1. Universidad Abierta y a Distancia de México
Carrera: Desarrollo de software.
Grupo: DS-DIRE-1702-B2-001
Materia: Seguridad informática.
Asignación a Cargo del Docente.
Link de Slidshare:
https://es.slideshare.net/secret/9L5umSGCRRDtbT
Maestro: Ricardo Rodríguez Nieves
Alumno: William Gonzalo Perera López
Matrícula: ES1421001907
Fecha: 5 de Noviembre de 2017
2. Principales conceptos aprendidos en la materia “Seguridad de la
Informática”.
Link de Slidshare:
https://es.slideshare.net/secret/9L5umSGCRRDtbT
Captura de pantalla del archivo y el link:
3. Unidad 1. Principios de seguridad informática.
Seguridadinformática. La seguridadinformáticatienecomopropósitoprotegerlainformaciónde
lossistemasde información,independientemente del lugardonde se localice,asícomo los
equiposque laalberganylosdatosconfidencialese integridadde laspersonasque acceden a
dichossistemasyse puede definircomocualquiermedidaque impidalaejecuciónde operaciones
no autorizadassobre unsistemaored informática,cuyosefectospuedanconllevaradañossobre
la información,comprometersuconfidencialidad,autenticidad ointegridad,disminuirel
rendimientode losequiposobloquearel accesode usuariosnoautorizados.
Recursos de un sistema de información.
Los recursosde un SI enuna organizaciónse definencomo“losactivosaprotegerdel SI”(Gómez,
2011, p.60) los cualesbásicamente sonlossiguientes:
Recursos de hardware: Se conformande servidores,estacionesde trabajo,computadoras
personalesyportátiles,impresoras,escáneresyotrosperiféricos.
Recursos de software: sistemasoperativos,herramientasofimáticas,software,aplicaciones,etc.
Elementosde comunicaciones: Dispositivosde conectividad(hub,switches,routers),armarioscon
panelesde conexión,cableado,puntosde accesoala red,líneasde comunicaciónexterior,etc.
Información: activode naturalezaintangible.
Espacios físicos:Localesy oficinasdonde se ubicanlosrecursosfísicosydesde losque se acceden
al sistemalosusuariosfinales.
Usuarios.Personasque usany se beneficiandel SI.
Imagen y prestigiode la organización. La maneraenla que losclientespercibenalaorganización
derivadade losresultadosde losobjetivosestablecidos.
Triada de la Seguridadde la información. Los pilaresde laseguridadenunSIson lossiguientes:
Confidencialidad:garantíadel accesosoloa las personasautorizadas.
Integridad:garantía de la exactitudde lainformaciónyde suprotecciónfrente a
alteracionesopérdidas.
Disponibilidad:garantíade que lainformaciónvaa estar disponible enel momentoen
que se necesita.
Nivelesde seguridadde la seguridadinformática según Herrerías(1991).
N1 - Entorno nacional o local:La seguridadeneste nivelse logramediante la
estructuraciónde unmarco jurídicopara normalizarlasprácticasrelativasal manejode
datoscon un alcance de nacional yun ejemplosonlasnormativasdecretadasporel IFAI o
la guía de obligacionesde laLFPDPPP.
N2 – Entorno organizacional: Esta seguridadse lograconla implementaciónde
mecanismosde regulaciónde procesos,procedimientosypolíticasorganizacionalesque
4. buscanestablecerunamaneraoficial ysegurade tratar la información,comoporejemplo
la elaboraciónde manualesde políticasorganizacionalesempresariales.
N3 – Seguridaden Física:Esta seguridadse lograconcontrolesde identificacióno
autentificacióncomoporejemploel códigode numeraciónclave ylasespecificaciones
técnicasde losequipos.
N4 - Seguridad enHardware: Esta seguridadse logracon controlesde identificacióno
autentificación parael hardware donde tambiénse relacionaconlasespecificacionesdel
hardware como porejemplolaasignaciónde responsablesparael mantenimientoy
configuración.
N5 – Seguridaden software: Esta seguridadse lograconcontrolesrelativosalalógicadel
software yun ejemplosonlarestricciónde usuariosparael manejode basesde datosy
aplicacionesespecíficasde softwarerelacionadoconlagestiónde basesde datos.
