UNIDAD III.

MTODOS DE CIFRADO

Autores:
T.S.U. Lpez V. Yenifer A.
T.S.U. Mrquez S. Ninibeth C.
T.S.U. Rojas B. Abigail.

C.I.V-23.464.969.
C.I.V-24.817.856.
C.I.V-18.396.886.

PNF INFORMTICA.
TRAYECTO IV.

San Juan de Coln, Junio 2016.

Contenido
Introduccin. ........................................................................................................ 2
1. Criptografa. ...................................................................................................... 3
2. Esteganografia.................................................................................................. 8
3. Funciones de autenticacin, firma digital y certificados digitales; Tcnica de los
Hacker. .................................................................................................................. 13
Conclusiones. .................................................................................................... 20

Introduccin.
El debate sobre el cifrado es intenso y se calienta en ciertos crculos, pero no
presenta ninguna gran preocupacin para la gran mayora de personas en el mundo.
La mayora de las personas que discuten el tema tienden a considerar su regulacin
de poca importancia, o demasiado complicado para tomar una posicin sobre esto.
De hecho, la opinin predominante es que es mejor como un rea que hay que dejar
a los expertos que entienden sus capacidades, usos y peligros. Aunque en realidad
nadie confa en los gobiernos, en la cara de los hombres del saco evocados por
diversos agentes de la ley como una justificacin para la proteccin de las personas,
la mayora de la gente no es capaz de levantarse y hablar de la inviolabilidad de sus
derechos de privacidad. Se pueden escuchar interrogantes que van desde Cmo
puedo justificar mis preocupaciones sobre la privacidad de las personas cuando se
enfrentan con los espectros de secuestradores, terroristas y narcotraficantes? Por
qu ponerse nervioso al respecto si no tiene nada que ocultar de todos modos?
Por qu insistir para mantener los principios aparentemente sin importancia de
cara a la seguridad nacional?; pero la verdad, es que tanto para una empresa como
para una persona civil, debe ser de suma importancia la privacidad de sus
mensajes, lo que incluye, el cifrado, la esteganografa y la autenticacin.

1. Criptografa.
La criptografa proviene del griego kryptos: ocultar", y grafos: "escribir". Es
decir, significa "escritura oculta". Como concepto son las tcnicas utilizadas para
cifrar y descifrar informacin utilizando tcnicas matemticas que hagan posible el
intercambio de mensajes de manera que slo puedan ser ledos por las personas a
quienes van dirigidos. Por tanto el nico objetivo de la criptografa era conseguir la
confidencialidad de los mensajes. Para ello se diseaban sistemas de cifrado y
cdigos. En esos tiempos la nica criptografa que haba era la llamada criptografa
clsica.

Allan Poe en la criptografa.

Edgar Allan Poe (Boston, 1809 Baltimore, 1849) fue un escritor, poeta, crtico
y periodista romntico estadounidense. Reconocido como uno de los maestros
universales del relato corto, del cual fue uno de los primeros practicantes en su pas.
Es recordado especialmente por sus cuentos de terror y por ser considerado como
el inventor del relato detectivesco, contribuyendo asimismo con varias obras al
gnero, en aquella poca emergente, de la ciencia-ficcin.
Pero aparte de esto, pocos conocen su vertiente como criptoanalista. En la
que por cierto, era bastante bueno. Un ejemplo de esta aficin lo tenemos en su
relato El Escarabajo de Oro, donde presenta un mensaje cifrado y explica cmo el
protagonista logra resolverlo. En l se dan pistas sobre el proceso que se sigue para
descifrar este mensaje. Este cuento habla sobre un mensaje cifrado en el que se
indica la localizacin de un fabuloso tesoro;

Mensaje
Cifrado

Traduccin
A good glass in the bishop's hostel in the devil's sear forty one degrees and
thirteen minutesnortheast and by north main branch seventh limb eart side
shoot from the left eye of the death's head a bee line from the tree through the
shot fifty feet out
Traduccin: Un buen vaso en la hostera del obispo en la silla del diablo cuarenta y un grados y trece minutos - Nordeste cuatro del Norte - rama principal
sptimo vstago lado Este - soltar desde el ojo izquierdo de la cabeza del muerto una lnea de abeja desde el rbol a travs de la bala cincuenta pies hacia fuera.

