DIMENSIONES DE SEGURIDAD DICAT

DICAT significa: Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad

Vienen dadas por el Esquema Nacional de Seguridad y amplían el tradicional CIA (Confidencialidad, Integridad y
Autenticidad.
Las dimensiones de seguridad aplican para servicios e información.

Disponibilidad: implica que un agente autorizado (un usuario o un proceso automático) pueda acceder cuando lo
necesite a un sistema o una información (que alguien autorizado no se quede sin acceder a una información o
servicio). Definición de la administración: Propiedad o característica de los activos consistente en que las entidades o
procesos autorizados tienen acceso a los mismos cuando lo requieren.
ataque: DoS, DDoS

Integridad: Propiedad o característica consistente en que el activo de información no ha sido alterado de manera no
autorizada
ataque: tampering (tamper)

Confidencialidad: Propiedad o característica consistente en que la información ni se pone a disposición, ni se revela a

individuos, entidades o procesos no autorizados
ataque: eavesdropping

Autenticidad: Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la
fuente de la que proceden los datos
ataque: suplantación

Trazabilidad: propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas
exclusivamente a dicha entidad
ataque: borrado o tampering de logs

Cuando nos identificados y posteriormente nos autenticamos para acceder a un sistema tenemos que tener en
cuenta lo siguiente:

 identificación: decirle al sistema quién eres

 autenticación: demostrarle al sistema qué eres quien dices ser (con un autenticador o con más (por ejemplo
2FA))

 acceso/proceso de autorización: después de la autenticación entras efectivamente al sistema (o se te

proporciona una información que has solicitado (recordamos que los activos a los que accedemos son
sistemas o informaciones/datos), cuando entras al sistema se te conceden una serie de permisos/privilegios
en función de tu rol
La respuesta a los incidentes de seguridad en la AGE (Administración General del Estado) se articula a través del CCN
(Centro Criptológico Nacional) [que pertenece al Centro Nacional de Inteligencia], en concreto la respuesta de
seguridad la lleva a cabo el CCN-CERT: Centro Criptológico Nacional - Computer Emergency Reaction Team
El artículo 15.2 del Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Interoperabilidad en el ámbito de la Administración Electrónica, indica que la sincronización de la fecha y la hora se
realizará con el Real Instituto y Observatorio de la Armada, el ROA usa NTP

La clasificación más grande de amenazas contra las que protege TLS se conoce como ataque man-in-the-middle

Se considera que TLS opera en la capa de transporte a aplicación (capas 4, 5, 6 y 7 OSI; y capas 4 y 5 en TCP/IP)

En TLS se usan certificados X.509 y por lo tanto criptografía asimétrica para autenticar a la contraparte con quien nos
estamos comunicando, esa misma criptografía asimétrica se usa para intercambiar una clave simétrica entre las dos
partes de la comunicación. Esta clave simétrica es luego usada para cifrar el flujo de datos entre las partes. Atención:
TLS da confidencialidad y también integridad + autenticidad (porque la clave simétrica se estableció habiendo
autenticado a la contraparte, por lo tanto, todo lo que se cifre con esa clave simétrica suponemos que no se ha
modificado/alterado).
TLS usa intercambio de claves con el algoritmo Diffie-Hellman

A misma longitud de clave en bits la criptografía simétrica es más fuerte y tarda menos tiempo en procesarse;
también se puede comentar que en criptografía asimétrica [A misma longitud de clave la criptografía SIMÉTRICA
(UNA SOLA CLAVE PRIVADA COMPARTIDA POR LOS DOS LADOS DE LA COMUNICACIÓN) es más segura y necesita
más procesamiento]

AES
Longitud de la clave 128, 192 o 256 bits

Longitud de bloque 128 bits

Aunque AES se base en Rijndael so cosas distintas, AES es una simplificación del segundo (este segundo usa más
tamaños de clave y de bloque)
Ataques teóricos contra AES:
 Ataque de canal lateral: atacar la implementación del cifrador

 Ataque meet-in-the-middle con ataque Biclique --> reduce la eficacia de la clave simétrica en 2 bits
(128-->126, 192-->190, 256-->254)

DES no se considera seguro en la actualidad pero Triple DES y AES si.

