Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Caso prctico
Hoy Juan ha acudido a una feria de muestras, para promocionar su empresa, se ha llevado con l a Mara
para que conozca un poco ms del sector. Despus de ver varios expositores ha descubierto que la
competencia hace mucha publicidad de los sistemas informticos que utilizan en sus instalaciones.
Has visto que todos hablan de sus instalaciones informticas?
S, pero veo que casi ninguno hace referencia a que su sistema sea seguro.
Seguro? Qu tiene que ver la informtica con la seguridad?
Mucho, es muy importante que un sistema sea seguro y est preparado contra cualquier ataque.
Ataque de quin? Qu es lo que se puede hacer?
Te voy a contar todo lo que podemos hacer contra los intrusos informticos!
Intrusos?
S, personas que se dedican a intentar asaltar los equipos informticos de otros para aprovecharse de ellos.
Lo que nos faltaba!
No te preocupes Juan, he estado analizando los ataques que podemos sufrir y las medidas para
contrarrestarlos. Adems, tener una red segura nos har ser ms competitivos y tendremos ms confianza
por parte de nuestros clientes.
Mejorar nuestra imagen y nuestra seguridad al tiempo?
Claro, imagnate que nuestros clientes descubrieran que nuestro sistema informtico permite que alguien
pueda sacar informacin desde Internet, por ejemplo, sus datos personales.
Cuando volvamos a la oficina, me cuentas todo eso de las medidas para contrarrestar los ataques, ahora
vamos a acabar de ver las novedades que hay por aqu.
A nosotros nos deben preocupar sobre todo los ataques en los que intenten robarnos contraseas.
Sobre todo las de las cuentas bancarias.
Por eso no debes contestar nunca a un correo sospechoso.
Ya, ya...
Tambin debemos evitar ataques que intenten manipular nuestra base de datos.
Pueden hacerlo?
S, imagnate que nuestra competencia fuera capaz de visualizar todo lo que tenemos registrado.
No tena ni idea de que se pudiera hacer esto.
Antes de ensear a Juan como evitar los ataques, Mara describir de manera sencilla la anatoma de los
ataques y pasar despus a contarle cuales son las herramientas preventivas y paliativas que se pueden
utilizar.
Esto es como ser un mdico, antes de enfermar hay que prevenir y si se ha enfermado, habr que curar lo
antes posible.
Ya lo veo!
La seguridad informtica es un proceso en el que intervienen todos los activos de un sistema informtico.
Dependiendo de la manera de tratar a estos activos se puede hacer una clasificacin de la seguridad como:
Fsica o lgica.
Activa o pasiva.
Diferenciar entre seguridad fsica y seguridad lgica es relativamente sencillo, si se piensa en la parte
hardware (fsica) y la parte software (lgica) del sistema. En cuanto a la seguridad activa o pasiva, se dice
que se emplean mecanismos de seguridad activa cuando estos tienen como objetivo evitar daos en el
sistema, y son de seguridad pasiva cuando dichos mecanismos se emplean para minimizar los daos
causados por un incidente de seguridad.
El objetivo de la seguridad de un sistema (y para los informticos tambin) es que el sistema permanezca en
condiciones ptimas, no sufra ataques y si se llevan a cabo dichos ataques, minimizar los daos y reconstruir
el sistema lo antes posible.
Un ataque en un sistema informtico es la materializacin de una amenaza. Siempre que haya amenazas, el
sistema es vulnerable. Los mecanismos de seguridad activa tienen como objetivo proteger al sistema contra
los ataques para conseguir que el sistema sea lo ms seguro posible (invulnerable).
Prevenir un ataque es una medida de seguridad activa y minimizar los daos producidos por un ataque es
una medida de seguridad pasiva.
Un ataque informtico es cualquier accin que tiene como finalidad desestabilizar el funcionamiento de un
sistema informtico, para ello se aprovecha de cualquier vulnerabilidad en alguno de sus activos (hardware,
software, datos o personas). Para anular los ataques se utilizan las contramedidas.
El que no aparezcan los caracteres de una contrasea cuando se escribe es una contramedida contra un
posible ataque para descubrirla cuando la estamos tecleando.
Autoevaluacin
La diferencia entre seguridad activa y pasiva es que:
La activa se emplea para evitar daos y la pasiva para minimizarlos.
Correcto. La seguridad activa previene y la pasiva pala
Activos.
Pasivos.
Los ataques pasivos no producen cambios, se limitan a extraer informacin y en la mayora de los casos el
afectado no percibe el ataque.
Los ataques activos producen cambios en el sistema. Si se profundiza ms en los tipos de ataques nos
podremos encontrar una gran variedad de ellos.
Reconocimiento de sistemas.
Aprovechamiento de las vulnerabilidades del sistema.
Robo de informacin por interceptacin de mensajes.
Suplantacin de identidad.
Modificacin del trfico y las tablas de enrutamiento.
Cross-site Scripting.
Inyeccin de cdigo SQL.
Contra usuarios y contraseas.
Autoevaluacin
Un ataque se clasifica como activo o pasivo:
Tomando como criterio el efecto que produce en el sistema.
Es activo si produce cambios en el sistema y pasivo si no los produce.
Reconocimiento de sistema.
Los ataques de reconocimiento de sistemas no provocan un dao apreciable, y su objetivo principal es la
obtencin de informacin del sistema. Una de las tcnicas empleadas es el escaneo de puertos, con este
ataque se puede ver que servicios se ofrecen en nuestro equipo, los puertos activos y las aplicaciones que se
estn ejecutando, toda esta informacin es muy valiosa para un atacante. Para realizar un escaneo de puertos
existen muchas aplicaciones, muchas de ellas disponibles on-line.
A parte del escaneo de puertos existen otras tcnicas que permiten extraer informacin de un sistema, un
ejemplo es whois. Con esta herramienta se pueden conocer datos a partir de una URL o una direccin IP.
