Seguridad de la Información

La seguridad de la información es el conjunto de medidas, técnicas y procedimientos orientados a proteger la información frente a amenazas que puedan comprometer su confidencialidad, integridad o disponibilidad.

1. Conceptos Básicos

🏷️ Activos

Un activo es cualquier elemento que tiene valor para una organización y que, por tanto, necesita ser protegido. Los activos pueden ser:

Información: bases de datos, documentos, contratos, datos de clientes.
Software: aplicaciones, sistemas operativos, herramientas de desarrollo.
Hardware: servidores, ordenadores, dispositivos de red, discos duros.
Servicios: correo electrónico, acceso a internet, sistemas en la nube.
Personas: empleados con conocimiento crítico del negocio.

⚠️ Amenazas

Una amenaza es cualquier evento o acción, intencionada o accidental, que puede causar daño a un activo.

Tipo	Ejemplos
Naturales	Inundaciones, terremotos, incendios
Humanas accidentales	Errores de configuración, borrado involuntario
Humanas intencionadas	Hackers, empleados descontentos, espionaje
Técnicas	Fallos de hardware, cortes de suministro eléctrico

🕳️ Vulnerabilidades

Una vulnerabilidad es una debilidad o fallo en un sistema que puede ser explotado por una amenaza.

Fallos en el código (bugs, desbordamiento de búfer).
Contraseñas débiles o reutilizadas.
Software desactualizado sin parches de seguridad.
Configuraciones incorrectas de red o permisos excesivos.
Falta de formación del personal.

📊 Riesgos

El riesgo es la probabilidad de que una amenaza explote una vulnerabilidad y cause un impacto negativo en un activo.

Riesgo = Probabilidad de la amenaza × Impacto del daño

La gestión del riesgo implica:

Identificar los activos y sus vulnerabilidades.
Evaluar la probabilidad e impacto de cada amenaza.
Tratar el riesgo (eliminarlo, mitigarlo, transferirlo o aceptarlo).
Monitorizar continuamente para detectar cambios.

🛡️ Medidas de Seguridad

Las medidas de seguridad (también llamadas controles o salvaguardas) son acciones aplicadas para reducir el riesgo.

Preventivas: cortafuegos, antivirus, control de accesos.
Detectivas: sistemas de detección de intrusiones (IDS), logs de auditoría.
Correctivas: planes de recuperación ante desastres, copias de seguridad.
Disuasorias: cámaras de seguridad, políticas y sanciones.

2. Principios de Seguridad

Los pilares fundamentales de la seguridad de la información conforman lo que se conoce como la tríada CIA y otros principios complementarios.

🔒 Confidencialidad

Garantiza que la información solo es accesible por las personas o sistemas autorizados.

Se logra mediante cifrado, control de accesos y clasificación de la información.
Ejemplo: los datos médicos de un paciente solo deben ser visibles para el personal sanitario autorizado.

✅ Integridad

Asegura que la información no ha sido alterada de forma no autorizada, ya sea durante su almacenamiento o transmisión.

Se logra mediante funciones hash, firmas digitales y controles de versiones.
Ejemplo: garantizar que un contrato enviado por correo no ha sido modificado durante el tránsito.

🟢 Disponibilidad

Asegura que los sistemas y datos están accesibles cuando se necesitan.

Se logra mediante redundancia, balanceo de carga, copias de seguridad y planes de continuidad.
Ejemplo: un servicio bancario online debe estar operativo 24/7.

🪪 Autenticación

Permite verificar la identidad de un usuario, sistema o entidad antes de concederle acceso.

Factores de autenticación:
Algo que sabes: contraseña, PIN.
Algo que tienes: tarjeta, token OTP.
Algo que eres: huella dactilar, reconocimiento facial.
La autenticación multifactor (MFA) combina dos o más factores para mayor seguridad.

🔑 Autorización

Una vez autenticado, la autorización determina qué acciones o recursos puede usar un usuario.

Se implementa mediante listas de control de acceso (ACL), roles (RBAC) y políticas.
Principio de mínimo privilegio: cada usuario solo tiene los permisos estrictamente necesarios.

📋 Trazabilidad (Accountability)

Permite registrar y auditar quién hizo qué, cuándo y desde dónde.

