P g i n a 1 | 41

INDICE:
INTRODUCCION:
TEMA: Unidad 3 Certificados y firmas digitales
3.1 Distribucin de claves
3.2 Certificacin
3.3 Componentes de una PKI
3.4 Arquitecturas PKI
3.5 Polticas
3.6 Gestin de una PKI
3.7 Estndares y protocolos de certificacin
3.8 Ejemplo de un protocolo de seguridad: HTTPS
3.9 SSL, TSL, SSH
3.10 Prueba con un generador de certificados gratuito, libre y en lnea
CONCLUSION:
BIBLIOGRAFIA:

P g i n a 2 | 41

INTRODUCCIN
La seguridad en los sistemas de informacin y de cmputo se ha convertido en uno
de los problemas ms grandes desde la aparicin, y ms an, desde la globalizacin
de Internet. Dada la potencialidad de esta herramienta y de sus innumerables
aplicaciones, cada vez ms personas y cada vez ms empresas sienten la necesidad
de conectarse a este magnfico mundo.
De lo anterior, los administradores de red han tenido la necesidad de crear polticas
de seguridad consistentes en realizar conexiones seguras, enviar y recibir informacin
encriptado, filtrar accesos e informacin, etc.
El reciente aumento del uso de la red Internet ha dirigido la atencin del mundo entero
a un problema crucial La privacidad. Hasta el momento, no ha existido una
proteccin real que garantice que los mensajes que se envan o reciben no sean
interceptados, ledos o incluso alterados por algn desconocido, ya que nadie en
realidad dirige o controla la red Internet.
En el mundo del ciberespacio el potencial para que exista el fraude y la estafa es
mucho mayor. La capacidad de tener acceso a informacin las 24 horas del da,
desde cualquier lugar del mundo, es para muchos un beneficio que brinda Internet.
Sin embargo, esto plantea algunos inconvenientes prcticos.
Cuando una persona es slo un reflejo en la pantalla, Cmo se sabe si una persona
tiene efectivamente una cuenta vlida? Cmo se sabe si se puede confiar en un
comerciante al que nunca se ha visto?
Para que la privacidad y seguridad cobre un verdadero auge en la red Internet, cada
una de las entidades necesita contar con una manera de verificar la identidad de la
otra y establecer un nivel de confianza.

P g i n a 3 | 41

3.1 DISTRIBUCIN DE CLAVES:

Tipos de distribucin de claves

Distribucin manual
Distribucin basada en centro
Distribucin basada en certificado
Distribucin de Claves - Distribucin manual
El envo de la clave no es por la lnea de comunicacin por la cual se mandan los
mensajes cifrados, sino que se utilizan otros mtodos, por ejemplo:

Realizando la suma mdulo dos de varias claves enviadas por distintos medios por
ejemplo: carta certificada + va telefnica + fax.
Utilizando un inyector de claves; ste es un pequeo aparato en donde se almacena
una clave la cual puede ser transferida una o ms veces a un equipo, tiene un
contador que registra el nmero de veces que la clave es transferida por lo que se
puede controlar el nmero de instalaciones de la clave en otros equipos, el inyector
debe ser trasportado por medio de una tercera entidad de gran confianza y de
preferencia que no sea experto en el tema.
Este tipo de mtodos dejan de ser prcticos cuando la cantidad de claves que se
deben mandar o las distancias que se deban recorrer para realizar la entrega son muy
grandes, lo cual hace que este mtodo sea lento, caro y poco seguro.
Distribucin de Claves - Distribucin basada en centro
Las dos entidades interesadas en intercambiar datos tienen una conexin cifrada con
una tercera entidad de confianza, esta tercera entidad es la encargada de entregar la
clave a travs de los enlaces cifrados a las otras dos entidades.
La figura 3.3.6 muestra diversos esquemas de la distribucin basada en centro.

Figura 3.3.6 Distribucin basada en centro

El modelo PULL requiere que el emisor A obtenga la clave de sesin del KDC, antes
de comunicarse con B.
1. A solicita una clave de sesin al KDC.
P g i n a 4 | 41

2. El KDC enva a la clave de sesin que utilizar para comunicarse con B y un paquete
cifrado para que A lo entregue a B, dicho paquete est cifrado con la clave que slo
conocen B y el KDC y contiene la clave de sesin con la que B se comunicar con A
as como un identificador de A.
3. A enva a B el paquete que le envo el KDC para B.
El modelo PUSH requiere que A primero contacte a B y despus B debe obtener la
clave de sesin del KDC.
1. A se comunica con B y le hace saber que requiere establecer una sesin.
2. B solicita una clave de sesin al KDC.
3. El KDC enva a B la clave de sesin que utilizar para comunicarse con A y un
paquete cifrado para que B lo entregue a A, dicho paquete est cifrado con la clave
que slo conocen A y el KDC y contiene la clave de sesin con la que A se
comunicar con B as como un identificador de B.
4. B enva a A el paquete que le envo el KDC para A.
El modelo mixto es la combinacin del modelo PULL y el PUSH.
1. A se comunica con B y le hace saber que requiere establecer una sesin.
2. A y B solicitan una clave de sesin al KDC.
3. El KDC enva a A y B la clave de sesin que utilizarn para comunicarse.
Centro de distribucin de claves (KDC Key Distribution Center): verifica qu
equipos tienen permiso de comunicarse con otros, cuando la conexin est permitida
el KDC se encarga de dar una clave de sesin para dicha conexin. El KDC puede
ser una entidad centralizada en la red o ser un servicio distribuido en varios nodos.
Un centro de traduccin de claves (KTC Key Translation Center) est formado por
el KDC y las entidades que desean establecer una sesin. La figura 3.3.7 muestra el
esquema de un KTC.

Figura 3.3.7 KTC

Distribucin de Claves - Distribucin basada en certificado
Podemos diferenciar dos tcnicas para la distribucin basada en certificado:
1. Transferencia de claves: El emisor genera localmente una clave y la cifra con un
algoritmo asimtrico utilizando la llave pblica del receptor, con el objetivo de que solo
P g i n a 5 | 41

ste
pueda
recuperarla
y
as
protegerla
La figura 3.3.8 muestra el esquema de esta tcnica.

durante

su

transmisin.

Figura 3.3.8 Transferencia de claves

2. Intercambio de claves o acuerdo de claves: la clave es generada por las dos
entidades
involucradas
en
la
comunicacin.
Dentro del esquema de distribucin de claves basada en certificado, una autoridad de
certificacin (CA) debe autenticar las claves pblicas de las entidades que desean
intercambiar claves secretas, las claves pblicas son parte de la informacin que
proporciona un certificado. Por ejemplo identifiquemos a las dos entidades que
intercambiarn claves como A y B y a la CA la llamaremos D, si A y B tienen
certificados de la misma CA (en este caso D), A puede estar seguro de que una
determinada clave pblica pertenece a B, obteniendo el certificado de B y
comprobndolo con la clave pblica de D.

