MDULO 1.

INTRODUCCIN A LA SEGURIDAD INFORMTICA

Este mdulo es fundamentalmente terico (el nico del curso), con tres lecciones que
introducen el concepto de seguridad, la relacin entre vulnerabilidades y riesgo, y plantean la
seguridad como un proceso continuo que requiere una valoracin de los riesgos, medidas
preventivas, deteccin de intrusiones y reaccin frente a ellas.

Como puede observarse, el curso sigue esta misma estructura, incluyendo sendos mdulos
sobre seguridad preventiva y deteccin de intrusiones. La valoracin de los riesgos y el
tratamiento de intrusiones simplemente se contextualizan en la introduccin, pero quedan
fuera de los contenidos del curso para acotar su duracin en el tiempo.

1
Leccin 1: Concepto de seguridad informtica

Definicin de seguridad informtica

Una buena definicin sera: "A computer is secure if you can depend on it and its
software to behave as you expect.", definicin tomada del libro "Practical UNIX and
Internet Security", de Simson Garfinkel, Gene Spafford y Alan Schwartz. Traducindola ms o
menos literalmente, vendra a decir que podemos afirmar que un ordenador es seguro si
podemos depender de que se comporte como esperamos.

Esta definicin incluye dos aspectos bsicos. Por una parte, introduce la necesidad de poder
depender de los sistemas informticos. Y, por otra, la nocin del comportamiento esperado,
que tiene dos aspectos complementarios:

Lo que esperamos que haga el sistema. Por ejemplo, servir pginas web, permitir
acceso remoto al administrador...
Lo que esperamos que no haga. Por ejemplo, incluir cdigo malicioso en las pginas que
sirve, permitir acceso remoto a usuarios no autorizados...

Primeras ideas sobre la seguridad

Antes de continuar, es necesario tener claro algunas ideas clave sobre la seguridad de los
sistemas informticos. De forma resumida, las ms importantes son:

No existen sistemas completamente seguros. El objetivo es conseguir un sistema

suficientemente seguro teniendo en cuenta las necesidades especficas de cada caso.
La seguridad es un proceso continuo que requiere participacin universal.

A continuacin se desarrollan estas ideas con ms detalle.

No existen sistemas seguros al 100%

Efectivamente, no existen sistemas completamente seguros. Todos los sistemas informticos
pueden ser comprometidos o, dicho de otro modo, cualquier sistema informtico puede acabar
comportndose de forma diferente a como de l se espera.

Existen diferentes motivos por los que se puede producir este comportamiento anmalo. Por
supuesto, puede haber fallos no intencionados del soporte fsico, o hardware; del soporte
lgico, o software; o de los propios usuarios). Los fallos pueden ser causados tambin por las
condiciones del entorno: temperatura excesiva, polvo en el ambiente, vibraciones... As mismo,
pueden ocurrir accidentes naturales (incendios, inundaciones...).

Pero lo que es necesario tener presente es que un atacante, si tiene suficientes conocimientos
y dispone los recursos que necesita, con el tiempo adecuado siempre lograr tener xito. Por lo
tanto, hay que tener en cuenta que el objetivo del profesional de seguridad no puede ser
garantizar una seguridad 100%, sino ayudar a alcanzar y mantener un nivel de seguridad
adecuado.

Necesidad de un compromiso
Puesto que no existe la seguridad absoluta, el objetivo debe ser garantizar una seguridad
adecuada, buscando un compromiso entre el coste de las medidas de seguridad y los
beneficios derivados de aumentar la seguridad del sistema.

2
La seguridad es un proceso
La nica manera de conseguir mantener un cierto nivel de seguridad es mantener una
actividad constante que incluya tres facetas complementarias: la prevencin, la deteccin y la
reaccin. Sin este proceso continuo, las medidas de prevencin irn siendo menos efectivas a
medida que se descubran nuevos errores y/o vas de ataque. Pero, adems, sin un proceso
continuo de deteccin y reaccin, las medidas preventivas resultarn poco eficaces, ya que el
atacante tendr tiempo de irlas descubriendo y evitando una a una.

