Por Osvaldo Callegari
Es por ello que la necesidad básica de tener la información asegurada promete ser preponderante en el ámbito de las comunicaciones, precisamente por esta necesidad es que la encriptación, un modelo con diferentes ramas de aplicación, viene siendo de vital importancia en la protección y control de los datos. Debido a que en la actualidad existen nuevas amenazas y modalidades de sustracción de la información iremos mostrando en diferentes entregas las formas de protección existentes.
Firma Digital
Para poder entender la firma digital, ofrecemos algunos conceptos de la subsecretaria de la información de PKI en Argentina. Seguido a ello citamos un caso de estudio en la ciudad de Salta, Argentina.
¿Qué es la firma digital? Ésta es una herramienta tecnológica que permite garantizar la autoría e integridad de los documentos digitales, posibilitando que éstos gocen de una característica que únicamente era propia de los documentos en papel. Una firma digital es un conjunto de datos asociados a un mensaje electrónico que permite garantizar la identidad del firmante y la integridad del mensaje. La firma digital no implica asegurar la confidencialidad del mensaje; un documento firmado digitalmente puede ser visualizado por otras personas, al igual que cuando se firma holográficamente.
¿Cómo funciona? La firma digital funciona utilizando complejos procedimientos matemáticos que relacionan el documento firmado con información propia del firmante, el cual permite que terceras partes puedan reconocer la identidad del firmante y asegurarse de que los contenidos no han sido modificados. El firmante genera, mediante una función matemática, una huella digital del mensaje, la cual se cifra con la clave privada del firmante. El resultado es lo que se denomina firma digital, que se enviará adjunta al mensaje original. De esta manera, el firmante adjuntará al documento una marca que es única para dicho documento y que sólo él es capaz de producir.
Para realizar la verificación del mensaje, en primer término el receptor generará la huella digital del mensaje recibido, luego descifrará la firma digital del mensaje, utilizando la clave pública del firmante y obtendrá de esa forma la huella digital del mensaje original; si ambas huellas digitales coinciden, significa que no hubo alteración y que el firmante es quien dice serlo.
En la elaboración de una firma digital y en su correspondiente verificación se utilizan complejos procedimientos matemáticos basados en criptografía asimétrica (también llamada criptografía de clave pública). En un sistema criptográfico asimétrico, cada usuario posee un par de claves propio. Estas dos claves, llamadas clave privada y clave pública, poseen la característica de que si bien están fuertemente relacionadas entre sí, no es posible calcular la primera a partir de los datos de la segunda, ni tampoco a partir de los documentos cifrados con la clave privada.
El sistema opera de tal modo que la información cifrada con una de las claves sólo puede ser descifrada con la otra. De este modo si un usuario cifra determinada información con su clave privada, cualquier persona que conozca su clave pública podrá descifrar la misma.
En consecuencia, si es posible descifrar un mensaje utilizando la clave pública de una persona, entonces puede afirmarse que el mensaje lo generó esa persona utilizando su clave privada (probando su autoría).
Caso de estudio
El diario La Gaceta de Salta, Argentina, relató un importante avance ocurrido en esa ciudad frente al tema de las firmas digitales, “Salta dará un importante paso en materia tecnológica cuando, próximamente, implemente la firma digital de los decretos. De esta manera, se convertirá en la primera provincia de la Argentina en emplear este novedoso sistema. El anuncio fue realizado por el gobernador Juan Manuel Urtubey durante la apertura del Tercer Encuentro Internacional de Banda Ancha y Cablemodem, que se está realizando en el hotel Sheraton de esa capital”. {mospagebreak}
Podemos decir que la firma digital garantiza el origen y validez de un mensaje o de cierta información, pero no asegura que no pueda ser sustraída. De alguna manera es el camino a seguir de los datos con procedimientos homologados ante autoridades certificantes.
Asimismo se encuentran otros sistemas, equipos y empresas que permiten brindar seguridad a la información, de tal modo que sólo las personas autorizadas pueden acceder a ella. Para tocar este tema en específico, expondremos un caso de estudio para ver qué hacen las empresas y cuáles herramientas están disponibles para proteger la información de diferentes amenazas.
Protegiéndonos del Phishing
Empresa analizada: Macroseguridad.org
Producto: BioPass 3000 Token
Se trata de un dispositivo biométrico para portabilidad de certificados digitales y autenticación univoca de usuarios, con el agregado de la funcionalidad de los dispositivos criptográficos denominados Token USB como herramienta decisiva en la lucha contra el robo de identidad, phishing y pharming.
Antídoto: Defensa ante el phishing
Phishing, es una modalidad de estafa diseñada para obtener información crítica de los usuarios incautos. Los diferentes delincuentes virtuales están utilizando cada vez más los denominados botnets (grupos de computadores sobre los que tienen control) para lanzar ataques de phishing por spam imposibles de rastrear. El número de estafas de phishing y pharming crece abrumadoramente día tras día.
