domingo, 7 de febrero de 2016

Seguridad de la Información y los certificados de firmas digitales

La seguridad de la información apoyada en los certificados digitales de firmas y mecanismos de autenticación

Gallo Oñate Antonio Rafael
San Juan del Cesar, La Guajira, Colombia


Palabras clave— Seguridad, Autenticación, Digital, Información, Riesgo, Huella Digital, Copia de Seguridad.

Abstract— This document detailing important aspects concerning information security in the support they receive digital certificates and authentication mechanisms. You can identify it by conventional operating systems with the use of software applications or reach or achieve implementation of exclusive control of the data used by a digital medium. Today most institutions use mechanisms for transactions and secure information exchange aimed at sustaining the pillars of information.

Keywords— Security, Authentication, Digital, Information, Risk, Fingerprint, Backup

I.  INTRODUCCIÓN

El precipitado aumento de las tecnologías de la información y las comunicaciones y el uso creciente del internet se ha visto afectado por las notables fallas y vulnerabilidades de los sistemas.

El manejo de múltiples plataformas virtuales en los diferentes procesos de la vida diaria aumentan la posibilidad de reducir los costos operacionales, mejorar la efectividad y eficacia al igual que la automatización de las transacciones junto con este aportando al intercambio electrónico de datos, pero como consecuencia se muestra uno de los principales problemas al cual se enfrenta que es la seguridad de la información.

Es necesario reconocer la importancia que en la actualidad aportan los certificados digitales y los mecanismos de autenticación los cuales son un gran avance de la criptografía que tras muchos años de estudio se han visto en la necesidad de realizar su implementación en las múltiples plataformas e infraestructuras tecnológicas que garantizan la transferencia segura de la información.


II.  LA SEGURIDAD DE LA INFORMACIÓN DENTRO DEL PROCESO DE COMUNICACIÓN


La seguridad de los datos es el auténtico talón de Aquiles de la sociedad [1]. El Hablar de Seguridad de la información es un aspecto muy complejo ya que su concepto es muy subjetivo y cuantificable. Para lograr esto es necesario contar con una adecuada organización, implementación de un buen sistema de seguridad que brinde la total confiabilidad en el proceso de comunicación con la finalidad de que ningún tercero viole la privacidad del mensaje. La implementación de medidas de seguridad en el acceso de los sistemas de información suele orientarse a la concesión o denegación del servicio cabe pues plantearse la aplicación de medidas que limiten de forma preventiva el consumo de recursos [2]. La información es un punto crítico de toda organización, consiste en estímulos que, en forma de signos desencadenan el comportamiento [3].
La seguridad de la información abarca diferencias conceptuales para ser prácticos y no nos referimos únicamente a seguridad informática o a la seguridad de las TIC (tecnología/s la información y comunicaciones), porque al hablar de seguridad la información abarca los diferentes soportes y estados en los que pueda estar (transmisión. almacenamiento, proceso...), aunque cada día está más bien en soporte digital y relacionada con sistemas información soportados por tecnología. Aunque no siempre utilicemos los términos con propiedad, solemos designar "información" al resultado de haber sometido los datos a algún proceso, automatizado o simplemente mental, que los haga especialmente útiles una vez transformados, para conocer una situación o incluso para poder tomar una decisión [4].  La mayoría de las personas han dado por sentado que la palabra información, no necesita definición alguna. han proporcionado, obtenido y procesado información y sentido su necesidad. Sin embargo, cuando empezamos a considerar el tema, surge que la información tan apreciadapor algunos significa poco o nada para otros [5].

III.  LA AUTENTICACIÓN

Un aspecto fundamental en la seguridad es la autenticación, por medio de este método se puede identificar la veracidad de una identidad para acceder a determinado recurso. Permite asegurar a quien recibe un mensaje que éste fue enviado por el remitente que figura en el mismo [6]. La autenticación se define como la característica de dar y reconocer la autenticidad de los activos (de tipo información) y/o la identidad de los actores y/o la autorización por parte de los autorizadores, así como la verificación de dichas tres cuestiones [7]. Hace referencia a la utilización de la firma digital con el fin de verificar la identidad del remitente del mensaje de datos [8]. Un ejemplo aplicado dentro de un dispositivo de red está el encaminador, demostrando a otro encaminador de internet que realmente su identidad es la que dice ser [9].
Dentro del proceso de autenticación nos encontramos con mecanismos.

Autenticación de usuario mediante PIN: Soporta la verificación del usuario el cual realiza comparación por medio de un código el cual es facilitado por una entidad externa. Esta autenticación permite iniciar sesión en tu cuenta rápidamente con solo introducir un pin de autenticación de 4 dígitos [10].

