ps981

PHISHING El término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusión al intento de hacer que los usuarios "piquen en el anzuelo". A quien lo practica se le llama phisher. También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas). Historia del PHISHING Quienes comenzaron a hacer phishing en AOL durante los años 1990 solían obtener cuentas para usar los servicios de esa compañía a través de números de tarjetas de crédito válidos, generados utilizando algoritmos para tal efecto. Estas cuentas de acceso a AOL podían durar semanas e incluso meses. En 1995 AOL tomó medidas para prevenir este uso fraudulento de sus servicios, de modo que los crackers recurrieron al phishing para obtener cuentas legítimas en AOL. El phishing en AOL estaba estrechamente relacionado con la comunidad de warez que intercambiaba software falsificado. Un cracker se hacía pasar como un empleado de AOL y enviaba un mensaje instantáneo a una víctima potencial. Para poder engañar a la víctima de modo que diera información confidencial, el mensaje podía contener textos como "verificando cuenta" o "confirmando información de factura". Una vez el usuario enviaba su contraseña, el atacante podía tener acceso a la cuenta de la víctima y utilizarla para varios propósitos criminales, incluyendo el spam. Tanto el phishing como el warezing en AOL requerían generalmente el uso de programas escritos por crackers, como el AOLHell. En 1997 AOL reforzó su política respecto al phishing y los warez fueron terminantemente expulsados de los servidores de AOL. Durante ese tiempo el phishing era tan frecuente en AOL que decidieron añadir en su sistema de mensajería instantánea, una línea de texto que indicaba: "no one working at AOL will ask for your password or billing information" ("nadie que trabaje en AOL le pedirá a usted su contraseña o información de facturación". Simultáneamente AOL desarrolló un sistema que desactivaba de forma automática una cuenta involucrada en phishing, normalmente antes de que la víctima pudiera responder. Los phishers se trasladaron de forma temporal al sistema de mensajería instantáneo de AOL (AIM), debido a que no podían ser expulsados del servidor de AIM. El cierre obligado de la escena de warez en AOL causó que muchos phishers dejaran el servicio, y en consecuencia la práctica. Tecnicas de PHISHING La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com.ejemplo.com/. Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares). Por ejemplo, el enlace http://[email protected]/ puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet Explorer. Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL ilegítima. En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios. Otro problema con las URL es el relacionado con el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega ómicron, "ο". Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos, ningún ataque conocido de phishing lo ha utilizado. Quizas la manera mas antigua de hacer PHISIHNG consiste en recibir una llamada telefónica en la que el emisor suplanta a una entidad privada o pública para que usted le facilite datos privados. Un ejemplo claro es el producido estos días con la Agencia Tributaria, ésta advirtió de que algunas personas están llamando en su nombre a los contribuyentes para pedirles datos, como su cuenta corriente, que luego utilizan para hacerles cargos monetarios. Actualmente empresas ficticias intentan reclutar teletrabajadores por medio de e-mails, chats, irc y otros medios, ofreciéndoles no sólo trabajar desde casa sino también otros jugosos beneficios. Aquellas personas que aceptan la oferta se convierten automáticamente en víctimas que incurren en un grave delito sin saberlo: el blanqueo de dinero obtenido a través del acto fraudulento de phishing. Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual indicará, entre otros datos, su número de cuenta bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de estafas bancarias realizadas por el método de phishing. Una vez contratada, la víctima se convierte automáticamente en lo que se conoce vulgarmente como mulero. Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y la empresa le notifica del hecho. Una vez recibido este ingreso, la víctima se quedará un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por la seudo-empresa. Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) ésta se ve involucrada en un acto de estafa importante, pudiendo ser requerido por la justicia previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la víctima, obviando que este únicamente recibió una comisión. Fases * En la primera fase, la red de estafadores se nutre de usuarios de chat, foros o correos electrónicos, a través de mensajes de ofertas de empleo con una gran rentabilidad o disposición de dinero (hoax o scam). En el caso de que caigan en la trampa, los presuntos intermediarios de la estafa, deben rellenar determinados campos, tales como: Datos personales y número de cuenta bancaria. * Se comete el phishing, ya sea el envío global de millones de correos electrónicos bajo la apariencia de entidades bancarias, solicitando las claves de la cuenta bancaria (PHISHING) o con ataques específicos. * El tercer paso consiste en que los estafadores comienzan a retirar sumas importantes de dinero, las cuales son transmitidas a las cuentas de los intermediarios (muleros). * Los intermediarios realizan el traspaso a las cuentas de los estafadores, llevándose éstos las cantidades de dinero y aquéllos —los intermediarios— el porcentaje de la comisión. Anti-PHISHING Una estrategia para combatir el phishing adoptada por algunas empresas es la de entrenar a los empleados de modo que puedan reconocer posibles ataques phishing. Una nueva táctica de phishing donde se envían correos electrónicos de tipo phishing a una compañía determinada, conocido como spear phishing, ha motivado al entrenamiento de usuarios en varias localidades, incluyendo la Academia Militar de West Point en los Estados Unidos. Un usuario al que se le contacta mediante un mensaje electrónico y se le hace mención sobre la necesidad de "verificar" una cuenta electrónica puede o bien contactar con la compañía que supuestamente le envía el mensaje, o puede escribir la dirección web de un sitio web seguro en la barra de direcciones de su navegador para evitar usar el enlace que aparece en el mensaje sospechoso de phishing. Muchas compañías, incluyendo eBay y PayPal, siempre se dirigen a sus clientes por su nombre de usuario en los correos electrónicos, de manera que si un correo electrónico se dirige al usuario de una manera genérica como ("Querido miembro de eBay" es probable que se trate de un intento de phishing. Hay varios programas informáticos anti-phishing disponibles. La mayoría de estos programas trabajan identificando contenidos phishing en sitios web y correos electrónicos; algunos software anti-phishing pueden por ejemplo, integrarse con los navegadores web y clientes de correo electrónico como una barra de herramientas que muestra el dominio real del sitio visitado. Los filtros de spam también ayudan a proteger a los usuarios de los phishers, ya que reducen el número de correos electrónicos relacionados con el phishing recibidos por el usuario. Muchas organizaciones han introducido la característica denominada pregunta secreta, en la que se pregunta información que sólo debe ser conocida por el usuario y la organización. Las páginas de Internet también han añadido herramientas de verificación que permite a los usuarios ver imágenes secretas que los usuarios seleccionan por adelantado; sí estas imágenes no aparecen, entonces el sitio no es legítimo. Muchas compañías ofrecen a bancos y otras entidades que sufren de ataques de phishing, servicios de monitoreo continuos, analizando y utilizando medios legales para cerrar páginas con contenido phishing. El Anti-Phishing Working Group, industria y asociación que aplica la ley contra las prácticas de phishing, ha sugerido que las técnicas convencionales de phishing podrían ser obsoletas en un futuro a medida que la gente se oriente sobre los métodos de ingeniería social utilizadas por los phishers. Ellos suponen que en un futuro cercano, el pharming y otros usos de malware se van a convertir en herramientas más comunes para el robo de información. Evitar el spam es otra de las maneras que tiene el usuario comun no capacitado para evitar el robo de informacion, verificando la direccion de mail de la cual se o bien evitar ingresar a paginas que vengan adjuntas en el mail. Otra forma de saber si realmente se está ingresando al sitio original, es que la dirección web de la página deberá comenzar con https y no http, como es la costumbre. La S final, nos da un alto nivel de confianza que estamos navegando por una página web segura. Generalmente la pagina de lo bancos, al momento de ingresar a la pagina para ingresar el usuario y contraseña suele ser HTTPS: otra de las maneras de verificar eso es ver en la parte inferior derecha del navegador el candado, esto indica que los certificados de seguridad estan aplicados y lo datos que se ingresan en el mismo estan cifrados. El correo electrónico es muy fácil de interceptar y de que caiga en manos equivocadas, por lo que jamás se debe enviar contraseñas, números de tarjetas de crédito u otro tipo de información sensible a través de este medio. Video link: http://www.youtube.com/watch?v=zd6kXrl8g1s link: http://www.youtube.com/watch?v=OuVDhYn_yq8 link: http://www.youtube.com/watch?v=vsTAPQLbpoo link: http://www.youtube.com/watch?v=MaC11sNcFGQ Espero les sirva Otros Post sobre seguridad informatica: Seguridad Informatica...Para tener en cuenta Seguridad Informatica...Antivirus Seguridad Informatica...Biometria Seguridad Informatica...Criptografia Seguridad Informatica...Ingenieria Social Seguridad Informatica...Seguridad de la Informacion Seguridad Informatica...Teletrabajo

La Biblia Del Diablo (Codex Gigas) A través de la historia el Codex ha transpirado temor pero todos querían tenerlo ya que les inspira poder, quizá una fuerza diabólica la de Satanás, ya que en una página se encuentra un dibujo del Diablo, ninguna otra Biblia en el mundo tiene alguna imagen así y nadie sabe porque lo crearon. Se cree que se termino de escribir en 1230, desde entonces se ha cuestionado quien lo escribió y porque lo hizo, la caligrafía del libro es muy constante por lo que no se sabe si fue un solo escritor o varios. Pero lo que más asombra es la grandeza y la falta de tiempo que pudo haber tenido. Según cuenta la leyenda, el Codex Gigas fue escrito por un monje condenado quien vendió su alma al Diablo. La historia comienza en el 1230, en una celda fría un monje pide por su vida, está en un problema mortal ya que su pecado ha hecho polvo una regla monástica tan ofensiva que se mantuvo en secreto, estos monjes son conocidos como monjes negros ya que sus túnicas simbolizan la muerte terrenal, toman votos de pobreza, castidad y obediencia, así como sacrificios físicos, ayuno, depravación de suenio y autoflagelación, pero los débiles caen en avaricia, envidia, desviación sexual, los castigos son bastante extremos, en algún lugar del monasterio los mayores escogen si el monje pecador es asesinado o no, la noticia es desoladora ya que mañana a esta hora será asesinado lentamente, ladrillo por ladrillo será emparedado, ya condenado el monje teme por la tortura que sufrirá, por lo que este monje promete algo imposible, escribirá un libro enorme el más grande de su época en una sola noche, contendrá la Biblia y toda la sabiduría humana. Los mayores acuerdan darle una oportunidad, el libro debía ser entregado al amanecer o tendrá que encarar la muerte segura, entonces empieza a escribir página por pagina hasta que se le entume la mano, para la medianoche la muerte parecía inevitable ya que todavía faltaba mucho por hacer, ya en desesperación le pide ayuda al arcángel caído, a Satanás. Según cuenta la leyenda este atendió a sus suplicas, así como los evangelios fueron guiados por Dios, el Codex Gigas fue guiado por la mano del Diablo. Según los investigadores este libro está escrito con tinta de animales totalmente, y por la consistencia de la grafía se apoya la teoría de que fue realizada por un solo autor, pero como un solo autor pudo realizar todo eso? Se cree que en la época que se escribió el mundo pasaba por muchos problemas, guerras, desastres naturales, enfermedades mortales, entre otras cosas, por lo que la gente cayó en el terror. Todo comienza en un monasterio condenado y una epidemia letal. Para finales del siglo XIII, el Codex ya era muy famoso y el monasterio que lo tenía decide venderlo a otra orden monástica para solventar los gastos, tener aquel libro representaba honor, poder, prestigio y el libro pasa de los conocidos monjes negros a la secta de los monjes blancos, por lo que realiza su viaja a la Republica Checa, justo a las afueras de Praga, los monjes blancos ponen el Codex en un lugar de honor cerca de un cementerio, pero no por mucho tiempo ya que la tragedia ataca y el monasterio queda en bancarrota por lo que se ordena que se devuelva la Biblia del Diablo a su lugar original, poco después pega la peste bubónica, y más de 30,000 personas resultan muertas, ahora esa Iglesia es conocida como la fosa común más grande y se tienen esculturas de huesos humanos. La imagen del Diablo, en su libro, se muestra como un personaje mitad hombre mitad mounstro con cuernos, con una espeluznante lengua roja bífida y con los brazos levantados, vestido de nardino a menudo utilizado como un símbolo de poder supremo, aquellos que creyeron en la leyenda creen que este se llevo al autor del libro, Satanás se encuentra en una celda como si no estuviera suelto en el infierno si no encerrado en una cámara de maldad. Otro de los detalles que se mencionan en el Código del Diablo, es que pudo haberlo escrito un aficionado y no un escritor de jerarquía ya que aunque el dibujo y el manuscrito son impresionantes no son como los que nos ofrecen los grandes escribanos de la época, por lo que se sigue aumentando la creencia que fue obra de un solo autor, pero quién era y porque puso al gigantesco demonio en el, que mensaje pretendía mandar. Austria, 1565, el príncipe heredero a la corona Rodolfo II espera el horóscopo real del maestro adivino Miguel de Nostradama, mejor conocido como Nostradamus, este famoso profeta francés elabora un complicado diagrama en el cual predice la muerte del padre de Rodolfo y el ascenso de este a la corona para convertirse en el emperador del sacro imperio romano, desde que Rodolfo recibe estas predicciones empieza su obsesión por lo oculto. Rodolfo codicia el Codex, el monarca se congracia con los dueños del libro, les concede favores, la estrategia funciona y Rodolfo adquiere el Codex Gigas y contrata a personas para que lo traduzcan pasajes y se envuelve en las páginas del libro incluyendo el dibujo del Diablo. Rodolfo se queda con el Codex, un gran logro para un gran líder, aunque su suerte estaba por empeorar, propenso a la melancolía desde pequeño, el emperador se vuelve antisocial, errático y paranoico, se mantiene encerrado en su castillo, el reino de Rodolfo se convierte en un desastre por lo que pierde a sus seguidores, su propia familia lo despoja del poder, después muere solo, sin ningún heredero para vengar su nombre. El reino de Rodolfo cae en manos enemigas, los ejercito suecos roban el Codex Gigas y lo llevan a Suecia, donde aún se encuentra. Regresando de nuevo al Código del Diablo, un investigador recrea cuanto se abría tardado un solo autor en acabar el libro, primero calcula el tiempo por línea, por pagina y por el libro, se hace la letra exactamente igual a la del famoso manuscrito. El tiempo que tardo el experto en letras actual fue de 20 segundos por línea sin parar, una columna en 30 minutos, una página en 1 hora y concluir el manuscrito sin para hubiese tomado cerca de 5 años, pero los monjes tenían muchas tareas y pocas horas para escribir, además de que al tiempo hay que agregar los detalles en las letras y el dibujo del Diablo, por lo que se cree que mínimo debió tomar unos 20 años en escribirse. Por lo que debió ser una labor muy complicada. Otra de las cosas que se piensan acerca del Código del Diablo es que pudo hacerlo un monje que se intentaba hacer un exorcismo, ya que en la pagina 290 existen los conjuros para curar enfermedades peligrosas, para llevar a cabo el ritual el sacerdote se para enfrente del enfermo y hace la señal de la cruz, se atreve a llamar al mal por su nombre, llamando a los demonios por sus nombres en latín, ordena a la maldad para que salga de un cuerpo de Dios. 1648, Praga. Después de la caída del reino de Rodolfo, las tropas invasoras de Suecia se llevan un valioso botín y con él, el Código del Diablo, los soldados guardan el libro en un gigantesco baúl y emprenden el regreso a Estocolmo, seguramente muchos no tenían idea del libro que viajaba con ellos y otros han escuchado que es una Biblia siniestra tocada por el mal y escrita por el mismo Diablo. Los oficiales planean regalar el Codex Gigas a su peculiar monarca ya que era mujer, aunque hizo el juramente como hombre ya que era el deseo de su padre. Los soldados esperan que su reina este satisfecha con la entrega de la Biblia del Diablo y ella ordena que se guarde en la biblioteca de su castillo y es incluido como el primero de los más valiosos manuscritos confiscados, pero no lo tendría por mucho tiempo ya que pasarían cosas raras. En menos de una década Cristina abdica el trono, hace una conversión radical al catolicismo y espera exiliarse en Roma, la mujer rey empaca sus más valiosas posesiones incluyendo sagradas biblias, pero misteriosamente no se lleva el Codex Gigas. Menos de 50 años después el Codex pasa a destruirse por un catastrófico incendio en el castillo. 