Rudy Farfan Morales: Diseño de paginas web

..::Internet::..
	Qué es el Internet
	Todo acerca de dominios en Internet
	Más acerca de dominios url y webs
	Configurar el Outlook Express
	Páginas web Dinámicas
	Hacking de dominios, ¡ Cuidado!
	Todo sobre alojamiento web , hosting
	Componentes WEB
	Navegar Anonimamente
	Seguridad al Navegar
	Vencer a Google

..::Manuales::..
	Manual de FTP paso a paso
	Computación Cuantica
	Computacion en Red
	Oracle
	Super computadoras
	Manual de Visual Basic .NET
	Macros con excel
	Manual de Java Script

..::Varios - Tecnología::..
	SAP
	Tecnología JINI
	ERP
	ERP en la Industria
	Gerencia de proyectos
	Efecto del trabajo en Red

..::Seguridad::..
	Seguridad en Internet
	Agujeros en Internet
	Gestion de redes
	Intranets inteligentes

..::Trucos Windows::..
	Inicio y Apagado
	Ocultar Programas
	Ganar en los Juegos
	Trucos para Win XP
	Velocidad en Win XP
	Buen Estado de XP
	Yano..!! CD de Office
	Canciones A Karaoke
	Tu Radio en Línea

Seguridad en Internet

1. Introducción

La seguridad de Internet es uno de los temas que más atención está demandando principalmente por las transacciones financieras, el problema de seguridad de Internet surge porque fue creada para libre acceso a la información y regida principalmente por las políticas de buen uso de la red.
Hasta finales de 1988 muy poca gente tomaba en serio el tema de la seguridad en redes de computadoras de propósito general. Sin embargo en noviembre del mismo año, Robet T. Morris protagonizo el primer gran incidente de la seguridad informática: uno de sus programas se convirtió en el famoso Worm o gusano de Internet. Miles de computadoras conectados a la red se vieron inutilizados durante días, y las perdidas se estiman en millones de dólares.
A partir de 1990, comienza la preocupación principal por la seguridad, debido a que la sociedad comercial encontró en Internet un canal de flujo hecho a la medida: rápido, barato y cada vez más extendido y eficiente. Desde entonces, hemos visto como periódicos y grandes compañías se vuelcan en su difusión por Internet, las empresas basan sus comunicaciones externas en ella y cada día son más las operaciones financieras que se hacen a través de Internet, que poco a poco está reemplazando a los tradicionales medios de comunicación.
Lógicamente, conforme más información hay disponible en Internet, más importancia cobra la protección de esa información y el control del acceso a la misma. Dentro de este panorama, nos enfrentamos a una creciente realidad, la necesidad de seguridad en los datos, los servicios, las transacciones, y las partes involucradas.
Las redes contienen agujeros de seguridad con los que no queda más remedio que convivir, y que ya consideramos como normales. Los sistemas operativos incluyen rutinariamente configuraciones por inseguras y con dispositivos de seguridad incompatibles, debido a defectos de producción que dan su correspondiente dosis de agujeros. Además, tampoco se considera excepcional que las aplicaciones fallen, ni encontrar organizaciones donde dichos asuntos ni siquiera sean preocupación u ocupación de alguien en particular.
Los sistemas cada vez están más accesibles, ya sea por la incorporación de elementos externos a nuestra organización (suministradores, o clientes), ya sea por el extenso acceso de usuarios propios, los datos, aplicaciones, servicios y plataformas cada vez están más expuestas. Y la seguridad cada vez es más compleja y esta más enmarañada. Acaba teniendo una importancia superior al poder conectar a un suministrador a nuestro sistema que el hecho de que dicha conexión no sea escrupulosamente segura y los riesgos que conlleva.
La calidad del sistema y su funcionamiento operacional correcto e ininterrumpido definitivamente impactan positivamente sobre los beneficios de las organizaciones, en los mismos sentidos que la capacidad, y por su propia naturaleza, los sistemas de información se vuelven de "misión crítica".

2. ¿Qué es Seguridad?

Podemos entender como seguridad una característica de cualquier sistema informático o no, que nos indica que el ese sistema está libre de peligro, daño o riesgo y que es de cierta manera infalible..
Existe una medida cualitativa para la seguridad que dice “Un sistema es seguro si se comporta como los usuarios esperan que lo haga”

Para mantener un sistema seguro se debe garantizar tres aspectos:

2.1. La Privacidad o confidencialidad

La información debe ser vista y manipulada únicamente por quienes tienen el derecho o la autoridad de hacerlo.
Un ejemplo de ataque a la Privacidad es la Divulgación de Información Confidencial

2.2. La Integridad.

La información debe ser consistente, fiable y no propensa a alteraciones no deseadas, es decir que los objetos sólo pueden ser modificados (borrados, escritos, creados, cambiados), por elementos autorizados y de una manera controlada.
Un ejemplo de ataque a la Integridad es la modificación no autorizada de saldos en un sistema bancario o De calificaciones en un sistema escolar.

