Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
La Criptografía y la Seguridad Informática Thomas Kuthnik, Diego Martin, Tomas Gerardi, Ignacio Cortes, Abel Vergara, Cynthia Abbate Universidad Tecnológica Nacional- FRBA. Departamento de Ingeniería en Sistemas de Información Thomy1999@gmail.com; Martindiego998@gmail.com; tomy08086@gmail.com; nachocortes250@gmail.com; Abel.vergara@hotmail.com; Cynthia.4370@yahoo.com.ar Abstract La criptografía existe desde tiempos antiguos y existe para garantizar la seguridad de la información. Esta es la principal técnica para el creado de contraseñas y claves para mantener protegida los datos. En el presente artículo se explican temas conformes a la seguridad informática y sus formas de protegerla, se describen diferentes tipos diferentes de criptografía y las ventajas de cada una de ellas. Se describen algunos de sus usos en la actualidad y al finalizar se detalla una conclusión de todo lo investigado. Palabras Clave Información, seguridad, amenazas, contraseñas, cifrar, eficiencia. 1.Introducción Desde tiempos antiguos se utilizaron los llamados “Métodos criptográficos”, donde el objetivo principal que se pretende lograr es el de garantizar las propiedades de confidencialidad e integridad de la información del documento en el que se aplican estos métodos [1]. Con la llegada del Internet se abrieron nuevas posibilidades para el intercambio de información, y por dicha razón aumentó el riesgo de amenazas a la seguridad de la información; debido a ello, fue indispensable el uso de herramientas automatizadas para la protección de archivos y otro tipo de información almacenada en la computadora de los documentos electrónicos. Allí surgieron los siguientes conceptos: “Se entiende a la seguridad de la información como el conjunto de planes, reglas y acciones que hay que seguir en un determinado orden para asegurar la información, manteniendo la confidencialidad e integridad de la misma [2]”. Por otro lado, “La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable [3]”. Además, se puede mencionar que “Se entiende por criptografía al estudio de los algoritmos y sistemas que se utilizan para proteger información y dotar de seguridad” [4]. Los historiadores afirman que la criptografía es tan remota que se encuentra en todas las civilizaciones de la antigüedad, pues el primer texto fue en 1900 A.C, en el antiguo Egipto. Sin embargo, el uso de la criptografía regular comienza con los árabes, en la Edad Media [5]. En la actualidad, la criptografía se puede subdividir en tres tipos; simétricas o privadas, asimétricas o públicas y, por último, la mezcla de las dos anteriores, las híbridas [6]. En las criptografías privadas se utiliza la misma clave tanto para el cifrado como el descifrado de un documento. Este método es más eficiente si se cuenta con un canal de comunicación seguro para llevarse a cabo [7]. Uno de los casos mundialmente conocido es Enigma [8]. Este fue un sistema creado por Alemania durante la Segunda Guerra Mundial, este disponía de un mecanismo de cifrado rotatorio, que permitía usarla tanto para cifrar como para descifrar mensajes [9]. Básicamente, se utiliza algún método matemático llamado sistema de cifrado para cifrar y descifrar un mensaje utilizando únicamente una “clave secreta”. “Con este tipo de criptografía se puede garantizar la confidencialidad, por que únicamente quien posea la clave secreta será capaz de ver el mensaje. La única desventaja de esta variante es saber cómo compartir con otra/s persona/s de una forma confidencial e integra la clave secreta” [1]. Por otro lado, las criptografías públicas utilizan un sistema de cifrado con dos claves diferentes [10]. Un ejemplo de esto es el SIM de los móviles [10]. Es importante destacar que para este tipo de criptografía lo que se cifra con una clave se puede descifrar con la otra clave. Es decir, se puede cifrar con la clave pública y descifrar con la clave privada, o viceversa. El nacimiento de la Criptografía asimétrica ocurrió como resultado de la búsqueda de un modo más práctico de intercambiar las llaves simétricas. Es importante destacar que, gracias a este tipo de claves se redujo considerablemente el número de claves que posee [11]. Por último, las hibridas, son la unión de las ventajas de los dos anteriores. Este tipo de seguridad es más eficaz ya que no es tan lento como las asimétricas, ni insegura como las simétricas [11]. Este tipo de seguridad se encuentra en GnuPG [12]. Al usar sistemas