Está en la página 1de 223

LÍEA DE IVESTIGACIÓ: REDES Y SISTEMAS OPERATIVOS

AUTOR: JOHNNY DAVID VILLAVICENCIO MORÁN

ESTUDIO DE LAS VULNERABILIDADES EN TECNOLOGÍAS DE


VIRTUALIZACIÓN CON VMWARE EN MICROCOMPUTADORAS,
DETERMINANDO LOS DELITOS INFORMÁTICOS QUE PODRÍAN AFECTAR
A ESTOS SISTEMAS, EN EL SECTOR EMPRESARIAL DE LA CIUDAD DE
GUAYAQUIL, EN EL AMBITO BANCARIO, COMERCIAL, Y DE SERVICIOS
EN GENERAL

PROYECTO DE TESIS ° 6

TUTOR: ING. OMAR OTERO MSc.


UIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS


CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES

ESTUDIO DE LAS VULNERABILIDADES EN TECNOLOGÍAS DE


VIRTUALIZACIÓN CON VMWARE EN MICROCOMPUTADORAS,
DETERMINANDO LOS DELITOS INFORMÁTICOS QUE PODRÍAN AFECTAR
A ESTOS SISTEMAS, EN EL SECTOR EMPRESARIAL DE LA CIUDAD DE
GUAYAQUIL, EN EL AMBITO BANCARIO, COMERCIAL, Y DE SERVICIOS
EN GENERAL

TESIS DE GRADO

Previa a la obtención del Título de:

IGEIERO E SISTEMAS COMPUTACIOALES

JOHNNY DAVID VILLAVICENCIO MORÁN


TUTOR: ING. OMAR OTERO MSc.

GUAYAQUIL – ECUADOR
2011
UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS

CARRERA DE IGEIERIA E SISTEMAS COMPUTACIOALES

ESTUDIO DE LAS VULNERABILIDADES EN TECNOLOGÍAS DE


VIRTUALIZACIÓN CON VMWARE EN MICROCOMPUTADORAS,
DETERMINANDO LOS DELITOS INFORMÁTICOS QUE PODRÍAN AFECTAR
A ESTOS SISTEMAS, EN EL SECTOR EMPRESARIAL DE LA CIUDAD DE
GUAYAQUIL, EN EL AMBITO BANCARIO, COMERCIAL, Y DE SERVICIOS
EN GENERAL

Proyecto de trabajo de grado que se presenta como requisito para optar por el título

de INGENIERO en SISTEMAS COMPUTACIONALES

Autor: Johnny Villavicencio Morán

C.I. 1711913473

Tutor: Ing. Omar Otero

Guayaquil, 5 de Septiembre de 2011


i

UIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS


CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES

ESTUDIO DE LAS VULNERABILIDADES EN TECNOLOGÍAS DE


VIRTUALIZACIÓN CON VMWARE EN MICROCOMPUTADORAS,
DETERMINANDO LOS DELITOS INFORMÁTICOS QUE PODRÍAN AFECTAR
A ESTOS SISTEMAS, EN EL SECTOR EMPRESARIAL DE LA CIUDAD DE
GUAYAQUIL, EN EL AMBITO BANCARIO, COMERCIAL, Y DE SERVICIOS
EN GENERAL

TESIS DE GRADO

Previa a la obtención del Título de:

IGEIERO E SISTEMAS COMPUTACIOALES

JOHNNY DAVID VILLAVICENCIO MORÁN


TUTOR: ING. OMAR OTERO MSc.

GUAYAQUIL – ECUADOR
2011
ii

CERTIFICADO DE ACEPTACIÓ DEL TUTOR

En mi calidad de Tutor del Primer Curso de Fin de Carrera, nombrado por el


Departamento de Graduación y la Dirección de la Carrera de Ingeniería en Sistemas
Computacionales de la Universidad de Guayaquil,

CERTIFICO:

Que he analizado el Proyecto de Grado presentado por el egresado


JOHNNY DAVID VILLAVICENCIO MORÁN, como requisito previo para optar por el
título de Ingeniero cuyo problema es:

ESTUDIO DE LAS VULNERABILIDADES EN TECNOLOGÍAS DE


VIRTUALIZACIÓN CON VMWARE EN MICROCOMPUTADORAS,
DETERMINANDO LOS DELITOS INFORMÁTICOS QUE PODRÍAN AFECTAR
A ESTOS SISTEMAS, EN EL SECTOR EMPRESARIAL DE LA CIUDAD DE
GUAYAQUIL, EN EL AMBITO BANCARIO, COMERCIAL, Y DE SERVICIOS
EN GENERAL

considero aprobado el trabajo en su totalidad.

Presentado por:

JOHNNY DAVID VILLAVICENCIO MORAN C.I.: 1711913473

Tutor: Ing. Omar Otero MSc.

Guayaquil, 5 de Septiembre de 2011


iii

Guayaquil, 5 de Septiembre de 2011

APROBACIO DEL TUTOR

En mi calidad de Tutor del trabajo de investigación, ESTUDIO DE LAS


VULNERABILIDADES EN TECNOLOGÍAS DE VIRTUALIZACIÓN CON
VMWARE EN MICROCOMPUTADORAS, DETERMINANDO LOS DELITOS
INFORMÁTICOS QUE PODRÍAN AFECTAR A ESTOS SISTEMAS, EN EL
SECTOR EMPRESARIAL DE LA CIUDAD DE GUAYAQUIL, EN EL AMBITO
BANCARIO, COMERCIAL, Y DE SERVICIOS EN GENERAL

Elaborado por el Sr. JOHNNY DAVID VILLAVICENCIO MORÁN, egresado de


la Carrera de Ingeniería en Sistemas Computacionales, Facultad de Ciencias
Matemáticas y Físicas de la Universidad de Guayaquil, previo a la obtención del
Título de Ingeniero en Sistemas, me permito declarar que luego de haber orientado,
estudiado y revisado, la Apruebo en todas sus partes.

Atentamente

………………………………….

Ing. Omar Otero MSc.

TUTOR
iv

TRIBUAL DE GRADO

DECANO DE LA FACULTAD DIRECTOR


CIENCIAS MATEMATICAS Y FISICAS

MIEMBRO DEL TRIBUNAL MIEMBRO DEL TRIBUNAL

ING. OMAR OTERO MSc.

TUTOR SECRETARIO
v

DEDICATORIA

Dedico a Dios que me ha dado la fuerza, salud y mucha sabiduría, para luchar y

alcanzar la meta que me he propuesto.

A mi esposa Esthelita que sin su apoyo, amor y paciencia no hubiera sido posible

concluir con éxito esta gran meta.

A mis Padres Dalton y Lourdes por creer en mí y darme su apoyo incondicional que

me motivaron a lo largo de este proyecto.

A ustedes dedico esta Tesis

Johnny Villavicencio Morán


vi

AGRADECIMIETO

A Dios, por su ayuda constante sosteniendo mi vida y guiándome a alcanzar esta meta

que sirve a mi edificación y crecimiento profesional.

A mi Esposa y a mis padres por su esfuerzo y aliento en todo instante.

Al Ing. Omar Otero quien fue mi Tutor y guía para la culminación a satisfacción del

presente Proyecto de Investigación.

Johnny Villavicencio Morán.


vii

ÍDICE GEERAL

COTEIDO PÁG.
PÁGIAS PRELIMIARES

UNIVERSIDAD DE GUAYAQUIL ......................................................................................... i

CERTIFICADO DE ACEPTACIÓN DEL TUTOR................................................................. ii

APROBACION DEL TUTOR................................................................................................. iii

TRIBUNAL DE GRADO ........................................................................................................ iv

DEDICATORIA ....................................................................................................................... v

AGRADECIMIENTO ............................................................................................................. vi

ÍNDICE GENERAL ............................................................................................................... vii

ÍNDICE DE CUADROS......................................................................................................... xii

ÍNDICE DE GRÁFICOS ....................................................................................................... xiv

RESUMEN ........................................................................................................................... xvii

INTRODUCCIÓN .................................................................................................................... 1

CAPÍTULO I.- EL PROBLEMA

PLANTEAMIENTO DEL PROBLEMA ................................................................................. 5

SITUACIÓN CONFLICTO NUDOS CRÍTICOS .................................................................... 6

CAUSAS Y CONSECUENCIAS DEL PROBLEMA ............................................................. 7

DELIMITACIÓN DEL PROBLEMA ...................................................................................... 8

FORMULACIÓN DEL PROBLEMA ...................................................................................... 8

EVALUACIÓN DEL PROBLEMA ......................................................................................... 8

OBJETIVO GENERAL ............................................................................................................ 9

OBJETIVOS ESPECÍFICOS.................................................................................................. 10

ALCANCES ........................................................................................................................... 10
viii

JUSTIFICACIÓN E IMPORTANCIA ................................................................................... 11

CAPÍTULO II.- MARCO TEÓRICO

ANTECEDENTES DEL ESTUDIO ....................................................................................... 13

FUNDAMENTACIÓN TEÓRICA......................................................................................... 13

LAS MICROCOMPUTADORAS .......................................................................................... 14

CARACTERÍSTICAS DE LA MICROCOMPUTADORAS ............................................ 15


COMPONENTES DE LAS MICROCOMPUTADORAS ................................................. 16
LAS MAQUINAS VIRTUALES ........................................................................................... 18

VENTAJAS DE LAS MÁQUINAS VIRTUALES ............................................................ 19


MÁQUINAS VIRTUALES VMWARE ............................................................................... 22

VERSIONES DE MÁQUINAS VIRTUALES VMWARE .............................................. 24


LA VIRTUALIZACIÓN ........................................................................................................ 26

VENTAJAS Y DESVENTAJAS DE LA VIRTUALIZACIÓN ........................................ 28


TIPOS DE VIRTUALIZACIÓN ........................................................................................ 30
TIPO NATIVO, UNHOSTED O SOBRE EL METAL DESNUDO (BARE METAL) .... 30
TIPO HOSTED. ................................................................................................................. 31
VULNERABILIDADES EN MÁQUINAS VIRTUALES VMWARE ................................. 32

VULNERABILIDADES EN OPENSSL, BIN Y VIM ...................................................... 33


AGUJERO EN MÁQUINA VIRTUAL VMWARE FUSION ......................................... 344
VULNERABILIDADES EN EL SOFTWARE DHCP .................................................... 355
VULNERABILIDADES EN VARIOS PRODUCTOS VMWARE ................................ 366
MÚLTIPLES VULNERABILIDADES EN VARIOS PRODUCTOS VMWARE. 24-11-
2009 .................................................................................................................................... 37
VMWARE MÚLTIPLES VULNERABILIDADES ........................................................ 399
VULNERABILIDAD EN VMWARE AFECTA A EQUIPOS BAJO WINDOWS ...... 41
¿QUÉ ES X-FORCE? ............................................................................................................. 42

SOFTWARE DE PROTECCIÓN PARA MÁQUINAS VIRTUALES VMWARE .............. 43


ix

SEGURIDAD DE LA GESTIÓN DE LA VIRTUALIZACIÓN ........................................... 45

IBM VIRTUAL SERVER SECURITY PARA VMWARE ................................................... 44

PLANIFICAR: DEFINICIÓN DE UNA CONFIGURACIÓN ADECUADA ................... 49


HACER: SEGURIDAD ADMINISTRATIVA EN LAS OPERACIONES ....................... 51
VERIFICAR: MONITORIZACIÓN DE ACCIONES ADMINISTRATIVAS ................. 52
ACTUAR: LA IMPORTANCIA DE LA RESPUESTA .................................................... 54
LOS SISTEMAS INFORMÁTICOS ...................................................................................... 55

LA INFORMACIÓN .............................................................................................................. 56

LA INFORMACIÓN ISO/IEC 17799 ............................................................................... 56


SEGURIDAD INFORMÁTICA ............................................................................................. 57

IMPORTANCIA DE PROTEGER LA INFORMACIÓN ................................................. 58


TÉRMINOS DE LA SEGURIDAD INFORMÁTICA ....................................................... 59
SEGURIDAD DEPENDIENDO DE LA AMENAZA ........................................................... 60

LA SEGURIDAD FÍSICA ................................................................................................. 60


TIPOS DE DESASTRES ................................................................................................... 61
LA SEGURIDAD LÓGICA ................................................................................................... 61

OBJETIVOS ....................................................................................................................... 62
CONTROLES DE ACCESO .............................................................................................. 63
NIVELES DE SEGURIDAD INFORMÁTICA ..................................................................... 67

LOS DELITOS INFORMÁTICOS ........................................................................................ 71

CARACTERÍSTICAS DE LOS DELITOS ........................................................................ 72


DENUNCIAS DE DELITOS INFORMÁTICOS ................................................................... 84

DELÍTOS INFORMÁTICOS EN MÁQUINAS VIRTUALES ............................................. 85

PREGUNTAS A CONTESTARSE ........................................................................................ 87

VARIABLES DE LA INVESTIGACIÓN ............................................................................. 88

VARIABLE INDEPENDIENTE ........................................................................................ 88


VARIABLE DEPENDIENTE ............................................................................................ 88
DEFINICIONES CONCEPTUALES ..................................................................................... 88
x

FUNDAMENTACIÓN FILOSÓFICA ................................................................................ 109

FUNDAMENTACIÓN LEGAL .......................................................................................... 112

SANCIONES PARA LOS DELITOS INFORMÁTICOS EN EL ECUADOR ................... 112

CÓDIGO DE PROCEDIMIENTO PENAL Y CÓDIGO DE PROCEDIMIENTO CIVIL . 113

DELITOS INFORMÁTICOS ............................................................................................... 113

LOS ARTÍCULOS................................................................................................................ 114

TIPOS DE DELITOS INFORMÁTICOS EXISTENTES EN LA LEGISLACIÓN


ECUATORIANA .................................................................................................................. 117

CAPÍTULO III.- METODOLOGÍA

MODALIDAD DE LA INVESTIGACIÓN ......................................................................... 127

MÉTODO CIENTÍFICO. ................................................................................................. 127


MÉTODO INDUCTIVO .................................................................................................. 128
MÉTODO DEDUCTIVO ................................................................................................. 128
TIPOS DE INVESTIGACIÓN ............................................................................................. 129

INVESTIGACIÓN DESCRIPTIVA................................................................................. 130


INVESTIGACIÓN DIAGNÓSTICA ............................................................................... 130
INVESTIGACIÓN BIBLIOGRÁFICA ............................................................................ 131
POBLACIÓN Y MUESTRA ................................................................................................ 132

OPERACIONALIZACIÓN DE VARIABLES .................................................................... 133

INSTRUMENTOS DE RECOLECCIÓN DE DATOS ........................................................ 134

INSTRUMENTOS DE LA INVESTIGACIÓN ................................................................... 137

PROCEDIMIENTOS DE LA INVESTIGACIÓN ............................................................... 138

ANÁLISIS E INTERPRETACIÓN DE LOS RESULTADOS ............................................ 139

RESULTADOS DE LAS ENCUESTAS ............................................................................. 140


xi

CAPÍTULO IV.- MARCO ADMIISTRATIVO

CRONOGRAMA .................................................................................................................. 160

PRESUPUESTO ................................................................................................................... 161

CAPÍTULO V.- COCLUSIOES Y RECOMEDACIOES

CONCLUSIONES Y RECOMENDACIONES .................................................................... 163

CONCLUSIONES ............................................................................................................ 163


RECOMENDACIONES ................................................................................................... 169
xii

ÍDICE DE CUADROS

COTEIDOS PÁG.

CUADRO 1

DELITOS INFORMÁTICOS ............................................................................................... 113

CUADRO 2

VIOLACIÓN DE CLAVES O SISTEMAS DE SEGURIDAD ........................................... 118

CUADRO 3

DESTRUCCIÓN O SUPRESIÓN DE DOCUMENTOS, PROGRAMAS .......................... 120

CUADRO 4

DAÑOS INFORMÁTICOS .................................................................................................. 121

CUADRO 5

FRAUDE INFORMÁTICO .................................................................................................. 122

CUADRO 6

MATRIZ DE OPERACIÓN DE VARIABLES ................................................................... 133

CUADRO 7

PREGUNTA 1 DE LA ENCUESTA .................................................................................... 140

CUADRO 8

PREGUNTA 2 DE LA ENCUESTA .................................................................................... 141

CUADRO 9

PREGUNTA 3 DE LA ENCUESTA ................................................................................... 142

CUADRO 10

PREGUNTA 4 DE LA ENCUESTA ................................................................................... 143

CUADRO 11

PREGUNTA 5 DE LA ENCUESTA ................................................................................... 144


xiii

CUADRO 12

PREGUNTA 6 DE LA ENCUESTA ................................................................................... 145

CUADRO 13

PREGUNTA 7 DE LA ENCUESTA ................................................................................... 146

CUADRO 14

PREGUNTA 8 DE LA ENCUESTA ................................................................................... 147

CUADRO 15

PREGUNTA 9 DE LA ENCUESTA ................................................................................... 148

CUADRO 16

PREGUNTA 10 DE LA ENCUESTA ................................................................................. 149

CUADRO 17

PREGUNTA 11 DE LA ENCUESTA ................................................................................. 150

CUADRO 18

CRONOGRAMA .................................................................................................................. 151

CUADRO 19

PRESUPUESTO ................................................................................................................... 153


xiv

ÍDICE DE GRÁFICOS

COTEIDOS PÁG.

GRÁFICO 1

LAS MICROCOMPUTADORAS .......................................................................................... 14

GRÁFICO 2

COMPONENTES DE LAS MICROCOMPUTADORAS ..................................................... 16

GRÁFICO 3

ARQUITECTURA TÍPICA DE UNA MÁQUINA VIRTUAL ............................................. 18

GRÁFICO 4

FUNCIONAMIENTO DE VMWAREL ................................................................................ 23

GRÁFICO 5

LA VIRTUALIZACIÓN ........................................................................................................ 27

GRÁFICO 6

VIRTUALIZACIÓN TIPO NATIVO .................................................................................... 31

GRÁFICO 7

VIRTUALIZACIÓN TIPO HUESPED .................................................................................. 32

GRÁFICO 8

IBM VIRTUAL SERVER SECURITY PARA VMWARE ................................................... 27

GRÁFICO 9

SEGURIDAD INFORMÁTICA ............................................................................................. 57

GRÁFICO 10

SEGURIDAD DE LA INFORMACIÓN ................................................................................ 27


xv

GRÁFICO 11

SEGURIDAD FÍSICA ............................................................................................................ 60

GRÁFICO 12

SEGURIDAD LÓGICA ....................................................................................................... 627

GRÁFICO 13

DELITOS INFORMÁTICOS ............................................................................................... 727

GRÁFICO 14

VIRUS INFORMÁTICOS Y MALWARE ............................................................................ 76

GRÁFICO 15

GUSANO INFORMÁTICO ................................................................................................... 77

GRÁFICO 16

PHISHING .............................................................................................................................. 78

GRÁFICO 17

PAISES AMERICANOS ........................................................................................................ 80

GRÁFICO 18

PAÍSES EUROPEOS.............................................................................................................. 81

GRÁFICO 19

DELITOS MÁS SANCIONADOS EN AMÉRICA ............................................................... 82

GRÁFICO 20

DELITOS MÁS SANCIONADOS EN EUROPA ................................................................. 83

GRÁFICO 21

SANCIONES PARA LOS DELITOS INFORMÁTICOS EN EL ECUADOR ................... 112

GRÁFICO 22

PREGUNTA 1 DE LA ENCUESTA .................................................................................... 140


xvi

GRÁFICO 23

PREGUNTA 2 DE LA ENCUESTA ................................................................................... 141

GRÁFICO 24

PREGUNTA 3 DE LA ENCUESTA ................................................................................... 142

GRÁFICO 25

PREGUNTA 4 DE LA ENCUESTA ................................................................................... 143

GRÁFICO 26

PREGUNTA 5 DE LA ENCUESTA ................................................................................... 144

GRÁFICO 27

PREGUNTA 6 DE LA ENCUESTA ................................................................................... 145

GRÁFICO 28

PREGUNTA 7 DE LA ENCUESTA ................................................................................... 146

GRÁFICO 29

PREGUNTA 8 DE LA ENCUESTA ................................................................................... 147

GRÁFICO 30

PREGUNTA 9 DE LA ENCUESTA ................................................................................... 148

GRÁFICO 31

PREGUNTA 10 DE LA ENCUESTA ................................................................................. 149

GRÁFICO 32

PREGUNTA 11 DE LA ENCUESTA ................................................................................. 150


xvii

UIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIECIAS MATEMATICAS Y FISICAS


CARRERA DE IGEIERIA E SISTEMAS COMPUTACIOALES
ESTUDIO DE LAS VULNERABILIDADES EN TECNOLOGÍAS DE
VIRTUALIZACIÓN CON VMWARE EN MICROCOMPUTADORAS,
DETERMINANDO LOS DELITOS INFORMÁTICOS QUE PODRÍAN AFECTAR
A ESTOS SISTEMAS, EN EL SECTOR EMPRESARIAL DE LA CIUDAD DE
GUAYAQUIL, EN EL AMBITO BANCARIO, COMERCIAL, Y DE SERVICIOS
EN GENERAL Autor: Johnny Villavicencio
Tutor: Ing. Omar Otero
RESUME
El objetivo del presente trabajo de investigación es estudiar las vulnerabilidades que
pudieran tener las máquinas virtuales VMware en microcomputadoras ante posibles
delitos informáticos, con la finalidad de contribuir a la seguridad de la información
del sector empresarial de la ciudad de Guayaquil. La fundamentación técnica del
Marco Teórico se desarrolló sobre la virtualización, máquinas virtuales, seguridades y
delitos informáticos, los antecedentes de estudio, la fundamentación filosófica se basó
en el pragmatismo y la llamada filosofía de la tecnología y la fundamentación legal se
basó en los artículos del código Civil y Penal de la Ley ecuatoriana referente a los
Delitos Informáticos. La metodología se fundamenta en la investigación bibliográfica,
de campo, exploratoria y descriptiva, los instrumentos utilizados fueron la entrevista
y la encuesta aplicadas a una población que estuvo conformada por un conjunto de
personas de los Departamentos de Sistemas y de expertos en Delitos informáticos y
de virtualización que componen el sector empresarial de la ciudad de Guayaquil en el
ámbito bancario, comercial y de servicios en general. El procesamiento de los datos y
los resultados de la investigación se realizó utilizando métodos estadísticos, aplicando
las técnicas de las encuestas y las entrevistas realizadas a expertos en virtualización y
delitos informáticos que permiten obtener valiosa información para mejorar la
seguridad de las máquinas virtuales en las empresas. Conclusiones y
recomendaciones. Vale destacar que los expertos coinciden en que violentar claves o
sistemas de seguridad, robo de información, entre otros, son los delitos que se podrían
dar si el administrador de servidores lo permitiera. Es importante conocer que las
máquinas virtuales tienen vulnerabilidades y que los delitos informáticos pueden
darse como en cualquier sistema operativo. Logrando concientizar al personal de
sistemas para que busque herramientas que le permitan monitorear, administrar y
asegurar que su red no sea fácilmente vulnerable.

Virtualización VMware Delitos Informáticos


1

ITRODUCCIÓ

La virtualización se empieza a usar desde la década de los sesenta, cuando surgió la

necesidad de particionar los mainframe de gran tamaño mejorando su utilidad. Hoy

en día los equipos basados en arquitectura x86 (32Bits) resuelven los mismos

problemas complejos que realizaban los mainframes de aquella década. Para esto

VMware inventa la virtualización para estas plataformas en la década de los noventa

abordando los problemas de infrautilización rigidez y de otra índole superando de

esta manera muchos desafíos.

Virtualizar no es más que crear varios entornos virtuales compartiendo el mismo

hardware dentro de un equipo físico, ya sean estos servidores, dispositivos de

almacenamiento, una red y hasta varios sistemas operativos, donde todos pueden ser

ejecutados al mismo tiempo.

En la actualidad VMware se ha convertido en un líder mundial en virtualización para

x86, teniendo más de 190.000 clientes en el mundo.

IBM es quien empieza a implementar la virtualización de sus mainframe,

particionándolas en máquinas virtuales independientes, permitiendo a los mainframe

realizar múltiples tareas, ejecutar muchas aplicaciones y procesos al mismo tiempo.

De esta manera se aprovechó el gran costo que tenían los mainframes y la capacidad

de los mismos.
2

La virtualización en los años 80 y 90 dejan de ser usadas, con la aparición del cliente-

servidor, los servidores x86 y los equipos de escritorio económicos. No obstante en

1999 VMware introduce en los sistemas X86 un medio que solucionaría muchos

problemas que se estaban ocasionando en dichos equipos.

VMware para ser considerado líder en la tecnología de la virtualización tuvo que

superar en los procesadores x86, 17 intrusiones específicas que generaban problemas

al virtualizar. Para esto VMware desarrolla una técnica de virtualización adaptable

que las atrapa convirtiéndolas en seguras.

Hoy en día, las necesidades que tienen las empresas para utilizar la virtualización de

sus tecnologías, ha hecho que también estén pensando en robustecer las seguridades,

las mismas que se han visto vulneradas por personas no autorizadas que hacen uso de

herramientas tecnológicas con fines maliciosos.

Por lo que en el mundo informático globalizado, la tendencia a intrusiones

maliciosas en la virtualización son cada vez más frecuentes, convirtiéndose en un

nuevo blanco para la realización de ataques que no existían hasta ahora. Estas

incursiones están provocando que las máquinas virtuales ya no sean vistas como

seguras a nivel empresarial, cuyo principal objetivo era la de mejorar sus

infraestructuras informáticas en cuanto a la escalabilidad, optimización de recursos,

costos, seguridad y una diversidad de modalidades en la administración de servidores.


3

Existe una gran demanda en la virtualización de sistemas operativos y aplicaciones

que corren como si estuvieran en una plataforma nativa, no obstante la inseguridad

técnica que se produce hoy en día, hacen que estas tecnologías sean vulnerables.

Cabe entonces realizarnos las preguntas: qué debilidades y riesgos tienen las

máquinas virtuales frente a los ataques de malware, cómo contrarrestarlas, y en caso

de darse un ataque cuál sería el proceso a seguir para certificar la garantía de las

políticas de seguridad y la protección tanto de la información como de las tecnologías

que facilitan la gestión de esa información.

Es por esto que se hace necesario realizar una investigación que pueda identificar y

determinar cuáles son los riesgos que existen y que tienen las máquinas virtuales

frente al mundo actual, y de esta manera comprobar y especificar cuáles son las

seguridades a aplicar en estas tecnologías, de tal forma que permita a las empresas

proteger mejor las plataformas de virtualización.

Para este estudio se desarrollarán los siguientes capítulos:

CAPÍTULO 1.- EL PROBLEMA

Se basa en el Planteamiento del problema donde se enfoca la realidad del tema,

Ubicación del Problema en un contexto, Situación Conflicto, Causas del problema y

sus Consecuencias, Delimitación del Problema, Planteamiento, Evaluación del


4

Problema, Objetivos de la investigación y la Justificación e importancia de la

investigación.

CAPÍTULO 2.- MARCO TEÓRICO

Se desarrolla sobre la base de conceptos de las microcomputadoras, las máquinas


virtuales, máquinas virtuales VMware, la virtualización, vulnerabilidades de las
máquinas virtuales, los sistemas informáticos, la seguridad física, la seguridad lógica,
los delitos informáticos y las fundamentaciones como la Fundamentación teórica,
Fundamentación Filosófica, Fundamentación Legal y Definiciones Conceptuales.

CAPÍTULO 3.- METODOLOGÍA

Tiene temas relacionados con la modalidad de la investigación, tipo de investigación,

la población, muestra y los resultados de la investigación que estarán procesados

mediante un sistema estadístico aplicado a través de las encuestas, se formularán

preguntas que permitirán conocer diferentes concepciones sobre las vulnerabilidades

de las máquinas virtuales VMware y los delitos informáticos.

CAPÍTULO 4.- MARCO ADMINISTRATIVO

Se presenta el cronograma, presupuesto.

CAPÍTULO 5.- CONCLUSIONES Y RECOMENDACIONES

Se presentan las conclusiones y recomendaciones del presente trabajo.


5

CAPÍTULO I

PLATEAMIETO DEL PROBLEMA

La virtualización de los sistemas operativos hoy en día es considerada como

necesaria e invaluable en toda Organización, aún más si esta requiere optimizar

sus recursos tecnológicos.

Cabe indicar que estas máquinas virtuales pueden tener vulnerabilidades, por lo

que se necesita dar seguridad ante los delitos, que personas mal intencionadas

quieran ejercer sobre ellas.

Uno de los problemas más graves es el desconocimiento en el uso de las

herramientas de virtualización en nuestro medio, pensando que estas son

realmente seguras y que no es necesario establecer seguridades como se lo hace

con las estructuras físicas.

Los Delitos informáticos con el pasar del tiempo y la evolución de la tecnología se

han vuelto cada vez más perjudiciales de forma directa o indirecta, causando daño

a los bienes tecnológicos y la información de las empresas, sean estas físicas o

lógicas.
6

Este es un problema grave en todos los sectores empresariales, ya que en el Ecuador

la tendencia al uso de Máquinas virtuales VMware, sigue estando al alza, por las

riquezas tecnológicas que brindan este tipo de tecnologías, pero con el crecimiento de

personas conocedoras de informática y del internet, los delitos informáticos van

creciendo cada día en nuestro medio, por lo que es muy importante tomar medidas de

seguridad, para no tener consecuencias en el futuro en el caso de querer darse un

delito.

Por lo tanto, considero concienciar a los Administradores de Sistemas en que no solo

con virtualizar los sistemas están seguros, sino también tener presente que pueden

haber vulnerabilidades y que estas pueden ser aprovechadas por personas mal

intencionadas para cometer algún delito que puede ser perjudicial para las empresas.

SITUACIÓ COFLICTO UDOS CRÍTICOS

Debido a la muy poca información sobre seguridad a las máquinas virtuales, la

protección que estas demandan no son suficientes para salvaguardar la integridad de

la información que estos poseen, por lo tanto son vulnerables a todo tipo de ataques

maliciosos, lo cual es sumamente crítico debido a que la tendencia en las

organizaciones es la de ser más eficientes, ágiles y evitar grandes inversiones

virtualizando varios hosts o servidores en una misma máquina física, donde el


7

tráfico entre ellos se hace más difícil de monitorear y proteger, convirtiendo esta

situación en un riesgo potencial de seguridad de la información.

