Seguridad por oscuridad

CVE - Common Vulnerabilities and Exposures (Vulnerabilidades y explotaciones Comunes)

CWE - Common Weakness Enumeration (Enumeración de vulnerabilidades comunes)

CAPEC - Common Attacs Patrons Enumeration Clasification (Enumeración y clasificación de patrones de ataque comunes)

---

CVSS - Common Vulnerability Scoring System (Sistema de puntuación de vulnerabilidades comunes)

---

Seguridad por oscuridad (Cómo ocultar la llave de la puerta bajo el tapete, confiando en que nadie buscará ahí).

---

El diseño de un sistema no
debería requerir el secreto, y el
compromiso del sistema no
debería incomodar a los
corresponsales.

Auguste Kerckhoffs

• Seguridad por oscuridad es un término que viene a identificar aquellas medidas que se configuran para proteger un activo, confiando en que nadie va a buscar ahí.

En palabras de Auguste Kerckhoffs: “el diseño de un sistema no debería requerir el secreto, y el compromiso del sistema no debería incomodar a los corresponsales”.

## ***<u>Seguridad por oscuridad </u>***en criptografía: una estrategia controvertida En el ámbito de la criptografía, la **seguridad por oscuridad**, también conocida como **seguridad por ocultación**, se refiere a la práctica de mantener en secreto los detalles de un sistema o algoritmo criptográfico con la esperanza de que esto lo haga más seguro. La idea subyacente es que si los atacantes no saben cómo funciona el sistema, no podrán encontrar vulnerabilidades para explotarlo. **Ejemplos de seguridad por oscuridad:** * Mantener el código fuente de un programa de cifrado en secreto. * No revelar el algoritmo utilizado en un protocolo de autenticación. * Ocultar la ubicación de un servidor web. **Argumentos a favor de la seguridad por oscuridad:** * Puede dificultar que los atacantes encuentren vulnerabilidades. * Puede proteger la propiedad intelectual. * Puede dar a los defensores una ventaja sobre los atacantes. **Argumentos en contra de la seguridad por oscuridad:** * Es difícil de mantener en secreto a largo plazo. * No es una base sólida para la seguridad a largo plazo. * Puede dificultar la auditoría y la mejora de un sistema. * Puede crear una falsa sensación de seguridad. **En general, la seguridad por oscuridad se considera una práctica poco fiable y se desaconseja su uso.** Se basa en el secreto, que es difícil de mantener, y no aborda las vulnerabilidades fundamentales de un sistema. En su lugar, se recomienda utilizar enfoques de seguridad basados en pruebas, como la revisión de código y las pruebas de penetración, para identificar y corregir vulnerabilidades antes de que puedan ser explotadas por los atacantes. **Principios de Kerckhoffs:** Los principios de Kerckhoffs, propuestos por Auguste Kerckhoffs en 1883, son un conjunto de directrices para el diseño de sistemas criptográficos seguros. Estos principios establecen que: * Un sistema debe ser seguro incluso si su diseño es de conocimiento público. * La seguridad del sistema debe depender únicamente de la secrecía de la clave, no del secreto del algoritmo o de su implementación. * Un sistema debe ser fácil de usar y comprender. Los principios de Kerckhoffs están en consonancia con la idea de que la seguridad por oscuridad no es una base sólida para la seguridad a largo plazo. Un sistema criptográfico que se basa en el secreto para su seguridad es fundamentalmente vulnerable, ya que el secreto siempre puede ser revelado o descubierto. **En resumen:** * La seguridad por oscuridad es una práctica controvertida en criptografía. * Se basa en el secreto, que es difícil de mantener, y no aborda las vulnerabilidades fundamentales de un sistema. * Se recomienda utilizar enfoques de seguridad basados en pruebas para identificar y corregir vulnerabilidades. * Los principios de Kerckhoffs proporcionan una guía para el diseño de sistemas criptográficos seguros

**Seguridad por oscuridad **

(Cómo ocultar la llave de la puerta bajo el tapete, confiando en que nadie buscará ahí).

los conceptos de CVE, CWE, CAPEC y CVSS aun me confundian. Asi que es un Resumen simplificado que me dio chatgpt y me quedo claro. * **CVE** - Identificación única de vulnerabilidades. (El "qué") * **CWE** - Identificación de debilidades en el código o configuración. (La "causa") * **CAPEC** - Técnicas de ataque para explotar vulnerabilidades. (El "cómo") * **CVSS** - Sistema de puntaje para evaluar la gravedad del riesgo. (El "cuánto duele") ## 🔥 **Analogía sencilla:** Casa con puertas y llaves 🔑🏠 1. **CVE:** Es como el reporte de un robo específico: *"El 5 de marzo, un ladrón entró a la casa de la calle 123 usando una llave falsa."* 🔹 Es un caso puntual, con fecha y detalles únicos. 2. **CWE:** Son las fallas en la construcción o los errores cometidos: *"Las puertas de esta casa tienen cerraduras muy simples que se pueden forzar fácilmente."* 🔹 Es una descripción técnica del **error** o la **debilidad**. 3. **CAPEC:** Es el método o la técnica de ataque del ladrón: *"Usar una ganzúa para abrir cerraduras sencillas."* 🔹 Describe el **método de ataque** y cómo se aprovecha la debilidad. 4. **CVSS:** Es la gravedad del problema, cuánto daño puede causar: *"La probabilidad de que entren a la casa es alta y el impacto económico es severo."* 🔹 Una métrica numérica para evaluar la criticidad (del 0 al 10). ## 🔹 **Ejemplo práctico aplicado a seguridad informática:** * **CVE-2021-34527:** Ejecución remota de código en **Print Spooler de Windows**. * 🔥 **CWE-269:** Error en el manejo de permisos y privilegios. * 💡 **CAPEC-122:** Abuso de API del sistema para ejecutar código arbitrario. * ⚙️ **CVSS:** 8.8 (crítico) — Alta probabilidad de explotación y gran impacto.

Gracias