39 _Fase2Diseño_Construcción_criptografia unad

Vista previa del material en texto

1 
 Resumen—Aquí se presenta la actividad de 
colaborativa de la Unidad 1 – Introducción a la 
Criptografía, para desarrollar las actividades según la 
guía para la Fase 2 diseño y construcción. Donde se 
realizan ejercicios haciendo uso de la herramienta 
Openssl que implementa diferentes rutinas 
criptográficas, desarrollando actividades enfocadas a 
la firma digital, contraseñas inseguras y live http 
headers, de tal manera que se unifiquen en este 
articulo la actividad colaborativa con aportes de los 
participantes del grupo. 
 
Palabras Clave—Criptografía, código, contraseñas 
inseguras, firma digital, hash, MD5, salt, script, 
 
Abstract- Here collaborative activity Unit 1 presents - 
Introduction to Cryptography to develop activities 
according to the guidance for Phase 2 design and 
construction. Where exercises using OpenSSL 
cryptographic tool that implements different routines, 
activities focused on developing digital signature, weak 
passwords and live http headers, so that in this article 
are unified collaborative activity with input from group 
participants are made . 
 
Key Words-Cryptography, code, weak passwords, 
digital signature, hash, MD5, salt, script. 
 
I. INTRODUCCIÓN 
 
plicar los conocimientos adquiridos mediante la 
investigación relacionando unificadamente los 
aportes de los participantes del grupo para la actividad 
colaborativa denominada Fase 2 – diseño y 
construcción, de acuerdo a la práctica de firma digital, 
contraseñas seguras y live http headers, siendo estos 
 
 
 
parte de la temática general del curso de Criptografía,en 
la unidad 1 Introducción a la criptografía, dando 
respuesta a los interrogantes propuestos en el desarrollo 
de las actividades.De esta manera se adquieren 
conceptos útiles de cada aporte, y constituyen un 
insumo importante generador de conocimiento para el 
equipo de trabajo. 
 
La criptografía responde a la necesidad de codificar 
mensajes que sólo pueda descifrar el destinatario y se ha 
aplicado tanto a defensa, como a secretos industriales y, 
en los últimos años, sobre todo, al comercio electrónico. 
Esto es así porque actualmente la seguridad de los 
sistemas informáticos se ve debilitada por el fuerte 
crecimiento de las redes y cuando se trata este tema hay 
que tener en cuenta un aspecto tan importante como la 
privacidad e integridad de los datos. 
 
II. PRACTICA FIRMAS DIGITALES 
 
Las firmas Digitales son bastante útiles en estos 
tiempos, pero se debe comprender su funcionamiento 
para evitar futuros problemas de seguridad en dicho 
proceso. A continuación se ejecutará un ejercicio 
haciendo uso de la herramienta Openssl que implementa 
diferentes rutinas criptográficas, deben instalarla en el 
entorno de trabajo que deberá virtualizar, se recomienda 
virtualizar la última versión de Debían, así que los pasos 
a seguir son los siguientes: 
Descargar archivos: 
➢ Archivo_1y.ps 
➢ Archivo_2z.ps 
 
• Ejecutar el siguiente comando en el terminal de 
Debían: “openssl genrsa” para generar una pareja de 
claves: 
Sánchez Ávila Gilbert Jair 
Escuela de Ciencias Básicas, Tecnología e Ingeniería 
 Universidad Nacional Abierta y a Distancia – Grupo 233011_7 
 gilbertjair21@yahoo.es, 
(Septiembre de 2015) 
Actividad No. 1: 
Unidad 1 - Introducción a la Criptografía, 
Fase 2 - Diseño y Construcción 
A 
mailto:gilbertjair21@yahoo.es
 2 
 
➢ Archivo de salida: rsa_2048.key 
➢ Tamaño de la pareja de claves en bits: 2048 
➢ Exponente público: “65537” 
➢ Cifrado de la clave privada: AES 
➢ con una clave de 128 bits 
➢ Contraseña: cripto2015 
➢ Comando: openssl genrsa -aes192 -f4 -passout 
pass:cripto2015 -out rsa_2048.key 2048 
 
 
Fig. 1. Generación de Clave privada 
 
Fuente: El Autor 
 
 
El procedimiento genera el siguiente archivo: 
rsa_2048.key. 
 
