Proyecto de Evaluación U2: Fundamentos de Cifrado y Seguridad

Bienvenido/a a este repaso interactivo de la Unidad 2. Utiliza el menú de la izquierda para navegar por los conceptos clave.

Objetivo del Proyecto

Reforzar los conceptos generales de la unidad mediante este blog/página web, culminando con una pequeña evaluación teórica.

Evaluación Teórica

Dirígete a la sección "Evaluación (Quiz)" en el menú para poner a prueba tus conocimientos sobre los temas investigados.

1. Presentación Electrónica & Manejo Seguro de Datos

Manejo Seguro de Datos: El Triángulo C.I.A.

La seguridad de la información (CI) se basa en tres pilares fundamentales que, cuando se aplican correctamente, garantizan la protección de los activos de información de una organización.

🔒

Confidencialidad de la Información

Asegura que la información sea accesible solo a personas, entidades o procesos autorizados. Se logra mediante cifrado, autenticación robusta y control de acceso (ACLs).

✍️

Integridad de la Información

Garantiza que los datos no han sido modificados o alterados de manera no autorizada. Se verifica mediante el uso de *hashes* criptográficos o sumas de verificación.

Disponibilidad

Asegura que los sistemas, recursos y la información estén disponibles para los usuarios autorizados cuando se necesiten. Esto incluye mantener sistemas redundantes y planes de recuperación de desastres.

La Presentación Electrónica como Herramienta

Una presentación electrónica (como PowerPoint, Google Slides, etc.) debe seguir los mismos principios C.I.A. Si el contenido es sensible, debe cifrarse (Confidencialidad), no debe ser modificado por otros (Integridad), y el archivo debe poder abrirse siempre que se requiera (Disponibilidad).

2. Cifrado César (Julio César)

Historia y Origen (Julio César)

El Cifrado César, o código por desplazamiento, se remonta al Imperio Romano. Fue utilizado por Cayo Julio César para proteger mensajes de importancia militar que, si caían en manos enemigas, resultaran incomprensibles. Es el ejemplo más simple de un cifrado por sustitución.

Principio de Funcionamiento (Desplazamiento)

Cada letra del texto plano es reemplazada por la letra que está un número fijo de posiciones más adelante o más atrás en el alfabeto. Este número de posiciones es la **clave secreta**.

Ejemplo de Cifrado y Descifrado (Clave = 3):

  • **Texto Plano (P):** HOLA
  • **Cifrado (C):** Cada letra se desplaza 3 posiciones. H $\rightarrow$ K, O $\rightarrow$ R, L $\rightarrow$ O, A $\rightarrow$ D.
  • **Texto Cifrado (C):** KROD
  • **Descifrado (D):** Se desplaza KROD 3 posiciones *hacia atrás* para obtener HOLA.

Fortalezas y Debilidades

Fortalezas

  • Extremadamente simple de implementar, incluso sin tecnología.
  • Rápido para cifrar y descifrar mensajes cortos.

Debilidades

  • **Espacio de Claves Reducido:** Solo 25 claves posibles (para el alfabeto inglés).
  • **Vulnerabilidad:** Es trivialmente roto por el método de **Fuerza Bruta** o por **Análisis de Frecuencia** (la letra más frecuente en el cifrado corresponde a la letra más frecuente en el idioma, generalmente la 'E' o 'A').

3. Cifrado Vigenère

Historia y Desarrollo

Atribuido erróneamente a Blaise de Vigenère, fue realmente desarrollado por Giovan Battista Bellaso. Fue considerado 'le chiffre indéchiffrable' (el cifrado indescifrable) durante más de tres siglos, ya que superaba los ataques de frecuencia que rompían el Cifrado César.

Funcionamiento (Tabla de Vigenère / Clave)

Vigenère es un **cifrado polialfabético**, lo que significa que utiliza múltiples alfabetos de sustitución. La selección del alfabeto depende de una **palabra clave** (o llave) que se repite. La clave determina qué fila de la Tabla de Vigenère se utiliza para cifrar cada letra.