CAUSAS Y COSECUECIAS DEL PROBLEMA

Las causas que me motivan a realizar esta investigación son las siguientes:

CAUSAS COSECUECIAS

Máquinas virtuales con pobre implementación de


La necesidad por virtualizar los
medidas de seguridad que eviten problemas a las
sistemas operativos.
Organizaciones.

Los ataques maliciosos están en Daños a la infraestructura implementada y


auge y creciendo a nivel pérdida de información con consecuencias graves
mundial. para una empresa.

El desconocimiento de las Ambientes de máquinas virtuales desprotegidos,


vulnerabilidades en las que dejan abiertas las posibilidades de ataques
máquinas virtuales. maliciosos.

La falta de conocimiento de los Robo de información, fraude, falsificación


delitos informáticos tipificados electrónica, estafas. etc. y en su gran mayoría sin
en el código de Procedimiento sanción a los culpables.
Penal.
8

DELIMITACIÓ DEL PROBLEMA

Campo: Tecnologías de Información.

Área: Seguridades Lógicas en entornos virtuales.

Aspecto: Las Vulnerabilidades en máquinas virtuales VMware.

Tema: Estudio de las vulnerabilidades en tecnologías de virtualización con

VMware en microcomputadoras, determinando los delitos informáticos

que afectan a estos sistemas.

FORMULACIÓ DEL PROBLEMA

¿Cómo afecta el desconocimiento de las vulnerabilidades que puedan tener las

máquinas virtuales VMware frente a los delitos informáticos en el Área de Sistemas

de una Organización?

EVALUACIÓ DEL PROBLEMA

El presente Proyecto de Tesis tiene los siguientes aspectos de evaluación:

Original: No existe un estudio en nuestro país con respecto a las debilidades en

seguridad que puedan tener las máquinas virtuales.


9

Importante: Debido al auge en la utilización de la virtualización en las empresas

hoy en día, por los beneficios de estas técnicas son muchas.

Concreto: El problema está formulado de una manera clara y precisa.

Relevante: Es necesario el conocimiento de las debilidades en las máquinas

virtuales VMware, como un aporte importante en el entorno

Organizacional.

Contextual: La virtualización es una técnica cada vez más arraigada a los

departamentos de Sistemas de nuestro país.

OBJETIVO GEERAL

Estudiar las vulnerabilidades que puedan tener las Máquinas Virtuales VMware en

microcomputadoras, para contribuir a la seguridad de la información en los ambientes

que utilizan este tipo de tecnología.

Analizar los posibles delitos informáticos, que se encuentran tipificados en la Ley

según el Código de Procedimiento Penal de nuestro medio, identificando los que

podrían afectar a las máquinas virtuales VMware.


10

OBJETIVOS ESPECÍFICOS

Identificar las principales vulnerabilidades que existen en las máquinas virtuales

VMware, apoyando a la comprensión de éstas, para que de esta forma, se pueda

mejorar la protección en estos ambientes virtuales.

Determinar los principales delitos informáticos que se podrían producir en estas

máquinas virtuales VMware, como una contribución al conocimiento en el

mundo de la seguridad informática.

Analizar los principales delitos informáticos encontrados en estas máquinas

virtuales y proponer las posibles soluciones que contrarresten estos delitos.

ALCACES

Investigar y detallar el concepto, tipos, técnicas, inconvenientes, ventajas y

desventajas en la implementación de las máquinas virtuales en un entorno

empresarial.

Identificar y describir las debilidades o vulnerabilidades en cuanto a las

seguridades de la información, que existen en las máquinas virtuales, como un

riesgo de seguridad informática – (lógica); tomando como base VMware; ya que

esta es la tecnología más usada en la actualidad.


11

Determinar las principales formas de intrusión no autorizada, que puedan

vulnerar las seguridades de las máquinas virtuales VMware, afectando su

integridad.

Analizar los principales delitos informáticos encontrados, en las tecnologías

VMware, proponiendo soluciones que neutralicen estas amenazas si éstas fueran

posibles.

JUSTIFICACIÓ E IMPORTACIA

El objetivo de este Proyecto de Tesis, es pretender que las empresas busquen

fortalecer las seguridades de sus sistemas virtualizados y así resguardar al activo más

importante de toda compañía, como lo es la información. Asimismo concientizar al

público en general, usuario de estas tecnologías, de la importancia de proteger y

cerrar las puertas que dejen vulnerables a los sistema, bases de datos, etc.; de

ataques maliciosos dirigidos a las máquinas virtuales muy tendientes a ser usadas hoy

en día por sus múltiples ventajas y beneficios. De esta forma contribuimos también al

campo de la Seguridad informática.

Con el avance tecnológico y el uso masificado del internet, el delito informático en

el mundo también ha buscado su avance y por cada nueva tecnología hay alguien

buscando la forma de violentar su seguridad para demostrar su inteligencia y


12

alimentar su ego, así también como personas inescrupulosas tratando de obtener un

beneficio de forma fraudulenta en cada nueva tecnología descubierta.

Estamos viendo que la tendencia en el mundo, sobre todo empresarial, es la de

optimizar costos y recursos tecnológicos, es por esto que la virtualización se está

convirtiendo en una herramienta muy utilizada para mejorar su infraestructura; ya

que ésta presenta ventajas competitivas para una compañía; y también porque ayuda

a la administración de recursos de una forma eficiente y en una sola consola.

Debido a que la virtualización es relativamente nueva y que en nuestro país no es

muy difundido o conocido casos de delitos en estas tecnologías, el aporte de este

estudio de proyecto de tesis contribuirá en gran medida al conocimiento de posibles

soluciones y principalmente a prevenir o a proteger estos sistemas para evitar

intrusiones que signifiquen una pérdida en tiempo, hardware, recursos e incluso en

pérdida de dinero.

Es por esto que el presente Proyecto de Tesis proveerá de valiosa información para la

Seguridad Informática (lógica), en la consecución de sus objetivos, y de esta manera

ayudar a las empresas a prevenir intrusiones asegurando una mejor seguridad.


13

CAPÍTULO II

MARCO TEÓRICO

ATECEDETES DEL ESTUDIO

Revisando los archivos de la Facultad de Ciencias Matemáticas y Físicas, Carrera

de Ingeniería en Sistemas Computacionales, no se ha encontrado ningún otro

proyecto con similares características a las de este título “ESTUDIO DE LAS

VULNERABILIDADES EN TECNOLOGÍAS DE VIRTUALIZACIÓN CON

VMWARE EN MICROCOMPUTADORAS, DETERMINANDO LOS DELITOS

INFORMÁTICOS QUE PODRÍAN AFECTAR A ESTOS SISTEMAS, EN EL

SECTOR EMPRESARIAL DE LA CIUDAD DE GUAYAQUIL, EN EL

AMBITO BANCARIO, COMERCIAL, Y DE SERVICIOS EN GENERAL”, por

lo cual se puede aplicar este proyecto.

FUDAMETACIÓ TEÓRICA

Las microcomputadoras han experimentado con el transcurso del tiempo un

cambio considerable, tanto en su conceptualización, tecnología como en sus

múltiples usos en la sociedad. Es necesario entender la evolución de las

microcomputadoras como un desarrollo al entorno organizacional, considerando

que estas ocupaban espacios físicos muy grandes y que poco a poco con el avance

tecnológico nacen nuevos conceptos debido a su tamaño y características basadas

en los microprocesadores. También los problemas en las seguridades informáticas

han crecido a causa de los delitos informáticos y como los equipos virtualizados
14

van incursionando en el mundo organizacional utilizando máquinas virtuales en

microcomputadoras.

La virtualización es una de las herramientas que más se están utilizando hoy en día en

las organizaciones; toda organización busca optimizar sus recursos sin que esto tenga

que influir en el rendimiento y respuesta de sus sistemas.

LAS MICROCOMPUTADORAS

Para el Profesor Israel J. Ramírez de la Universidad de los Andes

Una microcomputadora es la computadora digital más


pequeña y de propósito general, que puede ejecutar instrucciones
de programas para llevar a cabo una amplia variedad de tareas.
Las microcomputadoras fueron diseñadas, en un principio, para
ser utilizadas por una sola persona o usuario en un momento
determinado, y las mismas no son más que uno de los resultados de
la evolución de las computadoras (P.3).

Gráfico 1

Las Microcomputadoras

Elaboración: http://elticus.com/imgdicc/microcomputadoras.jpg
Fuente: http://elticus.com/imgdicc/microcomputadoras.jpg
15

Con los avances en la industria electrónica y la invención de los tubos de vacío, el

transistor, los circuitos integrados y otros inventos más, se dio comienzo a la era de

las microcomputadoras, así mismo con la creación del primer microprocesador la

evolución de los microcomputadoras han pasado de los antiguos mainframes a los

equipos de cómputo actuales pequeños, sencillos y accesibles.

CARACTERÍSTICAS DE LA MICROCOMPUTADORAS

 La microcomputadoras Surgen en la Cuarta Generación de las Computadoras.

 Están construidas a base de microprocesadores.

 Tienen una gran versatilidad para agregar nuevos dispositivos físicos.

 Tiene unidades de almacenamiento secundario tales como: los CD’s, los

DVD’s, los pendrive y los discos duros.

 Son de uso personal, más conocidas como monousuario, aunque en la

actualidad son utilizadas también como multiusuario.

 Son relativamente de costos bajos.

 No requieren de personas especializadas para su instalación y utilización.

 Se pueden procesar millones de instrucciones por segundo.

 Son más pequeñas y portables.

 Son utilizadas por pequeñas, medianas y grandes empresas, también por personas

naturales.

 Tiene un gran impacto social en los países industrializados.

 El peso de las computadoras de escritorio está entre los 10 kg aproximadamente.


16

Gráfico 2

Componentes de las Microcomputadoras

Elaboración: Hugo Enrique Raya Galván


Fuente: http://www.monografias.com/trabajos71/word-power-ponit-excel-
algoritmos/image004.jpg

COMPOETES DE LAS MICROCOMPUTADORAS

Las computadoras por ser electrónicas y digitales contiene los siguientes

componentes:

 La Unidad Central de Proceso (CPU), quien se encarga de ejecutar las

instrucciones y es el único que cuenta con las unidades de memoria aritmética y

de control.

 Memorias RAM y ROM, que permiten almacenar temporalmente


17

información.

 Bus de datos, permite transmitir los datos de un lado a otro de la

computadora.

 Disco Duro y Cinta Magnética, permiten guardar mucha información.

 Impresoras, permite obtener la información impresa en un papel.

 Monitor, Permite visualizar la información por pantalla.

 Dispositivos de entrada y salida, nos permite escuchar o ver la

información de una computadora.

Algunos dispositivos de entrada y salida tenemos:

 Fax/Módems, nos permite comunicarnos con otras

computadoras a través de líneas telefónica.

 Scanner, nos permite digitalizar la información que se

encuentra impresa en un papel.

 Barcode Readers, nos permite leer código de barras.

 Teclado y Mouse, nos permiten ingresar información de

entrada.

 Tarjeta de red, nos permite conectarnos con varios equipos para

compartir información y recursos.

De acuerdo a lo anterior se puede inferir, que con el paso del tiempo los componentes

de las microcomputadoras han ido aumentando según la necesidad.


18

LAS MAQUIAS VIRTUALES

Según: http://www.vmware.com/es/virtualization/virtual-machine.html

Una máquina virtual es un contenedor de software


perfectamente aislado que puede ejecutar sus propios sistemas
operativos y aplicaciones como si fuera un ordenador físico. Una
máquina virtual se comporta exactamente igual que lo hace un
ordenador físico y contiene sus propios CPU, RAM, disco duro y
tarjetas de interfaz de red (IC) virtuales (es decir, basados en
software). El sistema operativo no puede establecer una diferencia
entre una máquina virtual y una máquina física, ni tampoco lo
pueden hacer las aplicaciones u otros ordenadores de una red.
Incluso la propia máquina virtual considera que es un ordenador
“real”. Sin embargo, una máquina virtual se compone
exclusivamente de software y no contiene ninguna clase de
componente de hardware. El resultado es que las máquinas
virtuales ofrecen una serie de ventajas con respecto al hardware
físico (P.1).

Gráfico 3

Arquitectura típica de una máquina virtual


VM 1 VM 2 VM n-1 VM n
OS OS OS OS
APP APP APP APP

VIRTUAL MACHIE MOITOR (VMM)

PARTE FÍSICA (HARDWARE)

Elaboración: Johnny Villavicencio


Fuente: http://www.pcmag.com/encyclopedia_term/0,2542,t=virtual+machine
+monitor&i=55827,00.asp
19

VETAJAS DE LAS MÁQUIAS VIRTUALES

Las máquinas virtuales cuentan con cuatro características fundamentales:

• Las máquinas virtuales tienen compatibilidad con todos los ordenadores

estándar x86.

• Las máquinas virtuales contienen aislamiento, es decir que están separadas

unas de otras, como si no estuvieran en el mismo equipo físicamente.

• Las máquinas virtuales se encuentran encapsuladas en un entorno

informático completo.

• Las máquinas virtuales se ejecutan de manera independiente al hardware

subyacente.

En la página, http://www.vmware.com/es/virtualization/virtual-machine.html

COMPATIBILIDAD

Al igual que un ordenador físico, una máquina virtual aloja


sus propios sistema operativo y aplicaciones guest, y dispone de los
mismos componentes (placa base, tarjeta VGA, controlador de
tarjeta de red, etc.). Como consecuencia, las máquinas virtuales
son plenamente compatibles con la totalidad de sistemas
operativos x86, aplicaciones y controladores de dispositivos
estándar, de modo que se puede utilizar una máquina virtual para
ejecutar el mismo software que se puede ejecutar en un ordenador
x86 físico.

AISLAMIETO

Aunque las máquinas virtuales pueden compartir los


recursos físicos de un único ordenador, permanecen
completamente aisladas unas de otras, como si se tratara de
máquinas independientes. Si, por ejemplo, hay cuatro máquinas
virtuales en un solo servidor físico y falla una de ellas, las otras
20

tres siguen estando disponibles. El aislamiento es un factor


importante que explica por qué la disponibilidad y protección de
las aplicaciones que se ejecutan en un entorno virtual es muy
superior a las aplicaciones que se ejecutan en un sistema
tradicional no virtualizado.

ECAPSULAMIETO

Una máquina virtual es básicamente un contenedor de


software que agrupa o “encapsula” un conjunto completo de
recursos de hardware virtuales, así como un sistema operativo y
todas sus aplicaciones, dentro de un paquete de software. El
encapsulamiento hace que las máquinas virtuales sean
extraordinariamente portátiles y fáciles de gestionar. Por ejemplo,
puede mover y copiar una máquina virtual de un lugar a otro
como lo haría con cualquier otro archivo de software, o guardar
una máquina virtual en cualquier medio de almacenamiento de
datos estándar, desde una memoria USB de bolsillo hasta las redes
de área de almacenamiento (SA) de una empresa.

IDEPEDECIA DE HARDWARE

Las máquinas virtuales son completamente independientes


de su hardware físico subyacente. Por ejemplo, se puede
configurar una máquina virtual con componentes virtuales (CPU,
tarjeta de red, controlador SCSI, pongamos por caso) que difieren
totalmente de los componentes físicos presentes en el hardware
subyacente. Las máquinas virtuales del mismo servidor físico
pueden incluso ejecutar distintos tipos de sistema operativo
(Windows, Linux, etc.).

Si se combina con las propiedades de encapsulamiento y


compatibilidad, la independencia del hardware proporciona la
libertad para mover una máquina virtual de un tipo de ordenador
x86 a otro sin necesidad de efectuar ningún cambio en los
controladores de dispositivo, en el sistema operativo o en las
aplicaciones. La independencia del hardware también significa que
se puede ejecutar una mezcla heterogénea de sistemas operativos y
aplicaciones en un único ordenador físico (P.1).
21

Las máquinas virtuales siendo sólo un software, son como otra máquina física, donde

se puede instalar el sistema operativo y las aplicaciones que se deseen, estas pueden

ser utilizadas para capacitaciones, investigaciones, pruebas y también las empresas

las utilizan como servidores aprovechando las ventajas y beneficios que estas les

pueden brindar, tales como compatibilidad, aislamiento, encapsulamiento e

independencia del hardware.

Entre las máquinas virtuales más utilizadas e importantes tenemos:

1.- Virtual PC.- Es un programa que permite virtualizar, el mismo que fue

desarrollado por Connectix y luego comprado por Microsoft para crear virtualización

de equipos.

Su objetivo principal es emular el uso del hardware utilizando la virtualización de los

sistemas operativos sean estos uno o varios.

2.- VirtualBox.- Es un programa para virtualizar en arquitecturas x86, fue creado

por la empresa innotek GmbH de Alemania. Actualmente lo desarrolla Oracle

Corporation, haciéndolo parte de su familia de productos de virtualización.

Permite instalar varios sistemas operativos en un ambiente virtual (Sistemas

invitados) dentro de otro sistema operativo que se lo conoce como (sistema anfitrión).

3.- VMware.- Es una máquina virtual que permite virtualizar sistemas operativos

en equipos X86. En este programa se incluyen ESX Server, Fusion, Virtual Server,
22

Workstation, Player. Este programa funciona en Windows, Linux, y en la plataforma

Mac OS X.

4.- Xen.- Es una máquina virtual fue desarrollada por la Universidad de Cambridg,

con las siguientes características: brinda aislamiento seguro, control de los recursos,

garantiza la calidad de servicio, permite migrar las máquinas virtuales en caliente y es

de código abierto. Además, se pueden ejecutar instancias de los sistemas operativos

con sus características, en un equipo sencillo.

A parte de estas máquinas virtuales se podrían citar:

KVM, IBM POWER SYSTEMS, OpenVZ, Virtuozzo, FreeVPS, Linux-VServer.

FreeBSD Jails, Solaris Containers, AIX.

MÁQUIAS VIRTUALES VMWARE

Las máquinas virtuales VMware son sistemas de virtualización por software, es decir

que simula a un ordenador físico con algunas características de hardware. Al ejecutar

este simulador se puede configurar el hardware dependiendo a lo que se requiera,

como varios CPU’s, Bios, tarjeta de video, memoria RAM, sonido, tarjeta de red,

discos duros, conexiones USB, etc.

Este virtualizador permite que se ejecuten al mismo tiempo varios ordenadores con

sus respectivos sistemas operativos dentro de un mismo hardware a la vez, de esta

manera se distribuye y se aprovecha mejor los recursos físicos de un equipo, al ser


23

una capa intermedia entre el hardware emulado y el software, la velocidad de

ejecución se va a ser disminuido un poco, pero esto no afecta a los entornos puestos

en producción.

Las máquinas virtuales VMware aunque son parecidas a Virtual PC, tienen

diferencias que afectan en la manera en que el software interactúa con el hardware y

el rendimiento de la virtualización varía dependiendo de las características físicas en

donde se ejecuten y también de los recursos de hardware virtuales que se le hayan

asignado a los ambientes virtuales.

Gráfico 4

Funcionamiento de VMware, una de las


Máquinas virtuales de sistema más populares

Elaboración: Radoslaw Korzeniewski


Fuente: http://es.wikipedia.org/wiki/Archivo:VMware-schema.png
(RadekK)
24

VERSIOES DE MÁQUIAS VIRTUALES VMWARE

Según, http://es.wikipedia.org/wiki/VMware

VMWARE SERVER (ATES GSX)

Esta versión, a diferencia de la anterior, tiene un mejor


manejo y administración de recursos; también corre dentro de un
sistema operativo (host), está pensada para responder a una
demanda mayor que el Workstation. Otra diferencia entre
VMware Server y Workstation es que se pueden ejecutar de
manera concurrente más máquinas virtuales soportando
servidores con hasta 32 procesadores y/o 64 GB de memoria,
ofreciendo funcionalidad de administración remota, soporta una
API avanzada y funcionalidad de scripting y se puede ejecutar en
modo headless.

VMWARE ESXI

Es una versión completa del producto ESX, pero con varias


limitaciones, entre ellas: no permite instalar controladores
(drivers) para hardware adicional (es decir, si el ESXi no posee los
controladores el hardware no puede ser utilizado); no permite
utilizar las funciones avanzadas de movimiento de maquinas
virtuales encendidas (O) de un equipo físico a otro (VMOTIO),
ni hacerlo con el almacenamiento (STORAGEMOTIO).

Sin embargo, es muy útil para conocer el funcionamiento


del ESX, e incluso algunos fabricantes (como HP o DELL) dan la
opción de comprar servidores pre cargados con ese sistema
operativo en una memoria USB integrada en el equipo.

VMWARE ESX SERVER

Esta versión es un sistema complejo de virtualización, pues


corre como sistema operativo dedicado al manejo y administración
de máquinas virtuales dado que no necesita un sistema operativo
host sobre el cual sea necesario instalarlo. Pensado para la
centralización y virtualización de servidores, esta versión no es
compatible con una gran lista de hardware doméstico, por ejemplo
no reconoce los disco IDE como unidades de almacenamiento y
25

sería inútil instalarlo en este tipo de discos (en la versión 3.5 ya


esta soportado sata).Es realmente útil, ya que solamente ocupa 10
Mb de Ram y 55 de Disco Duro, aproximadamente...Para su
administración, hay que instalar un software en una máquina
remota, que se conecta por entorno web.

VMWARE FUSIO

Es un software de naturalización desarrollado por


VMware, Inc. para ordenadores Macintosh con procesador Intel.
Fusion permite correr en ordenadores Mac basados en Intel
aplicaciones x86 como Windows, Linux, etWare y Solaris y
correr simultáneamente Mac OS como sistema principal que
almacena a los demás sistemas operativos invitados.

VMWARE WORKSTATIO

Es sin duda una potente utilidad que permite tener varios


sistemas operativos instalados sin necesidad de particiones,
consiguiendo además que cambiar de uno a otro sea sencillo, casi
tanto como cargar un programa más.

VMWARE PLAYER

Es una fantástica aplicación que te permite ejecutar un PC


virtual en tu sistema, lo que significa literalmente poder tener dos
ordenadores en uno. Es como el hermano pequeño de VMware
Workstation, con menos opciones y funcionalidades, pero con la
gran ventaja de ser totalmente gratuito. VMware Player permite
usar máquinas virtuales creadas en VMware Workstation, GSX
Server o ESX Server.

VMWARE ACE (ETORO IFORMÁTICO SEGURO)

Es una solución de software integrada en VMware


Workstation que permite a cualquier persona implementar y
administrar máquinas virtuales seguras y de plataforma
independiente que los usuarios finales pueden utilizar en su PC de
trabajo, computadoras personales, o incluso un dispositivo
multimedia portátil USB (en el camino de una aplicación
26

portable ). VMware ACE permite el acceso seguro a los recursos


empresariales de los entornos informáticos seguros. Estos
entornos de PC aislados se ejecutan sobre PCs existentes. Con la
gestión de derechos virtual, los controles integrados de protección
de copia, y el cifrado automático, VMware ACE ayuda a prevenir
el robo, la manipulación, y la copia no autorizada de aplicaciones,
datos, configuración del sistema y archivos. Los administradores
pueden proteger los datos y garantizar el cumplimiento de las
políticas de TI, incluyendo software de gestión del ciclo de vida y el
acceso a datos y aplicaciones. En esencia, VMware ACE permite la
creación de máquinas virtuales portátiles (P.1).

Existen diferentes versiones y tipos de máquinas virtuales VMware, las mismas que

se podrán utilizar dependiendo a la necesidad y al equipo en que se trabaje, estas

pueden ser para virtualizar servidores como por ejemplo VMware ESX Server o

VMware ESXI, también podemos utilizar las máquinas virtuales VMware para

laboratorios u otros fines, para esto tenemos al VMware Workstation, VMware

Player, etc.

Las pantallas para la instalación de la máquina virtual VMware ESX se encuentran en


el Anexo 6.

LA VIRTUALIZACIÓ

En la página, http://www.virtualizacion.com/?page_id=7

La virtualización es una tecnología que fue desarrollada por


IBM en los años 60s. La primera computadora diseñada
específicamente para virtualización fue el mainframe IBM S/360
Modelo 67. Esta característica de virtualización ha sido un
Standard de la línea que siguió (IBM S/370) y sus sucesoras,
incluyendo la serie actual. Durante los 60s y los 70s fueron muy
populares, pero las máquinas virtuales desaparecieron
prácticamente durante los 80s y los 90s. o era hasta el final del
27

90s que volvió a resurgir la tecnología de las maquinas virtuales y


no solamente en el área tradicional de servidores sino también en
muchas otras áreas del mundo de la computación (P.7).

Gráfico 5

La Virtualización

Elaboración: http://www.pcactual.com
Fuente: http://www.pcactual.com/articulo/laboratorio/especiales/7434
/virtualizacion_apodera_del.html

La virtualización crea una capa de abstracción entre el hardware de la

computadora o host y el sistema operativo de una máquina virtual, siendo el

Hypervisor o Virtual Machine Monitor el que maneja los recursos físicos de la PC

(unidad de red, memoria, cpu y unidad de almacenamiento), de tal manera que se

podría crear múltiples máquinas virtuales y cada una con el interface del hardware

que se requiera sea compatible con el sistema operativo que se vaya a instalar.
28

VETAJAS Y DESVETAJAS DE LA VIRTUALIZACIÓ

VETAJAS:

Según la página, www.virtualizacion.com/

La solución de virtualización permite gestionar de forma


centralizada los sistemas virtualizados así como sus recursos de
almacenamiento y de red proporcionando:

• Rápida incorporación de nuevos recursos para los servidores


virtualizados.

• Reducción de los costos de espacio y consumo necesario de


forma proporcional al índice de consolidación logrado
(Estimación media 10:1).

• Reducción de los costos de IT gracias al aumento de la


eficiencia y la flexibilidad en el uso de recursos.
• Administración global centralizada y simplificada.

• os permite gestionar nuestro CPD como un pool de recursos o


agrupación de toda la capacidad de procesamiento, memoria,
red y almacenamiento disponible en nuestra infraestructura.

• Mejora en los procesos de clonación y copia de sistemas:


Mayor facilidad para la creación de entornos de test que
permiten poner en marcha nuevas aplicaciones sin impactar a
la producción, agilizando el proceso de las pruebas.

• Aislamiento : un fallo general de sistema de una máquina


virtual no afecta al resto de máquinas virtuales

• o sólo aporta el beneficio directo en la reducción del


hardware necesario, sino también en sus costos asociados.

• Reduce los tiempos de parada.


• Migración en caliente de máquinas virtuales (sin pérdida de
servicio) de un servidor físico a otro, eliminando la necesidad
29

de paradas planificadas por mantenimiento de los servidores


físicos.
• Balanceo dinámico de máquinas virtuales entre los servidores
físicos que componen el pool de recursos, garantizando que
cada máquina virtual ejecute en el servidor físico más
adecuado y proporcionando un consumo de recursos
homogéneo y óptimo en toda la infraestructura.

• Alto grado de satisfacción general (P.1).

DESVETAJAS:

Carrero, David (Noviembre, 2009)

• Menor rendimiento, dado que una máquina virtual corre en


una capa intermedia a la del hardware real, siempre tendrá un
rendimiento inferior.

• Teóricamente no se podrá utilizar hardware que no esté


soportado por el hypervisor de virtualización.

• La aceleración de vídeo se ve afectada por el menor


rendimiento.
• Aumento de las máquinas virtuales, como una vía para ahorrar
compra servidores dedicados reales.

• A veces se desaprovechan los recursos con la creación de


máquinas virtuales que no son necesarias.

• La avería o fallo de un servidor anfitrión de virtualización


afecta a todos los servidores virtuales que aloja.

• Como cada producto de virtualización usa sus propios


sistemas, no hay uniformidad o estandarización de formatos, la
portabilidad entre plataformas es realmente complicada.

• La virtualización incide de forma directa en la venta de


servidores reales, aunque los servidores utilizados para
virtualizar suelen ser más potentes y por supuesto más caros
(P.1).
30

La virtualización tiene múltiples ventajas y muchos beneficios que hacen que

las empresas se inclinen por virtualizar sus servidores, pero así mismo hay

varias desventajas que se deben tener muy en cuenta para establecer

estrategias y procedimientos que las contrarresten.

TIPOS DE VIRTUALIZACIÓ

En la actualidad las máquinas virtuales se pueden clasificar en dos grandes grupos:

1.- Tipo nativo, unhosted o sobre el metal desnudo (bare metal).

2.- Tipo hosted.

TIPO ATIVO, UHOSTED O SOBRE EL METAL DESUDO


(BARE METAL).

En este tipo, el hipervisor se ejecuta directamente sobre el hardware real del equipo

para que controle todo el hardware y pueda monitorizar los sistemas operativos

virtualizados. Las máquinas virtuales que corren de forma simultánea lo hacen en otro

nivel que está por encima del hipervisor. Ejemplos: VMware ESXi, VMware ESX,

Xen, Citrix XenServer y Microsoft Hyper-V Server.


31

Gráfico 6
Virtualización tipo ativo

Elaboración: http://www.pcactual.com/
Fuente: http://www.pcactual.com/articulo/laboratorio/especiales/7434/
virtualizacion_apodera_del.html

TIPO HOSTED.

En este tipo, la aplicación del Hypervisor se ejecuta sobre un sistema operativo

convencional para luego virtualizar diversos sistemas operativos. Como la

virtualización se la realiza en una capa más alejada del hardware, el rendimiento del

hipervisor va a ser menor. Ejemplos: Sun VirtualBox, Sun VirtualBox OSE, VMware

Workstation, VMware Server, VMware Player, QEMU, Microsoft Virtual PC y

Microsoft Virtual Server.