Es necesaria la participacin universal

Todas las personas de la empresa u organizacin deben ser conscientes de la importancia que
sus acciones tienen para la seguridad del sistema. Lgicamente, los administradores suelen
estar especialmente concienciados de que una configuracin incorrecta puede permitir que el
sistema sea comprometido. Pero igualmente importante es que los usuarios sepan que al hacer
clic sobre un adjunto pueden estar permitiendo la entrada de programas maliciosos (malware)
en su sistema, o que al contestar a un desconocido por telfono pueden estar dndoles la
informacin que necesitan para progresar en su ataque.

Requisitos de seguridad
La palabra seguridad, incluso cuando se refiere a sistemas informticos, puede tener
implicaciones muy diferentes en funcin del contexto. Por eso, antes de avanzar en el curso
resulta conveniente conocer los diferentes requisitos relacionados con la seguridad que se
exigen a los sistemas informticos.

Los requisitos tradicionales de la seguridad son: secreto o confidencialidad, integridad y

disponibilidad. No obstante, tambin es necesario conocer otros requisitos como la
autenticacin, el no repudio, la auditabilidad o la privacidad.

Secreto o confidencialidad
Consiste en evitar el acceso a la informacin a personas no autorizadas. Supone, lgicamente,
que las personas sin autorizacin no puedan leer un documento, un correo electrnico o
cualquier otro tipo de datos: patentes industriales, secretos de estado, registros mdicos... Pero
tambin supone evitar que se pueda saber incluso que la informacin existe. Por ejemplo, el
simple hecho de saber que existen registros mdicos (o su nmero, o su frecuencia, o sus
fechas) de una persona, permite inferir informacin que puede ser sensible.

Integridad
Supone garantizar que la informacin solamente se modifica de forma adecuada. Es decir, que
solamente realizan modificaciones los usuarios autorizados y que las modificaciones mantienen
la consistencia de la informacin. Por ejemplo, que solamente quien tenga la autorizacin
pertinente puede modificar el saldo de una cuenta corriente; pero tambin que, si esta
modificacin es el resultado de una transferencia, el dinero se descuenta de la cuenta de
origen y se aade en la de destino.

Disponibilidad
Requiere garantizar que los sistemas estarn disponibles (ofreciendo el servicio esperado) para
los usuarios autorizados. Por eso, los ataques contra la disponibilidad de los sistemas se
conocen como ataques de denegacin de servicio, pues su objetivo es evitar que los

3
usuarios autorizados puedan utilizarlo (por ejemplo, un ataque contra un buscador o cualquier
otro servicio ofrecido a travs de Internet).

Autenticacin
Consiste en poder confirmar la identidad de un sujeto. El ejemplo ms habitual es la
introduccin de usuario y contrasea para comenzar a utilizar sistema o servicio web.

No repudio o responsabilidad (accountability)

Supone poder confirmar que un sujeto ha realizado una accin. O, dicho de otra forma, que un
sujeto no pueda refutar con xito que la ha realizado.

Auditabilidad
Requiere que sea posible trazar las acciones realizadas sobre un objeto. Eso supone que
queden registradas todas las operaciones que se realicen.

Privacidad
Aunque est relacionada con la confidencialidad, consiste en poder decidir qu informacin se
comparte y con quin, algo especialmente relevante a la hora de usar servicios de Internet.

4
Leccin 2: Vulnerabilidades, amenazas y riesgo

Vulnerabilidades
Se puede definir una vulnerabilidad como una debilidad en el sistema. Es decir, algn punto
dbil que, si alguien lo encuentra, puede ser usado para conseguir que el sistema se comporte
de forma diferente a la esperada. Las vulnerabiliades pueden existir tanto en los
procedimientos, como en el diseo y la implementacin.

Vulnerabilidades en los procedimientos

Son puntos dbiles en los procedimientos (no necesariamente informticos) que se utilizan en
el trabajo (empresas, organizaciones) o en la vida personal. Por ejemplo, que el procedimiento
en una empresa para recuperar una contrasea olvidada sea llamar por telfono.

