Criptografía: Tradicionalmente se ha definido como el ámbito de la criptología el que se ocupa de las técnicas

de cifrado o codificado destinadas a alterar las representaciones lingüísticas de ciertos mensajes con el fin de
hacerlos ininteligibles a receptores no autorizados. Estas técnicas se utilizan tanto en el Arte como en la Ciencia.
Por tanto, el único objetivo de la criptografía era conseguir la confidencialidad de los mensajes. Para ello se
diseñaban sistemas de cifrado y códigos. En esos tiempos la única criptografía existente era la llamada
criptografía clásica.

Objetivos de la criptografía

La criptografía actualmente se encarga del estudio de los algoritmos, protocolos y sistemas que se utilizan para
dotar de seguridad a las comunicaciones, a la información y a las entidades que se comunican.1 El objetivo de
la criptografía es diseñar, implementar, implantar, y hacer uso de sistemas criptográficos para dotar de alguna
forma de seguridad. Por tanto el tipo de propiedades de las que se ocupa la criptografía son, por ejemplo:

Confidencialidad. Es decir, garantiza que la información sea accesible únicamente a personal autorizado. Para
conseguirlo utiliza códigos y técnicas de cifrado.

Integridad. Es decir garantiza la corrección y completitud de la información. Para conseguirlo puede usar por
ejemplo funciones hash criptográficas MDC, protocolos de compromiso de bit, o protocolos de notarización
electrónica.

Vinculación. Permite vincular un documento o transacción a una persona o un sistema de gestión criptográfico
automatizado. Cuando se trata de una persona, se trata de asegurar su conformidad respecto a esta vinculación
(content commitment) de forma que pueda entenderse que la vinculación gestionada incluye el entendimiento
de sus implicaciones por la persona.

Autenticación. Es decir proporciona mecanismos que permiten verificar la identidad del comunicador. Para
conseguirlo puede usar por ejemplo función hash criptográfica MAC o protocolo de conocimiento cero.

Soluciones a problemas de la falta de simultaneidad en la telefirma digital de contratos. Para conseguirlo puede
usar por ejemplo protocolos de transferencia inconsciente.

Un sistema criptográfico es seguro respecto a una tarea si un adversario con capacidades especiales no puede
romper esa seguridad, es decir, el atacante no puede realizar esa tarea específica.

Terminología

En el campo de la criptografía muchas veces se agrupan conjuntos de funcionalidades que tienen alguna
característica común y a ese conjunto lo denominan 'Criptografía de' la característica que comparten. Veamos
algunos ejemplos:

Criptografía simétrica.- Agrupa aquellas funcionalidades criptográficas que se apoyan en el uso de una sola
clave.
Criptografía de clave pública o Criptografía asimétrica.- Agrupa aquellas funcionalidades criptográficas que se
apoyan en el uso de parejas de claves compuesta por una clave pública, que sirve para cifrar, y por una clave
privada, que sirve para descifrar.

Criptografía con umbral.- Agrupa aquellas funcionalidades criptográficas que se apoyan en el uso de un umbral
de participantes a partir del cual se puede realizar la acción.

Criptografía basada en identidad.- Es un tipo de Criptografía asimétrica que se basa en el uso de identidades.

Criptografía basada en certificados

Criptografía sin certificados

Criptografía de clave aislada

Evaluación de la seguridad de un sistema criptográfico[editar]

El objetivo de un sistema criptográfico es dotar de seguridad. Por tanto para calibrar la calidad de un sistema
criptográfico es necesario evaluar la seguridad que aporta dicho sistema.

Hacer público o no

Para poder evaluar mejor la seguridad de un sistema criptográfico, además de las verificaciones internas de
seguridad que la organización haga, se puede considerar hacer público a todo el mundo los entresijos del
sistema. Sin embargo, al hacer pública esa información se facilita el que alguien pueda descubrir alguna
debilidad y la aproveche o incluso la haga pública para que otros la puedan utilizar. Cuanta más información se
publique más fácil será encontrar debilidades tanto para buenos objetivos (mejorar el producto) como para
malos (realizar ataques). En resumen cuanta más información se publique más personas podrán evaluar la
seguridad y se podrán corregir las debilidades que se encuentren, pero también aumenta la exposición a
ataques. En función de las decisiones que se tomen se establecerá una política de revelación.

Se considera que la seguridad de un sistema criptográfico debe descansar sobre el tamaño de la claves
utilizadas y no sobre el secreto del algoritmo. Esta consideración se formaliza en el llamado principio de
Kerckhoffs. Esto no quiere decir que cuando usemos criptografía tengamos que revelar los algoritmos, lo que
quiere decir es que el algoritmo tiene que ser seguro aunque éste sea difundido. Evidentemente si un sistema
criptográfico es seguro aun revelando su algoritmo, entonces será aún más seguro si no lo revelamos.

A la política de revelación de no publicar ninguna información para que ningún atacante encuentre debilidades
se le llama de no revelación y sigue una estrategia de seguridad por oscuridad. A la política de revelación de
revelar toda la información se le llama revelación total. Entre ambos tipos de política de revelación hay
estratetigias intermedias llamadas de revelación parcial.
Formas de romper la seguridad

Hay básicamente tres formas de romper la seguridad de un sistema criptográfico2

Atacar la criptografía subyacente. Es lo que sería un ataque teórico a los mecanismos criptográficos usados.

Atacar la implementación concreta. La criptografía puede ser implementada en software o en hardware. Es

bastante probable que las implementaciones concretas tengan vulnerabilidades que se pueden aprovechar.
También las vulnerabilidades se podrían introducir de forma deliberada y de esta forma proporcionar puertas
traseras disponibles para ser utilizadas.

Atacar el lado humano. Muchas veces en los sistemas criptográficas hay personas o entidades que tienen
privilegios especiales. Presionando a estas personas o entidades para que nos den acceso a recursos o a
información privilegiada, podríamos vulnerar la seguridad del sistema.

Las personas o entidades interesadas en romper la seguridad de este tipo de sistemas tienen en cuenta todos
estos frentes. Por ejemplo las informaciones de Edward Snowden revelan que el programa Bullrun adopta estos
tres tipos de estrategias.

Grados de seguridad teórica

Cuando se evalúa la seguridad de un sistema criptográfico se puede calibrar la seguridad que aporta en función
de si éste es seguro de forma incondicional o si es seguro sólo si se cumplen ciertas condiciones.

Seguridad incondicional

3 Se dice que un sistema criptográfico tiene una seguridad incondicional sobre cierta tarea si un atacante no
puede resolver la tarea aunque tenga infinito poder computacional.

