Hash y Firma Digital Certificado Digital y PKI Tipos de Amenazas Ataques a correo electronico Origen y autenticidad de aplicaciones Actualizaciones del SO y Aplicaciones Software de detección de Amenazas Medidas de seguridad en redes inalambricas Inventariar servicios de red IDS. Sistemas de Deteccion de Intrusos
SAD

Unidad Didáctica 2: Seguridad Activa

.

HASH y Firma Digital

¿Qué es un HASH?

Un hash es una función matemática que transforma cualquier dato (texto, archivo, etc.) en una cadena única de caracteres. También se le suele llamar funcion RESUMEN o DIGEST

  • Siempre genera una salida del mismo tamaño, sin importar el tamaño del archivo de entrada.
  • Un pequeño cambio en los datos produce un hash completamente distinto.
  • La función hash NO es reversible.(computacionalmente Intratable)
  • Ejemplo de hash (md5("SAD-ASIX2")): -> 786cf5f44e74ef51bd7ec7cdf8950e22
    Pero.. md5("SAD-ASIX1) -> 834743d3c372fa45434f72665c309c0e

Se utiliza para verificar la integridad de los datos. Si el hash cambia, los datos han sido modificados.

Usos comunes de las funciones HASH

  • Verificación de integridad: Comprobar si un archivo ha sido modificado comparando su hash original con uno nuevo.
  • Almacenamiento seguro de contraseñas: Las contraseñas no se guardan como texto plano, sino como hashes. Así, aunque se acceda a la base de datos, no se conoce la contraseña real.
  • Identificación de archivos: Sistemas de gestión de archivos o descargas (como torrents) usan hashes para identificar archivos únicos y evitar duplicados.
  • Firmas digitales: El hash es la base sobre la que se aplica la clave privada para generar una firma digital.
  • Estructuras de datos: En programación, estructuras como las tablas hash permiten acceder rápidamente a datos usando claves.
  • Blockchain y criptomonedas: Cada bloque contiene el hash del anterior. Así se garantiza la integridad de toda la cadena de bloques.
  • Generación de identificadores únicos: Para identificar usuarios, sesiones, transacciones, etc., de forma segura y eficiente.

🔢 Tipos de Funciones Hash

Existen varias funciones hash, cada una con diferentes niveles de seguridad y velocidad.

  • MD5 (Message Digest 5):
    ➤ Genera hashes de 128 bits (32 caracteres hexadecimales).
    ⚠️ Ya no es considerado seguro para criptografía, pero aún se usa para integridad de archivos.
  • SHA-1 (Secure Hash Algorithm 1):
    ➤ Produce hashes de 160 bits.
    ⚠️ También ha sido vulnerado, por lo que se desaconseja su uso en seguridad crítica.
  • SHA-256:
    ➤ Parte de la familia SHA-2.
    ➤ Genera hashes de 256 bits (64 caracteres hexadecimales).
    ✅ Muy utilizado en blockchain y seguridad moderna.
  • SHA-512:
    ➤ Similar a SHA-256 pero con una longitud de 512 bits.
    ➤ Más seguro pero también más pesado computacionalmente.
  • BLAKE2:
    ➤ Más rápido que SHA-2 y con buena seguridad.
    ➤ Alternativa moderna recomendada en muchos entornos.
  • RIPEMD-160:
    ➤ Usado en aplicaciones como Bitcoin junto con SHA-256.

📝 Nota:

No todas las funciones hash son adecuadas para seguridad. Para contraseñas, se recomienda usar funciones diseñadas para ello, como:

  • bcrypt
  • scrypt
  • Argon2 (ganador del Password Hashing Competition)

✍️ ¿Qué es una Firma Digital?

Una firma digital es un mecanismo criptográfico que garantiza que un documento:

  • No ha sido modificado (integridad).
  • Proviene del remitente esperado (autenticidad).
  • No puede ser repudiado (no repudio).

Para crearla se usan:

  1. El hash del documento.
  2. Una clave privada del emisor del documento, que cifra ese hash.

El receptor puede verificar la firma usando la clave pública del emisor.

En resumen:

  • Hash: Detecta si un archivo ha sido alterado.
  • Firma digital: Garantiza que el archivo es original y viene de quien dice enviarlo.

⚠️ Pero...., quien dice enviarlo, ¿ es realmente quien dice que es ?