Se implementa mediante logs de sistema, registros de auditoría y sistemas SIEM.
Esencial para investigar incidentes y cumplir con normativas como el RGPD.

🚫 No Repudio

Garantiza que una parte no puede negar haber realizado una acción o enviado un mensaje.

Se logra mediante firmas digitales y registros con marca de tiempo.
Ejemplo: un usuario no puede negar haber firmado electrónicamente un contrato.

3. Criptografía

La criptografía es la ciencia que estudia las técnicas de transformación de información para protegerla de accesos no autorizados.

🔄 Cifrado Simétrico

Utiliza la misma clave para cifrar y descifrar la información.

Texto plano → [Cifrado con clave K] → Texto cifrado
Texto cifrado → [Descifrado con clave K] → Texto plano

Ventaja: muy rápido y eficiente para grandes volúmenes de datos.
Desventaja: el problema de la distribución segura de la clave.
Algoritmos comunes: AES (estándar actual), DES, 3DES, ChaCha20.

🗝️ Cifrado Asimétrico o de Clave Pública

Utiliza un par de claves matemáticamente relacionadas:

Clave pública: se comparte libremente con cualquiera; se usa para cifrar.
Clave privada: secreta, solo la posee el destinatario; se usa para descifrar.

Texto plano → [Cifrado con clave PÚBLICA del destinatario] → Texto cifrado
Texto cifrado → [Descifrado con clave PRIVADA del destinatario] → Texto plano

La característica fundamental y definitoria de este sistema es que cualquier persona puede cifrar un mensaje usando la clave pública del destinatario, pero solo el destinatario —quien posee la clave privada correspondiente— puede descifrarlo. Esto lo diferencia radicalmente del cifrado simétrico.

Ventaja: resuelve el problema de la distribución de claves; no es necesario un canal seguro previo.
Desventaja: significativamente más lento que el cifrado simétrico; no apto para grandes volúmenes de datos.
Uso típico: establecimiento de claves de sesión, firmas digitales, autenticación.
Algoritmos comunes: RSA, ECC (criptografía de curva elíptica), ElGamal.

⚠️ En la práctica, los sistemas reales combinan ambos tipos: se usa cifrado asimétrico para intercambiar de forma segura una clave de sesión, y luego cifrado simétrico (más rápido) para cifrar el grueso de los datos. Esto es exactamente lo que hace TLS/HTTPS.

⚖️ Comparativa: Cifrado Simétrico vs. Asimétrico

Característica	Simétrico	Asimétrico (Clave Pública)
Número de claves	1 (misma para cifrar y descifrar)	2 (pública y privada)
¿Quién puede cifrar?	Solo quien tiene la clave	Cualquiera (con la clave pública)
¿Quién puede descifrar?	Solo quien tiene la clave	Solo el dueño de la clave privada
Intercambio de claves	Requiere canal seguro previo	No requiere canal seguro previo
Velocidad	Muy rápido	Lento
Uso típico	Cifrado masivo de datos (archivos, disco, canal)	Acuerdo de claves, firma digital, autenticación
Algoritmos	AES, ChaCha20, DES	RSA, ECC, ElGamal
Escala	Problema al aumentar el nº de participantes	Escala bien

#️⃣ Hash (Función Resumen)

Una función hash transforma un dato de cualquier tamaño en una cadena de longitud fija (llamada digest o resumen).

Es unidireccional: no se puede obtener el dato original a partir del hash.
Pequeños cambios en el dato producen hashes completamente diferentes (efecto avalancha).
Uso: verificación de integridad, almacenamiento seguro de contraseñas.
Algoritmos comunes: SHA-256, SHA-3, bcrypt (para contraseñas).

Entrada	SHA-256
`"Hola"`	`0a4d55a8d778e5022fab701977c5d840bbc486d0c1da...`
`"hola"`	`b94d27b9934d3e08a52e52d7da7dabfac484efe04294...`

✍️ Firma Digital

Combina el cifrado asimétrico con funciones hash para garantizar autenticidad e integridad.

Proceso de firma:
1. Se calcula el hash del mensaje.
2. Se cifra ese hash con la clave privada del remitente → esto es la firma.
3. Se envía el mensaje junto con la firma.