Interceptacin de mensajes.
Otro tipo de ataque es el constituido por los robos de informacin por interceptacin de mensajes.
La interceptacin de mensajes es un tipo de ataque que tiene como objetivo el robo de informacin, no se
puede hacer mucho para impedir la interceptacin porque cualquiera puede interceptar cualquier dato que se
enve a travs de Internet, puesto que es una red pblica, pero lo que es ms difcil es interpretar lo que se
intercepta.
Un correo electrnico no tiene garantas de privacidad, puede ser interceptado en cualquier punto de
su viaje a travs de Internet.
Es necesario encriptar toda la informacin que se enve por correo electrnico y considere vital su
privacidad.
Los servidores de correo pueden guardar copias de todos los correos que se enven, por lo que
cualquiera que tenga acceso a dichos servidores podr acceder a dichos correos.
Una solucin es encriptar dicho correo, por ejemplo, con PGP y S\MIME. Tanto PGP y S\MIME se utilizan
para cifrar solamente el contenido del mensaje, dejando sin proteccin encabezados de los mensajes. PGP
utiliza dos claves, una pblica y otra privada. Tanto el emisor como el receptor debern compartir una clave
pblica, adems, cada uno de ellos (emisor y receptor) tendrn una clave privada que utilizarn junto a la
clave pblica para poder encriptar y desencriptar la informacin.
Suplantacin de la identidad I.
La suplantacin de la identidad es otro tipo de ataque en el que:
El IP Spoofing consiste en sustituir la direccin IP origen de un paquete TCP/IP por otra direccin IP. Esto
se consigue mediante aplicaciones diseadas especficamente para este propsito. Una de estas herramientas
es nmap.
Sitio oficial de nmap
Con la siguiente orden ejecutada desde la shell de Linux, se falsea la direccin 10.0.2.15 con la 10.0.2.3 para
la interfaz eth0.
root@linux-vbox:/home/tomas# nmap -e eth0 -S 10.0.2.3 10.0.2.15
Si se falsea la IP en una consulta DNS, el proceso se denomina DNS Spoofing, se asigna una direccin falsa
a un nombre DNS o viceversa. El atacante consigue llevar a la vctima a una direccin no deseada.
Utilizando la herramienta ettercap se puede hacer una simulacin de un ataque DNS Spoofing. Los pasos
siguientes realizados en una instalacin de Linux Ubuntu, consiguen redireccionar la direccin URL a la IP
que se ponga como destino.
Sitio oficial de ettercap
Parmetros utilizados:
-T
-q
-i
-P
-M
//
text mode
quiet
interface
dns_spoof: plugin + el nombre del plugin (dns_spoof de ettercap)
arp: ManInTheMiddle ARP
// : Todas las maquinas de la red
Con el SMTP Spoofing se falsifica el origen los mensajes, cualquier servidor de correo que acepte
conexiones en el puerto 25 est expuesto a este tipo de ataques. La consecuencia es que alguien puede estar
enviando correos electrnicos desde una cuenta ajena. Uno de los indicios de haber sufrido un ataque de este
tipo es recibir correos que parecen venir de uno mismo. En algunos casos, lo que ocurre no es spoofing a
travs de un servidor SMTP, sino que alguien accede a la cuenta de correo y a los correos como si fuera el
dueo legtimo de dicha cuenta.
Se puede enviar un correo simulando ser otro usuario siguiendo los siguientes pasos:
Conectarse mediante telnet por el puerto 25, al servidor de correo donde est alojada una cuenta
legtima.
o
telnet correo.dominio 25
bancaria, en este correo se requieren las claves o nmero de la cuenta bancaria para poder actualizarlas o
algo parecido.
En la imagen se ve un mensaje tpico empleado en las tcnicas de phising.
Si el usuario ejecuta el hipervnculo "Clique Aqu", no sabr que le espera y lo ms seguro es que acceda a
un sitio con una apariencia similar a la que utiliza habitualmente, donde se le requerirn datos confidenciales
que permitirn al atacante causarle un dao econmico.
Autoevaluacin
Falsear una IP se utiliza siempre que:
Se produzca IP Spoofing o un DNS Spoofing.
Si se falsea la IP en la consulta DNS se puede producir DNS Spoofing.
Tambin en:
root@linux-vbox:/proc/sys/net/ipv4/conf/eth0/accept_redirects
root@linux-vbox:/proc/sys/net/ipv4/conf/eth0/secure_redirects
Para poder enviar mensajes ICMP Redirect se puede emplear la herramienta hping. Esta herramienta tiene
muchos parmetros que se pueden consultar con la ayuda en lnea.
root@linux-vbox:/# hping2 h
Enva un paquete ICMP Redirect, al host 192.168.1.5, para ste, el emisor ser 192.168.1.3. Con esta
sentencia se le indica que para poder llegar al 195.235.113.3 debe pasar antes por el 192.168.1.254.
Cross-site scripting.
Es un tipo de ataque, tambin denominado XSS, que se produce cuando se ejecutan scripts diseados en
lenguajes como VBS y JavaScript en pginas web. Se producen sobre todo cuando se envan cadenas de
texto entre formularios de pginas web dinmicas.
Si en el cdigo de una pgina web tenemos escrito:
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="content-type">
<title>cross-site</title>
</head>
<body>
Hola
esta página contiene un script que os saluda.
<script>alert('Hola mi nombre es Toms Fernndez Escudero')</script><br>
</body>
</html>
Autoevaluacin
La modificacin de las tablas de enrutamiento es un tipo de ataque que:
Se produce en cualquier dispositivo que sea enrutable.
Cualquier dispositivo que tenga una tabla de enrutamiento puede ser atacado modificndose dicha tabla.
Estas variables son utilizadas dentro de una sentencia SQL que realiza una bsqueda en una tabla
denominada usuarios.