Un atacante podra aprovechar este procedimiento para conseguir establecer una contrasea
de su eleccin en una de las cuentas. El ataque ser ms o menos sencillo en funcin de
detalles del procedimiento tales como si es necesario usar un telfono corporativo o est
permitido llamar desde cualquier nmero, si se conocen todos en la empresa, o si se solicita
algn mecanismo de identificacin adicional.

Vulnerabilidades en el diseo
Son puntos dbiles del diseo del sistema. Por ejemplo, un sistema puede estar diseado para
usar contraseas de un mximo de 8 caracteres.

En este caso el atacante puede aprovechar este hecho para tratar de adivinar la contrasea o
para probar todas las contraseas posibles (ataque por fuerza bruta). El ataque ser ms o
menos sencillo en funcin de cmo se eligen las contraseas (para tratar de adivinarla) o de la
velocidad con la que sea posible probar contraseas (fuerza bruta).

Vulnerabilidades en la implementacin
Aparecen cuando los puntos dbiles se deben a que la implementacin no se ajusta al diseo.
Por ejemplo, el diseo permite contraseas de longitud arbitraria, pero la implementacin
solamente almacena los primeros 8 caracteres, bien por limitaciones de los componentes
utilizados, bien por un fallo de implementacin.

Amenazas
Se puede definir amenaza como el conjunto de circunstancias que puede causar un
comportamiento no deseado del sistema. Las amenazas son peligrosas en tanto en cuanto
existen punto dbiles (vulnerabilidades) que permiten que se produzca el dao
(comportamiento no esperado del sistema). Los dos principales tipos de amenaza son las
naturales y las humanas.

Amenazas debidas a causas naturales

Lgicamente, los fenmenos naturales como fuegos, inundaciones o terremotos pueden causar
comportamientos no deseados de los sistemas. Por este motivo, los sistemas crticos suelen
estar replicados y distantes entre s, para reducir al mximo las interrupciones del servicio.

5
Otras causas naturales son menos llamativas, pero pueden ser igual de efectivas a la hora de
causar dao. Por ejemplo, ordenadores funcionando en salas con polvo, temperatura excesiva
o vibraciones fallarn con mayor facilidad que los que trabajan en entornos ms favorables.

Amenazas debidas a las personas

En esta categora entran tanto las causas involuntarias como voluntarias, tanto de personal de
la organizacin como externa a ella.

Las involuntarias se deben habitualmente a errores en el trabajo con los sistemas

informticos (por ejemplo, un administrador de sistemas que realiza un borrado recursivo por
error) como errores al usar los servicios ofrecidos (por ejemplo, un usuario que da de baja su
cuenta por error).

En cambio, las voluntarias hacen referencia a personas que tienen inters en provocar que los
sistemas informticos se comporten de forma diferente a la prevista. En este caso, se trata de
actividades maliciosas que tienen el carcter de ataque al sistema. En funcin de quin
realice el ataque, se habla de amenazas internas o externas.

Las amenazas internas se deben a personal interno o a posibles ataques lazados desde dentro
de la organizacin. A este grupo corresponden las amenazas debidas a personal resentido con
la empresa (por ejemplo, a causa de un despido) o que haya podido ser sobornado o
coaccionado a realizar actividades maliciosas. Estas personas disponen de conocimiento del
funcionamiento interno de los sistemas y, muchas veces, de acceso autorizado al sistema.
Tambin pertenecen a este grupo las amenazas de posibles ataques que se lancen desde
dentro de la empresa. Evidentemente, pueden ser debidos a usuarios autorizados con
comportamiento malicioso (grupo anterior). No obstante, esta participacin no es
imprescindible. En efecto, un ordenador corporativo puede haber sido comprometido sin
participacin ni conocimiento de su dueo (por ejemplo, por haber visitado un sitio web ya
comprometido, por abrir un adjunto de correo electrnico...). A esta categora pertenecera
tambin el uso de dispositivos propios en el entorno corporativo (BYOD, bring your own
device).

