En este módulo podrás obtener tu tercera insignia simbólica,

la cual da cuenta de los aprendizajes técnicos, al ganar esta

insignia das cuenta de la capacidad de dominio para analizar
variables, escoger un protocolo y solucionar un problema en
el marco de la seguridad de la información.
La mayor motivación de la se- La continuidad de los nego- Tal como la seguridad en Los virus, los gusanos y los
guridad en redes es el esfuer- cios es otro factor impulsor de redes está compuesta de do- troyanos son tipos específi-
zo por mantenerse un paso la seguridad en redes. La minios, los ataques a las cos de ataques a las redes,
más adelante de los hackers complejidad de la seguridad redes son clasificados para más adelante profundizare-
malintencionados. Del mismo en redes dificulta dominar hacer más fácil el aprender mos en cómo están clasifica-
modo que los médicos inten- todo lo que ésta abarca. de ellos y abordarlos apropia- dos los ataques a las redes,
tan prevenir nuevas enferme- Varias organizaciones han damente. antes conozcamos un poco
dades tratando problemas creado dominios que subdivi- de la evolución de la seguri-
existentes, los profesionales den el mundo de la seguridad dad en redes.
de la seguridad en redes in- en redes en pedazos más fá-
tentan prevenir ataques mini- cilmente manejables. Esta di-
mizando los efectos de los visión facilita a los profesio-
ataques en tiempo real. nales concentrarse en áreas
más precisas de especializa-
ción en su educación, investi- Las soluciones de seguridad
gación y trabajo. en redes surgieron en los
años 1960 pero no se convir-
tieron en un conjunto exhaus-
tivo de soluciones para redes
modernas hasta el principio
del nuevo milenio.
La seguridad en redes está directamente rela-
cionada con la continuidad de los negocios de
una organización. Una brecha en la seguridad
de la red puede afectar al e-comercio, causar la
pérdida de datos, amenazar la privacidad de las
personas (con potenciales consecuencias lega-
les), y comprometer la integridad de la informa-
ción. Estas vulnerabilidades pueden resultar en
pérdidas de ingresos para las compañías, robo
de propiedad intelectual, demandas e incluso
puede amenazar la seguridad pública.
En julio de 2001, el gusano Code Una red segura garantiza la segu- "La necesidad es la madre de A medida que la seguridad en
Red atacó servidores web global- ridad de los usuarios y protege los todos los inventos" redes se convirtió en una parte in-
mente, infectando a más de intereses comerciales. Esto re- tegral de las operaciones diarias,
350.000 hosts. El gusano no solo quiere vigilancia de parte de los Cuando surgió Internet, los intere- fueron surgiendo dispositivos de-
interrumpió el acceso a los servi- profesionales de la organización, ses comerciales eran insignifican- dicados a funciones particulares
dores infectados, sino que tam- quienes deberán estar constante- tes, la gran mayoría de los usua- de la seguridad en redes. Una de
bién afectó las redes locales que mente al tanto de las nuevas y rios eran expertos en investiga- las primeras herramientas de se-
alojaban los servidores, volvién- evolucionadas amenazas y ata- ción y desarrollo. Los primeros guridad de redes fue el sistema de
dolas muy lentas o inutilizables. El ques a las redes, así como tam- usuarios raramente se involucra- detección de intrusos (IDS), desa-
gusano Code Red causó una De- bién de las vulnerabilidades de los ron en actividades que pudieran rrollado por SRI International en
negación de Servicio (DoS) a mi- dispositivos y aplicaciones. dañar a los otros usuarios e inter- 1984.
llones de usuarios. net no era un ambiente seguro
Esta información se utiliza para porque no necesitaba serlo. Un IDS provee detección en
Si los profesionales de seguridad, adaptar, desarrollar e implemen- tiempo real de ciertos tipos de ata-
responsables de los servidores in- tar técnicas de mitigación. Sin em- En un inicio, el propósito de las ques mientras están en progreso.
fectados por el gusano, hubieran bargo, la seguridad de la red es, redes era conectar a la gente y a Esta detección permite a los pro-
desarrollado e implementado una en última instancia, responsabili- sus máquinas a través de medios fesionales de redes mitigar más
política de seguridad, se habrían dad de todos los que la usan. Por de comunicación, y el trabajo de rápidamente el impacto negativo
aplicado parches de seguridad a esta razón, es trabajo del profe- un técnico de redes era conectar de estos ataques en los dispositi-
tiempo, el gusano Code Red sional de seguridad en redes ase- dispositivos para mejorar la habili- vos de red y los usuarios.
habría sido detenido y solo ameri- gurarse de que todos los usuarios dad de las personas de comunicar
taría una nota al pie en la historia reciban capacitación sobre con- información e ideas. Los primeros
de la seguridad en redes. cientización en seguridad, para usuarios de Internet no pasaban
mantener un ambiente de trabajo mucho tiempo pensando si sus
más estable y funcional para actividades en línea podrían ame-
todos. nazar la seguridad de su red o de
sus propios datos.
A medida que la seguridad en A fines de los años 1990, el siste- En 1988, Digital Equipment Cor- Con el tiempo, varias empresas
redes se convirtió en una parte in- ma o sensor de prevención de in- poration (DEC) creó el primer desarrollaron firewalls dedicados
tegral de las operaciones diarias, trusos (IPS) comenzó a reempla- firewall de red en la forma de un o autónomos, que permiten a los
fueron surgiendo dispositivos de- zar a la solución IDS. Los disposi- filtro de paquetes. Estos primeros routers y switches liberar la me-
dicados a funciones particulares tivos IPS permiten detectar activi- firewalls inspeccionan los paque- moria y el procesador de la inten-
de la seguridad en redes. Una de dad maliciosa y tiene la habilidad tes para verificar que correspon- sa actividad de filtrar paquetes.
las primeras herramientas de se- de bloquear el ataque automática- diera a conjuntos de reglas prede- Para las organizaciones que no
guridad de redes fue el sistema de mente en tiempo real. Además de finidas, con la opción de forwar- requieren un firewall dedicado, los
detección de intrusos (IDS), desa- las soluciones IPS e IDS, se desa- dearlos o descartarlos. Los routers modernos, como el Router
rrollado por SRI International en rrollaron los firewalls para prevenir firewalls de filtrado de paquetes de Servicios Integrados Cisco
1984. que tráfico no deseado ingresara inspeccionan cada paquete aisla- (ISR), pueden ser utilizados como
a ciertas áreas señaladas dentro damente sin examinar si es parte sofisticados firewalls de estados.
Un IDS provee detección en de una red, proporcionando segu- de una conexión existente. Además de encargarse de ame-
tiempo real de ciertos tipos de ata- ridad de perímetro. nazas que provienen de afuera de
ques mientras están en progreso. En 1989, AT & T Bell Laboratories la red, los profesionales de redes
Esta detección permite a los pro- desarrolló el primer firewall de es- deben también estar preparados
fesionales de redes mitigar más tados (stateful). En similitud con para amenazas que provengan
rápidamente el impacto negativo los firewalls de filtrado de paque- desde adentro de la misma.
de estos ataques en los dispositi- tes, los firewalls de estados tam-
vos de red y los usuarios. bién utilizan reglas predefinidas Las amenazas internas, ya sean
para permitir o denegar tráfico, la intencionales o accidentales,
diferencia es que los firewalls de pueden causar aún más daño que
estados hacen seguimiento de las las amenazas externas, por el
conexiones establecidas y deter- acceso directo y conocimiento de
minan si un paquete pertenece a la red y datos corporativos. A
un flujo de datos existente, ofre- pesar de este hecho, el desarrollo
ciendo mayor seguridad y proce- de herramientas y técnicas para
samiento más rápido. Los mitigar amenazas internas ha tar-
firewalls originales eran prestacio- dado más de 20 años luego de la
nes de software agregadas a dis- introducción de herramientas y
positivos de red existentes, como técnicas para mitigar amenazas
routers. externas.
Un caso común de una amenaza que se origina desde dentro de una Además de prevenir y denegar tráfico malicioso, la seguridad en
red es el de un empleado descontento con ciertas habilidades técni- redes también requiere que los datos se mantengan protegidos. La
cas y voluntad de hacer daño. La mayoría de las amenazas desde criptografía es el estudio y la práctica de ocultar información, es am-
dentro de la red revelan los protocolos y tecnologías utilizados en la pliamente utilizada en la seguridad de redes moderna. Hoy en día,
red de área local (LAN) o la infraestructura switcheada. cada tipo de comunicación de red tiene un protocolo o tecnología co-
rrespondiente, diseñado para ocultar esa comunicación de cualquier
Estas amenazas internas caen, básicamente, en dos categorías: fal- otro que no sea el usuario al que está destinada.
sificación y DoS. Los ataques de falsificación son ataques en los que
un dispositivo intenta hacerse pasar por otro falsificando datos. Por Los datos inalámbricos pueden ser cifrados (ocultados) utilizando
ejemplo, la falsificación de direcciones MAC ocurre cuando una com- varias aplicaciones de criptografía. Se puede cifrar una conversación
putadora envía paquetes de datos cuya dirección MAC corresponde entre dos usuarios de teléfonos IP y también pueden ocultarse con
a otra computadora que no es la propia. Como éste, existen otros criptografía los archivos de una computadora. Estos son solo algu-
tipos de ataques de falsificación. Los ataques de DoS hacen que los nos ejemplos. La criptografía es un mecanismo esencial en cualquier
recursos de una computadora no estén disponibles para los usuarios comunicación de datos, lo cual merece un modulo exclusivo para en-
a los que estaban destinados. Los hackers usan varios métodos para tender todos los beneficio que la misma provee. Por ejemplo, el cifra-
lanzar ataques de DoS. do provee confidencialidad al ocultar los datos en texto plano. La in-
tegridad de los datos, es decir, el hecho de que los datos sean pre-
servados sin alteraciones durante una operación, se mantiene a
través del uso de mecanismos de hashing. La disponibilidad, que es
la accesibilidad a los datos, está garantizada por los mecanismos de
network hardening y sistemas de resguardo de datos.
 CERT responde a incidentes de seguridad serios
InfoSysSec es una organización de seguridad en y analiza las vulnerabilidades de los productos, Center for Internet Security (CIS) es un empren-
redes que aloja un portal de novedades de segu- trabaja para administrar los cambios relaciona- dimiento sin fines de lucro que desarrolla puntos
ridad, proporcionando las últimas novedades en dos con técnicas progresivas de intrusión y con de referencia en la configuración de la seguridad
cuanto a alertas, exploits y vulnerabilidades. las dificultades en detectar ataques y atrapar a a través de consensos globales para reducir el
los atacantes, desarrolla y promueve el uso de riesgo de interrupciones en los negocios y el co-
prácticas de administración de sistemas y tecno- mercio electrónico.
logías apropiadas para resistir ataques en siste-
mas en red, para limitar el daño y para garantizar
la continuidad de los servicios.