La criptografa actualmente se encarga del estudio de los algoritmos,

protocolos y sistemas que se utilizan para dotar de seguridad a las comunicaciones,
a la informacin y a las entidades que se comunican. El objetivo de la criptografa
es disear, implementar, implantar, y hacer uso de sistemas criptogrficos para
dotar de alguna forma de seguridad. Por tanto el tipo de propiedades de las que se
ocupa la criptografa son por ejemplo:
Confidencialidad. Es decir garantiza que la informacin est accesible
nicamente a personal autorizado. Para conseguirlo utiliza cdigos y tcnicas de
cifrado.
Integridad. Es decir garantiza la correccin y completitud de la informacin.
Para conseguirlo puede usar por ejemplo funciones hash criptogrficas MDC,
protocolos de compromiso de bit, o protocolos de notarizacin electrnica.
No repudio. Es decir proporcionar proteccin frente a que alguna de las
entidades implicadas en la comunicacin, pueda negar haber participado en toda o
parte de la comunicacin. Para conseguirlo se puede usar por ejemplo firma digital.
En algunos contextos lo que se intenta es justo lo contrario: Poder negar que se ha
intervenido en la comunicacin. Por ejemplo cuando se usa un servicio de

mensajera instantnea y no queremos que se pueda demostrar esa comunicacin.

Para ello se usan tcnicas como el cifrado negable.
Autenticacin. Es decir proporciona mecanismos que permiten verificar la
identidad del comunicante. Para conseguirlo puede usar por ejemplo funcin hash
criptogrfica MAC o protocolo de conocimiento cero.
Soluciones a problemas de la falta de simultaneidad en la telefirma digital
de contratos. Para conseguirlo puede usar por ejemplo protocolos de transferencia
inconsciente.

Un sistema criptogrfico es seguro respecto a una tarea si un adversario con

capacidades especiales no puede romper esa seguridad, es decir, el atacante no
puede realizar esa tarea especfica.
La aparicin de las Tecnologas de la Informacin y la Comunicacin y el uso
masivo de las comunicaciones digitales han producido un nmero creciente de
problemas de seguridad. Las transacciones que se realizan a travs de la red
pueden ser interceptadas. La seguridad de esta informacin debe garantizarse. Este
desafo ha generalizado los objetivos de la criptografa para ser la parte de la
criptologa que se encarga del estudio de los algoritmos, protocolos (se les llama
protocolos criptogrficos) y sistemas que se utilizan para proteger la informacin y
dotar de seguridad a las comunicaciones y a las entidades que se comunican. Para
ello los criptgrafos investigan, desarrollan y aprovechan tcnicas matemticas que
les sirven como herramientas para conseguir sus objetivos

a. Criptosistemas de clave secreta

Denominamos criptosistema de clave secreta (de clave privada, de clave nica
o simtrico) a aquel criptosistema en el que la clave de cifrado, puede ser calculada
a partir de la de descifrado y viceversa. En la mayora de estos sistemas, ambas

claves coinciden, y han de mantenerse como un secreto entre emisor y receptor: si

un atacante descubre la clave utilizada en la comunicacin, ha roto el criptosistema.
Hasta la dcada de los setenta, la invulnerabilidad de todos los sistemas
dependa de este mantenimiento en secreto de la clave de cifrado. Este hecho
presentaba una gran desventaja: haba que enviar, aparte del criptograma, la clave
de cifrado del emisor al receptor, para que ste fuera capaz de descifrar el mensaje.
Por tanto, se incurra en los mismos peligros al enviar la clave, por un sistema que
haba de ser supuestamente seguro, que al enviar el texto plano. De todos los
sistemas de clave secreta, el nico que se utiliza en la actualidad es DES (Data
Encryption Standard); otros algoritmos de clave privada, como el cifrado Caesar o
el criptosistema de Vigenre han sido criptoanalizados con xito, lo cual da una idea
del porqu del desuso en que han cado estos sistemas (con la excepcin de DES,
que es el algoritmo de cifra ms utilizado en la actualidad). Por si esto no fuera
suficiente, el hecho de que exista al menos una clave de cifrado/descifrado entre
cada dos usuarios de un sistema hara inviable la existencia de criptosistemas
simtricos en las grandes redes de computadores de hoy en da: para un sistema
de computacin con usuarios, se precisaran claves diferentes, lo cual es
obviamente imposible en grandes sistemas. Todos estos motivos han propiciado
que el estudio de los cifradores simtricos (excepto DES) quede relegado a un papel
histrico.
Los sistemas de cifrado de clave nica se dividen a su vez en dos grandes
grupos de criptosistemas, por una parte tenemos los:
Cifradores de flujo, que son aquellos que pueden cifrar un slo bit de texto
claro al mismo tiempo y por tanto su cifrado se produce bit a bit.
Cifradores de bloque, que cifran un bloque de bits (habitualmente, cada
bloque es de 64 bits) como una nica unidad.