Fig. 2. Archivo de clave privada 
 
Fuente: Autor 
 
 
• El siguiente paso es extraer la clave, se debe 
ejecutar el siguiente comando en el terminal de 
Debían: “openssl rsa”: 
 
Clave pública:rsa_2048_pub.key 
 
➢ Archivo de entrada: rsa_2048.key 
➢ Archivo de salida: rsa_2048_pub.key 
➢ Comando: openssl rsa -in rsa_2048.key -passin 
pass:cripto2015 -pubout -out 
rsa_2048_pub.key 
 
Fig. 3 Generación de la clave publica 
 
Fuente: El Autor 
 
El procedimiento genera el siguiente archivo: 
rsa_2048_pub.key 
 
Fig.4 Archivo clave publica 
 
Fuente: Autor 
 3 
• En el entorno AVA se subirá un comprimido que 
contendrá los siguientes archivos: 
➢ Archivo_1y.ps cd 
➢ Archivo_2z.ps cr 
 
Fig. 5. Archivos 1y y 2z 
 
Fuente: Autor 
 
• Deberán firmar con el comando “openssl dgst” y la 
clave “rsa_2048.key” el documento 
“archivo_2z.ps”. Se hará uso de la función hash 
(resumen) criptográfica MD5 para calcular la firma. 
 
➢ Archivo que se va a proceder a firmar: 
archivo_2z.ps 
➢ Clave privada: rsa_2048.key 
➢ Contraseña: cripto2015 
➢ Función hash (resumen): md5 
➢ Archivo de salida (firma): firma_archivo_2z.txt 
➢ Comando a ejecutar en el terminal de Debían 
para ejecutar el proceso antes mencionado: 
openssl dgst -sign rsa_2048.key -md5 -passin 
pass:cripto2015 -out firma_archivo_2z.txt 
archivo_2z.ps 
 
Fig. 6. Generación de la firma digital 
 
Fuente: Autor 
 
Como resultado se genera el archivo de la firma. 
 
Fig.7. Firma digital 
 
Fuente: Autor 
 
• Deberán verificar con el comando “openssl dgst” y 
la clave pública “rsa_2048_pub.key” la firma digital 
del archivo generado en el proceso anterior 
“firma_archivo_2z.txt” pero haciendo uso del 
archivo “archivo_1y.ps” como documento firmado. 
 
➢ Archivo que contiene la firma digital: 
firma_archivo_2z.txt 
➢ Archivo firmado: archivo_2z.ps 
➢ Clave pública: rsa_2048_pub.key 
➢ Función hash (resumen): md5 
➢ Comando: openssl dgst -verify 
rsa_2048_pub.key -md5 -signature 
firma_archivo_2z.txt archivo_1y.ps 
 
Fig. 8. Archivo de la firma digital 
 
Fuente: Autor 
 4 
 
Fig. 9. Verificación de firma digital 
 
Fuente: Autor 
 
 
Respuesta a preguntas: 
 
✓ ¿Qué resultado obtuvieron en este proceso de 
firma digital, esto sí debería suceder o ser 
posible? 
 
Se generaron un par de claves una privada y una pública 
para poder firmar el documento. 
 
 
✓ Qué es una función hash MD5? 
 
La función hashMD5es un algoritmo que consiguen 
crear a partir de una entrada ya sea un texto, una 
contraseña o un archivo una salida alfanumérica de 
longitud de 128bits (32 dígitoshexadecimales) que 
representa un resumen de toda la información que se le 
ha dado. 
 
El algoritmo MD5 no sirve para cifrar un mensaje. La 
información original no se puede recuperar ya que hay 
pérdida de datos. MD5 es usado para firmas digitales.[1] 
 
✓ ¿Por qué obtuvieron dicho resultado? ¿Cuál es 
la debilidad en el sistema de firma digital 
OpenSSL? 
 
Se generó un archivo con la firma digital 
(firma_archivo_2z.txt) para el archivoarchivo_2z.ps 
utilizando el hash MD5, pero al verificar la firma digital 
(firma_archivo_2z.txt) se utilizó otro archivo 
archivo_1y.ps dando como resulto OK, podemos 
verificar la función hash MD5 de los dos archivos por 
medio del siguiente comando md5sum archivo_1y.ps y 
md5sum archivo_2z.ps podemos observar que son los 
mismos. 
 
