Conceptos Clave de Ciberseguridad: Hashing, Ataques de Red y Fundamentos Criptográficos

Conceptos Esenciales de Ciberseguridad: Hashing, Criptografía y Detección de Intrusiones

Verificación de Integridad y Estándares Españoles

¿Cómo funciona un sistema de verificación de integridad? ¿Cuál es el algoritmo que recientemente ha mostrado debilidad?

Un sistema de verificación de integridad funciona comparando hashes (resúmenes criptográficos) de archivos o datos en diferentes momentos para detectar cambios no autorizados. El algoritmo de verificación de integridad que recientemente ha dado muestras de debilidad es SHA-1.

¿Qué administración española ha incorporado la seguridad digital, en concreto la cadena de custodia de evidencias digitales, en su estrategia?

La administración española que ha incorporado recientemente la seguridad digital y la cadena de custodia de evidencias digitales en su agencia estratégica es la Agencia Estatal de Administración Digital (AEAD).

Ataques de Red, DoS y Falsificación

¿Qué relación existe entre un ataque de escaneo de puertos y un ataque de Denegación de Servicio (DoS)?

El escaneo de puertos puede utilizarse como una fase preliminar para planear un ataque de DoS, ya que permite identificar servicios vulnerables o abiertos que pueden ser explotados para sobrecargar el sistema objetivo.

Describe esquemáticamente un ataque Smurf. ¿Cómo se defiende un sistema contra esto?

En un ataque Smurf, el atacante envía paquetes ICMP (pings) falsificados (con la dirección IP de la víctima como origen) a una red de difusión (broadcast). Muchos equipos de esa red responden simultáneamente a la víctima, inundándola de tráfico.

Defensa: La principal contramedida es bloquear el tráfico ICMP broadcast en los routers perimetrales.

Explica en qué consiste el factor de amplificación en un ataque de DoS.

El factor de amplificación ocurre cuando el atacante envía pequeñas peticiones a un servidor intermediario (por ejemplo, DNS o NTP), y estas peticiones generan grandes respuestas que son dirigidas a la víctima, multiplicando el volumen del ataque.

¿Conoces alguna aplicación para el bien que utilice falsificación de direcciones MAC? ¿Cómo funciona?

Sí. Se utiliza en pruebas de red, auditorías de seguridad o para fines de privacidad. Funciona cambiando temporalmente la dirección MAC física del dispositivo por una dirección aleatoria o específica.

¿Conoces alguna contramedida para mitigar o reducir el impacto de ataques autenticados?

Las contramedidas incluyen:

• Monitorización continua de la actividad del usuario.
• Implementación de autenticación multifactor (MFA).
• Aplicación del principio de mínimo privilegio (limitar permisos).

Seguridad Perimetral y Políticas de Acceso

Dada la siguiente regla de iptables, con política ACCEPT, ¿cuál sería el filtrado equivalente si la política fuera DROP?

Regla original: iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT Si la política por defecto es DROP, es necesario añadir esta misma regla de forma explícita para permitir el tráfico saliente al puerto 80 (HTTP), ya que la política DROP bloquearía todo lo demás por defecto.

¿Cuál sería una buena pauta de creación de contraseñas?

Una buena pauta requiere contraseñas largas, que combinen símbolos, números y letras (mayúsculas y minúsculas), y que se almacenen utilizando hashing con una sal aleatoria (salt).

Un director técnico mantiene un nuevo algoritmo de cifrado en secreto. ¿Es una buena decisión? ¿Qué harías tú?

No es una buena decisión. La seguridad de un algoritmo criptográfico no debe depender de su secreto (principio de Kerckhoffs). Los algoritmos deben ser públicos para que puedan ser auditados, probados y validados por la comunidad criptográfica. Yo propondría la publicación y auditoría externa del algoritmo.

¿Cómo se construye una Zona Desmilitarizada (DMZ)?

Una DMZ se construye separando la red interna de Internet mediante el uso de dos firewalls (o un firewall con tres interfaces). Se establecen reglas de control estrictas para limitar el tráfico entre la DMZ y la red interna, y entre la DMZ e Internet.

