CRIPTOGRAFIA Y CRIPTOANALISIS, LA DIALECTICA DE LA SEGURIDAD

Expositor: Alexander Hurtado González

Resumen: La criptografía y el criptoanálisis son dos conceptos fundamentales en el tema de la seguridad de la información. Desde el ámbito laboral o simplemente desde el quehacer diario personal, es importante conocer algunos de los peligros a los cuales nos enfrentamos al utilizar la web.

Mediante el uso de herramientas gratuitas y fáciles de encontrar como Keyloguers, es posible detectar desde las páginas web a la cuales se ingresa, hasta la captura de información sensible como nombres de usuario y contraseñas.

De acuerdo a los temas propuestos en esta conferencia se da la siguiente clasificación de ataques:

• Texto Cifrado: Busca detectar el mensaje oculto dentro de un texto encriptado mediante el uso de algoritmos de cifrado de información.
• Planos conocidos: Ataque enfocado a los archivos de texto plano.
• Ataque seleccionado: Se basa en la selección de un target u objetivo al cual de manera específica se enfoca todo el proceso de vulneración y/o captura de información.
• Hombre en el medio: La información enviada desde un emisor hacia un receptor mediante el uso especialmente de correos electrónicos o archivos compartidos, es capturada por un tercero que en el medio de los dos puede no solo leer, sino también modificar la información obtenida.

Es válido indicar que la seguridad informática es un tema que adquiere mayor auge e importancia por el uso masivo que el internet tiene a nivel mundial. Es por eso que el expositor nos regala algunas recomendaciones a tener en cuenta para disminuir las posibilidades de ser víctimas un ataque cibernético, que ahora no solo es dirigido hacia PC o servidores sino también puede ser ejecutado desde y hacia dispositivos móviles (Smartphone, Tablet):

• Implementar sistemas de rejillas de seguridad (Captcha), especialmente si a nivel corporativo se manejan portales web con información sensible.
• A nivel empresarial también se recomienda hacer uso de token, es decir, dispositivos que de manera aleatoria entregan una contraseña de acceso únicamente a las personas autorizadas. Estos elementos están siendo implementados especialmente por entidades bancarias y distribuidos en Medellín por la empresa Thomas. Adicionalmente, son cargados al número de identificación de la persona lo que permite la identificación plena en caso de presentarse algún tipo uso inadecuado.
• Implementar sistemas anti-espías en los equipos ya sea personales y/o corporativos.
• Se recomienda finalmente la herramienta Fortigate de la empresa Fortinet que mediante el uso de un elemento similar a un switche, permite la administración de la red y la implementación de reglas de seguridad en la web, especialmente para empresas con información muy importante.

Elementos de Software: Keyloguers, Anti-espías, Anti-malware, Antivirus, Token digitales (especialmente en página web de entidades bancarias), Creador de códigos Captcha.

Elementos de Hardware: PC, Token Físico, Sistema Fortigate de Fortinet.

Conclusiones acerca de la utilidad del tema en su formación profesional

Como profesionales en formación en el tema de administración de sistemas de información, es bastante importante conocer los peligros a los cuales puede estar expuesta la compañía para la cual laboramos; pero además como usuarios de la web es necesario tomar la precauciones necesarias para evitar que nuestra finanzas o nuestra información utilizada a diario y en muchas ocasiones de manera desprevenida en dispositivos móviles y haciendo uso de redes de no seguras, pueda ser capturada por inescrupulosos que puedan causarnos afectación.

El uso de software especializado y la adquisición de hardware complementario, aunque puede ser considerado un gasto innecesario para algunas compañías, a largo plazo es una importante inversión que puede ahorrar muchos dolores de cabeza. Es por ello que nuestra labor profesional es desmitificar el hecho de que los ciberataques solo le ocurren a los demás y que nuestra compañía se encuentra inmune antes estos peligros; pensamiento generalizado de las áreas administrativas empresariales que solo identifican la magnitud de los riesgos, cuando sus intereses y su información han sido vulnerados.