FASE 3 – SOLUCIÓN DE PROBLEMAS DE TRANSPORTE DE INFORMACIÓN

PRESENTADO POR
JUAN DAVID BETANCOURT GARZÓN
ROMULO EMILIO LOMBARDI
JORGE LUIS FLOREZ
LUZ MARINA AYALA TORRES
VICTOR GIRON

TUTOR:
EDGAR MAURICIO LOPEZ

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

SEGURIDAD INFORMÁTICA
CRIPTOGRAFÍA
CALI
2020
FASE 3
 CONTENIDO

Pág

1. INTRODUCCIÓN.........................................................................................................5
2. ESTÁNDARES Y PROTOCOLOS DE CIFRADO.........................................................6
2.1 DES........................................................................................................................... 6
2.2 TRIPLE DES.............................................................................................................. 6
2.3 CRIPTOGRAFÍA DE CURVA ELÍPTICA....................................................................6
2.4 PROTOCOLO DEL INTERCAMBIO DE LLAVES DIFFIE-HELLMAN........................7
3. JUSTIFICACIÓN.......................................................................................................... 8
4. ARQUITECTURA DE SEGURIDAD...........................................................................10
5. DESCRIPCIÓN DE PROCESO DE CIFRADO...........................................................11
6. POLITICAS DE SEGURIDAD....................................................................................12
5.1 RECOMENDACIONES............................................................................................13
5.2 POLITICAS INTERNAS...........................................................................................13
CONCLUSIONES.............................................................................................................. 15
BIBLIOGRAFÍA................................................................................................................. 16

2
 LISTA DE GRÁFICAS

Figura 1. Arquitectura del flujo de la información...............................................................10

3
 RESUMEN

En el siguiente documento se identifica y describe la estrategia de seguridad que

será implementada en la empresa Bangov con el fin de poder garantizar la
transmisión segura de la información tanto critica como general de la empresa por
medio de mecanismos de cifrado robustos, siguiendo los requisitos y
recomendaciones de las normativas nacionales e internacionales que aplican para
el sector bancario

4
 1. INTRODUCCIÓN

La información es la piedra angular en toda organización sin importar su índole,

debido a que, en ella se fundamenta las estrategias, directrices y operaciones,
conociendo el valor de esta, se hace indispensable implementar políticas de
seguridad y mecanismos que aseguren su protección.

A continuación, se dictan las pautas que la organización BANGOV debe

implementar para preservar la seguridad de la información, describiendo el método
de cifrado, arquitectura de seguridad y las políticas de seguridad que deben ser
puestas en marcha.

5
 2. ESTÁNDARES Y PROTOCOLOS DE CIFRADO

2.1 DES

A partir de la década de 1970 IBM desarrollo en base a un sistema criptográfico

llamado LUCIFER con el apoyo del gobierno de estado unidos, un nuevo sistema
criptográfico (DES), este sistema está basado en sustituciones y transposiciones
lo que lo convierte en un sistema simétrico. Este sistema distribuye el texto en
bloques de 64 bits y los modifica mediante una clave del mismo tamaño. El
funcionamiento del algoritmo consiste en modificar los datos por medio de 16
iteraciones, combinando la sustitución y transposición. Este algoritmo de cifrado
ha entrado en debate, ya que, el tamaño de la clave es de 56 bits, siendo la
longitud muy corta, por otra parte, Diffie y Hellman hicieron una técnica de prueba
y ensayo donde se evidencio que el algoritmo era vulnerable, a parte, se ha
llegado a pensar que el gobierno estadunidense impuso una puerta trasera al
algoritmo con el fin de descifrar los mensajes encriptados.

2.2 TRIPLE DES

El triple DES o 3DES, como su nombre hace mención, el 3DES consiste en aplicar
tres veces el cifrado DES, para solventar la falencia la longitud de la clave de su
antecesor, el cifrado DES,3DES amplía la longitud de la clave a 168 bits sin la
necesidad de cambiar el algoritmo de cifrado, aunque con esta técnica se sacrifica
considerablemente el rendimiento, siendo un poco más lento.

El cifrado 3DES bien puede emplear tres lleves independientes o bien puede
emplear K1 y K3 bajo un mismo valor.

