***************************************************************************************************

******

Módulo OPCIONAL: “Descripción

de los conceptos de criptografía”
***************************************************************************************************
******

1 - Introducción
Los términos "criptografía" y "cifrado" suelen evocar imágenes de espías y
operaciones secretas, o de piratas informáticos trabajando en entornos aislados. Sin
embargo, estos conceptos son esenciales para el funcionamiento del mundo en línea
moderno. La criptografía y el cifrado constituyen los pilares fundamentales de
cualquier solución sólida de ciberseguridad. Su aplicación incluye, por ejemplo, la
protección de correos electrónicos frente a accesos no autorizados y la seguridad en
las transacciones en línea.

A medida que se avanza en el aprendizaje sobre ciberseguridad, se observa cómo la

criptografía y el cifrado son herramientas clave para proteger las actividades diarias en
el entorno digital. Este módulo ofrece una introducción completa a estos conceptos, y
al finalizarlo, se habrán adquirido conocimientos amplios sobre los siguientes temas:

1. Conceptos básicos de criptografía.

2. Usos del cifrado en la ciberseguridad.
3. Usos del hashing y la firma digital.
4. Compatibilidad de los certificados digitales con una buena ciberseguridad.

2 - Descripción de la criptografía
Desde los inicios de la comunicación, la humanidad ha sentido la necesidad de
mantener información en secreto. Con el tiempo, a medida que se desarrollaban
nuevas formas de comunicación, también crecía la necesidad de compartir secretos
con aliados de manera segura.

Definición de criptografía
La criptografía, cuyo origen proviene de la palabra griega kryptos, que significa "oculto"
o "secreto", se refiere al uso de técnicas para lograr una comunicación segura entre un
remitente y un destinatario. Aunque su propósito principal es ocultar el significado de
mensajes escritos, también puede aplicarse a imágenes.

El primer uso conocido de la criptografía data del antiguo Egipto, donde se empleaban
jeroglíficos complejos. Más adelante, el emperador romano Julio César introdujo uno
de los primeros métodos de cifrado para proteger comunicaciones militares. Estos
ejemplos reflejan cómo la criptografía no se limita únicamente al ámbito digital, aunque
en la actualidad ha evolucionado hasta convertirse en un elemento esencial para la
protección en el mundo conectado digitalmente.

La criptografía está presente en múltiples aspectos de la vida cotidiana:

1. Navegadores: Cada vez que se accede a una dirección HTTPS, una tienda en
línea, una cuenta bancaria o plataformas como Microsoft Learn, la criptografía
 asegura la confidencialidad de las interacciones.

2. Conexiones inalámbricas: Cuando se conecta un dispositivo a un enrutador

para acceder a Internet, la criptografía protege la conexión.

3. Almacenamiento: Protege los archivos tanto en almacenamiento interno como

externo.

4. Smartphones: Garantiza la confidencialidad e integridad de las comunicaciones

a través de llamadas de video y audio, así como de mensajes de texto.

Como cualquier sistema, la criptografía posee su propio vocabulario. Dos términos

clave son:

1. Texto no cifrado: Representa cualquier mensaje o dato original (documentos,

música, imágenes, películas, datos o programas) que no ha sido transformado
criptográficamente.

2. Texto cifrado: Es el resultado de convertir el texto no cifrado en un mensaje

secreto, lo que representa los datos cifrados o protegidos.

3 - Descripción del cifrado y sus usos en la

ciberseguridad
El cifrado es el proceso por el cual un mensaje de texto no cifrado se transforma en
texto cifrado ilegible, garantizando la confidencialidad de los datos compartidos entre
el remitente y el destinatario. Este mecanismo se deriva de la criptografía, que ha
evolucionado desde métodos rudimentarios, como el intercambio de letras, hasta
dispositivos complejos, como la máquina Enigma, y en la actualidad se realiza
mediante algoritmos matemáticos y equipos digitales.

¿Qué es el cifrado?
El cifrado convierte mensajes legibles en texto cifrado ilegible para mejorar la
confidencialidad. A su vez, el descifrado revierte este proceso, permitiendo que el
destinatario lea el mensaje.

