Tema 1

INTRODUCCIÓN A LA
SEGURIDAD
Introducción
Las organizaciones tienen una serie de bienes que proteger – La
Información es uno de ellos => mecanismos que la protejan.
La informatización obligó a que los requisitos de seguridad de la
información hayan sufrido grandes cambios.
◦ Métodos físicos: cajas fuertes, guardias de seguridad, recintos cerrados.
◦ Procedimientos: acceso sólo a personas con permisos, que se autentifiquen
con un carnet.

Actualmente => necesidad de herramientas automatizadas para

proteger tanto ficheros como otra información almacenada en los
equipos.

2
 Introducción
Seguridad en máquinas u ordenadores. Varias personas comparte un ordenador:
◦ Cada una de ellas se autenticara como un usuario diferente (password, tarjeta,
características físicas…)
◦ Cada usuario tendrá distintos tipos de acceso a los diferentes recursos de la máquina.

Seguridad en redes: varias máquinas se comunican entre si (red, sistema

distribuido,…)
◦ Son necesarias medidas de seguridad para proteger los datos durante la transmisión.

Seguridad en interredes: diferentes redes se comunican entre si.

Actualmente: no hay diferencia entre estos 3 conceptos => medidas para

determinar, prevenir, detectar y corregir las violaciones de seguridad que implica la
utilización y transmisión de información.

3
 Introducción
Violación de seguridad:
◦ Un usuario A envía un fichero a un usuario B. El fichero A B
contiene información sensible, que no debe ser revelada. Un
usuario C, que no está autorizado a ver o leer el fichero, es
capaz de monitorizar la transmisión y captura una copia del C
fichero durante la transmisión, por tanto puede verlo.

◦ Un administrador D envía información al ordenador E con

actualización de usuarios para cambiarles la contraseña, o D E
bien, con información de nuevos usuarios que tendrán
acceso al ordenador. Si F intercepta el mensaje, puede
F
alterar el contenido añadiendo o borrando entradas, y
después reenviar el mensaje a E. E pensará que el mensaje
viene de D.
D E
◦ También puede ocurrir que F cree un mensaje y se lo envíe a
E como si fuese de D. Es decir, está suplantando la identidad
F
de una máquina, haciéndose pasar por quién no es.

4
Introducción
◦ Un empleado cabreado y despedido. Puede hacerse con información sensible,
guardarla en casa para contrarrestar el despido y después utilizarla cuando crea
conveniente.

◦ Un cliente envía un mensaje a un agente de bolsa con instrucciones para varias

transacciones. Posteriormente las acciones pierden valor y el cliente niega que él ha
enviado el mensaje.
A envía un mensaje a B, pero B debe poder probar que A lo ha mandado en el caso de
que A niegue el envío.

5
Ataques, Servicios,
Mecanismos
Para calcular de manera efectiva las necesidades de seguridad de una organización y
definir políticas de seguridad, el responsable de seguridad necesita alguna manera
de definir de forma sistemática los requisitos de seguridad.
◦ Ataques a la seguridad: cualquier acción que compromete la seguridad de la información
propiedad de una organización.
◦ Mecanismos de seguridad: acciones o protocolos diseñados para detectar, prevenir y
recuperarse de un ataque a la seguridad. (cifrado)
◦ Servicios de seguridad: funciones que haciendo uso de algún mecanismo de seguridad
tratan de evitar, prevenir y detectar ataques a la seguridad. (confidencialidad, autenticación
de mensajes).

Un servicio contrarresta los ataques haciendo uso de uno o más mecanismos.

La confidencialidad contrarresta la intercepción haciendo uso de algún algoritmo

criptográfico de clave simétrica.

6
Ataques, Servicios, Mecanismos.
Servicios
Réplicas de los tipos de funciones asociadas a
documentos físicos. Dificultades:
◦ Documentos físicos es fácil distinguir una copia del original.
Documento electrónico es indistinguible.
◦ Alteraciones es el papel físico es fácil detectarlas. En los documentos
electrónicos no se deja rastro.
◦ Pruebas de autenticidad: firma o rúbrica, notario. Los documentos
electrónicos no se puede rubricar.

