedad mercantl, et © 63. LPI la Ley de Propiedad intelectual (LPI) estoblece los derechos de autor en los entornos digitales. Considera la digitalizacién de un contenido como un acto de reproduecién, luego se necesita autorizacién expresa del itular del contenido. Como excepcién incluye la copia privada, que es para uso pertonal del dueiio de ese contenido legalmente adquirido, La copia, al igual que el erigina, no ee puede uflizar de manera colectva ni lverativa Pora compensar a los autores por estas copias no contoladas, se establece un canon sobre los disinos dispositivos de almacenamiento. Este canon revierte en las sociedades de autores. © 6.4, Administracion electronica la Administracién elecrénica hace referencia al esfverzo de todos los estamentos publi- cos para adaplar sus procedimientos a las nuevas tecnologias. Asi evitan seguir mane- jando papeles,y los civdadanos y empresas pueden relacionarse con la Administracién de monera telemética. Poder resolver los mites por Internet tiene miles ventajas: * Disponiilidad las 24 horas del dia. No hace falta pedir permiso enol trabajo; incluso podemos hacerlo en dias festives y fines de semana. * Facilidad de acceso. Los portoles de la AdministraciSn incorporan miliples asistentes ue proporcionan toda la ayuda necesaria * Ahorro de tiempo. No hay que desplazarse hasta una oficina y esperar turno para sr atendido. * Fiabilidad. Los procedimientos ya no dependen de personas, sino de sistemas la realidad es que muchas webs todavia se limitan @ ofrecer la descarga del POF del mismo formulario para que lo pasemes & papel y lo entreguemos en mano © per correo eorificado. En contadas excepciones ce completa el procedimiento: rellenat un formula fio y ervierlo a un servider donde nos acepien la solictud y nes proporeionen informe cién puniuel sabre el estado de su tramitacién EDN electrénico [DNIe] supuso un punto de inflexién porque chora el civdadano si dis- pone de una autenticacién fable. Pero todavia est lejos de ser ampliomente uflizado, sobre todo en el seclor privado, Fig. 1.9. Ventojas de la Adminisracién electénico @.. ———,, Lo implantaciga de odministracion elecrénica supone vn importante ‘hore: hipi/o00 q/9Bbhy “4) 2 1 concapls sce sega irda "Nuestra sociedad se basa en informacisn procesada dgitalmente hay que protegerla porque la informacién es poder. * Lot equpos son ndguins pueden fall, Nos intreronparicarmonte lo dapentivos do onacanomial dics does y manors enon, Nos pregereoscncinartamsn rendre) copes deeguiod « Lensitomas opravosy ls opicacone ls programan prsnasy pueden flr las consecvencion més inporaes son uno cidade servi, una pledid de datos o na wneabiidad que perm la stn do wn oct Ns potgeromos madara sorvidoesredindanes,onivis y aclvando ls ‘tucizncone todos oe okeonzor: + Lor uario son poronasypuoden fla: descargansofweo no pemtido © reelan si conrsaos a tearas personas. Nox prologoromostmiando privloges,dondo cos da fomacn y eiecondo una poli de conrosofos (Cadveldod compltdad mine). + Ennueas comniencons con as prions desconocamose nivel de seguridad qe aplan. Inco generlmene roveromes odes pleas opcades por ro enprecs, de ls un mb desconocemer lal de seguro cue plan, Debemosopicar protec extrema @exrame. La invorsin on seguridad depende del intorés de otros on nuestros equipos , sobre todo, nuestros datos. os eucis desu om revision del ogra de numa empresa Para oo te nla contr «empress especlizy, ‘come los tiger teams le complejo dea seguridad debe exo uted on a frmacin del personal uel ene que ape: va conse ‘de 20 caractores terminaré apuntada en un papel bajo el teclado. ‘+ Equipos. Robo; evita intentos de conectar equipos exlemos a la empresa, a Re ei : «Ses ee en pe atc Ca ae Sov tereare ey aaremre tees Le seguridad fies +e ocupa de los equipos; la seguridad lagica, de los programas que se ejecutan en eos equipos. Le seguridad activa intent impedir une catésrol; la seguridad pasivaintenta que, si ocure, la recuperacién sea posible. Le confidenilided busca grenizar + Autenticacién. Cémo confirmamos que ol vsvaio 6s quion dico ser. Aplicaremos ein {Fon sabe tones ees eseraemasin ieee | et, epacroes pode sct. = ina: que * Gitado. (ot datos $9 alaconan cftados para que no puedan ser oprovechados aaeeaeioees per nadie quo no eaédebidomene auencodoy auorzado, a integrded intenta que los datos almacenados por un usvorie ne sufran ninguna alteracién sin su consenfimient. Le dsponbiided se rafiore a todas las Wénicos diigidos @ mantener acivo un servicio. Generalnentesupone afadir ‘equipamiento adicional. No repudios que ninguna de las pares que intervienen en una relacién puede negerlo. los ios de tages sn: incr, intercepts, medica evan. 24Qicsi de repaso 1. Hablar por teléfono mévil es seguro: €@) Es mas seguro que hablar por teléfono fio. B)Es més seguro que hablar por teléfone fij, salvo ‘cuando utilizamos un terminal DECT. 41 més insoguroporauo las ondos se rangiton por al atte y cualquier oft teléfono puede recto. 2. 46 seguro utlizar el WhatsApp? a) Es més seguro enviar un SMS, porque utliza telefo- nia mévil, que es muy segura, BIEs igual de seguro que el SMS, porque la conexién al serdor de WhasApp tambien ulze Yelena ¢] Es menos seguro que el SMS, porque para llegar a su servider alraviesa Internet, que es Una red poco segura 3. 4E3 seguro comprar por internet? 2} No: cvolquiera puede saber nyestro nimero de tar- jete de credito y comprar con ela, )No: cvalauiera puede saber nvesto nimero de cuenta corriente y comprar con ella, €] Si: ademés de la tarjeta (algo que tienes), la mayoria de los bancos solicitan un PIN (algo que sabes). 