Republica Bolivariana de Venezuela

Republica Bolivariana de Venezuela

Ministerio del poder popular para la educacin universitaria

Instituto universitario de tecnologa agro-industrial

Iut Zona Norte

Colon-Tchira

Mtodo de descifrado

Y

Polticas de seguridad

Autora:

TSU. Yenireth Y.Caldern V.CI-V.20608312

ING. Lisby Mora

San Juan de Colon Julio del 2015

Criptosistemas de clave secreta

Denominamos criptosistema de clave secreta (de clave privada, de clave nica o simtrico) a aquel criptosistema en el que la clave de cifrado, , puede ser calculada a partir de la de descifrado,, y viceversa. En la mayora de estos sistemas, ambas claves coinciden, y por supuesto han de mantenerse como un secreto entre emisor y receptor: si un atacante descubre la clave utilizada en la comunicacin, ha roto el criptosistema.

Hasta la dcada de los setenta, la invulnerabilidad de todos los sistemas dependa de este mantenimiento en secreto de la clave de cifrado. Este hecho presentaba una gran desventaja: haba que enviar, aparte del criptograma, la clave de cifrado del emisor al receptor, para que ste fuera capaz de descifrar el mensaje. Por tanto, se incurra en los mismos peligros al enviar la clave, por un sistema que haba de ser supuestamente seguro, que al enviar el texto plano. De todos los sistemas de clave secreta, el nico que se utiliza en la actualidad es DES (Data Encryption Standard, que veremos ms adelante); otros algoritmos de clave privada, como el cifrado Caesar o el criptosistema de Vigenre (sern tambin brevemente comentados ms adelante) han sido criptoanalizados con xito, lo cual da una idea del porqu del desuso en que han cado estos sistemas (con la excepcin de DES, que es seguramente el algoritmo de cifra ms utilizado en la actualidad). Por si esto no fuera suficiente, el hecho de que exista al menos una clave de cifrado/descifrado entre cada dos usuarios de un sistema hara inviable la existencia de criptosistemas simtricos en las grandes redes de computadores de hoy en da: para un sistema de computacin con usuarios, se precisaranclaves diferentes, lo cual es obviamente imposible en grandes sistemas. Todos estos motivos han propiciado que el estudio de los cifradores simtricos (excepto DES) quede relegado a un papel histrico.

Los sistemas de cifrado de clave nica se dividen a su vez en dos grandes grupos de criptosistemas: por una parte tenemos loscifradores de flujo, que son aquellos que pueden cifrar un slo bit de texto claro al mismo tiempo, y por tanto su cifrado se produce bit a bit, y por otro lado tenemos loscifradores de bloque, que cifran un bloque de bits (habitualmente, cada bloque es de 64 bits) como una nica unidad.Criptosistemas de clave pblica

Como hemos dicho en la introduccin, en 1976, Whitfield Diffie y Martin Hellman, de la Universidad de Stanford, demostraron la posibilidad de construir criptosistemas que no precisaran de la transferencia de una clave secreta en su trabajo .Esto motiv multitud de investigaciones y discusiones sobre la criptografa de clave pblica y su impacto, hasta el punto que la NSA (National Security Agency) estadounidense trat de controlar el desarrollo de la criptografa, ya que la consideraban una amenaza peligrosa para la seguridad nacional. Esta polmica ha llegado incluso hasta nuestros das, en los que elaffaireZimmermann (el autor de PGP) o elClipper Chiphan llenado portadas de peridicos de todo el mundo.

Veamos ahora en que se basan los criptosistemas de clave pblica. En stos, la clave de cifrado se hace de conocimiento general (se le llamaclave pblica). Sin embargo, no ocurre lo mismo con la clave de descifrado (clave privada), que se ha de mantener en secreto. Ambas claves no son independientes, pero del conocimiento de la pblica no es posible deducir la privada sin ningn otro dato (recordemos que en los sistemas de clave privada suceda lo contrario). Tenemos pues un par clave pblica-clave privada; la existencia de ambas claves diferentes, para cifrar o descifrar, hace que tambin se conozca a estos criptosistemas como asimtricos.

Cuando un receptor desea recibir una informacin cifrada, ha de hacer llegar a todos los potenciales emisores su clave pblica, para que estos cifren los mensajes con dicha clave. De este modo, el nico que podr descifrar el mensaje ser el legtimo receptor, mediante su clave privada.

Esteganografa

Laesteganografa(del griego(steganos):cubierto u oculto, y(graphos): escritura), trata el estudio y aplicacin de tcnicas que permiten ocultar mensajes u objetos, dentro de otros, llamadosportadores,de modo que no se perciba su existencia. Es decir, procura ocultar mensajes dentro de otros objetos y de esta forma establecer uncanal encubiertode comunicacin, de modo que el propio acto de la comunicacin paseinadvertidopara observadores que tienen acceso a ese canal.

Esta ciencia ha suscitado mucho inters en los ltimos aos, especialmente en el rea deseguridad informtica, debido a que ha sido utilizada por organizaciones criminales y terroristas. No obstante, no se trata de nada nuevo, pues se lleva empleando desde la antigedad, y ha sido tradicionalmente utilizada por las instituciones policiales, militares y de inteligencia; as como por criminales o civiles que desean eludir el control gubernamental, especialmente en regmenestirnicos.

La esteganografa clsica se basaba nicamente en el desconocimiento del canal encubierto bajo uso, mientras que en la era moderna tambin se emplean canales digitales (imagen, video, audio,protocolos de comunicaciones, etc.) para alcanzar el objetivo. En muchos casos, el objeto contenedor es conocido, y lo que se ignora es el algoritmo de insercin de la informacin en dicho objeto.

Para que pueda hablarse de esteganografa, debe haber voluntad de comunicacin encubierta entre el emisor y el receptor.

Diferencias con la criptografa

Si bien la esteganografa puede confundirse con lacriptografa, por ser ambas parte de los procesos de proteccin de la informacin, son disciplinas distintas, tanto en su forma de implementar como en su objetivo mismo.

Mientras que lacriptografase utiliza para cifrar o codificar informacin de manera que sea ininteligible para un probable intruso, a pesar que conozca su existencia, laesteganografaoculta la informacin en un portador de modo queno sea advertido el hecho mismode su existencia y envo. De esta ltima forma, un probable intruso ni siquiera sabr que se est transmitiendo informacin sensible.

Sin embargo, la criptografa y la esteganografa pueden complementarse, dando un nivel de seguridad extra a la informacin, es decir, es muy comn (aunque no imprescindible) que el mensaje a esteganografiar sea previamente cifrado, de tal modo que a un eventual intruso no slo le costar advertir la presencia de la mensajera oculta; sino que si la llegara a descubrir, la encontrara cifrada.

Motivacin

La utilidad del uso de la esteganografa se manifiesta en el llamadoproblema del prisionero(Gustavus J. Simmons, 1983). Resumidamente, en elproblema del prisionerotenemos dos prisioneros, A y B, que quieren comunicarse de forma confidencial para escapar. El problema es que slo pueden intercambiar mensajes a travs de un guardin, W. El guardin puede leer, modificar o generar l mismo los mensajes. Si el guardin detecta cualquier comunicacin que pueda ser utilizada para escapar (Ej. detecta uncifrado) dejar de transmitir los mensajes. En este escenario los prisioneros necesitan establecer uncanal encubierto.