2.3 CRIPTOGRAFÍA DE CURVA ELÍPTICA

El sistema de criptografía de curva elíptica está basado en logaritmo discreto, su

novedad consiste en vez de utilizar números enteros emplear coordenadas
cartesianas, definida por la ecuación y 2=x 3 +ax +b , basando su seguridad en la
dificultad de resolver el problema de logaritmo discreto en curvas elípticas.

Este sistema selecciona un punto de base G, escoge un número aleatorio k que

servirá como clave privada, en donde la operación k*G = P, siendo P el valor de la
clave pública, la dificultad del algoritmo, consiste en la dificultad de implicar k a

6
partir de P, es necesario precisar, que las operaciones de este método de
criptografía asimétrica, es más lenta para un sistema de factorización o logaritmo
discreto modulo entero, pero mayores que la de los algoritmos simétricos, por otra
parte, NIST ha mencionado que el algoritmo simétrico AES con una clave de 128
bits proporciona aproximadamente un nivel de seguridad igual a una curva elíptica
de 256 bits, además, CERTICOM, tiene más de 130 patentes sobre las curvas
elípticas.

2.4PROTOCOLO DEL INTERCAMBIO DE LLAVES DIFFIE-HELLMAN

El intercambio de llaves Diffie-Hellman permite transmitir claves secretas a través

de un canal inseguro por medio de funciones matemática unidireccionales, es
decir, funciones que en una dirección son fáciles, pero en el sentido de cálculo
inverso se vuelve intratable por el exceso de recursos que deben emplearse o el
tiempo que necesita para su resolución. Su fórmula seria descrita de la siguiente
manera, P es un numero primero y α es un numero aleatorio inferior a P, estos
valores son públicos, por otro lado, escogen cada parte un número secreto a y b,
cifrando los mensajes con la siguiente manera.

α a mod p=x 1 y envía el mensaje, por su parte el receptor, con su clave secreta
calcula α b mod p=x 2 y envía el mensaje, con el mensaje recibido anteriormente,
donde x 1=α a mod P, calcúlala(α a )b mod P , por otro lado también lo hará la segunda
parte (α b )a mod P obteniendo de esta manera un valor K, que servirá como clave de
sesión.

7
 3. JUSTIFICACIÓN

El cifrado AES (Advanced Encryptation Standard) ha estado en los últimos años

sustituyendo paulatinamente al cifrado 3DES, puesto que, en materia de seguridad
es más robusto y más eficiente, este algoritmo de cifrado al día de hoy es
considerado uno de los más seguros, siendo utilizado por la NSA para preservar
información secreta. El cifrado AES nació en el concurso internacional organizado
por NIST, en esteconvocatoria se pretendía desarrollar un nuevo algoritmo
estándar de cifrado simétrico para sustituir DES, dado a que, fue demostrado que
era vulnerable debido a la corta longitud de su clave de 56 bits, en un principio su
nombre era Rijndael, siendo este el ganador del concurso, para posteriormente
pasar a llamarse AES,el algoritmo de cifrado AES cifra en bloques de 128 bits, y
con claves de 128, 192 o 256 bits, es claro precisar, que entre mayor sea la
longitud de la clave, el algoritmo realizará más vueltas (rounds), para una clave de
128 bits realizará 10 vueltas, para una clave de 192 bits 12 vueltas, y para una
clave de 256 bits empleará 14 vueltas, calculando por cada vuelta una subclaves,
a partir de la primera, además el algoritmo ejecuta cuatro operaciones en cada
vuelta, estas son, subBytes, shiftRows, MixColumns, y AddRounKey.En la
operación subBytes se ejecutan sustituciones, en la operación shiftRows, se rotan
las filas de la matriz de estado, rotando la segunda fila 1 bytes, la tercera fila
rotaría 2 bytes, y la cuarta fila 3 bytes, la operación MixColumns, multiplica cada
una de columnas de la matriz de estado por un polinomio fijo, y por último, la
operación addRoundKey realiza un OR exclusivo de la clave de cada vuelta con la
matriz de estado.

