Revista Digital Universitaria
ISSN: 1607 - 6079 Publicación mensual
 
1 de agosto de 2012 Vol.13, No.8
  Inicio Ejemplares Directorio Quiénes somos Busca artículos Vínculos Contacto Mapa de sitio
 
Documento sin título
 
Desarrollo de una plataforma de seguridad en dispositivos móviles de comunicación, ¿necesidad o paranoia?
Javier Silva Pérez y Guillermo Morales Luna
CITA
PDF
   
Desarrollo
Conclusiones
Aumentar Letra Disminuir Letra Disminuir Letra   facebook
twitter
google
 

Introducción


La conectividad de los dispositivos móviles ha generado
un crecimiento exponencial en el tráfico de todo tipo de
contenido digital a través de redes inalámbricas inseguras.
Por siglos, reyes, reinas, jefes de estado y generales militares han confiado en comunicaciones eficientes para gobernar sus territorios y comandar sus ejércitos. Al mismo tiempo todos ellos han estado conscientes de las consecuencias que se pueden generar si los mensajes caen en manos hostiles, revelando así secretos importantes a rivales. Esto fue lo que motivó en un inicio el desarrollo de diversos códigos y cifradores, los cuales son técnicas para disfrazar los mensajes de tal manera que la única persona capaz de leerlos sea la persona a la cual se enviaron dichos mensajes. El deseo de secrecía ha hecho que las naciones creen departamentos desarrolladores de códigos y cifrados, los cuales son los responsables de garantizar la seguridad de las comunicaciones. Al mismo tiempo se han ido generando diversos ataques para quebrantar estos códigos y revelar los secretos. La historia de códigos y cifradores es la historia de la batalla antagónica entre criptógrafos y criptoanalistas, la cual ha tenido un impacto dramático en el cuso de la historia (Singh, 2001). A grandes rasgos, codificar es colocar un mensaje en un alfabeto apropiado para garantizar su transmisión fiel, en tanto que cifrar es transformar un mensaje en otro de manera que el mensaje original no sea recuperable del cifrado a menos de contar con una clave para hacerlo.

A medida que la información se convierte en un producto cada día más valioso, las técnicas de comunicación y tecnologías de la información van cambiando a la sociedad hasta convertirse en una parte fundamental de la misma, por lo que es de vital importancia crear conciencia de que a pesar de todos los beneficios que estas tecnologías nos ofrecen, también hay riesgos al transmitir cualquier información a través de medios no seguros como lo son, ya en nuestros tiempos, internet o las redes inalámbricas. Es por esto que el proceso de convertir mensajes, conocido como cifrado, jugará un papel cada día más fundamental en la vida diaria, ayudando a garantizar la integridad de los datos, la autenticidad tanto del mensaje como de las partes que participan en la comunicación y la confidencialidad de la información que se transmite dentro de una red.

Por otro lado, la necesidad de acceder a dicha información a cualquier hora y en cualquier lugar ha sido el principal impulsor del crecimiento de diversas tecnologías entre las cuales destacan los dispositivos móviles. El cómputo móvil aparece con el objetivo de proveer ambientes de cómputo ubicuos para usuarios móviles (B’Far, 2005). Hoy en día, las empresas buscan que sus empleados y usuarios tengan acceso a la información que requieren de forma rápida y sin importar el lugar en el que se encuentren. Es aquí donde los dispositivos móviles han jugado un papel fundamental en las actividades cotidianas de todas las personas, el cual se ha ido incrementando rápidamente en los últimos años sustituyendo en gran medida a las computadoras personales (Llamas, 2011), esto debido a que es práctico, a su gran capacidad de movilidad y a que facilita el acceso a fuentes de información mediante redes de comunicación inalámbrica. Sin embargo, lo anterior supone un gran riesgo en cuanto a seguridad se refiere. Naturalmente la disponibilidad de recursos de comunicación plantea importantes problemas, algunos relevantes a los aspectos físicos de la seguridad, pero aquí nos ocuparemos de la seguridad en cuanto a preservar la privacidad de los corresponsales (confidencialidad), a evitar que las comunicaciones sea alterada (integridad) y a garantizar que no haya suplantación de corresponsales (autenticación).

Los ambientes de cómputo móvil se caracterizan por tener restricciones importantes de recursos y cambios frecuentes en las condiciones de operación (B’Far, 2005). Por otra parte, la rápida evolución, tanto de las capacidades de cómputo como de los sistemas operativos que hoy en día se pueden encontrar en los dispositivos, propicia la creación de todo tipo de sistemas, pensados y diseñados específicamente para funcionar en un dispositivo móvil, planteando a los diseñadores y desarrolladores retos adicionales para garantizar servicios efectivos y eficientes de comunicación, disponibilidad y seguridad.