4 5 6 En función de la tarea sobre la que se dice que el sistema criptográfico es incondicionalmente seguro,
podemos hablar por ejemplo de:

Criptosistemas incondicionalmente seguros (cifrado).

Autenticación incondicionalmente segura (autenticación).

Distribución de claves incondicionalmente segura.

Firma digital incondicionalmente segura (firma digital).

Es habitual que los sistemas incondicionalmente seguros tengan inconvenientes importantes como por ejemplo
en la longitud de las claves (libreta de un solo uso).

Para certificar una seguridad incondicional los criptólogos se suelen basar en la teoría de la información y, por
tanto, en la teoría de la probabilidad.

Limitaciones

El que un sistema tenga seguridad incondicional no quiere decir que su seguridad sea inviolable. Veamos dos
consideraciones

7 Los sistemas son incondicionalmente seguros desde un punto de vista probabilístico: El oponente siempre
tiene una probabilidad mayor que cero de romper la seguridad. Sin embargo, esta probabilidad puede ser muy
pequeña. Esto es lo que sucede con los sistemas incondicionalmente seguros.

8 En la mayoría de los estudios sobre la seguridad de un sistema se hace la suposición de que los atacantes
tienen sólo un intento para atacar la seguridad del sistema. El éxito o el fracaso están determinados por el éxito
o fracaso de ese intento. Esta suposición es válida, por ejemplo, en ciertos problemas de comunicación segura
donde el enemigo no tiene oportunidad de verificar si el mensaje estimado es correcto o no. Sin embargo hay
otros tipos de problemas donde esta suposición no tiene sentido. Por ejemplo, en un sistema de autenticación
con usuario y contraseña para entrar en una cuenta restringida, el atacante puede realizar varios intentos.
Además, en algunos casos, los intentos fallidos anteriores dan información para hacer una estimación mejor
para los intentos siguientes.

9 Cuando decimos que un sistema criptográfico es incondicionalmente seguro, nos estamos refiriendo a nivel
teórico. Sin embargo cuando es implementado en la práctica puede no mantenerse esa seguridad. Hay muchos
tipos de ataques que sólo se aplican cuando los sistemas están implementados en un sistema concreto.
Ejemplos:

Explotación de canales ocultos. Los canales ocultos son canales de comunicación no intencionados y de difícil
detección, que permiten la transferencia de información de forma que viola la política de seguridad del sistema.
En un computador real los procesos al ejecutarse producen una serie de efectos y fenómenos que pueden ser
medidos y explotados para revelar información relevante que puede ser utilizada para romper el sistema (Ej.
pistas sobre la clave). Este problema es inherente y no puede ser evitado mediante técnicas criptográficas. Son
ejemplos típicos de este tipo de canales los canales ocultos generados por análisis de temporizaciones, por
análisis de consumos de energía o por análisis de consumos de radiaciones electromagnéticas o por análisis de
consumo de espacio de almacenamiento.

Malos diseños o implementaciones del software o el hardware pueden hacer que la solución práctica sea
insegura. Ejemplos de ataques que se aprovechan de debilidades producidas por un mal diseño o
implementación: desbordamiento de buffer, Inyección SQL, Cross Site Scripting, ataques basados en deficiencias
del hardware.
Seguridad condicional

10 Se dice que un sistema criptográfico tiene una seguridad condicional sobre cierta tarea si un atacante puede
teóricamente resolver la tarea, pero no es computacionalmente factible para él (debido a sus recursos,
capacidades y acceso a información). Hay un tipo especial de seguridad condicional llamada seguridad
demostrable. La idea es mostrar que romper un sistema criptográfico es computacionalmente equivalente a
resolver un problema matemático considerado como difícil. Esto es, que se cumplen las dos siguientes
sentencias:

Si el problema difícil puede ser resuelto, entonces el sistema criptográfico puede ser roto

Si el sistema criptográfico puede ser roto, entonces el problema difícil puede ser resuelto.

11 La seguridad demostrable es difícil de lograr para sistemas criptográficos complejos. Se ha desarrollado una
metodología (modelo de oráculo aleatorio) para diseñar sistemas que no tienen realmente una seguridad
demostrable, pero que dan unas buenas sensaciones respecto a su seguridad. La idea básica es diseñar un
sistema ideal que usa una o varias funciones aleatorias -también conocidas como oráculos aleatorios- y probar
la seguridad de este sistema matemático. A continuación el sistema ideal es implementado en un sistema real
reemplazando cada oráculo aleatorio con una buena y adecuada función pseudoaleatoria conocida
-típicamente un código de detección de manipulaciones como SHA-1 o MD5-. Si las funciones pseudoaleatorias
utilizadas tiene buenas propiedades, entonces uno puede esperar que la seguridad probada del sistema ideal
sea heredada por el sistema real. Observar que esto ya no es una prueba, sino una evidencia sobre la seguridad
del sistema real. Se ha demostrado que esta evidencia no siempre es cierta y que es posible romper sistemas
criptográficos cuya seguridad se apoya en el modelo de oráculo aleatorio.

Puntos de vista desde los que evaluar la seguridad

Para evaluar la seguridad de un esquema criptográfico se suelen usar tres enfoques principales.12 Cada
enfoque difiere de las suposiciones acerca de las capacidades de los oponentes criptoanalistas. El primer
método está basado en la teoría de la información, y ofrece una seguridad incondicional y por tanto una
seguridad independiente del poder de computación de los adversarios. El enfoque basado en la teoría de la
complejidad comienza a partir de un modelo abstracto para la computación, y asume que el oponente tienen
un poder limitado de computación. El tercer enfoque intenta producir soluciones prácticas. Para ello estima la
seguridad basándose en el mejor algoritmo conocido para romper el sistema y estima de forma realista el
poder necesario de computación o de hardware para romper el algoritmo. A este enfoque se le suele llamar
enfoque basado en la práctica

Enfoque basado en la teoría de la información

En este enfoque se evalúa la seguridad del sistema utilizando las herramientas que proporciona la teoría de la
información. Permite declarar sistemas incondicionalmente seguros, es decir, sistemas seguros
independientemente del poder de computación del atacante.

La teoría de la información proporciona valiosas herramientas para analizar la seguridad de los sistemas
criptográficos. Por ejemplo está la entropía, distancia de unicidad, el concepto de secreto perfecto etc.

