Parte IIA- Seguridad en los

negocios electrónicos

1
 Contenido
 Autenticación
 Criptografía

 Certificación
 Firma electrónica

 Seguridad en la Web
 Seguridad computacional
2
3
 Autenticación
 Identificar al usuario que desea tener acceso
a los servicios de cómputo (Web server, etc.)

 Monitoreo del flujo de paquetes y verificar

que pertenecen a un usuario y servicio
autorizado

 Identificar Software intruso y verificar que su

funcionalidad esté autorizada, libres de virus

4
 Autenticación – Técnicas
 Contraseña
 Funciones compendio
 Firma digital

Biométricas
 Reconocimiento de voz
 Reconocimiento de la mano
 Huella digital
 Reconocimiento del iris (muy confiable)
5
6
 Criptología

 La criptología (del griego criptos=ocultos y

logos=tratado, ciencia), se compone de:

 Criptografía: procedimientos para cifrar, o

enmascarar información de carácter confidencial.

 Criptoanálisis: procedimientos para descifrar y

recuperar la información original.

7
 Criptografía

 La criptografía es una necesidad, ya que el

desarrollo de las comunicaciones electrónicas
hace posible la transmisión y
almacenamiento de información confidencial
que es necesario proteger.

8
 Proceso Criptográfico
Mensaje
cifrado

A B
CIFRADO DESCIFRADO
Mensaje Mensaje
de origen de origen
DESCRIPTADO
Interceptado
¿Mensaje de
origen?

9
Algoritmos de encriptación
 ROT13, a cada letra se asigna a un número y se le
suma 13, después se reemplaza el número por otra
letra. Si es mayor de 26 se le resta 26 y se convierte.

“HELLO” 8,5,12,12,15 + 13 = 21,18,25,25,28-26 =“URYYB”

 Entre más bits se usen, es más difícil de descrifrar. El

algoritmo PGP soporta claves de hasta 4,096 bits

 Se requieren 3 días para descifrar una llave de 56

bits, 6 días para 57 bits, 768 días para 64 bits, etc.
Las llaves de 128 bits hoy son seguras
10
 Finalidad de la criptografía

 Un buen sistema criptográfico será aquel que

ofrezca un descrifrado imposible pero un
encriptado sencillo.

 La finalidad es doble:

 Mantener la confidencialidad del mensaje.

 Garantizar la autenticidad tanto del mensaje como

del par remitente/destinatario..
11
 Cifrado

Definición

– Es el mecanismo para proporcionar confidencialidad a

través de funciones matemáticas

Tipos
• Simétricos o de Llave Privada (DES).

• Asimétricos o de Llave Pública (RSA).

• Híbrido (SSL). 12
 Ventajas del cifrado

 Protege la información almacenada en la

computadora contra accesos no autorizados

 Protege la información mientras transita de un

sistema de cómputo a otro

 Puede detectar y evitar alteraciones accidentales o

intencionales a los datos

 Puede verificar si el autor de un documento es

realmente quien se cree que es
13
 Desventajas del cifrado

 No puede prevenir que un agresor borre

intencionalmente todos los datos

 Encontrar la forma de que no se tuviera

conocimiento previamente

 Acceder al archivo antes de que sea cifrado o

después de descifrar

14
 Elementos comunes
del cifrado
 Algoritmo cifrador (cifra y descifra datos)

 Claves de cifrado

 Longitud de clave (claves largas)

 Texto en claro (información a cifrar)

 Texto cifrado (información después de

cifrar)
15
 Algoritmos criptográficos

 Criptografía de clave privada - simétrica

 Ambos participantes comparten una clave (Ej. DES,
IDEA)

 Criptografía de clave pública

 Cada participante tiene una clave privada no
compartida y una clave pública que todos conocen

 El mensaje se encripta usando la llave pública y el

participante descifra el mensaje con su clave
privada (Ej. RSA de Rivest, Shamir y Adleman)
16
 Algoritmos criptográficos

 Función Hash o de Digestión del mensaje:

 No involucran el uso de claves

 Determina una suma de verificación única

(checksum) criptográfica sobre el mensaje

 El algoritmo más usado es el MD5 (Message Digest

versión 5)

17
 Sistemas de claves privadas

 RC2
 Cifrador de bloque permite de 1 a 2048 bits

 IDEA – International Data Encryption Algorithm

 Usa una clave de 128 bits, utilizado por el
programa PGP (para e-mail).