1697, Estocolmo, viernes 7 de mayo. Dentro del castillo Real yace el cuerpo del fallecido Carlos XI, sin ninguna advertencia el castillo explota en llamas, la familia Real huye por el pánico y los trabajadores del castillo regresan para salvar lo que puedan, según la leyenda un sirviente toma el gigantesco Codex Gigas, corre y llega a la venta y avienta el libro al piso, y el libro sobrevive. Este es otro capítulo explosivo del libro. Los investigadores creen que es por eso que las letras tienen como sombras que parecen quemaduras e igualmente dejaría la evidencia de tinta derretida, cubierta quemada, extremos rotos, pero las evidencias no se encuentran claramente en ningún lado, pero peculiarmente la sombra sigue un patrón regular ya que solo aparecen en las páginas cerca de Satanás. Se cree que para su elaboración se usaron más de 160 pieles de becerro en lugar de pergaminos, una forma de reciclaje medieval. Después de muchas investigaciones, pruebas de caligrafía y grafología se llego a la conclusión de que el Codex Gigas, desde sus formulas de tinta idéntica, hasta su caligrafía autodidacta, hasta su controversial contenido, el Código del Diablo fue escrita por tan solo un autor. Es un logro casi inhumano, es un libro tan grande que una persona por sí sola no podría cargarlo, perfecto de principio a fin, el más grande manuscrito medieval jamás hecho completado atreves de décadas y no existe más trabajos del mismo escritor. Quien fue capaz de tal hazaña? Y que lo motivo a realizarla? Las investigaciones todavía siguen y seguirán mientras no se encuentre al autor de este maravilloso libro. Los investigadores encontraron algo en el Codex que cambio toda la leyenda del monje que hiba a ser emparedado, la palabra inclusus se ha interpretado como emparedado vivo, pero su verdadero significado es más cercano a recluso, un monje solitario en una celda sola, intentándose alejar del mundo, para el monje que concluyo con la Biblia del Diablo pudo haber sido una búsqueda de la iluminación, la oportunidad de crear un trabajo de una vida, un escritor motivado por honor y no por el mal, y ahí quizá este su redención final opuesta al mal, un dibujo del Reino del Cielo. Plasmo el enfrentamiento del bien y el mal en todas las páginas del Codex Gigas. Quizá nunca se conozca el autor y la razón, pero el monje pudo pedir que lo encierren, realizar el trabajo de una vida, incluir a la Biblia y todo conocimiento humano y glorificar a su monasterio por toda la eternidad. El Código del Diablo. link: http://www.videos-star.com/watch.php?video=j8qdntiZ5AQ link: http://www.videos-star.com/watch.php?video=OVyAPlmEieA&feature=related link: http://www.videos-star.com/watch.php?video=zvahJH9eGD0&feature=related link: http://www.videos-star.com/watch.php?video=P635SI5qaNQ&feature=related link: http://www.videos-star.com/watch.php?video=AuwV6b-5Sjo&feature=related link: http://www.videos-star.com/watch.php?video=ROY0itgrKqs link: http://www.videos-star.com/watch.php?video=qvha8YuaQfw&feature=related link: http://www.videos-star.com/watch.php?video=AoyTfAY9YgY&feature=related Espero les guste... Fuente

¿Que es la Criptografía? La criptografía (del griego κρύπτω krypto, «oculto», y γράφω graphos, «escribir», literalmente «escritura oculta») es el arte o ciencia de cifrar y descifrar información mediante técnicas especiales y se emplea frecuentemente para permitir un intercambio de mensajes que sólo puedan ser leídos por personas a las que van dirigidos y que poseen los medios para descifrarlos. La palabra criptografía es un término genérico que describe todas las técnicas que permiten cifrar mensajes o hacerlos ininteligibles sin recurrir a una acción específica. El verbo asociado es cifrar. La criptografía se basa en la aritmética: En el caso de un texto, consiste en transformar las letras que conforman el mensaje en una serie de números (en forma de bits ya que los equipos informáticos usan el sistema binario) y luego realizar cálculos con estos números para: * modificarlos y hacerlos incomprensibles. El resultado de esta modificación (el mensaje cifrado) se llama texto cifrado, en contraste con el mensaje inicial, llamado texto simple. * asegurarse de que el receptor pueda descifrarlos. El cifrado normalmente se realiza mediante una clave de cifrado y el descifrado requiere una clave de descifrado. Las claves generalmente se dividen en dos tipos: * Las claves simétricas: son las claves que se usan tanto para el cifrado como para el descifrado. En este caso hablamos de cifrado simétrico o cifrado con clave secreta. * Las claves asimétricas: son las claves que se usan en el caso del cifrado asimétrico (también llamado cifrado con clave pública). En este caso, se usa una clave para el cifrado y otra para el descifrado. Conceptos En la jerga de la criptografía, la información original que debe protegerse se denomina texto en claro o texto plano. El cifrado es el proceso de convertir el texto plano en un galimatías ilegible, denominado texto cifrado o criptograma. Por lo general, la aplicación concreta del algoritmo de cifrado (también llamado cifra) se basa en la existencia de una clave: información secreta que adapta el algoritmo de cifrado para cada uso distinto. Cifra es una antigua palabra arábiga para designar el número cero; en la Antigüedad, cuando Europa empezaba a cambiar del sistema de numeración romano al arábigo, se desconocía el cero, por lo que este resultaba misterioso, de ahí probablemente que cifrado signifique misterioso. Las dos técnicas más sencillas de cifrado, en la criptografía clásica, son la sustitución (que supone el cambio de significado de los elementos básicos del mensaje -las letras, los dígitos o los símbolos-) y la trasposición (que supone una reordenación de los mismos); la gran mayoría de las cifras clásicas son combinaciones de estas dos operaciones básicas. El descifrado es el proceso inverso que recupera el texto plano a partir del criptograma y la clave. El protocolo criptográfico especifica los detalles de cómo se utilizan los algoritmos y las claves (y otras operaciones primitivas) para conseguir el efecto deseado. El conjunto de protocolos, algoritmos de cifrado, procesos de gestión de claves y actuaciones de los usuarios, es lo que constituyen en conjunto un criptosistema, que es con lo que el usuario final trabaja e interactúa. Existen dos grandes grupos de cifras: los algoritmos que usan una única clave tanto en el proceso de cifrado como en el de descifrado, y los que emplean una clave para cifrar mensajes y una clave distinta para descifrarlos. Los primeros se denominan cifras simétricas, de clave simétrica o de clave privada, y son la base de los algoritmos de cifrado clásico. Los segundos se denominan cifras asimétricas, de clave asimétrica o de clave pública y forman el núcleo de las técnicas de cifrado modernas. En el lenguaje cotidiano, la palabra código se usa de forma indistinta con cifra. En la jerga de la criptografía, sin embargo, el término tiene un uso técnico especializado: los códigos son un método de criptografía clásica que consiste en sustituir unidades textuales más o menos largas o complejas, habitualmente palabras o frases, para ocultar el mensaje; por ejemplo, "cielo azul" podría significar «atacar al amanecer». Por el contrario, las cifras clásicas normalmente sustituyen o reordenan los elementos básicos del mensaje -letras, dígitos o símbolos-; en el ejemplo anterior, «rcnm arcteeaal aaa» sería un criptograma obtenido por transposición. Cuando se usa una técnica de códigos, la información secreta suele recopilarse en un libro de códigos. Con frecuencia los procesos de cifrado y descifrado se encuentran en la literatura como encriptado y desencriptado, aunque ambos son neologismos erróneos —anglicismos de los términos ingleses encrypt y decrypt— todavía sin reconocimiento académico. Hay quien hace distinción entre cifrado/descifrado y encriptado/desencriptado según estén hablando de criptografía simétrica o asimétrica, pero la realidad es que la mayoría de los expertos hispanohablantes prefieren evitar ambos neologismos hasta el punto de que el uso de los mismos llega incluso a discernir a los aficionados y novatos en la materia de aquellos que han adquirido más experiencia y profundidad en la misma. Ideológicamente cifrar equivale a escribir y descifrar a leer lo escrito. Historia de la criptografía La historia de la criptografía es larga y abunda en anécdotas. Ya las primeras civilizaciones desarrollaron técnicas para enviar mensajes durante las campañas militares, de forma que si el mensajero era interceptado la información que portaba no corriera el peligro de caer en manos del enemigo. Posiblemente, el primer criptosistema que se conoce fuera documentado por el historiador griego Polibio: un sistema de sustitución basado en la posición de las letras en una tabla. También los romanos utilizaron sistemas de sustitución, siendo el método actualmente conocido como César, porque supuestamente Julio César lo empleó en sus campañas, uno de los más conocidos en la literatura (según algunos autores, en realidad Julio César no usaba este sistema de sustitución, pero la atribución tiene tanto arraigo que el nombre de este método de sustitución ha quedado para los anales de la historia). Otro de los métodos criptográficos utilizados por los griegos fue la escítala espartana, un método de trasposición basado en un cilindro que servía como clave en el que se enrollaba el mensaje para poder cifrar y descifrar. En 1465 el italiano Leon Battista Alberti inventó un nuevo sistema de sustitución polialfabética que supuso un gran avance de la época. Otro de los criptógrafos más importantes del siglo XVI fue el francés Blaise de Vigenère que escribió un importante tratado sobre "la escritura secreta" y que diseñó una cifra que ha llegado a nuestros días asociada a su nombre. A Selenus se le debe la obra criptográfica "Cryptomenytices et Cryptographiae" (Luneburgo, 1624). Durante los siglos XVII, XVIII y XIX, el interés de los monarcas por la criptografía fue notable. Las tropas de Felipe II emplearon durante mucho tiempo una cifra con un alfabeto de más de 500 símbolos que los matemáticos del rey consideraban inexpugnable. Cuando el matemático francés François Viète consiguió criptoanalizar aquel sistema para el rey de Francia, a la sazón Enrique IV, el conocimiento mostrado por el rey francés impulsó una queja de la corte española ante del papa Pío V acusando a Enrique IV de utilizar magia negra para vencer a sus ejércitos. Por su parte, la reina María Estuardo, reina de Escocia, fue ejecutada por su prima Isabel I de Inglaterra al descubrirse un complot de aquella tras un criptoanálisis exitoso por parte de los matemáticos de Isabel. Durante la Primera Guerra Mundial, los Alemanes usaron el cifrado ADFGVX. Este método de cifrado es similar a la del tablero de ajedrez Polibio. Consistía en una matriz de 6 x 6 utilizado para sustituir cualquier letra del alfabeto y los números 0 a 9 con un par de letras que consiste de A, D, F, G, V, o X. Desde el siglo XIX y hasta la Segunda Guerra Mundial, las figuras más importantes fueron la del holandés Auguste Kerckhoffs y la del prusiano Friedrich Kasiski. Pero es en el siglo XX cuando la historia de la criptografía vuelve a experimentar importantes avances. En especial durante las dos contiendas bélicas que marcaron al siglo: la Gran Guerra y la Segunda Guerra Mundial. A partir del siglo XX, la criptografía usa una nueva herramienta que permitirá conseguir mejores y más seguras cifras: las máquinas de cálculo. La más conocida de las máquinas de cifrado posiblemente sea la máquina alemana Enigma: una máquina de rotores que automatizaba considerablemente los cálculos que era necesario realizar para las operaciones de cifrado y descifrado de mensajes. Para vencer al ingenio alemán, fue necesario el concurso de los mejores matemáticos de la época y un gran esfuerzo computacional. No en vano, los mayores avances tanto en el campo de la criptografía como en el del criptoanálisis no empezaron hasta entonces. Tras la conclusión de la Segunda Guerra Mundial, la criptografía tiene un desarrollo teórico importante, siendo Claude Shannon y sus investigaciones sobre teoría de la información esenciales hitos en dicho desarrollo. Además, los avances en computación automática suponen tanto una amenaza para los sistemas existentes como una oportunidad para el desarrollo de nuevos sistemas. A mediados de los años 70, el Departamento de Normas y Estándares norteamericano publica el primer diseño lógico de un cifrador que estaría llamado a ser el principal sistema criptográfico de finales de siglo: el Estándar de Cifrado de Datos o DES. En esas mismas fechas ya se empezaba a gestar lo que sería la, hasta ahora, última revolución de la criptografía teórica y práctica: los sistemas asimétricos. Estos sistemas supusieron un salto cualitativo importante, ya que permitieron introducir la criptografía en otros campos que hoy día son esenciales, como el de la firma digital. Criptoanálisis El criptoanálisis consiste en la reconstrucción de un mensaje cifrado en texto simple utilizando métodos matemáticos. Por lo tanto, todos los criptosistemas deben ser resistentes a los métodos de criptoanálisis. Cuando un método de criptoanálisis permite descifrar un mensaje cifrado mediante el uso de un criptosistema, decimos que el algoritmo de cifrado ha sido decodificado. Generalmente, se distinguen cuatro métodos de criptoanálisis: * Un ataque de sólo texto cifrado consiste en encontrar la clave de descifrado utilizando uno o más textos cifrados; * Un ataque de texto simple conocido consiste en encontrar la clave de descifrado utilizando uno o más textos cifrados conociendo el texto correspondiente; * Un ataque de texto simple elegido consiste en encontrar la clave de descifrado utilizando uno o más textos cifrados. El atacante tiene la opción de generarlos a partir de textos simples; * Un ataque de texto cifrado elegido consiste en encontrar la clave de descifrado utilizando uno o más textos cifrados. El atacante tiene la opción de generarlos a partir de los textos simples. Cifrado de sustitución El cifrado de sustitución consiste en reemplazar una o más entidades (generalmente letras) de un mensaje por una o más entidades diferentes. Existen varios tipos de criptosistemas de sustitución: * La sustitución monoalfabética consiste en reemplazar cada una de las letras del mensaje por otra letra del alfabeto. * La sustitución polialfabética consiste