UNIDAD 4 SEGURIDAD EN

SERVICIOS DE INTERNET
 4.1 SEGURIDAD EN LA WEB

La Seguridad en Internet es un tema de gran importancia, va aumentando en la

medida en que el uso de las transacciones en la red se hace más accesible por lo que
se incrementa la necesidad de que la Seguridad en Internet sea reforzada.

El concepto de Seguridad en Internet va tomando matices más complejos y

especializados. Actualmente, incluye servicios y estrategias para resguardar el
intercambio de información y quienes la emiten o reciben. Y cada vez existen
instrumentos más precisos que proporcionan seguridad en toda la red protegiendo los
servidores con acceso a Internet y a redes privadas.
4.1.1 ASIGNACIÓN SEGURA DE NOMBRES DE DOMINIO
(DNS)
•

EL DOMAIN NAME SYSTEM (DNS)

ES UNA
BASE DE DATOS DISTRIBUIDA Y JERÁRQUICA CUYA PRINCIPAL FUNCIÓN ES ASIGNAR
NOMBRES DE DOMINIO A DIRECCIONES IP

•
LA PALABRA UBICADA MÁS A LA DERECHA SE LE LLAMA DOMINIO DE NIVEL SUPERIOR
(TLD CADA PALABRA A LA IZQUIERDA ESPECIFICA UNA SUBDIVISIÓN O SUBDOMINIO.
MÁS A LA IZQUIERDA DEL DOMINIO SUELE EXPRESAR EL NOMBRE ARBITRARIO DE UNA MÁQUINA
La ICANN (Internet Corporation for Assigned Names and Numbers) es una organización que
coordina ciertas funciones técnicas de Internet como la gestión de DNS y la acreditación de
empresas registradoras. Los dominios de nivel superior son aprobados o rechazados por la
ICANN. Los TLDs pueden ser genéricos y territoriales. Algunos ejemplos:

•
• •
• •
•
• •
•
•
•
• DOMINIO .COM
1985
VERISIGN

MUCHOS PAÍSES HAN CREADO DOMINIOS .COM DE SEGUNDO NIVEL

DE LA FORMA .COM.XX
), MÉXICO (.COM.MX),

• DOMINIO .BIZ

• DOMINIO .NAME 2001

.INFO, .BIZ, .MUSEUM, .AERO
Los TDLs territoriales especifican un país de acuerdo con los códigos ISO de cada país:

TLDs Territoriales:

.es - España. .tw - Taiwán. .fr - Francia. .tv - Tuvalu.

Existen otros TDLs que no son aceptados (rechazados) por la ICANN como:

.wine .nomad .socal .web (rechazado por ICANN recientemente) .home

Sin embargo, estos dominios no oficiales pueden estar funcionado perfectamente porque hay
organismos que mantienen estos nombres, creando una especie de Internet no oficial a la que
se puede acceder de diversas maneras...
FUNCIONAMIENTO
Para que podamos acceder a un recurso mediante un nombre es necesario que se realice un
proceso previo de conversión del nombre en una IP del servidor que contenga el recurso
(recordemos que los host se identifican por sus IPs publicas). Este proceso se denomina
"resolución de nombre".

Cuando escribimos una dirección en un navegador, lo primero que éste hace es resolver el
nombre de dominio para obtener la IP correspondiente. Una vez obtenida la IP se establece
una comunicación (TCP) con dicha IP.

Para obtener la IP correspondiente al nombre se utilizan distintos métodos. Si ninguno de los

métodos resuelve el nombre, entonces el navegador responderá con un error (por ejemplo:
página no encontrada).

Métodos:
· Local host name
· Fichero HOSTS
· Servidor DNS
· Servidor de nombres NetBIOS
Tipos de servidores DNS
Estos son los tipos de servidores de acuerdo a su función:

 Primarios o maestros: guardan los datos de un espacio de nombres en sus ficheros.

 Secundarios o esclavos: obtienen los datos de los servidores primarios a través de una
transferencia de zona.

 Locales o caché: funcionan con el mismo software, pero no contienen la base de datos
para la resolución de nombres. Cuando se les realiza una consulta, estos a su vez consultan
a los servidores DNS correspondientes, almacenando la respuesta en su base de datos para
agilizar la repetición de estas peticiones en el futuro continuo o libre.
4.1.2 CAPA DE SOCKETS SEGUROS. Secure Socket Layer (SSL)

El cifrado de capa de sockets seguros (SSL, Secure Sockets Layer) es el método más utilizado
para transmitir datos cifrados por Internet. Este funciona mediante el intercambio de llaves entre
el cliente y el servidor que sirven para descifrar la información que ha sido codificada por un
cifrado simétrico. De esta forma los datos encriptados pueden ser descriptados únicamente por
el poseedor de la llave correcta.