Este problema se resuelve con los Certificados Digitales

📄 Certificados Digitales

Un certificado digital es como un "DNI electrónico" que identifica de forma segura a una persona, empresa o servidor en Internet.

¿Qué contiene un certificado digital?

  • 👤 Nombre del titular
  • 🔑 Clave pública del titular
  • 🧾 Información de la entidad que lo emite (Autoridad de Certificación)
  • ✍️ Firma digital de la Autoridad de Certificación (CA)
  • 📅 Fecha de emisión y caducidad
  • Otros datos de interes...

🏢 ¿Qué es una Autoridad de Certificación (CA)?

Es una entidad confiable que se encarga de emitir y validar los certificados digitales. Ejemplos conocidos:

  • 🏛️ FNMT – Fábrica Nacional de Moneda y Timbre
  • ACCV – Autoritat de Certificació de la Comunitat Valenciana
  • Entrust Root Certification Authority (dni-e)
  • Izenpe - Autoridad vasca de certificación.
  • CATCert (fusionada en AOC)
  • Camerfirma (Cámaras de comercio)
  • 🔏 ANCERT - Autoridad de Certificación del Consejo General del Notariado
  • Let's Encrypt
  • DigiCert
  • GlobalSign
  • Y mas....

⚠️ Normalmente, todas estas CA se suministran ya instaladas en los Sistemas Operativos, pero se pueden añadir mas...

¿Para qué se usan los certificados digitales?

  • 🔐 Cifrado de comunicaciones: Protegen la información entre tu navegador y un sitio web (HTTPS).
  • Autenticación: Verifican que estás hablando con el servidor legítimo, no con un impostor.
  • ✍️ Firmas digitales: Aseguran que un documento electrónico no ha sido alterado.
  • 💼 Gestión de identidad: En empresas o gobiernos, se usan para acceder a servicios seguros.

¿Cómo funciona?

  1. 1️⃣ El servidor envía su certificado digital al navegador.
  2. 2️⃣ El navegador comprueba si la CA es de confianza.
  3. 3️⃣ Si todo es válido, se establece una conexión cifrada.

En resumen:

Un certificado digital permite cifrar, autenticar y verificar en el mundo digital de forma segura.

Y para que un certificado digital funcione necesitamos una PKI (Infraestructura de Clave Pública)

🏛️ ¿Qué es una PKI (Public Key Infrastructure) ? +🔑+🗝️+📜

La Infraestructura de Clave Pública o PKI es un sistema que permite crear, gestionar, distribuir y revocar certificados digitales y claves públicas.

En pocas palabras, es el conjunto de tecnologías, políticas y procedimientos que hacen posible la seguridad en Internet.

Componentes principales de una PKI:

  • Autoridad de Certificación (CA): Emite y firma certificados digitales.
  • Autoridad de Registro (RA): Verifica la identidad antes de emitir certificados (actúa como filtro para la CA).
  • 📜 Repositorio de certificados: Lugar donde se almacenan y consultan los certificados emitidos.
  • 📋 Listas de revocación (CRL): Informan si un certificado ya no es válido.
  • Pareja de claves: Cada usuario tiene una clave pública y una clave privada.

¿Cómo funciona una PKI?

  • 1️⃣ Un usuario solicita un certificado a la CA (por medio de la RA).
  • 2️⃣ La RA verifica la identidad del solicitante.
  • 3️⃣ Si todo es correcto, la CA genera y firma un certificado digital con la clave pública del usuario.
  • 4️⃣ El usuario puede usar su certificado para cifrar, firmar o autenticar.
  • 5️⃣ Otros usuarios pueden verificar el certificado consultando la CA.

¿Para qué sirve una PKI?

  • Autenticación de usuarios, servidores o dispositivos.
  • Cifrado de datos y comunicaciones (por ejemplo HTTPS).
  • 🖊️ Firmas digitales de documentos o correos electrónicos.
  • 🔄 Intercambio seguro de claves.

En resumen:

Una PKI hace posible que confiemos en la identidad digital de personas y sitios web, utilizando certificados digitales respaldados por entidades confiables.

Tipos de amenazas en Ciberseguridad

Existen varios tipos de amenazas que pueden comprometer la seguridad de sistemas y datos. Se pueden dividir en dos grandes grupos

  • Internas
  • Extenas

💣 Amenazas Internas

Riesgos que provienen de empleados o personas con acceso legítimo a los sistemas, que pueden actuar maliciosamente o por descuido.

