Seguridad en los negocios

electrnicos

Contenido

Autenticacin
Criptografa
Certificacin
Firma electrnica
Seguridad en la Web
Seguridad computacional
2

Autenticacin

Identificar al usuario que desea tener acceso

a los servicios de cmputo (Web server, etc.)

Monitoreo del flujo de paquetes y verificar

que pertenecen a un usuario y servicio
autorizado

Identificar Software intruso y verificar que su

funcionalidad est autorizada, libres de virus

Autenticacin Tcnicas

Contrasea
Funciones compendio
Firma digital

Biomtricas

Reconocimiento de voz
Reconocimiento de la mano
Huella digital
Reconocimiento del iris (muy confiable)
5

Criptologa

La
criptologa
(del
griego
criptos=ocultos
y
logos=tratado,
ciencia), se compone de:

Criptografa: procedimientos para cifrar, o

enmascarar
confidencial.

informacin

Criptoanlisis:

de

carcter

procedimientos
para
descifrar y recuperar la informacin original.
7

Criptografa

La criptografa es una necesidad, ya

que el desarrollo de las comunicaciones
electrnicas hace posible la transmisin
y almacenamiento de informacin
confidencial que es necesario proteger.

Proceso Criptogrfico
Mensaje
cifrado

A
Mensaje
de origen

B
CIFRADO

DESCIFRAD
O
DESCRIPTAD
O
Mensaje de
origen?

Mensaje
de origen

Interceptad
o

Algoritmos de encriptacin

ROT13, a cada letra se asigna a un nmero y se le

suma 13, despus se reemplaza el nmero por otra
letra. Si es mayor de 26 se le resta 26 y se convierte.

HELLO 8,5,12,12,15 + 13 = 21,18,25,25,28-26 =URYYB

Entre ms bits se usen, es ms difcil de descrifrar. El

algoritmo PGP soporta claves de hasta 4,096 bits

Se requieren 3 das para descifrar una llave de 56

bits, 6 das para 57 bits, 768 das para 64 bits, etc.
Las llaves de 128 bits hoy son seguras

10

Finalidad de la criptografa

Un buen sistema criptogrfico ser aquel

que ofrezca un descrifrado imposible
pero un encriptado sencillo.

La finalidad es doble:

Mantener la confidencialidad del mensaje.

Garantizar la autenticidad tanto del mensaje

como del par remitente/destinatario..

11

Cifrado
Definicin
Es el mecanismo para proporcionar
confidencialidad a travs de funciones
matemticas

Tipos
Simtricos o de Llave Privada (DES).
Asimtricos o de Llave Pblica (RSA).
12

Ventajas del cifrado

Protege la informacin almacenada en la

computadora contra accesos no autorizados

Protege la informacin mientras transita de un

sistema de cmputo a otro

Puede
detectar
y
evitar
alteraciones
accidentales o intencionales a los datos

Puede verificar si el autor de un documento es

realmente quien se cree que es
13

Desventajas del cifrado

No puede prevenir que un agresor borre

intencionalmente todos los datos

Encontrar la forma de que no se tuviera

conocimiento previamente

Acceder al archivo antes de que sea

cifrado o despus de descifrar
14

Elementos comunes
del cifrado

Algoritmo cifrador (cifra y descifra datos)

Claves de cifrado

Longitud de clave (claves largas)

Texto en claro (informacin a cifrar)

Texto cifrado (informacin despus de cifrar)

15

Algoritmos criptogrficos

Criptografa de clave privada - simtrica

Ambos participantes comparten una clave (Ej.

DES, IDEA)

Criptografa de clave pblica

Cada participante tiene una clave privada no

compartida y una clave pblica que todos
conocen

El mensaje se encripta usando la llave pblica y

el participante descifra el mensaje con su clave
privada (Ej. RSA de Rivest, Shamir y Adleman)

16

Algoritmos criptogrficos

Funcin Hash
mensaje:

de

Digestin

del

No involucran el uso de claves

Determina una suma de verificacin nica

(checksum) criptogrfica sobre el mensaje

El algoritmo ms usado es el MD5 (Message

Digest versin 5)
17

Sistemas de claves privadas

RC2

IDEA International Data Encryption Algorithm

Cifrador de bloque permite de 1 a 2048 bits

Usa una clave de 128 bits, utilizado por el

programa PGP (para e-mail).