2.3. La Disponibilidad.

La información debe estar en el momento que el usuario requiera de ella. Un ataque a la disponibilidad es la negación de servicio o tirar el servidor

3. Objetivo de la seguridad

El objetivo de la seguridad es garantizar la privacidad de la información y la continuidad del servicio, tratando de minimizar la vulnerabilidad de los sistemas ó de la información contenida en ellos, así como tratando de proteger las redes privadas y sus recursos mientras que se mantienen los beneficios de la conexión a una red pública.

4. Causas de la inseguridad en Internet

El crecimiento acelerado de las redes empresariales y particularmente Internet, aunado a que el diseño de las redes se asumía en ambientes seguros controlados a través de usuarios autorizados y sin vislumbrar la futura conexión a redes externas, además de que protocolos de comunicación como el TCP/IP no fueron concebidos teniendo en cuenta aspectos de seguridad, son las principales causas de la inseguridad en las redes.
Existen algunas ideas erróneas acerca de la seguridad, como son el pensar que estamos totalmente protegidos con la asignación de contraseñas a todos los recursos, usuarios funcionales y aplicaciones, o comprar un firewall o equivalente, o suponer que los usuarios funcionales o posibles atacantes tienen bajo conocimiento.
También es un error sentirse seguros con un celador en la puerta del centro de cómputo, o poner simplemente protección contra posibles atacantes y no contra usuarios funcionales autorizados, así como también es un error pensar en que a mayor complejidad del sistema de seguridad, obtenemos mayor seguridad.

5. Situación Actual

La información que circula, se procesa y se almacena en una red, esta sometida a varios tipos de amenazas, tales como espionaje o acceso no autorizado a información, interrupción del flujo de información, copia de la información, alteración de la información, destrucción de información o interrupción de los servicios.
A la vista de lo comentado en el primer punto, diariamente circula en Internet todo tipo de datos que se podrían catalogar como confidenciales (nóminas, expedientes, presupuestos, etc.), o al menos como privados (correo Electrónico, proyectos de investigación, artículos a punto de ser publicados, etc.)

6. Elementos a proteger en un sistema de informático.

6.1. El Hardware. Conjunto formado por todos los elementos físicos de un sistema informático (cableado, CPUs, terminales, tarjetas de Red, etc.)
6.2. El Software. Conjunto de programas lógicos que hacen funcional al Hardware.
6.3. Los Datos. Conjunto de información lógica que maneja el software y el hardware.
Los datos constituyen el principal elemento de los tres a proteger, ya que es el más amenazado y seguramente el más difícil de recuperar.
Por ejemplo, en el caso de pérdida de una base de datos o de un proyecto de usuario, no tenemos un medio “original” desde el que restaurar: hemos de pasar obligatoriamente por un sistema de copias de seguridad, y a menos que la política de copias sea muy estricta, es difícil de devolver los datos al estado en el que se encontraban antes de la pérdida.
Los ataque más frecuentes a los elementos antes mencionados son:
o Interrupción. Si hace que un objeto del sistema se pierda, quede inutilizable o no disponible.
o Interceptación. Si un elemento no autorizado consigue un acceso a un determinado objeto del sistema.
o Modificación. Si a demás de conseguir el acceso consigue modificar el objeto. Un caso particular de la Modificación, es al Destrucción, que es una modificación que inutiliza al objeto afectado.
o Fabricación. Se trata de una modificación destinada a conseguir un objeto similar al atacado de forma que sea difícil distinguir entre el objeto “original” y el atacado.

7. Elementos que amenazan a nuestro sistema.

Nuestro sistema puede verse perjudicado por múltiples entidades, de las cuales mencionamos a continuación:

7.1. Personas.

La mayoría de ataques a nuestro sistema provienen de personas que intencionada e inintencionadamente pueden causarnos enormes pérdidas. Se divide en dos grandes grupos:

1. Atacantes Pasivos. Aquellos que fisgonean por el sistema, pero que no lo dañan o destruyen (curiosos y crackers).
Ejemplos.

