INSTITUTO POLITCNICO NACIONAL

Escuela Superior de Ingeniera Mecnica y Elctrica

Seccin de Estudios de Posgrado e Investigacin
Maestra en Ingeniera en Seguridad y Tecnologas de la Informacin

Seguridad Informtica en Mxico

y Proteccin en Medios Digitales
Ing. David Octavio Muoz Ramrez
Marzo 2015

Agenda
Introduccin.
Conceptos bsicos.
Tipos de Riesgos.
Tcnicas de Seguridad.

Donde estudiar en Mxico?.

Criptografa.
Esteganografa.
Marcas de Agua.
Lnea de Investigacin.

Introduccin
Las tecnologas de informacin se han convertido en elementos
fundamentales de la operacin cotidiana de las organizaciones.
El rpido crecimiento de la tecnologa ha propiciado que cada
vez existan ms personas y dispositivos conectados a Internet.
En Mxico solo el 19% de las empresas tienen polticas de
Seguridad Informtica
Se cree que invertir en ciberseguridad no es importante, pues
no existe un retorno de inversin
Es urgente legislar sobre delitos informticos, pues se tiene un
atraso de casi 3 dcadas con respecto a otros pases.
Hace falta inculcar una cultura de prevencin.

Seguridad Informtica (1/3)

Es proteger la informacin y los sistemas de informacin del
acceso, uso, interrupcin, modificacin no autorizado y de la
destruccin de los datos.
Sus principales objetivos son garantizar la continuidad de la
operacin, el buen manejo de la informacin procesada y la
privacidad de datos estratgicos y/o personales.

Seguridad Informtica (2/3)

Un sistema informtico debe de contar con las siguientes
caractersticas:

Confidencialidad.
Integridad.
Autenticacin
Disponibilidad.
No repudio.

Seguridad Informtica (3/3)

Adems existen 3 tipos de seguridad los cuales son:

Seguridad Fsica.
Seguridad Lgica.

Seguridad Humana.

Tipos de Riesgos
Los tipos de riesgos se pueden clasificar en:

Vulnerabilidad.
Amenaza.

Ataque.

Vulnerabilidad
Debilidad de un activo o control que puede ser explotada por
una amenaza [1].
Posibilidad de que una amenaza se materialice sobre un activo.
Es una va de ataque potencial.
Defectos en HW o SW, Buffer overflow, consultas no
parametrizadas, Carencia de polticas y procedimientos, Falta
de formacin en seguridad por parte de los usuarios, controles
de acceso no definidos

Zero Day
Vulnerabilidad no conocida hasta el momento
Zero-day attack: explota una vulnerabilidad no conocida hasta
el momento
El ataque ocurre en el "da cero" del aviso de la vulnerabilidad
Los desarrolladores han tenido cero das para parchear la
vulnerabilidad

Amenaza (Threat)
Es una amenaza es un peligro posible que podra explotar una
vulnerabilidad.
Posible causa de un incidente no deseado, que puede resultar
en daos a un sistema u organizacin. [1]
Reverse Trojan (Server-to-Client), Time Bomb, Bots,Key
Loggers, Sniffers, Backdoors, Rootkits, Virus, Worm, Spyware,
Trojan Horses, Ramsomware, Adware, Spam, Phishing,
Hoaxes, Jokes, Botnet, Pharming.

Ataque (1/2)
Cualquier accin que comprometa la seguridad de la
informacin de una organizacin [2].
Una agresin a la seguridad del sistema, derivado de una
amenaza inteligente; es decir, un acto inteligente y deliberado
que evade los servicios de seguridad.

Ataque (2/2)
Brute Force: Fuerza Bruta.
Cache Poisoning: Envenenamiento de Cach.
DNS Poisoning: Envenenamiento de DNS.
Cross-Site Request Forgery (CSRF) o Falsificacin de peticin en sitios
cruzados.
Cross-Site Scripting (XSS) o Secuencias de comandos en sitios cruzados.
Denial of Service (DoS).
LDAP injection.
Man-in-the-middle.
Session hijacking attack.
SQL Injection: Inyeccin SQL.

Tcnicas de Seguridad
Son "todos aquellos mtodos, sistemas o formas de actuacin
definidas, que permiten detectar y corregir los diferentes
factores que intervienen en los riesgos

Tcnicas de Seguridad Activas. Su objetivo es proteger y evitar

posibles daos

Tcnicas de Seguridad Pasivas. Su fin es minimizar los efectos o

desastres causados.

Dnde Estudiar en Mxico?