Las amenazas externas se corresponden con posibles ataques lanzados desde fuera de la
empresa u organizacin. Evidentemente, ataques que inicialmente son externos pueden
convertirse en internos en cuanto consiguen control de cualquier sistema corporativo,
especialmente de aqullos menos protegidos (por que se considera que al no ofrecer servicios
o no disponer de informacin sensible no sern objeto de ataque).

Independientemente de si son internas o externas, es interesante tambin distinguir entre

amenazas aleatorias y dirigidas. Las amenazas dirigidas son las que tienen un objetivo
especfico. Por ejemplo, una persona o empresa en particular. Normalmente, los ataques
asociados suelen tener una mayor preparacin previa y contar con ms recursos. En cambio,
las aleatorias son aqullas que se lanzan en busca de sistemas vulnerables, realizando
barridos a travs de redes enteras (incluso a toda Internet). Normalmente este tipo de ataques
tiene como objetivo tomar control de sistemas poco protegidos como paso previo para la
realizacin de otro tipo de actividades maliciosas. Estos sistemas intermedios pueden ser
agregados en grandes redes (botnets) controladas remotamente para realizar ataques
masivos (DDOS, ataque por fuerza bruta a contraseas, captura de credenciales bancarias...).
Adems, estos sistemas intermedios siven para dificultar la identificacin del origen real de los
ataques.

Tipos de ataques y atacantes

Dento de las amenazas con origen malicioso, conviene continuar la tarea de clasificacin para
conocer mejor a qu se enfrentan los sistemas. En este sentido, se distinguen entre diferentes
tipos de ataques y de atacantes.

6
Atacante humano frente a ataque automatizado
Uno de los aspectos importantes a tener en cuenta es que, cada vez ms, los ataques son, en
gran medida, automatizados. Es decir, no los realiza una persona de forma interactiva, paso a
paso, a ritmo humano. Al contrario, los ataques son lanzados mediante programas que trabajan
al ritmo que permiten los ordenadores. Esto significa que la reaccin tiene que ser tambin
automtica, pues desde que se encuentra una vulnerabilidad hasta que el sistema ha sido
completamente comprometido pueden pasar unas pocas dcimas de segundo.

Incluso en los ataques iniciados por una persona que prueba inicialmente el sistema y, en
funcin de lo que encuentra contina avanzando, el atacante tendr habitualmente preparados
programas para lanzar en el momento adecuado para evitar ser detectado o ser expulsado del
sistema antes de haberse garantizado acceso continuado al sistema (por ejemplo, mediante la
instalacin de puertas traseras y/o troyanos).

Frecuencia, severidad y APTs

Otro aspecto relevante es la frecuencia con la que se pueden esperar los ataques y la
intensidad de los esfuerzos tras dichos ataques. Los ataques ms frecuentes son los no
dirigidos, que continuamente exploran las redes en busca de sistemas poco protegidos (low
hanging fruit, como se dice en ingls). No obstante, la intensidad de los ataques no hace sino
aumentar, ya que los beneficios econmicos detrs de ataques con xito dependen de la
importancia de los sistemas y, como ya se ha discutido, la informacin que los sistemas
manejan es cada vez mayor y ms sensible, la dependencia de los sitemas es tambin cada
vez mayor y, cada vez ms, incluyen instalaciones y servicios crticos (electricidad, agua,
transportes, instalaciones industriales...).

Es precisamente este aumento del nmero de sistemas interconectados y de su importancia

estratgica para personas, empresas, organizaciones, estados..., lo que ha causado la aparicin
de lo que se han denominado APTs, Advanced Persistent Threats, o, en castellano,
Amenazas Avanzadas Persistentes. Las APTs se caracterizan por corresponderse con ataques
avanzados. Es decir, con gran cantidad de recursos, con un elevado nivel de sofistificacin y
de conocimiento y claramente dirigidos a un cierto objetivo. Pero, al mismo tiempo, con un
inters en permanecer ocultos, pasando inadvertidos, de forma que se pueda mantener la
actividad en los sistemas comprometidos durante meses o aos, sin ser descubiertos. Esto
hace de ellos ataques persistentes, claramente relacionados con objetivos a largo plazo,
muchas veces relacionados con el espionaje (industrial, econmico, de personas o estados...).