32

Gráfico 7
Virtualización tipo huésped

Elaboración: http://www.pcactual.com/
Fuente: http://www.pcactual.com/articulo/laboratorio/especiales/7434/
virtualizacion_apodera_del.html

VULERABILIDADES E MÁQUIAS VIRTUALES VMWARE

A continuación se detallan algunas de las vulnerabilidades más importantes que se

has detectado en las máquinas virtuales VMware con el pasar de los años, las mismas

que se detallan a continuación:


33

VULERABILIDADES E OPESSL, BI Y VIM

Según, http://www.rzw.com.ar/seguridad-informatica-5379.html

Múltiples vulnerabilidades en VMWare ESX 3.x

VMware ha publicado una actualización de OpenSSL, bind


y vim para VMware ESX 3.0.3 y 3.0.2, que corrigen múltiples
vulnerabilidades que podrían permitir a un atacante remoto
evadir restricciones de seguridad y ejecutar código arbitrario.

VMware es un software que permite ejecutar diferentes


sistemas operativos en un mismo PC de forma virtual. Entre otras
aplicaciones, VMware es muy utilizado en seguridad informática
por la versatilidad que ofrece. VMware ESX permite asignar
recursos de procesador, memoria, almacenamiento de información
y redes en múltiples máquinas virtuales.

La primera de las vulnerabilidades corregidas es un fallo en


OpenSSL que omitía la validación del valor de retorno de la
función 'EVP_VerifyFinal'. Esto podría ser aprovechado por un
atacante remoto para evadir restricciones de seguridad a través de
firmas 'SSL/TLS' para claves RSA y ECDSA especialmente
manipuladas.

Se ha corregido un fallo en bind que omitía la validación del


valor de retorno de la función 'DSA_do_verify'. Esto podría ser
aprovechado por un atacante remoto para evadir restricciones de
seguridad a través de un servidor DS malicioso con un
certificado DSA especialmente manipulado.
Otro de los problemas corregidos reside en el escapado de
caracteres especiales en Vim, lo que permitiría ejecutar comandos
de la shell introduciendo la clave de carácter 'K' en líneas que
contengan el carácter ';'. Esto podría ser aprovechado por un
atacante remoto ejecutar comandos de la shell a través de archivos
vimscript especialmente manipulados. También se solucionan
varios problemas de validación de entrada en funciones de sistema
de Vim. Un atacante podría ejecutar código si la víctima abre con
vim un documento especialmente manipulado.

Se ha corregido un desbordamiento de memoria intermedia


basada en heap en la función 'mch_expand_wildcards' de
'os_unix.c' en Vim. Esto podría ser aprovechado por un atacante
34

remoto para ejecutar código arbitrario a través de nombres de


archivo especialmente manipulados.

Por último, se ha corregido un error en el procesamiento de


cadenas en la función 'helptags_one' de 'src/ex_cmds.c' en Vim.
Esto podría ser aprovechado por un atacante remoto para ejecutar
código arbitrario a través de un archivo con 'help-tags'
especialmente manipuladas.

Se recomienda aplicar la actualización disponible.

Estas vulnerabilidades fueron encontradas en el año 2009 para VMware ESX 3.0.3 y

3.0.2, si bien es cierto las actualizaciones están disponibles en la página de VMware

para corregir Openssl, bin y vim, hay muchas empresas cuyos departamentos de

sistemas desconocen de las mismas y por ende las que tengan instaladas estas

versiones y no se hayan parchado, aún presentarían las vulnerabilidades, más que

nada en nuestro medio.

AGUJERO E MÁQUIA VIRTUAL VMWARE FUSIO

Según, la revista PC World, en su página


http://www.idg.es/pcworldtech/mostrarNoticia.asp?id=79445&seccion=
actualidad

Agujero descubierto en VMware Fusion mediante el cual,


una máquina virtual Windows (o Linux) residente en un sistema
Mac OS X podría ejecutar código malicioso en la máquina
desarrollada por Apple. Concretamente, esta vulnerabilidad afecta
a la versión 2.0.4 de Fusion.

Según declara Kostya Kortchinsky, investigador de exploits


en Immunity Inc, una vulnerabilidad crítica en una máquina
virtual de VMWare podría ser utilizada para leer y escribir en el
sistema operativo nativo que la alberga (el sistema padre).
35

De hecho, "este exploit utiliza varias vulnerabilidades de la


función Display del producto para permitir la lectura y escritura
arbitraria de memoria en el host. Por lo tanto, un invitado podría
ejecutar código en dicho host, que es el sistema operativo
principal", aclara Kortchinsky.

Por su parte, VMware publicó una alerta de seguridad el


pasado viernes advirtiendo de la vulnerabilidad, además de incluir
un enlace a la nueva versión parcheada de la solución. Se trata
de un fichero de 186 MB que se puede descargar gratuitamente
desde la web del fabricante .

Si bien es cierto que esta es una vulnerabilidad encontrada en el año 2009, no

podemos dejar de lado la importancia de conocerla y parchar nuestro sistema

VMware Fusion en las versiones indicadas en caso de utilizar esta herramienta.

VULERABILIDADES E EL SOFTWARE DHCP

Según, www.rzw.com.ar/seguridad-informatica-5421.html

El software DHCP en el uso de la tecnología de


virtualización que se ejecutan en máquinas virtuales de VMware
asigna dirección IP diferente, pero los investigadores de IBM
descubrieron que puede ser utilizado por los hackers para
controlar el ordenador.

IBM Internet Security investigador Systems, dijo Cruz,


para muchas aplicaciones en el software de VMware se ejecutan en
el usuario, esto es una mala noticia. Dijo que a través del uso de
esta vulnerabilidad, un atacante puede controlar completamente la
tecnología de virtualización en este entorno para ejecutar
cualquier máquina virtual. Los investigadores de IBM han
desarrollado el uso de estos códigos de tres vulnerabilidades.

Con el fin de atacar el sistema, el hacker debe obtener


primero el software que se ejecuta en un acceso a la máquina
virtual.
36

Como vemos en esta vulnerabilidad es muy delicado tener un servidor de DHCP, ya

que un hacker puede utilizarlo para controlar el ordenador.

Este tipo de entornos son los preferidos para los hackers, que ven cómo, al aumentar

la superficie de ataque, podrían aprovechar para acceder a un mayor número de

recursos tan pronto como se descubra una vulnerabilidad en alguna de las

aplicaciones o plataformas que coexista.

VULERABILIDADES E VARIOS PRODUCTOS VMWARE

Según, www.csirtcv.gva.es/html/es/alerts/1516/

Sistemas afectados:

VMware Workstation 7.1.1 y anteriores


VMware Player 3.1.1 y anteriores
VMware ACE Management Server 2.7.1 y anteriores
Riesgo: Medio

Descripción:

Los 3 problemas de seguridad son:

• Los instaladores de VMware Workstation 7.x y VMWare


Player 3.x cargan un archivo index.htm que se encuentra en el
directorio de trabajo en el que se va a instalar la aplicación.
Esto puede permitir a un atacante facilitar un archivo
malicioso al sistema antes de iniciarse la instalación.

El problema puede ser explotado en el momento en que la


aplicación se instala. Las versiones instaladas de Workstation y
Player no se ven afectadas.
37

Actualización de del paquete libpng a la versión 1.2.44

Existe una condición de desbordamiento de búfer en libpng.


Esto podía permitir la ejecución de código con los privilegios de
la aplicación que use libpng. Dos problemas potenciales de
denegación de servicio también se abordan en la actualización.

• El tercer fallo afecta a ACE Management Server (AMS) y


viene provocado por una vulnerabilidad en Apache HTTP
Server, donde una función no controla correctamente las
cabeceras en subrequests en determinadas circunstancias
cuando se usan mutihilos (MPM). Esto puede permitir a
atacantes remotos obtener información sensible a través de una
solicitud manipulada que permita el acceso a ubicaciones de la
memoria asociadas con una solicitud anterior.

También el módulo mod_isapi de Apache puede ser forzado a


cargar una librería específica antes de que se complete el
procesado de una petición, provocando una corrupción de
memoria. Esto puede permitir a un atacante remoto ejecutar
código arbitrario.

Solución, descargar los parches para cada producto.

Estas vulnerabilidades aparecen el 24-09-2010 por lo que se deben descargar los

parches respectivos para evitar que personas mal intencionadas puedan hacer uso

de estas vulnerabilidades.

MÚLTIPLES VULERABILIDADES E VARIOS


PRODUCTOS VMWARE. 24-11-2009

Según, http://comunidad.dragonjar.org/f150/vmware-multiples

Múltiples vulnerabilidades han sido identificadas en varios


productos de VMware, que podrían ser explotadas por atacantes
remotos para realizar una larga lista de diferentes ataques contra
la seguridad de los sistemas.
38

Sistemas afectados:

VMware vCenterServer versiones 4.x


VMware VirtualCenter versiones 2.x
VMware Server versiones 2.x
VMware ESX versiones 4.x
VMware ESX versiones 3.x
VMware ESXI versiones 4.x
VMware ESXI versiones 3.x
VMware VMA versiones 4.x

Riesgo: Alto

Descripción:

VMware ha publicado actualizaciones para múltiples


paquetes que afectan a JRE, Tomcat, ntp, kernel, python, bind,
libxml, libxml2, curl, y gnutil. Para estas vulnerabilidades se
corrigen varios errores que pueden ser explotados por usuarios
locales para eludir ciertas restricciones de seguridad, revelar
información sensible o manipular ciertos datos, y por usuarios
maliciosos remotos para revelar información sensible, realizar
ataques de Cross-Site Scripting, manipular datos, ignorar ciertas
restricciones de seguridad, causar Denegación de Servicio (DoS -
Denial of Service), o comprometer un sistema de usuario.

La mayoría de estas vulnerabilidades han sido reportadas


en el nuevo Advisory VMSA-2009-0016, pero también se han
actualizado otras alertas de seguridad:

- VMSA-2009-0014.1 que resuelve nuevas vulnerabilidades en


DHCP, Service Console kernel y JRE.

- VMSA-2009-0002.2 que resuelve nuevas vulnerabilidades en


Tomcat.

Solución, descargar los parches para cada producto.

Estas vulnerabilidades encontradas el 24-11-2009 ponen en evidencia que las

máquinas virtuales no son completamente seguras, para aquellos departamentos de


39

IT que no tengan el soporte de VMware o alguna empresa que brinde este soporte, es

más que seguro que no se enterarán de las vulnerabilidades a las que están

expuestos.

VMWARE MÚLTIPLES VULERABILIDADES

Según, www.cservices.com.ar/web/noticiaDetalle.aspx?ID=314

Se han reportado múltiples vulnerabilidades en productos


VMWare, que podrían ser aprovechadas por usuarios locales
maliciosos para revelar información importante o escalar
privilegios, y por usuarios remotos maliciosos para revelar
información importante, causar una denegación de servicio o
potencialmente comprometer el sistema.
Versiones Afectadas por estas vulnerabilidades:

• VMware Workstation 7.0


• VMware Workstation 6.5.3 y anteriores
• VMware Player 3.0
• VMware Player 2.5.3 y anteriores
• VMware ACE 2.6
• VMware ACE 2.5.3 y anteriores
• VMware Server 2.0.2 y anteriores
• VMware Fusion 3.0
• VMware Fusion 2.0.6 y anteriores
• VMware VIX API para Windows 1.6.x
• VMware ESXi 4.0 con actualización anterior a ESXi400-
201002402-BG
• VMware ESXi 3.5 con actualización anterior a ESXe350-
200912401-T-BG
• VMware ESX 4.0 sin las actualizaciones ESX400-201002401-
BG y ESX400-200911223-UG
• VMware ESX 3.5 sin la actualización ESX350-200912401-BG
• VMware ESX 3.0.3 sin la actualización ESX303-201002203-UG
• VMware ESX 2.5.5 sin la actualización Upgrade Patch 15
40

Detalle

1. Dos errores en VMware Tools para Windows pueden ser


aprovechados para realizar ejecución de código arbitrario y
potencialmente escalar privilegios.
2. Un error en el servicio USB puede ser aprovechado para escalar
privilegios ubicando en el "host" un archivo ejecutable malicioso.
3. Un error en la librería "libpng" puede ser aprovechado para
revelar memoria no inicializada por medio de una imagen
especialmente elaborada.
4. Un error de límites y dos errores de enteros truncados en el códec
"VMnc" pueden ser aprovechados para realizar ejecución de
código arbitrario.
5. Un error en el servicio de autorización "vmware-authd" puede ser
aprovechado para causar que la aplicación deje de responder.
6. Un error en ciertos componentes que permiten implementar redes
virtuales puede ser aprovechado para revelar información
importante.
7. Un error de formato de enteros en "vmrun" puede ser
aprovechado para escalar privilegios.

El impacto de estas vulnerabilidades es CRÍTICA.

Estas vulnerabilidades encontradas en muchos de los productos VMware son muy

críticas, por lo que lo recomendable es que todo departamento de IT aplique las

actualizaciones necesarias, si bien es cierto que muchas de las vulnerabilidades han

sido reportadas en años anteriores, esto no es indicativo que muchas de las empresas

hayan parchado sus sistemas virtuales.

Para estas vulnerabilidades se puede acceder a descargar los parches respectivos en la

página principal de VMware.


41

VULERABILIDAD E VMWARE AFECTA A


EQUIPOS BAJO WIDOWS

Según, www.vsantivirus.com/vul-vmware-250208.htm

Se ha reportado una vulnerabilidad crítica en


VMware (25-02-2008) que afecta a versiones instaladas en
Windows. VMware es un sistema de virtualización por
software, esto es un programa que simula un sistema físico (una
computadora). Pueden ejecutarse múltiples sistemas virtuales
dentro de un mismo hardware de manera simultánea.

Si se instala VMware en Windows, y se ha habilitado una


carpeta compartida, es posible que un programa que se ejecute en
el equipo virtual pueda acceder al sistema operativo del host, o sea
al de la computadora en que se ejecuta la máquina virtual.
El acceso permite la modificación, creación o ejecución de
archivos en determinadas ubicaciones.

La carpeta compartida de VMware permite la


transferencia de datos entre el sistema virtual y el sistema
principal. La vulnerabilidad afecta a las versiones VMware
Workstation, VMware Player y VMware ACE que se ejecutan en
Windows. Las versiones de este producto para Windows Server,
Mac y Linux basados en host, no son vulnerables. El fallo fue
reportado a VMware por la compañía de seguridad Core Security
Technologies.

Por el momento, la solución es deshabilitar la carpeta


compartida. El problema no afecta la línea de software de
virtualización para servidores, VMware Server y VMware ESX
Server, ya que no utilizan carpetas compartidas.

Las nuevas versiones de VMware Client para Windows


también deshabilitan las carpetas compartidas por defecto. Por lo
tanto, solo son vulnerables si los usuarios activan dicha opción de
forma manual.
VMware es ampliamente utilizado para múltiples
propósitos, por ejemplo el análisis de malware, respuesta a
incidentes, análisis forense, pruebas de seguridad, o capacitación.
42

En este caso podemos observar que las vulnerabilidades se dieron por tener una

carpeta compartida afectando a las máquinas virtuales VMware de las versiones

Workstation, Player, ACE, pero no así en los productos Server, Esx Server, Mac,

Linux, pese a que al instalarse la máquina virtual esta carpeta no se habilite

automáticamente hoy en día, la vulnerabilidad está latente.

¿QUÉ ES X-FORCE?

Según, http://www.ibm.com/ec/services/sps/iss/vms/xforce.phtml

El equipo de investigación y desarrollo X-Force de IBM


Internet Security Systems es un grupo líder de expertos en
seguridad dedicado a la contrainteligencia proactiva y a la
enseñanza pública contra las amenazas en línea. X-Force investiga
problemas de seguridad, realiza seguimiento de la evolución de las
amenazas a través del Global Threat Operations Center (Centro
global de operaciones frente a amenazas) de ISS, y garantiza que
ISS sea el primero en aportar al mercado nuevas soluciones de
gestión de las amenazas.

Las amenazas a la seguridad no dejan de multiplicarse y


evolucionan a un ritmo vertiginoso, por lo que, ahora más que
nunca, es importante analizar las diferentes amenazas que puedan
existir para ayudar a nuestros clientes a anticiparse a ellas",
afirma Steve Robinson, director de las Soluciones de Seguridad de
IBM. "Este año, el informe revela que, a pesar de las amenazas
van en aumento, la industria en su conjunto se está volviendo
mucho más activa a la hora de identificar vulnerabilidades, lo cual
es muy positivo ya que esta colaboración permite identificar y
hacer frente a las vulnerabilidades.

X-Forse que es un grupo líder de expertos en seguridades, que trabaja desde 1997 en

la investigación y catalogación de vulnerabilidades, cuyo objetivo es detectar las


43

amenazas y ponerla al descubierto, aportan en mucho a la sociedad con sus

investigaciones descubriendo las nuevas vulnerabilidades en las tecnologías de la

información y también aportando con la solución de las mismas.

Según el último Informe sobre seguridad dado por IBM X-Force 2010, en el primer

semestre de 2010 (07 Septiembre 2010), indica que el 35% de las vulnerabilidades

que impactan a los sistemas virtualizados afectan al software (hypervisor) que

controla todas las máquinas virtuales, esto significa que un atacante o persona mal

intencionada que tenga el control de un sistema virtual puede ser capaz de manipular

a los otros sistemas virtuales en la misma máquina, lo que pone de manifiesto la

importancia de tener en cuenta la seguridad a la hora de abordar los proyectos de

virtualización.

SOFTWARE DE PROTECCIÓ PARA MÁQUIAS


VIRTUALES VMWARE

IBM VIRTUAL SERVER SECURITY PARA VMWARE

Los sistemas de protección contra intrusos se han venido adaptando progresivamente

a la virtualización y como muestra de esta tendencia, IBM ISS lanzó a mediado de

noviembre 2009 el IBM Virtual Server Security para VMware, permitiendo proteger

los diferentes aspectos de una infraestructura virtual, incluyendo el hypervisor, el


44

sistema operativo, las aplicaciones de redes, escritorios virtuales basados en

servidores, máquinas virtuales y tráfico de datos entre ellos.

Gráfico 8

IBM VIRTUAL SERVER SECURITY PARA VMWARE

Fuente: http://www.ftp.software.ibm.com
Elaboración: http://www.ftp.software.ibm.com

Esta herramienta controla de acceso a la red virtual, detección de rootkits de

detección y prevención, monitoreo y reporteo de la infraestructura virtual,

autodescubrimiento y protección de segmentos de la red virtual. La virtualización está

ya en un gran porcentaje de los centros de cómputo en nuestro medio, donde se


45

emplea para rebajar los costos de la actualización del hardware pues integra más

servidores en un solo computador físico.

Este software tiene como misión proteger la seguridad de cargas de trabajo que corren

sobre servidores virtuales, cuya protección dinámica es para todas las capas:

– Hypervisor
– SO
– Red
– Aplicaciones
– Máquinas virtuales (VM)
– Trafico interno

SEGURIDAD DE LA GESTIÓ DE LA VIRTUALIZACIÓ

La virtualización con el pasar de los años se ha convertido en una de las mayores

transformaciones en la tecnología de la información. Sin embargo, muchas empresas

en nuestro medio aún no pueden apreciar por completo el impacto que el uso de estas

ejerce sobre la seguridad. La virtualización nos da muchos beneficios, así como

también nuevos riesgos, muchos de los cuales no tienen precedentes en la TI

tradicional ni en el entorno físico.

Si comparamos los sistemas físicos, con las múltiples máquinas virtuales (huésped),

estas comparten un mismo host, abstraen de su topología física una red, se pueden

configurar offline y se pueden implementar según demanda, con lo que se da un

entorno más dinámico y flexible cumpliendo las exigencias propias del negocio.
46

Las seguridades en la funcionalidad virtualizada dependen mucho del control

administrativo, con esto viene la necesidad de seguridad en los procesos, en la gestión

y en las tecnologías que tengan en cuenta la virtualización y garanticen su

administración.

Según EMA (Enterprise Management Associates) describe un enfoque sistemático

para asegurar la gestión de sistemas virtualizados en los centros de cómputo de

acuerdo a la filosofía “planificar, hacer, verificar y actuar” de la serie de normas ISO

27000.

Los sistemas virtualizados tipo huésped pueden tener algunos niveles vulnerables

como: en sus operaciones, en su exposición de red o en la información que manejan.

Si una máquina virtual tipo huésped está expuesta a una red pública puede correr el

riesgo de exponer información valiosa en otro huésped en el mismo host.

Cuándo se tenían servidores por host, las interacciones que podría resultar peligrosas

se las controlaban fácilmente mediante el aislamiento físico o lógico. A diferencia de

la virtualización que hace que este aislamiento sea mucho más fácil de vulnerar, ya

que los recursos están compartidos en un solo host.

Los cambios que se puedan dar en la configuración de los servidores o en la red

pueden generar vulnerabilidades tales como: una falla de software sin parches o un

acceso a la red, lo cual podría incurrir en una apropiación del sistema. En cambio, la
47

virtualización amplifica en gran medida estas vulnerabilidades, cuando una

configuración de la máquina virtual vulnerable se replica varias veces en producción.

Si las organizaciones no controlan la implementación de la virtualización de sus

servidores, esto puede aumentar la superficie de ataques sustancialmente y además

que su administración no sea la adecuada.

Este crecimiento desordenado de la virtualización conlleva a consecuencias

importantes tales como:

• Aumentan las exposiciones al riesgo si no se aplican medidas de seguridad

adecuadas y consistentes en todo el entorno virtual.

• Expone a la organización a vulneraciones de licencia de software.

• Introduce, de manera potencial, infracciones del cumplimiento de

regulaciones relacionadas con la gestión de datos privados; con la separación

de sistemas y redes; y con los registros, los recursos y el control de cambios

adecuados.

Las imágenes de las máquinas virtuales son archivo o un conjunto de archivos

almacenados como datos. Estos datos pueden ser copiados y luego ejecutados en un

ambiente no controlado evadiendo protecciones autorizadas. Por esta razón se deben


48

tomar medidas de control sobre el acceso a los sistemas de almacenamiento que

gestionan dichos datos.

Se debe reforzar la protección de privilegios y acciones administrativas, ya que los

privilegios administrativos hacen posible la definición de imágenes de las máquinas

virtuales, su capacidad de recuperación almacenada como datos, el control sobre su

implementación y la gestión en producción.

Se necesita un conocimiento profundo sobre la infraestructura virtual para detectar

factores como la consolidación, la transferencia y la suspensión de máquinas

virtuales, y el control de imágenes de las máquinas virtuales como datos. Sin esta

visibilidad, las acciones administrativas que representan riesgos pueden pasar

inadvertidas. Sin controles específicos de la virtualización, estas acciones también

pueden carecer de gestión.

Las Normas ISO 27000 se enfocan en las normas administrativas de la seguridad en

TI, las mismas que se resumen en: “Planificar, hacer, verificar y actuar”, las

organizaciones tales como Computer Security Institute (CSI) y VMware ofrecen sus

propias pautas para asegurar la gestión de entornos virtualizados.


49

Para, ENTERPRISE MANAGEMENT ASSOCIATES (EMA™)


(2010), preparado para RSA, la División de Seguridad de EMC

PLAIFICAR:

DEFIICIÓ DE UA COFIGURACIÓ ADECUADA

La seguridad del control administrativo está implícita en los


principios de seguridad fundamentales que se aplican en los
entornos virtuales y físicos. La seguridad de la gestión de la
virtualización comienza, por lo tanto, asegurando el entorno físico
y extendiendo esos principios a la virtualización.

• Limite la exposición que pueda originar accesos de privilegios


altos no autorizados.

• Instale herramientas de seguridad personalizadas, como


antimalware, firewall y sistemas de prevención de intrusiones en
host.

• Desactive las funciones innecesarias o superfluas.

• Reserve los recursos de sistema para los procesos de gestión de


servicios: gestión de parches, cambios, recursos y configuración.

• Las configuraciones seguras se deben construir en plantillas


consolidadas para garantizar que cuando se implementen
sistemas nuevos, estos se configuren adecuadamente. Esto
incluye la configuración del host físico, el hipervisor y cada VM
huésped.

La segmentación de red adquiere una dimensión agregada


en los entornos virtualizados, ya que cada una de las VM huésped
tiene sus propias conexiones (a las topologías de red lógicas y
físicas fuera del host virtualizado, y también dentro del host en sí).

• En la mayoría de los casos, las comunicaciones de red entre las


VM huésped se deben aislar. Las tecnologías como VMware
vShield Zones pueden limitar el tráfico entre máquinas virtuales
y las consiguientes exposiciones al riesgo, lo que extiende los
principios de segmentación de red consolidados al mundo
virtual.
50

• La conexión a interfaces físicas específicas puede garantizar aún


más este aislamiento protector y moderar los riesgos de
configuración de software.

La configuración de sistemas de gestión de la virtualización


es especialmente importante, ya que estos controlan de manera
directa la funcionalidad. VMware vCenter, por ejemplo, brinda
gestión centralizada de entornos de VMware y, en consecuencia,
debe emplearse cuidadosamente.

• Limite el acceso administrativo al host donde se ejecuta vCenter.


vCenter debería ejecutarse en una cuenta administrativa
independiente específicamente provista para ese fin.

• Las redes de gestión y producción deberían aislarse mutuamente


para limitar el riesgo de acceso no autorizado a las
funcionalidades administrativas.

Cuando el acceso administrativo está autorizado, se debe


aplicar el principio de privilegio mínimo.

• El acceso administrativo debería relacionarse con la


responsabilidad individual tanto como sea posible. El acceso a
cuentas administrativas compartidas, como root, debería
limitarse, mientras que las herramientas como “su” deberían
restringirse.

• El control de acceso basado en funciones (RBAC) ofrece una


forma de separar funciones administrativas en funciones
individuales que los usuarios autorizados pueden activar cuando
es necesario. En el caso de VMware vCenter, la funcionalidad de
funciones personalizadas ofrece una manera incorporada de
definir y separar los privilegios administrativos según las
funciones.

La monitorización del entorno es esencial, principalmente


para monitorizar el acceso y las acciones administrativas, tanto
autorizadas como no autorizadas. Las organizaciones deberían
planificar la implementación de herramientas de gestión de
eventos y tener un conocimiento profundo sobre los riesgos de la
virtualización. Esto incluye acceso monitorizado a recursos de
almacenamiento de imágenes de VM.
51

• Aquí también, la separación de funciones basada en RBAC


debería ayudar a garantizar que aquellos que cuentan con
privilegios de acceso administrativo no tengan además la
capacidad de alterar la evidencia de las acciones administrativas.

HACER:

SEGURIDAD ADMIISTRATIVA E LAS OPERACIOES

Una vez implementada la virtualización, los principios de


exposición limitada y privilegio mínimo se deben continuar en la
gestión de las operaciones. La exposición a los riesgos de acceso
administrativo se puede moderar mediante el uso de las
herramientas de gestión más seguras o detalladas, siempre que
estén disponibles.

• En el entorno VMware, la consola de servicio ESX puede


activar una funcionalidad extremadamente amplia con control
limitado. Se puede lograr un mejor control mediante el uso de
herramientas mucho más detalladas que aprovechen la
funcionalidad vCenter, como PowerCLI y toolkits que usen la
API de vSphere.

• Ya que estas herramientas aprovechan vCenter, tambiénhacen


cumplir el control y la monitorización de privilegios
centralizados. Además, brindan acceso administrativo basado en
funciones mediante las funciones personalizadas de vCenter.

• Una autenticación sólida puede asegurar aún más el acceso al


privilegio administrativo. Algunas directivas de cumplimiento de
normas, como el estándar de seguridad de datos de PCI, pueden
requerir, específicamente, una autenticación de dos factores para
el acceso administrativo remoto. Uno de los ejemplos más
conocidos de la autenticación de dos factores es la tecnología de
contraseñas de un solo uso de RSA SecurID, usada, desde hace
tiempo, para asegurar el acceso administrativo en muchas
organizaciones de todo el mundo.
52

VERIFICAR:

MOITORIZACIÓ DE ACCIOES ADMIISTRATIVAS

La creación de funcionalidades de monitorización en la fase


de planificación es esencial, pero debe usarse de manera efectiva
en las operaciones. Según el informe de investigaciones sobre
vulneraciones de datos de Verizon Business realizado en 20092, el
66% de las víctimas tuvo suficiente evidencia disponible en los
datos de registro como para descubrir una vulneración prestando
la debida atención al análisis del log. El volumen total de
información de monitorización que TI genera resume el problema
para muchos. Esta masa de datos es difícil, si no imposible, de
manejar sin las herramientas para dar prioridad a las alertas que
identifican los riesgos significativos.

Los sistemas de gestión de eventos e información de


seguridad (SIEM) son una herramienta primordial para enfrentar
estos retos. Sin embargo, para ser más efectivos en la
monitorización de la gestión de la virtualización, deben contar con
una visibilidad integral:

• Eventos en cualquier entorno. La monitorización debe cubrir


eventos que son específicos de la virtualización, pero que afectan
la seguridad de la gestión de la virtualización. Por ejemplo:

- Los eventos deben correlacionarse con los cambios de TI. La


monitorización del cambio de TI es un principio fundamental
de la gestión de TI que fortalece el control de cambios y
mejora la fiabilidad de TI. En seguridad, la detección de
cambios podría revelar actividad de amenaza.

- Los eventos deben correlacionarse con los accesos


administrativos. Esto puede ayudar a identificar un acceso
administrativo no autorizado o un ataque de seguridad que
explote el privilegio administrativo. También proporciona una
gestión de TI más fiable, dado que ayuda a identificar la causa
raíz de problemas de rendimiento o disponibilidad provocados
por acciones administrativas.

- El acceso a recursos de almacenamiento que alojan las


imágenes de VM debe monitorizarse para brindar protección
contra la implementación o el análisis no autorizados de
sistemas virtuales.
53

• Eventos específicos de la virtualización. Las herramientas de


monitorización también deben contar con visibilidad en la
actividad administrativa exclusiva de la virtualización. Esto es
particularmente importante cuando los eventos tienen pocos
precedentes, o no los tienen, en el entorno físico.

- Deben monitorizarse las acciones administrativas que producen


cambios en el estado de la VM. La detención y el inicio de un
servicio en un servidor físico se pueden detectar mediante
herramientas convencionales; pero en el caso de los problemas
específicos de la virtualización, como suspensión de VM, es
posible que no sea así. Las VM también se pueden transferir
de un host físico a otro, lo que podría provocar la infracción de
una política. En estos casos, la monitorización debe contar con
visibilidad dentro de la infraestructura de la virtualización.