$sql="SELECT * FROM usuarios WHERE usuario='$usuario' AND password='$password'";
$result=mysql_query($sql);
Existe un agujero de seguridad en este cdigo si se introducen como valores del campo usuario y el campo
password: ' OR '1'='1.
La expresin de SQL quedara de la siguiente manera:
"SELECT Count(*) FROM Usuarios WHERE Usuario = ' ' or '1'='1' AND password = ' ' or
'1'='1'"
La expresin se evala como cierta, la variable $sql se llenar con un usuario con privilegios de conexin y
accederemos sin problemas al sistema.
Fuerza bruta.
Diccionario.
Un ataque por fuerza bruta utiliza todas las combinaciones posibles hasta encontrar la correcta. Es decir, si
una clave fuera un nmero entero positivo de 3 cifras, un ataque por fuerza bruta probara todas las
combinaciones entre 000 y 999.
Existen muchas herramientas diseadas para realizar ataques por fuerza bruta, sobre todo, destinadas a
descubrir las claves de acceso a redes inalmbricas. Pero en realidad, estas herramientas combinan la fuerza
bruta con la tcnica de diccionario. Los ataques basados en diccionario, prueban todas las combinaciones
posibles de un archivo (el diccionario). La herramienta medusa se puede instalar en Linux.
root@linux-vbox:/# aptitude install medusa
La herramienta medusa buscar las contraseas posibles para el usuario tomas del localhost, las posibles
contraseas se encontrarn en el archivo de texto pasaporte (el diccionario). El resultado de la orden es el
que se muestra en la figura:
En la imagen se puede ver como el root del sistema ha ejecutado el programa medusa y con l ha
descubierto que la contrasea para el usuario tomas es 123456, para ello, se ha ayudado de un fichero
denominado pasaporte.txt que contiene posibles claves. Tambin se puede apreciar la bsqueda que ha
hecho entre las posibles contraseas del fichero pasaporte.txt hasta que encuentra la solucin correcta.
Este tipo de herramientas basan su xito en la cantidad de combinaciones que tenga el diccionario. Los
diccionarios empleados en estos ataques se pueden descargar de Internet, donde hay sitios en los que
clasifican los diccionarios dependiendo del tipo de clave que se quiera desencriptar (WEP, WPA, router,
servidores, etc...).
La herramienta medusa buscar las contraseas posibles para el usuario tomas del localhost, las posibles
contraseas se encontrarn en el archivo de texto pasaporte (el diccionario). El resultado de la orden es el
que se muestra en la figura:
En la imagen se puede ver como el root del sistema ha ejecutado el programa medusa y con l ha
descubierto que la contrasea para el usuario tomas es 123456, para ello, se ha ayudado de un fichero
denominado pasaporte.txt que contiene posibles claves. Tambin se puede apreciar la bsqueda que ha
hecho entre las posibles contraseas del fichero pasaporte.txt hasta que encuentra la solucin correcta.
Este tipo de herramientas basan su xito en la cantidad de combinaciones que tenga el diccionario. Los
diccionarios empleados en estos ataques se pueden descargar de Internet, donde hay sitios en los que
clasifican los diccionarios dependiendo del tipo de clave que se quiera desencriptar (WEP, WPA, router,
servidores, etc...).
En un diccionario se encuentran palabras comunes (muy inseguras) que a veces se utilizan como claves.
luna
sol
123456
1111111
password
admin
La vulnerabilidad ante este tipo de ataques reside en la debilidad de las claves y en dejar agujeros en el
sistema que permitan que se ejecuten herramientas capaces de descubrir dichas claves por una combinacin
de fuerza bruta y diccionario.
Reconocimiento.
Exploracin.
Acceso.
Mantenimiento del acceso.
Borrado de huellas.
La fase de reconocimiento es la encargada de recopilar informacin sobre el usuario que va a ser objeto del
ataque, en esta parte son tpicas las tcnicas de ingeniera social y las bsquedas avanzadas en Internet.
Una vez que se conocen datos del usuario, se pasa a la segunda fase en la que se realiza una exploracin o
escaneo del sistema, se utilizan sniffers, escaneo de puertos o cualquier herramienta que nos muestre las
debilidades del sistema objetivo. En esta fase se intentan encontrar direcciones IP o nombres DNS de la
vctima, as como posibles puertos abiertos o aplicaciones ms usadas.
La tercera fase es la fase del acceso, aqu es donde comienza el ataque propiamente dicho, se accede al
sistema despus de haber crackeado o robado las contraseas, o se accede a un recurso compartido del
sistema sin autorizacin o se efecta un DoS.
La siguiente fase consiste en afianzar el acceso, es decir, conseguir que el acceso se pueda repetir en
cualquier otra circunstancia. Para ello, se entra en el sistema y se modifican privilegios o se crean nuevas
vulnerabilidades que permitan un acceso posterior. Es tpico de esta fase la instalacin de backdoors y
troyanos.
Por ltimo, la fase de borrado de huellas, aqu es donde el intruso trata de borrar cualquier rastro que haya
dejado en los accesos no permitidos, se limpian en la medida de lo posible, los ficheros log y las alarmas del
sistema.
Autoevaluacin
Una aplicacin que realice un ataque por fuerza bruta para descubrir la contrasea de un usuario:
Para que tenga xito, primero se debe poder acceder al sistema.
Es necesario poder acceder al sistema y poder ejecutar la aplicacin con privilegios suficientes.
Esttico.
Dinmico.
El anlisis esttico consiste en analizar el cdigo lnea a lnea, instruccin a instruccin y determinar si son
maliciosas o no, pero sin ejecutar el software. Generalmente se analiza a muy bajo nivel y por lo tanto deben
ser grandes especialistas los que lo realicen. En la mayora de los casos solamente se dispone del archivo
ejecutable, sin el cdigo fuente, por tanto, analizarlo supone una labor muy compleja.