Tipos de atacantes
Sin tratar de ser exahustivos, los atacantes pueden ser:

Individuos. Inicialmente, la mayor parte de ataques tena su origen en individuos que

simplemente tenan curiosidad y ganas de aprender, o que lo hacan por diversin o
desafo. Hoy en da, la presin econmica (hay gente dispuesta a pagar a las personas
con estas habilidades) hace que la mayor parte de ataques tengan una motivacin
econmica o de venganza, pues ya nadie considera como inocuas o loables este tipo de
actvidades.

Grupos de personas. De forma similar a los atacantes individuales, pero ms o menos

organizados, muchas veces con financiacin externa.

El crimen organizado. La rentabilidad econmica de los ciberataques, junto con la

dificultad que tienen las fuerzas del orden para perseguir internacionalmente estas
actividades, hace que muchas organizaciones criminales opten por incluir la
ciberdelincuencia entre sus fuentes de ingreso.

7
 Terroristas. La dependencia cada vez mayor de sistemas informticos y la posibilidad
de, mediante ciberataques, causar dao o terror (apagones, accidentes de todo tipo...),
hace que los terroristas comiencen a optar por esta va de actuacin.

Estados. Tambin los estados estn involucrados cada vez ms abiertamente en

actividades de ciberespionaje, ciberataque y ciberdefensa.

Riesgo
Para establecer el nivel de seguridad adecuado para un sistema, es necesario hacer una
estimacin del riesgo al que debe hacer frente. Aunque la estimacin de riesgos queda fuera
de los objetivos de este curso, de forma informal, resulta til definir el riesgo como una funcin
de cuatro elementos: vulnerabilidades, amenazas, probabilidad e impacto.

Vulnerabilidades. Un anlisis de vulnerabilidades es la base para conocer los puntos

dbiles del sistema y, por tanto, un factor esencial a la hora de calcular el riesgo. Hay
que tener en cuenta que continuamente se descubren vulnerabilidades en las
aplicaciones, protocolos y sistemas que se utilizan, por lo que es necesaria una
actualizacin peridica.

Amenazas. Dependiendo de la funcin del sistema, de la informacin que gestiona y

de la activiadad de la empresa u organizacin, ser necesario estimar qu tipo de
amenazas son de aplicacin a cada caso concreto.

Probabilidad. Es la probabilidad de que las vulnerabilidades sean explotadas en la

prctica. Esta probabilidad ser mayor cuanto ms fcilmente explotable sea una
vulnerabilidad, pero tambin cuanto mayor sea el nivel de amenaza.

Impacto. En caso de que un ataque tenga xito, qu consecuencias tendra? Es

conveniente destacar que es fcil subestimar el impacto, pues es necesario tener en
cuenta todos los posibles efectos perniciosos que un ataque puede causar (interrupcin
total o parcial de la actividad de la empresa, clientes insatisfechos, prdida de
credibilidad, prdida de oportunidades...).

Aunque estn claramente relacionadas con los cuatro factores que se acaba de discutir, resulta
til tener en cuenta los siguientes aspectos adicionales:

Todos los sistemas estn bajo amenaza. Como ya se ha discutido, aunque no sean un
objetivo en s mismo, cualquier sistema es til para algn tipo de atacante. A modo de
ejemplo, se pueden usar para incluirlo en botnets, para ocultar el origen real de un
posterior ataque o como paso previo para un ataque mayor.

Pueden, y probablemente existirn, vulnerabilidades que solamente conoce el atacante

(vulnerabilidades de da cero). Estas vulnerabilidades tienen su propio mercado
negro y se mantienen ocultas hasta que son utilizadas.

