Matriz de sntomas, causas, pronostico y control

Sntomas
Password HTTP.
(Contraseas sin
cifrado en HTTP).

(Inyecciones de
intrprete de
comandos)

(Inyeccin SQL)

Cookie Set Without

HttpOnly Flag

Causas
Las
contraseas
viajan a travs de
canales inseguros.
Las
contraseas
pueden
ser
divulgadas
a
intrusos de la red.
Atacantes pueden
ser
capaces
de
correr comandos del
lado del servidor. La
explotacin de esta
vulnerabilidad
puede provocar el
acceso remoto no
autorizado
Estas
vulnerabilidades
pueden
ser
explotadas
por
atacantes remotos
para obtener acceso
no autorizado para
escribir o leer sobre
la base de datos

Se
establecen
cookies
sin
la
bandera HttpOnly,
lo que permite que
desde JavaScript se
pueda
acceder
utilizando
cdigo
malicioso, lo que
permitira
la

Pronostico

Control al
pronostico
Las contraseas no Encriptar los datos
deben ser enviadas a transferidos
travs de texto en
claro. Las formas de
la aplicacin deben
presentarse
como
objetivos HTTPS.
Los desarrolladores Se
debe
evitar
deben examinar el ejecutar comandos
cdigo fuente de las de sistemas con la
pginas web al funcin system() a
detalle,
para travs
de
un
determinar
si intrprete
de
existen
comandos.
vulnerabilidades
Los desarrolladores
deben revisar las
solicitudes
y
respuestas en el
cdigo de la base de
datos para verificar
manualmente si la
vulnerabilidad
existe o no. La
mejor defensa en
contra
de
las
vulnerabilidades
SQL es el uso de
consultas
parametrizadas.
Para Apache, se
debe realizar una de
las
siguientes
opciones:
aadir
"IndexIgnore *" al
archivo
.htaccess
del directorio, o
bien
eliminar
"ndexes" de la

No hay que confiar

en las entradas del
lado del cliente,
incluso
si
la
validacin se realiza
del lado del cliente.
En general, se debe
comprobar todos los
datos en el lado del
servidor

Se debe establecer
la bandera HttpOnly
para
todas
las
cookies.

transferencia a un
sitio diferente o si es
una cookie de inicio
de sesin es posible
realizar un secuestro
de sesin.

lnea "Options All

Indexes
FollowSymLinks
MultiViews" en su
archivo
de
configuracin
de
Apache.
Para
lighttpd,
cambie
"dirlisting.activate =
"enable""
to
"dirlisting.activate =
"disable"" en el
archivo
de
configuracin
lighttpd

Informe de Ataques
En el caso puntual de la UNAD cuyo dominio es www.unad.edu.co se ha realizado una
prueba de seguridad al protocolo SSL que permite identificar las principales
vulnerabilidades de la pgina en cuestin. Para hacer la prueba se ha utilizado la
herramienta SSL Server Test De los resultados obtenidos se presenta la configuracin de los
protocolos TLS y SSL que son los que han presentado mayores vulnerabilidades a travs
del tiempo. Se debe tener en cuenta que HTTPS no es ms que HTTP normal sobre
SSL/TLS.
SSL/TLS (Secure Sockets Layer/Transmission Layer Security) son dos protocolos para
enviar paquetes cifrados a travs de Internet, siendo el ltimo el ms moderno. Sirven igual
para HTTP que para cualquier otro protocolo de comunicacin

SEGURIDAD EN LA WEB
La seguridad en la web es una rama de la Seguridad Informtica que se encarga
especficamente de la seguridad de sitios web, aplicaciones web y servicios web.
A un alto nivel, la seguridad de aplicaciones web se basa en los principios de
la seguridad de aplicaciones pero aplicadas. Las aplicaciones, comnmente son
desarrolladas usando lenguajes de programacin, tales como PHP, Java
EE, Java,Python, Ruby, ASP.NET, C#, VB.NET o ASP clsico.
.
Imagen 1: Configuracin protocolos TLS Y SSL servidor www.unad.edu.co

ATAQUES A LOS PROTOCOLOS HTTPS

TTPS (Protocolo seguro de transferencia de hipertexto) es un protocolo de

comunicacin de Internet que protege la integridad y la confidencialidad de los
datos de los usuarios entre sus ordenadores y el sitio web. Por ejemplo, cuando un
usuario introduce sus datos en el formulario de un sitio web para suscribirse a
notificaciones o para comprar algn producto, HTTPS protege la informacin
personal de dicho usuario entre l y el sitio. Los usuarios esperan poder
proporcionar sus datos de forma segura a travs de un sitio web cuando utilizan
Internet.
1.

Ataques del tipo DNS Spoofing

Recordar
el
nmero:
190.66.14.221,
que
es
la
IP
de
esta
web: http://www.unad.edu.co no es sencillo, es por esta razn que cada vez que
queramos visitar www.unad.edu.co estaremos consultando a un servidor de DNS
para saber cul es la direccin de IP asociada al nombre de este dominio en
cuestin y poder acceder a ella. Es decir el DNS es el encargado de resolver por
nosotros la asociacin de un nombre de dominio en una direccin de IP. Este
servidor se define en la configuracin de Internet del usuario encada mquina que
accede a Internet.
Si se puede cambiar esa configuracin y definir otro servidor de DNS, uno que las
asociaciones entre nombres de dominios e IPs las determine un atacante
malintencionado. En el mejor de los casos no ser posible acceder al sitio Web.
Esto seguramente no resulta ser tan grave. Pero si se visita una Web que debera
ser segura pero est asociada a una IP que no lo es. Un atacante puede modificar
una Web legtima para que en lugar de enviar los credenciales de acceso al servidor
oficial
los
enve
en
texto
plano
al
de
ste.
Supngase el caso hipottico: La Web www.unad.edu.co realiza sus conexiones
utilizando HTTPS, de esta manera se imposibilita la captura de los campos de
autenticacin por un tercer. Pero si el DNS es controlado, se pueden redirigir las
conexiones hacia otra Web espejo. La web luce exactamente a la original, pero se ha
modificado el botn entrar para que envi las credenciales de acceso a un texto
plano y el usuario se redirige a la pgina verdadera, de manera que no logra
siquiera darse cuenta de lo sucedido.
2. Ataque falsificar certificados
Las conexiones HTTPS, mostrara sin ningn tipo de alarma toda pgina web que
tenga un certificado firmado por una Agencia de Certificado. En los ltimos aos
han aparecido una cantidad de AC que emiten certificados muchas veces sin
control. Un atacante puede obtener uno de estos certificados y espiar las
actividades de los usuarios.
En el diario el Pas (2011), se puede ver el informe sobre la empresa Cmodo que
emiti certificados con los que el gobierno IRANI pudo espiar las comunicaciones
de sus internautas.
3. Ataque de renegociacin
TLS / SSL permite a los servidores y clientes para iniciar una renovacin o
renegociacin completa de los parmetros de cifrado utilizado para TLS / SSL
conexiones. Esta capacidad permite a las partes la comunicacin de un proceso
abreviado para reanudar una previamente existente TLS / SSL sesin, a menudo
con un conjunto ms seguro de los parmetros criptogrficos. Al explorar el
comportamiento de la renegociacin, un atacante puede insertar contenido que le
permita llevar a cabo una nueva clase de ataque de CSRF, Cross-Site Request
Forgery.

