Seguridad en Sistemas de Información – Parte II

BI Geek / Seguridad  / Seguridad en Sistemas de Información – Parte II

Seguridad en Sistemas de Información – Parte II

En el anterior artículo hicimos una breve introducción a las seguridades de los sistemas de información y comenzamos explicando las partes de dichos sistemas. Los mecanismos de comunicación de una red están basado en mensajes que se mandan cumpliendo un protocolo de seguridad llamado modelo OSI. En esta continuación del artículo, seguiremos introduciéndonos en la seguridad de los sistemas de información, explicando las amenazas y los mecanismos de seguridad que actualmente están más en auge.

Amenazas de la Seguridad

La base principal para poder crear un entorno de seguridad alrededor de nuestro sistema informático es conocer los diferentes tipos de amenazas a los que estamos expuestos. Actualmente, nos encontramos con cuatro posibles vulnerabilidades clave:

  • Interceptación
  • Interrupción
  • Modificación
  • Fabricación

En la imagen de abajo se puede ver de una manera más visual la interpretación de cada una de estas amenazas, y cuáles son las propiedades de la seguridad, citadas en la parte I del artículo, que no se estarían viendo afectadas en nuestro sistema.

Por ejemplo, si nuestro sistema sufre alguna interceptación de mensajes, esto quiere decir que la disponibilidad del sistema y la integridad de la información están siendo debidamente cumplidas.

 

2

 

Mecanismos de la Seguridad

Como se comentó en el anterior post del blog, hay que diferenciar entre seguridad del mensaje y seguridad del sistema. Para las seguridades del sistema se establecieron protocolos y propiedades que fueron explicados con anterioridad y que deben ser cumplidos por los sistemas pero, para la seguridad de los mensajes, se pueden establecer diferentes mecanismos que conviene repasar. Entre los más destacados tenemos la criptografía, una técnica que hace uso de una clave y un algoritmo para ocultar un mensaje. Una descripción más sofisticada sería:

“Arte y técnica de escribir con procedimientos o claves secretas o de un modo enigmático, de tal forma que lo escrito solamente sea inteligible para quien sepa descifrarlo.“

Existen diferentes tipos de criptografía. Dentro de los métodos criptográficos modernos cabe destacar la criptografía simétrica, asimétrica e híbrida, unificando las dos anteriores.

captura-de-pantalla-2017-01-11-a-las-22-08-45

– Cifrado Simétrico

Comencemos con la explicación del cifrado simétrico, donde sólo es necesario la utilización de una llave para cifrar y descifrar. Las ventajas de este tipo de cifrado son la simplicidad, lo que hace que sea un método sencillo de usar, y la velocidad, ya que utiliza menos recursos informáticos que otros métodos de cifrado. La gran desventaja es la seguridad aplicada a este tipo de cifrado, ya que el envío de la clave debe realizarse por un método seguro, de lo contrario, estás ayudando a que cualquier intruso sea capaz de hacerse con la clave de cifrado y descifrado.

Entre los algoritmos de cifrado simétricos podemos destacar DES, 3DES, AES y RC4.

Pongamos un ejemplo sobre un artículo archiconocido que utiliza este tipo de criptografía, la máquina Enigma, con la que se supone se ganó la Segunda Guerra Mundial. Ésta usaba un método de criptografía simétrica con un algoritmo que dependía de una clave.

 

– Cifrado Asimétrico

El cifrado asimétrico se basa en el empleo de dos llaves, una llave pública para cifrar la información y una llave privada para descifrar la información. Tal y como muestra la imagen de encima del texto, la clave pública y privada deben estar vinculadas. Se podría llegar a pensar que a través de la clave pública se puede deducir la clave privada, pero es totalmente incorrecto, ya que usa un algoritmo generado a partir de una contraseña, aspecto que hace imposible su deducción.

Una de las aplicaciones de este tipo de sistemas es la firma de documentos mediante funciones hash, verificando que el emisor es quien dice ser, firmando los documentos con su clave privada y corroborando la identidad con la clave pública. Estas funciones, también llamadas funciones resumen, son algoritmos que crean una salida alfanumérica de longitud fija, representando un resumen de la información inicial. Estas funciones, como se ha comentado, se utilizan para firmas de documentos pero también pueden servir para hacer ilegible una contraseña o para comprobar la correcta transmisión de un archivo. El problema de algunas funciones de este tipo son las colisiones, estas se basan en la entrada de dos diferentes fuentes devolviendo una misma salida para ambas. Para solucionar este error lo que se debe realizar es duplicar la seguridad con dos funciones hash diferentes. Inicialmente se aplica una y, a continuación, al mismo texto inicial le aplicas otra función hash, solucionando así la igualdad de ambas salidas, ya que sólo hay una solución para que de ambas funciones sea igual la salida.

 

– Cifrado híbrido

Al contrario que en el cifrado simétrico, una de las desventajas del cifrado asimétrico es la cantidad de recursos que necesita, por ello se ha creado el método criptográfico híbrido, cuya finalidad es solventar las desventajas de ambos tipos de cifrado y escoger sólo las ventajas de cada método. Las desventajas de ambos métodos son la inseguridad (simétrico) y la velocidad (asimétrico). Este tipo de cifrado es mejor explicarlo por pasos:

  1. El receptor genera una clave privada y una clave pública.
  2. La clave pública se envía al emisor.
  3. El emisor utiliza un cifrado simétrico con una clave simple para encriptar la información.
  4. La clave pública es utilizada por el emisor para cifrar la clave simple utilizada en el punto 3.
  5. El emisor envía la información cifrada de forma simétrica y la clave simple cifrada de forma asimétrica, la cual sólo puede descrifrar el receptor con su clave privada.
  6. El receptor desencripta la clave simple con su clave privada.
  7. El receptor desencripta la información con la clave simple generada en el punto 6.

Tanto PGP (Pretty Good Privacy) como GnuPG (GNU Privacy Guard) son herramientas de cifrado y, en el caso de GnuPG, también de firmas digitales que usan sistemas de cifrado híbridos.

 

Por último, me gustaría mencionar otro método de criptografía llamado cifrado homomórfico, el cual está de auge para la seguridad de los sistemas cloud. Debido a que la seguridad siempre ha sido un freno para este tipo de sistemas, el cifrado homomórfico es una técnica que nos da la posibilidad de procesar sobre datos cifrados y devolver dicho resultado cifrado de la misma manera. La base de este método es el poder realizar operaciones sobre texto cifrado, pero éstas deben ser sencillas tales como sumas, multiplicaciones, etc.. garantizando así la confidencialidad de los mensajes o datos. Un ejemplo de cifrado homomórfico es el sistema de Paillier. Para más información véase https://es.wikipedia.org/wiki/Cifrado_homom%C3%B3rfico#Paillier.

 

En la tercera entrega de seguridad en sistemas de información veremos donde reside la posibilidad de recabar información sobre seguridad dentro de nuestros sistemas y las medidas que podemos tomar para obtener dicha información.