4, Tengo una cuenta corriente en MiBanco y me llega un correo de [email protected] donde me avisan de que hay una nueva web donde cambiar las claves: @|mposible. Los bancos nunca utilizan el correo elec- trénico pora ese tipo de notificaciones. b) Agradezco el aviso y pincho para probarlo 4 Pinho onl enlace y envio ete coco mis ono 5. Queremos enviar fotos personales a un amigo: » @ 3.Criptografia simétrica y asimétrica los algoritmos de criptografia simética utlizan la misma lave para los dos procesos: cifrar y descfrar. Son sencillos de uflizer y, en general, reaultan bastante eficientes (kar ddan poco fiempo en cifrar o desciftar) Por este motivo, todos los algoriimos, desde la antigéedad hasta los aiios setenta, eran simétricos. Los mds utilizados actualmente son DES, 3DES, AES, Blowfish e IDEA. Elfuncionamiento es simple: en la Fgura 2.3 el emisor quiere hacer llegar un documento al receptor. Toma ese documento y e aplca el algoritmo simétrico, usando la clave nica, ane tambien cone recep. El resvhode es un documento credo que ya podemes enviar tranquilamente. Cuando el recepior recibe este documento cfrado, le aplica el mismo algoriimo con la misma clave, pero ahora en funcién de descirar. Si el documento cifrado no ha sido aerado en él camino y la clave es la misma, el resultado serd el documento original * Enisor acai me N ae Ry ese Gado De we Daciento none Docernio orignal Namo Been Mgr cameo rig Fig. 2.3. Criptografia simétrica Un ejemplo de criptografic simiica es la autenticacién de un mévil GSM: por qué sabe ue es nuestro nGimero, aunque metamos la tarjeta SIM en otto teléfono. El procedinien- {0 08 al siguiente: + Nuestra tarjeta SIM contiene un identficador T y una clave K. * Ese identificador T y la clave K aparecen asociados nuestro contrato en los servido- res de avtenticacién de la operadera de la que somos clientes. © Cuando encendemos el teléfono, se conecta a la red de la operadora y solicita entrar con el identificador T. Su servidor de autenticacién recibe la pelicién y genera un nGmero aleatorio A (llamado desalio), que nos lo envia. * Una vez recibido, en nuestro telefono aplicamos un determinado algoritmo simético sobre ese nimero A, vilizando la clave K. El resultado es e! nimero B. Enviamos el nimero B al servidor de autenticacién. + Cuando lo recibe, él también aplica el mismo algoritmo con la misma clave. Si el re- sultado es igual a B, se confirma que somos los duefios del identificador T. Nos asigna nuestro nimero 6X, y ya podemos hacer y recibir llamadas. © Si cambiamos de teléfono, no importa porque el némero va asociade a la SIM. Con esta salucién estamos protegidos de una posible captura de Wéficoinalambrico me- diante un sniffer de red * Podtia copturar el nimero A. Pero es un simple nimero aleatorio: sin el algoritme y la clave, el alacante no podré generar la respuesta correcta B * odria capturartombién el nimero B y ya tend la respuesta correcta cuando el servi dor envia el nimero A. Pero la probabildad de que el servidorrepita el mismo nimero A para este abonado es muy boje. Es decir, sel atacante elabora una tarela SIM prepa- rada para responder B cuando le pregunien A, es muy poco probable que tengo éxito0 copcsio Cifrado simétrico en Windows Objetivo Cifarfcheros con algoritmos simétricos mediante Ja herramienta IZArc. Material. Dos ordenadores con Windows. = Duraci © Dificultad: © Facil 1. En un ordenador con Windows 7 descargamos la herres mienta de la web oficial worwaizare.org. Realmente es Un compresor de ficheros, pero como ademés tiene la opeién de cifar el fichero comprimide, podemos utii- zarlo para las dos cosas. Por ejemplo, podemos eifrar muchos ficheros, incluso una estructura de carpetas, en un sol fichero facil de transporter. 2. Durante la instalacién nos indicaré qué tipos de cia Gueromes manejr con Ware. Estan fos hebivcles [2 rat) y algunos intoresantes (tor, .72). © 10 minulos 3 Una vez instalado, podemos sitvarnos sobre cualquier fichero 0 carpeta y acceder al mend del botin cho, En este ejemplo hemos creado el fchero de Texto top secret y en a opcién IZArc elegiremos la operacién Agregar a fop secret.zip (el noml mmbre se genera aulo- maticamente), Aparecerd la ventana de la herramienta, donde podremes elegir el elgoriimo de encriptacin. En nuestro caso sera AES de 128 bits (Fig. 2.4) Biblioteca Documentos Fig. 2.4. Citado de un fchera, 4. La opeién por defecto es None porque estamos tra: bojando con un programa que es fundamentalmente un compreser do fcheos,Teminaremos pulbando en Agregar. En ese momento nos preguntaré la clave que queremos uilizar en el cifrado. Le preguntard una segunda vez para confirmar que la hemos tecleado bien. Sies asi, estaré disponible el fichero cifrado top secretzip 5. Ese fichero zip lo podemos llevar @ ofra maquina que también tenge IZAre y descifreto all (en este ejemplo, un XP), Nos situemos sobre el fichero .2ip y desde el mend del botén derecho recuperamos los Ficheros pul sando en Extract Here (Fig. 2.5). Fig. 2.5. Descfiado ce un fchera, 6.Nos preguntard la clave (Fig. 2.6. Si la introducimos bien, habremos conseguido el fchero de texto que alma- cenaba el fichero .2ip Fig, 2.6. Inraducimos la clave de eirado, 7.El programa ofrece més funciones, como elegir el direc: torio donde almacenar los ficheros recuperados (Extract to, comprober la ntgridad de! fichero (es, cam bier de formato de compresién (Convert Archive} 0 crear un ejecutable (Create Self Extracting iG XE] File) Esta dltima opeién es particularmente stil si la maquina donde llevamos el fichero comprimido no tiene insta- lado ningin descompresor compatible con el formato utilizado. 8.