Segn Sergio de Luz (2014), se han identificado cuatro vulnerabilidades del

protocolo TLS, este protocolo es usado actualmente por la UNAD. A continuacin
se detallan las vulnerabilidades.
Los investigadores han identificado cuatro vulnerabilidades en el protocolo TLS: En
el handshake con RSA, el cliente enva el PMS (Pre-master secret) al servidor de
forma cifrada bajo la clave pblica de A. Si A es un servidor malicioso, podra
actuar como cliente de un servidor S legtimo enviando el mismo PMS en una
nueva conexin. Estas dos conexiones se pueden sincronizar porque A puede usar
los mismos valores aleatorios y el identificador de sesin en ambas conexiones, por
tanto comparten el mismo identificador, MS (Master Secret) y claves de conexin.
En el mbito del intercambio de claves, esto es un ataque UKS (Unknown keyshare), que por s mismo no es una vulnerabilidad grave.
En el handshake DHE (Diffie-Hellmann), el servidor malicioso podra elegir un
grupo no primo por lo que el PMS estara bajo su control, por tanto, podra montar
un ataque MITM como ocurre con RSA para montar dos sesiones que comparten
identificador, MS y claves de la conexin (otro ataque UKS).
En la reanudacin de una sesin TLS, el protocolo slo verifica que el cliente y el
servidor comparten el mismo MS, suite de cifrados y el identificador, no reautentica al cliente en el servidor. Por tanto, esta forma de funcionar permite a un
servidor malicioso montar un ataque UKS con dos sesiones. La renegociacin
segura se realiza en la misma conexin, pero esto no se aplica si la sesin se
reanuda en una nueva conexin.
Durante la renegociacin, los certificados del cliente y servidor pueden cambiar. El
protoclo TLS lo permite pero no fija cmo se debe adoptar este cambio. Algunas
implementaciones lo asocian al primer certificado y otras al ltimo.
4. Ataque BEAST
El atacante inserte cdigo en la sesin actual del navegador. Esto puede
conseguirse con distintas tcnicas, por ejemplo, usando un Iframe incrustado o con
un ataque de secuencias de comandos de sitios cruzados (XSS). A continuacin,
este cdigo obliga al navegador a que incluya un fragmento conocido de texto sin
formato en el servidor a travs del canal SSL. De nuevo, esto puede conseguirse
fcilmente con Javascript. Antes de insertar este cdigo, el atacante tambin
necesita poder capturar el trfico SSL del usuario, ya sea ejecutando un rastreador
en el equipo objetivo o bien capturando el trfico mediante un ataque MitM. De
cualquier forma, basta con texto sin formato y una carga cifrada para que ahora el
atacante pueda ejecutar algunas herramientas de criptoanlisis y esperar a
conseguir una cookie (Tredimo.es).
5. Ataque CRIME

Es una vulnerabilidad explotada es una combinacin de inyeccin de texto plano y

de fuga de informacin a travs de compresin de datos. Esta se basa en que el
atacante sea capaz de observar el tamao del ciphertext enviado por el navegador
mientras al mismo tiempo inducir al navegador a hacer mltiples conexiones
cuidadosamente diseadas al sitio web objetivo. El atacante entonces observar el
cambio en el tamao de la informacin solicitada, la que contiene tanto la cookie
secreta que se enva por el navegador al sitio web, contenido variable creado por el
atacante y como el contenido variable es alterado. Cuando el tamao del contenido
comprimido es reducido, se puede inferir que es probable que en alguna parte del
contenido inyectado, sta sea igual a parte del contenido original, la que incluye el
contenido secreto que el atacante desea descubrir. El exploit CRIME fue creado por
los investigadores de seguridad Juliano Rizzo y Thai Duong, quienes tambin
crearon el exploit BEAST. El exploit fue revelado en detalle en la conferencia de
seguridad informtica ekoparty 2012 (Wikipedia).
6. Ataque Lucky Thirteen
Segn el diario noticias sobre seguridad de la informacin (2013), Lucky Thirteen
es un ataque criptogrfico y se trata de una nueva variante del Padding Oracle
Attack (ya solucionado). En verificacin de integridad MAC, la mayora de las
implementaciones de TLS son vulnerables al ataque. Todos los conjuntos de cifrado
TLS y DTLS que incluyen el modo de cifrado CBC (Cipher-Block-Chaining) son
potencialmente vulnerables a los ataques
Lucky Thirteen utiliza una tcnica conocida como Padding Oracle en el motor de
cifrado principal en TLS, responsable de realizar el cifrado y garantizar la
integridad de los datos. Los datos se procesan en bloques de 16 bytes utilizando una
rutina conocida como MEE (MAC-then-Encode-then-Encrypt), que pasa los datos
a travs de un algoritmo MAC (Message Authentication Code); a continuacin, los
codifica y los cifra. La rutina aade "relleno" (Padding) al texto cifrado para que los
datos resultantes queden perfectamente alineados al lmite de 8 o 16 bytes. Este
relleno ms tarde se extrae al momento de descifrar TLS
El ataque comienza con la captura de texto cifrado a medida que viaja a travs de
Internet. Usando una debilidad antigua de CBC (modo de cifrado en bloque) en
TLS, los atacantes reemplazan los ltimos bloques con varios bloques escogidos y
observan la cantidad de tiempo que le toma responder al servidor. Los mensajes
que contienen un relleno correcto tardarn menos tiempo en procesarse. Un
mecanismo en TLS hace que la transaccin falle cada vez que la aplicacin se
encuentra con un mensaje que contiene datos alterados. Mediante el envo de
grandes cantidades de mensajes TLS y el muestreo estadstico de tiempos de
respuesta, se puede "adivinar" el contenido del texto cifrado

