Está en la página 1de 12

1

La lucha contra el ciberterrorismo y los ataques


informticos
A. Gmez Vieites

Resumen Este documento pretende analizar la seria amenaza propiciado el soporte automatizado e informatizado de
que representan el ciberterrorismo y los ataques informticos para muchos de sus procesos, situacin que se ha acelerado con la
nuestra sociedad. Adems de estudiar las posibles consecuencias del implantacin de los ERP, o paquetes software de gestin
ciberterrorismo y de los ataques informticos en una sociedad
integral.
avanzada que depende totalmente del correcto funcionamiento de
sus sistemas y redes informticas, tambin se analiza su incidencia Por todo ello, en la actualidad las actividades cotidianas de las
en la actividad de las empresas. Asimismo, se describe el perfil de empresas y de las distintas Administraciones Pblicas e,
los distintos tipos de atacantes y cules pueden ser sus motivaciones incluso, las de muchas otras instituciones y organismos, as
para llevar a cabo sus acciones contra los sistemas informticos, como las de los propios ciudadanos, requieren del correcto
prestando especial atencin a lo que se ha dado en llamar como el funcionamiento de los sistemas y redes informticas que las
Tringulo de la Intrusin. Por ltimo, en el documento se
soportan y, en especial, de su seguridad.
presentan de forma detallada los elementos a tener en cuenta para
definir e implantar un Plan de Respuesta a Incidentes de Seguridad De ah la gran importancia que se debera conceder a todos los
y a Ataques Informticos, y propone una serie de lneas de trabajo aspectos relacionados con la seguridad informtica en una
futuras para facilitar la implantacin de Sistemas de Gestin de organizacin. La proliferacin de los virus y cdigos malignos
Seguridad de la Informacin en las organizaciones. y su rpida distribucin a travs de redes como Internet, as
como los miles de ataques e incidentes de seguridad que se
Palabras clave ataques informticos (computer attacks),
producen todos los aos han contribuido a despertar un mayor
ciberterrorismo (cyberterrorism), hackers, crackers, respuesta
inters por esta cuestin.
a incidentes (incident response).
II. LA AMENAZA DEL CIBERTERRORISMO Y DE LOS ATAQUES
I. INTRODUCCIN INFORMTICOS

M uchas de las actividades que se realizan de forma


cotidiana en los pases desarrollados dependen en mayor
o menor medida de sistemas y de redes informticas. El
Las sociedades avanzadas tienen una dependencia cada mayor
de los sistemas informticos para el control de muchos
espectacular crecimiento de Internet y de los servicios procesos y actividades cotidianas: control del fluido elctrico,
telemticos (comercio electrnico, servicios multimedia de de la red de abastecimientos de aguas, de las centrales de
banda ancha, administracin electrnica, herramientas de conmutacin telefnicas, del trfico areo, de las redes de
comunicacin como el correo electrnico o la sealizacin semafrica, de los sistemas financieros, etctera.
videoconferencia) ha contribuido a popularizar an ms, si Por este motivo, se podra colapsar por completo el
cabe, el uso de la informtica y de las redes de ordenadores, funcionamiento de un pas desarrollado si se daasen algunos
hasta el punto de que en la actualidad no se circunscriben al de sus principales redes y sistemas informticos. De hecho,
mbito laboral y profesional, sino que incluso se han expertos militares llevan aos estudiando la posible aplicacin
convertido en un elemento cotidiano en muchos hogares, con de los ataques informticos en los conflictos blicos del
un creciente impacto en las propias actividades de futuro, y distintos gobiernos han decidido crear unidades
comunicacin y de ocio de los ciudadanos. especiales en sus ejrcitos para responder ante posibles
Por otra parte, servicios crticos para una sociedad moderna, ataques informticos.
como podran ser los servicios financieros o la propia Entre las posibles consecuencias del ciberterrorismo y de los
Administracin Pblica estn soportados en su prctica ataques informticos, podramos citar las siguientes:
totalidad por sistemas y redes informticas, hasta el punto de
que en muchos de ellos se han eliminado o reducido de forma Corte del suministro elctrico y posible descontrol de
drstica los papeles y los procesos manuales. centrales nucleares, centrales hidroelctricas y
En las propias empresas, la creciente complejidad de las trmicas.
relaciones con el entorno y el elevado nmero de
transacciones realizadas como parte de su actividad han Colapso total de las redes telefnicas y los sistemas de
comunicaciones.
A. Gmez trabaja en EOSA Consultores, C/ Puerto Rico, 18-20, Ofic.5, Desarrollo de ataques especficos contra los sistemas
36204 Vigo (correo e.: agomez@eosa.com) e imparte docencia en la Escuela
de Negocios Caixanova. de comunicaciones militares.
2

Caos financiero: ataques a las entidades financieras y a expertos norcoreanos siguieron una formacin universitaria
las bolsas, paralizando cualquier gestin y borrando o especfica durante cinco aos para ser capaces de penetrar los
alterando los datos de todas las cuentas corrientes y sistemas informticos de Corea del Sur, Estados Unidos y
otros registros de informacin. Japn. Parece ser que podran estar detrs de algunos ataques
realizados en el verano de 2004 contra determinadas redes y
Intervencin del control del trfico areo y ferroviario, sistemas informticos surcoreanos, pertenecientes a agencias
provocando colisiones de aviones y trenes, y dejando gubernamentales, la Asamblea Nacional, empresas privadas,
inoperantes estas redes de transporte. universidades y distintos medios informativos.
Ataques informticos de todo tipo protagonizados por III. CONSECUENCIAS DE LOS FALLOS Y ATAQUES EN LAS
virus, programados y controlados de forma remota para EMPRESAS
activarse en el momento adecuado.
La mayora de las empresas y organizaciones de nuestro
Destruccin de grandes bases de datos estatales, vitales entorno tambin son vulnerables a ataques informticos
para el funcionamiento del pas, como las de los llevados a cabo contra sus propios recursos e intereses. De
cuerpos de polica, el Tesoro Pblico, la Sanidad, la hecho, algunas empresas ya han sufrido varios casos de
Seguridad Social y el resto de Administraciones difusin de virus y ataques de denegacin de servicio
Pblicas en general. realizados por expertos informticos que haban sido
contratados por algn competidor.
Sabotajes locales en la capital y otras ciudades Los avances de las redes y servicios de telecomunicacin han
importantes por su poblacin o su actividad econmica, facilitado el desarrollo del teletrabajo en algunos sectores y
alterando el funcionamiento de los semforos para tipos de organizaciones. Adems, los empleados que se tienen
causar choques en cadena que colapsen durante horas que desplazar con frecuencia (por ejemplo, los comerciales
las principales carreteras. que constituyen la fuerza de ventas de una empresa) tambin
dependen hoy en da de las conexiones a los recursos
Otros sabotajes, como por ejemplo los dirigidos a las informticos centrales de su organizacin para poder realizar
empresas ms importantes y a organismos oficiales su trabajo. Todos estos empleados se veran imposibilitados
locales. para trabajar con normalidad si se viera interrumpido el
funcionamiento de la red y los servicios informticos de su
Lanzamiento de bombas electromagnticas para
empresa.
neutralizar todos los equipos electrnicos militares no
A la hora de analizar las posibles consecuencias de un ataque
protegidos y silenciar a las principales emisoras de
radio y televisin. informtico, el impacto total para una empresa puede resultar
bastante difcil de evaluar, ya que adems de los posibles
En un estudio divulgado en agosto de 2005 por la asociacin daos ocasionados a la informacin guardada y a los equipos
norteamericana de ingenieros IEEE-USA, titulado United y dispositivos de red, deberamos tener en cuenta otros
States Facing Cyber Security Crisis y distribuido a travs de importantes perjuicios para la organizacin:
su publicacin Today's Engineer, se pona de manifiesto la
gran vulnerabilidad de muchas redes y sistemas informticos Horas de trabajo invertidas en las reparaciones y
de Estados Unidos frente a ataques terroristas y criminales. reconfiguracin de los equipos y redes.
Las instalaciones afectadas y comprendidas en el estudio van
Prdidas ocasionadas por la indisponibilidad de
desde los sistemas de control de trfico areo, redes de
diversas aplicaciones y servicios informticos: coste de
suministro energtico, sistemas financieros, as como redes de
oportunidad por no poder utilizar estos recursos.
inteligencia y militares. En sus conclusiones los autores del
estudio definan la actual situacin como al borde de la Robo de informacin confidencial y su posible
prdida de control en varias de estas instalaciones y sistemas revelacin a terceros no autorizados: frmulas, diseos
vulnerables. de productos, estrategias comerciales, programas
De hecho, el Departamento de Defensa de Estados Unidos, informticos
con sus cerca de 12.000 sitios informticos y 3,5 millones de
ordenadores personales repartidos por todo el mundo, Filtracin de datos personales de usuarios registrados
constituye uno de los objetivos favoritos para miles de hackers en el sistema: empleados, clientes, proveedores,
y crackers de todo el planeta. contactos comerciales o candidatos de empleo, con las
Segn se ha divulgado en algunos medios, ya se podran haber consecuencias que se derivan del incumplimiento de la
producido cierto tipo de ataques informticos a gran escala legislacin en materia de proteccin de datos
contra las redes y sistemas de un pas. As, en octubre de 2004 personales vigentes en toda la Unin Europea y en
Corea del Norte daba a conocer que haba formado a ms de muchos otros pases.
medio millar de expertos informticos capaces de lanzar una
guerra virtual contra pases como Estados Unidos. Estos
3