SKIPJACK

Utilizado por el circuito integrado de cifrado

CLIPPER, utiliza 80 bits
18

Sistemas de clave privada

DES (Data Encription Std. IBM-1980)

Usa las tcnicas de confusin y difusin

Cifra por bloques de 64 bits con una llave secreta

de 64 bits (56 tiles y 8 de paridad)

Realiza 16 iteraciones y en cada una hace una

sustitucin y una permutacin con la llave

En Hardware es ms rpido hasta 1Gb/seg.

La llave privada se puede enviar con cada

mensaje

19

Algoritmos de llave privada

20

Algoritmos de llave privada

Ventajas
El descifrado utiliza el mismo algoritmo

pero con las llaves en orden inverso

Se requieren 1500 aos para hallar la

clave o 6 meses si se usan 300 PCs en
paralelo
Estndar ampliamente utilizado en la
industria, donde para mayor seguridad se
encripta 3 veces (3DES), usando tres
claves diferentes
21

Algoritmos de llave privada

- Desventajas
Quedan algunas incgnitas por resolver
Ya cumpli con su ciclo de vida
Puede romperse por fuerza bruta
Como todo algoritmo simtrico, tiene el
problema de la distribucin de la llave
22

Algoritmos de llave pblica

Todos los usuarios tienen una llave pblica
y una privada
Si alguien enva un mensaje, lo cifra con tu
llave pblica y slo se descifra con la clave
secreta
La seguridad depende de la
confidencialidad de la llave secreta
Se basan en funciones matemticas

23

Algoritmos de llave pblica

Esquema de cifrado.
Digamos que existen un par de llaves que
pertenecen al usuario A:
PK A : Llave pblica de A
SK A : Llave secreta de A
Entonces:
B -> A: PK A {mensaje} : Mensaje Cifrado
A : SK A {PKA {mensaje} } : Descifrado
El mensaje solamente lo puede entender el
24
usuario A

Sistemas de clave pblica

EL GAMAL

Basado en aritmtica exponencial y modular,

puede usarse para cifrado y firmas digitales.

DSA

Algoritmo de firmas digitales, puede ser de

cualquier longitud, solamente se permiten
claves entre 512 y 1024 bits bajo FIPS
25

Sistemas de clave pblica

Pohlig-Hellman

Sistema para el intercambio de claves

criptogrficas entre partes activas. La clave
puede ser de cualquier longitud, dependiendo
de la implementacin de que se trate.

RSA Data Security Inc.

Puede usarse tanto para cifrar informacin

como para ser la base de un sistema digital
de firmas.

26

Algoritmo de llave pblica RSA

Surge en 1978 gracias a Ron Rivest, Adi Shamir
y Leonard Adleman fundadores de RSA Data
Security
Su seguridad radica en la dificultad de
factorizar nmeros muy grandes (esp. nmeros
primos)
- De 100-200 dgitos (512 bits). Hoy se usan llaves de
1024 bits

Proporciona mayor flexibilidad

Se puede utilizar tanto para encriptar como para firmar
mensajes

27

Funciones criptogrficas
Hash

Aceptan como entrada un conjunto de

datos y genera un resultado de longitud
fija nico:

No debe ser posible reconstruir la fuente de

datos con el resultado compendiado

El resultado debe parecer un conjunto

aleatorio de datos para que al agregarlos a
los datos cifrados no se pueda determinar
donde terminan y donde inicia la firma digital
28

Algoritmo Hash MDn (2 o 5)

Calculan una suma de verificacin

(checksum) criptogrfica de longitud fija
de un mensaje de entrada de longitud
arbitraria

Operan en partes de mensaje de 512

bits con transformaciones complejas

Para la firma se usa RSA sobre el

resultado de la Checksum

29

Funciones criptogrficas
Hash

SNERFU
N-HASH
MD2, MD4, MD5 Message Digest Algorithm
SHA Secure Hash Algorithm
RIPE MD
HAVAL
30