El uso de la esteganografa permite disponer de uncanal encubiertode forma que nos podemos comunicar sin ser detectados. La estrategia que sigue la esteganografa para resolver elproblema del prisioneroes esconder los datos que no queremos que sean detectados, entre los mensajes permitidos por el guardin.

Funcionamiento y terminologa

La idea que sigue la esteganografa es enviar el mensaje oculto (E) escondido en un mensaje de apariencia inocua (C) que servir de camuflaje. Esto es, se aplica una funcin de esteganografa. El resultado de aplicar la funcin (O), se enva por un canal inseguro y puede ser visto sin problemas por el guardin. Finalmente, el otro prisionero recibe el objeto O y, aplicando la funcin inversa, puede recuperar el mensaje oculto.1La terminologa tpica usada en la esteganografa es:2Se define comoesquema esteganogrficoal conjunto de componentes que permite llevar a cabo la comunicacin esteganogrfica.

Elportadores todo aquel conjunto de datos que es susceptible de ser alterado para incorporarle el mensaje que queremos mantener en secreto. Puede ser de muchos tipos o formatos. Ejemplos: imagen (en sus distintos formatos), audio (en sus distintos formatos), texto plano, archivos binarios, un mensaje deprotocolo de comunicacin.

Se habla demensaje-legtimopara referirse al mensaje transportado por el portador.

Se llamamensaje esteganogrficoal mensaje que queremos mantener en secreto y queremos esconder dentro del portador. Puede ser de distintos tipos o formatos. Ejemplos: imagen (en sus distintos formatos), audio (en sus distintos formatos), texto plano, archivos binarios.

Estego-algoritmoes elalgoritmoesteganogrfico que indica como realizar el procedimiento de incorporacin del mensaje que queremos mantener en secreto en el portador.

La accin de ocultar el mensaje dentro del portador se denominaempotrar (ingls: to embed).

Se llamaestego-mensajeal resultado de embeber el mensaje esteganogrfico dentro del portador.

La accin de la recuperacin, a partir del estego-mensaje, del mensaje oculto esteganogrfico se denominaextraer.

Por el rol desempeado dentro del proceso esteganogrfico, el emisor estambin llamadoembebedory el receptorextractor. Al igual que en todo acto de comunicacin convencional, es comn que los roles de emisor y receptor se intercambien sucesivamente entre las partes que se comunican.

Se llamaesteganalistaoestegoanalistaa la persona que intenta determinar la existencia o ausencia de un mensaje esteganogrfico. Observar que basta condeterminar la existencia, no tiene que llegar al contenido en s. Es decir un esteganalista es el que haceestegoanlisis.

Loscanales de seleccinconsisten en canales adicionales al portador utilizado para embeber donde se comunica qu posiciones del portador se utilizan para la comunicacin esteganogrfica. Por ejemplo, supongamos que el portador es un libro de texto. Un canal de seleccin podra estar definido por una sucesin de nmeros naturales que representan la posicin de cada una de las palabras, dentro del libro de texto, que se deben considerar para construir el mensaje esteganogrfico.

24Lasclases de equivalenciacorresponden a pares de elementos del portador utilizado que tienen una interpretacin semntica equivalente en la comunicacin legtima, pero el uso de un elemento u otro tiene un significado acordado en la comunicacin esteganogrfica. Por ejemplo las palabras 'lindo' y 'bonito' son sinnimos en espaol y podran utilizarse indistintamente en un contexto. Un lector no notara la diferencia en la semntica del texto, sin embargo puede ser aprovechado para construir el mensaje esteganogrfico.

La capacidad de alterar el portador de manera imperceptible es posible gracias a la existencia deredundanciaen el mismo. Las alteraciones pueden realizarse tanto en el contenido como en otros parmetros como por ejemplo el tiempo de respuesta en la emisin del portador.

Clasificacin segn el estego-algoritmo

Elestego-algoritmoes el algoritmo esteganogrfico que indica como realizar el procedimiento de incorporacin delmensaje esteganogrficoen el portador para obtener elestego-mensaje. Segn el tipo de estego-algoritmo podemos distinguir entre dos tipos de esteganografa:5Esteganografa pura y esteganografa de clave secreta.

Esteganografa pura

En este tipo de esteganografa el estego-algoritmo establece un mtodo fijo para incorporar elmensaje esteganogrficoen el portador para obtener elestego-mensaje. En esta estrategia se est suponiendo que el guardin delproblema del prisionerono conoce nada sobre el estego-algoritmo. Por tanto estamosbasando nuestra seguridad en la oscuridad. Este enfoque para conseguir la seguridad raramente funciona y es especialmente desastroso en el caso de lacriptografa.

Esteganografa de clave secreta

En este tipo de esteganografa el estego-algoritmo est parametrizado por una clave esteganogrfica a la que se le llamaestego-claveque define como aplicar el algoritmo: Por ejemplo, la estego-clave podra indicar el lugar dentro del portador a partir del cual se comienza a realizar la incorporacin del mensaje secreto. Tanto el estego-algoritmo como la estego-clave deben estar previamente acordadas entre el emisor y el receptor.

El proceso de extraccin consiste en aplicar el estego-algoritmo y la estego-clave necesarios al estego-mensaje recibido para obtener el mensaje esteganogrfico.

En este escenario el guardin delproblema del prisioneropuede conocer el estego-algoritmo pero no conoce laestego-clave, que se emplea en el mismo. En esta estrategia estamos basando nuestra seguridad en elprincipio de Kerckhoffs. Aplicado a la esteganografa, elprincipio de Kerckhoffspodra incluir como informacin revelable, el acceso a la informacin portadora antes de aplicrsele el estego-algoritmo.

Historia

Estos son algunos ejemplos y/o historias que demuestran que la esteganografa ha estado presente desde tiempos antiguos y constantemente va evolucionando.

Herdoto

Probablemente uno de los ejemplos ms antiguos del uso de que la esteganografa sea el referido porHerdotoenLas historias.6En estelibrodescribe cmo un personaje tom un cuadernillo de dos hojas o tablillas; ray bien la cera que las cubra y en la madera misma grab elmensajey lo volvi a cubrir con cera regular. Otra historia, en el mismo libro, relata cmo otro personaje haba rasurado anavajala cabeza de suesclavode mayor confianza, le tatu elmensajeen elcuero cabelludo, esper despus a que le volviera a crecer elcabelloy lo mand al receptor del mensaje, con instrucciones de que le rasuraran lacabeza.

Siglo XV

El cientfico italianoGiovanni Battista della Portadescubri cmo esconder un mensaje dentro de unhuevo cocido. El mtodo consista en preparar unatintamezclando unaonzadealumbrey unapintadevinagre, y luego se escriba en lacscara. La solucin penetra en lacscaraporosa y deja unmensajeen la superficie de laalbminadelhuevo duro, que slo se puedeleersi se pela elhuevo.

Primer libro

El origen del vocablo esteganografa se remonta a principios delsiglo XVI. ElabadalemnJohannes Trithemiusescribi unlibroal que titulSteganographia. En l se trataban temas referentes a la ocultacin de mensajes, as como mtodos para conjurar a losespritus. Ellibroen cuestin est hoy considerado como un libro maldito y es muy apreciado por los esoteristas del mundo entero. Aparte de estelibro, tambin publicPolygraphiae Libri Sex, un compendio de seislibrossobrecriptografaque no participaba de los elementosesotricosde su otro granlibro.

