CompTIA Security +

EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS

1. ALGORITMOS CRIPTOGRÁFICOS

2. INFRAESTRUCTURA DE CLAVE PÚBLICA (PKI)

3. SOLUCIONES CRIPTOGRÁFICAS
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
1. ALGORITMOS CRIPTOGRÁFICOS:

 Conceptos Criptográficos: La criptografía garantiza la

seguridad de la información mediante la codificación de
datos.

 Términos: Texto plano (sin cifrar), Texto cifrado (cifrado),

Algoritmo (proceso de cifrado/descifrado), Criptoanálisis
(descifrado de sistemas criptográficos).
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
1. ALGORITMOS CRIPTOGRÁFICOS:

 Cifrado Simétrico: Utiliza una única clave secreta tanto

para el cifrado como para el descifrado.

 Ejemplos: Algoritmos de sustitución y transposición.

 Desafío del intercambio de claves: compartir la clave

de forma segura.
 Rápido y eficiente para el cifrado masivo pero vulnerable
si la clave es interceptada.
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
1. ALGORITMOS CRIPTOGRÁFICOS:

 Longitud de Clave: Claves más largas aumentan la

seguridad al expandir el espacio de claves.

 Ejemplo: AES-128 vs AES-256, donde AES-256 tiene un

espacio de claves significativamente mayor.
 Criptoanálisis por fuerza bruta: intentar el descifrado
con todos los valores posibles de clave.
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
1. ALGORITMOS CRIPTOGRÁFICOS:

 Cifrado Asimétrico:

 Utiliza claves públicas y privadas diferentes pero

relacionadas para el cifrado y descifrado.
 La clave pública puede distribuirse libremente, mientras
que la clave privada debe mantenerse en secreto.
 Implica más sobrecarga computacional en comparación
con el cifrado simétrico.
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
1. ALGORITMOS CRIPTOGRÁFICOS:

 Hashing: Produce un resumen de longitud fija a partir del

texto plano, utilizado para verificación de integridad.

 Ejemplo: Comparar hashes de contraseñas o verificar la

integridad de archivos después de la descarga.
 Algoritmos: SHA256 (fuerte) y MD5 (menos seguro pero
aún usado por compatibilidad).
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
1. ALGORITMOS CRIPTOGRÁFICOS:

 Firmas Digitales:

 Combina criptografía de clave pública con hashing para

autenticación, integridad y no repudio.
 El remitente crea un hash del mensaje y lo firma con su
clave privada.
 El destinatario verifica la firma utilizando la clave pública
del remitente.
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
1. ALGORITMOS CRIPTOGRÁFICOS:

 Estándares:

 PKCS#1 define el algoritmo RSA para firmas digitales.

 DSA y ECDSA se utilizan para firmas digitales y fueron

desarrollados como parte de FIPS.
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
2. INFRAESTRUCTURA DE CLAVE PÚBLICA (PKI):

 Modelo de CA Única:

 La CA raíz emite certificados directamente a usuarios y

computadoras.
 A menudo utilizado en redes privadas.

 Vulnerable porque si se compromete, toda la PKI colapsa.

EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
2. INFRAESTRUCTURA DE CLAVE PÚBLICA (PKI):

 CAs de Terceros:

 Operan en un modelo jerárquico.

 La CA raíz emite certificados a CAs intermedias, que a su

vez emiten certificados a entidades finales.
 Proporciona políticas de certificados claras y ruta de
certificación (cadena de confianza).
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
2. INFRAESTRUCTURA DE CLAVE PÚBLICA (PKI):

 Certificados Autofirmados:

 Utilizados cuando la gestión de PKI es demasiado difícil o

costosa.
 Desplegados en máquinas, servidores web o código de
programas.
 A menudo marcados como no confiables por sistemas
operativos o navegadores.
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
2. INFRAESTRUCTURA DE CLAVE PÚBLICA (PKI):

 Solicitudes de Firma de Certificado (CSR):

 Proceso para solicitar certificados.

 El sujeto genera un par de claves y envía una CSR a la CA.

