Seguridad Informática: Leyes, Protocolos y Buenas Prácticas en Chile
Leyes de Seguridad Informática en Chile
1) Explique en qué consisten las siguientes leyes que se aplican en Chile y sus respectivos artículos:
a) Ley 19.628
La Ley 19.628, sobre Protección de la Vida Privada (la “Ley”), regula el tratamiento de datos personales almacenados en registros o bancos de datos, ya sean automatizados o no, por parte de organismos públicos y particulares.
b) Ley 19.233
Esta ley aborda los delitos informáticos y se compone de 4 artículos:
- Artículo 1: Sanciona a quienes realicen ataques de Denegación de Servicio (DoS) contra servicios en Internet o redes internas de empresas.
- Artículo 2: Penaliza el robo de información desde Internet o dentro de empresas con fines de extorsión o secuestro de información.
- Artículo 3: Castiga a quienes causen daños desde Internet o dentro de empresas con el objetivo de generar pérdidas.
- Artículo 4: Sanciona el robo de información dentro de una empresa, ya sea desde Internet o internamente, con fines de extorsión.
c) Ley 19.799
Esta ley regula la firma electrónica y a los proveedores de servicios de certificación de dicha firma en Chile. Analiza los tipos de firma electrónica, los aspectos tecnológicos, los documentos electrónicos, su presentación en juicio y valor probatorio, las características de los certificados de firma electrónica, los derechos y obligaciones de los titulares, y el uso de este tipo de firma por parte de los órganos del Estado, comparando la normativa chilena con disposiciones del derecho comparado.
Protocolos de Seguridad
2) Explique e indiquen qué son y cómo se aplican los siguientes protocolos de seguridad:
IPSec
Los protocolos IPSec brindan protección a los datos y a la identidad de cada paquete IP al agregar su propio encabezado de protocolo de seguridad.
SSL
El protocolo SSL se diseñó para asegurar el intercambio de datos entre dos aplicaciones, principalmente entre un servidor web y un navegador. Es ampliamente utilizado y compatible con la mayoría de los navegadores.
SET
Desarrollado por Visa y Mastercard, SET utiliza el estándar SSL (Secure Socket Layer) y se basa en la firma electrónica del comprador. La transacción involucra al comprador, al vendedor y a sus respectivos bancos.
Cifrado de Datos
El cifrado protege la información al hacerla ilegible sin la clave correspondiente. Las claves de cifrado se determinan al establecer la conexión entre equipos. El cifrado puede iniciarse en el equipo del usuario o en el servidor al que se conecta.
Tipos de Claves de Cifrado
3) Explique qué son y cómo funcionan las claves simétricas, asimétricas y clave pública.
Simétrica o Secreta
En el cifrado simétrico, el emisor y el destinatario comparten la misma clave para cifrar y descifrar la información. El riesgo reside en que la clave debe compartirse, lo que la hace vulnerable a intercepciones.
Asimétrica o Pública
Este sistema utiliza dos claves: una pública y una privada. Lo cifrado con la clave privada solo se puede descifrar con la pública asociada, y viceversa.
Sistemas de Almacenamiento de Información (Respaldo)
4) Mencione y describa el funcionamiento de al menos 3 sistemas de almacenamiento de información (respaldo).
Full Backup
Crea una copia completa de toda la información.
Incremental Backup
Copia solo los archivos modificados desde el último respaldo.
Differential Backup
Copia los archivos modificados desde el último respaldo completo (Full Backup).
Storages
Son sistemas que combinan hardware y software para almacenar información accesible para entidades consumidoras, como servidores. Se pueden crear estructuras como SAN (Storage Area Network), DAS (Direct Attached Storage) y NAS (Network Attached Storage).
Arreglos de Discos Duros (RAID)
RAID (Redundant Array of Independent/Inexpensive Disks) mejora el almacenamiento, la protección y el rendimiento (velocidad de lectura y escritura) de los datos. Existen varios tipos: RAID 0, RAID 1, RAID 10, RAID 5, etc.
Ingeniería Social
5) Indique qué se entiende por ingeniería social y cuáles son sus posibles riesgos.