Fig. 10. Comprobación del hash MD5 
 
Fuente: Autor 
 
 
Este es una vulnerabilidad llamada ataque de colisión 
hash “se produce al aplicar a dos archivos distintos una 
función hash y que éstos arrojen la misma salida”. 
 
III. SEGURIDAD DE CONTRASEÑAS 
 
 
En este punto nos enfocaremos a la seguridad de las 
contraseñas, para ello es importante que tengan 
conceptos básicos sobre temas como: ataque 
diccionario, programar script, John The Ripper, con 
estos conceptos podrán realizar este punto que se tratará 
de atacar contraseñas. 
 
Ataque diccionario:Es un tipo de ataque informático 
relacionado al hacking que utiliza un diccionario de 
palabras para llevar a cabo su cometido. Porejemplo, 
para ingresar a un sistema con contraseña, se puede 
utilizar un diccionario con palabras frecuentes y un 
programa automáticamente irá probando una a una para 
descifrarla. 
 
También suele usarse en el envío de spam, probando 
direcciones de correo electrónico usando un diccionario. 
Contrasta con el ataque por fuerza bruta, en donde las 
claves son buscadas sistemáticamente. 
 
En el ataque por diccionario, sólo se prueban las 
posibilidades de una lista de palabras. Este tipo de 
ataque tiende a funcionar debido a que muchas personas 
 5 
emplean claves sencillas, incluso palabras del 
diccionario, tal vez apenas combinadas con uno o dos 
números. 
 
Algunas herramientas empleadas en el ataque por 
diccionario (aunque algunas no tienen el objetivo de ser 
ilícitas) son Brutus, Cain, Crack by Alec Muffett, John 
the Ripper, L0phtCrack, Metasploit Project, THC Hydra 
y Medusa. 
 
Protección frente a un ataque por diccionario:La 
protección más usual para evitar un ataque por 
diccionario, consiste en establecer un límite a la 
cantidad de intentos para ingresar a una cuenta de 
usuario. Cuando ese límite se alcanza, ya no será posible 
intentar acceder al sistema, teniendo que esperar un 
determinado tiempo o, incluso, debiéndose contactar 
con el administrador. 
 
También elegir una buena contraseña ayuda a evitar este 
tipo de ataques (u otros). Lo ideal es que las contraseñas 
tengan más de 7 caracteres, que empleen mayúsculas y 
minúsculas, y usen letras y números.[2] 
 
John the Ripper: Es una herramienta de crackeo de 
contraseñas escrita en C y muy utilizada por los 
analistas de seguridad para comprobar la robustez de 
una clave frente a ataques de fuerza bruta. 
 
En este artículo vamos a ver cómo puede utilizar un 
administrador de sistemas John the Ripper para 
comprobar la seguridad de la clave del equipo. De esta 
forma comprobaremos si somos vulnerables a un ataque 
de fuerza bruta o diccionario por parte de un pirata 
informático que busca obtener acceso remoto (o local) 
al mismo.[3] 
 
Suponiendo que contamos con el siguiente alfabeto 
 
Alfabeto 1: a b c d e f g h i j k l m n o p q r s t u v w x y 
z 
Alfabeto 2: a b c d e f g h i j k l m n o p q r s t u v w x y 
z A B C D E F G H I J K L M N O P Q R S T U V W X 
Y Z 
Alfabeto 3: a b c d e f g h i j k l m n o p q r s t u v w x y 
z A B C D E F G H I J K L M N O P Q R S T U V W X 
Y Z : . ; , _ + <> ? = ( ) / % # 
Alfabeto 4: a b c d e f g h i j k l m n o p q r s t u v w x y 
z A B C D E F G H I J K L M N O P Q R S T U V W X 
Y Z : . ; , _ + <> ? = ( ) / % # 0 1 2 3 4 5 6 7 8 9 
 
Utilizaremos un script que se relacionará en el aula 
virtual. Este script tiene una característica que permite 
realizar un ataque de fuerza bruta para encontrar 
contraseñas de tres caracteres sobre el Alfabeto. 
 