£n todos los casos, como era de esperar, cuando el fichero utilizado esta cifrado, antes de realizar la ope- racién nos preguntaré por la contrasefia correcta.QO cooecios Gifrado simétrico en Linux Objetivo. Cifarfcheros con algoriimos simétricos mediante la herramienta gpg. Material. Ordenador con Ubuntu 12.04. © Duracign: © 20 minutos ™ Dificultad: © Facil 1. La herramienta gpg nos permite uflizar tonto crptogra: ia simétrica como asimétrica. En este ejemplo veremos la simétrica, 2. Nos preseniamos en Ubuntu y creamos un directorio llamado citrado donde vamos a trabajar. Lo primero sera crear un fichero de prueba. Podemos utilizar la herramienta fortune, que ofrece alecioriamente refra- nes, chistes, etc. En este ejemplo ejecutamos (Fig. 27]: § fortune > mensaje Fig. 2.7. Creamos vn fchero de prueba, 3. Para cifrarlo con clave simétrica el comando es: $ El comando nos pedird la clave que queremos utilizar (Fig. 2.8). La pediré de nuevo para confirmarla 1g ~-symmetric mensaje Introducir la contraseia Iroduacafravecorrasets Fig. 2.8. Cifamos al fchero con clave sims 4. El resultado del comando es un nuevo fichero con la exiosin gpg Eun cher rade: inlenlomes vr qué hay dentro con el comando strings, no aparece nada inteligible (Fig. 2.9). No es recomendableuilizar directament col porque es un fiche nario y pod: mos inutilizar la sesi6n. 5. Ahora ya podriames eliminar el fichero men: Fig. 2.9. Fchero cifrado, porque su contenido esid protegido en el fichero mensaje.apg. Para hacer llegar este fichero .gpg a las personas interesadas, podemos utilizar cualquier mecanismo normal de gestién de ficheros (disco duro, USB, upload web, FIP, etc. Cuando necesiten leerlo, lo descifrarén con el comande (Fig. 2.10}: $ gpg --decrypt mensaje.gpg € comendo pedi lo clave ave habiames wiizado pare cifrar (y que haremos legar ol interesado a fra- vés de un medio seguro). Si la introducimos correcta: mente, oparecerd en pantalla el contenido del fichero Fig. 210), Fig. 2.10. Desciromos. 6. Si no queremos verlo por pantalla, sino volcarlo a un fichero, podemos redirigr la salida esténdar (Fig. 2.11: gpg --decrypt mensaje.gpg > mensaj Fig. 2.11. Descifomos y voleames a fchero 7. los ficheros binarios .gpg no siempre son adecuados. No sirven para ineluiles dent de un texto [por ejemplo, ‘en un script o un correo electrénico}. Para resolverlo tene- mos ol parémetro -a, que genera un fichero eirad pero compuesto solo de earactres ASCII. Estos Ficheros yen. tienen extensién gpg, sino .asc. Dentro estd el contenido cifrado y alrededor un par de cabeceras informativas. En resto ejemplo el comando sera (Fg. 2.12} (Continda)8 (Continvacién) $ gpg -a --symmetric men: Citramos en modo ASCH. 8. El fichero ase oftece las mismas gorantias que el .gpg y se uiliza igual. Pare descifrar seria (Fig. 2.13) S apg rypt mensaje.asc Descitramos desde modo ASCIL 9. La herramienta por defecto viliza el algoritme de cifrado CASTS (en pantalla nos lo informa al descifra), Podemos cambierlo con el pardmetro cipher-aig. Por ejemplo, para uilizar AES ejecutariomos (Fig. 2.14): alg AES -o En esto ejemplo hemos uilizedo -a para tener el ichero fen ASCII y el parémetto -0 para indicar el fichero de solide (es equivalente a redirigir la sada esténder}) Elegimos el elgorimo do eifiado AES. 10. El descifrado se hace como siempre (Fig. 2.15}: $ gpg --decrypt mensaje.aes 12. 13, 2 Ahora, el ensajo de la pantalla nos avisa de qu fichero estaba cifrado con AES (ya no es CASTS}. |. Con esta herramienta podemos ciftar ficheros binarios, no solo ficheros de texto. Vamos a trabajar sobre una copia del propio ejecutable fortune y le llamaremos retranes. Los comandos serian (Fig. 2.16} $ cp /usr/gat tune refranes Troemos un ejecutable. Lo ciframos en made ASCII para verlo mejor (Fig. 2.17) 5 symmetric retre gpg iframes ol ejecutable Podemos recuperarlo descifrando ol fchero retranes asc con las opciones conocidas. Por ejemplo, pode mos dejar el resullado en un nuevo fichero aichos Después de introducir la conirasefia, solo necesita mos darle permisos de ejecucién y estard disponible. Los comandos son: a2 cietorato ‘Adividades 10. Para cifrar y descifrar no necesitamos_privilegios especiales en Linux. gPor que Tl, Prueba a intentareifrar un fichero con IZAre aplican- do el algoritmo AES256 y después lévalo a un Linux Ubuniv¢ intenta descfrare con gpg. aFuncionard? Q.. Alicia y Bornardo nos expican la eriptograia asimétrica hiip//o00 gV@MsIP El problema principal de la criptogratia simérica es la crevlacén de ls claves: cémo con- seguimos que el emisory el receptor tengan la clove buena, No podemos vilizar el mismo onal inseguro por el que enviaremos el mensaje fo insegurided nos ha levado a cif). Hoy que uilzar un segundo canel de eamunieacidn, que también habrio que proteger, ¥ asi svcesivamente. Por ejemplo, en el correo de bienvenida a una empresa puede apa- recer la contrasefio de la wifi de la ofcing; cuando se combie, se envia of correo, ek El segundo problema es la gestién de las claves almacenadas. Si en una empresa hay diez frabajadores y todos tienen conversaciones privadas con todos, cada uno necesita establecer nueve claves distntas y encontrar nueve canales segures para actualizarlas cada vez (en fotal 81 claves y 81 cancles). Si aparece un trabajador nuevo, chora son 100 claves y 100 canales. ¥ las empresas pueden tener muchos trabsjadores: 500, 5.000, 50 000... ¢Cada vez que cambie mi clave tengo que avisar « 49 999 compa jieros? Es poco monejable. En los aos setenta los criptégrafos Diffie y Hellman publicaron sus invesigaciones so- bre. criptografia asimétrica. Su algorimo de cifrado viliza dos claves mateméticamente relacionadas de monera que lo que cifras con una solo lo puedes descfrar con la ofr. Comparado con la clave simétrica, ahora el emisor no necesita conocer y proteger una clove propio al rcepor quien ene el pa de cloves. Eige una