b. Criptosistema de clave pblica

La criptografa asimtrica tambin llamada criptografa de clave pblica o

criptografa de dos claves es el mtodo criptogrfico que usa un par de claves para
el envo de mensajes. Las dos claves pertenecen a la misma persona que ha
enviado el mensaje. Una clave es pblica y se puede entregar a cualquier persona,
la otra clave es privada y el propietario debe guardarla de modo que nadie tenga
acceso a ella. Adems, los mtodos criptogrficos garantizan que esa pareja de
claves slo se puede generar una vez, de modo que se puede asumir que no es
posible que dos personas hayan obtenido casualmente la misma pareja de claves.
Si el remitente usa la clave pblica del destinatario para cifrar el mensaje, una
vez cifrado, slo la clave privada del destinatario podr descifrar este mensaje, ya
que es el nico que la conoce. Por tanto se logra la confidencialidad del envo del
mensaje, nadie salvo el destinatario puede descifrarlo.

c. Criptosistema de Cifrados de Flujo.

Consiste en una mquina de estados que retorna para cada transicin de
estado un bit de informacin. Este flujo de salida de bits se llama comnmente la
llave corriente. La encriptacin puede ser implementada solo con darle la
exclusividad de la llave corriente al mensaje de texto plano.
La mquina de estados no es ms que un generador de nmeros seudoaleatorios. Por ejemplo, podramos construir una de un cifrado en bloque
encriptando repetidamente su propia salida. Tpicamente, se usan construcciones
ms elaboradas para cifrados de flujo para obtener una alta velocidad.
Algunos de los ms bien conocidos cifrados de flujo son RC4 y SEAL. Varios
cifrados de flujo se basan en registros de cambio de retroalimentacin lineal (LFSR
- Linear-Feedback Shift Registers), tales como A5/1 usado en GSM. Estos tienen el
beneficio de ser muy rpidos (varias veces ms rpidos que los cifrados en bloque
usuales).

2. Esteganografia
Del griego steganos (oculto) y graphos (escritura), la esteganografa se puede
definir como la ocultacin de informacin en un canal encubierto con el propsito de
prevenir la deteccin de un mensaje oculto.
La esteganografa estudia el conjunto de tcnicas cuyo fin es insertar
informacin sensible dentro de otro fichero. A este fichero se le denomina fichero
contenedor (grficos, documentos, programas ejecutables, etc.). De esta forma, se
consigue que la informacin pase inadvertida a terceros, de tal forma que slo sea
recuperada por un usuario legtimo que conozca un determinado algoritmo de
extraccin de la misma.
Esta ciencia ha suscitado mucho inters en los ltimos aos, especialmente
en el rea de seguridad informtica, debido a que ha sido utilizada por
organizaciones criminales y terroristas. No obstante, no se trata de nada nuevo,
pues se lleva empleando desde la antigedad, y ha sido tradicionalmente utilizada
por las instituciones policiales, militares y de inteligencia; as como por criminales o
civiles que desean eludir el control gubernamental, especialmente en regmenes
tirnicos.
La esteganografa clsica se basaba nicamente en el desconocimiento del
canal encubierto bajo uso, mientras que en la era moderna tambin se emplean
canales digitales (imagen, video, audio, protocolos de comunicaciones, etc.) para
alcanzar el objetivo. En muchos casos, el objeto contenedor es conocido, y lo que
se ignora es el algoritmo de insercin de la informacin en dicho objeto.
Para que pueda hablarse de esteganografa, debe haber voluntad de
comunicacin encubierta entre el emisor y el receptor.

Historia y orgenes
Ms de 400 aos antes de Cristo, Herodoto ya reflej en su libro Las Historias
el uso de la esteganografa en la antigua Grecia. En dicho libro describe como un

personaje toma un cuadernillo de dos hojas o tablillas; raya bien la cera que las
cubre y en la madera misma graba un mensaje y lo vuelve a cubrir con cera.
Otra historia, en el mismo libro, describe como otro personaje rasura a navaja
la cabeza de uno de sus esclavos y le tata un mensaje en el cuero cabelludo. As,
espera a que le vuelva a crecer el cabello y lo manda al receptor del mensaje con
instrucciones de que le rasuren la cabeza.
Un ejemplo histrico ms de uso de la esteganografa es el libro
Hypnerotomachia Poliphili de Francesco Colonna, que data de 1499. En l, tomando
la primera letra de sus 38 captulos se puede leer Poliam frater Franciscus Columna
peramavit, que se traduce por El hermano Francesco Colonna ama
apasionadamente a Polia.
De manera similar, durante la Segunda Guerra Mundial se hacen pequeas
perforaciones sobre las letras de inters de un peridico de tal forma que al
sostenerlo a la luz se pueden observar todas aquellas letras seleccionadas e
interpretarlas en forma de mensaje.

