Fase 3 - Solución de problemas de transporte seguro de la información y

protección de secretos informáticos.

William Enrique Salcedo Rodríguez

Universidad Nacional Abierta y a Distancia UNAD

Escuela de Ciencias Básicas, Tecnología e Ingeniería – ECBTI
Ibagué, Colombia
2019
 Fase 3 - Solución de problemas de transporte seguro de la información y
protección de secretos informáticos.

William Enrique Salcedo Rodríguez

Trabajo de Criptografía presentado como requisito parcial para optar al título de:
Especialista en Seguridad Informática

Director:
Esp. Julio Alberto Vargas

Línea de Investigación:
Criptografía
Grupo de Investigación:
233011

Universidad Nacional Abierta y a Distancia

Escuela de Ciencias Básicas, Tecnología e Ingeniería – ECBTI
Ibagué, Colombia
2019

2
 CONTENIDO

CONTENIDO ..................................................................................................................... 3
1. INTRODUCCION ........................................................................................................ 4
2. OBJETIVOS ............................................................................................................... 5
2.1. Objetivo general .................................................................................................. 5
2.2. Objetivos específicos ........................................................................................... 5
3. METODOS CIFRADO DE CLAVE SIMETRICA .......................................................... 6
4. DIFERENCIA ENTRE LOS LOGARITMOS AES, 3DES y DES .................................. 7
5. METODOS DE CIFRADO DE CLAVE ASIMETRICA .................................................. 8
5.1. Criptografía de curva elíptica ............................................................................... 8
5.2. Algoritmo de intercambio de claves Diffie-Hellman .............................................. 9
6. JUSTIFICACION ...................................................................................................... 12
7. ARQUITECTURA DE CIFRADO............................................................................... 13
8. DESCRIPCION DEL PROCESO DE CIFRADO ....................................................... 14
9. POLÍTICAS DE SEGURIDAD ................................................................................... 16
10. CONCLUSIONES ................................................................................................. 18
11. REFERENCIAS..................................................................................................... 19

3
 1. INTRODUCCION

La seguridad de la informacion es uno los grandes retos que deben enfrentar los
administradores de servidores y plataformas web y las aplicaciones de red. Las
cuales tienen un crecimiento vertiginoso en la última década. De ahí la importancia
de aplicar métodos de encriptado que mejor se adapten a nuestras necesidades de
seguridad.

En el siguiente trabajo diseñaremos la mejor solución de transporte seguro de

informacion para la empresa BANGOV, tomando como punto de referencia tres
algoritmos de criptografía de clave simétrica como son: DES, AES y 3DES.

4
 2. OBJETIVOS

2.1. Objetivo general

Diseñar una estrategia de transporte de informacion segura en las empresas

BANGOV, basada en algoritmos de criptografía de clave simétrica

2.2. Objetivos específicos

Identificar las principales características de los algoritmos de criptografía de clave

simétrica: DES, AES, 3DES.

Diseñar la arquitectura de seguridad y encriptado en las empresas BANGOV, según

los algoritmos de criptografía de clave simétrica: DES, AES, 3DES.

Diseñar políticas y controles de seguridad en las empresas BANGOV. según los

algoritmos de criptografía de clave simétrica estudiados en esta fase.

5
 3. METODOS CIFRADO DE CLAVE SIMETRICA

3.1. DES (Data Encryption Standard)

DES es un algoritmo de cifrado escogido como un estándar FIPS en los Estados

Unidos en 1976, y cuyo uso se ha propagado ampliamente por todo el mundo.
Actualmente DES se considera un algoritmo inseguro, y no debe utilizarse.

DES es un algoritmo de cifrado por bloques, donde se toma un texto en claro de

longitud fija de bits y se transforma mediante una serie de operaciones en otro texto
cifrado de la misma longitud. El tamaño del bloque de DES es de 64 bits, y la longitud
de clave también es de 64 bits, aunque en realidad solo son 56 bits los que
pertenecen a la clave ya que los otros 8 bits son de comprobación de paridad, y se
descartan.1

3.2. 3DES (Algoritmo de cifrado de datos triple)

El algoritmo de cifrado de datos triple, denominado alternativamente Triple DES

(Estándar de cifrado de datos), 3DES, TDES, Triple DEA o TDEA, es un cifrado de
bloque de clave simétrico que aplica el cifrado de DES por triplicado mediante el
cifrado con la primera clave (k1), descifrar con la segunda clave (k2) y cifrar con la
tercera clave (k3). También existe una variante de dos teclas, donde k1 y k3 son
iguales. 2

3.3. AES (Advanced Encryption Standard)

Se trata de un algoritmo de clave simétrica y que cifra por bloques. El tamaño de

bloque es de 128 bits siempre mientras que el tamaño de la clave puede variar entre
los 128, 192 y 256 bits. Sin embargo, si aumenta el tamaño de la clave, también lo
hace el número de rondas necesarias para cifrar.

