UNIDAD 3:METODO DE CIFRADO

o Criptografia:

La criptografía (del griego κρύπτos (kryptós), «secreto», y γραφή (graphé), «grafo» o «escritura», literalmente
«escritura secreta») se ha definido, tradicionalmente, como el ámbito de la criptología que se ocupa de las
técnicas de cifrado o codificado destinadas a alterar las representaciones lingüísticas de ciertos mensajes
con el fin de hacerlos incomprensibles a receptores no autorizados. Estas técnicas se utilizan tanto en el
arte como en la ciencia y en la tecnología. Por tanto, el único objetivo de la criptografía era conseguir la
confidencialidad de los mensajes, para lo cual se diseñaban sistemas de cifrado y códigos, y la única
criptografía existente era la llamada criptografía clásica, donde se ocultaba tanto el algoritmo como la
clave criptográfica.
La aparición de la informática y el uso masivo de las comunicaciones digitales, han producido un número
creciente de problemas de seguridad. Las transacciones que se realizan a través de la red pueden ser
interceptadas, y por tanto, la seguridad de esta información debe garantizarse. Este desafío ha
generalizado los objetivos de la criptografía para ser la parte de la criptología que se encarga del estudio
de los algoritmos, protocolos (se les llama protocolos criptográficos), y sistemas que se utilizan para
proteger la información y dotar de seguridad a las comunicaciones y a las entidades que se comunican.
Para ello los criptógrafos investigan, desarrollan y aprovechan técnicas matemáticas que les sirven como
herramientas para conseguir sus objetivos. Los grandes avances producidos en el mundo de la
criptografía han sido posibles gracias a la evolución que se ha producido en el campo de la matemática e
informática.

Criptosistemas.
Se conoce de esta manera al conjunto completo de elementos de un sistema ciptográfico, de tal forma que
pueda ser utilizado para cumplir con sus funciones. Entre sus componentes se encuentran los siguientes:

• Emisor. Realiza el proceso de cifrado.

• Receptor. Realiza el proceso de descifrado.
• Medio. Canal utilizado para intercambiar la información.
• Algoritmo. Conjunto de transformaciones aplicadas al mensaje para obtener el criptograma, y
viceversa.
• Mensaje. Información que se desea ocultar, también conocido como texto plano o ẗexto claro.
• Clave. Pieza de informacion que, aplicada al algoritmo, permite transformar el mensaje en
criptograma y viceversa, también es conocida por el nombre de llave o criptovariable.
• Criptograma. Mensaje transformado, también conocido como mensaje cifrado.
 • Protocolo. Conjunto de reglas que permiten intercambiar información entre entidades.
• Proceso de gestión de claves. Método para administrar el conjunto completo de claves de los
miembros del sistema.
Tipos de Criptosistemas
 Según el tratamiento del mensaje, se dividen en dos tipos:
• Cifrado en bloque (64Bits o 128Bits)
• Cifrado en flujo (Bit a Bit)
 Según el tipo de clave, se dividen en dos tipos:
• Cifrado con clave secreta (sistemas simétricos)
• Cifrado con clave pública (sistemas asimétricos)

Cifrado (criptografía): procedimiento que transforma un mensaje de tal forma que sea incomprensible En
criptografía, el cifrado es el proceso de codificación de la información. Este proceso convierte la
representación original de la información, conocida como texto plano, en una forma alternativa conocida
como texto cifrado. En el mejor de los casos, sólo las partes autorizadas pueden descifrar un texto cifrado
para convertirlo en texto plano y acceder a la información original. El cifrado no impide por sí mismo las
interferencias, pero niega el contenido inteligible a un posible interceptor.

Una sencilla ilustración de la encriptación por clave pública, una de las formas de encriptación más
utilizadas. El mensaje se transmite por un canal abierto, pero solo con la llave adecuada se puede
descifrar.

 de clave secreta
Denominamos criptosistema de clave secreta (de clave privada, de clave única o simétrico) a aquel
criptosistema en el que la clave de cifrado, , puede ser calculada a partir de la de descifrado, ,y
viceversa. En la mayoría de estos sistemas, ambas claves coinciden, y por supuesto han de mantenerse
como un secreto entre emisor y receptor: si un atacante descubre la clave utilizada en la comunicación, ha
roto el criptosistema.
Hasta la década de los setenta, la invulnerabilidad de todos los sistemas dependía de este mantenimiento
en secreto de la clave de cifrado. Este hecho presentaba una gran desventaja: había que enviar, aparte del
criptograma, la clave de cifrado del emisor al receptor, para que éste fuera capaz de descifrar el mensaje.
Por tanto, se incurría en los mismos peligros al enviar la clave, por un sistema que había de ser
supuestamente seguro, que al enviar el texto plano. De todos los sistemas de clave secreta, el único que
se utiliza en la actualidad es DES ( Data Scryption Standard, que veremos más adelante); otros algoritmos
de clave privada, como el cifrado Caesar o el criptosistema de Vigenère (serán también brevemente
comentados más adelante) han sido criptoanalizados con éxito, lo cual da una idea del porqué del desuso
en que han caído estos sistemas (con la excepción de DES, que es seguramente el algoritmo de cifra más
utilizado en la actualidad).
Por si esto no fuera suficiente, el hecho de que exista al menos una clave de cifrado/descifrado entre cada
dos usuarios de un sistema haría inviable la existencia de criptosistemas simétricos en las grandes redes
de computadores de hoy en día: para un sistema de computación con usuarios, se precisarían claves
diferentes, lo cual es obviamente imposible en grandes sistemas. Todos estos motivos han propiciado que
el estudio de los cifradores simétricos (excepto DES) quede relegado a un papel histórico.
Los sistemas de cifrado de clave única se dividen a su vez en dos grandes grupos de criptosistemas: por
una parte tenemos los Cifradores de flujo, que son aquellos que pueden cifrar un sólo bit de texto claro
al mismo tiempo, y por tanto su cifrado se produce bit a bit, y por otro lado tenemos los Cifradores de
Bloques, que cifran un bloque de bits (habitualmente, cada bloque es de 64 bits) como una única unidad.
La criptografía simétrica, también conocida como criptografía de clave simétrica (en inglés symmetric key
cryptography), criptografía de clave secreta (en inglés secret key cryptography) o criptografía de una clave (en inglés
single-key cryptography), es un método criptográfico en el cual se usa una única clave compartida para
cifrar y descifrar mensajes entre el emisor y el receptor. Las dos partes que se comunican han de ponerse
de acuerdo de antemano sobre la clave a usar. Una vez que ambas partes tienen acceso a esta clave, el
remitente cifra un mensaje usando la clave, lo envía al destinatario, y este lo descifra con la misma clave.
Ejemplo de un simple diagrama

Los algoritmos usados en la criptografía simétrica son principalmente operaciones booleanas y de

transposición, y es más eficiente que la criptografía asimétrica.

 de cifrado de flujo
Un cifrado de flujo es un cifrado de clave simétrica en el que los dígitos de texto plano se combinan con
un flujo de dígitos de cifrado pseudoaleatorio (flujo de claves). En un cifrado de flujo, cada dígito de texto
sin formato se cifra uno a la vez con el dígito correspondiente del flujo de claves, para dar un dígito del
flujo de texto cifrado. Dado que el cifrado de cada dígito depende del estado actual del cifrado, también se
conoce como cifrado de estado. En la práctica, un dígito es típicamente un bit y la operación de
combinación es un exclusivo-o (XOR).
El funcionamiento del generador de flujo de claves en A5/1, un cifrado de flujobasado en LFSR que se
utiliza para cifrar conversaciones de teléfonos móviles.