 SKIPJACK
 Utilizado por el circuito integrado de cifrado
CLIPPER, utiliza 80 bits 18
 Sistemas de clave privada –
DES (Data Encription Std. IBM-1980)
• Usa las técnicas de confusión y difusión

• Cifra por bloques de 64 bits con una llave secreta de

64 bits (56 útiles y 8 de paridad)

• Realiza 16 iteraciones y en cada una hace una

sustitución y una permutación con la llave

• En Hardware es más rápido hasta 1Gb/seg.

• La llave privada se puede enviar con cada mensaje

19
Algoritmos de llave privada

20
 Algoritmos de llave privada -
Ventajas
• El descifrado utiliza el mismo algoritmo pero con
las llaves en orden inverso

• Se requieren 1500 años para hallar la clave o 6

meses si se usan 300 PCs en paralelo

• Estándar ampliamente utilizado en la industria,

donde para mayor seguridad se encripta 3
veces (3DES), usando tres claves diferentes

21
 Algoritmos de llave privada -
Desventajas
• Quedan algunas incógnitas por resolver

• Ya cumplió con su ciclo de vida

• Puede romperse por fuerza bruta

• Como todo algoritmo simétrico, tiene el

problema de la distribución de la llave

22
 Algoritmos de llave pública
• Todos los usuarios tienen una llave pública y una
privada

• Si alguien envía un mensaje, lo cifra con tu llave

pública y sólo se descifra con la clave secreta

• La seguridad depende de la confidencialidad de

la llave secreta

• Se basan en funciones matemáticas complejas

como los logaritmos discretos y curvas elípticas
23
 Algoritmos de llave pública
Esquema de cifrado.

Digamos que existen un par de llaves que pertenecen al

usuario A:
• PK A : Llave pública de A
• SK A : Llave secreta de A
Entonces:
• B -> A: PK A {mensaje} : Mensaje Cifrado
• A : SK A {PKA {mensaje} } : Descifrado

• El mensaje solamente lo puede entender el usuario A

24
 Sistemas de clave pública

 EL GAMAL
 Basado en aritmética exponencial y modular, puede
usarse para cifrado y firmas digitales.

 DSA
 Algoritmo de firmas digitales, puede ser de
cualquier longitud, solamente se permiten claves
entre 512 y 1024 bits bajo FIPS
25
 Sistemas de clave pública

 Pohlig-Hellman
 Sistema para el intercambio de claves
criptográficas entre partes activas. La clave
puede ser de cualquier longitud, dependiendo de
la implementación de que se trate.

 RSA – Data Security Inc.

 Puede usarse tanto para cifrar información como
para ser la base de un sistema digital de firmas.

26
Algoritmo de llave pública - RSA
• Surge en 1978 gracias a Ron Rivest, Adi Shamir y
Leonard Adleman fundadores de RSA Data Security

• Su seguridad radica en la dificultad de factorizar

números muy grandes (esp. números primos)
- De 100-200 dígitos (512 bits). Hoy se usan llaves de 1024 bits

• Proporciona mayor flexibilidad

– Se puede utilizar tanto para encriptar como para firmar
mensajes

• La firma se hace con la llave privada y se verifica

usando la llave pública
27
Funciones criptográficas Hash
 Aceptan como entrada un conjunto de datos
y genera un resultado de longitud fija único:

 No debe ser posible reconstruir la fuente de datos

con el resultado compendiado

 El resultado debe parecer un conjunto aleatorio

de datos para que al agregarlos a los datos
cifrados no se pueda determinar donde terminan y
donde inicia la firma digital
28
Algoritmo Hash MDn (2 o 5)
 Calculan una suma de verificación
(checksum) criptográfica de longitud fija de
un mensaje de entrada de longitud arbitraria

 Operan en partes de mensaje de 512 bits con

transformaciones complejas

 Para la firma se usa RSA sobre el resultado

de la Checksum
29
Funciones criptográficas Hash
 SNERFU
 N-HASH

 MD2, MD4, MD5 – Message Digest Algorithm

 SHA – Secure Hash Algorithm

 RIPE – MD
 HAVAL
30
Sistemas de seguridad completos
 PGP – Pretty Good Privacy (Phil Zimmerman)
opera en la capa de aplicación