N6 - Seguridadendatos: Esta seguridadse logracon lasegmentaciónyencriptaciónde
datoscomo por ejemploel usode mecanismosde encriptacióncomoel sha56 que
enmascaracadenasStringpara norevelarel contenido.
Análisisde riesgos y amenazas. El riesgoesel resultadode lacombinaciónentre peligroy
vulnerabilidad,yestárelacionadoconlaprobabilidadde que se presentenconsecuencias
específicas,lascualesestánmuyrelacionadas,asuvezcon el grado de exposiciónde los
elementossometidos,yconla vulnerabilidadque tienendichoselementosaserafectadosporel
evento.
SeguridadFísica. Aplicaciónde barrerasfísicasyprocedimientosde control,comomedidasde
prevenciónycontramedidasante amenazasalosrecursose informaciónconfidencial para
protegerel hardware ymediosde almacenamientode datos.Lasprincipalesamenazasque se
prevénenlaseguridadfísicasonlassiguientes:
Riesgopordesastresnaturales.
Riesgoporamenazascausadaspor el hombre como vandalismoestudiantil,incendioyuso
o mantenimientode infraestructurae instalacioneseléctricas.
Riesgopordisturbiosdeliberadoscomointentode sabotajeyrobosde equipos.
Seguridadlógica.Eslaaplicaciónde procedimientosparaque solamentepersonasautorizadas
puedanaccedera determinadainformaciónyestádirectamente relacionadaconlosantivirus,
antispamyspyware. Las principalesamenazasque se prevénenlaseguridadlógicasonlas
siguientes:
Riesgoporcarenciade controlesde identificaciónyaccesode usuariostantointernocomo
externo.
Riesgoporcontrolesde privilegiosparael usoyconfiguraciónde lossistemas.
Riesgoporcarenciade administraciónde roles,transaccionesylimitaciónde serviciospara
losusuariosde acuerdoa sus requerimientos,responsabilidadesysituaciónacadémica.
5. Amenazas de tipo malware. Algunasamenazasidentificadascomomalware sonlassiguientes:
Virus:códigodañinoyque amenazapor accesoindebidoapáginasconintencionesde
daño o usode dispositivosusbsinpreviarevisiónporantivirus.
Gusanos.Malware que daña el sistemaoperativopormediode atacarvulnerabilidadesdel
sistemayuso de ingenieríasocial,se podríadarel caso por una carenciaen el control de
acceso de usuariosinternosyexternos.
Troyanos.Software enmascaradoque contaminaal sistema,el cual se podríapresentar
por un accesoindebidoapáginasnoseguraso faltade control en el accesode dispositivos
usb.
Análisisforense de SI. Conjuntode técnicasde investigaciónque permitenidentificarunagran
variedadde elementosclavesal momentode analizarciertosincidentesde seguridadymediante
el cual se pretende reconstruirel procedimientorealizadoparatal fin.
Unidad 2. Mecanismos criptográficos en los sistemas informáticos.
Criptografía Clásica. Criptografíautilizadadesde antesde laépocaactual hasta lamitaddel siglo
XX.
Criptografía Moderna. Criptografíaconsecuenciade lapublicaciónde la“Teoríade la
Información”,del sistemade cifradoDES(Data EncryptionStandard) en1974 y la aplicaciónde
funcionesmatemáticasde unsolosentidoaunmodelode cifrado(cifradode llave públicaen1976
de Whitfield DiffieyMartinHellman.
Criptografía Simétricapor Bloques: Diseñode Feistel. Criptografíaque usaun bloque de tamaño
N bitscomúnmente N=64ó 128 bitsse divide endosbloquesde tamañoN/2,A y B. A partir de
aquí comienzael procesode cifradoyconsiste enaplicaruna funciónunidireccional (muydifícil de
invertir) aunbloque B ya una subllave k1generadaapartir de la llave secreta.Se mezclanel
bloque A con el resultadode lafunciónmedianteunXOR.Se permutanlosbloquesyse repite el
proceson veces.Finalmente se unenlosdosbloquesenel bloque original.
Criptografía Simétricapor Bloques: algoritmoRijndael. Sigue lafilosofíade Feistel yademásesun
cifradorde bloquesde tamañofijo,amenudode 64 o 128 bitsy donde paracifrar mensajesde
mayor tamañose usan diferentesmodosde operación.
Criptografía Simétricade Flujo. Este tipode criptografíase basaen hacerun cifradobita bit,esto
se logra usandolaoperaciónXOR,representadaconÅ.