en utilizar una serie de cifrados monoalfabéticos que son re-utilizados periódicamente. * La sustitución homófona hace posible que cada una de las letras del mensaje del texto plano se corresponda con un posible grupo de caracteres distintos. * La sustitución poligráfica consiste en reemplazar un grupo de caracteres en un mensaje por otro grupo de caracteres. Cifrado César Este código de cifrado es uno de los más antiguos ya que su uso se remonta a Julio César. El principio de cifrado se basa en la adición de un valor constante a todos los caracteres de un mensaje o, más precisamente, a su código ASCII (American National Standard Code for Information Interchange). Simplemente es cuestión de cambiar todos los valores de los caracteres de un mensaje en un determinado número de posiciones, es decir, sustituir cada letra por otra. Por ejemplo, si cambiamos 3 posiciones del mensaje "COMMENT CA MARCHE", obtenemos "FRPPHQW FD PDUFKH". Cuando el valor agregado da una letra posterior a la Z, podemos simplemente continuar empezando por la A. Esto quiere decir que aplicamos un módulo 26. Como, por ejemplo, en la película 2001: Una Odisea al Espacio, el ordenador se llamó HAL. Este nombre es, en realidad, IBM desplazado una posición hacia abajo... El carácter que corresponde al valor que se agregó al mensaje para el cifrado se llama clave. En este caso, la clave es C, ya que es la 3º letra del alfabeto. Este sistema de cifrado es, en verdad, muy fácil de implementar, pero su desventaja es que es totalmente asimétrico, ya que se puede realizar una simple sustracción para averiguar el mensaje inicial. Un método básico consiste en una simple sustracción de los números 1 al 26 para ver si alguno de estos números nos da un mensaje inteligible. Un método más avanzado consiste en calcular la frecuencia con que aparecen las letras en el mensaje codificado (esto se hace cada vez más fácil a medida que el mensaje es más largo). Según el idioma, algunas letras se usan con más frecuencia que otras (por ejemplo, en francés la letra E es la más usada). De esta forma, la letra que aparece con más frecuencia en el texto cifrado mediante el cifrado César será la que corresponda a la letra E y una simple sustracción nos da la clave de cifrado. Cifrado ROT13 El caso específico del cifrado César donde la clave de cifrado es N (la 13º letra del alfabeto) se denomina ROT13 (se eligió el número 13, la mitad de 26, para que sea posible cifrar y descifrar fácilmente mensajes textuales). Cifrado por transposición El método de cifrado por transposición consiste en reordenar datos para cifrarlos a fin de hacerlos ininteligibles. Esto puede significar, por ejemplo, reordenar los datos geométricamente para hacerlos visualmente inutilizables. La técnica asiria La técnica de cifrado asiria es, probablemente, la principal prueba de que los métodos de cifrado se utilizaron en Grecia ya en el año 600 AC para encubrir mensajes escritos en tiras de papiro. La técnica consiste en: * enrollar una tira de papiro alrededor de un cilindro llamado scytale, * escribir el texto a lo largo en la tira enrollada (el mensaje del ejemplo mostrado arriba es "comment ça marche". Cuando se desenrolla el mensaje, ya no tiene significado ("cecaeonar mt c m mh". Para descifrar el mensaje, el destinatario simplemente necesita tener un cilindro del mismo diámetro. En realidad, un descifrador de códigos (¡había descifradores de códigos en esa época!) puede descifrar el mensaje probando cilindros con una serie de diámetros diferentes; esto significa que el método puede romperse estadísticamente (los caracteres sólo tienen que tomarse uno a uno, separados por una determinada distancia). El cifrado simétrico El cifrado simétrico (también conocido como cifrado de clave privada o cifrado de clave secreta) consiste en utilizar la misma clave para el cifrado y el descifrado. El cifrado consiste en aplicar una operación (un algoritmo) a los datos que se desea cifrar utilizando la clave privada para hacerlos ininteligibles. El algoritmo más simple (como un OR exclusivo) puede lograr que un sistema prácticamente a prueba de falsificaciones (asumiendo que la seguridad absoluta no existe). Sin embargo, en la década de 1940, Claude Shannon demostró que, para tener una seguridad completa, los sistemas de clave privada debían usar claves que tengan, como mínimo, la misma longitud del mensaje cifrado. Además, el cifrado simétrico requiere que se utilice un canal seguro para intercambiar la clave y esto disminuye en gran medida la utilidad de este tipo de sistema de cifrado. La mayor desventaja de un criptosistema de clave secreta está relacionada con el intercambio de las claves. El cifrado simétrico se basa en el intercambio de un secreto (las claves). Surge, entonces, el problema de la distribución de las claves: Así, un usuario que desea comunicarse con varias personas y garantizar al mismo tiempo niveles separados de confidencialidad debe utilizar el mismo número de claves privadas que de personas. Para un grupo de una cantidad N de personas que utilizan un criptosistema de clave secreta, es necesario distribuir una cantidad de claves equivalente a N* (N-1) / 2. En la década de 1920, Gilbert Vernam y Joseph Mauborgne desarrollaron el método One-Time Pad (también conocido como "One-Time Password", abreviado OTP), basado en una clave privada generada de forma aleatoria que se usa sólo una vez y después se destruye. En el mismo período, el Kremlin y la Casa Blanca se comunicaban a través del famoso teléfono rojo, un teléfono que cifraba las llamadas mediante una clave privada que utilizaba el método one-time pad. La clave privada se intercambiaba a través de valija diplomática (que cumplía el papel de canal seguro). Cifrado asimétrico El principio del cifrado asimétrico apareció en 1976, con la publicación de un trabajo sobre criptografía por Whitfield Diffie y Martin Hellman. Clave Pública En un criptosistema asimétrico (o criptosistema de clave pública), las claves se dan en pares: * Una clave pública para el cifrado; * Una clave secreta para el descifrado. En un sistema de cifrado con clave pública, los usuarios eligen una clave aleatoria que sólo ellos conocen (ésta es la clave privada). A partir de esta clave, automáticamente se deduce un algoritmo (la clave pública). Los usuarios intercambian esta clave pública mediante un canal no seguro. Cuando un usuario desea enviar un mensaje a otro usuario, sólo debe cifrar el mensaje que desea enviar utilizando la clave pública del receptor (que puede encontrar, por ejemplo, en un servidor de claves como un directorio LDAP). El receptor podrá descifrar el mensaje con su clave privada (que sólo él conoce). Este sistema se basa en una función que es fácil de calcular en una dirección (llamada función trapdoor de único sentido) y que, matemáticamente, resulta muy difícil de invertir sin la clave privada (llamada trapdoor). Para ilustrarlo con un ejemplo, sería como si un usuario creara de forma aleatoria una pequeña llave metálica (la clave privada) y luego produjera una gran cantidad de candados (claves públicas) que guarda en un casillero al que puede acceder cualquiera (el casillero sería el canal no seguro). Para enviarle un documento, cada usuario puede usar un candado (abierto), cerrar con este candado una carpeta que contiene el documento y enviar la carpeta al dueño de la clave pública (el dueño del candado). Sólo el dueño podrá abrir la carpeta con su clave privada. Claves de sesión Los algoritmos asimétricos (que tienen un papel en los criptosistemas de clave pública) permiten eliminar problemas relacionados con las claves compartidas mediante un canal seguro. Sin embargo, son mucho menos eficaces (en términos de cálculos de tiempo) que los algoritmos simétricos. El concepto de clave de sesión es un término medio entre el cifrado simétrico y asimétrico que permite combinar las dos técnicas. El principio de las claves de sesión es simple: consiste en generar de forma aleatoria una clave de sesión de un tamaño razonable y en cifrar esta clave utilizando un algoritmo de cifrado de clave pública (más precisamente, utilizando la clave pública del receptor). El receptor puede descifrar la clave de sesión con su clave privada. El emisor y el receptor comparten una clave que sólo ellos conocen. Por lo tanto, pueden enviar otros documentos cifrados utilizando un algoritmo de cifrado simétrico. Firmas electrónicas El paradigma de firmas electrónicas (también llamadas firmas digitales) es un proceso que hace posible garantizar la autenticidad del remitente (función de autenticación) y verificar la integridad del mensaje recibido. Las firmas electrónicas también poseen una función de reconocimiento de autoría, es decir, hacen posible garantizar que el remitente ha enviado verdaderamente el mensaje (en otras palabras, se aseguran de que el remitente no pueda negar el envío del mensaje). Una función hash es una función que hace posible obtener un hash (también llamado resumen de mensaje) de un texto, es decir, obtener una serie moderadamente corta de caracteres que representan el texto al cual se le aplica esta función hash. La función hash debe ser tal que asocie únicamente un hash con un texto plano (esto significa que la mínima modificación del documento causará una modificación en el hash). Además, debe ser una función unidireccional para que el mensaje original no pueda ser recuperado a partir del hash. Si existiera una forma de encontrar el texto plano desde el hash, se diría que la función hash presenta una "trapdoor". Como tal, puede decirse que la función hash representa la huella digital de un documento. Los algoritmos hash más utilizados son: * MD5 (MD que significa Message Digest; en castellano, Resumen de mensaje). Desarrollado por Rivest en 1991, el MD5 crea, a partir de un texto cuyo tamaño es elegido al azar, una huella digital de 128 bits procesándola en bloques de 512 bits. Es común observar documentos descargados de Internet que vienen acompañados por archivos MD5: este es el hash del documento que hace posible verificar su integridad. * SHA (Secure Hash Algorithm; en castellano, Algoritmo Hash Seguro) crea una huella digital que tiene 160 bits de longitud. SHA-1 es una versión mejorada de SHA que data de 1994. Produce una huella digital de 160 bits a partir de un mensaje que tiene una longitud máxima de 264 bits y los procesa en bloques de 512 bits. Al enviar un mensaje junto con su hash, es posible garantizar la integridad de dicho mensaje, es decir, el destinatario puede estar seguro de que el mensaje no ha sido alterado (intencionalmente o por casualidad) durante la comunicación. Cuando un destinatario recibe un mensaje simplemente debe calcular el hash del mensaje recibido y compararlo con el hash que acompaña el documento. Si se falsificara el mensaje (o el hash) durante la comunicación, las dos huellas digitales no coincidirían. Al utilizar una función hash se puede verificar que la huella digital corresponde al mensaje recibido, pero nada puede probar que el mensaje haya sido enviado por la persona que afirma ser el remitente. Para garantizar la autenticidad del mensaje, el remitente simplemente debe cifrar (generalmente decimos firmar) el hash utilizando su clave privada (el hash firmado se denomina sello) y enviar el sello al destinatario. Al recibir el mensaje, el destinatario deberá descifrar el sello con la clave pública del remitente, luego deberá comparar el hash obtenido con la función hash del hash recibido como adjunto. Esta función de creación de sellos se llama sellado. Infraestructura de llave publica (PKI) Los algoritmos de cifrado asimétrico se basan en el hecho de compartir una clave pública entre varios usuarios. En general, esta clave se comparte mediante un directorio electrónico (normalmente en formato LDAP) o una página Web. Sin embargo, este modo de compartir presenta un inconveniente importante: nada garantiza que la clave pertenezca al usuario con el que está asociada. Un hacker puede corromper la clave pública que aparece en el directorio remplazándola con su propia clave pública. Por consiguiente, el hacker podrá descifrar todos los mensajes que se cifraron con la clave que aparece en el directorio. Un certificado permite asociar una clave pública con una entidad (una persona, un equipo, etc.) para garantizar su validez. El certificado es como la tarjeta de identificación de la clave, emitido por una entidad llamada Entidad de certificación (que frecuentemente se abrevia CA, por sus siglas en inglés). La entidad de certificación es responsable de emitir los certificados, de asignarles una fecha de validez (similar a la fecha de vencimiento de los alimentos) y de revocarlos antes de esta fecha en caso de que la clave (o su dueño) estén en una situación de riesgo. Los certificados son pequeños archivos divididos en dos partes: * La parte que contiene la información * La parte que contiene la firma de la entidad de certificación La estructura de los certificados está estandarizada por la norma X.509 (más precisamente, X.509v3) de la UIT, que define la información que contiene el certificado: * La versión de X.509 a la que corresponde el certificado; * El número de serie del certificado; * El algoritmo de cifrado utilizado para firmar el certificado; * El nombre (DN, siglas en inglés de Nombre distinguido) de la entidad de certificación que lo emite; * La fecha en que entra en vigencia el certificado; * La fecha en que finaliza el período de validez del certificado; * El objeto de utilización de la clave pública; * La clave pública del dueño del certificado; * La firma del emisor del certificado (huella digital). La entidad de certificación firma toda esta información (información + clave pública del solicitante) y esto implica que una función hash crea una huella digital de esta información y luego este hash se cifra con la clave privada de la entidad de certificación. La clave pública se distribuye antes de tiempo para permitir a los usuarios verificar la firma de la entidad de certificación con su clave pública. Cuando un usuario desea comunicarse con otra persona, sólo debe obtener el certificado del receptor. Este certificado contiene el nombre y la clave pública del receptor, y está firmado por la entidad de certificación. De esta forma, es posible verificar la validez del mensaje aplicando, primero, la función hash a la información contenida en el certificado y, segundo, descifrando la firma de la entidad de certificación con la clave pública y comparando los dos resultados. Existen varios tipos de certificados en función del nivel de sus firmas: * Los certificados firmados localmente son certificados de uso interno. Al estar firmados por un servidor local, este tipo de certificados permiten garantizar los intercambios confidenciales dentro de una organización, por ejemplo, en una Intranet. Los certificados firmados localmente se pueden usar para autentificar usuarios. * Los certificados firmados por una entidad de certificación son necesarios cuando se deben garantizar los intercambios seguros con usuarios anónimos, por ejemplo, en el caso de una página Web segura al que pueda acceder el público general. La certificación de un tercero garantiza al usuario que el certificado pertenece efectivamente a la organización a la que dice pertenecer. Los certificados se utilizan principalmente en tres tipos de contextos: * Los certificados de cliente se almacenan en la estación de trabajo del usuario o se integran en un contenedor como una tarjeta inteligente, y permiten identificar a un usuario y asociarlo con ciertos privilegios. En la mayoría de los casos, se transmiten al servidor cuando se establece una conexión y el servidor asigna privilegios en función de la acreditación del usuario. Son verdaderas tarjetas de identificación digitales que usan un par de claves asimétricas con una longitud de 512 a 1024 bits. * Los certificados de servidor se instalan en un servidor Web y permiten conectar un servicio con el dueño del servicio. En el caso de página Web, permiten garantizar que la dirección URL de la página Web y especialmente su dominio pertenecen realmente a tal o cual compañía. También