CERT se ocupa de cinco áreas: aseguramiento

del software, sistemas seguros, seguridad en las
organizaciones, respuesta coordinada y educa-
ción y capacitación. Además, difunde información
CERT es parte del Software Engineering Institute publicando artículos, reportes técnicos, de inves- SANS se estableció en 1989 como una organiza-
(SEI) en Carnegie Mellon University, financiado tigación y papers en una variedad de temas de ción cooperativa de investigación y educación, su
por el gobierno de los Estados Unidos. Fue seguridad. Por ello, trabaja con los medios de objetivo es la capacitación y certificación en se-
creado para trabajar con la comunidad de Inter- noticias para crear conciencia sobre los riesgos guridad de la información, desarrolla documentos
net para detectar y resolver incidentes de seguri- de Internet y los pasos que los usuarios pueden de investigación sobre varios aspectos de la se-
dad en las computadoras. El gusano Morris tomar para protegerse. También, trabaja con guridad de la información. Desde auditores y ad-
motivó la formación del CERT bajo la directiva de otras organizaciones tecnológicas importantes ministradores de red hasta directores de seguri-
la Defense Advanced Research Projects Agency como FIRST e IETF, para incrementar el compro- dad de la información comparten lecciones
(DARPA). El CERT Coordination Center (CER- miso con la seguridad y aconseja a las organiza- aprendidas y soluciones a varios desafíos, en el
T/CC) tiene por objetivo coordinar la comunica- ciones del gobierno de los Estados Unidos, como núcleo de SANS están los practicantes de la se-
ción entre los expertos durante emergencias de el National Threat Assessment Center, el Natio- guridad en varias organizaciones globales, desde
seguridad para ayudar a prevenir futuros acci- nal Security Council, y el Homeland Security empresas hasta universidades, trabajando juntos
dentes. Council.
para ayudar a toda la comunidad de la seguridad de investigación sobre varios aspectos de la se-
de la información, pues los recursos de SANS guridad de la información. Desde auditores y ad-
son mayormente accesibles bajo solicitud. ministradores de red hasta directores de seguri-
dad de la información comparten lecciones
SANS desarrolla cursos de seguridad para la aprendidas y soluciones a varios desafíos, en el
Certificación Global de Seguridad de la Informa- núcleo de SANS están los practicantes de la se- FIRST es una organización de seguridad que
ción (Global Information Assurance Certification - guridad en varias organizaciones globales, desde reúne una variedad de equipos de respuesta a in-
GIAC) en auditoría, administración, operaciones, empresas hasta universidades, trabajando juntos cidentes de seguridad de organizaciones guber-
asuntos legales, administración de seguridad y para ayudar a toda la comunidad de la seguridad namentales, comerciales y educativas, para fo-
seguridad de software. GIAC certifica las habili- de la información, pues los recursos de SANS mentar la cooperación y coordinación en el inter-
dades de los profesionales de la seguridad, que son mayormente accesibles bajo solicitud. cambio de información, la prevención de inciden-
van desde la seguridad de la información de nivel tes y la rápida reacción.
de entrada hasta áreas de avanzada como audi- SANS desarrolla cursos de seguridad para la
toría, detección de intrusos, manejo de inciden- Certificación Global de Seguridad de la Informa-
tes, firewalls y protección de perímetro, peritaje ción (Global Information Assurance Certification -
de datos, técnicas de hacking, seguridad de sis- GIAC) en auditoría, administración, operaciones,
temas operativos UNIX y Windows y codificación asuntos legales, administración de seguridad y
de aplicaciones y software segura. seguridad de software. GIAC certifica las habili-
dades de los profesionales de la seguridad, que
van desde la seguridad de la información de nivel
La Mitre Corporation mantiene una lista de las
de entrada hasta áreas de avanzada como audi-
vulnerabilidades y exposiciones comunes (CVE),
toría, detección de intrusos, manejo de inciden-
utilizada por organizaciones de seguridad de
tes, firewalls y protección de perímetro, peritaje
redes de gran prestigio.
de datos, técnicas de hacking, seguridad de sis-
temas operativos UNIX y Windows y codificación
de aplicaciones y software segura.
SANS se estableció en 1989 como una organiza-
ción cooperativa de investigación y educación, su
objetivo es la capacitación y certificación en se-
guridad de la información, desarrolla documentos
El protocolo TCP/IP posee unas características La expansión de Internet ha traído consigo
fundamentales que condicionan en gran medida nuevos escenarios de aplicación y un incremen-
las vulnerabilidades asociadas a su funciona- to importantísimo en el número de equipos co-
miento. No en vano se trata de un protocolo que, nectados a esta red. Todo ello ha hecho aflorar
aunque ha probado durante décadas su buen el interés por los ataques a este tipo de redes,
funcionamiento, fue diseñado con objetivos para pues cada vez manejan información más atracti-
escenarios muy distintos de los que actualmente va, así como la aparición de herramientas y me-
afronta la comunicación entre ordenadores. canismos de protección de esta red.