híbridos de cifrado, como el GnuPG, se genera una clave de sesión para cifrar con un sistema simétrico el grueso del mensaje y es esta clave la información que se cifra de forma asimétrica. En este contexto, el objetivo del presente trabajo (realizado en el marco de la catedra “Sistemas y Organizaciones”, primer año de cursada), es analizar la eficiencia que tiene en la actualidad los diferentes tipos de criptografía y los ámbitos en donde se implementa. Para cumplir con dicho objetivo, el presente trabajo se estructura de la siguiente manera: en la primera parte se procede a definir la seguridad de la información; en la segunda parte se describe que es la seguridad informática, en la tercera se describe la eficiencia de los diferentes tipos de criptografía, realizando un análisis comparativo de los algoritmos utilizados en diferentes aplicaciones (como, por ejemplo, el protocolo Secure Socket Layer mayor conocido como protocolo SSL [13]) y por último, en la cuarta parte se describe los usos de la criptografía en la actualidad y ámbitos que se utiliza. Finalmente, se desarrollarán las conclusiones y futuras líneas de trabajo. 2. Seguridad de la información “La S.I. (Seguridad de la información) es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, disponibilidad e integridad de la misma.” [14]. Esta seguridad busca la preservación de estos tres pilares [15]: Confidencialidad: propiedad que determina que la información no esté disponible ni pueda ser revelada a individuos, entidades o procesos no autorizados. Integridad: propiedad de salvaguardar la exactitud y el estado completo de los activos. Disponibilidad: propiedad de ser accesible y utilizable por solicitud de una entidad autorizada. La seguridad es un concepto asociado a la certeza, falta de riesgo o contingencia. Se puede entender como seguridad un estado de cualquier sistema o tipo de información (informático o no) que nos indica que ese sistema o información está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar a su funcionamiento directo o a los resultados que se obtienen [15]. Se debe se aclara que la seguridad absoluta no es posible, no existe un sistema 100% seguro, de forma que el elemento de riesgo está siempre presente, independiente de las medidas que tomemos, por lo que se debe hablar de distintos niveles de seguridad. [25]. El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático. Sin embargo, la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos. Es decir que el primer concepto es más amplio que el segundo [16]. Hoy en día es imposible hablar de un sistema cien por ciento seguro para el usuario, sencillamente porque el costo de la seguridad totales muy alto. Por ello, se describen de distintos niveles de seguridad [17]: Primer Nivel: depende del entorno nacional y el marco legal de protección aplicable en base a la situación social, política y económica de cada país. Segundo Nivel: la administración de los servicios informáticos en las instituciones: políticas operacionales, método y procedimiento de trabajo, cantidad de información y destino final. En este nivel se debe estudiar minuciosamente las causas, efectos y vulnerabilidad de los elementos informáticos. Conociendo estos elementos se pueden establecer prioridades de protección que determinará el especialista. Tercer Nivel: la Seguridad Física que presenta dos cuestiones: una el control de acceso a las personas, a las instalaciones, dispositivos, terminales, etc. El control es administrativo dentro de un nivel de seguridad operacional. Y otra de las cuestiones es de protección de los equipos e instalaciones contra desastres naturales o acciones maliciosas. Cuarto Nivel: corresponde al hardware o equipos y dispositivos. Aquí el control es más bien técnico que administrativo. Quinto Nivel: seguridad del software, que es todo programa de procesamiento de datos. Aquí la seguridad está en un adecuado desarrollo del programa en todas sus fases, principal agente de protección. Sexto nivel: corresponde a los datos en sí mismos. 