En Mxico es posible hacer un posgrado den el rea de la Seguridad Informtica.

El Instituto Politcnico Nacional cuenta con la Especialidad en Seguridad

Informtica y Tecnologas de la Informacin (ESITI) y la Maestra en Ingeniera en
Seguridad y Tecnologas de la Informacin (MISTI). [9]

El Centro de Estudios Superiores Navales imparte la Maestra en Seguridad de la

Informacin. [10]

El UNITEC tambin tiene este posgrado como Maestra en Seguridad de Tecnologa

de Informacin. [11]

Por su parte la UNAM [12] y el ITESM [13] ofrece un Diplomado en Seguridad de la

Informacin.

Criptografa
La criptografa se ocupa de las tcnicas de cifrado o codificacin
destinadas a alterar las representaciones de ciertos mensajes
con el propsito de hacerlos inintelegibles a receptores no
autorizados.
Provee un medio de seguridad para la entrega de informacin
entre un emisor y un receptor.
La informacin puede viajar sobre un canal no seguro.
Es necesario que el receptor cuente con una llave con la cual
pueda descifrar el mensaje.
Las llaves pueden ser publicas o privadas.

Tipos de Criptografa
Los mtodos criptogrficos pueden agruparse de acuerdo a las
caractersticas que comparten entre si, algunos ejemplos son:
Simtrica.
Asimtrica.
Identidad.
Certificados.

Esteganografa
A lo largo de la historia, la humanidad a tenido la necesidad de
enviar informacin, la cual puede llegar a atravesar territorio
hostil que podra impedir que llegara a su destino, por lo cual se
utilizaron mtodos muy ingeniosos para hacerla pasar
desapercibida, de entre estos mtodos se destaca la
esteganografa.

La palabra esteganografa se deriva del griego "steganos

(encubierto) y "grafos" (escrito) que su traduccin significa
"escritura encubierta" y se refiere a la tcnica que permite
ocultar mensajes secretos en imgenes, audio o video para
encubrir la informacin y prevenir la deteccin del mensaje
oculto por usuarios no autorizados [5].

Tcnicas Digitales
Enmascaramiento y Filtrado
Algoritmos y Transformaciones
Insercin en el Bit Menos Significativo (LSB)

Donde ocultar la informacin?

Documentos.
Imgenes
Audio
Video
Programas

Marca de Agua
Una Marca de agua digital es una marca o etiqueta que se inserta a los archivos
digitales, que puede ser detectada o extrada posteriormente para poder aseverar algo
acerca de los datos [6].

Al insertar una marca de agua se deben cuidar la calidad del archivo husped y la
robustez, pero mientras uno aumenta el otro tiende a disminuir [7].

El marcado de agua digital (Watermarking, WM) tienen como funcin el dejar un sello
que sea indeleble e inseparable del medio a proteger, salvo para aquellos que posean
las llaves para ello.

A diferencia de otros sistemas de proteccin como la criptografa, una marca de agua

digital no tiene como propsito volver inintelegible el contenido protegido, sino que
cumple determinado propsito pero sin impedir que el usuario haga uso del
contenido.
Las marcas de agua buscan explotar el sistema visual humano (SVH) para imgenes y
el Sistema de Audicin Humano (SAH) para audio.

Actores Involucrados
Dueo de la informacin: Es aquel que posee los derechos
sobre el contenido de la informacin.
Usuario del contenido: Es el que usa y se beneficia con el
contenido de los archivos digitales.
Atacante: Aquel que hace uso del contenido sin atenerse a las
condiciones impuestas por los autores.
Distribuidor: Acta como intermediario entre los dueos y los
usuarios y puede ser parteo no del proceso.

Clasificacin
Robustas

Semi-fragiles

Visibles

Propsito

Perceptibilidad

Invisibles
Frgiles

Marca
de Agua
A Ciegas
Dominio
Extraccin

Espacial
Llave

No Ciegas

Transformadas

Secreta

Semi - Privadas

Publica

Por su proposito
Propsito
Robustas

Frgiles
Semi-fragiles

Robustas. Son resistentes a la mayora de los ataques y su

principal objetivo es sobrevivir el mayor tiempo posible.

Semi-Frgiles. Son el punto medio entre las robustas y las

frgiles y estn diseadas para detectar las modificaciones
maliciosas.

Frgiles. Se usan para validar la integridad del archivo ya que

la marca se corrompe fcilmente con cualquier modificacin.

Por su perceptibilidad
Perceptibilidad

Invisibles

Visibles

Visibles. Consiste en algn texto o logotipo traslucido que esta

superpuesto sobre la imagen contenedora y aparece visible
para el usuario.