«Sniffing»

El «Sniffing» es un método de ataque pasivo por medio del cual un equipo captura información que circula por un medio físico, independientemente de si esta se encuentra destinada a su MAC address. Decimos que se trata de un ataque pasivo porque el atacante no modifica la información sino que simplemente genera un duplicado de esta para su posterior análisis. La función de «Sniffing» puede ser realizada por una gran variedad de dispositivos, siendo quizás el ejemplo más corriente los analizadores de protocolos. Los ataques basados en «Sniffing» comprometen seriamente la seguridad de una red al permitir que un atacante obtenga información de claves de usuarios, números de cuentas bancarias, información de protocolos de bajo nivel y datos privados en general.
Uno de los mayores problemas que se presentan al tratar de enfrentar este tipo de ataques es la facilidad de acceso a herramientas de análisis de protocolos, especialmente si se tiene en cuenta su gran utilidad en procesos de diagnóstico y resolución de problemas. Ya sea por medio de un shareware o empleando software de bajo costo que corre en cualquier PC standard, una persona conectada a una red local puede analizar y capturar el tráfico de su segmento. Para hacer esto no hace falta que se trate de un usuario privilegiado de la red, simplemente que tenga acceso a una boca de red en la cual conectar su PC. Si consideramos información que se propaga por una red pública como Internet, el atacante intentará colocar agentes de captura en dispositivos intermedios o routers. Una vez obtenidos nombres de usuarios y claves, un atacante tiene una puerta de entrada para acceder al sistema que ha tomado como blanco. Protocolos de capa superior como telnet o ftp son blancos típicos para esta clase de ataque.

El Analizador de Protocolos

Un analizador de protocolos es un Sniffer al que se le ha añadido funcionalidad suficiente como para entender y traducir los protocolos que se están hablando en la red. Debe tener suficiente funcionalidad como para entender las tramas de nivel de enlace, y los paquetes que transporten.

Truco: Normalmente la diferencia entre un Sniffer y un analizador de protocolos, es que el segundo está a la venta en las tiendas y no muestra claves de acceso.

¿ Qué quiere decir que lee información a nivel de enlace?

Quiere decir que el Sniffer se dedica a leer TRAMAS de red, por lo que los datos que obtendremos de él serán tramas que transportan paquetes (IP, IPX, etc...). En Estos paquetes se incluyen los datos de aplicación (entre ellos claves de acceso).

Estos programas ponen al menos un interfaz de red (o tarjeta de red o NIC) en modo promiscuo; es decir que al menos uno de los interfaces de red de la máquina está programado para leer toda la información que transcurra por el tramo de red al que esté conectado, y no solamente los paquetes dirigidos a él.

2. Atacantes Activos. Aquellos que dañan el objetivo atacado o lo modifican a su favor (terroristas y ex - empleados)

Ejemplo:
«El Spoofing»
«Spoofing» es un mecanismo de ataque activo en el cual un equipo intruso se hace pasar por otro equipo de la red. Por tratarse de un ataque activo, el «Spoofing» altera la operación normal de la red, inyectando información adicional en una comunicación. El propósito final de este tipo de ataque consiste en que el intruso pueda hacerse pasar por otro equipo y burlar entonces uno de los principios básicos de la seguridad en redes: la identidad de los participantes de una comunicación.
El «Spoofing» puede ocurrir en cualquiera de las capas del modelo de comunicaciones TCP/IP: en la capa de enlace, en la capa de red, en la capa de transporte o en la capa de aplicación. Sin embargo es importante tener en cuenta que de estar comprometida la seguridad en las capas más bajas, cualquier esquema de seguridad existente estará comprometido.
Dentro de una LAN el mecanismo de «Spoofing» más sencillo trabaja a nivel de protocolo ARP. Por medio de la intercepción de información de broadcast en protocolo ARP un intruso puede fácilmente personificar a un nodo cualquiera de la red y desde ese momento recibir el trafico de IP destinado al mismo sin que el originador de la conversación se entere de lo que esta sucediendo.
En un contexto de Internet, cada uno de los equipos intermedios toma parte en los procesos de ruteo por medio de los cuales los datagramas puede alcanzar su destino final. Un intruso puede alterar las tablas de ruteo encaminando un datagrama a un destino diferente del deseado en el cual un equipo intruso personifica al nodo final real.
Algunos sistemas basan su confianza en direcciones IP, otros basan su confianza en nombres de DNS. El manejo de nombres de DNS Simplifica el reconocimiento de los equipos pero a su vez, al agregar una nueva capa de aplicación al stack de protocolos presenta una nueva oportunidad para un ataque. Los mecanismos de «spoofing» pueden actual también a nivel de DNS, permitiendo a un atacante la personalización de un nodo cualquiera de la red.
Veamos un ejemplo de cómo funciona el «spoofing» a nivel de DNS.
Supongamos que un servidor de DNS de Internet se encuentra comprometido por un ataque a su seguridad o simplemente se encuentra en manos «no honradas». Este servidor de nombres es autoridad de algunos dominios y todos los hosts de Internet «confian» en sus respuestas. Estas respuestas pueden llevar a un cliente a conectarse a un servidor «falso» que en realidad se encuentra bajo el control de un atacante. Algo parecido puede suceder en el campo de las resoluciones inversas en las cuales un server DNS «falso» puede dar información alterada a un nodo que desea autenticar en base al nombre la dirección de un cliente autorizado.