Otros libros

Bsicas:sustanciascon alto contenido encarbono:leche,orina,zumo de limn,jugo de naranja,jugo de manzana, jugo decebolla, solucin azucarada,mieldiluida,coca coladiluida,vino,vinagre, etc. Bsicamente, sin importar cul de las tintas mencionadas se utilicen, al calentar la superficie donde se escribi el mensaje invisible, elcarbonoreacciona apareciendo elmensajeen un tonocaf.

Ms sofisticadas: aparecen tras unareaccin qumica, o tras ser expuestas a laluzde ciertalongitud de onda(IR,UV,...).

Esteganografa clsica vs. moderna

Esteganografa clsica: mtodos completamenteoscuros.

Proteccin basada en desconocer elcanal encubiertoespecfico que se est usando.

Esteganografa moderna: uso de canales digitales:

Archivo de texto(inc.pginas web,cdigo fuente, etc.)

Audio digitalImgenesyvdeodigitales

ArchivosejecutablesProtocolos de comunicaciones

Tcnicas digitales

Existen numerosos mtodos y algoritmos utilizados para ocultar la informacin dentro de archivos multimedia:imgenes,audioyvdeo. A continuacin se indican algunos de los ms usados.

Enmascaramiento y filtrado

En este caso la informacin se oculta dentro de unaimagen digitalempleando marcas de agua que incluyen informacin, como el derecho de autor, la propiedad o licencias. El objetivo es diferente de la esteganografa tradicional (bsicamente comunicacin encubierta), ya que es aadir un atributo a laimagenque acta como cubierta. De este modo se ampla la cantidad de informacin presentada.

Algoritmos y transformaciones

Esta tcnica oculta datos basados en funciones matemticas que se utilizan a menudo enalgoritmosde lacompresin de datos. La idea de este mtodo es ocultar el mensaje en losbitsde datos menos importantes.

Insercin en elbit menos significativoEste es el mtodo moderno ms comn y popular usado para esteganografa, tambin es uno de los llamadosmtodos de sustitucin. Consiste en hacer uso del bit menos significativo de los pxeles de una imagen y alterarlo. La misma tcnica puede aplicarse a vdeo y audio, aunque no es lo ms comn. Hecho as, la distorsin de la imagen en general se mantiene al mnimo (la perceptibilidad es prcticamente nula), mientras que el mensaje es esparcido a lo largo de sus pxeles. Esta tcnica funciona mejor cuando el archivo de imagen es grande, posee fuertes variaciones de color ("imagen ruidosa") y tambin aventaja cuanto mayor sea la profundidad de color. Asimismo esta tcnica puede utilizarse eficazmente en imgenes a escala de gris, pero no es apropiada para aquellas en color de 8 bit paletizadas (misma estructura que las de escalas de gris, pero con paleta en color). En general, los mejores resultados se obtienen en imgenes con formato de color RGB (tres bytes, componentes de color, porpxel).

Observar que se ha sustituido el bit del mensaje (letra A, marcados en negritas) en cada uno de los bits menos significativos de color de los 3 pxeles. Fueron necesarios 8 bytes para el cambio, uno por cada bit de la letra A, el noveno byte de color no se utiliz, pero es parte del tercer pixel (su tercera componente de color).

El mtodo del LSB funciona mejor en los archivos de imgenes que tienen unaalta resoluciny usan gran cantidad decolores. En caso d archivos de audio, favorecen aquellos que tienen muchos y diferentessonidosque poseen una alta tasa de bits.

Adems este mtodo no altera en absoluto eltamaodel archivo portador o cubierta (por eso es "una tcnica de sustitucin"). Posee la desventaja de que el tamao del archivo portador debe ser mayor cuanto ms grande sea el mensaje a embeber; se necesitan 8 bytes de imagen por cada byte de mensaje a ocultar; es decir, la capacidad mxima de una imagen para almacenar un mensaje oculto es de su 12,5%. Si se pretende emplear una mayor porcin de bits de la imagen (por ejemplo, no slo el ltimo, sino los dos ltimos), puede comenzar a ser percibible al ojo humano la alteracin general provocada.

Tcnicas ms utilizadas segn el tipo de medio

En documentos

El uso de esteganografa en los documentos puede funcionar con slo aadir un espacio en blanco y las fichas a los extremos de las lneas de un documento. Este tipo de esteganografa es extremadamente eficaz, ya que el uso de los espacios en blanco y tabs no es visible para elojohumano, al menos en la mayora de los editores de texto, y se producen de forma natural en los documentos, por lo que en general es muy difcil que levante sospechas.

Ejemplo utilizando tcnica de LSBEl mtodo ms utilizado es el LSB, puesto que para un computador un archivo de imagen es simplemente un archivo que muestra diferentes colores e intensidades de luz en diferentesreas(pxeles). El formato de imagen ms apropiado para ocultar informacin es elBMPcolor de 24 bitBitmap), debido a que es el de mayor proporcin (imagen no comprimida) y normalmente es de la ms alta calidad. Eventualmente se prefiere optar por formatos BMP de 8 bits o bien otros tales como elGIF, por ser de menor tamao. Se debe tener en cuenta que el transporte de imgenes grandes porInternetpuede despertar sospechas.

Cuando una imagen es de alta calidad y resolucin, es ms fcil y eficiente ocultar y enmascarar la informacin dentro de ella.

La desventaja del mtodo LSB es que es el ms conocido y popular, por tanto el ms estudiado. Deja marcas similares aruido blancoen el portador (imagen contenedora), lo cual la convierte en altamente detectable o vulnerable a ataques deestegoanlisis, para evitarlo se recurre a dispersar el mensaje, en general usando secuencias aleatorias.

Es importante notar que si se oculta informacin dentro de un archivo de imagen y este es convertido a otro formato, lo ms probable es que la informacin oculta dentro sea daada y, consecuentemente, resulte irrecuperable.

En audio

Cuando se oculta informacin dentro de archivos de audio, por lo general la tcnica usada eslow bit encoding(baja bit de codificacin), que es similar a la LSB que suele emplearse en las imgenes. El problema con ellow bit encodinges que en general es perceptible para elodohumano, por lo que es ms bien un mtodo arriesgado que alguien lo use si estn tratando de ocultar informacin dentro de un archivo de audio.

Spread Spectrumtambin sirve para ocultar informacin dentro de un archivo de audio. Funciona mediante la adicin de ruidos al azar a la seal de que la informacin se oculta dentro de una compaa area y la propagacin en todo el espectro de frecuencias.

Otro mtodo esEcho data hiding, que usa los ecos en archivos de sonido con el fin de tratar de ocultar la informacin. Simplemente aadiendo extra de sonido a un eco dentro de un archivo de audio, la informacin puede ser ocultada. Lo que este mtodo consigue mejor que otros es que puede mejorar realmente el sonido del audio dentro de un archivo de audio.

En vdeo

En vdeo, suele utilizarse el mtodo DCT (Discrete Cosine Transform). DCT funciona cambiando ligeramente cada una de las imgenes en el vdeo, slo de manera que no sea perceptible por el ojo humano. Para ser ms precisos acerca de cmo funciona DCT, DCT altera los valores de ciertas partes de las imgenes, por lo general las redondea. Por ejemplo, si parte de una imagen tiene un valor de 6,667, lo aproxima hasta 7.

Esteganografa en vdeo es similar a la aplicada en las imgenes, adems de que la informacin est oculta en cadafotogramade vdeo. Cuando slo una pequea cantidad de informacin que est oculta dentro del cdigo fuente por lo general no es perceptible a todos. Sin embargo, cuanta mayor informacin se oculte, ms perceptible ser.