Dado que el alcance de este modelo no contem- Los fundamentos de la arquitectura TCP/IP condi-
pla detallar el funcionamiento del protocolo cionan los dos aspectos mencionados con anterio-
TCP/IP, si es muy importante que puedas tener ridad, es decir, poseen vulnerabilidades que
claro su funcionamiento, para ello hay un intere- pueden ser explotadas en ataques; y, al mismo
sante recurso que te permitirá de una forma en- tiempo, condicionan el tipo de mecanismos y he-
tender el funcionamiento de este protocolo. Te rramientas que pueden ser utilizados. Es por ello
aconsejo que antes de continuar puedas leer el condición indispensable para el avance en los con-
siguiente recurso. ceptos relacionados con la seguridad en redes, la
compresión de los fundamentos de TCP/IP.
INTRODUCCION AL PROTOCOLO TCP/IP
https://drive.google.com/file/d/18GUSkypeQm1-
tUY9rs5FH2L3LG4VuB8Ys/view?usp=sharing
Corresponde con las capas de sesión, Corresponde con la capa de red del modelo
presentación y aplicación del modelo OSI. Permite el enrutamiento y maneja el movi-
OSI. Gestiona las características de una miento de los paquetes en la red. Esta capa la
aplicación en particular. Las aplicacio- componen cinco protocolos: Internet Protocol
nes TCP/IP más comunes en este nivel (IP), Address Resolution Protocol (ARP), Inter-
son Telnet, FTP, SMTP, SNMP, NFS... net Control Message Protocol (ICMP), Reverse
Address Resolution Protocol (RARP) e Internet
Group Management Protocol (IGMP).

Corresponde con la capa de transporte del Corresponde con la capa de enlace y la

modelo OSI. Provee el flujo de datos entre capa física del modelo OSI. Normalmente
dos equipos que será utilizado por la capa incluye el driver del dispositivo en el siste-
superior (capa de aplicación). TCP/IP per- ma operativo y la correspondiente tarjeta
mite el uso de dos protocolos en esta capa: de interfaz de red del computador. Ofrece
Transmission Control Protocol (TCP) y los recursos que permiten la transmisión
User Datagram Protocol (UDP). de los datos a través de la red.
Por un lado, los ataques realiza- Por otro lado, los ataques exter-
dos desde el interior de la red se nos se producían gracias al co-
basaban en la alteración de per- nocimiento de las contraseñas
misos para modificar la informa- necesarias para acceder a los
ción del sistema. equipos de la red.

Con el paso de los años se han Estos nuevos métodos de

ido desarrollando nuevos ata- ataque se han ido automatizan-
ques cada vez más sofisticados do, por lo que en muchos casos
para explotar vulnerabilidades solo se necesita un conocimien-
tanto en el diseño de las redes to técnico muy básico para reali-
TCP/IP como en la configura- zarlos. Cualquier usuario con
ción y operación de los sistemas una conexión a internet tiene
informáticos que conforman las acceso hoy en día a cualquier
redes conectadas a internet. aplicación para realizar estos
ataques y las instrucciones ne-
cesarias para ejecutarlos.
El malware es un código que El término "malware" sirve para Los atacantes usan malware
realiza acciones maliciosas; agrupar dentro de un mismo para robar información confi-
Puede tomar la forma de un concepto diferentes tipos de dencial, espiar el sistema infec-
ejecutable, script, código o "virus informáticos", caballos tado o tomar el control del sis-
cualquier otro software. de Troya y demás software ma- tema. Por lo general, ingresa al
lintencionado que durante sistema sin consentimiento y
muchos años han aparecido y su mayor medio de propaga-
también desaparecido. ción es a través de las redes
de comunicación, usando ser-
vicios como; correo electróni-
co, aplicaciones web, etc.
Virus Gusanos Troyanos

Fue el primer tipo de malware creado y por ende una de Al igual que los virus, se caracterizan por su objetivo de Se conoce como caballos de Troya o simplemente tro-
las formas más comunes de referirse a todos los tipos replicarse a sí mismos. La diferencia entre ambos yanos, a los programas que se presentan a la como le-
de malware. Una prueba de lo arraigado del término es radica en la forma de reproducirse, ya que en este caso gítimos y esconden una funcionalidad oculta, principal-
que al software destinado a combatir los diferentes su objetivo no es infectar o afectar a otros programas, mente con fines maliciosos. En la actualidad es el tipo
tipos de amenazas recibe genéricamente el nombre de sino replicarse haciendo copias de sí mismos de forma de malware al que más recurren los atacantes a la hora
"antivirus", a pesar de contar actualmente con muchas automática. Su aparición también es de las primeras en de buscar nuevas infecciones. Su nombre se debe a la
otras funcionalidades. el mundo del malware, dando lugar a especímenes similitud en su comportamiento con el caballo de
bastante conocidos, como "Sasser", "Blaster" o "I Love madera utilizado en la guerra de Troya para ocultar sol-
La definición de un programa con un comportamiento You". dados y que las propias víctimas los introdujera en la
considerado "vírico" es simple: cualquier programa ciudad que más tarde tomarían.
cuyo objetivo sea asegurar su propia existencia, repli- Sus objetivos primigenios solían ser la simple replica-
cándose a sí mismo e infectando a otros programas. ción y ralentización de sistemas. Hoy en día se trata Del mismo modo, los troyanos inicialmente son aparen-
Recibe su nombre por la similitud con los agentes bioló- más bien de una técnica de propagación que utilizan el temente inofensivos y se les permite acceder al siste-
gicos que únicamente buscan la manera de sobrevivir malware y que busca en realidad otros fines una vez in- ma, para posteriormente poder llevar a cabo su objeti-
multiplicándose una y otra vez infectando a los seres fectado el sistema. Los gusanos, o las técnicas de vo. La finalidad del programa escondido habitualmente
vivos con los que entran en contacto. gusano en malware, son todavía habituales, se consi- solía ser la de controlar totalmente el equipo, quedán-
dera que el malware utiliza características de gusano dose en modo residente en él, es decir, manteniéndose
Una vez infectado, los virus podrían inutilizar o modifi- cuando se copian a sí mismos dentro de las memorias en funcionamiento constante, y siendo capaz de recibir
car su comportamiento, pero en los tiempos en los que USB y también cuando busca en la red nuevos equipos órdenes del exterior. Así pues, se decía que el equipo
el comportamiento vírico puro era más popular, habi- a los que infectar a través de algún servicio, por ejem- se encontraba "troyanizado", de modo que el término
tualmente su principal objetivo era la simple copia de sí plo entre las carpetas compartidas. "troyano" se refería tanto a la forma en la que se pre-
mismos a otros ficheros en el disco duro para poder in- sentaba el malware, como a su funcionalidad.
fectar al mayor número de programas posibles. Por
tanto, su fin era llegar a tantos sistemas como permitie- En la actualidad, se le llama troyano a todo software
ra su funcionalidad, sin un claro objetivo para el creador que, sin advertir a la víctima, es capaz de recibir o
más allá de la satisfacción de difundir "su obra". enviar órdenes a un tercero y ejercer control sobre el
sistema infectado, independientemente de cómo se
presente a la víctima y cómo ésta sea infectada.
Backdoors (o puertas traseras) Adware (o software publicitario) Spyware (o software espía)