Autenticación de usuario mediante datos biométricos: Este tipo de autenticación es diseñado para el acceso a puntos controlados.

Autenticación de usuario mediante aplicación: El cual se basa en que la entidad externa demuestre el conocimiento del nombre y valor de un código secreto. Permite al usuario interactuar para realizar los procesos de firma de documentos en diferentes formatos [11].

Autenticación Mutua: la cual consiste en que cada una de las partes confié en la otra mediante la prestación mutua de certificados y su verificación. Este proceso también incluye el intercambio seguro de claves de sesión [12].

La autenticación podrá realizarse mediante contraseña, firma electrónica u otros sistemas avanzados tales como controles biométricos, en la medida que sean aplicables, prácticos y rentables, y aporten al menos al nivel de seguridad de las contraseñas [13]. Es necesario tener muy en cuenta que las medidas de seguridad no son las optimas cuando no son utilizadas con el debido cuidado y acordes con la necesidad. La identificación de las personas por medio de las mecanismos de autenticación permiten establecer ciertas restricciones en el uso de los recursos e impide de igual manera el acceso de otros a la información reservada [14]. Dicho proceso de autenticación depende de uno o más factores. La comprobación del sistema de autenticación implica el comprender como funciona este proceso y usar esta información para eludir el mecanismo de autenticación [15].

IV.  LOS CERTIFICADOS DIGITALES DE FIRMA

Los certificados digitales de firmas tienen la capacidad de identificar si un medio digital o individuo son legítimos, da la seguridad que la información no fue manipulada y que no han sido violados los principios de integridad al igual que la confidencialidad de su contenido. Las instituciones financieras, en la época de computación no escaparon al uso de este instrumento, e inevitablemente con ello el mal uso de las computadoras también triunfo [16]. Los certificados digitales se usan para autentificar a todos los protagonistas de la transacción comercial que se pretende efectuar en el mundo virtual, dotando al tráfico establecido de la misma confidencialidad y seguridad que ahora existe en las transacciones [17]. Las firmas digitales son el equivalente electrónico a las firmas escritas, y fueron desarrolladas para resolver el problema de autenticación e integridad [18].
Los certificados tienen varias utilidades que entre esas encontramos la autenticación de acceso, firma digital de un documento o transacciones electrónicas, cifrado de documentos, cifrado de sesiones, garantía de no repudio y garantías de fecha de operaciones entre otras [19].

V.   FIRMA DIGITAL EN WINDOWS


Por medio de Windows podemos realizar el procedimiento de firmar digitalmente garantizando de esta manera la confianza de dichos los documentos. Dentro de las funciones de la firma digital de manera generalizada encontramos que en la actualidad tiene gran importancia porque le da validez legal a un documento digital, porque se convierte en medio de prueba de cualquier contrato realizado por medios electrónicos [20]. El mecanismo de cifrado digital soporta los servicios de integridad de datos, autenticación del emisor y no repudio con prueba de origen [21]. Uno de los procesos que se pueden utilizar para realizar este tipo de acciones es mediante el software Gpg4win el cual cuenta con un proceso de instalación que se realiza por método asistido como se observa en la fig. 1. y tanto de manera sencilla como intuitiva.

fig. 1. Instalación de Gpg4win

Fuente: El autor
Para la generación de un certificado lo que inicialmente se debe realizar es ejecutar la aplicación Kleopatra fig. 2. que es dependiente del Gpg4win y es el administrador de certificados en donde se selecciona la creación de un nuevo certificado.

fig. 2. Creación de Certificado
Fuente: El autor

Para la creación de este nuevo certificado se utilizara la opción Key pairs "par de claves" en donde podremos tener la opción posterior de exportación e importación.
Seguidamente aparecerá el asistente de creación fig. 3.  donde se deben introducir los datos básicos que identificaran a nuestro certificado.

fig. 3. Asignación de datos básicos identificativos
Fuente: El autor

Podemos observar de la misma manera fig. 3. que existe la posibilidad de cambiar el tipo de algoritmo asimétrico al igual que su validez y la limitación de su utilización.
Para la creación del certificado se deben confirmar los detalles o parámetros establecidos fig. 4. para lo cual se finalizara por medio de Create key "crear certificado".

fig. 4. Verificación de parámetros asignados
Fuente: El autor


Nos solicitara la creación fig. 5. y confirmación de una contraseña de tipo simétrica la cual se encargara de proteger nuestro certificado.

fig. 5. Asignación de contraseña
Fuente: El autor

Al finalizar la asignación de dicha clave el proceso que realiza es el de generación del fingerprint fig. 6. la cual es la huella de nuestra clave Pública. Mediante este sistema de clave publica, una persona o sistema las pueden publicar de manera abierta, cualquiera que necesite enviar un mensaje cifrado solo tiene que utilizar la clave publica para cifrar dicho mensaje. Este mensaje cifrado sólo podrá ser descifrado mediante su clave privada correspondiente [22].