En archivos de cualquier tipo

Uno de los mtodos ms fciles de implementar es el de inyeccin o agregado de bytes al final del archivo. Esta tcnica consiste, esencialmente, en agregar o adosar al final de un archivo, de cualquier tipo, otro archivo que ser el contenedor del "mensaje a ocultar", tambin de cualquier tipo. Esta metodologa es la ms verstil, pues permite usar cualquier tipo de archivo como portador (documentos, imgenes, audio, vdeos, ejecutables, etc) y aadir al final del archivo contenedor el "paquete enviado", que es otro archivo, tambin de cualquier tipo.

Esta es una tcnica queno se vale de las limitaciones humanas(vista y odo) para implementar la estrategia esteganogrfica, sino que se vale de la forma de funcionamiento de la aplicaciones software que utilizan el portador. No degradan el contenido del portador de ninguna forma, por ejemplo, si es una imagen, permanecer intacta; ya que el "mensaje" se le inyecta o adosa al final de la misma y la aplicacin usada para visualizarla la mostrar normalmente hasta donde ella finalice. Esto es debido que todo tipo de archivo, en su cabecera, entre otros, contiene ciertosbytesfijos (en cantidad y ubicacin) usados exclusivamente para indicar el tamao del archivo. La aplicacin que utilice un archivo, de cualquier tipo, siempre lee su cabecera primero, adquiere ese valor como su tamao (en cantidad de bytes) y seguidamente lee el resto del archivo hasta el final indicado por dicho valor. De modo que si se coloca algo (mensaje) ms all del valor de ese parmetro, no ser ledo por la aplicacin normal, por tanto no detectado, y el archivo portador funcionar normalmente.

Si bien es la tcnica ms sencilla de implementar, y de uso muy difundido,tiene la gran desventajaque provocacrecimiento del portador, tanto como el tamao de su mensaje, siendo por tanto una estrategia fcilmente detectable. Un sencillo programa de estegoanlisis lo detecta por la sola lectura de su cabecera y la comprobacin del tamao real de archivo portador; incluso cualquier usuario desconfiado puede muchas veces sospechar del portador por su tamao ocupado en disco en relacin a su contenido. Otra desventaja, aunque muy relativa y eventual, es que el crecimiento del portador podra ser limitante a la hora de trasferirlo por las redes, particularmente por Internet.

Los programas o software que utilizan esta tcnica son llamados joiners, bsicamente unen dos archivos, el portador y el de mensaje, manteniendo el valor inicial del tamao en bytes indicado en la cabecera del primero. Esta es una tcnica no utilizada si se pretende obtener caractersticas de indetectabilidad.

Si no se requiere reunir requisitos de indetectabilidad, es uno de los mtodos preferidos por su sencillez, flexibilidad y escasas limitaciones. Prcticamente cualquier tipo de portador es admitido, con o sin compresin, incluso mdulos ejecutables. En algunos casos provoca corrupcin del portador, lo cual no es gran problema: practicada la tcnica e inyectado el mensaje se prueba el portador con su aplicacin correspondiente, si se ha degradado y/o no funciona bien, sencillamente toma otro, del mismo u otro tipo y se repite la operacin.

Otros

Una nueva tcnica esteganogrfica implica el inyectar retardos (conocidos por su traduccin al ingls como "delays") imperceptibles a los paquetes enviados sobre la red desde el teclado. Los retardos en el tecleo de los comandos en algunos usos (telneto software deescritorio remoto) pueden significar un retardo en paquetes, y los retardos en los paquetes se pueden utilizar para codificar datos.

Estegoanlisis

Lo que la esteganografa esencialmente hace es explotar las limitaciones de la percepcin humana (excepto en el mtodo de inyeccin), ya que los sentidos humanos (vista y odo) tienen lmites para percibir informacin extraa intercalada en su contenido; pero existen aplicaciones software disponibles que pueden hacer ese trabajo de deteccin, por diversas tcnicas analticas, al estudio y aplicacin de ellas corresponde lo denominadoestegoanlisis.

Mientras que con la esteganografa se intenta estudiar e implementar mtodos para enviar mensajes encubiertos en portadores de apariencia inocua o normal, con el estegoanlisis se estudian las formas de detectar la presencia de mensajes ocultos en potenciales portadores (no necesariamente de extraerlos).

Debido a que la esteganografa es invasiva, es decir, deja huellas en el medio de transporte utilizado, las tcnicas de estegoanlisis intentan detectar estos cambios, usando incluso complejos mecanismos estadsticos. Las tcnicas de estegoanlisis, normalmente, hasta el momento, slo llegan a brindar nivel de probabilidad de existencia de un mensaje encubierto en un portador.

Software de esteganografa

StegHideSoftware esteganogrfico que soporta cifrado y compresin. Trabaja con archivosJPEG,BMP,WAVyAUy tiene licencia GNU

Steghide UIInterfaz grfica de usuario(GUI) para StegHide de licencia GNU

LEGISLACION NACIONAL E INTERNACIONAL ACERCA DE DELITOS INFORMATICOS

LEGISLACION NACIONAL

NUESTRA LEGISLACIN REGULA COMERCIAL Y PENALMENTE LAS CONDUCTAS ILCITAS RELACIONADAS CON LA INFORMTICA, PERO QUE AN NO CONTEMPLAN EN S LOS DELITOS INFORMTICOS. EL ARTCULO 71 TIPIFICA COMO CONDUCTA ILCITA A "EL QUE DE CUALQUIER MANERA Y EN CUALQUIER FORMA DEFRAUDARE LOS DERECHOS DE PROPIEDAD INTELECTUAL QUE RECONOCE ESTA LEY"

EL ART. 72 CONSIDERA CASOS ESPECIALES DE DEFRAUDACIN:

EL QUE EDITE, VENDA O REPRODUZCA POR CUALQUIER MEDIO O INSTRUMENTO, UNA OBRA INDITA O PUBLICADA SIN AUTORIZACIN DE SU AUTOR O DERECHO-HABIENTES.EL QUE FALSIFIQUE OBRAS INTELECTUALES, ENTENDINDOSE COMO TAL LA EDICIN DE UNA OBRA YA EDITADA, OSTENTANDO FALSAMENTE EL NOMBRE DEL EDITOR AUTORIZADO AL EFECTO.EL QUE EDITE, VENDA O REPRODUZCA UNA OBRA SUPRIMIENDO O CAMBIANDO EL NOMBRE DEL AUTOR, EL TITULO DE LA MISMA O ALTERANDO DOLOSAMENTE SU TEXTO.

LEGISLACION INTERNACIONAL

TRATADOS INTERNACIONALES

EN ESTE SENTIDO HABR QUE RECURRIR A AQUELLOS TRATADOS INTERNACIONALES, QUE NUESTRO PAS ES PARTE Y QUE, EN VIRTUD DEL ARTCULO 75 INC. 22 DE LA CONSTITUCIN NACIONAL REFORMADA EN 1994, TIENEN RANGO CONSTITUCIONAL.

EN LOS LTIMOS AOS SE HA PERFILADO EN EL MBITO INTERNACIONAL UN CIERTO CONSENSO EN LAS VALORACIONES POLTICO- JURDICAS DE LOS PROBLEMAS DERIVADOS DEL MAL USO QUE SE HACE DE LAS COMPUTADORAS, LO CUAL HA DADO LUGAR A QUE, EN ALGUNOS CASOS, SE MODIFIQUEN LOS DERECHOS PENALES NACIONALES.