Pese a considerarse un tipo de troyano, o de funcionali- Se trata de un tipo de software destinado a generar un Se incluye en esta categoría el malware cuya función
dad de ellos por ser este el grupo en que más se pre- beneficio económico directo a su creador o comprador es recolectar información de la máquina infectada, mo-
senta, esta funcionalidad está ampliamente extendida a través de la publicidad no deseada e intrusiva. Su nitorizando sus movimientos. Por ello son también co-
debido al gran abanico de posibilidades que ofrece. funcionamiento se basa en mostrar publicidad esperan- nocidos como stealers (en inglés, ladrones). Entre los
Significa "puerta trasera", y su objetivo es permitir al do que el usuario acceda a las páginas webs anuncia- datos de interés que se encarga de recolectar se en-
atacante controlar el sistema infectado a través de una das. Existen otras variedades de "adware" que en lugar cuentran las credenciales almacenadas en el equipo
vía de acceso y control que se encuentra oculta para el de mostrar anuncios, realizan un trabajo más discreto, (en el navegador o archivos de configuración), claves
usuario legítimo del equipo. como es el caso de los llamados "clickers". Su objetivo privadas, datos de tarjetas de crédito, etc.
es pulsar de forma automática (e inadvertida para la
A partir de aquí el controlador remoto puede realizar víctima) sobre ciertos anuncios de publicidad para ge- También se puede recopilar otro tipo de información,
cualquier acción sobre el equipo (siempre que dispon- nerar así beneficios para el anunciante. con un beneficio menos directo, como son los hábitos
ga de los permisos adecuados), desde instalar un de navegación de internet, útiles para conocer gustos,
"Keylogger" hasta mandar instrucciones para atacar Esto les permite eludir los controles de las compañías últimas tendencias, etc., y así poder presentar una pu-
otros ordenadores o enviar correos basura. En estas de publicidad, que penalizan las pulsaciones sobre blicidad más atractiva para los infectados (estas técni-
posibilidades de acción se pone de manifiesto la impor- anuncios que parezcan provenir de sistemas automati- cas también suelen ser utilizadas por ciertas páginas
tancia de utilizar de forma habitual un perfil de usuario zados. Con una gran cantidad de usuarios infectados con cookies de rastreo).En este punto en el que se
con permisos reducidos, en lugar de un perfil de admi- con estos "clickers" se puede conseguir que las visitas llega a alterar el comportamiento del navegador, es
nistrador. La existencia de un "backdoor", deja la má- a la publicidad, aunque automatizada, provenga de di- donde la diferencia entre "adware" y "spyware" empie-
quina bajo el control del atacante. ferentes equipos y con una cadencia más "aleatoria", za a difuminarse. En todo caso podría considerarse
simulando el comportamiento "normal" del usuario. que es "adware" que incluye características de "spywa-
Este estado del equipo es comúnmente conocido como También existe "adware" que modifica los anuncios re".
"zombi" o "bots", y desde el momento en el que se in- aparecidos en el navegador anteponiéndose a los legí-
fecta puede pasar a formar parte de las llamadas "bot- timos.
nets" o red de "zombis". Estas redes pueden ser utiliza-
das con diversos fines, y no siempre en perjuicio del
propio infectado. En ocasiones el atacante que controla
la botnet puede usar la máquina para el beneficio
propio o en perjuicio de un tercero, siendo los daños al
usuario infectado "efectos colaterales"
Ransomware

Se trata de una variedad de malware aparecida en la

década de los 90, pero que ha tenido su mayor auge en
los últimos años. Como otros tipos de malware, busca
un beneficio económico directo, en este caso recurrien-
do al chantaje a los usuarios del dispositivo infectado.
Al contrario que en la gran mayoría del malware, en
este caso es necesario que el usuario sea consciente
de la existencia de un comportamiento anómalo, que
será utilizado para la coacción al plantearse el pago
como única solución a ese comportamiento.

Para aumentar su efectividad, se suele recurrir al blo-

queo de cualquier tipo de acceso e interacción con el
equipo (programas, archivos, administrador de tareas,
etc.) que no sea estrictamente necesario para el envío
del dinero.
https://view.genial.ly/60ed966c654be50d815563f2/interacti-
ve-content-vulnerabilidades-en-el-modelo-tcpip
Pese a que, como ya se dijo anteriormente, los ata-
ques pasivos son muy difíciles de detectar, existen he-
rramientas que ayudan a prevenirlos. Sin embargo, la
prevención de ataques activos es prácticamente impo-
sible debido a que se requeriría la protección física de
todas las herramientas de comunicación. Por este
motivo, para mitigar este tipo de ataques existen instru-
mentos que permiten su detección o recuperación en
caso de producirse.
La finalidad de este ataque no es alte- La técnica más común para enmasca- El análisis de tráfico es un ataque que
rar la comunicación sino "escuchar" y rar contenidos es el cifrado de los men- permite al atacante observar, no solo el
analizar el trafico de la red o conseguir sajes. La detección de este tipo de ata- contenido de los mensajes enviados
acceso al sistema sin afectar a los re- ques es bastante complicada, ya que por la red, si no el patrón de dichos
cursos del mismo. En este el intruso no se produce ningún tipo de alteración mensajes. Aun habiendo cifrado el con-
monitoria de forma no autorizada el trá- en los mensajes que circulan por la red. tenido de los mensajes intercambiados
fico en la red para capturar contrase- para prevenir su lectura no autorizada,
ñas u otra información para su uso pos- La obtención de contenidos de mensa- el oponente podría extraer información
terior. Existen dos tipos: jes se entiende como la obtención de de la comunicación que le permita de-
información procedente de una comu- terminar el tipo de comunicación que
*La obtención de contenidos de mensajes nicación (conversación telefónica, está teniendo lugar.
envío de email, envío de fichero…) y
*El análisis de tráfico que puede contener información sensi-
ble que no debe ser revelada a entida-
des no autorizadas.
La suplantación de identidad se da La repetición se entiende como la cap-
cuando una entidad se hace pasar por tura de uno o más mensajes del tráfico
otra. Normalmente, para llevar a cabo de la red para su posterior retransmi-
este tipo de ataque es necesario utili- sión con el fin de provocar un efecto
zar algún otro tipo de ataque activo no deseado como, por ejemplo, reali-
como repetición que permite al ata- zar varias veces un ingreso de dinero
cante obtener privilegios para acceder en una cuenta.
a un sistema fingiendo ser una entidad
que realmente los posee.