El flujo de claves pseudoaleatorio se genera típicamente en serie a partir de un valor semilla aleatorio
utilizando registros de desplazamiento digitales. El valor semilla sirve como clave criptográfica para
descifrar el flujo de texto cifrado. Los cifrados de flujo representan un enfoque diferente del cifrado
simétrico al cifrado de bloques. Los cifrados de bloque operan en grandes bloques de dígitos con una
transformación fija e invariable. Esta distinción no siempre es clara: en algunos modos de
funcionamiento, una primitiva de cifrado de bloque se utiliza de tal manera que actúa eficazmente como
un cifrado de flujo. Los cifrados de flujo normalmente se ejecutan a una velocidad mayor que los cifrados
de bloque y tienen menor complejidad de hardware. Sin embargo, los cifrados de flujo pueden ser
susceptibles a graves problemas de seguridad si se utilizan incorrectamente (como en los ataques de
cifrado de flujo); en particular, el mismo estado inicial (semilla) nunca debe usarse dos veces.
Inspiración suelta de la libreta de un solo uso: Los cifrados de flujo se pueden ver como una
aproximación a la acción de un cifrado irrompible probado, la libreta de un solo uso (OTP). Un teclado
de una sola vez utiliza un flujo de claves de dígitos completamente aleatorios. El flujo de claves se
combina con los dígitos de texto plano uno a la vez para formar el texto cifrado. Claude E. Shannon
demostró que este sistema era seguro en 1949. Sin embargo, el flujo de claves debe generarse
completamente al azar con al menos la misma longitud que el texto sin formato y no se puede usar más
de una vez. Esto hace que el sistema sea complicado de implementar en muchas aplicaciones prácticas y,
como resultado, la almohadilla de un solo uso no se ha utilizado ampliamente, excepto en las aplicaciones
más críticas. La generación, distribución y gestión de claves son fundamentales para esas aplicaciones.Un
cifrado de flujo utiliza una clave mucho más pequeña y conveniente, como 128 bits. Basado en esta clave,
genera una secuencia de claves pseudoaleatoria que se puede combinar con los dígitos de texto sin
formato de una manera similar al pad de un solo uso. Sin embargo, esto tiene un costo. El flujo de claves
ahora es pseudoaleatorio y, por lo tanto, no es verdaderamente aleatorio. La prueba de seguridad
asociada con la libreta de un solo uso ya no es válida. Es muy posible que un cifrado de flujo sea
completamente inseguro
Cifrados de flujo sincrónico: En un cifrado de flujo síncrono, se genera un flujo de dígitos
pseudoaleatorios independientemente del texto plano y los mensajes de texto cifrado, y luego se
combina con el texto plano (para cifrar) o el texto cifrado (para descifrar). En la forma más
común, se utilizan dígitos binarios (bits) y el flujo de claves se combina con el texto sin formato
utilizando la operación exclusiva o (XOR). Esto se denomina cifrado de flujo aditivo binario.En
un cifrado de flujo síncrono, el remitente y el receptor deben estar exactamente en el mismo paso
para que el descifrado sea exitoso. Si se agregan o eliminan dígitos del mensaje durante la
 transmisión, se pierde la sincronización. Para restaurar la sincronización, se pueden probar
varias compensaciones de forma sistemática para obtener el descifrado correcto. Otro enfoque es
etiquetar el texto cifrado con marcadores en puntos regulares de la salida.
Cifrados de flujo de sincronización automática: Otro enfoque utiliza varios de los N dígitos
de texto cifrado anteriores para calcular el flujo de claves. Estos esquemas se conocen como
cifrados de flujo de sincronización automática, cifrados de flujo asíncronos o clave automática de
texto cifrado (CTAK). La idea de la autosincronización se patentó en 1946 y tiene la ventaja de
que el receptor se sincronizará automáticamente con el generador de flujo de claves después de
recibir N dígitos de texto cifrado, lo que facilita la recuperación si se eliminan o se agregan
dígitos al flujo de mensajes. Los errores de un solo dígito tienen un efecto limitado y solo afectan
hasta N dígitos de texto sin formato. Un ejemplo de un cifrado de flujo auto-sincronización es un
cifrado de bloques en modo de la retroalimentación de cifrado (CFB).
Máquina de cifrado Lorenz SZ utilizada por el ejército alemán durante la
Segunda Guerra Mundial

Basado en registros de desplazamiento de Retroalimentación lineal: Los cifrados de flujo binario a

menudo se construyen utilizando registros de desplazamiento de retroalimentación lineal (LFSR) porque
se pueden implementar fácilmente en hardware y se pueden analizar matemáticamente fácilmente. Sin
embargo, el uso de LFSR por sí solos es insuficiente para proporcionar una buena seguridad. Se
hanpropuesto varios esquemas para aumentar la seguridad de las LFSR.
Funciones de combinación no lineales: Un enfoque consiste en utilizar n LFSR en paralelo,
combinando sus salidas mediante una función booleana binaria de n entradas (F). Debido a que
los LFSR son inherentemente lineales, una técnica para eliminar la linealidad es alimentar las
salidas de varios LFSR paralelos en una función booleana no lineal para formar un generador de
combinación. Varias propiedades de dicha función de combinación son críticas para garantizar la
seguridad del esquema resultante, por ejemplo, para evitar ataques de correlación.
Generadores controlados por reloj: Normalmente, los LFSR se escalonan con regularidad. Un
enfoque para introducir la no linealidad es hacer que el LFSR se sincronice de manera irregular,
controlado por la salida de un segundo LFSR. Dichos generadores incluyen el generador de
parada y arranque , el generador de pasos alternos y el generador de contracción . Un generador
de pasos alternos comprende tres LFSR, que llamaremos LFSR0, LFSR1 y LFSR2 por
conveniencia. La salida de uno de los registros decide cuál de los otros dos se utilizará; por
ejemplo, si LFSR2 emite un 0, LFSR0 se sincroniza, y si emite un 1, LFSR1 se sincroniza en su
lugar. La salida es el OR exclusivo del último bit producido por LFSR0 y LFSR1. El estado
inicial de los tres LFSR es la clave. El generador intermitente (Beth y Piper, 1984) consta de dos
LFSR. Un LFSR se sincroniza si la salida de un segundo es 1, de lo contrario, repite su salida
anterior. Luego, esta salida se combina (en algunas versiones) con la salida de un tercer LFSR
sincronizado a una velocidad regular.
  de clave pública

