Criptografía - Dominio de Seguridad Digital

Contenidos explorados en detalle

Este curso profundiza en los fundamentos y técnicas avanzadas de criptografía y seguridad informática. Se aborda la definición de seguridad informática, entendida como el conjunto de medidas para proteger sistemas, redes y datos contra accesos no autorizados, daños o robos. La criptografía se estudia como herramienta esencial para garantizar la confidencialidad, integridad y autenticidad de la información, mediante algoritmos como AES, RSA y ECC. Se analizan los delitos informáticos, sus modalidades y marcos legales asociados. La diferencia entre seguridad física (protección de hardware) y lógica (protección de software y datos) se explica con ejemplos prácticos. Los principios básicos de la seguridad (confidencialidad, integridad, disponibilidad) se complementan con el estudio de debilidades comunes (como inyecciones SQL o desbordamientos de búfer) y amenazas (malware, phishing). Finalmente, se exploran los criptosistemas, su diseño e implementación en entornos reales.

• Dominar los conceptos fundamentales de seguridad informática y criptografía.
• Aplicar técnicas criptográficas para proteger datos en diferentes contextos.

Público objetivo de este PDF

Este material está diseñado para profesionales y estudiantes del ámbito tecnológico que buscan especializarse en seguridad informática. Es ideal para ingenieros en sistemas, desarrolladores de software, administradores de redes y auditores de seguridad que necesiten implementar soluciones criptográficas robustas. También resulta valioso para estudiantes de carreras como Ciencias de la Computación o Ingeniería Informática que deseen complementar su formación teórica con aplicaciones prácticas. Empresarios y gerentes de TI encontrarán insights útiles para tomar decisiones estratégicas sobre protección de datos. No se requieren conocimientos avanzados previos, aunque se recomienda familiaridad con conceptos básicos de programación y redes. El contenido se adapta tanto a quienes buscan certificaciones profesionales (como CISSP o CEH) como a autodidactas interesados en cybersecurity.

Ejemplos prácticos y aplicaciones reales

La criptografía se aplica diariamente en sistemas bancarios (transacciones seguras con TLS), comunicaciones militares (cifrado de extremo a extremo) y autenticación biométrica. Un ejemplo concreto es el uso de firmas digitales en contratos electrónicos, donde algoritmos como ECDSA verifican la identidad de los firmantes. En IoT, protocolos como MQTT con TLS protegen datos de dispositivos inteligentes. Escenarios reales incluyen la implementación de VPNs corporativas (usando IPsec) o el almacenamiento seguro de contraseñas mediante funciones hash como bcrypt. Casos de estudio muestran cómo el cifrado homomórfico permite procesar datos médicos sensibles sin desencriptarlos, preservando la privacidad en investigación clínica.

Sectores de aplicación profesional

• Banca y Finanzas : Protección de transacciones electrónicas y datos sensibles mediante criptografía asimétrica. Ejemplo: Tokens de seguridad en banca móvil usando AES-256.
• Salud : Cifrado de historiales médicos para cumplir con regulaciones como HIPAA. Ejemplo: Almacenamiento en blockchain de registros sanitarios con acceso controlado por smart contracts.
• Defensa y Gobierno : Comunicaciones seguras y protección de infraestructuras críticas. Ejemplo: Sistemas de mando militar con cifrado cuántico-resistente.

Novedad 2025 : La criptografía post-cuántica emerge como estándar ante la amenaza de computación cuántica, con algoritmos como CRYSTALS-Kyber siendo adoptados por agencias gubernamentales.

Guía de términos importantes

• Criptografía asimétrica : Sistema que usa pares de claves (pública/privada) para cifrado y firma digital, como RSA.
• Hash criptográfico : Función unidireccional que mapea datos de cualquier tamaño a una cadena fija (ej. SHA-256).
• Zero Trust : Modelo de seguridad que verifica cada acceso sin confiar implícitamente en redes internas.
• PKI : Infraestructura de Clave Pública para gestionar certificados digitales y entidades de certificación.
• Man-in-the-Middle : Ataque donde el intruso intercepta comunicaciones entre dos partes.
• SSL/TLS : Protocolos para establecer comunicaciones seguras en internet, usado en HTTPS.
• Stenografía : Ocultar información dentro de otros archivos (ej. imágenes) sin alterar su apariencia.
• Blockchain : Ledger descentralizado que usa criptografía para garantizar inmutabilidad.
• FHE : Cifrado Homomórfico Completo permite operaciones sobre datos cifrados sin descifrarlos.
• OWASP Top 10 : Lista crítica de vulnerabilidades web más peligrosas, actualizada periódicamente.

Respuestas a preguntas frecuentes

¿Qué diferencia hay entre cifrado simétrico y asimétrico?
El cifrado simétrico (AES, DES) usa una misma clave para cifrar/descifrar, siendo más rápido pero menos seguro en distribución de claves. El asimétrico (RSA, ECC) emplea pares de claves: la pública cifra y la privada descifra, resolviendo el problema de intercambio seguro pero con mayor overhead computacional. En la práctica, se combinan ambos (ej. TLS usa RSA para intercambiar una clave AES de sesión).

¿Cómo protege la criptografía mis contraseñas?
Las contraseñas nunca se almacenan en texto plano. Servidores usan funciones hash con "sal" (bcrypt, Argon2) para convertirlas en valores irreversibles. Al autenticarte, se aplica el mismo hash a tu entrada y se compara con el almacenado. Esto previene robos incluso si la base de datos es comprometida.

¿Qué es un certificado SSL y cómo funciona?
Un certificado SSL es credencial digital que vincula una clave pública a una entidad, emitido por una Autoridad Certificadora (CA). Cuando visitas un sitio HTTPS, tu navegador verifica este certificado para autenticar el servidor y establecer un túnel cifrado mediante el protocolo TLS, protegiendo datos transmitidos.

¿Puede el quantum romper la criptografía actual?
Las computadoras cuánticas amenazan algoritmos como RSA y ECC usando el algoritmo de Shor, pero no afectan a sistemas simétricos bien configurados (AES-256) o hash. La criptografía post-cuántica (lattice-based, hash-based) está siendo estandarizada por NIST para esta transición.

¿Cómo implementar seguridad en APIs REST?
Use siempre HTTPS (TLS 1.2+), autenticación con JWT firmados, limitación de tasa (rate limiting), validación estricta de inputs, y principios de mínimo privilegio. OAuth2.0 es estándar para autorización, mientras mecanismos como HMAC pueden verificar integridad de requests.

Ejercicios aplicados y estudios de caso

Proyecto 1: Implementar un chat seguro con cifrado de extremo a extremo. Pasos: 1) Generar pares RSA para cada usuario, 2) Diseñar protocolo de intercambio de claves usando Diffie-Hellman, 3) Cifrar mensajes con AES-GSM, 4) Añadir autenticación con HMAC. Caso: Analizar el ataque a Telegram (2017) donde MITM explotó verificación manual de fingerprints.

Proyecto 2: Auditoría de seguridad a una web app. Usar OWASP ZAP para detectar vulnerabilidades (XSS, CSRF), analizar headers de seguridad (CSP, HSTS), y probar fuerza de contraseñas con John the Ripper. Caso: Estudio del breach de Equifax (2017) por vulnerabilidad en Apache Struts.

Proyecto 3: Sistema de votación electrónica con blockchain. Implementar smart contracts en Ethereum para: 1) Registro verificable de votantes, 2) Anonimización mediante zk-SNARKs, 3) Tallying criptográfico. Caso: Evaluar el sistema piloto de Estonia y sus fallos de implementación.