P g i n a 6 | 41

3.2.- CERTIFICADOS DIGITALES

Un certificado digital es un documento que contiene diversos datos, entre ellos el
nombre de un usuario y su clave pblica, y que es firmado por una Autoridad de
Certificacin (AC). Como emisor y receptor confiarn en esa AC, el usuario que tenga
un certificado expedido por ella se autenticar ante el otro, en tanto que su clave
pblica est firmada por dicha autoridad. Una de las certificaciones ms usadas y un
estndar en la actualidad en infraestructuras de clave pblica PKIs (Public-Key
Infrastructure) es X.509.
Los certificados digitales representan el punto ms importante en las transacciones
electrnicas seguras. Estos brindan una forma conveniente y fcil de asegurar que los
participantes en una transaccin electrnica puedan confiar el uno en el otro. Esta
confianza se establece a travs de un tercero llamado Autoridades Certificadoras.
Para poder explicar el funcionamiento de los certificados se expone el siguiente
ejemplo:

Blanca quiere poder mandar mensajes a No y que ste sepa que ella es ciertamente
la emisora del mismo. Para ello, consigue un certificado de una Autoridad
Certificadora. Es decir, la Autoridad Certificadora va a entregar a Blanca un
Certificado digital personalizado que le va a permitir identificarse ante terceros. Dicho
certificado debe guardarlo en lugar seguro, es el smil al Documento Nacional de
Identidad.

Blanca genera su mensaje envindolo a No junto con la copia pblica de su

certificado.

No recibe el mensaje de Blanca junto con su certificado, quien considera

Autentificado el autor tras comprobar que viene acompaado por una Autoridad
Certificadora reconocida por l.
Pero, que son exactamente los Certificados Digitales? En pocas palabras, los
certificados digitales garantizan que dos computadoras que se comunican entre s
puedan efectuar transacciones electrnicas con xito. La base de esta tecnologa
reside en los cdigos secretos o en la encriptacin. La encriptacin garantiza la
confidencialidad, la integridad y la autenticidad de la informacin que se desea
transmitir y que tiene vital importancia para la persona o empresa.
El procedimiento de encriptacin es sencillo. Un mensaje puede pasar por un proceso
de conversin o de encripcin, que lo transforma en cdigo usando una clave ,es
decir, un medio de traducir los signos de un mensaje a otro sistema de signos cuya
P g i n a 7 | 41

lectura no tenga ningn sentido para un desconocido que los intercepte. Esto se
conoce como el proceso de encripcin de un mensaje. Un ejemplo sencillo de una
clave puede ser el reemplazar cada letra con la prxima letra del alfabeto. As la
Palabra VISA se convertira en WJTB. Para descifrar el mensaje o revertir la
encripcin el que lo recibe necesita conocer la clave secreta ( o sea el certificado
digital).
Los tipos de certificados digitales que existen actualmente son:

Certificados de Servidor (SSL : Capa de zcalos seguro)

Microsoft Server Gated Cryptography Certificates (Certificados de CGC-una extensin

del protocolo SSL- ofrecida por Microsoft).

Certificados Canalizadores.

Certificados de Correo Electrnico.

Certificados de Valoracin de pginas WEB.

Certificados de Sello, Fecha y Hora

P g i n a 8 | 41

3.3 COMPONENTES DE UNA PKI

Una PKI (Public Key Infrastructure, infraestructura de clave pblica) es un conjunto de
elementos de infraestructura necesarios para la gestin de forma segura de todos los
componentes de una o varios Autoridades de Certificacin. Por tanto, una PKI incluye
los elementos de red, servidores, aplicaciones, etc. Ahora vamos a identificar algunos
de los componentes lgicos bsicos de una infraestructura de clave pblica.
- Autoridad de certificacin CA. Una autoridad de certificacin es el componente
responsable de establecer las identidades y de crear los certificados que forman una
asociacin entre la identidad y una pareja de claves pblica y privada.
- Autoridad de registro RA. Una autoridad de registro es la responsable del registro y
la autenticacin inicial de los usuarios a quienes se les expedir un certificado
posteriormente si cumplen todos los requisitos.
- Servidor de certificados. Es el componente encargado de expedir los certificados
aprobados por la autoridad de registro. La clave pblica generada para el usuario se
combina con otros datos de identificacin y todo ello se firma digital mente con la
clave privada de la autoridad de certificacin.
- Repositorio de certificados. Es el componente encargado de hacer disponibles las
claves pblicas de las identidades registradas antes de que puedan utilizar sus
certificados. Suelen ser repositorios X.500 o LDAP. Cuando el usuario necesita validar
un certificado debe consultar el repositorio de certificados para verificar la firma del
firmante del certificado, garantizar la vigencia del certificado comprobando su periodo
de validez y que no ha sido revocado por la CA y que adems cumple con los
requisitos para los que se expidi el certificado; por ejemplo, que el certificado sirve
para firmar correo electrnico.
Los sistemas operativos avanzados como Windows Server suelen incorporar software
suficiente para construir una infraestructura de clave pblica completa (Figura 1.1). En
el cifrado de la informacin pueden emplearse muchos mtodos, pero
fundamentalmente se utilizan dos: sistemas de una sola clave y sistemas de dos
claves, una privada y otra pblica.

P g i n a 9 | 41

Consola de administracin de una entidad emisora de certificados integrante de una

PKI en Windows Server 2003.
En el caso de utilizar una nica clave, tanto el emisor como el receptor deben
compartir esa nica clave, pues es necesaria para desencriptar la informacin. Hasta
aqu no hay ningn problema; sin embargo, el procedimiento de envo de esta clave al
receptor que debe descifrar el mensaje puede ser atacado permitiendo que un intruso
se apodere de esa clave.
Mucho ms seguros son los procedimientos de doble clave. Consisten en
confeccionar un par de claves complementarias, una de las cuales ser pblica, y que
por tanto puede transmitirse libremente, y otra privada que slo debe estar en
posesin del propietario del certificado y que no necesitar viajar.
El algoritmo hace que un mensaje cifrado con la clave pblica slo pueda descifrarse
con la clave privada que le complementa y viceversa.
Cuando el emisor quiere enviar un mensaje a un receptor, cifra la informacin con su
clave privada que slo l posee.
El receptor, una vez que le haya llegado el mensaje cifrado, proceder a descifrarlo
con la clave pblica del emisor

P g i n a 10 | 41

Cifrado y descifrado utilizando algoritmos de parejas de claves: pblica y privada.

P g i n a 11 | 41

3.4 ARQUITECTURAS PKI

En criptografa, una infraestructura de clave pblica es una combinacin

de hardware y software, polticas y procedimientos de seguridad que permiten
la ejecucin con garantas de operaciones criptogrficas como el cifrado, la
firma digital o el no repudio de transacciones electrnicas.
El trmino PKI se utiliza para referirse tanto a la autoridad de certificacin y al
resto de componentes, como para referirse, de manera ms amplia y a veces
confusa, al uso de algoritmos de clave pblica en comunicaciones electrnicas.
Este ltimo significado es incorrecto, ya que no se requieren mtodos
especficos de PKI para usar algoritmos de clave pblica.
Propsitos y Funcionalidad:

La tecnologa PKI permite a los usuarios autenticarse frente a otros usuarios y

usar la informacin de los certificados de identidad (por ejemplo, las claves
pblicas de otros usuarios) para cifrar y descifrar mensajes, firmar digital
mente informacin, garantizar el no repudio de un envo, y otros usos.
En una operacin criptogrfica que use PKI, intervienen conceptual mente como
mnimo las siguientes partes:

Un usuario iniciador de la operacin.

Unos sistemas servidores que dan fe de la ocurrencia de la operacin y garantizan
la validez de los certificados implicados en la operacin (autoridad de
certificacin, Autoridad de registro y sistema de Sellado de tiempo).
Un destinatario de los datos cifrados/firmados/enviados garantizados por parte del
usuario iniciador de la operacin (puede ser l mismo).

