Información personal

Nombre: Víctor Johanser Sirett Torres

Matrícula: 20-EISM-6-021

Información de asignatura

Asignatura: Fundamentos de seguridad informática

Profesor: Felipe Arturo Durán Rodriguez
Sección: 109(IS)
Introducción

La criptografía es bastante importante para poder tener y transferir datos de manera

segura en la red, hay varias formas de hacer esta protección y se detallan en el
presente documento, junto a comparaciones entre sí y sus justificaciones.
Capítulo 4: el arte de proteger los secretos

¿Qué es la criptografía?

La criptografía es un método de protección de la información y las comunicaciones

mediante el uso de códigos, de modo que solo aquellos a quienes está destinada la
información puedan leerla y procesarla.

En informática, la criptografía se refiere a técnicas seguras de información y

comunicación derivadas de conceptos matemáticos y un conjunto de cálculos
basados ​en reglas llamados algoritmos, para transformar mensajes de manera que
sean difíciles de descifrar. Estos algoritmos deterministas se utilizan para la
generación de claves criptográficas, la firma digital, la verificación para proteger la
privacidad de los datos, la navegación web en Internet y las comunicaciones
confidenciales, como transacciones con tarjetas de crédito y correo electrónico.

Historia y creación del texto cifrado

La criptología es una ciencia joven. Aunque se ha utilizado durante miles de años

para ocultar mensajes secretos, el estudio sistemático de la criptología como ciencia
(y tal vez como arte) comenzó hace unos cien años.

La primera evidencia conocida del uso de la criptografía (en alguna forma) se

encontró en una inscripción tallada alrededor de 1900 aC, en la cámara principal de
la tumba del noble Khnumhotep II, en Egipto. El escriba usó algunos símbolos
jeroglíficos inusuales aquí y allá en lugar de los más comunes. El propósito no era
ocultar el mensaje, sino quizás cambiar su forma de manera que pareciera digno.
Aunque la inscripción no era una forma de escritura secreta, sino que incorporó
algún tipo de transformación del texto original, y es el texto más antiguo conocido
que lo hace. Se ha visto evidencia de algún uso de la criptografía en la mayoría de
las primeras civilizaciones importantes. "Arthshashtra", una obra clásica sobre el
arte de gobernar escrita por Kautalya, describe el servicio de espionaje en India y
menciona asignaciones a espías en "escritura secreta".

Avance rápido hasta alrededor del año 100 a. C., se sabía que Julio César usaba
una forma de encriptación para transmitir mensajes secretos a los generales de su
ejército apostados en el frente de guerra. Este cifrado de sustitución, conocido como
cifrado César, es quizás el cifrado histórico más mencionado en la literatura
académica. (Un cifrado es un algoritmo utilizado para cifrar o descifrar). En un
cifrado de sustitución, cada carácter del texto sin formato (el texto sin formato es el
mensaje que debe cifrarse) se sustituye por otro carácter para formar el texto cifrado
(el texto cifrado es el mensaje encriptado). La variante utilizada por César fue un
cambio de 3 cifrados. Cada carácter se desplazó 3 lugares, por lo que el carácter 'A'
se reemplazó por 'D', 'B' se reemplazó por 'E', y así sucesivamente. Los caracteres
se envolverían al final, por lo que 'X' sería reemplazado por 'A'.

Es fácil ver que tales cifrados dependen del secreto del sistema y no de la clave de
cifrado. Una vez que se conoce el sistema, estos mensajes cifrados se pueden
descifrar fácilmente. De hecho, los cifrados por sustitución se pueden descifrar
usando la frecuencia de las letras en el idioma.

Durante el siglo XVI, Vigenere diseñó un cifrado que supuestamente fue el primer
cifrado que utilizó una clave de cifrado. En uno de sus cifrados, la clave de cifrado
se repetía varias veces a lo largo de todo el mensaje, y luego se producía el texto
cifrado al agregar el carácter del mensaje con el módulo de carácter clave 26.
(Módulo, o mod, es una expresión matemática en la que se calcule el resto de una
división cuando un número se divide por otro). Al igual que con el cifrado de César,
el cifrado de Vigenère también se puede descifrar fácilmente; sin embargo, el cifrado
de Vigenere trajo la idea misma de introducir claves de cifrado en la imagen, aunque
fue mal ejecutado. Comparando esto con el cifrado César, el secreto del mensaje
depende del secreto de la clave de cifrado, más que del secreto del sistema.

A principios del siglo XIX, cuando todo se volvió eléctrico, Hebern diseñó un artilugio
electromecánico que se denominó máquina de rotor de Hebern. Utiliza un solo rotor,
en el que la clave secreta está incrustada en un disco giratorio. La tecla codificaba
una tabla de sustitución y cada pulsación de tecla del teclado daba como resultado
la salida de un texto cifrado. Esto también hizo girar el disco una muesca y luego se
usaría una tabla diferente para el siguiente carácter de texto sin formato. Esto se
rompió nuevamente usando frecuencias de letras.
La máquina Engima fue inventada por el ingeniero alemán Arthur Scherbius al final
de la Primera Guerra Mundial y fue muy utilizada por las fuerzas alemanas durante
la Segunda Guerra Mundial. La máquina Enigma usaba 3 o 4 o incluso más rotores.
Los rotores giran a diferentes velocidades a medida que escribe en el teclado y
emiten las letras apropiadas del texto cifrado. En este caso la clave fue el reglaje
inicial de los rotores.

Polonia finalmente descifró el cifrado de la máquina Enigma y la tecnología se

transfirió más tarde a los criptógrafos británicos que diseñaron un medio para
obtener la clave diaria.

Hasta la Segunda Guerra Mundial, la mayor parte del trabajo sobre criptografía tenía
fines militares, generalmente para ocultar información militar secreta. Sin embargo,
la criptografía atrajo la atención comercial de la posguerra, ya que las empresas
intentaban proteger sus datos de los competidores.
A principios de la década de 1970, IBM se dio cuenta de que sus clientes exigían
algún tipo de cifrado, por lo que formaron un "grupo criptográfico" encabezado por
Horst-Feistel. Diseñaron un cifrado llamado Lucifer. En 1973, la Oficina Nacional de
Estándares (ahora llamado NIST) en los EE. UU. presentó una solicitud de
propuestas para un cifrado en bloque que se convertiría en un estándar nacional.
Obviamente se habían dado cuenta de que estaban comprando muchos productos
comerciales sin ningún buen soporte criptográfico. Lucifer finalmente fue aceptado y
se llamó DES o el Estándar de cifrado de datos. En 1997, y en los años siguientes,
DES fue quebrado por un exhaustivo ataque de búsqueda. El principal problema con
DES era el pequeño tamaño de la clave de cifrado. A medida que aumentaba el
poder de cómputo, se hizo más fácil usar la fuerza bruta en todas las diferentes
combinaciones de la clave para obtener un posible mensaje de texto sin formato.

En 1997, NIST volvió a presentar una solicitud de propuesta para un nuevo cifrado
de bloque. Recibió 50 presentaciones. En 2000, aceptó Rijndael y lo bautizó como
AES o Estándar de cifrado avanzado.

Dos tipos de encriptación

En el mundo actual, los estafadores y otros ciberdelincuentes están cada vez más
presentes y afectan a millones de usuarios. Para evitar que estas personas roben
nuestros datos, tenemos que cifrar todo. Existen tres técnicas de cifrado: Cifrado
simétrico , Cifrado asimétrico y Funciones hash (sin llave).

Mailfence utiliza cifrado simétrico y asimétrico, ya que cada método tiene sus pros y
sus contras. Aprenderás más sobre eso más adelante. Ambos métodos de cifrado
utilizan claves para cifrar y descifrar datos. El cifrado simétrico utiliza la misma clave
para cifrar y descifrar datos, lo que lo hace muy fácil de usar. El cifrado asimétrico
utiliza una clave pública para cifrar datos y una clave privada para descifrar
información.

Encriptación Simétricos y Asimétricos

¿Qué es el cifrado simétrico?

El cifrado simétrico, también conocido como criptografía de clave simétrica, utiliza

una sola clave para cifrar y descifrar datos. Tienes que compartir esta clave con el
destinatario. Digamos que quieres decir Te amo mamá, escribirías tu correo
electrónico y luego establecerías una clave secreta para encriptarlo. Cuando mamá
recibe el mensaje, ingresa la clave secreta para descifrar el correo electrónico.

Ventajas y desventajas del cifrado simétrico

Las ventajas del cifrado simétrico son que es fácil de configurar y se puede hacer en
un santiamén. Además, es bastante sencillo, todas las edades y orígenes pueden
usarlo. El cifrado asimétrico es más difícil de comprender y usar.

El inconveniente es que la clave secreta debe compartirse con el destinatario. En el

caso de PEM, la clave secreta se cifra con la contraseña del usuario. Solo
asegúrese de que la contraseña no se adivina fácilmente. Si usa la misma clave
secreta para cifrar todos sus correos electrónicos, si alguien aprende esa clave
secreta compromete todos sus correos electrónicos encriptados.

¿Qué es el cifrado asimétrico?

Como se indicó, el cifrado de clave pública anterior requiere dos claves para
funcionar. En primer lugar, se debe hacer pública una clave pública para cifrar los
datos. Además, se utiliza una clave privada para descifrar los datos. Suena bastante
complicado. Déjame desglosarlo.