Tambien denominados Insiders

    Clasificación de Amenazas Internas
  • Amenazas internas intencionadas
    • Empleados maliciosos: Utilizan sus privilegios y conocimientos de la organización para causar daños intencionados, como filtrar información confidencial
    • Externos con acceso interno: Cibercriminales que han logrado acceder a la red o edificio de una organización y la utilizan para causar daños
  • Amenazas internas accidentales
    • Empleados negligentes: Causan daños no intencionados debido a errores humanos o decisiones equivocadas, como compartir datos confidenciales por error
    • Malas prácticas: Por ejemplo, insertar un USB infectado en un ordenador corporativo sin mala intención

✔️ Cómo Evitar Amenazas Internas

  • Modelo de amenazas: Utiliza el modelado de amenazas para comprender la postura de seguridad de tu organización.
  • Principio de privilegios mínimos: Implementa y practica el principio de privilegios mínimos, asegurando que los empleados solo tengan acceso a la información y sistemas necesarios para su trabajo.
  • Autenticación segura: Garantiza una autenticación segura para todas las cuentas y sistemas, utilizando métodos como la autenticación multifactor.
  • Gestión de cuentas: Elimina o actualiza las cuentas cuando los empleados se vayan de la organización.
  • Monitoreo de actividades: Investiga las actividades inusuales y mantén un monitoreo constante de los sistemas para detectar comportamientos sospechosos.
  • Educación y concienciación: Capacita a los empleados sobre las mejores prácticas de seguridad y la importancia de seguir los protocolos establecidos.

🚨 Amenazas externas

  • Malware: Software malicioso diseñado para dañar o infiltrarse en sistemas. Incluye virus, gusanos, troyanos y spyware.
  • Ransomware: Un tipo de malware que encripta los datos de la víctima y exige un rescate para liberarlos.
  • Phishing: Ataques que buscan engañar a las personas para que revelen información confidencial, como contraseñas o datos bancarios, generalmente a través de correos electrónicos falsos.
  • Ataques de denegación de servicio (DoS/DDoS): Intentos de hacer que un servicio en línea no esté disponible sobrecargándolo con tráfico falso.
  • Ataques Man-in-the-Middle (MitM): Interceptación de comunicaciones entre dos partes para robar o alterar la información transmitida.
  • Inyección SQL: Ataques que explotan vulnerabilidades en aplicaciones web para ejecutar comandos SQL maliciosos en la base de datos.

✔️ Cómo Evitar Amenazas Internas

  • Modelo de amenazas: Utiliza el modelado de amenazas para identificar y comprender las posibles vulnerabilidades y riesgos dentro de tu organización. Esto te ayudará a anticipar y mitigar posibles ataques internos.
  • Principio de privilegios mínimos: Asegúrate de que los empleados solo tengan acceso a la información y sistemas necesarios para realizar su trabajo. Limitar los privilegios reduce el riesgo de que datos sensibles sean comprometidos.
  • Autenticación segura: Implementa métodos de autenticación robustos, como la autenticación multifactor (MFA), para proteger las cuentas y sistemas. Esto añade una capa adicional de seguridad, dificultando el acceso no autorizado.
  • Gestión de cuentas: Mantén un control riguroso sobre las cuentas de usuario. Asegúrate de eliminar o actualizar las cuentas cuando los empleados dejen la organización o cambien de rol.
  • Monitoreo de actividades: Realiza un monitoreo constante de las actividades en los sistemas para detectar comportamientos inusuales o sospechosos. Investiga cualquier actividad que parezca fuera de lo común.
  • Educación y concienciación: Capacita a los empleados sobre las mejores prácticas de seguridad y la importancia de seguir los protocolos establecidos. La formación continua ayuda a crear una cultura de seguridad dentro de la organización.

📧 Ataques a Correo Electrónico

Los ataques a correos electrónicos son una de las formas más comunes de ciberataques hoy en día. Se aprovechan del hecho de que el correo es una herramienta esencial y ampliamente usada, tanto en entornos personales como laborales

1. SPAM

Objetivo: Llenar tu bandeja con mensajes irrelevantes o publicidad.

  • Usa filtros anti-spam.
  • No respondas a correos desconocidos.

