CRIPTOGRAFÍA

CRIPTOGRAFÍA Y SUS APLICACIONES

ANDRÉS MATEO OJEDAESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICAUNIVERSIDAD PONTIFICIA BOLIVARIANA 2024

SEGURIDAD INFORMÁTICA

DEFINICIÓN

La seguridad informática o ciberseguridad, es la protección de la información con el objetivo de evitar la manipulación de datos y procesos por personas no autorizadas. Su principal objetivo es que, tanto personas como equipos tecnológicos y datos, estén protegidos contra daños y amenazas hechas por terceros. (Universidad de Catalunya, s.f.)

SEGURIDAD de la información

DEFINICIÓN

La seguridad de la información es un conjunto de procedimientos y herramientas de seguridad que protegen ampliamente la información confidencial de la empresa frente al uso indebido, acceso no autorizado, interrupción o destrucción. (Microsoft, s.f.)

CRIPTOGRAFÍA

DEFINICIÓN

La criptografía es una práctica que consiste en proteger información mediante el uso de algoritmos codificados, hashes y firmas. La información puede estar en reposo, en tránsito o en uso. (Amazon Web Services [AWS], s.f.)

¿QUÉ RELACION TIENE LA CRIPTOGRAFÍA CON LA SEGURIDAD DE LA INFORMACIÓN Y LA SEGURIDAD INFORMÁTICA?

De acuerdo con su definición, la criptografía es una práctica que emplea algunas técnicas y procedimientos aplicados a la información para que no cualquier individuo o sistema pueda entenderla a simple vista, donde solo las partes interesadas y destinatarios tienen autorización para entenderla. Esto se relaciona con la seguridad de la información ya que esta comprende tambien técnicas, procesos y medidas para controlar y proteger los datos confidenciales en un sistema, y vela por que estos tengan un correcto tratamiento. Ahora, en relación a la seguridad informática, la criptografía es la que se encarga de proporcionar toda la base mantemática y medidas técnicas para el desarrollo de las prácticas de la seguridad informática. Es decir la criptografía logra cumplir algunos de los obejtivos que contempla la seguridad de la información y es necesaria para que la seguridad informática sea aplicable y efectiva.

Y ENTONCES...

La seguridad informática y la criptografía estan estrechamente alienadas; ya que esta última es una herramienta clave dentro de las prácticas de seguridad informática. La criptografía proporciona herramientas esenciales para implementar diversas prácticas de seguridad informática y ambos campos se interrelacionan con la finalidad de proteger la información.

¿CÓMO ESTAN LAS PRÁCTICAS DE SEGURIDAD INFORMÁTICA ALINEADAS CON LA CRIPTOGRAFÍA?

01

DESDE LA CONFIDENCIALIDAD

02

DESDE LA INTEGRIDAD

03

04

DESDE EL NO REPUDIO

DESDE LA AUTENTICACIÓN

¿CUAL ES EL ÉXITO DE LA CRIPTOGRAFÍA?

Para entender mejor el exito de la criptografía podemos referirnos al siguiente comentario del ingeniero Yran Marrero:En un modelo criptográfico típico, existen dos puntos: "a" y "b", que se consideran fiables y, entre ellos, se transmite información mediante un canal no fiable. La Criptografía se ocupa de los problemas relacionados con la transmisión confidencial y segura por el medio no fiable, en tanto la seguridad informática se ocupa de asegurar la fiabilidad de los nodos "a" y "b". (2003). La criptografía tiene la habilidad y facilidad de poder ser aplicable directamente sobre la información y datos, como tambien sobre los canales de comunicación y/o transmision de estos, por lo cual como lo menciona Jon Callas (2008), "La criptografía es seguridad a distancia, privacidad a distancia, autenticidad a distancia" (pp 1). La criptografía hace un resguardo de información especial y valiosa sobre el mismo mensaje que se transmite (En transito), de modo tal que esa información solo unos pocos (autorizados) la puedan interpretar. Sin embargo, la criptografía tambien puede aplicarse a esa información en su estado de reposo o de uso. Por otra parte, se debe tener presente que la criptografía se basa en sistemas matemáticos (algoritmos y metodos avanzados) lo que le permite ser más exacta, más precisas; lo que genera que haya mayor seguridad y menos probabilidades de riesgo o vulnerabilidad.

