TRABAJO COLABORATIVO 3

“Seguridad Informática”

Por:

Diana Marcela Salcedo Valencia Cód. : 40306267

Yenny Patricia Velandia. Cód.
Anuar Azor Villa Issa Cód. 71730096
Camilo Ernesto Hoyos Cód.

Curso: Redes Avanzadas

Tutor: Luis Hernando Rodríguez

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD –

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA

UNIDAD DE CIENCIAS BÁSICAS

MAYO DE 2010
 INTRODUCCION

Debido a que el uso de Internet se encuentra en aumento, cada vez más compañías
permiten a sus socios y proveedores acceder a sus sistemas de información. Por lo tanto, es
fundamental saber qué recursos de la compañía necesitan protección para así controlar el
acceso al sistema y los derechos de los usuarios del sistema de información. Los mismos
procedimientos se aplican cuando se permite el acceso a la compañía a través de Internet.

Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy en día, el
cual permite a los empleados conectarse a los sistemas de información casi desde cualquier
lugar, se pide a los empleados que lleven consigo parte del sistema de información fuera de
la infraestructura segura de la compañía.
1. Investigue que Firewall se encuentran disponibles en el mercado y que
características de protección brindan.

La función del firewall es ser una sólida barrera entre su red y el mundo exterior. Este
permite habilitar el acceso a usuarios y servicios aprobados.

1.1. Algunos de las prestaciones que le brindan son:

• Previene que usuarios no autorizados obtengan acceso a su red.
• Provee acceso transparente hacia Internet a los usuarios habilitados.
• Asegura que los datos privados sean transferidos en forma segura por la red
pública.
• Ayuda a sus administradores a buscar y reparar problemas de seguridad.

1.2. Firewall Disponibles en el Mercado

• Firewall de inspección de Paquetes

Este tipo de Firewall se basa en el principio de que cada paquete que circula
por la red es inspeccionado, así como también su procedencia y destino. Se
aplican desde la capa de Red hasta la de Aplicaciones. Generalmente son
instalados cuando se requiere seguridad sensible al contexto y en aplicaciones
muy complejas.

• Firewall Personal
Estos Firewalls son aplicaciones disponibles para usuarios finales que desean
conectarse a una red externa insegura y mantener su computadora a salvo de
ataques que puedan ocasionarle desde un simple "cuelgue" o infección de virus
hasta la perdida de toda su información almacenada.

• Firewall de capa de red.

Funciona al nivel de la red de la pila de protocolos (TCP/IP) como filtro de
paquetes IP, no permitiendo que estos pasen el Firewall a menos que se
atengan a las reglas definidas por el administrador del firewall o aplicadas por
defecto como en algunos sistemas inflexibles de firewall.

• Firewall de capa de aplicación.

Trabaja en el nivel de aplicación, todo el tráfico de HTTP, (u otro protocolo),
puede interceptar todos los paquetes que llegan o salen de una aplicación. Se
bloquean otros paquetes (generalmente sin avisar al remitente). En principio,
los firewall de aplicación pueden evitar que todo el trafico externo indeseado
alcance las maquinas protegidas. Provee un amplio sistema de alarmas
advirtiendo intentos de intromisión a su red.
2. Investigue Cual es el protocolo más utilizado por las empresas que
Comercializan artículos en Internet y porque?

• Protocolo SSL: Secure Socket Layer es un sistema de protocolos de carácter

general diseñado en 1994 por la empresa Nestcape Communcations Corporation, y
está basado en la aplicación conjunta de Criptografía Simétrica, Criptografía
Asimétrica (de llave pública), certificados digitales y firmas digitales para conseguir un
canal o medio seguro de comunicación a través de Internet. De los sistemas
criptográficos simétricos, motor principal de la encriptación de datos transferidos en la
comunicación, se aprovecha la rapidez de operación, mientras que los sistemas
asimétricos se usan para el intercambio seguro de las claves simétricas, consiguiendo
con ello resolver el problema de la Confidencialidad en la transmisión de datos.

SSL implementa un protocolo de negociación para establecer una comunicación

segura a nivel de socket (nombre de máquina más puerto), de forma transparente al
usuario y a las aplicaciones que lo usan.