EN EL ARTCULO 61 SE ESTABLECE QUE PARA LOS CASOS DE FALSIFICACIN DOLOSA DE MARCAS DE FBRICA O DE COMERCIO O DE PIRATERA LESIVA DEL DERECHO DE AUTOR A ESCALA COMERCIAL SE ESTABLECERN PROCEDIMIENTOS Y SANCIONES PENALES ADEMS DE QUE, "LOS RECURSOS DISPONIBLES COMPRENDERN LA PENA DE PRISIN Y/O LA IMPOSICIN DE SANCIONES PECUNIARIAS SUFICIENTEMENTE DISUASORIAS"

LAS POSIBLES IMPLICACIONES ECONMICAS DE LA DELINCUENCIA INFORMTICA TIENEN CARCTER INTERNACIONAL E INCLUSO TRANSNACIONAL, CUYO PRINCIPAL PROBLEMA ES LA FALTA DE UNA LEGISLACIN UNIFICADA QUE, FACILITA LA COMISIN DE LOS DELITOS.

EN 1992 ELABOR UN CONJUNTO DE NORMAS PARA LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIN, CON INTENCIN DE OFRECER LAS BASES PARA QUE LOS ESTADOS Y EL SECTOR PRIVADO PUDIERAN ERIGIR UN MARCO DE SEGURIDAD PARA LOS SISTEMAS INFORMTICOS.

http://www.monografias.com/trabajos/legisdelinf/legisdelinf.shtmlPoltica de seguridadUnapoltica de seguridaden el mbito de la criptografa de clave pblica oPKIes un plan de accin para afrontar riesgos de seguridad, o un conjunto dereglaspara el mantenimiento de cierto nivel de seguridad. Pueden cubrir cualquier cosa desde buenas prcticas para la seguridad de un solo ordenador, reglas de una empresa o edificio, hasta las directrices de seguridad de un pas entero.

Lapoltica de seguridades un documento de alto nivel que denota el compromiso de la gerencia con la seguridad de la informacin. Contiene la definicin de la seguridad de la informacin desde el punto de vista de cierta entidad.

Debe ser enriquecida y compatibilizada con otras polticas dependientes de sta, objetivos de seguridad, procedimientos (vase referencias ms adelante). Debe estar fcilmente accesible de forma que los empleados estn al tanto de su existencia y entiendan su contenido. Puede ser tambin un documento nico o inserto en un manual de seguridad. Se debe designar un propietario que ser el responsable de su mantenimiento y su actualizacin a cualquier cambio que se requiera.Implementacin de una Poltica de Seguridad

La implementacin de medidas de seguridad, es un proceso Tcnico-Administrativo. Como este proceso debe abarcartodala organizacin, sin exclusin alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrn la fuerza necesaria.

Se deber tener en cuenta que la implementacin de Polticas de Seguridad, trae aparejados varios tipos de problemas que afectan el funcionamiento de la organizacin. La implementacin de un sistema de seguridad conlleva a incrementar la complejidad en la operatoria de la organizacin, tanto tcnica como administrativamente.

Por esto, ser necesario sopesar cuidadosamente la ganancia en seguridad respecto de los costos administrativos y tcnicos que se generen.

Es fundamental no dejar de lado la notificacin a todos los involucrados en las nuevas disposiciones y, darlas a conocer al resto de la organizacin con el fin de otorgar visibilidad a los actos de la administracin.

Una PSI informtica deber abarcar:

Alcance de la poltica, incluyendo sistemas y personal sobre el cual se aplica.

Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin.

Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles de la organizacin.

Responsabilidades de los usuarios con respecto a la informacin que generan y a la que tienen acceso.

Requerimientos mnimos para la configuracin de la seguridad de los sistemas al alcance de la poltica.

Definicin de violaciones y las consecuencias del no cumplimiento de la poltica.

Por otra parte, la poltica debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exactitud qu pasara o cundo algo suceder; ya que no es una sentencia obligatoria de la ley.

Explicaciones comprensibles (libre de tecnicismos y trminos legales pero sin sacrificar su precisin) sobre el porque de las decisiones tomadas.

Finalmente, como documento dinmico de la organizacin, deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta y rotacin de personal, desarrollo de nuevos servicios, cambio o diversificacin de negocios, etc.

Una proposicin de una forma de realizar una PSI adecuada puede apreciarse en el siguiente diagrama:

Se comienza realizando una evaluacin del factor humano, el medio en donde se desempea, los mecanismos con los cuales se cuenta para llevar a cabo la tarea encomendada, las amenazas posibles y sus posibles consecuencias.

Luego de evaluar estos elementos y establecida la base del anlisis, se originan un programa de seguridad, el plan de accin y las normas y procedimientos a llevar a cabo.

Para que todo lo anterior llegue a buen fin debe realizarse un control peridico de estas polticas, que asegure el fiel cumplimiento de todos los procedimientos enumerados. Para asegurar un marco efectivo se realiza una auditora a los archivos Logs de estos controles.

Con el objeto de confirmar que todo lo creado funciona en un marco real, se realiza una simulacin de eventos y acontecimientos que atenten contra la seguridad del sistema. Esta simulacin y los casos reales registrados generan una realimentacin y revisin que permiten adecuar las polticas generadas en primera instancia.

Por ltimo el Plan de Contingencia es el encargado de suministrar el respaldo necesario en caso en que la poltica falle.

Es importante destacar que la Seguridad debe ser considerada desde la fase de diseo de un sistema. Si la seguridad es contemplada luego de la implementacin del mismo, el personal se enfrentar con problemas tcnicos, humanos y administrativos muchos mayores que implicaran mayores costos para lograr, en la mayora de los casos, un menor grado de seguridad.

"Construya la seguridad desde el principio. La mxima de que es ms caro aadir despus de la implementacin es cierta."(1)Julio C. Ardita menciona: "Muchas veces nos llaman cuando est todo listo, faltan dos semanas y quieren que lo aseguremos (...) llegamos, miramos y vemos que la seguridad es imposible de implementar. ltimamente nos llaman en el diseo y nosotros los orientamos y proponemos las soluciones que se pueden adoptar (...)"(2)Queda claro que este proceso es dinmico y continuo, sobre el que hay que adecuarse continuamente a fin de subsanar inmediatamente cualquier debilidad descubierta, con el fin de que estas polticas no caigan en desuso.

LEGISLACIN NACIONAL

El Artculo 110 de laConstitucin de la Repblica Bolivariana de Venezuela (2010), el Estado reconocer el inters pblico de la ciencia, la tecnologa, el conocimiento, la innovacin y sus aplicaciones y los servicios de informacin necesarios por ser instrumentos fundamentales para el desarrollo econmico, social y poltico del pas, as como para la seguridad y soberana nacional. Para el fomento y desarrollo de esas actividades, el Estado destinar recursos suficientes y crear el sistema nacional de ciencia y tecnologa de acuerdo con la ley. El sector privado deber aportar recursos para los mismos. El Estado garantizar el cumplimiento de los principios ticos y legales que deben regir las actividades de investigacin cientfica, humanstica y tecnolgica. La ley determinar los modos y medios para dar cumplimiento a esta garanta.