ALGUNAS SOLUCIONES
En la plataforma se deben implementar polticas de seguridad que mitiguen los problemas
generados por la ausencia de estas polticas con respecto a las contraseas de usuarios del campus
virtual de la UNAD, Como lo indica el planteamiento del problema, la universidad cuenta con
poltica de cambio de contrasea, pero este es muy espordico y tambin permite realizar mltiples
intentos de acceder a una cuenta y as dar paso a un atacante para que este pueda lograr una falsa
autenticacin poniendo en riesgo la informacin de las personas que se encuentren registradas en el
campus, tambin se deben revisar y corregir posibles vulnerabilidades en el protocolo SSL como el
conocido HeartBleed o como el actual DROWN que afecta SSLv2 y muchas otras vulnerabilidades
que se deben parchear desde que son conocidas, es de suma importancia realizar auditoras de
seguridad peridicamente para verificar que la plataforma se encuentre segura as como los datos de
los estudiantes, docentes etc. que ingresan a esta, tambin es muy importante capacitar a los
usuarios constantemente ya que el usuario es considerado como el eslabn ms dbil de la cadena
por los atacantes, por lo tanto si un usuario no est bien informado sobre esto, un atacante a travs
de engaos o ingeniera social podra realizar ataques como el phishing, o tratar que este le entregue
sus datos personales, el servidor debe tener sistemas de defensa contra los DOS o DDOS ya que
estos son los ms utilizados por grupos de personas para dar de baja aun servidor.
Una prueba realizada para verificar si los servidores de la universidad son vulnerables al ataque Drown arroja
los siguientes resultados la solucin seria pasar a las ltimas versiones de TLS ya que las versiones de SSL
son
consideradas
obsoletas.

De cmo se utilizar la tecnologa escogida en la resolucin del problema.

De acuerdo a las debilidades identificadas en el sistema web de la Universidad Nacional Abierta y a
Distancia UNAD (www.unad.edu.co), se proponen a continuacin una serie de recomendaciones
orientadas a mejorar la seguridad en la plataforma de la UNAD.
Recomendaciones

de

autenticacin.

1.
Se debe proveer de un mecanismo para expirar las contraseas y obligar a los usuarios al
cambio de la misma.
2.

Limitar el nmero de intentos de acceso sin xito consecutivo

3.
Al superar el nmero de intentos de acceso sin xito, debe enviarse un e-mail al usuario
informando de un posible acceso por terceros.
4.
Como medida opcional, se recomienda implementar el sistema de identidad protegida,
donde los usuarios adems de la clave de acceso, responda a una pregunta previamente establecida
de la que solo l debe saber la respuesta. Ya que este mtodo posiblemente resulte algo tedioso para
los usuarios, se hace necesario registrar los equipos en los que generalmente ingresa un usuario,
esto con el fin de no tener que responder preguntas en un equipo determinado.
5.
Que el usuario pueda conocer los equipos que aparecen registrado en su cuenta como
seguros.
Recomendaciones de configuracin de los protocolos TSL/SSL

Comprobar el certificado, este debe estar debidamente actualizado.

2.
Comprobar que el certificdo ha sido emitido por una autoridad acreditada.
3.
Tener desabilitado SSLv2
4.
Tener desabilitado SSlv3
5.
Verificar que SSL 3.0 este deshabilitado
6.
No usar cypher RC4
7.
No usar cypher DES
8.
Comprobar que CRIME este mitigado, para hacerlo es necesario deshabilitar
la comprensin del trafico TSL.
9.
Implementar longitud de clave 1048 bits
10.
TLS 1.2 y habilitar la extensin de TLS_FALLBACK_SCSV para evitar que
los atacantes fuercen protocolos ms antiguos.
1.

Cmo se evidencia la innovacin tecnolgica o apropiacin de conocimiento luego de dar

solucin a la problemtica aplicando la tecnologa moderna escogida.
Al investigar los casos de ataques al protocolo HTTPS, se ha llegado a la conclusin que el concepto
de seguridad en la Web, es relativo, TSL seguridad en la capa de transporte y SSL "Capa de conexion
segura", han sido vulnerado una y otra vez, dajando obsoletas versiones cada cierto periodo de
tiempo, de manera que al establecer otros mecanismos de seguridad donde el acceso de usuario sea
parte fundamental y complementado con certificados fiables y una adecuada configuracin del
HTTPS, se puede tener un nivel de seguridad mas alto en la plataforma. Ahora bien la innovacin
esta orientada a la aplicacin de buenas practicas de seguridad Web, por medio de un conocimiento
profundo
del
funcionamiento
de
HTTPS.