Definiciones y fundamentos tericos

La esteganografa es una solucin al clsico problema del prisionero. En una
prisin de alta seguridad dos internos en celdas separadas, Rmulo y Remo, se
quieren comunicar para elaborar un plan de fuga. Ahora bien, toda comunicacin
intercambiada entre ellos es examinada por un guardia que los asla por completo
ante cualquier sospecha de comunicacin encubierta. Con la esteganografa el
guardia inspecciona mensajes aparentemente inofensivos que contienen un canal
subliminal muy til para los prisioneros.
Se pueden observar distintos actores implicados en el campo de la
esteganografa:
Objeto contenedor: se trata de la entidad que se emplea para portar el
mensaje oculto. Acudiendo al ejemplo de los mensajes sobre el cuero cabelludo, el
objeto contenedor es el esclavo en s.

10

Estego-objeto: se trata del objeto contenedor ms el mensaje encubierto.

Siguiendo con el ejemplo, se trata del esclavo una vez se ha escrito en su cuero
cabelludo el mensaje y se le ha dejado crecer el pelo.
Adversario: son todos aquellos entes a los que se trata de ocultar la
informacin encubierta. En el ejemplo de la prisin, se trata del guardia que entrega
los mensajes a uno y otro prisionero. Este adversario puede ser pasivo o activo. Un
adversario pasivo sospecha que se puede estar produciendo una comunicacin
encubierta y trata de descubrir el algoritmo que se extrae del estego-objeto, pero no
trata de modificar dicho objeto. Un adversario activo, adems de tratar de hallar el
algoritmo de comunicacin encubierta, modifica el estego-objeto con el fin de
corromper cualquier intento de mensajera subliminal.
Estegoanlisis: ciencia que estudia la deteccin (ataques pasivos) y/o
anulacin (ataques activos) de informacin oculta en distintas tapaderas, as como
la posibilidad de localizar la informacin til dentro de la misma (existencia y
tamao).

Teniendo en cuenta que pueden existir adversarios activos, una buena tcnica
esteganogrfica debe ser robusta ante distorsiones, ya sean accidentales o fruto de
la interaccin de un adversario activo.
La robustez ante distorsiones tambin suele ser un objetivo de la criptografa,
ahora bien, la esteganografa y la criptografa son campos distintos. En la
criptografa, el objetivo es asegurar la confidencialidad de la informacin ante los
ojos de un interceptor que es capaz de ver el criptograma, aun cuando ste conoce
el algoritmo que lo genera. En cambio, la esteganografa busca ocultar la presencia
del mensaje en s; ya que si se llega a identificar la posicin del mensaje se conoce
directamente la comunicacin (conocido el algoritmo de ocultacin), lo que no ocurre
en el caso del criptograma.

11

Por tanto, la esteganografa en solitario entra en profunda contradiccin con

uno de los principios bsicos de la seguridad: la seguridad por oscuridad
(desconocimiento) no funciona.
A principios del siglo XX, Kerkhoff formula una serie de principios que se han
erigido como pilares bsicos en el campo de la seguridad, uno de ellos indica:
asume que el usuario (malicioso) conoce todos los procedimientos de cifrado. Si
se aplica dicho principio a la esteganografa, esto significa asumir que el guardia
conoce el algoritmo que oculta el mensaje en el objeto contenedor, lo cual implica
el aislamiento inmediato de los presos.
Para que la esteganografa sea de ms utilidad se debe combinar con la
criptografa. El mensaje a intercambiar se ha de cifrar (de forma robusta) y luego
introducir en el objeto contenedor. De esta forma, aunque un interceptor descubra
el patrn esteganogrfico, jams puede llegar a conocer el mensaje intercambiado.
La combinacin de estas dos tcnicas tiene otra ventaja adicional, cuando se
emplea la criptografa en solitario se conoce que se estn intercambiando mensajes,
lo cual puede servir como punto de partida para un ataque con el fin de descubrir
dicho mensaje. Al introducir la esteganografa, en una gran mayora de casos ni
siquiera se conoce que existe una comunicacin cifrada.