DES tenia 64 bits de clave pero 8 se usaban para paridad entonces solo quedaban realmente 56 bits de clave

El cifrado asimétrico también se llama cifrado de clave pública

Algoritmos de cifrado simétrico: DES (Data Encryption Standard), Triple DES, AES (Advanced Encryption Standard)

Seguridad Triple DES

Cuando se descubrió que una clave de 56 bits no era suficiente para evitar un ataque de fuerza bruta, TDES fue
elegido como forma de agrandar el largo de la clave sin necesidad de cambiar de algoritmo dé cifrado este
método de cifrado es inmune al ataque por encuentro a medio camino, doblando la longitud efectiva de la clave
(112 bits), pero en cambio es preciso triplicar el número de operaciones de cifrado, haciendo este método de
cifrado muchísimo más seguro que el DES. Por tanto, la longitud de la clave usada será de 168 bits (3x56 bits),
aunque como se ha dicho su eficacia solo sea de 112 bits. Se continúa cifrando bloques de 64 bits.

Algoritmos de cifrado asimétrico: RSA (Rivest, Shamir y Adleman) y DSA (Digital Signature Algorithm)
RSA sirve para firmar y cifrar y DSA solo sirve para firmar (además al firmar DSA consume más tiempo que RSA)

Cifrado de flujo: Un cifrado de flujo es un cifrado de clave simétrica (aquí la clave asimétrica no tiene mucho
sentido) en el que los dígitos (por ejemplo digitos binarios --> bits) de texto plano se combinan con un flujo de
dígitos de cifrado pseudoaleatorio (flujo de claves). En un cifrado de flujo, cada dígito de texto sin formato se
cifra uno a la vez con el dígito correspondiente del flujo de claves, para dar un dígito del flujo de texto cifrado
(usualmente casi siempre la operación de cifrado es un EXOR (XOR) lógico bit a bit.

Cifrador de bloque: Es una unidad de cifrado de clave simétrica que opera en grupos de bits de longitud fija,
llamados bloques, aplicándoles una transformación invariante (invariante se refiere a realizar el mismo proceso
“hacia delante” o “hacia atrás”).

Es habitual en DES y AES y la gran mayoría de los algoritmos de clave simétrica de bloques usar para técnica de la
confusión y la difusión
https://es.wikipedia.org/wiki/Confusi%C3%B3n_y_difusi%C3%B3n

Un ataque contra la dimensión de seguridad disponibilidad es la denegación de servicio (DoS: Denial of

Service), consiste en un ataque a un sistema de computadores o a una red que causa que un servicio o recurso
sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad con la red por el
consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema
atacado. Los ataques DoS se generan mediante la saturación de los puertos con múltiples flujos de información,
haciendo que el servidor se sobrecargue y no pueda seguir prestando su servicio a los usuarios legítimos. Por
eso se le denomina denegación, pues hace que el servidor no pueda atender la cantidad enorme de solicitudes.
El ataque DoS se resume en que se generan muchas peticiones de servicio basura contra el blanco atacado.
Cuando el ataque DoS se hace desde múltiples puntos diferentes coordinados en internet se llama DDoS
(Distributed Denial of Service).
La forma más común de realizar un DDoS es a través de una red de bots, siendo esta técnica
el ciberataque más usual y eficaz por su sencillez tecnológica. Red de bots: Botnet es un término que hace
referencia a un conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y
automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma
remota.
De esta manera infectamos muchos ordenadores y los ponemos a trabajar en actividades ilícitas, por ejemplo
enviando spam o realizando ataques DDoS.

Un ataque contra la dimensión de seguridad confidencialidad es el eaves dropping (o sea interceptación,

averiguación, sniffing); lo que se hace es escuchar y recoger la información, es decir robarla, pero sin
modificarla. Eaves dropping literalmente: es descolgarse de un alero para asomarse por la ventana de un
edificio y escuchar conversaciones ajenas.

Un ataque contra la dimensión de seguridad integridad es el tampering (modificación, contaminación),

alteramos la información legítima para que llegue contaminada al receptor. Esto puede combinarse con un
eaves dropping.

Un ataque contra la dimensión de seguridad autenticidad, es la suplantación de un usuario o un sistema, es

decir puedo hacerme pasar por un usuario legítimo para acceder a un sistema; o bien puedo ofrecer mis
servicios como si yo fuese un servicio legítimo, suplantándolo.

Un ataque contra la dimensión de seguridad trazabilidad es el borrado de los logs de un servidor; atacamos al
servidor y antes de salir borramos los logs para que no se nos pueda tracear. Los logs son los registros de
actividad: quien entra, qué día y a qué hora entra, qué hace en el sistema, etc.