Un número impredecible (usualmente muy grande y aleatorio) se usa para generar un par de claves
aceptable, mediante un algoritmo de generación.
La criptografía asimétrica (del inglés asymmetric key cryptography), también conocida como criptografía
de clave pública (public key cryptography) o criptografía de dos claves (two-key cryptography),es un
sistema criptográfico que se caracteriza por utilizar dos claves, una clave pública y otra privada, para el
envío de mensajes o datos informáticos. Las dos claves están conectadas entre sí y tienen roles
complementarios, al ser la clave pública la responsable del cifrado y la clave privada la del descifrado. En
cuanto al procedimiento, el destinatario genera ambas claves y comunica la clave pública al emisor del
mensaje quien, por su parte, tiene ahora la opción de cifrar el mensaje. Una vez que se haya enviado el
mensaje, solo se podrá descifrar con la clave privada, de manera que si el mensaje cifrado es interceptado,
la información del mensaje permanecerá oculta.
Además, los métodos criptográficos garantizan que esa pareja de claves solo se puede generar una vez, de
modo que se puede asumir que no es posible que dos personas hayan obtenido casualmente la misma
pareja de claves. Si una persona que emite un mensaje a un destinatario, usa la clave pública de este
última para cifrarlo; una vez cifrado, solo la clave privada del destinatario podrá descifrar el mensaje, ya
que es el único que debería conocerla. Por tanto, se logra la confidencialidad del envío del mensaje, ya
que es extremadamente difícil que lo descifre alguien salvo el destinatario. Cualquiera, usando la llave
pública del destinatario, puede cifrarle mensajes; los que serán descifrados por el destinatario usando su
clave privada.
Si el propietario del par de claves usa su clave privada para cifrar un mensaje, cualquiera puede
descifrarlo utilizando la clave pública del primero. En este caso se consigue la identificación y
autentificación del remitente, ya que se sabe que solo pudo haber sido él quien empleó su clave privada
(salvo que un tercero la haya obtenido). Esta idea es el fundamento de la firma digital, donde
jurídicamente existe la presunción de que el firmante es efectivamente el dueño de la clave privada. Los
sistemas de cifrado de clave pública se inventaron con el fin de evitar por completo el problema del
intercambio de claves de los sistemas de cifrado simétricos. Con las claves públicas no es necesario que el
remitente y el destinatario se pongan de acuerdo en la clave a emplear.
Todo lo que se requiere es que, antes de iniciar la comunicación secreta, cada uno debe conseguir la llave
pública del otro y cuidar cada uno su llave privada. Es más, esas mismas claves públicas pueden ser
usadas por cualquiera que desee comunicarse con alguno de ellos siempre que se utilice correctamente la
llave pública de cada uno.

¿Cómo funciona el cifrado asimétrico?

Para iniciar el procedimiento de la criptografía asimétrica, el destinatario genera su par de claves y
comunica la clave pública a la otra parte, guardándose la clave privada para sí. El proceso de transmisión
es sencillo y se lleva a cabo a través de organismos de certificación o mediante los llamados servidores de
claves, en los que se puede almacenar la clave. El remitente codifica su mensaje con esta clave pública y
puede enviarlo al destinatario como “texto secreto”. Desde el momento del cifrado, el destinatario solo
podrá descifrar este mensaje con su clave privada. Por esta razón, en principio, el canal del mensaje puede
elegirse libremente: si el mensaje cifrado es interceptado, su contenido permanece oculto para el atacante.
Este principio de unidireccionalidad conforma todo el criptosistema asimétrico. Las dos claves son
completamente independientes una de otra: incluso si un atacante conociera la clave pública, no le
serviría para averiguar la clave privada. Para garantizarlo, la clave pública emplea números primos bien
definidos que se multiplican y dan un resultado concreto. Por ejemplo, se utiliza un cálculo como el
siguiente:
La clave privada, por su parte, emplea exclusivamente el resultado de este cálculo (en el ejemplo, el
número 4577). Resulta casi imposible averiguar los números anteriores solo con este valor, porque la
combinatoria es muy compleja. Hasta la fecha, no existen métodos o algoritmos matemáticos que
faciliten el cálculo anterior.
Nota En este ejemplo, hemos utilizado números primos muy pequeños, pero, en la práctica, la
criptografía asimétrica emplea números mucho más grandes, lo que hace que sea tan segura.

¿Dónde se usa el cifrado asimétrico?

La criptografía de clave pública suele utilizarse en el tráfico de correo electrónico, como en el método de
cifrado estándar S/MIME, en las firmas digitales y en protocolos criptográficos como SSL/TLS, SSH y
HTTPS.
Consejo
El protocolo de transferencia de hipertexto seguro o HTTPS cifra los datos de forma asimétrica y, por lo
tanto, los envía de manera mucho más segura que el famoso protocolo de transferencia de hipertexto o
HTTP. Por otro lado, los criptosistemas asimétricos pueden combinarse con métodos simétricos. En este
caso, las claves se intercambian primero mediante cifrado asimétrico, pero la comunicación posterior se
cifra simétricamente. Este sistema de cifrado híbrido se utiliza cuando los usuarios requieren la velocidad
de la criptografía simétrica y la seguridad de la asimétrica.
Ejemplos de cifrado asimétrico
Probablemente, el programa de cifrado más popular sea Pretty Good Privacy, más conocido por las
siglas PGP. Se basa en la criptografía asimétrica y se utiliza para cifrar correos electrónicos. Al instalar
el programa, se generan una clave pública y otra privada. La clave pública puede transferirse
personalmente o almacenarse en una base de datos central en la que todo el mundo puede buscar las
claves de ciertos propietarios. El remitente encripta sus datos con la clave pública y marca el correo
electrónico o mensaje como cifrado con PGP. El destinatario puede hacerlo legible nuevamente
utilizando la clave privada.
Nota OpenPGP, lanzado en 1997, se desarrolló como una alternativa gratuita a PGP. Actualmente, este
software de código abierto cuenta con muchas extensiones que van más allá de la funcionalidad original
de PGP.
También los métodos de firma están estrechamente relacionados con la criptografía de clave pública.
RSA es el método más utilizado para hacer firmas digitales. En este caso, el remitente codifica su mensaje
con la clave privada, es decir, que “firma” su mensaje con RSA. Después, ya puede enviar el mensaje. El
destinatario verifica la autenticidad del mensaje e identidad del emisor con su clave pública. El RSA se
considera un procedimiento de firma antiguo, pero probado. Otras alternativas que generan o reconocen
firmas digitales mediante un método muy similar son DSA (Digital Signature Algorithm o algoritmo de
firma digital) y ElGamal.
Un ejemplo concreto de protocolo criptográfico es el cifrado con SSL/ TLS. Este protocolo de red
garantiza una comunicación segura, por ejemplo, entre el servidor web y el navegador. Al mismo tiempo,
comprueba la autenticidad del servidor. Para ello, SSL/TLS utiliza el cifrado híbrido, por lo que combina
los métodos asimétrico y simétrico. La clave pública está firmada por un organismo de certificación, y el
certificado resultante, a su vez, está encriptado. El certificado solo puede abrirse utilizando la clave
pública del organismo de certificación. Para este fin, el servidor web envía, por ejemplo, su clave pública
certificada al navegador, que verifica el certificado. Si este es válido, el navegador genera una clave
simétrica y la envía al servidor web. Ambos ahora utilizarán esta clave común durante el resto de la
sesión SSL/TLS para cifrar simétricamente su tráfico de datos.
Ventajas e inconvenientes del cifrado asimétrico
El principal inconveniente de la criptografía de clave pública es la lentitud del proceso de cifrado.
Además, se requiere considerablemente más rendimiento informático. Por lo tanto, como en el ejemplo
del cifrado SSL mencionado anteriormente, se ha desarrollado un sistema híbrido que combina el sistema
simétrico y el asimétrico. Los antiguos problemas de este método, como la autenticación insegura y la
alta vulnerabilidad al malware, ya se han resuelto mediante certificados y firmas digitales, así como
criptosistemas basados en ID. Se recomienda el cifrado híbrido para sacar partido a lo mejor de ambos
mundos. El cifrado asimétrico asume la tarea de distribuir las claves, lo que evita el engorroso
procedimiento de transferencia de claves privadas de los criptosistemas simétricos. El resultado es un
proceso de cifrado seguro, rápido y práctico.
Diferencia entre esteganografía y criptografía
La esteganografía se centra en ocultar la presencia de información, mientras que la criptografía (*ver
artículo sobre el cifrado César) se preocupa más por asegurarse de que no se pueda acceder a la
información. Cuando la esteganografía se usa correctamente, nadie, aparte de los destinatarios previstos,
debería poder decir que se está produciendo una comunicación oculta. Esto la convierte en una técnica
útil para situaciones en las que el contacto obvio no es seguro.
Por el contrario, la criptografía tiende a usarse en situaciones en las que los participantes no están
preocupados si alguien descubre que se está comunicando, pero necesitan que el mensaje en sí esté oculto
e inaccesible para terceros. Repasemos algunos ejemplos para comprender las diferencias. Si eres un
activista político que has sido encarcelado y necesitas comunicarte con tu organización, la logística puede
ser un desafío. Las autoridades pueden monitorizar todo lo que entra y sale de tu celda, por lo que
probablemente tendrás que ocultar cualquier comunicación que tenga lugar .
En este tipo de situación, la esteganografía sería una buena opción. Puede ser un desafío con los recursos
que tienes a mano, pero podrías escribir una carta que suene sencilla con un mensaje oculto con
diferentes tipos de fuentes u otras técnicas esteganográficas. +Alternativamente, digamos que eres un
diplomático que discutes detalles secretos con tu país de origen. Es normal que los diplomáticos hablen
con funcionarios de su propia nación para que las comunicaciones en sí mismas no levanten sospechas.
Sin embargo, dado que el contenido de la conversación es de alto secreto, el diplomático puede querer
usar criptografía y hablar por una línea encriptada.
Si los espías o atacantes intentan interceptar la conversación, solo tendrán acceso al texto cifrado, y no a
lo que las dos partes realmente estén diciendo . Si el activista político usó criptografía para comunicarse
con su organización, lo más probable es que las autoridades la hubieran interceptado. Los funcionarios
verían el texto cifrado y sabrían que el activista estaba tratando de enviar mensajes codificados, entonces
lo más probable es que detuvieran su entrega e interrogarían al activista al respecto. Es por eso que la
esteganografía sería más adecuada en tal escenario.
Por el contrario, los diplomáticos a menudo son monitorizados por sus países anfitriones. Si un
diplomático intentara enviar mensajes ocultos esteganográficamente a su país, podrían ser interceptados,
analizados y el contenido podría ser descubierto. En esta situación, la criptografía es más adecuada,
porque aunque los interceptores sabrán que se está comunicando, no podrán averiguar de qué se trata.