Las operaciones criptogrficas de clave pblica, son procesos en los que se

utilizan unos algoritmos de cifrado que son conocidos y estn accesibles para todos.
Por este motivo la seguridad que puede aportar la tecnologa PKI, est fuertemente
ligada a la privacidad de la llamada clave privada y los procedimientos operacionales
o Polticas de seguridad aplicados.
Es de destacar la importancia de las polticas de seguridad en esta tecnologa, puesto
que ni los dispositivos ms seguros ni los algoritmos de cifrado ms fuerte sirven de
nada si por ejemplo una copia de la clave privada protegida por una tarjeta
criptogrfica se guarda en un disco duro convencional de un PC conectado a Internet.

P g i n a 12 | 41

P g i n a 13 | 41

3.5 POLTICAS
Cmo podemos proteger el sistema informtico?
Lo primero que hemos de hacer es un anlisis de las posibles amenazas que puede
sufrir el sistema informtico, una estimacin de las prdidas que esas amenazas
podran suponer y un estudio de las probabilidades de que ocurran.
A partir de este anlisis habr que disear una poltica de seguridad en la que se
establezcan las responsabilidades y reglas a seguir para evitar esas amenazas o
minimizar los efectos si se llegan a producir.
Definimos Poltica de seguridad como un documento sencillo que define las
directrices organizativas en materia de seguridad (Villaln).
La poltica de seguridad se implementa mediante una serie de mecanismos de
seguridad que constituyen las herramientas para la proteccin del sistema. Estos
mecanismos normalmente se apoyan en normativas que cubren reas mas
especficas.
Esquemticamente:

Los mecanismos de seguridad se dividen en tres grupos:

1. Prevencin:

P g i n a 14 | 41

Evitan desviaciones respecto a la poltica de seguridad.

Ejemplo: utilizar el cifrado en la transmisin de la informacin evita que un
posible atacante capture (y entienda) informacin en un sistema de red.
2. Deteccin:
Detectan las desviaciones si se producen, violaciones o intentos de violacin
de la seguridad del sistema.
Ejemplo: la herramienta Tripwire para la seguridad de los archivos.
3. Recuperacin:
Se aplican cuando se ha detectado una violacin de la seguridad del sistema
para recuperar su normal funcionamiento.
Ejemplo: las copias de seguridad.
Dentro del grupo de mecanismos de prevencin tenemos:

Mecanismos de identificacin e autenticacin

Permiten identificar de forma nica 'entidades' del sistema. El proceso siguiente
es la autenticacin, es decir, comprobar que la entidad es quien dice ser.
Pasados estos dos filtros, la entidad puede acceder a un objeto del sistema.
En concreto los sistemas de identificacin y autenticacin de los usuarios son
los mecanismos mas utilizados.

Mecanismos de control de acceso

Los objetos del sistema deben estar protegidos mediante mecanismos de
control de acceso que establecen los tipos de acceso al objeto por parte de
cualquier entidad del sistema.

Mecanismos de separacin
Si el sistema dispone de diferentes niveles de seguridad se deben implementar
mecanismos que permitan separar los objetos dentro de cada nivel.
Los mecanismos de separacin, en funcin de como separan los objetos, se
dividen en los grupos siguientes: separacin fsica, temporal, lgica,
criptogrfica y fragmentacin.

Mecanismos de seguridad en las comunicaciones

P g i n a 15 | 41

La proteccin de la informacin (integridad y privacidad) cuando viaja por la red

es especialmente importante. Clsicamente se utilizan protocolos seguros, tipo
SSH o Kerberos, que cifran el trfico por la red.
Polticas de seguridad
El objetivo de la Poltica de Seguridad de Informacin de una organizacin es, por un
lado, mostrar el posicionamiento de la organizacin con relacin a la seguridad, y por
otro lado servir de base para desarrollar los procedimientos concretos de seguridad.
La empresa debe disponer de un documento formalmente elaborado sobre el tema y
que debe ser divulgado entre todos los empleados.
No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una
declaracin de intenciones. Lo ms importante para que estas surtan efecto es lograr
la concienciacin, entendimiento y compromiso de todos los involucrados.
Las polticas deben contener claramente las practicas que sern adoptadas por la
compaa. Y estas polticas deben ser revisadas, y si es necesario actualizadas,
peridicamente.
Las polticas deben:

definir qu es seguridad de la informacin, cuales son sus objetivos principales

y su importancia dentro de la organizacin
mostrar el compromiso de sus altos cargos con la misma
definir la filosofa respecto al acceso a los datos
establecer responsabilidades inherentes al tema
establecer la base para poder disear normas y procedimientos referidos a
o Organizacin de la seguridad
o Clasificacin y control de los datos
o Seguridad de las personas
o Seguridad fsica y ambiental
o Plan de contingencia
o Prevencin y deteccin de virus
o Administracin de los computadores
A partir de las polticas se podr comenzar a desarrollar, primero las normas, y luego
los procedimientos de seguridad que sern la gua para la realizacin de las
actividades.
La poltica de seguridad comprende todas las reglas de seguridad que sigue una
organizacin (en el sentido general de la palabra). Por lo tanto, la administracin de la
P g i n a 16 | 41

organizacin en cuestin debe encargarse de definirla, ya que afecta a todos los

usuarios del sistema.
La seguridad informtica de una compaa depende de que los empleados (usuarios)
aprendan las reglas a travs de sesiones de capacitacin y de concienciacin.
Sin embargo, la seguridad debe ir ms all del conocimiento de los empleados y
cubrir las siguientes reas:

Un mecanismo de seguridad fsica y lgica que se adapte a las necesidades de

la compaa y al uso de los empleados
Un procedimiento para administrar las actualizaciones
Una estrategia de realizacin de copias de seguridad planificada
adecuadamente
Un plan de recuperacin luego de un incidente
Un sistema documentado actualizado
Por lo tanto y como resumen, la poltica de seguridad es el documento de referencia
que define los objetivos de seguridad y las medidas que deben implementarse para
tener la certeza de alcanzar estos objetivos.
Amenazas
Clasificacin de las amenazas
De forma general podemos agrupar las amenazas en:

Amenazas fsicas
Amenazas lgicas
Estas amenazas, tanto fsicas como lgicas, son materializadas bsicamente por:

las personas
programas especficos
catstrofes naturales
Podemos tener otros criterios de agrupacin de las amenazas, como son:
Origen de las amenazas
Amenazas naturales: inundacin, incendio, tormenta, fallo elctrico, explosin,
etc...
Amenazas de agentes externos: virus informticos, ataques de una
organizacin criminal, sabotajes terroristas, disturbios y conflictos sociales,
intrusos en la red, robos, estafas, etc...

P g i n a 17 | 41

Amenazas de agentes internos: empleados descuidados con una formacin

inadecuada o descontentos, errores en la utilizacin de las herramientas y
recursos del sistema, etc...
Intencionalidad de las amenazas
Accidentes: averas del hardware y fallos del software, incendio, inundacin,
etc...
Errores: errores de utilizacin, de explotacin, de ejecucin de procedimientos,
etc...
Actuaciones malintencionadas: robos, fraudes, sabotajes, intentos de intrusin,
etc...
Naturaleza de las amenazas
La agrupacin de las amenazas atendiendo al factor de seguridad que comprometen
es la siguiente:

Interceptacin
Modificacin
Interrupcin
Fabricacin
1. Flujo normal de la informacin: se corresponde con el esquema superior de la
figura.
Se garantiza:

Confidencialidad: nadie no autorizado accede a la informacin.

Integridad: los datos enviados no se modifican en el camino.
Disponibilidad: la recepcin y acceso es correcto.
2. Interceptacin: acceso a la informacin por parte de personas no autorizadas. Uso
de privilegios no adquiridos.

Deteccin difcil, no deja huellas.

