Seguridad informática

Temario

1. Conceptos de seguridad informática.

2. Seguridad física

3. Seguridad lógica

4. Criptografía

5. Gestión de almacenamiento de la información

6. Seguridad en redes

7. Normativa legal

8. Auditorias de seguridad

Seguridad Informática: Es el conjunto de mecanismos HW y SW (físico y lógico) para asegurar

el buen funcionamiento de los recursos informático y, además, garantizar la confidencialidad,

autenticación e integridad de la información.

Glosario de términos

- Confidencialidad: Nadie ajeno a esa información puede conocerla.

- Autenticación/autentificación: El origen de la información es bien conocido (well-

known, es quien dice ser).

- Integridad: La información no ha sido manipulada.

- No repudio: Es la combinación de autenticación + integridad. Es un término legal.

- Disponibilidad: La información es accesible.

- Fiabilidad: Los equipos no fallan o están preparados para responder adecuadamente a

los fallos.

- Redundancia: Duplicar recursos para aumentar la fiabilidad y la disponibilidad.

- Distribuido: Duplicar recursos para aumentar la fiabilidad y la disponibilidad.

- Distribuidor: La información total se reparte entre varios elementos.

- Vulnerabilidad: Es un agujero de seguridad en tu sistema informático.

- Hacker: Experto informático, no tiene motivación maligna.

- Cracker: Es un experto informático pero con intenciones dañinas.

- Lammer: Es igual que el cracker, pero sin conocimientos.

- Phreakers: Es un cracker telefónico.

- Sniffer: Es un cracker especializado en extraer el trafico de las redes.

- Sniffing: Robar información de una red de aire o cable.

- Spoofing: Suplanta la identidad.

- Newbie: Es un hacker novato.

- Ciberterrorismo: Es un cracker que se dedica a hacer daño contra el gobierno.

- Carders: Cracker especializados en tarjetas (cajeros).

- Programador de virus: Cracker que se dedica a hacer virus.

- KeyLogger: Herramienta que va capturando todo lo que se escribe en el teclado.

- Fuerza bruta: Va probando contraseñas una por una hasta averiguar cuál es.

- Denegación de Servicio (DoS): Interrumpir un servicio de un ordenador mediante un

envió masivo de peticiones.

- Pishing: Obtener datos mediante una suplantación de identidad (dar datos a una

página falsa de banco)(Ataque de ingeniería Social).

- Spam: Envió de correo masivo para dar publicidad.

- Malware: Virus, programas espías, secuestradores del navegador.

- Conexión no autorizada: Conectarte con el servidor de un ordenador sin tener

permiso.

- Auditoría: Verifica si se cumplen las normas de seguridad de una empresa.

- Política de servicios: Es el conjunto de normas de seguridad que tiene una empresa.

LOPD Ley organica de protección de datos: Es un tipo de medida que nos protege para que las

empresas no puedan dar nuestros datos, y para hacerlos nos deben de pedir permiso.

Clasificación de los mecanismos de seguridad

1. Según su naturaleza:

- Físicos

- Lógicos

2. Según el momento en el que actúan:

- Pasivos

- Activos

Ejercicio 1:

- Físicos: Firewall, extintores, detectores de humos, servidor de copias de seguridad,

alarmas contra robos, SAI.

- Lógicos: Antivirus, anti-spyware, proxys, anti-troyano,

Ejercicio 2:

- Activos: Cámaras de seguridad, antivirus, encriptación, firewall

- Pasivos: Copia de seguridad, SAI

Preguntas:

1. ¿Qué problemas pueden surgir en una empresa que vende cosas en internet si le entra

un virus que formatea todos los ordenadores?

- Pues que pierda la información de todos los productos que tiene en venta, que pierda

la información de sus clientes y sus compras, que pierdas la información de comprar

realizadas anteriormente y conlleven a problemas de devoluciones, etc.

2. ¿Qué problemas puede tener un miembro de mi familia cuando se conecta a mi red

wifi sin proteger?

- Le pueden robar datos confidenciales, les pueden meter un KeyLogger para robarles

contraseñas, entre otros muchos problemas

Encriptación o cifrado. Ocultación de datos empleando algoritmos matemáticos Contraseñas

(password): Es una serie de bits que se utilizan junto con el algoritmo matemático para

encriptar los datos.

Ejercicio: crea un algoritmo matemático

- Cojo cada palabra y la adelanto 3 posiciones en el diccionario, y cada letra la cambio

por su opuesta en el abecedario.

Clasificación de los métodos de encriptación

- Simétricos: misma clave para encriptar y desencriptar

o Ventajas: Son rápidos

o Inconvenientes: Es necesario compartir la clave. Nos la pueden robar

- Asimétricos: Distinta clave para encriptar y desencriptar

o Ventajas: No se comparte la clave privada

o Inconvenientes: Son más lentos

Sistemas asimétricos: Usan dos claves distintas. Cumpliendo lo siguiente.

1. Cada clave del par es capaz de desencriptar lo que haya encriptado la otra. No existe

otra clave distinta que puede conseguirlo.

