Caja PDF

Comparta fácilmente sus documentos PDF con sus contactos, la web y las redes sociales.

Compartir un archivo PDF Gestor de archivos Caja de instrumento Buscar PDF Ayuda Contáctenos



guia 2 seguridad informatoca niveles de seguridad grado 11 .pdf



Nombre del archivo original: guia 2 seguridad informatoca-niveles-de-seguridad grado 11.pdf
Autor: equipo2

Este documento en formato PDF 1.5 fue generado por Microsoft® Word 2013, y fue enviado en caja-pdf.es el 16/03/2015 a las 00:46, desde la dirección IP 190.9.x.x. La página de descarga de documentos ha sido vista 1374 veces.
Tamaño del archivo: 596 KB (34 páginas).
Privacidad: archivo público




Descargar el documento PDF









Vista previa del documento


COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 1 de 12

Módulo de Formación:

Seguridad informática.

Unidad de aprendizaje 2:

Seguridad informática

Resultado de Aprendizaje:

Conocer los diferentes medios de almacenamiento y su seguridad
informática

Contenido
MANUAL DE BUENAS PRACTICAS EN SEGURIDAD INFORMATICA ...................................................... 2
INTRODUCCIÓN ................................................................................................................................... 2
1.

Rendimiento ............................................................................................................................ 2

2.

Disponibilidad .......................................................................................................................... 3

3.

La distribución de la información: ........................................................................................... 3

4.

Accesibilidad ............................................................................................................................ 4

Medios de almacenamiento................................................................................................................ 4
5.

Soporte de almacenamiento de la información...................................................................... 4

6.

Lectura-escritura ..................................................................................................................... 5

7.

Acceso a la información .......................................................................................................... 5

8.

Ubicación de la unidad ............................................................................................................ 5

9.

Conexión entre soporte y unidad ............................................................................................ 5

10.

Almacenamiento redundante y distribuido ........................................................................ 6

11.

RAID ..................................................................................................................................... 6

12.

Almacenamiento Remoto: ................................................................................................ 11

13.

Almacenamiento en la nube. ............................................................................................ 11

14.

Copias de Seguridad y Restauración. ................................................................................ 12

15.

Modelos de almacén de datos. ......................................................................................... 12

16.

Diseño de estrategias de Backup. ..................................................................................... 13

17.

Software de backup y restauración................................................................................... 15

CORTAFUEGOS .................................................................................................................................. 17
18.

Redes inalámbricas............................................................................................................ 21

19.

Consejos de seguridad. ..................................................................................................... 22

Criptografía........................................................................................................................................ 24
Taller.................................................................................................................................................. 33

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 2 de 12

MANUAL DE BUENAS PRACTICAS EN SEGURIDAD
INFORMATICA
INTRODUCCIÓN
Todo equipo informático dispone de un sistema de almacenamiento para guardar los datos. En un
altísimo porcentaje, el sistema de almacenamiento está constituido por uno o varios discos duros.
Estos serán de mayor o menor sofisticación, pero todos constituyen en sí mismos un elemento
dedicado que necesitan unas condiciones mínimas de trabajo.
Hacer trabajar a los discos duros en condiciones extremas puede producir una avería física que como
consecuencia podría hacer imposible acceder a la información que contiene. Por tanto, aunque los
3 elementos principales a proteger son el software ,el hardware y los datos, este último, es el
principal elemento de los 3 ya que es el más amenazado y seguramente, el más difícil de recuperar.
Contra cualquiera de los 3 elementos se pueden realizar multitud de ataques o dicho de otra forma,
están expuestos a diferentes amenazas. Generalmente, la taxonomía más elemental de estas
amenazas las divide en 4 grandes grupos: Interrupción, Interceptación, Modificación y Fabricación.
Una ataque se identifica como interrupción, si se hace con un objeto de sistema, se pierda, quede
inutilizable, o no disponible.
Se tratara de una interceptación si un elemento no autorizado consigue un acceso a un determinado
objeto del sistema.
Una modificación si además de conseguir el acceso, consigue modificar el objeto, algunos autores
consideran un caso especial de la modificación la destrucción, entendiéndola como una
modificación que inutilizable el objeto.
Por último se dice que un ataque es una fabricación si se trata de una modificación destinada a
conseguir un objeto similar al atacado de forma que sea difícil distinguir entre el original y el
fabricado.
El almacenamiento de la información requiere una serie de principios y características que mejorar:
Rendimiento.
Disponibilidad.
Accesibilidad.

1. Rendimiento
Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 3 de 12

Se refiere a la capacidad de disponer un volumen de datos en un tiempo determinado. Se mide en
tasas de transferencia (MBits/s).
Existen muchas tecnologías para fabricar dispositivos de almacenamiento, caracterizadas por: coste
por bit, tiempo de acceso y capacidad de almacenamiento. El procesador es el elemento principal
del ordenador, interesa que los datos con los que va a operar en un momento dado estén los mas
próximas a ellas. Cuando la CPU encuentra un dato que necesita sus registros internos se intenta
recuperar del nivel inmediatamente inferior (la caché), si no lo encuentra accede a la RAM y si
tampoco está allí al disco duro, discos ópticos, etc. Se debe satisfacer por lo tanto la propiedad de
inclusión según la cual la información en un determinado nivel se encuentra replicada en los niveles
inferiores. Este principio determina la jerarquía de memorias, ubicación temporal de los datos, que
está fuertemente ligada a la necesidad que tiene el micro de emplearlos en un momento
determinado. Los datos recientemente accedidos se ubican en las memorias mas rápidas y estas
deben estar próximas al microprocesador o a la CPU. Las memorias sucesivamente mayores y mas
lentas de mayor tiempo de acceso por bit dispondrán todos los datos potencialmente accesibles por
la CPU. La memoria interna de carácter volátil o no permanente en ausencia de alimentación
eléctrica de mayor velocidad y coste compone los 3 escalones superiores de la pirámide (Registros
internos, memoria caché y memoria RAM). Los niveles inferiores (discos magnéticos, ópticos y cintas
magnéticas) se suelen agrupar con nombre de memoria externa de carácter no volátil, almacena la
información de forma permanente en ausencia de electricidad, menor velocidad de acceso y menor
coste por bit.

2. Disponibilidad
La disponibilidad se refiere a la seguridad que la información puede ser recuperada en el momento
en que se necesite. Esto es evitar su perdida o bloqueo bien sea por ataque, mala operación
accidental o situaciones fortuitas o de fuerza mayor. Las distintas técnicas que hoy favorecen la alta
disponibilidad de los sistemas de almacenamiento son:

La redundancia o duplicados de información:
Sistemas RAID de almacenamiento.
Centro de procesamiento de centros de respaldo.

3. La distribución de la información:
Disponer de copias de seguridad en distintas ubicaciones geográficas.
Medios de almacenamiento extraíbles y portátiles.
Servidores de almacenamiento redundantes y distribuidos geográficamente con sincronización en
la información que contienen.

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 4 de 12

Copias de seguridad en la nube
Servicios de copias de seguridad online.

4. Accesibilidad
Se refiere a tener disponible la información por parte de los usuarios autorizados. Habitualmente se
controla mediante técnicas de control de acceso.

Medios de almacenamiento
En primer lugar realizaremos una clasificación de los dispositivos de almacenamiento en función de
varias características:
La naturaleza del soporte de almacenamiento: magnético,óptico,magnetoóptico, memorias flash.
Si es posible leer o escribir.
Acceso a la información secuencial o directo.
Dispositivos interno o externo al sistema informático.
Conexión entre el soporte de la información y la unidad lectora-escritora.

5. Soporte de almacenamiento de la información
Se determina soporte a todo material o dispositivo en general destinado a registrar información
sera un medio en el que se almacene información con una determinada escritura y de manera
indefinida para que pueda ser utilizada por el sistema o por terceras personas. No se debe confundir
soporte de información con periférico. Se considera periférico a cualquier periférico de entradasalida conectado al ordenador que sirve para leer o escribir información sobre los soportes. Es pues,
el soporte, el almacén de la información y el periférico el encargado de leer y escribir información
sobre dicho soporte. Los mas extendidos son los siguiente:




Magnéticos: Los discos y cintas magnéticas contienen soportes de información constituidos
por un sustrato de plástico o aluminio recubierto con un material magnetizable
tradicionalmente oxido férrico o oxido de cromo. La información se graba dentro de
unidades elementales o celdas que forman lineas o pistas. Cada celda puede estar sin
magnetizar o estar magnetizada en uno de dos estados o campos magnéticos(Norte o Sur)
que podrán corresponder a un 0 o a un 1. Para escribir o leer una celda se emplea la
electricidad para crear campos magnéticos orientados en una dirección u otra para
representar 1 o 0. Ejemplos: Cintas magnéticas, discos magnéticos son los mas empleados
para el almacenamiento masivo de gran volumen de información.
Ópticos: Usan la energía lumínica mediante un rayo láser u un elemento lumínico para
almacenar o leer la información. Los 0 o 1 se representan por la presencia o ausencia de una
señal luminosa, ejemplos: dvd's, cd's. Los mas extendidos de uso portátil multimedia,
comercial, con usos de solo lectura.

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO




Código : GC-DCVersión:1
Página 5 de 12

Magnetoópticos: Son soportes que permiten la lectura y la escritura. La información no se
graba de manera mecánica, se graba magnéticamente. Los discos vírgenes tienen una
magnetización previa mediante láser es posible cambiar la magnetización de las celdas. Los
discos magnetoópticos como el cd-mo son regrabables aunque son mas duraderos que los
cd-w ya que estos se van degradando en cada operación de escritura. Los mini disck y
unidades zip han tenido un gran éxito comercial en los 80's y 90.
Flash USB: Emplean memoria semiconductora en uno o varios chips de tipo flash NAND su
cualidad mas destacada es que a pesar de ser memoria semiconductora mantiene su
contenido sin necesidad de suministrar energía eléctrica mediante tecnología de puerta
flotante, los electrones quedan confinados en el transistor que forma la celda de memoria,
ejemplo: memorias de cámaras, memorias usb.