Instalacin de antivirus.
Configuracin adecuada de cortafuegos.
Encriptacin de la informacin.
Instalacin de herramientas de deteccin de intrusos.
Utilizacin segura de entornos vulnerables.
En el mercado existen muchas herramientas que cumplen con la mayora de las tareas ofreciendo soluciones
muy completas.
La herramienta ms utilizada es el antivirus, todos los antivirus los podemos descargar de Internet y
muchos de ellos de manera gratuita, con versiones para todas las plataformas, incluso Linux.
Siempre se ha tenido la creencia de que no existan virus para sistemas operativos diferentes a los diseados
por Microsoft; esto es falso. La nica razn por la que la mayora de los virus se han diseado para sistemas
fabricados por Microsoft es que los diseadores de malware no estaban interesados en ello.
Actualmente y debido al auge de sistemas como Linux, comienzan a aparecer virus para otras plataformas y
en consecuencia herramientas para contrarrestarlos.
Las siguientes lneas de cdigo instalaran un antivirus en una distribucin de Linux Ubuntu denominado
ClamAV.
root@linux-vbox:/home/tomas# apt-get install clamav
root@linux-vbox:/home/tomas# apt-get install klamav
root@linux-vbox:/home/tomas# apt-get install clamatk
Las dos ltimas lneas instalan los paquetes necesarios para poder utilizar el antivirus de manera grfica.
En la imagen se puede ver el aspecto que tendra el interfaz grfico para gnome en Linux Ubuntu del
antivirus ClamAV.
La utilizacin, como en todos los antivirus comerciales, es muy intuitiva a travs de iconos y mens muy
explicativos.
Cortafuegos y encriptacin.
En cuanto a la configuracin del cortafuegos en los sistemas, se debe hacer segn las necesidades de cada
usuario y pensando en que cuantas ms aplicaciones se permitan a travs de l ms peligro tendremos para
nuestro sistema.
En la imagen se aprecia la ventana de configuracin del cortafuegos de Windows XP.
La opcin ms segura es tenerlo activado pero en ocasiones existe la necesidad de permitir ciertas
aplicaciones o procesos para lo que se emplea la opcin de Excepciones.
Para prevenir posibles daos en archivos importantes, se puede utilizar la encriptacin. Para encriptar la
informacin existen muchas herramientas, muchas de ellas disponibles en Internet. En Linux Ubuntu se
dispone de la herramienta Seahorse en la instalacin gnome, que sirve para encriptar informacin con
GnuPG.
Para saber ms
En el siguiente enlace podrs conocer ms cosas sobre GnuPG.
GnuPG.
Para cifrar la informacin en este caso son necesarios dos pasos:
Para saber ms
En el siguiente enlace se describe de una manera sencilla la utilizacin de Seahorse.
Seahorse.
Autoevaluacin
Si se encripta un archivo, para que el receptor de ese archivo pueda leer la informacin:
El usuario debe conocer las claves o alguna de las claves que se utilizaron para encriptar la
informacin.
Dependiendo del tipo de encriptacin, deber conocer todas o al menos una de las claves
Deteccin de intrusos.
Conocer si hay intrusos en el sistema, aunque no estn causando ningn dao en ese momento, tambin es
una buena medida preventiva. Para ello, existen herramientas diseadas especficamente para ello. Las
herramientas utilizadas para la deteccin de intrusos se denominan tambin IDS (Intrusion Detection
System). El funcionamiento de estas herramientas se basa en el anlisis del trfico de red y la comparacin
con comportamientos estndar de los intrusos.
En la imagen se puede observar el sitio de descarga de sort. Es una herramienta con muchos modificadores
para sus comandos, por lo que su manejo requiere de un tiempo de aprendizaje.
Es conveniente tener claro que se pretende de ella y en consecuencia buscar exclusivamente como poder
hacerlo sin pretender dominar todas sus posibilidades a menos que sea estrictamente necesario.
Para saber ms
Existen IDS gratuitas que se pueden descargar de Internet como snort, vlidas para plataformas Linux y
Windows.
Snort.
En el siguiente vdeo podrs ver como se instala y se realiza una configuracin bsica de snort en Linux
Ubuntu.
Snort en Linux Ubuntu.
Resumen textual alternativo
Existen dos tipos de sistemas de deteccin de intrusos:
Host IDS: Tambin llamadas HIDS. Estas herramientas detectan intrusiones en los hosts.
Network IDS: Tambin llamadas NIDS. Estas herramientas detectan las intrusiones en toda la red.
La diferencia entre ambos es que los HIDS solamente actan a nivel local, mientras que los NIDS lo hacen a
nivel de red por lo que deben tener un dispositivo de red configurado en modo promiscuo.
Autoevaluacin
Para detectar intrusiones en una LAN se debe emplear:
Un NIDS si queremos ver lo que pasa en el segmento de red.
El NIDS observa todo el trfico que circula por el segmento de la red.
El reenvo de mensajes masivos puede causar que todas las direcciones de la agenda de correo electrnico
caigan en manos de personas que hagan un mal uso de ellas y derivar en la llegada de spam y tcnicas de
ingeniera social como el phising a la cuenta de correo. Es muy inseguro el reenvo de mensajes del tipo "si
envas esto a 10 amigos algo bueno te pasar en 5 das". Este tipo de cadenas slo tienen el objetivo de
recopilar direcciones de correo electrnico.
En los casos en los que es necesario enviar un mensaje a varios usuarios, es conveniente utilizar un solo
destinatario y a los dems ponerles en "copia oculta" para evitar que las direcciones de todos aparezcan en
todos los correos.
Las redes sociales contienen mucha informacin del usuario y de los contactos del usuario, si se utilizan
contraseas dbiles, existe el riesgo de que un usuario no autorizado acceda a la cuenta y consiga
informacin que pueda utilizar para fines dainos.