Se garantiza:

Integridad.
P g i n a 18 | 41

Disponibilidad
No se garantiza:

Confidencialidad: es posible que alguien no autorizado acceda a la informacin

Ejemplos:

Copias ilcitas de programas

Escucha en lnea de datos
3. Modificacin: acceso no autorizado que cambia el entorno para su beneficio.

Deteccin difcil segn circunstancias.

Se garantiza:

Disponibilidad: la recepcin es correcta.

No se garantiza:

Integridad: los datos enviados pueden ser modificados en el camino.

Confidencialidad: alguien no autorizado accede a la informacin.
Ejemplos:

Modificacin de bases de datos

Modificacin de elementos del HW
4. Interrupcin: puede provocar que un objeto del sistema se pierda, quede no
utilizable o no disponible.

Deteccin inmediata.
P g i n a 19 | 41

Se garantiza:

Confidencialidad: nadie no autorizado accede a la informacin.

Integridad: los datos enviados no se modifican en el camino.

No se garantiza:

Disponibilidad: puede que la recepcin no sea correcta.

Ejemplos:

Destruccin del hardware

Borrado de programas, datos

Fallos en el sistema operativo

5. Fabricacin: puede considerarse como un caso concreto de modificacin ya que

se consigue un objeto similar al atacado de forma que no resulte sencillo distinguir
entre objeto original y el fabricado.

Deteccin difcil. Delitos de falsificacin.

En este caso se garantiza:

Confidencialidad: nadie no autorizado accede a la informacin.

Integridad: los datos enviados no se modifican en el camino.
Disponibilidad: la recepcin es correcta.
Ejemplos:

Aadir transacciones en red

Aadir registros en base de datos

P g i n a 20 | 41

Amenazas provocadas por personas

La mayor parte de los ataques a los sistemas informticos son provocados,
intencionadamente o no, por las personas.
Qu se busca?
En general lo que se busca es conseguir un nivel de privilegio en el sistema que les
permita realizar acciones sobre el sistema no autorizadas.
Podemos clasificar las personas 'atacantes' en dos grupos:
1. Activos: su objetivo es hacer dao de alguna forma. Eliminar informacin,
modificar o sustraerla para su provecho.
2. Pasivos: su objetivo es curiosear en el sistema.
Repasamos ahora todos los tipos de personas que pueden constituir una amenaza
para el sistema informtico sin entrar en detalles:
1. Personal de la propia organizacin
2. Ex-empleados
3. Curiosos
4. Crackers
5. Terroristas
6. Intrusos remunerados
Amenazas fsicas
Dentro de las amenazas fsicas podemos englobar cualquier error o dao en el
hardware que se puede presentar en cualquier momento. Por ejemplo, daos en
discos duros, en los procesadores, errores de funcionamiento de la memoria, etc.
Todos ellos hacen que la informacin o no est accesible o no sea fiable.
Otro tipo de amenazas fsicas son las catstrofes naturales. Por ejemplo hay zonas
geogrficas del planeta en las que las probabilidades de sufrir terremotos, huracanes,
inundaciones, etc., son mucho ms elevadas.
En estos casos en los que es la propia Naturaleza la que ha provocado el desastre de
seguridad, no por ello hay que descuidarlo e intentar prever al mximo este tipo de
situaciones.
Hay otro tipo de catstrofes que se conocen como de riesgo poco probable. Dentro de
este grupo tenemos los ataques nucleares, impactos de meteoritos, etc. y que,
aunque se sabe que estn ah, las probabilidades de que se desencadenen son muy
bajas y en principio no se toman medidas contra ellos.

P g i n a 21 | 41

Ya hemos explicado el concepto de amenaza fsica. Vamos a conocer ahora cules

son las principales amenazas fsicas de un sistema informtico.
Tipos de amenazas fsicas
Las amenazas fsicas las podemos agrupar en las producidas por:
1. Acceso fsico
Hay que tener en cuenta que cuando existe acceso fsico a un recurso ya no
existe seguridad sobre l. Supone entonces un gran riesgo y probablemente
con un impacto muy alto.
A menudo se descuida este tipo de seguridad.
El ejemplo tpico de este tipo es el de una organizacin que dispone de tomas
de red que no estn controladas, son libres.
2. Radiaciones electromagnticas
Sabemos que cualquier aparato elctrico emite radiaciones y que dichas
radiaciones se pueden capturar y reproducir, si se dispone del equipamiento
adecuado. Por ejemplo, un posible atacante podra 'escuchar' los datos que
circulan por el cable telefnico.
Es un problema que hoy da con las redes wifi desprotegidas, por ejemplo,
vuelve a estar vigente.
3. Desastres naturales
Respecto a terremotos el riesgo es reducido en nuestro entorno, ya que
Espaa no es una zona ssmica muy activa. Pero son fenmenos naturales que
si se produjeran tendran un gran impacto y no solo en trminos de sistemas
informticos, sino en general para la sociedad.
Siempre hay que tener en cuenta las caractersticas de cada zona en particular.
Las posibilidades de que ocurra una inundacin son las mismas en todas las
regiones de Espaa. Hay que conocer bien el entorno en el que estn
fsicamente los sistemas informticos.
4. Desastres del entorno
Dentro de este grupo estaran incluidos sucesos que, sin llegar a ser desastres
naturales, pueden tener un impacto igual de importante si no se disponen de
las medidas de salvaguarda listas y operativas.

P g i n a 22 | 41

Puede ocurrir un incendio o un apagn y no tener bien definidas las medidas a

tomar en estas situaciones o simplemente no tener operativo el SAI que
debera responder de forma inmediata al corte de suministro elctrico.
Descripcin de algunas amenazas fsicas
Veamos algunas amenazas fsicas a las que se puede ver sometido un CPD y alguna
sugerencia para evitar este tipo de riesgo.
Por acciones naturales: incendio, inundacin, condiciones climatolgicas,
seales de radar, instalaciones elctricas, ergometra,
Por acciones hostiles: robo, fraude, sabotaje,...
Por control de accesos: utilizacin de guardias, utilizacin de detectores de
metales, utilizacin de sistemas biomtricos, seguridad con animales,
proteccin electrnica,...
Como se puede comprobar, evaluar y controlar permanentemente la seguridad fsica
del edificio que alberga el CPD es la base para comenzar a integrar la seguridad
como una funcin primordial dentro de cualquier organismo.
Tener controlado el ambiente y acceso fsico permite:

disminuir siniestros
trabajar mejor manteniendo la sensacin de seguridad
descartar falsas hiptesis si se produjeran incidentes
tener los medios para luchar contra accidentes
Las distintas alternativas enumeradas son suficientes para conocer en todo momento
el estado del medio en el que se trabaja y as tomar decisiones en base a la
informacin ofrecida por los medios de control adecuados.
Estas decisiones pueden variar desde el conocimiento de la reas que recorren
ciertas personas hasta la extremo de evacuar el edificio en caso de accidentes.
Amenazas lgicas
El punto ms dbil de un sistema informtico son las personas relacionadas en mayor
o menor medida con l. Puede ser inexperiencia o falta de preparacin, o sin llegar a
ataques intencionados propiamente, simplemente sucesos accidentales. Pero que, en
cualquier caso, hay que prevenir.
Entre algunos de los ataques potenciales que pueden ser causados por estas
personas, encontramos:

Ingeniera social: consiste en la manipulacin de las personas para que

voluntariamente realicen actos que normalmente no haran.