La clave pública y la clave privada no son lo mismo pero están relacionadas.

Además, crea su mensaje y luego lo cifra con la clave pública del destinatario.
Después de eso, si el destinatario desea descifrar su mensaje, deberá hacerlo con
su clave privada. Mantenga la clave (privada) privada en todo momento, la mejor
práctica sería almacenarla localmente. Uno requiere un mayor conocimiento que la
persona promedio para que esto suceda.

El software de correo electrónico del destinatario verá si la clave privada se

corresponde con la clave pública y luego le pedirá al usuario que escriba la frase de
contraseña para descifrar el mensaje. Algunas mejores prácticas para el cifrado de
clave pública: Utilice claves de 2048 bits y superiores. Finalmente, la creación de
claves fuertes es la base del cifrado asimétrico. Una buena práctica de cifrado sería
utilizar varios métodos de cifrado en lugar de uno solo. No todos saben cómo usar el
cifrado de clave pública, por lo que puede haber ocasiones en las que deba usar
otros métodos de cifrado.

Pros y contras del cifrado asimétrico

La ventaja del cifrado asimétrico es que no obliga al usuario a compartir claves

(secretas) . Por lo tanto, eliminando la necesidad de distribución de claves. El
cifrado asimétrico admite la firma digital que autentica la identidad del destinatario y
garantiza que el mensaje no haya sido manipulado en tránsito.

Las desventajas del cifrado asimétrico son que consume mucho tiempo y requiere
un esfuerzo considerablemente mayor . Además, puede enviar correos electrónicos
encriptados solo si la otra persona ha creado pares de claves. Finalmente, si pierde
su clave privada, la perderá para siempre. La clave privada es irrecuperable, lo que
podría crear toda una serie de nuevos problemas con los que lidiar.

¿Qué encriptación debería usar? Utilice el cifrado simétrico cuando desee enviar
un mensaje cifrado rápido. Utilice el cifrado asimétrico cuando tenga la clave pública
OpenPGP verificada de su destinatario. Combine el cifrado de clave pública con
firmas digitales si no quiere correr ningún riesgo. ¿No sabes cómo enviar correos
electrónicos encriptados ? Obtenga más información en nuestro blog.

El cifrado simétrico frente a asimétrico fue un artículo muy interesante para

nosotros. Esperamos haber aclarado el concepto de cifrado simétrico frente a
asimétrico. Estén atentos porque Mailfence planea lanzar más de estos artículos
educativos pronto.

Algoritmos de encriptación simétrica y proceso

Los algoritmos simétricos son las funciones criptográficas que son fundamentales
para el cifrado de claves simétricas. Son un conjunto de instrucciones o pasos que
siguen las computadoras para realizar tareas específicas relacionadas con el cifrado
y descifrado de datos.

Los algoritmos de cifrado simétrico se utilizan (combinados con una clave de

cifrado) para hacer dos cosas principales:

1. Cifrar. Convierta texto legible (texto sin formato) en texto cifrado e ilegible
(texto cifrado).
2. Descifrar. Convierta el texto cifrado de nuevo en texto sin formato.
Los algoritmos de cifrado simétrico utilizan la misma clave de cifrado tanto para el
cifrado como para el descifrado. (A diferencia de los algoritmos de cifrado
asimétrico, que utilizan dos claves diferentes).

Los algoritmos de cifrado, en general, se basan en las matemáticas y pueden variar

desde procesos muy simples hasta procesos muy complejos según su diseño. En el
caso de los algoritmos de cifrado simétrico, se combinan con una sola clave para
convertir datos legibles (texto sin formato) en un galimatías ininteligible (texto
cifrado). Luego usan la misma clave para descifrar el texto cifrado y convertirlo en
texto sin formato. Y todo esto se hace de una manera que garantiza la
confidencialidad y privacidad de los datos.

Los algoritmos de cifrado simétrico en realidad se conocen con algunos nombres

diferentes:

● Algoritmos de clave simétrica ,

● cifrados simétricos ,
● Algoritmos de clave secreta , y
● Cifrados masivos . (Hablaremos más sobre cifrados masivos un poco más
adelante).

En general, el propósito u objetivo del cifrado es hacer que solo alguien con la clave
pueda descifrar y leer el mensaje secreto.

En pocas palabras, un algoritmo simétrico es un conjunto de instrucciones

criptográficas que utilizan una clave para cifrar y descifrar datos. Estos algoritmos y
claves de cifrado son livianos en el sentido de que están diseñados para acelerar el
procesamiento de grandes bloques o flujos de datos. (Esta es la razón por la que los
algoritmos de cifrado simétrico se conocen como cifrados masivos ).

Los algoritmos de clave asimétrica y las claves, por otro lado, son devoradores de
recursos. Las claves son enormes y su uso a gran escala es costoso. Lo que quiero
decir es que absorben una gran cantidad de recursos y tiempo de procesamiento de
su CPU, energía de la batería y ancho de banda para ejecutar.

¿Recuerdas cómo describimos los algoritmos simétricos como un componente clave

de tu motor warp? Continuemos con esa analogía. Entonces, si tuviera que pensar
en qué son los algoritmos de cifrado asimétrico, serían como el equivalente de los
propulsores en el sistema de propulsión. Claro, eventualmente lo llevarán allí, pero
no son adecuados para el cifrado rápido a escala.

Sin embargo, son excelentes para cifrar lotes de datos más pequeños en canales
públicos. Y los intercambios de claves asimétricas (de los que hablaremos más en
breve) son una excelente manera de distribuir claves en esos canales públicos
inseguros.

Esta es la razón por la cual las personas a menudo recurren al cifrado simétrico
para codificar grandes cantidades de datos.

Algoritmos de Encriptación Asimétrica

La criptografía asimétrica es una rama de la criptografía en la que una clave secreta

se puede dividir en dos partes, una clave pública y una clave privada . La clave
pública se puede dar a cualquier persona, de confianza o no, mientras que la clave
privada debe mantenerse en secreto (al igual que la clave en la criptografía
simétrica).

La criptografía asimétrica tiene dos casos de uso principales: autenticación y

confidencialidad. Con la criptografía asimétrica, los mensajes se pueden firmar con
una clave privada y, luego, cualquiera que tenga la clave pública puede verificar que
el mensaje fue creado por alguien que posee la clave privada correspondiente. Esto
se puede combinar con un sistema de prueba de identidad para saber qué entidad
(persona o grupo) posee realmente esa clave privada, proporcionando
autenticación.

El cifrado con criptografía asimétrica funciona de forma ligeramente diferente al

cifrado simétrico. Alguien con la clave pública puede cifrar un mensaje, brindando
confidencialidad, y luego solo la persona en posesión de la clave privada puede
descifrarlo.

Administración de claves

La gestión de claves de cifrado administra el ciclo de vida completo de las claves

criptográficas. Esto incluye: generar, usar, almacenar, archivar y eliminar claves. La
protección de las claves de cifrado incluye la limitación del acceso a las claves de
forma física, lógica y mediante el acceso de usuarios/funciones.

La gestión adecuada de las claves criptográficas es esencial para el uso eficaz de la

criptografía para la seguridad. Las llaves son análogas a la combinación de una caja
fuerte. Si un adversario conoce una combinación segura, la caja fuerte más fuerte
no proporciona seguridad contra la penetración. Del mismo modo, la mala gestión
de claves puede comprometer fácilmente los algoritmos fuertes

Sistemas de llaves simétricas

Primero, establezcamos algunas definiciones:
 ● Clave de cifrado de datos (DEK): es una clave de cifrado cuya función es
cifrar y descifrar los datos.

● Clave de cifrado de clave (KEK): es una clave de cifrado cuya función es

cifrar y descifrar la DEK.

● Interfaz de programa de aplicación de gestión de claves (KM API): es una

interfaz de aplicación que está diseñada para recuperar y transmitir de forma
segura claves de cifrado desde un servidor de gestión de claves al cliente
que solicita las claves.

● Autoridad certificadora (CA): es una entidad que crea claves públicas y

privadas, crea certificados, verifica certificados y realiza otras funciones de
PKI.

● Seguridad de la capa de transporte (TLS): es un protocolo criptográfico que

proporciona seguridad, a través de la autenticación mutua, para los datos en
movimiento a través de una red informática.