Ambos procesos requieren una clave secreta, que puede ser de dos tipos:

o Claves simétricas
o Claves asimétricas

Claves simétricas
En el cifrado simétrico, la misma clave criptográfica se utiliza tanto para cifrar como
para descifrar. Este método es rápido y proporciona un buen nivel de seguridad, pero
la clave debe ser tratada como un secreto compartido entre las partes involucradas.
Sin embargo, el principal desafío del cifrado simétrico es la gestión de las claves a
medida que el número de usuarios aumenta:

o Para 3 personas, se necesitan 3 claves.

o Para 100 personas, se requieren 4950 claves.
o Para 1000 personas, se necesitan 499,500 claves.

Este crecimiento exponencial se calcula mediante la fórmula:

p x (p−1)/2

donde “p” es el número de individuos.

Esto hace que la distribución y administración segura de las claves sea difícil y costosa
en organizaciones grandes.

El cifrado, aunque fundamental en la ciberseguridad, enfrenta desafíos en su

implementación debido a la complejidad de gestionar las claves criptográficas,
especialmente en estructuras organizacionales amplias.

Cifrado asimétrico o de clave pública

El cifrado asimétrico, desarrollado en los años 70, aborda la distribución y proliferación
segura de claves asociadas al cifrado simétrico. Utiliza un par de claves: una clave
pública y una clave privada. La clave pública se puede compartir libremente, mientras
que la clave privada debe mantenerse protegida y solo debe ser accesible para el
propietario. Un usuario que necesite cifrar un mensaje utiliza la clave pública del
destinatario, asegurando que únicamente quien posea la clave privada pueda
descifrarlo.

Este método elimina las complicaciones de distribuir claves de manera segura y

reduce significativamente el número total de claves necesarias para la comunicación
segura. Por ejemplo, en una organización gubernamental con 1000 empleados, el
cifrado asimétrico requiere 2000 claves (un par por usuario), mientras que el cifrado
simétrico necesitaría 499,500 claves.
 ¿Cómo funciona el cifrado asimétrico?
El funcionamiento del cifrado asimétrico puede resumirse de la siguiente manera:

1. Generación de claves: Cada persona crea un par de claves mediante

herramientas de software.
2. Intercambio de claves públicas: Las claves públicas se comparten entre las
partes, ya que no necesitan mantenerse en secreto.
3. Cifrado: El remitente usa la clave pública del destinatario para cifrar el
mensaje de texto no cifrado, convirtiéndolo en texto cifrado.
4. Descifrado: El destinatario utiliza su clave privada para descifrar el mensaje y
convertirlo nuevamente en texto no cifrado.

Por ejemplo, Quincy y Mónica generan sus claves y comparten las claves públicas
entre sí.

Quincy cifra un mensaje con la clave pública de Mónica y lo envía. Mónica, al recibirlo,
usa su clave privada para descifrarlo.
Si Mónica responde, utiliza la clave pública de Quincy para cifrar el mensaje, y Quincy
lo descifra con su clave privada.

Si un tercero, como Eve, intenta interceptar los mensajes:

 Aunque Eve posea la clave pública de Mónica, no podrá descifrar el mensaje

porque no tiene acceso a la clave privada.
 Intentar descifrar el texto cifrado con la clave pública no produce resultados
útiles, ya que el texto resultante sería ilegible.
 Debido a la complejidad matemática del cifrado asimétrico, no es posible
deducir la clave privada a partir de la clave pública.

El presente acápite incluye un vídeo adicional de dos minutos que explica el

funcionamiento del cifrado simétrico y asimétrico, así como su papel en la protección
de documentos frente a accesos no autorizados.

Diferentes tipos de cifrados

Existen diversos tipos de cifrado tanto simétrico como asimétrico, y continuamente se
desarrollan nuevas versiones. Entre los más comunes se encuentran:

1. Data Encryption Standard (DES) y Triple DES: Fueron de los primeros

estándares de cifrado simétrico utilizados.
2. Advanced Encryption Standard (AES): Reemplazó a DES y Triple DES y
sigue siendo ampliamente empleado en la actualidad.
3. RSA: Es uno de los primeros estándares de cifrado asimétrico utilizados, y aún
se emplean variaciones del mismo.