No Visibles. Suelen ser trabajadas habitualmente en el

domino de las frecuencias, aunque tambin se pueden trabajar
en el dominio espacial. Su objetivo es integrarse a la imagen,
degradndola lo menos posible y as garantizar su
imperceptibilidad.

Por su dominio
Dominio

Espacial

Transformadas

Espacial. Se entiende cuando el algoritmo de marcado trabaja

directamente sobre los pixeles que componen la imagen.

Transformadas. El algoritmo de marcado trabaja sobre los

coeficientes de la imagen mediante el uso de las
transformadas de Fourier, cosenos discretos, wavelet, SPITH,
entre otras.

Por su extraccin
Extraccin
A Ciegas

No Ciegas
Semi - Privadas

A ciegas. Para la deteccin de la marca solo se necesita la

imagen marcada.
Semi-Privadas. Necesitan de la imagen husped y la imagen
original para realizar la deteccin.
No ciegas. Son las que necesitan todos los elementos, la
imagen husped, la imagen marcada y en caso de requerirse la
marca de agua original.

Por su llave
Llave

Secreta

Publica

Secretas. Utilizan una llave para proteger la extraccin y no

cualquier pueda extraerla.

Pblicas. No usan ninguna seguridad al extraer la marca y por

lo tanto cualquiera que utilice el algoritmo adecuado puede
extraerla.

Lnea de Investigacin
Marcas de agua digital en imgenes anaglifo.
Las imgenes anaglifo son imgenes de dos dimensiones capaces de
provocar un efecto tridimensional.
Se componen de dos capas de color, movidas una respecto a la otra
para producir el efecto de profundidad.

La corteza visual del cerebro fusiona las imgenes recibidas de cada

ojo, y las interpreta como una imagen con profundidad.
La Insercion de la marca de agua se hace en el dominio de las
transformadas mediante la Transformada Discreta del Coseno.
Para lograr la insercin se utiliza el mtodo de Quantization Index
Modulation (QIM).

Visin Estereoscpica

Anaglifo

Estndar JPEG
Es un estndar ISO (91) cuyo origen proviene del grupo JPEG (Joint Photographic
Expert Group).
Codifica imgenes de tono-continuo
Se definen una serie de parmetros que permiten codificar las imgenes para
obtener una gran variedad de calidades de compresin.
Es un sistema de codificacin simtrico.
Imagen
original (RGB)

Espacio de Color
YCbCr
Codificacin fuente
Sub-Muestreo
de los
cromas
(4:4:4, 4:2:2, 4:1:1, 4:2:0)

Bloques
8x8

DCT

Cuantizar
Tabla

Codificacin entrpica
Recorrido
Zig Zag

Huffman

Imagen
codificada

Tabla

31

Codificacin JPEG
Se Convierte la imagen a formato YCbCr utilizando una reduccin de color (subsampling)
Se divide la imagen en bloques de 8x8 elementos.
Se Transforma un dominio espacial al dominio de la frecuencia.
Las componentes frecuenciales ms altas son susceptibles de ser eliminadas
(percepcin visual)
Se aplica esta transformada a cada bloque de 8x8 obteniendo la matriz de
coeficientes DCT asociada.
Coeficiente
DCT

espacial

Transformada
DCT

Fx

Fy

32

DCT

33

Cuantificacin (quantization)
Se eliminan los coeficientes menos representativos de la DCT (transformacin
con prdidas).
Cada coeficiente de la matriz 8x8 es dividido por un valor almacenado en una
tabla (quantization table).
El estndar sugiere dos tablas una para la componente Y y otra para las
componentes Cb y Cr.
Estas tablas se pueden escalar con otro parmetro Q que nos permitir ajustar
el ndice de compresin requerido.
150
88
21
4
1
0
0
0

70
56
34
6
0
1
0
0

38
22
12
3
5
0
0
0

16
9
4
7
0
0
0
0

4
2
0
0
2
0
0
0

0
0
0
1
0
0
0
0

1
0
0
0
0
0
0
0

Coeficientes DCT

0
0
0
0
0
0
0
0

Tabla de
cuantificacin
1
1
2
4
8
16
32
64

1
1
2
4
8
16
32
64

2
2
2
4
8
16
32
64

4
4
4
4
8
16
32
64

8
8
8
8
8
16
32
64

16
16
16
16
16
16
32
64

32
32
32
32
32
32
32
64

64
64
64
64
64
64
64
64

150
88
10
1
0
0
0
0

70
56
17
1
0
0
0
0

19
11
6
1
0
0
0
0

4
8
1
2
0
0
0
0

0
0
0
0
0
0
0
0

0
0
0
0
0
0
0
0

0
0
0
0
0
0
0
0

0
0
0
0
0
0
0
0

Coeficientes DCT
cuantificados
34

Codificacin Huffman

Se hace un barrido zig-zag con el fin de agrupar todos los componentes nulos.
150
88
10
1
0
0
0
0