3. Seguridad informática “La seguridad informática es una disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un sistema informático [18]”. La Seguridad Informática ha tomado gran auge a partir de los cambios en las condiciones de trabajo, los nuevos sistemas de comunicación y transmisión de datos basados en redes y las variadas plataformas tecnológicas disponibles, todo lo cual facilitó la tarea de interconectarnos aumentando la productividad, pero que implicó no pocos problemas en términos de las amenazas para dichos sistemas [18]. Las principales amenazas o riesgos cuando se habla de trasmisión de datos mediante redes que minan la eficiencia y eficacia lograda por el avance tecnológico generan atrasos y grandes pérdidas económicas a las organizaciones, tales como [26]: Pérdidas de información Robo de información Destrucción de equipos Destrucción de archivos digitales Las fallas de los sistemas Las debilidades de los sistemas aprovechados por la introducción de códigos malignos por parte de agrupaciones, aficionados o profesionales, por accidente o de modo intencional. El uso de técnicas de intrusión e inutilización de discos mediante virus frente a la importancia en volumen de datos Horas hombre de labor de control, que se pueden perder por la acción o inacción en la mayoría de las veces, fallas humanas por una inadecuada operación de parte de los usuarios Por ello, para garantizar de modo razonable el acceso a la información por parte de las instituciones de Control y de terceros a quienes está destinada la información, surge la necesidad de implementar medidas de Seguridad de la Información, que contengan decisiones sobre los activos a proteger, la concientización sobre su valor y el modo de aplicarla. Las medidas de Seguridad Informática deben formar parte de la Política general de un organismo [19]. 4. Eficiencia de los diferentes tipos de criptografía En la actualidad existen diferentes tipos de criptografías [27]: Criptografía simétrica La criptografía simétrica solo utiliza una clave para cifrar y descifrar el mensaje, que tiene que conocer el emisor y el receptor previamente (este es el punto débil del sistema) la comunicación de las claves entre ambos sujetos, ya que resulta más fácil interceptar una clave que se ha transmitido sin seguridad (diciéndola en alto, mandándola por correo electrónico u ordinario o haciendo una llamada telefónica). Teóricamente debería de ser más fácil conocer la clave interceptando que probando las claves una por una por fuerza bruta, teniendo en cuenta que la seguridad de un mensaje cifrado debe recaer sobre la clave y nunca sobre el algoritmo [20]. Un ejemplo la máquina Enigma (que era una máquina de cifrada electromecánica que generaba abecedarios según la posición de unos rodillos que podrían tener distintas órdenes y posiciones) usaba un método simétrico con un algoritmo que dependía de una clave (que más que clave parece un ritual) que está formada por: los rotores o rodillos que usaba, su orden y la posición de cada anillo, siendo esto lo más básico [8]. Criptografía asimétrica La criptografía asimétrica se basa en el uso de dos claves: la pública (que se puede difundir sin ningún problema a todas las personas que necesiten mandar algo cifrado) y la privada (que no debe de ser revelada nunca). Este tipo de sistemas criptográficos utiliza algoritmos bastante complejos que generan a partir de la frase de paso (la contraseña) la clave privada y pública que pueden tener perfectamente un tamaño de 2048bits (probablemente imposible de probar con fuerza bruta). Otro propósito de este sistema es también el de poder firmar documentos, certificando que el emisor es quien dice ser, firmando con la clave privada y verificando la identidad con la pública. Una de las diferencias entre la criptografía simétrica y la asimétrica es que la criptografía simétrica es más insegura debido que pasar la clave es una gran vulnerabilidad, pero se puede cifrar y descifrar en menor tiempo del que tarda la criptografía asimétrica, que es el principal inconveniente y es la razón por la que existe la criptografía híbrida. Criptografía híbrida Este sistema es la unión de las ventajas de las dos criptografías anteriores, para entender esta se debe partir que el problema de ambos sistemas criptográficos es que el simétrico es inseguro y el asimétrico es lento. El proceso para utilizar un sistema criptográfico híbrido es el siguiente [20] (para enviar un archivo): Generar una clave pública y otra privada (en el receptor). Cifrar un archivo de forma síncrona. El receptor envía su clave pública. Cifrar la clave que se ha usado para encriptar el archivo con la clave pública del receptor. Enviar el archivo cifrado y la clave del archivo cifrada. 