Seguridad informática

Seguridad activa

Desde el punto de vista del momento preciso de actuación, la seguridad se puede clasificar en seguridad activa y seguridad pasiva.

La seguridad activa interviene antes de producirse el percance, de tal manera que se eviten los daños en el sistema. La seguridad activa la podemos definir como el conjunto de medidas que previenen e intentan evitar los daños en los sistemas informáticos. La seguridad activa tiene como finalidad evitar daños a los sistemas informáticos.

Entre las técnicas de seguridad activa más utilizadas, se pueden citar las siguientes:

  • Empleo de contraseñas seguras.
  • Encriptación de datos.
  • Uso de software de seguridad informática.
  • Firmas y certificados.

Las contraseñas

Las contraseñas (passwords) son las herramientas más utilizadas para restringir el acceso a los sistemas informáticos. Su misión es prevenir el acceso a los recursos por parte de personas no autorizadas. Sin embargo, sólo son efectivas si se escogen con cuidado y se cambian periódicamente.

Es muy importante cambiar periódicamente la contraseñas. En los sistemas informáticos, mantener una buena política de seguridad de creación, mantenimiento y recambio de claves es un punto crítico para salvaguardar la seguridad y privacidad.

Nota: La mayor parte de los usuarios de computadoras eligen contraseñas que son fáciles de adivinar (el nombre de un familiar o el de una mascota, palabras relacionadas con trabajos o aficiones, caracteres consecutivos del teclado, etc.). Los hackers conocen y explotan este hecho, por lo que un usuario precavido no debe utilizarlos. Muchos sistemas de seguridad no permiten que los usuarios utilicen palabras reales o nombres como contraseñas, evitando así que los hackers puedan usar diccionarios o programas especiales para adivinarlas. Los diccionarios son archivos con millones de palabras, las cuales pueden ser posibles passwords de los usuarios. Este archivo es utilizado para descubrir dicha password en pruebas de fuerza bruta.

Criterios para elegir una buena contraseña

A la hora de elegir una contraseña, hay que tener en cuenta los siguientes consejos:

  • No utilizar contraseñas que sean palabras (aunque sean extranjeras) o nombres (el del usuario, miembros de la familia, mascotas, personajes de ficción, marcas, ciudades, etc.).
  • No usar contraseñas completamente numéricas con algún significado (número de teléfono, D.N.I., fecha de nacimiento, etc.).
  • No utilizar terminología técnica conocida.
  • Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas y minúsculas) y numéricos. Combine letras, números y símbolos. Cuanto más diversos sean los tipos de caracteres de la contraseña, más difícil será adivinarla.
  • Deben ser largas (de 8 caracteres o más).
  • Tener contraseñas diferentes en máquinas diferentes y sistemas diferentes. Es posible usar una contraseña base y ciertas variaciones lógicas de la misma para distintas máquinas. Esto permite que si una password de un sistema cae no caigan todos los demás sistemas por utilizar la misma password.
  • Deben ser fáciles de recordar para no verse obligado a escribirlas. Algunos ejemplos son:
    • Combinar palabras cortas con algún número o carácter de puntuación: soy2_yo3
    • Usar un acrónimo de alguna frase fácil de recordar: A río Revuelto Ganancia de Pescadores: ArRGdP.
    • Añadir un número al acrónimo para mayor seguridad: A9r7R5G3d1P.
    • Mejor incluso si la frase no es conocida: Hasta Ahora no he Olvidado mi Contraseña: aHoelIo.
    • Elegir una palabra sin sentido, aunque pronunciable: taChunda72, AtajulH, Wen2Mar.
    • Realizar reemplazos de letras por signos o números: En Seguridad Más Vale Prevenir que Curar.

Algunos consejos a seguir:

  • No permitir ninguna cuenta sin contraseña. Si se es administrador del sistema, repasar este hecho periódicamente (auditoría).
  • No mantener las contraseñas por defecto del sistema. Por ejemplo, cambiar las cuentas de Administrador, Root, System, Invitado, Guest, etc.
  • Nunca compartir con nadie la contraseña. Si se hace, cambiarla inmediatamente.
  • No escribir la contraseña en ningún sitio. Si se escribe, no debe identificarse como tal y no debe identificarse al propietario en el mismo lugar.
  • No teclear la contraseña si hay alguien observando. Es una norma tácita de buen usuario no mirar el teclado mientras alguien teclea su contraseña.
  • No enviar la contraseña por correo electrónico ni mencionarla en una conversación. Si e necesario mencionarla, no hacerlo explícitamente diciendo: "mi contraseña es...".
  • No mantener una contraseña indefinidamente. Cambiarla regularmente. Se puede disponer de una lista de contraseñas que pueden usarse cíclicamente (por lo menos 5).

Encriptación de datos.