Fig. 11. Script ataque fuerza bruta 
 
Fuente: 
https://www.dropbox.com/sh/2844smnjju7g725/AABOKtGz7
fRpP2yUR1bfuxeha?dl=0 
 
Programación de scripts: Los scripts (guiones) son 
meros ficheros de texto ASCII que presentan una serie 
de órdenes y estructuras organizadassecuencialmente. 
Así pues el script se ejecuta de forma lineal-secuencial 
orden tras orden.Los lenguajes scripts son lenguajes 
"interpretados". Lo que quiere decir que sus órdenes 
secuenciales son interpretadas porun sistema o 
programa padre.Descargamos el script dentro de 
máquina virtual en OS Debían 8.0, a través del 
navegador 
 
Fig. 12 Script en Debían 8.0 
 
Fuente: Autor 
 
Después de descargar el script lo movemos de la carpeta 
Descarga a la carpeta Escritorio. 
 
✓ Utilizar el script para hallar la contraseña del 
Alfabeto 1, que equivale una contraseña de tres 
caracteres. Recuerden completar el campo de 
 6 
tiempo, allí deben especificar el tiempo real 
utilizado para encontrar la contraseña. 
1. El programa tiene como parámetro de entrada o Input 
el "Salt" y el “hash” de la contraseña, estos datos están 
descritos en la tabla que visualizarán más adelante. A 
continuación se dará un ejemplo de cómo ejecutar el 
script en Debían 8.0, recuerden que esto lo deben 
ejecutar desde el terminal de Debían y tener permisos de 
súper root, el script también deberá tener permisos para 
poder ser ejecutado: 
 
✓ Descargar Script: 
✓ https://www.dropbox.com/sh/2844smnjju7g725
/AABOKtGz7fRpP2yUR1bfuxeha?dl=0 
 
Por ejemplo: time ./script ok ok961FcL7R4oU 
Donde ok es el salt y ok961FcL7R4oU es el hash de la 
contraseña, el resultado Dará como salida: tst, qué hace 
referencia a la contraseña encontrada. 
 
PARA TENER EN CUENTA: 
Este "script" debe ser ejecutado (deben proporcionar permisos 
para ejecutarlo) en una consola de comandos de Debían 8.0 y 
utilizar "OpenSSL". En la plataforma Linux esta herramienta 
ya está instalada. 
 
Fig. 12. Script en el Escritorio 
 
Fuente: Autor 
 
Luego se realizar el cambio de permisos al script, por la 
opción de propiedades, clic derecho sobre el archivo. 
 
 
Fig. 13. Cambio de permisos Script 
 
Fuente: Autor 
 
Seleccionamos las propiedades para el script. 
 
Fig. 14. Seleccionar permisos script 
 
 
Fuente: Autor 
 
 
Luego ejecutamos la Terminal para ingresar como 
usuario root. 
 
 
Fig. 15. Ingresar con usuario root 
 
Fuente: Autor 
 
 
https://www.dropbox.com/sh/2844smnjju7g725/AABOKtGz7fRpP2yUR1bfuxeha?dl=0
https://www.dropbox.com/sh/2844smnjju7g725/AABOKtGz7fRpP2yUR1bfuxeha?dl=0
 7 
Enseguida ingresamos al directorio donde se encuentra 
el script. 
 
Fig. 16. Ingresar al directorio del script 
 
Fuente: Autor 
 
 
Ataque de fuerza bruta utilizando un script 
 
Fig. 17. Ejecutar el script 
 
Fuente: Autor 
 
Asignamos privilegios plenos 
 
Fig. 18. Asignar permisos ejecución 
 
Fuente: Autor 
 
Posteriormente se ejecuta el script para el primer 
alfabeto. 
 
Fig. 19. Primera contraseña 
 
Fuente: Autor 
 
✓ Modificar el código del script para encontrar la 
contraseña del "Alfabeto 2" equivalente a tres 
caracteres en longitud. Deben capturar pantalla del 
Script modificado y del resultado obtenido, 
recuerden tener en cuenta el tiempo para 
completar la casilla de tiempo en la tabla. 
 
Para continuar con lo requerido en la actividad, se 
procede a editar el script cambiando el número del 
alfabeto a trabajar space1 y lo cambiamos por space2. 
 
Fig. 20. Editar script 
 
Fuente: Autor 
 
Realizando los cambios en el script se obtiene la 
segunda contraseña. 
 