Posible impacto en la imagen de la empresa ante mundo, afectando a miles de pasajeros. El sistema mundial
terceros: prdida de credibilidad en los mercados, dao informtico de Lufthansa, que facilita la facturacin de los
a la reputacin de la empresa, prdida de confianza por pasajeros, se colaps a las 6:22 horas del jueves 23 de
parte de los clientes y los proveedores, etctera. septiembre de 2004, lo que oblig a rellenar a mano las
tarjetas de embarque. El fallo comenz a notarse en la noche
Retrasos en los procesos de produccin, prdida de del mircoles, cuando fue actualizado el programa informtico
pedidos, impacto en la calidad del servicio, prdida de y no se descarta que un virus se hubiera podido infiltrar en sus
oportunidades de negocio... servidores. Los tcnicos pudieron solucionar parcialmente el
problema seis horas despus, aunque no lograron volver a
Posibles daos a la salud de las personas, con prdidas ponerlo en funcionamiento completamente, porque la
de vidas humanas en los casos ms graves.
operacin hubiera llevado unas cuatro o cinco horas y habra
provocado nuevas demoras en los servicios.
Pago de indemnizaciones por daos y perjuicios a
Otro ejemplo reciente, de entre los muchos que podramos
terceros, teniendo que afrontar adems posibles
responsabilidades legales y la imposicin de sanciones seguir citando, tuvo lugar el 24 de agosto de 2005, cuando un
administrativas. Las organizaciones que no adoptan fallo informtico en un centro de control de trfico areo de
medidas de seguridad adecuadas para proteger sus Londres provoc grandes retrasos en los vuelos de entrada y
redes y sistemas informticos podran enfrentarse a salida del Reino Unido, afectando a miles de pasajeros y
penas civiles y criminales bajo una serie de leyes obligando a cancelar decenas de servicios. La avera, que se
existentes y decisiones de tribunales: proteccin de la produjo a primera hora de la maana, afect al sistema de
privacidad y los datos personales de clientes y procesamiento de vuelos del Centro Nacional de Servicios de
empleados; utilizacin de aplicaciones P2P para Trfico Areo (NATS), con sede en West Drayton, en el oeste
intercambio de contenidos digitales protegidos por de Londres. Los tcnicos tardaron unos veinte minutos en
derechos de autor; etctera. subsanar el fallo, pero cuando lo lograron la avera ya haba
Los nuevos delitos relacionados con la informtica y las redes trastocado los planes de cientos de aviones en todo el pas.
de ordenadores se han convertido en estos ltimos aos en uno Con estos dos ejemplos se pone de manifiesto cmo una
de los mayores problemas de seguridad a escala global. As, pequea interrupcin o determinadas anomalas en el servicio
segn datos publicados por el Departamento de Hacienda de informtico de una empresa puede provocar daos muy
Estados Unidos a finales de 2005, los delitos informticos importantes a la organizacin, por lo que nos podramos
(entre los que se incluyen las estafas bancarias, casos de imaginar cules seran las consecuencias si el servicio
phishing, pornografa infantil o espionaje industrial) informtico se viera interrumpido durante varios das debido a
constituyen un lucrativo negocio que genera ya ms dinero un ataque o sabotaje a gran escala.
que el propio narcotrfico. Slo en Estados Unidos estos
IV. CLASIFICACIN DE LOS ATACANTES E INTRUSOS DE LAS
delitos, unidos a las consecuencias de la propagacin de los
REDES INFORMTICAS
virus y de los ataques de denegacin de servicio, causan
prdidas anuales superiores a los 50.000 millones de euros. A. Hackers
Segn otro estudio publicado a principios de 2006 y realizado
Los hackers son intrusos que se dedican a estas tareas como
por la consultora especializada Computer Economics, la
pasatiempo y como reto tcnico: entran en los sistemas
creacin y difusin de programas informticos maliciosos a
informticos para demostrar y poner a prueba su inteligencia y
travs de Internet (virus, troyanos, gusanos) ha representado
conocimientos de los entresijos de Internet, pero no pretenden
durante esta ltima dcada un coste financiero para las
provocar daos en estos sistemas. Sin embargo, hay que tener
empresas de todo el mundo de unos 110.000 millones de
en cuenta que pueden tener acceso a informacin confidencial,
dlares.
por lo que su actividad est siendo considerada como un delito
En otro estudio realizado en esta ocasin por el FBI, se pona
en bastantes pases de nuestro entorno.
de manifiesto que casi un 90% de las empresas de Estados
El perfil tpico de un hacker es el de una persona joven, con
Unidos haban sido infectadas por virus o sufrieron ataques a
amplios conocimientos de informtica y de Internet (son
travs de Internet en los aos 2004 y 2005, pese al uso
autnticos expertos en varios lenguajes de programacin,
generalizado de programas de seguridad. Estos ataques haban
arquitectura de ordenadores, servicios y protocolos de
provocado unos daos por un importe medio de unos 24.000
comunicaciones, sistemas operativos, etctera), que invierte
dlares en las empresas e instituciones afectadas. Adems,
un importante nmero de horas a la semana a su aficin.
segn los propios datos del FBI, cerca de un 44% de los
En la actualidad muchos hackers defienden sus actuaciones
ataques provenan del interior de las organizaciones.
alegando que no persiguen provocar daos en los sistemas y
Por otra parte, los fallos en los sistemas informticos pueden
redes informticas, ya que slo pretenden mejorar y poner a
tener importantes consecuencias econmicas para las
prueba sus conocimientos. Sin embargo, el acceso no
empresas. As, por ejemplo, un fallo informtico provoc en
autorizado a un sistema informtico se considera por s mismo
septiembre de 2004 varias decenas de cancelaciones e
un delito en muchos pases, puesto que aunque no se produzca
innumerables retrasos en vuelos de Lufthansa en todo el
4