El protocolo SSL proporciona seguridad de capa de transporte: autenticidad y confidencialidad, para

una conexión segura entre un cliente y un servidor utilizando WebSphere Application Server.

El protocolo se ejecuta sobre TCP/IP y bajo los protocolos de aplicación, como por ejemplo el
protocolo de transferencia de hipertexto (HTTP), el Lightweight Directory Access Protocol (LDAP) y el
Internet Inter-ORB Protocol (IIOP), y proporciona confianza y privacidad a los datos de transporte.

Una de las características de seguridad ofrecidas por SSL es el cifrado de datos, que evita la
exposición de información sensible mientras los datos fluyen por la conexión. Otra característica de
seguridad es el registro de datos, que evita la modificación no autorizada de los datos mientras éstos
fluyen por la conexión. Una tercera característica es la autenticación del cliente y el servidor, que
garantiza que se comunique con la persona o la máquina adecuada. SSL puede ser eficaz a la hora
de asegurar un entorno empresarial.
 TRANSPORT LAYER SECURITY (TLS)

TLS

INTEGRAR EN UN ESQUEMA TIPO SSL AL SISTEMA OPERATIVO, A

NIVEL DE LA CAPA TCP/IP
PROTOCOLO S-HTTP

•
PERMITE
TANTO EL CIFRADO DE DOCUMENTOS COMO LA AUTENTICACIÓN
MEDIANTE FIRMA Y CERTIFICADOS DIGITALES, PERO SE DIFERENCIA DE
SSL EN QUE SE IMPLEMENTA A NIVEL DE APLICACIÓN.

SER .SHTML
PROTOCOLO SET

SET SE BASA EN EL USO CERTIFICADOS DIGITALES

UNA TRANSACCIÓN ON-LINE
BASADA EN EL USO DE TARJETAS DE PAGO Y EN EL USO DE SISTEMAS CRIPTOGRÁFICOS DE CLAVE
PÚBLICA PARA PROTEGER EL ENVÍO DE LOS DATOS

SIRVA DE BASE A LA EXPANSIÓN DEL COMERCIO

ELECTRÓNICO POR INTERNET.
4.1.3 HTTP SEGURO.

El Protocolo de Transferencia de HiperTexto (Hypertext Transfer Protocol) es un sencillo

protocolo cliente-servidor que articula los intercambios de información entre los clientes Web y
los servidores HTTP. La especificación completa del protocolo HTTP 1/0 está recogida en el RFC
1945. Fue propuesto por Tim Berners-Lee, atendiendo a las necesidades de un sistema global de
distribución de información como el World Wide Web.

Desde el punto de vista de las comunicaciones, está soportado sobre los servicios de conexión
TCP/IP, y funciona de la misma forma que el resto de los servicios comunes de los entornos UNIX:
un proceso servidor escucha en un puerto de comunicaciones TCP (por defecto, el 80), y espera
las solicitudes de conexión de los clientes Web. Una vez que se establece la conexión, el
protocolo TCP se encarga de mantener la comunicación y garantizar un intercambio de datos
libre de errores.

HTTP se basa en sencillas operaciones de solicitud/respuesta. Un cliente establece una

conexión con un servidor y envía un mensaje con los datos de la solicitud. El servidor responde
con un mensaje similar, que contiene el estado de la operación y su posible resultado. Todas las
operaciones pueden adjuntar un objeto o recurso sobre el que actúan; cada objeto Web
(documento HTML, fichero multimedia o aplicación CGI) es conocido por su URL.
ETAPAS DE UNA TRANSACCIÓN HTTP.
Cada vez que un cliente realiza una petición a un servidor, se ejecutan los siguientes pasos:

1. Un usuario accede a una URL, seleccionando un enlace de un documento HTML o

introduciéndola directamente en el campo Location del cliente Web.

2. El cliente Web decodifica la URL, separando sus diferentes partes. Así identifica el protocolo de
acceso, la dirección DNS o IP del servidor, el posible puerto opcional (el valor por defecto es 80)
y el objeto requerido del servidor.

3. Se abre una conexión TCP/IP con el servidor, llamando al puerto TCP correspondiente.

4. Se realiza la petición. Para ello, se envía el comando necesario (GET, POST, HEAD,…), la
dirección del objeto requerido (el contenido de la URL que sigue a la dirección del servidor), la
versión del protocolo HTTP empleada (casi siempre HTTP/1.0) y un conjunto variable de
información, que incluye datos sobre las capacidades del browser, datos opcionales para el
servidor,…

5. El servidor devuelve la respuesta al cliente. Consiste en un código de estado y el tipo de dato

MIME de la información de retorno, seguido de la propia información.