Sistemas de seguridad
completos

PGP Pretty Good Privacy (Phil

Zimmerman) opera en la capa de
aplicacin

Encriptacin y autenticacin para correo

electrnico

Usa una llave pblica certificada por alguien

PGP puede utilizar diferentes algoritmos de

encriptacin

31

Sistemas de seguridad
completos

El protocolo IPSEC opera a nivel de capa

de red

Seguridad de nivel capa de transporte

HTTPS

Usa un puerto seguro de TCP (443)

Otros protocolos de capa de transporte

son SSL y TLS, proporcionan privacidad,
integridad y autenticacin
32

Protocolo de capa de red

SSL Secure Socket Layer (Netscape)
Cifra los datos con clave privada RC4 o IDEA y
la clave de sesin de RC4 o IDEA mediante RSA
de clave pblica
La clave de sesin es la que se utiliza para
cifrar los datos que vienen o van al servidor
seguro, se genera una clave distinta por
transaccin
Adems proporciona autenticacin de
servidores, integridad de mensajes y de

33

Protocolo de capa de red

SSL Secure Socket Layer (Netscape)
Cuando el cliente pide una comunicacin
segura, el servidor abre un puerto cifrado
gestionado por SSL:
Fase Hola acuerdo sobre los algoritmos a
usar
Fase Intercambio de claves, generando la
maestra
Fase de produccin de clave de sesin para
cifrar
Fase de verificacin del servidor al usar RSA
34
Fase de autenticacin del cliente

Protocolo de capa de red

SSL Secure Socket Layer (Netscape)
Se sabe que el servidor es seguro si en
Netscape aparece una llave o un candado si se
usa Explorer
http aparece ahora como httpa
Slo protege transacciones entre dos puntos:
servidor Web y navegador del cliente o emisor
de tarjeta
No protege al comprador del uso fraudulento
de su tarjeta de crdito
Los vendores corren el riesgo de que les sea35

Protocolo Secure Elecronic

Transaction (SET)

Producto de la alianza IBM, Microsoft,

Netscape, Visa y Mastercard

No es adecuado para micropagos (< US$10)

Garantiza la autenticacin de todas las
partes: cliente, vendedor, bancos emisor y
adquiriente
Alta confidencialidad, el vendedor no tiene
acceso al nmero de tarjeta y el banco no
accesa los pedidos
Permite la gestin de la actividad comercial,
registros, autorizaciones y liquidaciones
36

Protocolo Secure Elecronic

Transaction (SET)

Limitantes

Lento desarrollo de software de monedero y

POST (punto de venta)
No hay compatibilidad completa de los
productos que maneja SET
Exige rgidas jerarquias de certificacin,
diferentes para cada tarjeta, lo cual es
engorroso
El costo de su implementacin es elevada

37

38

Sistemas de certificacin

Se autentifica a los clientes que desean

acceder a servidores

Los procedimientos se iniciaron en el MIT

con Kerberos y ahora se tiene el estndar
X.509

La verificacin la hace un tercero servidor

de certificacin. Tanto el cliente, como el
servidor y el certificador usan encriptacin
39

Certificado digital
La empresa mas
importante a nivel
mundial para la
expedicion de firma o
certificado digital es:
http://www.verisign.com/c
lient/enrollment/index.ht
ml
Costo del certificado:
60 Das Gratis.
$14.95 por Ao.

40

Certificado digital

41

Proceso de Certificacin
El proceso de certificacin incluye
servicios
de
registro,
"naming",
autenticacin, emisin, revocacin y
suspensin de los certificados.
VeriSign ofrece tres niveles de servicios
de certificacin de acuerdo a las
necesidades del usuario.

42

Certificado digital Clase 1

Son
emitidos
y
comunicados
electrnicamente a personas fsicas, y
relacionan en forma indubitable el nombre
del usuario o su "alias" y su direccin de
E-mail con el registro llevado por VeriSign.
No autentican la identidad del usuario.
Son utilizados fundamentalmente para
Web Browsing y E-mail, afianzando la
seguridad de sus entornos. No son para
uso comercial.
43

Certificado digital Clase 2

Son emitidos a personas fsicas, y
confirman la veracidad de la informacin
aportada en el acto de presentar la
aplicacin y que ella no difiere de la que
surge de alguna base de datos de usuarios
reconocida.
Es utilizado para realizar comunicaciones
va E-mail; transacciones comerciales de
bajo riesgo, validacin de software 44
y

Certificado digital Clase 3

Son emitidos a personas fsicas
organizaciones pblicas y privadas.