REFERENCIAS BIBLIOGRFICAS

Escuela tacnica superior de Ingenieria Informatic (2004). Introduccin a las

aplicaciones Web, Consultado el 18 de Marzo de 2015, disponible en:
http://www.lsi.us.es/docencia/get.php?id=854
Alandete, David. (2011). Un ataque pone en duda la seguridad de HTTPS. El pais.
Consultado el 18 de marzo de 2016, disponible
en: http://elpais.com/diario/2011/03/25/radiotv/1301007601_850215.html
De luz Sergio (2014). El triple Handshake de TLS es vulnerable a ataques Man In The Middle. Consultado el
18 de marzo de 2016, disponible en: http://www.redeszone.net/2014/03/04/el-triple-

handshake-de-tls-es-vulnerable-ataques-man-middle/#sthash.C5655j2G.dpuf
Noticias sobre seguridad de la informacin. Ataque de Lucky Thirteen. Consultado
el 18 de Marzo de 2016, disponible en: http://blog.segu-info.com.ar/2013/02/ssly-tls-en-peligro-lucky-thirteen.html
Trendmicro.es (2011). BEAS y la seguridad TLS/SSL: lo que significa para los
usuarios y administradores Web. Recuperado el 18 de Marzo de 2016, disponible
en:http://blog.trendmicro.es/?p=1650
Wikipedia (s.f). CRIME. Consultado el 18 de marzo de 2016, disponible
en: https://es.wikipedia.org/wiki/CRIME
Qu pasa si una pgina web no utiliza https? Disponible en:
https://www.osi.es/es/actualidad/blog/2014/02/28/que-pasa-si-una-pagina-webno-utiliza-https.html

Qu es SSL?

El SSL (Security Socket Layer) y el TLS (Transport Layer Security) son los protocolos de
seguridad de uso comn que establecen un canal seguro entre dos ordenadores
conectados a travs de Internet o de una red interna. En nuestra vida cotidiana, tan
dependiente de Internet, solemos comprobar que las conexiones entre un navegador web
y un servidor web realizadas a travs de una conexin de Internet no segura emplean

tecnologa SSL. Tcnicamente, el protocolo SSL es un mtodo transparente para

establecer una sesin segura que requiere una mnima intervencin por parte del usuario
final. Por ejemplo, el navegador alerta al usuario de la presencia de un certificado SSL
cuando se muestra un candado o cuando la barra de direccin aparece en verde cuando
se trata de un certificado EV SSL con validacin ampliada. En este hecho reside el xito
del protocolo SSL: es una experiencia sorprendentemente sencilla para los usuarios
finales.
Certificados EV SSL con validacin ampliada:

Certificados SSL estndar (certificado DomainSSL o OrganizationSSL):

A diferencia de las URL HTTP que comienzan con el protocolo "http://" y emplean el
puerto 80 por defecto, las URL HTTPS comienzan con el protocolo "https://" y emplean el
puerto 443 por defecto.
El protocolo HTTP es inseguro y susceptible de ataques por parte de intrusos. Si los datos
confidenciales transmitidos (por ejemplo los datos de una tarjeta de crdito o la
informacin de usuario de una cuenta) cayesen en manos de la persona equivocada, los
intrusos podran acceder a cuentas online y consultar informacin confidencial. Cuando se
emplea un protocolo HTTPS para enviar informacin a travs de un navegador, tal
informacin aparece encriptada y protegida.

Cmo se emplea la tecnologa SSL en la prctica en las transacciones de comercio

electrnico, los procesos de trabajo online y los servicios por Internet?

Para

proteger transacciones realizadas con tarjetas de banco.

Para

ofrecer proteccin online a los accesos al sistema, la informacin

confidencial transmitida a travs de formularios web o determinadas reas

protegidas de pginas web.
Para

proteger el correo web y las aplicaciones como el acceso web a

Outlook o los servidores Exchange y Office Communications.

Para

proteger los procesos de trabajo y la virtualizacin de aplicaciones

como plataformas Citrix Delivery o las plataformas de cloud computing.

Para

proteger la conexin entre un cliente de correo como Microsoft

Outlook y un servidor de correo como Microsoft Exchange.

Para

proteger la transferencia de archivos sobre HTTPS y servicios de

FTP, como podran ser las actualizaciones de nuevas pginas por parte de un
propietario de una pgina web o la transmisin de archivos pesados.
Para

proteger los accesos y la actividad en paneles de control como

Parallels o cPanel entre otros.

Para

proteger el trfico en una intranet como es el caso de las redes

internas, la funcin compartir archivos, las extranets o las conexiones a bases de

datos.

Para

proteger los accesos a redes y cualquier otro trfico de red con

VPNs de SSL como podran ser los servidores de acceso VPN o las aplicaciones
como Citrix Access Gateway.

Todas estas aplicaciones tienen algunos puntos en comn:

Es

necesario proteger la confidencialidad de los datos transmitidos a

travs de Internet o de cualquier otra red, ya que nadie desea que la informacin
de su tarjeta de crdito, su cuenta, sus contraseas o sus datos personales
queden expuestos en la Red.
Es

necesario garantizar la integridad de estos datos para evitar que una

vez se han enviado los datos de la tarjeta de crdito y se ha confirmado el importe,

un hacker que haya podido interceptar la informacin no pueda cambiar la
cantidad cobrada y desviar el dinero.
Su

empresa debe garantizar a sus clientes o a los usuarios de su

extranet la autenticidad de su identidad y eliminar cualquier sombra de duda de

que un tercero est suplantndole.
Su

organizacin debe cumplir las normativas regionales, nacionales e

internacionales en materia de privacidad, seguridad e integridad de los datos.

Qu es un certificado SSL?

SSL es un protocolo para cuyo uso es necesario contar con un certificado SSL. Un
certificado SSL es un pequeo archivo de datos que vincula digitalmente una clave de
encriptacin con los datos de su empresa. Generalmente estos datos son:

Su
El

nombre de dominio, nombre de servidor y nombre de host

nombre y la ubicacin de su empresa

En

determinados casos, la informacin de contacto de su empresa

Para poder iniciar sesiones SSL con navegadores, las organizaciones deben instalar el
certificado SSL en sus servidores web. Dependiendo del certificado SSL solicitado, la
organizacin deber superar determinados niveles de inspeccin. Tras la instalacin, al
intentar acceder a la pgina web https://www.dominio.com, el certificado solicitar al

servidor que establezca una conexin segura con el navegador, lo que proteger todo el
trfico entre el servidor web y el navegador.

Para visualizar un certificado SSL, haga clic en el candado y seleccione Visualizar

certificado. Cada navegador mostrar el certificado de manera ligeramente diferente, pero
siempre incorporar la misma informacin.

Para visualizar el contenido del certificado haga clic en la pestaa de Datos:

Haga clic en la ruta de certificacin para comprobar qu certificado raz de confianza se

ha utilizado para emitir el certificado SSL:

Es relevante el certificado raz?