6. Lectura-escritura
De todos los soportes se puede extraer la información almacenada, pero en algunos casos solo se
puede realizar una escritura por lo que no se podrá volver a escribir en ellos. Podemos clasificarlos
en: Reutilizables o regrabables: Podemos emplear el mismo soporte todas las veces que deseemos,
ejemplos, cinta magnética,memoria usb, cd-rw.
No reutilizable o de solo lectura: Una vez que se graba la información no se puede modificar, tan
solo leerla, ejemplos cd, dvd.

7. Acceso a la información
Secuencial: Para acceder a un dato tenemos que leer y escribir todos los anteriores, ejemplo, la
grabación de un cd y en una cinta magnética la lectura y escritura.
Directo: Podemos acceder a cualquier dato de forma casi inmediata, ejemplo, la lectura de un cd,
disco duro, memoria USB es directa. Podemos leer cualquier archivo sin necesidad de acceder a los
demás.

8. Ubicación de la unidad
Interna: La unidad lectora-grabadora ser localiza dentro de la carcasa del ordenador, ejemplos,
discos duros,unidades de cd.
Externa: la unidad lectora-grabadora se sitúa fuera del ordenador, ejemplos, memoria USB,disco
duro externo,unidad lectora de dvd y cd externa.

9. Conexión entre soporte y unidad

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 6 de 12

Removibles: El soporte que almacena la información se puede cambiar permaneciendo la unidad
lectora-grabadora, ejemplos, cd,dvd.
No removibles: El soporte que almacena la información y la unidad lectora-grabadora se encuentran
unidos,ejemplo, los discos duros y la memoria USB.

10.Almacenamiento redundante y distribuido
Uno de los principios que tiene el almacenamiento seguro de la información debe ser la
disponibilidad. La redundancia o creación de duplicados exactos de la información posibilita que
ante perdidas de información sea posible recuperar los datos. La redundancia la analizaremos desde
2 puntos de vista, los sistemas RAID de almacenamiento redundante y los sistemas distribuidos o
centros de respaldo con sincronización de datos.

11.RAID
En informática el acrónimo RAID hace referencia a un sistema de almacenamiento que usa múltiples
discos duros entre los que distribuye o replica datos dependiendo de su configuración a la que suele
llamarse nivel. Los beneficios de un RAID respecto a un único disco son uno o varios de los siguientes:
mayor integridad, mayor tolerancia a fallos, mayor rendimiento y mayor capacidad.
En el nivel mas simple, un RAID combina varios discos duros en una sola unidad lógica, así en lugar
de ver varios discos duros diferentes, el sistema operativo ve uno solo. Los RAID suelen usarse en
servidores y normalmente aunque no es necesario se implementan como unidades de disco de la
misma capacidad debido a decremento del precio de los discos duros y la mayor disponibilidad de
las opciones RAID incluidas en los chipset de las placas base. Los RAIDs se encuentran también como
opción en los ordenadores personales mas avanzados, frecuentemente en las computadoras
dedicadas a tareas intensivas de almacenamiento como edición de audio y vídeo.
Implementaciones
La distribución de datos en varios discos puede ser gestionada por hardware dedicado o por
software, además existen sistemas RAID híbridos basados en software y hardware especifico.
En la implementación con software, el sistema operativo gestiona los discos a través de una
controladora de disco normal, considerada tradicionalmente como una operación. Podría
considerarse más lenta pero con el rendimiento de las CPU modernas puede llegar a ser mas rápida
que algunas implementaciones hardware a expensas a dejar mas tiempo de proceso al resto de
tareas del sistema.
Una implementación de RAID basada en hardware requiere al menos una controladora RAID
especifica ya sea como una tarjeta de expansión independiente o integrada en la placa base que

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 7 de 12

gestione las operación de los discos y efectué los cálculos de paridad. Esta opción suele ofrecer un
mejor rendimiento y hace que el soporte por parte del sistema operativo sea mas sencillo. Las
implementaciones basadas en hardware suelen soportar sustitución en caliente, permitiendo que
los discos que fallen puedan reemplazarse sin necesidad de parar el sistema. En los RAIDs mayores
la controladora y los discos suelen montarse en una caja externa especifica conectada al sistema
mediante una o varias conexiones SCSI y fibrreCHANNEL. A veces el sistema RAID es totalmente
autónomo conectándose al sistema como NAS.
Los RAIDs híbridos se han hecho muy populares con la introducción de controladoras
RAID(hardware) mas baratas. En realidad, el hardware es una controladora de disco normal pero el
sistema incorpora una aplicación de bajo nivel que permita a los usuarios construir RAID controlados
por la BIOS. Será necesario utilizar un controlador de dispositivo especifico para que el sistema
operativo reconozca la controladora como un único dispositivo RAID.
Los RAIDs por software suelen presentar el problema de tener que reconstruir el conjunto de discos
cuando el sistema es reiniciado tras un fallo para asegurar la integridad de los datos. Por el contrario
los sistemas gestionados por software son mucho mas flexibles, permitiendo por ejemplo construir
RAID de particiones en lugar de discos completos y agrupar en un mismo RAID discos conectados en
barias computadoras. Los basados en hardware añaden un punto de fallo mas al sistema: la
controladora RAID.
Todas las implementaciones pueden soportar el uso de uno o mas discos de reserva, unidades
instaladas que pueden desmontarse inmediatamente tras el fallo de un disco RAID. Esto reduce le
tiempo de reparación al acortar el tiempo de reconstrucción del RAID.
Las configuraciones RAID mas usados comúnmente son:
RAID 0 (conjunto dividido).
RAID 1 (conjunto en espejo)
RAID 5 (conjunto dividido con paridad distribuida)

RAID 0 (DATA STRIPING)
Un RAID 0 también llamado con junto dividido o volumen dividido, distribuye los datos
equitativamente entre dos o mas discos sin información de paridad que proporcione redundancia.
Se usa normalmente para incrementar el rendimiento aunque también puede utilizarse como forma
de crear un pequeño número de grandes discos virtuales a partir de un gran número de pequeños
discos físicos.
Mejora el rendimiento pero no aporta seguridad.

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 8 de 12

Un RAID 0 puede ser creado con discos de diferentes tamaños, pero el espacio de almacenamiento
añadido al conjunto estará limitado por el tamaño de discos más pequeño, por ejemplo si un disco
de 300 Gigas se divide con uno de 100 Gigas el tamaño del conjunto será solo de 200 Gigas ya que
cada disco aporta solo 100 gigas.
RAID 1 (DATA MIRRURING)
Un RAID 1 crea una copia exacta o espejo de un conjunto de datos en dos o más discos, esto resulta
útil cuando el rendimiento en lectura es mas importante que la capacidad.
Un conjunto RAID 1 solo puede ser tan grande como el mas pequeño de sus discos.
Un RAID 1 clásico consiste en dos discos en espejo lo que incrementa exponencialmente la fiabilidad
respecto a un solo disco.
Adicionalmente dado que todos los datos están en dos o más discos con hardware habitualmente
independiente, el rendimiento de lectura se incrementa aproximadamente como múltiplo lineal del
número de copias, es decir que puede estar leyendo simultáneamente los datos diferentes en discos
diferentes por lo que su rendimiento se duplica.
Para maximizar los beneficios sobre el rendimiento del RAID1 se recomienda el uso de controladores
de disco independientes, una para cada disco, practica que algunos denominan splitting o duplexing.
Como en el RAID 0 el tiempo medio de lectura se reduce ya que los sectores a buscar pueden
dividirse entre los discos bajando el tiempo de búsqueda y subiendo la tasa de transferencia con el
único límite de la velocidad soportada por la controladora RAID. Sin embargo muchas tarjetas RAID
1 IDE antiguas leen solo de un disco por lo que su rendimiento es igual al de un único disco. Algunas
implementaciones RAID 1 antiguas también leen ambos discos simultáneamente, y compara los
datos para detectar errores.La detección y corrección de errores en los discos duros modernos
hacen esta práctica poco útil, dado que los datos deben ser escritos en todos los discos el
rendimiento no mejora.
El RAID 1 tiene muchas ventajas de administración por ejemplo, es posible dividir el espejo, marcar
disco duro como inactivo, hacer una copia de seguridad de dicho disco y luego reconstruir el espejo.
RAID 2,3,4 (Disco de paridad dedicado)
Un RAID 2 divide los datos a nivel de bits en lugar de a nivel de bloques y usa un código de Hammig
para la corrección de errores. Los discos son sincronizados por la controladora para funcionar al
unísono. Eeste es el único nivel RAID original que actualmente no se usa, permite tasas de
transferencias extremadamente altas.
Un RAID 3 usa división a nivel de bytes con un disco de paridad dedicado. El RAID 3 se usa rara vez
en la práctica, uno de sus efectos secundarios es que normalmente no puede atender varias

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 9 de 12

peticiones simultáneas debido a que por definición cualquier simple bloque de datos se dividirá por
todos los miembros del conjunto, residiendo la misma dirección dentro de cada uno de ellos. Así
cualquier operación de lectura o escritura exige activar todos los discos del conjunto.
Un RAID 4 usa división a nivel de bloques con un disco de paridad dedicado, necesita un mínimo de
3 discos físicos.
El RAID 4 es parecido al RAID 3 excepto porque divide a nivel de bloque en lugar de a nivel de bytes.
Esto permite que cada miembro del conjunto funcione independientemente cuando se solicita un
único bloque. Si la controladora de disco lo permite un conjunto RAID 4 puede servir varias
peticiones de lectura simultáneamente. En principio sería posible servir varias peticiones de
escritura simultáneamente pero al estar toda la información de paridad en un solo disco este se
convertía en el cuello de botella del conjunto.
RAID 5
Un raid 5 usa división de datos a nivel de bloques distribuyendo la información de paridad entre
todos los discos miembros del conjunto. El RAID 5 ha tenido popularidad gracias a su bajo coste de
redundancia,generalmente el RAID 5 se implementa con soporte hardware para el calculo de la
paridad. Cada vez que un bloque de datos se escribe se genera un bloque de paridad dentro de la
misma división,un bloque se compone a medio de muchos sectores consecutivos de disco,una serie
de bloques (un bloque de cada uno de los discos del conjunto)recibe el nombre colectivo de
división,si otro bloque a alguna porción de un bloque es escrita en esa misma división,el bloque de
paridad o una parte del mismo,es recalculada y vuelta a escribir,las escrituras en un RAID 5 son
costosas en términos de operaciones de disco y trafico entre los discos y la controladora.Un RAID 6
amplia el nivel del RAID 5 añadiendo otro bloque de paridad,por lo que divide los datos a nivel de
bloques y distribuye los dos bloques de paridad,entre todos los miembros del conjunto