Actualmente es el estándar de comunicación segura en los navegadores web más

importantes (protocolo HTTP), como Netscape Navigator e Internet Explorer, y se
espera que pronto se saquen versiones para otras otros protocolos de la capa de
Aplicación (correo, FTP, etc.).

La identidad del servidor web seguro (y a veces también del usuario cliente) se
consigue mediante el Certificado Digital correspondiente, del que se comprueba su
validez antes de iniciar el intercambio de datos sensibles (Autenticación), mientras que
de la seguridad de Integridad de los datos intercambiados se encarga la Firma Digital
mediante funciones hash y la comprobación de resúmenes de todos los datos
enviados y recibidos.

SSL proporciona servicios de seguridad a la pila de protocolos, encriptando los datos

salientes de la capa de Aplicación antes de que estos sean segmentados en la capa
de Transporte y encapsulados y enviados por las capas inferiores. Es más, también
puede aplicar algoritmos de compresión a los datos a enviar y fragmentar los bloques
de tamaño mayor a 214 bytes, volviéndolos a reensamblarlos en el receptor.

La versión más actual de SSL es la 3.0. que usa los algoritmos simétricos de
encriptación DES, TRIPLE DES, RC2, RC4 e IDEA, el asimétrico RSA, la función hash
MD5 y el algoritmo de firma SHA-1.

Los algoritmos, longitudes de clave y funciones hash de resumen usado en SSL

dependen del nivel de seguridad que se busque o se permita, siendo los más
habituales los siguientes:

• RSA + Triple DES de 168 bits + SHA-1: soportado por las versiones 2.0 y 3.0 de
SSL, es uno de los conjuntos más fuertes en cuanto a seguridad, ya que son
posibles 3.7 * 1050 claves simétricas diferentes, por lo que es muy difícil de romper.
 Por ahora sólo está permitido su uso en Estados Unidos, aplicándose sobre todo en
transacciones bancarias.
• RSA + RC4 de 128 bits + MD5: soportado por las versiones 2.0 y 3.0 de SSL,
permite 3.4 * 10 38 claves simétricas diferentes que, aunque es un número inferior
que el del caso anterior, da la misma fortaleza al sistema. Análogamente, en teoría
sólo se permite su uso comercial en Estados Unidos, aunque actualmente ya es
posible su implementación en los navegadores más comunes, siendo usado por
organismos gubernamentales, grandes empresas y entidades bancarias.
• RSA + RC2 de 128 bits + MD5: soportado sólo por SSL 2.0, permite 3.4 * 10 38
claves simétricas diferentes, y es de fortaleza similar a los anteriores, aunque es
más lento a la hora de operar. Sólo se permite su uso comercial en Estados Unidos,
aunque actualmente ya es posible su implementación en los navegadores más
comunes.
• RSA + DES de 56 bits + SHA-1: soportado por las versiones 2.0 y 3.0 de SSL,
aunque es el caso de la versión 2.0 se suele usar MD5 en vez de SHA-1. Es un
sistema menos seguro que los anteriores, permitiendo 7.2 * 10 16 claves simétricas
diferentes, y es el que suelen traer por defecto los navegadores web en la
actualidad (en realidad son 48 bits para clave y 8 para comprobación de errores).

3. Estudie los fundamentos de la seguridad informática y elabore un ensayo

referente a estas temáticas.

3.1Ensayo 1 “Seguridad Informática”

En los últimos años la tecnología ha tenido un papel importante en nuestras vidas, ha