● Key Management System (KMS): es el sistema que alberga el software de

gestión de claves

Ahora que tenemos las definiciones en su lugar, a continuación se muestra un

ejemplo paso a paso de cómo un usuario autorizado accede a los datos cifrados:

1. Un usuario solicita acceder a datos cifrados.

2. La base de datos, la aplicación, el sistema de archivos o el almacenamiento
envían una solicitud de recuperación de DEK al cliente (API de KM).
3. A continuación, el cliente (API de KM) y KM verifican los certificados del otro:
a. El cliente (KM API) envía un certificado al KM para su verificación.
b. Luego, el KM verifica el certificado contra la CA para la autenticación.
c. Una vez que se ha verificado el certificado del cliente (API de KM), el
KM envía su certificado a la API de KM para su autenticación y
aceptación.
4. Una vez aceptados los certificados, se establece una conexión TLS segura
entre el cliente (KM API) y el KM.
5. El KM luego descifra el DEK solicitado con el KEK
6. El KM envía la DEK al cliente (API de KM) a través de la sesión TLS cifrada.
7. Luego, la API de KM envía la DEK a la base de datos, la aplicación, el
sistema de archivos o el almacenamiento.
8. La base de datos (puede) almacenar en caché la DEK en una memoria
segura temporal.
9. La base de datos, la aplicación, el sistema de archivos o el almacenamiento
envían la información de texto sin formato al usuario.
Sistemas de llaves asimétricas

1. El remitente y el destinatario verifican los certificados del otro:

a. El remitente envía un certificado al destinatario para su verificación.
b. Luego, el destinatario verifica el certificado con su autoridad de
certificación (CA) o una autoridad de validación (VA) externa para la
autenticación.
c. Una vez que se ha verificado el certificado del remitente, el
destinatario envía su certificado al remitente para su autenticación y
aceptación.
2. Una vez que el remitente y el destinatario tienen la aceptación mutua:
a. El remitente solicita la clave pública del destinatario.
b. El destinatario envía su clave pública al remitente.
3. El remitente crea una clave simétrica efímera y cifra el archivo a enviar. (una
clave simétrica efímera es una clave de cifrado simétrica utilizada solo para
una sesión)
4. El remitente cifra la clave simétrica con la clave pública.
5. Luego, el remitente envía los datos cifrados con la clave simétrica cifrada.
6. El destinatario recibe el paquete y descifra la clave simétrica con la clave
privada.
7. El destinatario descifra los datos con la clave simétrica.

Comparación de los tipos de encriptación

Bien, ahora que sabemos qué es el cifrado asimétrico y simétrico en general,

comparémoslos y contrastemos. Hay varias características clave que hacen que el
cifrado simétrico y asimétrico sea diferente en términos de cómo funcionan y dónde
son más valiosos:

1. Número, naturaleza y tamaño de las claves criptográficas

Las claves simétricas son idénticas, mientras que las claves públicas y privadas
asimétricas están matemáticamente relacionadas pero siguen siendo únicas. Las
claves simétricas también suelen tener una longitud más corta que sus contrapartes
asimétricas. Las claves simétricas suelen ser de 128 bits, 192 bits y 256 bits,
mientras que se recomienda que las claves asimétricas sean de 2048 bits o más.

Por ejemplo, aquí hay un ejemplo de cómo se ve una clave de cifrado simétrica
AES-256 codificada en base64:

QnqAb/Q+TosXWD8OxIiaBjriAJNqYs4VNtvGc87kmsY=
Ahora, echemos un vistazo rápido a cómo se ven las claves de cifrado asimétricas
RSA de 2048 bits.

Llave pública:
-----BEGIN PUBLIC KEY-----
MIIBITANBgkqhkiG9w0BAQEFAAOCAQ4AMIIBCQKCAQBwviVpz7WKp2jXTpRZB0
QO
yDwa7KTVBT/2XLRLHDaLL+lO/DrJRN1IY8EaoaSO8LDp/Kxoe/U4HI/98Lzmabm/
9o/sGN6LH2rqNQET+c1WsMPTAz6+WFpnbbMataoAH6vzDfVFRy6GnF/AsnnpgF1
5
wqmwLq7T5s+Vq8qo+nT/MOYUyR81CY0FQurfc58aPwSg6yC5OLOGdz7eiAvOMy
sC
zOJZy0n8BIRXn7Yrh7wo9HdSAGEb1rzFxLAyoEthN+GFvH7uN1P76l5g8E3k6Z5M
4FXsk7uqIO8gdD8nuM1jH0YK1OxWl8UdQpVMx306pNM5npHhI0pbXn5D9XThAKg
t
AgMBAAE=
-----END PUBLIC KEY-----
Llave privada:

-----BEGIN RSA PRIVATE KEY-----

MIIEogIBAAKCAQBwviVpz7WKp2jXTpRZB0QOyDwa7KTVBT/2XLRLHDaLL+lO/Dr
J
RN1IY8EaoaSO8LDp/Kxoe/U4HI/98Lzmabm/9o/sGN6LH2rqNQET+c1WsMPTAz6+
WFpnbbMataoAH6vzDfVFRy6GnF/AsnnpgF15wqmwLq7T5s+Vq8qo+nT/MOYUyR8
1
CY0FQurfc58aPwSg6yC5OLOGdz7eiAvOMysCzOJZy0n8BIRXn7Yrh7wo9HdSAGE
b
1rzFxLAyoEthN+GFvH7uN1P76l5g8E3k6Z5M4FXsk7uqIO8gdD8nuM1jH0YK1OxW
l8UdQpVMx306pNM5npHhI0pbXn5D9XThAKgtAgMBAAECggEAcGp4nbf5eaaRmF
YG
/3qKNv8bR3F8rddNPtaTA22/SSvdw98msreSuXKWAnr4vXprvPQv6QLosSlxvjCD
+m+jQjCUs0Lc6/XIwn1VdNiZEX6x076hmmQ4yHaOpuxK9VKfPnxFeu2OC7TymQ6
d
FuHi0tzyG/WAZ1P22nNwYOtTK3v2+56QcWpshNWgtPRHC4Y7Cbqn3dEnrQAVhqi
Y
Xd/wzizzcXbn/49JCTypxgQ8Ru5a7/PvRtKiRAUd1Y7nGX5wKAgkVz9RqSe8y/lD
PLea1jQT+1oCIGS2CnTL4pBfrJCfmfW2n7WkHTvd+RUkScC9RtJBwYYaNBjhPd0D
XnABFQKBgQDXvLn3CXrTjxlEpNeXLkiVmQxMjYlZ+gvrGkHNW8eeUfJHptTAh+0Y
oZTI/IOyxArbn3r0VmrpDOlOlt3atiRAPqNFcsp53TgDviNyrGlRMZlXvNrHKVS6
fe0FcXVlxnMIRQU3dbSoe9aO03aszbm/F5aDfaob7jdrjhSz5TOPkwKBgQCFyKe8
wUZkH+bRWNxhbj5XjpSWw+Cwe3IJMXm+cXKGKOp8znqAavRkQQPT7rGKMdZEj
N/C
O8JIdmPtkGlTN/AWYxaXKjM5qsNdPgNjRPao70OVe/5GM7Z1JPy0GkL5DhyxoMM
J
8UPwStAaJuTZWJwOw4G8pVf0KvEbh6Vd6DRBPwKBgQCycoAcT/ISBl6vQe62NW
mC
nGro83X2P/cVy808ETunwD64d82pR4WdhyHrsbs55iDZEyx/6O9bv/tHr1DpNRn9
LhKdQlsqvAo2RlNJ6kTfDTi6sxMABDb6X2jrxLKHscO6xmSPQERjzLNnxpB2VWDc
KKWuNAa+PagHxilnuCGTEwKBgDTinERGlv/viHwLR5sQTH6qM1zh88lwEyVFNJ4v
FJmqRP+vU8e9//w9ozi9K9u4Vb5lffK3Utb4TgpUQv6Np1ACPaTmHrfWJEKQyCAO
2/7uDmZiTKMNwDvQskCz/POdO4SQS2l7wWKVAGzGIUM1/wLrEDc1mW5BJ2y9k
4Zq
y3VbAoGAVKUM5mIE4rzMEEtU7xBRSat1xwIFNOsY77+nHBG4pU5AKPgfPzHpFA
Cj
yskOW0OG5io0/bmydqpElMSLLxkekPXXDQD3lSPZei9ZOuyWALWb9kXb/U/cxaMh
H2bnVTgEcBNGdFCYXy4u1AAkVICajJ7Vkd4jGPReuYuF452w+34=
-----END RSA PRIVATE KEY-----

2. Cómo se distribuyen las llaves

Con el cifrado asimétrico, el intercambio de claves a través de canales públicos
digitales no es un problema. Esto se debe a que los protocolos de intercambio de
claves asimétricas se diseñaron literalmente con ese mismo propósito en mente.
Para intercambiar claves simétricas de forma segura, por otro lado, debe reunirse en
persona (fuera de línea). ¡Esto no solo es inconveniente, sino que también anula el
propósito de comunicarse digitalmente en primer lugar!

El intercambio de claves simétricas en canales públicos (como en Internet), de lo

contrario, es un problema porque la clave es vulnerable. El uso de técnicas
asimétricas en el proceso de intercambio de claves es más seguro. Esta es la razón
por la que PKI incorpora el uso de protocolos de intercambio de claves asimétricas
para el proceso de intercambio de claves simétricas como parte del protocolo de
enlace TLS .

De acuerdo con los estándares originales X.509 que fueron publicados por CCIT
(ahora ITU-T) e ISO en 1988:

3. Los tipos y complejidades de los algoritmos de cifrado

Una de las grandes diferencias entre el cifrado simétrico y el asimétrico son los tipos
de algoritmos de cifrado utilizados en cada proceso. Los algoritmos de cifrado
simétrico son cifrados de bloque o cifrados de flujo e incluyen algoritmos como DES,
TDEA/3DES, AES , etc. Los algoritmos de cifrado asimétrico, por otro lado, incluyen
algoritmos como RSA, DSA, ECC, etc.