Analizando los estándares y protocolos de cifrado DES, 3DES, y Curvas elípticas,

se ha determinado que la opción más fiable, segura y eficiente para transmitir la
información de BanGov es por mediodel cifrado AES, puesto que, DES utiliza
claves con una longitud cuestionable de 56 bits, siendo a día de hoy vulnerable y
capaz de romperse en menos de un día; por otro lado, el cifrado 3DES
aunmitigando las vulnerabilidades latentes en el cifrado DES, por medio del
aumento en la longitud de sus claves a 168 bits, presenta problemas en el
rendimiento; en cuanto a la criptografía de curva elíptica, NIST ha mencionado que
el algoritmo simétrico AES con una clave de 128 bits proporciona un nivel de
seguridad similar a una curva elíptica de 256 bits, además, en el ámbito legal, la
compañía CERTICOM cuenta con las patentes de este algoritmo,por tanto, bajo
las premisas mencionadas anteriormente,el cifrado para BanGov a empleares
AES ya que utiliza claves de mayor longitud que los otros estándares y

8
protocolosmencionados con anterioridad,presentando un rendimiento superior,
cómo es el caso frente a 3DES donde el cifrado AES es seis veces más rápido.

9
 4. ARQUITECTURA DE SEGURIDAD

Figura 1. Arquitectura del flujo de la información

10
 5. DESCRIPCIÓN DE PROCESO DE CIFRADO

El área del sector financiero encargado de generar los informes financieros

mensuales, trimestrales y anuales de Bangov, realiza un requerimiento al área de
TIC, este requerimiento expresa la necesidad de enviar de manera segura los
datos financieros del último trimestre a uno de sus ejecutivos que actualmente se
encuentra en Francia, a su vez, especifica que no debe ser vía email y que debe
estar cifrada.

El área TIC, solicita de inmediato una copia de los datos financieros del último
trimestre, para posteriormente por medio de la herramienta AESCRYPT cifrar la
información con el algoritmo de cifrado AES, y establece una contraseña bajoel
siguiente criterio.

1. Contraseña con una longitud de 14 caracteres

2. Combinación de letras minúsculas y mayúsculas
3. Alfanumérica
4. Caracteres especiales

Una vez se haya cifrado la información, el área TIC procede a enviar la

información por medio de la plataforma Wetransfer, a través de esta, se suben
toda la información cifrada para generar un link de descarga de los archivos.

Generado el enlace de descarga, el coordinador del área TIC procede a realizar

una llamada por medio de la aplicación WhatsApp o Signal al ejecutivo que
requiere los archivos, puesto que, las comunicaciones de esta aplicación están
cifradas de extremo a extremo, para comunicar el link de descarga y la contraseña
establecida, una vez el ejecutivo obtenga la información podrá descarga y
descifrar la información para presentarlos a la junta ejecutiva de Bangov.

11
 6. POLITICAS DE SEGURIDAD

Las Políticas de Seguridad a implementar estarán basadas en la Norma

Internacional ISO27001, será el instrumento que adopte la Organización para
definir las reglas de comportamiento aceptables en el uso y tratamiento de la
información.

Es importante contar con la alta gerencia en primero aprobar el documento de

política de seguridad de la información, ponerla a disponibilidad de todos los
miembros de la Organización e implementarla.

1. Toma de conciencia:
Las personas que adelantan actividades dentro de la organización deben tomar
conciencia de: Las política de seguridad de la información, el establecimiento de
controles como los firewalls, contraseñas, autenticación con segunda clave, la
contribución a la eficacia del Sistema de Gestión de Seguridad de la Información
incluyendo los beneficios de una mejora del desempeño de la seguridad de la
información, las implicaciones de la no conformidad con los requisitos del Sistema
de Gestión de Seguridad de la Información.

2. Gestión de claves
Tener claro la forma de gestionar los controles de acceso a la red y a los servicios
de la organización. Las reglas, derechos y restricciones junto con la profundidad
de los controles a utilizar deben ser escalonados de acuerdo a la naturaleza de la
actividad que desempeña dentro de la organización al igual dejar establecido el
tiempo y el control periódico de su utilización. Ningún funcionario podrá acceder a
la red o a los servicios, utilizando la cuenta de otro compañero. Las contraseñas
deben cumplir con: mínimo 8 caracteres, incluir mayúscula, números y caracteres
especiales, su conocimiento será personal y se debe cambiar mínimo cada tres
meses.