Los certificados SSL han de ser emitidos desde un certificado raz de una Autoridad de
certificacin de confianza. El certificado raz debe estar presente en el ordenador del
usuario final para que el certificado SSL sea fiable. De lo contrario, el navegador mostrar

al usuario final mensajes de error advirtiendo de la falta de confianza. En el caso del

comercio electrnico, este tipo de errores inducen a perder la confianza por completo en
la pgina web. Por ello, las pginas web que emplean certificados SSL no fiables se
arriesgan a perder la confianza, y por tanto las compras, de la mayora de sus clientes.
Las empresas como GlobalSign son Autoridades de Certificacin reconocidas y de
confianza, ya que los distribuidores de navegadores y sistemas operativos como
Microsoft, Mozilla, Opera, Blackberry, Java. etc. confan en la legitimidad de la Autoridad
de Certificacin GlobalSign y saben que GlobalSign nicamente emite certificados SSL de
la mxima confianza. Cuantas ms aplicaciones, dispositivos y navegadores cuenten con
la raz de la Autoridad de Certificacin registrada e integrada, mayor es el grado de
"reconocimiento" y seguridad que los certificados SSL pueden ofrecer.
Durante ms de diez aos GlobalSign ha operado su programa GlobalSign Ready para la
integracin de su certificado raz. Este programa permite a sus ingenieros informticos de
EE.UU., Reino Unido, Europa continental y Asia estar en contacto directo y constante con
los distribuidores de aplicaciones, dispositivos y navegadores para garantizar que el
certificado raz de GlobalSign est presente en todos los casos susceptibles de usar
sesiones SSL.
Ms informacin acerca de la compatibilidad del certificado raz de GlobalSign y las
ventajas que brinda a su pgina web

El certificado raz de GlobalSign est diseado para diversos fines, lo que lo convierte en
un certificado robusto, flexible y capaz de desempear cualquier actividad relacionada con
la Infraestructura de Clave Pblica (PKI):
Garantiza la identidad de un ordenador remoto
Demuestra su identidad ante un ordenador remoto
Garantiza que el software procede de su creador original
Protege el software contra alteraciones tras su lanzamiento
Protege los correos electrnicos
Permite firmar datos con la hora actual
Permite encriptar los datos en un disco
Permite proteger la comunicacin en Internet
Compatible con cualquier mtodo de emisin
Firma de OCSP

GlobalSign ofrece aplicaciones, productos y servicios de PKI para todas y cada una de las
funciones de seguridad anteriores. Pngase en contacto con nosotros si su organizacin
cuenta

con

un

proyecto

de

PKI

especfico.

REFERENCIAS BIBLIOGRFICAS

Qu

es

SSL?

Consultado

en

Septiembre

del

2015.

dehttps://www.globalsign.es/centro-informacion-ssl/que-es-ssl.html

Recuperado

Qu es un certificado SSL?

Consultado en Septiembre del 2015. Recuperado

de https://www.globalsign.es/centro-informacion-ssl/que-es-un-certificado-ssl.html

16-12-2014

Hardening

de

SSL/TLS

en

servidores

HTTPS.

http://www.linuxito.com/seguridad/480-hardening-de-ssl-tls-en-servidores-https

Ivan

Risti(2014)

SSL/TLS

Deployment

Best

Practiceshttps://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practic
es.pdf

Implantacin de seguridad https

Implantar HTTPS en las aplicaciones y pginas web es una gran estrategia de seguridad de la
informacin. Lamentablemente hackers y delincuentes informticos realizan ataques al protocolo.
Para esta razn a tecnologa seleccionada para mejorar la seguridad en el protocolo https es el
complemento llamado SPDY.
SPDY protocolo de aplicacin segn modelo OSI al protocolo HTTPS, Funciona sobre TPC/IP para
fortalecer la seguridad y mejorar el rendimiento. Pero teniendo en cuenta que es un complemento
de hhtp creado por Microsoft est en etapa experimental se ve claras que una de las medidas
para fortalecer ms la seguridad hhtps es de usar certificacin ssl comercial ya sea verising o
kaperky etc.. Ya que su desarrollo es privativo y da ms tiempo de vida en seguridad al aplicativo
web y contaramos con el soporte y la garanta de la empresa proveedora. Tambin en gran parte
la vulnerabilidad web se debe a denegacin de servicio o ataques cogestionando el servicio como tal
otra medida que podemos implementar es de alquilar un ser de proteccin de D.O.S como
cluodflare o otras alternativas de firewall
De igual manera es importante realizar las recomendaciones y sugerencias de seguridad como
manejar todo por un login control de acceso, no permitir el acceso a personal no autorizado, realizar
un seguimiento de la informacin entrar a las pginas web seguras escribiendo las url completas
Y realizar una auditoria constante para garantizar la seguridad de la informacin.

ii. Describir el propsito de la investigacin: Se debe explicar el tipo de resultados que se

esperan obtener y de qu manera pueden ser tiles para la organizacin o el entorno. Se
trata entonces de explicar la naturaleza del tipo de resultados que se espera obtener.
Descripcin del propsito de la investigacin

