No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Curso de Introducción al Pentesting

Curso de Introducción al Pentesting

Francisco Daniel Carvajal

Francisco Daniel Carvajal

Seguridad por oscuridad

7/22
Recursos

Seguridad por oscuridad es un término que viene a identificar aquellas medidas que se configuran para proteger un activo, confiando en que nadie va a buscar ahí.

En palabras de Auguste Kerckhoffs: “el diseño de un sistema no debería requerir el secreto, y el compromiso del sistema no debería incomodar a los corresponsales”.

SeguridadOscura.png

Principios de la seguridad por oscuridad

Se basa en los principios de Kerckhoffs que describe la seguridad en un sistema criptográfico.

  • Si el sistema no es teóricamente irrompible, al menos debe serlo en la práctica.

  • La efectividad del sistema no debe depender de que su diseño permanezca en secreto.

  • La clave debe ser fácilmente memorizable de manera que no haya que recurrir a notas escritas.

  • Los criptogramas deberán dar resultados alfanuméricos.

  • El sistema debe ser operable por una única persona.

  • El sistema debe ser fácil de utilizar.

Cuadro de diferencias sobre cómo clasificar vulnerabilidades

CVE(Common Vulnerability Exposure) CWE (Common Weakness Enumeration) CAPEC CVS (Common Vulnerability Scoring)
Listas de vulnerabilidades con un único identificador Registra vulnerabilidades de software o hardware, se clasifican por medio de códigos Son patrones de ataque que no dependen de una vulnerabilidad Define qué tan crítica es una vulnerabilidad

Contribución creada con los aportes de: Angie Espinoza

Aportes 13

Preguntas 0

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

CVE - Common Vulnerabilities and Exposures (Vulnerabilidades y explotaciones Comunes)

CWE - Common Weakness Enumeration (Enumeración de vulnerabilidades comunes)

CAPEC - Common Attacs Patrons Enumeration Clasification (Enumeración y clasificación de patrones de ataque comunes)


CVSS - Common Vulnerability Scoring System (Sistema de puntuación de vulnerabilidades comunes)


Seguridad por oscuridad (Cómo ocultar la llave de la puerta bajo el tapete, confiando en que nadie buscará ahí).


El diseño de un sistema no
debería requerir el secreto, y el
compromiso del sistema no
debería incomodar a los
corresponsales.

Auguste Kerckhoffs

  • Seguridad por oscuridad es un término que viene a identificar aquellas medidas que se configuran para proteger un activo, confiando en que nadie va a buscar ahí.

En palabras de Auguste Kerckhoffs: “el diseño de un sistema no debería requerir el secreto, y el compromiso del sistema no debería incomodar a los corresponsales”.

La seguridad por oscuridad consiste en suponer que, mientras los detalles internos de un sistema o equipo no se conozcan, este estará seguro.