La probabilidad de sufrir un ataque es, probablemente, mayor que la estimada. (Ver los
dos tems anteriores).

El impacto ser, probablemente, mayor de lo estimado.

8
Leccin 3: La seguridad como un proceso

El proceso de la seguridad
"La seguridad es un proceso". Esta frase, acuada por Bruce Schneier hace unos aos,
sigue teniendo plena vigencia hoy en da. Tal y como se vio al introducir el concepto de
seguridad, mantener un cierto nivel de seguridad exige, efectivamente, un proceso continuo de
mejora que incluya las siguientes fases: anlisis, prevencin, deteccin y respuesta. Estas
etapas son complementarias entre s y, realizadas adecuadamente crean un crculo virtuoso
que permite mantener la seguridad a lo largo del tiempo.

La primera etapa, el anlisis de riesgos, ya ha sido analizada en el apartado anterior y, como

all se discuta, el nivel de riesgo cambia con el tiempo. Efectivamente, continuamente se
descubren nuevas vulnerabilidades en los sistemas y tambin cambian las amenazas,
normalmente porque aparecen nuevas amenazas o porque se hacen ms intensas las ya
existentes. Adems, las empresas y organizaciones tampoco pueden mantenerse estticas:
cambian sus mercados, sus productos, sus servicios, sus objetivos... Todo ello hace que
tambin cambien el impacto y la probabilidad; y, por tanto, tambin lo hace el riesgo.

Las otras tres etapas son las que, realizadas de forma adecuada, permitirn detectar los
intentos de intrusin y reaccionar ante ellos minimizando el impacto, al mismo tiempo que se
aprende y se mejoran los mecanismos y procedimientos relacionados con la seguridad, tal y
como se discute en los apartados siguientes.

Prevencin
En esta fase se realizan dos tareas complementarias. Por una parte, se debe configurar
adecuadamente el sistema para protegerlo frente a los ataques conocidos. Por otra, se debe
preparar al sistema para detectar y responder frente a los ataques que se producirn.

Configuracin adecuada del sistema

Supone configurar el sistema para que se comporte exactamente como de l se espera. Tal y
como se explic al definir la seguridad informtica, esto tiene dos vertientes: que el sistema
ofrezca los servicios que de l se espera y que, por otra parte, no pueda ser utilizado para otros
propsitos (como obtener informacin no autorizada o atacar a terceros). Para ello es
conveniente seguir las recomendaciones de buenas prcticas existentes. Las recomendaciones
ms habituales son:

Instalar versiones recientes de software

Es recomendable instalar versiones recientes del software. Efectivamente, cuando se
descubren nuevas vulnerabilidades, stas se corrigen en las versiones posteriores del software.
Por tanto, las versiones antiguas suelen incluir ms vulnerabilidades que las recientes.

No obstante, cuando se aade nueva funcionalidad o se realizan cambios significativos en un

sistema, es habitual que se introduzcan nuevas vulnerabilidades. Por este motivo, en sistemas
en los que se desee mantener un elevado nivel de seguridad conviene esperar un tiempo antes
de desplegar versiones con cambios significativos.

Instalar los parches disponibles

En muchos casos, cuando se descubren nuevas vulnerabilidades, stas se solucionan

9
realizando pequeos cambios sobre las versiones recientes del software. Estos cambios reciben
el nombre de parches y es recomendable instalarlos lo antes posible, pues una vez se publica
una vulnerabilidad se abre una ventana de tiempo en la que los sistemas tienen una elevada
probabilidad de ser atacados.

Si bien es cierto que, a veces, los parches pueden provocar a su vez problemas, en general, es
recomendable su aplicacin inmediata. En el caso de sistemas crticos, se recomienda aplicar
primero los cambios en el entorno de desarrollo, para detectar estos posibles problemas antes
de aplicar los parches al sistema de produccin.

