Política de Controles Criptográficos para acceso SSH, cifrado y certificados SSL/TLS

Esta política establece los controles criptográficos para garantizar la seguridad en el acceso a los servidores mediante SSH y la implementación de certificados SSL/TLS en Occentus Network. Los controles criptográficos aseguran la confidencialidad, integridad y autenticidad de las comunicaciones, protegiendo nuestros sistemas y la información confidencial.

Objeto

El objeto de esta política es establecer directrices claras sobre el uso de certificados criptográficos para el acceso seguro a los servidores a través de SSH, así como la implementación de soluciones de cifrado a los datos sensibles y de certificados SSL/TLS en nuestro sitio web. Además, se proporcionarán recomendaciones sobre el uso de Let’s Encrypt y su automatización.

Alcance

Esta política se aplica a todos los empleados, contratistas y terceros que acceden a los servidores de Occentus Network mediante SSH, así como a la implementación de certificados SSL/TLS desplegados en los servicios o sitios web.

Acceso SSH

  • El acceso a los servidores mediante SSH se realizará siempre utilizando claves públicas/privadas en lugar de contraseñas.
  • Se implementará un control de acceso basado en IP para limitar los intentos de conexión y evitar ataques de fuerza bruta.
  • Se establecerán reglas de firewall para permitir únicamente conexiones SSH desde direcciones IP autorizadas.

Si el cliente requiere el acceso mediante contraseña en lugar de pares de claves criptográficas robustas o que sean desactivadas otras de las medidas adicionales de seguridad, deberá solicitarlo expresamente, asumiendo de forma inequívoca la responsabilidad derivada de la merma de la seguridad.

Certificados SSL/TLS

Se implementarán certificados SSL/TLS en tanto en nuestro sitio web como aquellos servicios desplegados para nuestros clientes, con el objeto de cifrar las comunicaciones y garantizar la autenticidad del sitio.
Los certificados serán emitidos por una Autoridad de Certificación (CA) confiable y reconocida.
Se utilizarán certificados de tipo Extended Validation (EV) siempre que sea posible para aumentar la confianza del usuario en la autenticidad del sitio web o servicio.

Let’s Encrypt y Automatización

Let’s Encrypt ofrece una serie de ventajas técnicas y legales que lo convierten en una elección recomendada para la emisión de certificados SSL/TLS. Su automatización, rapidez, seguridad y compromiso con la privacidad y la comunidad hacen que sea una opción valiosa para garantizar la protección de los datos y la confianza de los usuarios en las comunicaciones en línea.

Ventajas más destacadas de los certificados Let’s Encrypt:

  • Emisión gratuita de certificados validados por la comunidad.
  • Renovación automatizada mediante el protocolo ACME (Automated Certificate Management Environment).
  • Soporte para el cifrado de clave pública (ECC) y algoritmos modernos de cifrado.

Puede encontrar más información en Certificados Let’s Encrypt

Certificados eIDAS

Cuando sea posible, recomendamos emplear certificados compatibles con el Reglamento eIDAS de la Unión Europea. Estos certificados se alinean con las normativas europeas y establecen un alto estándar para la identificación electrónica y la autenticación en un entorno digital cada vez más interconectado. Se emplearán de forma predeterminada certificados eIDAS para la identificación de las personas y la firma de documentos.

Puede encontrar más información en la documentación sobre los certificados compatibles con el Reglamento eIDAS

Cifrado de la información

Cuando sea necesario resguardar datos confidenciales, ya sean textos, contraseñas u otro tipo de fichero o información sensible, se recurrirá al cifrado AES-256. Este algoritmo, basado en una compleja serie de operaciones matemáticas que incluyen sustituciones, permutaciones y mezclas, brinda robustez y resistencia ante posibles ataques criptoanalíticos, consolidando así la seguridad de la información.

Redes privadas virtuales (VPN)

IPsec:

IPsec (Protocolo de Seguridad de Internet) es una tecnología de VPN más antigua que ha sido ampliamente utilizada para crear redes privadas virtuales. Aunque IPsec ha sido una solución VPN ampliamente utilizada durante muchos años, WireGuard presenta una serie de ventajas técnicas que lo hacen superior en términos de simplicidad, rendimiento, seguridad y escalabilidad. Por lo que siempre que sea posible, emplearemos WireGuard para las necesidades de seguridad y conectividad en redes virtuales privadas.

  • La configuración de VPN IPsec se realizará utilizando autenticación basada en claves precompartidas o certificados digitales, según sea apropiado.
  • Se implementarán algoritmos de cifrado seguros y hash para proteger la confidencialidad e integridad de los datos transmitidos.
  • Las claves de cifrado se administrarán siguiendo prácticas de gestión segura de claves y rotación periódica.