ESTOS SON ALGUNOS EJEMPLOS

LEY 2015 DE 2020 Por medio del cual se crea la historia clínica electrónica interoperable y se dictan otras disposiciones. (Ministerio de Salud y Protección Social,2020)

DECRETO 2364 DE 2012 Por medio del cual se reglamenta el artículo 7° de la Ley 527 de 1999, sobre la firma electrónica y se dictan otras disposiciones.(Ministerio de Comercio, Industria y Turismo, 2012)

LEY ESTATUTARIA 1581 DE 2012 Por la cual se dictan disposiciones generales para la protección de datos personales.(Congreso de la República de Colombia, 2012)

¿CON QUÉ REGULACIONES, REGLAMENTACIONES, ESTAMENTOS Y/O LEYES COLOMBIANAS ESTÁ ALINEADA LA CRITOGRAFÍA?

REFERENCIAS

BIBLIOGRÁFICAS

• Amazon Web Services. (s.f.). ¿Qué es la criptografía?. https://aws.amazon.com/es/what-is/cryptography/#:~:text=La%20criptograf%C3%ADa%20es%20una%20pr%C3%A1ctica,algoritmos%20codificados%2C%20hashes%20y%20firmas.
• Callas, J. (2008). An Introduction to Cryptography. PGP Corporation. http://cisweb.bristolcc.edu/~ik/Download/CIT18/IntroToCrypto.pdf
• Congreso de la República de Colombia. (17 de octubre de 2012). Ley Estatutaria 1581 de 2012. Por la cual se dictan disposiciones generales para la protección de datos personales. 18 de octubre de 2012. D.O. No 48587. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=49981
• genuinocloud, (s.f). https://genuinocloud.com/blog/que-es-la-criptografia-y-como-nos-ayuda/
• López, M. (29, marzo 2023). Tipos de criptografía ¿Cuáles son los más comunes para la privacidad de las comunicaciones?. Immune Technology Institute. https://immune.institute/blog/tipos-de-criptografia-seguridad-online/
• Marrero, Y. (2003). La Criptografía como elemento de la seguridad informática. http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S1024-94352003000600012#:~:text=La%20Criptograf%C3%ADa%20se%20ocupa%20de,a%22%20y%20%22b%22.

REFERENCIAS

BIBLIOGRÁFICAS

• Microsoft, (s.f.). ¿Qué es la seguridad de la información (InfoSec)?. https://www.microsoft.com/es-ar/security/business/security-101/what-is-information-security-infosec
• Ministerio de Comercio, Industria y Turismo. (22 de noviembre de 2012). Decreto 2364 de 2012. Por medio del cual se reglamenta el artículo 7° de la Ley 527 de 1999, sobre la firma electrónica y se dictan otras disposiciones. Artículo 1°. Definiciones. 3. 22 de noviembre 2022. D.O. No 48622.
• Ministerio de Salud y Protección Social. (31 de enero de 202). Ley 2015 de 2000. Por medio del cual se crea la historia clínica electrónica interoperable y se dictan otras disposiciones.

• Smruthi, B. (7, diciembre 2022). ¿Qué importancia tiene la criptografía en la seguridad de las redes?. ManageEngine. https://blogs.manageengine.com/espanol/2022/12/07/importancia-criptografia-seguridad-de-las-redes.html

• Universidad de Catalunya. (s.f.). Seguridad informática: La importancia y lo que debe saber. https://www.ucatalunya.edu.co/blog/seguridad-informatica-la-importancia-y-lo-que-debe-saber

¡GRACIAS!

EJEMPLO

La autenticación criptográfica se usa para garantizar que solo usuarios legítimos accedan a sistemas o servicios. De modo tal que, el emisor y el receptor pueden confirmar la identidad del otro y el origen/destino de la información. (Genuino Cloud, s.f.). En esta se encuentran los certificados digitales y firmas digitales.