La ingeniería social consiste en obtener información confidencial mediante la manipulación de usuarios legítimos. Los riesgos incluyen el robo de información, el acceso no autorizado a sistemas y la exposición a fraudes o abusos.
Sistemas de Control de Acceso y Seguridad Perimetral
6) Describa al menos 3 sistemas de control de acceso distintos y defina qué se entiende por seguridad perimetral.
La seguridad perimetral protege el sistema informático de una empresa desde el exterior, como una coraza contra amenazas como virus, gusanos, troyanos, ataques de denegación de servicio, robo o destrucción de datos, y hackeo de sitios web corporativos.
Sistemas de Respaldo
7) Describa en qué consisten los sistemas de respaldo, mencione algunos ejemplos y características de ellos.
Los sistemas de respaldo crean copias de seguridad para restaurar datos en caso de pérdida. Algunos ejemplos populares son:
- ZendalBackup
- Cobian
- SeCoFi
- CopiaData
- NortonGhost
Protocolos de Seguridad en Redes WiFi
8) Indique y explique en qué consisten los protocolos de seguridad que se utilizan en una comunicación WiFi:
WEP
WEP (Wired Equivalent Privacy) es un sistema de cifrado para redes inalámbricas (Wi-Fi) que cifra la información transmitida. Proporciona cifrado a nivel 2 basado en el algoritmo RC4, utilizando claves de 64 o 128 bits. Aunque fue diseñado para ofrecer una seguridad similar a las redes cableadas, presenta vulnerabilidades.
WPA2
WPA2 (Wi-Fi Protected Access 2) es un sistema que protege las redes inalámbricas y corrige las vulnerabilidades de WPA. Utiliza el algoritmo de cifrado AES (Advanced Encryption Standard) y cumple con los requisitos de seguridad del gobierno de EE. UU. (FIPS 140-2).
TACACS
TACACS (Terminal Access Controller Access Control System) es un protocolo de autenticación remota de Cisco utilizado en redes Unix. Permite a un servidor de acceso remoto comunicarse con un servidor de autenticación para verificar el acceso del usuario a la red. Está documentado en el RFC 1492.
Active Directory en Windows Server 2003
9) Mencione las características de Active Directory y sus aplicaciones en el SO Windows Server 2003.
- Administración simplificada de usuarios y recursos de red: Permite crear estructuras jerárquicas de información para controlar credenciales administrativas, opciones de seguridad y facilitar la búsqueda de recursos de red.
- Autenticación y autorización seguras y flexibles: Proporciona protección de datos y minimiza las barreras para hacer negocios en Internet.
- Consolidación de directorios: Simplifica la administración de usuarios, equipos, aplicaciones y dispositivos, y facilita la búsqueda de información.
- Infraestructura y aplicaciones habilitadas para directorios: Facilita la configuración y administración de aplicaciones y componentes de red.
- Escalabilidad sin complejidad: Admite millones de objetos por dominio y utiliza tecnologías de indexación y replicación para mejorar el rendimiento.
- Uso de estándares de Internet: Proporciona acceso a través de LDAP y utiliza un sistema de nombres de dominio (DNS).
- Entorno de desarrollo potente: Ofrece Active Directory Service Interfaces (ADSI) para una interfaz orientada a objetos.
- Replicación y control de confianza: Proporciona Windows Management Instrumentation (WMI) para supervisar la replicación de información y el funcionamiento de las relaciones de confianza.
- Listas de distribución de Message Queue Server: Permite enviar mensajes a listas de distribución alojadas en Active Directory.
Redes Privadas Virtuales (VPN)
9) Defina qué es una VPN, cuáles son sus características y dé tres ejemplos de implementación.
Una VPN (Red Privada Virtual) extiende una red privada a través de una infraestructura pública, como Internet, utilizando encapsulación y cifrado de datos. Los paquetes de datos viajan a través de un “túnel” seguro.
Ejemplos de implementación:
- Jugar en red con VPN para mayor seguridad y privacidad.
- Acceder a un servidor central de forma segura desde ubicaciones remotas.
- Acceder a aplicaciones corporativas de forma segura desde fuera de la red de la empresa.