Una buena contrasea debe contener al menos 8 caracteres, mezclando nmeros y letras, en maysculas y
minsculas.
En cuanto a las compras en Internet, es conveniente comprar en sitios donde se tenga informacin del
vendedor, con datos como su direccin fsica o telfono. Adems, es imprescindible leer detenidamente lo
que se compra y todas las condiciones y garantas.
En la forma de pago, debe escogerse en la medida de lo posible un mtodo que no implique proporcionar
datos bancarios (envo contrareembolso) y si no es posible, optar por utilizar mecanismos de pago seguros.
La mayora de las entidades financieras incorporan en su banca electrnica muchas soluciones seguras, una
de ellas es:
PayPal.
En la imagen se muestran los iconos que pueden aparecer para identificar la posibilidad de pagar utilizando
el mecanismo PayPal. La ventaja es que los datos del comprador y del vendedor solamente los conoce
PayPal, es PayPal quien se encarga de transferir el dinero al vendedor y de cobrar
Para saber ms
En el siguiente enlace podrs ver cmo funciona Paypal.
PayPal.
Rsync.
Acronis True Image.
Para saber ms
En el siguiente enlace podrs ver ms cosas sobre rsync.
rsync.
En los ltimos tiempos cada vez son ms los usuarios que apuestan por el cloud computing para guardar sus
datos. El backup en la nube se realiza gracias a servicios prestados por empresas que disponen de CPD
accesibles a travs de Internet. Herramientas que permiten realizar este tipo de backup son entre otras:
Dropbox.
Windows Live Mesh 2011.
SugarSync.
Windows Live Skydrive.
Estas herramientas permiten guardar archivos en una carpeta del sistema donde se instal la aplicacin
(carpeta Public en dropbox) y con ello hacer que esos archivos sean accesibles desde cualquier lugar donde
haya conexin a travs de Internet. Realmente el archivo se guarda en el equipo y en un sitio web.
En la imagen se puede ver la apariencia de dropbox despus de una conexin. Se observa la carpeta Public
que es la que permitir la sincronizacin de los archivos a travs de la nube. Todo lo que se modifique en esa
carpeta se modificar en el equipo donde est instalado dropbox y viceversa.
Para saber ms
En el siguiente vdeo se puede ver un ejemplo de instalacin y utilizacin de dropbox.
Ejemplo y uso de Dropbox.
Resumen textual alternativo
Actualizacin de sistemas y aplicaciones.
La actualizacin de sistemas y aplicaciones quizs sea una de las medidas, tanto paliativas como
preventivas, ms adecuadas para prevenir daos en los sistemas informticos. Todos los sistemas tienen
fallos de seguridad y a medida que surgen nuevas aplicaciones y tcnicas, pueden surgir ms
vulnerabilidades. Es obvio que cuando se disea el software no se puede predecir todo lo que va a pasar en
el futuro, y por ello, siempre se debe actualizar a medida que surjan nuevas necesidades.
Citas para pensar
"Creo que hay un mercado mundial para alrededor de cinco computadoras".Thomas J. Watson (Fundador de
IBM).
Las actualizaciones tienen principalmente dos objetivos:
En la imagen se pueden ver las actualizaciones instaladas en un sistema operativo para un explorador y para
el propio sistema operativo.
Se pueden apreciar las diferentes fechas en las que se realizaron las instalaciones, deducindose con
facilidad que el navegador en este caso, para ser eficiente necesita actualizarse cada pocos meses.
Las actualizaciones mejorarn la velocidad de trabajo y tambin la seguridad. En la mayora de los casos
tambin se ofrece la posibilidad de escoger la actualizacin que se desea instalar. Esto mejora los problemas
de posibles incompatibilidades con aplicaciones instaladas o con el hardware donde se pretende instalar la
actualizacin.
Para saber ms
En el siguiente enlace podrs ver una noticia que supone un ejemplo de incompatibilidad entre una
actualizacin de sistema operativo y una aplicacin.
Incompatibilidad entre actualizacin de sistema y una aplicacin.
Autoevaluacin
Las actualizaciones de software:
Las actualizaciones se crean aunque no haya agujeros de seguridad.
Se disean para corregir y tambin para mejorar el funcionamiento de las aplicaciones.
Caso prctico
Cada da hace falta ms papeleo, esto no hay que lo soporte.
Qu ha pasado?
Pues nada, que ahora nos piden un certificado de subcontratistas, para certificar que estamos en paz con
Hacienda, se lo he dicho a los de la asesora y me dicen que tardarn unos 10 das en envirmelo.
Por qu no lo haces directamente por Internet?
Por Internet?
S, la AEAT tiene un portal en el que se pueden realizar muchos trmites a travs de Internet utilizando
firma digital o certificado electrnico.
Firma digital? Yo no soy un robot.
No es necesario que seas un robot, es un software que te representa en la red, un certificado que verifica
que eres t y si no tienes el certificado no puedes hacerlo a travs de Internet.
Por qu? Les llamo y les doy mi nmero de DNI.
Qu no! Hay que seguir un proceso para evitar que se suplanten las identidades en Internet.
Y cmo se puede hacer?
Vers, lo vamos a solicitar y te explicar adems todos los mtodos utilizados para asegurar la identidad
cuando se utilizan redes pblicas.
El uso de redes pblicas y la comparticin de informacin han sido el desencadenante de la mayora de los
problemas de seguridad. Es evidente que si una red LAN no tiene conexin con el exterior, su seguridad
depende de los usuarios locales. Si por el contrario, la red LAN tiene conexin a Internet, es impredecible
acotar el nmero de personas que pueden tener acceso a la red LAN, con mayor o menor dificultad. Se
podra pensar en una primera solucin:
No conectarse a una red pblica.
