No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Curso de Introducción al Pentesting

Curso de Introducción al Pentesting

Francisco Daniel Carvajal

Francisco Daniel Carvajal

Seguridad por oscuridad

7/22
Recursos

Seguridad por oscuridad es un término que viene a identificar aquellas medidas que se configuran para proteger un activo, confiando en que nadie va a buscar ahí.

En palabras de Auguste Kerckhoffs: “el diseño de un sistema no debería requerir el secreto, y el compromiso del sistema no debería incomodar a los corresponsales”.

SeguridadOscura.png

Principios de la seguridad por oscuridad

Se basa en los principios de Kerckhoffs que describe la seguridad en un sistema criptográfico.

  • Si el sistema no es teóricamente irrompible, al menos debe serlo en la práctica.

  • La efectividad del sistema no debe depender de que su diseño permanezca en secreto.

  • La clave debe ser fácilmente memorizable de manera que no haya que recurrir a notas escritas.

  • Los criptogramas deberán dar resultados alfanuméricos.

  • El sistema debe ser operable por una única persona.

  • El sistema debe ser fácil de utilizar.

Cuadro de diferencias sobre cómo clasificar vulnerabilidades

CVE(Common Vulnerability Exposure) CWE (Common Weakness Enumeration) CAPEC CVS (Common Vulnerability Scoring)
Listas de vulnerabilidades con un único identificador Registra vulnerabilidades de software o hardware, se clasifican por medio de códigos Son patrones de ataque que no dependen de una vulnerabilidad Define qué tan crítica es una vulnerabilidad

Contribución creada con los aportes de: Angie Espinoza

Aportes 12

Preguntas 0

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

CVE - Common Vulnerabilities and Exposures (Vulnerabilidades y explotaciones Comunes)

CWE - Common Weakness Enumeration (Enumeración de vulnerabilidades comunes)

CAPEC - Common Attacs Patrons Enumeration Clasification (Enumeración y clasificación de patrones de ataque comunes)


CVSS - Common Vulnerability Scoring System (Sistema de puntuación de vulnerabilidades comunes)


Seguridad por oscuridad (Cómo ocultar la llave de la puerta bajo el tapete, confiando en que nadie buscará ahí).


El diseño de un sistema no
debería requerir el secreto, y el
compromiso del sistema no
debería incomodar a los
corresponsales.

Auguste Kerckhoffs

  • Seguridad por oscuridad es un término que viene a identificar aquellas medidas que se configuran para proteger un activo, confiando en que nadie va a buscar ahí.

En palabras de Auguste Kerckhoffs: “el diseño de un sistema no debería requerir el secreto, y el compromiso del sistema no debería incomodar a los corresponsales”.

## ***<u>Seguridad por oscuridad </u>***en criptografía: una estrategia controvertida En el ámbito de la criptografía, la **seguridad por oscuridad**, también conocida como **seguridad por ocultación**, se refiere a la práctica de mantener en secreto los detalles de un sistema o algoritmo criptográfico con la esperanza de que esto lo haga más seguro. La idea subyacente es que si los atacantes no saben cómo funciona el sistema, no podrán encontrar vulnerabilidades para explotarlo. **Ejemplos de seguridad por oscuridad:** * Mantener el código fuente de un programa de cifrado en secreto. * No revelar el algoritmo utilizado en un protocolo de autenticación. * Ocultar la ubicación de un servidor web. **Argumentos a favor de la seguridad por oscuridad:** * Puede dificultar que los atacantes encuentren vulnerabilidades. * Puede proteger la propiedad intelectual. * Puede dar a los defensores una ventaja sobre los atacantes. **Argumentos en contra de la seguridad por oscuridad:** * Es difícil de mantener en secreto a largo plazo. * No es una base sólida para la seguridad a largo plazo. * Puede dificultar la auditoría y la mejora de un sistema. * Puede crear una falsa sensación de seguridad. **En general, la seguridad por oscuridad se considera una práctica poco fiable y se desaconseja su uso.** Se basa en el secreto, que es difícil de mantener, y no aborda las vulnerabilidades fundamentales de un sistema. En su lugar, se recomienda utilizar enfoques de seguridad basados en pruebas, como la revisión de código y las pruebas de penetración, para identificar y corregir vulnerabilidades antes de que puedan ser explotadas por los atacantes. **Principios de Kerckhoffs:** Los principios de Kerckhoffs, propuestos por Auguste Kerckhoffs en 1883, son un conjunto de directrices para el diseño de sistemas criptográficos seguros. Estos principios establecen que: * Un sistema debe ser seguro incluso si su diseño es de conocimiento público. * La seguridad del sistema debe depender únicamente de la secrecía de la clave, no del secreto del algoritmo o de su implementación. * Un sistema debe ser fácil de usar y comprender. Los principios de Kerckhoffs están en consonancia con la idea de que la seguridad por oscuridad no es una base sólida para la seguridad a largo plazo. Un sistema criptográfico que se basa en el secreto para su seguridad es fundamentalmente vulnerable, ya que el secreto siempre puede ser revelado o descubierto. **En resumen:** * La seguridad por oscuridad es una práctica controvertida en criptografía. * Se basa en el secreto, que es difícil de mantener, y no aborda las vulnerabilidades fundamentales de un sistema. * Se recomienda utilizar enfoques de seguridad basados en pruebas para identificar y corregir vulnerabilidades. * Los principios de Kerckhoffs proporcionan una guía para el diseño de sistemas criptográficos seguros

No se si se dieron cuenta pero el apellido de Daniel estaba con un error

**Seguridad por oscuridad **

(Cómo ocultar la llave de la puerta bajo el tapete, confiando en que nadie buscará ahí).

La seguridad por oscuridad consiste en suponer que, mientras los detalles internos de un sistema o equipo no se conozcan, este estará seguro.

Gracias

Esta tabla esta en los recursos pero me gusto mucho así que la dejo por acá y se ve un poco mas. ![](

Podemos plasmar las ideas del principio como:
Mantener el secreto del código fuente del software.
Mantener el secreto de algoritmos y protocolos utilizados.
Adopción de políticas de no revelación pública de la información sobre vulnerabilidades.

👍