4. Cuán intensivo en recursos y tiempo consume cada proceso a escala

El cifrado simétrico, debido a que es más rápido y solo usa una clave, es ideal para
grandes organizaciones y empresas que necesitan cifrar grandes cantidades de
datos. El cifrado asimétrico utiliza dos claves separadas y algoritmos más complejos
en el proceso de cifrado y descifrado, lo que lo hace más lento para cifrar y descifrar
grandes cantidades de datos.
Sin embargo, al comparar el cifrado asimétrico con el simétrico, también debe tener
en cuenta los canales en los que lo está utilizando. ¿Es un canal público o algo
privado?

5. Uno es más adecuado que el otro para usar en canales públicos/privados

Ya hemos hablado de esto, pero para resumir rápidamente: el cifrado simétrico por
sí solo es más adecuado para canales no públicos y el cifrado asimétrico es mejor
para canales públicos. Esa es una forma rápida de pensar en las diferencias entre el
cifrado asimétrico y el simétrico.

Pero, ¿por qué tiene que ser uno u otro? ¿Por qué no podemos usar ambos juntos
de una manera que sea complementaria? Bueno, lo hacemos, y este concepto está
en el corazón mismo de la infraestructura de clave pública.

3. Los tipos y complejidades de los algoritmos de cifrado

Una de las grandes diferencias entre el cifrado simétrico y el asimétrico son los tipos
de algoritmos de cifrado utilizados en cada proceso. Los algoritmos de cifrado
simétrico son cifrados de bloque o cifrados de flujo e incluyen algoritmos como DES,
TDEA/3DES, AES , etc. Los algoritmos de cifrado asimétrico, por otro lado, incluyen
algoritmos como RSA, DSA, ECC, etc.

4. Cuán intensivo en recursos y tiempo consume cada proceso a escala

El cifrado simétrico, debido a que es más rápido y solo usa una clave, es ideal para
grandes organizaciones y empresas que necesitan cifrar grandes cantidades de
datos. El cifrado asimétrico utiliza dos claves separadas y algoritmos más complejos
en el proceso de cifrado y descifrado, lo que lo hace más lento para cifrar y descifrar
grandes cantidades de datos.

Sin embargo, al comparar el cifrado asimétrico con el simétrico, también debe tener
en cuenta los canales en los que lo está utilizando. ¿Es un canal público o algo
privado?

5. Uno es más adecuado que el otro para usar en canales públicos/privados

Ya hemos hablado de esto, pero para resumir rápidamente: el cifrado simétrico por
sí solo es más adecuado para canales no públicos y el cifrado asimétrico es mejor
para canales públicos. Esa es una forma rápida de pensar en las diferencias entre el
cifrado asimétrico y el simétrico.

Pero, ¿por qué tiene que ser uno u otro? ¿Por qué no podemos usar ambos juntos
de una manera que sea complementaria? Bueno, lo hacemos, y este concepto está
en el corazón mismo de la infraestructura de clave pública.

Cifrado simétrico frente a asimétrico: ¿cuál es mejor?

Perdóname por un momento mientras canalizo a mi Peter Griffin interior, pero "¿sabes
qué es lo que realmente me hace rechinar los engranajes?" Cuando hago una pregunta
y obtengo la respuesta insulsa "depende". Pero, en el caso de determinar cuál es
"mejor" (cifrado asimétrico o simétrico), esa misma respuesta odiada realmente suena
cierta. Eso es porque "mejor" se puede definir de diferentes maneras dependiendo de
las circunstancias específicas en cuestión.

Por ejemplo, en entornos no públicos, el cifrado simétrico es excelente porque es un

proceso menos complejo que permite un cifrado de datos más rápido y eficiente. Esto
significa que puede cifrar grandes cantidades de datos sin atascar sus recursos de TI.
Pero cuando usa ese mismo proceso de cifrado rápido en canales públicos por sí solo,
sin un intercambio de claves asimétrico primero, entonces no es tan bueno. De hecho,
puede ser francamente peligroso. Esta es la razón por la cual el cifrado asimétrico es
tan importante en los canales públicos (como en Internet).

El cifrado asimétrico, aunque más lento, es mejor para aquellas circunstancias en las
que sus datos corren el riesgo de ser interceptados por terceros no deseados. Le ofrece
mayor seguridad en términos de autenticación y no repudio, para que sepa que está
hablando con la persona adecuada, así como la integridad de los datos.

Cifrado simétrico frente a asimétrico: ¿cuál es más

seguro?
Entonces, para responder a la pregunta sobre si el cifrado simétrico o asimétrico es más
seguro, nuevamente tendría que dar la temida respuesta, "depende". Y realmente lo
hace: la respuesta depende de cómo defina "más seguro" y en qué contexto se lleva a
cabo el cifrado. Por ejemplo:

● El cifrado simétrico es más seguro que el cifrado asimétrico cuando utiliza

tamaños de clave más pequeños (como una clave de 256 bits). Esto se debe a
que en el cifrado asimétrico que usa claves más pequeñas, tener la clave pública
en realidad hace que la clave privada sea más fácil de calcular. (Esta es la razón
por la que usamos claves más grandes en el cifrado asimétrico).
● El cifrado asimétrico es más seguro cuando utiliza tamaños de clave más
grandes (como una clave de 2048 bits). Esto se debe a que implica el uso de
procesos de encriptación más complejos y dos claves separadas en lugar de dos
copias idénticas de una sola clave.

Por lo tanto, si está comparando un par de claves asimétricas y una clave simétrica del
mismo tamaño (en términos de bits) una al lado de la otra, podrá calcular la clave
privada del par asimétrico más fácilmente. Esto explica por qué usamos tamaños de
clave asimétrica (2048 bits o más) que son significativamente más grandes que los
tamaños de clave simétrica (generalmente solo 256 bits) en el cifrado asimétrico.
Sin embargo, cuanto más grandes son las claves asimétricas, más potencia de
procesamiento requieren. Esta es la razón por la que, al establecer una conexión de
sitio web encriptada, comenzamos usando un intercambio de claves asimétricas antes
de cambiar a encriptación simétrica para asegurar la sesión. Entonces, de esa manera,
el cifrado asimétrico ayuda a que el cifrado simétrico sea más seguro.

Por supuesto, esta respuesta también depende de las tecnologías que estén en uso en
ese momento. Por ejemplo, los métodos de encriptación asimétrica como RSA son
increíblemente seguros (pero también consumen recursos). Tomaría miles de vidas
romper este algoritmo usando computadoras modernas. Pero, ¿qué sucede cuando las
computadoras se vuelven más inteligentes, más rápidas y más capaces?

Aplicaciones

Comunicaciones seguras
El uso más obvio de la criptografía, y el que todos usamos con frecuencia, es cifrar
las comunicaciones entre nosotros y otro sistema. Esto se usa más comúnmente
para la comunicación entre un programa cliente y un servidor. Algunos ejemplos son
un navegador web y un servidor web, o un cliente de correo electrónico y un
servidor de correo electrónico. Cuando se desarrolló Internet, era una pequeña
comunidad académica y gubernamental, y el mal uso era raro. La mayoría de los
sistemas se comunicaban de forma transparente (sin encriptación), por lo que
cualquier persona que interceptara el tráfico de la red podría capturar las
comunicaciones y las contraseñas. Las redes conmutadas modernas dificultan la
intercepción, pero en algunos casos, por ejemplo, wifi público, todavía lo permiten.
Para hacer que Internet sea más seguro, la mayoría de los protocolos de
comunicación han adoptado el cifrado. Muchos protocolos antiguos se han
eliminado en favor de reemplazos encriptados más nuevos.

El mejor ejemplo es el cifrado web, ya que aquí puedes elegir entre una versión
clara o cifrada de un sitio web cambiando entre HTTP y HTTPS en la URL. La
mayoría de las grandes empresas ahora usan el formulario encriptado de forma
predeterminada, y verá que cualquier visita a Google, Facebook, Microsoft Office
365 u otros sitios será a la versión HTTPS del sitio. En los navegadores recientes,
esto va acompañado de información adicional, incluido un candado para mostrar
que se trata de HTTPS. Algo que puede intentar es hacer clic en el candado en una
página cifrada y su navegador le brindará más información sobre la seguridad de la
página. También le dirá el hecho especialmente relevante del nombre real del sitio
que está visitando. Por lo tanto, si está ingresando una contraseña en una página,
verifique que sea HTTPS.

Encriptado de fin a fin

El correo electrónico es un área donde el cifrado no se usa mucho. Cuando el
correo electrónico se mueve de un servidor a otro y de un servidor a usted, se cifra.
Sin embargo, en el servidor de correo y en su sistema, un administrador puede
leerlo. Hay opciones para implementar el cifrado de "extremo a extremo" para el
correo electrónico (uso PGP), pero los sistemas de correo electrónico son complejos
y estas opciones son complejas. Los sistemas de mensajería verdaderamente
seguros, en los que solo el remitente y el receptor pueden leer el mensaje, son
aquellos en los que se ha incorporado el cifrado desde el principio. Whatsapp es
bueno; La señal es mejor.

Almacenamiento de datos
Todos almacenamos una gran cantidad de datos, y cualquier dato es valioso al
menos para la persona que lo generó. Todos los sistemas operativos utilizan cifrado
en algunos de los componentes principales para mantener en secreto las
contraseñas, ocultar algunas partes del sistema y asegurarse de que las
actualizaciones y los parches sean realmente del fabricante del sistema.