de alos flamada lave publica} pare comonicarla al emisor por si quiere envierle algo cifrado. Pero ya no ie Eta bear concer srigiio pore ems penun stg once ncn la conozea, todo lo que se cifre con esa clave solo se podré descifrar con la otra clave de la pareja [lo elave privadal, que nunca es comunicada. Y mateméticamente es impo- sible deducir la clave privada conociendo solo la clave publica ‘Como se ilustra en la Figura 2.18, cuando el emisor quiere hacer llegar un mensaje con: fidencial al receptor, primero consigue la clave piblica del receptor. Con exo clave y el documento original, aplica el algoritmo simético. El resultado es un documento cifado {que puede enviar ol receptor por cualquier cancl. Cuando el mensaje cifrado llega al receptor, él recupera el documento original aplicande el algoritmo asimérico con 81 clave privada. Si ol receptor quiere enviar al emisor una respuesta cifrada, deberia conseguir la clave piblica del omisor y seguir el mismo procedimiento. i Tet ofS asa Ngortmo Documento wot asimettics ‘fade fsametrco Documento origina Documente original Fig. 2.18. Criptografie aximetrica Le criptogratia asimétrca resuelve los dos problemas de la clave siméttica: * No necesitamos candles seguros para comunicar la clave que utilizaremos en el ci- frado. Podemos adjuntarla en nuestros correos, aftadirla al perfil de nuestras redes sociales, «postearla» en un blog, incluso repartitla en octavillas por la calle. * No hay desbordamiento en el tratamiento de claves y canales. Si somos nueve em- pleados, solo necesitamos nueve claves y un solo canal: la intranet de la empresa, un Correo dexinado a toda la empresa, ec. Y sh aparece un emplecdo nuevo, sern diez claves y el mismo canalSin embargo, los algoriimos asiméricos lienen sus propios problemas * Son poco efcientes: tardan bostante en aplcar las claves para generar los documen- tos cfrados, sobre todo porque las claves deben ser lorgos para asegurar la indepen- dencio matematica entre elas * Uilizar las claves privadas repetidamente es arriesgado porque algunos ataques crip- togréfices se basan en analizar paquetes cihrados. Estos paquets serian capturados en la red o directamente el atacante podria elaborar un software malicioso que gene: rase paquetes de tamatio y contenido elegidos cuidadosaments y conseguir enviarlos « nuestro servidor para que los devolviera cifrados con su clave privada. * Hay que proteger a clave privada. No basta con dejarla en un fichero de una carpeta del disco duro en la cuenta de nuestro usuario; cualquier otro usuario con permisos de administrador podria llegar hasia él. Por este motivo, las claves pri vadas se guardan todas juntas en un fichero llamado keyring (archivo de llaves, llavero}, y este fichero esid protegido mediante cifrade simétrice. Es decir, para poder sar la clave privada, hay que introducir una clave que descifra el llavero y permite leerl. Necesitamos una segunda medida de proteccién de la clave privade: la copia de seguridad del laver. Si el cisco duro se osropen, perderemes al fichore que contone la clave privada y no podremos volver « uilizarla. Por tanto, debemos incluirlo en la politica de backup de la empresa, y confiamos en que, aunque alguien mas tenga acceso al backup (cinlas, discos, etc], la clave simétrica todavia protege el llavero. + Hay que transportar la clave privada. En cifrado simétrico, si hemos enviado el fe chero cifrado a olra maquina y queremos descifrarle, basta con recordar la clave introducila, Pero en la clave privada esto es imposible (son cientos de simbolos sin sentido). Debemos transporiar el llavero, con el riesgo que supone (si lo perdemas, podrian infontar un ataque de fuerza bruta contra el cifrado simétric). Qe Caso préctico 3 ~ ciado (hay varios tipes, como también ocurria en crip: | ifrado asimétrico en Linux Objetivo. Cifrar Ficheros con algorimes asimétices mediante laherramienta gpa Material. Ordenador con Ubuntu 12.04. © Dificutad: = Duracién: © 30 minutos 2 Media 1. En el caso préctico 2 hemos utilizade la herramienta gpg para el cifrado simétrico. Esta misma herra- mienta sirve para el cifrado asimétrico 2. Entramos con un usuario de la méquina (en este ejem flo, lung}, Lo primero seré genre un par de caves de criptografia csimétrica, nuestra propia clave piblica y clave privada. | comando es (Fig. 2.19}: alumno$ gpg --gen-key 3. En el proceso de generacién de la clave nos pregun- tarén varios detalles. El primero es el fipo de clave. La herramienta nos oftece cuatro opciones. Los nombres se corresponden con el ipo de algoritmo osimétrico oso fografia simétrica: DES, AES, etc). Es decir, una clave de tipo DSA se uiliza en un algoritmo DSA, y una clave Elgamal, en un algoritmo Elgamal. Las dos prime: ras opciones ofrecen dos algoritmos, luego generan dos pares de claves: en total, cuatro claves, dos poblicas y dos privadas. El motivo es que generalmente se utiliza una clave (un par} para cifrary otra diferente (otro par) para firmer, como veremos en el siguiente apartado de esta unidad. Elegimos la opcién 2, que tiene algoritmos distintos, y ost veremos claramente cuéndo se utiliza cada clave. Fig. 2.19. Generames un par de claves. (Commiah ‘4Q copes (Continvocén) A conlinvacién nos pregunta el tamaio de la clave del lgoritmo DSA. Por defecto ofrece 2 048, pero en esle ejemplo elegimos el minimo, 1 024, para tardar menos fen gonerarla (Fig. 2.20} 1.2.20. Elagimos el tamao de la clave. . La siguiente pregunta es el periodo de validez de la clave Ya eslamos adveriides de los problemas que supone pro- teger la clave privada, Por sila perdemos, conviene ior una fecha de coducided para que no se pueda usar més alle de ese dia. En nuestro ejemplo no hace falta tanta