Tcnicas segn el medio

a. Esteganografa en Audio: Cuando se oculta informacin dentro de
archivos de audio, por lo general la tcnica usada es low bit encoding (baja bit de
codificacin), que es similar a la LSB que suele emplearse en las imgenes.
El problema con el low bit encoding es que en general es perceptible para el
odo humano, por lo que es ms bien un mtodo arriesgado que alguien lo use si
estn tratando de ocultar informacin dentro de un archivo de audio.
Spread Spectrum tambin sirve para ocultar informacin dentro de un archivo
de audio. Funciona mediante la adicin de ruidos al azar a la seal de que la

12

informacin se oculta dentro de una compaa area y la propagacin en todo el

espectro de frecuencias.
Otro mtodo es Echo data hiding, que usa los ecos en archivos de sonido con
el fin de tratar de ocultar la informacin. Simplemente aadiendo extra de sonido a
un eco dentro de un archivo de audio, la informacin puede ser ocultada. Lo que
este mtodo consigue mejor que otros sea que puede mejorar realmente el sonido
del audio dentro de un archivo de audio.

b. Esteganografa en Imgenes: El mtodo ms utilizado es el LSB, puesto

que para un computador un archivo de imagen es simplemente un archivo que
muestra diferentes colores e intensidades de luz en diferentes reas (pxeles).
El formato de imagen ms apropiado para ocultar informacin es el BMP color
de 24 bit Bitmap), debido a que es el de mayor proporcin (imagen no comprimida)
y normalmente es de la ms alta calidad. Eventualmente se prefiere optar por
formatos BMP de 8 bits o bien otros tales como el GIF, por ser de menor tamao.
Se debe tener en cuenta que el transporte de imgenes grandes por Internet puede
despertar sospechas.
Cuando una imagen es de alta calidad y resolucin, es ms fcil y eficiente
ocultar y enmascarar la informacin dentro de ella.
La desventaja del mtodo LSB es que es el ms conocido y popular, por tanto
el ms estudiado. Deja marcas similares a ruido blanco en el portador (imagen
contenedora), lo cual la convierte en altamente detectable o vulnerable a ataques
de estegoanlisis, para evitarlo se recurre a dispersar el mensaje, en general
usando secuencias aleatorias.
Es importante notar que si se oculta informacin dentro de un archivo de
imagen y este es convertido a otro formato, lo ms probable es que la informacin
oculta dentro sea daada y, consecuentemente, resulte irrecuperable.

13

c. Esteganografa en Video En vdeo, suele utilizarse el mtodo DCT

(Discrete Cosine Transform). DCT funciona cambiando ligeramente cada una de las
imgenes en el vdeo, slo de manera que no sea perceptible por el ojo humano.
Para ser ms precisos acerca de cmo funciona DCT, DCT altera los valores de
ciertas partes de las imgenes, por lo general las redondea. Por ejemplo, si parte
de una imagen tiene un valor de 6,667, lo aproxima hasta 7.
Esteganografa en vdeo es similar a la aplicada en las imgenes, adems de
que la informacin est oculta en cada fotograma de vdeo. Cuando slo una
pequea cantidad de informacin que est oculta dentro del cdigo fuente por lo
general no es perceptible a todos. Sin embargo, cuanta mayor informacin se oculte,
ms perceptible ser.

3. Funciones de autenticacin, firma digital y certificados digitales;

Tcnica de los Hacker.

a. Funciones de autenticacin
Otra de las necesidades que surgen con la aparicin de internet es la
necesidad de demostrar que somos nosotros y que el emisor es quien dice ser. Un
mtodo de autenticacin puede ser el propio cifrado. Si ciframos un mensaje con
una clave solo conocida por nosotros, demostrando que somos quien decimos ser,
el receptor podr constatar nuestra identidad descifrndolo. Esto se puede
conseguir mediante clave simtrica (el receptor tiene que estar en posesin de la
clave empleada) o usando clave asimtrica en su modo de autenticacin.
Los mtodos de autenticacin estn en funcin de lo que utilizan para la
verificacin y estos se dividen en tres categoras:
Sistemas basados en algo conocido. Ejemplo, un password (Unix) o
passphrase (PGP).