Proceso de verificación:
1. Se descifra la firma con la clave pública del remitente → se obtiene el hash original.
2. Se calcula el hash del mensaje recibido.
3. Si ambos hashes coinciden → el mensaje es auténtico e íntegro.

🏛️ Infraestructura de Clave Pública (PKI)

La PKI (Public Key Infrastructure) es el conjunto de hardware, software, políticas y procedimientos necesarios para gestionar certificados digitales y claves públicas.

Componentes principales:
- Autoridad de Certificación (CA): emite y firma certificados digitales.
- Autoridad de Registro (RA): verifica la identidad antes de solicitar un certificado a la CA.
- Repositorio de certificados: almacena los certificados emitidos.
- Lista de Revocación (CRL / OCSP): informa de los certificados que han sido revocados.

4. Certificados Digitales

Un certificado digital es un documento electrónico firmado por una CA que asocia una clave pública con la identidad de su propietario.

🏢 Autoridades de Certificación (CA)

Una CA es una entidad de confianza encargada de emitir, firmar y revocar certificados digitales.

CA Raíz (Root CA): el nivel más alto de confianza; su certificado está preinstalado en los navegadores y sistemas operativos.
CA Intermedia (Intermediate CA): emite certificados en nombre de la CA raíz, reduciendo el riesgo de exposición de la clave raíz.
Ejemplos conocidos: Let's Encrypt, DigiCert, GlobalSign, FNMT (España).

📄 Certificados X.509

El estándar X.509 define el formato de los certificados digitales más utilizados en Internet.

Un certificado X.509 contiene:

Campo	Descripción
Versión	Versión del estándar (v3 es la actual)
Número de serie	Identificador único del certificado
Algoritmo de firma	Algoritmo usado por la CA para firmar
Emisor	Nombre de la CA que lo emitió
Validez	Fecha de inicio y expiración
Sujeto	Entidad a la que pertenece el certificado
Clave pública	La clave pública del sujeto
Firma de la CA	Firma digital de la CA sobre todo lo anterior

🔗 Cadena de Confianza

La cadena de confianza (chain of trust) es la jerarquía de certificados que permite verificar la autenticidad de un certificado.

CA Raíz (confianza preinstalada)
    └── CA Intermedia (firmada por la CA Raíz)
            └── Certificado del servidor (firmado por la CA Intermedia)

Para que un certificado sea considerado válido:
1. Debe estar firmado por una CA de confianza.
2. No debe haber expirado.
3. No debe estar en la lista de revocados (CRL/OCSP).

5. Protocolos Seguros

SSL (Secure Sockets Layer)

SSL fue el primer protocolo ampliamente adoptado para cifrar comunicaciones en Internet, desarrollado por Netscape en los años 90.

Actualmente está obsoleto y deprecado (SSLv2 y SSLv3 tienen vulnerabilidades graves como POODLE).
Ha sido completamente reemplazado por TLS.
Aunque coloquialmente se sigue hablando de "SSL", los sistemas modernos usan TLS.

TLS (Transport Layer Security)

TLS es el sucesor de SSL, mucho más seguro y ampliamente utilizado hoy en día.

Versiones actuales recomendadas: TLS 1.2 y TLS 1.3.
TLS 1.3 (2018) simplifica el handshake, mejora el rendimiento y elimina algoritmos débiles.

Proceso de handshake TLS simplificado:
1. El cliente envía los algoritmos que soporta (ClientHello).
2. El servidor elige el algoritmo y envía su certificado (ServerHello).
3. Se verifica el certificado del servidor.
4. Se genera un secreto compartido (intercambio de claves).
5. Se establece el canal cifrado.

HTTPS

HTTPS (HyperText Transfer Protocol Secure) es simplemente HTTP sobre TLS.

Proporciona cifrado del canal, autenticación del servidor e integridad de los datos.
Opera en el puerto 443 (HTTP usa el 80).
El candado 🔒 visible en el navegador indica que la conexión usa HTTPS con un certificado válido.
Es obligatorio para cualquier sitio web que maneje datos sensibles o credenciales.

SSH (Secure Shell)

SSH es un protocolo para acceder y administrar sistemas remotos de forma segura.