En el primer caso, asegura la identidad del

suscriptor, requiriendo su presencia fsica
ante una LRA o un notario.
45

Certificado digital Clase 3

En el caso de organizaciones asegura la
existencia y nombre mediante el cotejo de los
registros denunciados con los contenidos en
bases de datos independientes.
Son utilizados para determinadas aplicaciones
de comercio electrnico como Electronic
banking' y Electronic Data Interchange (EDI).
46

47

Firma electrnica
Por Firma Electrnica se entiende "aquel
conjunto de datos en forma electrnica,
anexos a otros datos electrnicos o
asociados funcionalmente con ellos,
utilizados como medio para identificar
formalmente al autor o a los autores del
documento que la recoge.

48

Firma electrnica avanzada

Permite la identificacin del signatario y
ha sido creada por medios que este
mantiene bajo su exclusivo control,
vinculada nicamente al mismo y a los
datos a los que se refiere, lo que
permite que sea detectable cualquier
modificacin ulterior de estos.
Tiene iguales efectos jurdicos que en la
firma manuscrita.

49

Certificado digital
Certificado de Navegador, Intranets/Extranets.
Este tipo de certificados permiten firmar
digitalmente los documentos, garantizando la
autenticidad y el no repudio de los mismos.
Certificado de Servidor Seguro. Garantizan la
identidad del servidor y posibilitan las
comunicaciones seguras y privadas con
clientes, socios, proveedores u otras personas.
Certificado de firma de Software. Garantizan la
identidad del fabricante y la integridad del
50
contenido.

51

Seguridad en la Web

La WWW es un sistema para intercambiar

informacin sobre internet.

Se construye de servidores web que ponen la

informacin disponible en la red.

Los examinadores de la web se usan para tener

acceso a informacin almacenada en los
servidores y para desplegarla en la pantalla del
usuario.
52

Servidor seguro cont

Al construir un servidor web, se debe

estar seguro de:

Los usuarios no deben ser capaces de

ejecutar comandos arbitrarios o interactuar
con el intrprete de comandos en el servidor.

Los guiones CGI que se ejecutan deben

desempearse ya sea haciendo la funcin
esperada o devolviendo un mensaje de error.

Un agresor no debera ser capaz de usar el

servidor para ataques posteriores.
53

Servidor seguro cont

Los servidores usan tres tcnicas principales para

controlar el acceso a los archivos y directorios:
Restringir el acceso a las direcciones IP,
subredes o dominios DNS particulares.

Restringir el acceso a usuarios en particular.

Restringir el acceso de usuarios que presenten

claves pblicas firmadas por una autoridad de
certificacin apropiada.

54

Desarrollo de un sitio oculto

El sitio oculto puede pasar a produccin y contiene

informacin sobre el producto que puede servir en
caso de fallas

En caso de problemas es mejor avisarle a todo

mundo que se est consciente del problema y que
se toma la responsabilidad del caso

De no hacerlo, los usuarios descontentos pueden

hacer una campaa negativa de publicidad en
lnea

55

Desarrollo de un sitio oculto

En 1994 un matemtico descubri que el chip

Pentium no haca clculos correctos de punto
flotante en ciertas condiciones, al avisarle a Intel
no hizo caso, trataron de esconder el problema

Hubo una gran protesta por Internet, por los

medios, los usuarios pedan reemplazo de chips.
Intel reemplaz los chips por una nueva serie.
(Ford en llamas)

Ahora tiene una base de datos on line de errores

detectados. El Pentium II se puede corregir por
soft.