14

Sistemas basados en algo posedo. Ejemplo, una tarjeta de identidad, una

tarjeta inteligente (smartcard), dispositivo usb tipo epass token, Tarjeta de
coordenadas, smartcard o dongle criptogrfico.
Sistemas basados en una caracterstica fsica del usuario o un acto
involuntario del mismo: Ejemplo, verificacin de voz, de escritura, de huellas, de
patrones oculares.

b. Firma Digital y Certificados Digitales: Una firma digital est destinada al

mismo propsito que una manuscrita. Sin embargo, una firma manuscrita es sencilla
de falsificar mientras que la digital es imposible mientras no se descubra la clave
privada del firmante.
La firma digital se basa en la propiedad ya comentada sobre que un mensaje
cifrado utilizando la clave privada de un usuario slo puede ser descifrado utilizando
la clave pblica asociada. De tal manera, se tiene la seguridad de que el mensaje
que ha podido descifrarse utilizando la clave pblica slo pudo cifrarse utilizando la
privada. La firma digital, por tanto, es un cifrado del mensaje que se est firmando
pero utilizando la clave privada en lugar de la pblica. Sin embargo ya se ha
comentado el principal inconveniente de los algoritmos de clave pblica: su lentitud
que, adems, crece con el tamao del mensaje a cifrar. Para evitar ste problema,
la firma digital hace uso de funciones hash. Una funcin hash es una operacin que
se realiza sobre un conjunto de datos de cualquier tamao de tal forma que se
obtiene como resultado otro conjunto de datos, en ocasiones denominado resumen
de los datos originales, de tamao fijo e independiente el tamao original que,
adems, tiene la propiedad de estar asociado unvocamente a los datos inciales,
es decir, es prcticamente imposible encontrar dos mensajes distintos que tengan
un resumen hash idntico.
Un certificado digital es un documento electrnico que asocia una clave pblica
con la identidad de su propietario. Adicionalmente, adems de la clave pblica y la

15

identidad de su propietario, un certificado digital puede contener otros atributos para,

por ejemplo, concretar el mbito de utilizacin de la clave pblica, las fechas de
inicio y fin de la validez del certificado, etc. El usuario que haga uso del certificado
podr, gracias a los distintos atributos que posee, conocer ms detalles sobre las
caractersticas del mismo.
Un certificado electrnico sirve para:
Autenticar la identidad del usuario, de forma electrnica, ante terceros.
Firmar electrnicamente de forma que se garantice la integridad de los
datos trasmitidos y su procedencia. Un documento firmado no puede ser
manipulado, ya que la firma est asociada matemticamente tanto al documento
como al firmante
Cifrar datos para que slo el destinatario del documento pueda acceder a
su contenido.

c. Tcnicas de los Hacker

Footprinting: El uso de un atacante de herramientas y de la informacin para
crear un perfil completo de la postura de la seguridad de una organizacin se conoce
como footprinting. Por ejemplo, antes de que un hacker ataque una red, el/ella
quiere conocer la informacin que incluye:
o Presencia en Internet/ extranet de la compaa.
o La poltica de la compaa con respecto al acceso remoto.
o La versin utilizada de software en los servers (IIS, Exchange, etc.).
o Los rangos IP de los cuales es propietaria la organizacin.
o Desafos tcnicos hechos por la compaa.
Las fusiones o las adquisiciones que terminaron recientemente, estn en
marcha o pendientes
Scanning: Como resultado del footprinting, un hacker puede identificar la
lista de red y las direcciones IP utilizadas en la compaa. El siguiente paso lgico

16

para un hacker es el scanning. El uso de un atacante de herramientas y de la

informacin es para determinar qu sistemas estos vivos y accesibles desde
Internet as como qu puertos estn escuchando en cualquier sistema dado. Con
ese conocimiento, el atacante puede apuntar los sistemas especficos que
funcionan con software o servicios especficos usando exploit conocidos.
Enumeration: Enumeration implica el uso de un atacante de herramientas
para obtener la informacin detallada sobre un sistema remoto - por ejemplo
servicios ejecutndose, todos los shares, cuentas de usuario, grupos, miembros de
un dominio, polticas de cuentas (lockout, password age, etc).
Un hacker tpicamente utiliza enumeration no intrusiva probando si la
informacin que obtuvo es suficiente para un ataque.
Port Redirection: Cuando se tiene configurado un firewall para bloquear
determinados puertos de acceso entrante, un hacker puede usar port redirection
como camino de acceso a la red. Port redirection es utilizado para escuchar en
algunos puertos. Los paquetes son redireccionados a destinos especficos.
Gaining Access: Hay varias herramientas disponibles que pueden permitir
a un hacker tomar control de un sistema. Por ejemplo, Samdump y Brutus son
crackers de passwords. Samdump se utiliza extraer el hashes del password de los
archivos SAM. Brutus es un cracker de password remoto. Si un hacker consigue el
acceso a una copia de una base de datos SAM, el hacker podra utilizar l0phtcrack
y extraer los usuarios y passwords exactos.
Privilege Escalation: Un hacker puede causar la mayora del dao
consiguiendo privilegios administrativos en una red. Hay varias utilidades que un
hacker puede utilizar para ganar privilegio administrativo. Por ejemplo, la utilidad
Getadmin.exe es usada para otorgar a usuarios comunes privilegios administrativos
agregando a estos usuarios al grupo de administradores. Esta utilidad funciona con
todas las cuentas excepto con la cuenta de Guest.