 La CA revisa y valida la información antes de emitir el

certificado.
 La clave privada no forma parte de la CSR y debe ser
almacenada de forma segura por el sujeto.
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
2. INFRAESTRUCTURA DE CLAVE PÚBLICA (PKI):

 Atributos del Nombre del Sujeto:

 Atributo CN obsoleto; campo de extensión SAN utilizado

para representar identificadores.
 Campo SAN más seguro para representar FQDNs y
direcciones IP.
 Es más seguro duplicar la información FQDN en CN por
compatibilidad.
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
2. INFRAESTRUCTURA DE CLAVE PÚBLICA (PKI):

 Revocación de Certificados:

 Los certificados pueden ser revocados o suspendidos por

el propietario o la CA por varias razones.
 Los certificados revocados ya no son válidos; los
certificados suspendidos pueden ser reactivados.
 La CA mantiene una Lista de Revocación de Certificados
(CRL) accesible para verificar el estado del certificadotus.
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
2. INFRAESTRUCTURA DE CLAVE PÚBLICA (PKI):

 Gestión de Claves:
 Etapas del ciclo de vida: generación, almacenamiento,
revocación, expiración/renovación.
 Modelos de gestión de claves descentralizados vs.
centralizados.
 Los criptoprocesadores ofrecen una generación y
almacenamiento de claves más seguro.
 Módulo de Plataforma Confiable (TPM) y Módulos de
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
2. INFRAESTRUCTURA DE CLAVE PÚBLICA (PKI):

 Custodia de Claves:

 Archivo de claves con proveedores externos.

 Mitiga el riesgo de pérdida o daño de claves.

 Los controles M de N aseguran múltiples autorizaciones

para operaciones con claves.
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
3. SOLUCIONES CRIPTOGRÁFICAS:

 Importancia de las Soluciones Criptográficas:

 Las soluciones criptográficas son esenciales para

implementar controles de seguridad.
 Aseguran la confidencialidad, integridad y autenticidad de
los datos.
 Se utilizan para proteger datos en reposo, en tránsito y en
uso.
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
3. SOLUCIONES CRIPTOGRÁFICAS:

 Cifrado para Confidencialidad:

 El cifrado hace que los datos sean ilegibles para partes no

autorizadas.
 Protege los datos incluso si se roban los medios de
almacenamiento o se interceptan los datos.
 Estados de los datos: en reposo, en tránsito, en uso.
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
3. SOLUCIONES CRIPTOGRÁFICAS:

 Cifrado Masivo vs. Cifrado Asimétrico:

 El cifrado masivo (cifrado simétrico) se usa para grandes

volúmenes de datos (ej. AES).
 El cifrado asimétrico (RSA, ECC) es menos eficiente para
cifrado masivo.
 Enfoque híbrido: simétrico para cifrado de datos,
asimétrico para intercambio de claves.
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
3. SOLUCIONES CRIPTOGRÁFICAS:

 Cifrado de Disco y Archivo:

 El cifrado de disco completo (FDE) cifra todo el dispositivo

de almacenamiento, incluidos los metadatos.
 Las unidades de autocifrado (SEDs) tienen cifrado
incorporado.
 El cifrado basado en particiones permite el cifrado
selectivo de diferentes particiones.
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
3. SOLUCIONES CRIPTOGRÁFICAS:

 Cifrado de Volumen y Archivo:

 El cifrado de volumen asegura todo el recurso de

almacenamiento, implementado en software.
 El cifrado de archivos cifra archivos o carpetas
individuales (ej. EFS de Microsoft).
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
3. SOLUCIONES CRIPTOGRÁFICAS:

 Cifrado de Base de Datos:

 El cifrado a nivel de base de datos (TDE) protege toda la

base de datos.
 El cifrado a nivel de registro/columna proporciona
protección granular.
 Permite la separación de funciones entre administradores
y propietarios de datos.
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
3. SOLUCIONES CRIPTOGRÁFICAS:

 Cifrado de Transporte e Intercambio de Claves:

 Asegura los datos en movimiento usando protocolos como

TLS, IPsec, WPA.
 El intercambio de claves permite compartir de forma
segura claves de sesión simétricas.
 La integridad y autenticidad se garantizan mediante
HMAC o cifrado autenticado.
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
3. SOLUCIONES CRIPTOGRÁFICAS:

 Confidencialidad Directa Perfecta (PFS):

 Utiliza el acuerdo de claves Diffie-Hellman para generar

claves de sesión.
 Aseguraque el compromiso futuro del servidor no
comprometa las sesiones pasadas.
 Aumenta la complejidad para los atacantes, mejora la
seguridad.
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
3. SOLUCIONES CRIPTOGRÁFICAS:

 Salting y Estiramiento de Claves:

 El salting previene ataques de hash precomputados

añadiendo un valor aleatorio a las contraseñas.
 El estiramiento de claves (PBKDF2) aumenta la longitud
de la clave mediante múltiples iteraciones.
 Mitiga las vulnerabilidades de contraseñas de baja
entropía.
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
3. SOLUCIONES CRIPTOGRÁFICAS:

 Blockchain:

 Blockchain asegura los registros de transacciones

mediante hashing criptográfico.
 El libro mayor descentralizado y distribuido garantiza
transparencia e integridad.
 Aplicaciones en finanzas, contratos, votación, gestión de
identidad y más.
EXPLICACIÓN DE SOLUCIONES CRIPTOGRÁFICAS
3. SOLUCIONES CRIPTOGRÁFICAS:

 Ofuscación:

 La ofuscación oculta datos para dificultar su hallazgo.

 Los usos incluyen esteganografía, enmascaramiento de

datos y tokenización.
 Protege la privacidad y mejora la seguridad en ciertos
contextos.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO

1. AUTENTICACIÓN

2. AUTORIZACIÓN

3. GESTIÓN DE IDENTIDAD
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
1. AUTENTICACIÓN:

 Pantalla de inicio de sesión de Windows:

 El Número de Identificación Personal (PIN) es una forma

de algo que conoces.
 Los PINs modernos no se limitan a secuencias numéricas
y pueden ser de cualquier longitud y combinación de
caracteres.
 Son válidos para autenticar en un único dispositivo
solamente.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
1. AUTENTICACIÓN:

 Conceptos de Contraseña:

 La gestión inadecuada de credenciales es un vector

importante para ataques de red.
 La política de mejores prácticas de contraseñas debe
instruir a los usuarios sobre cómo elegir y mantener
contraseñas.
 La política de gestión de credenciales debe cubrir varios
métodos de autenticación y educar a los usuarios sobre
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
1. AUTENTICACIÓN:

 Políticas de Contraseñas:

 Longitud de Contraseña: Impone una longitud mínima

y posiblemente máxima para las contraseñas.
 Complejidad de Contraseña: Requiere una
combinación de caracteres alfanuméricos en
mayúsculas/minúsculas y caracteres no alfanuméricos.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
1. AUTENTICACIÓN:

 Políticas de Contraseñas:

 Edad de la Contraseña: Obliga a los usuarios a

seleccionar una nueva contraseña después de un número
establecido de días.
 Reutilización e Historial de Contraseñas: Previene la
selección de contraseñas utilizadas previamente.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
1. AUTENTICACIÓN:

 Envejecimiento y Caducidad de Contraseñas:

 El envejecimiento permite iniciar sesión con la contraseña

antigua después de un período definido, pero exige elegir
una nueva contraseña inmediatamente.
 La caducidad deshabilita el inicio de sesión con la
contraseña obsoleta y efectivamente desactiva la cuenta.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
1. AUTENTICACIÓN:

 Gestores de Contraseñas:
 Los usuarios a menudo utilizan prácticas deficientes de
gestión de credenciales, como reutilizar contraseñas en
múltiples sitios.
 Los gestores de contraseñas generan contraseñas
aleatorias y las almacenan de forma segura, reduciendo
el riesgo de violaciones de datos.
 Los riesgos incluyen el compromiso de la contraseña
maestra o del almacenamiento en la nube del proveedor,
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
1. AUTENTICACIÓN:

 Autenticación Multifactor (MFA):

 Combina múltiples factores de autenticación para una

seguridad más fuerte.
 Los factores incluyen algo que tienes (como una tarjeta
inteligente), algo que eres (biometría), y algún lugar
donde estás (basado en ubicación).
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
1. AUTENTICACIÓN:

 Autenticación Biométrica:
 Implica identificadores fisiológicos o de comportamiento
como huellas dactilares o escaneos faciales.
 La inscripción incluye adquirir una muestra biométrica y
crear una plantilla para comparación.
 Las métricas incluyen Tasa de Falso Rechazo (FRR), Tasa
de Falsa Aceptación (FAR), y Tasa de Error de Cruce (CER).
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
1. AUTENTICACIÓN:

 Tokens de Autenticación Dura:

 Generado dentro de un criptoprocesador seguro, evitando

la transmisión del token.
 Los tipos incluyen Autenticación Basada en Certificados,
Contraseña de Un Solo Uso (OTP), y FIDO Factor Universal
2 (U2F).
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
1. AUTENTICACIÓN:

 Tokens de Autenticación Suave:

 Contraseñas de un solo uso enviadas por SMS, correo

electrónico o aplicaciones de autenticación.
 Vulnerable a la interceptación, con aplicaciones de
autenticación ofreciendo mayor seguridad que SMS o
correo electrónico.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
1. AUTENTICACIÓN:

 Autenticación sin Contraseña:

 Elimina completamente los factores basados en

conocimiento como las contraseñas.
 Se basa en factores como la biometría o tokens de
hardware.
 Utiliza FIDO2 con especificaciones WebAuthn para
autenticación segura sin contraseñas.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
2. AUTORIZACIÓN:

 Visión General de la Autorización:

 La autorización es un aspecto crucial de la gestión de

identidad y acceso (IAM).
 Implica asignar privilegios a usuarios y servicios de red
para gestionar eficazmente el acceso a los recursos.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
2. AUTORIZACIÓN:

 Control de Acceso Discrecional (DAC):

 DAC prioriza la autoridad del propietario del recurso.

 Los propietarios tienen control total sobre los recursos y

pueden modificar las listas de control de acceso (ACLs)
para otorgar derechos a otros.
 Ampliamente utilizado pero vulnerable a amenazas
internas y abuso de cuentas comprometidas.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
2. AUTORIZACIÓN:

 Control de Acceso Obligatorio (MAC):

 Basado en niveles de autorización de seguridad en lugar

de propiedad individual.
 A cada objeto se le asigna una etiqueta de clasificación, y
a cada sujeto se le otorga un nivel de autorización.
 Los sujetos pueden acceder a objetos clasificados en su
propio nivel o inferior, asegurando la confidencialidad.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
2. AUTORIZACIÓN:

 Control de Acceso Basado en Roles (RBAC):

 Define permisos basados en roles de usuario.

 Cada principal se asigna a uno o más roles, y los permisos

son gestionados por los propietarios del sistema.
 Ofrece flexibilidad y escalabilidad en la gestión de
permisos.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
2. AUTORIZACIÓN:

 Control de Acceso Basado en Atributos (ABAC):

 Utiliza atributos del sujeto y objeto para decisiones de

acceso.
 Factorescomo ubicación, estado del dispositivo y
comportamiento del usuario influyen en el control de
acceso.
 Proporciona control granular sobre el acceso basado en
información contextual.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
2. AUTORIZACIÓN:

 Control de Acceso Basado en Reglas:

 Las políticas de control de acceso son aplicadas por reglas

del sistema en lugar de discreción del usuario.
 Ejemplos incluyen RBAC, ABAC y MAC.