o Eteganografia:
La esteganografía (del griego στεγανος steganos, "cubierto" u "oculto", y γραυος graphos,
"escritura") trata el estudio y aplicación de técnicas que permiten ocultar mensajes u objetos, dentro de
otros, llamados portadores, para que no se perciba su existencia. Es decir, procura ocultar mensajes
dentro de otros objetos y de esta forma establecer un canal encubierto de comunicación, de modo que el
propio acto de la comunicación pase inadvertido para observadores que tienen acceso a ese canal.
Una forma de diferenciar la esteganografía con la criptografía común es que la criptografía solo cifra los
archivos manteniendo el archivo original visible, pero al abrirlo mostrará una secuencia de caracteres que
no permitirá su lectura y para ver su contenido original es necesario conocer la clave. En la
esteganografía, puede verse un archivo con un formato diferente, y para conocer su contenido original
será necesario conocer la clave y el software con el que se ocultó.
Esta ciencia ha suscitado mucho interés en los últimos años, especialmente en el área de seguridad
informática, debido a que ha sido utilizada por organizaciones criminales y terroristas. No obstante, no se
trata de nada nuevo, pues se lleva empleando desde la antigüedad, y tradicionalmente la han utilizado las
instituciones policíacas, militares y de inteligencia, y también criminales o civiles que desean evadir el
control gubernamental, especialmente en regímenes tiránicos.
La esteganografía clásica se basaba únicamente en el desconocimiento del canal encubierto utilizado,
mientras que en la era moderna también se emplean canales digitales (imagen, video, audio y protocolos
decomunicaciones, entre otros) para alcanzar el objetivo. En muchos casos,el objeto contenedor es
conocido, y lo que se ignora es el algoritmo de inserción de la información en dicho objeto. Para que
pueda hablarse de esteganografía, debe haber voluntad de comunicación encubierta entre el emisor y el
receptor.

Técnicas esteganográficas
Existen muchas técnicas para ocultar información. A continuación explicamos las más habituales.
Enmascaramiento: En este caso la información se oculta dentro de una imagen digital usando
marcas de agua donde se introduce información, como el derecho de autor, la propiedad o
licencias. El objetivo es diferente de la esteganografía tradicional, lo que se pretende es añadir un
atributo a la imagen que actúa como cubierta. De este modo se amplía la cantidad de información
presentada.
Algoritmos de la compresión de datos: Esta técnica oculta datos basados en funciones
matemáticas que se utilizan a menudo en algoritmos de la compresión de datos. La idea de este
método es ocultar el mensaje en los bits de datos menos importantes.
Métodos de sustitución: Una de las formas más comunes de hacer esto es alterando el bit
menos significativo (LSB). En archivos de imagen, audio y otros, los últimos bits de información
en un byte no son necesariamente tan importantes como los iniciales. Por ejemplo, 10010010
podría ser un tono de azul. Si solo cambiamos los dos últimos bits a 10010001, podría ser un tono
de azul que es casi exactamente igual. Esto significa que podemos ocultar nuestros datos secretos
en los dos últimos bits de cada píxel de una imagen, sin cambiar la imagen de forma notable. Si
cambiamos los primeros bits, lo alteraría significativamente. El método del LSB funciona mejor
en los archivos de imágenes que tienen una alta resolución y usan gran cantidad de colores. En
caso de archivos de audio, favorecen aquellos que tienen muchos y diferentes sonidos que poseen
una alta tasa de bits. Además este método no altera en absoluto el tamaño del archivo portador o
cubierta (por eso es «una técnica de sustitución»). Posee la desventaja de que el tamaño del
archivo portador debe ser mayor al mensaje a embeber; se necesitan 8 bytes de imagen por cada
 byte de mensaje a ocultar; es decir, la capacidad máxima de una imagen para almacenar un
mensaje oculto es de su 12,5%. Si se pretende emplear una mayor porción de bits de la imagen
(por ejemplo, no solo el último, sino los dos últimos), puede comenzar a ser percibible al ojo
humano la alteración general provocada.

Técnicas según el medio.