El resultado que esperamos obtener un sistema Web robusto que se ajuste a las
normatividades y estndares de comunicacin, brindando una seguridad total en el sector,
como es el potente cifrado HTTPS predeterminado. Esto implica que los usuarios que
utilizan los diferentes recursos de comunicacin dinmica, cuenten con una conexin rpida
y segura a los diferentes recursos de la red, en el mbito local y
remoto. http://googlewebmaster-es.blogspot.com.co/search/label/https
Con este sistema tecnolgico se pretende dar seguridad a la informacin depositada en
bases de datos en la plataforma de la alcalda, que los diferentes usuarios autorizados
tengan los privilegios adecuados de ingreso a sus aplicaciones, seguridad para realizar
pagos o transferencias monetarias, publicacin de contraseas y datos personales, pasando
por formularios de seguridad y datos que requieren un control estricto de confidencialidad.
Este sistema nos proporciona una velocidad de transferencia ms rpida y confiables,
registros de certificacin que hace que la empresa no incurra en delitos e incumplimiento
con las normas de comunicacin, se incluye la integridad de datos la cual hace referencia a
la consistencia de los datos solicitados y los datos reales recibidos.
Todo esto para que la empresa no tenga prdidas econmicas, el personal de trabajo no se
mire incluido en normatividades ilegales, no se alteren la informacin de cada una de las
aplicaciones manejadas; que el estado en si maneje una informacin verdica en tiempos
considerables. http://reinspirit.com/https-y-wordpress/
iii. Generar las preguntas de investigacin: Las preguntas de investigacin tienen que ver
con los aspectos especficos que se van a investigar y analizar. Tienen que ver igualmente
con los interrogantes que se esperan resolver con el desarrollo de la investigacin. Se debe
apuntar a preguntas con soluciones posibles, aquellas que realmente se puedan investigar.
Preguntas de investigacin.
Qu costo econmico tendr la implementacin del sistema tecnolgico para dar solucin
al problema identificado?
Cul es el modelo, servicios y plataformas tecnolgicas que se requieren para ajustar el
protocolo de seguridad?
Cules son las caractersticas de la tecnologa a implementar, y porque razn se puede
considerar como un aportes al desarrollo tecnolgico?
Cules son las tecnologas que soportan a una nueva tecnologa en cuanto a seguridad
Web?
Los sistemas tecnolgicos a utilizar qu tiempo de vida til pueden tener, y que costos se
deben asumir para su respectivo mantenimiento?

Cul es el conocimiento actual sobre el problema y sus causas? Hay consenso? Hay
discrepancias? Hay evidencias conclusivas?
La administracin municipal y dems entes gubernamentales, estn dispuestos a cubrir con
los costos que se generen para la instalacin de tecnologas modernas para mejorar la
seguridad en el protocolo Web HTTPS?

iv. Definir la terminologa a utilizar: Aqu se definen trminos especficos que tienen que
ver o que son propios de la investigacin a realizar.
Cifrado Web (SSL/TLS): SSL (Secure Sockets Layer) traducido al espaol significa Capa
de Conexiones Seguras. Es un protocolo que hace uso de certificados digitales para
establecer comunicaciones seguras a travs de Internet. Recientemente ha sido sustituido
por TLS (Transport Layer Security) el cual est basado en SSL y son totalmente
compatibles.
Te permite confiar informacin personal a sitios web, ya que tus datos se ocultan a travs
de mtodos criptogrficos mientras navegas en sitios seguros.
Es utilizado ampliamente en bancos, tiendas en lnea y cualquier tipo de servicio que
requiera el envo de datos personales o contraseas. No todos los sitios web usan SSL, por
eso debes ser cuidadoso. Cruz Galvy (2011)
HTTPS (Hypertext Transfer Protocol Secure): (protocolo seguro de transferencia de
hipertexto): es un protocolo de comunicacin de Internet que protege la integridad y la
confidencialidad de los datos de los usuarios entre sus ordenadores y el sitio web. Por
ejemplo, cuando un usuario introduce sus datos en el formulario de un sitio web para
suscribirse a notificaciones o para comprar algn producto, HTTPS protege la informacin
personal de dicho usuario entre l y el sitio. Los usuarios esperan poder proporcionar sus
datos de forma segura a travs de un sitio web cuando utilizan Internet. Queremos animarte
a incorporar el protocolo HTTPS para proteger la conexin de los usuarios con tu sitio web.
El envo de datos mediante el protocolo HTTPS est asegurado mediante el protocolo de
seguridad de la capa de transporte (TLS), que proporciona las tres capas clave de seguridad
siguientes:
Cifrado: se cifran los datos intercambiados para mantenerlos a salvo de miradas
indiscretas. Ello significa que cuando un usuario est navegando por un sitio web, nadie
puede "escuchar" sus conversaciones, hacer un seguimiento de sus actividades por las
diferentes pginas ni robarle informacin.

Integridad de los datos: los datos no pueden modificarse ni daarse durante las
transferencias, ni de forma intencionada ni de otros modos, sin que esto se detecte.
Autenticacin: garantiza que tus usuarios se comuniquen con el sitio web previsto.
Proporciona proteccin frente a los ataques "man-in-the-middle" y contribuye a la
confianza de los usuarios, lo que se traduce en otros beneficios empresariales. Cruz Galvy
(2011)
UTM: viene de las siglas en ingles de: Unified Threat Management, o ms bien Gestin
Unificada de Amenazas. Entonces un Firewall UTM bsicamente es un cortafuego de red
que engloban mltiples funcionalidades (servicios) en una misma mquina de proteccin
perimetral. Algunas de stos servicios son:
Funcin de un firewall de inspeccin de paquetes
Funcin de VPN (para hacer tneles o redes privadas)
Antispam (para evitar los correos no deseados o spam)
Antiphishing (evitar el robo de informacin)
Antispyware
Filtrado de contenidos (para el bloqueo de sitios no permitidos mediante categoras)
Antivirus de permetro (evitar la infeccin de virus informticos en computadoras clientes y
servidores)
Deteccin/Prevencin de Intrusos (IDS/IPS)
Tomado de: http://latam.kaspersky.com/mx/internet-security-center/definitions/utm
Internet: Es un conjunto descentralizado de redes de comunicacin interconectadas que
utilizan la familia de protocolos TCP/IP, lo cual garantiza que las redes fsicas heterogneas
que la componen funcionen como una red lgica nica de alcance mundial. Sus orgenes se
remontan a 1969, cuando se estableci la primera conexin de computadoras, conocida
como Arpanet, entre tres universidades en California (Estados Unidos). El gnero de la
palabra internet es ambiguo segn el Diccionario de la Real Academia Espaola.
Intranet: Es un sitio web interno, diseado para ser utilizado dentro de los lmites de la
compaa. Lo que distingue una Intranet de un sitio de Internet, es que las intranets son
privadas y la informacin que en ella reside tiene como objetivo asistir a los trabajadores en
la generacin de valor para la empresa.
Arquitectura de la Red: Es el diseo de una red de comunicaciones. Es un marco para la
especificacin de los componentes fsicos de una red y de su organizacin funcional y
configuracin, sus procedimientos y principios operacionales, as como los formatos de los
datos utilizados en su funcionamiento.
En la telecomunicacin, la especificacin de una arquitectura de red puede incluir tambin
una descripcin detallada de los productos y servicios entregados a travs de una red de

comunicaciones, y as como la tasa de facturacin detallada y estructuras en las que se

compensan los servicios.
Libro de Morgan Kaufmann - Network Analysis Architecture and Design (3rd Edition Jun 2007).