EJEMPLO

Los algoritmos de cifrado (mensaje de texto plano en texto cifrado) y descifrado (mensaje de texto cifrado en texto plano) son los que ayudan a evitar la divulgación de información confidencial y el acceso no autorizado. La clave para descifrar los datos codificados la tienen tanto el emisor como el receptor, por lo que es el método más efectivo para ocultar la comunicación. (Smruthi, 2022) Cifrado clave simétrica: La misma clave tanto para el cifrado como para el descifrado. Se comparte con los interlocutores de forma segura antes de iniciar cualquier tipo de comunicación. Usado en aplicaciones que tienen un tráfico de datos alto. Este método es más ágil pero es más inseguro. (López, 2023) Cifrado clave asimétrica: Uso de dos claves distintas para el cifrado y descifrado. una clave privada para programar el mensaje y una clave pública para descifrarlo. Usado en aplicaciones en las que la privacidad es un factor clave. Este método es más seguro pero más lento. (López, 2023) Cifrado Híbrido: Mezcla las ventajas del cifrado simétrico y asimétrico.

EJEMPLO

El algoritmo matemático y las funciones hash criptográficas desempeñan un rol fundamental para garantizar a los usuarios la integridad de los datos. Son extremadamente útiles y son utilizados por la mayoría de las aplicaciones de seguridad de la información. (Smruthi, 2022) Función Hash: Genera un solo valor "huella digital" que representa a un texto o un conjunto de datos. Este único valor es generado con un algoritmo y no puede ser descifrado (No tiene una clave), sino que se usan para validar la integridad de los archivos y mensajes. (López, 2023)

La firma digital, combinada con otras medidas, proporciona un servicio de no repudio para evitar la negación de acciones. Tambien proporciona pruebas y la existencia de un mensaje, lo que hace muy difícil que las partes asociadas a la comunicación nieguen su participación. (Smruthi, 2022)as partes asociadas a la comunicación nieguen su participación.

EJEMPLO

Directamete se menciona la aplicabilidad de la criptografía.

Artículo 1°. Definiciones. Para los fines del presente decreto se entenderá por: 3. Firma electrónica. Métodos tales como, códigos, contraseñas, datos biométricos, o claves criptográficas privadas, que permite identificar a una persona, en relación con un mensaje de datos, siempre y cuando el mismo sea confiable y apropiado respecto de los fines para los que se utiliza la firma, atendidas todas las circunstancias del caso, así como cualquier acuerdo pertinente.

ARTÍCULO 1º. Objeto. La presente ley tiene por objeto regular la Interoperabilidad de la Historia Clínica Electrónica - IHCE, a través de la cual se intercambiarán los elementos de datos clínicos relevantes, así como los documentos y expedientes clínicos del curso de vida de cada persona.

Se hace mencion a interoperabilidad de datos digitales/electrónicos, por lo cual se relaciona con el intercambio de información (en transito) disponible entre varios sistemas.En donde la criptografía tambien tiene aplicabilidad.

La seguridad informática tiene 4 principios:

• Confidencialidad: La información-datos únicamente debe ser conocida por las personas autorizadas para acceder a ella (Principio de privacidad).
• Integridad: Garantizar que los datos sean guardados en un sitio seguro y que sean manipulados o alterados por nadie (Preservación de datos).
• Autenticidad: Controlar que la información que se posee sea legítima, que el autor sea auténtico, que el autor del mensaje (emisor) corresponda con el remitente identificado por el receptor del mensaje. (Principio de autenticidad)
• Disponibilidad: Garantiza que la información se encuentre siempre disponible para el personal autorizado y tambien que esta pueda ser recuperada ante algiun incidente.

¿QUÉ PRINCIPIOS DE LA SEGURIDAD DE LA INFORMACIÓN y SEGURIDAD INFORMÁTICA BUSCA FAVORECER LA CRIPTOGRAFÍA?

La criptografía tiene 4 objetivos principales:

• Confidencialidad: Poner la información únicamente a disposición de usuarios autorizados.
• Integridad: Asegurar que la información no sea manipulada o alterada.
• Autenticación: Confirmar la autenticidad de la información o de la identidad de un usuario.
• No repudio: Evitar que un usuario deniegue compromisos o acciones previas.

La seguridad de la información tiene 3 pilares:

• Confidencialidad: Garantizar que solo las personas o entidades autorizadas tengan accesos a la información y datos.
• Integridad: Garantizar que la información se muestre tal y como fue concebida, sin alteraciones o manipulaciones.
• Disponibilidad: Garantiza que la información se encuentre siempre disponible para el personal autorizado.

Artículo 2°. Ámbito de aplicación. Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada.

La criptografía es aplicable a todo lo que se relacione con protección de datos (en reposo o en uso).