¿Cuál es la diferencia entre autenticación y autorización?

La autenticación establece quién es una parte (verificando la identidad, por ejemplo, mediante una contraseña o clave). La autorización decide qué se le permite hacer a una parte autenticada (sus permisos). Un sistema debe hacer ambas cosas: confirmar la identidad y luego hacer cumplir los derechos de acceso.

¿Es suficiente una criptografía fuerte para asegurar un sistema?

No. La criptografía es necesaria pero no suficiente. La mayoría de las brechas reales explotan contraseñas débiles, configuraciones incorrectas, software sin parches, phishing o una mala gestión de claves, en lugar de romper la criptografía en sí, por lo que la ingeniería y las operaciones seguras son tan importantes como los algoritmos.

Seguridad de Sistemas y Redes

La seguridad de sistemas y redes aplica técnicas criptográficas y de ingeniería para proteger computadoras, redes y los datos que fluyen entre ellas contra la escucha, la manipulación, la suplantación de identidad y el acceso no autorizado.

Encontrar tema con PaperMindPróximamenteFind papers & topics

Tools & resources

Descargar diapositivas

Learn & explore

VídeoPróximamente

Definition

La seguridad de sistemas y redes es la disciplina de proteger la confidencialidad, integridad y disponibilidad de los sistemas informáticos y las redes que los conectan, combinando criptografía, control de acceso y prácticas de ingeniería segura.

Scope

Esta área abarca la defensa práctica de la infraestructura implementada: asegurar la comunicación de red, autenticar usuarios y máquinas, controlar el acceso, distribuir la confianza a través de la infraestructura de clave pública y construir canales seguros como TLS. Aborda cómo se ensamblan las primitivas criptográficas en protocolos reales y cómo los principios de seguridad (privilegio mínimo, defensa en profundidad) guían el diseño del sistema. Excluye el diseño de las primitivas criptográficas subyacentes y el análisis de vulnerabilidades a nivel de software, que se tratan en áreas relacionadas.

Sub-topics

Core questions

¿Cómo se protegen los datos cuando atraviesan redes no confiables?
¿Cómo se autentican de forma fiable los usuarios y las máquinas, y cómo se controla su acceso?
¿Cómo se establece y gestiona la confianza en las claves públicas a escala?
¿Qué principios de seguridad guían el diseño de sistemas fiables?
¿Cómo se equilibran la confidencialidad, la integridad y la disponibilidad con la usabilidad y el rendimiento?

Key concepts

confidencialidad, integridad, disponibilidad
privilegio mínimo
defensa en profundidad
autenticación y autorización
control de acceso
infraestructura de clave pública
canales seguros (TLS)
modelado de amenazas
perímetro y segmentación de red

Key theories

Principios de diseño de Saltzer y Schroeder: Los principios clásicos para el diseño de sistemas seguros —privilegio mínimo, valores predeterminados a prueba de fallos, economía de mecanismos, mediación completa, diseño abierto, separación de privilegios— siguen siendo la base de la ingeniería de seguridad.
La tríada CIA y la defensa en profundidad: Los objetivos de seguridad se enmarcan como confidencialidad, integridad y disponibilidad; los sistemas robustos superponen múltiples controles independientes (defensa en profundidad) para que la falla de un mecanismo no comprometa el conjunto.

Clinical relevance

La seguridad de sistemas y redes es lo que mantiene el internet utilizable: TLS protege el tráfico web y de API, las VPN y IPsec aseguran el acceso remoto, las autoridades de certificación y PKI permiten que las máquinas de extraños confíen entre sí, y los sistemas de control de acceso protegen desde consolas en la nube hasta registros hospitalarios. Las fallas en este ámbito provocan las filtraciones de datos, los incidentes de ransomware y los compromisos de la cadena de suministro que dominan las noticias de seguridad.

Evidence & guidelines

La práctica se rige por marcos y estándares: el Marco de Ciberseguridad del NIST y la serie SP 800, ISO/IEC 27001, las bases de conocimiento OWASP y MITRE ATT&CK, y los RFC de protocolos. Las arquitecturas de confianza cero (NIST SP 800-207) reemplazan cada vez más los modelos basados únicamente en el perímetro, y los regímenes regulatorios (GDPR, HIPAA, PCI-DSS) imponen requisitos de seguridad en sectores específicos.

History

La seguridad de redes creció con el propio internet: el gusano Morris (1988) demostró una vulnerabilidad sistémica, los firewalls y la detección de intrusiones surgieron en la década de 1990, y SSL/TLS (desde 1995) aseguró la web. Los principios de Saltzer y Schroeder de 1975 siguen siendo el ancla del campo. A medida que los perímetros se disolvieron con la computación en la nube y móvil, la disciplina se orientó hacia modelos centrados en la identidad y de confianza cero.

Key figures

Roger Needham
Ross Anderson
Jerome Saltzer
Michael Schroeder
Whitfield Diffie

Seminal works

anderson2020
saltzer1975
stallings2017

Frequently asked questions

¿Cuál es la diferencia entre autenticación y autorización?: La autenticación establece quién es una parte (verificando la identidad, por ejemplo, mediante una contraseña o clave). La autorización decide qué se le permite hacer a una parte autenticada (sus permisos). Un sistema debe hacer ambas cosas: confirmar la identidad y luego hacer cumplir los derechos de acceso.
¿Es suficiente una criptografía fuerte para asegurar un sistema?: No. La criptografía es necesaria pero no suficiente. La mayoría de las brechas reales explotan contraseñas débiles, configuraciones incorrectas, software sin parches, phishing o una mala gestión de claves, en lugar de romper la criptografía en sí, por lo que la ingeniería y las operaciones seguras son tan importantes como los algoritmos.