- En la mayoría de los casos, la realización de cambios en la


configuración de una VM requiere poner la VM offline y
volver a montarla, lo cual no es tan intuitivo como el reinicio
de un servidor físico. Cuando los cambios se definen en las
imágenes de VM maestras, la monitorización debe garantizar
que estos cambios se comiencen a implementar
oportunamente. Esto puede ser importante al parchear las
vulnerabilidades de seguridad explotadas de manera activa.

- Deben detectarse los intentos no autorizados de copia o


“clonación” de VM para garantizar que la información o los
sistemas confidenciales no se expongan fuera del entorno
autorizado y controlado.

- El crecimiento desordenado de la virtualización debe


monitorizarse y contenerse para garantizar que la
virtualización se gestione de manera adecuada, que los
entornos regulados se encuentren bajo control adecuado y que
se reduzca la posibilidad de que la exposición al riesgo amplíe
la superficie de ataque.

Las herramientas de monitorización también deben contar


con visibilidad en la actividad administrativa exclusiva de la
virtualización. Esto es particularmente importante cuando los
eventos tienen pocos precedentes, o no los tienen, en el entorno
físico.
54

Las plataformas SIEM, como RSA enVision®,


proporcionan visibilidad dentro de la actividad integral en
entornos físicos y virtualizados. Las herramientas de gestión de
cambios y configuración de EMC y VMware, como VMware
vCenter Server Configuration Manager, ofrecen un conocimiento
profundo de la configuración y los cambios conscientes de la
virtualización que se puede correlacionar con la monitorización de
eventos. Estos son ejemplos de tecnologías que cuentan con
visibilidad dentro de la infraestructura de la virtualización,
necesaria para garantizar que los problemas específicos de la
virtualización no se pasen por alto.

ACTUAR:

LA IMPORTACIA DE LA RESPUESTA

Una cosa es monitorizar y otra diferente es actuar, como lo


sugieren las investigaciones sobre vulneraciones de datos. Incluso
cuando los sistemas de gestión de eventos se correlacionan e
identifican los problemas de alta prioridad, se deben tomar
medidas para permitir una respuesta, para evitar que el problema
se vuelva a repetir y para asegurar de una mejor manera la gestión
de la virtualización en el futuro.
Aquí también existen principios generales que se pueden aplicar
en cualquier entorno, además de los que son específicos de la
virtualización:

• Evalúe la integridad de la respuesta. Cuando se conocen las


vulnerabilidades, se debe encontrar y confirmar la exposición en
otros entornos. Los sistemas de gestión de configuración no solo
pueden verificar su presencia cuando aparece, sino que también
pueden corregir directamente las exposiciones mediante un
cambio de configuración.

• Adopte un método proactivo. Más allá de la monitorización, la


“revisión” también debe incluir la evaluación regular de la
efectividad del programa. Esto ayuda a garantizar que la
virtualización se gestione de manera responsable a medida que
las tecnologías, los casos de uso y los requerimientos del negocio
cambien. Los eventos de cambios que requieren
consistentemente excepciones para procesos de gestión
aceptados, por ejemplo, pueden requerir una revaluación de esos
procesos.
55

• Expanda la “conciencia sobre la virtualización”. Reconozca que


la virtualización puede tener un impacto contundente en las
disciplinas de gestión existentes, como la gestión de
configuración. El entorno virtual es mucho más dinámico que el
mundo existente. Las VM se pueden transferir con mucha
libertad entre hosts físicos. Los cambios se pueden realizar
offline, lo que reduce el impacto de cambio en los entornos de
producción; sin embargo, los equipos de operaciones deben
garantizar que estos cambios se pongan en producción según lo
esperado. Las organizaciones querrán garantizar que las
herramientas administrativas cuenten con visibilidad adecuada
dentro de la infraestructura de la virtualización a fin de evitar
ser tomadas por sorpresa por estos problemas específicos de la
virtualización.

• Enlace la infraestructura virtual con la gestión de servicios de TI.


Los sistemas de monitorización pueden crear un ticket de
servicio como respuesta a eventos específicos. Esto ayuda a que el
seguimiento de incidentes llegue a una conclusión satisfactoria,
que puede incluir análisis forense u otro tipo de seguimiento, si
es necesario. Por el contrario, un ticket de servicio se puede usar
para autorizar un evento de cambio específico, cuyo resultado
(satisfactorio o no) se refleje en los sistemas de monitorización
(P.4-7).

LOS SISTEMAS IFORMÁTICOS

Los Sistemas informáticos son un conjunto de elementos conectados o relacionados

por los dispositivos físicos (Hardware) y los lógicos (Software) para almacenar

procesar y tener acceso a la información. En todo sistema informático se introduce la

información a través de los periféricos de entrada, para luego ser procesados y

mostrados por los periféricos de salida.


56

LA IFORMACIÓ

Para la Profesora Ana María Muñoz, La información es un


conjunto organizado de datos procesados, que constituyen un
mensaje que cambia el estado de conocimiento del sujeto o sistema
que recibe dicho mensaje. Desde el punto de vista de la teoría
general de sistemas cualquier señal o input capaz de cambiar el
estado de un sistema constituye un pedazo de información (P.1).

Según la página,
http://www.mfbarcell.es/redes_de_datos/tema_14/redes_t14_seguridad1
_conceptos.pdf

La información ISO/IEC 17799

La información es un activo que tiene valor para la


organización y requiere una protección adecuada.
La seguridad de la información la protege de un amplio
elenco de amenazas para:

• Asegurar la continuidad del negocio,


• Minimizar los daños a la organización
• Maximizar el retorno de inversiones
• Y las oportunidades de negocios.

ISO/IEC 17799 formas de la información


La información adopta diversas formas.

• Puede estar impresa o escrita en papel,


• Almacenada electrónicamente,
• Transmitida por correo o por medios electrónicos,
• Mostrada en filmes o hablada en conversación.

Debería protegerse adecuadamente cualquiera que sea la


forma que tome o los medios por los que se comparta o almacene
(P.4-5).
57

La información constituye uno de los activos más importantes de toda organización,

por lo cual debe ser resguardada, respaldada y debidamente asegurada,

implementando todos los controles posibles físicos y lógicos.

SEGURIDAD IFORMÁTICA

Según, http://definicion.de/seguridad-informatica/
“La seguridad informática es una disciplina que se encarga de proteger la
integridad y privacidad de la información almacenada en un sistema
informático.”

Gráfico 9

Elaboración: Markus Erb


Fuente: http://protejete.wordpress.com/gdr_principal/seguridad_informacion
_proteccion/

La certeza de que un sistema sea cien por ciento seguro y que se puedan evitar daños

y problemas ocasionados por intrusos, técnicamente es imposible, por ello se habla de

niveles de seguridad, en donde la seguridad informática es un conjunto de técnicas

encaminadas en obtener altos niveles de seguridad en los sistemas informáticos.


58

IMPORTACIA DE PROTEGER LA IFORMACIÓ

Como los sistemas informáticos están expuestos a cualquier tipo de ataque, sea este

en el hardware, software o datos, siendo los datos y la información lo más importante

de una organización, deben ser protegidos por las técnicas de seguridad informática,

dedicada a proteger principalmente la confidencialidad, la integridad, la

disponibilidad y la irrefutabilidad de la información.

Gráfico 10

Elaboración: Markus Erb


Fuente: http://protejete.wordpress.com/gdr_principal/seguridad_informacion
_proteccion/

Confidencialidad: Se refiere a que la información debe ser conocida sólo por

individuos autorizados.

Integridad: Se refiere a que la información no ha sido alterada, borrada, copiada,

reordenada, etc, durante el proceso de transmisión o en su propio equipo de origen.


59

Disponibilidad: La información debe estar disponible en el momento que se

necesite.

Irrefutabilidad: Que no se pueda negar la autoría.

TÉRMIOS DE LA SEGURIDAD IFORMÁTICA

Según, http://www.teleinformatica.gob.ve/?p=127

Activo: Recurso del sistema de información o relacionado con


éste, necesario para que la organización funcione correctamente y
alcance los objetivos propuestos.

Amenaza: Es un evento que puede desencadenar un incidente en


la organización, produciendo daños materiales o pérdidas
inmateriales en sus activos.

Impacto: Medir la consecuencia al materializarse una amenaza.

Riesgo: Es la probabilidad de que suceda la amenaza o evento no


deseado.

Vulnerabilidad: Son aspectos que influyen negativamente en un


activo y que posibilita la materialización de una amenaza.

Ataque: Evento, exitoso o no, que atenta sobre el buen


funcionamiento del sistema.
Desastre o Contingencia: Puede ser un huracán, una tormenta etc.
procesamiento de la misma a través de computadoras necesarias
para la operación normal de un negocio.
60

SEGURIDAD DEPEDIEDO DE LA AMEAZA

Dependiendo a las fuentes de amenaza, la seguridad puede ser:

• Seguridad lógica.

• Seguridad física.

LA SEGURIDAD FÍSICA

En la página, http://www.segu-info.com.ar/logica/seguridadlogica.htm

“Así, la Seguridad Física consiste en la "aplicación de barreras físicas y


procedimientos de control, como medidas de prevención y contramedidas ante
amenazas a los recursos e información confidencial”.

Gráfico 11

Seguridad Física

Elaboración: Alejandro Barros


Fuente: http://www.alejandrobarros.com/content/view/502061/Discos-USB-Desafio-
para-la-seguridad.html

De nada serviría que las organizaciones sean las más seguras ante ataques externos,

hackers, virus, etc, si la seguridad física es nula y no se ha previsto como combatir un

incendio, en caso de un ataque interno a la empresa que quiera acceder físicamente a


61

la sala de operaciones, etc. Esto puede derivar en que para un atacante sea más fácil

lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma.

TIPOS DE DESASTRES

Las principales amenazas que se prevén en la seguridad física son:

• Desastres naturales.

• Incendios accidentales.

• Tormentas e inundaciones.

• Amenazas ocasionadas por el hombre.

• Disturbios.

• Sabotajes internos y externos deliberados.

Se debe recalcar que las organizaciones no están exentas a cualquier tipo de desastre

ya sea este natural, por alguna amenaza o sabotaje, por lo que se deberían tomar

medidas de seguridad como son los respaldos de información valiosa para la empresa.

LA SEGURIDAD LÓGICA

En la página, http://www.segu-info.com.ar/logica/seguridadlogica.htm

“La Seguridad Lógica consiste en la aplicación de barreras y procedimientos que


resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas
autorizadas para hacerlo".
62

Gráfico 12

Seguridad Lógica

Elaboración: http://www.audienciaelectronica.net/2010/09/24/50-software-utilizado-
tienen-problemas-de-seguridad/
Fuente: http://www.audienciaelectronica.net/2010/09/24/50-software-utilizado-
tienen-problemas-de-seguridad/

La información debe ser resguardada en todo momento por ser uno de los activos más

valiosos de toda empresa, para ello se debe tomar en cuenta todas las medidas de

seguridad que sean necesarias y así evitar pérdida de datos, robo de información o

cualquier otro delito informático.

OBJETIVOS

En la página, http://www.segu-info.com.ar/logica/seguridadlogica.htm

 Restringir el acceso a los programas y archivos.


 Asegurar que los operadores puedan trabajar sin una
supervisión minuciosa y no puedan modificar los programas ni
los archivos que no correspondan.
 Asegurar que se estén utilizados los datos, archivos y
programas correctos en y por el procedimiento correcto.
63

 Que la información transmitida sea recibida sólo por el


destinatario al cual ha sido enviada y no a otro.
 Que la información recibida sea la misma que ha sido
transmitida.
 Que existan sistemas alternativos secundarios de transmisión
entre diferentes puntos.
 Que se disponga de pasos alternativos de emergencia para la
transmisión de información.

Estos objetivos son algunos de los que deberían tener en cuenta todas las empresas al

momento de implementar sus políticas de seguridad y así evitarse cualquier

inconveniente con sus sistemas de información.

Implementar buenas políticas de seguridad en todos los niveles permitirá tener un

mejor control de la información que se maneja dentro de una organización.

COTROLES DE ACCESO

Según, http://www.nist.gov

ational Institute for Standars and Technology (IST) ha


resumido los siguientes estándares de seguridad que se refieren a
los requisitos mínimos de seguridad en cualquier sistema:
• Identificación y Autentificación

Se denomina Identificación al momento en que el usuario se da


a conocer en el sistema; y Autenticación a la verificación que
realiza el sistema sobre esta identificación.

• Roles

El acceso a la información también puede controlarse a través


de la función o rol del usuario que requiere dicho acceso.

• Transacciones
64

También pueden implementarse controles a través de las


transacciones, por ejemplo solicitando una clave al requerir el
procesamiento de una transacción determinada.
• Limitaciones a los Servicios

Estos controles se refieren a las restricciones que dependen de


parámetros propios de la utilización de la aplicación o
preestablecidos por el administrador del sistema.

• Modalidad de Acceso

Se refiere al modo de acceso que se permite al usuario sobre los


recursos y a la información. Esta modalidad puede ser:

 Lectura: el usuario puede únicamente leer o visualizar la


información pero no puede alterarla. Debe considerarse
que la información puede ser copiada o impresa.

 Escritura: este tipo de acceso permite agregar datos,


modificar o borrar información.

 Ejecución: este acceso otorga al usuario el privilegio de


ejecutar programas.

 Borrado: permite al usuario eliminar recursos del sistema


(como programas, campos de datos o archivos). El borrado
es considerado una forma de modificación.

 Todas las anteriores.

Además existen otras modalidades de acceso especiales, que


generalmente se incluyen en los sistemas de aplicación:

• Creación: permite al usuario crear nuevos archivos, registros o


campos.
• Búsqueda: permite listar los archivos de un directorio
determinado.
• Ubicación y Horario

El acceso a determinados recursos del sistema puede estar


basado en la ubicación física o lógica de los datos o personas.
En cuanto a los horarios, este tipo de controles permite limitar
el acceso de los usuarios a determinadas horas de día o a
determinados días de la semana.
65

• Control de Acceso Interno

 Palabras Claves (Passwords)

Se podrá, por años, seguir creando sistemas altamente seguros,


pero en última instancia cada uno de ellos se romperá por este
eslabón: la elección de passwords débiles.

 Encriptación

La información encriptada solamente puede ser desencriptada


por quienes posean la clave apropiada.

 Listas de Control de Accesos

Se refiere a un registro donde se encuentran los nombres de los


usuarios que obtuvieron el permiso de acceso a un determinado
recurso del sistema, así como la modalidad de acceso
permitido. Este tipo de listas varían considerablemente en su
capacidad y flexibilidad.

 Límites sobre la Interface de Usuario

Esto límites, generalmente, son utilizados en conjunto con las


listas de control de accesos y restringen a los usuarios a
funciones específicas. Básicamente pueden ser de tres tipos:
menús, vistas sobre la base de datos y límites físicos sobre la
interface de usuario.

 Etiquetas de Seguridad

Consiste en designaciones otorgadas a los recursos que pueden


utilizarse para varios propósitos como control de accesos,
especificación de medidas de protección, etc. Estas etiquetas no
son modificables.

• Control de Acceso Externo

 Dispositivos de Control de Puertos

Estos dispositivos autorizan el acceso a un puerto determinado


y pueden estar físicamente separados o incluidos en otro
dispositivo de comunicaciones, como por ejemplo un módem.
66

 Firewalls o Puertas de Seguridad

Permiten bloquear o filtrar el acceso entre dos redes,


usualmente una privada y otra externa (por ejemplo Internet).
Los firewalls permiten que los usuarios internos se conecten a
la red exterior al mismo tiempo que previenen la intromisión
de atacantes o virus a los sistemas de la organización.

 Acceso de Personal Contratado o Consultores

Debido a que este tipo de personal en general presta servicios


temporarios, debe ponerse especial consideración en la política
y administración de sus perfiles de acceso.

 Accesos Públicos

Para los sistemas de información consultados por el público en


general, o los utilizados para distribuir o recibir información
computarizada (mediante, por ejemplo, la distribución y
recepción de formularios en soporte magnético, o la consulta y
recepción de información a través del correo electrónico) deben
tenerse en cuenta medidas especiales de seguridad, ya que se
incrementa el riesgo y se dificulta su administración.

 Administración

Una vez establecidos los controles de acceso sobre los sistemas


y la aplicación, es necesario realizar una eficiente
administración de estas medidas de seguridad lógica, lo que
involucra la implementación, seguimientos, pruebas y
modificaciones sobre los accesos de los usuarios de los sistemas.

Todos los controles de acceso tanto internos como externos deben ser

cuidadosamente configurados según el estándar establecido, para que la información

de la empresa no sea vulnerable con la manipulación de los sistemas por parte de los

usuarios sean estos internos, externos o también consultores.


67

IVELES DE SEGURIDAD IFORMÁTICA

En la página http://www.segu-info.com.ar/logica/seguridadlogica.htm

El estándar de niveles de seguridad más utilizado


internacionalmente es el TCSEC Orange Book, desarrollado en
1983 de acuerdo a las normas de seguridad en computadoras del
Departamento de Defensa de los Estados Unidos.

Los niveles describen diferentes tipos de seguridad del


Sistema Operativo y se enumeran desde el mínimo grado de
seguridad al máximo.

Estos niveles han sido la base de desarrollo de estándares


europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC).

Cabe aclarar que cada nivel requiere todos los niveles


definidos anteriormente: así el subnivel B2 abarca los subniveles
B1, C2, C1 y el D.

 ivel D

Este nivel contiene sólo una división y está reservada para sistemas
que han sido evaluados y no cumplen con ninguna especificación
de seguridad.

Sin sistemas no confiables, no hay protección para el hardware, el


sistema operativo es inestable y no hay autentificación con
respecto a los usuarios y sus derechos en el acceso a la
información. Los sistemas operativos que responden a este nivel
son MS-DOS y System 7.0 de Macintosh.

• ivel C1: Protección Discrecional

Se requiere identificación de usuarios que permite el acceso a


distinta información. Cada usuario puede manejar su información
privada y se hace la distinción entre los usuarios y el
administrador del sistema, quien tiene control total de acceso.

Muchas de las tareas cotidianas de administración del sistema sólo


pueden ser realizadas por este "súper usuario" quien tiene gran
responsabilidad en la seguridad del mismo. Con la actual
68

descentralización de los sistemas de cómputos, no es raro que en


una organización encontremos dos o tres personas cumpliendo este
rol. Esto es un problema, pues no hay forma de distinguir entre los
cambios que hizo cada usuario.

A continuación se enumeran los requerimientos mínimos que debe


cumplir la clase C1:

 Acceso de control discrecional: distinción entre usuarios


y recursos. Se podrán definir grupos de usuarios (con
los mismos privilegios) y grupos de objetos (archivos,
directorios, disco) sobre los cuales podrán actuar
usuarios o grupos de ellos.

 Identificación y Autentificación: se requiere que un


usuario se identifique antes de comenzar a ejecutar
acciones sobre el sistema. El dato de un usuario no
podrá ser accedido por un usuario sin autorización o
identificación.

• ivel C2: Protección de Acceso Controlado

Este subnivel fue diseñado para solucionar las debilidades del C1.
Cuenta con características adicionales que crean un ambiente de
acceso controlado. Se debe llevar una auditoria de accesos e
intentos fallidos de acceso a objetos.

Tiene la capacidad de restringir aún más el que los usuarios


ejecuten ciertos comandos o tengan acceso a ciertos archivos,
permitir o denegar datos a usuarios en concreto, con base no sólo
en los permisos, sino también en los niveles de autorización.

Requiere que se audite el sistema. Esta auditoría es utilizada para


llevar registros de todas las acciones relacionadas con la seguridad,
como las actividades efectuadas por el administrador del sistema y
sus usuarios.

La auditoría requiere de autenticación adicional para estar


seguros de que la persona que ejecuta el comando es quien dice
ser. Su mayor desventaja reside en los recursos adicionales
requeridos por el procesador y el subsistema de discos.
69

Los usuarios de un sistema C2 tienen la autorización para realizar


algunas tareas de administración del sistema sin necesidad de ser
administradores.

Permite llevar mejor cuenta de las tareas relacionadas con la


administración del sistema, ya que es cada usuario quien ejecuta el
trabajo y no el administrador del sistema.

• ivel B1: Seguridad Etiquetada

Este subnivel, es el primero de los tres con que cuenta el nivel B.


Soporta seguridad multinivel, como la secreta y ultra secreta. Se
establece que el dueño del archivo no puede modificar los permisos
de un objeto que está bajo control de acceso obligatorio.

A cada objeto del sistema (usuario, dato, etc.) se le asigna una


etiqueta, con un nivel de seguridad jerárquico (alto secreto,
secreto, reservado, etc.) y con unas categorías (contabilidad,
nóminas, ventas, etc.).

Cada usuario que accede a un objeto debe poseer un permiso


expreso para hacerlo y viceversa. Es decir que cada usuario tiene
sus objetos asociados.

También se establecen controles para limitar la propagación de


derecho de accesos a los distintos objetos.

• ivel B2: Protección Estructurada

Requiere que se etiquete cada objeto de nivel superior por ser


padre de un objeto inferior.

La Protección Estructurada es la primera que empieza a referirse


al problema de un objeto a un nivel más elevado de seguridad en
comunicación con otro objeto a un nivel inferior.

Así, un disco rígido será etiquetado por almacenar archivos que


son accedidos por distintos usuarios.

El sistema es capaz de alertar a los usuarios si sus condiciones de


accesibilidad y seguridad son modificadas; y el administrador es el
encargado de fijar los canales de almacenamiento y ancho de
banda a utilizar por los demás usuarios.
70

• ivel B3: Dominios de Seguridad

Refuerza a los dominios con la instalación de hardware: por


ejemplo el hardware de administración de memoria se usa para
proteger el dominio de seguridad de acceso no autorizado a la
modificación de objetos de diferentes dominios de seguridad.

Existe un monitor de referencia que recibe las peticiones de acceso


de cada usuario y las permite o las deniega según las políticas de
acceso que se hayan definido.

Todas las estructuras de seguridad deben ser lo suficientemente


pequeñas como para permitir análisis y testeos ante posibles
violaciones.

Este nivel requiere que la terminal del usuario se conecte al


sistema por medio de una conexión segura.

Además, cada usuario tiene asignado los lugares y objetos a los que
puede acceder.

• ivel A: Protección Verificada

Es el nivel más elevado, incluye un proceso de diseño, control y


verificación, mediante métodos formales (matemáticos) para
asegurar todos los procesos que realiza un usuario sobre el
sistema.

Para llegar a este nivel de seguridad, todos los componentes de los


niveles inferiores deben incluirse. El diseño requiere ser verificado
de forma matemática y también se deben realizar análisis de
canales encubiertos y de distribución confiable. El software y el
hardware son protegidos para evitar infiltraciones ante traslados o
movimientos del equipamiento.

Cada nivel de seguridad tiene sus beneficios y desventajas pero si llegamos al

nivel A que incluye a todos los otros niveles, la seguridad sería mejor

controlada y los accesos a los sistemas serían los más apropiados según los

estándares de la ISO.
71

LOS DELITOS IFORMÁTICOS

Gráfico 13

Delitos informáticos

Elaboración: Brenda Soledad De León


Fuente: http://www.seguridadinformatica.es/profiles/blogs/delitos-informaticos-1

Según, Julio Téllez Valdés, Derecho Informático, 2da Edición, Mc


Graw Hill – México 1996

Julio Téllez Valdés conceptualiza al delito informático en


forma típica y atípica, entendiendo que en la forma típica son “las
conductas típicas, antijurídicas y culpables en que se tienen a las
computadoras como instrumento o fin” y la forma atípica
“actitudes ilícitas en que se tienen a las computadoras como
instrumento o fin”.

Según, María de la Luz Lima, Delitos Electrónicos Pág. 100, Ediciones


Porrua - México 1984

María de la Luz Lima indica que el delito electrónico en un


sentido amplio es “cualquier conducta criminógena o criminal que
en su realización hace uso de la tecnología electrónica ya sea como
método, medio o fin”, y que en un sentido estricto, el delito
informático, es “cualquier acto ilícito penal en el que las
72

computadoras, sus técnicas y funciones desempeñan un papel ya


sea como método, medio o fin”.

El Convenio de Cyber-delincuencia del Consejo de Europa,


define a los delitos informáticos como “los actos dirigidos contra la
confidencialidad, la integridad y la disponibilidad de los sistemas
informáticos, redes y datos informáticos, así como el abuso de
dichos sistemas redes y datos”

Los Delitos informáticos, con los avances tecnológicos, el desarrollo de la

programación y de Internet; se vuelven cada vez más frecuentes, buscando infringir y

causar daño a todo lo que encuentren en el ámbito informático.

En sí todo aquello que se realice a través de una computadora y se tenga a éste como

método, medio o fin con la intención de causar daño a terceros es considerado un

delito informático y el mismo debe ser penalizado y sancionado por la Ley.

CARACTERÍSTICAS DE LOS DELITOS

Según el mexicano Julio Tellez Valdez, perito en los delitos


informáticos presenta las siguientes características principales:

- Son conductas criminales de cuello blanco (white collar crime),


en tanto que sólo un determinado número de personas con ciertos
conocimientos (en este caso técnicos) puede llegar a cometerlas.

- Son acciones ocupacionales, en cuanto a que muchas veces se


realizan cuando el sujeto se halla trabajando.

- Son acciones de oportunidad, ya que se aprovecha una ocasión


creada o altamente intensificada en el mundo de funciones y
organizaciones del sistema tecnológico y económico.
73

- Provocan serias pérdidas económicas, ya que casi siempre


producen "beneficios" de más de cinco cifras a aquellos que las
realizan.

- Ofrecen posibilidades de tiempo y espacio, ya que en milésimas


de segundo y sin una necesaria presencia física pueden llegar a
consumarse.

- Son muchos los casos y pocas las denuncias, y todo ello debido a
la misma falta de regulación por parte del Derecho.

- Son muy sofisticados y relativamente frecuentes en el ámbito


militar.

- Presentan grandes dificultades para su comprobación, esto por


su mismo carácter técnico.

- Tienden a proliferar cada vez más, por lo que requieren una


urgente regulación. Por el momento siguen siendo ilícitos impunes
de manera manifiesta ante la ley.

Estas conductas criminales deben ser tipificadas por la Ley para que no se sigan

dando este tipo de delitos y se puedan realizar las respectivas denuncias y así se

pueda clarificar y sancionar a aquellos que les gusta infringir las leyes ya sea por

juego, orgullo o ánimo de causar daño alguno.

TIPOS DE DELITOS IFORMÁTICOS RECOOCIDOS


POR ACIOES UIDAS

• Fraudes cometidos mediante manipulación de ordenadores.


• Manipulación de programas.
• Manipulación de datos de salida.
• Fraude efectuado por manipulación informática o por medio
de dispositivos informáticos.
• Falsificaciones informáticas.
• Sabotaje informático.
74

• Virus, gusanos y bombas lógicas.


• Acceso no autorizado a Sistemas o Servicios de Información.
• Reproducción no autorizada de programas informáticos de
protección legal.
• Producción / Distribución de pornografía infantil usando
medios telemáticos.
• Amenazas mediante correo electrónico.
• Juego fraudulento on-line.

FRAUDES COMETIDOS MEDIATE MAIPULACIÓ DE


COMPUTADORAS MAIPULACIÓ DE LOS DATOS DE
ETRADA

Este tipo de fraude informático, conocido también como


sustracción de datos, representa el delito informático más común
ya que es fácil de cometer y difícil de descubrir. Este delito no
requiere de conocimientos técnicos de informática y puede
realizarlo cualquier persona que tenga acceso a las funciones
normales de procesamiento de datos en la fase de adquisición de
los mismos.

MAIPULACIÓ DE PROGRAMAS

Es muy difícil de descubrir y a menudo pasa inadvertida


debido a que el delincuente debe tener conocimientos técnicos
concretos de informática. Este delito consiste en modificar los
programas existentes en el sistema de computadoras o en insertar
nuevos programas o nuevas rutinas. Un método común utilizado
por las personas que tienen conocimientos especializados en
programación informática es el denominado Caballo de Troya,
que consiste en insertar instrucciones de computadora de forma
encubierta en un programa informático para que pueda realizar
una función no autorizada al mismo tiempo que su función
normal.

MAIPULACIÓ DE LOS DATOS DE SALIDA

Se efectúa fijando un objetivo al funcionamiento del sistema


informático. El ejemplo más común es el fraude de que se hace
objeto a los cajeros automáticos mediante la falsificación de
instrucciones para la computadora en la fase de adquisición de
75

datos. Tradicionalmente esos fraudes se hacían a base de tarjetas


bancarias robadas; sin embargo, en la actualidad se usan
ampliamente equipo y programas de computadora especializados
para codificar información electrónica falsificada en las bandas
magnéticas de las tarjetas bancarias y de las tarjetas de crédito.

MAIPULACIÓ IFORMÁTICA APROVECHADO


REPETICIOES AUTOMÁTICAS DE LOS PROCESOS DE
CÓMPUTO

Es una técnica especializada que se denomina “técnica del


salchichón” en la que “rodajas muy finas” apenas perceptibles, de
transacciones financieras, se van sacando repetidamente de una
cuenta y se transfieren a otra.

FALSIFICACIOES IFORMÁTICAS

COMO OBJETO: Cuando se alteran datos de los documentos


almacenados en forma computarizada.

COMO ISTRUMETOS: Las computadoras pueden utilizarse


también para efectuar falsificaciones de documentos de uso
comercial. Cuando empezó a disponerse de fotocopiadoras
computarizadas en color a base de rayos láser surgió una nueva
generación de falsificaciones o alteraciones fraudulentas. Estas
fotocopiadoras pueden hacer copias de alta resolución, pueden
modificar documentos e incluso pueden crear documentos falsos
sin tener que recurrir a un original, y los documentos que
producen son de tal calidad que sólo un experto puede
diferenciarlos de los documentos auténticos.

DAÑOS O MODIFICACIOES DE PROGRAMAS O DATOS


COMPUTARIZADOS SABOTAJE IFORMÁTICO

Es el acto de borrar, suprimir o modificar sin autorización


funciones o datos de computadora con intención de obstaculizar el
funcionamiento normal del sistema. Las técnicas que permiten
cometer sabotajes informáticos son:
76

VIRUS

Es una serie de claves programáticas que pueden adherirse


a los programas legítimos y propagarse a otros programas
informáticos. Un virus puede ingresar en un sistema por conducto
de una pieza legítima de soporte lógico que ha quedado infectada,
así como utilizando el método del Caballo de Troya.