fig. 6. Generación de fingerprint
Fuente: El autor

Además del fingerprint Kleopatra nos permite realizar Backup de las claves, enviar los certificados por medio de correo electrónico y realizar cargue a servidor entre otras, todas estas acciones con la finalidad mantener una buena seguridad ante perdida o daños del equipo donde está instalado nuestro gestor de firmas digitales.
Finalizamos y podremos observar fig. 7. que nuestro certificado esta creado de manera exitosa con los identificadores que se le asignaron.

fig. 7. Certificado creado
Fuente: El autor

Al finalizar la creacion del certificado podemos realizar su exportacion de manera sencilla fig. 7, fig. 8. el cual se generara con una extensión de tipo .asc

 fig. 8. Exportando certificado
Fuente: El autor

El fichero CertificadoWindowsAGallo.asc ya ha sido creado exitosamente el cual se comprueba or medio del editor de textos  fig. 9. conteniendo una cabecera de tipo PGP PUBLIC KEY la cual indica que esta es una clave Pública.

fig. 9. Identificación del certificado en su contenido
Fuente: El autor

Tras realizar el envio de los ficheros generados por medio de Kleopatra podemos realizar la verificación de los directorios y encontre el archivo con la extencion .asc que es el que contiene nuestra clave pública realizando proceso de importacion fig. 10. para su futura utilización.

fig. 10. Importación de clave Pública Sistema Operativo Linux
Fuente: El autor

VI.  PORQUE PROTEGER, QUE PROTEGER  Y PORQUE CIFRAR

Las medidas de seguridad tanto en las organizaciones como en el hogar son aplicadas de acuerdo al presupuesto con el que se cuente ya que para logar la aplicación de todas las medidas de seguridad disponible se requieren los recursos suficientes y la identificación de activos los cuales hay que proteger así como las medidas que se le deben aplicar a cada uno.
Como es de saber el activo más grade de toda organización es la información ya que los recursos físicos como los computadores o lógicos como software se pueden volver a adquirir a diferencia de la información que en caso de pérdida, manipulación o robo nadie podrá devolverla a su estado inicial.
La mayoría de los usuarios de dispositivos electrónicos como las tablas, celulares y computadores entre otros... reconocen que cuentan con unas maquinas muy poderosas pero que a su vez son vulnerables como todo por lo cual hay que entender que el mundo de hoy es digital, nuestra vida es digital y por lo tanto es necesario proteger no solo el almacenamiento sino también el procesamiento y transmisión de nuestra información digital. Entre las medidas de prevención para garantizar el secreto de la información y las comunicaciones destacan por su importancia aquellas que permiten la ocultación, disimulación o cifrado de la información y son objeto de la Criptografía [23]. Es necesario realizar el proceso de cifrado con la finalidad de sacarle el mayor partido a la información, la información fluye de tal manera que muchas veces hay la necesidad de compartirla con otras personas lo cual le incrementa el riesgo a ser captada o acechada por una tercera persona, así como el diseño de sistemas que realicen dichas funciones [24].
Una de las mayores razones por las cuales utilizar el cifrado es para lograr el aumento de la seguridad de la información [25]. En nuestro presente y futuro de las comunicaciones y manejo de la información se hace necesario contar  con el cifrado más que nunca, una de las razones es porque siempre permanecerán vulnerables los medios de comunicación como correos, servidores y el trafico de la red entre otras pero gracias al aporte de la criptografía nuestra esperanza se basa en que aunque la comunicación sea capturada no sea legible. La criptografía de clave pública, junto con el certificado digital, resuelve la gestión de las claves de cifrado y descifrado de mensajes a través de internet [26].
La comunicación de información es valiosa y se encuentra en un clima de desconfianza suscitó la necesidad de protegerla e, históricamente, dio lugar al nacimiento de la cristología. Las reiteradas vulneraciones de los sistemas empleados, provocan la necesidad de incrementar los niveles criptográficos y aumento de la fortaleza de sus algoritmos [27].