Ejemplo de Cifrado (Texto: LLEGADA, Clave: CLAVE)

  • **Paso 1:** Repetir la clave sobre el Texto Plano: 
    Texto: L L E G A D A
Clave: C L A V E C L
  • **Paso 2:** En la tabla, la letra P (columna) se intersecta con la letra K (fila) para obtener el Texto Cifrado (C).
  • **Resultado Cifrado:** N M E B E F L

Ventajas sobre el César y Debilidades

Ventajas

  • **Ofusca Frecuencias:** La misma letra del texto plano puede tener diferentes representaciones en el texto cifrado, frustrando el análisis simple de frecuencia.
  • Mayor espacio de claves (dependiendo de la longitud de la palabra clave).

Debilidades

  • Vulnerable al **Test de Kasiski** y al **Índice de Coincidencia**, que pueden revelar la longitud de la palabra clave.
  • Si la clave es corta y se repite, la seguridad es comprometida.

4. Cifrado de Datos: Conceptos, Tipos y Proceso

1. Concepto y Objetivo del Cifrado de Datos

El cifrado de datos es la aplicación de un algoritmo criptográfico para transformar datos legibles (texto plano) en una forma ilegible (texto cifrado), con el fin principal de proteger su **confidencialidad** y, en algunos casos, su **integridad**.

2. Tipos de Cifrado: Simétrico y Asimétrico

Cifrado Simétrico

  • **Clave:** Única y compartida (misma clave para cifrar y descifrar).
  • **Ventaja:** Alta velocidad de procesamiento. Ideal para cifrar grandes volúmenes de datos.
  • **Desventaja:** Problema de distribución segura de la clave.
  • **Algoritmos:** AES, DES, 3DES.

Cifrado Asimétrico (Clave Pública)

  • **Clave:** Par de claves (Pública para cifrar, Privada para descifrar o firmar).
  • **Ventaja:** Resuelve la distribución de claves; clave pública puede ser compartida libremente.
  • **Desventaja:** Mucho más lento que el cifrado simétrico.
  • **Algoritmos:** RSA, ECC.
  • **Uso Principal:** Establecimiento de sesiones seguras (TLS/SSL) y Firmas Digitales.

3. Características del Software de Cifrado

Un buen software de cifrado debe cumplir con:

  • **Algoritmos Estándar:** Uso de algoritmos probados y certificados (ej. AES-256).
  • **Fácil Integración:** Baja curva de aprendizaje e impacto mínimo en el flujo de trabajo.
  • **Generación de Claves Seguras:** Uso de fuentes de entropía fuertes para generar claves aleatorias robustas.
  • **Transparencia:** Capacidad de cifrar y descifrar en segundo plano, sin intervención constante del usuario.

4. Proceso de Selección de Software de Cifrado

El proceso de selección implica evaluar el **riesgo** y el **escenario de uso**:

  1. **Identificación de Datos Sensibles:** ¿Qué se va a cifrar? (Correos, bases de datos, discos duros).
  2. **Requisitos de Velocidad:** ¿Se necesita alta velocidad (Simétrico) o alta seguridad de intercambio (Asimétrico)?
  3. **Cumplimiento Normativo:** ¿El software cumple con regulaciones como GDPR, HIPAA, etc.?
  4. **Soporte y Auditoría:** Elegir soluciones que sean mantenidas y auditadas regularmente por expertos en criptografía.

5. Proceso de Cifrado y Descifrado de Datos

  1. **Cifrado:** (Texto Plano + Algoritmo + Clave) $\rightarrow$ Texto Cifrado.
  2. **Descifrado (Simétrico):** (Texto Cifrado + Algoritmo + Misma Clave) $\rightarrow$ Texto Plano.
  3. **Descifrado (Asimétrico):** (Texto Cifrado + Algoritmo + Clave Privada) $\rightarrow$ Texto Plano.

5. Seguridad Física y Lógica en una Organización

La seguridad empresarial opera en dos esferas que deben estar integradas para proteger completamente los activos informáticos.

Seguridad Física

Se centra en la protección de los recursos materiales (hardware, instalaciones, cableado) contra amenazas ambientales (incendios, inundaciones) y amenazas humanas (robo, vandalismo).

  • **Control de Acceso:** Uso de zonas de seguridad, biometría, tarjetas de proximidad.
  • **Protección Ambiental:** UPS (Sistemas de Alimentación Ininterrumpida), sistemas de extinción de incendios a gas inerte.
  • **Vigilancia:** Cámaras de circuito cerrado (CCTV) y personal de seguridad.