 Los sistemas de acceso condicional monitorean el

comportamiento y aplican reglas de acceso
dinámicamente.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
2. AUTORIZACIÓN:

 Principio de Menor Privilegio:

 Otorga los privilegios mínimos necesarios para realizar

tareas autorizadas.
 Reduce el riesgo de cuentas comprometidas y limita el
daño potencial.
 Requiere un análisis cuidadoso de los flujos de trabajo del
negocio para determinar los permisos necesarios.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
2. AUTORIZACIÓN:

 Aprovisionamiento de Cuentas de Usuario:

 Implica configurar cuentas de usuario según

procedimientos estandarizados.
 Incluye verificación de identidad, emisión de credenciales,
asignación de hardware/software y capacitación en
conciencia de políticas.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
2. AUTORIZACIÓN:

 Restricciones y Políticas de Cuenta:

 Las políticas basadas en ubicación y tiempo restringen el

acceso a la cuenta.
 Las políticas aplican horas de inicio de sesión autorizadas,
duraciones de sesión y restricciones geográficas.
 La Gestión de Acceso Privilegiado (PAM) controla y
monitorea el uso de cuentas privilegiadas para prevenir
compromisos.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
2. AUTORIZACIÓN:

 Permisos Just-in-Time (JIT):

 Eleva los privilegios solo cuando es necesario por una

duración limitada.
 Asegura cero privilegios permanentes (ZSP) para
minimizar la superficie de ataque.
 Implementado a través de elevación temporal, bóveda de
contraseñas o credenciales efímeras.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
3. GESTIÓN DE IDENTIDAD:

 Objetivos de Examen de Gestión de Identidad:

Implementar y mantener la gestión de identidad y acceso.

 Proveedor de Autenticación: Característica esencial de

un SO para la autenticación de usuarios. Se basa en hashes
criptográficos para autenticación basada en conocimiento.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
3. GESTIÓN DE IDENTIDAD:

 Autenticación de
Windows:

 Inicio de sesión local:

LSASS compara
credenciales con el hash
en la base de datos SAM.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
3. GESTIÓN DE IDENTIDAD:

 Autenticación de
Windows:

 Inicio de sesión en
red: LSASS autentica a
través de Active
Directory usando
Kerberos o NTLM.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
3. GESTIÓN DE IDENTIDAD:

 Autenticación de Windows:

 Inicio de sesión remoto: Autenticación a través de VPN,

Wi-Fi empresarial o portal web.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
3. GESTIÓN DE IDENTIDAD:

 Autenticación de Linux:

 Información de cuenta de usuario local en /etc/passwd,

hash de contraseña en /etc/shadow.
 Inicio de sesión en red vía SSH; puede usar claves
criptográficas.
 El Módulo de Autenticación Conectable (PAM) permite
diferentes métodos de autenticación.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
3. GESTIÓN DE IDENTIDAD:

 Servicios de Directorio:

 Almacenan información sobre usuarios, computadoras,

grupos de seguridad, etc.
 LDAP es un protocolo común para interoperabilidad.

 El Nombre Distinguido (DN) identifica de manera única los

recursos en un directorio.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
3. GESTIÓN DE IDENTIDAD:

 Inicio de Sesión Único (SSO):

 Autentica una vez, accede a múltiples servicios sin volver

a ingresar credenciales.

 Kerberos es un protocolo SSO común, autentica usuarios y

servicios.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
3. GESTIÓN DE IDENTIDAD:

 Federación:

 Extiende el acceso a la red a socios, proveedores,

clientes.

 Confía en redes externas para autenticación y

autorización.
IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
3. GESTIÓN DE IDENTIDAD:

 SAML (Lenguaje de Marcado para Aserciones de

Seguridad):

 Protocolo para intercambiar datos de autenticación y

autorización.

 Usa XML para aserciones, HTTP/HTTPS para comunicación.

IMPLEMENTAR GESTIÓN DE IDENTIDAD Y ACCESO
3. GESTIÓN DE IDENTIDAD:

 OAuth (Autorización Abierta):

 Protocolo para compartir atributos de usuario entre sitios.

 Permite vincular la identidad a sitios de consumo sin

compartir contraseñas.
 Usa Tokens Web JSON (JWTs) para datos de reclamaciones,
soporta varios tipos de concesión.