6. Se cierra la conexión TCP.

 4.1.4 SEGURIDAD EN CORREO ELECTRÓNICO
10 tips para tener un correo fuera de peligros ciberneticos

1. Sea precavido con la ejecución de archivos adjuntos que provengan de remitentes desconocidos o
poco confiables: A pesar de que es una táctica antigua, los ciberdelincuentes siguen utilizando el
correo electrónico para propagar malware debido al bajo costo que les insume y a que aún algunos
usuarios incautos suelen caer en este tipo de estrategias.

2. Evite hacer clic en cualquier enlace incrustado en un correo electrónico: Como ocurre con los
archivos adjuntos, resulta sencillo para un cibercriminal enviar un enlace malicioso accediendo al
cual la víctima infecta su equipo. En este tipo de engaños se suele suplantar la identidad de grandes
empresas, de modo de despertar confianza en el usuario.

3. Recuerde que su banco nunca le pedirá información sensible por e-mail: El phishing consiste en el
robo de información personal y/o financiera del usuario, a través de la falsificación de un ente de
confianza. Este tipo de engaños se valen del correo electrónico para enviar falsas alertas de
seguridad que inviten a los usuarios a pulsar sobre un enlace que les redirecciona a una web falsa del
banco suplantado. Si el usuario introduce sus datos de acceso, su cuenta bancaria y sus fondos
pueden verse comprometidos.
4. Habilite el filtro anti-spam en su casilla de correo: Cuando esta configuración se encuentra
deshabilitada, el usuario abre las puertas a recibir en su bandeja de entrada no sólo información
indeseada sino también e-mails que buscan convertirlo en víctima de estrategias de Ingeniería
Social.

5. Utilice distintas cuentas de correo de acuerdo a la sensibilidad de su información: Es

recomendable utilizar más de una cuenta de correo electrónico, contando en cada una de ellas
con una contraseña diferente. Por ejemplo, se puede disponer de una cuenta laboral, una personal
para familiares y amigos y, por último, una tercera cuenta para usos generales en dónde recibir
todos los correos de poca o nula importancia.

6. Implemente contraseñas seguras y únicas por cada servicio: De esta forma se evita que muchas
cuentas se vean afectadas si uno de ellas es comprometida. Recuerde que una contraseña segura
es igual o mayor a 10 caracteres y posee mayúsculas, minúsculas, números y caracteres especiales.

7. Evite, en la medida de lo posible, acceder al correo electrónico desde equipos públicos: Si se ve

obligado a hacerlo, asegúrese de que la conexión realizada es segura y recuerde cerrar la sesión al
finalizar.
8. Sea precavido en la utilización de redes Wi-Fi inseguras o públicas: La consulta de nuestro correo
electrónico desde las mismas puede comprometer nuestra seguridad ya que puede haber
alguien espiando las comunicaciones y capturando las contraseñas y la información de los
usuarios conectados a esa red. Para eso se recomienda utilizar siempre HTTPS y verificar que las
páginas accedidas estén certificadas digitalmente.

9. Utilizar el envío en Copia Oculta (CCO): En caso de enviar un mensaje a muchos contactos, o
reenviar uno que recibiste, asegúrate de utilizar copia oculta en lugar de agregar a todos los
remitentes en los campos de Para o CC (Con copia), a fin de proteger sus direcciones de e-mail.

10. Por último, sé el mayor guardián de tu privacidad y de tu información sensible: En la mayoría

de los casos es el propio usuario quién facilita al cibercriminal su información personal, de modo
que es fundamental mantenerse atentos y actualizados en materia de seguridad informática,
además de implementar buenas prácticas de seguridad.
4.1.5 MIME SEGURO
S/MIME (Secure MIME o Secure Multipurpose Mail Extension) es una especificación para
mensajeria electrónica segura que se empezó a definir con la finalidad de dotar de seguridad a
mensajes de correo electrónico con formato MIME. SMIME ofrece confidencialidad, integridad, no
repudio del origen y autenticación mediante la combinación de los algorítmos criptográficos
seguros con los estándares de correo más difundidos , obteniendo así una gran
interoperatividad.

S/MIME puede ser utilizado por los agentes de correo tradicionales para añadir seguridad pero
también puede ser usado en cualquier protocolo de transporte de datos con formato MIME, como
puede ser el HTTP.

La estructura de un mail S/MIME amplia la del MIME con la aparición de ciertos tipos. Su estructura es
básicamente la siguiente:

• Una cabecera: From: direccion@de.correo de quien lo envia

Subject: asunto de mail
To: direccion@de.correo a quien va dirigido
MIME-Version: 1.0
Content-Type: {text/plain} (tipo y subtipo de lo que se envia)
Content-Transfer-Encoding: {quoted-printable} (como ha sido codificada la
información)
• El cuerpo del mensaje: formado básicamente por lo que se desea transferir.

