Evidencia de aprendizaje.

Polticas de seguridad
Para realizar tu evidencia de aprendizaje, analizars el siguiente caso relacionado con la puesta en
prctica de las polticas informticas.
Caso para anlisis.
La microempresa atencin personal, est desarrollando un proyecto que mejorar la forma de
atencin en restaurantes de Mxico, por ello ha dado telfonos inteligentes a sus empleados, que
se encuentran en diferentes partes del mismo pas, con la intencin de mejorar la comunicacin
en materia de trabajo entre ellos, sin embargo, quiere evitar que las ideas y avances del proyecto
sean escuchadas y ledas por personas ajenas a la empresa.
Por ello se requiere instalar aplicaciones en los mviles que permita un encriptacin de sus
comunicaciones ya sea de voz o por escrito, que le den la confianza de trabajar con estos
dispositivos.
APPSs
RedPhone

ChatSecure
TextSecure

mtodos de
encriptacin
comunicacin VoIP
cifrada punto a
punto (end-to-end)

su algoritmo

soporta encriptacin
OTR sobre XMPP
Cifrado local de
todos los mensajes
de texto enviados y
recibidos

encriptacin, autenticacin,
negacin y Adelante Secrecy
Este proceso se consigue al
establecer un valor secreto que
tanto emisor como receptor
puedan calcular fcilmente, pero
que sea muy complicado de
derivar para una tercera persona.
Cifrado del mensaje
El intercambio de informacin
previa comparticin
de la clave pblica de adicional al mensaje cifrado en s,
supone que cada vez que se enva
los dos extremos de
un mensaje de texto, el primer
la comunicacin.
trozo del mismo slo podr
contener 60 caracteres cifrados y,
a partir de ah, 115 por mensaje o
trozo adicional.

protocolo de seguridad
SRTP para cifrar la
conversacin
ZRTP para negociar la clave
privada
utiliza el protocolo Jabber o
XMPP
Criptografa asimtrica o de
clave pblica mediante
tcnicas de criptografa de
curva elptica, permitan
autenticar ambos extremos
de la comunicacin.
Mediante el protocolo de
cifrado Off The Record (OTR).
OTR est diseado
especficamente para la
mensajera de chat, que
proporciona cifrado y
autenticacin basada en
sesin.

4. Listar al menos 5 polticas de seguridad para este caso

Polticas y Procedimientos
Seguridad Fsica

Contraseas dbiles. Ej: Contrasea del VoiceMail

Mala poltica de privilegios
Accesos permisivos a datos comprometidos.
Acceso fsico a dispositivos sensibles. Ej: Acceso fsico al
un gatekeeper.
Reinicio de mquinas.

Seguridad de Red

Seguridad en los Servicios

Seguridad en el S.O.
Seguridad en las Aplicaciones y
protocolos de VoIP

Denegaciones de servicio.
DDoS
ICMP unreacheable
SYN floods
Gran variedad de floods
SQL injections
Denegacin en DHCP
DoS
Buffer overflows
Gusanos y virus
Malas configuraciones.
Fraudes
SPIT (SPAM)
Vishing (Phising)
Fuzzing
Floods (INVITE,REGISTER,etc..)
Secuestro de sesiones (Hijacking)
Interceptacin (Eavesdroping)
Redireccin de llamadas (CALL redirection)
Reproduccin de llamadas (CALL replay)