permiten proteger las transacciones con usuarios gracias al protocolo SSL. * Los certificados VPN (Red privada virtual) se instalan en un equipo de red y permiten cifrar flujos de comunicación de extremo a extremo entre dos puntos (por ejemplo, dos ubicaciones de una compañía). En este tipo de escenario, los usuarios tienen un certificado cliente, los servidores aplican un certificado de servidor y el equipo de comunicación usa un certificado especial (generalmente un certificado IPSec). Criptosistema El cifrado Vigenère El cifrado Vigenère es un criptosistema simétrico, es decir, utiliza la misma clave para cifrar y descifrar. El cifrado Vigenère se asemeja mucho al cifrado César, pero su diferencia radica en que el primero utiliza una clave más larga para contrarrestar el gran problema del cifrado César: el hecho de que una letra sólo puede ser codificada de una forma. Para resolver este problema, se utiliza una palabra clave en lugar de un carácter simple. En primer lugar, se asocia cada letra con una cifra correspondiente. Se codifica un texto con una palabra agregándole las letras de otra palabra (llamada palabra clave) a cada una de sus letras. La palabra clave se agrega indefinidamente en el texto que se va a cifrar, y después se agrega el código ASCII de cada una de las letras de la palabra clave al texto a cifrar. A pesar de que el cifrado es mucho más sólido que el cifrado César, aún así se puede romper fácilmente. Cuando los mensajes son mucho más largos que la palabra clave, es posible identificar el largo de la palabra clave y utilizar, para cada secuencia de palabra clave, el método de cálculo de la frecuencia con que aparecen las letras, y determinar así los caracteres de las palabras claves una a la vez... Para evitar este problema, una solución es utilizar una palabra clave que sea casi igual de larga como el texto, a fin de evitar un estudio estadístico del texto cifrado. Este tipo de sistema de cifrado se llama sistema one-time pad. El problema con este tipo de método es la longitud de la clave de cifrado (cuanto más largo el texto a ser cifrado, más grande deberá ser la clave) que impide su memorización e implica una probabilidad mucho más grande de errores en la clave (un solo error hace que el texto sea imposible de leer...). Enigma La necesidad de cifrar mensajes apareció a finales de la Primera Guerra Mundial (a pesar de que las técnicas de cifrado ya existían desde hacía tiempo). Fue un alemán que vivía en su país, el Dr. Arthur Scherbius, quien desarrolló la máquina Enigma con propósitos comerciales. Esta máquina se utilizaba para codificar mensajes. El modelo A de esta máquina (Chieffrienmaschinen Aktien Gesellschaft) se presentó en 1923, en el Congreso Postal Universal de Berna. Su precio (equivalente a 30.000 euros actuales) la convirtió en un gran fracaso. No obstante, la idea se popularizó y la Marina alemana retomó el proyecto en 1925 y lo confió a la división de cifrado del ministerio de guerra alemán (Chiffrierstelle). El modelo Enigma M3 fue adoptado por el Wehrmacht (ejército alemán) el 12 de enero de 1937. Lo que los alemanes desconocían era que los servicios de contraespionaje franceses y polacos también habían estado trabajando, desde 1930, en un método de cifrado. Para esto, el Capitán Gustave Bertrand del servicio de inteligencia francés reclutó a Hans Thilo Schmidt (nombre clave, Asche), que trabajaba en ese momento para la Chiffrierstelle Cuando la Segunda Guerra Mundial estalló en 1939, los aliados podían descifrar los mensajes Enigma. El 24 de julio de 1939, Marian Rejewski (jefe de Biuro Szyfrow - el servicio europeo más avanzado involucrado en la investigación de cifrado alemán) le dio un modelo de la máquina Enigma al Captain Bertrand y a Alistair Denniston, director de la división de cifrado de los servicios de Inteligencia británicos. Luego la guerra se intensificó y los esfuerzos de cifrado se aceleraron. Entre los meses de octubre y junio de 1939, más de 4.000 mensajes cifrados fueron decodificados por los servicios secretos franceses. Estas operaciones recibieron un nombre: Operación Z para los franceses y Ultra Secret para los ingleses. En agosto de 1939, los ingleses establecieron sus servicios de Código y Cifrado en Bletchley Park (a 80 km de Londres). No menos de 12.000 científicos y matemáticos ingleses, franceses y polacos trabajaron para romper el código Enigma. Entre estos matemáticos se encontraba uno de los inventores de la informática moderna: Alan Turing, quien supervisó todo este trabajo. Los mensajes descifrados en Bletchley Park se dirigían a Hut 6 a través de una cinta transportadora y luego se enviaban a la estación para ser traducidos (2 estaciones por equipo): * una para mensajes no urgentes * otra para mensajes urgentes Los mensajes traducidos procedentes de la Luftwaffe eran enviados a 3A, y aquellos mensajes que eran del ejército se enviaban a 3M (A=aviación; M=ejército). Las letras Z eran asignadas de acuerdo a la importancia de los mensajes (1Z: no muy importante; 5Z: extremadamente urgente). Luego, se resumía la información y se enviaba en 3 copias: * una al SIS (Servicio de Inteligencia) de Broadway, * otra al correspondiente departamento del ministerio o a Whitehall, * y otra al general competente en este área. Los ingleses fueron capaces de descifrar los mensajes codificados. Sin embargo, como la Kriegsmarine (Marina de guerra alemana) utilizaba diferentes métodos de cifrado, el descifrado resultaba difícil. Un importante logro fue la captura de un Enigma y sus instrucciones en el U-110. Esto hizo posible averiguar las posiciones de los submarinos y reducir el tonelaje hundido por los U-Boots (Puede ver la película U-571). El 1º de febrero de 1942 entró en marcha Enigma M4. Durante once meses los aliados fueron incapaces de descifrar sus mensajes. A lo largo de la guerra, se descifraron más de 18.000 mensajes al día, algo que hizo posible que las fuerzas aliadas descubrieran la intenciones de Alemania. El último mensaje cifrado se encontró en Noruega, firmado por el Almirante Doenitz: "El Führer está muerto. La batalla continúa". Los alemanes nunca sospecharon que su preciada máquina podía ser descifrada. El funcionamiento de Enigma era particularmente simple: estaba equipado con un teclado para introducir mensajes, diferentes rotores para codificar y un panel de luz para los resultados. Cuando se presionaba una tecla en el tablero, se encendía una letra en el panel de luz. Había 3 ruedas para codificar, llamadas "Scrambler-Rotors" (Rotores de codificación), que conectaban el tablero con el panel de luz. Por ejemplo, con un sólo rotor, cuando se presionaB, la corriente pasa a través del rotor y A se enciende en el panel de luz. Para hacer la máquina más compleja, cuando se presiona una tecla, el rotor giraba una tuerca. Después de presionar, se obtenía lo siguiente. Dependiendo del modelo (M3 o M4), el sistema tenía 3 o 4 rotores. El segundo y tercer rotor se movían hacia una tuerca cuando el anterior había realizado una vuelta completa. Había también un panel de enchufes que mezclaba las letras del alfabeto y un proyector que enviaba la corriente hacia los rotores antes de mostrar los resultados. En total, para las máquinas Enigma equipadas con 26 letras, había 17.576 combinaciones (26 x 26 x 26) relacionadas con la orientación de cada uno de los tres rotores, 6 combinaciones posibles relacionadas con el orden de los rotores y, por lo tanto, 100.391.791.500 conexiones posibles cuando se conectaban los seis pares de letras del panel de enchufes: 12 letras elegidas sobre 26 (¡26! /(12!14!)), luego 6 letras sobre 12 (¡12!/¡6!), y ya que algunos pares eran iguales (A/D y D/A), era necesario dividir por 26. Por lo tanto, las máquinas Enigma podían cifrar un texto utilizando ¡1016 (17.576 * 6 * 100.391.791.500) combinaciones diferentes! Los polacos inventaron "la Bomba" (posteriormente llamada "Ultra", que hizo posible descubrir los esquemas de Enigma. Sin embargo, durante el año 1938, era el propio operario quien establecía el esquema. Los polacos encontraron la solución a este problema: cada mensaje contenía palabras repetidas o bien palabras recurrentes (llamadas "hembras". Esto fue una pista en lo que se refiere al eje (esquema básico del rotor). Para descubrir el esquema, los polacos pasaron a utilizar la "tabla" (hojas perforadas que correspondían a todas las permutaciones del eje). Estas hojas se apilaban una sobre otra de acuerdo a la posición de las "hembras". El próximo paso era encontrar el punto en el que una serie de agujeros se alineaban desde arriba hacia abajo en la pila. DES El 15 de mayo de 1973, el NBS (National Bureau of Standars, en castellano: Agencia Nacional de Normalización) hoy en día denominada NIST (National Institute of Standars and Technology, en castellano: Instituto Nacional de Normalización y Tecnología), hizo un llamamiento en el Federal Register (el equivalente en España del Boletín Oficial del Estado) para la creación de un algoritmo de cifrado que cumpliera con los siguientes requisitos: * ofrecer un alto nivel de seguridad relacionado con una pequeña clave utilizada para cifrado y descifrado * ser comprensible * no depender de la confidencialidad del algoritmo * ser adaptable y económico * ser eficaz y exportable A finales de 1974, IBM propuso "Lucifer", que gracias a la NSA (National Standard Agency, en castellano: Agencia Nacional de Seguridad) fue modificado el 23 de noviembre de 1976, convirtiéndose en DES (Data Encryption Standard, en castellano: Estándar de Cifrado de Datos). El DES fue aprobado por el NBS en 1978. El DES fue estandarizado por el ANSI (American National Standard Institute, en castellano: Instituto Nacional Americano de Normalización) bajo el nombre de ANSI X3.92, mas conocido como DEA (Data Encrytion Algorithm, en castellano: Algoritmo de Cifrado de Datos). Se trata de un sistema de cifrado simétrico por bloques de 64 bits, de los que 8 bits (un byte) se utilizan como control de paridad (para la verificación de la integridad de la clave). Cada uno de los bits de la clave de paridad (1 cada 8 bits) se utiliza para controlar uno de los bytes de la clave por paridad impar, es decir, que cada uno de los bits de paridad se ajusta para que tenga un número impar de "1" dentro del byte al que pertenece. Por lo tanto, la clave tiene una longitud "útil" de 56 bits, es decir, realmente sólo se utilizan 56 bits en el algoritmo. El algoritmo se encarga de realizar combinaciones, sustituciones y permutaciones entre el texto a cifrar y la clave, asegurándose al mismo tiempo de que las operaciones puedan realizarse en ambas direcciones (para el descifrado). La combinación entre sustituciones y permutaciones se llama cifrado del producto. La clave es codificada en 64 bits y se compone de 16 bloques de 4 bits, generalmente anotadas de k1 a k16. Dado que "solamente" 56 bits sirven para el cifrado, ¡puede haber hasta 256 (o 7.2*1016) claves diferentes! Las partes principales del algoritmo son las siguientes: * fraccionamiento del texto en bloques de 64 bits (8 bytes), * permutación inicial de los bloques, * partición de los bloques en dos partes: izquierda y derecha, denominadas I y D respectivamente, * fases de permutación y de sustitución repetidas 16 veces (denominadas rondas), * reconexión de las partes izquierda y derecha, seguida de la permutación inicial inversa. En 1990, Eli Biham y Adi Shamir desarrollaron el criptoanálisis diferencial, que buscaba pares de textos planos y pares de textos cifrados. Este método funciona con un máximo de 15 rondas, mientras que en el algoritmo presentado anteriormente admite 16 rondas. Por otro lado, aunque una clave de 56 bits ofrece una enorme cantidad de posibilidades, muchos procesadores pueden calcular más de 106 claves por segundo. Con lo que, cuando se utilizan al mismo tiempo una gran cantidad de máquinas, es posible que un gran organismo (un Estado, por ejemplo) encuentre la clave correcta... Una solución a corto plazo requiere que se encadenen tres cifrados DES mediante dos claves de 56 bits (esto equivale a una clave de 112 bits). Este proceso se llama Triple DES, denominado TDES (algunas veces 3DES o 3-DES). El TDES permite aumentar de manera significativa la seguridad del DES, pero posee la desventaja de requerir más recursos para el cifrado y descifrado. Por lo general, se reconocen diversos tipos de cifrado triple DES: * DES-EEE3: Cifrado triple DES con 3 claves diferentes, * DES-EDE3: una clave diferente para cada una de las operaciones de triple DES (cifrado, descifrado, cifrado), * DES-EEE2 y DES-EDE2: una clave diferente para la segunda operación (descifrado). En 1997, elNIST lanzó una nueva convocatoria para que desarrollar el AES (Advanced Encryption Standard, en castellano: Estándar de Cifrado Avanzado), un algoritmo de cifrado cuyo objetivo era reemplazar al DES. El sistema de cifrado DES se actualizaba cada 5 años. En el año 2000, durante su última revisión y después de un proceso de evaluación que duró 3 años, el NIST seleccionó como nuevo estándar un algoritmo diseñado conjuntamente por dos candidatos belgas, el Sr. Vincent Rijmen y el Sr. Joan Daemen. El nuevo algoritmo, llamado por sus inventores RIJNDAEL reemplazará, de ahora en adelante, al DES. RSA El primer algoritmo de cifrado de clave pública (cifrado asimétrico) fue desarrollado por R. Merckle y M. Hellman en 1977. Gracias al trabajo de los famosos analistas criptográficos Shamir, Zippel y Herlestman, se quedó obsoleto rápidamente. En 1978 apareció el algoritmo de clave pública creado por Rivest, Shamir y Adelman (de aquí el nombre RSA). Este algoritmo todavía se usaba en 2002 para proteger los códigos de las armas nucleares de Estados Unidos y Rusia. El funcionamiento del criptosistema RSA se basa en la dificultad para factorizar grandes números enteros. Digamos que p y q son dos números primos, y d un número entero tal que d se factoriza en (p-1)*(q-1)). De esta manera, el terceto (p,q,d) representa la clave privada. Así, la clave pública es un doblete (n, e) creado con la clave privada a través de las siguientes transformaciones: n = p * q e = 1/d mod((p-1)(q-1)) Digamos que M es el mensaje a enviar. El mensaje M necesita factorizarse en la clave n. El descifrado se basa en el teorema de Euler, que estipula que si M y n se factorizan, entonces: Mphi(n) = 1 mod(n) Phi(n) será la función totient y, en este ejemplo, tendría un valor de (p-1)*(q-1). Por lo tanto, es necesario que M no sea un múltiplo de p, q o n. Una solución sería dividir el mensaje M en bits Mi de manera que la cantidad de números en cada Mi sea estrictamente inferior a la de p y q. Esto supone entonces que p y q son grandes, que es lo que sucede en la práctica ya que el principio de RSA yace en la dificultad de encontrar p y q en un período de tiempo razonable cuando se conoce n; esto asume que p y q son grandes. Supongamos que un usuario (llamado Bob) quiere enviar un mensaje M a una persona (llamémosla Alice). Simplemente necesita obtener la clave pública de Alice (n,e) y luego calcular el mensaje cifrado c: c = Me mod(n) Luego, Bob envía el mensaje c a Alice, quien es capaz de descifrarlo con su clave privada (p,q,d): M = Me*d mod(n) = cd mod(n) PGP - Pretty Good Privacy PGP (Pretty Good Privacy) es un criptosistema (sistema de cifrado) inventado por Philip Zimmermann, un analista de sistemas. Desde 1984 hasta 1991, Philip Zimmermann trabajó en un programa que permitiera ejecutar el algoritmo RSA en los PC (PGP). Sin embargo, dado que estaba utilizando RSA sin la autorización de sus autores, su investigación le costó 3 años de juicios, cuyo resultado fue que, desde 1993, el programa se vendiera por unos US$150. Es extremadamente rápido y fiable, lo que lo hace casi imposible de criptoanalizar. PGP es un sistema de criptografía híbrido que usa una combinación de funciones tomadas de la criptografía de clave pública y de la criptografía simétrica. Cuando un usuario cifra un texto con PGP, los datos primero se comprimen. Esta compresión de datos permite reducir el tiempo de transmisión a través del canal de comunicación, ahorra espacio en disco y, lo más importante, aumenta la seguridad