Gráfico 14

Virus informático y Malware

Elaboración: Dr. Santiago Acurio Del Pino


Fuente: http://www.oas.org/juridico/spanish/cyb_ecu_delitos_inform.pdf

GUSAOS

Se fabrica de forma análoga al virus con miras a infiltrarlo


en programas legítimos de procesamiento de datos o para
modificar o destruir los datos, pero es diferente del virus porque
no puede regenerarse. En términos médicos podría decirse que un
gusano es un tumor benigno, mientras que el virus es un tumor
maligno. Ahora bien, las consecuencias del ataque de un gusano
pueden ser tan graves como las del ataque de un virus: por
ejemplo, un programa gusano que subsiguientemente se destruirá
puede dar instrucciones a un sistema informático de un banco
para que transfiera continuamente dinero a una cuenta ilícita.
77

BOMBA LÓGICA O CROOLÓGICA

Exige conocimientos especializados ya que requiere la


programación de la destrucción o modificación de datos en un
momento dado del futuro. Ahora bien, al revés de los virus o los
gusanos, las bombas lógicas son difíciles de detectar antes de que
exploten; por eso, de todos los dispositivos informáticos
criminales, las bombas lógicas son las que poseen el máximo
potencial de daño. Su detonación puede programarse para que
cause el máximo de daño y para que tenga lugar mucho tiempo
después de que se haya marchado el delincuente. La bomba lógica
puede utilizarse también como instrumento de extorsión y se
puede pedir un rescate a cambio de dar a conocer el lugar en
donde se halla la bomba.

Gráfico 15

Gusano Informático

Elaboración: Dr. Santiago Acurio Del Pino


Fuente: http://www.oas.org/juridico/spanish/cyb_ecu_delitos_inform.pdf

ACCESO O AUTORIZADO A SERVICIOS Y SISTEMAS


IFORMÁTICOS

Por motivos diversos: desde la simple curiosidad, como en


el caso de muchos piratas informáticos (hackers) hasta el sabotaje
o espionaje informático.
78

PIRATAS IFORMÁTICOS O HACKERS

El acceso se efectúa a menudo desde un lugar exterior,


situado en la red de telecomunicaciones, recurriendo a uno de los
diversos medios que se mencionan a continuación. El delincuente
puede aprovechar la falta de rigor de las medidas de seguridad
para obtener acceso o puede descubrir deficiencias en las medidas
vigentes de seguridad o en los procedimientos del sistema. A
menudo, los piratas informáticos se hacen pasar por usuarios
legítimos del sistema; esto suele suceder con frecuencia en los
sistemas en los que los usuarios pueden emplear contraseñas
comunes o contraseñas de mantenimiento que están en el propio
sistema.

Gráfico 16

Phishing

Elaboración: Dr. Santiago Acurio Del Pino


Fuente: http://www.oas.org/juridico/spanish/cyb_ecu_delitos_inform.pdf

REPRODUCCIÓ O AUTORIZADA DE PROGRAMAS


IFORMÁTICOS DE PROTECCIÓ LEGAL

Esta puede entrañar una pérdida económica sustancial


para los propietarios legítimos. Algunas jurisdicciones han
tipificado como delito esta clase de actividad y la han sometido a
79

sanciones penales. El problema ha alcanzado dimensiones


transnacionales con el tráfico de esas reproducciones no
autorizadas a través de las redes de telecomunicaciones modernas.
Al respecto, consideramos, que la reproducción no autorizada de
programas informáticos no es un delito informático debido a que
el bien jurídico a tutelar es la propiedad intelectual.

La necesidad de regular esta conducta criminógena ha hecho que algunos países,

contemplen en sus Leyes sanciones, para penalizar los delitos informáticos y de esta

manera enfrentarlos, para que de algún modo baje el índice delictivo en este tipo de

ilícitos.

Buscando que los delitos informáticos no queden impunes y sin ser sancionados o

penalizados tanto en nuestro medio como a nivel internacional, es indispensable que

se tipifiquen en la Ley.

Según el estudio realizado por Silvia Delgado y Laura Guachizaca podemos observar

en los siguientes cuadros estadísticos los delitos que más se cometieron hasta el año

2007 en 10 países de América (Chile, Venezuela, Ecuador, EEUU, Costa Rica,

Argentina, Bolivia, México, Perú, Brasil) y 8 países de Europa (España, Italia,

Austria, Francia, Gran Bretaña, Holanda, Inglaterra):


80

1. En el gráfico 17 podemos observar que en 8 países americanos el delito más

sancionado es el de la Ley de Propiedad Intelectual, esto se debe a que se copian

programas sin la autorización de sus respectivos propietarios. El sabotaje

informático y el fraude le siguen en los delitos más cometidos.

Gráfico 17

PAÍSES AMERICAOS

Elaboración: Silvia Delgado - Laura Guachizaca


Fuente: http://www.utpl.edu.ec/eccblog/wp-content/uploads/2007/04/articulo-
tecnico-analisis-de-la-influencia-de-los-delitos-informaticos-e-implementacion-
de-politicas_silviadelgado.pdf
81

2. En el gráfico 18 podemos observar que en Europa 7 de esos países consideran un

delito informático a aquellos que mediante la manipulación de las computadoras

cometieren algún fraude, mientras que el resto de delitos se da en menor cantidad.

Gráfico 18

PAÍSES EUROPEOS

Elaboración: Silvia Delgado - Laura Guachizaca


Fuente: http://www.utpl.edu.ec/eccblog/wp-content/uploads/2007/04/articulo-
tecnico-analisis-de-la-influencia-de-los-delitos-informaticos-e-implementacion-
de-politicas_silviadelgado.pdf
82

3. En el gráfico 19 podemos observar que el Ecuador es el tercer país en el que más


se cometen delitos informáticos, después de Venezuela y Costa Rica.

Gráfico 19

DELITOS MÁS SACIOADOS E AMÉRICA

Elaboración: Silvia Delgado - Laura Guachizaca


Fuente: http://www.utpl.edu.ec/eccblog/wp-content/uploads/2007/04/articulo-
tecnico-analisis-de-la-influencia-de-los-delitos-informaticos-e-implementacion-
de-politicas_silviadelgado.pdf
83

4. En el gráfico 20 podemos observar que en Europa, tanto en España como en Italia


se cometen la mayor cantidad de delitos informáticos.

Gráfico 20

DELITOS MÁS SACIOADOS E EUROPA

Elaboración: Silvia Delgado - Laura Guachizaca


Fuente: http://www.utpl.edu.ec/eccblog/wp-content/uploads/2007/04/articulo-
tecnico-analisis-de-la-influencia-de-los-delitos-informaticos-e-
implementacion-de-politicas_silviadelgado.pdf
84

DEUCIAS DE DELITOS IFORMÁTICOS

Santiago Acurio, Director Nacional de Tecnologías de la Información de la Fiscalía,

aseguró que existen muchos casos que se han dado con frecuencia en nuestro medio,

pero que las denuncias son muy poco comunes.

Según las estadísticas de la Fiscalía, estas revelan que, en el 2008, hubo 1461

denuncias por causa de delitos informáticos. De estas, el 95% se registró en la

provincia del Guayas, es decir 1264, de las cuales, hubo 364 desestimaciones, 72

instrucciones fiscales y, de este número, se registraron cuatro sentencias: dos

condenatorias y dos absolutorias.

Hasta junio de 2009, las acusaciones casi se mantuvieron en el mismo margen, pues

se presentaron 89 casos de delitos informáticos, de los cuales 54 corresponden a la

provincia del Guayas; 18, a Santa Elena y 4, a Pichincha.

Acurio explicó que el 90% de personas que cometen este tipo de faltas son empleados

de los bancos. En otros casos, son ingenieros en sistemas que han investigado sobre el

tema y han perfeccionado sus estafas. En muchos casos, este grupo de personas no se

encarga de extraer el dinero, sino que negocia los datos con los cuales se pueden

acceder a las cuentas de los clientes.


85

En la fiscalía de delitos misceláneos hasta Agosto del 2010 se han registrado 221

indagaciones de las que se han abierto 10 instrucciones fiscales, de ese total el 80%

corresponde a la apropiación ilícita, delitos que provienen del robo, clonación y robo

de dinero a través de las tarjetas de crédito violentando las claves. Sin embargo, estos

casos se tratan como apropiación indebida penalizada en el Código Penal.

DELÍTOS IFORMÁTICOS E MÁQUIAS VIRTUALES

De los delitos informáticos mencionados y entre los más importantes que podrían

darse en las máquinas virtuales, los mismos que fueron corroborados por

especialistas en virtualización y peritos en los delitos informáticos, analizados con

respecto a las vulnerabilidades que estas presentan, tenemos:

 Violentar claves o sistemas de seguridad.

Este delito informático puede ser sancionado, basándose en el artículo 202 con Título

II: de los delitos contra las garantías Constitucionales y la igualdad racial. Cap.V. de

los delitos contra la inviolabilidad del secreto en el Código de procesamiento Penal

como: ACCESOS NO AUTORIZADOS y si fuera con la reforma a la Ley en el

Artículo 59.- A continuación del Artículo 202, sería sancionado como DELITOS

CONTRA LA INFORMACIÓN PROTEGIDA, VIOLACIÓN DE CLAVES O

SISTEMAS DE SEGURIDAD.
86

 Robo de información contenida en máquinas virtuales.

Este delito informático se lo podría sancionar, basándose en el Artículo 553 con

Título V. de los delitos contra la seguridad pública. Cap. II:- del ROBO en el Código

de procesamiento Penal, sancionado en las leyes ecuatorianas como:

APROPIACIÓN ILÍCITA y si fuera con la reforma a la Ley Artículo 63.- A

continuación del artículo 553 del Código Penal, debería ser sancionado como:

FRAUDE INFORMÁTICO.

 Que maliciosamente y fraudulentamente se borre o dañe una máquina

virtual.

Este delito informático se puede sancionar, basándose en Artículo 415 del Tíitulo V.

de los delitos contra la seguridad pública. Cap. VII:- del incendio y otras

destrucciones, de los deterioros y daños en el código de Procesamiento Penal,

sancionado en las leyes ecuatorianas como: DAÑOS INFORMÁTICOS Y

SABOTAJE INFORMÁTICO y si fuera con la reforma a la Ley Artículo 62.- A

continuación del Art. 415 del Código Penal debería ser sancionado como: DAÑOS

INFORMÁTICOS.

 Robo de una máquina virtual.

Este delito informático puede ser sancionado, basándose en el Artículo 553 con

Título V. de los delitos contra la seguridad pública. Cap. II:- del ROBO en el Código
87

de procesamiento Penal, sancionado en las leyes ecuatorianas como:

APROPIACIÓN ILÍCITA, y si fuera con la reforma a la Ley Artículo 63.- A

continuación del artículo 553 del Código Penal, debería ser sancionado como:

FRAUDE INFORMÁTICO.

 Acceder remotamente a una máquina virtual vulnerando sus seguridades.

Este tipo de delito informático realizado por hackers, se puede sancionar, basándose

en el artículo 202 con Título II: de los delitos contra las garantías Constitucionales y

la igualdad racial. Cap.V. de los delitos contra la inviolabilidad del secreto en el

Código de procesamiento Penal como: ACCESOS NO AUTORIZADOS y si fuera

con la reforma a la Ley en el Artículo 59.- A continuación del Artículo 202, sería

sancionado como DELITOS CONTRA LA INFORMACIÓN PROTEGIDA,

VIOLACIÓN DE CLAVES O SISTEMAS DE SEGURIDAD.

PREGUTAS A COTESTARSE

¿Cómo afecta el desconocimiento de las vulnerabilidades que puedan tener las


máquinas virtuales VMware frente a los riesgos de seguridad en el Área de Sistemas
de una Organización?

¿De qué manera afecta el desconocimiento de las vulnerabilidades que podrían tener
las Máquinas Virtuales en una organización y provocar perjuicios en sus
infraestructuras y/o costos por ataques maliciosos?
88

¿Cómo contribuye a las empresas y comunidad tecnológica, el estudio de los delitos


informáticos en máquinas virtuales de microcomputadoras, ya que su uso se está
extendiendo por la optimización de recursos?

¿Cómo se podrían contrarrestar los delitos informáticos, en las máquinas virtuales


VMware, siendo un aporte a la Seguridad Informática?

¿Cómo se podría robustecer las seguridades de una máquina virtual VMware,


conociendo sus vulnerabilidades, para que las personas maliciosas no puedan cometer
delito alguno?

VARIABLES DE LA IVESTIGACIÓ

VARIABLE IDEPEDIETE

Estudio de las vulnerabilidades en las tecnologías de virtualización con VMware en

microcomputadoras.

VARIABLE DEPEDIETE

Determinar los posibles delitos informáticos que puedan afectar a los sistemas

virtualizados VMware en microcomputadoras.


89

DEFIICIOES COCEPTUALES

Vulnerabilidad.

En seguridad informática, la palabra vulnerabilidad hace referencia a una debilidad en


un sistema permitiendo a un atacante violar la confidencialidad, integridad,
disponibilidad, control de acceso y consistencia del sistema o de sus datos y
aplicaciones.

Microcomputadora.

Una microcomputadora es un tipo de computadora que utiliza un microprocesador

como unidad central de procesamiento (CPU). Generalmente son computadoras que

ocupan espacios físicos pequeños, comparadas a sus predecesoras históricas, las

mainframes y las minicomputadoras.

Mainframe.

Ordenador central o microordenador. Son ordenadores de gran capacidad que se

utilizan para grandes operaciones como las realizadas en banca.

Virtualización.

En computación, la virtualización es un medio para crear una versión virtual de un

dispositivo o recurso, como un servidor, un dispositivo de almacenamiento, una red o

incluso un sistema operativo, donde se divide el recurso en uno o más entornos de


90

ejecución.

Tubo de vacío.

La válvula electrónica, también llamada válvula termoiónica, válvula de vacío, tubo

de vacío o bulbo, es un componente electrónico utilizado para amplificar, conmutar, o

modificar una señal eléctrica mediante el control del movimiento de los electrones en

un espacio "vacío" a muy baja presión, o en presencia de gases especialmente

seleccionados. La válvula electrónica fue el componente crítico que posibilitó el

desarrollo de la electrónica durante la primera mitad del siglo XX, incluyendo la

expansión y comercialización de la radiodifusión, televisión, radar, audio, redes

telefónicas, computadoras analógicas y digitales, control industrial, etc. Algunas de

estas aplicaciones son anteriores a la válvula, pero vivieron un crecimiento explosivo

gracias a ella.

Transistor.

Dispositivo compuesto de un material semiconductor que amplifica una señal o abre

o cierra un circuito. Inventado en 1947 en Bell Labs, los transistores se han vuelto el

principal componente de todos los circuitos digitales, incluidos las computadoras. En

la actualidad los microprocesadores contienen millones de transistores microscópicos.

Previo a la invención de los transistores, los circuitos digitales estaban compuestos de

tubos vacíos, lo cual tenía muchas desventajas. Eran más grandes, requerían más
91

memoria y energía, generaban más calor y eran más propensos a fallas. Los

transistores cumplen las fuciones de amplificador, oscilador, conmutador o

rectificador.

Circuito integrado.

Un circuito integrado (CI), es una pastilla pequeña de material semiconductor, de

algunos milímetros cuadrados de área, sobre la que se fabrican circuitos electrónicos

generalmente mediante fotolitografía y que está protegida dentro de un encapsulado

de plástico o cerámica. El encapsulado posee conductores metálicos apropiados para

hacer conexión entre la pastilla y un circuito impreso.

Microprocesador.
Microchip más importante en una computadora, es considerado el cerebro de una

computadora. Está constituido por millones de transistores integrados.

Este dispositivo se ubica en un zócalo especial en la placa madre y dispone de

un sistema de enfriamiento (generalmente un ventilador).

Lógicamente funciona como la unidad central de procesos (CPU), que está

constituida por registros, la unidad de control y la unidad aritmético-lógica.

En el microprocesador se procesan todas las acciones de la computadora.


92

Su "velocidad" es medida por la cantidad de operaciones por segundo que puede

realizar: la frecuencia de reloj. La frecuencia de reloj se mide en MHz (megahertz) o

gigahertz(GHz).También dispone de una memoria caché (medida en kilobytes),

y un ancho de bus (medido en bits).

El primer microprocesador comercial fue el Intel 4004, presentado el 15 de

noviembre de 1971. Actualmente las velocidades de procesamiento son miles de

veces más grandes que los primeros microprocesadores. También comienzan a

integrarse múltiples procesadores para ampliar la capacidad de procesamiento. Se

estima que para 2010 vendrán integrados hasta 80 núcleos en un microprocesador,

son llamados procesadores multi-core.

Dispositivo. Aparato, artificio, mecanismo, artefacto, órgano, elemento de un sistema.

Son estructuras sólidas, electrónicas y mecanicas las cuales son diseñadas para un uso

específico, estos se conectan entre sí para crear una conexión en común y obtener los

resultados esperados siempre y cuando cumplan con las reglas de configuración.

En las computadoras los distintos dispositivos conectados a ellas deben ser

reconocidos por el sistema operativo y para ello se utilizan controladores (drivers).

CD ROM.

Disco compacto con gran capacidad de almacenamiento de información que se lee

mediante un sistema láser.


93

Monousuario.
(mono: uno, usuario). Sistema operativo o aplicación que solamente puede ser usado

por un único usuario en un determinado momento.

Multiusuario.
Cualquier hardware o software que tiene la capacidad de soportar múltiples usuarios.

Programa.
Un programa es un conjunto de instrucciones escritas en algún lenguaje de

programación. El programa debe ser compilado o interpretado para poder ser

ejecutado y así cumplir su objetivo.

Tooking-Ring.

Token Ring es una arquitectura de red desarrollada por IBM en los años 1970 con

topología lógica en anillo y técnica de acceso de paso de testigo. Token Ring se

recoge en el estándar IEEE 802.5. En desuso por la popularización de Ethernet;

actualmente no es empleada en diseños de redes. (red en anillo). Tipo de LAN con los

nodos cableados en anillo.

Ethernet.

Tecnología para redes de área local (LAN) basada en tramas de datos, desarrollada al

principio por Xerox, y tiempo después se le unieron DEC e Intel. Fue aceptada como
94

estándar por la IEEE.

Hardware.

En computación, término inglés que hace referencia a cualquier componente físico

tecnológico, que trabaja o interactúa de algún modo con la computadora. No sólo

incluye elementos internos como el disco duro, CD-ROM, disquetera, sino que

también hace referencia al cableado, circuitos, gabinete, etc. E incluso hace referencia

a elementos externos como la impresora, el mouse, el teclado, el monitor y demás

periféricos.

El hardware contrasta con el software, que es intangible y le da lógica al hardware

(además de ejecutarse dentro de éste).

Software.

En computación, el software -en sentido estricto- es todo programa o aplicación

programado para realizar tareas específicas. El término "software" fue usado por

primera vez por John W. Tukey en 1957.

Algunos autores prefieren ampliar la definición de software e incluir también en la

definición todo lo que es producido en el desarrollo del mismo.

La palabra "software" es un contraste de "hardware"; el software se ejecuta dentro del


95

hardware.

Usuario.

En informática, un usuario es un individuo que utiliza una computadora, sistema

operativo, servicio o cualquier sistema informático. Por lo general es una única

persona.

Un usuario generalmente se identifica frente al sistema o servicio utilizando un

nombre de usuario (nick) y a veces una contraseña, este tipo es llamado usuario

registrado.

Aplicación.

Programa informático que permite a un usuario utilizar una computadora con un fin

específico. Las aplicaciones son parte del software de una computadora, y suelen

ejecutarse sobre el sistema operativo.

Una aplicación de software suele tener un único objetivo: navegar en la web, revisar

correo, explorar el disco duro, editar textos, jugar (un juego es un tipo de aplicación),

etc. Una aplicación que posee múltiples programas se considera un paquete.

Son ejemplos de aplicaciones Internet Explorer, Outlook, Word, Excel, WinAmp, etc.
96

Seguridad informática.

La seguridad informática es una disciplina que se relaciona a diversas técnicas,

aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la

información de un sistema informático y sus usuarios.

Técnicamente es imposible lograr un sistema informático ciento por ciento seguro,

pero buenas medidas de seguridad evitan daños y problemas que pueden ocasionar

intrusos.

Ataque malicioso.
Intento organizado y deliberado de una o más personas para causar daño o problemas

a un sistema informático o red. Los ataques en grupo suelen ser hechos por bandas de

piratas informáticos por diversión, para causar daño, buenas (relativamente buenas)

intenciones, espionaje, obtención de ganancias, etc. Los blancos preferidos suelen ser

los sistemas de grandes corporaciones o estados, pero ningún usuario de internet u

otras redes está exento.

Probablemente el primer ataque informático masivo de la historia se produjo un

viernes 13 de 1989, cuando una revista informática regaló disquetes de promoción,

pero estaban infectados con un virus. El virus afectó a cientos de empresas y

particulares.
97

Actualmente los ataques suelen afectar principalmente a internet, pero también

afectan otras redes como las de telefonía, redes Wi-Fi, redes de área local de

empresas, etc.

Hackers.

Experto en informática capaz de entrar en sistemas cuyo acceso es restringido, sin

tener necesariamente con malas intenciones. No obstante, el término se identifica con

el de delincuente informático, e incluye a los cibernautas que realizan operaciones

delictivas a través de las redes de computadores existentes. Entre la comunidad de

“hackers” se identifica a estos últimos con el término de “crackers”.

Virus.

Fragmentos de código que se introducen en los ordenadores sin que el usuario note su
presencia. Provocan efectos dañinos de diversa índole, desde afectar al rendimiento
hasta borrar toda la información del disco, se ocultan y pueden tener la capacidad de
propagarse a otros ordenadores.

Control de acceso.

(access control). Es la habilidad de permitir o denegar el uso de un recurso particular

a una entidad en particular.

Los mecanismos para el control de acceso pueden ser usados para cuidar recursos

físicos (ej: acceso a una habitación donde hay servidores), recursos lógicos (ej: una

cuenta de banco, de donde solo determinadas personas pueden extraer dinero) o


98

recursos digitales (ej: un archivo informático que sólo puede ser leído, pero no

modificado).

Password.

Contraseña. Conjunto de caracteres que permite acceder a un determinado contenido


en la red o que sirve para discriminar el acceso de los usuarios.

Encriptación.

(Cifrado, codificación). La encriptación es el proceso para volver ilegible información


considera importante. La información una vez encriptada sólo puede leerse
aplicándole una clave.

Se trata de una medida de seguridad que es usada para almacenar o transferir


información delicada que no debería ser accesible a terceros. Pueden ser contraseñas,
nros. de tarjetas de crédito, conversaciones privadas, etc.

Para encriptar información se utilizan complejas fórmulas matemáticas y para


desencriptar, se debe usar una clave como parámetro para esas fórmulas.
El texto plano que está encriptado o cifrado se llama criptograma.

Descencriptación.

Recuperación del contenido original de una información cifrada con anterioridad.

Interface.
99

Circuito electrónico que gobierna la conexión entre dos dispositivos de hardware y

los ayuda a intercambiar información de manera confiable. Es sinónimo de Puerto.

Puertos.

Adaptador de un ordenador al cual se fijan las unidades periféricas, como la

impresora o el módem.

TCSEC.

Los TCSEC (Trusted Computer Security Evaluation Criteria) definidas por el

Departamento de Defensa de EEUU (comúnmente conocido como el Libro Naranja).

Suministra especificaciones de seguridad relativas a sistemas operativos y sistemas

gestores de bases de datos.

Sistema operativo.

(Operating System). Sistema tipo software que controla la computadora y administra


los servicios y sus funciones como así también la ejecución de otros programas
compatibles con éste.

Ejemplos de familias de sistemas operativos: Windows, Unix, Linux, DOS, Mac OS,
etc.
Un sistema operativo permite interactuar con el hardware de computadoras, teléfonos
celulares, PDAs, etc. y ejecutar programas compatibles en éstos.
Permite controlar las asignaciones de memoria, ordenar las solicitudes al sistema,
controlar los dispositivos de entrada y salida, facilitar la conexión a redes y el manejo
de archivos.
100

ITSEC.

El ITSEC (Information Technology Security Evaluation Criteria) que es el

equivalente europeo del Libro Naranja, pero más moderno y con mayor alcance que

aquél. Se conoce comúnmente como Libro Blanco.

Criterios de Evaluación de Seguridad en Tecnologías de la Información.

Los Criterios de Evaluación de Seguridad en Tecnologías de la Información (CESTI),

también conocidos por sus siglas en inglés ITSEC (Information Technology Security

Evaluation Criteria), son un conjunto de criterios para evaluar la seguridad

informática de productos y sistemas.Los CESTI fueron publicados

en mayo de 1990 por la RFA, Francia, los Países Bajos y el Reino Unido, basándose

en trabajos anteriores existentes en las naciones mencionadas. A partir de la profunda

revisión internacional a que fueron sometidos, la Comisión Europea publicó la

versión 1.2 en junio de 1991, para su uso operativo en los esquemas de evaluación y

certificación.

Criterios de Evaluación de la Seguridad en las Tecnologías de la Información, título

de un documento publicado por la Comisión Europea, en el que se describe un

conjunto determinado de criterios de evaluación de la seguridad de las TI que ha sido

oficialmente recomendado por el Consejo de la Unión Europea para su utilización en

la realización de evaluaciones en toda la Unión Europea y que también es usado en

otros países.
101

ITSEM.

Manual de Evaluación de la Seguridad en las Tecnologías de la Información, título de

un documento técnico suscrito por el SOG-IS y publicado por la Comisión Europea,

que establece un conjunto determinado de métodos de evaluación de la seguridad de

las TI.

ISO.

(International Organization for Standardization - Organización Internacional para la

Estandarización). Su nombre ISO significa "igual" en griego. Fue fundada en el año

1946 y unifica a más de cien países. Se encarga de crear estándares o normas

internacionales.

Tipo de formato de imagen de CDs, DVDs, etc.

Imagen ISO es un archivo donde se almacena una copia o imagen exacta de un

sistema de ficheros, normalmente un disco óptico. Se rige por el estándar ISO 9660

que le da nombre. Algunos de los usos más comunes incluyen la distribución de

sistemas operativos, tales como sistemas Linux, BSD o Live CDs.

IEC.

Conector IEC es el nombre común para un conjunto de trece conectores de

alimentación eléctrica (denominados el conector en las especificaciones) y trece

paneles de enchufe (denominados la entrada) definidos por la especificación IEC


102

60320 (anteriormente IEC 320) de la International Electrotechnical Commission

(IEC). Cuando se usa sin otros calificadores, "conector IEC" por lo general se refiere

específicamente a los conectores C13 y C14.

La Comisión Electrotécnica Internacional (CEI o IEC, por sus siglas del idioma

inglés International Electrotechnical Commission) es una organización de

normalización en los campos eléctrico, electrónico y tecnologías relacionadas.

Numerosas normas se desarrollan conjuntamente con la ISO (normas ISO/IEC).

La CEI, fundada en 1904 durante el Congreso Eléctrico Internacional de San Luis

(EEUU), y cuyo primer presidente fue Lord Kelvin, tenía su sede en Londres hasta

que en 1948 se trasladó a Ginebra. Integrada por los organismos nacionales de

normalización, en las áreas indicadas, de los países miembros, en 2003 pertenecían a

la CEI más de 60 países.

A la CEI se le debe el desarrollo y difusión de los estándares para algunas unidades

de medida, particularmente el gauss, hercio y weber; así como la primera propuesta

de un sistema de unidades estándar, el sistema Giorgi, que con el tiempo se

convertiría en el sistema internacional de unidades.

En 1938, el organismo publicó el primer diccionario internacional (International

Electrotechnical Vocabulary) con el propósito de unificar la terminología eléctrica,

esfuerzo que se ha mantenido durante el transcurso del tiempo, siendo el Vocabulario

Electrotécnico Internacional un importante referente para las empresas del sector.


103

Dominio de seguridad.

(domain) Website (lugar del ciberespacio) que organiza un servidor de acuerdo al

rango que ocupa, (números IP que son de su propiedad y solo este servidor ocupa,

cede y maneja).

Testeo.

(Software testing, prueba del software). Es el proceso empleado para identificar la

correctitud, completitud, seguridad y calidad en el desarrollo de un software para

computadoras.

El proceso de testeo es una investigación técnica que intenta revelar información de

calidad acerca del producto de software con respecto al contexto en donde operará.

El testo de un producto de software es uno de los pasos más complejos e importantes

en el desarrollo de software. Esto incluye el proceso de encontrar errores en el

software; pero el testeo no sólo se limita a eso. El testeo o prueba de un software se

relaciona a atributos como la fiabilidad, eficiencia, portabilidad, escalabilidad,

mantenibilidad, compatibilidad, usabilidad y capacidad del mismo.

Delito.

El delito informático implica cualquier actividad ilegal que encuadra en figuras

tradicionales ya conocidas como robo, hurto, fraude, falsificación, perjucio, estafa y


104

sabotaje, pero siempre que involucre la informática de por medio para cometer la

ilegalidad.

Antijurídico.

Que es contra derecho.

Criminógena.

Tendencias conducentes a la delincuencia

Tecnología.

La tecnología es un concepto amplio que abarca un conjunto de técnicas,

conocimientos y procesos, que sirven para el diseño y construcción de objetos para

satisfacer necesidades humanas.

En la sociedad, la tecnología es consecuencia de la ciencia y la ingeniería, aunque

muchos avances tencológicos sean posteriores a estos dos conceptos.

La palabra tecnología proviene del griego tekne (técnica, oficio) y logos (ciencia,

conocimiento).

Ilícito.

No permitido legalmente.
105

Cyber delincuencia.

Se entienden las «actividades delictivas realizadas con ayuda de redes de

comunicaciones y sistemas de información electrónicos o contra tales redes y

sistemas.

Máquina virtual.

En informática una máquina virtual es un software que emula a una computadora y

puede ejecutar programas como si fuese una computadora real. Este software en un

principio fue definido como "un duplicado eficiente y aislado de una máquina física".

