Principios de

la Seguridad
Informática
Ing. Richard Ferreira
• La seguridad informática, en general, está teniendo una importancia cada
vez mayor. Los usuarios, particulares y trabajadores de las empresas, deben
ser conscientes de que el funcionamiento correcto de sus sistemas depende
en gran medida, de protegerlos como el mayor de sus tesoros.
• La seguridad informática consiste en asegurar que los recursos del sistema
de información (material informático o programas) de una organización sean
utilizados de la manera que se decidió y que el acceso a la información allí
contenida, así como su modificación, sólo sea posible a las personas que se
encuentren acreditadas y dentro de los límites de su autorización.
FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y
DISPONIBILIDAD
• Si bien es cierto que todos los componentes de un sistema
informático están expuestos a un ataque (hardware, software y datos)
son los datos y la información los sujetos principales de protección de
las técnicas de seguridad. La seguridad informática se dedica
principalmente a proteger la confidencialidad, la integridad y
disponibilidad de la información
a) Confidencialidad, es decir, no desvelar datos a usuarios no
autorizados; que comprende también la privacidad (la protección de
datos personales).
b) Integridad, permite asegurar que los datos no se han falseado.
c) Disponibilidad, esto es, que la información se encuentre accesible en
todo momento a los distintos usuarios autorizados.
Hay que tener en cuenta que tanto las amenazas como los mecanismos
para contrarrestarlas, suelen afectar a estas tres características de
forma conjunta. Así por ejemplo, fallos del sistema que hacen que la
información no sea accesible pueden llevar consigo una pérdida de
integridad.
• Generalmente tienen que existir los tres aspectos descritos para que haya
seguridad antepondrá la confidencialidad de los datos almacenados o
transmitidos sobre su disponibilidad: seguramente, es preferible que
alguien borre información confidencial (que se podría recuperar después
desde una cinta de backup) a que ese mismo atacante pueda leerla, o a
que esa información esté disponible en un instante dado para los usuarios
autorizados.
• En cambio, en un servidor NFS de archivos en red, de un
departamento se premiará la disponibilidad frente a la confidencialidad:
importa poco que un atacante lea una unidad, pero que esa misma
unidad no sea leída por usuarios autorizados va a suponer una
pérdida de tiempo y dinero.
• En un entorno bancario, la faceta que más ha de preocupar a los responsables del sistema es
la integridad de los datos, frente a su disponibilidad o su confidencialidad: es menos grave
que un usuario consiga leer el saldo de otro que el hecho de que ese usuario pueda
modificarlo.
• Los conceptos confidencialidad, integridad o disponibilidad son muy comunes en el ámbito
de la seguridad y aparecen como fundamentales en toda arquitectura de seguridad de la
información, ya sea en el ámbito de la protección de datos, normativa vigente relacionada con
la protección de datos de carácter personal, como de códigos de buenas prácticas o
recomendaciones sobre gestión de la seguridad de la información y de prestigiosas
certificaciones internacionales, éstas últimas, relacionadas con la auditoría de los sistemas de
información.
Junto a estos tres conceptos fundamentales se suelen estudiar
conjuntamente la autenticación y el no repudio en los sistemas de
información. Por lo que suele referirse al grupo de estas características
como CIDAN, nombre sacado de la inicial de cada característica.
• Confidencialidad.
• Integridad.
• Disponibilidad.
• Autenticación.
• No repudio.
CONFIDENCIALIDAD
• Se trata de la cualidad que debe poseer un documento o archivo para que este sólo se entienda
de manera comprensible o sea leído por la persona o sistema que esté autorizado.
De esta manera se dice que un documento (o archivo o mensaje) es confidencial si y sólo si
puede ser comprendido por la persona o entidad a quien va dirigida o esté autorizada. En el
caso de un mensaje esto evita que exista una intercepción de éste y que pueda ser leído por
una persona no autorizada.
Por ejemplo, si Andrea quiere enviar un mensaje a Bruno y que sólo pueda leerlo Bruno,
Andrea cifra el mensaje con una clave (simétrica o asimétrica), de tal modo que sólo Bruno
sepa la manera de descifrarlo, así ambos usuarios están seguros que sólo ellos van a poder
leer el mensaje.
Cifrado simétrico
• Es la técnica más antigua, la más extendida y mejor conocida.
Una clave secreta, que puede ser un número, una palabra o
simplemente una cadena de letras, aleatorias, se aplica al texto
de un mensaje para cambiar el contenido en un modo
determinado. Esto podría ser tan sencillo como desplazando cada
letra a un número deposiciones en el alfabeto. Siempre que el
remitente y destinatario conozcan la clave secreta, puede cifrar y
descifrar todos los mensajes que utilizan esta clave
Cifrado asimétrico
• El problema con las claves secretas intercambiadas a través de
Internet o de una gran red es que caigan en manos equivocadas.
Cualquiera que conozca la clave secreta puede descifrar el mensaje.
Una respuesta a este problema es el cifrado asimétrico, en la que
hay dos claves relacionadas, un par de claves. Una clave pública
queda disponible libremente para cualquier usuario que desee enviar
un mensaje. Una segunda clave privada se mantiene en secreto, de
forma que sólo pueda conocerla el destinatario
• Cualquier mensaje (texto, archivos binarios o documentos)
que están cifrados mediante clave pública sólo puede
descifrarse aplicando el mismo algoritmo, pero mediante la clave
privada correspondiente, por lo que aunque algún usuario de la
red intercepte y disponga de la clave pública y del mensaje,
también deberá disponer de la clave privada que sólo dispone el
destinatario. Del mismo modo, cualquier mensaje que se cifra
mediante la clave privada sólo puede descifrarse mediante la
clave pública correspondiente
• En este caso, cada usuario ha de poseer una pareja de claves:
• Clave privada: será custodiada por su propietario y no se dará a
conocer a ningún otro.
• Clave pública: puede ser conocida por todos los usuarios