ningn dao, se podra revelar informacin confidencial. ejemplo) que posteriormente emplearn para cometer estafas y
Por otra parte, la actividad de un hacker podra provocar operaciones fraudulentas.
otros daos en el sistema: dejar puertas traseras que podran
H. Lamers (wannabes): Script-kiddies o Click-
ser aprovechadas por otros usuarios maliciosos, ralentizar su
kiddies
normal funcionamiento, etctera. Adems, la organizacin
debe dedicar tiempo y recursos para detectar y recuperar los Los lamers, tambin conocidos por script kiddies o click
sistemas que han sido comprometidos por un hacker. kiddies1, son aquellas personas que han obtenido
determinados programas o herramientas para realizar ataques
B. Crackers (blackhats) informticos (descargndolos generalmente desde algn
Los crackers son individuos con inters en atacar un sistema servidor de Internet) y que los utilizan sin tener conocimientos
informtico para obtener beneficios de forma ilegal o, tcnicos de cmo funcionan.
simplemente, para provocar algn dao a la organizacin A pesar de sus limitados conocimientos, son los responsables
propietaria del sistema, motivados por intereses econmicos, de la mayora de los ataques que se producen en la actualidad,
polticos, religiosos, etctera. debido a la disponibilidad de abundante documentacin
A principios de los aos setenta comienzan a producirse los tcnica y de herramientas informticas que se pueden
primeros casos de delitos informticos, provocados por descargar fcilmente de Internet, y que pueden ser utilizadas
empleados que conseguan acceder a los ordenadores de sus por personas sin conocimientos tcnicos para lanzar distintos
empresas para modificar sus datos: registros de ventas, tipos de ataques contra redes y sistemas informticos.
nminas Amenazas del personal interno
C. Sniffers Tambin debemos tener en cuenta el papel desempeado por
Los sniffers son individuos que se dedican a rastrear y tratar algunos empleados en muchos de los ataques e incidentes de
de recomponer y descifrar los mensajes que circulan por redes seguridad informtica, ya sea de forma voluntaria o
de ordenadores como Internet. involuntaria. As, podramos considerar el papel de los
D. Phreakers empleados que actan como fisgones en la red informtica
de su organizacin, los usuarios incautos o despistados, o los
Los phreakers son intrusos especializados en sabotear las
empleados descontentos o desleales que pretenden causar
redes telefnicas para poder realizar llamadas gratuitas. Los
algn dao a la organizacin.
phreakers desarrollaron las famosas cajas azules, que
Por este motivo, conviene reforzar la seguridad tanto en
podan emitir distintos tonos en las frecuencias utilizadas por
relacin con el personal interno (insiders) como con los
las operadoras para la sealizacin interna de sus redes, usuarios externos del sistema informtico (outsiders).
cuando stas todava eran analgicas.
I. Ex-empleados
E. Spammers
Los ex-empleados pueden actuar contra su antigua empresa u
Los spammers son los responsables del envo masivo de miles organizacin por despecho o venganza, accediendo en algunos
de mensajes de correo electrnico no solicitados a travs de casos a travs de cuentas de usuario que todava no han sido
redes como Internet, provocando el colapso de los servidores canceladas en los equipos y servidores de la organizacin.
y la sobrecarga de los buzones de correo de los usuarios. Tambin pueden provocar la activacin de bombas lgicas
Adems, muchos de estos mensajes de correo no solicitados para causar determinados daos en el sistema informtico
pueden contener cdigo daino (virus informticos) o forman (eliminacin de ficheros, envo de informacin confidencial a
parte de intentos de estafa realizados a travs de Internet (los terceros) como venganza tras un despido.
famosos casos de phishing).
J. Intrusos remunerados
F. Piratas informticos
Los intrusos remunerados son expertos informticos
Los piratas informticos son los individuos especializados en contratados por un tercero para la sustraccin de informacin
el pirateo de programas y contenidos digitales, infringiendo la confidencial, llevar a cabo sabotajes informticos contra una
legislacin sobre propiedad intelectual. determinada organizacin, etctera.
G. Creadores de virus y programas dainos V. MOTIVACIONES DE LOS ATACANTES
Se trata de expertos informticos que pretenden demostrar sus
El FBI ha acuado el acrnimo MICE para resumir las
conocimientos construyendo virus y otros programas dainos,
distintas motivaciones de los atacantes e intrusos en las redes
que distribuyen hoy en da a travs de Internet para conseguir
de ordenadores: Money, Ideology, Compromise y Ego
una propagacin exponencial y alcanzar as una mayor
(Dinero, Ideologa, Compromiso y Autorrealizacin personal).
notoriedad.
En general, podemos considerar la siguiente tipologa de
En estos ltimos aos, adems, han refinado sus tcnicas para motivaciones de los atacantes:
desarrollar virus con una clara actividad delictiva, ya que los
utilizan para obtener datos sensibles de sus vctimas (como los
1
nmeros de cuentas bancarias y de las tarjetas de crdito, por Trminos que podramos traducir por niatos del script o niatos del
click.
5