Instalar la mnima cantidad de software posible

Esta recomendacin es, quiz, la que ms autocontrol exige, ya que los sistemas actuales
incluyen espacio de sobra para hacer una "instalacin completa" y as, de paso, tener el
sistema preparado para el futuro, por si hay que dotarle de ms funcionalidad. Sin embargo,
hacer una "instalacin mnima" tiene mltiples ventajas:

El mantenimiento del sistema es ms sencillo, porque es necesario actualizar menos

componentes.

Tener software instalado supone un riesgo, especialmente software que requiere

privilegios elevados para su ejecucin. Una vulnerabilidad en un componente instalado,
aunque no est en ejecucin, puede ser usada para escalar privilegios.

Resulta ms sencillo (y rpido) detectar cambios en el sistema, ya que hay menos

elementos que comprobar.

En caso de ser comprometido el sistema, el atacante dispone de menos herramientas

para causar dao. Por ejemplo, si no hay herramientas de desarrollo y necesita compilar
un programa deber instalarlas primero. Esto supone una ventana de tiempo adicional
en la que la intrusin puede ser detectada y tratada. Adems, el propio hecho de
descargar software adicional puede hacer saltar una alarma que, de otra forma, no
hubiera saltado.

Preparacin para la deteccin y tratamiento de intrusiones

Hoy en da, hay que contar que todos los sistemas sern atacados. Adems, ya se ha
justificado que no existen sistemas 100% seguros. Por lo tanto, antes de conectar nuestro
sistema a la red es necesario prepararlo para cuando sea atacado.

Caracterizacin del sistema

Una de las tareas fundamentales es caracterizar el sistema para ser capaces de reconocer
ataques o problemas nuevos o inesperados. Para ello es necesario:

Definir el comportamiento esperado con precisin suficiente como para que sea posible
detectar desviaciones significativas.

Identificar la informacin necesaria para detectar las intrusiones y poder averiguar cmo se
producen.

Seleccionar, instalar y configurar los mecanismos de recopilacin de informacin (por ejemplo,

registros de actividad).

Herramientas de respuesta

10
Otra tarea fundamental es dotar al sistema de las herramientas adecuadas para el tratamiento
de las intrusiones. Esto supone seleccionar, instalar y comprender las herramientas de
respuesta. Aunque se pueda pensar otra cosa, el momento adecuado para la preparacin de
estas herramientas es antes de el sistema sea atacado, cuando hay tiempo para reflexionar,
analizar y planficar. De esta forma ser posible contener el dao y responder en el menor plazo
de tiempo posible.

Procedimientos de actuacin
Al igual que con las herramientas de deteccin y respuesta, los procedimientos para la
deteccin y el tratamiento de incidentes deben ser definidos a priori, de forma que los
implicados los conozcan, los comprendan y, por tanto, puedan aplicarlos con rapidez y eficacia
llegado el caso.

Deteccin
Esta fase comienza cuando el sistema se pone "en produccin", es decir, cuando comienza a
realizar su tarea. Aunque desde el punto de vista del usuario comienza la vida til del sistema,
desde el punto de vista de la seguridad es la fase del proceso continuo en la que se monitoriza
el comportamiento del sistema y se analiza si es necesario realizar cambios.

Monitorizacin
El objetivo de esta actividad es poder detectar los ataques que se produzcan para poder
reaccionar a tiempo. En el mejor de los casos, las medidas preventivas sern suficientes para
evitar que el ataque tenga xito. Cuando no es as, la monitorizacin permitir detectar y tratar
la intrusin lo antes posible, limitando as el dao causado.

Esta actividad presenta, adems, ventajas adicionales, ya que permite detectar todo tipo de
situacin anmalas, como sistemas de ficheros que estn cerca de llenarse, discos que estn a
punto de fallar, fallos de configuracin de las aplicaciones, saturacin de las redes...

Necesidad de cambios
Durante el funcionamiento normal del sistema, incluso cuando no hay ataques con xito, es
necesario muchas veces realizar cambios en el sistema. Algunos ejemplos son:

Avisos externos de vulnerabilidades. Cuando se descubre una vulnerabilidad, las

listas especializadas (CVE, CERTs...) lanzan avisos de seguridad. Incluso antes de que
haya parches que resuelvan la debilidad, puede ser necesario tomar medidas para
mitigar el riesgo, como ajustar la configuracin o aumentar las restricciones de acceso
temporalmente.