Esta pareja de claves es complementaria: lo que cifra una SÓLO lo

puede descifrar la otra y viceversa
• Estas parejas de claves se obtienen mediante métodos matemáticos
complejos.
• Un problema con el cifrado asimétrico, sin embargo, es que es
más lento que el cifrado simétrico. Requiere mucha más
capacidad de procesamiento para cifrar y descifrar el contenido
del mensaje, pero este coste de tiempo hace del mismo un
mecanismo más seguro.
INTEGRIDAD
• La integridad es la cualidad que posee un documento o archivo que
no ha sido alterado y que además permite comprobar que no se
ha producido manipulación alguna en el documento original.
Aplicado a las bases de datos sería la correspondencia entre los datos
y los hechos que refleja.
1-Escribe el mensaje

f5g4s6d5f4g6s5d4fg f5g4s6d5f4g6s5d4fg
4—Envia ambos

6- Descifra la función
2-Genera una resumen
Función 5- Genera una
Resumen del función resumen del
mensaje mensaje
f5g4s6d5f4g6s5d4fg f5g4s6d5f4g6s5d4fg
f5g4s6d5f4g6s5d4fg f5g4s6d5f4g6s5d4fg f5g4s6d5f4g6s5d4fg f5g4s6d5f4g6s5d4fg
3-Lo Cifra
f5g4s6d5f4g6s5d4fg f5g4s6d5f4g6s5d4fg
• En el caso del envío de información y su no modificación durante su
viaje a través de una red, teniendo como muestra el ejemplo
anterior, Andrea envía tanto el propio mensaje como un resumen
cifrado del mismo. Finalmente, Bruno en el lado del receptor,
compara el mensaje como resumen (aplicando la misma función
que Andrea) y el resumen cifrado enviado. Si en el transcurso de la
comunicación el mensaje ha sido alterado por fallos en el canal de
comunicaciones o por algún usuario intruso, la comparación será
errónea, y si ésta da como resultado “iguales”, quiere decir que no ha
existido manipulación del mensaje
DISPONIBILIDAD
• Se trata de la capacidad de un servicio, de unos datos o de un
sistema, a ser accesible y utilizable por los usuarios (o procesos)
autorizados cuando éstos lo requieran.
• También se refiere a la seguridad que la información pueda ser
recuperada en el momento que se necesite, esto es, evitar su
pérdida o bloqueo, bien sea por ataque doloso, mala operación
accidental o situaciones fortuitas o de fuerza mayor.
AUTENTICACIÓN
• La autenticación es la situación en la cual se puede verificar que un
documento ha sido elaborado (o pertenece) a quien el documento dice.
• Aplicado a la verificación de la identidad de un usuario, la autenticación se
produce cuando el usuario puede aportar algún modo de que se pueda verificar
que dicha persona es quien dice ser, a partir de ese momento se considera
un usuario autorizado. La autenticación en los sistemas informáticos
habitualmente se realiza mediante un usuario o login y una contraseña
o password.
• Otra manera de definirlo sería la capacidad de determinar si una
determinada lista de personas ha establecido su reconocimiento sobre el
contenido de un mensaje
NO REPUDIO
• El no repudio o irrenunciabilidad es un servicio de seguridad
estrechamente relacionado con la autenticación y que permite
probar la participación de las partes en una comunicación.
• La diferencia esencial con la autenticación es que la primera se
produce entre las partes que establecen la comunicación y el servicio
de no repudio se produce frente a un tercero, de este modo, existirán
dos posibilidades
• No repudio en origen: el emisor no puede negar el envío porque el
destinatario tiene pruebas del mismo, el receptor recibe una prueba
infalsificable del origen del envío, lo cual evita que el emisor, de negar
tal envío, tenga éxito ante el juicio de terceros. En este caso la prueba
la crea el propio emisor y la recibe el destinatario.
• No repudio en destino: el receptor no puede negar que recibió el
mensaje porque el emisor tiene pruebas de la recepción. Este servicio
proporciona al emisor la prueba de que el destinatario legítimo de un
envío, realmente lo recibió, evitando que el receptor lo niegue
posteriormente. En este caso la prueba irrefutable la crea el
receptor y la recibe el emisor.
• Si la autenticidad prueba quién es el autor de un documento y cuál es
su destinatario, el “no repudio” prueba que el autor envió la
comunicación (no repudio en origen) y que el destinatario la recibió
(no repudio en destino).
No Repudio