Niveles RAID anidados
-Muchas controladoras permiten anidar niveles RAID,es decir que un RAID pueda usarse como
elemento básico de otro en lugar de discos,resulta instructivo pensar en estos conjuntos como capas
dispuestas unas sobre otras,con los discos físicos en la inferior ,los RAID anidados se indican
normalmente,uniendo en un solo número,los correspondientes a los niveles RAID
usados,añadiendo aveces un símbolo +,entre ellos,por ejemplo el RAID 10 O RAID 1+0,consiste
conceptualmente en múltiples conjuntos de nivel uno,almacenados en discos físicos con un nivel 0
encima,agrupando los anteriores niveles 1,al anidar niveles RAID,se suele combinar un nivel que
proporcione redundancia,con un RAID 0,que aumente el rendimiento,con estas configuraciones,es

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 10 de 12

preferible tener el RAID 0 como nivel mas alto y los conjuntos redundantes debajo,porque asi sera
necesario reconstruir menos discos,cuando 1 falle,así el RAID 10,es preferible al RAID 0+1,aunque
las ventajas administrativas,de dividir el espejo del RAID 1 se perderán,los niveles RAID anidados
mas comúnmente usados son:
RAID 0+1(un espejo de divisiones)
RAID 1+0(una división de espejos)
RAID 30(una división de niveles raid con paridad dedicada)
RAID 100(una división,de una división de espejos.
Centros de Respaldo:
-Se trata de otra opción para posibilitar la redundancia y distribución de la información,es un centro
de procesamiento de datos,específicamente diseñado para tomar el control de otro CPD principal
en caso de contingencia o fallo,un centro de respaldo,se diseña bajo los mismos principios que
cualquier CPD,pero bajo algunas consideraciones más. En primer lugar debe elegirse una
localización,totalmente distinta a la del CPD principal ,con objeto de que no se vean afectados
ambos simultáneamente por la misma contingencia,es habitual situarlos entre 20 y 40 kms del CPD
principal esta distancia estará limitada,por las necesidades de comunicaciones entre ambos. En
segundo lugar el equipamiento electrónico e informático del centro de respaldo debe ser
absolutamente compatible con el existente en el CPD principal,esto no implica que deba ser
exactamente igual,normalmente todos los procesos del CPD no son críticos,por este motivo no hay
que duplicar todo el equipamiento,por otra parte no se necesita el mismo nivel de servicio en caso
de emergencia,en consecuencia es posible utilizar hardware menos potente,la pecera de un centro
de respaldo recibe estas denominaciones en función de su equipamiento:
Sala blanca:Cuando el equipamiento es exactamente igual al existente en el CPD principal
Sala de backups:Cuando el equipamiento es similar,pero no exactamente igual
-En tercer lugar el equipamiento software debe ser idéntico al existente en el CPD principal,esto
implica exactamente las mismas versiones y parches del software principal o de software base y de
las aplicaciones corporativas que estén en explotación en el CPD principal,de otra manera no se
podría garantizar totalmente la continuidad de operación,por ultimo es necesario contar con una
replica de los mismos datos con los que trabaja el CPD principal este es el problema principal de los
centros de respaldo de datos. Existen 2 políticas o aproximaciones a este problema:
Copia síncrona de los datos:Se asegura que todo datos escrito en el CPD principal,también se escribe
en el centro de respaldo antes de continuar con otra operación.

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 11 de 12

Copia asíncrona de los datos:No se asegura que todos los datos descritos en el CPD principal se
escriba en el CPD de respaldo por lo que puede existir un desfase temporal entre ambos
-Un centro de respaldo por si solo no basta para hacer frente a una contingencia grave,es necesario
disponer de un plan de contingencia corporativo con las actuaciones en caso de incidente.
-El centro de respaldo no es la única manera de articular un plan de contingencias,también es
posible el outsourcing(externalización de servicios similares)

12.Almacenamiento Remoto:
-Las posibilidades en las redes han crecido exponencialmente en los últimos años estudiando incluso
la posibilidad,de eliminar el almacenamiento en el equipo local,hoy en dia existen principalmente 3
tipos de almacenamiento remoto:
SAN(red de almacenamiento)
NAS(almacenamiento conectado en red)

13.Almacenamiento en la nube.
-El sistema DAS es el método tradicional de almacenamiento y el mas sencillo consiste en conectar
el dispositivo de almacenamiento directamente al servidor o estación de trabajo, es decir
físicamente conectado al dispositivo que hace uso de él. Es el caso convencional de un disco duro
conectado directamente al sistema informático. Una SAN se puede considerar una extensión DE UN
DAS, donde en un DAS hay un enlace punto a punto entre el servidor y su almacenamiento una SAN
permite a varios servidores acceder a varios dispositivos de almacenamiento, en una red
compartida, tanto en SAN como en DAS las aplicaciones hacen sus peticiones de datos, al sistema
de ficheros directamente, la diferencia reside en la manera que dicho sistema de ficheros obtiene
los datos requeridos del almacenamiento, en DAS el almacenamiento es local mientras que el SAN
es remoto. SAN utiliza diferentes protocolos de acceso como FIBBRE CHANEL y GIGABIT ETERNET,
en el lado opuesto de encuentra la tecnología NAS donde las aplicaciones hacen las peticiones de
datos a los sistemas de ficheros de manera remota, mediante protocolos CIFS y NFS .
-El rendimiento de la SAN esta directamente relacionado con el tipo de red que se utiliza en el caso
de una red de canal de fibra el ancho de banda es de 100MB/s y de puede extender aumentando la
cantidad de conexiones de acceso, la capacidad de una SAN se puede extender de una manera casi
ilimitada y puede alcanzar cientos y hasta miles de TB, una SAN permite compartir datos entre varios
equipos de la red sin afectar al rendimiento porque el trafico SAN, esta totalmente separado del
trafico de usuarios, son servidores de aplicaciones que funcionan como una interfaz entre la red de
datos(generalmente de fibra) y la red de usuarios(por lo general eternet).Una SAN es mucho mas

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 12 de 12

costosa que una NAS, ya que la primera es una arquitectura completa que utiliza una tecnología que
todavía es muy cara

14.Copias de Seguridad y Restauración.
Las copias de seguridad (backup) son réplicas de datos que nos permiten recuperar la información
original en caso de ser necesario es un archivo digital, un conjunto de archivos o la totalidad de los
datos considerados lo suficientemente importantes para ser conservados, estas copias se pueden
almacenar en soportes extraíbles en otros directorios o particiones de datos de nuestra máquina en
unidades compartidas de otros discos, discos de red o servidores remotos.
La copia de seguridad es útil por varias razones:
-Para restaurar un ordenador a un estado operacional después de un desastre (copia de seguridad
del sistema).
-Para restaurar un pequeño número de ficheros despumes de que hayan sido borrados o dañados
accidentalmente(copias de seguridad de datos).
En el mundo de la empresa además es útil y obligatorio para evitar ser sancionado por los órganos
de control y materias de protección de datos(en España, la Agencia Española de Protección de
Datos).
Normalmente las copias de seguridad se suelen hacer en cintas magnéticas si bien dependiendo de
lo que se trate podrían usarse CD's, DVD's, discos ZIP, magnetoópticos, pen drive o pueden realizarse
en un centro de respaldo remoto propio o vía internet.
La copia de seguridad puede realizarse sobre los datos en los cuales incluyen también archivos que
formen parte del sistema operativo, así las copias de seguridad suelen ser utilizadas como la ultima
linea de defensa contra perdidas de datos, se convierten por lo tanto en el ultimo recurso a
utilizarse.
Las copias de seguridad en un sistema informático tienen por objetivo, mantener cierta capacidad
de recuperación de la información ante posibles perdidas, esta capacidad puede llegar a ser muy
importante, incluso critico para las empresas.

15.Modelos de almacén de datos.
Cualquier estrategia de copia de seguridad empieza con el concepto de almacen de datos, los datos
de la copia deben ser almacenados de alguna manera y probablemente deban ser organizados por
algún criterio. Para ello se puede utilizar desde una hoja papel con una lista de cintas de la copia de
seguridad y las fechas en las que fueron hechas, hasta un sofisticado programa con una base de

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 13 de 12

datos relacional. Cada uno de los distintos almacenes de datos tiene sus ventajas, esto esta muy
relacionado con los esquemas de rotación de la copia de seguridad elegido:
-Desectructurado: un almacén desectructurado podría ser simplemente una pila de CD's con una
mínima información sobre que ha sido copiado y cuando. Esta es la forma mas fácil de implementar
pero ofrece pocas garantías de recuperación de datos.
-Completa+Incremental: Un almacén completo-incremental propone ser mas factible que el
almacenamiento de varios copias de la misma fuente del dato. En primer lugar, se realiza la copia
de seguridad completa del sistema, mas tarde, se realiza una copia de seguridad incremental, es
decir, solo con los ficheros que se haya modificado desde la ultima copia de seguridad. Recuperar y
restaurar un sistema completamente a un cierto punto en el tiempo requiere localizar una copia de
seguridad completa y todas las incrementales posteriores realizada hasta el instante que se desea
restaurar. Los inconvenientes son tener que tratar con grandes series de copias incrementales y
contar con un gran espacio de almacenaje.
-Espejo+Diferencial: es similar al almacén completo incremental pero en lugar de hacer un copia
completa seguida de incrementales, este modelo ofrece un espejo que refleja el estado del sistema
a partir de la ultima copia y un historial de copias diferenciales. Una ventaja de este modelo es que
solo requiere una copia de seguridad completa inicial. Cada copia diferencial es inmediatamente
añadida al espejo y los ficheros son reemplazados, son movidos a una copia incremental inversa.
Una copia diferencial puede sustituir a otra copia diferencial mas antigua sobre la misma copia total.
-Protección continua de datos: este modelo va un paso mas haya y en lugar de realizar copias de
seguridad periódicas, el sistema automáticamente registra cada cambio en el sistema anfitrión. Este
sistema reduce al mínimo la cantidad de información perdida en caso de desastre.
-Sintética: Esta tecnología permite crear una nueva imagen de copia de respaldo a partir de copias
de respaldo anteriormente completas y posteriores incrementales. Es de gran utilidad sobre todo
en redes de almacenamiento SAN ya que no es necesaria la participación del host/nodofinal
quitándole mucha carga de proceso.