La conectividad de los dispositivos móviles ha generado un crecimiento exponencial en el tráfico de todo tipo de contenido digital a través de redes inalámbricas inseguras, por lo que la protección, autenticación e integridad de esos datos debe ser considerada una prioridad fundamental en el diseño de cualquier sistema informático. El problema se acrecienta en aplicaciones empresariales donde la información que viaja por tales medios inseguros puede ser sumamente delicada y con un gran valor comercial. Debido a esto, el uso de esquemas criptográficos se vuelve algo fundamental en todo sistema informático si se quiere estar protegido contra diversos ataques.

La infraestructura de clave pública, o PKI, ofrece diversos servicios de seguridad como lo son: integridad, confidencialidad, autenticación, no-repudio. Éstos pueden ser cubiertos asignándole una clave única e infalsificable a cada usuario. De esta manera los usuarios pueden firmar digitalmente la información, el receptor puede verificar dicha firma y comprobar su validez. Adicionalmente una PKI puede ofrecer servicios de cifrado para asegurar la confidencialidad de la información, de manera que únicamente el destinatario original de un mensaje pueda descifrarlo (Kuhn-PKIIntro, 2001), (Schmeh, 2003).


Los cuatro servicios básicos de seguridad que toda PKI debe ofrecer (Kuhn-PKIIntro, 2001), (Schmeh, 2003) son:

  • Integridad: este servicio está dirigido a evitar la modificación no autorizada o accidental de la información. Esto incluye la inserción, la eliminación y la modificación de los datos originales. Para asegurar la integridad, el sistema debe ser capaz de detectar modificaciones no autorizadas. La meta principal es que el receptor sea capaz de verificar si acaso la información fue alterada durante la comunicación.
  • Confidencialidad: este servicio restringe el acceso a la información sensible únicamente a los usuarios que estén autorizados a consultarla. Impide la revelación no autorizada de información sensible de una empresa o persona.
  • Autenticación: establece la validez del mensaje y de los participantes en la comunicación. La meta es permitir a los participantes de la comunicación determinar si el origen del mensaje es válido o no.
  • No-repudio: ofrece protección a un usuario o entidad frente a la posibilidad de que otro usuario niegue posteriormente que se realizó cierta transacción, por ejemplo, haber hecho un pedido a una empresa.


Una PKI se caracteriza también por sus elementos funcionales. A continuación describiremos brevemente cada uno de ellos (RFC4158, 2005), (Kuhn-PKIIntro, 2001), (RFC5280, 2008):

  • Autoridad Certificadora (CA): es similar a un notario, la CA confirma la identidad de los usuarios del sistema. Los demás elementos de la infraestructura deben confiar en ésta para que la PKI funcione correctamente. Sus responsabilidades son:
  • Generación de claves: una de las tareas de una CA puede ser la generación segura del par de claves que los usuarios de la PKI utilizará, o en su caso verificar que el par de claves que el usuario posea cumpla con los requerimientos básicos de seguridad (tamaño de clave, algoritmo, formato, etc.) que los servicios que la PKI requieren para un funcionamiento optimo.
  • Emisión de Certificados Digitales: para cada identidad registrada típicamente se incluye la clave pública del usuario, la información acerca de la identidad del mismo, el tiempo operacional del certificado (vigencia) y la firma digital de la CA.
  • Emisión de lista de revocación de certificados (CRL, por sus siglas en inglés Certificate Revocation List): son listas de certificados que han sido revocados, debe estar firmada por la CA. Un certificado puede ser revocado por diferentes razones, por ejemplo, la clave privada de un usuario fue comprometida, el usuario abandonó el sistema criptográfico o bien por un cambio de nombre.
  • Autoridad de Registro (RA): es una entidad de confianza para la CA, la cual está a cargo del registro de las identidades de los usuarios en la CA.
  • Repositorio: es una base de datos de certificados digitales expedidos por la CA. El uso principal de este repositorio es proveer datos que permitan a los usuarios confirmar el estatus de un certificado digital.
  • Usuarios de la PKI: son las entidades que usan la PKI, deben confiar en los demás elementos para obtener certificados y para verificar la validez de los mismos.


Las relaciones entre estos elementos quedan bosquejadas en la Figura 1.


Figura 1 . Relación entre elementos de una PKI (RFC5280, 2008).

 
  subir        
 
  Editorial
 



Licencia de Creative Commons
Esta obra está bajo una licencia de Creative Commons