7
Ataques, Servicios, Mecanismos.
Servicios
◦ Confidencialidad.
Es un servicio por el cual se asegura o se requiere que la información sea solo
accesible para lectura a personas/grupos autorizados. Incluye impresión,
visualización y otras formas de revelación, incluyendo el simple revelado de la
existencia de un objeto.
◦ Autenticación o validación.
Capacidad para asegurar o verificar la identidad de un sujeto, el destinario de un
mensaje tiene seguridad de que el remitente es quien dice ser.
◦ Integridad.
Servicio para asegurar la no manipulación de la información generada en el
origen, es decir, servicio por el cual se requiere que un documento solo puede ser
modificado por personas/grupos autorizados. Incluye escritura, cambio de
estado, borrado y creación.

8
Ataques, Servicios, Mecanismos.
Servicios
◦ No repudio.
Ni el emisor ni el receptor pueden negar la emisión o recepción de un documento, es un
servicio que previene que tanto emisor como receptor nieguen la transmisión/recepción de
un mensaje. Cuando un mensaje es enviado, el receptor puede probar que el mensaje fue
realmente enviado por un supuesto emisor. Igualmente cuando un mensaje es recibido, el
emisor puede probar que el mensaje fue realmente recibido por el presunto receptor.

◦ Disponibilidad.
Requiere que la información esté disponible siempre que se solicite (98% o 99%) por grupos
autorizados. No solo información sino también servicios.

◦ Control de acceso.
Es un servicio que ofrece la capacidad de limitar y controlar el acceso o quién accede a los
sistemas (hosts) y aplicaciones. Para lograrlo, cada entidad que intenta tener acceso a un
sistema debe ser identificado o autentificado.

9
Ataques, Servicios, Mecanismos.
Mecanismos
◦ Casi todos los mecanismos están basados en técnicas de criptográficas:
◦ Cifrado/descifrado (reversibles)
◦ Compendio de mensajes, funciones hash (irreversibles)

10
Ataques, Servicios, Mecanismos.
Ataques
Ideal prevenirlos – si no es posible detectarlos y anularlos.
◦ Intercepción. Una parte no autorizada consigue acceder a un elemento o a información. Es un ataque a la
confidencialidad. La parte no autorizada puede ser una persona, un programa, un ordenador.

A B

11
Ataques, Servicios, Mecanismos.
Ataques
◦ Interrupción. Se destruye un elemento del sistema o se hace inasequible o inútil. Se corta el
flujo de información. Es una amenaza a la disponibilidad.

A B

◦ Modificación. Una parte no autorizada, no solo consigue acceder, sino que falsifica un
elemento. Es un ataque a la integridad. En el trayecto el flujo de información una tercera
parte cambia el contenido del mensaje.
A B

◦ Invención o fabricación. Una parte no autorizada inserta objetos falsos en el sistema. Sería
un ataque por el cual una tercera parte manda un mensaje haciéndose pasar por quién no
es. Es un ataque a la integridad y a la autentificación. A B

12
Ataques, Servicios, Mecanismos.
Ataques
Confidencialidad Integridad/ Disponibilidad
Autenticidad
Hardware Robo o inhabilitación
de equipos

Software Realizar una copia de Modificar un Borrar programas

software no programa para que
autorizada falle/realice algo no
esperado
Datos Leer datos no Modificación de Borrar ficheros
autorizados ficheros existentes/
creación de nuevos
Líneas de Leer mensajes. Modificación, Destrucción de
Análisis de tráfico reordenación, mensajes, hacer líneas
comunicación duplicación de no accesibles
mensajes. Creación
de mensajes falsos

13
Ataques, Servicios, Mecanismos.
Ataques
Ataques, clasificados según la naturaleza:
◦ Pasivos.
◦ Son los menos dañinos, son aquellos en los cuales no se modifica la información sino que sólo
produce una escucha.
◦ Dentro de estos se pueden distinguir dos cosas:
◦ Recuperar el mensaje.
◦ Aún no conociendo el mensaje se puede hacer un análisis de tráfico y a partir de él obtener
información.
◦ Son fáciles de combatir y difíciles de detectar.

