Inicio | Blog

Protocolos de seguridad web

domingo 6 de septiembre, 2020


Los protocolos de seguridad web, fundamentalmente son programas que apuntan a contrarrestar las diferentes amenazas que asechan a toda la infraestructura de las redes de internet, como así mismo, las redes internas de las instituciones y empresas. Estos protocolos están diseñados para proteger una triada que son la integridad, confiabilidad y disponibilidad de las bases de datos. 

¿Qué son los protocolos?,son métodos que transforman los datos con la finalidad de hacerlos indescifrables para los intrusos que acceden a ellos en forman no autorizada. Estos métodos o normas pueden ser de dos tipos.

  • La encriptación de datos.
  • El encapsulamiento de datos (ocultamiento).

La encriptación, también llamado cifrado, consiste en un método que transforma los datos en una secuencia de caracteres que es imposible en descifrar (es el proceso inverso), logrando que los datos sólo estarán disponibles para quien o quienes tienen la clave para desencriptar (descifrar).

La encriptación es un procedimiento que consta de un método de cifrado y una o más claves de descifrado. El método puede ser desde una sustitución simple hasta algoritmos matemáticos complicados.

Un ejemplo de encriptación, utilizando un antiguo método simple, llamado método César, ideado por Julio César es:

Abecedarioabcdefghijklmnñopqrstuvwxyz
Cifradodefghijklmnñopqrstuvwxyzabc

Por ejemplo, si se enviara un mensaje como el siguiente, “pasará un meteorito”, el mensaje cifrado sería “sdvdud xp ohwhrulwr”. En este sistema, el método para la sustitución de un carácter es el “desplazamiento a la izquierda del abecedario”. La clave es el número de caracteres que se desplaza, en este caso es “3”. Quien reciba el mensaje lo que necesita para descifrar es la clave.

El concepto de encapsulamiento de datos, para entender su significado habría que entender los conceptos de Objeto y Clase. En informática, una Clase es la representación de un TODO que está en estudio (puede ser un objeto físico o abstracto), para lo cual se le divide en varias pequeñas partes que son independientes entre sí. La representación abstracta del TODO es la CLASE, el OBJETO es un simple elemento que pertenece a la clase, sin importar lo complejo que pueda ser. En resumen, la clase es la representación de un conjunto de objetos similares.  A modo de entender estos conceptos, comparemos como ejemplo una empresa que está divida en varios departamentos.  El TODO en estudio es la  empresa (clase raíz),  a su vez la clase raíz se sub divide en varias sub clases que serían los departamentos como el de finanza, producción, compras, ventas, etc. Cada clase (como el departamento de ventas) está formado por partes más pequeñas, que son las personas. Las personas son los objetos que forman las clases, puesto que tienen propiedades que los identifican y los diferencian entre sí (nombre, edad, profesión, estado civil, etc.). Las Clases tienen propiedades y métodos que definen el ESTADO de los objetos que la constituyen y por consiguiente también el de las clases. El estado de un objeto (de una persona) en un determinado momento, sería en nuestro ejemplo la remuneración a pagar, el estado a nivel de clase sería el monto total a pagar por departamento,  el estado de la clase raíz (El Todo) sería el monto total a pagar a nivel Empresa. El método utilizado por la clase para determinar el estado, es algún programa de remuneraciones que calcula los sueldos a pagar.

El concepto de encapsulación es el ocultamiento de los datos de un objeto, es decir, ocultamiento de los atributos y métodos de la clase que los contiene, de manera que, sólo quienes estén autorizados en tener acceso para modificar o leer los datos del objeto, sean sólo los permitidos en tener acceso a ellos.  Entonces, la encapsulación es un mecanismo de aislamiento con finalidad de protección, por lo tanto, desde un punto de vista informático, la clase es un elemento importante en la seguridad de la información, puesto que, a través de una clave se permite tener el control de acceso de los usuarios a los datos ocultos que contiene la CLASE.

Para el encapsulamiento se han definido 3 niveles de acceso que son:

Público (Public): Todos los que pertenecen a la clase raíz, pueden acceder a los atributos y métodos de la clase, en nuestro ejemplo sería, que todos los empleados de la empresa podrían ver aquellos datos del personal que se han definido como público.

Protegido (Protected): Los datos están accesible sólo para los que pertenecen a una clase determinada y todas las sub clases que derivan de ella. En nuestro ejemplo, sería sólo para el personal del departamento de ventas quienes podrían tener acceso a los datos de la clase venta.

Privado (Private): Tienen acceso a los datos sólo aquellos que pertenecen a la clase, ni siquiera tienen derecho a las sub clases que deriven de ella. Este nivel es el más alto en protección.

En un ambiente de redes el encapsulamiento es el ocultamiento de los datos a transportar, desde un punto origen a un punto de destino, por medio de una aplicación (protocolo) que transforma los datos en paquete de datos y los envuelve en un túnel ocultándolos de los intrusos que intenten acceder a ellos. En el punto destino está la aplicación que desencapsula los paquetes y son transformados para que sean vistos.

Algunos de los principales protocolos existentes en las redes de internet son:

  1. TCP/IP: Es el principal protocolo de internet, consiste en un conjunto de protocolos cuya función es transmitir datos desde un punto de la red hacia otro punto de la red. Este protocolo asegura que los datos transportados lleguen al punto de destino en forma exacta. En caso de algún tipo de inconveniente insuperable, genera un tipo de error de comunicación. Algunos de los protocoles de esta familia TCP/IP son:
  • ARP: Protocolo utilizada para encontrar una determinada IP.
  • FTP: protocolo para transferencia de datos.
  • HTTP: Protocolo de transferencia de hipertexto (Hipertext Transfer Protocol). Este el protocolo utilizado para acceder a las páginas web.
  • POP: Es protocolo para obtener los mensajes de un correo alojado en un servidor remotos.
  • SMPT: Es el protocolo de una red que transmite los correos a los diferentes servidores de la red.
  • HTTP: Es el protocolo de transferencia de Hipertextos, es el protocolo de transferencia de información entre el navegador del usuario y el servidor donde está una determinada página web. Este protocolo es inseguro puesto que puede ser fácilmente accesible por los intrusos. Dado lo anterior, se le ha añadido una capa adicional de protección, lo que lo hace seguro para el transporte de datos, la nueva capa se le ha identificado con la letra S,  lo cual el protocolo pasa a llamarse HTTPS.
  • WiFi: Son los, protocoles diseñados para redes inalámbricas doméstica. Existen 3 protocoles para esta finalidad, que son similares, pero que tienen sus diferencias. Estos son:
  • WPE: Es el protocolo de seguridad diseñada para otorgar seguridad y privacidad a redes inalámbricas, puesto que este tipo de redes pueden ser fácilmente interceptadas por los intrusos, pero tienen fallas en la seguridad que no han sido solucionados.
  • WPA: Es el continuador del protocolo WPE, en el cual se le han implementados nuevos mecanismos de seguridad. Con el avance del tiempo, se detectaron algunas vulnerabilidades.
  • WPA2: Es el WPA con la incorporación de nuevas mejoras de seguridad.