Un uso más notable del cifrado es cifrar todo el disco y requerir las credenciales
correctas para acceder a él. UCL implementó recientemente Bitlocker de Microsoft
en máquinas Desktop@UCL, y esto significa que sin que el usuario inicie sesión, los
datos en el disco son completamente opacos. Si alguien tomara el disco e intentara
leerlo, no podría acceder a ningún dato. Esto tiene el efecto secundario ocasional de
bloquear el sistema, por lo que algunos lectores de UCL pueden haber tenido que
solicitar la clave de recuperación.

Un punto notable es que muchos sistemas encriptados, no obstante, permiten el

acceso de los administradores del sistema. Office 365, por ejemplo, usa
comunicaciones encriptadas, pero muchos empleados de alto nivel de Microsoft y
algunos administradores de UCL pueden acceder a los datos. Un desarrollo
relativamente reciente es el software para crear contenedores cifrados en una
unidad. He recomendado Veracrypt a algunos usuarios que necesitan crear un
volumen cifrado que esté completamente bajo su control.

Almacenamiento de contraseñas
Por Pluke - Trabajo propio, CC0,
https://commons.wikimedia.org/w/index.php?curid=18296435
Una contraseña con hash criptográfico

En la última publicación del blog, presenté brevemente el hashing criptográfico, un

mapeo unidireccional de una cadena a un valor de longitud fija. Uno de los usos
principales de esto es almacenar contraseñas. Es muy arriesgado almacenar
contraseñas de forma accesible. Si se almacena en texto sin formato en un sistema,
cualquiera que tenga acceso al sistema, legítimo o malicioso, puede leer la
contraseña. El cifrado es solo una respuesta parcial al almacenamiento de
contraseñas. Si alguien tiene acceso al sistema que almacena las contraseñas
cifradas, probablemente tendrá acceso a la clave de cifrado para descifrar la
contraseña. Hashing, por otro lado, produce un valor relativamente inútil para el
atacante. Un sistema tomará la contraseña al iniciar sesión, la codificará y la
comparará con el valor cifrado. En ningún momento el sistema, o un atacante,
tendrá acceso a la contraseña de texto sin formato.

La criptografía es difícil
La impresión que podría obtener de esto es que el cifrado es difícil de implementar
correctamente. ¡Esto es correcto, lamentablemente! Animo a todos a usar más el
cifrado, y siempre estoy feliz de dar consejos. Si tiene alguna pregunta,
comuníquese con el equipo.

Controles de Acceso Físico y Control de Acceso Lógico

Diferencias: control de acceso lógico y control de acceso físico

El control de acceso es la restricción selectiva del acceso a un lugar u otro recurso.

Se utiliza para regular quién puede (o no puede) ver, acceder o usar recursos y/o
información específicos. Los dos tipos principales son físicos y lógicos.
El control de acceso físico se refiere a la restricción selectiva del acceso a una
ubicación, una tarea que se realiza con mayor frecuencia con una variedad de
métodos de seguridad que controlan y rastrean quién ingresa a una ubicación y
quién sale.

El control de acceso lógico se define como la restricción del acceso virtual a los
datos; consiste en protocolos de identificación, autenticación y autorización
utilizados en todo el mundo para proteger el hardware del acceso no autorizado,
incluidos programas de contraseñas, tarjetas inteligentes o tokens para identificar y
evaluar a los usuarios y los niveles de acceso.

Control de acceso lógico

En el mundo digital actual, las organizaciones deben estar atentas a la hora de

proteger sus datos, activos e infraestructura. Aquí está nuestro desglose de algunas
de las opciones disponibles: Collage de control de acceso lógico

Lectores de tarjetas inteligentes

Los lectores de tarjetas inteligentes protegen el inicio de sesión en PC y redes,

cifran
los discos duros y firman y cifran digitalmente el correo electrónico, lo que da lugar a
una amplia variedad de aplicaciones. Disponibles como opciones de contacto, sin
contacto o móviles, estos lectores brindan un alto nivel de seguridad para garantizar
que sus datos estén protegidos. La cartera de lectores de tarjetas inteligentes de
Identiv ofrece seguridad de varias capas, lo que evita el acceso no autorizado a
sistemas críticos y protege las identidades.

Los tokens compactos permiten una movilidad segura para aplicaciones de

escritorio móviles y tokens de tarjetas inteligentes sin contacto. Combina algo
familiar, como una contraseña, con algo nuevo, el token, para habilitar la
autenticación de dos factores. La familia de tokens uTrust de Identiv ofrece
movilidad segura para aplicaciones de escritorio en modo conectado a PC y un
token de tarjeta inteligente sin contacto en modo autónomo para una gran cantidad
de aplicaciones sin contacto. Ver y comprar ›
Aplicaciones móviles

Las aplicaciones móviles avanzadas admiten CAC, PIV y acceso multifactorial de

credenciales derivadas para navegadores web seguros, y brindan la capacidad de
firmar, cifrar y descifrar correos electrónicos y desarrollar aplicaciones seguras. El
conjunto de productos Sub Rosa de Thursby de Identiv ofrece todo y más,
brindando la capacidad de acceder a sitios web de dos factores, firmar, cifrar y
descifrar correos electrónicos, ver, editar y crear eventos de calendario, y editar y
firmar documentos PDF desde su iPhone, iPad , o teléfono o tableta Android.

Control de acceso físico

Si bien históricamente los métodos de un sistema de control de acceso físico
(PACS) consistían en llaves y puertas cerradas, hoy en día tenemos muchas más
opciones de alta tecnología, como: Collage de control de acceso físico

Puertas protegidas con contraseña

Probablemente haya notado puertas protegidas con contraseña en muchos lugares

públicos; En pocas palabras, la puerta restringe el acceso solo a aquellos con la
contraseña correcta, un medio eficaz para proteger una ubicación que alberga
información confidencial. Los lectores de teclado Hirsch ScramblePad de Identiv son
una familia de productos de control de acceso que proporcionan funcionalidad de
alta seguridad con nuestra codificación patentada de los dígitos del teclado
iluminado.

Sistemas de entrada telefónica

Este sistema de intercomunicación autónomo gestiona las llamadas realizadas en la

entrada de un edificio con acceso controlado por comunicación de audio entre el
interior y el exterior. El Enterphone iQ de 10 pulgadas de Identiv limita los requisitos
de espacio de instalación al mismo tiempo que habilita todas las funciones estándar
y opcionales de otros sistemas Enterphone by Identiv. Enterphone iQ es ideal para
edificios de apartamentos, condominios o estratos, comerciales y residenciales de
usos múltiples, edificios de oficinas y urbanizaciones cerradas. iQ puede montarse
al ras o en superficie, lo que permite opciones de instalación para cumplir con los
requisitos estéticos del entorno del cliente. Vista >

Cerraduras Inalámbricas

Los llaveros han pasado por muchas iteraciones a lo largo de los años; las
versiones más actualizadas ahora funcionan principalmente con la etiqueta de
identificación por radiofrecuencia (RFID), mucho más segura, que permite el
intercambio de datos a través de ondas electromagnéticas. La integración de la
cerradura inalámbrica Aperio de Identiv con Hirsch Velocity proporciona un control
de acceso de alta seguridad de forma inalámbrica.

Modelos y tipos de control de acceso

Hay cinco sistemas o modelos principales de control de acceso definidos bajo
diferentes términos. Generalmente, la elección de modelos incluye control de
acceso basado en roles, control de acceso basado en reglas, control de acceso
discrecional, control de acceso obligatorio y control de acceso basado en atributos.
El tipo de modelo que funcionará mejor depende de muchos factores diferentes,
incluido el tipo de edificio, la cantidad de personas que necesitan acceso, las
capacidades de granularidad de permisos de un software de control de acceso y el
nivel de seguridad requerido.

Control de acceso basado en roles (RBAC)

Entonces, ¿qué es el control de acceso basado en roles? En pocas palabras, en un

método o modelo de control de acceso basado en roles, un profesional de seguridad
determina los permisos de usuario o los privilegios de usuario según el rol del
empleado. Este podría ser su puesto o título dentro de la empresa, o el tipo de
situación laboral, como diferenciar entre un empleado temporal y un empleado a
tiempo completo.

Control de acceso basado en reglas (RuBAC)

Con el modelo basado en reglas, un profesional de seguridad o administrador del

sistema establece reglas de administración de acceso que pueden permitir o
denegar el acceso de usuarios a áreas específicas, independientemente de los otros
permisos de un empleado.

Control de acceso discrecional (DAC)

Las decisiones sobre los permisos de los usuarios se toman a discreción de una
persona, que puede tener o no experiencia en seguridad. Si bien esto limita la
cantidad de personas que pueden editar los permisos de los usuarios, este modelo
también puede poner en riesgo a una organización porque es posible que el
tomador de decisiones no sea consciente de las implicaciones de seguridad de sus
decisiones.

Control de acceso obligatorio (MAC)

Por el contrario, los modelos de control de acceso obligatorio otorgan la

responsabilidad de las decisiones de acceso a un profesional de seguridad que es la
única persona con autoridad para establecer y administrar permisos y derechos de
acceso. Este modelo se usa a menudo para empresas que protegen datos o
propiedades confidenciales y, por lo tanto, requieren los niveles más altos de estado
de seguridad.