Dependiendo de la naturaleza del objeto de cobertura (objeto real en el que se incrustan datos secretos),
la esteganografía se puede dividir en varios tipos. Exploremos cada uno de ellos.
 en texto
La esteganografía de texto oculta información dentro de los archivos de texto. Implica cosas como
cambiar el formato de texto existente, cambiar palabras dentro de un texto, generar secuencias de
caracteres aleatorias o usar gramáticas libres de contexto para generar textos legibles. Varias técnicas
utilizadas para ocultar los datos en el texto son:

• Método basado en formato

• Generación estadística y aleatoria
• Método lingüístico

 Imágenes
Ocultar los datos tomando el objeto de portada como imagen se conoce como esteganografía de imagen.
En la esteganografía digital, las imágenes son una fuente de cobertura ampliamente utilizada porque hay
una gran cantidad de bits presentes en la representación digital de una imagen. Hay muchas formas de
ocultar información dentro de una imagen. Los enfoques comunes incluyen:

• Inserción de bits menos significativa

• Enmascaramiento y filtrado
• Codificación de patrón redundante
• Cifrar y dispersar
• Codificación y transformación del coseno

 audio
En la esteganografía de audio, el mensaje secreto está incrustado en una señal de audio que altera la
secuencia binaria del archivo de audio correspondiente. Ocultar mensaje secretos en digital es un proceso
mucho más dificil en comparación con otros, como la esteganografía de imágenes. Los diferentes métodos
de esteganografía de audio incluyen:

 Codificación de bits menos significativos

 Codificación de paridad
 Codificación de fase
 Espectro ensanchado
Este método oculta los datos en archivos de sonido WAV, AU e incluso MP3.
  video
En la esteganografía de video puede ocultar tipos de datos en formato de video digital. La ventaja de este
tipo es que se puede ocultar una gran cantidad de datos en su interior y el hecho de que es un flujo de
imágenes y sonidos en movimiento. Puedes pensar en esto como la combinación de esteganografía de
imagen y esteganografía de audio. Dos clases principales de video esteganografía incluyen:

 Incrustar datos en video sin comprimir y comprimirlos más tarde

 Incrustar datos directamente en el flujo de datos comprimidos

 Otros archivos
Uno de los métodos más fáciles de implementar es el de inyección o agregado de bytes al final del
archivo. Esta técnica consiste, esencialmente, en agregar o adosar al final de un archivo, de cualquier
tipo, otro archivo que será el contenedor del «mensaje a ocultar», también de cualquier tipo. Esta
metodología es la más versátil, pues permite usar cualquier tipo de archivo como portador (documentos,
imágenes, audio, vídeos, ejecutables, etc) y añadir al final del archivo contenedor el «paquete enviado»,
que es otro archivo, también de cualquier tipo.
Hoy en día todos o casi todos utilizamos al menos, una red social, como Twitter, Facebook o Instagram,
entre otras muchas. Esto convierte a estos canales de comunicación en los transportes ideales de todo
tipo de información, un medio de interconexión fácil de usar y con capacidad de llegada a múltiples
destinatarios, a cualquier parte del mundo.
A través de las redes sociales también es posible enviar información de forma completamente inadvertida.
Esto es: utilizando esteganografía informática. No es fácil hacerlo, pues tienen sus propios algoritmos de
detección de código oculto, amén de otras técnicas de inserción, como el cambio de resoluciones de
imágenes, una vez subidas a la plataforma, etc. Pero esto no quiere decir que sea imposible conseguirlo.

o Funciones de autenticación

¿Qué es la Autenticación?

En ciberseguridad, la autentificación es el proceso de verificar la identidad de alguien o algo. La

autentificación suele tener lugar mediante la comprobación de una contraseña, un token de hardware o
algún otro dato que demuestre la identidad. Como cuando un trabajador de una aerolínea comprueba un
pasaporte o una tarjeta de identificación para verificar la identidad de una persona cuando sube a un
avión, los sistemas informáticos tienen que estar seguros de que una persona es realmente quién dice ser.
En un aeropuerto, este proceso de autentificación garantiza que suban al avión solo las personas que
tengan billete; en los sistemas digitales esto garantiza que los datos solo los puedan ver y usar las
personas adecuadas.
La autenticación no solo se aplica a la verificación de usuarios humanos. Los sistemas informáticos
también necesitan comprobar servidores, software, API y otros ordenadores para estar seguros de que
sean quienes "dicen" ser.
¿Cómo se utiliza la autenticación en un contexto de seguridad?
La autenticación es una parte importante de la gestión de identidad y acceso (IAM), que dicta quién
puede ver los datos y qué puede hacer con ellos. Pero también se aplica a muchas otras áreas de
seguridad, como:
TLS: casi todos los sitios web importantes en la actualidad son compatibles con Transport Layer
Security (TLS). TLS, entre otras funciones, autentifica la identidad de un servidor web para
garantizar que los dispositivos de los usuarios no carguen sitios web falsos.
API: la mayoría de las aplicaciones web modernas dependen de la API para funcionar. Una API
debidamente protegida autentica ambos puntos finales de la Integración API para evitar ataques
dirigidos a esas API.
Correo electrónico: los correos electrónicos se autentifican mediante un proceso llamado
DomainKey Identified Mail (DKIM). DKIM ayuda a garantizar que los mensajes de correo
electrónico provengan de servidores que tienen permiso para utilizar el dominio (por ejemplo,
@cloudflare.com) del que procede el correo electrónico. Los mensajes de correo electrónico no
autentificados suelen acabar en las carpetas de spam.

¿Cómo funciona la autenticación?