16.Diseño de estrategias de Backup.
Un esquema de copias de seguridad efectiva debe tener en consideración la limitaciones de la
situación, todo esquema tiene cierto impacto en el sistema que ha sido copiado, si este impacto es
significativo, la copia debe ser acotada en tiempo. Todos los soportes de almacenamiento tienen
una capacidad limitada, finita y un coste real. Buscar la cantidad correcta de capacidad acorde con
las necesidades de la copia de seguridad es una parte importante del diseño de la copia. Alcanzar
los objetivos definidos en vista de la limitaciones puede ser una tarea muy difícil. Habrá que tener
en cuenta:

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 14 de 12

Horarios: programar un horario de ejecución de las copias aumenta considerablemente su
efectividad y nivel de optimización. Muchos paquetes software ofrecen esta posibilidad.
Autenticación: para poder copiar todos los datos, dentro o fuera del sistema, se requiere acceso sin
restricción. Utilizar un mecanismo de autenticación es una buena manera de evitar que el esquema
sea usado por actividades sin autorizar.
Cadena de confianza: los soportes de almacenamiento portátiles son elementos físicos que deben
ser gestionados por personas de confianza. Establecer una cadena de confianza es critico para la
seguridad de los datos.
Reportando: en configuraciones mas largas los reportes o informes son útiles para monitorizar los
medios usados, el estado de los dispositivos, errores, coordinación de saltos y cualquier otra
información sobre el proceso de Backup.
Verificación: muchos programas de copia de seguridad hacen uso de Check-sum y Hashes, esto
ofrece muchas ventajas:
Permiten la integridad de los datos ser verificados sin hacer referencia al archivo original.
Algunos programas de copia de seguridad pueden utilizar los Check-sum para evitar redundancias
en las copias de archivos y así mejorar las redundancias de las copias.
Manipulación de los datos.
Es una practica habitual manipular los datos guardados en las copias de seguridad para optimizar
tanto los procesos de copia como el almacenamiento.
Compresión: la compresión es el mejor método para disminuir el espacio de almacenaje y reducir el
coste.
Redundancia: cuando varios sistemas guardan sus copias en el mismo sistema de almacenamiento
existe la posibilidad de redundancia de los datos copiados. Si tenemos estaciones de trabajo con el
mismo sistema operativo, compartiendo el mismo almacén de datos, es posible que la gran mayoría
de archivos sean comunes. El almacén de datos realmente solo necesita almacenar una copia de
estos ficheros para luego ser usada para cualquier estación. Esta técnica se puede realizar a través
de fichero o incluso a nivel de bloque.
Desduplicación: a veces las copias de seguridad están duplicadas en un segundo soporte para
optimizar velocidades de restauración(en paralelo) o incluso disponer de una sola copia,a salvo, en
un lugar diferente.
Cifrado: usar soportes de almacenamiento desmontable o portátiles implica el riesgo de perderse o
ser robados. Cifrar la información puede mitigar este problema aunque presenta nuevos

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 15 de 12

inconvenientes. Cifrar es un proceso que consume mucho tiempo de CPU y puede bajar la velocidad
de copiado y en segundo lugar, la compresión es menos eficaz.

17.Software de backup y restauración.
Es importante definir previamente los requerimientos específicos para determinar el software
adecuado. Entre los mas populares se encuentran Cobian,SECOFI y copiadata aunque existen
infinidad de programas adaptados a cada necesidad. Para adecuación a la LOPD de ficheros con
datos de carácter personal de nivel alto(salud, religión, etc) la regulación exige copias de datos
cifrados y en ubicación diferente al lugar de origen, para estos casos, lo mejor es contar con un
software que realice copias de manera automática almacenando los datos cifrados en un centro de
datos externo. Es muy importante que nos cercioremos de que hacemos copias correctamente y
comprobemos que somos capaces de restaurarlas en su ubicación original. En el hipotético caso de
que no pudiéramos restaurar nuestra información existe una ultima alternativa en el mercado que
son las aplicaciones de recuperación de datos como Free doctor, estelar... También existen métodos
de recuperación vía web como E-ROL. Por ultimo, hay casos extremos como unidades dañadas,
podríamos recurrir a laboratorios especializados en recuperación de datos como Discovery Labs
para el usuario hogareño, existe la posibilidad de usar cuentas de correo para mantener las copias
de seguridad.
Aspectos Generales
Sin importar que estén conectadas por cable o de manera inalámbrica, las redes de computadoras
cada vez se tornan mas esenciales para las actividades diarias. Tanto las personas como las
organizaciones dependen de sus computadoras y de las redes para funciones como correo
electrónico, contabilidad, organización y administración de archivos.
Las intrusiones de personas no autorizadas pueden causar interrupciones costosas en la red y
pérdidas de trabajo, los ataques a una red pueden ser devastadores y pueden causar pérdida de
tiempo y de dinero debido a los daños o robos de información o de archivos importantes.
A los intrusos que obtienen acceso mediante la modificación del software o la explotación de las
vulnerabilidades del software se les denominan “Piratas Informáticos”. Una vez que un pirata tiene
el acceso a una red pueden surgir 4 tipos de amenazas:
Robo de información
Robo de identidad
Perdida y manipulación de datos
Interrupción del servicio.
Las amenazas de seguridad causadas por intrusos en la red pueden originarse tanto en forma interna
como externa.

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD

Código : GC-DCVersión:1
Página 16 de 12

GUÍA DE CLASE 2 GRADO UNDECIMO

-Amenazas externas: Provienen de personas que no tienen autorización para acceder al sistema o a
la red de computadoras. Logran introducirse principalmente desde Internet, enlaces inalámbricos o
servidores de acceso por marcación o dial-Amenazas internas: Por lo general, conocen información valiosa y vulnerable o saben cómo acceder
a esta. Sin embargo, no todos los ataques internos son intencionados.
Con la evolución de los tipos de amenazas, ataques y explotaciones se han acuñado varios términos
para describir a las personas involucradas
Hacker: un experto en programación. Recientemente este término se ha utilizado con frecuencia
con un sentido negativo para describir a una persona que intenta obtener acceso no autorizado a
los recursos de la red con intención maliciosa.
Hacker de sombrero blanco: una persona que busca vulnerabilidades en los sistemas o en las redes
y a continuación informa a los propietarios del sistema para que lo arreglen.
Hacker de sombrero negro: utilizan su conocimiento de las redes o los sistemas informáticos para
beneficio personal o económico, un cracker es un ejemplo de hacker de sombrero negro.
Cracker: es un término más preciso para describir a una persona que intenta obtener acceso no
autorizado a los recursos de la red con intención maliciosa.
Phrieaker: persona que manipula la red telefónica para que realice una función que no está
permitida. Por lo general, a través de un teléfono público para realizar llamadas de larga distancia
gratuitas.
Spammer: persona que envía grandes cantidades de mensajes de correo electrónico no deseado,
por lo general, los spammers utilizan virus para tomar control de las computadoras domesticas y
utilizarlas para enviar mensajes masivos.
Estafador: utiliza el correo electrónico u otro medio para engañar a otras personas para que brinden
información confidencial como número de cuenta o contraseñas.
Estos son los delitos informáticos más frecuentes en la red:
Abuso del acceso a la red por parte de personas que pertenecen a la organización.
Virus.
Suplantación de identidad.
Uso indebido de la mensajería instantánea.
Denegación de servicio, caída de servidores.
Acceso no autorizado a la información.
Robo de información de los clientes o de los empleados.
Abuso de la red inalámbrica
Penetración en el sistema.

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 17 de 12

Fraude financiero.
Detección de contraseñas.
Registro de claves.
Alteración de sitios web.
Uso indebido de una aplicación web publica.
Hay diversos tipos de ataques informáticos en redes, algunos son:
Ataques de denegación de servicios (DOS): es un sistema de computadoras o red que causa que un
servicio o recurso sea inaccesible a usuarios legítimos, normalmente provocando la pérdida de la
conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de
los recursos computacionales del sistema de la víctima.
Man in the middle (MITM): es una situación donde un atacante supervisa (generalmente mediante
un rastreador de puertos) una comunicación entre las 2 partes y falsifica los intercambios para
hacerse pasar por una de ellas.
Ataques de replay: una forma de ataque de red en el cual una trasmisión de datos válida es maliciosa
o fraudulentamente repetida o recalcada, es llevada a cabo por el autor o por un adversario que
intercepta la información y la retransmite posiblemente como parte de un ataque enmascarado.