Criptografía Avanzada y Algoritmos Clave

¿Cuál es la propiedad más importante para la criptografía de la operación XOR?

La propiedad más importante es que es reversible: si se aplica dos veces con la misma clave, se recupera el valor original (A ⊕ B ⊕ B = A).

A la hora de criptoanalizar un mensaje cifrado, ¿qué se consigue con el coeficiente de autocorrelación?

El coeficiente de autocorrelación se utiliza para detectar patrones o periodicidades en el texto cifrado, lo que puede revelar debilidades en el cifrado o la longitud de la clave utilizada.

¿Para qué se usa en Criptografía la Red de Feistel?

La Red de Feistel se utiliza para construir cifrados por bloques (como DES) de forma estructurada, garantizando que el proceso de cifrado sea reversible, incluso si la función interna utilizada no lo es.

En el algoritmo DES, ¿cuál es la diferencia en la ejecución del método para cifrar o para descifrar?

Aunque se utiliza el mismo método (algoritmo), la diferencia radica en que el orden de las subclaves se invierte al realizar la operación de descifrado.

¿Qué aporte de seguridad se consigue con las permutaciones inicial y final que tiene el algoritmo DES?

Las permutaciones inicial y final (IP e IP-1) no aportan seguridad criptográfica real. Su función principal es reordenar los bits de entrada y salida, y originalmente se implementaron para facilitar la carga de datos en hardware antiguo.

¿Cómo funciona un criptosistema híbrido?

Un criptosistema híbrido combina lo mejor de ambos mundos: utiliza cifrado asimétrico (clave pública) para el intercambio seguro de una clave de sesión, y luego utiliza cifrado simétrico (clave de sesión) para cifrar grandes volúmenes de datos de manera eficiente.

En el uso de Diffie-Hellman, ¿por qué un atacante que captura a* no es capaz de deducir ‘a’?

El atacante no puede deducir el exponente secreto 'a' porque el sistema se basa en la dificultad computacional de resolver el problema del logaritmo discreto en campos finitos, lo cual es inviable para números grandes.

Detección de Intrusiones y Firewalls Stateful

¿Cuál es la principal ventaja de Telnet Inverso?

Permite que un dispositivo remoto (cliente) inicie la conexión hacia un servidor para que este último pueda acceder directamente a la consola del dispositivo remoto, facilitando la gestión y el soporte.

¿Cómo se implementan las capacidades stateful de un Firewall? ¿Qué se comprueba exactamente?

Se implementan manteniendo una tabla de estado de conexiones (state table) en memoria. El filtrado stateful comprueba si un paquete entrante o saliente pertenece a una sesión válida y ya establecida, permitiendo solo el tráfico de respuesta esperado.

¿Por qué no es recomendable usar ubicación in-line en un IDS de Red (NIDS), como en Snort?

No es recomendable porque si el NIDS falla o se sobrecarga, puede ralentizar significativamente la red o, en el peor de los casos, bloquear completamente el tráfico, afectando la disponibilidad del servicio.

¿Qué tres ventajas tiene un HIDS sobre un NIDS?

Un HIDS (Host-based IDS) tiene las siguientes ventajas sobre un NIDS (Network-based IDS):

1. Detecta ataques internos o movimientos laterales.
2. Monitorea cambios en el sistema de archivos y registros (logs).
3. Puede analizar actividades cifradas (una vez que el tráfico llega al host).

Menciona tres filosofías de detección de intrusiones de host.

Las tres filosofías principales son:

• Detección por firmas (basada en patrones conocidos).
• Detección por anomalías (basada en desviaciones del comportamiento normal).
• Detección por análisis del estado del sistema (monitoreo de la integridad de archivos críticos).

¿Por qué en ocasiones es necesario utilizar Armadura ASCII?

La Armadura ASCII (ASCII Armor) es necesaria para enviar datos binarios (como claves criptográficas o mensajes cifrados) a través de canales de comunicación que solo están diseñados para manejar o transmitir texto plano (como el correo electrónico).