Enfoque basado en la teoría de la complejidad

En este enfoque se evalúa la seguridad de los sistemas criptográficos en función de la cantidad de trabajo
computacional requerido para romperlo. Para estimar esa cantidad de trabajo se estudia la complejidad
computacional de los mejores métodos conocidos hasta ahora para realizar esa tarea. En función de los
resultados de este estudio y del poder computacional límite estimado para el atacante, se decide si esa
cantidad de trabajo es realizable por un atacante. Si ese trabajo no es realizable se dice que el sistema es seguro
desde un punto de vista computacional (seguridad computacional, en inglés computationally security).

Este tipo de enfoque para evaluar la seguridad es muy usado en la criptografía asimétrica. En concreto, la
seguridad de muchos de los algoritmos de la criptografía asimétrica están basados en el análisis de complejidad
de los métodos conocidos para el cálculo de factorización de enteros y del logaritmo discreto.

Por definición el tipo de seguridad que aporta este tipo de enfoque es una seguridad condicional basada en los
métodos de resolución de problemas evaluados. En este punto hay que tener en cuenta dos consideraciones:14

Actualmente no se puede considerar que como buenos los algoritmos que se usan para estimar la complejidad
de la resolución de los problemas. Se considera que hay algoritmos mucho mejores. Especialmente en el campo
de la criptografía. Por tanto las estimaciones sobre el poder de computación necesario para romper el sistema
no se consideran fiables.

Se ha demostrado que algunos de los problemas (Ej. factorización de enteros y el logaritmo discreto) en los que
se sustenta la seguridad (computacional) de muchos algoritmos, pueden resolverse con algoritmos con una
complejidad computacional de peor calidad usando computadores cuánticos. Si alguien pudiera disponer de un
computador cuántico muchos de los sistemas criptográficos que se consideran seguros (con seguridad
condicional) habría que catalogarlos como inseguros.

Enfoque basado en la práctica

El objetivo de este enfoque es producir soluciones prácticas a partir del estudio de sistemas concretos y de la
experiencia acumulada. Es un enfoque de prueba-error donde se proponen soluciones basándose en la
experiencia y luego se somete esa solución a un proceso intensivo en el que se intenta romper su seguridad. A
partir de este enfoque se han hecho importantes avances en conseguir sistemas robustos ya que los
criptógrafos diseñan ataques y posteriormente adaptan los sistemas para anular dichos ataques. Por ejemplo,
de esta forma se han conseguido importantes avances en la seguridad frente a ataques basados en estudios
estadísticos y ataques meet in the middle.

Es típico en este tipo de enfoque diseñar bloques con ciertas propiedades demostradas estableciendo una
biblioteca de bloques disponibles. Ejemplos de propiedades buenas para este tipo de bloques pueden ser:
buenas propiedades estadísticas, buenas propiedades para la confusión y difusión, o de no linealidad.
Posteriormente estos bloques se ensamblan para la construcción de sistemas criptográficos que aprovechan sus
propiedades para dotar de mayor seguridad.

Este enfoque permite llegar a establecer sistemas que tienen seguridad condicional. Este tipo de sistemas
tienen una seguridad computacional

Historia de la criptografía

Artículo principal: Historia de la criptografía

La historia de la criptografía es larga y abunda en anécdotas. Ya las primeras civilizaciones desarrollaron técnicas
para enviar mensajes durante las campañas militares, de forma que si el mensajero era interceptado la
información que portaba no corriera el peligro de caer en manos del enemigo.El primer método de criptografía
fue en el siglo V a.C, era conocido como "Escítala". El segundo criptosistema que se conoce fue documentado
por el historiador griego Polibio: un sistema de sustitución basado en la posición de las letras en una tabla.
También los romanos utilizaron sistemas de sustitución, siendo el método actualmente conocido como César,
porque supuestamente Julio César lo empleó en sus campañas, uno de los más conocidos en la literatura
(según algunos autores, en realidad Julio César no usaba este sistema de sustitución, pero la atribución tiene
tanto arraigo que el nombre de este método de sustitución ha quedado para los anales de la historia). Otro de
los métodos criptográficos utilizados por los griegos fue la escítala espartana, un método de trasposición
basado en un cilindro que servía como clave en el que se enrollaba el mensaje para poder cifrar y descifrar.

En 1465 el italiano Leon Battista Alberti inventó un nuevo sistema de sustitución polialfabética que supuso un
gran avance de la época. Otro de los criptógrafos más importantes del siglo XVI fue el francés Blaise de Vigenère
que escribió un importante tratado sobre "la escritura secreta" y que diseñó una cifra que ha llegado a nuestros
días asociada a su nombre. A Selenus se le debe la obra criptográfica "Cryptomenytices et Cryptographiae"
(Luneburgo, 1624). En el siglo XVI María Estuardo, reina de Escocia, fue ejecutada por su prima Isabel I, reina de
Inglaterra, al descubrirse un complot de aquella tras un criptoanálisis exitoso por parte de los matemáticos de
Isabel. Durante los siglos XVII, XVIII y XIX, el interés de los monarcas por la criptografía fue notable. Las tropas
de Felipe II emplearon durante mucho tiempo una cifra con un alfabeto de más de 500 símbolos que los
matemáticos del rey consideraban inexpugnable. Cuando el matemático francés François Viète consiguió
criptoanalizar aquel sistema para el rey de Francia, a la sazón Enrique IV, el conocimiento mostrado por el rey
francés impulsó una queja de la corte española ante del papa Pío V acusando a Enrique IV de utilizar magia
negra para vencer a sus ejércitos.

Durante la Primera Guerra Mundial, los Alemanes usaron el cifrado ADFGVX. Este método de cifrado es similar
a la del tablero de ajedrez Polibio. Consistía en una matriz de 6 x 6 utilizado para sustituir cualquier letra del
alfabeto y los números 0 a 9 con un par de letras que consiste de A, D, F, G, V, o X.
La máquina Enigma utilizada por los alemanes durante la II Guerra Mundial.

Desde el siglo XIX y hasta la Segunda Guerra Mundial, las figuras más importantes fueron la del holandés
Auguste Kerckhoffs y la del prusiano Friedrich Kasiski. Pero es en el siglo XX cuando la historia de la criptografía
vuelve a experimentar importantes avances. En especial durante las dos contiendas bélicas que marcaron al
siglo: la Gran Guerra y la Segunda Guerra Mundial. A partir del siglo XX, la criptografía usa una nueva
herramienta que permitirá conseguir mejores y más seguras cifras: las máquinas de cálculo. La más conocida de
las máquinas de cifrado posiblemente sea la máquina alemana Enigma: una máquina de rotores que
automatizaba considerablemente los cálculos que era necesario realizar para las operaciones de cifrado y
descifrado de mensajes. Para vencer al ingenio alemán, fue necesario el concurso de los mejores matemáticos
de la época y un gran esfuerzo computacional. No en vano, los mayores avances tanto en el campo de la
criptografía como en el del criptoanálisis no empezaron hasta entonces.