Tamaño de la clave Numero de rondas

128 10
192 12
256 14

1 (De Luz, 2010)

2 (Henry, 2018)

6
 AES es el cifrador de clave simétrica más importante, la NSA (National Security
Agency) permite encriptar informacion clasificada como TOP SECRET usando AES
con claves de 192 o 256 bits.

Para entender el funcionamiento de AES es necesario tener claro que AES cifra por
bloques de 128 bits, esto quiere decir que se cogerán los primeros 128 bits del texto
a cifrar, se cifraran y una vez cifrados se cifraran los siguientes 128 bits y ese
proceso se repetirá hasta que se cifre el mensaje completo.

4. DIFERENCIA ENTRE LOS LOGARITMOS AES, 3DES y DES3

FACTORES AES 3DES DES

LOGITUD DE LA 128,192 y 256 bits K1, K2 YK3 168 bits (k1yk2 56 BITS
CLAVE 168 bits (k1yk2 es mismo)
112bits

TIPO DE CIFRAS Simétrica bloques de Simétrica bloques de Simétrica bloques

Cifrado Cifrado de Cifrado

TAMAÑO DE 128, 192.0 256 Bits 64 BITS 64 BITS

BLOQUES
DESARROLLO 2000 1978 1977
RESISTENCIA Diferencial En Contra Vulnerable al diferencial Vulnerables a
CRIPTOANALISIS De De fuerza Bruta Atacante diferencial y lineal,
Fuerte, truncado Podría Ser Analizada de las tablas de
Diferencial e texto Plano con sustitución son
Interpolación Criptoanálisis diferencial débiles.
Lineal y Plazas de
Ataques
SEGURIDAD Considerado Seguro Sólo uno débil Que Es Resultado
Salir En Des insuficiente
CLAVE SOLO Sola (dividida en 3) SOLA

3 (Martinez de la torre, 2016)

7
 5. METODOS DE CIFRADO DE CLAVE ASIMETRICA

5.1. Criptografía de curva elíptica

Los sistemas de criptografía asimétrica o de clave pública utilizan dos claves

distintas: una de ellas puede ser pública, la otra es privada. La posesión de la clave
pública no proporciona suficiente información para determinar cuál es la clave
privada. Este tipo de sistemas se basa en la dificultad de encontrar la solución a
ciertos problemas matemáticos.

Uno de estos problemas es el llamado logaritmo discreto. Encontrar el valor de B

dada la ecuación 𝑨𝑩 = 𝑪 , cuando A y C son valores conocidos, puede ser un
problema de complejidad exponencial para ciertos grupos finitos de gran tamaño;
mientras el problema inverso, la exponenciación discreta puede ser evaluado
eficientemente usando por ejemplo exponenciación binaria4

Una curva elíptica es una curva plana definida por una ecuación de la forma:

𝒚𝟐 = 𝒙𝟑 + 𝒂𝒙 + 𝒃

En criptografía, se elige un punto base G específico y publicado para utilizar con la

curva E(q). Se escoge un número entero aleatorio k como clave privada, y
entonces el valor P = k * G se da a conocer como clave pública (nótese que la
supuesta dificultad del PLDCE implica que k es difícil de deducir a partir de P). Si
María y Pedro tienen las claves privadas kA y kB, y las claves públicas PA y PB,
entonces María podría calcular kA × PB = (kA × kB) × G; y Pedro puede obtener
el mismo valor dado que kB × PA = (kB × kA) × G.

Esto permite establecer un valor secreto que tanto María como Pedro pueden
calcular fácilmente, pero que es muy complicado de derivar para una tercera
persona. Además, Pedro no consigue averiguar nada nuevo sobre kA durante
esta transacción, de forma que la clave de María sigue siendo privada.