Aquí describimos brevemente los diferentes tipos de personas que de una u otra forma pueden constituir un riesgo para nuestros sistemas.

• Personal. Realizado por personal de la organización, recordemos que nadie mejor que el propio personal de la organización conoce mejor los sistemas y sus debilidades. Lo normal es que más que de ataques se trate de accidentes causados por error o desconocimiento.
• Ex – empleados. Generalmente se trata de personas descontentas con la organización que pueden aprovechar debilidades de un sistema que conocen perfectamente para dañarlo como venganza por algún hecho que no consideran justo.
• Curiosos. Junto con los crakers, son los atacantes más habituales de las redes o sistemas. En la mayoría de casos se trata de ataques no destructivos, a excepción del borrado de huellas para evitar su detección.
• Crakers. Realizan ataques para fisgonear, para utilizarlo como enlace a otras redes o simplemente por diversión.
• Los Terroristas. Cualquier persona que ataca al sistema para causar algún tipo de daño en él.
• Intrusos Remunerados. Este es un grupo e atacantes de un sistema más peligroso. Suelen atacar a grandes empresas o a organismos de defensa.

7.2. Amenazas Lógicas.

Encontramos todo tipo de programas que de una forma u otra pueden dañar a nuestro sistema, creado de forma intencionada para ello.
• Software Incorrecto. Proviene de errores cometidos de forma involuntaria por los programadores de los sistemas o de aplicaciones. Los errores de programación se le denomina bugs y a los programas utilizados para aprovechar uno de estos fallos s e le denomina exploits.
• Herramientas de Seguridad. Constituyen una herramienta de doble filo, de la misma manera que los administradores los utilizan para detectar y solucionar fallos en un sistema o en la subred completa, un potencial intruso los puede utilizar para detectar esos mismos fallos y aprovecharlos para atacar los equipos.
• Puertas traseras. Se denomina de esta manera a los atajos insertados en los Sistemas Operativos o programas grandes para conseguir mayor velocidad a la hora de detectar y depurar los fallos. Si un atacante descubre uno de estas puertas va a tener acceso global a datos que no debería poder leer, lo que supone un gran peligro para la integridad de nuestro sistema.
• Bombas lógicas. Son partes de código que permanecen sin realizar ninguna función hasta que son activados; en este punto, la función que realizan no es la original del programa, si no que generalmente se trata de una acción perjudicial.
• Canales Cubiertos. Son canales de comunicación que permiten a un proceso transferir información que viole la política de seguridad del sistema. Es decir transferir información a otros que no están autorizados a leer dicha información.
• Virus. Es una secuencia de código que se inserta en un fichero ejecutable (huésped), de modo que cuando el fichero se ejecuta, el virus también lo hace, insertándose así mismo en otros programas.
• Gusanos. Es un programa capaz de propagarse por sí mismo a través de la red, en ocaciones portando virus o bug de los sistemas a los que conecta para dañarlos.
• Caballos de Troya. Son instrucciones escondidas en un programa de forma que este parezca realizar las tareas que un usuario espera de él, pero que realmente ejecuta funciones ocultas sin el reconocimiento del usuario.
• Programas Conejo o Bacterias. Se conoce a los programas que no hacen nada útil , si no que se dedican a reproducirse hasta que el número de copias acabe con los recursos del sistema.
• Técnicas Salami. Se conoce de este modo al robo automatizado de pequeñas cantidades de bienes (generalmente dinero) de una gran cantidad origen.

7.3. Catástrofes.

Se les denominan riesgos poco probables, obviamente se denomina así al conjunto de riesgos que, aunque existan, la posibilidad de que se produzca es tan baja. Pueden ser:
• Naturales o
• Artificiales
Como ejemplos de catástrofes hablaremos de terremotos, inundaciones, incendios, atentados de baja magnitud, etc.

8. MECANISMOS DE SEGURIDAD.

Son mecanismos utilizados para implementar las políticas de seguridad, estos mecanismos se dividen en tres grandes grupos:

8.1. MECANISMOS DE PREVENCIÓN:
Son aquellos que aumentan la seguridad de un sistema durante el funcionamiento normal de este, previniendo la ocurrencia de violaciones a la seguridad.