3. Controles criptográficos
Este control debe utilizarse de forma que no sea necesario utilizar la información
confidencial de la entidad para proteger cualquier acceso no deseado. Para la
integridad de los datos se podría implementar un LCR (Longitudinal redundancy
check) que controle la redundancia de las telecomunicaciones. Cifrar la
información de los correos electrónicos por medio de PGP, las transacciones web
críticas, contar también con cifrado en las conexiones externas de la organización.

4. Respaldo y restauración de la información

Proporcionar medios de respaldo y almacenamiento seguro, al igual que garantice
su recuperación ante una falla y/o desastre. Es responsabilidad de los
administradores de las plataformas la realización de las copias de seguridad, el

12
verificar la correcta ejecución y almacenamiento tanto dentro como fuera de la
organización. Igualmente, las copias a eliminar deben surtir con un borrado
seguro, los periodos de retención y su destrucción adecuadamente.

5. Copias de estaciones de usuario final

El uso de dispositivos externos (dvd, cd, memorias, agendas electrónicas,
celulares, dispositivos móviles, entre otros) puede ocasionar complicaciones por la
transmisión de virus informático al igual que extraer información no autorizada. Es
importante preservar la integridad, confidencialidad y disponibilidad de los
registros de eventos (logs) generados por los sistemas de información.

6. Actualización del algoritmo y sistema operativo

Generar acciones que preserven la integridad de los Sistemas Operativos,
mantener las actualizaciones al día, con certificados legales.

7. Mejora continua
Se establece un procedimiento con estrategias definidas para contrarrestar las
interrupciones de las actividades misionales de la organización que protejan los
procesos críticos teniendo presente: identificación, asignación de prioridades,
documentación, planes de pruebas. Debe garantizar la revisión periódica de las
Políticas de Seguridad, pertinencia, adecuación y eficacia.

La estrategia o estrategias para desarrollar para proteger la seguridad de la

información dentro de la organización BanGOV, son seguir las recomendaciones y
establecer políticas internas que hagan de un manejo interno de la información
mucho más seguro, ya teniendo presente que métodos o formas de protección, se
busca es construir una política propia que integre todos los procesos de la
empresa y que sean acogidos con UNA POLITICA DE SEGURIDAD integra.

6.1 RECOMENDACIONES

 Mantener actualizado el sistema operativo y usar sistemas operativos con

licencia, además de aplicar los parches de seguridad y actualizaciones del
sistema.
 Realizar copias de seguridad frecuentemente de los archivos, ya sea en un
dispositivo externo o en la nube.
 Desconfiar de archivos procedentes de fuentes desconocidas, no ejecutar
archivos o enlaces del buzón del correo electrónico, si se desconoce el
remitente.
 Obtener un antivirus y realizar actualizaciones periódicas

13
6.2 POLITICAS INTERNAS

 Mantener los sistemas operativos de la organización con licencia y

actualizados permanentemente
 Bloquear el tráfico de red mediante ids/ips.
 Tener antispam y bloqueo de ips maliciosas.
 Tener listas de control de acceso y no con privilegios de administrador.
 Eliminar los archivos temporales de la carpeta appdata y deshabilitar los
archivos que se ejecutan desde las carpetas appdata y localappdata.
 Salvaguardarlas en lugares externos sin conectividad.
 Especificar grupos de usuarios para tener acceso a diferentes aplicaciones,
controles de acceso.
 Realizar backups de los sistemas de información de manera periódica en
los datacenter.

14
 CONCLUSIONES

Juan David Betancourt Garzón

Lo que al día de hoy parece seguro en un futuro no lo será, por tal motivo
debemos mantener en constante cambio y a la vanguardia, y más si se trata de
seguridad, podríamos poner como un claro ejemplo el cifrado DES, útil en su
tiempo, pero que al día de hoy está corto, pudiendo ser vulnerado incluso en
menos de 24 horas, por tal motivo, es preciso mantenernos informados sobre las
tecnologías vigentes.