Fig. 21. Segunda contraseña 
 8 
 
Fuente: Autor 
 
✓ Modificar el código del script para lograr 
completar el resto de contraseñas de la tabla.La 
tercera clave no se obtuvo con el script en 
mención, y fue necesario aplicar otras 
herramientas. 
Fig. 22. Tercera contraseña 
 
Fuente: Autor 
✓ Buscar un método, si así lo desea, para poder 
encontrar todas las contraseñas, en caso de no 
lograrlo con el script.Para dar continuidad se 
utilizara la herramienta John The Ripper, 
procedemos a instalarlo. 
 
Fig. 23. Instalación John de Ripper 
 
Fuente: Autor 
 
Para la obtención de la sexta contraseña, es necesario 
crear un texto con el hash llamando hash6. 
 
Fig. 24. Hash6 
 
Fuente: Autor 
 
Procedemos a realizar el ataque. 
 
Fig. 25 Ataque 
 
Fuente: Autor 
A continuación se muestra una tabla que contiene 
algunos datos como el número de caracteres que 
contiene la contraseña ya cifrada, también se cuenta con 
los hash de cada contraseña, para el ejercicio deberán 
hacer uso del hash y el salt de la tabla. 
 
Tabla 1. Contraseñas cifradas 
 
Alfabeto 
Número 
caracteres 
Salt Hash contraseña Contraseña Tiempo 
Alfabeto 
1 
3 ss. zzxro5xjinmvM yep 57 seg 
Alfabeto 
2 
3 OO OOxtB6h5YruaA YEP 7 min 
45seg 
Alfabeto 
3 
3 U. U./Se8tPqytD2 
Alfabeto 
4 
3 4Y 4Yy77AHdCPNqY 
Alfabeto 
1 
5 bb bbzNErQvUSZOI. marta 
Alfabeto 
1 
6 uu uuFPJnWAcNys2 madrid 0.2 
seg 
 
Fuente: Autor y la guía de actividadesdel curso 
 
 
 9 
✓ ¿Qué es un Salt? ¿Para qué se usa? 
Una sal criptográfica es un dato que se utiliza durante 
el proceso de hash para eliminar la posibilidad de que 
el resultado pueda buscarse a partir de una lista de 
pares precalculados de hash y sus entradas originales, 
conocidas como tablas rainbow. 
Es decir, una sal es un pequeño dato añadido que hace 
que los hash sean significantemente más difíciles de 
crackear. Existe un gran número de servicios online 
que ofrecen grandes listas de códigos hash 
precalculados, junto con sus datos de entrada 
originales. El uso de una sal hace muy difícil o 
imposible encontrar el hash resultante en cualquiera de 
estas listas. 
¿Por qué debo usar hash en las contraseñas de los 
usuarios de mi aplicación? 
El hash de contraseñas es una de las consideraciones 
de seguridad más elementales que se deben llevar a la 
práctica al diseñar una aplicación que acepte 
contraseñas de los usuarios. Sin hashing, cualquier 
contraseña que se almacene en la base de datos de la 
aplicación podrá ser robada si la base de datos se ve 
comprometida, con lo que inmediatamente no sólo 
estaría comprometida la aplicación, sino también las 
cuentas de otros servicios de nuestros usuarios, 
siempre y cuando no utilicen contraseñas distintas.Si 
aplicamos un algoritmo hash a las contraseñas antes de 
almacenarlas en la base de datos, dificultamos al 
atacante el determinar la contraseña original, pese a 
que en un futuro podrá comparar el hash resultante con 
la contraseña original.[4] 
IV. LIVE HTTP HEADERS 
 
Pruebas con live http headers para hackear 
contraseñas de facebook o correos: Ya hemos 
instalado Live Http Headers en la Fase 1 del curso, 
ahora para hackear la contraseña de alguna victima, lo 
primero que se tiene que hacer antes de que la victima 
abra su facebook o correos es abrir el live http headers y 
dejarlo minimizado, en este imagen vemos que no ha 
capturado ningún código de los encabezados. 
 