Las encriptación (una posible traducción al castellano sería cifrado) es el proceso mediante el cual cierta información o texto sin formato es transformada en un código ilegible a menos que se conozcan los datos necesarios para su interpretación. Es una medida de seguridad utilizada para que, al almacenar o transmitir información sensible, ésta no pueda ser interpretada por personas no autorizadas.

Algunos de los usos mas comunes de la encriptación son el almacenamiento y transmisión de información sensible como contraseñas, números de identificación legal, números de tarjetas crédito, informes contables y conversaciones privadas, entre otros.

En criptografía, la encriptación es un procedimiento que utiliza un algoritmo de cifrado con cierta clave (clave de cifrado) para transformar un mensaje, de tal forma que sea incomprensible a toda persona que no tenga la clave secreta (clave de descifrado) del algoritmo. Las claves de cifrado y de descifrado pueden ser iguales (criptografía simétrica) o distintas (criptografía asimétrica).

Tipos de cifrado

Existen diferentes tipos de cifrado:

  • simétrico: cuando utiliza la misma clave para cifrar y descifrar.
  • asimétrico: cuando utiliza claves diferentes para cifrar y descifrar.

El proceso de encriptación se puede llevar a cabo utilizando diferentes tipos de algoritmos: algoritmos hash, algoritmos simétricos y algoritmos asimétricos.

Algoritmo HASH

Este algoritmo efectúa un cálculo matemático sobre los datos que constituyen el documento y da como resultado un número llamado valor hash. Un mismo documento dará siempre un mismo valor hash.

Criptografía de Clave Secreta o Simétrica

La criptografía simétrica, también llamada criptografía de clave secreta, es un método criptográfico en el cual se usa una misma clave para cifrar y descifrar mensajes en el emisor y el receptor. Las dos partes que se comunican han de ponerse de acuerdo de antemano sobre la clave a usar. Una vez que ambas partes tienen acceso a esta clave, el remitente cifra un mensaje usando la clave, lo envía al destinatario, y éste lo descifra con la misma clave.

Es importante destacar que la clave ha de viajar con los datos, lo que hace arriesgada la operación e imposible de utilizar en ambientes donde interactúan varios interlocutores.

Los Criptosistemas de clave secreta se caracterizan porque la clave de cifrado y de la descifrado es la misma, por tanto la robustez del algoritmo recae en mantener el secreto de la misma.

Criptografía de clave pública o Asimétrica

La criptografía asimétrica, también llamada criptografía de clave pública, es el método criptográfico que usa un par de claves para el envío de mensajes. Las dos claves pertenecen a la misma persona que ha enviado el mensaje. Una clave es pública y se puede entregar a cualquier persona, la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella. Además, los métodos criptográficos garantizan que esa pareja de claves sólo se puede generar una vez, de modo que se puede asumir que no es posible que dos personas hayan obtenido casualmente la misma pareja de claves.

Si el remitente usa la clave pública del destinatario para cifrar el mensaje, una vez cifrado, sólo la clave privada del destinatario podrá descifrar este mensaje, ya que es el único que la conoce. Por tanto se logra la confidencialidad del envío del mensaje, nadie salvo el destinatario puede descifrarlo.

Si el propietario del par de claves usa su clave privada para cifrar el mensaje, cualquiera puede descifrarlo utilizando su clave pública. En este caso se consigue por tanto la identificación y autentificación del remitente, ya que se sabe que sólo pudo haber sido él quien empleó su clave privada (salvo que alguien se la hubiese podido robar). Esta idea es el fundamento de la firma electrónica.

Los sistemas de cifrado de clave pública o sistemas de cifrado asimétricos se inventaron con el fin de evitar por completo el problema del intercambio de claves de los sistemas de cifrado simétricos. Con las claves públicas no es necesario que el remitente y el destinatario se pongan de acuerdo en la clave a emplear. Todo lo que se requiere es que, antes de iniciar la comunicación secreta, el remitente consiga una copia de la clave pública del destinatario. Es más, esa misma clave pública puede ser usada por cualquiera que desee comunicarse con su propietario. Por tanto, se necesitarán sólo n pares de claves por cada n personas que deseen comunicarse entre sí.

Ejemplos

Los métodos criptográficos más conocidos son el DES, el Triple DES y el AES para la criptografía simétrica, y el RSA para la criptografía asimétrica.

La utilización de un sistema simétrico o asimétrico depende de la aplicación en que se vaya a utilizar. La criptografía asimétrica presenta dos ventajas principales: suprime el problema de transmisión segura de la clave y permite la firma electrónica. No reemplaza sin embargo los sistemas simétricos, ya que los tiempos de cálculo son evidentemente más cortos con los sistemas simétricos que con los asimétricos.

Firma Digital

La firma digital es una información cifrada que identifica al autor de un documento electrónico.