8.2. MECANISMOS DE DETECCIÓN. Se conoce a aquellos que se utilizan para detectar violaciones a la seguridad o intentos de violación

8.3. MECANISMOS DE RECUPERACIÓN. Son aquellos que se aplican cuando una violación del sistema se ha detectado, para retornar a este a su funcionamiento correcto. Dentro de este último grupo de seguridad encontramos un subgrupo denominado mecanismo de análisis forense, cuyo objetivo no es simplemente retornar al sistema a su modo de trabajo normal, sino averiguar el alcance de la violación, las actividades del intruso en el sistema y la puerta utilizada para entrar.

MECANISMOS DE PREVENCIÓN.

Los mecanismos de prevención más habituales son los siguientes:
1. MECANISMOS DE AUTENTICACIÓN E IDENTIFICACIÓN
Estos mecanismos hacen posible identificar entidades del sistema de una forma única, y posteriormente, una vez identificadas, autenticarlas.
Son los mecanismos más importantes en cualquier sistema, ya que forman la base de otros mecanismos que basan su funcionamiento en la identidad de las entidades que acceden a un objeto.
Un grupo especialmente importante son los denominados Sistemas de autenticación de usuarios.
Como ejemplos de este tipo de mecanismos tenemos.
? Sistemas biométricos
? Tarjetas inteligentes
? Certificados digitales

2. MECANISMOS DE CONTROL DE ACCESO

Cualquier objeto del sistema ha de estar protegido mediante mecanismos de control de acceso, que controlan todos los tipos de acceso sobre el objeto por parte de cualquier entidad del sistema.
Ejemplo: Si un cliente pide una determinada operación debemos de asegurarnos primero de que realmente es quien dice ser y nadie se está haciendo pasar por él (autenticación) y segundo de que a ese cliente se le está permitiendo realizar esa operación según nuestra política de acceso (autorización).

3. MECANISMOS DE SEPARACIÓN
Cualquier sistema con diferentes niveles de seguridad ha de implementar mecanismos que permitan separar los objetos dentro de cada nivel, evitando el flujo de información entre objetos y entidades de diferentes niveles, siempre que no exista una autorización expresa del mecanismo de control de acceso.
Ejemplo: implementación de un sistema mediante una base segura de cómputo (TCB).

4. MECANISMOS DE SEGURIDAD EN LAS COMUNICACIONES
Es especialmente importante para la seguridad de nuestro sistema el proteger la integridad y la privacidad de los datos cuando se transmiten a través de la red. Para garantizar esta seguridad la mayoría de mecanismos se basan en la Criptografía: Cifrado de clave pública, de clave privada, firmas digitales.
Aunque cada vez se utilizan más los protocolos seguros ( SSL, SET, Kerberos, etc).

9. FIREWALL

En muchas empresas el acceso a Internet desde su red no es abierto, sino que existe una máquina que las aísla, el firewall (o cortafuego), que permite que los clientes se sitúen en una red segura, independiente directamente con el Internet y por lo tanto no sujeta a restricciones en el espacio de direcciones. Como el aislamiento completo no es interesante, se montan en el firewall unos programas que permiten que determinados protocolos se salten el firewall, estos son los denominados proxys. Un firewall o "cortafuegos" es un conjunto de programas residentes en el servidor Proxy, pensados para filtrar posibles ataques a la red local.

¿QUÉ HACEN LOS FIREWALLS O CORTAFUEGOS?

Su misión fundamental es proveer seguridad e impedir que usuarios no autorizados accedan a la información reservada de una organización. Al mismo tiempo, deben permitir transferir archivos y accesar al Internet junto con todas las funciones que se requieran de ella, como enviar y recibir correo electrónico, ver imágenes o escuchar audio, pero en forma segura y controlada. Cada aplicación constituye un desafío a la seguridad, y debe ser enfrentada eficientemente por un firewall.
Los firewalls son una medida más efectiva de la seguridad de red. Por ello, son una de las maneras más comunes de proteger las redes que se conectan a Internet.
Hay firewalls basados en software, que incorporan un alto nivel de seguridad a las redes TCP/IP conectadas a Internet, evitando los accesos indebidos a la red del usuario, así como también controlan los accesos hacia el Internet desde el interior de la red cliente. Efectúan traducciones de Direcciones de Red, de modo que todo el tráfico cursado hacia Internet, aparece originado por una única dirección IP, lo cual mantiene oculta las verdaderas direcciones IP internas. Controlan el acceso de los usuarios internos de la red, hacia los servicios que la red externa (Internet) ofrece, controlando por origen / destino, fecha, e incluso hora del día. Los eventos de intromisión a la red son notificados a través de múltiples modalidades de alarmas (reporte impreso, e-mail, detención del sistema, entre otros.) También están disponibles un conjunto de herramientas de diagnósticos de la actividad del sistema y detalle de los eventos ocurridos entre el Firewall y la Internet.
Un firewall tiene dos beneficios principales:
• Permite a los administradores de red controlar y vigilar el acceso a recursos de red sobre la red interna.
• Simplifica la gestión de seguridad de red por combinar la mayoría de la seguridad de red que funciona en un dispositivo único con una interfase simple de gestión.