criptográfica. La mayoría de los criptoanalistas sacan provecho de los modelos encontrados en formato de sólo texto para descubrir el cifrado. La compresión reduce estos modelos de sólo texto y mejora considerablemente su resistencia a los criptoanalistas. El cifrado se realiza, principalmente, en dos fases: * PGP crea una clave secreta IDEA en forma aleatoria y cifra los datos con esta clave * El PGP cifra la clave secreta IDEA y la envía usando la clave pública RSA del receptor. El descifrado también se produce en dos fases: * PGP descifra la clave secreta IDEA usando la clave privada RSA. * PGP descifra los datos con la clave secreta IDEA obtenida previamente. El método de cifrado combina la fácil utilización del cifrado de la clave pública con la velocidad del cifrado convencional. El cifrado convencional es aproximadamente 1000 veces más rápido que los algoritmos de cifrado de clave pública. El cifrado de clave pública resuelve el problema de la distribución de la clave. Combinados, estos dos métodos mejoran el rendimiento y administración de las claves sin poner el peligro la seguridad. La PGP ofrece las siguientes funciones: * Firmas digitales y verificación de la integridad de los mensajes: función que se basa en el uso simultáneo de la función hash (MD5) y del sistema RSA. La función MD5 condensa el mensaje y produce un resultado de 128 bits que después se cifra, gracias al algoritmo RSA, por la clave privada del emisor. * Cifrado de archivos locales: función que utiliza el algoritmo IDEA. * Generación de claves públicas o privadas: cada usuario cifra su mensaje mediante las claves privadas IDEA. La transferencia de las claves electrónicas IDEA utiliza el sistema RSA. Por lo tanto, PGP ofrece dispositivos para la generación de claves adaptados al sistema. El tamaño de las claves RSA se propone de acuerdo con varios niveles de seguridad: 512, 768, 1024 ó 1280 bits. * Administración de claves: función responsable de la distribución de la clave pública del usuario a los remitentes que desean enviarle mensajes cifrados. * Certificación de claves: esta función permite agregar un sello digital que garantice la autenticidad de las claves públicas. Es una característica original de PGP, que basa su confianza en una noción de proximidad social en vez de en una entidad de certificación central. * Revocación, desactivación y registro de claves: función que permite producir certificados de revocación. Protocolos seguros Secure Sockets Layers (SSL) SSL (Secure Socket Layers) es un proceso que administra la seguridad de las transacciones que se realizan a través de Internet. El estándar SSL fue desarrollado por Netscape, junto con Mastercard, Bank of America, MCI y Silicon Graphics. Se basa en un proceso de cifrado de clave pública que garantiza la seguridad de los datos que se envían a través de Internet. Su principio consiste en el establecimiento de un canal de comunicación seguro (cifrado) entre dos equipos (el cliente y el servidor) después de una fase de autenticación. El sistema SSL es independiente del protocolo utilizado; esto significa que puede asegurar transacciones realizadas en la Web a través del protocolo HTTP y también conexiones a través de los protocolos FTP, POP e IMAP. SSL actúa como una capa adicional que permite garantizar la seguridad de los datos y que se ubica entre la capa de la aplicación y la capa de transporte ( por ejemplo, el protocolo TCP). De esta forma, SSL es transparente para el usuario (es decir, el usuario puede no conocer que está usando SSL). Actualmente, casi todos los navegadores soportan el protocolo SSL. A mediados de 2001, la patente SSL ,que hasta ese momento había pertenecido a Netscape, fue adquirida por IETF (Internet Engineering Task Force) y adoptó el nombre de TLS (Transport Layer Security). La seguridad de las transacciones a través de SSL 2.0 se basa en el intercambio de claves entre un cliente y un servidor. Una transacción segura SSL se realiza de acuerdo al siguiente modelo: * Primero, el cliente se conecta al servidor comercial protegido por SSL y pide la autenticación. El cliente también envía la lista de los criptosistemas que soporta, clasificada en orden descendente por la longitud de la clave. * El servidor que recibe la solicitud envía un certificado al cliente que contiene la clave pública del servidor firmado por una entidad de certificación (CA), y también el nombre del criptosistema que está más alto en la lista de compatibilidades (la longitud de la clave de cifrado - 40 o 128 bits - será la del criptosistema compartido que tiene el tamaño de clave de mayor longitud). * El cliente verifica la validez del certificado (y por consiguiente, la autenticidad del vendedor), luego crea una clave secreta al azar (más precisamente un supuesto bloque aleatorio), cifra esta clave con la clave pública del servidor y envía el resultado del servidor (clave de sesión). * El servidor es capaz de descifrar la clave de sesión con su clave privada. De esta manera, hay dos entidades que comparten una clave que sólo ellos conocen. Las transacciones restantes pueden realizarse utilizando la clave de sesión, garantizando la integridad y la confidencialidad de los datos que se intercambian. SSH Internet hace posible realizar una gran variedad de operaciones remotas, en especial, administrar un servidor y transferir archivos. El protocolo Telnet y los comandos BSD R (rhs, rlogin y rexec) que permiten que los usuarios realicen estas tareas, tienen la gran desventaja de transmitir el intercambio de información en texto plano en la red, en particular, el nombre de acceso y la contraseña para acceder a equipos remotos. Tal es así que un hacker que se encuentre ubicado en una red entre el usuario y un equipo remoto puede controlar el tráfico, es decir, utilizar una herramienta llamada rastreador que puede capturar paquetes que circulan en la red y obtener el nombre de acceso y la contraseña para acceder al equipo remoto. Ya que es imposible controlar todas las infraestructuras físicas ubicadas entre el usuario y el equipo remoto (al ser Internet una red abierta por definición), la única solución es confiar en la seguridad a un nivel lógico (al nivel de los datos). El protocolo SSH (Secure Shell) es la respuesta a este problema ya que posibilita a sus usuarios (o servicios TCP/IP) acceder a un equipo a través de una comunicación cifrada (llamada túnel). Es un protocolo que hace posible que un cliente (un usuario o incluso un equipo) abra una sesión interactiva en una máquina remota (servidor) para enviar comandos o archivos a través de un canal seguro. * Los datos que circulan entre el cliente y el servidor están cifrados y esto garantiza su confidencialidad (nadie más que el servidor y el cliente pueden leer la información que se envía a través de la red). Como resultado, no es posible controlar la red con un rastreador. * El cliente y el servidor se autentifican uno a otro para asegurarse que las dos máquinas que se comunican son, de hecho, aquellas que las partes creen que son. El hacker ya no puede adoptar la identidad del cliente o de su servidor (falsificación). SSH es un protocolo, es decir, un método estándar que permite a los equipos establecer una conexión segura. Como tal, existe una variedad de implementaciones de clientes y servidores SSH. Algunas requieren el pago de una cuota, en tanto que otras son gratuitas o de código abierto: puede encontrar algunos clientes SSH en la sección de descargas de commentcamarche. Una conexión SSH se establece en varias fases: * En primera instancia, se determina la identidad entre el servidor y el cliente para establecer un canal seguro (capa segura de transporte). * En segunda instancia, el cliente inicia sesión en el servidor. El establecimiento de una capa segura de transporte comienza con la fase de negociación entre el cliente y el servidor para ponerse de acuerdo en los métodos de cifrado que quieren utilizar. Después, para establecer una conexión segura, el servidor envía al cliente su clave de host. El cliente genera una clave de sesión de 256 bits que cifra con la clave pública del servidor y luego la envía al servidor junto con el algoritmo utilizado. El servidor descifra la clave de sesión con su clave privada y envía al cliente un mensaje de confirmación cifrado con la clave se sesión. Después de esto, las comunicaciones restantes se cifran gracias a un algoritmo de cifrado simétrico, mediante la clave de sesión compartida entre el cliente y el servidor. HTTP Seguro S-HTTP (Secure HTTP) es un proceso de transacciones HTTP (HyperText Transfer Protocol; en castellano, Protocolo de Transferencia de Hipertexto) que se basa en el perfeccionamiento del protocolo HTTP creado en 1994 por EIT (Enterprise Integration Technologies). Este proceso hace posible establecer una conexión segura para transacciones de comercio electrónico mediante mensajes cifrados, y garantizar a los clientes la confidencialidad de los números de tarjetas bancarias y su información personal. La compañía Terisa Systems desarrolló una de las implementaciones de SHTTP para incluir una conexión segura entre los servidores y los clientes Web. A diferencia de SSL (Secure Socket Layer) que funciona transportando capas, SHTTP garantiza la seguridad del mensaje mediante el protocolo HTTP, que marca individualmente los documentos HTML con certificados. En tanto que SSL es independiente de la aplicación utilizada y puede cifrar todo tipo de comunicación, SHTTP está íntimamente relacionado con el protocolo HTTP y cifra mensajes de forma individual. Los mensajes SHTTP se basan en tres componentes: * el mensaje HTTP * las preferencias criptográficas del remitente * las preferencias del destinatario Así, para descifrar un mensaje SHTTP, el destinatario analiza los encabezados del mensaje para determinar el tipo de método que se utilizó para cifrar el mensaje. Luego, basándose en sus preferencias criptográficas presentes y pasadas, y en las preferencias criptográficas pasadas del remitente, el destinatario puede descifrar el mensaje. Cuando SSL y SHTTP competían, muchas personas se dieron entonces cuenta de que estos dos protocolos de seguridad eran complementarios, ya que no trabajaban en el mismo nivel. El SSL garantiza una conexión segura a Internet, mientras que el SHTTP garantiza intercambios HTTP seguros. Como resultado, la compañía Terisa Systems, especializada en protección de red y formada por RSA Data Security y EIT, desarrolló un kit de programación que permitió a los administradores desarrollar servidores Web implementando los protocolos SSL y SHTTP (SecureWeb Server Toolkit) así como clientes Web capaces de soportar estos protocolos (SecureWeb Client Toolkit). SET SET (Secure Electronic Transaction; en castellano, Transacción Electrónica Segura) es un protocolo desarrollado por Visa y Mastercard y que utiliza el estándar SSL (Secure Socket Layer). SET se basa en el uso de una firma electrónica del comprador y una transacción que involucra, no sólo al comprador y al vendedor, sino también a sus respectivos bancos. Cuando se realiza una transacción segura por medio de SET, los datos del cliente son enviados al servidor del vendedor, pero dicho vendedor sólo recibe la orden. Los números de la tarjeta del banco se envían directamente al banco del vendedor, quien podrá leer los detalles de la cuenta bancaria del comprador y contactar con el banco para verificarlos en tiempo real. S/MIME El S/MIME (Secure MIME o Secure Multipurpose Mail Extension) es un proceso de seguridad utilizado para el intercambio de correo electrónico que hace posible garantizar la confidencialidad y el reconocimiento de autoría de los mensajes electrónicos. El S-MIME está basado en el estándar MIME, cuyo objetivo es permitir a los usuarios adjuntar a sus mensajes electrónicos archivos diferentes a los archivos de texto ASCII (American National Standard Code for Information Interchange). Por lo tanto, el estándar MIME hace posible que podamos adjuntar todo tipo de archivos a nuestros correos electrónicos. S-MIME fue desarrollado originalmente por la compañía RSA Data Security. Ratificado en julio de 1999 por el IETF (Internet Engineering Task Force), S-MIME se convirtió en un estándar cuyas especificaciones se incluyen en las RFC (Request for Comments, Solicitudes de Comentarios), desde la 2630 a la 2633. El estándar S-MIME se basa en el principio de cifrado de clave pública. Por lo tanto, S-MIME permit

¿Que es y como funciona un antivirus? Los antivirus nacieron como una herramienta simple cuyo objetivo fuera detectar y eliminar virus informáticos, durante la década de 1980 Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, los antivirus han evolucionado hacia programas más avanzados que no sólo buscan detectar un Virus informáticos, sino bloquearlo, desinfectar y prevenir una infección de los mismos, así como actualmente ya son capaces de reconocer otros tipos de malware, como spyware, rootkits, etc. El funcionamiento de un antivirus varía de uno a otro, aunque su comportamiento normal se basa en contar con una lista de virus conocidos y su formas de reconocerlos (las llamadas firmas o vacunas), y analizar contra esa lista los archivos almacenados o transmitidos desde y hacia un ordenador. Adicionalmente, muchos de los antivirus actuales han incorporado funciones de detección proactiva, que no se basan en una lista de malware conocido, sino que analizan el comportamiento de los archivos o comunicaciones para detectar cuáles son potencialmente dañinas para el ordenador, con técnicas como Heurística, HIPS, etc. Usualmente, un antivirus tiene un (o varios) componente residente en memoria que se encarga de analizar y verificar todos los archivos abiertos, creados, modificados, ejecutados y transmitidos en tiempo real, es decir, mientras el ordenador está en uso. Asimismo, cuentan con un componente de análisis bajo demando (los conocidos scanners, exploradores, etc), y módulos de protección de correo electrónico, Internet, etc. El objetivo primordial de cualquier antivirus actual es detectar la mayor cantidad de amenazas informáticas que puedan afectar un ordenador y bloquearlas antes de que la misma pueda infectar un equipo, o poder eliminarla tras la infección. Actualmente hay una gran mayoria de antivirus pero no todos se asemejan al pretendido por todos, un antivirus eficaz en todos los sentidos. ¿Sirve un antivirus? Se menciona que el 80% del malware actual no es detectado por los antivirus tradicionales y aún cuando el 98% de las compañías utilizan un antivirus, casi la mitad de ellas experimentaron excedentes de infecciones. Si bien los números en frío dan escalofríos hay que remarcar ciertos aspectos de los mismos: * Esa tasa de detección no necesariamente se debe a productos defectuosos sino más bien a la velocidad de los cybercriminales para escribir malware (y yo agregaría a la cantidad de ellos). * Los badguys prueban sus "productos" contra los antivirus para asegurar su no-detección. * Existen antivirus menos populares en cuyo caso la tasa de detección es más alta. Aquí mi reflexión sería que quizás algunas empresas de antivirus se han preocupado más por su imagen estética y efectividad publicitaria que por su eficiencia a la hora de realizar su trabajo (en lo que deben realizar): detectar malware. Si bien el panorama parece desolador y más de uno puede llegar al extremo de recomendar desinstalar su antivirus porque acaba de leer esas estadísticas lo cierto es que en el contexto actual los antivirus nos protegen contra una gran cantidad de amenazas existentes. Estadísticamente quizás el porcentaje de detección sea bajo pero esto no quiere decir que el número de detecciones sea bajo. Otra realidad es que cada usuario nunca podrá ser atacado por las miles de aplicaciones dañinas existentes. Sólo un bajo porcentaje de ellas tiene posibilidad de reproducción masiva y por ende tendrá posibilidades de llegar a él. Si consideramos que existen 100.000 códigos maliciosos y que sólo entre 3.000 y 4.000 se mantienen activos (según http://www.wildlist.org/) entonces llegamos a la conclusión que sólo el 3% del malware puede ser peligroso para el usuario en un momento dado. Considerando