17

Es importante observar que cualquier cuenta se haya concedido el Debug

Programs right. Siempre se podr ejecutar satisfactoriamente Getadmin.exe,
incluso despus de la aplicacin del hotfix. Esto es porque el Debug Programs right
habilita al usuario a adjuntar cualquier proceso. El Debug Programs right es
inicialmente otorgado a Administradores y debe ser utilizado nicamente con
usuarios altamente confiables.
Tambin, si Getadmin.exe se ejecuta con una cuenta que sea ya un miembro
del grupo local de los administradores, continua funcionando (incluso luego de
aplicar el hotfix).
Buffer Overflows: Algunas herramientas de ataque ejecutan cdigo de
buffer overruns. Sobreescribiendo segmentos especficos de la memoria, el
atacante puede volver a dirigir una llamada de la memoria dentro de un programa
para llamar su propio cdigo en vez del cdigo previsto. Tal llamada funcionara en
el contexto de seguridad del proceso que lo llama ms que el nivel de privilegio del
usuario.
Shovel a Shell: Herramientas de shell Remoto habilitan a los atacantes a
acceder al remote command shell en el servidor destino. Los atacantes usan
remote shell para elevar sus privilegios.
Interactive Control: Llamados como RATs (Remote Administration Tools):
stas son herramientas reales y cautelosas de Administracin Remota contenidas
en .exe llamados aleatoriamente (o camuflados en legtimos .exe). Eso permite que
un usuario remoto realice cualquier accin remotamente va un puerto a su eleccin
sin un usuario local del sistema que lo habilite.
Camouflaging: Despus que un hacker logra la entrada en una red, tratar
de no dejar rastros de su presencia y su paso a los Administradores. Hay varias
herramientas que un hacker puede utilizar. Por ejemplo, WinZapper y Elsave
pueden ser utilizadas para borrar registros de los logs de eventos.

18

NT Rootkits es utilizado a veces por un atacante. En tal ataque, son

reemplazados ciertos archivos con versiones modificadas. Cuando un administrador
utiliza el ejecutable, el atacante obtiene informacin adicional para continuar su
ataque. Semejantemente, los elementos especficos de salida se pueden
enmascarar por rootkit para camuflar las herramientas de ataque que se ejecutan
en el sistema. Un acercamiento comn para detectar archivos modificados es
comparar la versin en el hash de un archivo limpio. Es importante observar que la
comparacin se debe hacer en una mquina limpia usando medios confiables, pues
es tambin es posible que cualquier utilidad del ataque haya comprometido el
sistema en cuestin.
El propsito de este es alertar a el atacante que alguien est investigando. Se
puede utilizar para ejecutar programas destructivos en nombre del Administrador o
instalar backdoor trojans.
Intelligence Gathering: SNIFFING - Propsito:
o Despus de utilizar un sniffer el atacante est en condiciones de obtener
nombres de cuentas y passwords que pasen por la red en texto plano.
o Puede ser utilizado para descubrir otras redes / equipos que pueden estar
comprometidos en un futuro.
o Puede ser utilizado para descubrir otros sniffers.
o Netmon utiliza broadcasts del protocolo BONE.
o Los equipos Windows por defecto responden pedidos ARP (Unix puede
restringir respuestas ARP)
Island Hopping: Island Hopping es una tcnica de Hacking en la cual el
hacker incorpora una red de ordenadores dbiles y despus se traslada a partes
ms seguras de la red. Esencialmente, estn utilizando las mismas tcnicas
discutidas previamente para ampliar su influencia dentro de un ambiente dado de
red. Una cosa es para un atacante comprometer un web server sin inters y sin la

19

seguridad apropiada. Es algo mucho ms atractiva la red corporativa entera donde

existen datos ms interesantes para la compaa.
Social

Engineering:

Es

de

naturaleza

humana.