WireGuard

WireGuard es una tecnología de VPN que ha ganado popularidad debido a sus ventajas técnicas y de seguridad en comparación con otras soluciones tradicionales de VPN. Ofrece una combinación única de simplicidad, eficiencia y seguridad que lo distingue de las soluciones tradicionales de VPN por lo que preferiremos esta tecnología frente a otras menos eficientes y seguras. Su diseño moderno, implementación segura y enfoque en el rendimiento lo convierten en una excelente elección para asegurar las comunicaciones en línea y las redes privadas virtuales.

WireGuard utiliza Curve25519 para el intercambio de claves, ChaCha20 para la encriptación, Poly1305 para la autenticación de datos, SipHash para claves de hashtables y BLAKE2s para el hashing. Al emplear el cifrado autenticado ChaCha20-Poly1305 para la encapsulación de paquetes en UDP mejora drásticamente su eficiencia y resilencia.

La tecnología WireGuard ha sido incluida y descrita en el ANEXO D de la guía Guía de Seguridad de las TIC CCN-STIC-836. Puedes ver algunas de las razones por las cuales consideramos WireGuard superior en términos de seguridad y rendimiento en nuestra documentación de VPN Wireguard

  • Se utilizarán claves asimétricas para autenticación y se implementará enrutamiento de tráfico cifrado de manera segura.
  • Las políticas de firewall y filtrado se configurarán para permitir únicamente el tráfico VPN autorizado.

Algoritmos Criptográficos

Acceso SSH: Se recomienda el uso de algoritmos criptográficos fuertes para el intercambio de claves y la autenticación, como Diffie-Hellman (DH) o Elliptic Curve Diffie-Hellman (ECDH).
Certificados SSL/TLS: Se emplearán algoritmos criptográficos seguros para el cifrado y la autenticación, como RSA y ECC (Elliptic Curve Cryptography).

Características y Tamaño de las Claves Criptográficas

RSA (Rivest-Shamir-Adleman)

Algoritmo basado en la dificultad de factorización de números primos grandes.
Tamaño mínimo de clave recomendado: 4096 bits para un mayor nivel de seguridad.
Ofrece firmas digitales y cifrado seguros.

ECC (Elliptic Curve Cryptography)

Utiliza curvas elípticas para proporcionar seguridad con claves más cortas.
Se recomienda una longitud de clave de al menos 256 bits para garantizar la seguridad.
Eficiencia en recursos y ancho de banda.

Curve25519 ( Intercambio de Claves de Curva Elíptica)

Curve25519 se basa en la criptografía de curva elíptica, que aprovecha las propiedades matemáticas de las curvas elípticas para permitir un intercambio seguro de claves con longitudes más cortas. Ofrece propiedades matemáticas que garantizan una difusión uniforme en los bits de la clave pública generada. Además, sus operaciones matemáticas son eficientes en términos de recursos, lo que lo hace adecuado para su uso en sistemas con limitaciones de potencia y capacidad de cálculo.

El número «25519» se refiere a la longitud del módulo (p) en bits. La elección de 255 bits ofrece un equilibrio entre seguridad y eficiencia, ya que proporciona una resistencia sólida a los ataques y permite cálculos más rápidos en comparación con longitudes de clave más largas.

ChaCha20-Poly1305 (Algoritmo de Cifrado de Flujo)

Es un algoritmo de cifrado de flujo que genera una secuencia de bytes pseudoaleatoria, conocida como flujo, que luego se combina con los datos originales mediante una operación XOR. Ha demostrado ser altamente seguro y resistente a diversos ataques criptográficos. Además, su diseño y operaciones simples permiten una implementación eficiente en hardware y software.

ChaCha20-Poly1305 es un cifrado autenticado con un algoritmo de datos adicional que combina el cifrado de flujo ChaCha20 con el código de autenticación de mensajes Poly1305

Cifrado AES-256

El cifrado AES-256, o Advanced Encryption Standard con una clave de 256 bits, es un algoritmo criptográfico simétrico ampliamente adoptado en aplicaciones de seguridad de datos. Su proceso de cifrado se inicia con la generación de una clave secreta de 256 bits, que sirve como el fundamento de su robusta seguridad. Los datos a proteger se dividen en bloques de 128 bits y se someten a un cifrado que comprende 14 rondas de transformaciones criptográficas. Estas operaciones incluyen sustituciones no lineales (S-boxes), permutaciones (shiftrows), y operaciones de mezcla (mixcolumns), que se ejecutan en función de subclaves derivadas de la clave original. AES-256 es altamente resistente a ataques de fuerza bruta gracias a la longitud de su clave y es una elección común para salvaguardar información confidencial en diversos contextos, desde comunicaciones seguras hasta almacenamiento de datos.

Este algoritmo de cifrado se adapta a diferentes modos de operación, como ECB (Electronic Codebook), CBC (Cipher Block Chaining) y CFB (Cipher Feedback), según los requisitos específicos de seguridad y eficiencia de una aplicación.

Revisión y Actualización

Esta política será revisada y actualizada periódicamente para garantizar su coherencia con las mejores prácticas y estándares de seguridad.

Contacto

Para preguntas o aclaraciones sobre esta política, comuníquese con nuestro personal de soporte.

Artículos relacionados