Consideraciones econmicas: llevar a cabo operaciones una incidencia como cualquier anomala que afecte o pudiera
fraudulentas; robo de informacin confidencial que afectar a la seguridad de los datos, en el contexto de los
posteriormente es vendida a terceros; extorsiones (si no se ficheros con datos de carcter personal.
paga un determinado rescate se elimina informacin o
se daa de forma irreparable un sistema que haya sido La definicin e implantacin de un Plan de Respuesta a
comprometido); intentos de manipulacin de las Incidentes debera tener en cuenta una serie de actividades y
cotizaciones de valores burstiles; etctera. tareas, entre las cuales podramos destacar todas las que se
Diversin: algunos usuarios de Internet realizan estos presentan en la siguiente relacin:
ataques como una forma de pasar el rato delante de su 1. Constitucin de un Equipo de Respuesta a Incidentes.
ordenador.
2. Definicin de una Gua de Procedimientos.
Ideologa: ataques realizados contra determinadas
organizaciones, empresas y Websites gubernamentales, 3. Deteccin de un incidente de seguridad.
con un contenido claramente poltico. 4. Anlisis del incidente.
Autorrealizacin. 5. Contencin, erradicacin y recuperacin.
Bsqueda de reconocimiento social y de un cierto estatus 6. Identificacin del atacante y posibles actuaciones legales.
dentro de una comunidad de usuarios.
7. Comunicacin con terceros y relaciones pblicas.
Para poder llevar a cabo un ataque informtico los intrusos
deben disponer de los medios tcnicos, los conocimientos y 8. Documentacin del incidente de seguridad.
las herramientas adecuadas, deben contar con una determinada 9. Anlisis y revisin a posteriori del incidente.
motivacin o finalidad, y se tiene que dar adems una
determinada oportunidad que facilite el desarrollo del ataque A. Constitucin del Equipo de Respuesta a Incidentes de
(como podra ser el caso de un fallo en la seguridad del Seguridad Informtica (CSIRT)
sistema informtico elegido). Estos tres factores constituyen lo El Equipo de Respuesta a Incidentes de Seguridad Informtica
que podramos denominar como el Tringulo de la (CSIRT, Computer Security Incident Response Team) deber
Intrusin, concepto que se presenta de forma grfica en la estar constituido por las personas que cuentan con la
siguiente figura: experiencia y la formacin necesaria para poder actuar ante las
Fallos en la seguridad de incidencias y desastres que pudieran afectar a la seguridad
Oportunidad la red y/o de los equipos
informtica de una organizacin.
Generalmente slo las grandes organizaciones cuentan con un
equipo de personas contratadas para cumplir con esta funcin.
Intrusin en En la mayora de las organizaciones que no cuentan con un
la red o Equipo de Respuesta formalmente constituido, ser necesario
sistema identificar quines son las personas responsables de acometer
cada una de las tareas que se hayan definido en el Plan de
Motivo informtico Medios Respuesta a Incidentes, definiendo claramente las
Diversin Conocimientos
tcnicos responsabilidades, funciones y obligaciones de cada persona
Lucro personal...
Herramientas implicada en dicho Plan.
La organizacin deber mantener actualizada la lista de
Figura 1: El Tringulo de la Intrusin
direcciones y telfonos de contacto para emergencias, para
poder localizar rpidamente a las personas clave.
VI. PLAN DE RESPUESTA A INCIDENTES Y ATAQUES En algunos casos ser necesario contratar a las personas con la
Por Incidente de Seguridad entendemos cualquier evento necesaria experiencia y cualificacin profesional
que pueda provocar una interrupcin o degradacin de los (conocimientos tcnicos, habilidades de comunicacin). La
servicios ofrecidos por el sistema, o bien afectar a la experiencia es un factor determinante para poder actuar de
confidencialidad o integridad de la informacin. forma correcta evitando errores a la hora de responder de
Un incidente de seguridad puede ser causado por un acto forma rpida y eficaz ante los incidentes de seguridad.
intencionado realizado por un usuario interno o un atacante Asimismo, conviene prestar especial atencin a la formacin
externo para utilizar, manipular, destruir o tener acceso a continua de los miembros del Equipo de Respuesta a
informacin y/o recursos de forma no autorizada. Aunque un Incidentes (o de las personas que deban asumir esta
incidente tambin podra ser la consecuencia de un error o responsabilidad si no existe el equipo como tal),
trasgresin (accidental o deliberada) de las polticas y contemplando tanto los aspectos tcnicos como los aspectos
procedimientos de seguridad, o de un desastre natural o del legales (delitos informticos).
entorno (inundacin, incendio, tormenta, fallo elctrico...). Estas personas deben contar con la dotacin de medios
En Espaa, la Ley Orgnica de Proteccin de Datos define tcnicos y materiales necesarios para poder cumplir con
eficacia su misin. Para comprobar la idoneidad de los medios
6

disponibles, el entrenamiento de los miembros del equipo y las mediante herramientas de revisin de la integridad de
actividades definidas en el Plan de Respuesta a Incidentes, ficheros.
conviene llevar a cabo simulacros de forma peridica en la
organizacin. Cada o mal funcionamiento de algn servidor:
reinicios inesperados, fallos en algunos servicios,
B. Gua de procedimientos y actividades a realizar en aparicin de mensajes de error, incremento anormal de
respuesta a un incidente la carga del procesador o del consumo de memoria del
Como parte integrante del Plan de Respuesta a Incidentes, la sistema
organizacin debe definir una gua de actuacin clara y
detallada con los procedimientos y acciones necesarias para la Notable cada en el rendimiento de la red o de algn
restauracin rpida, eficiente y segura de la capacidad de servidor, debido a un incremento inusual del trfico de
procesamiento informtico y de comunicaciones de la datos.
organizacin, as como para la recuperacin de los datos
daados o destruidos. Cambios en la configuracin de determinados equipos
El objetivo perseguido con la Gua de Procedimientos es de la red: modificacin de las polticas de seguridad y
conseguir una respuesta sistemtica ante los incidentes de auditora, activacin de nuevos servicios, puertos
seguridad, realizando los pasos necesarios y en el orden abiertos que no estaban autorizados, activacin de las
adecuado para evitar errores ocasionados por la precipitacin tarjetas de red en modo promiscuo (para poder capturar
todo el trfico que circula por la red interna mediante
o la improvisacin.
sniffers), etctera.
Una buena Gua de Procedimientos permitir minimizar los
daos ocasionados y facilitar la recuperacin del sistema
Existencia de herramientas no autorizadas en el
afectado. sistema.
Adems, esta gua debe completar la adquisicin de
informacin detallada sobre cada incidente de seguridad para Aparicin de nuevas cuentas de usuario o registro de
mejorar los procedimientos de actuacin ante futuros actividad inusual en algunas cuentas : conexiones de
incidentes y reforzar la proteccin actual de los sistemas usuarios en unos horarios extraos (por ejemplo, por
informticos de la organizacin. las noches o durante un fin de semana), utilizacin de
Por supuesto, tambin debe tratar de forma adecuada las la misma cuenta desde distintos equipos a la vez,
cuestiones legales que se pudieran derivar de cada incidente bloqueo reiterado de cuentas por fallos en la
de seguridad, as como los aspectos relacionados con la autenticacin, ejecucin inusual de determinados
imagen y reputacin de la organizacin y las relaciones servicios desde algunas cuentas, etctera.
pblicas.
Informes de los propios usuarios del sistema alertando
C. Deteccin de un Incidente de Seguridad de algn comportamiento extrao o de su imposibilidad
La organizacin debera prestar especial atencin a los de acceder a ciertos servicios.
posibles indicadores de un incidente de seguridad, como una
actividad a contemplar dentro del Plan de Respuesta a Deteccin de procesos extraos en ejecucin dentro de
Incidentes. Seguidamente se presenta una relacin de los un sistema, que se inician a horas poco habituales o que
principales indicadores de posibles incidentes de seguridad: consumen ms recursos de los normales (tiempo de
procesador o memoria).
Precursores de un ataque: actividades previas de
reconocimiento del sistema informtico, como el Generacin de trfico extrao en la red: envo de
escaneo de puertos, el escaneo de vulnerabilidades en mensajes de correo electrnico hacia el exterior con
servidores, el reconocimiento de versiones de sistemas contenido sospechoso, inusual actividad de
operativos y aplicaciones transferencia de ficheros, escaneo de otros equipos
desde un equipo interno
Alarmas generadas en los Sistemas de Deteccin de
Intrusiones (IDS), en los cortafuegos o en las Notificacin de un intento de ataque lanzado contra
herramientas antivirus. terceros desde equipos pertenecientes a la propia
organizacin.
Registro de actividad extraa en los logs de
servidores y dispositivos de red o incremento sustancial Desaparicin de equipos de la red de la organizacin.
del nmero de entradas en los logs.
Aparicin de dispositivos extraos conectados
Aparicin de nuevas carpetas o ficheros con nombres directamente a la red o a algunos equipos de la
extraos en un servidor, o modificaciones realizadas en organizacin (en este ltimo caso podran ser, por
determinados ficheros del sistema (libreras, kernel, ejemplo, dispositivos para la captura de pulsaciones de
aplicaciones crticas...), que se pueden detectar teclado en los equipos).
7