Reemplaza protocolos inseguros como Telnet y rlogin (que transmitían datos en texto claro).
Opera en el puerto 22.
Funcionalidades principales:
Acceso remoto a la línea de comandos.
Transferencia segura de archivos (SFTP, SCP).
Túneles (port forwarding) para securizar otras conexiones.
La autenticación puede ser por contraseña o por par de claves pública/privada (más seguro).

IPsec (Internet Protocol Security)

IPsec es un conjunto de protocolos que opera a nivel de capa de red (IP) para cifrar y autenticar todo el tráfico IP.

A diferencia de TLS (capa de transporte), IPsec protege cualquier protocolo sobre IP, de forma transparente para las aplicaciones.
Modos de operación:
Modo Transporte: cifra solo el payload del paquete IP.
Modo Túnel: cifra el paquete IP completo (se usa en VPNs).
Protocolos que lo componen:
AH (Authentication Header): autenticación e integridad, sin cifrado.
ESP (Encapsulating Security Payload): cifrado, autenticación e integridad.
IKE (Internet Key Exchange): negociación de claves.

6. Seguridad en Comunicaciones

🤝 Autenticación Mutua

La autenticación mutua (mutual authentication o mTLS) implica que ambas partes de una comunicación verifican la identidad de la otra.

En HTTPS estándar, solo el cliente verifica al servidor.
Con mTLS, el servidor también exige un certificado al cliente.
Muy usado en entornos empresariales, APIs de alto valor y arquitecturas de microservicios (Zero Trust).

🔄 Intercambio de Claves

El intercambio de claves es el proceso mediante el cual dos partes acuerdan un secreto compartido para usarlo como clave de cifrado, sin transmitirlo directamente.

Diffie-Hellman (DH): el protocolo clásico; permite acordar una clave sobre un canal inseguro.
ECDH (Elliptic Curve Diffie-Hellman): versión más eficiente basada en curvas elípticas.
Forward Secrecy (PFS): uso de claves efímeras para que el compromiso de una clave no afecte a sesiones pasadas. TLS 1.3 lo exige por defecto.

🔐 Cifrado de Canal

El cifrado de canal protege todos los datos que viajan entre dos puntos, independientemente del contenido.

Se establece tras el handshake usando algoritmos de cifrado simétrico (por su eficiencia): AES-GCM, ChaCha20-Poly1305.
La clave de sesión se deriva del intercambio de claves asimétrico inicial.
Protege contra ataques de escucha pasiva (eavesdropping) y hombre en el medio (man-in-the-middle).

🧾 Integridad de Mensajes

La integridad de mensajes garantiza que los datos no han sido alterados durante la transmisión.

Se logra mediante MACs (Message Authentication Codes) o modos de cifrado autenticado (AEAD).
HMAC: combina una función hash con una clave secreta compartida.
AES-GCM: cifrado que incluye autenticación integrada (cada paquete lleva un tag de autenticación).
Si un atacante modifica el mensaje en tránsito, la verificación del MAC fallará y el receptor descartará el paquete.

Resumen Visual

┌─────────────────────────────────────────────────────────────────┐
│                    SEGURIDAD DE LA INFORMACIÓN                  │
├───────────────────┬───────────────────┬─────────────────────────┤
│  CONFIDENCIALIDAD │    INTEGRIDAD     │     DISPONIBILIDAD      │
│  (nadie no autori-│  (datos íntegros  │  (acceso cuando se      │
│   zado puede leer)│   y no alterados) │   necesite)             │
├───────────────────┴───────────────────┴─────────────────────────┤
│           AUTENTICACIÓN · AUTORIZACIÓN · TRAZABILIDAD           │
│                       NO REPUDIO                                │
├─────────────────────────────────────────────────────────────────┤
│                        CRIPTOGRAFÍA                             │
│   Simétrica (AES) · Asimétrica (RSA) · Hash (SHA) · Firma       │
├─────────────────────────────────────────────────────────────────┤
│                    PROTOCOLOS SEGUROS                           │
│         TLS · HTTPS · SSH · IPsec                               │
└─────────────────────────────────────────────────────────────────┘

Documento elaborado para el estudio de Seguridad de la Información. Todos los conceptos están actualizados conforme a los estándares vigentes.