70
56
17
1
0
0
0
0

19
11
6
1
0
0
0
0

4
8
1
2
0
0
0
0

0
0
0
0
0
0
0
0

0
0
0
0
0
0
0
0

0
0
0
0
0
0
0
0

0
0
0
0
0
0
0
0

150-70-19-4-0-0-0-0-88-56-11-8-0-0-0-0-10-17-6-1-0-0-0-0-1-1-1-2

150-70-88-10-56-19-4-11-17-1-0-1-6-8-0-0-0-1-1-0-0-0-0-0-0-0-0-0

A lo obtenido en el paso anterior se aplica el algoritmo de Huffman para

comprimir an ms la informacin.
El resultado de este paso es lo que debemos enviar o almacenar.

35

Decodificacin

Quantizacion
Inversa

Zig-zag
Ordenamiento

Decodificador
Huffman

DCT
Inversa

110001110011100010..

36

QIM
Cuando se habla de Quantization Index Modulation (QIM), se refiere a insertar
informacin modulando una secuencia de ndices con la marca de agua y despus
cuantificando la seal husped con el cuantificador o secuencia de cuantificadores
asociados al ndice de la marca de agua [4].
x

Codificador
S= (x , m)

Canal

yS

Decodificador

n=y-s

En resumen la seal s es marcada por medio de un cuantificador q que depende de

m y tiene un paso de cuantificacin entre un punto de reconstruccin y otro.

37

Diagrama a Bloques
INSERCIN

Anaglifo
Huesped

RGB a YCbCr

RGB
a
YCbCr

Convierte a
Binario

Bloque 8x8
1,2.3,,n

DCT

24 Coeficientes de
Luminancia

Marca de Agua

QIM-DM
Insercin

IDCT

YCbCr
a
RGB

Compresin
JPEG

EXTRACCIN

Anaglifo
Marcado

RGB
a
YCbCr

Bloque 8x8
1,2.3,,n

DCT

24 Coeficientes de
Luminancia

Se arma la
Marca de Agua

QIM-DM
Extraccin

YCbCr
a
RGB

Recupera valor

Resultados (1/3)

Resultados (2/3)

Resultados (3/3)

Referencias
1.

ISO/IEC 27000:2009, Information technology -- Security techniques -- Information security management systems -- Overview and
vocabulary

2.

Stallings, W. (2004). Fundamentos de Seguridad en Redes. Aplicaciones y estndares. (2 ed.).

3.

Shirey, R. (2000). Internet Security Glossary. IETF RFC 2828. Disponible en: http://www.ietf.org/rfc/rfc2828.txt

4. OWASP Top Ten Project.

https://www.owasp.org/index.php/OWASP_Top_Ten_Project
5.

F. Johnson and S. Jajodia, "Exploring steganography: Seeing the unseen", IEEE Computer Mag., vol. 31, no.2, pp. 2634, 1998.

6. Christine I. Podilchuk, Edward J. Delp, Digital Watermarking: Algorithms and Applications July 2001
7.

M.L. Miller, I.J. Cox, M. G. Linnartz, T. Kalker, "Areview of watermarking principles and practives". 1999

8. H.R. Madhusudan, Digital Watermarks, Authentication of Digital Data 1998

9. http://www.posgrados.esimecu.ipn.mx/index.php?option=com_content&view=category&layout=blog&id=26&Itemid=144
10. http://www.cesnav.edu.mx/estudios/d_seg_info.html
11. http://www.unitec.mx/seguridad-de-tecnologias-de-la-informacion/
12. http://siberiano.aragon.unam.mx/
13. https://extension.ccm.itesm.mx/educacionejecutiva/itesm/programas/detalle?p=2204&c=1&a=16

Datos de Contacto
Ing. David Octavio Muoz Ramrez
Instituto Politcnico Nacional
Seccin de Estudios de Posgrado e Investigacin
Maestra en Ingeniera en Seguridad y Tecnologas
de la Informacin
ESIME Unidad Culhuacan
dmunozr1302@alumno.ipn.mx