Ya que un ordenador no puede "reconocer" a una persona u otro ordenador de la misma forma que lo
haría un ser humano, el proceso de autentificación se basa en criterios objetivos que puede medir un
ordenador. Un tipo de criterio objetivo implica la comprobación de alguna cualidad que se sabe que tiene
la persona o el ordenador en cuestión. Otro implica el uso de una tecnología llamada criptografía de clave
pública para demostrar la identidad.
Verificación de la identidad mediante factores de autenticación
Este tipo de autenticación consiste en comprobar una característica medible de la identidad con el
registro digital correspondiente. Las características que un sistema de autenticación comprobará se
denominan "factores". En la actualidad, está muy generalizado el uso de tres factores de autenticación
comunes:
1. Algo que sabe la persona: Este factor de autenticación comprueba una información secreta que solo
debe tener la persona real. Una combinación de nombre de usuario y contraseña es el ejemplo clásico de
este factor. Las preguntas de seguridad y los códigos PIN también son ejemplo de ello.
2. Algo que tiene la persona: Este factor de autentificación comprueba si la persona posee un objeto
físico que se le ha entregado o que se sabe que tiene. Muchas personas utilizan este factor de
autentificación a diario: viven en una casa o un piso que pueden abrir con una llave. Por tanto, la posesión
de esta llave demuestra que están autorizados a entrar en el recinto, y les permite acceder. En los
sistemas digitales, este factor de autenticación no depende de una clave y bloqueo anticuados. Sin
embargo, utiliza un principio similar mediante la comprobación de un token físico. Hay dos tipos de
token: token blando y token duro.
 Tokens blandos: una ficha electrónica consiste en verificar la posesión de un dispositivo, como un
teléfono inteligente, al enviar un código a ese dispositivo y pedirle al usuario que lo introduzca.
El código puede enviarse como un mensaje de texto o a través de una aplicación que genera
códigos aleatorios.
Tokens duros: un token duro es un pequeño elemento físico que se conecta a un ordenador o
dispositivo móvil mediante Bluetooth, un puerto USB o cualquier otro puerto. Los usuarios
deben conectar este token a su dispositivo para verificar su identidad.
Algunos expertos en seguridad consideran que los tokens duros son más seguros que los blandos. Un
atacante podría interceptar a distancia un código que llegue al teléfono de un usuario y utilizarlo para
hacerse pasar por él. Pero es mucho más difícil robar un token duro: el atacante tiene que acceder
físicamente al token para hacerlo.
3. Algo que es la persona: Este factor de autentificación evalúa las cualidades inherentes a una persona.
En la vida real, la gente hace esto todo el tiempo: dos amigos pueden reconocerse por su aspecto o su
forma de hablar, por ejemplo. Un ordenador podría hacer lo mismo al escanear la cara o la retina de una
persona, verificar las huellas dactilares, medir las frecuencias de su voz o comprobar los resultados de un
análisis de sangre (aunque esto último es menos habitual).
Factores de autenticación adicionales
Además de los tres principales enumerados anteriormente, algunos miembros del sector de la seguridad
han propuesto o utilizado factores de autenticación adicionales. Dos de estos factores adicionales son
ubicación (dónde está el usuario) y hora (cuándo está accediendo al sistema).
 firma digital
Una firma digital es un sello de autenticación electrónico cifrado en información digital, como mensajes
de correo, macros o documentos electrónicos. La firma constata que la información proviene del firmante
y no se ha modificado.
Una firma digital permite asegurar la identidad del firmante y la integridad del mensaje. El firmante
genera una huella digital del mensaje, que la cifra con su clave privada, el resultado es lo que se
denomina firma digital, que envía adjunta al mensaje original.
Cualquier receptor del mensaje podrá comprobar que el mensaje no fue modificado desde su creación
porque podrá generar el mismo resumen o misma huella digital aplicando la misma función al mensaje.
Además, podrá comprobar su autoría, descifrando la firma digital con la clave pública del firmante, lo que
dará como resultado de nuevo el resumen o huella digital del mensaje. Una firma digital es el equivalente
digital de una firma manuscrita o un sello estampado. Está destinada a resolver el problema de la
manipulación y la suplantación de identidad en las comunicaciones digitales.
Es Un mecanismo criptográfico utilizado para validar la autenticidad e integridad de un mensaje, software o
documento digital. También sirve para confirmar que el mensaje no ha sido alterado desde el momento que
fue firmado por el originador (integridad).
Cuenta con tres características básicas:
• Autenticación de origen: sabemos con total seguridad quién ha realizado la firma.
• No repudio: la persona que ha firmado no puede rechazar el haberlo hecho.
• Integridad: queda demostrado que el documento no ha sido modificado a posteriori.
  certificados digitales.
El certificado digital es un archivo electrónico emitido por una Autoridad de Confianza que vincula e
identifica a una persona de manera inequívoca y le permite realizar trámites por Internet. Se puede
solicitar a través de la web de cualquier Prestador de Servicios Cualificados. El más usado, pero no el
único, es el que emite la Fábrica Nacional de Moneda y Timbre a través de su departamento CERES
(Certificación Española), y tiene una gran cantidad de usos.

Certificado de firma
Para crear una firma digital, necesita un certificado de firma, que es prueba de identidad. Cuando envía
una macro o un documento firmados digitalmente, también envía su certificado y su clave pública. Los
certificados son emitidos por una entidad emisora de certificados y, al igual que una licencia de conducir,
pueden ser revocados. Normalmente, un certificado es válido durante un año, al término del cual, el
firmante debe renovarlo u obtener un nuevo certificado de firma para establecer su identidad.
Entidad emisora de certificados
Una entidad emisora de certificados es una entidad similar a un notario público. Emite certificados
digitales, firma certificados para comprobar su validez y realiza un seguimiento de qué certificados se han
revocado o han caducado.

o Técnicas de los hackers.

Qué Es Un Hacker
Un hacker no solo es aquella persona que ataca a páginas webs y roba parte de sus datos o recursos, sino
que también es quien investiga sistemas informáticos para prevenir fallos y riesgos y garantizar la
seguridad de los recursos de las organizaciones.
Lo primero que hay que saber para entender el papel del hacker en la tecnología es que estos abarcan una
amplia gama de posibilidades y de habilidades, en función del tipo de hacker al que nos podamos referir y
de los que te hablaremos más adelante.No obstante, en la era de la tecnología el papel de este profesional
es muy importante de cara a sus grandes implicaciones por salvaguardar la confidencialidad de los datos
de una empresa.

• Seguridad informática: fortalecimiento de la seguridad informática, mediante la

identificación y resolución de vulnerabilidades en diversas redes os sistemas.
• Pruebas de penetración: también conocidas como “Pentesting”. Consiste en introducirse
dentro del sistema de una organización para encontrar debilidades y corregirlas con el fin
de evitar ataques cibernéticos.
• Creación de soluciones de seguridad: diseñan, desarrollan y ponen a prueba diferentes
herramientas y sistemas de seguridad má seficientes y efectivos para implementarlos en las
empresas.

1. Phishing El phishing es una técnica común en la que los hackers intentan obtener información
confidencial, como contraseñas y datos de tarjetas de crédito, haciéndose pasar por una entidad confiable.
Esto se hace a través de correos electrónicos, mensajes de texto o mensajes en redes sociales falsificados
que parecen legítimos. Los hackers engañan a los usuarios para que revelen su información personal o
hagan clic en enlaces maliciosos, lo que les permite acceder a sus cuentas o sistemas.
2. Ataques de fuerza bruta Este tipo de ataque implica el uso de programas automatizados para probar
diferentes combinaciones de contraseñas hasta encontrar la correcta. Los hackers utilizan diccionarios de
contraseñas y herramientas de cracking para descifrar contraseñas débiles o predecibles.
3. Malware El malware es software malicioso que se instala en un sistema sin el consentimiento del
usuario. Los hackers utilizan diferentes tipos de malware, como virus, troyanos, ransomware y spyware,
para obtener acceso a sistemas y robar información o causar daños.
4. Ingeniería social La ingeniería social es una técnica en la que los hackers manipulan psicológicamente
a las personas para obtener información confidencial. Esto puede incluir el engaño y la manipulación a
través de llamadas telefónicas, mensajes de texto, correos electrónicos o redes sociales para obtener
acceso a sistemas o cuentas.
5. Vulnerabilidades de software Los hackers buscan constantemente vulnerabilidades en el software
utilizado en sistemas y aplicaciones para explotarlas y obtener acceso no autorizado. Esto puede incluir la
explotación de errores de programación, configuraciones incorrectas o falta de actualizaciones de
seguridad.
6. Ataques DDoS Los ataques de denegación de servicio distribuido (DDoS, por sus siglas en inglés)
son una técnica en la que los hackers inundan un sistema o red con tráfico malicioso para abrumar y
bloquear los recursos del sistema, dejándolo inaccesible para los usuarios legítimos.
7. Ataques de Cross-Site Scripting (XSS) En este tipo de ataque, los hackers aprovechan
vulnerabilidades en aplicaciones web para insertar scripts maliciosos en páginas web legítimas. Estos
scripts se ejecutan en el navegador del usuario final, lo que permite a los hackers robar información
confidencial, como contraseñas o datos de sesión, o realizar acciones maliciosas en el contexto del usuario
legítimo.
8. Ataques de interceptación Los hackers pueden interceptar la comunicación entre dos sistemas o
usuarios para obtener información confidencial, como contraseñas o datos de tarjetas de crédito. Esto
puede hacerse a través de técnicas como el «man-in-the-middle» (hombre en el medio), donde el atacante
se sitúa entre la comunicación legítima y la intercepta para obtener datos sensibles.
9. Ataques de inyección de código Los hackers pueden aprovechar vulnerabilidades en aplicaciones
web o bases de datos para insertar código malicioso, como SQL o JavaScript, en las consultas o comandos
del sistema. Esto les permite acceder a información confidencial o ejecutar acciones no autorizadas en el
sistema.
10. Ataques de escalada de privilegios Los hackers buscan vulnerabilidades en los sistemas para
obtener un mayor nivel de acceso del que les correspondería normalmente. Esto les permite obtener
permisos de administrador o superusuario, lo que les da un control total sobre el sistema y les permite
acceder a información confidencial o realizar acciones maliciosas.
Es importante tener en cuenta que estas son solo algunas de las técnicas utilizadas por los hackers, y que
las tácticas y métodos pueden evolucionar constantemente. Para protegerse contra estas amenazas, es
fundamental contar con medidas de seguridad sólidas, como el uso de contraseñas seguras, la
actualización regular de software y sistemas, la educación del personal sobre la seguridad en línea y el
uso de herramientas de seguridad, como firewalls y programas antivirus. La concientización y la
vigilancia constante son clave para protegerse contra las amenazas de los hackers en el mundo digital
actual.