seguridad y elegiremos que nunca caduqve (Fig. 221) Fig. 2.21. Fijames fa caducided de ka clove. . A confinuacién nos pide algunos datos para identifica la clave. Ya sabemos que en el lavero se pueden almace nor varias claves (de hecho, estamos generando dos pares hora mismo). Para elegir una u otra en cada ocasién, tenemos que idenffcarlas fécilmente. En este caso nos pedité un nombre, una dreccién de correo y un coment fo [fig 2.22) la herromienta gpg nunca nos enviar wn correo; pero es una forma de contacter con el duo de la clave (enregaremos nvesra lave piblico « mucha gente, y ellos tendran las claves piblicas de otras personas). Fig. 2.22. dentiicamos la clave. iguiente paso ot elagit la clave simétrica que prote gerd nuesiras claves (Fig. 2.23). Como siempre, debe s0r una clave Facil de recordar para nosotros y fel de averiguar para cualquier otra persona, Si la olvidames, no podremes utilizar nuestras claves asimétricas. Fig. 2.23. Elegimos la clave sinéniea que protege la clave privada. 8. Ya no hay més pregunies. Ahora la herramienta ejecula los procedimientos mateméticos para obtener las claves casimatricas que hemos solicitado. Estos procedimiontos. necesitan muchos datos aleatorios, por lo que nos pide «que generemos actividad en el sistema para ayudarle (Fig. 2.24) Fig. 2.24. Eno 9.n poco tiempo el proceso termina y ya tenemos nues: tras claves creades Fig. 2.25}. Fig. 2.25. Claves reads 10. Sinos fjamos, veremos una clave primaria (pub) de tipo DSA con tamaho de clave 1 024 [1024D). Debajo hay una clave subordinada de tipo Elgamal con tamaro de clave 1 024 (20249) En el directorio HOME del usuario se ha creado un die forio oculio llamado .gnupg, donde se guardan los Ficheros internos que uiliza la herramienta (Fig. 2.26}. El ichero pubring.gpg contiene las claves péblicas y el fichero secring.gpa, las claves privadas. Por supvesto, ambos estan cifrados Fig. 2.26. Ficheros intrnos 12. Para trabajar con las claves debemos vilizar la pro- pia herramienta, Le lista de claves la cbtenemos con el parémetro 1ist-keys (Fig. 2.27). En pantalla apare- ord nuestra clave principal y la subordinada. alumno$ gpg --List-keys (Continda)@ oo prssicos (Continvacién) Fig. 2.27. Lista de claves, 13. Comparado con el caso preictico del cifrado simétrico, estamos en el paso 13 y todavia no hemos cifrado nada: como ya suponiames, la criptogratia asimétrica es un poco mas complicada. Ahora tenemos que comunicar nuestra clave publica a quien estéinteresado en enviar nos un mensaje cifrado. Primero tenemos que sacarla del llavero. El parémetro es export (Fig. 2.2 alumno$ gpg ‘© /tmp/alumno. pub alumno export Fig. 2.28. Exportamos la clave piblica Hemos uiilizado los pardmetros a (armor) para que el resultado no sea binario y 0 (ovipul) para guardarlo directamente en un fichero (si no, aparece por la salida. estindar). El fichero lo ponemos tranquilamente en /tmp porque no nos importa que otros usuarios lo copien. 14. En la méquina tenemos un segundo usuario llamado profesor. Enirames con este usuario para enviar un mensaje eifrado al usuario alumno con la misma herr: mienta gpg. Para coger las claves pablicas de alumno vilizamos el pardmetio import (Fig. 2.29} amport /tmp/alumno.pub profesor$ gpg Fig, 2.29. Importamos la clave pabli 15.En nuestro ejemplo el usuario profesor es la primera vez que viliza la herramienta gpg, por lo que se le informa que se crea el directorio .gnupa y los ficheros internos. Criplograt 16, Podemos consultar las claves disponibles en el llavero mismo pardmelro List-keys que vimos anle- riormente (Fig. 2.30} profesor$ gpg --list-k Fig. 2.30. Claves disponibles 17. Vamos @ crear un fichero llamado mensaje y lo eifrare mos para envidrselo al usuario @1umno. Los eomandos serian (Fig. 2.31) profesor$ fortune > mensaje a -0 /tmp/mensaje.citrado ‘ipient alumno mensaje Fig. 2.31. Citamos un fichero. los pardmetros a y 0 ya los conocemos (dejamos el fichero en /tmp porque no nos importa que otros usuarios puedan leerlo: sin la clave privada, el con tenido es ininteligible). Hemos aftadido el pardme- {tov [verbose] para obtener més informacién. En este caso, nos sirve para conocer que uiilizard la clave subordinada (Elgamal), en lugar de la clave primaria (08a). El pardmetro encrypt indica que deseamos cifrado asimétrico y el parémetro recipient va seguido del identificador de la clave poblica que queremos utilizar Como ya sabemos, el cifrado viliza la clave piblica del receptor. 18. Una vez introducide ese comands, la respuesta es una advertencia: no hay seguridad de que esa clave publica sea realmente la clave piblica de alumno. Cualquiera podria haber cambiado el fichero /tmp alumno.pub antes de que profesor hiciera el de las claves. Como ayuda, el comando nos eS 4Qos 2 ciprert (Continvocén) ofrece Ia huella (fingerprint) de la clave y nos pide la confirmacién de que es la clave que queremos uli lizor. 9. Podemos volver « la sesién del usuario alumno, obte ner la huella de su clave publica y compararla on la que parece en la sesién de proteaor El parémetro para obtener la huella es ringerprint (Fig. 2.32} alumne$ gpg --fingerprint Fig. 2.32. Obtenemos la huella dela clave ctivamente, las huellas coinciden y podemos confior tn que la clave importada en profesor es coreca Confirmamos que queremos usar esa clave y se crea el fichero cifrado. Ahora podemos volver a la sesién del usvario alumno e intentar descifrarl. El pardmetro es decrypt alumno$ gpg --decrypt /tmp/mensaje citrado Como esperdbamos, el comando nos solicita la con- trasefia que da acceso a la clave privada. En la ven- tana aparece qué clave necesita (en nuestro caso, la lave del algoritmo Elgamal), con toda su identificacisn (Fig. 2.33}, Si pulsamos en Detalles podemos elegir que el sis fema recuerde esta clave; asi chorraremos volver teclearla. Como vimos en la Unidad 1, no es recomen- able que la recuerde para siempre, porque cualquiera podria coger nuestro ordenador y descifrar nuestros mensojes. 