1. Control de acceso
1.1. Control de acceso físico: Mecanismos que implementan control de acceso a objetos físicos
1.2. Control de acceso lógico: Componentes de software que implementan control de acceso a objetos lógicos
1.3. La transferencia de información es llamada acceso.
1.4. Es la habilidad de otorgar el acceso a un sistema que se desea controlar.
1.5. Asegura la Confidencialidad, Integridad y Disponibilidad.
2. Identificación, autenticación, autorización
2.1. Opuesto de la tríada
2.1.1. Confidencialidad - Revelación
2.1.2. Disponibilidad - Destrucción
2.1.2.1. Integridad - Alteración
2.2. Identificación: Forma en la cual los usuarios comunican su identidad a un sistema. Necesario para lograr la autenticación y autorización. por ejemplo: nombre de usuario.
2.3. Autenticación: Permite asegurar que el sujeto es quien dice ser.
2.4. Autorización: Derechos y permisos otorgados a un individuo que le permite acceder a un recurso del sistema/computadora.
2.5. Trazabilidad: Habilidad para determinar las acciones individuales de un usuario dentro de un sistema. Existen varias razones para que un administrador habilite esta funcionalidad:
2.6. Detección de intrusiones
2.7. Reconstrucción de eventos y condiciones del sistema
2.8. Obtener evidencias para acciones legales
2.9. Producir reportes de problemas
2.10. Esta soportado por logs de auditoria
3. Objeto y sujeto
3.1. Sujeto: Es una entidad activa que solicita acceso a un objeto. Por ejemplo usuarios, programas, procesos, computadoras, etc.
3.1.1. No repudio: El sujeto no puede negar que realizo cierta acción.
3.2. Objeto: Es una entidad pasiva que contiene información . Por ejemplo archivos, programas, documentos, impresoras, etc.
4. Tipos o factores de autenticación
4.1. Autenticación basada en secretos. Ejemplo: Contraseña, PIN, etc.
4.1.1. Amenazas a la autenticación basada en secretos
4.1.1.1. Ataques de diccionario/ fuerza bruta
4.1.1.2. Engañar al sujeto para que se autentique en un objeto falso
4.1.1.3. Intentar obtener acceso a los mecanismos de autenticación basado en secretos
4.1.2. Contramedidas a las amenazas a la autenticación basada en secretos
4.1.2.1. No utilizar palabras de diccionario
4.1.2.2. No utilizar contraseñas triviales
4.1.2.3. Bloqueo de la cuenta tras ciertos intentos fallidos
4.1.2.4. Implementación de captchas
4.1.2.5. Forzar el uso de contraseñas con números, mayúsculas, minúsculas, establecer longitud mínima, etc.
4.1.2.6. Forzar el cambio de contraseña periódico
4.1.3. Es un valor que sea fácilmente reconocible por un humano, y difícil reconocer por un mecanismo automatizado
4.1.4. Su función es evitar los ataques automatizados
4.1.5. Ejemplos de Captchas Textos deformados, Textos hablados, Reconocimiento de imágenes
4.1.6. NUNCA
4.1.6.1. Use palabras comunes o datos personales
4.1.6.2. Use la misma contraseña para todas las cuentas
4.1.6.3. Escriba contraseñas que contengan menos de 10 caracteres
4.1.6.4. Acceda desde sitios públicos a sus cuentas
4.1.7. Siempre
4.1.7.1. Guardar las contraseñas en una USB encriptada
4.1.7.2. De respuestas falsas a las preguntas de seguridad y anótelas para recordarlas
4.1.7.3. Abra un correo electrónico que le sirva solo para recuperar contraseñas y asegúrese de que el nombre de usuario no esté ligado a datos personales
4.1.7.4. Acepte autenticación de dos o mas factores cuando se lo ofrezcan
4.1.7.5. Cambie su clave cada 3 meses
4.2. Autenticación basada en la posesión de elementos. Ejemplo: tarjeta, token, llaves, etc.
4.2.1. Token
4.2.1.1. Son dispositivos generadores de contraseñas que un sujeto lleva con él
4.2.1.2. Existen 4 tipos de tokens: tokens estáticos, tokens sincrónicos basados en tiempo, tokens sincrónicos basados en eventos, tokens asincrónicos basados en desafío respuesta
4.2.2. Amenazas a la autenticación basada en la posesión de elementos
4.2.2.1. Robo del token físico
4.2.2.2. Clonado del token
4.2.2.3. Ataques a la tarjeta de coordenadas mediante phishing se le solicita al usuario que complete todos los casilleros de la tarjeta de coordenadas en un sistema que tiene el atacante
4.2.3. Contramedidas a la amenaza de la autenticación basada en la posesión de elementos
4.2.3.1. Capacitación
4.2.3.2. Denuncia del token
4.2.3.3. Autenticación Fuerte
4.3. Autenticación basada en elementos biométricos. Ejemplo: huella, voz, etc
4.3.1. Proceso
4.3.1.1. Los sistemas biométricos se basan en características físicas del usuario a identificar o en patrones de conducta
4.3.1.1.1. Extracción de ciertas características de la muestra
4.3.1.1.2. Comparación de ciertas características con las almacenadas en la base de datos
4.3.1.1.3. Finalmente la decisión de si el usuario es válido o no
4.3.2. Tipos de sistemas biométricos
4.3.2.1. Huellas digitales
4.3.2.1.1. Proceso
4.3.2.2. Reconocimiento de retina
4.3.2.2.1. Proceso
4.3.2.3. Reconocimiento de iris
4.3.2.3.1. Proceso
4.3.2.4. Reconocimiento facial
4.3.2.5. Geometría de mano
4.3.2.5.1. Proceso
4.3.2.6. Verificación de voz
4.3.2.7. Dinámica de la firma a mano alzada
4.3.2.7.1. Estamos acostumbradas a firmar para identificarnos: alta aceptación social
4.3.2.8. Elección de Sistemas Biométricos
4.3.2.8.1. Además de los costos hay ciertos puntos críticos a determinar a la hora de elegir un sistema biométrico como método de control de acceso:
4.3.3. Amenazas a la autenticación basada en elementos biométricos
4.3.3.1. Dispositivos muy sensibles
4.3.3.1.1. Error tipo 1: Tasa de falsos rechazos
4.3.3.2. Dispositivos poco sensibles
4.3.3.2.1. Error tipo 2: Tasa de falsas aceptaciones
4.3.4. Contramedidas a las amenazas a la autenticación basada en elementos biométricos
4.3.4.1. Contar con dispositivos bien configurados el punto CER (punto de equilibrio en la configuración de dispositivos biométricos) es usado como estándar para evaluar la performance de los dispositivos biométricos