Tras la conclusión de la Segunda Guerra Mundial, la criptografía tiene un desarrollo teórico importante, siendo
Claude Shannon y sus investigaciones sobre teoría de la información esenciales hitos en dicho desarrollo.
Además, los avances en computación automática suponen tanto una amenaza para los sistemas existentes
como una oportunidad para el desarrollo de nuevos sistemas. A mediados de los años 70, el Departamento de
Normas y Estándares norteamericano publica el primer diseño lógico de un cifrador que estaría llamado a ser el
principal sistema criptográfico de finales de siglo: el Estándar de Cifrado de Datos o DES. En esas mismas fechas
ya se empezaba a gestar lo que sería la, hasta ahora, última revolución de la criptografía teórica y práctica: los
sistemas asimétricos. Estos sistemas supusieron un salto cualitativo importante, ya que permitieron introducir
la criptografía en otros campos que hoy día son esenciales, como el de la firma digital.

La criptografía en el correo electrónico

La mayor parte de los mensajes de correo electrónico que se transmiten por Internet no incorporan seguridad
alguna, por lo que la información que contienen es fácilmente accesible a terceros. Para evitarlo, la criptografia
también se aplica al correo electrónico. Entre las diversas ventajas que tiene usar un certificado al enviar un
email, podríamos destacar la seguridad que nos aporta ya que así evita que terceras personas (o hackers)
puedan leer su contenido, o bien que tengamos la certeza de que el remitente de este correo electrónico es
realmente quien dice ser.

La esteganografía: trata el estudio y aplicación de técnicas que permiten ocultar mensajes u objetos, dentro de
otros, llamados portadores, de modo que no se perciba su existencia. Es decir, procura ocultar mensajes dentro
de otros objetos y de esta forma establecer un canal encubierto de comunicación, de modo que el propio acto
de la comunicación pase inadvertido para observadores que tienen acceso a ese canal.

Diferencias con la criptografía

Si bien la esteganografía puede confundirse con la criptografía, por ser ambas parte de los procesos de
protección de la información, son disciplinas distintas, tanto en su forma de implementar como en su objetivo
mismo.

Mientras que la criptografía se utiliza para cifrar o codificar información de manera que sea ininteligible para un
probable intruso, a pesar que conozca su existencia, la esteganografía oculta la información en un portador de
modo que no sea advertido el hecho mismo de su existencia y envío. De esta última forma, un probable intruso
ni siquiera sabrá que se está transmitiendo información sensible.

Sin embargo, la criptografía y la esteganografía pueden complementarse, dando un nivel de seguridad extra a la
información, es decir, es muy común (aunque no imprescindible) que el mensaje a esteganografiar sea
previamente cifrado, de tal modo que a un eventual intruso no sólo le costará advertir la presencia de la
mensajería oculta; sino que si la llegara a descubrir, la encontraría cifrada.

Motivación

La utilidad del uso de la esteganografía se manifiesta en el llamado problema del prisionero (Gustavus J.
Simmons, 1983). Resumidamente, en el problema del prisionero tenemos dos prisioneros, A y B, que quieren
comunicarse de forma confidencial para escapar. El problema es que sólo pueden intercambiar mensajes a
través de un guardián, W. El guardián puede leer, modificar o generar él mismo los mensajes. Si el guardián
detecta cualquier comunicación que pueda ser utilizada para escapar (Ej. detecta un cifrado) dejará de
transmitir los mensajes. En este escenario los prisioneros necesitan establecer un canal encubierto.

Funcionamiento y terminología

La idea que sigue la esteganografía es enviar el mensaje oculto (E) “escondido” en un mensaje de apariencia
inocua (C) que servirá de “camuflaje”. Esto es, se aplica una función de esteganografía {\displaystyle \ f(E)}
{\displaystyle \ f(E)}. El resultado de aplicar la función (O), se envía por un canal inseguro y puede ser visto sin
problemas por el guardián. Finalmente, el otro prisionero recibe el objeto O y, aplicando la función inversa
{\displaystyle f^{-1}(O)} {\displaystyle f^{-1}(O)}, puede recuperar el mensaje oculto.1

La terminología típica usada en la esteganografía es:2

Se define como esquema esteganográfico al conjunto de componentes que permite llevar a cabo la
comunicación esteganográfica.

El portador es todo aquel conjunto de datos que es susceptible de ser alterado para incorporarle el mensaje
que queremos mantener en secreto. Puede ser de muchos tipos o formatos. Ejemplos: imagen (en sus distintos
formatos), audio (en sus distintos formatos), texto plano, archivos binarios, un mensaje de protocolo de
comunicación.

Se habla de mensaje-legítimo para referirse al mensaje transportado por el portador.

Se llama mensaje esteganográfico al mensaje que queremos mantener en secreto y queremos esconder dentro
del portador. Puede ser de distintos tipos o formatos. Ejemplos: imagen (en sus distintos formatos), audio (en
sus distintos formatos), texto plano, archivos binarios.

Estego-algoritmo es el algoritmo esteganográfico que indica como realizar el procedimiento de incorporación

del mensaje que queremos mantener en secreto en el portador.

La acción de ocultar el mensaje dentro del portador se denomina empotrar (inglés: to embed).
Se llama estego-mensaje al resultado de embeber el mensaje esteganográfico dentro del portador.

La acción de la recuperación, a partir del estego-mensaje, del mensaje oculto esteganográfico se denomina
extraer.

Por el rol desempeñado dentro del proceso esteganográfico, el emisor estambién llamado embebedor y el
receptor extractor. Al igual que en todo acto de comunicación convencional, es común que los roles de emisor y
receptor se intercambien sucesivamente entre las partes que se comunican.

3 Se llama esteganalista o estegoanalista a la persona que intenta determinar la existencia o ausencia de un

mensaje esteganográfico. Observar que basta condeterminar la existencia, no tiene que llegar al contenido en
sí. Es decir un esteganalista es el que hace estegoanálisis.

2 4 Los canales de selección consisten en canales adicionales al portador utilizado para embeber donde se
comunica qué posiciones del portador se utilizan para la comunicación esteganográfica. Por ejemplo,
supongamos que el portador es un libro de texto. Un canal de selección podría estar definido por una sucesión
de números naturales que representan la posición de cada una de las palabras, dentro del libro de texto, que se
deben considerar para construir el mensaje esteganográfico.