Principales funciones:
•Total soporte en español en Latinoamérica de software y manuales
•Soporte plataforma Microsoft ®
•Acceso a la PC con biometría
•Soporte para la plataforma LINUX®
•Autenticación al escritorio remoto por biometría y PKI
•Importa certificados en formato PFX, P12, P7B, CER, soporta cualquier aplicación PKI basada en el estándar X509v3.
Recomendaciones:
1)-Jamás responder los correos electrónicos que solicitan la información financiera y datos personales, en todo caso ponerse en contacto telefónicamente con la institución.
2)-Visitar los sitios de los bancos escribiendo el URL en la barra de direcciones del explorador
3)-Llevar un registro y efectuar un chequeo regular en sus cuentas
4)-Comprobar que el sitio web que se está visitando es seguro.
5)-Mantener su PC segura e instalar todas las actualizaciones correspondientes para mejorar la seguridad.
6)- Informar a la institución bancaria acerca de cualquier tipo de actividad sospechosa.
7)-Comenzar a solicitar un método robusto de autenticación y de portabilidad de identidad digital.
8)-Lectura adicional.
Composición:
El BioPass3000 Token posee un mecanismo de seguridad de tres (3) niveles de fingerprint scan (escaneo de huella dactilar) alto, medio y bajo, que el administrador puede ajustar de acuerdo a las características del usuario, también posee una herramienta “Fingerprint Tour” que facilita a través de ejemplos la realización de una comparativa para saber si se efectuó (o no) un correcto registro de la huella dactilar. Además, cuenta con dos LEDS para poder visualizar cuando ejecutó el registro de un fingerprint, o cuando compruebo el estado del token.
Otra de las características importantes del dispositivo es que no necesita de baterias, su fuente de energía es el puerto USB de la PC. La Conexión del dispositivo a la PC se realiza mediante una Mini USB (cable adaptador a USB provisto por Feitian Technologies). Cuenta con un diseño anatómico en un plástico resistente a golpes y de un tamaño que le permitiría llevarlo en un llavero.
Comentario con respaldo técnico:
“Los delincuentes están usando ataques combinados —que reúnen varias técnicas de crimen electrónico— para robar identidades y secuestrar sistemas, a menudo engañando hasta a los usuarios más experimentados. Los sectores de servicios financieros son los más afectados por este tipo de tácticas. Muchas veces estos delincuentes crean sitios que imitan casi perfectamente los portales legítimos de los bancos, haciendo que los usuarios caigan en una trampa a fin de que provean en este portal información sensible como es la contraseña, ID de usuario u otras informaciones”. Diego Laborero, RPM de MacroSeguridad
Las marcas y productos mencionados son marcas y productos registrados de sus propias empresas.
Se agradece el aporte de la Subsecretaria de la Gestión Pública de Argentina en PKI, a Diego Laborero RPM de Macroseguridad.org y la organización SANS.Org. Por promoción o publicidad de productos del rubro comunicarse con la editorial de la revista.
*Si desea puede escribirle al autor al correo electrónico: [email protected]
Organizaciones que se ocupan del problema: Sans Org
Según SANS existen varios casos de señuelos para el phishing que vamos a citar a continuación.
El caso del correo electrónico
El Señuelo: Un correo electrónico o un mensaje desplegable que reclama información desde una empresa u organización a la cual usted está relacionada, puede ser un proveedor de Internet, un banco, un servicio de pagos en línea o una agencia de gobierno.
El mensaje puede requerirle que actualice sus datos, su cuenta bancaria, confirme su información o tendrá consecuencias desagradables.
El engaño: Se trata de un fraude de Internet donde la intención primaria es la sustracción de la información de sus datos personales, cuentas bancarias y/o de tarjetas de crédito.
Políticas de seguridad: Debe tener como política nunca responder los correos de estas características o aceptar ventanas desplegables. No utilizar las funciones de cortar y pegar los vínculos de mensajes dentro del navegador. No llamar a los números telefónicos que se muestran en el aviso. Usar un antivirus y un antispyware combinado con un cortafuegos y manteniendo los mismos actualizados puede ayudar. Los correos de phishing se pueden enviar para analizar en [email protected] y a la organización que figura en el vínculo.
El caso del “Trabaje en su Hogar”
El señuelo:
Promesas de un trabajo de alta rentabilidad y mínimo esfuerzo. Con ventanas desplegables que incluyen ofertas como dinero rápido, trabajo mínimo, además de consejos de por que trabajar en casa es conveniente para usted.
El engaño: Las publicidades no le dicen a que debe trabajar muchas horas sin pago o los costos ocultos que trae la promoción de hacer fotocopias, colocar avisos publicitarios o comprar elementos para comenzar el trabajo en casa. Una vez que se invierte todo el tiempo y dinero les reclama a los promotores, los cuales se rehúsan a pagarle debido a que usted no alcanza los estándares requeridos de calidad.