¿Dónde se usa el cifrado?

El cifrado se utiliza a nivel mundial en múltiples aspectos de la vida cotidiana, desde
realizar llamadas telefónicas hasta usar tarjetas de crédito para compras. Su uso es
aún más prevalente durante la navegación en Internet.

 Exploración web: Siempre que accedemos a un sitio web cuya dirección

comienza con "https" o incluye un icono de candado, se está utilizando cifrado.
 Esto garantiza la seguridad de la información, como en conexiones a bancos o
compras en línea donde se proporciona información sensible, como números
de tarjetas de crédito.
 Cifrado de dispositivos: Los sistemas operativos ofrecen herramientas para
habilitar el cifrado en discos duros y dispositivos portátiles. Por ejemplo,
Windows BitLocker permite cifrar discos duros o unidades conectadas a través
de USB, protegiendo así la información almacenada.
 Aplicaciones de mensajería: Muchas aplicaciones de mensajería populares
incorporan cifrado para proteger los mensajes que se envían a través de ellas.
 Comunicaciones móviles: Al usar smartphones u otros dispositivos móviles,
el cifrado asegura el registro del dispositivo en las torres de
telecomunicaciones más cercanas, garantizando una conexión segura y la
mejor intensidad de señal posible.

4 - Descripción del hashing y su aplicación en la firma

digital
La criptografía no sólo protege mensajes del acceso no autorizado mediante cifrado,
sino que también asegura que los datos, como documentos e imágenes, no sean
alterados. Esto se logra a través de un proceso llamado "hashing".

¿Qué es el hashing?
El hashing utiliza un algoritmo o función hash para transformar el texto original en un
valor único de longitud fija conocido como "valor hash". Cada vez que se aplica el
mismo algoritmo al mismo texto, se genera idéntico valor hash, lo que permite usarlo
como un identificador único de los datos.

A diferencia del cifrado, el hashing no emplea claves, y el valor generado mediante el

algoritmo hash no puede revertirse para obtener el valor original.

Existen diversos tipos de funciones hash. Entre ellos, uno de los más reconocidos es
el Algoritmo Hash Seguro (SHA), una familia de algoritmos que incluye múltiples
variantes. Un ejemplo comúnmente utilizado es SHA-256, que genera valores hash de
256 bits de longitud. Este algoritmo es ampliamente mencionado en conversaciones
con profesionales de seguridad.

¿Qué es una firma digital?

La firma digital es una aplicación común del hashing que, al igual que una firma
manuscrita, valida la autenticidad del documento y garantiza que proviene de la
persona que lo firmó. Además, sirve para verificar que el documento no ha sido
modificado.

¿Cómo funciona una firma digital?

Una firma digital es única para cada persona que firma un documento y emplea un par
de claves asimétricas: una clave privada y una clave pública.

Con un servicio de firma digital, el proceso funciona de la siguiente manera:

1. Creación de la firma: Mónica asigna una firma digital al documento mediante

un servicio de firma digital. Para ello, se genera un hash con marca de tiempo
que luego se cifra usando su clave privada.
2. Anexado al documento: Este hash cifrado se anexa al documento original,
que permanece sin cifrar.
3. Envío: Tanto el documento firmado como la clave pública de Mónica se envían
a Victoria.

Cuando Victoria recibe el documento:

1. Extracción del hash cifrado: Usa el servicio de firma digital para extraer el
hash cifrado del documento.
2. Generación de un nuevo hash: Se genera un nuevo hash a partir del
documento original no cifrado.
3. Verificación: Con la clave pública de Mónica, se descifra el hash cifrado inicial.
Si este coincide con el hash generado por Victoria, la firma digital es válida, y
Victoria puede estar segura de que el documento no ha sido alterado.

La firma digital requiere el uso de un servicio específico para este propósito. Entre los
servicios más populares se encuentran DocuSign y Adobe Sign.

5 - Descripción de los certificados digitales

La criptografía tiene diversas aplicaciones en el mundo moderno, como garantizar la
confidencialidad de los mensajes y usar el hash en firmas digitales para asegurar que
un mensaje no haya sido alterado. Los certificados digitales proporcionan una capa
adicional de seguridad, ayudando a prevenir que personas poco éticas intercepten,
modifiquen o falsifiquen mensajes durante la comunicación digital.