Quin va a renunciar a comprar online, leer el correo electrnico o utilizar las redes sociales? La mayora
de las personas utilizan los medios informticos con alguno de estos fines, por lo que no parece una solucin
evitar el acceso a Internet.
Para los usuarios que deban utilizar redes pblicas existen varios mecanismos que les pueden ayudar a
trabajar de manera segura.
Casi todas las soluciones anteriores tienen agujeros de seguridad puesto que todo lo que viaja por la red
tiene peligro de ser interceptado, aunque sea ms o menos difcil descifrarlo. Si se imagina una red
inalmbrica pblica sin clave como espacio de comunicaciones, los peligros son numerosos.
Si la red est abierta, cualquiera pueden entrar a formar parte de ella, sea cual sea su objetivo.
Para saber ms
En el siguiente enlace podrs ver una noticia que supone un ejemplo de vulnerabilidad cuando se utiliza una
en una red inalmbrica abierta para entrar en una red social.
Red inalmbrica abierta.
Autoevaluacin
Una red LAN sin conexin a Internet siempre es segura:
No, porque puede utilizar routers inalmbricos.
Si la red es inalmbrica est sujeta a las vulnerabilidades de la red inalmbrica.
Identificacin digital.
La identificacin digital asegura la autentificacin, la confidencialidad y la integridad de las comunicaciones
en Internet, para un usuario supone una contribucin al reconocimiento de sus derechos fundamentales.
No se debe confundir la identificacin digital con la identidad digital que un usuario se puede crear por
ejemplo en una red social, donde a veces la identidad representa lo que se quiere ser, no lo que se es
realmente. La identificacin digital es una representacin legal de la identidad y se puede conseguir con
varios mtodos.
Contraseas.
Tarjetas de identificacin.
Sistemas biomtricos.
Certificados digitales.
Todos los mecanismos anteriores tienen como objetivo aglutinar una serie de rasgos identificativos de cada
usuario en el medio digital. Cada uno de los mtodos empleados utiliza rasgos diferentes.
Las contraseas son un mtodo muy antiguo e identifican a cada usuario con una serie de caracteres. Las
tarjetas de identificacin utilizan chips para almacenar la informacin de cada individuo. Los sistemas
biomtricos utilizan rasgos fsicos de cada usuario, para crear un determinado perfil digital que lo
identifique de manera nica. Los certificados digitales emplean informacin de los usuarios para generar un
software que los identifique, representndolos en las transacciones electrnicas.
La identificacin digital no existe, es necesario crearla y asociarla al usuario que deba representar.
Para saber ms
Para asociar la identificacin digital con el usuario, existen organismos capaces de certificar la autenticidad
de dicha identidad, por ejemplo, la FNMT.
Sitio web de la FNMT.
En el uso de redes pblicas, el empleo de la identificacin digital es primordial para asegurar la identidad
tanto del emisor como del receptor de una transaccin.
Autoevaluacin
El DNI electrnico:
Muestra nuestra identificacin digital.
Posee datos que identifican al usuario y le permiten firmar documentos de forma digital.
Los certificados digitales pueden desempear funciones en las comunicaciones en Internet similares a las
que realizan los documentos oficiales de identificacin como el DNI o el pasaporte en situaciones donde hay
contacto visual.
En la imagen se muestra el proceso de firma digital de un documento electrnico.
Se puede ver como adems de generar la firma digital utilizando una funcin matemtica (funcin hash) que
acta sobre los datos que se quieren firmar y una clave privada de cifrado, se utiliza tambin el certificado
digital para verificar la identidad del firmante y su clave pblica.
Una firma digital es segura siempre y cuando la clave privada empleada para cifrar solamente la conozca su
dueo.
La clave pblica que el receptor necesita para descifrar el mensaje la extrae del certificado digital del
emisor.
Los spammers necesitan de direcciones de correo para poder realizar el envo masivo de mensajes, para ello
pueden utilizar varias tcnicas:
Para saber ms
En el siguiente enlace podrs leer un artculo sobre el spam y el mercado negro de medicamentos.
Spam.
Los spammers utilizan varios mtodos para enviar el correo masivo una vez tienen las direcciones destino.
De los tres mtodos anteriores el ms rentable es la utilizacin de redes zombie, este mtodo es ilegal pero al
tiempo es muy difcil de detectar y depurar responsabilidades.
Citas para pensar
"Ms del 80% del correo electrnico es SPAM".
El hecho de que haya un porcentaje tan alto de correo basura se debe a que supone un negocio. Si bien es
cierto que el xito de estos correos es muy bajo (0,001%), debido a su bajsimo coste de distribucin, este
porcentaje es suficiente para producir beneficios.
El equipo encargado de elaborar el manual debe estar formado por personas de diferente perfil para que
todos los aspectos de la organizacin se vean representados.
Una vez formado el equipo, se pasa a elaborar el documento, que es la parte ms laboriosa porque se deben
contemplar al menos:
Una vez que el manual est elaborado, para hacerlo pblico, debe ser aprobado por los responsables de la
organizacin. Una vez aprobado se le comunicar a cada usuario de la manera ms adecuada y dejando
constancia de que todos lo han recibido.
Plan de contingencias.
El plan de contingencias est diseado para recuperar el funcionamiento normal del sistema, una vez que se
ha producido una incidencia de la que el sistema se debe recuperar, deber contemplar al menos:
El anlisis de riesgos sobre todo debe ser capaz de responder a preguntas como:
Qu se debe proteger?
Qu puede ir mal?
Con qu frecuencia?
Cules pueden ser las consecuencias?
En cuanto al estudio de las protecciones actuales, se deben enumerar cules son y verificar que funcionan.
Una vez que se ha hecho el anlisis de los riesgos y que se sabe con qu protecciones se cuenta, se est en
disposicin de elaborar el plan de recuperacin.