2 4 Las clases de equivalencia corresponden a pares de elementos del portador utilizado que tienen una
interpretación semántica equivalente en la comunicación legítima, pero el uso de un elemento u otro tiene un
significado acordado en la comunicación esteganográfica. Por ejemplo las palabras 'lindo' y 'bonito' son
sinónimos en español y podrían utilizarse indistintamente en un contexto. Un lector no notaría la diferencia en
la semántica del texto, sin embargo puede ser aprovechado para construir el mensaje esteganográfico.

La capacidad de alterar el portador de manera imperceptible es posible gracias a la existencia de redundancia

en el mismo. Las alteraciones pueden realizarse tanto en el contenido como en otros parámetros como por
ejemplo el tiempo de respuesta en la emisión del portador.

Clasificación según el estego-algoritmo

El estego-algoritmo es el algoritmo esteganográfico que indica como realizar el procedimiento de incorporación

del mensaje esteganográfico en el portador para obtener el estego-mensaje. Según el tipo de estego-algoritmo
podemos distinguir entre dos tipos de esteganografía:5 Esteganografía pura y esteganografía de clave secreta.

Esteganografía pura

En este tipo de esteganografía el estego-algoritmo establece un método fijo para incorporar el mensaje
esteganográfico en el portador para obtener el estego-mensaje. En esta estrategia se está suponiendo que el
guardián del problema del prisionero no conoce nada sobre el estego-algoritmo. Por tanto estamos basando
nuestra seguridad en la oscuridad. Este enfoque para conseguir la seguridad raramente funciona y es
especialmente desastroso en el caso de la criptografía.

Esteganografía de clave secreta

En este tipo de esteganografía el estego-algoritmo está parametrizado por una clave esteganográfica a la que se
le llama estego-clave que define como aplicar el algoritmo: Por ejemplo, la estego-clave podría indicar el lugar
dentro del portador a partir del cual se comienza a realizar la incorporación del mensaje secreto. Tanto el
estego-algoritmo como la estego-clave deben estar previamente acordadas entre el emisor y el receptor.

Historia

Estos son algunos ejemplos y/o historias que demuestran que la esteganografía ha estado presente desde
tiempos antiguos y constantemente va evolucionando.

Heródoto

Probablemente uno de los ejemplos más antiguos del uso de que la esteganografía sea el referido por Heródoto
en Las historias.6 En este libro describe cómo un personaje tomó un cuadernillo de dos hojas o tablillas; rayó
bien la cera que las cubría y en la madera misma grabó el mensaje y lo volvió a cubrir con cera regular. Otra
historia, en el mismo libro, relata cómo otro personaje había rasurado a navaja la cabeza de su esclavo de
mayor confianza, le tatuó el mensaje en el cuero cabelludo, esperó después a que le volviera a crecer el cabello
y lo mandó al receptor del mensaje, con instrucciones de que le rasuraran la cabeza.

Siglo XV

El científico italiano Giovanni Battista della Porta descubrió cómo esconder un mensaje dentro de un huevo
cocido. El método consistía en preparar una tinta mezclando una onza de alumbre y una pinta de vinagre, y
luego se escribía en la cáscara. La solución penetra en la cáscara porosa y deja un mensaje en la superficie de la
albúmina del huevo duro, que sólo se puede leer si se pela el huevo.

Portada de un ejemplar de Steganographia.

Primer libro

El origen del vocablo esteganografía se remonta a principios del siglo XVI. El abad alemán Johannes Trithemius
escribió un libro al que tituló Steganographia. En él se trataban temas referentes a la ocultación de mensajes,
así como métodos para conjurar a los espíritus. El libro en cuestión está hoy considerado como un libro maldito
y es muy apreciado por los esoteristas del mundo entero. Aparte de este libro, también publicó Polygraphiae
Libri Sex, un compendio de seis libros sobre criptografía que no participaba de los elementos esotéricos de su
otro gran libro.

Otros libros
En Sueño de Polífilo (Hypnerotomachia Poliphili, Ed. Aldus Manutius), escrito por Francesco Colonna en 1499,
se puede obtener la frase ‘Poliam frater Franciscus Columna peramavit’ (‘El hermano Francesco Colonna amó
apasionadamente a Polia’) si se toma la primera letra de los treinta y ocho capítulos.

Gaspar Schott (1665) Schola steganographica.

Ian Caldwell, Dustin Thomason (2004) Enigma del cuatro.

Lev Grossman (2004) El Códice Secreto.

Segunda Guerra Mundial

Durante la segunda guerra mundial se usaron los microfilmes, en los puntos de las ies o en signos de
puntuación para enviar mensajes. Los prisioneros usan i, j, t y f para ocultar mensajes en código morse. Pero
uno de los sistemas más ingeniosos se conoce con el nombre de "Null Cipher".7 Este último consiste en enviar
un mensaje, de lo más común posible, y elegir cierta parte de él para ocultar el mensaje. Un ejemplo es el texto
siguiente: Apparently neutral's protest is thoroughly discounted and ignored. Isman hard hit. Blockade issue
affects pretext for embargo on by products, ejecting suets and vegetable oils. (Al parecer la protesta neutral es
completamente descontada e ignorada. Isman afectados. Cuestión de bloqueo afecta pretexto de embargo
sobre los productos, consigue expulsar sebo y aceites vegetales)

Si tomamos la segunda letra de cada palabra aparece el mensaje: Pershing sails from NYr June i (Pershing zarpa
desde Nueva York el 1 de junio).

Tintas invisibles

No está claro desde qué época se comenzaron a utilizar, pero sin duda se han usado a lo largo de la historia y
hasta la actualidad. Las más conocidas se pueden clasificar en dos categorías:

Básicas: sustancias con alto contenido en carbono: leche, orina, zumo de limón, jugo de naranja, jugo de
manzana, jugo de cebolla, solución azucarada, miel diluida, coca cola diluida, vino, vinagre, etc. Básicamente,
sin importar cuál de las “tintas” mencionadas se utilicen, al calentar la superficie donde se escribió el mensaje
invisible, el carbono reacciona apareciendo el mensaje en un tono café.

Más sofisticadas: aparecen tras una reacción química, o tras ser expuestas a la luz de cierta longitud de onda

Técnicas digitales

Existen numerosos métodos y algoritmos utilizados para ocultar la información dentro de archivos multimedia:
imágenes, audio y vídeo. A continuación se indican algunos de los más usados.

Enmascaramiento y filtrado

En este caso la información se oculta dentro de una imagen digital empleando marcas de agua que incluyen
información, como el derecho de autor, la propiedad o licencias. El objetivo es diferente de la esteganografía
tradicional (básicamente comunicación encubierta), ya que es añadir un atributo a la imagen que actúa como
cubierta. De este modo se amplía la cantidad de información presentada.