CORTAFUEGOS
En el Protocolo TCP/IP el puerto es una numeración lógica que se asigna a las conexiones tanto en
origen como en destino sin significación física. El permitir o denegar acceso a los puertos es
importante por que las aplicaciones servidoras deben escuchar en un puerto conocido de antemano
para que un cliente pueda conectarse. Esto quiere decir que cuando el sistema operativo recibe una
petición a ese puerto la pasa a la aplicación que escucha en él (si hay alguna) y a ninguna otra. Los
servicios mas habituales tienen asignados los llamados puertos bien conocidos por EJe: 80 para
Servidor web, 21: Puerto FTP, 23: TELNET etc.
Así pues cuando pides acceso a una pagina web su navegador pide acceso al puerto 80 del servidor
web y si este numero no se supiera de antemano o estuviera bloqueado no podría recibir la pagina.
Un puerto puede estar:

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 18 de 12

ABIERTO: Acepta conexiones hay una aplicación escuchando en este puerto. Esto no quiere decir
que se tenga acceso a la aplicación solo que hay posibilidades de conectarse.
CERRADO: se rechaza la conexión. Probablemente no hay aplicación escuchando en este puerto o
no se permite acceso por alguna razón. Este es el comportamiento normal del sistema operativo.
BLOQUEADO O SIGILOSO: no hay respuesta, este es el estado real para un cliente en Internet. De
esta forma ni siquiera se sabe si el ordenador esta conectado. Normalmente este comportamiento
se debe a un cortafuegos o a que el ordenador esta apagado. Para controlar el estado de los puertos
de conexión a redes TCP-IP y por tanto las aplicaciones que lo usan emplearemos un cortafuegos
(firewall).
El cortafuegos o Firewall es una parte de un sistema o una red que esta diseñada para bloquear el
acceso no autorizado permitiendo al mismo tiempo comunicaciones autorizadas. Los cortafuegos
pueden ser hardware o software o una combinación de ambos y se utilizan con frecuencia para que
una serie de usuarios autorizados se conecten a una red privada o Intranet.
Firewall: Todos los paquetes de la red pasan por el cortafuegos que examina y bloquea loa que no
cumplen los criterios de seguridad especificados. Algunos cortafuegos muestran un mensaje al
usuario mostrando el programa o proceso que solicita la comunicación preguntándole si la permite
o la deniega. El problema surge cuando el nombre del proceso que muestran no lo reconocemos o
que tiene el mismo que un proceso confiable conocido, en este caso hay que tener en cuenta varias
cosas : si deniego el acceso a un programa este puede no funcionar, la siguiente vez que me
pregunte le permitiré el acceso y en caso de funcionar la próxima vez que me pregunte le permitiré
acceso permanentemente es importante leer siempre los mensajes para permitir o denegar acceso.
VENTAJAS de un cortafuegos:
Protege de intrusiones, el acceso a ciertos segmentos de la red sólo se permite a maquinas
autorizadas de otros segmentos o de Internet.
Protección de la información privada: permite definir distintos niveles de acceso a la información de
manera que cada grupo de usuarios definido tenga solo acceso a los servicios e información que les
son estrictamente necesarios.
Optimización de acceso: Identifica los elementos de la red internos y optimiza que la comunicación
entre ellos sea mas directa.
LIMITACIONES de un cortafuegos: Cualquier tipo de ataque informático que use trafico aceptado
por el cortafuegos o que sencillamente no use la red seguirá constituyendo una amenaza.
POLÍTICAS del cortafuegos: Hay 2 políticas básicas que cambian radicalmente la filosofía de la
seguridad de la información:

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 19 de 12

Políticas restrictiva: se deniega todo el trafico excepto el que esta explicita mente permitido hay que
habilitar expresamente los servicios que se necesiten.
Política permisiva: se permite todo el trafico excepto el que esta denegado. Cada servicio
potencialmente peligroso necesitara ser aislado mientras que el resto de trafico no sera filtrado.
La política restrictiva es la mas segura ya que tiene control para no permitir trafico peligroso. Sin
embargo la política permisiva es posible que no haya contemplado trafico peligroso y sea aceptado
por omisión. No es recomendable tener mas de un cortafuegos ejecutándose simultáneamente en
la misma maquina.
Una zona desmilitarizada o red perimetral es un área local que se ubica entre la red interna de una
organización y una red externa, generalmente Internet. El objetivo de una DMZ es que las
conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones
desde la DMZ sólo se permitan a la red externa. Los equipos en la DMZ no pueden conectar con la
red interna. Esto permite que los equipos de la DMZ puedan dar servicios a la red externa a la vez
que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos
situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse
ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida. La DMZ
se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como
servidores de correo electrónico, servidores Web y DNS.

Listas de control de acceso(ACL) y filtrado de paquetes.
Una lista de control de acceso o ACL es un concepto de seguridad informática usado para fomentar
la separación de privilegios, es una forma de determinar los permisos de acceso apropiados a un
determinado objeto dependiendo de diferentes aspectos del proceso que hace el pedido. Las ACL
permiten controlar el flujo del tráfico en equipos de redes como routers y witches, su principal
objetivo es filtrar tráfico permitiendo o denegando el trafico de red de acuerdo a alguna condición,
sin embargo, también tienen usos adicionales como por ejemplo distinguir tráfico prioritario.
Las listas de control de acceso pueden configurarse para controlar el tráfico entrante y saliente y en
este contexto son similares a un cortafuegos. Se pueden considerar como cada una de las reglas
individuales que controlan y configuran un cortafuegos.
ACL en routers.
En el caso concreto de los routers de la compañía CISCO las ACL son listas de condiciones que se
aplican al tráfico que viaja a través de una interfaz del router y se crean según el protocolo la
dirección o el puerto a filtrar. Estas listas indican al router qué tipos de paquetes se deben aceptar
o desplazar en las interfaces del router, ya sea a la entrada o a la salida.

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 20 de 12

Las razones principales para crear las ACL son:
Limitar el tráfico de la red.
Mejorar el rendimiento de la red.
Controlar el flujo del tráfico decidiendo qué flujo de tráfico se bloquea y cúal se permite ya sea por
direccionamiento o por servicios de la red.
Proporcionar un nivel básico de seguridad para el uso de la red

Existen 2 tipos de ACL:
1. ACL estándar: Especificamos una sola dirección de origen.
2. ACL extendida: Especificamos una dirección de origen y de destino, se utilizan más que las
estándar porque ofrecen un mayor control, verifica las direcciones de paquetes de origen y destino
y también protocolos y números de puertos.
IPTABLES.
El cortafuegos utilizado para gestionar las conexiones de red de los sistemas GNU Linux desde la
versión 2.4 del núcleo es IPTABLES, las posibilidades de IPTABLES son prácticamente infinitas y un
administrador que quiera sacarle el máximo provecho puede realizar configuraciones
extremadamente complejas, para simplificar, diremos que básicamente IPTABLES permite crear
reglas que analizarán los paquetes de datos que entran, salen o pasan por nuestra máquina y en
función de las condiciones que mantengamos, tomaremos una decisión que normalmente sera
permitir o denegar que dicho paquete siga su curso. El cortafuegos controla las comunicaciones
entre la red y el exterior para crear las reglas podemos analizar muchos aspectos de los paquetes
de datos, podemos filtrar paquetes en función de:
Tipo de paquete de datos:
IMPUT(paquetes que llegan a nuestra maquina).
OUTPUT(paquetes que salen de nuestra maquina).
FORWARD(paquetes que pasan por nuestra maquina).
Interfaz por la que entran (-i) o salen (-o) los paquetes: ETH0, wlan1.
IP origen de los paquetes(-s): IP concreta(10.0.1.3),rango de red(10.0.1.0/8)
IP destinada a los paquetes(-d): IP concreta, 2 rango de red.
Protocolo de los paquetes (-t): TCP, UDP, CMP...
Hacer NAT es modificar IP origen y destino para conectar nuestra red a otra red o a Internet y hacer
pre-routing es filtrar antes de enrutar y hacer post-routing es filtrar después de enrutar.

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 21 de 12

Una forma sencilla de trabajar con IPTABLES es permitir las comunicaciones que interesen y luego
denegar el resto de la comunicaciones, lo que se suele hacer es definir la política por defecto,
aceptar, después crear reglas concretas para permitir las comunicaciones que nos interesen y
finalmente denegar el resto de comunicaciones, lo mejor sera crear un script en el que
dispondremos de la secuencia de reglas que queremos aplicar a nuestro sistema.

18.Redes inalámbricas.
Los cables que se suelen usar para construir redes locales van desde el cable telefónico hasta la fibra
óptica. Algunos edificios se construyen con los cables instalados para evitar gasto de tiempo y dinero
posterior y de forma que se minimice el riesgo de un corte, rozadura u otro daño accidental. Los
riesgos mas comunes para el cableado se pueden resumir en los siguientes.
Interferencias: estas modificaciones pueden estar generadas por cables de alimentación de
maquinaria pesada o por equipos de radio o microondas. Los cables de fibra óptica no sufren el
problema de alteración por acción de campos eléctricos, por tanto son mas seguros.
Corte del cable: la conexión establecida se rompe lo que impide que el flujo de datos circule por el
cable.
Daños en el cable: los daños normales con el uso pueden dañar el apantallamiento que preserva la
integridad de los datos transmitidos o dañar al propio cable lo que hace que las comunicaciones
dejen de ser fiables.
La mayoría de las organizaciones clasifican estos problemas como daños naturales sin embargo
también se puede ver como un medio para atacar la red si el objetivo es únicamente interferir en
su funcionamiento
El cable de red ofrece también un nuevo frente de ataque para un determinado intruso que
intentase acceder a los datos esto se puede hacer:
Desviando o estableciendo una conexión no autorizada en la red
Un sistema de administración y procedimiento de identificación de acceso adecuado, hace difícil
que se puedan obtener privilegios de usuarios en la red pero los datos que fluyen a través del cable
pueden estar en peligro
Haciendo una escucha sin establecer conexión, los datos se pueden seguir y pueden verse
comprometidos.
Luego no hace falta penetrar en los cables físicamente para obtener los datos que transportan. En
ocasiones para mejorar la seguridad de las comunicaciones cableadas se adoptan medidas como:

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 22 de 12

Cableado de alto nivel de seguridad: son cableados de redes que se recomiendan para instalaciones
con grado de seguridad militar, el objetivo es impedir la posibilidad de infiltraciones y monitoreo de
la información que circula por el cable. Consta de un sistema de tubos herméticamente cerrados
por cuyo interior circula aire a presión y el cable, a lo largo de la tubería, hay sensores conectados a
una computadora, si se detecta algún tipo de variación de presión se dispara un sistema de alarma.
Protección electromagnética: cableado coaxial y de pares, ftp y stp.
¿Qué es una red inalámbrica?
Es una red que permite a sus usuarios conectarse a una red local o a Internet sin estar conectados
físicamente mediante cables ya que los datos se transmiten por el aire, los dispositivos que nos
permiten interconectar dispositivos inalámbricos son los puntos de acceso que controlan el acceso
y las comunicaciones de usuarios conectados a la red y las tarjetas receptoras, para conectar una
computadora, ya sean internas (DCI) o USB. Los puntos de acceso funcionan a modo de emisor
remoto, es decir, se instalan en lugares donde la señal inalámbrica se quiera difundir y reciben la
señal bien por un cable o bien capturan la señal débil inalámbrica y la amplifica.
Los puntos de acceso pueden estar integrados con módems o routers inalámbricos
convencionalmente denominado router wifi, los paquetes de información en las WLAN viajan en
forma de ondas de radio que pueden viajar mas haya de las paredes y filtrarse en habitaciones, casas
o habitaciones contiguas o llegar hasta la calle. Si nuestra instalación esta abierta sin seguridad, una
persona con conocimientos básicos podría no sólo utilizar nuestra conexión a Internet,si no también
acceder a nuestra red interna o a nuestro equipo donde podríamos tener carpetas compartidas o
analizar toda la información que viaja por nuestra red mediante sniffers y obtener así contraseñas
de nuestra cuenta de correo, contenido de nuestras conversaciones, etc.
Si la infiltración no autorizada de por si ya es grave en una instalación residencial(casa) mucho mas
peligroso es en una instalación corporativa o empresarial y desgraciadamente, las redes cerradas
son mas bien escasas.

19.Consejos de seguridad.
Asegurar el punto de acceso por ser un punto de control de las comunicaciones de todos los usuarios
y por tanto críticos en las redes inalámbricas:
Cambia la contraseña por defecto: todos los fabricantes ofrecen un password por defecto de acceso
a la administración del punto de acceso, al usar un fabricante la misma contraseña para todos sus
equipos es fácil o posible que el observador la conozca.
Aumentar la seguridad de los datos transmitidos: usar encriptación WEP o WPA, las redes
inalámbricas basan su seguridad en la encriptacion de los datos que viajan a través de aire. El
método habitual es la encriptación WEP pero no podemos mantener WEP como única estrategia de

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 23 de 12

seguridad ya que no es del todo seguro, existen aplicaciones para Linux o Windows que escaneando
suficientes paquetes de información son capaces de obtener las claves WEP y permitir acceso de
intrusos en nuestra red. Activa la encriptación de 128bits WEP mejor que la de 64bits. Algunos
puntos de acceso más recientes soportan también encriptación WPA y WPA2, encriptación dinámica
y más segura que WEP, si activas WPA en el punto de acceso tanto los accesorios como los
dispositivos WLAN de tu red como tu sistema operativo debe de soportar.
Ocultar tu red WIFI: cambia el SSID por defecto en lugar de mi AP o Apmanolo o el nombre de la
empresa es preferible coger algo menos atractivo como wroken, down o desconectado, si no
llamamos la atención del observador hay menos posibilidades de que este intente entrar en nuestra
red.
Desactiva también el broadcasting SSID o identificador de la red inalámbrica. El broadcasting SSID
permite que los nuevos equipos que quieran conectarse a la red wifi identifiquen automáticamente
el nombre y los datos de la red inalámbrica evitando así la tarea de configuración manual. Al
desactivarlo tendrás que introducir manualmente el SSID en la configuración de cada nuevo equipo
que quieras conectar.
Evitar que se conecten:
Activa el filtrado de direcciones mac: para activar el filtrado mac dejaras que solo los dispositivos
con las direcciones mac especificadas se conecten a tu red wifi. Por un lado es posible conocer las
direcciones mac de los equipos que se conectan a la red con tan solo escuchar con el programa
adecuado ya que las direcciones mac se transmiten en abierto sin encriptar entre el punto de acceso
y el equipo, además aunque en teoría las direcciones mac son únicas a cada dispositivo de red y no
pueden modificarse hay comando o programas que permiten simular temporalmente por software
una nueva dirección mac para una tarjeta de red.
Establece el número máximo de dispositivos.
Desactiva DHCP en el router o en el punto de acceso en la configuración de los dispositivos o
accesorios WIFI, tendrás que introducir a mano la dirección IP, la puerta de enlace, la máscara de
subred y los DNS. Si el observador conoce el rango de IP que usamos en nuestra red no habremos
conseguido nada con este punto.
Desconecta el AP cuando no lo uses: el AP almacena la configuración y no necesitaras introducirla
de nuevo cuando lo conectes.
Cambia las claves regularmente: puede ser necesario entre 1 y 4 GB de datos para romper una clave
WEP dependiendo de la complejidad de las claves de manera que cuando llegue a este caudal de
infor4macion transmitida es recomendable cambiar las claves.

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 24 de 12

Criptografía.
A lo largo de la historia el ser humano ha desarrollado unos sistemas de seguridad que le permiten
comprobar en una comunicación la identidad del interlocutor(tarjetas de identificación, firmas) ,
asegurarse que solo obtendrá la información el destinatario solicitado(correo certificado) que
además ésta no podrá ser modificada(notariado) e incluso que ninguna de las 2 partes podrá negar
el hecho(notariado firma) ni cuando se produjo(fechado de documentos).
En la mayor parte de los casos el sistema de seguridad se basa en la identificación física de la
persona, información que contrasta con el documento de identidad.
Actualmente, cada vez mayor número de actividades se están trasladando al mundo electrónico a
través de internet, se hace por lo tanto necesario trasladar también los sistemas de seguridad a este
contexto en el que el principal problema reside en que no existe contacto directo entre las partes
implicadas.
Necesitamos un documento digital que ofrezca las mismas funcionalidades que los documentos
físicos con el añadido de ofrecer garantías aun sin presencia física.
¿Cómo se resuelve este problema? Gracias a mecanismos criptográficos cuyos elementos
fundamentales son el certificado digital y la firma electrónica.
Principios de la criptografía.
La criptografía es el arte o la ciencia de cifrar o descifrar información mediante técnicas especiales
y se emplea frecuentemente para permitir un intercambio de mensajes que solo puedan ser leídos
por personas a las que van dirigidos y que poseen los medios para descifrarlos.
Con mas precisión cuando se habla de esta área de conocimiento como ciencia se debería hablar de
criptología que engloba tanto a las técnicas de cifrado, es decir la criptografía como sus técnicas
complementarias entre las cuales se incluye el criptoanálisis que estudia métodos empleados para
romper textos cifrados con objeto de recuperar la información original en ausencia de claves.
La criptografía se considera una rama de las matemáticas y en la actualidad de la informática y la
telemática que hace uso de métodos y técnicas matemáticas con el objeto principal de cifrar un
mensaje o archivo por medio de un algoritmo usando una o mas claves.
En la jerga de la criptografía, la información original que debe protegerse se denomina texto en claro
o texto plano, el cifrado es el proceso de convertir el texto plano en un galimatías ilegible
denominado texto cifrado o criptograma. Por lo general, la aplicación concreta del algoritmo de
cifrado(cifra) se basa en la existencia de una clave, información secreta que adapta el algoritmo de
cifrado para cada uso distinto.

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 25 de 12

Las 2 técnicas mas sencillas de cifrado en la criptografía clásica son la sustitución(que supone el
cambio de significado de los elementos básicos del mensaje, las letras, los símbolos o los dígitos) y
la transposición(supone una reordenación de los mismos).
La gran mayoría de las cifras básicas son combinaciones de estas 2 operaciones bascas.
El descifrado es el proceso inverso que recupera el texto plano a partir del criptograma y la clave. El
protocolo criptográfico especifica los detalles de como se utiliza los algoritmos y las claves(y otras
operaciones primitivas) para conseguir el efecto deseado. El conjunto de protocolos, algoritmos de
cifrado, procesos de gestión de claves y actuaciones de los usuarios es lo que constituye en conjunto
un criptosistema que es con lo que el usuario final trabaja e interactúa.
Existen 2 grandes grupos de cifras, los algoritmos que solo utilizan una clave tanto en el proceso de
cifrado como en el de descifrado y los que emplean una clave para cifrar mensajes y una clave
distinta para descifrarlos. Los primeros se denominan cifrar simétricas de clave simétrica o de clave
privada y son la base de los algoritmos de cifrado clásico. Los segundos se denomina cifras
asimétricas de clave asimétrica o de clave publica y forman el núcleo de las técnicas de cifrado
modernas.
En el lenguaje cotidiano la palabra código se usa de forma indistinta con cifra, en la jerga de la
criptografía sin embargo el termino tiene un uso técnico especializado: los códigos son un método
de criptografía básica que consiste en sustituir unidades textuales mas o menos larga o complejas
al igualmente palabras o frases para ocultar el mensaje; por ejemplo cielo azul podría significar
apagar al amanecer. Por el contrario las cifrar clásicas normalmente sustituyen o reordenan los
elementos básicos del mensaje, letras, dígitos o símbolos en el ejemplo anterior “RCNM ARCTEEAAL
AAA” seria un criptograma obtenido por transposición. Cuando se usa una técnica de códigos la
información secreta suele recompilarse en un libro de códigos.
Criptografía simétrica.
La criptografía simétrica es un método criptográfico en el cual se usa la misma clave para cifrar y
descifrar mensajes, las 2 partes que se comunican han de ponerse de acuerdo de antemano sobre
la clave a usar.
Un buen sistema de cifrado pone toda la seguridad en la clave y ninguna en el algoritmo, en otras
palabras, no debería ser de ninguna ayuda para un atacante conocer el algoritmo que se está
usando, solo si el atacante obtuviera la clave le serviría conocer el algoritmo, los algoritmos
ampliamente utilizados tienen estas propiedades(por ejemplo GNU PJ).
Dado que toda la seguridad esta en la clave, es importante que sea muy difícil adivinar el tipo de
clave, esto quiere decir, que el abanico de claves posibles debe ser amplio.