Criptografía Asimétrica. Criptografíaque permite que loque se cifracon una llave se puede
descifrarconla otra llave porloque carece de simetríaen el esquemade proceso. Si alguien
quisieraenviarunmensajecifradoan personas,necesitaríasabern llavespúblicasunade cada
persona,perosi n personasle quiere enviarunmensaje cifradosóloesnecesarioque losdemás
conozcansu llave pública.
6. Hash. Funciónque toma undocumentode tamañoN bitsy entregaunacadena de M bits.Nohay
límite para el tamañode N, peroM siempre esde tamañoconstante de acuerdocon el algoritmo
usado,normalmente esde 128 o 256 bits.
Firma digital. Una firmadigital esundocumentoque permite garantizarlaintegridadde un
documentoyse puede relacionarde maneraúnicaal firmante consu firma,ya que realizaésta
con la llave privadayúnicamente el firmante posee esallaveconel objetode verificarla
autenticidaddel firmante.
Certificadodigital.Un certificadodigital porotraparte esun documentodigital expedidoporuna
autoridadde confianzaque contiene losdatosque identificanal dueñodel certificado,sullave
pública,fechade expedición,fechade caducidad,losdatosde laautoridadde confianzay
finalmentetodoestoestáfirmadoporlamismaautoridad.
Sobresdigitales.Un sobre digital se generaa partirde undocumentody una llave secretakque
se generade forma aleatoria,se cifrasimétricamente Ck(d) el documentodconla llave secretak,
luegolallave secretakse cifra asimétricamente conlallave públicak2de lapersona a la que le
vamosa enviarel sobre Ck2(k) yfinalmente se concatenanel cifradodel documentoCk(d) conel
cifradode la llave secretaCk2(k) dandoorigenal sobre digital.
Certificadosdigitales.Esun documentodigital expedidoporunaautoridadde confianzaque
contiene losdatosque identificanal dueñodel certificado,sullave pública,fechade expedición,
fechade caducidad,losdatos de la autoridadde confianzayfinalmentetodoestoestáfirmadopor
la mismaautoridad.
Autoridad de certificación. La autoridadde certificaciónde acuerdoala página llevaacabo los
serviciosde FirmaElectrónicaAvanzada,comoson:Emisiónde CertificadosDigitalesde Firma
ElectrónicaAvanzada,Conservaciónde Constanciasde Mensajesde Datosde Conformidadconla
NOM151-SCFI-2016, SelladoDigital de TiempoyDigitalizaciónde documentosde Conformidadcon
la NOM151-SCFI-2016, en términosycon losrequisitosque establece el Códigode Comercio.El
objetode laautoridadesotorgar certezajurídicay seguridadinformáticaatravésde la utilización
de Firma ElectrónicaAvanzadade Emisiónde CertificadosDigitalesde FirmaElectrónicaAvanzada,
Conservaciónde Constanciasde Mensajesde Datosde Conformidad,SelladoDigital de Tiempoy
Digitalizaciónde documentos, enlacelebraciónde losactosde comerciopormedioselectrónicos
(Internet),emitidosporunPrestadorde Serviciosde Certificación.
Algoritmode encriptaciónAES (AdvancedEncryption Standard). Se usa para la trasmisiónde
archivosenprotocolosde transferenciade archivosseguracomoHTTPS,FTPS,SFTP,WebDAVS,
OFTP,o AS2 en laNASA.Está basadoenel diseñode permutación-substituciónyadiferenciade
sus predecesoresnoutilizaundiseñoFeistel.
AlgoritmoSHA (Secure HashAlgorithm). Se considerael mejoralgoritmoparalasaplicacionesde
firmaelectrónica,dadoque este algoritmofuedeclaradoestándarFederal InformaciónProcessing
StandardPUB 180 en1993, ha sidoampliamente usadoymejoradoparadar seguridada
transaccionesbancarias.
Protocolo SSL. El protocoloSSL(Secure SocketsLayer) fue diseñadoconel objetode proveer
privacidadyconfiabilidadalacomunicaciónentre dosaplicaciones,ycuyaventajaesque es
7. independientedel protocolode aplicación,yaque esposibleubicarlo porencimadel mismoen
formatransparente.Este protocolose compone de doscapas:
SSL RecordProtocol.Capa ubicadasobre algúnprotocolode transporte confiable(como
por ejemploTCP) yesusadopara encapsularvariostiposde protocolosde mayornivel.