## ***<u>Seguridad por oscuridad </u>***en criptografía: una estrategia controvertida En el ámbito de la criptografía, la **seguridad por oscuridad**, también conocida como **seguridad por ocultación**, se refiere a la práctica de mantener en secreto los detalles de un sistema o algoritmo criptográfico con la esperanza de que esto lo haga más seguro. La idea subyacente es que si los atacantes no saben cómo funciona el sistema, no podrán encontrar vulnerabilidades para explotarlo. **Ejemplos de seguridad por oscuridad:** * Mantener el código fuente de un programa de cifrado en secreto. * No revelar el algoritmo utilizado en un protocolo de autenticación. * Ocultar la ubicación de un servidor web. **Argumentos a favor de la seguridad por oscuridad:** * Puede dificultar que los atacantes encuentren vulnerabilidades. * Puede proteger la propiedad intelectual. * Puede dar a los defensores una ventaja sobre los atacantes. **Argumentos en contra de la seguridad por oscuridad:** * Es difícil de mantener en secreto a largo plazo. * No es una base sólida para la seguridad a largo plazo. * Puede dificultar la auditoría y la mejora de un sistema. * Puede crear una falsa sensación de seguridad. **En general, la seguridad por oscuridad se considera una práctica poco fiable y se desaconseja su uso.** Se basa en el secreto, que es difícil de mantener, y no aborda las vulnerabilidades fundamentales de un sistema. En su lugar, se recomienda utilizar enfoques de seguridad basados en pruebas, como la revisión de código y las pruebas de penetración, para identificar y corregir vulnerabilidades antes de que puedan ser explotadas por los atacantes. **Principios de Kerckhoffs:** Los principios de Kerckhoffs, propuestos por Auguste Kerckhoffs en 1883, son un conjunto de directrices para el diseño de sistemas criptográficos seguros. Estos principios establecen que: * Un sistema debe ser seguro incluso si su diseño es de conocimiento público. * La seguridad del sistema debe depender únicamente de la secrecía de la clave, no del secreto del algoritmo o de su implementación. * Un sistema debe ser fácil de usar y comprender. Los principios de Kerckhoffs están en consonancia con la idea de que la seguridad por oscuridad no es una base sólida para la seguridad a largo plazo. Un sistema criptográfico que se basa en el secreto para su seguridad es fundamentalmente vulnerable, ya que el secreto siempre puede ser revelado o descubierto. **En resumen:** * La seguridad por oscuridad es una práctica controvertida en criptografía. * Se basa en el secreto, que es difícil de mantener, y no aborda las vulnerabilidades fundamentales de un sistema. * Se recomienda utilizar enfoques de seguridad basados en pruebas para identificar y corregir vulnerabilidades. * Los principios de Kerckhoffs proporcionan una guía para el diseño de sistemas criptográficos seguros

No se si se dieron cuenta pero el apellido de Daniel estaba con un error

**Seguridad por oscuridad **

(Cómo ocultar la llave de la puerta bajo el tapete, confiando en que nadie buscará ahí).

los conceptos de CVE, CWE, CAPEC y CVSS aun me confundian. Asi que es un Resumen simplificado que me dio chatgpt y me quedo claro. * **CVE** - Identificación única de vulnerabilidades. (El "qué") * **CWE** - Identificación de debilidades en el código o configuración. (La "causa") * **CAPEC** - Técnicas de ataque para explotar vulnerabilidades. (El "cómo") * **CVSS** - Sistema de puntaje para evaluar la gravedad del riesgo. (El "cuánto duele") ## 🔥 **Analogía sencilla:** Casa con puertas y llaves 🔑🏠 1. **CVE:** Es como el reporte de un robo específico: *"El 5 de marzo, un ladrón entró a la casa de la calle 123 usando una llave falsa."* 🔹 Es un caso puntual, con fecha y detalles únicos. 2. **CWE:** Son las fallas en la construcción o los errores cometidos: *"Las puertas de esta casa tienen cerraduras muy simples que se pueden forzar fácilmente."* 🔹 Es una descripción técnica del **error** o la **debilidad**. 3. **CAPEC:** Es el método o la técnica de ataque del ladrón: *"Usar una ganzúa para abrir cerraduras sencillas."* 🔹 Describe el **método de ataque** y cómo se aprovecha la debilidad. 4. **CVSS:** Es la gravedad del problema, cuánto daño puede causar: *"La probabilidad de que entren a la casa es alta y el impacto económico es severo."* 🔹 Una métrica numérica para evaluar la criticidad (del 0 al 10). ## 🔹 **Ejemplo práctico aplicado a seguridad informática:** * **CVE-2021-34527:** Ejecución remota de código en **Print Spooler de Windows**. * 🔥 **CWE-269:** Error en el manejo de permisos y privilegios. * 💡 **CAPEC-122:** Abuso de API del sistema para ejecutar código arbitrario. * ⚙️ **CVSS:** 8.8 (crítico) — Alta probabilidad de explotación y gran impacto.
Gracias

Esta tabla esta en los recursos pero me gusto mucho así que la dejo por acá y se ve un poco mas. ![](

Podemos plasmar las ideas del principio como:
Mantener el secreto del código fuente del software.
Mantener el secreto de algoritmos y protocolos utilizados.
Adopción de políticas de no revelación pública de la información sobre vulnerabilidades.

👍