Nosotros,

como

generalizacin, conseguir la satisfaccin de participar en el xito de otros. Los

atacantes ruegan a menudo esta opcin. No realizando prcticamente accin
alguna, obtienen informacin que de otra manera no estara disponible. Un atacante
social listo puede trampear a menudo a individuos en la organizacin para divulgar
la informacin que pertenece a los nombres de servers, nmeros de mdem,
direcciones IP, configuraciones de red, polticas de password, nombres de cuentas
u otra informacin privilegiada que sea beneficiosa en un ataque.
Denial of Service: Un atacante no tiene que acceder necesariamente a un
sistema para causar problemas significativos. Los ataques Denial of Service (DoS)
realizan tareas en los servicios con el fin de evitar su normal funcionamiento. Los
ejemplos incluiran todas las conexiones de red en un server o asegurarse que un
mail Server reciba ms mails de los que puede manejar. Los ataques DoS pueden
ser un ataque directo o causado por virus, gusanos o Trojan horses.
Los objetivos de los ataques Denial of service pueden ser:
o CPU
o Espacio en disco
o Ancho de banda de red
o Cualquier recurso o servicio

Conclusiones.

20

Como conclusiones se tienen:

El arte de escribir en cifra, o en caracteres, que son inteligibles excepto para
las personas que tienen la clave es criptografa.
La esteganografa es el arte de la cubierta, u oculto, por escrito. El propsito
de la esteganografa es encubrir la comunicacin para ocultar un mensaje de un
tercero.
Existe una diferencia clave entre ambas, la criptografa es el arte de ocultar
mensajes; es decir, est destinada a hacer un mensaje ilegible a un tercero, pero
no oculta la existencia misma de la comunicacin secreta. Mientras que la
esteganografa es independiente y distinta de la criptografa, ya que oculta el
mensaje de ser visto.
Ambos se han utilizado a lo largo la historia registrada como medio para
proteger la informacin, hay muchas analogas entre los dos y, de hecho, algunos
autores categorizan esteganografa como una forma de criptografa desde la
comunicacin oculta, y sin duda es una forma de escritura secreta.
La Esteganografa oculta el mensaje encubierto, pero no el hecho que las
dos partes se comunican entre s. Los datos incrustados, es el mensaje que se
quiere enviar secretamente. El proceso estego generalmente implica la colocacin
de una mensaje oculto dentro de algn medio de transporte, llamado portador. El
mensaje secreto est incrustado dentro del portador para formar el medio estego.
El uso de una clave estego puede ser empleada para el cifrado del mensaje oculto
y / o para la asignacin al azar dentro del esquema estego.
Una firma digital est destinada al mismo propsito que una manuscrita. Sin
embargo, una firma manuscrita es sencilla de falsificar mientras que la digital es
imposible mientras no se descubra la clave privada del firmante.
Un certificado digital es un documento electrnico que asocia una clave
pblica con la identidad de su propietario.

Referencias Web.

21

http://www.academia.edu/12438314/Authentication_for_Visual_Cryptograp
hy_based_on_Magic_Square_using_Steganographic_Method
http://www.techrepublic.com/resource-library/whitepapers/implementationand-analysis-of-email-messages-encryption-and-image-steganography-schemesfor-image-authentication-and-verification/
http://worldcomp-proceedings.com/proc/p2015/IKE2490.pdf
https://en.wikipedia.org/wiki/Steganography
http://www.ijcsit.com/docs/Volume%202/vol2issue4/ijcsit2011020417.pdf
http://seguridad-informatica-1iutll.blogspot.com/search?q=criptograf%C3%ADa
https://www.google.co.ve/search?q=funciones+de+autenticaci%C3%B3n+f
irma+digital+y+certificados+digitales&oq=funciones+de+autenti&aqs=chrome.2.69i
57j0l5.11526j0j4&sourceid=chrome&ie=UTF8#q=funciones+de+autenticaci%C3%B3n+
http://seguridadinformatica30072015.blogspot.com/
http://masquemates.blogspot.com/2011/09/allan-poe-criptografia-y-elescarabajo.html
file:///C:/Users/A2/Downloads/esteganografia%20(1).pdf
http://digital.csic.es/bitstream/10261/24545/1/Flujo_1.pdf
http://digital.csic.es/bitstream/10261/11279/3/PonenciaMATESFuster.pdf