CONCLUSIONES

Explicar de una forma clara el planteamiento del problema, con el fin de poder dar solucin
a los requerimientos aplicando un sistema tecnolgico para su mejora.
Se formula preguntas de investigacin que nos lleva a captar ms a fondo lo que se necesita
documentar para la construccin total del trabajo.
Se hace definicin de los conceptos ms utilizados, para comprender ms a fondo la
redaccin tcnica dentro de la parte terica.
BIBLIOGRAFA
Generalidades sobre el software libre - Stallman Richard M. (2004). Software libre para
una sociedad libre. Madrid: Traficante de Sueos. Documento URL
http://www.gnu.org/philosophy/fsfs/free_software.es.pdf
Jess M. Gonzlez Barahona, Joaqun Seoane Pascual y Gregorio Robles (2008). Software
libre.
Tanenbaum, Andrew S.: Redes de Computadoras, 3 Ed. Prentice-Hall, 1997. ISBN 968880-958-6, PVP 38,50 euros.
Tanenbaum, Andrew S.: Computer Networks, 4th Ed. Prentice-Hall, 2003. ISBN 0-13066102-3, PVP $88,00. Informacin en: http://www.phptr.com/tanenbaumcn4/
http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls
http://www.iprospect.com/es/es/blog/migrar-http-a-https-nuevas-tendencias-seo-2015/
http://www.symantec.com/connect/blogs/banking-proxy-trojantatanarg
http://h71028.www7.hp.com/PublicSector/cache/107893-0-0-140-470.html
http://www.nxtgenug.net/Article.aspx?ArticleID=42
http://hubpages.com/hub/SSL-For-Dummies-Understanding-What-it-all-Means
http://blog.securism.com/2009/01/summarizing-pki-certificate-validation/

INTRODUCCIN

Dentro de este trabajo se analizara una tecnologa expuesta en el primer trabajo

colaborativo, con el fin de dar solucin a un requerimiento informtico de la entidad
pblica a estudio, en este caso dar seguridad en la Web, incluyendo el protocolo HTTPS
como un sistema que nos proporciona mucha seguridad en el paso de informacin en la que
los datos viajan cifrados mediante la red de internet; de esta manera resaltar sus
vulnerabilidades y sus mtodos de proteccin tanto fsicas como lgicas en la estructura
cliente servidor.
De acuerdo a esto formalizar con el grupo colaborativo todos los parmetros que se deben
seguir para llegar a una investigacin en la que se integren todas sus fases, como son;
planteamiento del problema, descripcin del propsito de la investigacin, preguntas de
investigacin y definicin de la terminologa a utilizar referenciando cada una de las
definiciones, para esto construir una mapa conceptual en el que se resuma las bondades de
la tecnologa a emplear para dar solucin al problema en la entidad pblica a estudio.

SOLUCION DEL PUNTO B

CONCLUSIONES

Conocer las bases para desarrollar una propuesta de un proyecto de investigacin, y la gestin del proyecto.
Comprender los fundamentos tericos de la criptografa moderna y el funcionamiento de los protocolos
criptogrficos actualmente en uso.
Comprender las diferencias conceptuales entre los diferentes dominios de marcado de la informacin digital
(dominio temporal/espacial y transformado). Capacidad crtica para analizar el correcto funcionamiento de un
sistema tecnolgico para dar solucin a un problema.

BIBLIOGRAFA

Generalidades sobre el software libre - Stallman Richard M. (2004). Software libre para una
sociedad
libre.
Madrid:
Traficante
de
Sueos.
Documento
URL
http://www.gnu.org/philosophy/fsfs/free_software.es.pdf
Jess M. Gonzlez Barahona, Joaqun Seoane Pascual y Gregorio Robles (2008). Software libre.
Tanenbaum, Andrew S.: Redes de Computadoras, 3 Ed. Prentice-Hall, 1997. ISBN 968-880-958-6,
PVP 38,50 euros.
Tanenbaum, Andrew S.: Computer Networks, 4th Ed. Prentice-Hall, 2003. ISBN 0-13-066102-3,
PVP $88,00. Informacin en: http://www.phptr.com/tanenbaumcn4/
http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls
http://www.iprospect.com/es/es/blog/migrar-http-a-https-nuevas-tendencias-seo-2015/
http://www.symantec.com/connect/blogs/banking-proxy-trojantatanarg
http://h71028.www7.hp.com/PublicSector/cache/107893-0-0-140-470.html
http://www.nxtgenug.net/Article.aspx?ArticleID=42
http://hubpages.com/hub/SSL-For-Dummies-Understanding-What-it-all-Means
http://blog.securism.com/2009/01/summarizing-pki-certificate-validation/
http://estudios.uoc.edu/es/masters-universitarios/seguridad-tecnologias-informacioncomunicaciones/objetivos-perfiles-competencias
http://www.ceipmiguelzubeldia.es/planes-y-proyectos/t-i-c/proyecto-escuela-t-i-c-2-0/
http://muyseguridad.net/2013/02/06/se-descubre-vulnerabilidad-grave-en-las-conexiones-seguras/

INTRODUCCIN

En este documento se realizo el declogo de Bernal, de acuerdo a la problemtica y la

solucin que se desea realizar en el proyecto de investigacin, relacionando una serie de
preguntas de conceptos puntuales para el desarrollo del trabajo, que nos permite identificar
la obtencin ordenada de todos los antecedentes, hechos y elementos que han participado
en el fenmeno, suceso o acontecimiento.