Seguridad Lógica

Se enfoca en la protección del software, la información y los procesos contra el acceso, uso, divulgación, interrupción o destrucción no autorizados.

  • **Mecanismos de Autenticación:** Políticas de contraseñas, autenticación de dos factores (2FA).
  • **Control de Acceso Lógico:** Definición de roles (RBAC - Role-Based Access Control) y permisos.
  • **Defensa Perimetral:** Firewalls, IDS (Sistemas de Detección de Intrusos) y VPNs.

Integración de Ambas Seguridades

Ninguna es suficiente por sí sola. Un firewall (lógica) no protege contra el robo de un servidor (física), y un guardia de seguridad (física) no puede detener un ataque de *malware* (lógica). Ambas deben trabajar en conjunto.

6. Las Auditorías en Informática

Una auditoría informática es un examen metódico e independiente de la gestión y los controles de los sistemas de información, con el objetivo de emitir una opinión técnica sobre su seguridad, eficiencia y cumplimiento normativo.

Características de los Procesos de Desarrollo de Auditoría

Pruebas

Se utilizan para validar que los controles de seguridad funcionan según lo esperado. Incluyen:

  • **Pruebas de Penetración (Pentesting):** Simulación de ataques para encontrar vulnerabilidades.
  • **Pruebas de Caja Blanca:** El auditor tiene acceso total al código fuente y a la infraestructura.
  • **Pruebas de Caja Negra:** El auditor no tiene conocimiento previo del sistema (como un atacante externo).

Técnicas de Monitoreo

Implican la observación continua de la actividad del sistema para detectar anomalías y fallos de seguridad. Incluyen:

  • **Análisis de Logs:** Revisión de registros de eventos para detectar patrones maliciosos.
  • **Sistemas de Detección/Prevención de Intrusos (IDS/IPS):** Monitoreo del tráfico de red.
  • **Análisis de Uso de Recursos:** Seguimiento del rendimiento del sistema para detectar sobrecargas inusuales.

Fases de la Metodología de Auditoría (Proceso Detallado)

  1. Estudio Preliminar (Iniciación):
    2. Definición del alcance, los objetivos y la justificación de la auditoría. Se recopila información general sobre la organización y el sistema.
  2. Planificación de la Operación:
    3. Desarrollo del programa de trabajo, asignación de recursos, selección de herramientas y definición de las técnicas de muestreo y pruebas a aplicar. Se define el cronograma.
  3. Desarrollo de la Auditoría (Ejecución):
    4. Fase de recolección de evidencia. Se realizan entrevistas, cuestionarios, observación directa y se ejecutan las pruebas planificadas (técnicas de monitoreo y pruebas).
  4. Fase de Diagnóstico:
    5. Análisis y evaluación de la evidencia recopilada para identificar **hallazgos** (desviaciones), determinar sus causas y evaluar el nivel de **riesgo** asociado a cada debilidad.
  5. Presentación de Conclusiones:
    6. Elaboración y entrega del informe final de auditoría, que contiene la opinión del auditor, los hallazgos detallados y las conclusiones sobre el estado actual del sistema.
  6. Información del Plan de Mejoras (Seguimiento):
    7. Propuesta de recomendaciones concretas y un plan de acción para corregir las deficiencias encontradas. Esta fase es clave para la mejora continua y el seguimiento de la implementación de las soluciones.

Evaluación Teórica Rápida

Selecciona la respuesta correcta para cada pregunta. ¡Mucha suerte!

Envío del Proyecto y Enlace a Teams

Para cumplir con el requisito de enviar el link a Teams, por favor, sigue estos pasos:

  1. **Guarda este código HTML** como un archivo `index.html`.
  2. **Sube el archivo** a un servicio de alojamiento web gratuito (como GitHub Pages, Vercel, Netlify o similar) o a tu plataforma de alojamiento institucional (si aplica).
  3. Una vez alojado, **copia la URL pública** generada por la plataforma.
  4. **Pega esa URL** en el apartado de envío de tareas en Teams.

Ejemplo de URL a compartir: https://tu-usuario.github.io/proyecto-seguridad-u2/

Nota Importante

Esta página funciona completamente en un solo archivo, por lo que el enlace que copies desde donde lo alojes será la URL completa del proyecto.