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 26 de 12

Actualmente, los ordenadores pueden descifrar claves con extrema rapidez y esta es la razón por la
cual el tamaño de clave es importante en los criptosistemas modernos.
El algoritmo DES usa una clave de 56bits lo que significa que hay 2elevado56 claves posibles, esto
representa un numero muy alto de claves pero un ordenador genérico puede comprobar el conjunto
posible de claves en cuestión de días, una máquina especializada puede hacerlo en horas.
Algoritmos de cifrado de diseño mas reciente como 3DES, LOUFISH e IDEA usan claves de 128bits lo
que significa que existen 2elevado128 claves posibles. La mayoría de las tarjetas de crédito y otros
medios de pago electrónico tienen como estándar el algoritmos 3DES.
El principal problema de los sistemas de cifrado simétrico no esta ligado a su seguridad si no al
intercambio de claves. Una vez que el remitente y el destinatario hayan intercambiado las claves
pueden usarlas para comunicarse con seguridad, sería mucho mas fácil para un atacante intentar
interceptar una clave que probar las posibles combinaciones del espacio de claves.
Otro problema es el numero de claves que se necesitan, si tenemos un numero n de personas que
necesitan comunicarse entre si se necesitan n/2 claves para cada pareja de personas que tengan
que comunicarse de modo privado. Esto puede funcionar con un grupo reducido de personas pero
seria imposible llevarlo a cabo con grupos más grandes.
Ataques criptográficos.
En criptografía se denomina ataque de fuerza bruta a la forma de recuperar una clave probando
todas las combinaciones posibles hasta encontrarla. Dicho de otro modo, define al procedimiento
por el cual a partir del conocimiento del algoritmo de cifrado empleado y de un par texto claro-texto
cifrado se realiza el cifrado y respectivamente de descifrado de uno de los miembros del par con
cada una de las posibles combinaciones de clave hasta obtener el otro miembro del par. El esfuerzo
requerido para que la búsqueda sea exitosa con probabilidad mejor que la par será 2elevado-n
operaciones donde n es la longitud de la clave.
Otro factor determinante en el coste de realizar un ataque de fuerza bruta es el juego de caracteres
que se pueden utilizar en la clave. Contraseñas que solo utilicen dígitos numéricos serán mas fáciles
de descifrar de aquellas que incluyen otros caracteres como letras, la complejidad compuesta por
la cantidad de caracteres en una contraseña es logarítmica.
Los ataques por fuerza bruta son muy costosos en en tiempo computacional por lo que suelen
combinarse con un ataque de diccionario.
Un ataque de diccionario es un método de cracking que consiste en intentar de averiguar una
contraseña probando todas las palabras del diccionario. Este tipo de ataque suele ser mas eficiente
que un ataque de fuerza bruta ya que muchos usuarios suelen utilizar un palabra existente en un
lengua como contraseña para que sea fácil de recordar, lo cual no es una practica recomendable.

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 27 de 12

Los ataques de diccionario tienen pocas probabilidades de éxito con sistemas que emplean
contraseñas fuertes con letras en mayúscula y minúscula mezcladas por números y con cualquier
tipo de símbolos. Sin embargo, para la mayoría de los usuarios recordar contraseñas tan complejas
resulta complicado. Existen variantes que comprueban también alguna de las típicas sustituciones
(determinadas letras con números, intercambio de 2 letras, abreviaciones) así como distintas
combinaciones de mayúsculas y minúsculas.
Otra solución habitual para no tener que memorizar un numero elevado de contraseñas es utilizar
un gestor de contraseñas. Estos programas también nos pueden ayudar a generar contraseñas
seguras(asegurándonos que no se trate de un spyware).
Una forma sencilla de proteger un sistema contra los ataques de fuerza bruta o los ataques de
diccionario es establecer un numero máximo de tentativas, de esta forma se bloquea el sistema
automáticamente después de un numero de intentos infructuosos predeterminados. Un ejemplo
de este tipo de sistema es el mecanismo empleado en las tarjetas SIM que bloquea
automáticamente tras 3 intentos fallidos al introducir el código PIN.
Para solucionar estos problemas, se mejora la seguridad de los sistemas mediante la criptografía
asimétrica y la criptografía híbrida.
Criptografía de clave asimétrica.
En este caso, cada usuario del sistema criptográfico ha de poseer una pareja de claves:
Clave privada: Será custodiada por su propietario y nos se dará a conocer a ningún otro.
Clave pública: Será conocida por todos los usuarios.
Esta pareja de claves es complementaria, lo que cifra una, solo lo puede descifrar la otra y viceversa.
Estas claves se obtienen por métodos matemáticos complicados de forma que por razones de
tiempo de computo es imposible conocer una clave a partir de la otra.
Los sistemas de cifrado de clave pública se basan (en funciones HASH de un solo sentido) que
aprovechan particularidades por ejemplo de los números primos. Una función de un solo sentido es
aquella cuya computación es fácil mientras que su inversión resulta extremadamente difícil pero
tiene una trampa, esto quiere decir que si se conociera alguna pieza de la información sería fácil
computar el inverso. Dado un cifrado de clave publica basado en factorización de números primos,
la clave publica contiene un numero compuesto de dos factores de números primos grandes y el
algoritmo de cifrado usa este compuesto para cifrar el mensaje. El algoritmo para descifrar el
mensaje requiere el conocimiento de los factores primos par que el descifrado sea fácil si poseemos
la clave privada que contiene uno de los 2 factores pero extremadamente difícil en caso de no tener
ninguno.
Como los sistemas de cifrado simétricos buenos, con un buen sistema de cifrado de clave pública,
toda la seguridad descansa en la clave y no en el algoritmo. Por lo tanto el tamaño de la clave es una

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 28 de 12

medida de la seguridad del sistema pero no se puede comparar con el tamaño de la clave del cifrado
simétrico para medir la seguridad.
En un ataque de fuerza bruta sobre un cifrado de clave publica con un tamaño de 512bits, el
atacante debe factorizar un numero compuesto codificado en 512bits(hasta 155 dígitos decimales).
La cantidad de trabajo para el atacante será diferente dependiendo del cifrado que esté atacando.
Mientras 128bits son suficientes para cifrados simétricos, se recomienda el uso de claves publicas
de 1024bits para la mayoría de los casos.
La mayor ventaja de la criptografía asimétrica es que se puede cifrar con una clave y descifrar con
otra pero el sistema tiene bastantes desventajas:
Para una misma longitud de clave y mensaje se necesita mayor tiempo de proceso.
Las claves deben ser de mayor tamaño que las simétricas.
El mensaje cifrado ocupa mas espacio que el original.
El sistema de criptografía de curva elíptica representa una alternativa menos costosa para este tipo
de problemas.

Herramientas como PGP, SSH o la capa de seguridad SSL utilizan un híbrido formado por la
criptografía asimétrica para intercambiar claves de criptografía simétrica y la criptografía simétrica
para la transmisión de la información.
Algunos algoritmos de técnicas de clave asimétrica son:
Diffie-Hellman
RSA
DSA
ELGAMAL
Criptografía de curva elíptica.
-Otros algoritmo de clave asimétrica pero inseguros:
MEKLE-HELLMAN.
KNAPSACK
Algunos protocolos que usan los algoritmos antes citados son:
DSS con el algoritmo DSA.
PGP.
GPG, una implementación de OPENPGP.
SSH.
SSL.
TLS.
El beneficio obtenido consiste en la supresión de la necesidad del envío de la clave siendo por lo
tanto un sistema mas seguro.

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 29 de 12

El inconveniente es la lentitud de la operación. Para solventar dicho inconveniente el procedimiento
que suele seguirse para realizar el cifrado de un mensaje es utilizar un algoritmo de clave pública
junto a uno de clave simétrica.
Cifrado de clave pública.
El uso de claves asimétricas ralentiza el proceso de cifrado para solventar dicho inconveniente se
utiliza un algoritmo de clave pública junto a uno de clave simétrica,veamos cual es el
procedimiento:Ana y Bernardo tienen sus pares de claves respectivas,Ana escribe un mensaje a
Bernardo lo cifra con clave simétrica(clave de sesión que se genera aleatoriamente),para enviar la
clave de sesión de forma segura esta se cifra con la clave publica de Bernardo. Bernardo recibe el
mensaje cifrado y en primer lugar utiliza su clave privada para descifrar la clave de sesión,una vez
obtenida esta ya puede descifrar el mensaje original.
Con este sistema conseguimos:
Confidencialidad: solo podrá leer el mensaje el destinatario del mismo.
Integridad:el mensaje no podrá ser modificado.
Pero todavía quedan sin resolver los problemas de autenticación y no repudio
Firma digital.
La firma digital permite al receptor verificar la autenticidad del origen de la información así como
verificar que dicha información no ha sido modificada desde su generación, de este modo ofrece
soporte para la autenticación e integridad así como para el no repudio en origen ya que la persona
origina un mensaje firmado digitalmente no puede argumentar que no lo es. La firma digital es un
cifrado del mensaje que se está afirmando pero con la clave privada del emisor, sin embargo, ya se
ha comentado el principal inconveniente de los algoritmos de clave publica, su lentitud que crece
con el tamaño del mensaje a cifrar. Para evitar este problema, la firma digital hace uso de funciones
de HASH, una función HASH es una operación que se realiza sobre un conjunto de datos de cualquier
tamaño de tal forma que se obtiene como resultado otro conjunto de datos denominado resumen
de tamaño fijo e independiente del tamaño original que además tiene la propiedad de estar
asociado unívocamente a los datos iniciales, es decir, que es prácticamente imposible encontrar 2
mensajes distintos que tengan un resumen HASH idéntico.
Veamos cual es el procedimiento: Ana escribe un mensaje a Bernardo, es necesario que Bernardo
pueda verificar realmente que es Ana quien ha enviado el mensaje, por lo tanto Ana tiene que
firmarlo:
Resume el mensaje o datos mediante una función HASH.
Cifra el resultado de la función HASH con su clave privada, de esta forma obtiene su firma digital.