crecido en muchos aspectos, y nos hemos visto muy beneficiados sobre todo en lo
que a computadoras y sistemas informáticos se refiere. Actualmente una computadora
es esencial, y prácticamente cualquier persona puede tener acceso a una de ellas.
Cualquier empresa o negocio por más pequeño que sea pero es necesario que tenga
al menos un equipo con el cual poder llevar un control de sus ventas y sus ganancias.
Pero con el aumento de estas nuevas tecnologías, también se ha visto un incremento
de lo que es la inseguridad y ataques hacia las computadoras y a la información que
almacena esta. Si bien es cierto que no importa lo sofisticado y minucioso que sea un
sistema, siempre por algún lado habrá una brecha por donde pueda inmiscuirse algún
intruso y así afectar nuestro ordenador. Pero bueno, empecemos por entender lo que
es la seguridad. La seguridad en términos generales puede entenderse como aquellas
reglas técnicas y actividades destinadas a prevenir, proteger y resguardar lo que es
considerado como susceptible de robo, perdida o daño, ya sea de manera personal,
grupal o empresarial. Hablando ya ahora en lo que a la informática se refiere,
tenemos que el elemento principal a proteger, resguardar y recuperar dentro de los
sistemas informáticos. La seguridad informática es muy importante debido a la
existencia de personas conocidas como “piratas informáticos”, estos buscan tener
acceso a la red de una empresa, o al equipo domestico de una familia para modificar,
robar o borrar datos. Estas personas también llamadas “hackers” pueden inclusive ser
parte de la misma empresa, como del personal administrativo, o del departamento de
 sistemas, ya que algunas de estas personas tienen acceso parcial o total a la
información confidencial de la empresa, datos que de ser extraviados puede afectar el
buen funcionamiento de dicha organización. Esta situación se presenta gracias a la
ineficiente seguridad con los que cuentan la mayoría de las compañías a nivel
mundial, y porque no existe conocimiento relacionado con la planeación de un
esquema de seguridad eficiente que proteja los recursos informáticos de las actuales
amenazas. El resultado es la violación de los sistemas, provocando la pérdida o
modificación de los datos sensibles de la empresa, lo que puede representar un daño
con valor de miles o millones de dólares.

3.2Ensayo 2 “Inseguridad Informática”

Son innumerables las veces que han estafado o defraudado a personas que intentan
utilizar las herramientas tecnológicas que nos ofrecen las distintas compañías que
impulsan la tecnología pero como cada ves ocurren mas delitos informáticos es por
eso que las nuevas tecnologías de comunicaciones plantean la necesidad de
mantener la confidencialidad de la información que soportan los sistemas de las
organizaciones; para ello, es especialmente importante elegir e implantar los sistemas
y métodos de seguridad más idóneos, que protejan las redes y sistemas ante
eventuales amenazas. Es por tal motivo que en la actualidad las compañías u
organizaciones piden personas en seguridad informática para que implementen y
gestionen de manera eficaz sus sistemas de información en forma segura para evitar
todos estos inconvenientes que pueden llevar hasta la perdida total de nuestra
información. Y esto nos conlleva hacernos una valiosa pregunta estamos capacitados
para implementar un sistema seguro o brindar estos servicios, conozco como operan
estos delincuentes?. Alguna vez en tu empresa o en tu lugar de trabajo o en tu casa
cuando te conectas con el mundo a través de internet te preguntas quien esta detrás
de tu computador y que puede hacer con tu información o si te están espiado cuando
podemos definir que un sistema de información se considera seguro si se encuentra
libre de todo riesgo y daño La inseguridad es una propiedad inherente a los recursos
informáticos, es por eso que la seguridad informática es una lucha continua en contra
de muchas personas que desea hacer daño a toda una estructura proceso que se
puede ver comprometido en cualquier momento de la forma menos sospechada. Pero
muchos nos preguntamos que pueden atacar en un sistema si no manejamos dinero
pues existen tres propiedades que atacan Confidencialidad, Integridad, Disponibilidad.

El mayor problema de hoy es que los servicios que más utilizamos no fueron
pensados para ser seguros, es decir la información viaja sin cifrar por los canales
inseguros. Los usuarios mal intencionados utilizan herramientas que se ponen a la
escucha y pueden ver todo el trafico de red, estas herramientas se llaman sniffer, con
la gravedad que estas herramientas están casi que ejecutable instalar y listo que hace
que se incremente la inseguridad informática
4. Investigue el nombre de las más importantes Entidades Certificadoras a nivel de
América y a que países pertenecen.

4.1En Colombia

Las certificaciones ISO pueden ser otorgadas en Colombia por diferentes entidades
que ya han sido aprobadas con anterioridad por la Superintendencia de Industria y
Comercio (SIC). Sin embargo, como entidad máxima acreditada en nuestro país, se
reconoce el Instituto Colombiano de Normas Técnicas y Certificación (Icontec).

Icontec: El Icontec es un organismo multinacional de carácter privado y

sin ánimo de lucro que trabaja para fomentar la normalización, la
certificación, la metrología y la gestión de la calidad en Colombia. Esta
entidad está conformada por la vinculación voluntaria de representantes
del Gobierno Nacional, los sectores privados de la producción, distribución y
consumo, el sector tecnológico en sus diferentes ramas y por todas aquellas personas
jurídicas y naturales que tengan interés en pertenecer a la institución.