La opción multipart que suele ir a continuación de Content-Type nos da las siguientes opciones:

 multipart/mixed: indicamos que el mail se compone de una serie de entradas MIME y cada
una de ellas tendrá una estructura MIME con todos los campos necesarios. Para delimatar las
partes se ha de añadir boundary={puede ser lo que quieras}. Cada una de las partes
contenidas puede a su vez utilizar multipart/mixed y contener a varias partes más.

 multipart/signed: indicamos que el mail es un mail firmado. Se le añade:

 protocol= "application/x-pkcs7-signature" para indicar el protocolo utilizado en la firma y
 boundary= para delimitar campos.
 Para indicar que un tipo no está reconocido se indica mediante esta expresión x-{tipo}.

Para obtener un mail cifrado sólo hay que indicar Content-Type: application/x-pkcs7-mime.

Al tratarlo, el mailer, descodifica el cuerpo, elimina la linea en blanco que hay entre la cabecera y
el cuerpo, elimina los campos Content- y lo pega todo a la parte de arriba obteniendo así un mail
normal.
El objeto PKCS7 contiene la firma electrónica del mail pero además puede contener:

· data: datos

· signed data: datos firmados {{+ certificado}+ todo firmado}

· enveloped data: datos cifrados

· signed and enveloped data: no recomendable

S/MIME puede garantizar la confidencialidad del tráfico de datos utilizando direcciones de correo
anónimas, que deshacen la dirección original. Para evitar que una tercera persona pueda identificar
la identidad del emisor mediante la firma digital, calcula primeramente dicha firma, la añade al
mensaje original y lo cifra todo en bloque.

Los certificados utilizados por S/MIME se basan en la norma X.509.

4.1.6 PGP, GPG (PRETTY GOOD PRIVACY)
PGP es un criptosistema híbrido que combina técnicas de criptografia simetrica y criptografia
asimetrica.

Esta combinación permite aprovechar lo mejor de cada uno: El cifrado simetrico es más rápido
que el asimétrico o de clave pública, mientras que éste, a su vez, proporciona una solución al
problema de la distribución de claves en forma segura y garantiza el no repudio de los datos y la
no suplantación.

Cuando un usuario emplea PGP para cifrar un texto en claro, dicho texto es comprimido. La
compresión de los datos ahorra espacio en disco, tiempos de transmisión y, más importante aún,
fortalece la seguridad criptográfica ya que la mayoría de las técnicas de criptoanalisis buscan
patrones presentes en el texto claro para romper el cifrado. La compresión reduce esos patrones
en el texto claro, aumentando enormemente la resistencia al criptoanálisis.

Después de comprimir el texto, PGP crea una clave de sesión secreta que solo se empleará una
vez. Esta clave es un número aleatorio generado a partir de los movimientos del ratón y las teclas
que se pulsen durante unos segundos con el propósito específico de generar esta clave (el
programa nos pedirá que los realicemos cuando sea necesario), también puede combinarlo con
la clave anteriormente generada. Esta clave de sesión se usa con un algoritmo simétrico
(IDEA,TRIPLE DES) para cifrar el texto claro.
GPG - GNU Privacy Guard (GnuPG o GPG)
Es una herramienta de cifrado y firmas digitales desarrollado por Werner Koch, que viene a ser
un reemplazo del PGP (Pretty Good Privacy) pero con la principal diferencia que es software
libre licenciado bajo la GLP.

GPG utiliza el estándar del IETF denominado OPEN GPG.

GPG cifra los mensajes usando pares de claves individuales asimetricas generadas por los
usuarios. Las claves publicas pueden ser compartidas con otros usuarios de muchas maneras,
un ejemplo de ello es depositándolas en los servidores de claves . Siempre deben ser
compartidas cuidadosamente para prevenir falsas identidades por la corrupción de las claves
públicas.

También es posible añadir una firma digital criptográfica a un mensaje, de esta manera la
totalidad del mensaje y el remitente pueden ser verificados en caso de que se desconfíe de
una correspondencia en particular.

GnuPG también soporta algoritmos de cifrado simétricos, por ejemplo CASTS

 GPG no usa algoritmos de software que están restringidos por patentes, entre estos se
encuentra el algoritmo de cifrado IDEA que está presente en PGP casi desde sus inicios.

 En su lugar usa una serie de algoritmos no patentados como ELGAMAL, CAST5, TRIPLE DES
(3DES), AES y BLOWFISH.

 También es posible usar IDEA en GPG descargando un plugin extra, sin embargo este
puede requerir una licencia para usuarios de algunos países en donde esté patentada
IDEA.

 GPG es un software de cifrado híbrido que usa una combinación convencional de

criptografía de claves simetricas para la rapidez y criptografía de claves públicas para el
fácil compartimiento de claves seguras, típicamente usando recipientes de claves
públicas para cifrar una clave de sesión que es usada una vez.

 Este modo de operación es parte del estándar openPGP y ha sido parte del PGP desde su
primera versión