Conviene tener en cuenta que los ataques informticos se 3. Prioridad tres: proteger otros datos e informacin de la
estn volviendo cada vez ms sofisticados, por lo que es difcil organizacin.
conseguir detectarlos a tiempo. Incluso existen herramientas 4. Prioridad cuatro: prevenir daos en los sistemas
que facilitan este tipo de ataques ocultando su actividad y que informticos (prdida o modificacin de ficheros
se pueden obtener de forma gratuita en Internet. bsicos para las aplicaciones y los servidores).
Por otra parte, la gran cantidad de informacin que se genera
en los logs y en las distintas herramientas de seguridad 5. Prioridad cinco: minimizar la interrupcin de los
puede dificultar su posterior estudio, debido sobre todo a la servicios ofrecidos a los distintos usuarios (internos y
prdida de tiempo provocada por los falsos positivos. Por externos).
este motivo, es necesario contar con herramientas y filtros que E. Contencin, Erradicacin y Recuperacin
faciliten la deteccin y clasificacin de los incidentes.
Dentro del Plan de Respuesta a Incidentes, el equipo de
D. Anlisis de un Incidente de Seguridad respuesta debe elegir una determinada estrategia de
El Plan de Respuesta a Incidentes debe definir cmo el equipo contencin del incidente de seguridad. Una primera opcin
de respuesta debera proceder al anlisis de un posible sera llevar a cabo una rpida actuacin para evitar que el
incidente de seguridad en cuanto ste fuese detectado por la incidente pueda tener mayores consecuencias para la
organizacin, determinando en primer lugar cul es su organizacin: apagar todos los equipos afectados, desconexin
alcance: qu equipos, redes, servicios y/o aplicaciones se han de estos equipos de la red informtica, desactivacin de
podido ver afectados? Se ha podido comprometer ciertos servicios, etctera. Esta estrategia de contencin es la
informacin confidencial de la organizacin o de sus usuarios ms adecuada cuando se puedan ver afectados servicios
y clientes? Ha podido afectar a terceros? crticos para la organizacin, se pueda poner en peligro
Seguidamente, el equipo de respuesta debera determinar determinada informacin confidencial, se estn aprovechando
cmo se ha producido el incidente: qu tipo de ataque los recursos de la organizacin para lanzar ataques contra
informtico (si lo ha habido) ha sido el causante, qu terceros o cuando las prdidas econmicas puedan ser
vulnerabilidades del sistema han sido explotadas, qu mtodos considerables.
ha empleado el atacante, etctera. Una segunda alternativa sera retrasar la contencin para
Se podra utilizar una Matriz de Diagnstico para facilitar la poder estudiar con ms detalle el tipo de incidente y tratar de
actuacin del equipo en momentos de mximo estrs, evitando averiguar quin es el responsable del mismo. Esta estrategia se
que se puedan tomar decisiones precipitadas que conduzcan a puede adoptar siempre y cuando sea posible monitorizar y
errores, constituyendo adems un valioso apoyo para el controlar la actuacin de los atacantes, para de este modo
personal con menos experiencia en la actuacin frente a reunir las evidencias necesarias que permitan iniciar las
incidentes de seguridad. correspondientes actuaciones legales contra los responsables
Sntoma Cdigo Denegacin de Acceso no del incidente. No obstante, se corre el riesgo de que el
malicioso Servicio (DoS) autorizado incidente pueda tener peores consecuencias para la
Escaneo de puertos Bajo Alto Medio
organizacin o para terceros (y en este ltimo caso la
Cada de un servidor Alto Alto Medio
Modificacin de ficheros de un equipo Alto Bajo Alto
organizacin podra ser considerada culpable por no haber
Trfico inusual en la red Medio Alto Medio actuado a tiempo).
Ralentizacin de los equipos o de la red Medio Alto Bajo Por otra parte, en algunos tipos de ataque las medidas de
Envo de mensajes de correo sospechosos Alto Bajo Medio contencin adoptadas podran desencadenar mayores daos en
Tabla 1: Ejemplo de Matriz de Diagnstico los sistemas informticos comprometidos. As, por ejemplo,
un equipo controlado por un cracker podra estar ejecutando
Asimismo, conviene realizar una valoracin inicial de los un servicio que se encargara de realizar pings peridicos a
daos y de sus posibles consecuencias, para a continuacin determinados servidores o comprobar el estado de las
establecer un orden de prioridades en las actividades que conexiones de red, de tal modo que si se detectase una
debera llevar a cabo el equipo de respuesta, teniendo para ello desconexin del equipo del resto de la red, se desencadenara
en consideracin aspectos como el posible impacto del otro proceso encargado de eliminar todas las pruebas del disco
incidente en los recursos y servicios de la organizacin y en el duro del equipo.
desarrollo de su negocio o actividad principal. Tambin hay que tener en cuenta que en los ataques de
En este sentido, los documentos RFC 1244 y RFC 2196 (del Denegacin de Servicio (DoS) puede resultar necesario contar
IETF, Internet Engineering Task Force) proponen la siguiente con la colaboracin de las empresas proveedoras de acceso a
priorizacin de las actividades a realizar por parte de un Internet o de administradores de las redes de otras
equipo de respuesta a incidentes: organizaciones para contener el ataque.
1. Prioridad uno: proteger la vida humana y la seguridad Por su parte, la erradicacin es la etapa del Plan de Respuesta
de las personas. a Incidentes en la que se llevan a cabo todas las actividades
necesarias para eliminar los agentes causantes del incidente y
2. Prioridad dos: proteger datos e informacin sensible de de sus secuelas, entre las que podramos citar posibles
la organizacin. puertas traseras instaladas en los equipos afectados, rootkits
8