◦ Activos.
◦ Se puede modificar la información.
◦ Son fáciles de detectar, difíciles de prevenir aunque relativamente fácil tomar medidas para
corregir esos ataques.

14
Modelos de seguridad.
Ejemplo

15
Modelo de seguridad. Ejemplo

16
Introducción a la Criptografía
Criptografía: arte que estudia la escritura secreta, escribir ocultando el
significado.

Criptoanálisis: arte que estudia como hacer legible al escritura secreta.

Criptologia: ciencia/arte que engloba la criptografía y el criptoanálisis.

=> Estudio de los algoritmos que permiten codificar la información para

hacerle ininteligible para un oponente.

17
Introducción a la criptografía
Aspectos a tener en cuenta a la hora de escribir algoritmos
criptográficos:
◦ Tipos de operaciones para transformar el texto plano en texto cifrado.
◦ Sustituciones y transposiciones (de forma reiterada)
◦ Lógicas y aritméticas (símbolos binario)

◦ Número de claves usadas

◦ Una clave – algoritmos de cifrado convencional, de clave simétrica o de clave secreta.
◦ Dos claves – (Clave pública y clave privada). Algoritmos asimétricos o de clave pública.
◦ Una se utiliza para el cifrado y otra para el descifrado.
◦ Pública conocida públicamente y la privada conocida sólo por el propietario.

18
Introducción a la criptografía
Forma en la que el texto plano (texto a cifrar) es procesada
por el algoritmo.
◦ Cifradores de bloque:
◦ Se toma un conjunto de elementos de entrada (bloque), se cifran y
se genera un conjunto de elementos de salida (bloque).
◦ Hasta que no se tiene un bloque entero no se cifra.

◦ Cifradores de corriente:
◦ Cifra uno a uno los símbolos del texto plano.
◦ Puede ser a nivel de bit o de carácter.

19
Introducción a la criptografía
Criptoanálisis.
◦ Técnicas utilizadas para descifra un mensaje (información) sin ningún otro
conocimiento que el algoritmo de cifrado.
◦ Objetivo: Obtener el texto el texto plano o la clave a partir del texto cifrado.
◦ Las formas de hacer criptoanálisis dependen:
◦ De la naturaleza del algoritmo.
◦ Si se conoce alguna característica del texto plano
◦ Si se conocen pares de texto cifrado y texto plano.

20
Introducción a la criptografía
Un esquema de cifrado se dice que es “incondicionalmente seguro” si
del texto cifrado disponible es imposible obtener la clave o el texto
plano, independientemente de la cantidad de texto disponible y del
tiempo del que dispone el oponente.
Algoritmo incondicionalmente seguro: one-time pad. Inviable su
utilización. Esquema “computacionalmente seguro”, si se cumplen dos
criterios:
El tiempo necesario para descifrar la información excede la vida útil de la
misma.
El coste de descifrarlo excede el coste de la información.

21
Introducción a la criptografía
Problemas a la hora de hacer criptoanálisis:
◦ Estimaciones de tiempo.
◦ Dificultad de reconocer el texto plano.

22
Introducción a la criptografía
Esteganografía
◦ Ocultan, encubren, disimulan la existencia de un mensaje.
◦ Objetivo: que no se detecte ni tan siquiera que existe un texto oculto.
◦ No es una técnica de encriptación como tal.
◦ No se codifica la información para que pueda ser entendida, sino que se trata de
ocultar la propia existencia de los datos.
Técnicas clásicas: marcado de caracteres, tinta invisible, punzadas.
Técnicas más modernas:
◦ Escribir en un color igual que el fondo.
◦ Cambiar la fuente en algunos caracteres.
◦ Codificar la información en ficheros gráficos o de sonido.

◦ Tarea: Buscar alguna aplicación que permita ocultar información.

23