Fig. 26. Abrir el live http headers 
 
Fuente: Autor 
 
Vamos a probar esto colocando un correo y password en 
el facebook, por ejemplo pruebacripto@hotmail.comy 
un password de prueba (1234), mientras vamos 
colocando esos datos vemos que el componente de live 
headers sigue capturando datos (ver siguiente imagen): 
 
Fig. 27. Contraseña de prueba 
 
Fuente: Autor 
En este caso la contraseña es errónea, pero el 
componente live http headers sigue capturando los 
datos enviados a la página, ver siguiente imagen: 
 
Fig. 28. Capturando datos Live http headers 
mailto:pruebacripto@hotmail.com
 10 
 
Fuente: Autor 
 
Ahora suponemos que una víctima ha ingresado a su 
cuenta de facebook, esta vez con la contraseña correcta 
y mire su facebook normalmente, en este caso 
mostramos en esta imagen que el componente live http 
headers sigue trabajando, aunque en la vida real para 
que el ataque de efecto tenemos que dejar el 
componente minimizado y esperar que la víctima se 
vaya del puesto de trabajo para poder tomar los datos 
(más adelante daremos a conocerel ejecicio). 
 
Fig. 29. Ingreso al Facebook 
Fuente: Autor 
 
Ahora suponemos que la víctima ingresa a su cuenta de 
correo personal, y el componente de live http headers 
también captura los datos que toma el formulario de 
inicio de sesión (correo y password) para acceder a 
nuestra cuenta de correo electrónico, (aquí vemos a live 
http headers actuando) en la vida real obviamente 
tenemos que dejar esto minimizado para que la víctima 
no se dé cuenta y tener éxito en el ataque: 
 
Fig. 30. Ingreso a cuenta de correo electonico 
 
Fuente: Autor 
 
Ahora suponemos que la víctima se levantó del puesto 
de trabajo por alguna razón, en ese momento el atacante 
abre la aplicación y donde dice guardar todo (recuadro 
en rojo) le damos un nombre al archivo y una ubicación 
(incluso esa información se guardar como un 
documento .txt o bloc de notas y se puede guardar en 
una memoria USB) una vez hecho esto el atacante se 
puede ir con la información guardada y analizar para un 
ataque o acceso a las cuentas de facebook o correos de 
la víctima. 
 
 
 
 
 
 
 
 
 
 
 
 
 11 
 
Fig. 31. Capturando información 
 
Fuente: Autor 
 
 
Análisis de la información encontrada 
Una vez el atacante se ha ido para su casa con el 
documento guardado en el que se tiene los encabezados 
de las páginas web que ha accedido la victima a lo largo 
del día abre ese bloc de notas y en la opción buscar 
colocamos la palabra pass: 
 
Fig. 32. Verificando contraseña de la victima 
 
Fuente: Autor 
 
Podemos ver que nos aparece el password del 
usuario en facebook pruebacripto@hotmail.com y la 
clave es 1234 (ver bien la imagen donde está el color 
verde) 
 
Seguimos dándole buscar la palabra pass a lo largo del 
documento y vemos que se recoge los encabezados de 
facebook (ver recuadro verde de la imagen) si vemos el 
recuadro en rojo de esta imagen vemos el correo 
asociado a esa cuenta de facebook y en pass la clave de 
esa cuenta de facebook 
 
 
Fig. 33.Identificando contraseñas live http headers 
 
Fuente: Autor 
 
Aquí podemos ver ahora si en detalle lo anterior, ver 
esta imagen: 
Fig. 34. Contraseña de la supuesta víctima de ataque 
 
Fuente: Email:coronelturman@hotmail.com 
Password: gjsa8031 
 
 
Si seguimos dándole pass ahora vemos que busca la 
información no solo de facebook o de otras redes 
sociales sino también de cuentas de correo como la que 
probamos anteriormente: 
 
 
 
 
 
 
 
 
 
 
 
 
 12 
Fig. 35. Pass para identificar más contraseñas 
 
Fuente: Autor 
 
Aquí vemos los datos de la cuenta de correo usada para 
este ejercicio en detalle: 
 