que el 20% de los códigos son detectados estaríamos hablando de un porcentaje mayor de detección que de virus activos, lo cual es absolutamente positivo. Como vemos los números pueden ser "manejados" según la óptica con la cual se mire sin favorecer o perjudicar ningún punto de vista en particular. Además debemos considerar otro aspecto fundamental: si los antivirus actuales considerarían detectar el 100% del malware lograrían un resultado adverso en la práctica como lo es un producto extremadamente antiperformante e ineficiente por las cualidades que el mismo debería tener para manejar tan alto número de detecciones. De esto último resultan dos conclusiones: * Nuevas formas de detección deben implementarse en los antivirus para lograr mayores resultados con menores tiempos y recursos. * Alan Turin tenía razón al afirmar: que "existen pruebas de que no puedes tener una defensa perfecta... no puedes escribir un programa que, en todas las circunstancias, determine correctamente el comportamiento de otro programa. Puedes conseguir un resultado muy cercano pero no puedes lograr la perfección." Daños y perjuicios Dado que una característica de los virus es el consumo de recursos, los virus ocasionan problemas tales como pérdida de productividad, baja en el rendimiento del equipo, cortes en los sistemas de información o daños a nivel de datos. Otra de las características es la posibilidad que tienen de ir replicándose en otras partes del sistema de información. Las redes en la actualidad ayudan a dicha propagación. Los daños que los virus dan a los sistemas informáticos son: * Pérdida de información (evaluable y actuable según el caso) * Horas de contención (Técnicos de SI, Horas de paradas productivas, perdida productiva, tiempos de contención o reinstalación, cuantificables según el caso+horas de asesoría externa) * Pérdida de imagen (Valor no cuantificable) - también es importante tener en cuenta que existen algunos malware que tienen la capacidad de ocultar carpetas y archivos. Hay que tener en cuenta que cada virus es una situación nueva, por lo que es difícil cuantificar a priori lo que puede costar una intervención. Tenemos que encontrar métodos de realizar planificación en caso de que se produzcan estas contingencias. Métodos de contagio Existen dos grandes grupos de contaminaciones, los virus donde el usuario en un momento dado ejecuta o acepta de forma inadvertida la instalación del virus, o los gusanos donde el programa malicioso actúa replicándose a través de las redes. En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie de comportamientos anómalos o no previstos. Dichos comportamientos son los que nos dan la traza del problema y tienen que permitir la recuperación del mismo. Dentro de las contaminaciones más frecuentes por interacción del usuario están las siguientes: * Mensajes que ejecutan automáticamente programas (como el programa de correo que abre directamente un archivo adjunto) * Ingeniería social, mensajes como ejecute este programa y gane un premio. * Entrada de información en discos de otros usuarios infectados. * Instalación de software que pueda contener junto con éste uno o varios programas maliciosos. * Unidades moviles de almacenamiento (usb) Seguridad métodos de protección ener en cuenta este reto, es el primer paso para obtener seguridad. Existen múltiples medios de intentar combatir el problema. Sin embargo debemos ser realistas. Conforme nuevos programas y sistemas operativos se introduzcan en el mercado más difícil va a ser tener controlados a todos y más sencillo va a ser que a alguien se le ocurran nuevas formas de infectar el sistema. Ante este tipo de problemas están los softwares llamados antivirus. Estos antivirus tratan de descubrir las trazas que ha dejado un software malicioso, para eliminarlo o detectarlo, y en algunos casos contener o parar la contaminación. Los métodos para contener o reducir los riesgos asociados a los virus pueden ser los denominados activos o pasivos. Antivirus (activo) Estos programas como se ha mencionado tratan de encontrar la traza de los programas maliciosos mientras el sistema este funcionando. Tratan de tener controlado el sistema mientras funciona parando las vías conocidas de infección y notificando al usuario de posibles incidencias de seguridad. Como programa que esté continuamente funcionando, el antivirus tiene un efecto adverso sobre el sistema en funcionamiento. Una parte importante de los recursos se destinan al funcionamiento del mismo. Además dado que están continuamente comprobando la memoria de la maquina, dar más memoria al sistema no mejora las prestaciones del mismo. Otro efecto adverso son los falsos positivos, es decir al notificar al usuario de posibles incidencias en la seguridad, éste que normalmente no es un experto de seguridad se acostumbra a dar al botón de autorizar a todas las acciones que le notifica el sistema. De esta forma el antivirus funcionando da una sensación de falsa seguridad. Tipos de vacunas * CA: Sólo detección: Son vacunas que solo detectan archivos infectados sin embargo no pueden eliminarlos o desinfectarlos. * CA: Detección y desinfección: son vacunas que detectan archivos infectados y que pueden desinfectarlos. * CA: Detección y aborto de la acción: son vacunas que detectan archivos infectados y detienen las acciones que causa el virus. * CA: Detección y eliminación de archivo/objeto: son vacunas que detectan archivos infectados y eliminan el archivo u objeto que tenga infección. * CB: Comparación directa: son vacunas que comparan directamente los archivos para revisar si alguno esta infectado * CB: Comparación por firmas: son vacunas que comparan las firmas de archivos sospechosos para saber si están infectados. * CB: Comparación de signature de archivo: son vacunas que comparan las signaturas de los atributos guardados en tu equipo. * CB: Por métodos heurísticos: son vacunas que usan métodos heurísticos para comparar archivos. * CC: Invocado por el usuario: son vacunas que se activan instantáneamente con el usuario. * CC: Invocado por la actividad del sistema: son vacunas que se activan instantáneamente por la actividad del sistema windows xp/vista Filtros de ficheros (activo) Otra aproximación es la de generar filtros dentro de la red que proporcionen un filtrado más selectivo. Desde el sistema de correos, hasta el empleo de técnicas de firewall, proporcionan un método activo y eficaz de eliminar estos contenidos. En general este sistema proporciona una seguridad donde el usuario no requiere de intervención, puede ser más tajante, y permitir emplear únicamente recursos de forma más selectiva. Copias de seguridad (pasivo) Mantener una política de copias de seguridad garantiza la recuperación de los datos y la respuesta cuando nada de lo anterior ha funcionado. Asi mismo las empresas deberían disponer de un plan y detalle de todo el software instalado para tener un plan de contingencia en caso de problemas. Fuente 1 Fuente 2 Fuente 3 Post 1: Seguridad Informatica...Para tener en cuenta

Biometria La biometría es el estudio de métodos automáticos para el reconocimiento único de humanos basados en uno o más rasgos conductuales o físicos intrínsecos. El término se deriva de las palabras griegas "bios" de vida y "metron" de medida. La "biometría informática" es la aplicación de técnicas matemáticas y estadísticas sobre los rasgos físicos o de conducta de un individuo, para “verificar” identidades o para “identificar” individuos. En las tecnologías de la información, la autentificación biométrica se refiere a las tecnologías para medir y analizar las características físicas y del comportamiento humanas con propósito de autentificación. En Disney World, se toman medidas biométricas de los visitantes con pase de varios días para asegurarse de que el pase es usado por la misma persona todos los días. Las huellas dactilares, las retinas, el iris, los patrones faciales, de venas de la mano o la geometría de la palma de la mano, representan ejemplos de características físicas (estáticas), mientras que entre los ejemplos de características del comportamiento se incluye la firma, el paso y el tecleo (dinámicas). La voz se considera una mezcla de características físicas y del comportamiento, pero todos los rasgos biométricos comparten aspectos físicos y del comportamiento. Funcionamiento y rendimiento En un sistema de Biometria típico, la persona se registra con el sistema cuando una o más de sus características físicas y de conducta es obtenida, procesada por un algoritmo numérico, e introducida en una base de datos. Idealmente, cuando entra, casi todas sus características concuerdan; entonces cuando alguna otra persona intenta identificarse, no empareja completamente, por lo que el sistema no le permite el acceso. Las tecnologías actuales tienen tasas de error que varían ampliamente (desde valores bajos como el 60%, hasta altos como el 999,9%). El rendimiento de una medida biométrica se define generalmente en términos de tasa de falso positivo (False Acceptance Rate o FAR), la tasa de falso negativo (False NonMatch Rate o FNMR, también False Rejection Rate o FRR), y el fallo de tasa de alistamiento (Failure-to-enroll Rate, FTR o FER). En los sistemas biométricos reales el FAR y el FRR puede transformarse en los demás cambiando cierto parámetro. Una de las medidas más comunes de los sistemas biométricos reales es la tasa en la que el ajuste en el cual acepta y rechaza los errores es igual: la tasa de error igual (Equal Error Rate o EER), también conocida como la tasa de error de cruce (Cross-over Error Rate o CER). Cuanto más bajo es el EER o el CER, se considera que el sistema es más exacto. Las tasas de error anunciadas implican a veces elementos idiosincrásicos o subjetivos. Por ejemplo, un fabricante de sistemas biométricos fijó el umbral de aceptación alto, para reducir al mínimo las falsas aceptaciones; en la práctica, se permitían tres intentos, por lo que un falso rechazo se contaba sólo si los tres intentos resultaban fallidos (por ejemplo escritura, habla, etc.), las opiniones pueden variar sobre qué constituye un falso rechazo. Si entro a un sistema de verificación de firmas usando mi inicial y apellido, ¿puedo decir legítimamente que se trata de un falso rechazo cuando rechace mi nombre y apellido? A pesar de estas dudas, los sistemas biométricos tienen un potencial para identificar a individuos con un grado de certeza muy alto. La prueba forense del ADN goza de un grado particularmente alto de confianza pública actualmente (ca. 2004) y la tecnología está orientándose al reconocimiento del iris, que tiene la capacidad de diferenciar entre dos individuos con un ADN idéntico. Tipos de sistemas biométricos Emisión de Calor Se mide la emisión de calor del cuerpo (termograma), realizando un mapa de valores sobre la forma de cada persona. Huella Digital Basado en el principio de que no existen dos huellas dactilares iguales, este sistema viene siendo utilizado desde el siglo pasado con excelentes resultados. Cada huella digital posee pequeños arcos, ángulos, bucles, remolinos, etc. (llamados minucias) características y la posición relativa de cada una de ellas es lo analizado para establecer la identificación de una persona. Esta aceptado que dos personas no tienen más de ocho minucias iguales y cada una posee más de 30, lo que hace al método sumamente confiable. Verificación de Voz La dicción de una (o más) frase es grabada y en el acceso se compara la vos (entonación, diptongos, agudeza, etc.). Este sistema es muy sensible a factores externos como el ruido, el estado de animo y enfermedades de la persona, el envejecimiento, etc. Verificación de Patrones Oculares Estos modelos pueden estar basados en los patrones del iris o de la retina y hasta el momento son los considerados más efectivos (en 200 millones de personas la probabilidad de coincidencia es casi 0). Su principal desventaja reside en la resistencia por parte de las personas a que les analicen los ojos, por revelarse en los mismos enfermedades que en ocasiones se prefiere mantener en secreto. Geometría de la mano Los sistemas de autenticación basados en el análisis de la geometría de la mano son sin duda los más rápidos dentro de los biométricos: con una probabilidad de error aceptable en la mayoría de ocasiones, en aproximadamente un segundo son capaces de determinar si una persona es quien dice ser. Quizás uno de los elementos más importantes del reconocimiento mediante analizadores de geometría de la mano es que éstos son capaces de aprender: a la vez que autentican a un usuario, actualizan su base de datos con los cambios que se puedan producir en la muestra (un pequeño crecimiento, adelgazamiento, el proceso de cicatrizado de una herida...); de esta forma son capaces de identificar correctamente a un usuario cuya muestra se tomó hace años, pero que ha ido accediendo al sistema con regularidad. Escritura y firma La verificación en base a firmas es algo que todos utilizamos y aceptamos día a día en documentos o cheques; no obstante, existe una diferencia fundamental entre el uso de las firmas que hacemos en nuestra vida cotidiana y los sistemas biométricos; mientras que habitualmente la verificación de la firma consiste en un simple análisis visual sobre una impresión en papel, estática, en los sistemas automáticos no es posible autenticar usuarios en base a la representación de los trazos de su firma. En los modelos biométricos se utiliza además la forma de firmar, las características dinámicas (por eso se les suele denominar Dynamic Signature Verification, DSV): el tiempo utilizado para rubricar, las veces que se separa el bolígrafo del papel, el ángulo con que se realiza cada trazo... Para utilizar un sistema de autenticación basado en firmas se solicita en primer lugar a los futuros usuarios un número determinado de firmas ejemplo, de las cuales el sistema extrae y almacena ciertas características; esta etapa se denomina de aprendizaje, y el principal obstáculo a su correcta ejecución son los usuarios que no suelen firmar uniformemente. Contra este problema la única solución (aparte de una concienciación de tales usuarios) es relajar las restricciones del sistema a la hora de aprender firmas, con lo que se decrementa su seguridad. Una vez que el sistema conoce las firmas de sus usuarios, cuando estos desean acceder a él se les solicita tal firma, con un número limitado de intentos (generalmente más que los sistemas que autentican mediante contraseñas, ya que la firma puede variar en un individuo por múltiples factores). La firma introducida es capturada por un lápiz óptico o por una lectora sensible (o por ambos), y el acceso al sistema se produce una vez que el usuario ha introducido una firma que el verificador es capaz de distinguir como auténtica. Estándares asociados a tecnologías biométricas En los últimos años se ha notado una preocupación creciente por las organizaciones regulatorias respecto a elaborar estándares relativos al uso de técnicas biométricas en el ambiente informático. Esta preocupación es reflejo del creciente interés industrial por este ámbito tecnológico, y a los múltiples beneficios que su uso aporta. No obstante ello, aún la estandarización continua siendo deficiente y como resultado de ello, los proveedores de soluciones biométricas continúan suministrando interfaces de software propietarios para sus productos, lo que dificulta a las empresas el cambio de producto o vendedor. A nivel mundial el principal organismo que coordina las actividades de estandarización biométrica es el Sub-Comité 17 (SC17) del Joint Technical Committee on Information Technology (ISO/IEC JTC1), del International Organization for Standardization (ISO) y el International Electrotechnical Commission (IEC). En Estados Unidos desempeñan un papel similar el Comité Técnico M1 del INCITS (InterNational Committee for Information Technology Standards), el National Institute of Standards and Technology (NIST) y el American National Standards Institute (ANSI). Existen además otros organismos no gubernamentales impulsando iniciativas en materias biométricas tales como: Biometrics Consortium, International Biometrics Groups y