5. Criptografía en la actualidad La mayoría de las personas piensan que la criptografía es más utilizada en el ámbito militar. Sin embargo, se puede encontrar en diversos lugares, por ejemplo: La comunicación segura mediante servidores web (por ejemplo, el banco), entre ellos, la más conocida: https. En este caso, el navegador solicita un certificado digital al banco, y este debe presentar un comprobante firmado por una de las entidades reconocidas por el navegador. De este modo, se establece una comunicación cifrada asimétrica para acordar una clave secreta y un algoritmo de cifrado, a partir de ese momento se establece una comunicación cifrada simétrica [21]. Cuando el usuario se conecta a servicios como Gmail, se establece una conexión cifrada entre el ordenador y los servidores de Google [22]. En este caso, se utiliza la criptografía asimétrica para autenticar la comunicación, y posteriormente transmitir la clave simétrica utilizada para encriptar el correo electrónico enviado [23]. La firma electrónica se sirve para mantener la integridad y la autenticación de los documentos, ya sea de forma privada o pública (no es necesario que sea confidencial). Por lo tanto, los métodos de cifrado de clave secreta no son apropiados para realizar esta acción, en cambio, con los asimétricos se puedellevar a cabo. Si un usuario cifra cierta información utilizando su clave privada, entonces cualquier otra persona podría acceder, mediante la clave pública del cliente. Dado que es imposible obtener la clave privada a partir de la clave pública (ya que la clave privada se mantiene segura), se garantiza la autoría (autenticación) y la pureza del documento (integridad) [21]. En la identificación ante el sistema o la autenticación de usuarios, se suele usar un nombre de consumidor y una clave para identificarse ante muchos sistemas informáticos, por ejemplo, el banco por Internet. Estos nombres de clientes y contraseñas, (en modo texto) son bastante vulnerables, por esa razón, los servidores web exigen un certificado digital para verificar su identidad [21]. Otro caso muy conocido de encriptación es en Whatsapp, cuando el sistema emite el siguiente mensaje: "Las llamadas y mensajes enviados a este chat ahora están seguros con cifrado de extremo a extremo”, se refiere a que el cifrado E2EE "de extremo a extremo”, tiene un protocolo de seguridad en el que sólo el emisor y el receptor pueden leer los mensajes [24]. En el primero de los ejemplos la criptografía asimétrica es más adecuada que la simétrica, ya que solamente se necesita una clave de encriptación para el usuario y la contraseña, pero no se tienen que enviar a ninguna otra persona. Por esa razón, sería ineficaz utilizar una simétrica. Estos ejemplos son una de las muchas utilidades que tienen la criptografía hoy en día. 6. Conclusiones A través del presente trabajo se pueden observar los diferentes ámbitos donde se encuentra la criptografía. Principalmente, se encuentra en los siguientes ámbitos: En la seguridad de la información, ya que la criptografía está presente tanto en medidas preventivas como en una disciplina. En las páginas web, debido a que cuenta con una tecnología avanzada en encriptación. Se la utiliza con fines personales como, por ejemplo, el resguardo de información privada. Se puede emplear en servicios como, por ejemplo, Gmail o Whatsapp, que te garantiza tanto la seguridad de la información como la integridad de la misma. Dentro del análisis expuesto, es posible vislumbrar que, la criptografía es una herramienta muy eficiente a la hora de preservar la privacidad de la información emitida o recibida por un usuario. Además, es una disciplina de la seguridad informática, basada en la sustitución de caracteres y la interpretación de las mismas. De igual modo, los avances tecnológicos permiten crear diversas formas de seguridad, para proteger la documentación del cliente (evitando de esta forma, la piratería). Por otro lado, el consumidor debe estar informado de los riesgos a los que se expone al intercambiar información en forma digital. Con todo esto se concluye que, la criptografía tiene muchas ventajas ya que es una herramienta que puede ser utilizada por todas las personas, es fácil de implementar y, sobre todo, te proporciona seguridad en tus documentos. Próximamente, investigadores estarán implementando la Criptografía cuántica en industrias; ésta consta de la unión entre la Física y la Criptografía y promete ser revolucionaria y muy eficiente, a nivel seguridad, a la hora de la comunicación [28]. Como futuras líneas de trabajo, se prevé hacer una encuesta para saber la opinión que tienen las personas sobre la criptografía, y si lo consideran un servicio seguro y eficiente. Referencias [1] Ramio, Aguirre Jorge, Libro Electrónico de Seguridad Informática y Criptografía, Versión 4.1 de 1 de marzo de 2006. [Consultado el 01/05/2018] https://bit.ly/2KORRLx [2] Gribrán Granados Pared, Gibranx@uxmcc2.iimas.unam.mx. Introducción a la criptografía. 