21. Si hemos inroducido bien la contrasefia aparecerd el men soje que nos he enviado el usvario profesor (Fig. 2.34). Fig. 2.34. Contenido recuperado. Podemos comprobar qué pasa si el fichero, por cual quier razén, resulta daitado (defecto fisico del disco duro, error en la transmisin, etc}. En el usuario alumno hacemos una copia del fichero y lo editamos para cam- biar cualquier leira. Si después lo intentamos des. ‘epareceré un error (Fig. 2.35} Fig. 2.38. Detectamos error en el ichero cirad 23 . Si ahora el usuario alumno quisiera enviar un fichero ifrado a profesor, primero profesor deberia gene- rar su propio par de claves, después exportar la clave publica, hacerla llegar hasta alumno para que la import, etc Fig. ~ 2.36, Tata intligent, Lo solucién més comin a los problemas de proteger y transportar la clave privada es la tarjeta inteligente (Fig. 2.36]. Es una tarjeta de pléstico que contiene un chip electrSnico, Hay dos tipos * Tarjeta de memoria. Es equivalente a una memoria Flash y se limita a almacenar el Ila vero. Cuando se iniroduce en el lector, el ordenador hace una copia temporal del llavero y trabaja con él inoduciendo la clave simétrica, etc * Tarjeta procesadora. La tarjeta de memoria es peligrosa porque hemos expuesto nues tro llavero. En cambio, en las tarjetas procesadoras las claves también estén almace- nadas, pero nunca salen de la tarjeta. Cualquier cifrado que necesite nuestra clave privada es realizado por el propio chip porque incluye una CPU, memoria RAM, etc For supuesto, sigue siendo necesorio introducir la clave simétrica que abre el llavero,El ejemplo més sencillo es lo tarjeta SIM de los teléfonos méviles: para poder usarla necesilamos introducir el nimero PIN. Aunque la usemos en ofro telefono, el PIN es el rmismo porque est asociodo a la tarjeta. En lo seccién final de esta unidad veremos otro ejemplo de taretaintligente: el DNI elecinico. as torjetas infeligentes también se pueden clasificar por sv tipo de interfaz * Taxjeta de contact El lector necesita tocar los contactos metélicos del chip para inferactuar cen él. Son las més utiizadas, sobre todo en entornos de alta seguridad, como el sector bancario, Administracién electrénica, etc. * Tarja sin contact, Elector uliliza tecnologiasinalémbricas para interactuar con el chip. Se utlizan en situaciones donde se necesitan transacciones rdpidas, como el acceso al transporte pablic. El cifrado asimétrico no se puede utilizar para cifrar todos los paquetes intercambiados cn una red local porque el bajo rendimiento del algoritmo ralentizaria el trfico. En su lugar se adopta un esquema hibride: * Criptogratia asimétrica solo para el inicio de la sesién, cvando hay que generar un canal seguro donde acordar la clave simérica oleatoria que se vilizaré en esa con- * Criptograf simérica durante la transmisin,vilizando la clave siméhica acordada dv- rane el inicio de sesiSn. Generalmente se svele cambiar lo clave simétrca cada cierto tiempo minutos} para dificular mas el espionaje de la conversacién. Es decir, evando A quiere establecer uno conversacién con B, en A se genera en ese instante una neva clave simética (CS), Para envidrsela a B de modo seguro, Alacra vl- lizando un elgoriime aximétrco con la clave publica de B. Cuando B rece ia CS cifrada, lo descifra con su cleve privada y desde ese momento pueden seguir el diclogo cifrando con el algoritmo simérico acordado y la CS recibido. En la Figura 2.37 vemos un ejem plo con el protocolo SSH. = = F coo pain cape + Clave privada det ccna I+ a7 ¢ amenca NOHO iis tet > %& > lcime —Agortme _cime limetica simatcn simétres ieroda ropuesta Porat lente SSH Mensaje no ctrago > cotade asmeticn me Ctra seetico Fig. 2.97. Exquema hibvido de clfiado on $SH. 7} Actividades 12. Entre dos compafieros, ut lizad gpg en modo asimé- tieo pore ervir un correo tlectrieo que dentro leve tnmensoje erode. 12, sPodsiamos proteger el ar Chivo de llaves con un al gorlino asimérco? 14. sPara qué sirve el pard- fret gen-revoke en a he. tramiente gpa? 15. investiga sila tarjeta SIM es de ipo procesadora © 16. Las primeras tarjetas de crédito utlizaban una ban- da magnético; después cambiaron @ chip. 3Por qué? 17, Busca cémo se puede esto: blecer un tinel seguro con un servidor FIP mediante SSH. a Vocabulario ——— SSH [Secure $Hell. Protocolo de comunieaciones que permite citar la conversacién exttemo a extrem. Se ufiiza para sesiones inferacivas de comands les un bbuen sustiuio de telnet, tranfe- rencias de archivos (ustivio. do FIP) tines soguros eno apc ciones, ete. \ ) iy2 cietorato Q Vocabulario —— la funcién hash so viiza tembién para comprobar que. un fichero ro ha sido alerado. Es importa: fe sobre fo alice os on ejecutable, que puede haber sido modificado por un virus para inlontarreplicorse, Las funciones, més vtlizadas son MDS y las dis fintas versiones de SHA. Adtividades 18. sCémo harias llegar ol Servidor, de manera segu- 1a, las claves piblicas de los clientes? 19. Investig cdmo confirma un cliente que el servidor al que se conecta es el Cuténtico y no un impostor 20. Envia a un compaiero un fichero ejeculable firma- do, El deberé comprobor Io frma, exter el fchero Y ejecviarlo para confi ‘mat que ha llegado bien 21. gPor qué se firma solo el resumen del documento, y.no el documento com- pleto? } @ 4.Cifrar y firmar le primera uiilidad de la criptografa es ocular el mensaje para aquellos que no son destinatarios del mismo. Es deci, garantizar la