BioAPI. Este último se estableció en Estados Unidos en 1998 compuesto por las empresas Bioscrypt, Compaq, Iridiam, Infineon, NIST, Saflink y Unisis. El Consorcio BioAPI desarrolló conjuntamente con otros consorcios y asociaciones, un estándar que promoviera la conexión entre los dispositivos biométricos y los diferentes tipos de programas de aplicación, además de promover el crecimiento de los mercados biométricos. Algunos de los estándares más importantes son: * Estándar ANSI X.9.84: creado en 2001, por la ANSI (American National Standards Institute) y actualizado en 2003, define las condiciones de los sistemas biométricos para la industria de servicios financieros haciendo referencia a la transmisión y almacenamiento seguro de información biométrica, y a la seguridad del hardware asociado. * Estándar ANSI / INCITS 358: creado en 2002 por ANSI y BioApi Consortium, presenta una interfaz de programación de aplicación que garantiza que los productos y sistemas que cumplen este estándar son interoperables entre sí. * Estándar NISTIR 6529: también conocido como CBEFF (Common Biometric Exchange File Format) es un estándar creado en 1999 por NIST y Biometrics Consortium que propone un formato estandarizado (estructura lógica de archivos de datos) para el intercambio de información biométrica. * Estándar ANSI 378: creado en 2004 por la ANSI, establece criterios para representar e intercambiar la información de las huellas dactilares a través del uso de minucias. El propósito de esta norma es que un sistema biométrico dactilar pueda realizar procesos de verificación de identidad e identificación, empleando información biométrica proveniente de otros sistemas. * Estándar ISO 19794-2: creado en 2005 por la ISO/IEC con propósitos similares a la norma ANSI 378, respecto a la que guarda mucha similitud. * Estándar PIV-071006: creado en 2006 por el NIST y el FBI en el contexto de la norma FIPS 201 del gobierno de EE.UU, establece los criterios de calidad de imagen que deben cumplir los lectores de huellas dactilares para poder ser usados en procesos de verificación de identidad en agencias federales. Robo de identidad Las preocupaciones acerca del robo de identidad por el uso de la Biometria aún no han sido resueltas. Si el número de tarjeta de crédito de una persona es robado, por ejemplo, puede causarle a esa persona grandes dificultades. Si sus patrones de escaneado de iris son robados, sin embargo, y eso permite a otra persona acceder a información personal o a cuentas financieras, el daño podría ser irreversible. Frecuentemente, las tecnologías biométricas han sido puestas en uso sin medidas adecuadas de seguridad para la información personal que es resguardada a través de las mismas. Privacidad Aunque la biometría es frecuentemente utilizada como un medio para combatir la criminalidad, existe la preocupación de que la biometría pueda ser utilizada para disminuir las libertades personales de los ciudadanos. Los desarrollos en tecnología video digital, infrarrojos, rayos X, inalámbricas, sistemas de posicionamiento global, biometría, escaneado de imágenes, reconocimiento de voz, ADN, e identificación de ondas cerebrales le proveen al gobierno con nuevos métodos para "buscar e investigar" vastas bases de datos individuales y colectivas de información sobre la población en general. Los Padres de la Constitución de los Estados Unidos nunca pensaron acerca de este tipo de "búsquedas e investigaciones" cuando diseñaron la Cuarta Enmienda, pero como uno de los avances tecnológicos de nuestro tiempo, nosotros tenemos que pensar en ese contexto. Post1: Post2: Fuente 1 Fuente 2 Fuente 3 Fuente 4

Seguridad de la Informacion Principios Básicos Los Gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas privadas acumulan una gran cantidad de información confidencial sobre sus empleados, clientes, productos, investigación y su situación financiera. La mayor parte de esta información es recolectada, tratada, almacenada y puesta a la disposición de sus usuarios (No siempre), en computadoras y trasmitida a través de las redes entre los ordenadores. En caso de que la información confidencial de una empresa, sus clientes, sus decisiones, su estado financiero o nueva línea de productos caigan en manos de un competidor; se vuelva pública de forma no autorizada, podría ser causa de la pérdida de credibilidad de los clientes, pérdida de negocios, demandas legales o incluso la quiebra de la misma. Por lo que proteger la información confidencial es un requisito del negocio, y en muchos casos también un imperativo ético y una obligación legal. . Para el individuo común, la Seguridad de la Información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo. El campo de la Seguridad de la Información ha crecido y evolucionado considerablemente en los últimos años. Convirtiéndose en una carrera acreditada a nivel mundial. La misma ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, Planificación de la continuidad del negocio, Ciencia Forense Digital y Administración de Sistemas de Gestión de Seguridad por nombrar algunos. Conceptos Importantes Por más de veinte años la Seguridad de la Información ha declarado que la confidencialidad, integridad y disponibilidad (conocida como la Tríada CIA, del inglés: "Confidentiality, Integrity, Availability" son los principios básicos de la seguridad de la información. La correcta Gestión de la Seguridad de la Información busca establecer y mantener programas, controles y políticas, que tengan como finalidad conservar la confidencialidad, integridad y disponibilidad de la información, si alguna de estas características falla no estamos ante nada seguro. Es preciso anotar, además, que la seguridad no es ningún hito, es más bien un proceso continuo que hay que gestionar conociendo siempre las vulnerabilidades y las amenazas que se ciñen sobre cualquier información, teniendo siempre en cuenta las causas de riesgo y la probabilidad de que ocurran, así como el impacto que puede tener. Una vez conocidos todos estos puntos, y nunca antes, deberán tomarse las medidas de seguridad oportunas. Confidencialidad La confidencialidad es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados. Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de tarjeta de crédito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del número de la tarjeta y los datos que contiene la banda magnética durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la tarjeta en modo alguno, se ha producido una violación de la confidencialidad. La pérdida de la confidencialidad de la información puede adoptar muchas formas. Cuando alguien mira por encima de su hombro, mientras usted tiene información confidencial en la pantalla, cuando se publica información privada, cuando un laptop con información sensible sobre una empresa es robado, cuando se divulga información confidencial a través del teléfono, etc. Todos estos casos pueden constituir una violación de la confidencialidad. Integridad Para la Seguridad de la Información, la integridad es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intención) modifica o borra los datos importantes que son parte de la información, así mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos de comprobación de la integridad: la firma digital Es uno de los pilares fundamentales de la seguridad de la informacion. Disponibilidad La Disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizado para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella deben estar funcionando correctamente. La Alta disponibilidad sistemas objetivo debe seguir estando disponible en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del sistema. Garantizar la disponibilidad implica también la prevención de ataque Denegación de servicio. La disponibilidad además de ser importante en el proceso de seguridad de la información, es además variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera, tales mecanismos se implementan en infraestructura tecnológica, servidores de correo electrónico, de bases de datos, de web etc, mediante el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de posibilidades dependerá de lo que queremos proteger y el nivel de servicio que se quiera proporcionar. Servicios de Seguridad El objetivo de un servicio de seguridad es mejorar la seguridad de los sistemas de procesamiento de datos y la transferencia de información en las organizaciones. Los servicios de seguridad están diseñados para contrarrestar los ataques a la seguridad y hacen uso de uno o más mecanismos de seguridad para proporcionar el servicio. No Repudio Proporciona protección contra la interrupción, por parte de alguna de las entidades implicadas en la comunicación, de haber participado en toda o parte de la comunicación. El servicio de Seguridad de No repudio o irrenunciabilidad está estandarizado en la ISO-7498-2. No Repudio de origen: El emisor no puede negar que envío porque el destinatario tiene pruebas del envío, el receptor recibe una prueba infalsificable del origen del envío, lo cual evita que el emisor, de negar tal envío, tenga éxito ante el juicio de terceros. En este caso la prueba la crea el propio emisor y la recibe el destinatario. Prueba que el mensaje fue enviado por la parte específica. No Repudio de destino: El receptor no puede negar que recibió el mensaje porque el emisor tiene pruebas de la recepción. Este servicio proporciona al emisor la prueba de que el destinatario legítimo de un envío, realmente lo recibió, evitando que el receptor lo niegue posteriormente. En este caso la prueba irrefutable la crea el receptor y la recibe el emisor. Prueba que el mensaje fue recibido por la parte específica. Si la autenticidad prueba quién es el autor de un documento y cual es su destinatario, el “no repudio” prueba que el autor envió la comunicación (no repudio en origen) y que el destinatario la recibió (no repudio en destino). El no repudio evita que el emisor o el receptor nieguen la transmisión de un mensaje. Así, cuando se envía un mensaje, el receptor puede comprobar que, efectivamente, el supuesto emisor envió el mensaje. De forma similar, cuando se recibe un mensaje, el emisor puede verificar que, de hecho, el supuesto receptor recibió el mensaje. Definición según la recomendación X.509 de la UIT-T Servicio que suministra la prueba de la integridad y del origen de los datos- ambos en una relación infalsificable que pueden ser verificados por un tercero en cualquier momento. Protocolos de Seguridad de la Información Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de la transmisión de datos entre la comunicación de dispositivos para ejercer una confidencialidad,integridad, autenticación y el no repudio de la información. Se componen de: Criptografia(Cifrado de datos) Se ocupa del cifrado de mensajes un mensaje es enviado por el emisor lo que hace es transposicionar o ocultar el mensaje hasta que llega a su destino y puede ser descifrado por el receptor. Logica(Estructura y secuencia) Llevar un orden en el cual se agrupán los datos del mensaje el significado del mensaje y saber cuando se va enviar el mensaje. Autenticación Es una validación de identificación es la tecnica mediante la cual un proceso comprueba que el compañero de comunicación es quien se supone que es y no se trata de un impostor. Principales atacantes EL HACKER El Hacker es una persona con amplios conocimientos en tecnología, bien puede ser informática, electrónica o comunicaciones, mantiene permanentemente actualizado y conoce a fondo todo lo relacionado con programación y sistemas complejos; es un investigador nato que se inclina ante todo por conocer lo relacionado con cadenas de datos cifrados y las posibilidades de acceder a cualquier tipo de "información segura". Su formación y las habilidades que poseen les da una experticia mayor que les permite acceder a sistemas de información seguros, sin ser descubiertos, y también les da la posibilidad de difundir sus conocimientos para que las demás personas se enteren de cómo es que realmente funciona la tecnología y conozcan las debilidades de sus propios sistemas de información. EL CRACKER Se denomina así a aquella persona con comportamiento compulsivo, que alardea de su capacidad para reventar sistemas electrónicos e informáticos. Un Cracker es un hábil conocedor de programación de Software y Hardware; diseña y fabrica programas de guerra y hardware para reventar software y comunicaciones como el teléfono, el correo electrónico o el control de otros computadores remotos. EL LAMMER A este grupo pertenecen aquellas personas deseosas de alcanzar el nivel de un hacker pero su poca formación y sus conocimientos les impiden realizar este sueño. Su trabajo se reduce a ejecutar programas creados por otros, a bajar, en forma indiscriminada, cualquier tipo de programa publicado en la red. EL COPYHACKER Son una nueva generación de falsificadores dedicados al crackeo de Hardware, específicamente en el sector de tarjetas inteligentes. Su estrategia radica en establecer amistad con los verdaderos Hackers, para copiarles los métodos de ruptura y después venderlos los bucaneros. Los Copyhackers se interesan por poseer conocimientos de tecnología, son aficionados a las revistas técnicas y a leer todo lo que hay en la red. Su principal motivación es el dinero. BUCANEROS Son los comerciantes de la red más no existen en ella; aunque no poseen ningún tipo de formación en el área de los sistemas, si poseen un amplio conocimiento en área de los negocios. PHREAKER Se caracterizan por poseer vastos conocimientos en el área de telefonía terrestre y móvil, incluso más que los propios técnicos de las compañías telefónicas; recientemente con el auge de los celulares, han tenido que ingresar también al mundo de la informática y del procesamiento de datos. NEWBIE Es el típico "novatos" de red, sin proponérselo tropieza con una página de Hacking y descubre que en ella existen áreas de descarga de buenos programas de Hackeo, baja todo lo que puede y empieza a trabajar con ellos. SCRIPT KIDDIE Denominados también “Skid kiddie”, son simples usuarios de Internet, sin conocimientos sobre Hack o Crack aunque aficionados a estos temas no los comprenden realmente, simplemente son internautas que se limitan a recopilar información de la red y a buscar programas que luego ejecutan sin los más mínimos conocimientos, infectando en algunos casos de virus a sus propios equipos.También podrían denominarse los “Pulsa Botones o Clickquiadores“ de la red. Planificación de la seguridad Hoy en día la rápida evolución del entorno técnico requiere que las organizaciones adopten un conjunto mínimo de controles de seguridad para proteger su información y sistemas de información. El propósito del plan de seguridad del sistema es proporcionar una visión general de los requisitos de seguridad del sistema y se describen los controles en el lugar o los previstos para cumplir esos requisitos. El plan de seguridad del sistema también delinea las responsabilidades y el comportamiento esperado de todos los individuos que acceden al sistema. Debe reflejar las aportaciones de distintos gestores con responsabilidades sobre el sistema, incluidos los propietarios de la información, el propietario de la red, y el alto funcionario de la agencia de información de seguridad (SAISO). Los administradores de programas, los propietarios del sistema, y personal de seguridad en la organización debe entender el sistema de seguridad en el proceso de planificación. Los responsables de la ejecución y gestión de sistemas de información deben participar en el tratamiento de los controles de seguridad que deben aplicarse a sus sistemas. Creación de un Plan de respuesta a incidentes Es importante formular un plan de respuestas a incidentes, soportarlo a lo largo de la organización y probarlo regularmente. Un buen plan de respuestas a incidentes puede no sólo minimizar los efectos de una violación sino también, reducir la publicidad negativa. Desde la perspectiva del equipo de seguridad, no importa si ocurre una violación o abertura (pues tales eventos son una parte eventual de cuando se hacen negocios usando un método de poca confianza como lo es Internet), si no más