UNIDAD 4:POLITICAS DE SEGURIDAD INFORMATICA

o Políticas de seguridad informática.

Las políticas de seguridad informática son un conjunto de reglas, directrices y procedimientos

establecidos por una organización para proteger la información y los sistemas de tecnología de la
información, contra amenazas y riesgos de seguridad. Estas políticas definen las medidas de seguridad
digital que se deben implementar, los roles y responsabilidades de los usuarios, los procedimientos para
la gestión de incidentes y la respuesta a eventos de amenaza contra la seguridad. Son esenciales para
promover una cultura de seguridad organizacional y establecer un marco de trabajo que garantice la
confiabilidad, integridad y disponibilidad de la información. Además, ayudan a cumplir con los requisitos
legales y normativas relacionadas con la seguridad de la información.

Tipos de políticas de seguridad informática

Cuando examinamos las normas de seguridad informática en las empresas, podemos notar la presencia
de dos categorías de protocolos:

1. Políticas de buenas prácticas informáticas

Son conjuntos de directrices y reglas establecidas para promover el uso seguro, ético y responsable de
los recursos informáticos en una organización. Protegen la información confidencial, garantizan la
integridad de los sistemas y promueven un ambiente de trabajo productivo.

Dentro de esta categoría se encuentran:

• Políticas de seguridad de contraseña.

• Política de acceso y privilegios.
• Política de uso aceptable.
• Política de respaldo de datos.
• Política de seguridad de la red.
• Política de educación y concienciación.
• Políticas de actualización de software.

2. Políticas de riesgos informáticos

Son conjuntos de directrices y medidas establecidas para identificar, evaluar y gestionar los riesgos
relacionados con la seguridad de la información y los sistemas informáticos de una organización. Están
diseñadas para minimizar las vulnerabilidades y proteger los activos de información de posibles
amenazas y ataques.

Algunas políticas comunes relacionadas con la gestión de riesgos informáticos son:

• Política de evaluación de riesgos.

• Política de clasificación de la información.
• Política de gestión de accesos.
• Política de gestión de parches y actualizaciones.
• Política de gestión de contraseñas.
• Política de gestión de incidentes.
• Política de seguridad en la red.

Es importante que las políticas de seguridad informática sean comunicadas claramente a todos los
colaboradores y que se establezcan mecanismos para hacer cumplir y monitorear el acatamiento de las
mismas.

Elementos que conforman una política de seguridad informática

Para orientar las decisiones relacionadas con la seguridad, una política de seguridad requiere el
compromiso de todos los miembros de la empresa con el fin de establecer una visión compartida de lo
que se considera importante.

Las políticas de seguridad informática deben contemplar principalmente los siguientes aspectos:

• Alcance de las políticas, qué abarca y las instancias, sistemas y personas a las que se aplica.

• Objetivos de la política y una descripción clara de los elementos involucrados en su definición. También
se deben establecer responsabilidades para cada uno de los servicios y recursos informáticos aplicados
en todos los niveles de la organización.
• Requisitos mínimos para la configuración de la seguridad de los sistemas que están incluidos dentro del
alcance de la política.

• Definición de violaciones y sanciones por incumplimiento de las políticas.

• Responsabilidades de los usuarios en relación con la información a la que tienen acceso. Cada
organización puede adaptarlos y agregar otros elementos según sus necesidades y requisitos específicos.

o Como abordar la implementación de políticas de seguridad informática.

La puesta en marcha de una serie de leyes, normas, estándares y prácticas que garanticen la seguridad,
confidencialidad y disponibilidad de la información es uno de los principales objetivos que se persiguen al
implantar una política de seguridad TI. Las políticas, desarrolladas dentro de una organización, pueden
entenderse como una serie de instrucciones documentadas que indican la manera en que se llevan a cabo
determinados procesos dentro de la propia compañía. Para ser más exactos, las políticas enfocadas a la
seguridad informática se basan en una serie de principios fundamentales como son, por ejemplo, la
responsabilidad individual, autorización, mínimo privilegio, auditoría, separación de obligaciones o
redundancia.

El principio relativo a la responsabilidad alude a que cada persona dentro de la organización ha de ser
consciente de las consecuencias de sus actos. Lógicamente, todas las actividades, sus resultados, la gente
involucrada y recursos requeridos habrán de ser monitoreados desde un principio.
Definir una adecuada política de seguridad TI
Por lo general, la seguridad de los sistemas informáticos se concentra en garantizar el derecho a
acceder a datos y recursos del propio sistema, configurando los mecanismos de autentificación y control,
que asegurarán el hecho de que estos recursos únicamente posean los derechos que se le han otorgado.
Para definir una adecuada política de seguridad TI es necesario seguir una serie de etapas
fundamentales. Por un lado, se han de identificar las necesidades de seguridad y los posibles riesgos
informáticos que enfrenta a la propia compañía.
Igualmente, se ha de proporcionar una perspectiva general de las propias reglas y procedimientos que
deben implementarse para afrontar los diferentes riesgos identificados en los distintos departamentos de
la organización. La siguiente etapa consiste en controlar y detectar las vulnerabilidades del propio
sistema de información y mantenerse al tanto de los fallos presentes en las aplicaciones y materiales
usados. Finalmente, has de definir las acciones previstas y las personas con las que contactarás en caso de
amenaza.