Un certificado digital es una credencial emitida por una entidad de certificación (CA),
cuya función es verificar la identidad de la persona o entidad a la que se le ha emitido
el certificado, conocido como el firmante. Este certificado actúa como un pasaporte o
una credencial de identidad emitida por una autoridad de confianza, como una agencia
gubernamental, para garantizar la autenticidad de la identidad. Los datos incluidos en
un certificado digital contienen información sobre el firmante y su clave pública,
proveniente de su par de claves pública y privada, los cuales han sido comprobados
por la CA.

Para obtener un certificado digital, la persona o entidad interesada envía una solicitud
de certificación a una CA confiable. Esta solicitud incluye los detalles de la identidad
del solicitante y su clave pública, que proviene del par de claves generadas con una
herramienta disponible. En algunos casos, el solicitante puede pedir a la CA que emita
el par de claves en su nombre. Sin embargo, la clave privada siempre debe
permanecer en secreto para el solicitante. La CA revisa la información proporcionada
en la solicitud y, si cumple con los criterios, firma y emite el certificado digital, que
incluye la información sobre el firmante y su clave pública.

La duración de un certificado digital es generalmente de un año, después del cual

expira. Al caducar el certificado, se muestra un mensaje de advertencia indicando que
no se puede confirmar la identidad del firmante.
Una aplicación común y visible de los certificados digitales se encuentra en la
comunicación web. Los sitios web que utilizan HTTPS seguro emplean certificados
digitales, lo cual se indica mediante un ícono de candado en la barra de direcciones
del navegador.

Al seleccionar “La conexión es segura”, el usuario puede acceder a opciones y obtener

información adicional sobre la conexión segura.
Además, al hacer clic en el ícono del certificado, se pueden obtener detalles sobre el
certificado digital correspondiente.

¿Por qué necesitamos certificados digitales?

En el contexto del cifrado asimétrico, se describió cómo se usan los pares de claves
pública y privada para garantizar la seguridad de la comunicación. En el ejemplo dado,
Quincy y Monica desean intercambiar mensajes de forma segura. Ambos generan sus
pares de claves a través de software accesible y comparten su clave pública, mientras
mantienen en secreto la clave privada. Cuando Quincy quiere enviar un mensaje
seguro a Monica, utiliza la clave pública de Monica para cifrar el mensaje, y luego
Monica lo descifra con su clave privada. Este proceso asegura la confidencialidad del
mensaje.

Sin embargo, aunque el cifrado asimétrico garantiza la confidencialidad, existen

problemas relacionados con la verificación de la autenticidad de las claves públicas.
Dado que las claves públicas son, por definición, accesibles a cualquier persona, no
hay garantía de que la clave pública que utiliza Quincy para cifrar el mensaje
realmente pertenezca a Monica. Además, no hay una manera de confirmar que Quincy
fue quien realmente envió el mensaje. Esto crea la posibilidad de que una persona
malintencionada intercepte, altere o falsifique los mensajes. Aquí es donde entran los
certificados digitales.

Si una entidad de certificación (CA) de confianza emite a Monica un certificado digital y

lo comparte con Quincy, el certificado vincula la identidad de Monica con su clave
pública. Gracias a este certificado, Quincy puede estar seguro de que la clave pública
que está utilizando pertenece realmente a Monica y que solo la clave privada de
Monica puede descifrar el mensaje.

En un escenario similar, si Quincy también ha obtenido un certificado digital de una CA

confiable, él puede usar su clave privada para firmar digitalmente un mensaje. Quincy
envía el mensaje firmado a Monica junto con su certificado digital, que contiene su
clave pública. Dado que el certificado vincula la identidad de Quincy con su clave
pública, el uso de esta clave pública permite comprobar que el mensaje no ha sido
alterado y asegura que el mensaje proviene realmente de Quincy. Sin un certificado
digital, una firma digital solo serviría para verificar que el mensaje no se ha alterado,
pero no confirmaría su origen.

6 - Comprobación de conocimientos