Seguridad Informática en Chile: Leyes, Protocolos y Mejores Prácticas
1. Leyes de Seguridad Informática en Chile
1.1 Ley 19.628: Protección de la Vida Privada
Esta ley regula el tratamiento de datos personales, tanto por organismos públicos como por particulares, que se encuentren almacenados en registros o bancos de datos, ya sean automatizados o no.
1.2 Ley 19.233: Delitos Informáticos
Esta ley aborda los delitos informáticos y se compone de cuatro artículos principales:
- Artículo 1: Ataques de Denegación de Servicio (DoS).
- Artículo 2: Robo de información con fines de extorsión o secuestro.
- Artículo 3: Daños informáticos que provoquen pérdidas a la empresa.
- Artículo 4: Robo de información con fines de extorsión y daño.
1.3 Ley 19.799: Firma Electrónica
Esta ley regula la firma electrónica y los prestadores de servicios de certificación. Abarca los tipos de firma electrónica, los aspectos tecnológicos, los documentos electrónicos, su valor probatorio y el uso de la firma electrónica por parte de los órganos del Estado.
2. Protocolos de Seguridad
2.1 IPSec
IPSec (Internet Protocol Security) protege los datos y la identidad de cada paquete IP mediante la adición de un encabezado de protocolo de seguridad.
2.2 SSL
SSL (Secure Sockets Layer) proporciona seguridad en el intercambio de datos entre dos aplicaciones, principalmente entre un servidor web y un navegador. Es ampliamente utilizado y compatible con la mayoría de los navegadores.
2.3 SET
SET (Secure Electronic Transaction) es un protocolo desarrollado por Visa y Mastercard que utiliza SSL. Se basa en la firma electrónica del comprador y en una transacción que involucra al comprador, al vendedor y a sus respectivos bancos.
2.4 Cifrado de Datos
El cifrado protege los datos confidenciales mediante un algoritmo y una clave, haciéndolos ilegibles sin la clave. Las claves se determinan durante la conexión entre los equipos.
3. Tipos de Claves de Cifrado
3.1 Clave Simétrica o Secreta
El emisor y el receptor comparten la misma clave para cifrar y descifrar la información. El principal problema es la necesidad de enviar la clave sin cifrar, lo que la hace vulnerable a la interceptación.
3.2 Clave Asimétrica o Pública
Se basa en un par de claves: una pública y una privada. Lo cifrado con la clave privada solo se puede descifrar con la pública, y viceversa.
4. Sistemas de Almacenamiento de Información (Respaldo)
4.1 Full Backup
Realiza una copia completa de toda la información.
4.2 Incremental Backup
Copia solo los archivos que han cambiado desde el último respaldo.
4.3 Differential Backup
Copia los archivos que han cambiado desde el último full backup.
4.4 Storages
Sistemas (hardware y software) dedicados a guardar información accesible para los servidores. Se pueden usar mediante SAN (Storage Area Network), DAS (Direct Attached Storage) o NAS (Network Attached Storage).
4.5 Arreglos de Discos Duros (RAID)
RAID (Redundant Array of Independent/Inexpensive Disks) mejora el almacenamiento, la protección y el rendimiento de los datos. Existen varios tipos: RAID 0, RAID 1, RAID 10, RAID 5, etc.
5. Ingeniería Social
La ingeniería social es la práctica de obtener información confidencial mediante la manipulación de usuarios legítimos. Puede ser utilizada por investigadores privados, criminales o delincuentes informáticos para obtener acceso a sistemas de información y causar perjuicios.
6. Sistemas de Control de Acceso y Seguridad Perimetral
La seguridad perimetral se centra en proteger el sistema informático desde el exterior, estableciendo una barrera contra amenazas como virus, gusanos, troyanos, ataques DoS, robo de datos, etc.
7. Sistemas de Respaldo
Un sistema de respaldo crea copias de seguridad de los datos para restaurarlos en caso de pérdida. Ejemplos populares incluyen: ZendalBackup, Cobian, SeCoFi, CopiaData y NortonGhost.
8. Protocolos de Seguridad en Redes WiFi
8.1 WEP
WEP (Wired Equivalent Privacy) es un sistema de cifrado para redes inalámbricas que utiliza el algoritmo RC4 con claves de 64 o 128 bits. Presentado en 1999, WEP tenía como objetivo proporcionar una confidencialidad similar a la de las redes cableadas, pero ha sido considerado vulnerable.
8.2 WPA2
WPA2 (Wi-Fi Protected Access 2) es un sistema que protege las redes inalámbricas y corrige las vulnerabilidades de WPA. Utiliza el algoritmo de cifrado AES (Advanced Encryption Standard).
8.3 TACACS
TACACS (Terminal Access Controller Access Control System) es un protocolo de autenticación remota propietario de Cisco que se utiliza para comunicarse con un servidor de autenticación, comúnmente en redes Unix.
9. Active Directory en Windows Server 2003
Active Directory es un servicio de directorio que proporciona una serie de características en Windows Server 2003, entre ellas:
- Administración simplificada de usuarios y recursos de red.
- Autenticación y autorización flexibles y seguras.
- Consolidación de directorios.
- Aplicaciones e infraestructura habilitadas para directorios.
- Escalabilidad sin complejidad.
- Uso de estándares de Internet.
- Entorno de desarrollo potente.
- Replicación y control de confianza.
- Listas de distribución de Message Queue Server.
10. Redes Privadas Virtuales (VPN)
Una VPN (Virtual Private Network) es una red privada que se extiende a través de una red pública, como Internet, mediante la encapsulación y el cifrado de los paquetes de datos. Los datos viajan a través de un «túnel» seguro.
Las VPN se pueden utilizar para diversos fines, como jugar en red, acceder a un servidor central, acceder a aplicaciones corporativas, etc.