SSL Handshake Protocol.Capade losposiblesprotocolosque puedenencapsularse sobre
la capa anteriory permite al cliente yal servidorautenticarse mutuamente,negociarun
algoritmode cifradoe intercambiarllavesde acceso.
Unidad 3. Gestión y aplicación de protocolos de seguridad
informática.
Modelode seguridad enprofundidad. El Modelode seguridadenprofundidadasumeque cada
una de las medidastomadaspuedenserrotaspor algúnatacante,peroque a medidaque se
agregancapas en el sistemade seguridad,laprobabilidadde que el atacante puedaesquivartodas
y cada una de ellassinserdescubiertodisminuye proporcionalmente.Sumetodologíaestábasada
enun conjuntode reglascada vezmás restrictivasamedida que el objetoadefenderse
encuentre máscercano.
Áreas o zonas de seguridada considerar en un modelode seguridad. Las medidasestán
delimitadasporáreaso zonasde seguridadconsideradasde lasiguiente manera:
Área de influencia:Esla zonamás externadel sistema,dondeesfactiblerealizaracciones
contra la integridadde éstaárea.
Área de exclusión:Esel espacioconcéntricoexterioral áreaprotegida,de utilización
restringidaode acceso limitado.
Área protegida: Es el espaciodelimitadoporbarrerasfísicasenel que se ejerce uncierto
control de movimientosypermanencia.
Área crítica: Es el espaciodelimitadoporbarrerasfísicas,enel interiordel áreaprotegida,
cuyo accesoy permanenciasonobjetode especialesmedidasde control.
Componentesdel sistemainformático. Un sistemainformáticoestácompuestopor3partes
“hardware,software ydatos”,losataque puedenestardirigidosacualquierade estaspartes.
Tipos de ataque a prevenirenun SI. Lostiposde ataque a prevenirque puedenestardirigidosa
cualquierade lasparteshardware,software ydatosy clasificadosporsutaxonomíasonlos
siguientes:
Interrupción.Existe cuandounsistemarecursode un sistemaesdestruido,ose hace
indisponible oinusable.Esuntipode ataque a la disponibilidaddel recurso.
Intercepción.Ocurre cuando unaparte noautorizadalogra capturar el objetosiendoeste
un receptornoautorizado.Esta parte podría seruna persona,unprograma o una
computadora.
8. Modificación.Estose logracuando ademásde ganar acceso al recurso,se modificay
reenvíaal destino.Esun ataque a la integridad.
Fabricación. Es cuandouna parte noautorizadageneraobjetosenel sistema.Se considera
un ataque a la autenticidad.
Mecanismosde seguridadque se debenimplementarenun SI. Los mecanismosde seguridadque
se debenimplementarenunSI sonlossiguientes:
Prevención.Utilizandométodosde autentificación,identificación,control de acceso,
transmisiónsegura,plataformasheterogéneas,sistemahoneypot,ect.
Detección.A travésde programas de auditoríacomo Tripwire oNagios,encargadosde
realizarchequeosde integridad,proveerypresentarinformaciónal instantesobre el
estadoactual del sistema.
Respuesta.Implementandométodosde backupsysoftware de análisisforense(para
detectarque hizoel intrusoyque vulnerabilidadexplotó).
DRP y BCP. Sonlas políticasde seguridadque se sustentenenalgunametodologíade prevención,
detecciónyrespuesta.Unametodologíaeslametodologíade Recuperaciónde DesastresBRII
(DisasterRecoveryInstitute International) lacual se desarrollóel proyectoBCPen1998 con los
siguienteselementos.
1. Inicioyadministracióndel proyecto.
2. Evaluaciónycontrol de riesgos.
3. Análisisde impactoal negocio(BIA).
4. Desarrollode estrategiasde continuidaddelnegocio.
5. Respuestaala emergenciayestabilización.
6. Desarrolloe implementaciónde planesde continuidaddel negocio.
7. Programasde concientizaciónyentrenamiento.
8. Pruebay mantenimientode losplanesde continuidaddel negocio.
9. Relacionespúblicasycoordinaciónde lacrisis.
10. Coordinaciónde lasautoridadespúblicas.
En general un DRP y BCP tiene el siguiente objetivoyfundamento:
Objetivo:EstablecerunPlande Continuidadde Operacionesparala organización.