u otros cdigos malignos (virus, gusanos...), contenidos y El equipo del atacante podra estar situado detrs de un
material inadecuado que se haya introducido en los servidores, servidor proxy con el servicio NAT activo (traduccin
cuentas de usuario creadas por los intrusos o nuevos servicios de direcciones internas a una direccin externa),
activados en el incidente. Tambin ser conveniente llevar a compartiendo una direccin IP pblica con otros
cabo una revisin de otros sistemas que se pudieran ver equipos de la misma red.
comprometidos a travs de las relaciones de confianza con el Por este motivo, en muchos casos ser necesario solicitar la
sistema afectado. colaboracin de los responsables de otras redes y de los
Por ltimo, la recuperacin es la etapa del Plan de Respuesta a proveedores de acceso a Internet que pudieran haber sido
Incidentes en la que se trata de restaurar los sistemas para que utilizados por los atacantes.
puedan volver a su normal funcionamiento. Para ello, ser Una tarea que tambin podra contribuir a la identificacin del
necesario contemplar tareas como la reinstalacin del sistema atacante es el anlisis de las actividades de exploracin
operativo y de las aplicaciones partiendo de una copia segura, (escaneos de puertos y de vulnerabilidades en el sistema) que
la configuracin adecuada de los servicios e instalacin de los suelen anteceder a un ataque, sobre todo si stas han podido
ltimos parches y actualizaciones de seguridad, el cambio de ser registradas por los logs de los equipos afectados o por el
contraseas que puedan haber sido comprometidas, la Sistema de Deteccin de Intrusiones (IDS).
desactivacin de las cuentas que hayan sido utilizadas en el En cuanto a la ejecucin de acciones contra el atacante, se
incidente, la revisin de las medidas de seguridad para recomienda presentar una denuncia ante las unidades
prevenir incidentes similares y la prueba del sistema para policiales especializadas en este tipo de incidentes o ataques
comprobar su correcto funcionamiento. informticos, para poder emprender de este modo las
F. Identificacin del atacante y posibles actuaciones legales correspondientes actuaciones policiales y judiciales.
Conviene destacar que si la organizacin decidiese actuar por
Dentro del Plan de Respuesta a Incidentes, la identificacin
su propia cuenta, tomando la justicia por su mano, es decir,
del atacante es necesaria para poder emprender acciones
realizar ataques a modo de represalia contra los equipos desde
legales para exigir responsabilidades y reclamar
los que aparentemente se est produciendo un intento de
indemnizaciones. No obstante, conviene tener en cuenta que
intrusin contra sus propios equipos y redes informticas, esta
generalmente slo se podr identificar la mquina o mquinas
actuacin podra tener graves consecuencias para la
desde las que se ha llevado a cabo el ataque, pero no
organizacin. Si el atacante ha utilizado tcnicas de
directamente al individuo responsable de su utilizacin.
enmascaramiento (como IP Spoofing), la organizacin
La identificacin del atacante puede ser una tarea que
podra lanzar un ataque contra equipos y redes inocentes, con
consuma bastante tiempo y recursos, por lo que no debera
las correspondientes responsabilidades legales que se derivan
interferir en la contencin y erradicacin del incidente.
de esta actuacin, por lo que podra ser denunciada por las
Algunas organizaciones optan por no perseguir legalmente a
organizaciones propietarias de estos equipos atacados a modo
los atacantes por el esfuerzo necesario: costes, trmites
de represalia.
judiciales, publicacin en los medios...
Adems, los ataques realizados desde otros pases con ciertas G. Comunicacin con terceros y Relaciones Pblicas
lagunas legales en el tratamiento de los delitos informticos El Plan de Respuesta a Incidentes tiene que contemplar cmo
pueden dificultar las reclamaciones judiciales, ya que se la organizacin debera comunicar a terceros la causa y las
complica en gran medida el proceso de extradicin de los posibles consecuencias de un incidente de seguridad
responsables . informtica.
Existen distintas tcnicas para determinar la direccin IP del As, dentro de este Plan de Respuesta deberan estar previstos
equipo (o equipos) desde el que se ha llevado a cabo el ataque los contactos con organismos de respuesta a incidentes de
contra el sistema informtico: utilizacin de herramientas seguridad informtica (como el CERT), con las fuerzas de
como ping, traceroute o whois; consulta en los registros seguridad (Polica o Guardia Civil en Espaa), con agencias
inversos de servidores DNS; etctera. de investigacin y con los servicios jurdicos de la
No obstante, es necesario tener en cuenta una serie de organizacin.
obstculos que pueden dificultar esta tarea: Tambin podra ser necesario establecer contactos con
Mediante tcnicas de IP Spoofing se podra proveedores de acceso a Internet, ya sea el proveedor de la
enmascarar la direccin en algunos tipos de ataque. propia organizacin o el proveedor o proveedores que dan
servicio a equipos desde los que se ha originado un ataque
El atacante podra estar utilizando equipos de terceros contra la organizacin.
para realizar sus acciones, situacin que se produce con Del mismo modo, en algunos casos sera recomendable
bastante frecuente hoy en da. contactar con los fabricantes de hardware y/o software que se
hayan visto involucrados en el incidente, debido a una
El atacante podra haber empleado una direccin IP vulnerabilidad o una mala configuracin de sus productos.
dinmica, asignada a su equipo por un proveedor de En el Plan de Respuesta a Incidentes tambin se deben
acceso a Internet. contemplar los contactos con terceros que pudieran haber sido
9