Con toda esa informacin realiza un documento donde quede plasmada tu experiencia en el uso
de estas dos aplicaciones
RedPhone es una aplicacin mvil para Android que permite a los usuarios hacer llamadas de voz
cifradas a travs de una conexin Wi-Fi o conexin de datos utilizando su nmero de telfono
normal. RedPhone slo cifra las llamadas que se encuentran entre dos usuarios RedPhone, o entre
usuarios de RedPhone y Signal.
Se puede optar por hacer llamadas a otros usuarios RedPhone desde la aplicacin, o se puede
llamar a alguien usando el marcador por defecto del telefono y RedPhone mostrar
automticamente la opcin de actualizar a una llamada cifrada.
Una vez que hemos instalado la aplicacin, al abrirla nos pedir que registres automticamente el
nmero de telfono mvil.
Una vez registrado el nmero de telfono RedPhone enva un cdigo por SMS para verificar que el
nmero nos pertenece. Escribimos el cdigo cuando lo solicite la aplicacin. Y ahora esta listo para
hacer llamadas cifradas
Para utilizar RedPhone, la persona a la que ests llamando debe tener tambin instalado
RedPhone (o Signal). Si intentamos llamar a alguien usando la aplicacin y esta persona no tiene la
aplicacin instalada, Esta nos preguntar si deseas invitarla a utilizarla a travs de un SMS, pero no
permitir que completemos la llamada desde la aplicacin.
Cuando se hace una llamada a otro usuario, nos proporciona un par de palabras al azar. Estas nos
permitirn verificar identidad y claves con el otro usuario - tambin llamada verificacin de claves.

La manera ms digna de confianza para verificar la identidad de la persona que llama es utilizar
autenticacin fuera de banda para verificar el par de palabras. Tambin puedes leer las palabras
en voz alta si reconoces la voz de la persona que llama, aunque agresores muy sofisticados podran
ser capaces de saltar este obstculo de ser necesario. El par de palabras debe ser idntico.
TextSecure es una herramienta de Cdigo Abierto FOSS para enviar y recibir SMS de forma segura
en los telfonos Android. Funciona tanto para mensajes cifrados y no cifrados, as que puedes
utilizarla por defecto como una aplicacin SMS. Para intercambiar mensajes cifrados esta
herramienta debe estar instalado tanto por parte del emisor como del receptor del mensaje, por
lo tanto debers promover su uso constante entre las personas con las que te comunicas.
TextSecure automticamente detecta los mensajes cifrados recibidos desde otro usuario de
TextSecure. Tambin te permite cifrar mensajes a ms de una persona. Los mensajes son firmados
automticamente haciendo casi imposible que los contenidos del mensaje sean alterados. En
nuestras gua sobre TextSecure explicamos en detalle las caractersticas de esta herramienta y
cmo utilizarla.
Cmo instalar TextSecure?
Lo primero ser descargar la aplicacin desde la tienda Google play, e instalar la aplicacin
(haciendo clic en el bton de instalar). Creamos una contrasea o frase para encriptar los datos
guardados en tu telfono.
Al iniciar TextSecure nos pedir que ingresemos la contrasea. La aplicacin preguntar si deseas
copiar la base de datos de mensajes de texto existente a tu dispositivo. Es recomendable copiar los
mensajes para que sean encriptados, y borrarlos de su anterior ubicacin.
En este momento ya estamos listo para usar TextSecure como la aplicacin para mensajera.
Nota: Si no deseamos intercambiar mensajes de texto encriptados, tambin se puede usar
TextSecure para almacenar de forma segura los mensajes que se envian y reciben, por lo que si
perdemos el dispositivo los mensajes sern ilegibles a las personas que lo encuentran.
Estableciendo comunicaciones seguras
Es un requisito realizar por nica vez una conexin segura para cada nmero de telfono con la
que quieres usar TextSecure. Para hacer esto debemos de:
-

Ingresa a Men, y haz clic en sesin segura / Opciones del Men

Ingresa o selecciona el contacto deseado para Iniciar Intercambio de Llaves
Presiona enviar.

La aplicacin le enviar un mensaje al receptor, y la aplicacin de ste responder

automticamente con un mensaje de estableciendo la conexin segura. Este proceso deber
realizarse una nica vez para cada nmero de telfono o contacto.