Si se produce una modificación de Un ataque de denegación de servicio

mensajes, un mensaje original es modi- causa que un servicio o recurso sea in-
ficado parcialmente con el fin de produ- accesible a los usuarios legítimos. Nor-
cir un efecto no deseado. malmente, este tipo de ataque provoca
la pérdida de la conectividad de la red
por el consumo del ancho de banda de
la red de la víctima o sobrecarga de los
recursos computacionales del sistema
de la víctima.
Cualquier acción que comprometa la Un mecanismo diseñado para detectar Un servicio que mejora la seguridad de
seguridad de la información de una or- un ataque a la seguridad, prevenirlo o los sistemas de procesamiento de
ganización. Una forma útil que la reco- restablecerse de él. datos y la transferencia de información
mendación x.800 clasifica los ataques de una organización. Los servicios
a la seguridad, es la distinción tal como están diseñados para contrarrestar los
lo vimos en el capítulo anterior, son ataque a la seguridad y hacen uso de
entre ataques pasivos y ataques acti- uno o más mecanismos para propor-
vos , por lo cual no profundizaremos cionar el servicio. La recomendación
pero recordemos que, un ataque X.800 define un servicio de seguridad
pasivo intenta conocer o hacer uso de como un servicio proporcionado por
información del sistema, pero no una capa de protocolo de sistemas
afecta a los recursos del mismo. Un abiertos de comunicación, que garanti-
ataque activo, por el contrario, intenta za la seguridad adecuada de los siste-
alterar los recursos del sistema o afec- mas o de las transferencias de datos.
tar a su funcionamiento Los servicios de seguridad implemen-
tan políticas de seguridad y son imple-
mentados, a su vez, por mecanismos
de seguridad.
El servicio de autentificación se encarga de La prevención del uso no autorizado de una La confidencialidad es la protección de los
garantizar la autenticidad de la comunicación. fuente (este servicio controla quién puede datos transmitidos por medio de ataques pasi-
En el caso de un único mensaje como, por tener acceso a una fuente, en qué condiciones vos. En función del contenido de una transmi-
ejemplo, una señal de aviso o de alarma, la se puede producir el acceso y qué tienen per- sión de datos, existen diferentes niveles de
función del servicio de autentificación es ase- mitido los que acceden a la fuente). protección. El servicio más amplio protege los
gurar al receptor que el mensaje pertenece a datos de los usuarios que se han transmitido
la fuente de la que dice proceder. En el caso por conexión TCP. Se pueden distinguir
de una interacción continuada como la cone- formas más específicas de este servicio, inclu-
xión de un terminal a un host, intervienen dos yendo la protección de un solo mensaje o in-
aspectos. En primer lugar, en el inicio de la co- cluso de determinados campos de un mensa-
nexión, el servicio asegura que las dos entida- je. Estos refinamientos son menos útiles que
des son auténticas; es decir, cada entidad es en enfoque amplio y su implementación puede
la que dice ser. En segundo lugar el servicio incluso ser más compleja y costosa.
de asegurar que la conexión no está interveni-
da de forma que una tercera persona pueda El otro aspecto de la confidencialidad es la
suplantar a una de las dos partes auténticas protección del flujo del tráfico frente al análisis
con la finalidad de realizar una transmisión o del tráfico. Para ello el atacante no debería
una recepción no autorizada. poder ver la fuente, el destino, la frecuencia, la
longitud ni otras características del tráfico en
una comunicación.
Al igual que ocurre con la confidencialidad, la en cuenta contextos mayores, sólo proporcio- El no repudio evita que el emisor o el receptor
integridad se puede aplicar a una serie de na generalmente, protección contra la modifi- nieguen la transmisión de un mensaje. Así,
mensajes, a un solo mensaje o a campos se- cación del mensaje. cuando se envía un mensaje, el receptor
leccionados de un mensaje. Nuevamente, el puede comprobar que, efectivamente, el su-
enfoque más útil y claro es la protección del Podemos distinguir entre el servicio con y sin puesto emisor envió el mensaje. De forma si-
flujo completo. recuperación. Debido a que el servicio de in- milar, cuando se recibe un mensaje, el emisor
tegridad tiene que ver con ataques activos, puede verificar que, de hecho, el supuesto re-
Un servicio de integridad orientado a la cone- nos interesa más la detección que la preven- ceptor recibió el mensaje.
xión que funcione sobre un flujo de mensajes ción. Si se detecta una violación de la integri-
garantiza que los mensajes se reciben tal y dad, el servicio podría simplemente informar
como son enviados, sin duplicación, inser- de esta violación, y será necesaria la inter-
ción, modificación, reordenación ni repeticio- vención humana o de algún otro software
nes. La destrucción de datos también queda para restablecerse de la violación. Por otra
cubierta con este servicio. Así, el servicio de parte, existen mecanismos para la recupera-
integridad orientado a la conexión trata tanto ción de la pérdida de integridad de los datos,
la modificación del flujo de mensajes como la como estudiaremos más tarde. La incorpora-
interrupción del servicio. Por otra parte, un ción de mecanismos de recuperación auto-
servicio de integridad sin conexión, que trata matizada se presenta, en general, como la al-
únicamente mensajes individuales sin tener ternativa más atrayente.
En el estándar X.800 se definen dos tipos particu- La protección de los datos contra la revelación no Integridad de la conexión de campos selecciona-
lares de autentificación: autorizada se divide en: dos: Proporciona la integridad de los campos se-
leccionados en los datos del usuario del bloque
Autentificación de entidades origen/destino: Pro- Confidencialidad de la conexión: La protección de de datos transferido por una conexión y determina
porciona la confirmación de la identidad de una los datos de todos los usuarios en una conexión. si los campos seleccionados han sido modifica-
entidad de una asociación. Se proporciona en el dos, integrados, suprimidos o repetidos.
establecimientos de una conexión o a veces du- Confidencialidad no orientada a la conexión: La
rante la fase de transmisión de datos de dicha co- protección de los datos de todos los usuarios en Integridad no orientada a la conexión: Proporcio-
nexión. Intenta asegurar que una entidad no está un único bloque de datos. na integridad de un bloque de datos in conexión y
realizando una suplantación o una repetición no puede detectar la alteración de datos. Además,
autorizada de una conexión anterior. Confidencialidad de campos seleccionados: La puede proporcionar una forma limitada de detec-
confidencialidad de campos seleccionados en los ción de repetición.
Autentificación del origen de los datos: Corrobora datos del usuario en una conexión o en un único
la fuente de una unidad de datos. No aporta pro- bloque de datos. Integridad no orientada a la conexión de campos
tección contra la repetición o la alteración de uni- seleccionados: Proporciona la integridad de los
dades de datos. Este tipo de servicio admite apli- Confidencialidad del flujo de tráfico: La protección campos seleccionados en un bloque de datos sin
caciones como el correo electrónico, donde no de la información que podría extraerse a partir de conexión; determinada si los campos selecciona-
hay interacciones previas entre las entidades que la observación del flujo del tráfico. dos han sido modificados.
se comunican.