Algoritmos y transformaciones

Esta técnica oculta datos basados en funciones matemáticas que se utilizan a menudo en algoritmos de la
compresión de datos. La idea de este método es ocultar el mensaje en los bits de datos menos importantes.

Inserción en el bit menos significativoEn imágenes8

El método más utilizado es el LSB, puesto que para un computador un archivo de imagen es simplemente un
archivo que muestra diferentes colores e intensidades de luz en diferentes áreas (píxeles). El formato de imagen
más apropiado para ocultar información es el BMP color de 24 bit Bitmap), debido a que es el de mayor
proporción (imagen no comprimida) y normalmente es de la más alta calidad.

Este es el método moderno más común y popular usado para esteganografía, también es uno de los llamados
métodos de sustitución. Consiste en hacer uso del bit menos significativo de los píxeles de una imagen y
alterarlo. La misma técnica puede aplicarse a vídeo y audio, aunque no es lo más común. Hecho así, la
distorsión de la imagen en general se mantiene al mínimo (la perceptibilidad es prácticamente nula), mientras
que el mensaje es esparcido a lo largo de sus píxeles.

En audio

Cuando se oculta información dentro de archivos de audio, por lo general la técnica usada es low bit encoding
(baja bit de codificación), que es similar a la LSB que suele emplearse en las imágenes. El problema con el low
bit encoding es que en general es perceptible para el oído humano, por lo que es más bien un método
arriesgado que alguien lo use si están tratando de ocultar información dentro de un archivo de audio.

En vídeo

En vídeo, suele utilizarse el método DCT (Discrete Cosine Transform). DCT funciona cambiando ligeramente
cada una de las imágenes en el vídeo, sólo de manera que no sea perceptible por el ojo humano. Para ser más
precisos acerca de cómo funciona DCT, DCT altera los valores de ciertas partes de las imágenes, por lo general
las redondea. Por ejemplo, si parte de una imagen tiene un valor de 6,667, lo aproxima hasta 7.

En archivos de cualquier tipo

Uno de los métodos más fáciles de implementar es el de inyección o agregado de bytes al final del archivo. Esta
técnica consiste, esencialmente, en agregar o adosar al final de un archivo, de cualquier tipo, otro archivo que
será el contenedor del "mensaje a ocultar", también de cualquier tipo. Esta metodología es la más versátil, pues
permite usar cualquier tipo de archivo como portador (documentos, imágenes, audio, vídeos, ejecutables, etc)
y añadir al final del archivo contenedor el "paquete enviado", que es otro archivo, también de cualquier tipo.

Estegoanálisis

Lo que la esteganografía esencialmente hace es explotar las limitaciones de la percepción humana (excepto en
el método de inyección), ya que los sentidos humanos (vista y oído) tienen límites para percibir información
extraña intercalada en su contenido; pero existen aplicaciones software disponibles que pueden hacer ese
trabajo de detección, por diversas técnicas analíticas, al estudio y aplicación de ellas corresponde lo
denominado estegoanálisis.

Criptografía simétrica

La criptografía simétrica solo utiliza una clave para cifrar y descifrar el mensaje, que tiene que conocer el emisor
y el receptor previamente y este es el punto débil del sistema, la comunicación de las claves entre ambos
sujetos, ya que resulta más fácil interceptar una clave que se ha transmitido sin seguridad (diciéndola en alto,
mandándola por correo electrónico u ordinario o haciendo una llamada telefónica).

Criptografía asimétrica

La criptografía asimétrica se basa en el uso de dos claves: la pública (que se podrá difundir sin ningún problema
a todas las personas que necesiten mandarte algo cifrado) y la privada (que no debe de ser revelada nunca).

Diferencias entre criptografía simétrica y asimétrica

Para empezar, la criptografía simétrica es más insegura ya que el hecho de pasar la clave es una gran
vulnerabilidad, pero se puede cifrar y descifrar en menor tiempo del que tarda la criptografía asimétrica, que es
el principal inconveniente y es la razón por la que existe la criptografía híbrida.

Criptografía híbrida

Este sistema es la unión de las ventajas de los dos anteriores, debemos de partir que el problema de ambos
sistemas criptográficos es que el simétrico es inseguro y el asimétrico es lento.

El proceso para usar un sistema criptográfico híbrido es el siguiente (para enviar un archivo):

Generar una clave pública y otra privada (en el receptor).

Cifrar un archivo de forma síncrona.

El receptor nos envía su clave pública.

Ciframos la clave que hemos usado para encriptar el archivo con la clave pública del receptor.

Enviamos el archivo cifrado (síncronamente) y la clave del archivo cifrada (asíncronamente y solo puede ver el
receptor).

MÉTODOS DE CIFRADO O CRIPTOGRAFÍA

CRIPTOLOGIA

Criptografía, el arte de ocultar. La palabra tiene su origen en el griego: kryptos (oculto, escondido) y graphein
(escribir). El arte de ocultar un mensaje mediante signos convencionales es muy antiguo, casi tanto como la
escritura. Y efectivamente siempre ha sido considerado un arte hasta hace relativamente poco, cuando Claude
E. Shannon publicó en dos años dos documentos que supusieron la fundación de la moderna Teoría de la
Información.
CRIPTOSISTEMAS

Antes de nada, es conveniente definir qué entendemos –matemáticamente por criptosistema. Un criptosistema
es una cuaterna de elementos formada por:

Un conjunto finito llamado alfabeto, que según unas normas sintácticas y semánticas, permite emitir un
mensaje en claro así como su correspondiente criptograma.

Un conjunto finito denominado espacio de claves formado por todas las posibles claves, tanto de encriptación
como de des encriptación, del criptosistema.

Una familia de aplicaciones del alfabeto en sí mismo que denominamos transformaciones de cifrado.

Una familia de aplicaciones del alfabeto en sí mismo que denominamos transformaciones de descifrado.

CRIPTOSISTEMAS INFORMATICO

Un criptosistema informático se definiría por los siguientes cuatro elementos:

Un conjunto finito denominado alfabeto, que permite representar tanto el texto en claro como el criptograma.
A bajo nivel hablaríamos de bits, y a más alto nivel podríamos hablar de caracter.

ASCII o MIME. Un conjunto finito denominado espacio de claves. Estaría constituido por la totalidad de las
claves posibles del criptosistema.

Una familia de transformaciones aritmetico-logicas que denominamos transformaciones de cifrado.