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 30 de 12

Envia el mensaje original a Bernardo junto con su firma.
Descifra el resumen del mensaje mediante la clave pública de Ana.
Aplica al mensaje la función HASH para obtener el resumen.
Compara el resultado recibido con el obtenido a partir de la función HASH, si son iguales, Bernardo
puede estar seguro de quien ha enviado el mensaje y que éste no ha sido modificado.
SHA y MD5 son 2 ejemplos de este tipo de algoritmos que implementan funciones HASH, el DSA es
un algoritmo de firmado de clave publica que funciona como hemos descrito(usado en GNUPG),
algunas aplicaciones son: mensajes con autenticidad asegurada, mensaje sin posibilidad de repudio,
contratos comerciales electrónicos, factura electrónica, transiciones comerciales electrónicas,
notificaciones judiciales electrónicas, voto electrónico, tramites de seguridad social, contratación
publica. Con este sistema conseguimos: autenticación, integridad, no repudio en origen.
Certificados digitales.
Según puede interpretarse de los apartados anteriores, la eficacia de las operaciones de cifrado y
firma digital basa en criptografía de clave publica solo esta garantizada si se tiene la certeza de que
la clave privada de los usuarios solo es conocida por dichos usuarios y que la clave publica pueda ser
dada a conocer a todos los demás usuarios con la seguridad de que no exista confusión entre las
claves publicas de los distintos usuarios.
Para garantizar la unicidad de las claves privadas se suele recurrir a soportes físicos tales como
tarjetas inteligentes o tarjetas pcmecias que garantizar la duplicidad de claves, además las tarjetas
criptográficas suelen estar protegidas por un numero personal o PIN solo conocido por su
propietario que garantiza que si se extravía la tarjeta, nadie que no conozca dicho numero podrá
hacer uso de ella.
Por otra parte, para asegurar que una determinada clave publica pertenece a un usuario en concreto
se utilizan los certificados digitales que son documentos electrónicos que asocian una clave publica
con la identidad de su propietario.
En general un certificado digital es un archivo que puede emplear un software para firmar
digitalmente archivos en los cuales puede verificarse la identidad del firmante.
La extensión del certificado con clave privada suele ser un .TFX o .P12 mientras que el certificado
que no tiene clave privada solo la publica, suele ser de extensión .CER o .CRT.
Adicionalmente además de la clave publica y la identidad de su propietario, un certificado digital
puede contener otro atributos para, por ejemplo, concretar el ámbito de utilización de la clave
publica, las fechas de inicio y fin de la validez del certificado, etc.

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 31 de 12

Terceras partes de confianza.
Una vez definido el concepto de certificado digital se plantea una duda, ¿Como puedo confiar si un
determinado certificado es valido o si está falsificado? La validez de un certificado es la confianza
en que la clave publica contenida pertenece al usuario indicado en el certificado. La validez del
certificado en un entorno de clave publica es esencial ya que se debe conocer si se puede confiar o
no en que el destinatario del mensaje será o no realmente el que esperamos.
La manera en la que se puede confiar en el certificado de un usuario con el que nunca hemos tenido
ninguna relación previa es mediante la confianza en terceras partes, la idea consiste en que 2
usuarios, puedan confiar directamente entre sí, si ambos tiene relación con una tercera parte ya
que esta puede dar fe de la fiabilidad de los 2.
La necesidad de una tercera parte confiable(TPC o TTP) es fundamental en cualquier entorno de
clave publica de tamaño considerable debido a que es impensable que los usuarios hayan tenido
relaciones previas antes de intercambiar información cifrada o firmada. Además la mejor forma de
permitir la distribución de claves publicas (o certificados digitales) de los distintos usuarios, es que
algún agente en quien todos los usuarios confine se encargue de su obligación en algún repositorio
al que todos los usuarios tengan acceso.
En conclusión se podrá tener confianza en el certificado digital de un usuario al que previamente no
conocemos si dicho certificado está avalado por una tercera parte en la que sí confiamos. La forma
en la que esta tercera parte avalará que el certificado es de fiar, es mediante su firma digital sobre
el certificado. Por tanto, podremos confiar en cualquier certificado digital firmado por una tercera
parte en la que confiamos. La tercera parte de confianza que se encarga de la firma digital de los
certificados de los usuarios de un entorno de clave publica se conoce con el nombre de autoridad
de certificación(AC).
El modelo de confianza basado en terceras partes confiables es la base de la definición de las
infraestructuras de la clave publica(ICP o PKI).
Firma electrónica: DNIE
El documento nacional de identidad (DNI) emitido por la dirección general de policía, es un
documento que acreedita desde hace más de 50 años la identidad, datos personales y la
nacionalidad española de su titular.
Con la llegada de la sociedad de la información y la generalización del uso de Internet, se hace
necesario adecuar los mecanismos de acreeditación de personalidad a la nueva realidad y disponer
de un instrumento eficaz que traslade al mundo digital las mismas certezas con las que operamos
cada día en el mundo físico y que esencialmente son:
Acreeditar electrónicamente y de forma indubitada la identidad de la persona.

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 32 de 12

Firmar digitalmente documentos electrónicos otorgandoles una validez jurídica equivalente a las
que le proporciona la firma manuscrita.
Para responder a estas nuevas responsabilidades nace el documento nacional de identidad
electronico similar al tradicional y cuya principal novedad es que incorpora un pequeño circuito
integrado capaz de guardar de forma segura información y de procesarla internamente.
En la medida en la que el DNI electronico vaya sustituyendo al DNI tradicional y se implante las
nuevas aplicaciones, podremos utilizarlo para:
Realizar compras firmadas a través de Internet.
Hacer trámites completos en las administraciones públicas a cualquier hora y sin tener que
desplazarse ni hacer colas.
Realizar transaciones seguras con entidades bancarias.
Acceder al edificio donde trabajamos.
Utilizar de forma segura nuestro ordenador personal.
Participar en una conversación por Internet con la certeza de que nuestro interlocutor es quien dice
ser.
El DNI electrónico tiene grandes ventajas para el ciudadano:
Desde el punto de vista de la seguridad, el DNI electrónico es un documentos más seguro que el
tradicional pues incorpora mayores y más sofisticadas medidas de seguridad que harán
virtualmente imposible su falsificación.
Desde el punto de vista de la comodidad, con el DNI electrónico se podrán realizar trámites a
distancia y en cualquier momento.
El DNI electrónico se expedirá de forma inmediata.
Hacer trámite sin tener que aportar documentación que ya exista en la Administración, una de las
ventajas del uso de DNIE y los servicios de administración electronica basados en él, será la práctica
eliminación del papel en la tramitación.
Desde el punto de la economía: el DNI electrónico es un documento más robusto, tiene una duración
prevista de unos 10 años, el DNIE mantiene las medidas del DNI tradicional.
En cuanto al chip criptográfico contiene la siguiente información en formato digital:
Un certificado electrónico para autenticar la personalidad del ciudadano.

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO

Código : GC-DCVersión:1
Página 33 de 12

Un ceritificado electrónico para firmar electrónicamente con la misma validez jurídica que la firma
manuscrita.
Certificado de la autoridad de certificación emisora.
Claves para su utilización.
La plantilla biométrica de la impresión dactilar.
La fotografía digital del ciudadano.
La imagen digitalizada de la firma electrónica.
Datos de la afiliación del ciudadano correspondientes con el contenido personalizado en la tarjeta.

Los elementos de seguridad del documento para impedir su falsificación :
Medidas de seguridad físicas:
Visibles a simple vista(tintas ópticamente variables, relieves, fondos de seguridad).
Verificando mediante medios ópticos y electrónicos(tintas visibles con luz ultravioleta,
microescrituras).
Medidas de seguridad digitales:
Encriptación de los datos del chip.
Ping de acceso a la funcionalidad del DNI.
Las claves nunca abandonan el chip.
La autoridad de certificación es la dirección general de la policía.
Para la utilización del DNI electrónico es necesario utilizar con determinados elementos hardware y
software:
Elementos hardware:
Un ordenador personal(a partir de pentium 3).
Un lector de tarjetas inteligente que cumpla con el estándar ISO-7816.
Elementos software:
Sistemas operativos(windows 2000,xp y vista, linux y MAC).
Navegadores(explorer 6.0 o superior,firefox 1.5 o superior, netcape 4.78 o superior)
Controladores/documentos criptograficos: para poder interaccionar adecuadamente con las
tarjetas criptográficas, en un entorno windows, el equipo debe tener instalado el servicio
criptografic services probider (CSP) y en entornos unix/linux o MAC a través de un módulo
denominado PKCS#11, estos módulos pueden obtenerse en www.dnielectronico.es/descargas.

Taller

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia

COLEGIO ANTARES
INFORMATICA BASICA – SEGURIDAD
GUÍA DE CLASE 2 GRADO UNDECIMO


Código : GC-DCVersión:1
Página 34 de 12

Según la teoría planteada desarrolle un esquema de seguridad que limite en todos los
aspectos el acceso a un sistema informatico.

Seguridad Informática, Almacenamiento, Hackeo, Puntos de Fuga

Ing. Jefersson Devia


Documentos relacionados


Documento PDF guia 2 seguridad informatoca niveles de seguridad grado 11
Documento PDF guia 1 grado undecimo seguridad informatica
Documento PDF guia 1 grado octavo introduccion a redes
Documento PDF guia 1 grado decimo introduccion a bases de datos
Documento PDF guia 1 grado quinto que es un computador ms windows
Documento PDF cuestionario grado quinto


Palabras claves relacionadas