En el contexto de la seguridad de redes, el control Pueden encontrarse: Existe:

de acceso es la capacidad de limitar y controlar el
acceso a sistemas host y aplicaciones por medio Integridad de la conexión con recuperación: Pro- No repudio, origen: Prueba que el mensaje fue
de enlaces de comunicaciones. Para conseguirlo, porciona la integridad de los datos de todos los enviado por la parte especificada.
cualquier entidad que intente acceder debe antes usuarios en una conexión y detecta cualquier mo-
ser identificada o identificada, de forma que los dificación, inserción, omisión o repetición de cual- No repudio, destino: Prueba que el mensaje fue
derechos de acceso puedan adaptarse de quier dato de una secuencia completa de datos recibido por la parte especificada.
manera individual. con intento de recuperación.

Integridad de la conexión sin recuperación: Igual

que el anterior, pero proporciona solo detección
sin recuperación.
Tanto X.800 como RFC 2828 definen la disponi- Algunos de estos ataques son susceptibles a Un servicio de disponibilidad es aquel que pro-
bilidad como la propiedad que tiene un sistema contramedidas automatizadas, como la autenti- tege un sistema para asegurar su disponibilidad
o recurso de un sistema de estar accesible y uti- cación o el cifrado, mientras que otras requieren y trata los problemas de seguridad que surgen
lizable a petición de una entidad autorizada, algún tipo de acción física para prevenir o recu- a raíz de un ataque de interrupción de servicio.
según las especificaciones de rendimiento para perarse de la pérdida de disponibilidad de ele- Depende de la gestión y control adecuados de
el sistema (un sistema está disponible si propor- mentos de un sistema distribuido. los recursos del sistema y, por lo tanto, del ser-
ciona servicios de acuerdo con el diseño del sis- La norma X.800 trata la disponibilidad como vicio de control y acceso y otros servicios de se-
tema que en el momento en que los usuarios lo una propiedad asociada a diferentes servicios guridad.
soliciten). Una variedad de ataques puede dar de seguridad. Sin embargo, tiene sentido solici-
como resultado la pérdida o reducción de la dis- tar un servicio concreto de disponibilidad.
ponibilidad.
X.800 distingue entre mecanismos de cifrado
reversible y mecanismos de cifrado irreversible.
El primero es un algoritmo de cifrado que permi-
te cifrar los datos y, posteriormente, descifrar-
los. Por otro lado, los mecanismos de cifrado
irreversible incluyen algoritmos hash y códigos
de autentificación de mensajes, que se emplean
en firmas digitales y en aplicaciones de autenti-
cación de mensajes.
Cifrado Firma digital Control de acceso Integridad de los datos

El uso de algoritmos matemáti- Datos añadidos a, o una trans- Una serie de mecanismos que Una serie de mecanismos em-
cos para transformar datos en formación criptográfica de, una refuerzan los derechos de pleados para verificar la integri-
una forma inteligible. La trans- unidad de datos que permite al acceso a los recursos. dad de una unidad de datos o
formación y la posterior recupe- receptor verificar la fuente y la del flujo de unidades de datos.
ración de los datos depende de integridad de la unidad de
un algoritmo y cero o más datos y protegerla de la falsifi-
claves de cifrado. cación (por parte del receptor).

Intercambio de autentificación Relleno del tráfico Control de enrutamiento Notarización

Un mecanismo diseñado para La inserción de bits en espa- Permite la selección de rutas El uso de una tercera parte
comprobar la identidad de una cios en un flujo de datos para físicamente seguras para deter- confiable para asegurar deter-
entidad por medio del intercam- frustrar los intentos de análisis minados datos y permite los minadas propiedades de un
bio de información de tráfico. cambios de enrutamiento espe- intercambio de datos..
cialmente cuando se sospecha
de una brecha en la seguridad
Funcionalidad fiable Etiquetas de seguridad Detección de acciones

La que se considera correcta La marca asociada a un recurso Detección de acciones relacio-

con respecto a algunos criterios (que podría ser una unidad de nadas con la seguridad
(por ejemplo, los establecidos datos) que designa los atributos
por una política de seguridad) de seguridad de ese recurso.

Informa para la auditoria de seguridad Recuperación de la seguridad

Recopilación de datos para facilitar Maneja las peticiones de los me-

una auditoria de seguridad, que con- canismos (como funciones de
siste en una revisión y un examen gestión de acciones) y lleva a
independientes de los informes y acti- cabo acciones de recuperación.
vidades del sistema.
https://view.genial.ly/60eda927b802b70d7fe53be2/in-
teractive-content-mecanismos-de-seguridad
Un computador con TCP/IP puede establecer Existen puertos dedicados a tareas concretas. Todos los protocolos tienen una fuerte base
múltiples comunicaciones simultáneamente, a Así por ejemplo el puerto 80 o 443 se emplea criptográfica. El objetivo de la criptografía como
través de los denominados puertos. Un puerto para las páginas web, y el 21 para la transfe- se vio en el tema anterior, es el envío de infor-
se comporta como los canales de un televisor: rencia de ficheros, pero nada nos impediría mación de manera que si un atacante consigue
a través de un único cable llegan muchas emi- situar nuestro protocolo FTP en el puerto dife- ver el mensaje no pueda comprenderlo. Única-
siones, de las cuales podemos escoger cual rente, por ejemplo 400, lo cual es una de las mente el destinatario legítimo de la información
ver con solo seleccionar el canal correspon- buenas prácticas en el proceso de hardening, podrá descifrar los datos y obtener el mensaje
diente. aunque eso obligaría a quienes quisieran esta- original
blecer una comunicación FTP con nosotros a
emplear dicho puerto. Pero repito, estos son Existen múltiples protocolos que, haciendo uso
los procesos hardening recomendados. de algoritmos criptográficos, permiten estable-
cer un canal de comunicación seguro para el
intercambio de información como es el caso del
protocolo IPSec o el protocolo SSL.
El mecanismo de autenticación En 1994, el Comité de Arquitectura de Internet (IAB: Internet Architec-
garantiza que un paquete recibi- ture Board) publicó un informe titulado Seguridad en la arquitectura
do, de hecho, fue transmitido de Internet (RFC 1636). El informe manifestaba el consenso general
por la parte identificada como sobre la necesidad de una mayor y mejor seguridad en Internet, e
fuente u origen en la cabecera identificaba las áreas fundamentales para los mecanismos de seguri-
del paquete. Además, este me- dad. Entre éstas se encontraba la necesidad de proteger la infraes-
canismo asegura que el paquete tructura de la red de la observación y el control no autorizados del trá-
no ha sido alterado durante la fico de red, así como la necesidad de asegurar el tráfico entre usua-
transmisión. rios finales utilizando mecanismos de autentificación y cifrado. Estas
preocupaciones están del todo justificadas. Como prueba, el informe
anual de 2001 del Equipo de Respuesta a Emergencias en Computa-
dores o CERT (Computer Emergency Response Team) informaba
sobre más de 52.000 incidentes de seguridad.
La herramienta de confidenciali-
dad permite que los nodos que
se comunican cifren los mensa-
jes para prevenir escuchas de
terceras partes.
Los tipos de ataque más graves incluían los falsos IP, en los que los
intrusos crean paquetes con direcciones IP falsas y explotan las apli-
caciones que usan autenticación basada en IP; y distintas formas de
escucha y captura de paquetes, donde los atacantes leen la informa-
ción transmitida, incluida la de conexión al sistema y la de los conteni-
dos de bases de datos.