perjudicados por el incidente de seguridad, como en el caso de La Trans-European and Education Network Association
que se hubieran utilizado ordenadores de la organizacin para (TERENA) ha desarrollado un estndar para facilitar el
realizar un ataque contra sistemas y redes de otras entidades. registro e intercambio de informacin sobre incidentes de
De este modo, se podran limitar las responsabilidades legales seguridad: el estndar RFC 3067, con recomendaciones sobre
en las que podra incurrir la organizacin por culpa del la informacin que debera ser registrada en cada incidente
incidente de seguridad. (Incident Object Description and Exchange Format
Por otra parte, hay que tener en cuenta el cumplimiento de la Requirements).
normativa existente ya en algunos pases, que obliga a la Conviene destacar que una correcta y completa
notificacin de los incidentes de seguridad a determinados documentacin del incidente facilitar el posterior estudio de
organismos de la Administracin, as como a los ciudadanos cules han sido sus posibles causas y sus consecuencias en el
(generalmente clientes de la organizacin) que pudieran verse sistema informtico y los recursos de la organizacin. Por
afectados por dicho incidente. En los contactos con los supuesto, ser necesario evitar que personal no autorizado
clientes de la organizacin, el personal debera poder pueda tener acceso a esta documentacin sensible.
transmitir seguridad y tranquilidad, indicando en todo
I. Anlisis y revisin a posteriori del incidente
momento que la situacin est controlada.
Por ltimo, tambin ser conveniente definir un Plan de Dentro del Plan de Respuesta a Incidentes se tiene que
Comunicacin con los Medios: agencias de noticias, prensa, contemplar una etapa para el anlisis y revisin a posteriori
emisoras de radio y TV Para ello, la organizacin debera de cada incidente de seguridad, a fin de determinar qu ha
establecer quin se encargar de hablar con los medios y qu podido aprender la organizacin como consecuencia del
datos se podrn facilitar en cada momento. El interlocutor mismo.
debera estar preparado para responder a preguntas del estilo: Con tal motivo, ser necesario elaborar un informe final sobre
quin ha sido el responsable del ataque o incidente?, cmo el incidente, en el que se puedan desarrollar los siguientes
pudo suceder?, hasta qu punto se ha extendido por la aspectos de forma detallada:
organizacin?, qu medidas estn adoptando para 1) Investigacin sobre las causas y las consecuencias del
contrarrestarlo?, cules pueden ser sus consecuencias incidente:
tcnicas y econmicas?, etctera. Estudio de la documentacin generada por el equipo de
En la comunicacin con los medios, la organizacin debera respuesta a incidentes.
procurar no revelar informacin sensible, como los detalles
tcnicos de las medidas adoptadas para responder al incidente Revisin detallada de los registros de actividad (logs)
de seguridad, y evitar en la medida de lo posible las de los ordenadores y dispositivos afectados por el
especulaciones sobre las causas o los responsables del incidente.
incidente de seguridad.
Evaluacin del coste del incidente de seguridad para la
H. Documentacin del Incidente de Seguridad organizacin: equipos daados, software que se haya
El Plan de Respuesta a Incidentes debera establecer cmo se visto afectado, datos destruidos, horas de personal
tiene que documentar un incidente de seguridad, reflejando de dedicado a la recuperacin de los equipos y los datos,
forma clara y precisa aspectos como los que se presentan en la informacin confidencial comprometida, necesidad de
siguiente relacin: soporte tcnico externo, etctera.
Descripcin del tipo de incidente.
Anlisis de las consecuencias que haya podido tener
para terceros.
Hechos registrados (eventos en los logs de los
equipos).
Revisin del intercambio de informacin sobre el
incidente con otras empresas e instituciones, as como
Daos producidos en el sistema informtico.
con los medios de comunicacin.
Decisiones y actuaciones del equipo de respuesta.
Seguimiento de las posibles acciones legales
emprendidas contra los responsables del incidente.
Comunicaciones que se han realizado con terceros y
con los medios. 2) Revisin de las decisiones y actuaciones del equipo de
respuesta a incidentes:
Lista de evidencias obtenidas durante el anlisis y la
Composicin y organizacin del equipo.
investigacin.
Formacin y nivel de desempeo de los miembros.
Comentarios e impresiones del personal involucrado.
Rapidez en las actuaciones y decisiones: cmo
Posibles actuaciones y recomendaciones para reforzar
respondi el personal involucrado en el incidente?,
la seguridad y evitar incidentes similares en el futuro.
10

qu tipo de informacin se obtuvo para gestionar el servicios necesarios para el funcionamiento de los
incidente?, qu decisiones se adoptaron? sistemas informticos, as como de los parches y
actualizaciones correspondientes.
3) Anlisis de los procedimientos y de los medios tcnicos
empleados en la respuesta al incidente:
Formacin y entrenamiento del personal afectado por
Redefinicin de aquellos procedimientos que no hayan este plan y procedimientos de actuacin.
resultado adecuados.
Mantenimiento actualizado de una base de datos de
Adopcin de las medidas correctivas que se consideren contactos (personas y organizaciones).
necesarias para mejorar la respuesta ante futuros
2) Gestin del incidente de seguridad
incidentes de seguridad.
Aislamiento de los equipos afectados por el incidente,
Adquisicin de herramientas y recursos para reforzar la realizando adems una copia de seguridad completa de
seguridad del sistema y la respuesta ante futuros sus discos duros.
incidentes de seguridad.
Captura y proteccin de toda la informacin asociada
4) Revisin de las Polticas de Seguridad de la
con el incidente: registros de actividad (logs) de los
organizacin.
equipos y dispositivos de red, ficheros dentro de los
Definicin de nuevas directrices y revisin de las servidores, trfico intercambiado a travs de la red,
actualmente previstas por la organizacin para reforzar etctera.
la seguridad de su sistema informtico.
Catalogacin y almacenamiento seguro de toda esta
J. Prcticas recomendadas por el CERT/CC informacin para poder preservar las evidencias.
El CERT/CC (Computer Emergency Response Team / Convendra disponer de copias de seguridad con la
Coordination Center) ha propuesto una serie de actividades informacin del estado previo y del estado posterior al
para mejorar la respuesta de una organizacin ante los incidente de los equipos y sistemas afectados.
incidentes de seguridad informtica. Seguidamente se presenta
Revisin de toda la informacin disponible para poder
un extracto con algunas de las principales actividades
caracterizar el tipo de incidente o intento de intrusin.
propuestas por este organismo, agrupadas en tres fases o
Anlisis detallado de los registros de actividad (logs)
etapas:
y del estado de los equipos para determinar cul puede
1) Preparacin de la respuesta ante incidentes de ser el tipo de ataque o incidente, qu sistemas se han
seguridad visto afectados, qu modificaciones han realizado o qu
Definicin del plan de actuacin y los procedimientos programas han ejecutado los posibles intrusos dentro
para responder a los incidentes, especificando, entre de estos sistemas.
otras cuestiones, a quin se debe informar en caso de
incidente o qu tipo de informacin se debe facilitar y Comunicacin con todas las personas y organismos que
en qu momento (fase del incidente). deberan ser informados del incidente, cumpliendo con
lo establecido en las polticas y procedimientos de
Documentacin del plan de actuacin y de los respuesta a incidentes. Mantenimiento de un registro
procedimientos para responder a los incidentes. detallado de todas las comunicaciones y contactos
establecidos durante la respuesta ante el incidente.
Comprobacin de que el plan de actuacin y los
procedimientos previstos cumplen con los requisitos Participacin en las medidas de investigacin y de
legales y las obligaciones contractuales con terceros persecucin legal de los responsables del incidente.
(como, por ejemplo, exigencias de los clientes de la
organizacin). Aplicacin de soluciones de emergencia para tratar de
contener el incidente: desconectar los equipos
Adquisicin e instalacin de herramientas informticas afectados de la red corporativa; desactivar otros
y dispositivos que faciliten la respuesta ante incidentes. dispositivos y servicios afectados; apagar
Conviene disponer de equipos redundantes, temporalmente los equipos ms crticos; cambiar
dispositivos de red y medios de almacenamiento para contraseas e inhabilitar cuentas de usuarios;
poder recuperar el funcionamiento normal del sistema. monitorizar toda la actividad en estos equipos; verificar
que se dispone de copias de seguridad de los datos de
Verificacin de los procedimientos y dispositivos de los equipos afectados por el incidente; etctera.
copias de seguridad.
Eliminacin de todos los medios posibles que faciliten
Creacin de un archivo de discos de arranque y un una nueva intrusin en el sistema: cambiar todas las
conjunto de copias con todas las aplicaciones y contraseas de los equipos a los que hayan podido
11