Los métodos utilizados en la práctica para cifrar mensajes basándose en este

valor secreto consisten en adaptaciones de antiguos criptosistemas de logaritmos

4 (Wikipedia, La enciclopedia libre., 2019)

8
discretos originalmente diseñados para ser usados en otros grupos. Entre ellos se
podrían incluir Diffie-Hellman, El Gamal y DSA.5

5.2. Algoritmo de intercambio de claves Diffie-Hellman

El algoritmo Diffie-Hellman no es un algoritmo de cifrado sino un algoritmo de intercambio

de claves.

Ejemplo:

Alice y Bob quieren comunicarse de una forma segura a través de un canal público,
imaginemos una pequeña red LAN de 3 computadores. En esta pequeña red, están los
equipos de Alice, Bob y Charlotte, que quiere saber a toda costa de que quieren hablar
Alice y Bob.

ALICE BOB

CHARLOTTE

Imaginemos que Alice y Bob van a usar un cifrado simétrico para generar su canal cifrado,
este va a ser RC4 128 bits. Alice y Bob tendrían que acordar una clave por esa red
insegura (Esta sería la clave 128 bits del RC4), Ahí es donde entra el algoritmo de
intercambio de claves de Diffie-Hellman.

Alice elige un número primo “p” que suele ser muy grande, pero utilizaremos el 31 y un
número aleatorio “k” menor que “p”, por ejemplo, el 12. Tras elegirlo se lo envía a Bob.6

5 (Wikipedia, La enciclopedia libre., 2019)

6 (elhacker.net, s.f.)

9
 P=31
K=12
ALICE BOB

CHARLOTTE

Alice elige un número cualquiera menor que “p” y lo guarda en secreto. A ese número lo
vamos a llamar x, luego a partir de x saca A de esta forma:

A = k ^ x (mod p)

Imaginemos que x = 6, por lo tanto:

A = 12^6 (mod 31) = 2

Tras calcularlo, Alice manda a Bob el número A, en este caso 2.

a=2

ALICE BOB

CHARLOTTE

Ahora le toca a Bob elegir un número secreto (y menor que “p”) y realizar la operación de
antes para conseguir B. Supongamos que y = 26
B = k ^ y (mod p)
B = 12 ^ 26 (mod 31) = 10
Tras calcularlo, Bob envía B a Alice.

10
 b=10

ALICE BOB

CHARLOTTE

Este es el momento en el que ambos calculan la clave que van a usar para el RC4 128
bits.

Por una parte, Alice:

Clave = B ^ x (mod 31) = 10 ^ 6 (mod 31) = 2

Por otra parte, Bob:

Clave = A ^ y (mod 31) = 2 ^ 26 (mod 31) = 2

Y así ambos han llegado a la misma clave. Se puede observar que como Charlotte no
conoce ni “x” ni “y”, no puede obtener la clave.

Si Charlotte intentará averiguar x o y, tendría que resolver la siguiente ecuación:

10 = 12 ^ x (mod 31)

Quizás con estos números no tardará mucho, pero normalmente se cogen números de
300 dígitos, por lo que se tardaría un tiempo enorme en encontrar solución a esta
ecuación.7

7 (elhacker.net, s.f.)

11
 6. JUSTIFICACION

Creo que el algoritmo de encriptado más adecuado para poder transportar de

manera segura la informacion desde la sede en Bogotá de la empresa BANGOV a
Francia donde se encuentra el directivo de la compañía, es el algoritmo de claves
simétricas AES.

El algoritmo AES al igual que sus predecesores 3DES y DES, realizan el cifrado por
bloques, su principal ventaja es que al manejar bloques de mayor tamaño (128,192
y 256 bits) y claves de mayor longitud (128,192 y 256 bits) presenta un mayor grado
de seguridad.

De igual manera el proceso de encriptado y desencriptado tiene una buena relación

en consumo de recursos de Hardware y desempeño en software, lo que facilita su
uso en dispositivos pequeños como teléfonos inteligentes.

Por esta razón propongo que se utilice el método de encriptado AES para el
transporte seguro de la informacion en la empresa BANGOV.

12
7. ARQUITECTURA DE CIFRADO

13
 8. DESCRIPCION DEL PROCESO DE CIFRADO

El proceso de cifrado, envio y descifrado de la informacion se realizara de la

siguiente manera.

El asistente financiero responsable de generar y salvaguardar los informes

financieros trimestrales de la organización BANGOV entrega la informacion
confidencial al asistente del area TIC, encargado de la seguridad infomatica en la
organización BANGOV, esta informacion es entregada de manera fisica a travez de
un disco externo reservado para Backups.