 Encriptación y autenticación para correo

electrónico

 Usa una llave pública certificada por alguien

 PGP puede utilizar diferentes algoritmos de

encriptación

31
Sistemas de seguridad completos
 El protocolo IPSEC opera a nivel de capa de
red

 Seguridad de nivel capa de transporte –

HTTPS
 Usa un puerto seguro de TCP (443)

 Otros protocolos de capa de transporte son

SSL y TLS, proporcionan privacidad,
integridad y autenticación 32
 Protocolo de capa de red
SSL – Secure Socket Layer (Netscape)

• Cifra los datos con clave privada RC4 o IDEA y la clave

de sesión de RC4 o IDEA mediante RSA de clave
pública

• La clave de sesión es la que se utiliza para cifrar los

datos que vienen o van al servidor seguro, se genera
una clave distinta por transacción

• Además proporciona autenticación de servidores,

integridad de mensajes y de conexiones TCP/IP
33
 Protocolo de capa de red
SSL – Secure Socket Layer (Netscape)
•¨Cuando el cliente pide una comunicación segura, el
servidor abre un puerto cifrado gestionado por SSL:

• Fase Hola – acuerdo sobre los algoritmos a usar

• Fase Intercambio de claves, generando la maestra
• Fase de producción de clave de sesión para cifrar
• Fase de verificación del servidor al usar RSA
• Fase de autenticación del cliente
• Fase de fin para iniciar el intercambio de inf.

34
 Protocolo de capa de red
SSL – Secure Socket Layer (Netscape)
•¨Se sabe que el servidor es seguro si en Netscape
aparece una llave o un candado si se usa Explorer

• http aparece ahora como httpa

• Sólo protege transacciones entre dos puntos: servidor

Web y navegador del cliente o emisor de tarjeta
• No protege al comprador del uso fraudulento de su
tarjeta de crédito
• Los vendores corren el riesgo de que les sea
proporcionado un número de tarjeta no autorizada
35
Protocolo Secure Elecronic
Transaction – (SET)
 Producto de la alianza IBM, Microsoft,
Netscape, Visa y Mastercard
 No es adecuado para micropagos (< US$10)
 Garantiza la autenticación de todas las partes:
cliente, vendedor, bancos emisor y adquiriente

 Alta confidencialidad, el vendedor no tiene acceso

al número de tarjeta y el banco no accesa los
pedidos
 Permite la gestión de la actividad comercial,
registros, autorizaciones y liquidaciones
36
Protocolo Secure Elecronic
Transaction – (SET)
 Limitantes
 Lento desarrollo de software de monedero y POST
(punto de venta)
 No hay compatibilidad completa de los productos
que maneja SET

 Exige rígidas jerarquias de certificación, diferentes

para cada tarjeta, lo cual es engorroso
 El costo de su implementación es elevada

37
38
Sistemas de certificación
 Se autentifica a los clientes que desean
acceder a servidores

 Los procedimientos se iniciaron en el MIT con

Kerberos y ahora se tiene el estándar X.509

 La verificación la hace un tercero “servidor de

certificación”. Tanto el cliente, como el
servidor y el certificador usan encriptación

39
Certificado digital
La empresa mas importante
a nivel mundial para la
expedicion de firma o
certificado digital es:

http://www.verisign.com/clie
nt/enrollment/index.html

Costo del certificado:

• 60 Días Gratis.
• $14.95 por Año.

40
Certificado digital

41
 Proceso de Certificación

El proceso de certificación incluye servicios de

registro, "naming", autenticación, emisión,
revocación y suspensión de los certificados.

VeriSign ofrece tres niveles de servicios de

certificación de acuerdo a las necesidades del
usuario.

42
 Certificado digital Clase 1
Son emitidos y comunicados electrónicamente a
personas físicas, y relacionan en forma
indubitable el nombre del usuario o su "alias" y
su dirección de E-mail con el registro llevado
por VeriSign.

No autentican la identidad del usuario. Son

utilizados fundamentalmente para Web
Browsing y E-mail, afianzando la seguridad de
sus entornos. No son para uso comercial.
43
 Certificado digital Clase 2

Son emitidos a personas físicas, y confirman la

veracidad de la información aportada en el acto
de presentar la aplicación y que ella no difiere de
la que surge de alguna base de datos de
usuarios reconocida.