bien cuando ocurre. El aspecto positivo de entender la inevitabilidad de una violación a los sistemas (cualquier sistema donde se procese información confidencial, no esta limitado a servicios informáticos) es que permite al equipo de seguridad desarrollar un curso de acciones para minimizar los daños potenciales. Combinando un curso de acciones con la experiencia le permite al equipo responder a condiciones adversas de una manera formal y oportuna. El plan de respuesta a incidentes puede ser dividido en cuatro fases: * Acción inmediata para detener o minimizar el incidente * Investigación del incidente * Restauración de los recursos afectados * Reporte del incidente a los canales apropiados Una respuesta a incidentes debe ser decisiva y ejecutarse rápidamente. Debido a que hay muy poco espacio para errores, es crítico que se efectúen prácticas de emergencias y se midan los tiempos de respuesta. De esta forma, es posible desarrollar una metodología que fomenta la velocidad y la precisión, minimizando el impacto de la indisponibilidad de los recursos y el daño potencial causado por el sistema en peligro. Un plan de respuesta a incidentes tiene un número de requerimientos, incluyendo: * Un equipo de expertos locales (un Equipo de respuesta a emergencias de computación) * Una estrategia legal revisada y aprobada * Soporte financiero de la compañía * Soporte ejecutivo de la gerencia superior * Un plan de acción factible y probado * Recursos físicos, tal como almacenamiento redundante, sistemas en stand by y servicios de respaldo Consideraciones legales Otros aspectos importantes a considerar en una respuesta a incidentes son las ramificaciones legales. Los planes de seguridad deberían ser desarrollados con miembros del equipo de asesoría jurídica o alguna forma de consultoría general. De la misma forma en que cada compañía debería tener su propia política de seguridad corporativa, cada compañía tiene su forma particular de manejar incidentes desde la perspectiva legal. Las regulaciones locales, de estado o federales están más allá del ámbito de este documento, pero se mencionan debido a que la metodología para llevar a cabo el análisis post-mortem, será dictado, al menos en parte, por la consultoría jurídica. La consultoría general puede alertar al personal técnico de las ramificaciones legales de una violación; los peligros de que se escape información personal de un cliente, registros médicos o financieros; y la importancia de restaurar el servicio en ambientes de misión crítica tales como hospitales y bancos. Planes de Acción. Una vez creado un plan de acción, este debe ser aceptado e implementado activamente. Cualquier aspecto del plan que sea cuestionado durante la implementación activa lo más seguro es que resulte en un tiempo de respuesta pobre y tiempo fuera de servicio en el evento de una violación. Aquí es donde los ejercicios prácticos son invalorables. La implementación del plan debería ser acordada entre todas las partes relacionadas y ejecutada con seguridad, a menos que se llame la atención con respecto a algo antes de que el plan sea colocado en producción. La respuesta a incidentes debe ir acompañada con recolección de información siempre que esto sea posible. Los procesos en ejecución, conexiones de red, archivos, directorios y mucho más debería ser auditado activamente en tiempo real. Puede ser muy útil tener una toma instantánea de los recursos de producción al hacer un seguimiento de servicios o procesos maliciosos. Los miembros de CERT y los expertos internos serán recursos excelentes para seguir tales anomalías en un sistema. El manejo de riesgos dentro de la seguridad en la informaciónsize Dentro de la seguridad en la información se lleva a cabo la clasificación de las alternativas para manejar los posibles riegos que un activo ó bien puede tener dentro de los procesos en una empresa. Esta clasificación lleva el nombre de manejo de riegos. El manejo de riesgos, conlleva una estructura bien definida, con un control adecuado y su manejo, habiéndolos identificado, priorizados y analizados, a través de acciones factibles y efectivas. Para ello se cuenta con las siguientes técnicas de manejo del riesgo: * Evitar. El riesgo es evitado cuando la organización rechaza aceptarlo, es decir, no se permite ningún tipo de exposición. Esto se logra simplemente con no comprometerse a realizar la acción que origine el riesgo. Esta técnica tiene más desventajas que ventajas, ya que la empresa podría abstenerse de aprovechar muchas oportunidades. Ejemplo: No instalar empresas en zonas sísmicas * Reducir. Cuando el riesgo no puede evitarse por tener varias dificultades de tipo operacional, la alternativa puede ser su reducción hasta el nivel más bajo posible. Esta opción es la más económica y sencilla. Se consigue optimizando los procedimientos ,la implementación controles y su monitoreo constante. Ejemplo: No fumar en ciertas áreas, instalaciones eléctricas anti flama, planes de contingencia. * Retener, Asumir o Aceptar el riesgo. Es uno de los métodos más comunes del manejo de riesgos, es la decisión de aceptar las consecuencias de la ocurrencia del evento. Puede ser voluntaria o involuntaria, la voluntaria se caracteriza por el reconocimiento de la existencia del riesgo y el acuerdo de asumir las perdidas involucradas, esta decisión se da por falta de alternativas. La retención involuntaria se da cuando el riesgo es retenido inconscientemente. Ejemplo de Asumir el riesgo: Con recursos propios se financian las pérdidas. * Transferir. Es buscar un respaldo y compartir el riego con otros controles o entidades. Esta técnica se usa ya sea para eliminar un riegos de un lugar y transferirlo a otro, ó para minimizar el mismo, compartiéndolo con otras entidades. Medios de transmisión de ataques a los sistemas de seguridad El mejor en soluciones de su clase permite una respuesta rápida a las amenazas emergentes, tales como: * Malware propagación por e-mail y Spam. * La propagación de malware y botnets. * Los ataques de phishing alojados en sitios web. * Los ataques contra el aumento de lenguaje de marcado extensible (XML) de tráfico, arquitectura orientada a servicios (SOA) y Web Services. * Estas soluciones ofrecen un camino a la migración y la integración. Como las amenazas emergentes, cada vez más generalizada, estos productos se vuelven más integrados en un enfoque de sistemas. Un enfoque de sistemas de configuración, la política, y el seguimiento se reúne cumplimiento de las normativas en curso y permite a los sistemas rentables de gestión. El enfoque de sistemas de gestión de la seguridad, dispone: Configuración de la política común de todos los productos Amenaza la inteligencia y la colaboración de eventos Reducción de la complejidad de configuración Análisis de riesgos eficaces y operativos de control En la actualidad gracias a la infinidad de posibilidades que se tiene para tener acceso a los recursos de manera remota y al gran incremento en las conexiones a la internet los delitos en el ámbito de TI se han visto incrementado, bajo estas circunstancias los riesgos informáticos son más latentes. Los delitos cometidos mediante el uso de la computadora han crecido en tamaño, forma y variedad. Los principales delitos hechos por computadora o por medio de computadoras son: * Fraudes * Falsificación * Venta de información Entre los hechos criminales más famosos en los E.E.U.U. están: * El caso del Banco Wells Fargo donde se evidencio que la protección de archivos era inadecuada, cuyo error costo USD 21.3 millones. * El caso de la NASA donde dos alemanes ingresaron en archivos confidenciales. * El caso de un muchacho de 15 años que entrando a la computadora de la Universidad de Berkeley en California destruyo gran cantidad de archivos. * También se menciona el caso de un estudiante de una escuela que ingreso a una red canadiense con un procedimiento de admirable sencillez, otorgándose una identificación como un usuario de alta prioridad, y tomo el control de una embotelladora de Canadá. * También el caso del empleado que vendió la lista de clientes de una compañía de venta de libros, lo que causo una pérdida de USD 3 millones. Los virus, trojanos, spyware, malware y demás código llamado malicioso (por las funciones que realiza y no por tratarse de un código erróneo), tienen como objetivo principal el ejecutar acciones no solicitadas por el usuario, las cuales pueden ser desde, el acceso a un pagina no deseada, el redireccionamiento de algunas páginas de internet, suplantación de identidad o incluso la destrucción o daño temporal a los registros del sistemas, archivos y/o carpetas propias. El virus informático es un programa elaborado accidental o intencionadamente, que se introduce y se transmite a través cualquier medio extraíble y transportable o de la misma red en la que se encuentre un equipo infectado, causando diversos tipos de daños a los sistemas. El virus llamado viernes trece o Jerusalén, que desactivó el conjunto de ordenadores de la defensa de Israel y que actualmente se ha extendido a todo el mundo. Históricamente los virus informáticos fueron descubiertos por la prensa el 12 de octubre de 1985, con una publicación del New York Times que hablaba de un virus que fue se distribuyo desde un BBS y aparentemente era para optimizar los sistemas IBM basados en tarjeta gráfica EGA, pero al ejecutarlo salía la presentación pero al mismo tiempo borraba todos los archivos del disco duro, con un mensaje al finalizar que decía "Caíste". Este dato se considera como el nacimiento de su nombre, ya que los programas con código integrado, diseñados para hacer cosas inesperadas han existido desde que existen las propias computadoras. Las primeras referencias de virus con fines intencionales surgieron en 1983 cuando Digital Equipament Corporation (DEC) empleó una subrutina para proteger su famoso procesador de textos Decmate II, que el 1 de abril de 1983 en caso de ser copia ilegal borraba todos los archivos de su unidad de disco. Otros conceptos relacionados son: * Auditabilidad: Permitir la reconstrucción, revisión y análisis de la secuencia de eventos * Identificación: verificación de una persona o cosa; reconocimiento. * Autenticación: Proporcionar una prueba de identidad; puede ser algo que se sabe, que se es, se tiene o una combinación de todas. * Autorización: Lo que se permite cuando se ha otorgado acceso * No repudio: no se puede negar un evento o una transacción. * Seguridad en capas: La defensa a profundidad que contenga la inestabilidad * Control de Acceso: limitar el acceso autorizado solo a entidades autenticadas * Métricas de Seguridad, Monitoreo: Medición de actividades de seguridad * Gobierno: proporcionar control y dirección a las actividades * Estrategia: los pasos que se requieren para alcanzar un objetivo * Arquitectura: el diseño de la estructura y las relaciones de sus elementos * Gerencia: Vigilar las actividades para garantizar que se alcancen los objetivos * Riesgo: la explotación de una vulnerabilidad por parte de una amenaza * Exposiciones: Áreas que son vulnerables a un impacto por parte de una amenaza * Vulnerabilidades: deficiencias que pueden ser explotadas por amenazas * Amenazas: Cualquier acción o evento que puede ocasionar consecuencias adversas * Riesgo residual: El riesgo que permanece después de que se han implementado contra medidas y controles * Impacto: los resultados y consecuencias de que se materialice un riesgo * Criticidad: La importancia que tiene un recurso para el negocio * Sensibilidad: el nivel de impacto que tendría una divulgación no autorizada * Análisis de impacto al negocio: evaluar los resultados y las consecuencias de la inestabilidad * Controles: Cualquier acción o proceso que se utiliza para mitigar el riesgo * Contra medidas: Cualquier acción o proceso que reduce la vulnerabilidad * Políticas: declaración de alto nivel sobre la intención y la dirección de la gerencia * Normas: Establecer los límites permisibles de acciones y procesos para cumplir con las políticas * Ataques: tipos y naturaleza de inestabilidad en la seguridad * Clasificación de datos: El proceso de determinar la sensibilidad y Criticidad de la información Estándares de seguridad de la información ISO/IEC 27000-series Es un vocabulario estandard para el SGSI. Se encuentra en desarrollo actualmente. ISO/IEC 27001 El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI). ISO/IEC 17799 ISO/IEC 17799 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como "la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)". La versión de 2005 del estándar incluye las siguientes once secciones principales: 1. Política de seguridad. 2. Aspectos organizativos para la seguridad. 3. Clasificación y control de activos. 4. Seguridad ligada al personal. 5. Seguridad física y del entorno. 6. Gestión de comunicaciones y operaciones. 7. Control de accesos. 8. Desarrollo y mantenimiento de sistemas. 9. Gestión de incidentes de seguridad de la información. 10. Gestión de continuidad de negocio. 11. Conformidad. Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación. El número total de controles suma 133 entre todas las secciones aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades. Con la aprobación de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de la numeración 27.000 para la seguridad de la información, se espera que ISO/IEC 17799:2005 pase a ser renombrado como ISO/IEC 27002 en la revisión y actualización de sus contenidos en el 2007. Videos Espero les sirva...

Transformer 2 En el dia de ayer me dirigi al IMAX para ver Transformer 2, una pelicula asi merecia ir a verla ahi, no queda otra. Primero que nada, una critica al IMAX, muchacho tiren la pantalla un toque mas para atras, por que los que estan adelante salen con torticolis y problemas de corneas. La peli a mi gusto no decepciona, si te gusto la 1º esta les va a gustar, parece que los productores escucharon a los que pedian mas batallas, en esta la verdad que las batallas pagan la entrada sola, a mi la que mas me gusto es la de Optimus contra varios decepticons, pero no voy a contar mucho asi cada uno saca sus conclusiones y no cuento mucho de la peli. Lei a varios criticos que decian que le faltaba trama, y bla bla bla, si ves Transformers, no esperas que Optimus y compania hagan una comedia, o un drama donde todos lloren, si vas a ver Transformer, vas a ver bardo, pelea, efectos que te vuelen la peluca, por que si mal no recuerdo en los capitulos animados, Optimus no tomo rehenes en un taller mecanico por que a Ironhide le faltaban partes, o Megatron sea un asesino serial y los Autobots usen su ingenio para ser detectives y resolver crimenes. La verdad que la peli vale lo que se paga la entrada, llena las espectativas sobre efectos especiales y batallas entre robots gigantes, aparte cabe destacar que aparecen muchos mas robots que en la primera y que el nivel de detalle de cada uno es impresionante, se nota que en ese apartado se tomaron su tiempo para pulir los detalles de cada uno, aparte si quieren trama para ese tipo de pelicula de accion, la peli lo tiene, ya se van a dar cuenta cuando la vean. A mi me dejo satisfecho, ni hablar de Megan Fox que en cada toma mas de uno se va en seco . Si queres ver edificios destrozarse, volar piramedes al carajo, y fierros por todos lados, esta es tu peli. Como dije al principio esta es mi opinion, cada uno que la vio tendra la suya. Saludos PD: Me tente de cagarles el final a mas de uno...pero me contuve.

En viejos comerciales de Reebok aparece Terry Tate un Linebacker dispuesto a que la productividad laboral suba...asi que si te estas rascando en la oficina en este momento...tene cuidado que te puede pasar esto link: link: http://www.videos-star.com/watch.php?video=17jplpjCaec link: http://www.videos-star.com/watch.php?video=CtJOzE1GJWw&feature=related link: http://www.videos-star.com/watch.php?video=oVw7jb7M3N8&feature=related link: http://www.videos-star.com/watch.php?video=6EHhwxRls2Y&feature=related link: http://www.videos-star.com/watch.php?video=cLgdz5zJKQg&feature=related link: http://www.videos-star.com/watch.php?video=sn-7Ozvnfdc&feature=related A comentar si no Terry te aplica