En respuesta a estas cuestiones, la IAB incluyó la autenticación y el

La herramienta de gestión de cifrado como características necesarias de seguridad en el IP de
claves se ocupa del intercambio nueva generación, que se conoce como IPv6. Afortunadamente,
seguro de claves. estas capacidades de seguridad se diseñaron para que fueran em-
pleadas con el actual IPv4 y el futuro IPv6. Esto significa que los fabri-
cantes ya pueden empezar a ofrecer estas características, y ya
muchos de ellos han incorporado algunas capacidades de IPSec a
sus productos.
La característica principal de IPSec que permite
dar soporte a esta variedad de aplicaciones es
que puede cifrar y/o autentificar todo el tráfico
en el nivel IP. Por lo tanto, pueden asegurarse
todas las aplicaciones distribuidas, incluyendo
conexión remota, cliente/servidor, correo elec-
trónico, transferencia de ficheros, acceso a la
web, etc. La Figura 6.1 representa un ejemplo
común del uso de IPSec. Una organización
tiene algunas LAN en lugares dispersos. En
cada LAN hay tráfico IP que no es seguro. Los
protocolos IPSec se utilizan para el tráfico exte-
rior, a través de una WAN privada o pública.
Estos protocolos operan en dispositivos de red,
como por ejemplo un router o un cortafuegos,
que conecta cada LAN al mundo exterior. El dis- Opcionalmente, cada uno de estos dos protoco- La arquitectura IPsec (RFC 2401) añade servicios
positivo de red IPSec cifrar y comprimir todo el los también puede proporcionar otro servicio, el de seguridad al protocolo IP (versión 4 y versión
tráfico que entre en la WAN, descifrar y descom- de protección contra repetición de datagramas. 6), que pueden ser usados por los protocolos de
primir todo el tráfico que provenga de ella; estas niveles superiores (TCP, UDP, ICMP, etc.).
operaciones son transparentes a las estaciones IPSec proporciona servicios de seguridad en la
de trabajo y a los servidores en la LAN. También capa IP permitiendo que un sistema elija los pro- IPsec se basa en el uso de una serie de protoco-
es posible la transmisión segura con usuarios tocolos de seguridad necesarios, determine los los seguros, de los cuales hay dos que proporcio-
individuales que se conectan a la WAN. Dichas algoritmos que va a usar para el servicio o servi- nan la mayor parte de los servicios:
estaciones de trabajo de usuarios deben imple- cios y ubique las claves criptográficas necesa-
mentar los protocolos IPSec para proporcionar rias para proporcionar los servicios solicitados. • El protocolo AH (Authentication Header, RFC
seguridad. 2402) ofrece el servicio de autenticación de origen
de los datagramas IP (incluyendo la cabecera y
los datos de los datagramas).

• El protocolo ESP (Encapsulating Security

Payload, RFC 2406) puede ofrecer el servicio de
confidencialidad, el de autenticación de origen de
los datos de los datagramas IP (sin incluir la cabe-
cera), o los dos a la vez.
https://view.genial.ly/60edc2d77-
cb0810d75120011/horizontal-in-
fographic-diagrams-arquitectura-ssl
Confidencialidad Autenticación de entidad Autenticación de mensaje

El flujo normal de información en una cone- Con un protocolo de reto-respuesta basado Cada paquete enviado en una conexión
xión SSL/TLS consiste en intercambiar pa- en firmas digitales el cliente puede confir- SSL/TLS, a más de ir cifrado, puede incor-
quetes con datos cifrados mediante claves mar la identidad del servidor al cual se ha porar un código MAC para que el destinata-
simétricas (por motivos de eficiencia y rapi- conectado. Para validar las firmas el cliente rio compruebe que nadie ha modificado el
dez). Al inicio de cada sesión, cliente y ser- necesita conocer la clave pública del servi- paquete. Las claves secretas par el cálculo
vidor se ponen de acuerdo en que claves dor, y esto normalmente se realiza a través de los códigos MAC (una para cada senti-
utilizarán para cifrar los datos. Siempre se de certificados digitales. SSL/TLS también do) también se acuerdan de forma segura
utilizan dos claves distintas: una para los prevé la autenticación del cliente frente al en el diálogo inicial.
paquetes enviados del cliente al servidor, y servidor. Esta posibilidad, pero, no se usa
la otra para los paquetes enviados en senti- tan a menudo porque muchas veces, en
do contrario. Para evitar que un intruso que lugar de autenticar automáticamente el
esté escuchando el diálogo inicial pueda cliente a nivel de transporte, las mismas
saber cuales son las claves acordadas, se aplicaciones utilizan su propio método de
sigue un mecanismo seguro de intercambio autenticación.
de claves, basado en criptografía de clave
pública. El algoritmo concreto para este in-
tercambio también se negocia durante el
establecimiento de la conexión.

La Figura 7.1 ilustra estas diferencias. Una

forma de proporcionar seguridad en la web
es usar Seguridad IP (IP Security, Figura 7.
la). La ventaja de usar IPSec es que es
transparente al usuario final y a las aplica-
ciones, proporcionando una solución de
propósito general. Además, IPSec incluye
una capacidad de filtrado, de manera que
solamente el tráfico seleccionado afecta a
la carga de procesamiento de IPSec.
 SSL está diseñado de forma
que utilice TCP para proporcio-
nar un servicio fiable y seguro
Otra solución de propósito relativamente general es implementar la extremo a extremo. SSL no es
seguridad justo encima de TCP (Figura 7. Ib). El principal ejemplo un protocolo simple sino que
de este enfoque es Secure Sockets Layer (SSL), y su sucesor, el tiene dos niveles de protocolos,
estándar de Internet Transport Layer Security (TLS). En este nivel, como se observa en la Figura
hay dos opciones de implementación. SSL (o TLS) se podría pro-
porcionar como parte de la suite de protocolos y, de esta manera,
ser transparente a las aplicaciones.

Como alternativa, SSL se podría incluir en paquetes específicos.

Por ejemplo, los navegadores Netscape y Microsoft Explorer vienen
equipados con SSL, y la mayoría de los servidores web tienen el
protocolo implementado.