¿ QUÉ TIPOS DE FIREWALLS HAY?

Cualquier Firewall puede clasificarse dentro de uno de los tipos siguientes (o como una combinación de los mismos):

Filtros (Packet Filters).
Su cometido consiste en filtrar paquetes dejando pasar por el tamiz únicamente cierto tipo de tráfico. Estos filtros pueden implementarse a partir de routers (p.ej: en un Cisco, podemos definir access-lists asociadas a cada uno de los interfaces de red disponible).

Problemas: No son capaces de discernir si el paquete cuya entrada se permite incluye algún tipo de datos maliciosos". Además, cualquier tipo de paquetes no permitidos puede viajar en el interior de tráfico permitido (ej: IP sobre IP). Desgraciadamente son difíciles de definir y depurar.

Proxy (Circuit Gateways)
En este caso la pasarela actúa del mismo modo que un simple cable (vía software) conectando nuestra red interna con el exterior. En general se requiere que el usuario esté autorizado para acceder al exterior o interior y que tenga una cuenta de salida en el proxy.

Problemas: Ciertos sistemas como SOCKS necesitan programas cliente modificados para soportarlo.

Pasarelas a nivel de Aplicación (Application Gateway)
Estas pasarelas se ocupan de comprobar que los protocolos a nivel de aplicación (ftp,http,etc...) se están utilizando de forma correcta sin tratar de explotar algunos problemas que pudiese tener el software de red.

Problemas: Deben estar actualizados; de otro modo no habría forma de saber si alguien está tratando de atacar nuestro sistema.

Otros:
- Dual Homed Host
- Screened Host
- Screened Subnet (DMZ)

10. Fundamentos de criptografía.

La criptografía, del griego "escritura oculta", ha evolucionado desde las antiguas técnicas de transposiciones y sustituciones de símbolos ya utilizadas en las antiguas civilizaciones griega y romana a los métodos basados en algoritmos matemáticos de claves simétricas (DES, IDEA, RC2) y asimétricas (RSA). Estos algoritmos son los que se usan para garantizar la confidencialidad de la información y son la base de las técnicas de integridad de información y algunos métodos de autenticación, el texto en claro que lo originó ya sea porque la función matemática es irreversible o bien porque probar con todas y cada una de las claves sea computacionalmente inoperable.
Hay dos tipos básicos de cifrado:

CIFRADO SIMETRICO. Se basa en el uso de una misma clave para cifrar y descifrar la información. Podríamos compararlo con el intercambio de información mediante un maletín con combinación. Las dos partes deben conocer dicha combinación.

CIFRADO ASIMETRICO. Consiste en el uso de dos claves asociadas, generadas de tal forma que lo que una cifra sólo se puede descifrar con la otra, y viceversa. Contrariamente a lo que pueda parecer, estos pares de claves se generan mediante un proceso matemático relativamente sencillo y es inoperable calcular una clave a partir de la otra. El cifrado asimétrico se usa en esquemas clave pública/clave privada, en los que cada parte tiene una clave privada que sólo ella conoce y una clave pública asociada conocida por todos. Si lo que se requiere es dotar de confidencialidad al mensaje el autor utiliza la clave pública del destinatario para cifrar con ella los datos. El receptor utilizará su clave privada para recuperar el mensaje original. Dado que sólo tiene acceso a su clave privada, queda garantizado que sólo el receptor podrá descifrar el mensaje. Para proporcionar autenticación se usan certificados digitales, que se verán más adelante.

FIRMAS DIGITALES

La tecnología de claves públicas me permite codificar o «cerrar» los mensajes para que sean leídos solo por quien se encuentra en posesión de la clave correspondiente.
Ahora, una vez abierto el mensaje, el destinatario necesita saber si este ha sido modificado durante la transmisión y si realmente proviene de quien dice enviarlo es decir, es necesario verificar la integridad y autenticar al originador del mismo. Una firma digital se genera tomando un segmento de un mensaje y aplicándole un algoritmo para luego codificar el resultado usando la clave privada del emisor. Cualquiera en posesión de la clave pública asociada puede decodificar la firma y el menaje asociado a la misma. De este modo el receptor sabe que el mensaje proviene de quien posee la clave privada asociada (auténtica entonces al emisor) y que el contenido del mismo no ha sido modificado en la transmisión (verifica integridad del mensaje).
Analicemos ahora la siguiente situación. Una entidad, digamos, el señor Martín Iron desea realizar una transacción con el banco X por medio de Internet. Para que la comunicación sea segura nuestro hombre obtiene del banco la clave publica con la cual codificará los datos a transmitir. Ya sabemos que estos datos solo pueden ser decodificados por el dueño de la clave privada asociada a la misma, es decir, el banco. Cómo hace Martín para asegurarse de que la clave publica que recibe es realmente de quien dice ser (en este caso el banco X) y no de otra persona que en ese momento se hace pasar por el banco para capturar información confidencial del usuario ?