SOLUCION DEL PUNTO C

C. Crear un documento PDF que contenga la Planeacin de la solucin: Para realizar esta actividad, se
sugiere utilizar el Declogo de Bernal. Se debe diligenciar el siguiente cuadro para adjuntarlo a la primera
actividad:
Concepto
Cronologa (Cundo?)

Descripcin
En este tem del trabajo investigativo que se viene ejecutando en la
identificacin de un requerimiento tecnolgico que se presenta en la
alcalda de la ciudad de Pasto el cual debe ser solucionado con una

tecnologa, en el cual el tema seleccionado es seguridad en la web, el cual

est estructurado por fechas de inicio y finalizacin para el respectivo
cumplimiento de cada una de las actividades:
Consolidamos en el mes de septiembre en el trabajo colaborativo uno, la
propuesta del contexto del problema a solucionar en la Entidad del Estado,
como tambin la construccin de un Blogger en donde plasmamos de una
forma directa el contenido terico y los diferentes referentes que hacen
parte de dicha investigacin.
Para el mes de octubre se programa de acuerdo a una gua de actividades
para el trabajo colaborativo dos, la formulacin de la propuesta de trabajo
de investigacin teniendo en cuenta la problemtica encontrada y la
solucin que se dar en el entorno utilizando la tecnologa moderna, con
base en los insumos del trabajo colaborativo 1. Y todo el material
construido con el grupo se insertado en el Blogger construido.
Proyecto de investigacin que finalizara en su totalidad en las ltimas
fechas del mes de noviembre del presente ao (2015).
Axiomas (Quin?)

En la solucin participaran todos los estudiantes del grupo colaborativo

matriculados en el curso Proyecto de grado (Ing. de Sistemas). Todos los
referentes bibliogrficos que nos validad la documentacin que aporta daca
unos de los integrantes del grupo de trabajo.

Mtodo (Cmo?)

Para la implementacin de un Sistema de seguridad que contribuya a la

proteccin de la informacin, se requiere de un proceso dinmico y
armnico, estableciendo protocolos adecuados y manejo de clasificacin de
la informacin.
Actividad que se realizara un cronograma de trabajo que ayude a dividir
tareas con asignacin de responsabilidades.

Ontologa (Qu?)

Implementar un sistema el cual brinde seguridad a la informacin que se

deposita en la plataforma de la alcalda de Pasto.

Tecnologa (Con qu?)

Cifrado Web HTTPS el cual es el protocolo ms seguro que tenemos en la

actualidad, siendo una combinacin del protocolo HTTP (usado en cada
transaccin web) con el protocolo SSL/TLS usada para establecer
comunicaciones cifradas en sitios web. El propsito de esta investigacin es
la migracin al protocolo ya mejorado, para que todos los usuarios estn
protegidos en la red.

Teleologa (Para qu?)

Con el desarrollo e implementacin de este sistema de informacin se

pretende brindar seguridad y fiabilidad a la informacin almacenada en la
plataforma web de la alcalda de Pasto.

Topografa (Dnde?)

La implementacin del sistema de seguridad se realizar en la alcalda de

Pasto del departamento de Nario, ciudad ubicada al sureste de Colombia.

En la dependencia de trabajo (oficina de tecnologa)

Ecologa (Contra qu?)

Procesos que entorpezcan el manejo de la informacin y no permite

encontrar resultados veraces sobre el total de las investigacin realizada.

Etiologa (Por qu?)

Se requiere incrementar planes de mantenimiento adecuados que controlen

y den soporte tcnico, haciendo uso de herramientas de proteccin en el
mbito preventivo y/o correctivo; dentro de esta problemtica identificamos
que la portal web de la entidad (https:www.pasto.gov.co/)

Experiencia (Cunto?)

De acuerdo a las experiencias obtenidas en el tipo de informacin que se

maneja, se realizan pruebas pilotos de implementacin al sistema de
seguridad que ayuden a reformar el sistema a implementar de encriptacin
de informacin.

CONCLUSIONES

Conocer las bases para desarrollar una propuesta de un proyecto de investigacin, mediante
el declogo de Bernal.
Comprender los fundamentos tericos de la criptografa moderna y el funcionamiento de los
protocolos criptogrficos actualmente en uso.
Comprender las diferencias conceptuales entre los diferentes dominios de marcado de la
informacin digital (dominio temporal/espacial y transformado). Capacidad crtica para
analizar el correcto funcionamiento de un sistema tecnolgico para dar solucin a un
problema.

BIBLIOGRAFA
Generalidades sobre el software libre - Stallman Richard M. (2004). Software libre para una
sociedad
libre.
Madrid:
Traficante
de
Sueos.
Documento
URL
http://www.gnu.org/philosophy/fsfs/free_software.es.pdf
Jess M. Gonzlez Barahona, Joaqun Seoane Pascual y Gregorio Robles (2008). Software libre.
Tanenbaum, Andrew S.: Redes de Computadoras, 3 Ed. Prentice-Hall, 1997. ISBN 968-880-958-6,
PVP 38,50 euros.
Tanenbaum, Andrew S.: Computer Networks, 4th Ed. Prentice-Hall, 2003. ISBN 0-13-066102-3,
PVP $88,00. Informacin en: http://www.phptr.com/tanenbaumcn4/
http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls

http://www.iprospect.com/es/es/blog/migrar-http-a-https-nuevas-tendencias-seo-2015/
http://www.symantec.com/connect/blogs/banking-proxy-trojantatanarg
http://h71028.www7.hp.com/PublicSector/cache/107893-0-0-140-470.html
http://www.nxtgenug.net/Article.aspx?ArticleID=42
http://hubpages.com/hub/SSL-For-Dummies-Understanding-What-it-all-Means
http://blog.securism.com/2009/01/summarizing-pki-certificate-validation/
http://estudios.uoc.edu/es/masters-universitarios/seguridad-tecnologias-informacioncomunicaciones/objetivos-perfiles-competencias
http://www.ceipmiguelzubeldia.es/planes-y-proyectos/t-i-c/proyecto-escuela-t-i-c-2-0/
http://muyseguridad.net/2013/02/06/se-descubre-vulnerabilidad-grave-en-las-conexiones-seguras/

Publicado por jhon fernando Estrada en 20:14

Enviar por correo electrnicoEscribe un blog