Autenticación

Integridad

Confidencialidad

Disponibilidad
• En la imagen superior se ilustra cómo se relacionan los diferentes
servicios de seguridad, unos dependen de otros jerárquicamente, así
si no existe el de más abajo, no puede aplicarse el superior. De esta
manera, la disponibilidad se convierte en el primer requisito de
seguridad, cuando existe ésta, se puede disponer de confidencialidad,
que es imprescindible para conseguir integridad, para poder obtener
autenticación es imprescindible la integridad y por último el no repudio
sólo se obtiene si se produce previamente la autenticación.
La Criptografia
• Palabra que procede del griepo krypto (oculto) y graphos (escritura),
es la disciplina que se encarga del cifrado y descifrado de mensajes,
es decir, enmascarar mensajes mediante un algoritmo que, además,
debe permitir devolver el mensaje a su estado original.
• La criptografía, históricamente, ha estado vinculada a las campañas
militares y los secretos de los gobiernos, de hecho, se dice que la
primera técnica criptográfica se usó en el siglo V a.C en la antigua
Grecia e incluso, posteriormente, por Julio César en sus campañas
militares
• Debemos saber que toda encriptación consiste de dos partes:
• Mensaje cifrado
• Clave Secreta
Clasificacion de los Criptosistemas Clasicos
• Cifradores por sustitución
• Cifradores por transposición
Cifradores por Sustitucion
• Cifradores por sustitución monogramica monoalfabeto
• Cifradores por homófonos
• Cifradores por sustitución monogramica polialfabeto
• Cifradores por sustitución poligramica polialfabeto
Cifradores por transposición
• Transposición por grupos
• Transposición por series
• Transposición por columnas
• Transposición por filas
• Criptoanálisis de los cifrados por transposición
Clave Secreta
• La clave secreta para cifrar y descifrar el mensaje, por lo tanto si
nuestro mensaje cifrado cae en manos “enemigas”, si no tiene la
clave secreta será muy complicado descifrarlo.
• Uno de ellos es el método CESAR ´o cifrado de desplazamiento, y ¿en qué
consiste?
• Pues consiste en desplazar la letra que queremos cifrar tantos lugares a la
derecha de nuestro alfabeto como indique la clave secreta.
• Por ejemplo.
• Julio César propuso el criptosistema anterior para la clave k = 3. De esa
forma, sustituimos cada letra del mensaje por la que se encuentra tres
posiciones más allá en el alfabeto, como se muestra en el cuadro. A partir
de la última letra, la «Z», volveremos a empezar con la «A»
ORIGINAL ABCDEFGHIJKLMNñOPQRSTUVWXYZ
CIFRADO DEFGHIJKLMNOPQRSTUVWXYZABC
CIFRAMOS ALGUNOS
• HOLA:
• KRÑD
• Un día soleado:
• zr inf xtpjfit
• El coche rojo:
• ms kwkom zwqw
• Luis Juega Ping Pong:
• Licenciado en Ingenieria:
• Jahapy Profesor:
 Escítala
• La escítala (griego:skytálē) está formada por un bastón redondo
sobre el que se enrollaba una cinta de pergamino larga y estrecha en
la que se escribía un mensaje (una vez la cinta estaba enrollada sobre
el palo) de forma que, al desenrollar la cinta, las letras aparecían en
orden diferente y carente de sentido. Para descifrar el mensaje era
necesario que el receptor tuviese un bastón del mismo diámetro, de
manera que pudiera leer el texto original enrollándolo sobre el
bastón.
• Encriptamos el texto «Me gusta el helado» con la clave secreta 4
• El texto cifrado sería: «MSLAETHDGAEOUEL ». Para explicar su
funcionamiento vamos hacerlo con la transformación de descifrado,
en la cual se debería conocer la clave secreta, que en este caso es 4,
es decir 4 filas.
• Por lo tanto separamos en grupos de cuatro empezando desde el
principio.
• MSLA ETHD GAEO UEL
Colocamos en nuestra tabla (escítala) en 4 filas
Creamos tabla escítala de 5 filas
• Un día soleado:
• El coche rojo:
• Luis Juega Ping Pong:
• Licenciado en Ingenieria:
• Jahapy Profesor:
Ejercicios 2p
Del libro Cifrado de las comunicaciones digitales de Alfonso Muños Muños y Jorge Ramio
Aguirre, identifica cada Cifrado y crea un ejemplo del mismo para exponer frente a los
compañeros.
1. Cifradores por sustitución monogramica monoalfabeto- Ivan Villabla-Jorge Ayala
2. Cifradores por homófonos –Luis Oviedo
3. Cifradores por sustitución monogramica polialfabeto- Catalina Medina- Brian Vega
4. Cifradores por sustitución poligramica monoalfabeto- Cristhian Nuñez Martinez y
Marcos Moreira
5. Transposición por grupos Rosio y Ariel Garcete
6. Transposición por series
7. Transposición por columnas Alejandro
8. Transposición por filas Yanina Gonzalez y Willian Valenzuela
9. Criptoanálisis de los cifrados por transposición