P g i n a 23 | 41

Shoulder Surfing: consiste en "espiar" fsicamente a los usuarios para obtener

generalmente claves de acceso al sistema.
Masquerading: consiste en suplantar la identidad de cierto usuario autorizado
de un sistema informtico o su entorno.
Basureo: consiste en obtener informacin dejada en o alrededor de un sistema
informtico tras la ejecucin de un trabajo.
Actos delictivos: son actos tipificados claramente como delitos por las leyes,
como el chantaje, el soborno o la amenaza.
Atacante interno: la mayor amenaza procede de personas que han trabajado
o trabajan con los sistemas. Estos posibles atacantes internos deben
disponer de los privilegio mnimos, conocimiento parcial, rotacin de
funciones y separacin de funciones, etc.
Atacante externo: suplanta la identidad de un usuario legtimo. Si un atacante
externo consigue penetrar en el sistema, ha recorrido el 80% del camino
hasta conseguir un control total de un recurso.
Algunas amenazas lgicas
Las amenazas lgicas comprenden una serie de programas que pueden daar el
sistema informtico. Y estos programas han sido creados:

de
forma
intencionada
para
hacer
dao:
software
malicioso
o malware (malicious software)
por error: bugs o agujeros.
Enumeramos algunas de las amenazas con las que nos podemos encontrar:
1. Software incorrecto
Son errores de programacin (bugs) y los programas utilizados para
aprovechar uno de estos fallos y atacar al sistema son los exploits. Es la
amenaza ms habitual, ya que es muy sencillo conseguir un exploit y utilizarlo
sin tener grandes conocimientos.
2. Exploits
Son los programas que aprovechan una vulnerabilidad del sistema. Son
especficos de cada sistema operativo, de la configuracin del sistema y del
tipo de red en la que se encuentren. Pueden haber exploits diferentes en
funcin del tipo de vulnerabilidad.
3. Herramientas de seguridad
Puede ser utilizada para detectar y solucionar fallos en el sistema o un intruso
puede utilizarlas para detectar esos mismos fallos y aprovechar para atacar el
sistema. Herramientas como Nessus o Satan pueden ser tiles pero tambin

P g i n a 24 | 41

peligrosas si son utilizadas por crackers buscando informacin sobre las

vulnerabilidades de un host o de una red completa.
4. Puertas traseras
Durante el desarrollo de aplicaciones los programadores pueden incluir 'atajos'
en los sistemas de autenticacin de la aplicacin. Estos atajos se llaman
puertas traseras, y con ellos se consigue mayor velocidad a la hora de detectar
y depurar fallos. Si estas puertas traseras, una vez la aplicacin ha sido
finalizada, no se destruyen, se est dejando abierta una puerta de entrada
rpida.
5. Bombas lgicas
Son partes de cdigo que no se ejecutan hasta que se cumple una condicin.
Al activarse, la funcin que realizan no esta relacionada con el programa, su
objetivo es es completamente diferente.
6. Virus
Secuencia de cdigo que se incluye en un archivo ejecutable (llamado
husped), y cuando el archivo se ejecuta, el virus tambin se ejecuta,
propagndose a otros programas.
7. Gusanos
Programa capaz de ejecutarse y propagarse por s mismo a travs de redes, y
puede llevar virus o aprovechar bugs de los sistemas a los que conecta para
daarlos.
8. Caballos de Troya
Los caballos de Troya son instrucciones incluidas en un programa que simulan
realizar tareas que se esperan de ellas, pero en realidad ejecutan funciones
con el objetivo de ocultar la presencia de un atacante o para asegurarse la
entrada en caso de ser descubierto.
9. Spyware
Programas espa que recopilan informacin sobre una persona o una
organizacin sin su conocimiento. Esta informacin luego puede ser cedida o
vendida a empresas publicitarias. Pueden recopilar informacin del teclado de
la vctima pudiendo as conocer contrasea o n de cuentas bancarias o pines.
10. Adware
Programas que abren ventanas emergentes mostrando publicidad de productos
y servicios. Se suele utilizar para subvencionar la aplicacin y que el usuario
P g i n a 25 | 41

pueda bajarla gratis u obtener un descuento. Normalmente el usuario es

consciente de ello y da su permiso.
11. Spoofing
Tcnicas de suplantacin de identidad con fines dudosos.
12. Phishing
Intenta conseguir informacin confidencial de forma fraudulenta (conseguir
contraseas o pines bancarios) haciendo una suplantacin de identidad. Para
ello el estafador se hace pasar por una persona o empresa de la confianza del
usuario mediante un correo electrnico oficial o mensajera instantnea, y de
esta forma conseguir la informacin.
13. Spam
Recepcin de mensajes no solicitados. Se suele utilizar esta tcnica en los
correos electrnicos, mensajera instantnea y mensajes a mviles.
14. Programas conejo o bacterias
Programas que no hacen nada, solo se reproducen rpidamente hasta que el
nmero de copias acaba con los recursos del sistema (memoria, procesador,
disco, etc.).
15. Tcnicas salami
Robo automatizado de pequeas cantidades dinero de una gran cantidad
origen. Es muy difcil su deteccin y se suelen utilizar para atacar en sistemas
bancarios.

P g i n a 26 | 41

3.6 GESTIN DE UNA PKI

Hoy en da es comn or acerca de temas como PKI, Web Services y SOA. Estos
conceptos prometen facilitar y solucionar varias necesidades de las organizaciones
en cuanto a interoperabilidad, flexibilidad, re utilizacin, seguridad e integracin de
aplicaciones, pero llevar esto a la prctica no es tan trivial.
SOA, por un lado, est cambiando la forma en la que interpelan las organizaciones a
nivel interno y externo. Esta tendencia conduce a sistemas de informacin
conectados e integrados a travs de la infraestructura que proporciona Internet, e
introduce un nuevo entorno donde la funcionalidad de las aplicaciones se ofrece y
accede como servicio. Al realizar cada servicio una tarea bien definida, se tiene una
baja dependencia entre componentes de software que interactan entre si, lo cual
permite dotar de flexibilidad la infraestructura tecnolgica de un negocio, para que
pueda responder a los cambios organizacionales u operacionales que traiga consigo
la
constante
transformacin
del
entorno
en
el
que
se
desenvuelve.
Cualquier tecnologa basada en servicios se puede utilizar para implementar SOA. Al
ser esta una filosofa o enfoque de arquitectura, donde todas las actividades o
procesos estn diseados para ofrecer un servicio, no especifica un protocolo
especfico a travs del cual deban ofrecerse dichos servicios. CORBA (Common
Object Request Broker Architecture), DCOM (Distributed Complement Object
Model), RMI (Remote Method Invocation), ICE (Internet Communications Engine),
EJB (Enterprise JavaBeans), MQSeries (hoy WebSphere) de IBM, ESB (Enterprise
Service Bus), JMS (Java Messaging Service) y Web Services son algunas de las
propuestas existentes para implementar SOA.
De todos estos, Web Services se postula como la tecnologa ms comn para
posibilitar arquitecturas orientadas a servicios, ya que se apoya en estndares,
permite la integracin de los procesos de negocio y proporciona interoperabilidad al
ser independiente de plataformas, protocolos y lenguajes de implementacin.
Por otro lado, la necesidad de ofrecer un entorno confiable para el intercambio de
informacin en red, hace que PKI se convierta en una alternativa a evaluar por las
organizaciones para cumplir con este propsito Comercio electrnico seguro,
comunicaciones confidenciales y transacciones fiables son posibles con PKI, des
afortunadamente las organizaciones enfrentan muchos problemas a la hora de
adoptar este tipo de solucin pues es una tecnologa costosa, tiene problemas de

P g i n a 27 | 41

interoperabilidad y escalabilidad y resulta complicada para los usuarios finales.