También podría gustarte

• Seguridad Informática

  

  100% (1)

  Seguridad Informática

  166 páginas
• Seguridad y Alta Disponibilidad

  

  100% (1)

  Seguridad y Alta Disponibilidad

  234 páginas
• Hacking Desde Cero

  

  Aún no hay calificaciones

  Hacking Desde Cero

  196 páginas
• Seguridad Informatica Mcmillan

  

  100% (1)

  Seguridad Informatica Mcmillan

  219 páginas
• Seguridad y Alta Disponibilidad Apuntes v2 0

  

  67% (3)

  Seguridad y Alta Disponibilidad Apuntes v2 0

  149 páginas
• LIBRO Sistemas Operativos en Red

  

  100% (3)

  LIBRO Sistemas Operativos en Red

  290 páginas
• Seguridad Informática PDF

  

  100% (4)

  Seguridad Informática PDF

  124 páginas
• Garceta - Seguridad y Alta Diponibilidad

  

  Aún no hay calificaciones

  Garceta - Seguridad y Alta Diponibilidad

  360 páginas
• Sistemas Operativos Monopuestos Flipbook PDF

  

  100% (2)

  Sistemas Operativos Monopuestos Flipbook PDF

  314 páginas
• Practicas de Montaje y Mantenimiento de Equipos Informaticos

  

  100% (2)

  Practicas de Montaje y Mantenimiento de Equipos Informaticos

  137 páginas
• Sistemas Operativos Monopuesto

  

  100% (4)

  Sistemas Operativos Monopuesto

  122 páginas
• Implantación de Sistemas Operativos (ISO) Un Enfoque Práctico (Todas Las Tareas y Prácticas Entregables) 1 EDICIÓN

  

  100% (2)

  Implantación de Sistemas Operativos (ISO) Un Enfoque Práctico (Todas Las Tareas y Prácticas Entregables) 1 EDICIÓN

  694 páginas
• Seguridad Informatica

  

  85% (20)

  Seguridad Informatica

  684 páginas
• Introducción A La Cyberseguridad 2024

  

  100% (6)

  Introducción A La Cyberseguridad 2024

  256 páginas
• Redes Locales Paraninfopdf

  

  33% (3)

  Redes Locales Paraninfopdf

  64 páginas
• Libro Implantacion de Sistemas Operativos

  

  100% (6)

  Libro Implantacion de Sistemas Operativos

  596 páginas
• Master Seguridad Informatica

  

  Aún no hay calificaciones

  Master Seguridad Informatica

  15 páginas
• Administración de SO

  

  100% (2)

  Administración de SO

  336 páginas
• 04 Manual Administración de Sistemas de Ciberseguridad

  

  100% (2)

  04 Manual Administración de Sistemas de Ciberseguridad

  224 páginas
• Libro Seguridad Informatica

  

  Aún no hay calificaciones

  Libro Seguridad Informatica

  116 páginas
• Servicios de Red

  

  100% (4)

  Servicios de Red

  362 páginas
• Libro Ciberseguridad Internet

  

  90% (10)

  Libro Ciberseguridad Internet

  245 páginas
• 9788413571881

  

  100% (2)