Control de acceso basado en atributos (ABAC)

El control de acceso basado en atributos, también conocido como control basado en

políticas, evalúa los atributos o las características de los empleados, en lugar de los
roles, para determinar el acceso. Se deniega el acceso a un empleado que no
presenta los atributos establecidos por el administrador de seguridad.

Al considerar el control de acceso basado en reglas y roles, para seleccionar el

acceso al sistema más apropiado, el profesional de seguridad debe tener una
comprensión completa del nivel de riesgos en diferentes áreas de una propiedad, la
estructura organizativa, los procesos comerciales y los roles. y responsabilidades de
todos los empleados que requieran acceso a áreas específicas.

¿Qué es el acceso basado en roles?

Este modelo se basa en un principio conocido como 'privilegio mínimo'. Un
empleado solo puede acceder a las áreas o recursos necesarios para realizar las
funciones asociadas con su rol en el negocio. El acceso se puede basar en factores
como la antigüedad, el puesto o las responsabilidades de un empleado.

Por ejemplo, los altos directivos pueden acceder a la mayoría de las áreas de un
edificio, incluidas las áreas seguras. Es posible que los trabajadores administrativos
solo puedan acceder a la entrada principal y a las áreas de reunión de baja
seguridad. Los empleados especialistas, como ingenieros, técnicos o personal de
investigación, pueden tener permisos para acceder a áreas restringidas relevantes
para su trabajo.

Establecer permisos para administrar los derechos de acceso puede ser más
complejo si un empleado tiene más de un rol. Para usar una analogía de un entorno
de 'cerradura y llave', a los empleados con diferentes funciones y responsabilidades
de gestión se les otorga el equivalente digital de un 'manojo de llaves' para abrir las
puertas a las áreas donde necesitan realizar sus funciones. Sin embargo, su
'manojo de llaves' no abrirá otras puertas que no sean relevantes para su rol, ni les
dará acceso innecesario.

Configuración de permisos basados ​en roles

El control de acceso basado en roles genera seguridad en torno al rol de un
empleado y esto puede ayudar a desarrollar políticas sólidas en empresas con una
gran cantidad de empleados. En lugar de adoptar un enfoque de control de acceso
discrecional para establecer permisos individuales para una gran cantidad de
empleados, los administradores de seguridad establecen permisos en función de
una cantidad de funciones más pequeña y manejable.

Los administradores de seguridad pueden definir funciones de varias formas, entre

ellas:

por departamento

por título de trabajo

por nivel de antigüedad

por responsabilidades

por pertenencia a un equipo

por nivel de autorización de seguridad

Un ejemplo común de control de acceso basado en roles sería que un rol de

ingeniero de software tenga acceso a GCP y AWS, mientras que los roles de
finanzas tienen acceso a Xero.

Si los empleados son miembros de un grupo, como un equipo de proyecto, pueden

adquirir permisos adicionales otorgados al grupo para completar una tarea
específica. Por ejemplo, un equipo de proyecto podría necesitar acceder a una sala
de conferencias segura para realizar sus reuniones. Los administradores realizan un
seguimiento de la membresía de los equipos, otorgan permisos de grupo temporales
a los nuevos miembros y retiran los permisos cuando los miembros abandonan el
equipo o se completa un proyecto.

Para ayudar a los administradores de seguridad a definir roles de manera efectiva,

el Instituto Nacional de Estándares y Tecnología (NIST) ha definido un conjunto de
estándares para las mejores prácticas de control de acceso basado en roles. La
cascada de permisos por nivel de seguridad:
Nivel 1, Flat: Esto le da a cada empleado al menos un rol, lo que les otorga un
permiso básico para ingresar a un edificio e ir a su lugar de trabajo.

Nivel 2, Jerárquico: Aquí, los altos ejecutivos tienen un conjunto de permisos

relacionados con su rol y grado. También pueden usar permisos basados ​en roles
asignados al personal que les reporta.

Nivel 3, restringido: algunos empleados pueden tener varios roles y permisos

relacionados. Si los permisos múltiples crean un posible conflicto de intereses, el
administrador de seguridad puede imponer una regla de 'Separación de funciones' y
restringir el acceso para minimizar cualquier seguridad que resulte del conflicto de
intereses.

Nivel 4, simétrico: aquí, los administradores de seguridad revisan periódicamente los

permisos y pueden cambiarlos según los resultados de la revisión.

Beneficios del control de acceso basado en roles

Hay ventajas y desventajas del control de acceso basado en roles. Configurado

correctamente, el control de acceso basado en roles puede proporcionar la
seguridad que tanto necesita una empresa. Estos son algunos de los beneficios del
control de acceso basado en roles:

Mayor seguridad : el control de acceso basado en roles proporciona permisos según

la necesidad de saber que solo brinda acceso a espacios y recursos esenciales para
el rol del empleado.

Administración reducida: los administradores de seguridad solo tienen que asignar y

administrar permisos para una pequeña cantidad de roles, en lugar de crear
permisos individuales para cada empleado.

Movimientos, adiciones y cambios más simples : si un empleado se une a la

organización o cambia de rol, los administradores simplemente asignan o reasignan
permisos según el nuevo rol del empleado. Esto incluso se puede automatizar
cuando los proveedores de identidad se sincronizan con los permisos de los
usuarios.

Menor riesgo de error : el permiso de acceso se otorga en función de un rol con un

perfil de seguridad definido, en lugar de a discreción de una persona que puede no
estar al tanto de los riesgos de seguridad.

Estándares de seguridad coherentes : los administradores pueden imponer

estándares coherentes en varios sitios al garantizar que las funciones de los
empleados siempre tengan los mismos permisos, independientemente de su
ubicación.

Productividad mejorada : los permisos basados ​en roles están alineados con la
estructura y la estrategia del negocio. Esto garantiza que las medidas de seguridad
adecuadas permitan a los empleados acceder a todos los espacios y recursos que
necesitan para trabajar de manera productiva, en lugar de actuar como una barrera.

Mantener el cumplimiento : al garantizar que solo los empleados con un rol

autorizado puedan acceder a los datos cubiertos por las reglamentaciones, los
administradores pueden asegurarse de que la empresa cumpla con las
reglamentaciones federales, estatales o de la industria.

Costos de administración de seguridad más bajos : la administración, los

movimientos, las adiciones y los cambios más simples, junto con la reducción del
riesgo de costos asociados con las infracciones de seguridad o el incumplimiento,
ayudan a reducir los costos generales de seguridad.

Si bien existen muchos beneficios importantes de control de acceso basado en

roles, el modelo puede resultar inflexible, por ejemplo, en organizaciones donde los
empleados asumen múltiples roles y la composición de los equipos de proyecto o
grupos de trabajo cambia con frecuencia. Al igual que con cualquier tipo de
seguridad, el uso inadecuado, la falta de auditoría y el incumplimiento de las últimas
tendencias de control de acceso pueden generar vulnerabilidades con el tiempo.

Implementación del acceso basado en roles

Hay una serie de pasos importantes cuando se trata de implementar el control de
acceso basado en roles:

Revisar perfil de acceso actual -Enumere todas las puertas o puntos de acceso en la
propiedad e identifique su nivel de seguridad de menor a mayor. Prepare una lista
de empleados con acceso a áreas de mayor seguridad. Identifique cualquier área de
mayor riesgo que no tenga una lista de empleados autorizados.

Cree un perfil de acceso para cada rol : trabaje con RR. HH. y los gerentes de línea
para identificar las áreas a las que cada rol necesita acceder para llevar a cabo su
función.

Documentar y publicar roles y permisos -Para asegurarse de que todos los

empleados comprendan sus permisos de acceso, publique los permisos asociados
con cada rol. Esto ayuda a evitar cualquier error o malentendido.
Actualice el perfil de acceso : prepare un nuevo perfil de acceso, vinculando los
puntos de acceso a las funciones de los empleados, en lugar de nombres
individuales.

Realice revisiones periódicas : recopile los comentarios de los empleados e

identifique cualquier problema de acceso. Revise cualquier problema de seguridad
que resulte de un control de acceso débil y revise los permisos si es necesario.

Ir a la parte superior / Obtenga ayuda hoy

¿Qué es el acceso basado en reglas?

Bajo este modelo, los administradores de seguridad establecen reglas de alto nivel
para determinar cómo, dónde y cuándo los empleados pueden acceder a espacios o
recursos. Los administradores establecen una lista de control para cada espacio o
recurso. Cuando un empleado intenta obtener acceso, el sistema de control de
acceso verifica la lista de requisitos y otorga o niega el acceso.

Al igual que los modelos basados ​en roles, los administradores de seguridad utilizan
el control de acceso basado en reglas para administrar los puntos de acceso dentro
de un edificio.

Sin embargo, los permisos de acceso no están relacionados con roles específicos y
se pueden usar para anular otros permisos que tenga un empleado. Por ejemplo, es
posible que un profesional de recursos humanos con permiso basado en roles para
acceder a una sala que contiene registros de personal no pueda acceder a esa área
si está cubierta por una regla que deniega el acceso a todos los empleados los fines
de semana.