SGS Colombia: Esta es una compañía internacional acreditada en el

mundo por ISO para certificar procesos y normas. Entre las normas que
pueden certificarse con SGS en Colombia se encuentra la certificación
de Sistemas y Servicios, Consumo e Industria. Así mismo, esta entidad
contempla como sus principales líneas de negocio la agricultura, el consumo, los
gobiernos y las instituciones, la industria, los minerales, el petróleo, los gases y
productos químicos, y la certificación de sistemas y servicios.

BVQI Colombia :Fundada en 1987 en Londres (Inglaterra), Bureau

Veritas Quality International es considerada una de las mayores y más
importantes organizaciones de certificación en el mundo, la cual está
presente en más de 44 países en los 5 cinco continentes. En Colombia
esta entidad de orden internacional se encuentra en la ciudad de Bogotá. Con una
larga trayectoria nacional e internacional, certifica las normas ISO 9000, ISO 14001,
QS 9000, VDA 6.1, AVSQ 94, ISO/ TS 16949, SA 8000, Marca de Conformidad, BS
8800, OHSAS 18001, Certificación de Productos, Marca CE, TickIT, entre otras.

International Certification and Training: IC&T S.A. es un organismo

de certificación con la competencia y confiabilidad para facilitar el
desarrollo, control e incremento de la calidad de empresas nacionales e
internacionales. Esta hace presencia en el mercado desde hace más de
seis años y es considerada líder a la hora de brindar alternativas y soluciones en
materia de evaluación de la conformidad de procesos, servicios, materiales y equipos.
Para certificar los procesos, pone al servicio de sus clientes un grupo de auditores,
profesores, inspectores y expertos técnicos con una amplia experiencia.
 Cotecna Certificadora Services: Creada en 1975 en Ginebra (Suiza),
esta certificadora especializada se inició en la inspección de una
variedad de mercancías en nombre de comerciantes privados y
entidades gubernamentales envueltas en el comercio internacional. En
1984 Cotecna, en asocio con OMIC Internacional Ltda., fue nombrado por el gobierno
de Nigeria para realizar las inspecciones pre embarques de las importaciones del país,
con el fin de frenar la evasión de divisas que estaba agotando los recursos nacionales.
Desde entonces se ha especializado en servicios gubernamentales, los cuales se han
desarrollado para reducir la evasión de divisas y el incremento de derechos y
gravámenes aduaneros. Así mismo, vela desde hace algunos años por los procesos
de normalización empresarial a lo largo y ancho del mundo.

Corporación Centro de Investigación y Desarrollo Tecnológico:

Esta corporación es una asociación de derecho privado, sin ánimo de
lucro. Entre los servicios especializados que ofrece esta entidad se
encuentra la certificación de sistemas de gestión de la calidad,
procedimiento mediante el cual una entidad independiente emite una constancia
escrita de que el sistema de gestión de la calidad de una organización cumple con los
requisitos establecidos por la norma internacional ISO 9001.