La acepción del término actualmente incluye a máquinas virtuales que no tienen

ninguna equivalencia directa con ningún hardware real.

CPD.

Se denomina centro de procesamiento de datos (CPD) a aquella ubicación donde se

concentran todos los recursos necesarios para el procesamiento de la información de

una organización. También se conoce como centro de cómputo en Iberoamérica, o

centro de cálculo en España o centro de datos por su equivalente en inglés data center.

Dichos recursos consisten esencialmente en unas dependencias debidamente

acondicionadas, computadoras y redes de comunicaciones.


106

Pool.

Conjunto de usuarios de uno o diferentes modelos de palets comunes. Se trata de

palets de multiples rotaciones que pueden ser intercambiados por los miembros del

pool. Por ejemplo, los utilizadores del palet EUR.

En computación, se denomina connection pool (agrupamiento de conexiones) al

manejo de una colección de conexiones abiertas a una base de datos de manera que

puedan ser reutilizadas al realizar múltiples consultas o actualizaciones.

Aislamiento.

Acción y efecto de aislar - Sistema o dispositivo que impide la transmisión de la

electricidad, el calor, el sonido, etc.

Servidor.

En redes, computadora central en un sistema de red que provee servicios a otras

computadoras.

En internet, los servidores son los proveedores de todos sus servicios, incluyendo la

WWW (las páginas web), el FTP, el correo electrónico, los grupos de noticias, etc.

Plataforma.
(platform). En informática, determinado software y/o hardware con el cual una

aplicación es compatible y permite ejecutarla.


107

Una plataforma es, por ejemplo, un sistema operativo, un gran software que sirve

como base para ejecutar determinadas aplicaciones compatibles con este. También

son plataformas la arquitectura de hardware, los lenguajes de programación y sus

librerías en tiempo de ejecución, las consolas de videojuegos, etc.

Uniformidad.

Igualdad, semejanza.

Si se tienen diversos archivos con la información relacionada dentro de la

organización, es probable que cada uno tenga un formato diferente, lo cual dificulta

su comparación. El uso de bases de datos permite información en un formato común.

Estandarización.

Se conoce como estandarización al proceso mediante el cual se realiza una actividad

de manera standard o previamente establecida. El término estandarización proviene

del término standard, aquel que refiere a un modo o método establecido, aceptado y

normalmente seguido para realizar determinado tipo de actividades o funciones. Un

estándar es un parámetro más o menos esperable para ciertas circunstancias o

espacios y es aquello que debe ser seguido en caso de recurrir a algunos tipos de

acción.
108

Encapsular.

El encapsulamiento es el proceso por el cual los datos que se deben enviar a través de

una red se deben colocar en paquetes que se puedan administrar y rastrear. El

encapsulado consiste pues en ocultar los detalles de implementación de un objeto,

pero a la vez se provee una interfaz pública por medio de sus operaciones permitidas.

Considerando lo anterior también se define el encapsulado como la propiedad de los

objetos de permitir el acceso a su estado únicamente a través de su interfaz o de

relaciones preestablecidas con otros objetos.

VMware.

Subsidiaria de EMC Corporation, es una empresa que provee software de

virtualización para computadoras compatibles x86, donde se destacan sus productos

VMware Workstation, y los gratuitos VMware Server y VMware Player.

El software de VMware se ejecuta en Microsoft Windows, Linux y Mac OS X.

Guest.

Suele ser el nombre de la cuenta pública de un sistema, y puede utilizarla cualquiera

que no tiene una propia. Cuenta pública de un sistema para acceder a recursos de red.

(Huésped) Palabra clave utilizada comúnmente para obtener archivos públicos de una

computadora llamada host (anfitrión), que es el servidor donde se encuentran los

archivos.
109

Hypervisor.

Un Hypervisor es una capa que se sitúa por encima del Hardware y por debajo del

Sistema Operativo del Host. Entonces, cuando el Hypervisor es desplegado, tanto el

Sistema Operativo Padre (parent) como el Sistema Operativo Hijo (child) ambos

instalados en particiones separadas, éstos tienen igual acceso al hardware.

IC.
Network Information Center. Organismo que se encarga en cada país de asignar las

direcciones IP y los nombres de dominio a los computadores conectados a Internet.

Linux.

Sistema Operativo desarrollado por Linus Torvald, de la Universidad de Helsinki en

Finlandia, con el fin de facilitar a los usuarios de computadores personales un sistema

operativo, de libre distribución, compatible con Unix. Para desarrollar el sistema se

usó un sistema de cooperación y prueba a nivel mundial, a través de la Internet.

Utilizado para denominar a un servidor conectado a Internet.

FUDAMETACIÓ FILOSÓFICA

PRAGMATISMO

Según, http://www.eumed.net/libros/2007b/288/53.htm
110

Pragmatismo, doctrina filosófica desarrollada por los


filósofos estadounidenses del siglo XIX Charles Sanders Peirce,
William James y otros, según la cual la prueba de la verdad de una
proposición es su utilidad práctica; el propósito del pensamiento es
guiar la acción, y el efecto de una idea es más importante que su
origen. El pragmatismo fue la primera filosofía de Estados Unidos
desarrollada de forma independiente. Se opone a la especulación
sobre cuestiones que no tienen una aplicación práctica. Afirma que
la verdad está relacionada con el tiempo, lugar y objeto de la
investigación y que el valor es inherente tanto por sus medios como
por sus fines.

Hoy en día las organizaciones están sometidas a cambiar su infraestructura y

plataformas, por los diversos beneficios que los avances tecnológicos brindan, pero

sin embargo no todas están al nivel de hacerlo, en la mayoría de los casos desconocen

los beneficios que la virtualización les pueden aportar.

La virtualización se debe basar en un proceso que denote el tiempo en que una

organización estaría acorde para su aplicación, mediante el cual el personal de

sistemas se apropia de los conocimientos, ventajas, desventajas y funcionalidad

comprometiendo la implementación integra en la virtualización de sus equipos.

El proceso de la virtualización tiene como objetivo principal establecer los diferentes

beneficios que otorgan a las organizaciones, bajar los costos, seguridad, factibilidad,

disponibilidad, redundancia, etc, bajo estos parámetros, la virtualización debe ser

considerada como segura.


111

FILOSOFÍA DE LA TECOLOGÍA

Según, http://es.wikipedia.org/wiki/Filosof%C3%ADa_de_la_tecnolog%C3%ADa

“La filosofía de la tecnología es una rama de la filosofía dedicada a estudiar la


naturaleza de la tecnología y sus efectos sociales”.

Hoy en día nos damos cuenta que la ciencia y la tecnología no nos dan las respuestas,

sino que nos generan nuevas interrogantes, que aún están sin respuesta.

Pero también podemos decir que algunas de las tecnologías nuevas, que se están

dando en estos últimos tiempos, aparte de generar nuevas interrogantes, nos dan

tiempo para pensar en las respuestas a las interrogantes anteriores. Es así como la

tecnología incide de manera primordial sobre nuestra vida futura.

Según, http://www.oei.es/publicaciones/temas01.htm

La filosofía de la tecnología, o filosofía de la técnica, es hoy


un importante campo de trabajo en el panorama académico
internacional. Como subdisciplina filosófica, se ha convertido en
una materia autónoma con sus propias tradiciones, sus revistas
especializadas y sus nombres destacados. Asimismo, la filosofía de
la tecnología constituye un ámbito de reflexión relativamente
reciente si lo comparamos con otros temas de interés filosófico
como la ciencia, el arte o la política. Aunque posee tradiciones
consolidadas, ha sido en las últimas décadas cuando ha adquirido
relevancia académica y atención pública. Este hecho no es
independiente de la reafirmación de tendencias antiesencialistas en
parte de la filosofía contemporánea, ni de la transformación de las
sensibilidades sociales respecto al cambio tecnológico.
112

Al desarrollar o perfeccionar la virtualización, son principios filosóficos, si

entendemos que la filosofía en la tecnología la trata como una técnica importante,

serán entonces causas de que las organizaciones opten por virtualizar sus servicios,

diremos que debe tener una línea correcta filosófica.

FUDAMETACIÓ LEGAL

LEY DE COMERCIO ELECTRÓICO, MESAJES DE DATOS Y FIRMAS


ELECTRÓICAS PUBLICADA E LA LEY O. 67. DEL REGISTRO
OFICIAL. SUPLEMETO 557 DE 17 DE ABRIL DEL 2002.

Gráfico 21

SACIOES PARA LOS DELITOS IFORMÁTICOS E EL ECUADOR

Elaboración: Silvia Delgado - Laura Guachizaca


Fuente: http://www.utpl.edu.ec/eccblog/wp-content/uploads/2007/04/articulo-
tecnico-analisis-de-la-influencia-de-los-delitos-informaticos-e-implementacion-de-
politicas_silviadelgado.pdf
113

CÓDIGO DE PROCEDIMIETO PEAL Y CÓDIGO DE


PROCEDIMIETO CIVIL

En la siguiente tabla se muestra la reforma al Código de Procedimiento Penal de

acuerdo a las especificaciones contempladas en el Título Quinto, de las Infracciones

Informáticas en la Ley de Comercio Electrónico, Firmas Digitales y Mensajes de

Datos:

CUADRO 1

DELITOS IFORMÁTICOS
DELITOS IFORMATICOS REPRESIO MULTAS
Art. 58 Delitos contra la información
protegida (Art. 202).

- Violentare claves o sistemas de


seguridad, para accede u obtiene 6 meses a 1 año $500 - $1000
información protegida.
- Seguridad nacional, o a secretos 1 a 3 años $1.000 - $1500
comerciales o industriales.
- Divulgación o utilización fraudulenta 3 a 6 años $2.000 - $10.000
de la información protegida.
- Divulgación o utilización fraudulenta 6 a 9 años $2.000 - $10.000
por custodios de la información.
- Obtención y utilización no autorizada 2 meses a 2 años $1.000 - $2.000
de la información.

Art. 59 Destrucción maliciosa de


3 a 6 años ---
documentos (Art. 262)

Art. 60 Falsificación electrónica (Art. 3 a 6 años ---


353)
114

Art. 61 Daños informáticos (Art. 415)

- Daño dolosamente, servicio público o


6 meses a 3 años $60 – $150
vinculado con la defensa nacional.
3 a 5 años $200 - $600
- Si no se tratare de un delito mayor.
8 meses a 4 años $200 - $600
Art. 62 Apropiación ilícita (Art. 553)

- Utilizare fraudulentamente Sistemas de


6 meses a 5 años $500 - $1000
información o redes electrónicas.
1 a 5 años $1.000 - $2.000
- Uso de medios (claves, tarjetas
magnéticas, otros instrumentos

Art. 63 Estafa (Art. 563) 5 años $500 - 1.000


Art. 64 Contravenciones de tercera
2 a 4 días $7 - $14
clase (Art. 606)

Elaboración: Johnny Villavicencio


Fuente: Ley de Comercio Electrónico, Firmas electrónicas y mensajes de datos
(P 17 -19), Código de Procedimiento Penal.

LOS ARTÍCULOS

ART. 58 DELITOS COTRA LA IFORMACIÓ


PROTEGIDA.

Art. 202 A):- El que empleando cualquier medio


electrónico, informático o afín, violentare claves o sistemas de
seguridad, para acceder u obtener información protegida,
contenida en sistemas de información; para vulnerar el secreto,
confidencialidad y reserva, o simplemente vulnerar la seguridad,
será reprimido con prisión de seis meses a un año y multa de
quinientos a mil dólares de los Estados Unidos de orteamérica.

Si la información obtenida se refiere a seguridad nacional, o


a secretos comerciales o industriales, la pena será de uno a tres
años de prisión y multa de mil a mil quinientos dólares de los
Estados Unidos de orteamérica.

La divulgación o la utilización fraudulenta de la


información protegida, así como de los secretos comerciales o
115

industriales, serán sancionadas con pena de reclusión menor


ordinaria de tres a seis años y multa de dos mil a diez mil dólares
de los Estados Unidos de orteamérica.

Si la divulgación o la utilización fraudulenta se realizan por


parte de la persona o personas encargadas de la custodia o
utilización legítima de la información, éstas serán sancionadas con
pena de reclusión menor de seis a nueve años y multa de dos mil a
diez mil dólares de los Estados Unidos de orteamérica.

Art. 202 B) Obtención y utilización no autorizada de


información? La persona o personas que obtuvieren información
sobre datos personales para después cederla, publicarla, utilizarla
o transferirla a cualquier título, sin la autorización de su titular o
titulares, serán sancionadas con pena de prisión de dos meses a dos
años y multa de mil a dos mil dólares de los Estados Unidos de
orteamérica."

ART. 59 DESTRUCCIÓ MALICIOSA DE


DOCUMETOS.

Art...- 262.- Serán reprimidos con tres a seis años de


reclusión menor, todo empleado público y toda persona encargada
de un servicio público, que hubiere maliciosa y fraudulentamente,
destruido o suprimido documentos, títulos, programas, datos,
bases de datos, información o cualquier mensaje de datos
contenido en un sistema de información o red electrónica, de que
fueren depositarios, en su calidad de tales, o que les hubieren sido
encomendados sin razón de su cargo".

ART. 60 FALSIFICACIÓ ELECTRÓICA.

Art. 353. A) Falsificación electrónica.- Son reos de


falsificación electrónica la persona o personas que con ánimo de
lucro o bien para causar un perjuicio a un tercero, utilizando
cualquier medio; alteren o modifiquen mensajes de datos, o la
información incluida en éstos, que se encuentre contenida en
cualquier soporte material, sistema de información o telemático,
ya sea:

1.- Alterando un mensaje de datos en alguno de sus elementos o


requisitos de carácter formal o esencial;
116

2.- Simulando un mensaje de datos en todo o en parte, de manera


que induzca a error sobre su autenticidad; y,
3.- Suponiendo en un acto la intervención de personas que no la
han tenido o atribuyendo a las que han intervenido en el acto,
declaraciones o manifestaciones diferentes de las que hubieren
hecho.
El delito de falsificación electrónica será sancionado de acuerdo a
lo dispuesto en este Capítulo

ART. 61 DAÑOS IFORMÁTICOS


Art. 415 A) Daños informáticos? El que dolosamente, de
cualquier modo o utilizando cualquier método, destruya, altere,
inutilice, suprima o dañe, de forma temporal o definitiva, los
programas, datos, bases de datos, información o cualquier mensaje
de datos contenido en un sistema de información o red electrónica,
será reprimido con prisión de seis meses a tres años y multa de
sesenta a ciento cincuenta dólares de los Estados Unidos de
orteamérica.

La pena de prisión será de tres a cinco años y multa de


doscientos a seiscientos dólares de los Estados Unidos de
orteamérica, cuando se trate de programas, datos, bases de
datos, información o cualquier mensaje de datos contenido en un
sistema de información o red electrónica, destinada a prestar un
servicio público o vinculada con la defensa nacional.

Art. 415 B) Si no se tratare de un delito mayor, la


destrucción, alteración o inutilización de la infraestructura o
instalaciones físicas necesarias para la transmisión, recepción o
procesamiento de mensajes de datos, será reprimida con prisión de
ocho meses a cuatro años y multa de doscientos a seiscientos
dólares de los Estados Unidos de orteamérica.".

ART. 62 APROPIACIÓ ILÍCITA.

Art. 553 A) Apropiación ilícita.- Serán reprimidos con


prisión de seis meses a cinco años y multa de quinientos a mil
dólares de los Estados Unidos de orteamérica, los que utilizaren
fraudulentamente sistemas de información o redes electrónicas,
para facilitar la apropiación de un bien ajeno, o los que procuren
la transferencia no consentida de bienes, valores o derechos de una
persona, en perjuicio de ésta o de un tercero, en beneficio suyo o
de otra persona alterando, manipulando o modificando el
117

funcionamiento de redes electrónicas, programas informáticos,


sistemas informáticos, telemáticos o mensajes de datos.
Art. 553 B) La pena de prisión de uno a cinco años y multa
de mil a dos mil dólares de los Estados Unidos de orteamérica, si
el delito se hubiere cometido empleando los siguientes medios:

1. Inutilización de sistemas de alarma o guarda;


2. Descubrimiento o descifrado de claves secretas o encriptadas;
3. Utilización de tarjetas magnéticas o perforadas;
4. Utilización de controles o instrumentos de apertura a distancia;
y,
5. Violación de seguridades electrónicas, informáticas u otras
semejantes.".

ART. 63 ESTAFAS.

Segundo Inciso del Art. 563.- Será sancionado con el


máximo de la pena prevista en el inciso anterior y multa de
quinientos a mil dólares de los Estados Unidos de orteamérica, el
que cometiere el delito utilizando medios electrónicos o
telemáticos.".

ART. 64 COTRAVECIOES DE TERECERA


CLASE.

A continuación del numeral 19 del artículo 606 añádase el


siguiente:

Los que violaren el derecho a la intimidad, en los términos


establecidos en la Ley de Comercio Electrónico, Firmas
Electrónicas y Mensajes de Datos.".

TIPOS DE DELITOS IFORMÁTICOS EXISTETES E LA


LEGISLACIÓ ECUATORIAA

Según, Dr. Santiago Acurio Del Pino - Fiscalía General Del Estado (2010)

Los delitos que aquí se describen se encuentran como


reforma al Código Penal por parte de la Ley de Comercio
Electrónicos, Mensajes de Datos y Firmas Electrónicas publicada
118

en Ley o. 67. Registro Oficial. Suplemento 557 de 17 de Abril del


2002.

CUADRO 2
DELITOS COTRA LA IFORMACIÓ PROTEGIDA:
VIOLACIÓ DE CLAVES O SISTEMAS DE SEGURIDAD

TITULO DEL CÓDIGO PEAL DESCRIPCIÓ

Título II: DE LOS DELITOS CONTRA Empleo de cualquier medio


LAS GARANTIAS CONSTITUCIONALES electrónico, informático o afín.
· Violentare claves o sistemas de
Y LA IGUALDAD RACIAL.
seguridad
· Acceder u obtener información
Cap. V. De los Delitos Contra la inviolabilidad
protegida contenida en sistemas
del secreto. de información
· Vulnerar el secreto,
confidencialidad y reserva
· Simplemente vulnerar la seguridad
·PRISION 6 MESES A UN
AÑO MULTA 500 A 1000 USD
· Agravantes dependiendo de la
información y del sujeto activo

TIPOS PEALES

Artículo 59.- A continuación del Art. 202,


inclúyanse los siguientes artículos Artículo...- Obtención y utilización
innumerados: no autorizada de Información.- La
persona o personas que obtuvieren
Artículo....- El que empleando cualquier información sobre datos personales
medio electrónico, informático o afín, para después cederla, publicarla,
violentare claves o sistemas de seguridad,
utilizarla o transferirla a cualquier
para acceder u obtener información protegida,
título, sin la autorización de su titular o
contenida en sistemas de información; para
titulares, serán sancionadas con pena
vulnerar el secreto, confidencialidad y reserva,
o simplemente vulnerar la seguridad, será de prisión de dos meses a dos años y
reprimido con prisión de seis meses a un multa de mil a dos mil dólares de los
año y multa de quinientos a mil dólares Estados Unidos de Norteamérica.
de los Estados Unidos de Norteamérica.

Si la información obtenida se refiere a


seguridad nacional, o a secretos
comerciales o industriales, la pena será de
119

uno a tres años de prisión y multa de mil a mil


quinientos dólares de los Estados Unidos de
Norteamérica.

La divulgación o la utilización fraudulenta de


la información protegida, así como de los
secretos comerciales o industriales, serán
sancionadas con pena de reclusión menor
ordinaria de tres a seis años y multa de dos mil
a diez mil dólares de los Estados Unidos de
Norteamérica.

Si la divulgación o la utilización fraudulenta se


realizan por parte de la persona o
personas encargadas de la custodia o
utilización legítima de la información, éstas
serán sancionadas con pena de reclusión menor
de seis a nueve años y multa de dos mil a diez
mil dólares de los Estados Unidos de
Norteamérica.

Elaboración: Dr. Santiago Acurio


Fuente:http://www.alfa-redi.com/apc-aa-
alfaredi/img_upload/9507fc6773bf8321fcad954b7a344761/acurio1.pdf

CUADRO 3
DELITOS COTRA LA IFORMACIÓ PROTEGIDA:
DESTRUCCIÓ O SUPRESIÓ DE DOCUMETOS,
PROGRAMAS.

TITULO DEL CÓDIGO PEAL DESCRIPCIÓ

TITULO III. DE LOS DELITOS CONTRA Empleado Público


LA ADMINISTRACION PÚBLICA. Cap. V.
· Persona encargada de un servicio
De la Violación de los deberes de Funcionarios
Público
Públicos, de la Usurpación de Atribuciones y de · Que maliciosamente y
los Abusos de Autoridad fraudulentamente
· DESTRUYA O SUPRIMA:
120

· Documentos, títulos, programas,


datos, bases de datos, información,
mensajes de datos contenidos en
un sistema o red electrónica.

· RECLUSION MENOR 3 A 6 AÑOS

TIPOS PEALES

Artículo 60.- Sustitúyase el Art. 262 por el siguiente: “Serán reprimidos con 3 a seis
años de reclusión menor, todo empleado público y toda persona encargada de un
servicio público, que hubiere maliciosa y fraudulentamente, destruido o suprimido
documentos, títulos, programas, datos, bases de datos, información o cualquier
mensaje de datos contenido en un sistema de información o red electrónica, de que
fueren depositarios, en su calidad de tales, o que les hubieren sido encomendados en
razón de su cargo.

Elaboración: Dr. Santiago Acurio


Fuente:http://www.alfa-redi.com/apc-aa-
alfaredi/img_upload/9507fc6773bf8321fcad954b7a344761/acurio1.pdf

CUADRO 4
DAÑOS IFORMÁTICOS

TITULO DEL CÓDIGO PEAL

DESCRIPCIÓ

Titulo V. DE LOS DELITOS CONTRA -Dolosamente, de cualquier modo o


LA SEGURIDAD PÚBLICA. Cap. VII: Del utilizando cualquier método destruya,
incendio y otras destrucciones, de los deterioros altere, inutilice, suprima o dañe de forma
y daños temporal o definitiva:

-Programas, datos, bases de datos,


información o cualquier mensaje de
datos contenido en un sistema de
información o red electrónica.

-Inutilización de la infraestructura para


121

la transmisión de datos.

PRISIÓN 6 MESES A 3 AÑOS,


MULTA DE 60 A 150 USD

TIPOS PEALES

Artículo 62.- A continuación del Art. 415 del Artículo Innumerado - Si no se tratare
Código Penal, inclúyanse los siguientes de un delito mayor, la destrucción,
artículos innumerados: alteración o inutilización de la
infraestructura o instalaciones físicas
Art - Daños informáticos.- El que necesarias para la transmisión, recepción
dolosamente, de cualquier modo o o procesamiento de mensajes de datos,
utilizando cualquier método, destruya, será reprimida con prisión de ocho
altere, inutilice, suprima o dañe, de forma meses a cuatro años y multa de
temporal o definitiva, los programas, datos, doscientos a seis cientos dólares de los
bases de datos, información o cualquier Estados Unidos de Norteamérica.
mensaje de datos contenido en un sistema de
información o red electrónica, será
reprimido con prisión de seis meses a tres años y
multa de sesenta a ciento cincuenta dólares de
los Estados Unidos de Norteamérica.

La pena de prisión será de tres a cinco años y


multa de doscientos a seis cientos dólares de los
Estados Unidos de Norteamérica, cuando se
trate de programas, datos, bases de datos,
información o cualquier mensaje de datos
contenido en un sistema de información
o red electrónica, destinada a prestar un servicio
público o vinculado con la defensa nacional.

Elaboración: Dr. Santiago Acurio


Fuente:http://www.alfa-redi.com/apc-aa-
alfaredi/img_upload/9507fc6773bf8321fcad954b7a344761/acurio1.pdf
122

CUADRO 5
FRAUDE IFORMÁTICO
TITULO DEL CÓDIGO PEAL
DESCRIPCIÓ

Titulo X. De los Delitos contra la Propiedad. - Utilización fraudulenta de sistemas


Cap. II. Del Robo. de información o redes electrónicas.
- PRISION 6 MESES A 5 AÑOS
Cap. V De las Estafas y otras defraudaciones. - MULTA 500 A 1000 USD
Y SI EMPLEA LOS SIGUIENTES
MEDIOS:

- Inutilización de sistemas de alarma o


guarda.
- Descubrimiento o descifrado de
claves secretas o encriptadas.
- Utilización de tarjetas magnéticas
o perforadas.
- Utilización de controles o
instrumentos de apertura a distancia, y,
- Violación de seguridades electrónicas
- PRISION 1 A 5 AÑOS MULTA 1000
A 2000 USD

TIPOS PEALES

Artículo 63.- A continuación del artículo 553 Art. Inn.- La pena será de prisión de
del Código Penal, añádanse los siguientes uno a cinco años y multa de mil a dos
artículos innumerados: Art. Inn.- mil dólares de los Estados Unidos de
Apropiación Ilícita.- Serán reprimidos con Norteamérica, si el delito se hubiere
prisión de seis meses a cinco años y multa de cometido empleando los siguientes
quinientos a mil dólares de los Estados medios:
Unidos de Norteamérica, los que utilizaren
fraudulentamente sistemas de información o 1.- Inutilización de sistemas de alarma o
redes electrónicas, para facilitar la guarda;
apropiación de un bien ajeno, o los que 2.- Descubrimiento o descifrado de
procuren la transferencia no consentida de claves secretas o encriptadas;
bienes, valores o derechos de una persona, en 3.- Utilización de tarjetas magnéticas o
perjuicio de ésta o de un tercero, en beneficio perforadas;
suyo o de otra persona alterando, manipulando 4.- Utilización de controles
o modificando el funcionamiento de o instrumentos de apertura a
redes electrónicas, programas distancia;
informáticos, sistemas informáticos, 5.- Violación de seguridades
telemáticos o mensajes de datos. electrónicas, informáticas u otras
semejantes.
123

Artículo 64.- Añádase como segundo inciso del artículo 563 del Código Penal el siguiente:
Será sancionado con el máximo de la pena prevista en el inciso anterior y multa de
quinientos a mil dólares de los Estados Unidos de Norteamérica, el que cometiere el delito
utilizando medios electrónicos o telemáticos.

Elaboración: Dr. Santiago Acurio


Fuente:http://www.alfa-redi.com/apc-aa-
alfaredi/img_upload/9507fc6773bf8321fcad954b7a344761/acurio1.pdf

Hasta la presente fecha en que se ha realizado el proyecto de tesis sólo se ha dado la

reforma a lo expuesto por el Presidente Constitucional de la República del Ecuador

Rafael Correa Delgado, quien decretó las reformas a la Ley de Comercio

Electrónico, Firmas Electrónicas y Mensajes de Datos No. 67 del Registro Oficial.

Suplemento 557 del 17 de Abril del 2002, según el REGISTRO OFICIAL Año II –

Quito, Lunes 6 de Octubre del 2008 – Nro. 440.

Esta reforma a la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de

Datos, sólo contempla regulaciones para las telecomunicaciones que les permitan

promover políticas que susciten y fortalezcan el desarrollo y aplicación efectiva del

comercio electrónico.
124

TÍTULO II
DERECHOS
CAPÍTULO PRIMERO
PRICIPIOS DE APLICACIÓ DE LOS DERECHOS
SECCIÓ II
COMUICACIÓ E IFORMACIÓ

Art. 16.- Todas las personas, en forma individual o


colectiva, tienen derecho a:

1. Una comunicación libre, intercultural, incluyente, diversa y


participativa, en todos los ámbitos de la interacción social, por
cualquier medio y forma, en su propia lengua y con sus propios
símbolos.

2. El acceso universal a las tecnologías de información y


comunicación.

3. La creación de medios de comunicación social, y al acceso en


igualdad de condiciones al uso de las frecuencias del espectro
radioeléctrico para la gestión de estaciones de radio y televisión
públicas, privadas y comunitarias, y a bandas libres para la
explotación de redes inalámbricas.

4. El acceso y uso de todas las formas de comunicación visual,


auditiva, sensorial y a otras que permitan la inclusión de
personas con discapacidad.

5. Integrar los espacios de participación previstos en la


Constitución en el campo de la comunicación.

Art. 18.- Todas las personas, en forma individual o colectiva,


tienen derecho a:

1. Buscar, recibir, intercambiar, producir y difundir información


veraz, verificada, oportuna, contextualizada, plural, sin
censura previa acerca de los hechos, acontecimientos y
procesos de interés general, y con responsabilidad ulterior.

2. Acceder libremente a la información generada en entidades


públicas, o en las privadas que manejen fondos del Estado o
realicen funciones públicas. o existirá reserva de información
125

excepto en los casos expresamente establecidos en la ley. En


caso de violación a los derechos humanos, ninguna entidad
pública negará la información.

TÍTULO VII
RÉGIME DEL BUE VIVIR
SECCIÓ PRIMERA
EDUCACIÓ

Que el artículo 350 de la Constitución de la República del


Ecuador señala que el sistema de educación superior tiene como
finalidad la formación académica y profesional con visión
científica y humanista; la investigación científica y tecnológica; la
innovación, promoción, desarrollo y difusión de los saberes y las
culturas; la construcción de soluciones para los problemas del país,
en relación con los objetivos del régimen de desarrollo.

SECCIÓ OCTAVA
CIECIA, TECOLOGÍA, IOVACIÓ Y SABERES
ACESTRALES

Art.385. El sistema nacional de ciencia, tecnología,


innovación y saberes ancestrales, en el marco del respeto al
ambiente, la naturaleza, la vida, las culturas y la soberanía, tendrá
como finalidad:

• Generar, adaptar y difundir conocimientos científicos y


tecnológicos.
• Recuperar, fortalecer y potenciar los saberes ancestrales.
• Desarrollar tecnologías e innovaciones que impulsen la
producción nacional, eleven la eficiencia y productividad,
mejoren la calidad de vida y contribuyan a la realización
del buen vivir.

Art. 386.- El sistema comprenderá programas, políticas,


recursos, acciones, e incorporará a instituciones del Estado,
126

universidades y escuelas politécnicas, institutos de investigación


públicos y particulares, empresas públicas y privadas, organismos
no gubernamentales y personas naturales o jurídicas, en tanto
realizan actividades de investigación, desarrollo tecnológico,
innovación y aquellas ligadas a los saberes ancestrales.