VII.  REFERENCIAS


[1] J. M. Molina Mateos, Criptología y Derecho, Argentina: El Cid Editor, 2001.
[2] B. Ramos Álvarez y A. Ribagorda Garnacho, Avances en criptología y seguridad de la información, España: Ediciones Díaz de Santos, 2004.
[3] M. Ivnisky, Datos, información, comunicación, Argentina: El Cid Editor, 2009.
[4] E. del peso Navarro, M. del peso Navarro y M. Á. Ramos González, Nuevo reglamento de protección de datos de carácter personal: medidas de seguridad, España: Ediciones Díaz de Santos, 2010.
[5] R. I. Quevedo, M. Á. Serrano lópez y C. C. García y González, Teoría de la información y encriptamiento de datos, Mexico: Instituto Politécnico Nacional, 2010.
[6] M. Purser, Redes de telecomunicación y ordenadores, España: Ediciones Díaz de Santos, 2007.
[7] Grupo Abantos Formación y Consultoría , Gestión de Sistemas e Informática de la Administración del Estado, España: Grupo Abantos Formación y Consultoría , 2005.
[8] A. A. Reyes Krafft, Las firmas electrónicas y las entidades de certificación, Mexico: Universidad Panamericana, 2002.
[9] G. Díaz, F. Mur, E. Sancristóbal, M. Castro y J. Peire, Seguridad en las comunicaciones y en la información, España: UNED - Universidad Nacional de Educación a Distancia, 2004.
[10] Betfair, «http://es.learning.betfair.com/,» Betfair, 21 05 2013. [En línea]. Available: http://es.learning.betfair.com/app/answers/detail/a_id/12966. [Último acceso: 29 11 2013].
[11] Certicamara S.A, «Manual de configuración del Certificado Digital,»  2013. [En línea]. Available: www.certicamara.com. [Último acceso: 29 11 2013].
[12] R. De Miguel Garcia, Criptografía clásica y moderna, España: Septem Ediciones, 2009.
[13] E. Del Peso Navarro, M. Á. Ramos González y M. Del Peso Ruiz, El documento de seguridad: (análisis técnico y jurídico: modelo), España: Ediciones Díaz de Santos, 2004.
[14] F. J. Molina Robles y E. Polo Ortega, Instalación y mantenimiento de Servicios de internet, Mexico: Alfaomega Grupo Editor S.A, 2007.
[15] L. R. Hernández Diaz, Un modelo para la implementación de la seguridad de una aplicación Web con el uso de la programación orientada a aspectos, Cuba: D - Instituto Superior Politécnico José Antonio Echeverría. CUJAE, 2012.
[16] R. Ibarra Quevedo, M. Á. Serrano Lopez y C. C. García y González, Teoría de la información y encriptamiento de datos, Mexico: Instituto Politécnico Nacional, 2010.
[17] E. I. Fernández Gómez, La seguridad en los pagos: la clave para el despegue del B2C, España: Ediciones Deusto - Planeta de Agostini Profesional y Formación S.L., 2004.
[18] K. Ibrahim, Elementos básicos de comercio electrónico, Cuba: Editorial Universitaria , 2008.
[19] E. I. Fernández Gómez, La seguridad en los pagos: la clave para el despegue del B2C, España: Ediciones Deusto - Planeta de Agostini Profesional y Formación S.L., 2004.
[20] H. R. Peñaranda Quintero, «La firma electrónica digital en Venezuela,» Nómadas. Revista Crítica de Ciencias Sociales y Jurídicas, vol. 29, nº 01, p. 16, 2011.
[21] Grupo Abantos Formación y Consultoría, Cuerpo de gestión de sistemas e informática de la administración del Estado, España: Grupo Abantos Formación y Consultoría , 2005.
[22] J. A. Carballar Falcón, ADSL Guía del Usuario, Mexico: Alfaomega Grupo Editor S.A, 2003.
[23] j. M. Molina Mateos, Aspectos jurídicos de la protección criptológica de la información y las comunicaciones, España: Universidad Complutense de Madrid, 2005.
[24] N. Vila y I. Küster, Oportunidades y amenazas del’E-Mail Márketing, España: diciones Deusto - Planeta de Agostini Profesional y Formación S.L., 2004.
[25] J. Ballew, Mejore su desempeño con Windows® XP, Mexico: McGraw-Hill Interamericana, 2011.
[26] C. Carnero Silvo, Internet: Un reto para los medios de pago tradicionales, España: Ediciones Deusto - Planeta de Agostini Profesional y Formación S.L., 2004.
[27] j. M. Molina Mateos, Seguridad de la información. Criptología, Argentina: El Cid Editor, 2000.

VIII.  BIOGRAFÍA


Antonio Gallo nació en Santa Marta, Magdalena - Colombia, el 03 de abril de 1980. Se graduó como ingeniero de Sistemas (2013) y como Especialista en Seguridad Informática (2014) Actualmente estudiante de Maestria en Gestión de Tecnologías de la información y Doctorante en Ciencias Gerenciales.

Su experiencia profesional incluye el Instituto Nacional de Formación Técnico Profesional de San Juan del Cesar, La Guajira, en el proceso de Sistemas y Comunicación. Sus áreas de interés incluyen las redes computacionales, Seguridad Informática, Sistemas Linux e internet entre otras.