El último enfoque consiste en la inclusión de servicios de seguridad

específicos de las aplicaciones. La Figura 7.1c muestra ejemplos de El protocolo Récord de SSL
esta arquitectura. La ventaja de este enfoque es que el servicio se proporciona servicios de segu-
puede adecuar a las necesidades específicas de una aplicación. ridad básica a varios protocolos
de nivel más alto. En particular,
El objetivo inicial del diseño del protocolo SSL fue proteger las cone- el Hypertext TransferProtocol
xiones entre clientes y servidores web con el protocolo HTTP. Esta (HTTP), que suministra el servi-
protección debía permitir al cliente asegurarse que se había conec- cio de transferencia para la in-
tado al servidor auténtico, y enviarle datos confidenciales, como por teracción entre cliente y servi-
ejemplo un número de tarjeta de crédito, con la confianza que nadie dor web, puede operar encima
más que el servidor sería capaz de ver estos datos. Las funciones de SSL. Se definen tres proto-
de seguridad, pero, no se implementan directamente en el protocolo colos de nivel más alto como
de aplicación HTTP, si no que se optó por introducirlas a nivel de parte de SSL: Handshake Pro-
transporte. De este modo podría haber muchas más aplicaciones tocol Change Cipher Spec Pro-
que hicieran uso de esta funcionalidad. tocol y Alert Protocol Estos pro-
tocolos específicos de SSL se
utilizan en la gestión de inter-
cambios SSL
Primera fase: Inicio de la conexión y establecimien- Segunda fase: En esta fase se lleva a cabo la au- Cuarta fase: En esta fase finaliza la negociación de
to de las capacidades de cada extremo (combina- tenticación del servidor y el intercambio de clave. parámetros entre cliente y servidor. Los mensajes
ciones de algoritmos permitidos por cada uno). Los Los mensajes empleados son los siguientes: empleados son los siguientes:
mensajes empleados son los siguientes:
-Certificate: certificado x.509 del servidor junto con -ChangeCipherSpec: el cliente pasa a utilizar los
ClientHello la cadena de certificados al cliente. ServerKeyEx- algoritmos y claves negociados. Algoritmos acepta-
change: sólo si es necesario para el intercambio de dos por el servidor en el mensaje ServerHello.
-Versión del protocolo. claves. Claves calculadas a partir del secreto pre maestro.
Si se cambia de valor es que está de acuerdo y es
-Número aleatorio: número generado por el cliente -CertificateRequest: se envía si el servidor requiere necesario negociar nuevamente.
que consiste en un sello de tiempo. Se utiliza en el autenticación del cliente.
intercambio de claves para prevenir ataques de re- -Finished: el cliente ha terminado la fase de nego-
petición. -ServerHelloDone: indica el final del mensajes Ser- ciación. Es el primer mensaje cifrado e incluye,
verHello y los mensajes relacionados. entre otros, un resumen del secreto maestro, los
-Identificador de sesión. mensajes anteriores y una constante. El servidor
puede verificar que descifra los mensajes correcta-
-Lista de algoritmos de cifrado: esta lista contiene mente.
los algoritmos de cifrado que soporta el cliente.
ChangeCipherSpec: el servidor pasa a utilizar los
Tercera fase: En esta fase se lleva a cabo la auten-
-Lista de algoritmos de compresión: esta lista con- algoritmos y claves negociados.
ticación del cliente y el intercambio de clave. Los
tiene los algoritmos de compresión que soporta el
mensajes empleados son los siguientes:
cliente. Finished: el servidor ha terminado la fase de nego-
ciación. Envía un mensaje cifrado.
Certificate: si el servidor solicitó el certificado debe
ServerHello
enviar un certificado en caso de poseerlo, de lo con-
trario el servidor negará la conexión o establecerá
-Versión del protocolo.
las políticas que tenga asociadas a este caso.
-Número aleatorio: elegido por el servidor para el
ClientKeyExchange: el cliente envía cifrado el se-
intercambio de mensajes (distinto al del cliente).
creto pre maestro con la clave pública del servidor.
Es la semilla de los algoritmos criptográficos que se
-Identificador de sesión.
utilizarán después.
-Conjunto de algoritmos de cifrado: elegidos por el
CertificateVerify: enviado por el cliente si requiere
servidor de la lista que soporta el cliente.
verificación explícita del certificado del cliente
-Algoritmo de compresión: los elegidos por el servi-
dor de la lista que soporta el cliente.
Una red privada virtual (VPN) es una confi-
guración que combina el uso de dos tipos
de tecnologías:

• Las tecnologías de seguridad que permi-

ten la definición de una red privada, es
decir, un medio de comunicación confiden-
cial que no puede ser interceptado por
usuarios ajenos a la red.

• Las tecnologías de encapsulamiento de

protocolos que permiten que, en lugar de
una conexión física dedicada para la red
privada, se pueda utilizar una infraestruc-
tura de red pública, como Internet, para de-
finir por encima de ella una red virtual.

Por tanto, una VPN es una red lógica o vir-

tual creada sobre una infraestructura com-
partida, pero que proporciona los servicios
de protección necesarios para una comu-
nicación segura.
VPN entre redes locales o intranets. Este es el caso En las VPN entre intranets, la situación más habitual
habitual en que una empresa dispone de redes loca- es que en cada intranet hay una pasarela VPN, que
les en diferentes sedes, geográficamente separadas, conecta la red local con Internet. Esta pasarela se co-
en cada una de las cuales hay una red privada o intra- munica con la de las otras intranets, aplicando el cifra-
net, de acceso restringido a sus empleados. Si intere- do y las protecciones que sean necesarias a las co-
sa que desde una de sus sedes se pueda acceder a municaciones de pasarela a pasarela a través de In-
las intranets de otras sedes, se puede usar una VPN ternet. Cuando los paquetes llegan a la intranet de
para interconectar estas redes privadas y formar una destino, la pasarela correspondiente los descifra y los
intranet única. reenvía por la red local hasta el ordenador que los
tenga que recibir.

De esta manera es utilizar la infraestructura pública

de Internet, en lugar de establecer líneas privadas de-
dicadas, que supondría un coste más elevado. Tam-
bién se aprovecha la fiabilidad y redundancia que pro-
porciona Internet, ya que si una ruta no está disponi-
ble siempre se pueden encaminar los paquetes por
otro camino, mientras que con una línea dedicada la
redundancia supondría un coste aún más elevado.
 En las VPN de acceso remoto, a veces llamadas
VPN de acceso remoto. Cuando un empleado de la VPDN, un usuario se puede comunicar con una intra-
empresa quiere acceder a la intranet desde un orde- net a través de un proveedor de acceso a Internet,
nador remoto, puede establecer una VPN de este tipo utilizando tecnología convencional como por ejemplo
entre este ordenador y la intranet de la empresa. El a través de un módem ADSL. El ordenador del usua-
ordenador remoto puede ser, por ejemplo, un PC que rio ha de disponer de software cliente VPN para co-
el empleado tiene en su casa, o un ordenador portátil municarse con la pasarela VPN de la intranet y llevar
desde el cual se conecta a la red de la empresa a cabo la autenticación necesaria, el cifrado, etc.
cuando está de viaje.
De este modo también se aprovecha la infraestructura
de los proveedores de Internet para el acceso a la in-
tranet, sin necesidad de llamadas a un módem de la
empresa, que pueden llegar a tener un coste conside-
rable.

VPN extranet. A veces, a una empresa le interesa El caso de las VPN extranet puede ser como el de las
compartir una parte de los recursos de su intranet con VPN entre intranets, en que la comunicación segura se
determinados usuarios externos, como por ejemplo establece entre pasarelas VPN, o bien como el de las
proveedores o clientes de la empresa. La red que per- VPN de acceso remoto, en que un cliente VPN se co-
mite estos accesos externos a una intranet se llama munica con la pasarela de la intranet. La diferencia,
extranet, y su protección se consigue mediante una pero, es que en este caso normalmente el control de
VPN extranet. acceso es más restrictivo para permitir solamente el
acceso a los recursos autorizados.
https://www.youtube.com/watch?v=To_xXiE5wns&a-
b_channel=SeguridadInformatica