Disponibilidad de nuevos parches. Como ya se ha comentado, es recomendable

aplicar los parches lo antes posible, siempre previendo la posibilidad de efectos
secundarios.

Disponibilidad de nuevas versiones de software. Con el tiempo, ser necesario

planificar el cambio a versiones con mayor funcionalidad para poder ofrecer un mejor
servicio a los usuarios. Aunque ya se ha discutido el riesgo implicado, llegar el
momento en el que los beneficios justifiquen el cambio.

Cambios en los requisitos del sistema. Lgicamente ser necesario adaptar el

sistema a las nuevas necesidades de clientes, o a los nuevos objetivos que se marque la

11
 empresa u organizacin.

Respuesta
Una vez se detecta una intrusin, es necesario reaccionar rpidamente para recuperar el
funcionamiento normal del sistema. Una vez conseguido, sin embargo, no debe finalizar en
este punto el tratamiento del incidente, sino que se debe identificar lo aprendido para mejorar.

Recuperar el funcionamiento normal del sistema

Esta fase es la de las urgencias, pues se tiene un sistema en el que no se puede confiar. La
rapidez y efectividad con que pueda ser tratado el incidente depende, sobre todo, de la fase de
prevencin y, en particular, de las herramientas y procedimientos que se hayan previsto para
el tratamiento de incidentes. Los pasos principales son los siguientes:

Establecer el alcance del dao. Es necesario averiguar qu elementos del sistema

han sido comprometidos y en cules se puede confiar todava.

Contener los efectos. Es decir, evitar que el dao se propague. Por ejemplo, evitar
que el intruso pueda escalar privilegios y llegar a ser administrador, que pueda
comprometer otros sistemas...

Eliminar la posibilidad de nuevas intrusiones. Usando las herramientas y la

informacin disponible (registros de sistema, trazas de red...), averiguar cmo se ha
producido la intrusin y cmo evitar que se vuelva a producir, asegurndose adems de
que el atacante no ha dejado tras de s puertas traseras u otros mecanismos de control
del sistema.

Devolver el sistema a su funcionamiento normal. Tras cerrar las vulnerabilidades

que han sido explotadas, ser necesario usar copias de seguridad o los mecanismos
establecidos para volver al comportamiento esperado del sistema.

Aprovechar para mejorar

Una vez recuperado el funcionamiento normal del sistema hay tiempo para realizar una
reflexin ms profunda sobre el incidente, identificar lo aprendido y usarlo para mejorar la
seguridad del sistema. En esta fase final del tratamiento del incidente sera recomendable:

Comunicarse con otros afectados. Esto permite obtener informacin

complementaria y saber ms sobre lo que realmente ha ocurrido. Por ejemplo, ha sido
un ataque dirigido exclusivamente contra una organizacin?, se ha utilizado en todos
los nodos las mismas vas de entrada?

Reunirse para identificar lo aprendido. Realizar una puesta en comn dentro de la

organizacin para correlar diferentes fuentes de informacin, tales como el
administrador de sistemas, el de base de datos, el del servidor de aplicaciones... De
esta forma ser posible dejar por escrito qu es lo que ocurri exactamente, qu se hizo
para tratar el incidente y qu se podra haber hecho mejor.

Actualizar el anlisis de riesgos, las polticas y los procedimientos. A partir de

lo aprendido, es posible se puedan mejorar aspectos como la estimacin del riesgo, la
poltica de seguridad y los procedimientos para aplicarla y comprobar que se cumple.

Actualizar la configuracin de las herramientas y/o seleccionar herramientas

nuevas. A partir de lo ocurrido y de los cambios en polticas y procedimientos ser

12
necesario mejorar las medidas preventivas y de tratamiento de incidentes.

13