CERTIFICADOS DIGITALES

Para que el sistema de claves públicas sea realmente seguro necesitamos un componente adicional que permita verificar que esta pertenece realmente a quien dice poseerla. Esta certificación debe ser llevada a cabo por una «garante» o tercera parte que garantizará la asociación entre una entidad y su clave pública.
Un certificado digital es una credencial que contiene información específica de un individuo ( nombre, dirección, dirección de e-mail etc) y su clave pública.
Los certificados digitales son emitidos por una entidad especial, conocida como autoridad de certificación (CA), la cual se encarga de verificar identidades y claves públicas, asociándolas en un documento especial o certificado «sellado» por la CA.
La CA, como cualquier otro individuo participante de este sistema de seguridad tiene asociado también un certificado en el cual consta su identidad y clave publica.
La integridad de la información contenida en un certificado digital se encuentra protegida por una firma especial que debe cumplir con los siguientes criterios:
? Debe ser inviolable. La firma prueba que el emisor firmó deliberadamente el documento.
? Debe ser autentica. Prueba al receptor que el mensaje fue firmado deliberadamente por el emisor.
? No debe ser recusable. La firma es parte del documento. No puede ser copiada de un documento a otro.
? Debe garantizar integridad. El documento firmado no puede ser alterado sin que el receptor o detecte.
? No puede ser negada. La firma y el documento son dos entidades. El firmante no puede negar el hecho de haber insertado la firma en el documento.
Para que el mecanismo de certificados sea realmente efectivo debe estar completamente integrado con el esquema de transporte y seguridad existente. La manera mas efectiva de realizar esta integración es por medio de la especificación de seguridad asociada a la norma X.500, conocida como X.509 la cual define entre otros aspectos, la estructura de datos de los certificados digitales así como el manejo de claves públicas entre entidades.

SEGURIDAD EN EMAIL.

EL PGP (Pretty Good Privacy ó Encriptación bastante buena) es un sistema de encriptación por llave pública escrito por Philip Zimmermann, y sirve para que nadie salvo uno mismo y el destinatario o destinatarios a los que vaya dirigido el mensaje puedan leerlo al ir los mensajes codificados, también puede usarse para comprobar la autenticidad del mensaje asegurándonos que lo ha escrito el remitente en realidad, realmente es muy bueno y es prácticamente indescifrable, esto mismo le ha llevado al autor del mismo Philip Zimmermann a tener bastantes quebraderos de cabeza con la ley en Estados Unidos, afortunadamente su caso ya se ha cerrado.

La intimidad del correo personal tanto postal como electrónico esta amparada por la ley y la constitución de la mayoría de los países.

11. PROTOCOLOS DE SEGURIDAD

PROTOCOLOS SET.

Asia es líder mundial en términos de crecimiento económico global e incremento del número de propietarios de tarjetas de crédito y nuevos usuarios de Internet. Esto explica que para MasterCard Internacional y Visa Internacional, en el sector bancario, y para Gemplus y CP8 Transac, en el negocio de tarjetas inteligentes, Asia represente un objetivo más que apetecible.
Pero el crecimiento económico ha llegado acompañado de un problema social prácticamente indisoluble: la delincuencia. Conscientes de los beneficios pontenciales que puede reportar el comercio en Internet, y sin olvidar la necesidad de seguridad fiscal, MasterCard y Visa están promoviendo la adopción del estándar Secure Electronic Transaction (SET).

SET utiliza la criptografía de clave pública, para garantizar la seguridad de las transacciones. Otro dispositivo de seguridad de SET consiste en el uso de firmas digitales, que certifican aún más la validez del mensaje. Para ello, SET emplea compendios (digest) de mensaje.

PROTOCOLOS SSL.
En la actualidad, los ordenadores de la mayoría de usuarios sólo investigan un nive de jerarquía de certificación.

Si su navegador WEB está conectado a un servidor con capacidades Secure Sockets Layer (SSL), el servidor establecerá su identidad expidiendo una copia de su clave pública encuadrada en un certificado.

Lo más probable es que el certificado haya sido emitido por VeriSign , uno de los principales proveedores de certificados para servidores WEB que utilizan SSL para cifrar los datos que discurren entre el servidor y el navegador.

El navegador validará el certificado de VeriSign verificando su firma.