4.2 Algunas Entidades de Certificación a Nivel de América Son:

Entidades certificadoras País

Instituto Colombiano de Normas Técnicas y Certificación
Colombia
(Icontec)
Instituto Boliviano de Normalización y Calidad (Ibnorca) Bolivia
Instituto Ecuatoriano de Normalización (Inen) Ecuador
Comisión Guatemalteca de Normas (Coguanor) Guatemala
Instituto Nacional de Defensa de la Competencia y la
Perú
Protección de la Propiedad Intelectual (Indecopi)
Fondo para la Normalización y Certificación de la Calidad
Venezuela
(Fondonorma)
5. Explique 5 razones por las cuales es necesario que las empresas adopten
políticas serias en lo que se refiere al uso de firmas digitales.
1. La aparición y desarrollo de las redes telemáticas, de las que internet es el ejemplo
más notorio, ha supuesto la posibilidad de intercambiar entre personas distantes
geográficamente mensajes de todo tipo, incluidos los mensajes de contenido
contractual. Estos mensajes plantean el problema de acreditar tanto la autenticidad
como la autoría de los mismos. Concretamente, para que dos personas (ya sean dos
empresarios o un empresario y un consumidor) puedan intercambiar entre ellos
mensajes electrónicos de carácter comercial que sean mínimamente fiables y puedan,
en consecuencia, dar a las partes contratantes la confianza y la seguridad que
necesita el tráfico comercial.
2. El hecho de que internet este diseñado sobre un esquema abierto que facilita el
anonimato y la divulgación de la información lo hace altamente vulnerable y permisivo.
Por lo cual se deben implementar este tipo de medidas de seguridad que garanticen la
confidencialidad y seguridad en transacciones electrónicas
3. Con el uso de los certificados digitales, los ciudadanos pueden firmar en medios
electrónicos con las condiciones de seguridad jurídica que establece la Ley de
Certificados, Firmas Digitales y Documentos
4. La comunicación a través de correos esta muy difundida y se utiliza cada vez mas
para enviar información de carácter confidencial la cual verdaderamente puede ser
observada por un observador.
5. Facilita la realización de negocios a través de internet al permitirle al usuario
identificarse, esto brinda la garantía de que se esta tratando efectivamente con el
verdadero usuario y no una posible suplantación.
6. Ataca todas las deficiencias del correo electrónico tradicional, cuestiones de seguridad
ya que los hackers están al pendiente de que se pueden robar o simplemente
modificar o instalar un virus se hacen potencialmente peligros.
7. Es necesario utilizarlas ya que permite autenticar la identidad de quien envía un
mensaje o quien firma un documento, y hace posible garantizar que el contenido
original de un mensaje o documento ha sido enviado sin modificaciones.
8. No pueden ser imitados por alguien más, y se pueden marcar con sello de hora y
fecha automáticamente.
9. Las firmas digitales se construyen utilizando criptografía de clave pública, la cual utiliza
dos claves, una privada y otra pública. La primera se mantiene en secreto y la
segunda se divulga libremente. Para firmar es necesario utilizar la clave privada y para
verificar la firma se utiliza la clave pública.

CONCLUSIONES
• Todo sistema es susceptible de ser atacado, por lo que conviene prevenir esos
ataques. Ayuda Conocer las técnicas de ataque ayuda a defenderse más
eficientemente, de ataques informáticos.
• Elegir Sistemas operativos con poco énfasis en la seguridad, puede suponer un
auténtico infierno, La seguridad basada en la ocultación no existe.
• El trabajo que todos los días realizamos en nuestros empleos, el control que tenemos
sobre los niveles de seguridad, los procesos de las empresas y hasta las
comunicaciones que hacen que se mueva nuestro mundo informático, utilizan
computadoras, equipos y sistemas; es así, que se han convertido estos en algo
cotidiano pero de lo cual dependemos, por eso es necesario tener todas las medidas
pertinentes para evitar fallas, ataques y fraudes.
• Este trabajo nos ayudo a entender un poco sobre la seguridad en informática y un
poco más sobre los protocolos que se usan en internet para vender y comprar
artículos, los protocolos y los niveles de seguridad que se usan. A nivel personal
pensamos que en este mundo tan globalizado y donde la internet y los sistemas de
cómputos son cada día mas usados, a tal que es un elemento esencial hasta en
nuestras casas, la seguridad debe ser ante todo una prioridad ya casi tan segura,
como el tener nuestro casa aseguradas con sistemas de seguridad satelitales, ahora
donde existe tanta personas inescrupulosas que hacen daño a nivel informático,
debemos tomas todas las precauciones del caso, desde altos niveles de seguridad
como en las empresas grandes, hasta el mas mínimo computador personal instalado
en nuestros hogares.
 REFERENCIAS BIBLIOGRAFICAS

• Modulo de redes locales avanzadas

• http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica

• http://www.sinfocol.org/

• http://bibliotecas.uchile.cl/navegando/conceptos.htm

• http://www.desarrolloweb.com/articulos/513.php

• http://www.pedroximenez.com/ssl.htm

• http://www.acis.org.co/fileadmin/Revista_96/articuloRedes_15Mayo200 6.pdf

• http://www.globalcard2000.com/es/biometria/index.php

• http://www.grupoe.com/web/edu_negocios_internet.asp

• http://www.topbits.com/es/firewall.html

• http://www.monografias.com/trabajos15/comercio-electronico/comercio-
electronico.shtml

• http://lat.3com.com/lat/products/pdf/SS3_Firewall_WP_Span.pdf