El Estado, a través del organismo competente, coordinará el


sistema, establecerá los objetivos y políticas, de conformidad con el
Plan acional de Desarrollo, con la participación de los actores
que lo conforman.

Art. 387.- Será responsabilidad del Estado:

1. Facilitar e impulsar la incorporación a la sociedad del


conocimiento para alcanzar los objetivos del régimen de
desarrollo.

2. Promover la generación y producción de conocimiento,


fomentar la investigación científica y tecnológica, y potenciar los
saberes ancestrales, para así contribuir a la realización del buen
vivir, al sumak kawsay.

3. Asegurar la difusión y el acceso a los conocimientos científicos y


tecnológicos, el usufructo de sus descubrimientos y hallazgos en el
marco de lo establecido en la Constitución y la Ley.

4. Garantizar la libertad de creación e investigación en el marco


del respeto a la ética, la naturaleza, el ambiente, y el rescate de los
conocimientos ancestrales.

5. Reconocer la condición de investigador de acuerdo con la Ley.


127

CAPÍTULO III

METODOLOGÍA

MODALIDAD DE LA IVESTIGACIÓ

Este proyecto de investigación tiene la modalidad de un proyecto bibliográfico,

que permite realizar los estudios teóricos, y recolectar información importante,

para concientizar dentro de la temática de una propuesta, según las variables

planteadas.

La función básica del método consiste en ser un instrumento que permita dar

pautas a aquello que se desea hacer: para ello, el método científico se va

perfeccionando en la práctica de la investigación científica.

MÉTODO CIETÍFICO.

“Según MSc. Pacheco, Oswaldo, (1999), expresa: “El método


científico es un conjunto de procedimientos lógicamente
sistematizados que el investigador utiliza para descubrir y
enriquecer la ciencia” (Pág. 36)

Este método es un proceso destinado a explicar el procedimiento que se llevará a

cabo en esta investigación, cuyos resultados serán aceptados como válidos por la

comunidad organizacional, el profesional de sistemas no debe olvidar las

seguridades que deben ser consideradas al momento de implementar cualquier

tipo de infraestructura.
128

La actitud del profesional de sistemas no puede ser objeto de improvisación, debe ser

planificada y estudiada con un criterio ingenioso, mediante una metodología que le

permita obtener los resultados esperados.

MÉTODO IDUCTIVO

Es un proceso de razonamiento lógico que nos lleva de lo particular a lo general o de

una parte a un todo, empezando con la observación de casos particulares para luego

comparar con propiedades, características y relaciones eficaces de las diferentes

etapas en los objetos del conocimiento; se abstrae, se generaliza y se llega al

establecimiento de las reglas y leyes científicas.

MÉTODO DEDUCTIVO

Este proceso va de lo general a lo particular o de lo complejo a lo simple presentando

conceptos, principios, reglas, definiciones, operaciones y fórmulas a partir de las

cuales se analiza, sintetiza, compara, generaliza y demuestra.

Es con la investigación realizada que se va acumulando información de a cuerdo a la

metodología adoptada, y esto lleva a resolver el problema real de las vulnerabilidades

en tecnologías de virtualización en una organización, elevando los niveles de

seguridad ante delitos informáticos que puedan darse en las máquinas virtuales,

descubriendo la existencia de procesos y resultados de la investigación.

El proyecto objeto de estudio, de acuerdo a las características y objetivos propuestos

por el problema, están enmarcados en la modalidad cualitativa, y como bibliográfico.


129

TIPOS DE IVESTIGACIÓ

La investigación , de acuerdo con Sabino (2000), se define


como “un esfuerzo que se emprende para resolver un problema ,
claro está, un problema de conocimiento” (p. 47), por su lado
Cervo y Bervian (1989) la definen como “una actividad
encaminada a la solución de problemas . Su Objetivo consiste en
hallar respuesta a preguntas mediante el empleo de procesos
científicos ” (p. 41).

Los tipos de investigación que se utilizaron para el desarrollo de esta

investigación son los siguientes:

IVESTIGACIÓ DE CAMPO

Según, http://es.wikipedia.org/wiki/Investigaci%C3%B3n

Se trata de la investigación aplicada para comprender y


resolver alguna situación, necesidad o problema en un contexto
determinado. El investigador trabaja en el ambiente natural en
que conviven las personas y las fuentes consultadas, de las que
obtendrán los datos más relevantes a ser analizados, son
individuos, grupos y representaciones de las organizaciones
científicas no experimentales dirigidas a descubrir relaciones e
interacciones entre variables sociológicas, psicológicas y educativas
en estructuras sociales reales y cotidianas.

Porque sirve para analizar que tanto conocimiento hay en nuestro medio

relevante al problema de las vulnerabilidades en las máquinas virtuales Vmware

si estas existieran y que Delitos Informáticos se pueden aplicar a estas, utilizando

las encuestas y entrevistas. Trabajando en la fuente misma de la investigación.


130

IVESTIGACIÓ DESCRIPTIVA

Según, http://tgrajales.net/investipos.pdf

Trabaja sobre realidades de hecho y su característica


fundamental es la de presentar una interpretación correcta. Esta
puede incluir los siguientes tipos de estudios: Encuestas, Casos,
Exploratorios, Causales, De Desarrollo, Predictivos, De Conjuntos,
De Correlación.

Porque sirve para analizar con mayor detenimiento las vulnerabilidades que puedan

tener las máquinas virtuales VMware, para llegar a conocer las debilidades que éstas

poseen en sus seguridades permitiendo ataques informáticos.

IVESTIGACIÓ DIAGÓSTICA

Según, http://mmalicea.tripod.com/proyecto/investprelim.htm

La investigación diagnóstica es la investigación preliminar


que se realiza para determinar cuál es el problema o necesidad de
un usuario, nos permite mejorar la información acerca del tema
que se está investigando; ya que nos ayuda a entender la
naturaleza del problema, definir el alcance, las restricciones y/o
limitaciones de un sistema.

Porque permite diagnosticar el problema o necesidad que se está tratando como en

este caso la verificación de las vulnerabilidades que puedan tener las máquinas

virtuales VMware ante ataques de cualquier índole informática.


131

IVESTIGACIÓ BIBLIOGRÁFICA

Según,
http://www.monografias.com/trabajos74/investigacion-
bibliografica/investigacion-bibliografica.shtml

La investigación bibliográfica constituye una excelente


introducción a todos los otros tipos de investigación, además de
que constituye una necesaria primera etapa de todas ellas, puesto
que ésta proporciona el conocimiento de las investigaciones ya
existentes teorías, hipótesis, experimentos, resultados,
instrumentos y técnicas usadas acerca del tema o problema que el
investigador se propone investigar o resolver. Para algunos
autores, la investigación bibliográfica es una amplia búsqueda de
información sobre una cuestión determinada, que debe realizarse
de un modo sistemático, pero no analiza los problemas que esto
implica. Otros autores la conciben como el proceso de búsqueda de
información en documentos para determinar cuál es el
conocimiento existente en un área particular.

Es decir que la investigación bibliográfica es el proceso que se encarga de la

búsqueda de información en fuentes como libros, citas, textos, internet, etc. sobre un

tema que el investigador está averiguando para determinar el nivel de conocimiento

que existe sobre un tema en particular.


132

POBLACIÓ Y MUESTRA

Según, D-ONOFRE (citado por Andino, Yépez, 1999)

Es el conjunto agregado del número de elementos, con


caracteres comunes, en un espacio y tiempo determinados sobre
los cuales se pueden realizar observaciones (p. 117, 118) En otras
palabras la población es el conjunto de todos los sujetos en los que
se desea estudiar un hecho o fenómeno. Módulo de tutoría.

La muestra está constituida por un conjunto de personas de los departamentos de

sistemas que componen el sector empresarial de la ciudad de Guayaquil, en el ámbito

bancario, comercial y de servicios en general, tales como: bancos, empresas de

soporte tecnológico, empresas de tecnología, centros comerciales, empresas de

telecomunicaciones, municipio, medios de comunicación escritos y de servicios

hospitalarios, que han sido investigadas a través de una muestra no probabilística e

intencional, en razón de que el investigador conoce a los elementos de las mismas.

Aunque en la ciudad de Guayaquil existen un aproximado de 1339 empresas, según

la página ecuador.acambiode.com, en el ámbito, bancario, comercial y de servicios

en general; la muestra, está representada por 54 sujetos que fueron escogidos de

manera intencional en 17 empresas importantes de la ciudad de Guayaquil tales

como: Omnihospital, Ocitel, Tecnobis, Inmobiliaria del Sol, Pronobis, Deprati, Super

Éxito, Banco de Guayaquil, Banco del Pacífico, IBM – Solinser, Digeim, Inocar,

Corporación Latino América de Software, El Universo, Municipio de Guayaquil,

Consorcio Ecuatoriano de Telecomunicaciones, SAAP, cuyos profesionales de

sistemas me brindaron su colaboración para realizar las encuestas.


133

OPERACIOALIZACIÓ DE VARIABLES

CUADRO 6
MATRIZ DE OPERACIOALIZACIÓ DE VARIABLES

Técnicas y/o
Variables Dimensiones Indicadores
Instrumentos
IDEPEDIETES -Libros
Seleccionados
-Estrategias
Estudio de las -Videos
Metodología -Técnicas
vulnerabilidades en -Entrevistas
-Recursos
las tecnologías de -Encuestas
virtualización con -Bibliografía
VMware en
microcomputadoras.
-Servidores
Esta variable se
virtualizados -Estadísticas sobre
refiere a un estudio Virtualización con
áreas de sistemas
que permitirá conocer VMware en
-Estaciones usando máquinas
las vulnerabilidades microcomputadoras
virtualizadas virtuales
más importantes que
tienen las máquinas
virtuales VMware

DEPEDIETES
-Bibliografía
Determinar los -Estrategias especializada
posibles delitos Metodología -Técnicas
informáticos que -Recursos -Consulta a
puedan afectar a los expertos
sistemas virtualizados
VMware en
microcomputadoras.

Esta variable se -Lectura y análisis


refiere a los delitos -Fraudes código civil
Delitos informáticos
informáticos que -Robos -Lectura y análisis
pueden ser cometidos - Violación de claves código penal
en las máquinas
virtuales VMware, en
nuestro medio

Elaboración: Johnny Villavicencio


Fuente: Johnny Villavicencio
134

ISTRUMETOS DE RECOLECCIÓ DE DATOS

LA TÉCICA

Una técnica (del griego, τέχνη (téchne), arte) es un


procedimiento o conjunto de reglas, normas o protocolos, que
tienen como objetivo obtener un resultado determinado, ya sea en
el campo de la ciencia, de la tecnología, del arte, del deporte, de la
educación o en cualquier otra actividad.

La técnica al ser un conjunto de reglas, mecanismos, medios de dirigir, recolectar,

conservar, reelaborar, transmitir datos, etc. Nos permite obtener resultados de acuerdo

a la investigación.

Un instrumento de recolección de datos es una herramienta que sirve al investigador

para extraer información que le sirva para el estudio y análisis del objetivo planteado.

Entre las técnicas de la investigación que se han seleccionado para la realización de

este proyecto, se va hacer uso de la encuesta y las entrevistas, el cuestionario que son

los documentos que constan en las preguntas de investigación, y se utilizó la escala de

Likert modificada.

Las técnicas utilizadas para la obtención necesaria de los datos, provino de fuentes

primarias y secundarias.
135

Primarias:

• Observación;

• Encuestas;

• Entrevistas.

Secundarias:

• Análisis de contenido;

• Lectura científica.

A continuación, explico algunos de los instrumentos de los cuales me he valido para


realizar este trabajo:

OBSERVACIÓ

La observación es una técnica que consiste en la observación de personas, fenómenos,

hechos, casos, objetos, acciones, situaciones, etc., con el fin de recopilar una

información determinada que sirva para una investigación.

Las ventajas de usar esta técnica es que permite obtener información relevante, es de

bajo costo y fácil de aplicar.

ECUESTA

Consiste en que una persona proporciona directamente la información al

investigador o entrevistador en una relación personal en donde se obtienen datos


136

importantes y relevantes a un tema específico, para saber el porcentaje según la

opinión sobre las vulnerabilidades y seguridades en las máquinas virtuales.

Las encuestas por lo general pueden ser descriptivas y mixtas. Pueden ser por

muestreo cuando se lo hace a un cierto número de personas encuestadas.

Generalmente se utiliza preguntas de opinión y de índice, según el contenido.

También pueden ser preguntas abiertas, cerradas y mixtas, según la forma de la

encuesta.

Esta Técnica es la más utilizada y permite obtener información de casi cualquier tipo

de población, pero una de las desventajas de esta técnica es que no permite analizar

con profundidad temas complejos

ETREVISTA

La entrevista consiste en una interrogación de tipo verbal que se le realiza a una o

varias personas de las cuales se desea obtener la información necesaria para la

investigación respectiva.

Existen varios tipos de entrevistas que nos pueden servir según el tipo de indagación

que se quiera realizar; entre ellas tenemos:


137

• Entrevista de Investigación;

• Entrevista dirigida;

• Entrevista semidirigida;

• Entrevista no dirigida;

• Entrevista de grupo.

En una entrevista el entrevistador puede hacer preguntas abiertas o cerradas y dirige

la entrevista de acuerdo a las respuestas que vaya dando el entrevistado.

Las ventajas de esta técnica es que brinda la oportunidad de profundizar en un tema.

Las desventajas pueden ser que las personas no estén dispuestas a conceder la

información; las respuestas del entrevistado, la información obtenida y la

interpretación de ésta dependen de la habilidad del entrevistador.

ISTRUMETOS DE LA IVESTIGACIÓ

LOS ISTRUMETOS

Los instrumentos son herramientas que se utilizan para obtener información o datos

relevantes, con el fin de obtener un resultado a un tema específico.

• Cuestionarios;

• Guión de entrevistas;

• Internet;
138

• Informes instruccionales.

PROCEDIMIETOS DE LA IVESTIGACIÓ

• Identificación y formulación del problema

• Elección del tema

• Determinación de las variables

• Selección bibliográfica

• Investigación bibliográfica vía internet, encuestas y entrevistas

• Selección de los instrumentos para la investigación

• Aplicación y recolección de la información

• Procesamiento y análisis de los resultados

• Tablas y gráficos estadísticos

• Análisis e interpretación de los resultados

• Reuniones de asesoría con el tutor

• Elaboración del primer borrador

• Corrección del borrador

• Aprobación del proyecto

• Sustentación del proyecto


139

AÁLISIS E ITERPRETACIÓ DE LOS RESULTADOS

Las estadísticas que a continuación se presentan, en los análisis de los resultados,

corresponden a entrevistas y encuestas realizadas en la ciudad de Guayaquil.

En esta investigación se aplicó como instrumentos: encuesta a 54 profesionales de TI

de los departamentos de sistemas de diferentes empresas, 3 entrevistas a expertos en

virtualización y 1 entrevista a experto en delitos informáticos, con el propósito de

obtener información que constan en los instrumentos para establecer “ESTUDIO DE

LAS VULNERABILIDADES EN TECNOLOGÍAS DE VIRTUALIZACIÓN CON

VMWARE EN MICROCOMPUTADORAS, DETERMINANDO LOS DELITOS

INFORMÁTICOS QUE PODRÍAN AFECTAR A ESTOS SISTEMAS, EN EL

SECTOR EMPRESARIAL DE LA CIUDAD DE GUAYAQUIL, EN EL AMBITO

BANCARIO, COMERCIAL, Y DE SERVICIOS EN GENERAL”

Dejo constancia de los respectivos agradecimientos por haber colaborado con sus

respuestas para la formulación de la propuesta.

A continuación se presenta un análisis cuali-cuantitativo del tema propuesto en base a

frecuencia y porcentajes para determinar conclusiones y recomendaciones que sirvan

de soporte para la investigación.


140

RESULTADOS DE LAS ECUESTAS AL PERSOAL DE


SISTEMAS DE 17 EMPRESAS DE LA CIUDAD DE GUAYAQUIL
CUADRO 7
Cree Ud. que hoy en día es necesario tener conocimientos acerca del uso de
la máquinas virtuales
Ítem ° Categoría Frecuencia Porcentaje
4 En desacuerdo 0 0
3 Indiferente 1 2
1 2 De acuerdo 8 15
1 Muy de acuerdo 45 83
Total 54 100%
Fuente: Johnny Villavicencio

Gráfico 22

Fuente: Johnny Villavicencio

De los profesionales de sistemas de las empresas de Guayaquil encuestados se

manifestaron el 83% el estar muy de acuerdo y el 15 % De acuerdo en que hoy en día

es necesario tener conocimientos acerca del uso de las máquinas virtuales, y sólo el

2% dicen no saber si es necesario tener conocimientos acerca del uso de las máquinas

virtuales.

De acuerdo a los resultados obtenidos nos damos cuenta que sí es necesario hoy en

día tener conocimientos acerca del uso de las máquinas virtuales debido al auge que

está cobrando en las empresas de nuestro medio.


141

CUADRO 8

Considera que el uso de las máquinas virtuales en las empresas se da por


sus grandes ventajas y beneficios
Ítem ° Categoría Frecuencia Porcentaje
4 En desacuerdo 0 0
3 Indiferente 1 2
2 2 De acuerdo 17 31
1 Muy de acuerdo 36 67
Total 54 100%
Fuente: Johnny Villavicencio

Gráfico 23

Fuente: Johnny Villavicencio

De los profesionales de sistemas de las empresas de Guayaquil encuestados se

manifestaron el 67% estar muy de acuerdo y el 31% de acuerdo, en que el uso de las

máquinas virtuales se dan en las empresas por sus grandes ventajas y beneficios,

mientras que el 2% dicen no saber por qué las empresas utilizan las máquinas

virtuales.

Se puede observar claramente que la mayoría del personal de sistemas considera que

las máquinas virtuales se las utiliza por sus grandes ventajas y beneficios que les

pueden dar a las empresas.


142

CUADRO 9

Cree Ud. que para administrar una máquina virtual y sus seguridades no
es necesario tener mucha experiencia
Ítem ° Categoría Frecuencia Porcentaje
4 En desacuerdo 32 59
3 Indiferente 6 11
3 2 De acuerdo 16 30
1 Muy de acuerdo 0 0
Total 54 100%
Fuente: Johnny Villavicencio

Gráfico 24

Fuente: Johnny Villavicencio

De los profesionales de sistemas de las empresas de Guayaquil encuestados se

manifestaron el 59% estar en desacuerdo, en que no es necesario tener mucha

experiencia para administrar una máquina virtual, el 30% dice estar de acuerdo y el

otro 11% dicen no saber si se necesita experiencia o no para administrar una máquina

virtual.

Se refleja que más de la mitad del personal de sistemas de las empresas encuestadas

están consientes que es importante tener experiencia en el manejo y administración de

las máquinas virtuales y sus seguridades.


143

CUADRO 10

Cree Ud. que las máquinas virtuales tienen vulnerabilidades


Ítem ° Categoría Frecuencia Porcentaje
4 En desacuerdo 3 6
3 Indiferente 5 9
4 2 De acuerdo 29 54
1 Muy de acuerdo 17 31
Total 54 100%
Fuente: Johnny Villavicencio

Gráfico 25

Fuente: Johnny Villavicencio

De los profesionales de sistemas de las empresas de Guayaquil encuestados opinaron

el 31% estar muy de acuerdo y el 54% está de acuerdo, en que si existen

vulnerabilidades en las máquinas virtuales, mientras que el 9% dicen desconocer el

tema y apenas el 6% dice estar en desacuerdo.

Es importante que el personal de sistemas de las empresas conozcan si las máquinas

virtuales tienen o no vulnerabilidades para poder establecer las seguridades

respectivas.
144

CUADRO 11

Cree Ud. Que hay bastante información que nos indica cómo
proteger una máquina virtual para evitar vulnerabilidades
Ítem ° Categoría Frecuencia Porcentaje
4 En desacuerdo 13 24
3 Indiferente 12 22
5 2 De acuerdo 21 39
1 Muy de acuerdo 8 15
Total 54 100%
Fuente: Johnny Villavicencio

Gráfico 26

Fuente: Johnny Villavicencio

De los profesionales de sistemas de las empresas de Guayaquil encuestados se

manifestaron el 15% dice estar muy de acuerdo, el 39% está de acuerdo, en que hay

bastante información que nos indica cómo proteger una máquina virtual para evitar

vulnerabilidades, mientras que el 22% dicen desconocer el tema y el 24% dice estar

en desacuerdo.

Se ha encontrado que aproximadamente la mitad del personal de sistemas creen que

hay suficiente información que indica cómo proteger una máquina virtual y así evitar

vulnerabilidades, mientras que el resto no saben si hay suficiente información para

proteger una máquina virtual y así evitar vulnerabilidades.


145

CUADRO 12

Cree Ud. que es necesario realizar un estudio para saber que tan
vulnerables o seguras son las máquinas virtuales
Ítem ° Categoría Frecuencia Porcentaje
4 En desacuerdo 0 0
3 Indiferente 2 4
6 2 De acuerdo 24 44
1 Muy de acuerdo 28 52
Total 54 100%
Fuente: Johnny Villavicencio

Gráfico 27

Fuente: Johnny Villavicencio

De los profesionales de sistemas de las empresas de Guayaquil encuestados se

manifestaron el 52% estar muy de acuerdo y el 44% está de acuerdo, en que si es

necesario realizar un estudio para saber que tan vulnerables o seguras son las

máquinas virtuales, mientras que sólo el 4% dicen desconocer el tema.

Se refleja que los profesionales de sistemas encuestados en su gran mayoría creen que

es necesario realizar un estudio para saber que tan vulnerables o seguras son las

máquinas virtuales.
146

CUADRO 13

Considera Ud. que si una máquina virtual no está debidamente


protegida puede estar propensa a ataques informáticos
Ítem ° Categoría Frecuencia Porcentaje
4 En desacuerdo 0 0
3 Indiferente 3 6
7 2 De acuerdo 13 24
1 Muy de acuerdo 38 70
Total 54 100%
Fuente: Johnny Villavicencio

Gráfico 28

Fuente: Johnny Villavicencio

De los profesionales de sistemas de las empresas de Guayaquil encuestados se

manifestaron el 70% estar muy de acuerdo y el 24% está de acuerdo, en que si una

máquina virtual no está debidamente protegida puede estar propensa a ataques

informáticos, mientras que el 6% no sabe si se debe proteger o no una máquina

virtual para evitar ataques informáticos.

Por lo tanto se puede notar con mucha claridad que la mayoría de los profesionales de

sistemas encuestados opinan que si una máquina virtual no está debidamente

protegida, está puede estar propensa a cualquier ataque informático y por

consiguiente estas son tan vulnerable como cualquier sistema operativo.


147

CUADRO 14

Considera Ud. que es importante realizar un estudio sobre las


seguridades de las máquinas virtuales
Ítem ° Categoría Frecuencia Porcentaje
4 En desacuerdo 0 0
3 Indiferente 1 2
8 2 De acuerdo 18 33
1 Muy de acuerdo 35 65
Total 54 100%
Fuente: Johnny Villavicencio

Gráfico 29

Fuente: Johnny Villavicencio

De los profesionales de sistemas de las empresas de Guayaquil encuestados nos

damos cuenta que el 65% están muy de acuerdo y el 33% está de acuerdo, en que es

importante realizar un estudios sobre las seguridades de las máquinas virtuales,

mientras que apenas el 2% del personal de sistemas encuestados desconocen del

tema.

Se ha encontrado que la mayoría de los profesionales encuestados están preocupados

por las seguridades de las máquinas virtuales. Por lo tanto el investigador se da cuenta

cuan importante es realizar un estudio sobre este tema que compromete la seguridad

de los sistemas informáticos virtualizados.


148

CUADRO 15

Considera Ud. importante conocer los delitos informáticos que


puedan darse en las máquinas virtuales en nuestro medio
Ítem ° Categoría Frecuencia Porcentaje
4 En desacuerdo 0 0
3 Indiferente 0 0
9 2 De acuerdo 17 31
1 Muy de acuerdo 37 69
Total 54 100%
Fuente: Johnny Villavicencio

Gráfico 30

Fuente: Johnny Villavicencio

De los profesionales de sistemas de las empresas de Guayaquil encuestados se

manifestaron el 69% estar muy de acuerdo y el 31% estar de acuerdo, en lo

importante que es conocer los delitos informáticos que pudieran darse en las

máquinas virtuales en nuestro medio.

De acuerdo a lo expresado por los profesionales de sistemas, es necesario que se

conozcan los delitos informáticos en las máquinas virtuales que se podrían dar en

nuestro medio, ya que hoy en día está en auge el delito informático y muchos de ellos

no se encuentran tipificados en la ley ecuatoriana.


149

CUADRO 16

Cree Ud. que existe un desconocimiento en el uso óptimo de la


virtualización de servidores en nuestro medio
Ítem ° Categoría Frecuencia Porcentaje
4 En desacuerdo 0 0
3 Indiferente 4 8
10 2 De acuerdo 25 46
1 Muy de acuerdo 25 46
Total 54 100%
Fuente: Johnny Villavicencio

Gráfico 31

Fuente: Johnny Villavicencio

De los profesionales de sistemas de las empresas de Guayaquil encuestados se

manifestaron el 46% estar muy de acuerdo y el 46% estar de acuerdo, que existe un

desconocimiento en el uso óptimo de la virtualización de servidores en nuestro

medio. Y sólo el 8% cree que hay un uso óptimo de estas tecnologías dentro de las

empresas.

Es importante que los profesionales de sistemas de las empresas le den el uso óptimo

a sus infraestructuras virtualizadas, ya que por el desconocimiento se puede caer en el

uso excesivo y desmedido de la virtualización de servidores en un solo medio físico y

por tanto degradan los tiempos de respuesta.


150

CUADRO 17

De contar con la información necesaria que le permita proteger su


máquina virtual ante los ataques informáticos la utilizaría
Ítem ° Categoría Frecuencia Porcentaje
4 En desacuerdo 1 2
3 Indiferente 0 0
11 2 De acuerdo 8 15
1 Muy de acuerdo 45 83
Total 54 100%
Fuente: Johnny Villavicencio

Gráfico 32

Fuente: Johnny Villavicencio

De los profesionales de sistemas de las empresas de Guayaquil encuestados opinaron

el 83% estar muy de acuerdo y el 15% estar de acuerdo, que de contar con la

información necesaria que les permita proteger sus máquinas virtuales ante ataques

informáticos la utilizarían, mientras que sólo el 2% que están en desacuerdo, no la

utilizarían.

En conclusión podemos observar que de los profesionales de sistemas encuestados

en su gran mayoría, dicen que de contar con la información necesaria que les

permitiera proteger sus máquinas virtuales, la utilizarían.


151

AALISIS DE LAS ETREVISTAS REALIZADAS A EXPERTOS


E VIRTUALIZACIÓ

ETREVISTA #1

Para el Ing. Carlos Valero Especialista de IT y experto en virtualización, expresa


que:

Las máquinas virtuales VMware son una de las mejores en el mercado a diferencia

de otras que a pesar de tener buenas características les falta madurar más, por esta

razón su empresa escogió VMware ESX 3.5, utilizando virtualización tipo nativa.

Como políticas de seguridad sólo utilizan usuarios que son creados por el personal del

área de seguridad informática con sus respectivas contraseñas, que les permitirán

crear, eliminar, modificar, apagar y encender los equipos virtuales.

Considera que toda máquina virtual es tan vulnerable como un Sistema Operativo,

más que nada a nivel de hardware, por esta razón y con el fin de evitar

vulnerabilidades aconseja robustecer el ambiente físico (Hardware) donde va a

residir la máquina virtual de la siguiente manera:

- Configurar por cada VLAN un Firewall.

- Habilitar el propio Firewall interno de las máquinas virtuales.

- El administrador a parte de los puertos de SSH, Telnet y otros debe tener claro que

puertos abre o cierra según la necesidad de la empresa.


152

En caso de desastres manejan un storage en Guayaquil con todas las máquinas

virtuales ejecutándose sin problemas y una réplica en otra parte de la ciudad

replicándose cada 5 minutos.

Entre las vulnerabilidades más comunes en las máquinas virtuales tenemos:

- A nivel del Hypervisor, ya que si algún intruso lograse ingresar y tuviere

conocimientos de Linux, podría borrar los archivos de disco de configuración de las

máquinas virtuales con el fin de causar daño.

- Los mismos empleados de la compañía que quisieran causar algún daño a la

compañía, basta con que conozcan las claves y usuarios correctos, la configuración de

los servidores, VLAN, Firewall, etc .

- Un administrador de las máquinas virtuales, puede copiar el archivo de la

configuración o la carpeta donde se encuentra el open source y levantarla en otro lado

sin problemas.

Para instalar una máquina virtual VMware ESX 3.5, se debe instalar todo por default,

no se utiliza ninguna configuración adicional, a más que el administrador requiera

realizar alguna configuración adicional una vez esté en el clúster.

Indicó que podrían darse delitos informáticos tales como:


153

- Violentar claves o sistemas de seguridad.

- Robo de información protegida contenida en sistemas virtuales.

- Que maliciosamente y fraudulentamente se borre o dañe una máquina virtual.

Piensa que existe un desconocimiento en el uso óptimo de la virtualización en nuestro

medio, ya que las empresas no invierten en la debida capacitación para su personal

de sistemas tanto en las máquinas virtuales como en Linux que no es muy explotado

en el Ecuador, y la mayoría de las cosas se las realiza empíricamente, a través de una

autoeducación o por medio de pequeños manuales.

ETREVISTA #2

El Ing. Cristhian Murrieta, Subgerente de Operaciones de Tecnobis y experto en

virtualización considera que:

Para evitar vulnerabilidades, se debe tener configurado un buen firewall para que no

hayan puertos abiertos y establecer las seguridades propias de la máquina para que

herede las políticas de dominio del servidor Active Directory, como cualquier PC.