56

Experiencias on line

Jugo de manzana Odwalla con la bacteria E-coli mata

a beb. Se retiraron jugos en 4,500 comercios, se
instal una pgina para informacin y consulta. Al
final 90% de los clientes seguan prefiriendo la marca

Lo mismo sucedi con Swiss Air en su accidente en

Canada, cuando la empresa dio toda la informacin

En el caso del descarrilamiento del tren de alta

velocidad de Alemania de la Deutche Bundesbahn,
no dio ninguna informacin y perdi mucha
credibilidad

57

Servicios de reclamos en
lnea

Complain.com, Fight Back y Complain To

Us, cobran una tarifa por escribir una
carta y dar seguimiento de quejas

58

Administracin de riesgo

Auditorias regulares de riesgo

Documentar planes de emergencia

Monitoreo de palabras clave

Manual de crisis accesible en Intranet

Sitios ocultos completos y actualizados

Simulacros de emergencia
Informacin a los medios y usuarios en caso de
emergencia
59

Planeacin estratgica para

casos de emergencia

Desarrollar un sitio oculto con informacin acerca

de medidas de seguridad, debe incluir formas de
contactar a expertos y debe reemplazar al sitio
normal en menos de una hora, con declaraciones
de la alta direccin

El sitio debe estar en CD o ZIP para llevarlo a un

ISP y publicarlo, avisando por los medios al
pblico

Hay sitios que monitorean la red en caso de

problemas, The informant y Mind It (perro
guardian)

60

61

Seguridad Computacional
Seguridad Informtica

Disciplina que busca proteger la informacin ante

eventos adversos

Se basa en 3 principios bsicos:

Confidencialidad
Disponibilidad

Integridad

62

Seguridad Computacional

Confidencialidad
La informacin slo es revelada a los
individuos o procesos autorizados

Integridad
La informacin no debe ser modificada de
manera accidental o maliciosa

Disponibilidad
Los recursos de informacin son accesibles en
todo momento.
63

Los 10 mandamientos del

usuario de la red

La utilizacin de los antivirus es

importante, se debe ejecutar por lo
menos una vez al da

En caso de que su equipo quede

desatendido por alguna razn, debe de
colocar el Protector de pantalla
protegido con contrasea.
64

Los 10 mandamientos del

usuario de la red

Si maneja informacin secreta lo mejor es

mantenerla encriptada en su disco duro y
en el servidor. Usar PGP(Pretty Good
Privacy). No olvide asegurar su llave
privada.

Para compartir informacin en la red,

asegrese de colocar los permisos
estrictamente necesarios a los usuarios
adecuados y por el mnimo tiempo posible.
65

Los 10 mandamientos del

usuario de la red

Abstngase de instalar programas no

autorizados en la red.

Procure que su equipo se encuentre en

optimas condiciones, buena ventilacin,
mantenimiento de hardware y software
por el personal autorizado de la
empresa.
66

Los 10 mandamientos del

usuario de la red

Recuerde realizar copias de respaldo

actualizadas de la informacin vital y
colocarla en un lugar interno y externo
seguro bajo llave y encriptada.

Mantener la informacin de la empresa en

la misma y no transportarla a otros sitios
diferentes.

Asegurarse de seguir cada uno de los 10

mandamientos.
67

Los 10 mandamientos del

administrador de la red

Siga, respalde y audite cada uno de

Los 10 Mandamientos del usuario de la Red.

Establezca polticas de seguridad

apropiadas para la red computacional de la
empresa,

Implemente sistemas de seguridad para

la red en cada uno de los servidores de la
empresa utilizando Firewalls, proxy o filtros.
68

Los 10 mandamientos del

administrador de la red

Responda inmediatamente a
cualquier sugerencia o queja de un
usuario con respecto a la seguridad de su
informacin.

Procure no sobrecargar los servidores

asignndoles muchos servicios, recuerde
que esto baja el rendimiento y atenta
contra la seguridad y la constancia de los
69
servicios.

Los 10 mandamientos del

administrador de la red

El manejo de los puertos es

fundamental a la hora de auditar posibles
huecos de seguridad.

Implementar estrategias para la

creacin de copias de respaldo.

Debe leer diariamente los logs ( Archivo

de texto que muestra el funcionamiento y la
utilizacin del equipo)
70

Los 10 mandamientos del

administrador de la red

El acceso al centro de computo donde

se encuentran los servidores de la
empresa, debe ser completamente
restringido y auditado a cada instante

Verificar la seguridad, convirtase en el

Hacker de su empresa.

71