2. Phishing

Objetivo: Robar datos personales suplantando entidades legítimas.

  • Verifica el remitente del correo.
  • No ingreses datos desde enlaces sospechosos.

3. Virus y Malware

Objetivo: Infectar tu dispositivo mediante archivos adjuntos.

  • No abras archivos de remitentes desconocidos.
  • Mantén tu antivirus actualizado.

4. Ransomware

Objetivo: Cifrar tus archivos y pedir un rescate.

  • Haz copias de seguridad con frecuencia.
  • Evita abrir enlaces o archivos sospechosos.

5. Spear Phishing

Objetivo: Ataque personalizado para engañar a personas específicas.

  • Confirma instrucciones importantes por otro medio.

6. Business Email Compromise (BEC)

Objetivo: Suplantar ejecutivos para desviar fondos.

  • Verifica cambios financieros con llamadas u otros canales.

🛡️ Consejos Generales

  • Activa la autenticación en dos pasos (2FA).
  • Usa contraseñas seguras y cámbialas regularmente.
  • Capacita a usuarios sobre ciberseguridad.

🔍 Origen y autenticidad de aplicaciones

Cuando hablamos del origen y autenticidad de aplicaciones, nos referimos a verificar de dónde proviene una app y si es confiable o legítima antes de instalarla. Esto es fundamental para proteger la seguridad de tus datos y dispositivos

  • Fuentes oficiales: Google Play Store, Apple App Store, Microsoft Store, sitios oficiales.
  • Fuentes no oficiales (⚠️ riesgo): Tiendas de terceros, archivos APK desconocidos, enlaces por mensajes o redes.

⚠️ Riesgos de Apps de Origen Dudoso

  • Instalación de malware o spyware.
  • Robo de información personal.
  • Acceso no autorizado a tus dispositivos.

✅ Autenticidad de una Aplicación

Para saber si una app es legítima y no una copia modificada:

  • Verifica el nombre del desarrollador.
  • Observa descargas y reseñas.
  • Revisa los permisos solicitados.
  • Comprueba certificados digitales.
  • Consulta el sitio web oficial.
  • Investiga opiniones en foros tecnológicos.

🛡️ Recomendaciones Generales

  • Descarga siempre desde fuentes oficiales.
  • Evita apps “mod” o piratas.
  • Activa Play Protect u otros escáneres de seguridad.
  • Supervisa los permisos de las apps.

Actualizaciones del SO y Aplicaciones

Las actualizaciones del sistema operativo (SO) y de las aplicaciones son clave para mantener la seguridad, estabilidad y rendimiento de cualquier dispositivo

¿Qué son?

Son mejoras o correcciones para solucionar errores, añadir funciones nuevas, mejorar la seguridad y el rendimiento.

🛡️ Importancia de Actualizar

  • Seguridad: Corrigen vulnerabilidades críticas.
  • Rendimiento: Mejoran la velocidad y eficiencia.
  • Compatibilidad: Aseguran el buen funcionamiento con otras apps y servicios.
  • Nuevas funciones: Acceso a mejoras y herramientas recientes.

⚠️ Riesgos de No Actualizar

  • Mayor exposición a virus y ataques.
  • Fallas o cierres inesperados en apps.
  • Problemas de compatibilidad y lentitud.

Recomendaciones

  • Activa las actualizaciones automáticas.
  • Verifica actualizaciones de forma regular.
  • Mantén suficiente espacio libre en tu dispositivo.
  • No ignores los mensajes del sistema.

🛡️ Software de Detección de Amenazas

🔍 ¿Qué es?

Es un conjunto de herramientas diseñadas para detectar, bloquear y eliminar amenazas digitales como virus, malware, spyware, ransomware, rootkits, etc.

💻 Tipos de Software de deteccion de amenazas

  • Antivirus: Detecta y elimina virus conocidos / Escanea archivos y programas en tiempo real.
  • Antimalware: Defensa contra amenazas más complejas. Detecta malware sofisticado como troyanos, adware o ransomware.
  • Firewall: Controla el tráfico de red. Bloquea accesos no autorizados.
  • Antispyware: Previene el espionaje de datos. Detectan programas espias
  • EDR: Soluciones avanzadas para empresas. Detecta comportamientos sospechosos en dispositivos

🔧 Funciones Comunes

  • Escaneo en tiempo real
  • Análisis bajo demanda
  • Cuarentena de archivos sospechosos
  • Actualizaciones automáticas
  • Notificaciones de seguridad

🔥 Ejemplos Populares

  • Windows Defender
  • Avast, Bitdefender, Norton
  • Malwarebytes, Kaspersky
  • CrowdStrike (EDR empresarial)

✅ Recomendaciones

  • Activa la protección en tiempo real.
  • Actualiza regularmente el software.
  • No instales múltiples antivirus a la vez.
  • Haz escaneos periódicos.