2016. [Consultado el 01/05/2018] http://bit.ly/2IpZZ6Jy [3] Aguilera López, Seguridad Informática, Editex, 2010. [Consultado el 01/05/2018] https://bit.ly/2K7SYVi [4] Riquelme Faúndez, Edgardo Andrés, Rioseco San Martín, Constanza Alejandra. Introducción a la criptografía, 2016. [Consultado el 02/05/2018] https://bit.ly/2HVHbcc [5] Jose J. Ortega Triguero, M.A. López Guerrero, E.C. García del castillo Crespo – Introducción a la Criptografía. Historia y https://bit.ly/2KORRLx actualidad. 2006. [Consultado el 08/05/2018] http://bit.ly/2rvKz6v [6] El encriptado informático: así se protege la comunicación. 12/09/17. [Consultado el 08/05/2018] https://bit.ly/2JPSlDe [7] Arnau Gifreu. Pioneros de la tecnología digital. Editorial UOC, 2014. [Consultado el 18/05/2018] https://bit.ly/2FOcgwA [8] Tony Sale, La máquina de cifrado Enigma. 2012. [Consultado el 19/05/2018] https://bit.ly/2l4BLSf [9] Joe Miller, News BBC, Código Enigma, 2011. [Consultado el 04/06/2018] https://bbc.in/2GmM91G [10] Ing. Yran Marrero Travieso. La Criptografía como elemento de la seguridad, diciembre de 2003. [Consultado el 19/06/2018] https://bit.ly/2Ip9pzg [11] Sergio De Luz, Redes Zone, Criptografia: Algoritmos de cifrado de clave asimétrica. 16 noviembre 2010. [Consultado el 30/06/2018] https://bit.ly/2IZWUr1 [12] Sergi Blanch i Torné y Ramiro Moreno Chiral. Análisis del cifrado El Gamal de un módulo con curvas elípticas propuesto para el GnuPG, 2008. [Consultado el 04/07/2018] https://bit.ly/2JXgCUo [13] Alberto Castro Rojas, Seguridad en Redes: TCP/IP, filtrado de tráfico y firewall. 2016. [Consultado el 04/07/2018] https://bit.ly/2t2jcBS [14] Dra. Patricia Goulu, La seguridad de la información. Análisis de riesgos. Normas y estándares, 2010. [Consultado el 09/07/2018] https://bit.ly/2larYdA [15] Norma ISO / IEC 27001: 2005 - Sistemas de Gestión de Seguridad de la Información – Requisitos [Consultado el 09/07/2018] [16] Cra. Maria V. López y Dra. Gabriela Barertto, El uso de sistemas electrónicos en la gestión presupuestaria y la fiscalización utilizando herramientas informáticas auditorias de los sistemas de información normas y estándares. 2013. [Consultado el 07/08/2018] https://bit.ly/2JA3lp7 [17] Javier Areitio Bertolin, La seguridad de la información, 2008. [Consultado el 07/08/2018] https://bit.ly/2JKEJpR [18] Gabriel Baca Urbina, Introducción a la seguridad informática, 2016. [Consultado el 07/08/2018] https://bit.ly/2sRpyVp [19] Laura R. Lavin, LA SEGURIDAD INFORMÁTICA –– PROPUESTA DE CRITERIOS O PAUTAS DE AUTOEVALUACION. Septiembre del 2012 [Consultado el 07/08/2018] https://bit.ly/2t8cdqX [20] Pedro Gutierrez, Tipos de criptografía: simétrica, asimétrica e hibrida, 25/08/2017. [Consultado el 19/08/2018] https://bit.ly/2oX89tc [21] Vera Delgado y Rafael Palacios, Aplicaciones prácticas de la criptografía. 2006. [Consultado el 20/08/2018] https://bit.ly/2bcFvh1 [22] Juan Jesús Velasco, Breve historia de la criptografía, 20/05/2014. [Consultado el 20/08/2018] https://bit.ly/2JT9dZU [23] Jesús Barcia, ¿Qué tipo de criptografía utiliza GMail para mantener la confidencialidad de nuestros correos?, 4/11/2016. [Consultado el 20/08/2018] https://bit.ly/2LPW3KB [24] Mauricio Morales, WhatsApp: cifrado "de extremo a extremo", 10/5/2016. [Consultado el 20/08/2018] https://bit.ly/2AwD8iv [25] Asociación española para la calidad, Seguridad de la información, 2018. [Consultado el 29/08/2018] https://bit.ly/2N9Mw1R [26] IETel, La seguridad en redes, 2016 [Consultado el 29/08/2018] https://bit.ly/2ul9x9W [27] Genbeta Dev, tipos de criptografía, 25/08/2017. [Consultado el 29/08/2018] https://bit.ly/2oX89tc [28] Vanessa Marsh, Tendencia Informática, 25 de marzo 2010. [Consultado el 06/09/2018] https://bit.ly/2Crh8Lr http://bit.ly/2rvKz6v https://bit.ly/2FOcgwA https://bbc.in/2GmM91G https://bit.ly/2Ip9pzg https://bit.ly/2IZWUr1 https://bit.ly/2JXgCUo https://bit.ly/2t2jcBShttps://bit.ly/2larYdA https://bit.ly/2JA3lp7 https://bit.ly/2JKEJpR https://bit.ly/2t8cdqX https://bit.ly/2oX89tc https://bit.ly/2bcFvh1 https://bit.ly/2JT9dZU https://bit.ly/2LPW3KB https://bit.ly/2AwD8iv https://bit.ly/2oX89tc https://bit.ly/2Crh8Lr
Compartir