Políticas de seguridad: La comisión de procesos no ha encontrado aún personas que se hayan hecho ricas enviando cartas o ensamblando magnetos en el hogar, es por ello que antes de realizar un acuerdo de trabajo debe tener en claro las siguientes premisas:
Debe saber: exactamente cual es el programa y sus alcances, cuanto le van a pagar, las tareas que realizará, la totalidad de los costos del programa. Verificar la veracidad de la información de los trabajadores actuales que figuran en la propuesta.
No hay ideas en “Encriptación y seguridad”
-
Aumento de visitas a Expo Seguridad México colma expectativas y alcanza el 15%
México. Unos 24.000 metros cuadrados del Centro Citibanamex albergaron durante tres días las más recientes ediciones de Expo Seguridad México (ESM) y Expo Seguridad... -
Nuevo presidente de ALAS, Manuel Zamudio, habla para Ventas de Seguridad
Latinoamérica. El ejecutivo cuenta en su haber con más de 25 años vinculado a la Asociación Latinoamericana de Seguridad, en cuyo seno ha fungido como instructor,... -
Inauguran Tecnosinergia Express Plus en Ciudad de México
México. Ubicada en la Avenida Marina Nacional, alcaldía Miguel Hidalgo, la nueva tienda de Tecnosinergia fue construida bajo un concepto innovador que reúne, en un solo... -
Siasa distribuirá la tecnología HID Vento en la región
Latinoamérica. El distribuidor mayorista de tecnología de seguridad Siasa anunció el refuerzo de su asociación comercial con el fabricante HID Global, para comercializar su... -
SECO-LARM desarrolla una nueva cerradura universal para puerta de perfil bajo
Internacional. Con solo 1 pulgada (26 mm) de profundidad, este cerrojo de SECO-LARM ofrece una solución compacta para marcos de puertas de metal y madera, adaptándose... -
Asis lanzó un nuevo marco integral para evaluar riesgos de seguridad
Internacional. El ASIS Security Risk Assessment (SRA) proporciona una descripción general completa de cómo realizar la evaluación y gestión de los riesgos de seguridad en... -
Morse Watchmans presenta innovaciones para control de claves y gestión de inventario
Internacional. Recientemente, Morse Watchmans ha participado en varias ferias internacionales, donde ha exhibido productos como el nuevo EKG de agarre de llaves de... -
Vivotek presenta soluciones de seguridad basadas en AI
Internacional. La compañía Vivotek ha venido promocionando la denominada “fortaleza diferenciadora” de sus soluciones de vigilancia IP, a la par que su enfoque 2024: Make... -
Genetec presenta su solución Security Center SaaS
México. El fabricante Genetec realizó en Ciudad de México un evento durante el cual llevó a cabo una completa demostración de su solución Security Center SaaS. -
"Nuestra cartera de productos continúa evolucionando”: Altronix
Internacional. Durante la pasada edición de ISC West, Altronix tuvo la oportunidad de mostrar sus soluciones de acceso e integración de energía, transmisión de datos,... -
Resideo adquirirá a Snap One
Internacional. Resideo acordó adquirir Snap One por US $10,75 dólares por acción en efectivo, lo que representa un valor de transacción de aproximadamente US $1.400... -
IDIS despliega en exhibición una amplia gama de productos durante ISC West
Internacional. IDIS Americas, la nueva unidad de negocios de IDIS formada a partir de la reciente fusión de IDIS America y Costar Technologies, exhibió su cartera combinada... -
Vitaprotech firma acuerdo de compra de acciones y activos con Identiv
Internacional. Con el apoyo de Seven2 y BPIfrance, Vitaprotech anuncia la firma de un acuerdo de compra de acciones y activos para adquirir las operaciones y activos de... -
Implementan solución de reconocimiento facial en principal aeropuerto de Perú
Perú. La empresa de software de reconocimiento facial RecFaces ha anunciado que su producto Id-Guard fue instalado en el Aeropuerto Internacional Jorge Chávez de Lima, la... -
Microsegmentación contuvo ataque de ransomware en institución bancaria
Latinoamérica. El abuso desenfrenado de las vulnerabilidades de día cero en los últimos seis meses ha provocado un crecimiento del 143% en el número de víctimas, según la...
Webinar: NxWitness el VMS rápido fácil y ultra ligero
Webinar: Por qué elegir productos con certificaciones de calidad
Webinar: Anviz ONE - Solución integral para pymes
Webinar: Aplicaciones del IoT y digitalización en la industria logística
Sesión 5: Milestone, Plataforma Abierta que Potencializa sus Instalaciones Manteniéndolas Protegidas
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Deje su comentario