Fig. 36. Datos cuenta de correo electrónico 
 
Fuente: Cuenta de correo gilbertuts@hotmail.com 
Password: jair8031 
 
 
Ver el vídeo de cómo obtener información por medio de 
un complemento, el vídeo lo pueden encontrar en el 
siguiente link: una vez lo visualicen responder a las 
siguientes preguntas: 
Respuesta a las preguntas: 
✓ ¿Por qué se presenta esta falla de seguridad? 
Live http headers su función es interceptar las cabeceras 
que manda nuestro navegador a un servidor, esto se 
puede decir que nosotros cuando por ejemplo 
escribimos un usuario y clave en un formulario de una 
página web estos datos se envían hacia un servidor 
especifico (servidor de Hotmail, servidor de facebook 
etc...)En ese momento hacemos la función de cliente, 
los servidores procesan nuestra solicitud y si aceptada 
pues ejecutan lo que los pedimos en este caso sería 
dejarnos entrar a nuestro correo o facebook etc... live 
http headers funciona como una especie de sniffer 
interceptando todo el tráfico que pasa por el puerto 
80,además de eso live http headers no solo analiza las 
cabeceras sino que nos puede servir para modificarlas y 
ejecutar diversos ataques de inyección de códigos (XSS 
por ejemplo). 
✓ ¿Que se debería Encriptar para que no suceda 
este error? 
Se debe Encriptar los datos de envió de los formularios 
de los aplicativos web cuando esto van hacia el servidor 
buscando solución a las solicitudes de la página en 
cuestión que hace la función cliente, Encriptar las 
peticiones GET o POST 
✓ ¿Cuál sería la solución para solventar este error? 
Una de las soluciones seria que los programadores de 
estas aplicaciones web revisaran los códigos fuentes, se 
pueden guiar por la metodología de OWASP para estos 
análisis y revisiones. 
También que el administrador de red este monitoreando 
el flujo de datos constantemente para ver si hay 
irregularidades, también podríamos usar un WAF 
(firewall de aplicaciones web) el cual filtra los envíos de 
mensajes por HTTP por medio de reglas las cuales 
bloquean ataques como XSS e inyecciones SQL y usar 
VPN para que los equipos se conecten entre sí como si 
fuera una red local. 
También es recomendablecomo usuarios revisar 
nuestro equipo para ver si hay programas extraños 
instalados si es así desinstalarlos o eliminarlos, 
actualizar el antivirus, no bajar programas desconocidos 
ni abrir correos desconocidos, también podemos una vez 
nos levantemos de un puesto de trabajo dejar el equipo 
con sesión de usuario con su respectiva clave o que el 
protector de pantalla se active al poco tiempo 
inactividad y al protector de pantalla colocarle una clave 
mientras llegamos al puesto de trabajo, otra 
recomendación seria cambiar la contraseña seguido de 
nuestras cuentas de correo y redes sociales. 
V. CONCLUSIONES 
 
La seguridad informática es algo primordial para un 
usuario, y en la actualidad existen diferentes formas 
para poder proteger la información del usuario, entre 
ellas la criptografía. 
 
La criptografía es una de los mejores métodos para la 
protección de nuestra información, ya que en base a 
caracteres o sustitución de letras se logra una mayor 
protección para documentos o para mensajes de manera 
que sean de difícil descifrado para los usuarios que 
tengan fines malicioso del uso de nuestra información. 
 
 13 
En este caso vemos que usar el algoritmo MD5 en 
openssl el cual vemos que tiene falencias en seguridad 
lo cual no es recomendable para almacenar contraseñas 
se aconseja usar SHA512 ya es mas imperceptible con 
respecto a MD5. 
El Salt es útil para almacenar el hash de la contraseña ya 
que introduce elementos que impiden que un atacante 
use contraseñas que ya están compilados en hash de 
contraseñas anteriores. Y es muy usado en aplicaciones 
como seguridad en esquemas de contraseñas 
protegiendo estos datos. 
También como usuarios normales tener presente que a 
nuestras contraseñas de correo y cuentas sociales no 
hacerlas de frases o palabras conocidas sino usar 
combinaciones alfanuméricas ,mayúsculas y minúsculas 
para que dificulte a un potencial atacante incluso cuando 
use programas para hacer ataques de fuerza bruta (se 
prueban todas las combinaciones posibles al descifrar 
una contraseña ) o diccionario (usar palabras comunes 
por los usuarios) en programas como Hydra o Jhon the 
Reaper y estar cambiando las contraseñas 
periódicamente o cuando se tenga sospecha de que nos 
han accedido a nuestras cuentas de redes sociales y 
correo, con esto ayudamos a proteger nuestros datos de 
un potencial atacante. 
VI. REFERENCIAS 
 