Por lo tanto, a pesar de que en teora son varias las utilidades y beneficios que
traen consigo SOA y PKI, la implementacin de esto en una organizacin es una
tarea laboriosa: implica esfuerzo econmico, operativo, administrativo y cambios en
la cultura organizacional.
La realidad de las organizaciones es que, aunque quieran estar actualizadas y
sacar provecho de los avances que da a da ofrece la industria tecnolgica, optan
por soluciones menos costosas, menos confusas y ms rpidas y simples de
implantar.

P g i n a 28 | 41

3.7 ESTNDARES Y PROTOCOLOS DE CERTIFICACIN

Estndares y Protocolos de Certificacin
Estndares tecnolgicos
Los estndares tecnolgicos son aqullos que proporcionan un entorno de trabajo para
el desarrollo de software y de aplicaciones que permiten el acceso y procesamiento de
datos geogrficos procedentes de diversas fuentes, a travs de interfaces genricas
dentro de un entorno tecnolgico abierto basado en estndares y protocolos amplia
mente conocidos por la comunidad mundial de informacin geogrfica y por la
comunidad web.
Como tal, los estndares tecnolgicos describen las tareas y la manera como se
emplea la tecnologa y la informacin para cumplir con metas de las diferentes
entidades relacionadas con acceso y publicacin de informacin geogrfica en lnea.
Estos estndares tambin pueden llamarse estndares de servicios, los cuales
describen los procedimientos y las metodologas para disponer la informacin
geogrfica en la web permitiendo diferentes niveles de publicacin, tales como
visualizacin, uso, descarga, procesamiento, acceso, etc.
Este tipo de estndares est relacionado con las especificaciones de la OGC. La
especificacin de implementacin de OGC est detallada en el marco de trabajo del
desarrollo de software para el acceso distribuido a los datos geogrficos y a los
recursos de procesamiento en lnea de datos geogrficos. Esta especificacin
proporciona tanto a los desarrolladores de software como a los usuarios de informacin
geogrfica, unas interfaces comunes detalladas que permiten que herramientas de
software desarrolladas por comunidades privadas y/o bajo filosofa de cdigo abierto,
puedan interoperar entre s con informacin geogrfica permitiendo el intercambio, uso

P g i n a 29 | 41

y acceso de manera masiva a esta clase de datos.

Ejemplo de protocolo y estndares:
Protocolo de Emisin de un Sello de Tiempo
El usuario se identifica ante el sistema mediante certificado electrnico.
El servidor TSU establece comunicacin con el servicio OCSP Responder y determina
el estado de vigencia del certificado.
El TSU determina el estado de consumo de la cuenta cliente del usuario (servicio de
pago).
El usuario enva el valor hash de un documento D; es decir, h(D), al servidor TSU.
El TSU aade al valor recibido el tiempo t, en la forma de fecha y hora de la recepcin,
componiendo (h(D), t).
El TSU procede a la firma digital de la asociacin anterior, incluyendo los atributos, y se
construye el Sello de Tiempo. El proceso de firma se realiza con un certificado que
identifica al TSU emisor.
El TSU enva este Sello Digital de Tiempo al usuario. De esta forma, el usuario puede
verificar el sello y probar ante otros que D exista en el tiempo t, con tan slo verificar
en cualquier momento la firma de la Autoridad de Timestamping.
El Sello de Tiempo, al incorporar el certificado del servidor TSU, permite determinar el
TSU que lo emiti. El tiempo medio que un servidor TSU de ANF AC tarda en procesar
un Sello de Tiempo es de 0,219 segundos.

Normas y Estndares
Todos los componentes que intervienen en el Servicio de Timestamping han sido
desarrollados por el Departamento de Ingeniera de ANF AC, siguiendo y respectando
las normas tcnicas internacionales.
Entre ellas destaca el documento RFC 5816 "Internet X.509 Public Key Infrastructure
Time-Stamp Protocol" de la IETF (Internet Task Engineering Force), que actualiza el

P g i n a 30 | 41

RFC 3161 de agosto de 2001 y es conforme con la norma ETSI TS 101 861.
Este documento determina que el Sellado Digital de Tiempo confiable se emite por un
tercero de confianza, que acta como Autoridad de Sellado de Tiempo o TSA (Time
Stamping Authority). Asimismo permite el uso de la estructura ESSCertIDv2, tal como
se define en el RFC 5035, para especificar el valor hash de un certificado del firmante,
cuando el hash se calcula con una funcin distinta al algoritmo SHA-1.
Normas de referencia respetadas por ANT TSA AC

[RFC 5816] "Internet X.509 Public Key Infrastructure Time-Stamp Protocol

(TSP)" (actualiza RFC 3161)
RFC 3628 Policy Requirements for Time Stamping Authorities (TSAs)
[TS 101 861] ETSI Technical Specification TS 101 861 V1.2.1. (2001-11). Time
stamping profile
[TS 102 023] ETSI Technical Specification TS 102 023. Policy requirements for
Time stamping Authorities
[ISO 18014] Time-stamping services is an international standard that specifies
Time stamping techniques
[ISO 8601] Data elements and interchange formats Information interchange
Representation of dates and times
[TF.460-5] ITU-R Recommendation TF.460-5 (1997): Standard- frequency and
time-signal emissions
[TF.536-1] ITU-R Recommendation TF.536-1 (1998): Time-scale nota

P g i n a 31 | 41

3.8 EJEMPLO DE UN PROTOCOLO DE SEGURIDAD: HTTPS

Si asistes a una charla sobre seguridad en internet seguro que, ms bien pronto que
tarde, aparecer una frase parecida a: asegrate que, cuando entras a tu banco, al
principio de la barra de direccin puedes ver las siglas HTTP. Y es cierto, tenemos
que echar un ojo, pero por qu?
Muchas veces la explicacin se reduce a decir que se establece una conexin segura,
y no es falso, pero la verdad es que podremos entender con un poquito ms de
profundidad en qu consiste HTTPS, y no hace falta hacerlo con palabras
complicadas, ni enrollarnos durante media hora.
Qu problemas soluciona HTTPS?

Muchas veces, para comprender porqu narices alguien se ha molestado en inventar

algo complicado es mejor pensar para qu lo ha ideado. Cules son los problemas
que han motivado la aparicin de este HTTPS? El principal problema es una falta
de privacidad en nuestra navegacin normal.
Normalmente, cuando navegamos por internet lo hacemos utilizando el protocolo
HTTP, que simplemente establece unas directrices acerca de cmo se va a
comunicar nuestro ordenador (cliente) con un servidor (por ejemplo, el ordenador
donde est alojada la pgina de Genbeta). Establece cmo se transfieren los datos, y
en este caso, los datos se transfieren sin ninguna modificacin, segn los ests
viendo ahora mismo.

P g i n a 32 | 41

Podemos imaginar que hay una tubera entre nuestro ordenador y el servidor por la
que pasan los datos. Pero en esa tubera, alguien podra hacer un pequeo agujero
por el que poder ver la informacin que viaja de un lado al otro, o incluso algo
peor, modificar la informacin que tu envas. En mbitos de seguridad esto se refiere
como un ataque man-in-the-middle (Hombre en el medio, literalmente).
Esto no es un problema si alguien cotillea mientras visitas Genbeta, pero
posiblemente sea un problema mientras ests consultando los movimientos de tu
tarjeta de crdito. Adems, si nuestro man-in-the-middle se hace pasar por tu entidad
bancaria cmo podras estar seguro de que te responde tu banco? No te
entran ganas de evitar esas intromisiones? Aqu aparece HTTPS.