CRIPTOGRAFÍA DE CLAVE PÚBLICA, O CRIPTOGRAFÍA ASIMÉTRICA

Recordamos que el problema de intercambio de la clave secreta se resuelve con la criptografía asimétrica, en
este modelo cada agente genera una clave pública y otra privada, como están relacionadas dichas cables
podemos compartir la clave pública públicamente y da igual que el enemigo la recoja, simplemente deberemos
mantener en estricto secreto nuestra clave privada para que todo el sistema funcione y nos proporcione
confidencialidad, autenticidad e integridad (estas dos úlltimas son la firma digital).
Si quiero enviarle un mensaje secreto (con confidencialidad, confidencialidad) a Juan uso la clave pública de Juan
para encriptar, y Juan lo descifrará con su propio clave privada.

“abc” + clave pública de Juan --> “xyz”

“xyz” + clave privada de Juan --> “abc”

Lo que hace la clave pública de uno lo deshace la clave privada DEL MISMO
Lo que hace la clave privada de uno lo deshace la clave pública DEL MISMO

La clave privada y la clave pública de la misma persona son complementarias

Ahora vamos a firmar, Pablo reduce el mensaje a un resumen con el algoritmo SHA de hashing, y obtiene un
resumen de tres caracteres “abc”

Pablo lo encripta con su clave privada porque la firma es de él y tiene una firma encriptada de tres caracteres “XYZ”

Ahora envía el mensaje en claro porque no le preocupa que lo intercepten, solo le preocupa que se sepa que lo ha
dicho él (autenticidad + integridad).

Ahora Juan desencripta la firma encriptada “XYZ” con la clave pública de Pablo y saca “abc”
Ahora Juan le pasa el SHA al mensaje y le sale “abc”
Como “abc” = “abc” Juan concluye que el mensaje efectivamente lo firmó Pablo, se ha demostrado la autenticación
(el mensaje es de Pablo) + la integridad (el mensaje ES EXACTAMENTE el mismo que pablo firmó)

Y ahora la combinación de los dos anteriores, firmamos un mensaje y lo enviamos encriptado:

La seguridad del cifrado de clave asimétrica radica en el problema de la factorización de números enteros, es
decir lleva muchísimo tiempo sacar los factores primos de números muy grandes. Los mensajes enviados se
representan mediante números, y el funcionamiento se basa en el producto, conocido, de dos números
primos grandes elegidos al azar y mantenidos en secreto. Actualmente estos primos son del orden de elevado a
300 (10^300), y se prevé que su tamaño siempre crezca con el aumento de la capacidad de cálculo de
los ordenadores.

Si aplico la clave privada del emisor a un mensaje (a un hash del mensaje) lo estoy firmando, y se puede
descifrar la firma con la clave pública del MISMO USUARIO (el emisor).

Si aplico la clave pública de un usuario X destinatario a un mensaje lo encripto (lo cifrar), luego se lo envío a
ese usuario, y ese usuario X destinatario desencripta/descifra el mensaje con su clave privada.

Todas estas aplicaciones de claves se realizan con el sistema de clave asimétrica RSA (y opcionalmente con
DSA que es más nuevo)

PDU: Protocol Data Unit = Unidad de Datos del Protocolo

Es una unidad simple de información que se transmite entre entidades pares de la misma capa (capa física,
capa de enlace, etc.)

PDU’s habituales:
Si consideramos las capas de la física a transporte (en OSI 1, 2, 3 y 4) conjuntamente, esto se llama bloque de
transporte.

Los segmentos pueden ser UDP (no fiable, NO orientado a conexión) o TCP (fiable, orientado a conexión).

Si se considera que la capa de transporte hace segura a la capa de red, TCP tiene sentido pero UDP no.

UDP solo hace multiplexación de datagras (esto es agrupar datagramas lógicamente para que vayan con la
misma cabecera UDP), entonces ¿por qué decimos que UDP es de capa de transporte si no es fiable?
Motivo 1: abuso del lenguaje (es como una excepción vamos a suponer una versión de la capa de transporte no
fiable)
Motivos 2: era difícil meter a UDP en otra capa

udp/ip no existe normativamente ni está estandarizado pero es lo que usamos en comunicaciones en tiempo
real
en internet se prioriza el tráfico en tiempo real, el tráfico udp
para las comunicaciones en tiempo real la peor alteración de calidad es el jitter (variabilidad en el retardo, cada
paquete de voz o vídeo tarda tiempos distintos en llegar)

Diferencia entre acto definitivo y acto firme

Se dice que un acto es definitivo cuando ha acabado sus trámites administrativos, pero quizás aún se pueda
recurrir judicialmente en los tribunales contenciosos-administrativos.