 
[1] Grupo ADSL Zone, «Criptografía : Algoritmos de 
autenticación (hash),» MD5, 2015. [En línea]. Available: 
http://www.redeszone.net/2010/11/09/criptografia-
algoritmos-de-autenticacion-hash/. [Último acceso: 19 
Septiembre 2015]. 
[2] L. Alegsa, «Definición de ataque por diccionario 
(hacking),» ALEGSA.com.ar, 16 Noviembre 2010. [En 
línea]. Available: 
http://www.alegsa.com.ar/Dic/ataque%20por%20diccion
ario.php. [Último acceso: 19 Septiembre 2015]. 
[3] Grupo ADSL Zone, «John The Ripper: Crackea 
contraseñas de usuarios en Linux,» Redes @ Zona, 
2014. [En línea]. Available: 
http://www.redeszone.net/seguridad-informatica/john-
the-ripper-crackear-contrasenas/. [Último acceso: 17 
Septiembre 2015]. 
[4] The PHP Group, «Hash de contraseñas seguro ¶,» PHP, 
2014. [En línea]. Available: 
http://php.net/manual/es/faq.passwords.php. [Último 
acceso: 22 Septiembre 2015]. 
[5] CCM.NET, «Criptografía,» Julio 2015. [En línea]. 
Available: http://es.ccm.net/contents/129-criptografia. 
[Último acceso: Agosto 2015]. 
[6] J. A. P. Cadavid, «La criptografía y la protección a la 
información digital,» 2010. [En línea]. Available: 
http://dialnet.unirioja.es/servlet/articulo?codigo=364762
3. [Último acceso: Agosto 2015]. 
[7] Hispasec, «Cifrado GSM. ¿Desarrollo cerrado o 
desarrollo intencionado?,» Febrero 2000. [En línea]. 
Available: https://www.jcea.es/artic/hispasec33.htm. 
[Último acceso: Agosto 2015]. 
[8] Tu Web Venezuela, «Qué es y cómo protegerse de una 
ataque diccionario,» 2011. [En línea]. Available: 
http://www.tuwebvenezuela.com/vernoticias.php?Id=81. 
[Último acceso: 19 Septiembre 2015]. 
[9] L. Sanchez, «Instalar las Guest Additions en Debian,» 
03 Marzo 2014. [En línea]. Available: 
https://www.youtube.com/watch?v=6S8FQGGgvZE . 
[Último acceso: Septiembre 2015]. 
[10] G. Maretti, «Compartir carpetas Windows a Ubuntu 
(VirtualBox) [Win8-Ubuntu 12.04],» 19 Marzo 2014. 
[En línea]. Available: 
https://www.youtube.com/watch?v=Le7lD0RxSI0. 
[Último acceso: Septiembre 2015]. 
[11] U. d. México, «El último clavo al ataúd del hash MD5: 
Generalizan colisiones criptográficas,» Coordinación de 
Seguridad de la Información, 05 Noviembre 2014. [En 
línea]. Available: 
http://www.seguridad.unam.mx/noticia/?noti=2012. 
[Último acceso: Septiembre 2015]. 
[12] El Blog de Loretahur , «Instalando John The Ripper,» 
Lorena Fernández, 27 Julio 2007. [En línea]. Available: 
http://blog.loretahur.net/2007/07/instalando-john-
ripper.html. [Último acceso: Septiembre 2015]. 
[13] Taringa, «HTTP al Descubierto,» 2014. [En línea]. 
Available: 
http://www.taringa.net/posts/info/13845034/HTTP-al-
Descubierto.html. [Último acceso: Septiembre 2015]. 
[14] SOPHOS, «Ataque por fuerza bruta,» 2013. [En línea]. 
Available: https://www.sophos.com/es-es/threat-
center/threat-analyses/threatsaurus/a-to-z-of-
threats/b/brute-force-attack.aspx. [Último acceso: 
Septiembre 2015]. 
[15] J. H. Rivera, «Programación Shell bajo Linux,» [En 
línea]. Available: 
https://aurea.es/assets/scriptsenlinux.pdf. [Último 
acceso: Septiembre 2015]. 
 
 
 
 
 
 
 
 
 
 
 
 
 14