Los modelos basados ​en reglas se utilizan con frecuencia junto con otros modelos,
en particular, los modelos basados ​en roles. Este enfoque híbrido permite a los
administradores establecer reglas granulares que brindan niveles adicionales de
seguridad para cumplir con tipos específicos de riesgo. Las reglas en un ejemplo de
control de acceso basado en reglas generalmente se basan en factores, como:

Hora : por ejemplo, sin acceso fuera del horario comercial normal.

Nivel de antigüedad : por ejemplo, sin acceso a ningún empleado por debajo de un
grado específico.

Nivel de amenaza : por ejemplo, si otros puntos de acceso se han visto

comprometidos.

Cada punto de acceso puede tener un conjunto diferente de reglas, y las reglas
pueden ser estáticas o dinámicas:
Las reglas estáticas no cambian, a menos que el administrador decida realizar
cambios para cumplir con las amenazas emergentes o los nuevos requisitos de
seguridad. Por ejemplo, un administrador puede cambiar las reglas que se aplican a
un área si requiere un mayor nivel de seguridad.

Las reglas dinámicas pueden cambiar en determinadas circunstancias. Por ejemplo,

si el sistema de seguridad detecta múltiples intentos fallidos de autorización, se le
puede negar el acceso al usuario.

Las reglas de denegación implícitas pueden denegar el acceso a cualquier usuario

que no tenga credenciales específicas para ingresar a un área.

Beneficios del control de acceso basado en reglas

Mayor seguridad -basado en reglasLos modelos pueden funcionar junto con otros
modelos de control de acceso para proporcionar mayores niveles de seguridad.

Control granular -Los administradores de seguridad pueden establecer y administrar

muchas variables dentro de las reglas para garantizar un nivel de control muy fino y
aumentar los niveles de protección de las áreas seguras.

Autorización sencilla -Las solicitudes de acceso se verifican y validan rápidamente

con una lista de reglas predeterminadas.

Control flexible : las reglas de alto nivel se pueden cambiar e implementar

rápidamente en toda la organización sin cambiar los permisos específicos
relacionados con roles.

Cumplimiento garantizado : las reglas se pueden alinear con las regulaciones de

cumplimiento federales, estatales o de la industria para anular otros permisos que
puedan comprometer el cumplimiento.

Debilidades de los modelos de control de acceso basados ​en reglas

Proceso que requiere mucho tiempo : configurar y administrar variables puede
llevar mucho tiempo tanto para configurar el sistema como para implementar
cambios.

Altos niveles de monitoreo : los administradores deben monitorear continuamente

los sistemas para garantizar que las reglas cumplan con los objetivos previstos.

engorroso -En algunas situaciones, las reglas pueden impedir que los empleados
trabajen de manera eficiente al restringir el acceso a espacios y recursos
esenciales.
Complejidad : las reglas pueden volverse complejas si los administradores aplican
altos niveles de granularidad. Esto puede hacer que sean difíciles de manejar y
difíciles de entender para los empleados.

Genérico : los modelos basados ​en reglas no se relacionan con las funciones y
responsabilidades individuales de los empleados y su necesidad de acceder a
diferentes espacios o recursos.

Implementación de control de acceso basado en reglas

Hay una serie de pasos importantes cuando se trata de implementar el control de
acceso basado en reglas y considerar las mejores prácticas de control basado en
reglas:

Revisar las reglas de acceso actuales -Revise las reglas que se aplican a puntos de
acceso específicos, así como las reglas generales que se aplican a todos los puntos
de acceso. Identifique cualquier área de mayor riesgo que no tenga reglas de
acceso específicas. Esto debe hacerse con regularidad, ya que las vulnerabilidades
de seguridad cambian y evolucionan constantemente.

Analice escenarios hipotéticos : identifique escenarios potenciales que podrían

requerir reglas adicionales para minimizar el riesgo.

Actualizar o crear reglas -Con base en la evaluación, establezca nuevas reglas o

actualice las reglas existentes para fortalecer los niveles de seguridad.

Evite los conflictos de permisos : compare las reglas con los permisos establecidos
por otros modelos de control de acceso para asegurarse de que no haya ningún
conflicto que deniegue el acceso por error.

Documentar y publicar reglas -Para asegurarse de que todos los empleados

comprendan sus derechos y responsabilidades de acceso, publique las reglas más
importantes y comunique cualquier cambio. Si bien es posible que los empleados no
necesiten conocer los detalles granulares, es importante asegurarse de que
comprendan cómo los cambios en las políticas pueden afectar sus operaciones
diarias.

Realice revisiones regulares : realice auditorías periódicas del sistema para

identificar cualquier problema de acceso o brechas en la seguridad. Revise
cualquier problema de seguridad que resulte de un control de acceso débil y revise
las reglas si es necesario.

Ir a la parte superior / Obtenga ayuda hoy

Control de acceso basado en reglas versus basado en roles
Ambos modelos son configurados y administrados por administradores de
seguridad. Son obligatorios en lugar de discrecionales, y los empleados no pueden
cambiar sus permisos ni controlar el acceso. Sin embargo, existen algunas
diferencias clave al comparar el control de acceso basado en reglas con el basado
en roles, que pueden determinar qué modelo es mejor para un caso de uso
específico.

Operación

Los modelos basados ​en reglas establecen reglas que se aplican,

independientemente de los roles laborales.

Los modelos basados ​en roles basan los permisos en roles de trabajo específicos.

Objetivo

Los controles de acceso basados ​en reglas son preventivos: no determinan los
niveles de acceso de los empleados. En su lugar, funcionan para evitar el acceso no
autorizado.

Los modelos basados ​en roles son proactivos: brindan a los empleados un conjunto
de circunstancias en las que pueden obtener acceso autorizado.

Solicitud

Los modelos basados ​en reglas son genéricos: se aplican a todos los empleados,
independientemente de su función.

Los modelos basados ​en funciones se aplican a los empleados caso por caso,
según su función.

casos de uso
Los modelos basados ​en roles son adecuados para organizaciones donde los roles
están claramente definidos y donde es posible identificar los recursos y los
requisitos de acceso en función de esos roles. Eso hace que los modelos RBAC
sean adecuados para organizaciones con una gran cantidad de empleados donde
sería difícil y llevaría mucho tiempo establecer permisos para empleados
individuales.

Los sistemas operativos basados ​en reglas son efectivos en organizaciones con un
número menor de empleados o donde los roles son más fluidos, lo que dificulta la
asignación de permisos "ajustados". Los sistemas operativos basados ​en reglas
también son importantes para organizaciones con múltiples áreas que requieren los
más altos niveles de seguridad. Un modelo basado en funciones por sí solo puede
no proporcionar un nivel adecuado de protección, especialmente si cada función
cubre diferentes niveles de antigüedad y diferentes requisitos de acceso.

Ir a la parte superior / Obtenga ayuda hoy

Modelos híbridos
Los modelos de control de acceso basados ​en reglas y roles pueden considerarse
complementarios: utilizan diferentes enfoques para lograr el mismo propósito de
maximizar la protección. Los sistemas basados ​en funciones garantizan que solo los
empleados adecuados puedan acceder a áreas o recursos seguros. Los sistemas
basados ​en reglas garantizan que los empleados autorizados accedan a los
recursos de la forma adecuada y en el momento adecuado.

Algunas organizaciones encuentran que ninguno de los modelos proporciona el

nivel requerido de protección. Al adoptar un modelo híbrido, los administradores de
seguridad pueden brindar protección de alto nivel a través de sistemas basados ​en
roles y control granular flexible a través de modelos basados ​en reglas para hacer
frente a diferentes escenarios.

Para las áreas con requisitos de seguridad más bajos, como los vestíbulos de
entrada, los administradores pueden brindar acceso a todos los empleados a través
del modelo basado en roles, pero agregar una excepción basada en reglas que
niega el acceso fuera del horario comercial.

Para áreas de mayor seguridad, los administradores pueden asignar permisos a

roles específicos, pero usan sistemas basados ​en reglas para excluir a los
empleados en un rol que solo están en el nivel junior.

Un modelo híbrido como ese proporciona los beneficios de ambos modelos al

tiempo que fortalece la postura de seguridad general.

Categorización de controles con base en su aplicabilidad

En términos generales, los controles de seguridad se pueden dividir en tres grandes

grupos dependiendo de su ámbito de aplicabilidad:

● Controles de seguridad físicos u operacionales: Son aquellos tipos de

controles tangibles orientados a la protección del entorno y de los

recursos físicos de la organización. Ejemplos:

○ Puertas
 ○ Cerraduras

○ Ventanas

● Controles de seguridad lógicos o técnicos: Son aquellos controles

basados en una combinación de hardware y software. Ejemplos:

○ Criptografía

○ Antimalware

○ Cortafuegos (“firewalls”)

● Controles de seguridad administrativos o de gestión: Son aquellos

controles procedimentales, administrativos y/o documentales que

establecen las reglas a seguir para la protección del entorno. Ejemplos:

○ Política de seguridad

○ Gestión de privilegios

○ Controles de contratación de personal

Categorización de controles con base en su comportamiento

De acuerdo con los principios estratégicos militares, cualquier confrontación cuenta

con un agente que actúa como ofensivo y otro que actúa como defensivo, pudiendo
cambiar sus papeles a lo largo del desarrollo del conflicto. En una actitud ofensiva
siempre se toma la iniciativa y se desarrollan acciones orientadas a atacar al otro,
mientras que en la actitud defensiva se renuncia a la iniciativa y se espera al ataque
para contenerlo y repelerlo [4]. Si se aplican los mismos criterios en el ámbito de
seguridad de la información, se pueden establecer dos categorías principales de
controles de seguridad dependiendo de su comportamiento: Controles defensivos
y controles ofensivos.