Es utilizado para realizar comunicaciones vía E-

mail; transacciones comerciales de bajo riesgo,
validación de software y suscripciones on-line.
44
 Certificado digital Clase 3

Son emitidos a personas físicas y organizaciones

públicas y privadas.

En el primer caso, asegura la identidad del

suscriptor, requiriendo su presencia física ante
una LRA o un notario.

45
 Certificado digital Clase 3

En el caso de organizaciones asegura la

existencia y nombre mediante el cotejo de los
registros denunciados con los contenidos en
bases de datos independientes.

Son utilizados para determinadas aplicaciones

de comercio electrónico como ‘Electronic
banking' y Electronic Data Interchange (EDI).

46
47
 Firma electrónica

Por Firma Electrónica se entiende "aquel

conjunto de datos en forma electrónica, anexos
a otros datos electrónicos o asociados
funcionalmente con ellos, utilizados como medio
para identificar formalmente al autor o a los
autores del documento que la recoge.”

48
 Firma electrónica avanzada

Permite la identificación del signatario y ha

sido creada por medios que este mantiene
bajo su exclusivo control, vinculada
únicamente al mismo y a los datos a los que
se refiere, lo que permite que sea detectable
cualquier modificación ulterior de estos.

Tiene iguales efectos jurídicos que en la firma

manuscrita.

49
 Certificado digital

 Certificado de Navegador, Intranets/Extranets. Este

tipo de certificados permiten firmar digitalmente los
documentos, garantizando la autenticidad y el no
repudio de los mismos.

 Certificado de Servidor Seguro. Garantizan la identidad

del servidor y posibilitan las comunicaciones seguras y
privadas con clientes, socios, proveedores u otras
personas.

 Certificado de firma de Software. Garantizan la

identidad del fabricante y la integridad del contenido.
50
51
 Seguridad en la Web
 La WWW es un sistema para intercambiar información
sobre internet.

 Se construye de servidores web que ponen la

información disponible en la red.

 Los examinadores de la web se usan para tener

acceso a información almacenada en los servidores y
para desplegarla en la pantalla del usuario.

52
Servidor seguro cont…

 Al construir un servidor web, se debe estar

seguro de:
 Los usuarios no deben ser capaces de ejecutar
comandos arbitrarios o interactuar con el intérprete
de comandos en el servidor.

 Los guiones CGI que se ejecutan deben

desempeñarse ya sea haciendo la función esperada
o devolviendo un mensaje de error.

 Un agresor no debería ser capaz de usar el

servidor para ataques posteriores.
53
Servidor seguro cont…

 Los servidores usan tres técnicas principales para

controlar el acceso a los archivos y directorios:
 Restringir el acceso a las direcciones IP, subredes o
dominios DNS particulares.

 Restringir el acceso a usuarios en particular.

 Restringir el acceso de usuarios que presenten

claves públicas firmadas por una autoridad de
certificación apropiada.
54
Desarrollo de un sitio oculto
 El sitio oculto puede pasar a producción y contiene
información sobre el producto que puede servir en
caso de fallas

 En caso de problemas es mejor avisarle a todo

mundo que se está consciente del problema y que se
toma la responsabilidad del caso

 De no hacerlo, los usuarios descontentos pueden

hacer una campaña negativa de publicidad en línea

55
Desarrollo de un sitio oculto
 En 1994 un matemático descubrió que el chip
Pentium no hacía cálculos correctos de punto flotante
en ciertas condiciones, al avisarle a Intel no hizo
caso, trataron de esconder el problema

 Hubo una gran protesta por Internet, por los medios,

los usuarios pedían reemplazo de chips. Intel
reemplazó los chips por una nueva serie. (Ford en
llamas)

 Ahora tiene una base de datos on line de errores

detectados. El Pentium II se puede corregir por soft.
56
Experiencias on line
 Jugo de manzana Odwalla con la bacteria E-coli mata
a bebé. Se retiraron jugos en 4,500 comercios, se
instaló una página para información y consulta. Al
final 90% de los clientes seguían prefiriendo la marca