  9788413571881

  23 páginas
• Sistema Operativo Monopuesto

  

  50% (2)

  Sistema Operativo Monopuesto

  22 páginas
• Ciberseguridad

  

  82% (11)

  Ciberseguridad

  286 páginas
• Implantación de Sistemas Operativos: Ilerna

  

  Aún no hay calificaciones

  Implantación de Sistemas Operativos: Ilerna

  443 páginas
• ENI - Seguridad Informatica y Malwares Analisis de Amenazas e Implementacion de Contramedidas PDF

  

  100% (3)

  ENI - Seguridad Informatica y Malwares Analisis de Amenazas e Implementacion de Contramedidas PDF

  199 páginas
• Implantación de Sistemas Operativos Ra-Ma

  

  100% (2)

  Implantación de Sistemas Operativos Ra-Ma

  299 páginas
• CFGM Aplicaciones Ofimáticas

  

  0% (2)

  CFGM Aplicaciones Ofimáticas

  297 páginas
• Montaje y Mantenimiento de Equipo Compress

  

  Aún no hay calificaciones

  Montaje y Mantenimiento de Equipo Compress

  284 páginas
• Libro de Montaje y Mantenimiento de Equipos PDF

  

  100% (4)

  Libro de Montaje y Mantenimiento de Equipos PDF

  404 páginas
• Monitorización y Seguridad Informática

  

  Aún no hay calificaciones

  Monitorización y Seguridad Informática

  222 páginas
• Técnico en Redes y Seguridad - SOLUCIÓN DE PROBLEMAS PDF

  

  100% (4)

  Técnico en Redes y Seguridad - SOLUCIÓN DE PROBLEMAS PDF

  100 páginas
• Implantación de Aplicaciones Web - Garceta

  

  100% (5)

  Implantación de Aplicaciones Web - Garceta

  484 páginas
• Guia Practica Ciberseguridad y Hacking Etico

  

  Aún no hay calificaciones

  Guia Practica Ciberseguridad y Hacking Etico

  131 páginas
• Seguridad y Alta Disponibilidad

  

  100% (5)

  Seguridad y Alta Disponibilidad

  234 páginas
• Seguridad Informática y Malwares

  

  100% (2)

  Seguridad Informática y Malwares

  199 páginas
• Temario Cisco Ciberseguridad Essentials

  

  100% (8)

  Temario Cisco Ciberseguridad Essentials

  314 páginas
• Seguridad Pasiva y Copias de Seguridad

  

  100% (1)

  Seguridad Pasiva y Copias de Seguridad

  58 páginas
• SERvicio de Red e Internet

  

  Aún no hay calificaciones

  SERvicio de Red e Internet

  23 páginas
• Curso de Ciberseguridad Industrial

  

  100% (3)

  Curso de Ciberseguridad Industrial

  429 páginas
• FPB - Operaciones Auxiliares Informáica

  

  100% (2)

  FPB - Operaciones Auxiliares Informáica

  249 páginas
• Redes Informaticas 2019

  

  100% (2)

  Redes Informaticas 2019

  148 páginas
• Tema 1. Introduccion A Los Sistemas Informáticos

  

  Aún no hay calificaciones

  Tema 1. Introduccion A Los Sistemas Informáticos

  38 páginas
• UT01 - Principios de Seguridad y Alta Disponibilidad

  

  100% (1)

  UT01 - Principios de Seguridad y Alta Disponibilidad

  34 páginas
• Apuntes Sistemas Informáticos 1º Ciclos DAM/DAW/ASIR

  

  100% (3)

  Apuntes Sistemas Informáticos 1º Ciclos DAM/DAW/ASIR

  95 páginas
• Montaje y Maneniento de Equipos

  

  100% (2)

  Montaje y Maneniento de Equipos

  99 páginas
• Conceptos Seguridad 1

  

  Aún no hay calificaciones

  Conceptos Seguridad 1

  18 páginas
• Tico Trabajo 4k

  

  Aún no hay calificaciones

  Tico Trabajo 4k

  6 páginas
• Hackers Al Descubierto - USERS

  

  100% (4)

  Hackers Al Descubierto - USERS

  347 páginas
• Seguridad y Alta Disponibilidad

  

  Aún no hay calificaciones

  Seguridad y Alta Disponibilidad

  234 páginas
• CFGS - RAMA - Seguridad Y Alta Disponibilidad - Jesus Costas Santos (2011) Opt

  

  Aún no hay calificaciones

  CFGS - RAMA - Seguridad Y Alta Disponibilidad - Jesus Costas Santos (2011) Opt

  234 páginas
• MÓDULO1

  

  Aún no hay calificaciones

  MÓDULO1

  21 páginas
• Ethical Ha - Las Tecnicas de Los Hackers

  

  Aún no hay calificaciones

  Ethical Ha - Las Tecnicas de Los Hackers

  314 páginas
• Hacking Desde Cero

  

  100% (5)

  Hacking Desde Cero

  196 páginas
• 01 Seguridad Informatica

  

  Aún no hay calificaciones

  01 Seguridad Informatica

  30 páginas
• Curso de Ciberseguridad y Privacidad

  

  Aún no hay calificaciones

  Curso de Ciberseguridad y Privacidad

  33 páginas
• Scareware y riesgos cibernéticos

  

  Aún no hay calificaciones

  Scareware y riesgos cibernéticos

  12 páginas
• Trabajo de Ciberseguridad

  

  Aún no hay calificaciones

  Trabajo de Ciberseguridad

  11 páginas
• 9-Seguridad-Andrew Tanenbaum - Sistemas Operativos Modernos 3era

  

  Aún no hay calificaciones

  9-Seguridad-Andrew Tanenbaum - Sistemas Operativos Modernos 3era

  108 páginas