tener acceso atacantes o usuarios no autorizados; Contemplar no slo la seguridad frente a las amenazas
revisar la configuracin de los equipos; detectar y del exterior, sino tambin las amenazas procedentes del
anular los cambios realizados por los atacantes en los interior de la organizacin.
equipos afectados; restaurar programas ejecutables y
ficheros binarios (como las libreras del sistema) desde La adaptacin de los objetivos de seguridad y de las
copias seguras; mejorar, si es posible, los mecanismos actividades a realizar a las necesidades reales de la
de registro de la actividad en estos equipos. organizacin. En este sentido, se deberan evitar
polticas y procedimientos genricos, definidos para
Recuperacin de la actividad normal de los sistemas tratar de cumplir los requisitos impuestos por otros
afectados: reinstalacin de aplicaciones y servicios, organismos.
incluyendo los parches y actualizaciones de seguridad;
Por lo tanto, podemos afirmar que hoy en da uno de los
restauracin de los datos de los usuarios y las
principios de las buenas prcticas de la gestin corporativa es
aplicaciones desde copias de seguridad; recuperacin
de las conexiones y servicios de red; verificacin de la el de la seguridad de la informacin, siendo responsabilidad
correcta configuracin de estos equipos. de la Alta Direccin el poner los recursos y medios necesarios
para la implantacin de un adecuado sistema de Gestin de la
3) Seguimiento del incidente de seguridad Seguridad de la Informacin en el conjunto de la
Identificacin de las lecciones y principales organizacin.
conclusiones de cada incidente, recurriendo para ello al Podemos definir el Sistema de Gestin de la Seguridad de
anlisis post-mortem de los equipos afectados por el la Informacin (SGSI) como aquella parte del sistema
incidente y entrevistando a las personas implicadas en general de gestin que comprende la poltica, la estructura
la gestin del incidente. organizativa, los procedimientos, los procesos y los recursos
necesarios para implantar la gestin de la seguridad de la
Implementacin de las mejoras de seguridad propuestas informacin en una organizacin.
como consecuencia de las lecciones aprendidas en A la hora de implantar un Sistema de Gestin de Seguridad
cada incidente: revisin de las polticas y de la Informacin una organizacin debe contemplar los
procedimientos de seguridad, realizacin de un nuevo siguientes aspectos:
anlisis detallado de las vulnerabilidades y riesgos del
sistema, etctera. 1. Formalizar la gestin de la seguridad de la
informacin.
VII. CONCLUSIONES Y LNEAS DE TRABAJO FUTURAS 2. Analizar y gestionar los riesgos.
Como conclusin de este trabajo, podemos destacar que la 3. Establecer procesos de gestin de la seguridad
seguridad de un sistema informtico depender de diversos siguiendo la metodologa PDCA:
factores, entre los que podramos destacar los siguientes: Plan: seleccin y definicin de medidas y
procedimientos.
La sensibilizacin de los directivos y responsables de la Do: implantacin de medidas y procedimientos
organizacin, que deben ser conscientes de la de mejora.
necesidad de destinar recursos a esta funcin. Check: comprobacin y verificacin de las
medidas implantadas.
Los conocimientos, capacidades e implicacin de los Act: actuacin para corregir las deficiencias
responsables del sistema informtico: dominio de la detectadas en el sistema.
tecnologa utilizada en el sistema informtico y 4. Certificacin de la gestin de la seguridad.
conocimiento sobre las posibles amenazas y los tipos
En todo este proceso es necesario contemplar un modelo
de ataques.
que tenga en cuenta los aspectos tecnolgicos, organizativos,
el cumplimiento del marco legal y la importancia del factor
La mentalizacin, formacin y asuncin de
responsabilidades de todos los usuarios del sistema. humano
No obstante, muchas empresas se preguntan si la Gestin
La correcta instalacin, configuracin y mantenimiento de la Seguridad de la Informacin genera una ventaja
de los equipos. competitiva para la organizacin. Sin embargo, lo que s
parece estar bastante claro es que una inadecuada gestin de la
La limitacin en la asignacin de los permisos y seguridad provocar, tarde o temprano, una desventaja
privilegios de los usuarios. competitiva. Por este motivo, convendra evitar que para
reducir el coste o los plazos de un proyecto no se consideren
El soporte de los fabricantes de hardware y software, de forma adecuada los aspectos de seguridad de la
con la publicacin de parches y actualizaciones de sus informacin.
productos que permitan corregir los fallos y problemas Adems, la implantacin de determinadas medidas de
relacionados con la seguridad. seguridad puede resultar incmoda para muchos usuarios del
12

sistema y, por ello, resulta fundamental contemplar la


adecuada formacin y sensibilizacin de los usuarios para que
estas medidas se puedan implantar de forma efectiva.
Por lo tanto, y como lneas de trabajo futuras, se propone
seguir profundizando en el estudio de los aspectos clave para
definir y poder implantar un adecuado Sistema de Gestin de
la Seguridad de la Informacin, adaptado a las necesidades y
caractersticas de cada organizacin.

REFERENCIAS

[1] J. Chirillo, Hack Attacks Revealed: A Complete Reference, John Wiley


& Sons, 2001.
[2] E. Cole, Hackers Beware, New Riders, 2001.
[3] E. Cole, R. Krutz, J. Conley, Network Security Bible, John Wiley &
Sons, 2005.
[4] J. Erickson, Hacking: The Art of Exploitation, No Starch Press, 2003.
[5] A. Gmez, Enciclopedia de la Seguridad Informtica, Ra-Ma, 2006.
[6] K. Kaspersky, Hacker Disassembling Uncovered, A-LIST Publishing,
2003.
[7] J. Long, Google Hacking for Penetration Testers, Syngress, 2005.
[8] S. McClure, S. Shah, Web Hacking: Attacks and Defense, Addison
Wesley, 2002.
[9] J. Mirkovic, S. Dietrich, D. Dittrich, P. Reiher, Internet Denial of
Service: Attack and Defense Mechanisms, Prentice Hall, 2004.
[10] R. Russell, Hack Proofing Your Network, Syngress, 2000.
[11] R. Russell, Stealing the Network: How to Own the Box, Syngress,
2003.
[12] J. Scambray, S. McClure, G. Kurtz, Hacking Exposed: Network
Security Secrets & Solutions - 2nd Edition, Osborne/McGraw-Hill,
2001.
[13] J. Scambray, M. Shema, Hacking Exposed Web Applications,
Osborne/McGraw-Hill, 2002.
[14] M. Shema, Anti-Hacker Tool Kit, Osborne/McGraw-Hill, 2002.
[15] H. Warren, Hacker's Delight, Addison Wesley, 2002.
[16] RFC 1244.
[17] RFC 2196.
[18] RFC 3067.

Alvaro Gmez Vieites naci en Vigo, Galicia, Espaa, el 10 de Abril de


1972. Se gradu en la Escuela Tcnica Superior de Ingenieros de
Telecomunicacin de la Universidad de Vigo, y posteriormente complet sus
estudios en la UNED (Ingeniera en Informtica de Gestin y Licenciatura en
Administracin de Empresas), en la Universidad Politcnica (Diploma de
Estudios Avanzados) y en la Escuela de Negocios Caixanova (programa de
posgrado Executive MBA).

Ejerci como profesor en la Escuela de Negocios Caixanova, donde


desempe el cargo de responsable de Sistemas de Informacin, y actualmente
es socio-director de la empresa SIMCe Consultores y profesor colaborador de
varias Escuelas de Negocios.

Autor de varios libros sobre el impacto de Internet y las nuevas tecnologas en


la gestin empresarial.

También podría gustarte