Una familia de transformaciones aritmetico-logicas que denominamos transformaciones de descifrado.

CLAVE SECRETA

Denominamos criptosistema de clave secreta (de clave privada, de clave única o simétrico) a aquel
criptosistema en el que la clave de cifrado, puede ser calculada a partir de la de descifrado, , y viceversa. En la
mayoría de estos sistemas, ambas claves coinciden, y por supuesto han de mantenerse como un secreto entre
emisor y receptor: si un atacante descubre la clave utilizada en la comunicación, ha roto el criptosistema.

CIFRADO EN FLUJO

Consiste en una máquina de estados que retorna para cada transición de estado un bit de información. Este
flujo de salida de bits se llama comúnmente la llave corriente. La encriptación puede ser implementada solo
con darle la exclusividad de la llave corriente al mensaje de texto plano. La máquina de estados no es más que
un generador de números seudo-aleatorios. Por ejemplo, podríamos construir una de un cifrado en bloque
encriptando repetidamente su propia salida. Típicamente, se usan construcciones más elaboradas para cifrados
de flujo para obtener una alta velocidad.

CLAVE PÚBLICA.

Los Criptosistemas de clave pública fueron inventados a finales de los años 70, con ayuda del desarrollo de la
teoría de complejidad alrededor de esa época. Observando que basados en la dificultad de un problema y de
los miles de años que llevaría resolverlo y con un poco de suerte, se observó que un criptosistema podría ser
desarrollado teniendo dos claves, una privada y una pública.

AUTENTICACIÓN

La autenticación es el acto o proceso para el establecimiento o confirmación de algo (o alguien) como real. La
autenticación de un objeto puede significar (pensar) la confirmación de su procedencia, mientras que la
autenticación de una persona a menudo consiste en verificar su identidad. Todo ello en función de uno o varios
factores.

Métodos de autenticación

Los métodos de autenticación están en función de lo que utilizan para la verificación y estos se dividen
en tres categorías:

Sistemas basados en algo conocido. Ejemplo, un password (Unix) o passphrase (PGP).

Sistemas basados en algo poseído. Ejemplo, una tarjeta de identidad, una tarjeta inteligente(smartcard),
dispositivo usb tipo epass token, Tarjeta de coordenadas, smartcard o dongle criptográfico.

Sistemas basados en una característica física del usuario o un acto involuntario del mismo: Ejemplo, verificación
de voz, de escritura, de huellas, de patrones oculares.

Características de Autenticación

Cualquier sistema de identificación ha de poseer unas determinadas características para ser viable:

Ha de ser fiable con una probabilidad muy elevada (podemos hablar de tasas de fallo de en los sistemas menos
seguros).

Económicamente factible para la organización (si su precio es superior al valor de lo que se intenta proteger,
tenemos un sistema incorrecto).

Soportar con éxito cierto tipo de ataques.

Ser aceptable para los usuarios, que serán al fin y al cabo quienes lo utilicen.

FIRMAS DIGITALES O SOBRES ELECTRÓNICOS

Con el Certificado digital se permite garantizar que el autor del mensaje es quien realmente dice ser. Es decir, se
garantiza que el receptor pueda verificar que el documento ha sido enviado por el autor, que el autor no pueda
negar la realización del documento, y que el receptor no pueda altera su contenido. Por ejemplo, cuando un
usuario A genera un mensaje para un usuario B, lo encripta junto con su certificado. Opcionalmente puede
protegerlo con la clave pública del usuario B. Esto es lo que se llama “Firmar Digitalmente” o construir lo que se
denomina un “Sobre electrónico”.

Nadie puede modificar el contenido del mensaje sin destruir el certificado del emisor, lo que garantice la
inviolabilidad del mismo. Las firmas digitales son bloques de datos que han sido codificados con una llave
secreta y que se pueden decodificar con una llave pública; son utilizadas principalmente para verificar la
autenticidad del mensaje o la de una llave pública .

Los tipos de Firmas son:

Firmas Digitales

Firmas de Códigos ( Objeto/Serie de caracteres[String])

La firma digital de un documento es el resultado de aplicar cierto algoritmo matemático, denominado función
hash, a su contenido y, seguidamente, aplicar el algoritmo de firma (en el que se emplea una clave privada) al
resultado de la operación anterior, generando la firma electrónica o digital. El software de firma digital debe
además efectuar varias validaciones, entre las cuales podemos mencionar:

Vigencia del certificado digital del firmante.

Revocación del certificado digital del firmante.

Inclusión de sello de tiempo.

FIRMA DIGITAL AVANZADA

Una firma digital básica pierde la certeza de su validez cuando expira el certificado. Una firma digital avanzada
sigue siendo valida sin lugar a dudas durante plazos largos que van más allá de la expiración del certificado.
Existen documentos tales como contratos o testamentos para los cuales no es apropiado usar firma digitales
básicas ya que estos documentos se mantendrán vigentes por mucho tiempo después de que expiren los
certificados digitales de los signatarios. En estos casos lo apropiado es usar firma digital avanzada. Una firma
digital no es valida si fue realizada usando un certificado vencido o revocado. Por otro lado una firma digital
básica no contiene información certera acerca de la fecha y hora en que se realizó. Dado lo anterior no es
posible saber si las firmas digitales hechas con un certificado fueron hechas antes o después que expirara. Por
lo tanto al vencer un certificado se pierde la certeza de la validez de las firmas hechas con este.

CERTIFICADOS DIGITALES

Los certificados digitales representan el punto más importantes en las transacciones electrónicas seguras. Estos
brindan una forma conveniente y fácil de asegurar que los participantes en una transacción electrónica puedan
confiar el uno en el otro. Esta confianza se establece a través de un tercero llamado Autoridades Certificadoras.

¿Pero, que son exactamente los Certificados Digitales?. En pocas palabras, los certificados digitales garantizan
que dos computadoras que se comunican entre sí puedan efectuar transacciones electrónicas con éxito. La base
de esta tecnología reside en los códigos secretos o en la “encriptación”. La encriptación garantiza la
confidencialidad, la integridad y la autenticidad de la información que se desea transmitir y que tiene vital
importancia para la persona o empresa. El procedimiento de encriptación es sencillo. Un mensaje puede pasar
por un proceso de conversión o de encripción, que lo transforma en código usando una “ clave “,es decir, un
medio de traducir los signos de un mensaje a otro sistema de signos cuya lectura no tenga ningún sentido para
un desconocido que los intercepte. Esto se conoce como el proceso de “encripción” de un mensaje. Un ejemplo
sencillo de una clave puede ser el reemplazar cada letra con la próxima letra del alfabeto. Así la Palabra VISA se
convertiría en WJTB. Para descifrar el mensaje o revertir la encripción el que lo recibe necesita conocer la clave
secreta ( o sea el certificado digital).
 Los tipos de certificados digitales que existen actualmente son:

Certificados de Servidor (SSL : Capa de zócalos seguro)

Microsoft Server Gated Cryptography Certificates (Certificados de CGC-una extensión del protocolo SSL-
ofrecida por Microsoft).