Cmo funciona HTTPS

Ya que evitar cotillas en una comunicacin es algo que se puede catalogar como muy
difcil o imposible, la solucin ha consistido en hacer que nuestro amigo mirn no
pueda comprender lo que mira a travs de ese agujerito que ha hecho en la
tubera, y que tampoco pueda meter en la tubera mensajes hacindose pasar por
nuestro banco (servidor) o por nosotros mismos (cliente).
Al menos en este asunto de las conexiones seguras, la magia no existe. Antes de
empezar esa conexin segura, se establece una comunicacin entre el cliente y el
servidor en la que se acuerdan los detalles necesarios. Esta fase se denomina
acuerdo, o en ingls handshake (apretn de manos), y es donde todo se complica un
poco.

P g i n a 33 | 41

El handshake entre cliente y servidor puede variar dependiendo de los modos de

autenticacin (verificacin de la identidad del remitente de un mensaje) y cifrado que
se vayan a utilizar durante la conexin segura. Suena difcil, pero los sistemas
utilizados no difieren mucho de los utilizados durante la II Guerra como por
ejemplo el famoso cdigo Enigma.
Imaginamos que somos capaces de crear dos cdigos (o claves) especiales. De
forma que un mensaje se puede cifrar con la primera y descifrar con la segunda,
y viceversa. As, un mensaje cifrado con la primera, NICAMENTE podr ser
descifrado con la segunda, y un mensaje cifrado con la segunda, slo podr ser
descrifrado con la primera.
Ahora viene el truco. La primera de ellas la haces pblica, se la das a todos tus
amigos, sin problema. Pero la segunda es secreta, te la guardas como tu mayor
tesoro. Con este pequeo truco podemos hacer dos cosas imprescindibles dentro del
protocolo HTTPS:
Verificar nuestra identidad: Si un mensaje (o parte) lo ciframos con nuestro
cdigo secreto, cualquier persona ser capaz de leerlo, pero nadie ms habr
sido capaz de crearlo (necesitaran nuestra clave ultra secreta). As es como se
firma cuando no puedes utilizar un boli.

Evitar mirones: Si me queris enviar un mensaje, utilizis mi cdigo pblico para

cifrarlo y lo colgis por ejemplo en un tabln de anuncios (o en un comentario).
De esta forma slo quien tenga mi cdigo secreto ser capaz de leerlo, es decir,
slo yo podr saber lo que significa. De hecho, ni siquiera vosotros serais
capaces de leerlo una vez lo cifrrais.

P g i n a 34 | 41

3.9 SSL, TSL, SSH

PGP fue diseado hace ya casi diez aos, por lo que fue pensando en archivos, no en
conexiones de red. Un archivo tiene un contenido fijo que queremos transmitir, en
tanto que una sesin de red debe ir transmitiendo dinmicamente conforme vaya
siendo necesario. Adems, tomando en cuenta que un servidor recibir grandes
cantidades de conexiones de red simultnea, no podemos darnos el lujo de cifrar y
descifrar toda la comunicacin utilizando algoritmos de llave pblica, dado el alto
costo computacional que esto conllevara. Sin embargo, tampoco podemos darnos el
lujo de confiar en algoritmos de llave simtrica - Dado un nmero tan grande de
posibles conexiones, cuntas llaves secretas deberamos guardar para poder
comunicarnos con cada host de Internet? Cmo podramos confiar en que un
atacante externo no ha conseguido acceso a alguna de estas llaves, espiando o
modificando as nuestros datos?
Estas tres familias de protocolos (SSH: Secure Shell. SSL: Secure Socket Layer. TLS:
Transport Layer Security) funcionan con el mismo principio bsico: El primer
intercambio de informacin entre cliente y servidor es el envo de las llaves pblicas
de ambos. De esta manera, se puede entablar una sesin con comunicacin segura.
Acto seguido, una de las partes (o entre ambas) crean aleatoriamente una llave
secreta, que ser utilizada nicamente durante la sesin en cuestin, y ser
descartada inmediatamente al terminar sta. De ah en adelante, la sesin se maneja
cifrndola nicamente con un algoritmo de llave simtrica.
SSH es principalmente utilizado para el acceso remoto a computadoras Unix, aunque
tambin es utilizado para realizar transferencias de archivos.
SSL es una envoltura que se puede aplicar a prcticamente cualquier protocolo TCP,
encargndose de mantener una comunicacin segura entre dos hosts sin importarle
qu tipo de datos est enviando. Las versiones seguras de http, pop3, imap, smtp y
otros varios servicios viajan sobre tneles SSL.
TLS busca integrar un esquema tipo SSL al sistema operativo - SSL hace nicamente
tneles, redireccionando la entrada y salida procesadas de un puerto seguro a un
puerto inseguro. TLS busca hacer esto a nivel de la capa TCP/IP, para que este
tuneleo sea realmente transparente a las aplicaciones.

P g i n a 35 | 41

3.10 PRUEBA CON UN GENERADOR DE CERTIFICADOS GRATUITO, LIBRE Y

EN LNEA
El OpenCA PKI Research Labs, nacida de la antigua Proyecto OpenCA, es una
organizacin abierta dirigida a proporcionar un marco para el estudio de PKI y
desarrollo de proyectos relacionados. A medida que el PKI normas, intereses y
proyectos estn creciendo rpidamente, se ha decidido dividir el proyecto original en
otros ms pequeos para acelerar y reorganizar los esfuerzos. Algunos proyectos ya
han comenzado y recibidos (siempre que sea posible) los fondos, mientras que otros
estn encontrando su camino a la etapa de decisin final.

OCSPD v2.4.3 ( BEHAPPY )

La nueva versin ( v2.4.3/BeHappy ) de OCSPD del OpenCA disponible. Cambios en

su mayora implican la actualizacin de soporte para LibPKI 0.8.1 que corrige un
problema de anlisis de URI con peticiones HTTP GET . Descarga la nueva versin
de su sistema en las pginas de descarga OCSPD .

LIBPKI v0.8.1 ( Bemore )

La nueva versin ( v0.8.1/BeMore ) de LibPKI disponible. Cambios en su mayora

implican la correccin de errores y anlisis de URI ( corrige un error en OpenCA
OCSPD con peticiones HTTP GET ) . Descarga la nueva versin de su sistema en las
pginas de descarga LibPKI .

OCSPD v2.4.2 ( Ocampa )

Una nueva versin de la OCSPD respondedor est disponible para su descarga. Las
principales mejoras respecto a la ltima versin disponible al pblico son: soporte
actualizado para LibPKI 0.8.0 +, inicio fija / parada guin, prdidas de memoria fija ,
Corregido el error en la configuracin que impide la recarga de las CRL caducadas ,
mejora el tiempo de respuesta , soporte fijo para la solicitud GET tipos .

OpenCA PKI V1.5.0 ( SpecialK )

El OpenCA PKI v.1.5.1 ( SpecialK ) est fuera ! Esta versin incorpora todas las
correcciones de errores de la v1.3.0 . Los cambios estn disponibles en el enlace
Registro de cambios desde la pgina de descargas OpenCA .

P g i n a 36 | 41

LIBPKI v0.8.0 ( secuestrar )

La nueva versin ( v0.8.0/Sequester ) de LibPKI disponible. Cambios en su mayora

implican la correccin de errores . Descarga la nueva versin de su sistema en las
pginas de descarga LibPKI .

LIBPKI V0.6.7 ( PAPOCCHIO )

La nueva versin ( v0.6.7/Papocchio ) de LibPKI disponible. Los principales cambios

son ms v0.6.5 : inicializacin respuesta OCSP fija, aade soporte para url DNS para
recuperar los registros DNS a travs de la simple URL_ * interfaz, aadido soporte
inicial para el peso ligero Tokens revocacin de Internet ( LIRTs ) descargar la nueva
versin de su sistema en el LibPKI descargar pginas .