La administración de la propia organización ha de encargarse de definir la política de seguridad a

seguir y hacerlo con precisión, dado que afecta a todos los usuarios del sistema. Debido a que el
administrador informático es la única persona que conoce cómo funciona el sistema, será el encargado de
proporcionar información sobre la seguridad de la empresa a sus superiores, así como aconsejar de
manera eventual a quienes toman las decisiones con respecto a las estrategias que deben implementarse,
además de constituir el punto de entrada de las comunicaciones destinadas a los usuarios en relación a los
problemas y recomendaciones de seguridad.
En buena medida, la seguridad informática de una compañía dependerá de que los empleados puedan
aprender las reglas a través de sesiones de capacitación y concientización. Sin embargo, de este
conocimiento por parte de los empleados, es primordial cubrir ciertas áreas como, por ejemplo, un
procedimiento para administrar las actualizaciones, un posible plan de recuperación tras un incidente
determinado, un mecanismo de seguridad física y lógica que se pueda adaptar a las necesidades de la
compañía, un sistema de documentado actualizado o una estrategia de realización de copias de seguridad
(backup).
En Prakmatic somos conscientes de lo importante que son estas políticas, por ello ofrecemos una
aproximación pragmática a la seguridad TI de tu compañía. Llámanos y te informaremos en lo que
necesites.
¿Qué es una política de seguridad efectiva?
Una política de seguridad efectiva es un conjunto de reglas, procedimientos y medidas que una empresa
implementa para proteger su información, sistemas y redes contra posibles amenazas. La política de
seguridad debe ser clara, concisa y fácil de entender para todos los empleados, y debe ser actualizada
regularmente para mantenerse al día con los cambios en las amenazas de seguridad.
Entre los elementos que deben incluirse en una política de seguridad efectiva, se encuentran:

• Identificación de los activos críticos que necesitan protección.

• Evaluación de los riesgos y amenazas potenciales a los que se enfrenta la empresa.
• Definición de los controles de seguridad necesarios para reducir los riesgos identificados.
• Asignación de responsabilidades claras y definidas a los empleados y equipos de seguridad.
• Establecimiento de procesos de monitoreo y respuesta para detectar y responder
rápidamente a posibles amenazas.
• Definición de políticas claras para la gestión de contraseñas, acceso a la información y uso
de dispositivos personales en el lugar de trabajo.
 • Capacitación regular de los empleados en prácticas de seguridad en línea. Una política de
seguridad efectiva no solo ayuda a proteger la información y los sistemas de la empresa,
sino que también aumenta la confianza de los clientes y mejora la reputación de la empresa
en el mercado.
¿Cómo implementar una política de seguridad efectiva?
Implementar una política de seguridad efectiva requiere una planificación cuidadosa y una ejecución
minuciosa. Aquí te presentamos los pasos necesarios para implementar una política de seguridad efectiva:

1. Definir el objetivo, alcance y vigencia

Comenzando por el objetivo de esta política, un ejemplo puede ser:
En el alcance es recomendable incluir todas las áreas de la empresa, sean externas e internas (tal como
detallamos en la plantilla). Por último, es muy importante precisar la fecha desde que esta política estará
vigente en la empresa y aplicarán todas las medidas dispuestas.
2. Definir los responsables
Generalmente, hay tres responsables sobre este documento:
1. Responsable de la estrategia de seguridad: alguien de la alta gerencia (CEO, CTO, COO,
etc.) o un CISO en caso de tener.
2. Responsable de la operatoria diaria: esto es para hacer que esta política se implemente.
Pueden ser el CTO y otra persona que vele por la seguridad en ambientes no TI.
3. Oficial de Seguridad de la Información: si bien en ISO 27001 no es obligatorio asignar este
rol, algunas regulaciones como, la Ley Fintech de México y la RAN 20-10 de Chile sí lo exigen.
Este Oficial asesorará al responsable de la estrategia sobre cómo implementar la seguridad.
Combina conocimiento normativo, de negocio y experiencia técnica para comprender las
soluciones que se implementen a nivel seguridad.

3. Especificar la autoridad de emisión, revisión y publicación

Ya que esta política interviene en todas las áreas de la compañía y evidencia las intenciones por asegurar
la información, cualquier auditor necesitará saber qué autoridad emitió, revisó y publicó este documento.
Generalmente lo realiza alguien de la alta gerencia o quien se haya designado como el responsable de la
estrategia de seguridad. Recuerda que esta es una política madre de la que se desprenden las demás y por
ello es imprescindible detallar este tipo de datos.
También, debes enviar un acta o minuta en la que se comunique a cada miembro del directorio o alta
gerencia la emisión de esta política y solicitar su conformidad mediante un e-mail o su firma de puño y
letra. Esto te servirá como evidencia para la auditoría, pero también, como una constancia de que todos
conocen y aprueban este documento.

4. Definir las medidas de seguridad

Una vez que terminas de especificar la autoridad de emisión, revisión y publicación, es momento de
determinar las medidas de seguridad que tu empresa tomará y colocar sus lineamientos generales (o en lo
que en la política se llama “Reglas de aplicación”). Veamos un ejemplo: suponiendo que una de las
medidas que quieres tomar sea gestionar los incidentes, entonces deberás colocar un apartado de Gestión
de Incidentes con su objetivo y sus lineamientos a nivel general. Recuerda que las actividades propias de
esta gestión y el paso a paso quedarán detalladas en un documento aparte. En la plantilla descargable te
dejamos 14 medidas de seguridad que debes considerar para cumplir con ISO 27001.
5. Comunicar la política a los empleados
De nada sirve tener una política excelentemente desarrollada si nadie la conoce. Debes disponerla en un
lugar conocido por todos, sea una intranet, Wiki o carpeta de Dropbox, e invitar a todos a leerla
mediante un e-mail. En este caso es recomendable (aunque no obligatorio) hacer una pequeña evaluación
de lectura con 5 o 7 preguntas para confirmar que la política se entendió y todos están enterados de sus
disposiciones. También, ante cada ingreso de empleados debes asegurarte de enviarla o incluirla en una
política de confidencialidad que indique que “el empleado ha leído y está enterado de las disposiciones
escritas en la política de seguridad de la información. Cualquier acto que se haga de mala fe o en contra
de la política es meritorio de una sanción o de una desvinculación”.
6. Actualizar y revisar continuamente
La política de seguridad de la información debe actualizarse cada año o cuando sucedan cambios, dentro
la empresa, que ameriten revisarla. Algunos cambios importantes que pueden llevar a revisarla pueden
ser migraciones de infraestructura, fusión o compra de la empresa, el suceso de un incidente de seguridad
muy grave, desarrollo de un nuevo servicio o producto, incorporación de una regulación (por ejemplo,
una Fintech que tuvo políticas previas al cumplimiento de la Ley Fintech debe revisar y actualizar la
política para ver si coincide o adhiere a la nueva regulación).Por último, también debe actualizarse si
ocurrieran cambios importantes en las secciones detalladas en esta política.
Conclusión
La política de seguridad de la información es el documento donde se definen las medidas que tu empresa
tomará para proteger la información. Debes saber que aquí se describen los lineamientos generales de
cada medida y, en esta instancia, no es necesario profundizar en el detalle de cada medida, ya que para eso
crearemos otros documentos específicos con el paso a paso para llevar a cabo cada medida.
Para la normativa ISO 27001, la política de seguridad de la información es uno de los documentos más
importantes porque evidencia tus intenciones para asegurar la información. Y es de la que se desprenden
los demás documentos. Ahora ya sabes y tienes claro cómo crear este documento, cada cuánto
actualizarlo y cómo comunicarlo al resto de colaboradores para generar cultura y conciencia de riesgos y
seguridad de la información. Recuerda que en el apartado de contacto puedes escribirnos para contarnos
tu caso y tener una asesoría todavía más completa del tema.