Para que el plan de recuperacin sea lo ms efectivo posible, en el momento de que ocurra un fallo es muy
importante tener muy claro:
Los procedimientos establecidos en el plan de contingencias para la recuperacin frente a un fallo, deben ser
cumplidos tal y como se especifican. El responsable oportuno, bajo su responsabilidad, deber verificar que
el procedimiento se ha seguido de acuerdo a lo establecido.
El plan de recuperacin se puede definir de tres maneras diferentes teniendo en cuenta la fase del desastre a
la que hagamos referencia:
Para saber ms
En el siguiente enlace podrs aprender ms sobre el plan de contingencias.
Plan de contingencias.
Pautas y prcticas seguras.
Un sistema informtico es seguro si se utiliza de manera segura, de nada valen los planes diseados si se
hace un mal uso del mismo mediante prcticas de riesgo.
Citas para pensar
"Las organizaciones gastan millones de dlares en firewalls y dispositivos de seguridad, pero tiran el dinero
porque ninguna de estas medidas cubre el eslabn ms dbil de la cadena de seguridad: la gente que usa y
administra los ordenadores".Kevin Mitnick (El hacker ms famoso de todos los tiempos)
Todas las medidas anteriores contribuyen a mantener nuestro sistema seguro, adems se deben desterrar
creencias errneas como:
Todo el software diseado, incluido el destinado a la seguridad, soluciona un problema que se ha producido
pero puede ser inocuo para un problema futuro. Cuando se instala un antivirus no se debe creer que se est
protegido totalmente y por ello es conveniente actualizarlo con regularidad.
El xito de los atacantes es directamente proporcional a la confianza de los atacados e inversamente
proporcional a la rapidez de respuesta de la vctima.
Otro de los focos de problemas suele ser el pensar que no hay que proteger a un equipo porque no contiene
nada importante. Puede ocurrir que la vctima no considere importante algo que para el atacante es muy
valioso.
En cuanto a pensar que los ataques slo los sufren grandes organizaciones, recordar cmo funcionan las
botnets. Internet es el medio para que mltiples pequeos daos se transformen en un gran beneficio, es el
medio en el que hacer dao a una vctima tiene casi los mismos costes de hacrselo a miles.
Hay sueos en los que se disea un software que roba cntimos de euro en millones de cuentas bancarias.
Autoevaluacin
La accin ms segura es:
Realizar una copia de seguridad local en nuestro equipo.
De todas es la ms segura porque no supone ningn riesgo.
Autoevaluacin
En una red corporativa los peligros:
Pueden llegar a travs de Internet.
Se puede utilizar Internet para interconectar diferentes puntos de la red
Wireshark.
Etherape.
WinDump.
Fing.
AthTek NetWalk.
Network Traffic Monitor Experts.
El uso de todas las herramientas de monitorizacin muestra demasiada informacin porque obtiene todas las
tramas que circulan en el medio de transmisin, para poder extraer solamente la informacin buscada se
debe recurrir al uso de filtros, que pueden ser:
Filtros de captura.
Filtros de visualizacin.
Los filtros de captura hacen que se muestren solamente los paquetes que cumplan con las condiciones
establecidas y los de visualizacin seleccionan la informacin deseada despus de un anlisis efectuado.
Lo ms til es capturar todo el trfico y despus utilizar filtros de visualizacin para analizar solamente lo de
inters.
Los siguientes son ejemplos de filtros en Wireshark:
Capturar todos los paquetes con origen y destino en 192.168.1.1: host 192.168.1.1
Capturar todos los paquetes con puerto origen y destino 21: port 21
Capturar todos los paquetes con puerto origen 21: src port 21
Capturar todos los paquetes con origen en 192.168.1.1: src host 192.168.1.1
Capturar todos los paquetes con destino en 192.168.1.254: dst host 192.168.1.254
Capturar todos los paquetes con origen y destino en www.infoalisal.com: host www.infoalisal.com
Para saber ms
En el siguiente enlace podrs ver los diferentes parmetros utilizados en los filtros de Wireshark.
Filtros de Wireshark.
Los dispositivos de conexin inalmbrica incluyen diversas opciones para poder conseguir que su
configuracin sea segura.
Portal cautivo.
El filtrado de direcciones MAC no es una buena solucin si la red es muy grande, porque hay que editar las
direcciones de cada tarjeta, adems de que el formato de las direcciones no es demasiado fcil de manejar. Si
en la red cambian los equipos que forman parte de ella o se aaden nuevos, tambin implica la modificacin
manual de la tabla de direcciones. Adems de todo lo anterior, las direcciones MAC viajan sin encriptar por
la red, por lo que un atacante con conocimientos suficientes tendra la posibilidad de clonar dicha direccin.
El algoritmo WEP encripta las conexiones inalmbricas y hace que no sea posible la conexin a la red sin la
utilizacin de una clave. Hoy en da se considera un mtodo no seguro porque existen muchas tcnicas para
romper su proteccin. El principal problema, reside en que la clave secreta utilizada se graba en el
dispositivo de interconexin y permanece esttica hasta que considere cambiarla. Un intruso puede utilizar
aplicaciones diseadas para realizar ataques de fuerza bruta y conseguir descifrarla.
El estndar 802.1x emplea un mecanismo ms robusto que WEP, para ello utiliza el protocolo EAP (o
cualquiera de sus variantes) junto con un servidor RADIUS para obligar a los usuarios a autenticarse antes
de conectarse a la red.
En la imagen se puede ver una representacin de una instalacin que usa un servidor RADIUS accesible a
travs de Internet.
Esta tcnica (basada en los servidores RADIUS) es la empleada en los denominados puntos calientes
seguros y constan bsicamente de tres partes:
La mayora de estos servicios tienen como principal amenaza los ataques de denegacin de servicio DoS
(Denial of Service). Con este tipo de ataques se inunda al servidor proveedor de los servicios con peticiones
capaces de impedir que el sistema proporcione correctamente los servicios, en algunos casos impidiendo la
ejecucin y en otros ejecutando el servicio de manera distinta a la deseada.