LIBPKI V0.6.5 (HOPE )

La nueva versin ( v0.6.5/Hope ) de LibPKI disponible. Los principales cambios son

ms v0.6.4 : Corregido un error de codificacin de clave en OpenSSL , aadi nueva
pki - siginfo herramienta para facilitar la informacin recogida de firmas para X509
objs , aadi PKI_X509_KEYPAIR_get_curve () para obtener la curva en relacin con
una clave de EC , aadi posibilidad de cargar cualquier tipo de X509 objetos
mediante PKI_X509_get () con PKI_DATATYPE_ANY como un tipo , fija un error al
configurar el algoritmo de firma en PKI_X509_CERT_new (), soporte mejorado para la
gestin de claves ECDSA . Descarga la nueva versin de su sistema en las pginas
de descarga LibPKI .

LIBPKI V0.6.4 ( BROADWAY )

La nueva versin ( v0.6.4/Broadway ) de LibPKI disponible. Los principales cambios

son ms v0.6.3 : cdigo HTTP fijo ( error de asignacin de memoria) , el aumento de
la herramienta de lnea de comandos para la manipulacin de CRL ( pki -CRL ) .
Descarga la nueva versin de su sistema en las pginas de descarga LibPKI .

OCSPD V2.1.0 ( ELLIE )

Una nueva versin de la OCSPD respondedor est disponible para su descarga. Las
principales mejoras respecto a la ltima versin disponible al pblico son: Actualizado
archivos predeterminados de configuracin ( Passin defecto es ninguno) , soporte
mejorado para el apoyo ECDSA , gestin de hilo actualizado con soporte incorporado

P g i n a 37 | 41

de LibPKI 0.6.3 , script de arranque / parada fija , fija un error de memoria en config.c
causando segfault de recarga CRL , eliminan extra de dos bytes enviados despus de
la codificacin DER de la respuesta se escribe ( que estaba causando Firefox /
Thunderbird no para validar la respuesta ) , fija un error en la devolucin de cheques
cdigo para PKI_NET_listen , fijado error en el anlisis de configuracin cuando se dio
ninguna direccin de enlace.

LIBPKI V0.6.3 ( VIPER )

La nueva versin ( Viper/v0.6.3 ) de LibPKI disponible. Los principales cambios son

ms v0.6.1 : soporte ampliado para ECDSA ( a travs del perfil / keyparams en
archivos de configuracin del perfil ) , vinculador fijos en Solaris , agreg pki -cert
herramienta de lnea de comandos, cdigo de la biblioteca ocsp fijo. Descarga la
nueva versin de su sistema en las pginas de descarga LibPKI .

DemoCA en directo por madwolf@12.12.2010

La demostracin en lnea CA est de vuelta en lnea, debido a la gran demanda de

personas interesadas en el software OpenCA PKI. Vamos a tratar de mantenerlo en
lnea tanto como sea posible , por favor ten cuidado, sin embargo, que es slo un
servicio de DEMO y ninguna responsabilidad est implcita .

Versin actual de la lnea CA es v1.1.1 .

OCSPD FIREFOX FIX

Debido a un bug en Firefox ( gestin de memoria ) , es necesario tener la OCSPD ser

compilado con la LibPKI v0.6.1 + . Por favor, descargue el cdigo fuente y volver a
compilar el demonio de una vez al da la biblioteca de criptografa .

OCSPD 2.0.0

Una nueva versin de la OCSPD respondedor est disponible para su descarga. Las
principales mejoras respecto a la ltima versin disponible al pblico ( en su mayora
procedentes de apoyo para LibPKI v0.6.0 ) son: un amplio soporte para los
dispositivos de hardware ( PKCS # 11 y OpenSSL Motor) , par de claves mltiples y
soporte certificado para firmas de respuesta , POST y GET apoyo , IPv6 apoyar .

LIBPKI v0.6.0 ( TURQUA )

P g i n a 38 | 41

La nueva versin ( Turkey/v0.6.0 ) de LibPKI disponible. Los cambios importantes

durante v0.5.1 son: soporte para IPv6 en las llamadas de red , soluciones para
anlisis de la URL y PKI_SSL_ * Mejoras en la interfaz . Obtener la nueva versin de
su sistema en las pginas de descarga LibPKI .

LIBPKI v0.5.1 ( ZOIBERG )

La nueva versin ( Zoiberg/v0.5.1 ) de LibPKI disponible. Los principales cambios son

ms v0.5.0 : . Mejor soporte para OS Gestin Thread independiente junto con las
primitivas de sincronizacin de subprocesos ( mutexes , variables de estado, y las
cerraduras r / w , correcciones de interfaz LDAP Obtener la nueva versin de su
sistema en las pginas de descarga LibPKI .
repositorios yum
28.08.2010 # Madwolf
Repositorios Yum para proyectos OpenCA se han creado . Si su sistema es
compatible con Yum (y RPM ), puede utilizar los enlaces proporcionados para instalar
la configuracin del repositorio en su sistema.

LIBPKI v0.5.0

La nueva versin ( lulu/v0.5.0 ) de LibPKI est disponible para su descarga. Muchos

cambios en la biblioteca y la correccin de errores sobre la versin antigua . En
particular : aadido soporte para diferentes sistemas operativos ( soporte inicial para
el puerto Win) , aadi PKI_SSL y apoyo para la gestin fcil SSL / TLS, aade
soporte para Win API LDAP, ha aadido soporte para las arquitecturas de 64 bits ,
aade codificacin URL seguro para el protocolo HTTP GET.

P g i n a 39 | 41

CONCLUSION:
En la poca actual es de vital importancia que existan procesos que validen el flujo el
flujo de informacin ya que hay personas que se dedican a realizar actos ilcitos
haciendo mal uso de datos que corresponden a otras personas que les son
enviados.
Por la necesidad de tener mayor seguridad y mejores controles de sta en las redes
(debido a que en el caso de Internet pueden accesar innumerable nmero de
personas que pretendan modificar u obtener un beneficio propio en transacciones
ajenas) se han desarrollado por medio de diversas instituciones dedicadas a esto,
mtodos que permitan validar las operaciones privadas de empresas o personas con
el fin de proteger sus intereses.
Un proceso para brindar dicha seguridad son los certificados digitales, los cuales
permiten que nuestra informacin llegue segura a su destino (es decir, completa,
ntegra y sin alteraciones) asignndonos una clave la cual slo la conoceremos
nosotros y que aqul que quiera tener acceso a dicha informacin no lo podr realizar
a menos que conozca la clave. Dicha clave es asignada por una autoridad
certificadora.
Tambin podemos mencionar como otro mtodo, a las firmas digitales, que son
documentos o papeles que contienen la firma original de una empresa persona y
que comprueba quin est utilizando los datos ya que verifica que realmente seamos
los que decimos ser.
Es necesario aclarar que pueden existir certificados sin firmas digitales pero no firmas
sin certificados.

P g i n a 40 | 41

BIBLIOGRAFIA:
http://www.iti.upv.es/seguridad/compraseg.html
http://www.ajsabadell.es/cs/tecno/ceres/iniciativa.html
http://www.webhost.cl/tombrad/ayudaprensapgp.html
http://www.micasa.yupi.com/taller/index.html
http://angel.perez.net/FLASHES/CERTIF.html
http://www.onnet.es/06041008.htm
http://mmlab.ua.es/es/investigacion/ecommerce.htm
http://www.usertrust.com/spanish/products/index.asp

P g i n a 41 | 41