Cuando se haya realizado la conexin segura con el contacto, un cono en forma de candado
aparecer en la esquina superior izquierda. Puedes cambiar la configuracin para prevenir que
TextSecure conteste automticamente escogiendo Men, y luego Configuracin
Para Completar el Intercambio de Llaves debemos desplazarnos hacia abajo. Esta opcin
automticamente completar el intercambio de llaves para nuevas sesiones seguras o para
sesiones existentes con una misma llave de identidad.
Para verificar que efectivamente la conexin que se estableci es con la persona correcta,
debemos seguir estos pasos:
-

Selecciona el mensaje de texto que fue enviado automticamente por TextSecure para
establecer la conexin segura.
Selecciona Men y luego pulsa Opciones de Sesin Segura
Pulsa Verificar la Identidad del Receptor. Esto desplegar una serie de caracteres para t y
para la persona del otro lado.
Contactamos a la otra persona (va telefnica o por otros medios) y confirma que ellos/as
ven la misma serie de caracteres.

Para el Intercambiando mensajes encriptados

Pulsa el cono de TextSecure / Redacta un nuevo mensaje / Pantalla principal / Selecciona el
contacto deseado / Verificar que aparezca el candado en el botn de enviar lo que indica que tu
mensaje estar seguro / Escriba el mensaje / Haz clic en Enviar.
Importante: Si no aparece el candado a la par del botn de enviar mientras ests redactando el
mensaje, significa que el mensaje que enviars viajar en texto plano, y puede ser interceptado y
grabado en el camino.

Evidencia de aprendizaje.
A lo largo de las unidades, hemos analizado diferentes herramientas que ayudan o en su ausencia perjudican a los activos informticos de las
empresas e instituciones, es hora de ser crticos y mencionar algunas aplicaciones, mtodos de encriptacin, modelos, normas internacionales,
entre otros, que ayudaran a mejorar la seguridad de dichos activos, para ser plasmado en un informe, por lo tanto te pido:
1. Analizar una empresa o institucin con uso de tecnologa, (de preferencia si trabajas en una de ellas).
Universidad Autnoma Chapingo

Servidor web

Red universitaria

niveles de seguridad

polticas de seguridad

Firewalls

Wrappers

Ejecutar aplicaciones con privilegios mnimos

Reglamento de
computo

Configurad
o en
Sistemas
LINUX

TCP
Wrapper

Supervisin
de trfico

TCP
Wrapper

Cuando la aplicacin se ejecuta, lo hace en un contexto

que tiene privilegios especficos en el equipo local y
posiblemente en equipos remotos.
1.Conceptos bsicos de TCP/IP
-Esquema de direccionamiento IPv4
-Fragmentacin
2. Anlisis de protocolos
-Introduciendo filtros
-Anlisis de la salud de la Red
3. Tcnicas de Intrusin y ataques
-Escaneo del sistema
-Explotando el sistema
-Manteniendo el acceso al sistema
4. Seguridad y auditoria en ruteadores
-Amenazas y vulnerabilidades
-Control de acceso
-Confidencialidad y autenticacin
-Buenas prcticas
5. Auditoria de red y permetro.

Reglamento de
computo
Asignacin del ancho
de banda, el control
del trfico y la
aceleracin de ste
mediante polticas por
aplicacin, usuario o
cliente

Deteccin de Intrusos en
Tiempo Real
G DATA ENDPOINT
PROTECTION BUSINESS
PacketShaper
PacketShaper

antivirus
Sistemas LINUX
G DATA
G DATA ENDPOINT
PROTECTION BUSINESS
G Data ClientSecurity ofrece
la mejor proteccin para
todo tipo de datos de
cualquier compaa contra
las amenazas de virus,
troyanos, spam y hackers.
Tambin proporciona una
barrera segura contra las
epidemias de virus, sabotaje
o robo.

6. Auditoria en Sistemas Windows y Unix

Terminales (PC)

Telefonia IP

7. Polticas y planes de contingencia.

-Versin y actualizacin de Sistema Operativo
-Usuarios y Grupos
-Antivirus Antispyware
-Fragmentacin
-Anlisis de protocolos
-Introduciendo filtros
-Anlisis de la salud de la Red

Reglamento de
computo
-Supervisin de trfico
-Asignacin de
privilegios de salida

Firewall de
Windows
Y antivirus

TCP
Wrapper

G Data ClientSecurity