Todos los servicios son inseguros cuando se estn ejecutando porque estn abriendo puertos, por esta razn,
es importante no tener activados dichos servicios cuando no se necesiten realmente.
El servicio DNS tiene como mayor peligro en clientes y servidores el hecho de que un atacante pueda
conseguir modificar las resoluciones de DNS, con el propsito de desviar las conexiones de sus destinatarios
reales. Para ello lo primero que suele hacer es obtener informacin con comandos como:
Whois.
El ataque tpico sobre estos servicios es el AXFR, o de transferencia de zona, tambin utilizado cuando se
quiere replicar un DNS desde un dominio primario a otro secundario. Un servidor maestro debe filtrar por
direccin IP qu esclavos pueden realizar transferencias, si esto no se configura correctamente entonces
cualquier atacante podra consultar por las zonas de los dominios que administra.
Un programa que se puede utilizar para realizar estos ataques es DIG, disponible en distribuciones Linux.
Para saber ms
En el siguiente enlace podrs aprender ms sobre DIG y su relacin con DNS.
DIG.
Otro ataque sufrido por los servicios DNS es el DNS Spoofing en el que se intenta que un usuario se conecte
a un sistema controlado por el atacante y as capturar o modificar la informacin, la esencia del ataque es
una traduccin falsa de las direcciones y los nombres de dominio. Este tipo de ataques tiene dos variantes:
Con estas dos medidas se limitan las posibles acciones que un atacante exterior pueda realizar contra la red
corporativa, puesto que se ponen a salvo los servidores DNS internos evitando la contaminacin de la cach
de los equipos, y se evita que usuarios externos utilicen el servidor DNS propio para realizar bsquedas.
El servicio DHCP es capaz de suministrar direcciones IP en una red, esto implica que un equipo puede ser:
Servidor DHCP.
Cliente DHCP.
Por definicin, DHCP es un protocolo inseguro puesto que se ejecuta sobre IP y UDP, los cuales llevan
implcita su inseguridad. Por otra parte, un equipo, tanto si acta como servidor DHCP o como cliente,
puede resultar inseguro si acta sin autorizacin.
Un servidor DHCP no autorizado se puede convertir en un servidor no deseado para unos clientes que
pierden el servicio DHCP legtimo a favor del atacante.
En la imagen se puede ver una representacin de un ataque para convertir en servidor DHCP un equipo no
legtimo (Host D).
Para saber ms
En el siguiente enlace podrs ver una breve explicacin de la figura anterior.
Ataque DHCP.
Si son los clientes DHCP los que actan sin autorizacin, entonces, se estara dando la posibilidad de
acceder a la red a equipos que no debieran tener este privilegio y recuperar la informacin destinada a los
clientes legtimos.
El cliente de correo es el software que utiliza el usuario para enviar y recibir correo electrnico entre el
sistema informtico y el servidor de correo.
Los clientes reciben el nombre de MUA, ejemplos muy conocidos son:
Thunderbird.
Outlook.
El servidor es la parte que se encarga de transportar los mensajes de correo desde un servidor a otro y de
almacenar los mensajes para que el cliente pueda acceder a ellos. Para realizar estas dos funciones se
ejecutan los protocolos SMTP, IMAP y POP3. Entre los servidores de correo la transferencia de mensajes la
realizan los MTA, ejemplos son:
Sedmail.
Postfix.
permite el uso fraudulento de servidores SMTP por parte de personas ajenas a la organizacin, as como el
envo de mensajes con remite falso o correo basura. Uno de los ataques ms comunes contra los servidores
SMTP es el desbordamiento de buffer, esto se consigue atacando con una direccin de correo electrnico
muy larga. En los servidores de correo existe un parmetro que especifica la longitud mxima de la
direccin de correo electrnico, si esta longitud se alcanza, el desbordamiento de buffer puede permitir al
atacante tomar el control a travs del MAIL FROM o RCPT TO.
Para saber ms
En los siguientes enlaces podrs ver noticias relacionadas con vulnerabilidades en Sendmail y Postfix.
Sendmail.
Postfix.
Una de las rdenes SMTP que se pueden utilizar es VRFY, que consulta a un determinado servidor de
correo si una direccin de correo existe o no. Esta comprobacin la suelen hacer los atacantes antes de
lanzar un ataque a un servidor. Se puede deshabilitar y as el servidor no contestar a la peticin de
comprobacin, en Linux se puede hacer desde el archivo de configuracin main.cf (en Postfix):
disable_vrfy_command = yes
Con esto se evitar que un usuario pueda preguntar utilizando telnet si una determinada direccin de correo
existe o no. En el siguiente cdigo se muestran los mensajes recibidos si se intenta comprobar la existencia
de la cuenta tomas@dominio con el comando VRFY.
# telnet correo.dominio 25
Trying 65.111.99.99...
Connected to correo.dominio (65.111.99.99).
Escape character is '^]'.
220 servidor.dominio ESMTP SMTP Ready; Sun, 14 Ago 2011 14:32:19 GMT
vrfy tomas@dominio
252 2.5.2 Cannot VRFY user; try RCPT to attempt delivery (or try finger)
expn root
502 5.7.0 Sorry, we do not allow this operation
quit
221 2.0.0 correo2.dominio closing connection
Connection closed by foreign host.
La comunicacin entre un cliente SMTP y un servidor SMTP se basa en un conjunto de comandos enviados
por el cliente SMTP, como el VRFY. La ejecucin de estos comandos implica una respuesta por parte del
servidor catalogada con cdigos numricos.
Para saber ms
En el siguiente enlace podrs ver los comandos SMTP.
Comandos SMTP.
Autoevaluacin
En el MUA se configuran:
Los protocolos POP y SMTP.
Son los protocolos que conectan el MUA con el MTA.