La firma digital permite garantizar algunos conceptos de seguridad (identidad o autenticidad, integridad y no repudio) que son importantes al utilizar documentos en formato digital. El modo de funcionamiento es similar al explicado para los algoritmos de encriptación, se utilizan también algoritmos de clave pública, aplicados en dos etapas. Las firmas digitales y certificados permiten comprobar la procedencia, autenticidad e integridad de los mensajes.

Ventajas ofrecidas por la firma Digital

Entre las ventajas ofrecidas por la firma digital, se pueden citar las siguientes:

  • Integridad de la información: la integridad del documento es una protección contra la modificación de los datos en forma intencional o accidental. El emisor protege el documento, incorporándole un valor control de integridad. El receptor deberá efectuar el mismo cálculo sobre el documento recibido y comparar el valor calculado con el enviado por el emisor.
  • Autenticidad del origen del mensaje: este aspecto de seguridad protege al receptor del documento, garantizándole que dicho mensaje ha sido generado por la parte identificada en el documento como emisor del mismo, no pudiendo alguna otra entidad suplantar a un usuario del sistema.
  • No repudio del origen: el no repudio del origen protege al receptor del documento de la negación del emisor de haberlo enviado. Este aspecto de seguridad es más fuerte que los anteriores ya que el emisor no puede negar bajo ninguna circunstancia que ha generado dicho mensaje, transformándose en un medio de prueba inequívoco respecto de la responsabilidad del usuario del sistema.

Uso de software de seguridad informática

El objetivo del software de seguridad informática es prevenir contra virus informáticos y entradas indeseadas al sistema.

Antivirus y antiespías

Se denomina malware (software malicioso) al software específicamente diseñado para llevar a cabo acciones no deseadas (como infiltrase o dañar un ordenador o sistema informático) sin el consentimiento explicito del usuario.

Existen muchos tipos de malware: virus, gusanos, troyanos, adware, keyloggers, dialers, rootkits, spyware, ransomware, rogueware, etc. que se diseñan con diferentes fines. Algunos tipos de malware se diseñan con ánimo de lucro, otros son destructivos y su misión es alterar programas y archivos, otros hacen que un equipo sea controlado y explotado con fines ilícitos (envío de correo electrónico, almacenar pornografía, ataques a otros equipos o almacenar datos de actividades ilegales), etc.

Dentro del software de seguridad informática, se pueden citar: los antivirus, los antiespías, etc.

Los antivirus son programas que ayudan a proteger el equipo contra virus y otras amenazas a la seguridad.

Los programas antiespía impiden que se instalen en nuestro ordenador determinados programas cuyo objetivo es alterar su correcto funcionamiento (impiden acceder a determinadas páginas Web, muestran continuamente ventanas emergentes en nuestro navegador, etc.) o recopilar información del usuario.

Los cortafuegos (firewalls)

Otro elemento a tener en cuenta son los cortafuegos (firewalls). Los cortafuegos (Firewalls) están diseñados para proteger una red interna contra los accesos no autorizados. Un cortafuegos es un gateway (puerta de enlace) con un bloqueo que sólo deja pasar los paquetes de información que pasan una o varias inspecciones de seguridad. Aunque los cortafuegos (firewalls) son las herramientas o elementos más utilizadas a la hora de establecer seguridad, estos aparatos sólo son utilizados por las grandes organizaciones.

Nota: Un gateway (puerta de enlace) es un dispositivo, con frecuencia un ordenador, que permite interconectar redes con protocolos y arquitecturas diferentes a todos los niveles de comunicación. Su propósito es traducir la información del protocolo utilizado en una red al protocolo usado en la red de destino. Es normalmente un equipo informático configurado para dotar a las máquinas de una red local (LAN) conectadas a él de un acceso hacia una red exterior.

Como ya hemos dicho, un cortafuegos es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet). Un cortafuegos puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:

  • Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de él.
  • Sólo el tráfico autorizado, definido por la política local de seguridad, es permitido.

Algunos cortafuegos aprovechan esta capacidad de que toda la información entrante y saliente debe pasar a través de ellos para proveer servicios de seguridad adicionales como la encriptación del tráfico de la red.

Como puede observarse, los cortafuegos, sólo sirven de defensa perimetral de las redes, no defienden de ataques o errores provenientes del interior, así como tampoco pueden ofrecer protección una vez que el intruso lo traspasa. Por eso, es conveniente, complementar el trabajo del cortafuegos con una defensa interna. El cortafuegos tampoco provee de herramientas contra la filtración de software o archivos infectados con virus, aunque es posible dotar, a la máquina donde se aloja el cortafuegos, de antivirus apropiados.

Nota: Aunque se ha hablado de los cortafuegos dentro del apartado del software de seguridad informática, hay que decir que, los cortafuegos pueden ser soluciones hardware o software.