Certificados Canalizadores.

Certificados de Correo Electrónico.

Certificados de Valoración de páginas WEB.

Certificados de Sello, Fecha y Hora

HACKER

Cuando se habla sobre “Hacking” o se menciona la palabra “Hacker” normalmente se suele pensar en alguien
que tiene profundos conocimientos sobre máquinas que realizan funciones de computo y que, además, son
personas que realizan cosas “imposibles” para el resto de mortales, habitualmente también se relacionan con
personas que se dedican a realizar estafas a gran escala sobre bancos y/o grandes multinacionales, eso para la
sociedad moderna, es un hacker. Aunque las lineas anteriores resulten molestas y muy desagradables, la
realidad es que la cultura del Hacking se encuentra distorsionada por la sociedad y se ha ido perdiendo poco a
poco la esencia de lo que significa realmente la palabra “Hacker”. Un hacker en el ámbito de la informática, es
una persona apasionada, curiosa, dedicada, LIBRE, comprometida con el aprendizaje y con enormes deseos de
mejorar sus habilidades y conocimientos. En muchos casos, no solamente en el área de la informática, el
espíritu de esta cultura se extiende a cualquier área del conocimiento humano donde la creatividad y la
curiosidad son importantes.

Existen diferentes clasificaciones de “Hackers” en la medida que esta cultura se ha ido consolidando y dando a
conocer, estas son:

Black Hats: Un Black Hat, es una clase de hacker dedicada a la obtención y explotación de vulnerabilidades en
sistemas de información, bases de datos, redes informáticas, sistemas operativos, determinados productos de
software, etc. Por lo tanto son también conocidos como atacantes de sistemas y expertos en romper la
seguridad de sistemas para diversos fines (normalmente en busca de sus propios beneficios).

White Hats: Un white hat es una clase de hacker dedicado a la corrección de vulnerabilidades de software,
definición de metodologías, medidas de seguridad y defensa de sistemas por medio de distintas herramientas,
son aquellas personas que se dedican a la seguridad en aplicaciones, sistemas operativos y protección de datos
sensibles, garantizando de esta forma la confidencialidad de la información de los usuarios.

Gray Hats: Un Gray Hat es una clase de hacker que se dedica tanto a la obtención y explotación de
vulnerabilidades como a la defensa y protección de sistemas, por lo tanto puede decirse que un Gray Hat,
frecuentemente esta catalogado como un hacker con habilidades excepcionales y que sus actividades se
encuentran en algún punto entre las desempeñadas por los white hat hackers y los black hat hackers.

Ahora bien, hay otro termino con el que se suele asociar a un Hacker y es el de Cracker, se trata de aquellas
personas que consiguen ganar acceso a sistemas por medio de mecanismos agresivos, como por ejemplo
ataques de fuerza bruta para la obtención de una cuenta de usuario o incluso técnicas mucho más sofisticadas,
como por ejemplo análisis y ruptura de algoritmos de cifrado, esto entre otras cosas. Este colectivo no se
encuentra en la misma categoría que un Hacker, aunque muchas personas utilicen ambos términos de forma
indistinta, un Hacker y un Cracker no son lo mismo, aunque en muchas ocasiones, comparten la misma pasión y
curiosidad.

Por otro lado, el Hacking es utilizando en muchísimos contextos, en algunas ocasiones, algunos hackers utilizan
sus conocimientos para apoyar algún tipo de actividad política con fines sociales (frecuentemente relacionadas
con la libertad de expresión) este tipo de tendencias son una de las bases principales de grupos de hackers que
utilizan sus conocimientos como herramienta contra estados y gobiernos represivos, frecuentemente este tipo
de grupos intentan promover la libertad en todos los aspectos sin el uso de la violencia, solamente con el uso
creativo de sus conocimientos en las tecnologías de información.

TÉCNICAS DE LOS HACKER

ANONIMATO

La función que tiene el uso de técnicas de anonimato para un atacante tiene dos aspectos fundamentales:

Ocultar su identidad

Borrar huellas

Se usan tres técnicas:

Anonimato físico: cibercafé, wifis abiertas

Anonimato por uso de bouncer

Anonimato por uso de proxy

Anonimato por uso de bouncer Las técnicas más frecuentes utilizan un sistema que se convierta en cabeza de
puente del sistema atacante (bouncer)Un bouncer es un sistema sobre el que el atacante tiene derechos totales
Para convertir a una víctima en un bouncer es preciso aprovechar las vulnerabilidades de su sistema con el uso
de algún exploit o la inyección de un troyano.
Anonimato por uso de proxies

Proxy de Internet Un proxy es un intermediario entre una petición ttp nh etic ttp cliente y un servidor Re sp ttp
P Servidor Web s ta Re Actúa a la vez como cliente htt p y como servidor ttp nh ició Pet Normalmente un proxy
lo es ttp ta h Servidor Proxy pu es de varios clientes y tiene Re s una caché asociada para aumentar la velocidad
en futuras peticiones. De esta forma se está consiguiendo cierto anonimato, al quedar registrada en el servidor
web accedido la dirección IP del proxy, y no la del atacante. Sin embargo, estos proxies guardan registro de las
comunicaciones que han gestionado.

Spoofing Suplantación de identidad

Objetivos:

Falsear información

Engañar

Obtener información de un usuario determinado

Comprometer un sistema de red

Crear confusión haciendo aparentar cosas que no son reales ...

Tipos de spoofing:

ARP Spoofing: se trata de suplantar la dirección MAC de un host. Se realiza a nivel de enlace, por lo que son
ataques a máquinas conectadas al mismo medio físico (LAN).Objetivos: Suplantar identidades físicas: MAC
Reconducir una comunicación física Atacar las comunicaciones locales Robo de comunicaciones

IP Spoofing

Mail Spoofing

DNS Spoofing

Web SpoofingCombinación con otras técnicas: sniffing y hijacking

Hijacking : significa "secuestro" y hace referencia a toda técnicailegal que lleve consigo el adueñarse o robar
algo (generalmenteinformación) por parte de un atacante IP hijacking Session hijacking Browser hijacking
Modem hijacking