 Lo mismo sucedió con Swiss Air en su accidente en

Canada, cuando la empresa dio toda la información

 En el caso del descarrilamiento del tren de alta

velocidad de Alemania de la Deutche Bundesbahn, no
dio ninguna información y perdió mucha credibilidad
57
Servicios de reclamos en línea
 Complain.com, Fight Back y Complain To Us,
cobran una tarifa por escribir una carta y dar
seguimiento de quejas

58
Administración de riesgo
 Auditorias regulares de riesgo
 Documentar planes de emergencia

 Monitoreo de palabras clave

 Manual de crisis accesible en Intranet

 Sitios ocultos completos y actualizados

 Simulacros de emergencia
 Información a los medios y usuarios en caso de
emergencia
59
Planeación estratégica para casos
de emergencia
 Desarrollar un sitio oculto con información acerca de
medidas de seguridad, debe incluir formas de
contactar a expertos y debe reemplazar al sitio
normal en menos de una hora, con declaraciones de
la alta dirección

 El sitio debe estar en CD o ZIP para llevarlo a un ISP

y publicarlo, avisando por los medios al público

 Hay sitios que monitorean la red en caso de

problemas, “The informant” y “Mind It” (perro
guardian)
60
61
 Seguridad Computacional
Seguridad Informática
 Disciplina que busca proteger la información ante
eventos adversos

Se basa en 3 principios básicos:

Confidencialidad
Disponibilidad Integridad

62
 Seguridad Computacional
 Confidencialidad
– La información sólo es revelada a los individuos o
procesos autorizados

 Integridad
– La información no debe ser modificada de manera
accidental o maliciosa

• Disponibilidad
– Los recursos de información son accesibles en todo
momento.
63
Los 10 mandamientos del
usuario de la red

 La utilización de los antivirus es importante,

se debe ejecutar por lo menos una vez al
día

 En caso de que su equipo quede

desatendido por alguna razón, debe de
colocar el Protector de pantalla protegido
con contraseña.
64
Los 10 mandamientos del
usuario de la red

 Si maneja información secreta lo mejor es

mantenerla encriptada en su disco duro y en
el servidor. Usar PGP(Pretty Good Privacy). No
olvide asegurar su llave privada.

 Para compartir información en la red,

asegúrese de colocar los permisos
estrictamente necesarios a los usuarios
adecuados y por el mínimo tiempo posible.
65
Los 10 mandamientos del
usuario de la red

 Absténgase de instalar programas no

autorizados en la red.

 Procure que su equipo se encuentre en

optimas condiciones, buena ventilación,
mantenimiento de hardware y software por el
personal autorizado de la empresa.

66
 Los 10 mandamientos del
usuario de la red
 Recuerde realizar copias de respaldo
actualizadas de la información vital y colocarla
en un lugar interno y externo seguro bajo llave
y encriptada.

 Mantener la información de la empresa en la

misma y no transportarla a otros sitios
diferentes.

 Asegurarse de seguir cada uno de los 10

mandamientos.
67
 Los 10 mandamientos del
administrador de la red
 Siga, respalde y audite cada uno de
Los 10 Mandamientos del usuario de la Red.

 Establezca políticas de seguridad

apropiadas para la red computacional de la
empresa,

 Implemente sistemas de seguridad para la

red en cada uno de los servidores de la
empresa utilizando Firewalls, proxy o filtros.
68
 Los 10 mandamientos del
administrador de la red

 Responda inmediatamente a cualquier

sugerencia o queja de un usuario con
respecto a la seguridad de su información.

 Procure no sobrecargar los servidores

asignándoles muchos servicios, recuerde que
esto baja el rendimiento y atenta contra la
seguridad y la constancia de los servicios.

69
Los 10 mandamientos del
administrador de la red
 El manejo de los puertos es fundamental a
la hora de auditar posibles huecos de seguridad.

 Implementar estrategias para la creación

de copias de respaldo.

 Debe leer diariamente los logs ( Archivo de

texto que muestra el funcionamiento y la
utilización del equipo)
70
Los 10 mandamientos del
administrador de la red
 El acceso al centro de computo donde se
encuentran los servidores de la empresa, debe
ser completamente restringido y auditado a
cada instante

 Verificar la seguridad, conviértase en el

Hacker de su empresa.

71