📶 Medidas de Seguridad en Redes Inalámbricas (WiFi)

🔐 ¿Por qué es importante proteger tu red Wi-Fi?

Para evitar que extraños usen tu red, roben tus datos o comprometan tus dispositivos conectados.

🛡️ Medidas Básicas

  • Cambiar el nombre del SSID (no usar el predeterminado).
  • Establecer una contraseña fuerte y compleja.
  • Usar cifrado WPA2 o WPA3.
  • Desactivar WPS para mayor seguridad.
  • Actualizar el firmware del router.

Medidas Opcionales pero útiles

  • Ocultar el SSID (red no visible en búsquedas).
  • Filtrado de direcciones MAC.
  • Desactivar funciones innecesarias (ej. acceso remoto).

⚠️ Buenas prácticas adicionales

  • Cambia la contraseña de administrador del router.
  • Evita usar redes públicas sin protección o VPN.
  • Revisa qué dispositivos están conectados a tu red.

Inventariar Servicios de Red

🧾 ¿Qué es?

Es el proceso de identificar, registrar y monitorear todos los servicios activos en la red, como servidores, protocolos y aplicaciones. Esto incluye servidores web, DNS, FTP, DHCP, correo electrónico, impresoras en red, etc.

🎯 Por qué es importante?

  • Detecta servicios no autorizados o inseguros.
  • Facilita el mantenimiento y administración.
  • Ayuda en auditorías y cumplimiento normativo.
  • Permite una respuesta rápida ante incidentes.

🔍 ¿Qué se debe inventariar?

  • Tipo de servicio (DNS, HTTP, FTP...)
  • Dirección IP / nombre del host
  • Sistema operativo
  • Puerto y protocolo
  • Versión del software
  • Responsable / área
  • Estado actual (activo/inactivo)

🛠️ Herramientas útiles

  • Nmap – para escaneo de puertos/servicios
  • Angry IP Scanner
  • Netdiscover
  • Advanced IP Scanner
  • GLPI, Lansweeper (inventario completo)
  • Scripts personalizados (PowerShell, Bash)

✅ Buenas prácticas

  • Realizar inventarios periódicos.
  • Automatizar escaneos si es posible.
  • Validar que cada servicio tiene una función justificada.
  • Eliminar servicios innecesarios.
  • Documentar todo de forma clara.

🕵️‍♂️ IDS - Sistema de Detección de Intrusos

💡 ¿Qué es un IDS?

Un IDS (Intrusion Detection System) es un sistema que monitoriza el tráfico de red o la actividad de los sistemas para detectar comportamientos sospechosos o maliciosos, como ataques, accesos no autorizados o uso indebido de recursos

🔍 Tipos de IDS

  • NIDS: Basado en red. Ej: Snort, Suricata.
    • Monitorea el tráfico de red completo
    • Se instala en un punto estratégido de la red
  • HIDS: Basado en host. Ej: OSSEC, Wazuh.
    • Se instala en dispositivos individuales (servidores, PCs).
    • Analiza logs, procesos, archivos del sistema.

🛠️ Funcionamiento

  • Captura tráfico/red o actividad del sistema.
  • Analiza con firmas o comportamiento.
  • Genera alertas ante amenazas.
  • No bloquea el tráfico (solo detecta).

🚨 Comparativa IDS vs IPS

Característica IDS IPS
Acción Alerta Bloquea
Ubicación Fuera de línea En línea con tráfico
Ejemplo Snort (modo IDS) Snort (modo IPS)

📦 Ejemplos Populares

  • Snort
  • Suricata
  • OSSEC
  • Wazuh
  • Security Onion

✅ Recomendaciones

  • Combínalo con otras soluciones de seguridad.
  • Configura alertas automáticas.
  • Mantén actualizado el sistema de firmas.
  • Úsalo dentro de una estrategia de defensa en profundidad.