El Artculo 28 de la CRBVestablece que toda persona tiene el derecho de acceder a la informacin y a los datos que sobre s misma o sobre sus bienes consten en registros oficiales o privados, () Igualmente, podr acceder a documentos de cualquier naturaleza que contengan informacin cuyo conocimiento sea de inters para comunidades o grupos de personas

Por otra parte el Artculo 60seala que toda persona tiene derecho a la proteccin de su honor, vida privada, intimidad, propia imagen, confidencialidad y reputacin. La ley limitar el uso de la informtica para garantizar el honor y la intimidad personal y familiar de los ciudadanos y ciudadanas y el pleno ejercicio de sus derechos.

A su vez, elArtculo 143acota que los ciudadanos y ciudadanas tienen derecho a ser informados e informadas oportuna y verazmente por la Administracin Pblica, () Asimismo, tienen acceso a los archivos y registros administrativos, sin perjuicio de los lmites aceptables dentro de una sociedad democrtica

La Ley Especial Contra los Delitos Informticos (2001) tiene porObjeto la Proteccin integral de los sistemas que utilicen tecnologas de informacin, as como la prevencin y sancin de los delitos cometidos contra tales sistemas o cualesquiera de sus componentes, o de los cometidos mediante el uso de dichas tecnologas.Entre los primeros delitos informticos que aquejan al venezolano, hoy da figuran los financieros. La clonacin de tarjetas de crdito y dbito y la obtencin de informacin de las cuentas, ha generado en los ltimos aos prdidas millonarias.

La pornografa infantil es el segundo con mayor nmero de denuncias.

La estafa electrnicaofreciendo productos falsos por internet, es otro de los delitos con mayor frecuencia.

Sumndose: el hacking, cracking y phising que son quienes, a distancia, violan la seguridad de otras computadoras.

En julio y agosto 2011 fueron hackeadas las cuentas de twitter de varias personalidades pblicas venezolanas.

El Centro Nacional de Informtica Forense (CENIF), es un laboratorio de informtica forense para la adquisicin, anlisis, preservacin y presentacin de las evidencias relacionadas a las tecnologas de informacin y comunicacin, con el objeto de prestar apoyo a los cuerpos de investigacin judicial rganos y entes del Estado que as lo requieran.LEGISLACIN INTERNACIONAL

Muchos son los problemas que han surgido a nivel internacional en materia de delincuencia informtica. Tradicionalmente se ha considerado en todos los pases el principio de territorialidad, que consiste en aplicar sanciones penales cuando el delito ha sido cometido dentro del territorio nacional, pero, en el caso del delito informtico, la situacin cambia porque el delito pudo haberse cometido desde cualquier otro pas, distinto a donde se materializa el dao.

Debido a situaciones como las antes expuestas, los pases se vieron en la necesidad de agruparse y en primer lugar definir algunos trminos cibernticos que pudieran permitir la unificacin de criterios en esta materia. As, se le asignaron nombres conocidos en materia de delitos tradicionales, para adaptarlos a la informtica; tales como: hurto, sabotaje, robo, espionaje, estafa, fraude, etc.

Esta situacin cada vez mas frecuente, dio pie a que distintas organizaciones internacionales, tomaran la iniciativa de organizarse y establecer pautas o estndares mnimos, tal es el caso de la Organizacin de Cooperacin y Desarrollo Econmico (OCDE), que segn explica Acurio (2006), tard tres aos, desde 1983 hasta 1986 en publicaruninforme titulado Delitos de Informtica: anlisis de la normativa jurdica, donde se recomendaba una lista mnima de ejemplos de uso indebido que cada pas podra prohibir y sancionar con leyes penales especiales que promulgaran para tal fin.

Esa lista mnima de delitos informticos era como sigue:1. Fraude y falsificacin informticos2. Alteracin de datos y programas decomputadora3. Sabotaje informtico4. Acceso no autorizado5. Interceptacin no autorizada y6. Reproduccin no autorizada de un programa de computadora protegido.Posteriormente, la Comisin Poltica de Informacin Computadoras y Comunicacin rrecomend que se instituyesen protecciones penales contra otros usos indebidos.Se trataba de una lista optativa o facultativa, que inclua entre otros aspectos, los siguientes:1. Espionaje informtico2. Utilizacin no autorizada de una computadora3. Utilizacin no autorizada de un programa de computadora protegido4. Robo de secretos comerciales y5. Acceso o empleo no autorizado de sistemas de computadoras.Adicionalmente, el Comit Especial de Expertos en Delitos Informticos, adscritos al Comit Eutopeo para los problemas de la Delincuencia, se dedic a examinar temas como:La proteccin de la esfera personalLas VictimasLa posibilidad de prevencinProcedimiento (investigacin y confiscacin internacional de bancos de datos y la cooperacin internacional en la investigacin y represin del delito informtico)

De igual manera, la Organizacin de las Naciones Unidas (ONU), en elManual de la ONU para la Prevencin y Control de Delitos Informticos seala, cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y las insuficiencias, por cuanto los delitos informtico constituyen una nueva forma de crimen transnacional y su combate requiere de una eficaz cooperacin internacional.

Otra organizacin internacional que se dedic a tratar este aspecto de la seguridad informtica, es la Asociacin Internacional de Derecho Penal, queadopt diversas recomendaciones respecto a los delitos informticos. En la medida en que el derecho penal tradicional no sea suficiente, deber promoverse la modificacin de la definicin de los delitos existentes o la creacin de otros nuevos.

Seala como delitos, entre otras:1. El trfico con contraseas informticas obtenidas por medios inapropiados2. Distribucin de virus o de programas similaresLa Organizacin de Estados Americanos (OEA), entre las eestrategias de seguridad ciberntica, demostr la gravedad de las amenazas a la seguridad ciberntica de los sistemas de informacin, las infraestructuras esenciales y las economas en todo el mundo.

En el contexto internacional, Quintero establece que los pases que cuentan con una legislacin apropiada. Son: Chile, Gran Bretaa, Estados Unidos, Francia, Espaa, Alemania, China, Holanda y Austria

Inglaterra.Debido a un caso de hacking en 1991, comenz a regir en este pas la Ley de Abusos Informticos. Mediante esta ley el intento, exitoso o no, de alterar datos informticos, es penado con hasta cinco aos de prisin o multas

China. Toda persona implicada en actividades de espionaje, que robe, descubra, compre o divulgue secretos de Estado desde la red, podr ser condenada con penas que van de10 aos de prisin hasta la muerte.

Holanda. Entrar en una computadora en la cual no se tiene acceso legal ya es delito y puede ser castigado hasta con seis meses de crcel. Cambiar, agregar o borrar datos puede ser penalizado hasta con dos aos de prisin pero, si se hizo va remota aumenta a cuatro. Copiar archivos de la mquina hackeada o procesar datos en ella tambin conlleva un castigo de cuatro aos en la crcel. El dao a la informacin o a un sistema de comunicaciones puede ser castigado con crcel de seis meses a quince aos.

Entre los casos ms famosos de delitos informticos, se destacan los siguientes:

John William Racine II, culpable de redireccionar el trfico de la web de Al-Jazeera a la suya propia, donde se poda ver una bandera estadounidense. El fiscal ha pedido tres aos de libertad vigilada y mil horas de servicio a la comunidad.

Helen Carrha sido declarada tambin culpable por simular correos de America On Line y enviarlos a sus clientes, pidindoles la actualizacin de sus datos de tarjeta de crdito (esto es conocido como phishing).