Fundamento:Sobreviviraeventode desastre ounataque maliciososobre susistemade
informaciónque pudiese repercutirenlapérdidaomanipulaciónde informaciónde sus
usuarioso pudiese interferirconel correctodesarrollode susfunciones.
Interrupciónsignificativadel negocio(ISN):es uneventoque potencialmente puede amenazara
la continuidadde lasoperacionesque realizaunaorganización,obligandoalamismaa detenerlas
por tiempoindefinidoyporlotanto dejandode teneringresosde unamaneratal que laexistencia
mismade la organizaciónpuede estarenpeligro.Unsucesode estamagnitudrequiere medidas
9. especialespararegresarlasoperacionesalanormalidad.Esimportante siempreestarpreparados
para eventosnaturalescomoincendios,inundaciones,terremotos,tormentas,tornadosy
huracanesasí eventoscreadosporel hombre comovandalismooataquesterroristas.Siempre hay
que considerarlosefectossecundariosque cualquiereventode granescalapuede causarcomo
faltade energía eléctricaode suministrosparaseguiroperando.Normalmente lamayorparte de
lossucesosque causanuna interrupciónenel negociosonmenosaparatososyestáncompuestos
por robos,sabotaje causadopor empleadosyfallasde equipos.
Fuentes:
http://www.condusef.gob.mx/Revista/index.php/usuario-inteligente/servicios-financieros/301-
pagos-rapidos
http://www.finanzasparatodos.es/es/kitsupervivencia/tarjetascreditodebito/seguridadcomprasint
ernet.html
https://www.hsbc.com.mx/1/PA_esf-ca-app-
content/content/inicio/empresas/archivos/aceptacion/manual_aceptacion.pdf
https://fin.plaid.com/articles/how-does-paypal-work
UniversidadAbiertay a Distanciade México[UnADM].(2017). Unidad1. Principiosde seguridad
informática.EnProgramade laasignatura:Seguridadinformática.IngenieríaenDesarrollode
Software.Divisiónde cienciasExactas,IngenieríayTecnología.
UniversidadAbiertaya Distanciade México[UnADM].(2017). Unidad2. Mecanismos
criptográficosenlossistemasinformáticos.EnProgramade laasignatura:Seguridadinformática.
IngenieríaenDesarrollode Software.Divisiónde cienciasExactas,IngenieríayTecnología.
UniversidadAbiertaya Distanciade México[UnADM].(2017). Unidad3. Gestióny aplicaciónde
protocolosde seguridadinformáticaEnProgramade laasignatura:SeguridadInformática.
IngenieríaenDesarrollode Software.Divisiónde cienciasExactas,Ingeniería yTecnología.
Sarubbi,J.P.,yBlanqué,J.(2008). Seguridadde lainformática.Técnicasde defensacomunesbajo
variantesdel sistemaoperativoUnix.Luján,BuenosAires:UniversidadNacional de Luján.pp.1-17.
UniversidadAbiertaya Distanciade México [UnADM].(2017). Unidad3. Gestióny aplicaciónde
protocolosde seguridadinformáticaEnProgramade laasignatura:SeguridadInformática.
IngenieríaenDesarrollode Software.Divisiónde cienciasExactas,IngenieríayTecnología.
UniversidadAbiertay a Distanciade México[UnADM].(2017). SeguridadyCulturade Prevención
para TI. Material de apoyo de la Unidad3. Gestióny aplicaciónde protocolosde seguridad
informáticaEnPrograma de la asignatura:SeguridadInformática.IngenieríaenDesarrollode
Software.Divisiónde cienciasExactas,IngenieríayTecnología.Recuperadode:Revista.Seguridad
Culturade prevenciónparaTI No.22 / agosto-septiembre 201 4 ISSN:1 251 478, 1 251 477
10. Gaspar Martínez, J. (2010). El plan de continuidad de negocio. Guía práctica para su
elaboración. Madrid: Díaz de Santos. pp. 67-69
UniversidadAbiertaya Distanciade México[UnADM].(2017). El plande continuidadde negocio.
Material de apoyode la Unidad3. Gestióny aplicaciónde protocolosde seguridadinformáticaEn
Programa de la asignatura:SeguridadInformática.IngenieríaenDesarrollode Software.División
de cienciasExactas,IngenieríayTecnología.