2. A partir de las claves del par no podemos averiguar la otra.

Funcionamiento:

Un único agente genera el par de claves, una de ellas nunca se compartirá (privada).La otra se

podrá compartir libremente y se denomina pública

Simétrica:

Datos

originales

011101111

Datos

encriptados

100111

Contraseña

+ algoritmo

Cifrado

Datos

originales

011101111

Datos

encriptados

100111

Contraseña

+ algoritmo

inverso

Descifrado

Iguales

Encriptación Desencriptación

Datos

originales

--------------

--------------

--------------

Datos

encriptados

----------------

----------------

----------------

Datos

originales

--------------

--------------

--------------

Asimétrica:

- Encriptación con la privada (Se obtiene autentificación)

- Encriptación con la pública (Se obtiene confidencialidad)

- Encriptación asimétrica con dos pares de claves

- Mezcla de encriptación simétrica y asimétrica

Publica Privada

Encriptación Desencriptación

Datos

originales

--------------

--------------

--------------

Datos

encriptados

----------------

----------------

----------------

Datos

originales

--------------

--------------

--------------

Privada Publica

Encriptación Desencriptación

Datos

originales

--------------

--------------

--------------

Datos

encriptados

----------------

----------------

----------------

Datos

originales

--------------

--------------

--------------

A B

Privada de A Privada de B

Pública de B Pública de A

“B” desencriptar con su

privada y descifra la

simétrica, a partir de ahí

es la que utilizan

A B

Privada de A Privada de B

Pública de B Pública de A

A genera una clave

simétrica y se la manda a

“B” con la pública de “B”

Certificados digitales

Es un documento electrónico (o tarjeta inteligente) que contiene información sobre su diseño:

- Nombre

- Datos personales

- Fecha de caducidad

- Entidad emisora

Si es un certificado digital completo – Clave publica + clave privada.

Si es un certificado digital público – Solo la clave pública.

Entidades emisoras de certificados (completos) / Infraestructuras PKI

Son empresas u organismos que emiten certificados digitales completos a personas o

empresas. Son suficientemente conocidos como para confiar en ellos y garantizar que sus

certificados son auténticos.

Certificado digital público de una persona

Nombre

Caducidad

Clave publica de esa persona

Clave privada de la entidad emisora

Cert. Público

F. Caducidad

C. Pública

--------------------

C. pública e.

emisora

B (Amazon)

Privada de B

A (Yo)

Pública de C

Pública de B

C (Entidad emisora)

Ej. verisign

Privada de C

Firma digital

Es un mecanismo de seguridad basado en las técnicas de encriptación asimétrica. Sirve para

garantizar la autenticación y la integridad de un documento. Ej.: Contratos online, etc.

Funcion hash o resumen: Es una función matemática que aplicada a unos datos originales nos

da como resultado una serie de bits denominadas “hash” o “resumen”

Si los datos originales no cambian, al aplicar sucesivamente la función, nos dará siempre el

mismo hash. Si los datos son modificados, el hash cambia.

Esquema de funcionamiento. (Ej.: Correo electrónico)

Ejercicio 1: investigación sobre algoritmos de encriptación.

1. Simétrico:

a. DES/3DES

b. Blowfish

c. AES

d. IDEA

2. Asimétrico:

A (Yo) B

(Casero)

a) Contrato original

b) C. Pública A

(cert. Publico A)

c) Hash encriptado

Contrato

f. Hash

Hash

C. Privada

Hash

Contrato

f. Hash

Nuevo Hash

Hash

C. Pública A

Hash original

Compara

No son iguales

Han alterado el contrato

O

No es quien dice ser

Si son iguales

Autenticación

+

Integridad

a. RSA

b. DSA

c. DH

Ejercicio 2:Investiga en la pagina de la FNMT lo siguiente

1. Pasos que hay que seguir para sacarse el certificado

a. Solicitud vía internet de su Certificado.

b. Acreditación de la identidad en una Oficina de Registro.

c. Descarga de su Certificado de Usuario.

2. ¿Cuándo caducaría?¿Como se realiza la renovación?

a. Dos años .

b.

I. Solicitar la renovación desde el navegador donde actualmente tiene

instalado el certificado que va a caducar, y...

II. Descargar el certificado renovado desde esta página web.

3. ¿Qué relación existe entre el certificado online de la FNMT y el DNI-e?

a. Que con el DNI-e te puedes sacar el certificado, sin DNI-e no puedes.

4. ¿Cuál es la oficina mas cercana a tu casa donde puedes gestionar la obtención del

certificado digital online?

a. Avda. de la universidad s/n

Infraestructura PKI (Public Key Infrastructure)

Es el conjunto de recursos software y hardware que posibilita el uso de certificados digitales en

una empresa

Esquema/Elementos

Entidad

certificadora (CA)

Se encarga de

emitir los

certificados

completos

Agente de

registro (RA)

Se encarga de

procesar las

solicitudes

Usuarios de los

certificados

Certificados

públicos

Directorio /

Almacen de

certificados