Es también preciso enfatizar en la importancia de la clave que establezcamos,

está por una parte, debe cumplir con ciertos criterios, debe ser una contraseña en
términos generales denominada segura, y por otra parte, garantizar que esta
permanezca en secreto, por otro lado, se ha podido concluir, que el algoritmo de
cifrado actual más potente es el cifrado AES, aunque si bien es cierto, otro
algoritmo de cifrado seguro sería las curvas elípticas, que bien el algoritmo de
bitcoins de curvas elípticas ECDSA emplea.

Jorge Luis Flórez

La información es considerada como uno de los activos más importantes de las

organizaciones, por tal razón, hay que tratarla con la importancia del caso, siendo
el transporte seguro de la información, uno de los grandes retos de los
especialistas en seguridad informática, ya que los ciberdelincuentesse
especializan y actualizan a diario,desarrollando técnicas y herramientas para
vulnerarla información crítica de las empresas, por lo tanto, la criptografíay sus
técnicas de cifrado, son herramientas que deben ser tenidas en cuentaenlas
empresas y másaún en organizaciones del sector financiero o de seguridad
Nacional.

Existen diferentes estándares y protocolos de cifrado de información, los cuales

han evolucionado con el paso de los años, siendo cada vez más seguros y
eficientes, permitiendo a las organizaciones elegir para sus arquitecturas de
seguridad, las técnicas de cifrado que más se ajusten a sus necesidades. Para el
caso de la protección de información financiera, el cifrado AES es una excelente
opción, ya que presenta un excelente rendimiento en factores como la eficiencia,

15
seguridad, velocidad, longitud de las claves, resistencia a criptoanálisis, e
integración.

Rómulo Lombardi

En la mayoría de las organizaciones se enfocan en aplicar capas de seguridad y

protección, pero ignoran el cifrado y los controles criptográficos, esto va de la
mano porque se complementan incrementando el nivel de fortaleza de dichos
esquemas en una organización

En el presente documento se evidencia el desarrollo del proceso para implementar

controles criptográficos en la organización bangov teniendo en cuenta la criticidad
del negocio, las leyes colombianas y los requerimientos exigidos para las
empresas del sector económico / financiero.

También evidencia políticas y recomendaciones que deben aplicar junto con el

proceso de mejora continua lo cual es importante para mantener los ciclos de vida
y aplicar nuevas tecnologías o mejoras en tecnologías.

Víctor Girón

Los métodos de cifrado nos ofrecen formas en las que podremos determinar la
protección a nuestros sistemas, a nuestra información, pero siempre se debe
inspeccionar a fondo como estos métodos operan, para así, aprovechar todo su
potencial y no desperdiciarlo, pues el desconocimiento de las nuevas tecnologías
es un factor que juega a favor de los delincuentes cibernéticos, tratando de romper
todo tipo de seguridad de una compañía.

El método de cifrado AES a pesar de ser uno de los mejores métodos para el
cifrado de la información y busca su protección, hay que acompañarlo con buenas
formas y medidas al personal de las organizaciones que hagan que se blinde un
poco más la información institucional ya sea con estatúderes de certificación que
obligue a llevar un control interno y con medidas las cuales se deban cumplir
siempre.

16
 BIBLIOGRAFÍA

GarciaRoberto. "Criptografia clasica y moderna.". En línea.22/03/2020. Disponible

en: https://ebookcentral-proquest-
com.bibliotecavirtual.unad.edu.co/lib/unadsp/detail.action?docID=3155970

EcuRed. "Curva eliptica.". En línea.17/03/2020. Disponible en:

https://www.ecured.cu/Curva_el%C3%ADptica

UnaAlDía. "¿Cómo se cifra con el algoritmo AES?.". En línea.18/03/2020.

Disponible en: https://unaaldia.hispasec.com/2015/11/publicada-la-pildora-
formativa-thoth-30-como-se-cifra-con-el-algoritmo-aes.html

UnaAlDía. "¿Qué es el intercambio de clave de Diffie y Hellman?.". En

línea.18/03/2020. Disponible en: https://unaaldia.hispasec.com/2016/09/publicada-
la-pildora-formativa-thoth-38-que-es-el-intercambio-de-clave-de-diffie-y-
hellman.html

17