12. Lineamientos de seguridad en Internet

Lineamientos generales
Metodología para el desarrollo de sistemas de seguridad en Internet:
o DIAGNOSTICO. Consiste en analizar y valorar los recursos de la red, elaborar un análisis de riesgos y causas, así como determinar los recursos que se desean proteger.

o FACTIBILIDAD. Según el valor de los recursos y el riesgo al que se encuentran sometidos, determinar la factibilidad de implantar un sistema de seguridad con base el presupuesto. Si es factible, proceder a realizar el diseño del sistema de seguridad, y si no es factible, no se justifica el proyecto.
o IMPLEMENTACION. Consiste en la definición de las políticas de seguridad, el diseño de los sistemas de seguridad y su implementación
Al desarrollar un sistema de seguridad hay que dar por hecho que Internet es una red INSEGURA, diseñe los sistemas para que la seguridad resida en los sistemas cliente y servidor, adecué la red interna para la implementación de un sistema de seguridad y/o conexión a una red pública como Internet, defina las fronteras de la red interna privada y red interna pública, adopte un esquema de direccionamiento privado para redes TCP/IP que se conectarán a Internet, mejore la seguridad de los servidores de la red tanto privada como pública, utilice gateways, proxys y haga una evaluación de firewalls.
Políticas de seguridad
o CONTROL DE ACCESO. Tener un control en el acceso físico, las máquinas deben estar ubicadas en un lugar seguro y controlado.
o DOCUMENTACION. Documentación de programas, procesos y procedimientos, cada vez que se instala un nuevo programa se debe documentar todo el proceso, incluyendo las consideraciones de seguridad.
o MONITOREO. Contar con un monitoreo regular de la carga del sistema tanto en los servidores como en la red, que refleje cuál es la carga promedio del sistema, cuándo entran los usuarios al sistema, quiénes tienen acceso al sistema y contenga muestreos periódicos de los mecanismos de seguridad.
o SISTEMA OPERATIVO. Es recomendable reinstalar el sistema operativo y todos los servicios cada cierto tiempo en los computadores principales tipo multiusuarios. En caso de recibir un ataque a la seguridad es altamente recomendado reinstalar el sistema operativo para asegurar que el atacante o hacker no dejó una puerta trasera abierta, también conocida como backdoor.
o PRIVILEGIOS. Revisar periódicamente los archivos y programas especiales que otorgan ciertos privilegios de acceso al sistema, así como revisar los permisos y accesos a sistemas de archivos a través de la red.
o RESPALDOS. Definir y ejecutar una política de copia de respaldos, también conocidos como backups.
o PASSWORDS. No permitir cuentas sin Password, realizar cambios periódicos de passwords en forma obligatoria, determinar un tiempo de duración máxima de passwords, las cuentas de personas de administración y personas con privilegios deben cambiarse con mayor frecuencia, realizar campañas educativas a los usuarios para definición y asignación de Password, verificar la asignación de passwords de las personas, no usar passwords muy fáciles y determinar un tiempo máximo de inactividad para las cuentas.

CONCLUSIONES

1. Internet esta creciendo a gran velocidad y ganado cada vez mas aceptación como un medio de marketing y distribución para una amplia gama de negocios. Su naturaleza global y de bajo costo hace de ella la plataforma ideal para implementar soluciones de comercio de diferentes tipos. Cada vez son mas los emprendimientos que emplean a Internet como un medio para reducir costos y extender su área de cobertura logrando así una importante ventaja competitiva.
Dentro de este contexto existen dos elementos críticos fundamentales para el desarrollo de negocios:
? Una infraestructura de comunicaciones robusta.
? Tecnologías de seguridad que permitan garantizar: autenticación, privacidad e integridad de la información.
Ambos elementos deben ser lo suficientemente sencillos como para no afectar los mecanismos de interoperabilidad existentes y la eficiencia de los procesos de negocios a desarrollar.
2. Existen algunas ideas erróneas acerca de la seguridad, como son el pensar que estamos totalmente protegidos con la asignación de contraseñas a todos los recursos, usuarios funcionales y aplicaciones, o comprar un firewall o equivalente, o suponer que los usuarios funcionales o posibles atacantes tienen bajo conocimiento.

RECOMENDACIONES

1. Al implantar un sistema de seguridad debemos tener en mente las siguientes desventajas: degradación del desempeño, menor flexibilidad, restricción de servicios, cambio en muchos programas en las estaciones de trabajo, mayor complejidad para que los usuarios funcionales utilicen los recursos y mayores costos de personal, software y hardware.
2. Al implementar un sistema en una organización debemos implementar los mecanismos necesarios para cumplir con las políticas de seguridad: filtrado de paquetes, el Proxy de aplicación y la monitorización y detección de actividades sospechosas.