El asistente del area TIC, conserva una copia de este informe en los servidores de
copias de seguridad de la compañía, como medida de respaldo ante una eventual
perdida de informacion al ser enviada al ejecutivo de la compañía quien esta
ubicado en Francia

El asistente del area TIC, quien cuenta en su equipo con la aplicación de cifrado
AES Crypt, cifra el documento con la aplicación y lo protege con una contraseña
robusta que cuenta con los siguientes parametros:

 12 caracteres
 Alfanumerica
 Alterna entre mayusculas y minusculas
 Caracteres especiales como: *, #, %

La aplicación AES Crypt es compatible con la aplicación Crypt4All la cual trabaja

sobre plataforma Android. De esta manera el ejecutivo de la compañía en Francia
podra desencriptar el archivo desde su dispositivo movil en caso de ser necesario.

Una vez encriptado el documento y dependiendo su tamaño, se comprime con la

aplicación WinZip.

Teniendo en cuenta que las politicas de seguridad de la organización BANGOV no

permite el envio de este tipo de informacion confidencal a travez de correo
electronico ni tampoco a travez de una conexión VPN, es necesario hacer uso de
otro tipo de plataformas externas a la compañía para poder hacer el envio de la
informacion cifrada. De esta manera decidimos hacer uso de un servidor web de
transferencia de archivos seguros, como puede ser Wetransfer, el cual cuenta con
un gran prestigio en el mercado comercial para enviar de manera segura archivos

14
de hasta 2 Gb en su version gratuita. Seleccionamos la opcion de generar un link
de descarga el cual sera enviado a travez de un mensaje de texto al telefono del
directivo de BANGOV. De esta manera evitamos que el link pueda ser interceptado
por algun pirata informatico quienes generalmente usan otro tipo de plataformas
para rastrear a sus victimas como puede ser correo electronico.

Al momento de subir el archivo a la plataforma Wetranster y teniendo en cuenta que

contamos con la verision paga podemos configurar la caducidad del link el cual es
de 2 horas, tiempo suficiente para que el archivo sea descargado y eliminado de los
servidores de Wetransfer.

El directivo de BANGOV quien ya cuenta con el link de descarga en su telefono

tiene 2 opciones, descargar el archivo encriptado en su telefono y desencriptarlo
con la herramienta Crypt4All, o copiar el link a su Laptop y desencriptarlo con la
herramienta AES Crypt la cual debe de tener previamente instalada.

En ambos casos el ejecutivo debe de contar con la contraseña de cifrado para poder
desencriptar la informacion. Esta contraseña por cuestiones de seguridad no se
envia por ningun medio y solo es proporcionada directamente al ejecutivo a travez
de una llamada telefonica.

De esta manera hemos enviado de manera segura informacion confidencial de la

empresa BANGOV a un pais extranjero sin que pierda las propiedades de integridad
y confidencialidad de la informacion, teniendo en cuenta las restricciones y
requisitos planteados para este ejercicio.

15
 9. POLÍTICAS DE SEGURIDAD

9.1. Gestión de Roles y Privilegios:

El asistente financiero de la organización BANGOV es el responsable de generar
los informes financieros, su contenido y salvaguarda son de su responsabilidad,
debe de tener un registro físico y digital de estos informes. De igual manera es su
responsabilidad entregar de manera oportuna estos informes al ejecutivo Financiero
para evitar que se presenten este tipo de inconvenientes.

El asistente de TIC es el encargado de generar Backups mensuales de la

informacion critica de la compañía, entre estas los equipos del área asistente
Financiero y ejecutivo financiero.

9.2. Documentación de los procedimientos de la operación:

El asistente TIC debe de documentar los procedimientos de Backups sobre los
equipos críticos de la compañía, su periocidad, medios de almacenamiento y
responsables.

De igual manera debe de quedar documentado que tipo de informacion, ubicación

y tiempo de almacenamiento deben de tener los usuarios la informacion en sus
equipos de cómputo. Esto con el fin de facilitar el proceso de Backups.

9.3. Responsabilidad sobre activos:

El asistente de TIC es el responsable de velar por el buen funcionamiento de la
infraestructura tecnológica de la organización, de igual manera debe de contar con
auxiliares del área TIC que lo apoyen y que ante alguna eventualidad o ausencia
del responsable principal del área TIC, puedan solventar cualquier inconveniente
que genere retrasos o traumas sobre los procesos principales de la organización
BANGOV.