Cuando ya no podemos interponer ningún recurso si de tipo administrativo ni de tipo judicial se dice que el acto
es firme, es entonces cuando coge su máxima fuerza y pueden obligarnos a cumplirlo.

DEFINICIÓN DE FIRMA ELECTRÓNICA

La ley 59/2003 de firma electrónica fue derogada, ahora está en vigor un reglamento europeo llamado EIDAS.

firma electrónica provee las siguientes dimensiones de seguridad: integridad, autenticidad y no repudio

texto del eidas: https://www.boe.es/doue/2014/257/L00073-00114.pdf

considero críticos los siguientes: identificación electrónica (1), autenticación (5), firma electrónica (10), firma
electrónica avanzada (11), firma electrónica cualificada (12), datos de creación de la firma electrónica (13) --> clave
privada del firmante, datos de validación (40) --> clave pública del firmante, documento electrónico (35), sello de
tiempo electrónico (33), prestador cualificado de servicios de confianza (40), sello electrónico (25)

diferencia entre firma electrónica y sello electrónico: las dos son firmas, pero la firma electrónica es para
personas físicas/naturales y el sello electrónico es para personales legales (personas jurídicas) -->
administraciones, empresas, fundaciones, asociaciones, etc

CUÁL ES MÁS SEGURO CL@VE PIN O CL@VE PERMANENTE

Lo que la administración llama “PIN” es en realidad una OTP (one time password = contraseña de un solo uso)
que llega al dispositivo móvil del usuario o incluso a su correo electrónico.
Como CL@VE PIN cambia la clave de un solo uso cada vez que se usa es más segura que CL@VE
PERMANENTE.
Ahora bien si queremos fortalecer CL@VE PERMANENTE podemos hacer que además de la contraseña
permanente llegue un PIN a nuestro dispositivo móvil, en este caso esta opción es más segura que una simple
CL@VE PIN. Este sistema reforzado de CL@VE PERMANENTE se usa por ejemplo en algunos trámites de
hacienda (AEAT: Agencia Estatal de la Administración Tributaria).
CLAVE PIN es gestionada por la AEAT
CLAVE PERMANTE es gestionada por la seguridad social (GISS = Gerencia de Informatica de la Seguridad
Social)

Tema muy importante: HAY DOS CLAVES, EL SERVICIO COMÚN CLAVE TIENE DOS PARTES
CLAVE IDENTIFICACIÓN = sirve para autenticarse
CLAVE FIRMA = sirve para firmar en la nube

y ya a parte de clave si yo quisiera firmar en local qué uso? AUTOFIRMA

si yo uso un broker que permita acceder a AUTOFIRMA (busca AUTOFIRMA en tu sistema local) o a CLAVE
FIRMA (te lleva a CLAVE FIRMA) este broker integral de firma se llama FIRE

si yo tengo que enviar un documento a muchas personas para que lo firmen (2 o más) puedo usar
PORTAFIRMAS, que es un motor de workflow (flujo de trabajo) de firma; PORTAFIRMAS gestiona el envío de
un documento entre varios firmantes y al final provee el documento con todas las firmas acumuladas
CLAVE FIRMA es firma en la nube (en contraposición a AUTOFIRMA que es firma local), la firma en la nube
consiste en que dos organismos la DGP (Direccion General de la Policia) o la GISS (Gerencia de Informatica de
la Seguridad Social) te generan una vez te registras certificados en sus nubes, entonces puedes firmar desde
cualquier lugar autenticándote previamente, y no necesitas llevarte en un pendrive (o descargar de ningún lado)
tu certificado digital.

TIPOS DE AUTENTICADORES
Cuando me autentico para acceder a un sistema (no confundir identificación con autenticación eh!!!!!!!!!!),
necesito un autenticador, hay 3 tipos de autenticadores: algo que sabes, algo que tienes y algo que eres;
cuando usamos un esquema de múltiples factores de autenticación: 2FA, 3FA, etc deben ser todos de
categorías distintas para hacer lo que se conoce como fuera de banda.
Ejemplo de fuera de banda: si una persona ha tomado mi ordenador con un troyano es poco probable que
también haya controlado mi teléfono móvil, por eso el PIN/OTP (one time password) lo enviaremos al dispositivo
móvil, para disminuir las posibilidades de compromiso conjunto de todos los factores de autenticación.
Por ejemplo, hacer un 2FA con dos contraseñas disintas no sería válido, ya que son dos autenticadores del
mismo tipo (algo que sabes).