Vladimir Levin. Fue condenado por ingresar a los centros de cmputos de algunos bancos efectuando transferencias de fondos a su favor por aprox USA$ 2.8 millones.En 1995 fue arrestado por la Interpol, en el aeropuerto de Heathrow, Inglaterra, y luego extraditado a USA. Desde su PC instalada en San Petersburgo, irrumpi en las cuentas del Citibank NY y transfiri los fondos a cuentas en Finlandia, Israel y en el Bank of Amrica de San Francisco.

Alexei Lashmanov(Ayudante deLevin), fue condenado a 5 aos de prisin y a pagar USA$ 250.000 de multa por efectuar transferencias entre bancos estadounidenses, de Finlandia e Israel. Estosconspiradores haban obtenido accesos no autorizados al Sistema de Administracin de Dinero en Efectivo del Citibank, en New Jersey, el cual permite a sus clientes acceder a una red de computadoras y transferir fondos a cuentas de otras instituciones financieras (realizaron un total de 40 transferencias ilegales de dinero)

De los 20 mil casos recolectados por la divisin del FBI encargada de fraudes informticos en 6 meses, el 64 % de las denuncias corresponden a subastas on line, otro 22 % a mercadera o dinero no enviado y apenas un 5 % al fraude de tarjetas de crdito.

Hasta ahora el caso ms importante de fraude detectado sucedi en abril de 2004, durante una transaccin que implic la venta de monedas de plata y oro por un valor cercano al medio milln de dlares.

BIBLIOGRAFIA

AcurioS. (2006)Delitos InformticosConstitucin de la Repblica Bolivariana de Venezuela (2010) Publicado en Gaceta Oficial 5453 de fecha 24 de marzo 2000.

FonsecaA.(S/F)ArticuloAuditoria Forense aplicada a la TecnologaLey Epecial Contra Delitos Informticos (2001) Publicado en Gaceta Oficial 37.313 de fecha 30 de octubre 2001

Quintero R(S/F)Articulo Delitos InformticosSaellas (S/F) ArticuloDelitos Informticos ciberterrorismoTelles J Derecho Informticohttp://www.oas.org/juridico/spanish/docu6.htmwww.oas.org/eswww.suscerte.gob.ve/index.php/es/seguridad-de-la-informacion/cenifwww.gobiernoenlinea.ve/legislacion-view/view/ver_legislacion.pag

Evaluacin de riesgoEs uno de los pasos que se utiliza en un proceso degestin de riesgos. ElriesgoRse evala mediante lamedicinde los dos parmetros que lo determinan, la magnitud de la prdida o dao posibleL, y la probabilidadpque dicha prdida o dao llegue a ocurrir.ExplicacinLa evaluacin de riesgo es probablemente el paso ms importante en un proceso de gestin de riesgos, y tambin el paso ms difcil y con mayor posibilidad de cometer errores. Una vez que los riesgos han sido identificados y evaluados, los pasos subsiguientes para prevenir que ellos ocurran, protegerse contra ellos o mitigar sus consecuencias son mucho ms programticos.

Parte de la dificultad en la gestin de riesgos es que la medicin de los dos parmetros que determinan el riesgo es muy difcil, por lo cual se dice que es un proceso subjetivo. La incertidumbre asociada a la medicin de cada uno de los dos parmetros (L y p) es por lo general grande. La gestin de riesgo tambin sera ms simple si fuera posible contar con una nica mtrica que refleje en la medicin toda la informacin disponible. Sin embargo esto no es posible, ya que se trata de medir dos cantidades. Un riesgo con gran magnitud de perdida o dao y una baja probabilidad de ocurrencia debe ser tratado en forma distinta que un riesgo con una reducida magnitud de perdida o dao y una alta probabilidad de ocurrencia. En teora los dos riesgos indicados poseen una idntica prioridad para su tratamiento, pero en la prctica es bastante difcil gestionarlos cuando se hace frente a limitaciones en los recursos disponibles, especialmente tiempo para llevar a cabo el proceso de gestin de riesgo.

Matemticamente se expresa:

En el campo de las decisiones financieras, tales como seguros, las prdidas por lo general se expresan como cantidades de dinero. Cuando la evaluacin de riesgos se utiliza para decisiones relacionadas con la salud pblica o el medio ambiente, existen diferentes opiniones sobre si la prdida debe ser cuantificada en dinero o alguna medida numrica asociada a la calidad de vida. Por lo general en el campo de las decisiones en temas de salud pblica o medio ambiente, el trmino de prdida se expresa como una descripcin del resultado o dao causado, como por ejemplo el incremento en la frecuencia de cncer o de defectos genticos en los nacimientos. En dicho caso, el "riesgo" se expresa como: 2 una y dos

Si la evaluacin de riesgos toma en cuenta informacin relacionada con la cantidad de personas expuestas, entonces se lo denominariesgo colectivoy se expresa en unidades de aumento esperado de casos durante un dado perodo. Si la evaluacin de riesgos no tiene en cuenta la cantidad de individuos expuestos, entonces se habla deriesgo individualy el mismo se expresa en unidades de probabilidad de ocurrencia durante un dado perodo. Elriesgo colectivoes ms utilizado en anlisis de relaciones de costo-beneficio; mientras elriesgo individuales ms utilizado para evaluar si los riesgos a que son sometidos los individuos son "aceptables".

Evaluacin de riesgos en proyectos de ingenieraIdentificacin de riesgos en proyectos de ingenieraEl proceso de identificacin de riesgos inicialmente se enfoca en detectar cuales son las fuentes principales de riesgo. Para ello se pueden emplear distintas metodologas tales como: sesiones de discusin e intercambio de ideas entre los participantes en un proyecto, anlisis de datos histricos obtenidos durante la realizacin de proyectos de caractersticas similares, o listas de revisin de proyectos de ingeniera junto con revisiones por personal con experiencia especfica en este tipo de emprendimientos.

No es posible identificar absolutamente todos los riesgos posibles, y an si se pudiera sera de muy poca ayuda. Ni tampoco es posible saber si todos los riesgos conocidos han sido identificados; pero no es este el objetivo del proceso de identificacin de riesgos. Lo que en realidad se persigue es poder identificar las probables contribuciones al riesgo de un proyecto que tienen mayor impacto sobre el xito o no del proyecto y mayor probabilidad de ocurrencia.

Es conveniente para mayor claridad agrupar los riesgos en grupos de acuerdo por ejemplo a cual sea su origen o la entidad primariamente responsable por ellos. Por ejemplo: riesgos del dueo, riesgos del diseador, riesgos del entorno poltico, riesgos regulatorios, fuerza mayor, riesgos por subcontratistas.Identificacin de las consecuencias de los riesgosLuego se procede a tipificar las consecuencias que los riesgos identificados en el punto anterior tienen sobre el proyecto de ingeniera. Por ejemplo, un determinado riesgo: afecta el precio del proyecto?

Afecta la fecha de terminacin del proyecto?

Afecta la performance del producto final?

Afecta la calidad del producto final?

En el paso siguiente se toma la lista generada durante el proceso de identificacin de riesgos, y se procede a indicar cuales de los tipos de consecuencias corresponden con los diversos riesgos o eventos. Tambin se suele realizar una evaluacin cualitativa sobre la magnitud de dichas consecuencias o "daos", por ejemplo si el riesgo puede afectar la fecha de terminacin del proyecto estimar si dicho efecto origina una demora de un mes, varios meses o ms de seis meses.De esta forma es posible asignar algn ndice o nmero, por ejemplo, 1, 2 o 3.