16
9.4. Gestión de soportes para medios extraíbles:
El área TIC, es responsable de gestionar por medio de un directorio activo y reglas
de un firewall, los permisos de acceso de plataformas y de recursos de la entidad;
por dicha razón, ellos deben gestionar cuales son los usuarios que requieren
permisos para trabajar con medios extraíbles como USB, DVD, entre otros y dentro
de las reglas deben considerar que los equipos con este alcance cuenten con
antivirus de licencias soportadas (pagos).

En este caso en particular la asistente financiera no contaba con los medios para
poder enviar de manera segura informacion al ejecutivo financiero a través de
plataformas externas a la organización como WeTransfer, por tal razón fue
necesario apoyarse con el asistente TIC para esta gestión.

Es necesario verificar nuevamente que permisos o accesos requiere el asistente

financiero para desempeñar sus funciones, los cuales deben validarse previamente
con su jefe inmediato.

9.5. Soporte físico e información en tránsito:

El área TIC es responsable de salvaguardar la informacion critica de la organización
de una manera segura, a través de métodos de cifrado robustos que garanticen la
disponibilidad, integridad y confidencialidad de los datos ante una eventual falla en
los sistemas informáticos, debe de salvaguardar esta informacion en diferentes
medios de almacenamiento como pueden ser, discos externos, tapes, o servidores
externos para Backups.

9.6. Política para la gestión de contraseñas:

El área TIC debe garantizar la seguridad en el acceso a la informacion,
implementando políticas de acceso seguro a través de contraseñas robustas, las
cuales deben de cumplir con los siguientes parámetros:

 La longitud de las contraseñas debe ser de mínimo de ocho caracteres

alfanuméricos (mayúsculas, minúsculas, números, símbolos), no deben
parecerse a su nombre de usuario ni a su contraseña anterior.

 La caducidad de las contraseñas debe ser de 45 días

 La caducidad de las contraseñas de Administrador de los diferentes sistemas

debe ser 60 días.

17
 10. CONCLUSIONES

Los métodos de cifrado han evolucionado a medida que la exigencia de seguridad

ha aumentado, algoritmos de cifrado como DES que hace algunos años eran lo
suficientemente robustos han quedado relegados y han sido reemplazados por
algoritmos de cifrado más robustos como AES.

El cifrado de la informacion es crucial para mantener la integridad y confidencialidad

de la informacion, actualmente se cuenta con un gran repertorio de herramientas
online, portables y otras mucho más robustas que facilitan el cifrado de informacion,
según la necesidades y nivel de seguridad exigido.

Es importante definir cuál es el algoritmo de cifrado que mejor se ajuste a nuestras

necesidades de seguridad, no toda informacion es de carácter confidencial y
privado, mientras que si existen casos en los cuales es de carácter casi que
obligatorio utilizar algoritmos de cifrado sobre informacion critica.

El cifrado de informacion no solo aplica para la informacion que sea transportada entre
una organización y cualquier entidad externa. También podemos utilizar cifrado sobre
informacion local que consideremos de carácter relevante para ser protegida por métodos
de cifrado.

18
 11. REFERENCIAS

De Luz, S. (04 de Noviembre de 2010). Criptografía : Algoritmos de cifrado de

clave simétrica. Obtenido de redeszone.net:
https://www.redeszone.net/2010/11/04/criptografia-algoritmos-de-cifrado-de-
clave-simetrica/

Henry, J. (03 de 08 de 2018). 3DES is Officially Being Retired. Obtenido de

cryptomathic: https://www.cryptomathic.com/news-events/blog/3des-is-
officially-being-retired

Hernández, Encinas, Luis;. (2016). La criptografía. Obtenido de ProQuest Ebook

Central:
http://ebookcentral.proquest.com/lib/unadsp/detail.action?docID=4536091.

Martinez de la torre, J. (03 de 10 de 2016). Cifrado de clave privada: AES.

Obtenido de Universitat Jaume I:
http://repositori.uji.es/xmlui/bitstream/handle/10234/164666/TFG_Marti%CC
%81nez%20De%20La%20Torre%2C%20Javier.pdf?sequence=1&isAllowe
d=y

Wikipedia, La enciclopedia libre. (29 de 07 de 2019). Criptografía de curva elíptica.

. Obtenido de Wikipedia, La enciclopedia libre.:
https://es.wikipedia.org/w/index.php?title=Criptograf%C3%ADa_de_curva_e
l%C3%ADptica&oldid=117828553

19