La coordinación entre los controles defensivos y ofensivos de la organización y la

aplicación de acciones de mejora continua con base en los resultados de sus
actividades es responsabilidad del Equipo Púrpura (“Purple Team”), compuesto por
el responsable de seguridad de la información de la organización y personal del
área de auditoría interna.

Controles defensivos
Este tipo de controles están orientados hacia la protección de los activos de
información de la organización ante cualquier amenaza. Su función suele ser pasiva,
ya que las actividades que desarrollan se focalizan en la preparación y respuesta
ante la ocurrencia de un potencial incidente. Su gestión está bajo la responsabilidad
del Equipo Azul (“Blue Team”), compuesto por el personal de seguridad de la
información de la organización y los equipos de operación y administración.

A su vez, los controles defensivos se pueden organizar en dos subgrupos

dependiendo del momento en el cual podrán actuar: Salvaguardas y
contramedidas. La línea que hace esta separación es el momento de la ocurrencia
de un incidente de seguridad:

Salvaguardas

En este subgrupo se encuentran los diferentes controles implementados para

gestionar, prevenir y disuadir cualquier potencial amenaza antes de que se
materialice. En este grupo se encuentran los siguientes tipos de controles:

● Directivos: Controles que permiten la especificación de un modelo de

reglas que definirán el comportamiento esperado y aceptado en términos

de seguridad en la organización (lo qué se puede hacer y lo qué no), así

como las acciones de defensa relacionadas. Ejemplos:

○ Políticas de seguridad

○ Acuerdos de confidencialidad

● Disuasorios: Controles cuyo objetivo está en inducir a un potencial

atacante para que desista de su propósito. Su marco de acción suele ser

fundamentalmente psicológico. Ejemplos:

○ Avisos de advertencia

○ Cámaras de videovigilancia inactivas

● Preventivos: Este tipo de controles son la primera línea de acción frente

a una posible amenaza. Por lo general están enfocados en la aplicación

de restricciones para evitar un riesgo de forma anticipada. Ejemplos:

○ Vallas de seguridad
 ○ Cortafuegos (“firewalls”)

○ Formularios de autenticación

● Compensatorios: Controles alternativos que se usan cuando existe una

restricción técnica o del negocio justificada que no permite la

implementación de un control específico de acuerdo con lo que indican

los lineamientos directivos. Ejemplos:

○ Control de software malicioso a través de listas blancas

(“whitelists”)

○ Supervisión adicional a las tareas de los empleados

Contramedidas

En este subgrupo se encuentran aquellos controles cuyo objetivo es identificar,

detener, contener y corregir una amenaza cuando ésta ya se ha materializado. En
este grupo se encuentran los siguientes controles:

● De engaño: Controles señuelo que permiten desviar la atención de un

potencial atacante hacia un objetivo configurado intencionalmente de

forma insegura para que pueda ser atacado, pero que se encuentra

aislado y monitorizado por la organización. Esto permite contener y

analizar las acciones del atacante mientras que se optimizan las propias

defensas. Ejemplos:

○ Honeypots y honeynets

○ Cajas fuertes vacías

● Detectivos: Controles que permiten proveer una notificación al personal

encargado cuando el incidente ya ha ocurrido o se han detectado

comportamientos anormales que pueden ser indicios de la ocurrencia de

un incidente. Ejemplos:

○ Registros de eventos (“logs)

 ○ Sensores de movimiento

○ Sistemas de Detección de Intrusos (“Intrusion Detection Systems”

– IDS)

● Correctivos: Este tipo de controles están orientados a la contención del

daño y la reconfiguración de los activos afectados. Ejemplos:

○ Extintores de fuego

○ Terminación de conexiones

○ Finalización del contrato

● De recuperación: Finalmente, este tipo de controles permiten que el

activo pueda retornar a la operación normal, corrigiendo cualquier daño

causado por el incidente. Ejemplos:

○ Copias de seguridad (“backups”)

○ Uso de centros de procesamiento de datos alternativos

Es importante resaltar que estas categorías no son necesariamente excluyentes. Es

decir: un control puede operar bajo una o múltiples categorías. Por ejemplo, un
sistema de prevención de intrusiones (“Intrusion Prevention System” – IPS) es un
control defensivo de tipo detectivo (ya que genera una notificación del ataque) y
correctivo (ya que permite la finalización de la conexión maliciosa y el bloqueo de
conexiones subsiguientes).

Controles ofensivos

Este tipo de controles permiten la evaluación proactiva de la postura de seguridad

corporativa y la mejora continua de los niveles de seguridad ofrecidos por los
controles defensivos implementados en la organización. Su naturaleza es activa y
se basa en la generación de incidentes reales o simulados, emulando las técnicas
que podrían usar los atacantes de la forma más real posible. Su ejecución debe ser
explícitamente coordinada por la organización y dentro de unos límites específicos.
Igualmente, no puede ser ejecutada contra organizaciones externas a menos de que
se tenga una aprobación.
La gestión de este tipo de controles recae en el Equipo Rojo (“Red Team”), que
puede estar compuesto por personal interno o externo que garantice independencia
del equipo azul. Dependiendo de las limitaciones en términos de tiempo de las
pruebas y el realismo de los resultados, el equipo rojo puede tener o no
conocimiento del entorno defendido.

Estos controles se pueden subdividir en pasivos y activos, dependiendo de la

activación o no de una acción que viole explícitamente los controles defensivos
(incidente):

Pasivos

Controles que de forma explícita no violan ningún control defensivo, con lo cual sus
acciones no se pueden catalogar como incidentes.

● Reconocimiento pasivo: Este tipo de controles se enmarcan en la

realización de acciones aceptables dentro del marco normativo de la

organización, pero cuyos resultados pueden ofrecer datos al equipo rojo

para perfilar sus acciones. Ejemplos:

○ Analizadores del espectro electromagnético

○ Capturadores de tráfico (“sniffing”)

○ Ingeniería social

Activos

A diferencia de los controles pasivos, estos controles infringen explícitamente una

política de seguridad y pueden afectar la integridad, confidencialidad y/o
disponibilidad de los activos, por lo cual deben ser gestionados de forma muy
controlada para minimizar posibles errores.

● Reconocimiento activo: Estos controles permiten la detección de

posibles vulnerabilidades en los sistemas defensivos mediante la

ejecución de pruebas simuladas. Ejemplos:

○ Escaneadores de vulnerabilidades

○ Auditorías técnicas de sistemas

 ○ Simulacros de planes de respuesta a incidentes

● Explotación: Estos controles están orientados a la utilización de una

vulnerabilidad previamente identificada en un control defensivo para

aprovecharse de ella y lograr un objetivo definido. Ejemplos:

○ Herramientas para pruebas de penetración

● Persistencia: Estos controles permiten la continuidad y subsistencia de

los privilegios y accesos obtenidos posterior a la vulneración del activo.

Ejemplos:

○ Controles anti-forenses
Conclusión

La confidencialidad de su mensaje siempre debe depender de la confidencialidad de

la clave y no de la confidencialidad del sistema de encriptación. (Esto se conoce
como el principio de Kerckhoff).

En relación con lo anterior, utilice siempre cifrados que hayan sido revisados
​públicamente y que se hayan establecido como estándar. Usar "criptografía secreta"
es malo, porque al igual que el cifrado César, una vez que se conoce el sistema,
todos los mensajes se pueden descifrar. Por ejemplo, si su clave se ve
comprometida, un atacante podría acceder a sus mensajes; sin embargo, si el
atacante puede comprometer el sistema criptográfico en sí, puede obtener el texto
sin formato de cada mensaje (no solo para una sola persona) encriptado por ese
sistema.
Bibliografía

https://www.techtarget.com/searchsecurity/definition/cryptography

https://www.britannica.com/topic/cryptology/History-of-cryptology

https://www.tutorialspoint.com/cryptography/origin_of_cryptography.htm

https://www.redhat.com/en/blog/brief-history-cryptography#:~:text=The%20first%20k
nown%20evidence%20of,place%20of%20more%20ordinary%20ones.

https://blog.mailfence.com/symmetric-vs-asymmetric-encryption/

https://www.thesslstore.com/blog/symmetric-encryption-algorithms/#:~:text=Symmetr
ic%20encryption%20algorithms%20use%20the,processes%20depending%20on%20
their%20design.

https://info.townsendsecurity.com/definitive-guide-to-encryption-key-management-fu
ndamentals#:~:text=What%20is%20Encryption%20Key%20Management,and%20thr
ough%20user%2Frole%20access.

https://www.thesslstore.com/blog/asymmetric-vs-symmetric-encryption/

https://blogs.ucl.ac.uk/infosec/2017/03/12/applications-of-cryptography/

https://www.openpath.com/blog-post/access-control-models