Por ejemplo:

el ndice de magnitud de dao de 1, podra utilizarse para riesgos que: a) pueden afectar el costo en una cantidad que no supera 0.3% del costo total del proyecto, o hasta el 10% del costo de una subtarea; o b) significan una demora en la terminacin del proyecto que no excede el 3% del tiempo de duracin fijado para el proyecto, o la demora en la terminacin de una tarea en no ms del 10% del tiempo asignado a ella; o c) no afectan en forma significativa la performance especificada en el contrato; o d) no es probable produzca desvos de la calidad respecto a los niveles mnimos requeridos por contrato.

el ndice de magnitud de dao de 2, podra utilizarse para riesgos que: a) pueden afectar el precio en una cantidad que no supera 2% del costo total del proyecto, o b) significan una demora en la terminacin del proyecto que no excede el 10% del tiempo de duracin fijado para el proyecto, o c) afectan mnimamente la performance especificada en el contrato, o d) puede producir algn desvos de la calidad rpor debajo de los niveles mnimos requeridos por contrato.

el ndice de magnitud de dao de 3, podra utilizarse para riesgos que: a) pueden afectar el precio en una cantidad que puede superar el 3% del costo total del proyecto, o b) significan una demora en la terminacin del proyecto que puede exceder el 15% del tiempo de duracin fijado para el proyecto, o c) pueden afectar la performance especificada en el contrato al punto de comprometer garantas, o d) puede producir desvos de la calidad que requieran reparaciones costosas por encima de las provisiones para incertezas y contratiempos.

Nota: los porcentajes de impacto en costos o en el cronograma indicados se pueden fijar tomando en cuenta cuales son los mrgenes de incerteza que se tuvieron en cuenta en la determinacin de los costos totales del proyecto al planificarlo inicialmente y en el tiempo total previsto de ejecucin del proyecto; y si de incurrir en determinados riesgos es que se deben abonar multas o penalizaciones al dueo; o existen fondos de garanta comprometidos.

Estimacin de probabilidades de ocurrencia de daos u eventosEn el prximo paso se procede a ordenar los eventos segn una estimacin cualitativa de la probabilidad de ocurrencia. Para ello es til ordenarlos en grupos por ejemplo, si se toman 4 categoras podran ser:

1) eventos que existe cierta posibilidad de que puedan ocurrir.

2) eventos que no es probable que sucedan.

3) eventos que es sumamente improbable que sucedan.

4) eventos que es extremadamente poco probable que sucedan.

Prevencin de ocurrencia de eventos con riesgos adversosLuego de haber identificado aquellos eventos que pueden dar lugar a riesgos adversos y habiendo estimado la magnitud de los mismos, es conveniente analizar el diseo propuesto, las modalidades y mtodos constructivos seleccionados y los modos de operacin previstos, con la finalidad de investigar modificar algunas de las caractersticas del proyecto de manera que sea imposible se produzcan ciertos riesgos y sus consecuencias. Por ejemplo si uno de los riesgos identificados es que parte de las instalaciones se pueden inundar frente a una crecida de un ro ubicado en proximidades del proyecto, es posible modificar el diseo (por ejemplo construyendo el proyecto en otro sitio ms elevado), para que la inundacin se convierta en un suceso imposible.

Proteccin y mitigacin ante situaciones adversasTodo ser humano cuenta con alternativas propias de auto proteccin, que les permiten hacer uso de ellas cuando se encuentran en una situacin que los atemoriza, esto nos permite emplear tcnicas antes durante y despus de un evento adverso que nos ayudara a mitigar los riesgos existentes en una zona afectada. Con la puesta en marcha de los planes preconcebidos reduciremos a un porcentaje bastante considerable los efectos causados por los eventos adversos.

Estrategia de Seguridad

Para establecer una estrategia adecuada es conveniente pensar una poltica de proteccin en los distintos niveles que esta debe abarcar y que no son ni mas ni menos que los estudiados hasta aqu: Fsica, Lgica, Humana y la interaccin que existe entre estos factores.

En cada caso considerado, el plan de seguridad debe incluir una estrategia Proactiva y otra Reactiva(1).

LaEstrategia Proactiva(proteger y proceder) o de previsin de ataques es un conjunto de pasos que ayuda a reducir al mnimo la cantidad de puntos vulnerables existentes en las directivas de seguridad y a desarrollar planes de contingencia. La determinacin del dao que un ataque va a provocar en un sistema y las debilidades y puntos vulnerables explotados durante este ataque ayudar a desarrollar esta estrategia.

LaEstrategia Reactiva(perseguir y procesar) o estrategia posterior al ataque ayuda al personal de seguridad a evaluar el dao que ha causado el ataque, a repararlo o a implementar el plan de contingencia desarrollado en la estrategia Proactiva, a documentar y aprender de la experiencia, y a conseguir que las funciones comerciales se normalicen lo antes posible.

Con respecto a la postura que puede adoptarse ante los recursos compartidos:

Lo que no se permite expresamente est prohibido: significa que la organizacin proporciona una serie de servicios bien determinados y documentados, y cualquier otra cosa est prohibida.

Lo que no se prohbe expresamente est permitido: significa que, a menos que se indique expresamente que cierto servicio no est disponible, todos los dems s lo estarn.Tendencia de la seguridad microelectronica

Estas posturas constituyen la base de todas las dems polticas de seguridad y regulan los procedimientos puestos en marcha para implementarlas. Se dirigen a describir qu acciones se toleran y cules no.

Actualmente, y "gracias" a las, cada da ms repetitivas y eficaces, acciones que atentan contra los sistemas informticos los expertos se inclinan por recomendar la primera poltica mencionada.

La electrnica aplicada nunca dejar de sorprendernos por la manera eficaz en que nos entrega sistemticamente productos que solo caban en la imaginacin de los ms creativos y soadores, pero que hoy caben desde la palma de una mano hasta una ua, sin hablar de la nanotecnologa. Los avances de la micro electrnica y los circuitos integrados en miniatura estn dando resultados sorprendentes e inimaginados como estos dos que traemos a colacin.

Sharp, la reconocida multinacional de aparatos electrnicos, nos presentasu nuevo sintonizador de televisin con unas dimensiones nunca antes vistas, y que reducen drsticamemte cualquiera otro que se encuentre en el mercado. Segn el fabricante, el nmero de componentes internos se ha reducido de 300 a 80 aproximadamente, lo que da un indicador de lo que estamos hablando. La tecnologa que incorpora est lista para las sealesDVB-T, ATSC, ISDB-T/TB, DVB-T/T2 y CTTB, que son el estndar en Japn, Norte Amrica, China, Sudamrica y Europa.

Por otro lado la Universidad de Harvard, y sus investigadores cientficos,lograron crear un pulmn artificial minsculo de la mixtura entre materiales slidos inermes y vivos como microchips, clulas pulmonares humanas, vasos sanguneos y un trozo de plstico poroso. La nueva creacin tiene el funcionamiento de un pulmn normal, y adems permite a los investigadores observar por primera vez como se ejecuta la funcin respiratoria y de oxigenacin de la sangre. El tamao del dispositivo es el de un borrador de goma y sevir tambin, segn anotan desde la mismapgina de la Universidad, para hacer el diagnstico de enfermedades y uso de medicinas existentes y nueva