CL@VE TAMBIEN FIRMA (NO SOLO AUTENTICA)

CL@VE tiene dentro dos sistemas:

  CL@VE IDENTIFICACIÓN: Dentro se usan las claves concertadas CL@VE PIN y CL@VE
PERMANENTE, además la persona se puede autenticar con un certificado digital software y con el DNI
electrónico; además está disponible la autenticación de ciudadanos UE (esto se llama nodo eidas)

 CL@VE FIRMA: esto es firma en la nube, la Dirección General de la Policía (DGP) y la Gerencia de
Informática de la Seguridad Social (GISS) pueden custodiarte tu certificado digital para que puedas
firmar desde cualquier ubicación.

Una forma de usar CL@VE FIRMA es con FIRE, la solución integral de firma, que te redirige al mismo CL@VE
FIRMA y también a AUTOFIRMA (que tienes que tener instalado en tu ordenador, es una solución de firma en
local).

AUTENTICA ES PARA AUTENTICAR A EMPLEADOS PÚBLICOS (AL

CONTRARIO QUE CL@VE QUE AUTENTICA A CIUDADANOS) [SIN
EMBARGO AUTENTICA PUEDE USAR A CL@VE EN CASO DE QUE SE
NECESITE]
SSO (Single Sign On) es autenticarse una vez y acceder a múltiples sistemas, lo contrario es Single Sign Off,
salir de varios sistemas desconectándose solo una vez (la cuenta de google hace esto)

ESTO ES UNA MEDIDA DE SEGURIDAD DEL ENS (ESQUEMA NACIONAL

DE SEGURIDAD)

Derechos de acceso = privilegios = autorizaciones (lo que puedes hacer en el sistema)

¿CÓMO ES LA INFORMÁTICA EN ESPAÑA? MODELO DE GOBERNANZA
TIC, UNA PEQUEÑA HISTORIA

A partir de la reforma del artículo 135 de la constitución, se intentó eliminar gastos; para ellos se creó la
Comisión de Reforma de las Administraciones Públicas (CORA) que emitió un informe sobre toda la AGE, pero
nos centraremos en las unidades TIC.

El informe CORA decía que cada unidad tenía su propio CPD (Centro de Proceso de Datos) y programaba o
compraba sus propias soluciones software.

Se determinó que debíamos usar servicios comunes para dar eficiencia TIC a la administración, estos servicios
comunes se almacenarían en el CTT (Centro de Transferencia de Tecnología) y en el PAE (Portal de
Administración Electrónica).

Luego fueron declarados 14 servicios compartidos que también son servicios comunes (pero no todos los
servicios comunes son servicios compartidos), estos 14 servicios son de especial importancia en el estado.

Notas:
 otro CERT (Computer Emergency Reaction Team) que opera en la AGE (Administración General del
Estado) es el INCIBE-CERT, el INCIBE es el Instituto Nacional de CiberSeguridad de España, no está
especificado en el ENS (como sí está el CCN-CERT).

 Las tarjetas criptográficas con certificados en su interior se llaman tarjetas chip y también se llaman
tokens.

 En la administración se le llama electrónico a todo: trámite electrónico, firma electrónica, certificado

electrónico, sede electrónica, pero electrónico y digital no es lo mismo:
 La firma electrónica cualificada es equivalente a la firma electrónica manuscrita y obliga al que firma, así
que cuidado con lo que firmas (no se permite el repudio de lo firmado)

 En españa tenemos una lista de prestadores cualificados de servicios de certificación que se llama “la
lista de prestadores cualificados de servicios de certificación”, la publica la AGE

 Tanto la firma digital como la firma manuscrita son obligatorias para realizar estas acciones:

 Un HSM (Hardware Security Module) o Módulo de Seguridad Hardware (MSH o MHS) es un dispositivo
hardware/físico que custodia tus claves privadas para que no te las roben, y desde ahí las usas:
 Dos parámetros que afectan a la calidad de la comunicación en tiempo real, como por ejemplo
videoconferencias

 Lag = retardo = es una demora que se produce en una telecomunicación desde que se envía
información desde un origen hasta que llega a su destino

 Jitter = fluctuación del retardo = variabilidad temporal durante el envío de señales digitales,
una ligera desviación de la exactitud de la señal de reloj = variabilidad de retardo (todos los
paquetes de voz tardan tiempos distintos)

Es peor el jitter que el lag, porque con el lag tarda tiempo pero llega la comunicación, en el jitter la
comunicación es de muy mala calidad, está muy muy distorsionada