Existe un desconocimiento en el uso óptimo de la virtualización, porque es una

tecnología relativamente nueva, y por este motivo no se llega a optimizar los recursos

de estos sistemas.
154

Piensa que es importante hacer un estudio y análisis de las fortalezas y debilidades de

las máquinas virtuales, porque estas son como un sistema operativo y por ende

pueden ser vulnerables; por lo tanto considera que es importante hacer un estudio

sobre las seguridades en las máquinas virtuales porque, como sistema operativo,

puede ser vulnerable; y debido a la poca información que se tiene a la mano, lo

convierte en un ambiente potencialmente vulnerable.

Cree que los delitos informáticos que se puedan dar es el robo de información si el

administrador no custodia adecuadamente el usuario y la clave. Así mismo si alguien

lograra entrar al hypervisor podría llevarse las máquinas virtuales, pero no la

información, ya que ésta reposa en una SAN.

ETREVISTA #3

Por solicitud del entrevistado se mantiene el anonimato del mismo y de la empresa

para la cual trabaja, por motivos de exigencias y políticas de su empresa.

El Jefe de Redes y Servidores de una importante empresa multinacional del Ecuador,

especialista en IT y con experiencia en virtualización de servidores:

Tiene experiencia sobre VMware, las seguridades que se aplicarían, es tener las

máquinas virtuales aisladas, de tal forma que si un intruso pasara el firewall no tenga

el acceso a las máquinas virtuales. Para realizar el filtrado de equipos externos, utiliza

una IP Filter, para configurar los accesos remotos externos permitidos, filtrarlos y

negarles el acceso en caso de ser necesario.


155

Considera que las máquinas virtuales como todo sistema operativo están propensas a

ataques si no se toman los controles respectivos.

La seguridad de las máquinas virtuales va de la mano con la seguridad a nivel de

redes y del sistema operativo.

Una medida de seguridad es tener configuradas distintas VLAN, de tal forma que no

esté todo en una misma red.

Cree que las seguridades de las máquinas virtuales dependen mucho de los servicios

que podrían estar levantados, especialmente los puertos que no son seguros. Una

buena práctica de seguridad es instalar los parches del hypervisor regularmente.

Si no se tiene bien diseñada y configurada la red, podrían darse los siguientes delitos

informáticos:

- Violentar claves de seguridad

- Robar información contenida en las máquinas virtuales

- Robo de una máquina virtual

Por lo que considera que es recomendable conocer los delitos informáticos que

podrían darse.
156

Piensa que las empresas que no tienen soporte técnico de los proveedores de esta

herramienta poseen un desconocimiento en su uso óptimo, no así las empresas que si

cuentan con este tipo de asesoramiento.

Considera importante el estudio de las vulnerabilidades de estas máquinas virtuales

porque ellos solo las administran y el proveedor es el que conoce las vulnerabilidades

de estos sistemas.

AÁLISIS DE LA ETREVISTA REALIZADA A U


EXPERTO E DELITOS IFORMÁTICOS

ETREVISTA #1

Para el Ing. Darwin Patiño Coordinados del Departamento de Investigación,

Desarrollo Tecnológico y Educación Continua de la Carrera de Ingeniería en

Sistemas Computacionales de la Universidad de Guayaquil, indicó que:

Hoy en día ya existen abogados especializados en Delitos informáticos, promoción de

abogados cuya maestría la realizaron en España.

La manera en que los peritos informáticos trabajan es realizando un informe técnico

del delito informático encontrado, de esta manera asesoran al Juez, para que este
157

sea el que juzgue según su criterio, ya que el perito en delitos informáticos no es

quien dice que se ha cometido o no un delito, sólo emite su informe.

Para obtener la información necesaria los peritos en delitos informáticos realizan una

especie de Informática Forense utilizando herramientas que estén a su alcance y les

permitan esclarecer el delito, ya que hoy en día en nuestro país no existen los medios,

ni los equipos necesarios para hacerlo.

Los delitos informáticos más comunes que se dan en nuestro medio son: El fraude, el

robo de información, la suplantación de identidad.

La única ley que tenemos para castigar los delitos informáticos es la Ley aprobada en

el 2002 del código civil, aunque los abogados han encontrado en la Ley del código

penal artículos que les han permitido sancionar ciertos delitos informáticos.

En nuestro país no se cumplen las leyes ante los delitos informáticos debido al poco

conocimiento que existe en la población sobre éstos, quedando impunes y sin

sanción alguna.

Los Delitos informáticos se dan hoy en día en cualquier organización sea esta

pequeña, mediana o grande.


158

La Fiscalía de Quito está buscando crear un departamento que aplique la Informática

Forense que permita obtener pruebas y descubrir los delitos informáticos que se

cometan en nuestro medio, para ello también envió a la Asamblea los Delitos

informáticos que aún no están tipificados en la Ley, para que los mismos sean

aprobados en nuestras Leyes para su respectiva aplicación y estén correctamente

sancionados y tipificados en la Ley del código penal para juzgar a alguien en estos

casos.
159

CAPÍTULO IV

MARCO ADMIISTRATIVO

En el marco administrativo se detallan las actividades realizadas con los debidos

tiempos establecidos para cada una de ellas.

Entre las actividades que se realizaron tenemos:

1.- En la Introducción al Proyecto de Tesis, Planteamiento del tema, objetivos y

alcances, se lo realizó durante un mes en clases programadas por la Carrera de

Ingeniería en Sistemas Computacionales de la Universidad, en el mes de junio

2010.

2.- Para el desarrollo del capítulo 1 se tomó un mes y tres semanas, desde Julio

hasta Agosto del 2010.

3.- Para el desarrollo, análisis, investigación y obtención de los conceptos para el

proyecto de tesis en el capítulo 2 del Marco teórico, se tomó dos meses y dos

semanas, desde Agosto, septiembre y culminando en octubre del 2011.

4.- Para la elección de la metodología a utilizar en el presente proyecto de tesis del

capítulo 3, se tomó dos meses y dos semanas, desde octubre, noviembre y

diciembre del 2010.


160

5.- Para determinar los tiempos de la tesis, plasmarlos en un cronograma y realizar el

presupuesto, según el capítulo 4, se tomó dos semanas entre diciembre del 2010 y

enero del 2011.

6.- Para detallar las conclusiones y recomendaciones, en el capítulo 5, se tomó 3

semanas del mes de enero del 2011.

CUADRO 18
CROOGRAMA
JU AGOST OCT EE
JUL 2010 SEPT 2010 OV 2010 DIC 2010
2010 2010 2010 2011
° ACTIVIDADES
30/06/
2010 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3
Introducción al Proyecto de Tesis
1 - Planteamiento del Tema - Objetivos
y Alcances
CAPÍTULO 1.- EL PROBLEMA
PLANTEAMIENTO DEL
2
PROBLEMA
Ubicación del Problema en un
3
contexto
4 Situación Conflicto
5 Causas del problema, Consecuencias
6 Delimitación del Problema
7 Planteamiento
8 Evaluación del Problema
OBJETIVOS DE LA
9
INVESTIGACIÓN
JUSTIFICACIÓN E
10 IMPORTANCIA DE LA
INVESTIGACIÓN
11 Utilidad práctica de la Investigación
12 Cuáles serán los beneficiarios
CAPÍTULO 2.- MARCO
TEÓRICO
13 FUNDAMENTACIÓN TEÓRICA
14 Antecedentes del estudio
Exposición fundamentada en la
15
consulta bibliográfica
16 Documental actualizada
Orientación Filosófica y Educativa de
17
la Investigación
CAPÍTULO 3.- METODOLOGÍA
161

18 DISEÑO DE LA INVESTIGACIÓN
19 Modalidad de la Investigación
20 Tipo de Investigación
21 Población y Muestra
22 Operacionalización de las Variables
23 Instrumento de Recolección de Datos
24 Procesamiento de la Investigación
25 Recolección de la Información
26 PROCESAMIENTO Y ANÁLISIS
Criterio para la elaboración de la
27
propuesta
Criterio para la realización de la
28
propuesta
CAPÍTULO 4.- MARCO
ADMIISTRATIVO
29 PRESUPUESTO
CAPÍTULO 5.- COCLUSIOES
Y RECOMEDACIOES
30 CONCLUSIONES
31 RECOMENDACIONES

PRESUPUESTO

Para la realización de este proyecto de tesis se contó con ingresos propios, producto

de mi esfuerzo y trabajo.

Los egresos que aquí se detallan corresponden a lo utilizado para el desarrollo del

proyecto de tesis, tales como: materiales de oficina (hojas, plumas, lapiceros,

carpetas, vinchas, clips, grapas, Cd´s), materiales de computación (tinta para

impresora, switch, cables de red), fotocopias, impresiones de tesis (borradores y

originales), uso de computadora, servicios de internet, investigación y transporte,

refrigerios, empastados y anillados de las tesis.


162

CUADRO 19
DETALLE DEL PROYECTO

IGRESOS

Recursos de autofinanciamiento $ 850.00

TOTAL DE IGRESOS $ 850.00

EGRESOS

Suministros de oficina y computación $ 260.00


Fotocopias $ 40.00
Impresión de Tesis de grado (Borradores y 200.00
originales)
Computadora y servicios de internet $ 150.00
Costos de investigación y Transporte $ 80.00
Refrigerio $ 40.00
Empastado, anillado de tesis de grado $ 80.00

TOTAL DE EGRESOS $ 850.00


163

CAPÍTULO V

COCLUSIOES Y RECOMEDACIOES

Una vez realizadas y analizadas las investigaciones, y al realizar el estudio de los

diferentes aspectos relacionados con la ejecución del presente proyecto, se

concluye que:

COCLUSIOES

 Nos podemos dar cuenta que en la ciudad de Guayaquil no existen, como

en otras ciudades del mundo, muchas empresas que capaciten y/o

certifiquen en tecnologías VMware a los profesionales de TI de nuestro

medio, lo que conlleve a que nuestros ingenieros estén en la capacidad de

asegurar sus ambientes virtualizados y que su administración sea adecuada

y óptima.

 Se ha visto que en la ciudad de Guayaquil existe muy poco conocimiento

de la tecnología VMware lo cual es un riesgo ya que en algunas empresas

utilizan esta técnica de virtualización en sus sistemas y podrían dar

oportunidad a que sufran violaciones de seguridad.


164

 En muchas empresas de nuestro medio, las claves de acceso no son

complejas y en muchos casos fácilmente identificables, lo cual constituye un

riesgo en la seguridad de información de una empresa.

 Se ha visto asimismo que en las empresas de nuestro medio, que cuentan con

esta tecnología instalada, dependen de un consultor externo para la

instalación, configuración, soporte y solución de problemas encontrados en

sus sistemas virtualizados.

 Los resultados de las encuestas que se aplicaron, comprueban que las

máquinas virtuales son utilizadas por las grandes ventajas y beneficios que

pueden brindar este tipo de tecnologías a las empresas, pero que así mismo es

necesario tener conocimientos en el buen uso y administración de las mismas,

por tal motivo se busca concientizar al medio empresarial en que se debe

capacitar al personal de sistemas para el uso óptimo de estas técnicas.

 EL personal de sistemas de las empresas están conscientes que es importante

tener información que les indique como asegurar su infraestructura virtual,

para que las mismas no sean fácilmente vulnerables y así poder proteger y

administrar de una mejor manera las máquinas virtuales y establecer sus

seguridades.
165

 Si una máquina virtual no está debidamente protegida, está puede estar

propensa a cualquier ataque informático sea este interno o externo a la

empresa, por este motivo se realizó un estudio de qué tan vulnerables pueden

ser las máquinas virtuales VMware y así establecer las seguridades

necesarias.

 La determinación de los delitos informáticos que se puedan dar en las

máquinas virtuales, nos ayudarían en gran manera para establecer procesos

que podrían impedir que estos se puedan dar dentro de la empresa, ya que

muchos de los delitos informáticos aún no están tipificados por las leyes

ecuatorianas.

 Es fundamental que los profesionales de sistemas le den el uso óptimo a las

infraestructuras virtuales en las empresas, para no caer en el uso desmedido y

excesivo al momento de virtualizar los servidores y así su administración

pueda ser óptima y oportuna.

 Toda máquina virtual es tan vulnerable como un sistema operativo, por lo que

se deben considerar algunos factores de seguridad al momento de virtualizar,

si bien es cierto que una máquina virtual ayuda en gran manera a las

empresas, estos sistemas deben ser tomados con mucha responsabilidad y si

no se tiene el proveedor que de soporte, toda compañía al emprender ese


166

proyecto debe considerar los riesgos, ventajas y desventajas de utilizar ese

tipo de tecnología, para de alguna manera no exponer tan fácilmente su

información.

 Es importante que la seguridad para este tipo de tecnologías no se tome tan a

la ligera ya que los delitos informáticos están en auge, y si no queremos caer

en alguno de ellos debemos también conocer las leyes que están estipuladas

en el Ecuador y cómo podríamos protegernos contra dichos delitos.

 Si bien es cierto que no todos los delitos informáticos están tipificados en las

Leyes ecuatorianas, todo delito puede ser sancionado de alguna u otra manera,

ya sea a través del código civil o por el código penal.

 Todos los administradores de los equipos virtuales deben utilizar todo tipo de

herramientas que les permitan monitorear, administrar y asegurar que su red

no esté fácilmente vulnerable ni expuesta a peligro alguno.

 El tener una clave de acceso a las máquinas virtuales no garantiza la

seguridad de las mismas, ya que las claves pueden ser descifradas por

deducción, por fuerza bruta, por engaño, por diccionario, robo y espionaje de

información, crack del sistema de seguridad, claves débiles, etc.


167

 Con las entrevistas realizadas a expertos en Delitos informáticos, en

virtualización y la investigación basada en la fundamentación bibliográfica,

se ha podido determinar los siguientes delitos informáticos más importantes

que se podrían dar para las máquinas virtuales VMware en nuestro medio:

• Violentar las claves o sistemas de seguridad de las máquinas virtuales.

• Robo de información contenida en máquinas virtuales.

• Que maliciosamente o fraudulentamente se borre o dañe una máquina

virtual.

• Robo de las máquinas virtuales.

• Vulnerar las seguridades de las máquinas virtuales VMware por medio de

acceso remoto, aprovechándose de sus vulnerabilidades.

 Entre las vulnerabilidades más críticas que tienen las máquinas virtuales

VMware se podrían citar algunas de ellas:

• En VMware ESX 3.x tenemos vulnerabilidades en OpenSSL, bind y vim,

permitiéndole a un atacante remoto evadir restricciones de seguridad a

través de firmas SSL/TSL (Protocolo de Capa de Conexión Segura /

Seguridad de la Capa de Transporte) para claves RSA (Sistema

criptográfico de clave pública) y ECDSA (clase base abstracta que

encapsula el algoritmo de firma digital de curva elíptica), evadir

restricciones de seguridad a través de un servidor DNS malicioso con un


168

certificado DSA (Algoritmo de Firma digital) manipulado, ejecutar

código malicioso y comandos de la Shell a través de archivos

manipulados.

• Un Hacker podría controlar un servidor completo y toda la tecnología de


virtualización a través del software DHCP virtualizado, para esto el

atacante debe obtener primero el software que se ejecuta en una máquina

virtual.

• Un error en el servicio USB puede ser aprovechado para escalar

privilegios ubicando en el "host" un archivo ejecutable malicioso.

• Dos errores en VMware Tools para Windows pueden ser aprovechados

para realizar ejecución de código arbitrario y potencialmente escalar

privilegios.

• Si se instala VMware en Windows, y se ha habilitado una carpeta

compartida, es posible que un programa que se ejecute en el equipo

virtual, pueda acceder al sistema operativo del host, este acceso permitiría

la modificación, creación o ejecución de archivos en determinadas

ubicaciones propuestas por el atacante.


169

RECOMEDACIOES

Analizadas las conclusiones se recomienda que:

 Las empresas de nuestro medio, deberían implementar un sistema de gestión

de seguridad de la información, aplicando normas ISO, como por ejemplo la

27001:2005; que les ayude a proteger su activo más importante como lo es la

información; aplicando políticas y normas de confidencialidad de la

información y el buen uso de sus credenciales lógicas.

 Se deberían implementar planes de continuidad del negocio que los

profesionales de sistemas de las empresas estén en la capacidad de resolver,

incluyendo las tecnologías de virtualización, para este caso VMware.

 Que existan más cursos de especialización o más empresas de capacitación de

tecnologías VMware en la ciudad de Guayaquil.

 Que los profesionales de sistemas de las empresas le den el uso óptimo a las

máquinas virtuales y le den la importancia requerida a sus seguridades.

 Que las empresas se preocupen por capacitar a los profesionales en sistemas

para el manejo, administración y protección de estos ambientes virtuales.


170

 Recomiendo este estudio, como el principio para enriquecer nuestros

conocimientos acerca de los equipos virtuales, sus seguridades y,

vulnerabilidades.

 Se recomienda establecer todas las seguridades informáticas que sean

necesarias, para impedir en lo posible los ataques de personas maliciosas

puedan comprometer información primordial de la empresa.

 Es necesario que se establezcan políticas de cambio de claves periódicas de

los usuarios administradores y también cuando hay cambio de responsable, en

este caso de las máquinas virtuales, como parte del procedimiento de asegurar

los Sistemas Informáticos.


BIBLIOGRAFÍA

LIBROS
Corporación de Estudios y Publicaciones (2011). Ley de Comercio Electrónico,
Firmas Electrónicas y Mensajes de Datos.

Alberto G. Alexander (2007). Diseño de un Sistema de Gestión de Seguridad de


Información. Óptica ISO 27001:2005.

CLAPAM (2008). Seguridad Informática. Óptica del Estándar Internacional ISO


27001:2005.

)ORMA ISO 17799. VERSIO) (2005). Eficiencia Gerencial.

PUBLICACIO)ES
PC WORLD Revista del Grupo IDG Communications (2009). Un agujero
descubierto en VMware Fusion.

Revista Judicial – Derecho Ecuador (2010). Delitos Informáticos

Revista )ext IT - Revista de )etworking y Programación. Tecnologías de


Virtualización

DIRECCIO)ES WEB
Prof. ISRAEL J. RAMIREZ. Las Microcomputadoras. Definición, características,
origen desde
http://isis.faces.ula.ve/COMPUTACION/Israel/Capitulo2a_archivos/frame.htm

Máquinas virtuales, servidor virtual, infraestructura virtual - VMware desde


http:/www.vmware.com/es/virtualization/virtual-machine.html

VMware - VMware Fusion · Virtual Infrastructure VMware ACE VMware Lab


Manager VMware Converter .... Obtenido de http://es.wikipedia.org/wiki/VMware
Virtualización desde http://www.virtualizacion.com/?page_id=7

Virtualización, Ventajas (27 Ene 2008) – Rápida incorporación de nuevos recursos


para los servidores virtualizados. Reducción de los costos, de espacio y consumo
necesario desde www.virtualizacion.com/
Carrero David, ()oviembre, 2009). Desventajas de la virtualización desde
http://carrero.es/desventajas-de- virtualizacion-de-servidores la- /4459/

Múltiples vulnerabilidades en VMWare ESX 3.x - Hispasec (Abr 2009), desde


www.rzw.com.ar/seguridad-informatica-5379.html

E)TERPRISE MA)AGEME)T ASSOCIATES (EMA) en las pág. (4–7).


http://www.rsa.com/solutions/technology/secure/ar/10905_IbSpanish_EMA_-
_Securing_the_Admin_of_Virtualization_FINAL_COPY_20100301a.pdf

Dra. Ana María Muñoz Asignatura: Gestión de la Información en Trabajo Social.


La información desde
http:/www.ugr.es/.../TS_1%20%5BModo%20de%20compatibilidad%5D.pdf

Concepto de seguridad. La Información ISO/IEC 17799 extraída desde


http://www.mfbarcell.es/redes_de_datos/tema_14/redes_t14_seguridad1_concept...Si
milares

Definición de seguridad informática - Qué es, Significado y Concepto, Definición.


Desde http://definicion.de/seguridad-informatica/

El Delito Informático - Latino Seguridad, desde


www.latinoseguridad.com/LatinoSeguridad/.../delinfo.shtml -

Carpeta de prensa - Lucha contra la delincuencia en la Internet Décimo


Congreso de las )aciones Unidas desde
www.un.org/spanish/conferences/Xcongreso/prensa/2088hs...

Dr. Santiago Acurio, Delitos Informáticos: Generalidades - OAS


www.oas.org/juridico/spanish/cyb_ecu_delitos_inform.pdf

Silvia Janeth Delgado Reyes. - Laura Amparo Guachizaca Sarango, ANÁLISIS


DE LA INFLUENCIA DE LOS DELITOS INFORMÁTICOS desde
http://www.utpl.edu.ec/eccblog/wp-content/uploads/2007/04/articulo-tecnico-
analisis-de-la-influencia-de-los-delitos-informaticos-e-implementacion-de-
politicas_silviadelgado.pdf

REGISTRO OFICIAL Año II -- Quito, Lunes 6 de Octubre del 2008- )ro. 440.
FU)CIO) EJECUTIVA DECRETO: 1356 Expídase las reformas al Reglamento
General, desde http://sinar.gov.ec/downloads/RO_440_de_06.10.2008.pdf
Pragmatismo, doctrina filosófica desarrollada por los filósofos estadounidenses del
siglo XIX Charles Sanders Peirce, William James y otros, desde
http://www.eumed.net › Libros

Vulnerabilidad en VMware afecta a equipos bajo Windows - VSAntivirus


(2008). Desde www.vsantivirus.com/vul-vmware-250208.htm

VMWare: Múltiples vulnerabilidades - La Comunidad DragonJAR, desde


http://comunidad.dragonjar.org/f150/vmware-multiples... - Colombia

IBM - Investigación de X-Force - Ecuador, desde


http://www.ibm.com/ec/services/sps/iss/vms/xforce.phtml

IBM Seguridad: La seguridad en los entornos virtualizados y cloud computing


aparece como los dos aspectos relevantes a plantear en el futuro (2010). Desde
www.techweek.es/seguridad/informes/1007118004801/ibm-apunta-segurid...

Concepto de seguridad, desde


www.mfbarcell.es/redes_de_datos/tema_14/redes_t14_seguridad1_concept...Similare

Seguridad Informatica / Seguridad Lógica – Segu - Info (EEUU. 1985).


Desde www.segu-info.com.ar/logica/seguridadlogica.htm

Definición de seguridad informática - Qué es, Significado y Concepto, desde


http://definicion.de/seguridad-informatica/

Hackeando un Mac desde Windows gracias a VMware (2009) - agujero


descubierto en Fusion, desde
www.idg.es/pcworldtech/mostrarNoticia.asp?id=79445...

Actualización para múltiples vulnerabilidades en productos VMWare ESX–


VMware es un software que permite ejecutar diferentes sistemas. Se han corregido un
total de 48 vulnerabilidades que residen en DHCP, (2009). Desde
www.rzw.com.ar/seguridad-informatica-5421.html

Vulnerabilidades en varios productos VMWare (2010), desde


www.csirtcv.gva.es/html/es/alerts/1516/

VMWare: Múltiples vulnerabilidades (2010), Se han reportado múltiples


vulnerabilidades en productos VMWare desde
www.cservices.com.ar/web/noticiaDetalle.aspx?ID=314

Filosofía de la tecnología, obtenido desde


http://es.wikipedia.org/wiki/Filosof%C3%ADa_de_la_tecnolog%C3%ADa
Filosofía de la Tecnología - OEI - Publicaciones - Libros - Temas de Iberoamérica -
Organización de Estados Iberoamericanos para la Educación, la Ciencia y la Cultura,
desde www.oei.es/publicaciones/temas01.htm

TIPOS DE I)VESTIGACIO), obtenido desde http://tgrajales.net/investipos.pdf

Investigación Preliminar, obtenido desde


http://mmalicea.tripod.com/proyecto/investprelim.htm

Investigación bibliográfica - Metodología de la investigación bibliográfica, desde


www.monografias.com
AEXO ° 1

UIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIECIAS MATEMÁTICAS
CARRERA DE IGEIERÍA E SISTEMAS
COMPUTACIOALES
Encuesta dirigida al personal de Sistemas de las empresas de la ciudad de
Guayaquil.

Objetivo.- Conocer el criterio del personal de Sistemas de las empresas de la ciudad


de Guayaquil acerca de las vulnerabilidades y los delitos informáticos en las
Máquinas Virtuales.

IFORMACIÓ GEERAL

Instructivo: Marque con una (X) en el casillero correspondiente y llene los datos.

ombre:

Encuestado Cargo:

Empresa:

Tamaño: Grande Mediana Pequeña Microempresa

Empresa Actividad: Industrial Comercial Servicio Banca

Tipo: Privada Pública

ota:
El nombre no es un campo obligatorio
La empresa no es un campo obligatorio

IFORMACIÓ ESPECÍFICA

Instructivo: Marque con una (X) el casillero correspondiente a su respuesta que mejor
refleje su criterio, según las opciones propuestas para cada pregunta.
PREGUTAS

1. ¿Cree Ud. que hoy en día es necesario tener conocimientos acerca del uso de la
máquinas virtuales?

Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo

2. ¿Considera que el uso de las máquinas virtuales en las empresas se da por sus
grandes ventajas y beneficios?

Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo

3. ¿Cree Ud. que para administrar una máquina virtual y sus seguridades no es
necesario tener mucha experiencia?

Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo

4. ¿Cree Ud. que las máquinas virtuales tienen vulnerabilidades?

Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo

5. ¿Cree Ud. Que hay bastante información que nos indica cómo proteger una
máquina virtual para evitar vulnerabilidades?

Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo

6. ¿Cree Ud. que es necesario realizar un estudio para saber que tan vulnerables o
seguras son las máquinas virtuales?

Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo

7. ¿Considera Ud. que si una máquina virtual no está debidamente protegida puede
estar propensa a ataques informáticos?

Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo

8. ¿Considera Ud. que es importante realizar un estudio sobre las seguridades de las
máquinas virtuales?

Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo


9.- ¿Considera Ud. importante conocer los delitos informáticos que puedan darse en
las máquinas virtuales en nuestro medio?

Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo

10.-¿ Cree Ud. que existe un desconocimiento en el uso óptimo de la virtualización de


servidores en nuestro medio?

Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo

11. De contar con la información necesaria que le permita proteger su máquina virtual
ante los ataques informáticos la utilizaría?

Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo

¡Gracias por la atención a la presente!

AEXO ° 2
ETREVISTA A EXPERTO E VIRTUALIZACIÓ

OMBRE: Ing. Carlos Valero


CARGO: Especialista de IT

1.- ¿Cuáles son las funciones que realiza en su empresa?

Administración de Servidores Windows sean estos físicos o virtuales.

2.- ¿Qué herramientas de virtualización utilizan en su empresa?

VMWARE ESXI V. 3.5

3.- ¿Por qué decidieron utilizar esa herramienta de virtualización?

La decisión fue tomada por el Banco, ellos manejan la administración de la consola y


porque es la mejor del mercado a comparación de Xen Server de Citrix, Hyper – V de
Microsoft , KVM de Red Hot, entre otros, aunque tienen buenas características les
falta madurar más.
4.- ¿Qué tipo de virtualización tienen implementado?

Tipo Nativa están instaladas en los diferentes host en este caso en las cuchillas de un
blade y en cada una de ellas se instala el aplicativo, ellas están atachadas a un storage
y ahí es donde se les presentan las lun de disco para poder trabajar sin problemas.

5.- ¿Qué tipo de seguridades tienen implementado en esa virtualización, en caso


de desastres que tipo de contingencia tienen?

A nivel de seguridades se utilizan solamente usuarios que los crean el personal del
área de seguridad informática del Banco con su respectiva clave, los mismos que le
permitirán crear, eliminar, apagar, encender, modificar equipos virtuales. ( no son
usuarios de dominio)

Tienen un storage en Guayaquil en la Matriz con todas las máquinas virtuales


ejecutándose sin problemas y una réplica en el centro alterno que es en Milagro el
cual se replica cada 5 minutos y en caso de desastres las configuraciones de los
servidores se pasarían automáticamente a Milagro, las mismas que se demorarían 10
minutos.

6. ¿Cree Ud. Que las máquinas virtuales VMWARE sean vulnerables?

Si son vulnerables como toda aplicación o sistema operativo, pero más que nada a
nivel del hardware.

También puede haber vulnerabilidad a nivel del hipervisor, ya que si es alguien que
conoce de comandos en Linux, podía borrar los archivos de disco de configuración de
la máquina virtual, para este tipo de vulnerabilidad se daría siempre y cuando alguien
de adentro de la empresa lo haga, ya cada cosa tiene una subneting diferente y los
permisos se dan a nivel de IP.

La consola que administra todos los host, están en una sola vlan, los host en otra vlan
y las máquinas virtuales están en diferentes vlan con esto sería complicado que
puedan vulnerar desde afuera sin tener los permisos y conocer la configuración
interna de los servidores.

7.- ¿Cuándo se instala una MV VMWARE (Hypervisor) qué medidas de


seguridad se deben tomar en cuenta?

Todo se instala por default, es lo recomendado. NO se utiliza ninguna configuración


en especial.
Lo que se podría es configurar la máquina virtual ya instalada al momento de
distribuir los componentes del hardware, aumentar o quitar componentes cuando ya
se la vea en el clúster.

8.- ¿Cómo debe estar configurado el ambiente para proteger a las MV


VMWARE y las mismas no sean vulnerables?

Se configura por cada vlan un firewall, aparte el VMware tiene su propio firewall
interno en donde vienen configurados el ssh, telnet, el puerto de comunicación propio
de VMware y otros que no están definidos y que el administrador sabe que puertos
abre o cierra según la necesidad.

9.- ¿Cuáles son las vulnerabilidades que tienen o podrían tener las MV
VMWARE?

Un usuario administrador podría coger un archivo de configuración o la carpeta


donde se encuentra el open source y se la podría llevar a otro lado y levantarlo sin
ningún problema.

10.- ¿Qué delitos informáticos cree Ud. que son los más frecuentes o que podrían
darse en este tipo de tecnologías en nuestro medio?

- Violentar claves o sistemas de seguridad.


- Robo de información protegida contenida en sistemas virtuales.
- Que maliciosamente y fraudulentamente se borre o dañe una máquina virtual.

11.- ¿Cree Ud. que existe un desconocimiento en el uso óptimo de la


virtualización de servidores en nuestro medio? ¿Por qué?

Sí, porque en estos últimos años se ha utilizado la virtualización bastante en las


empresas y no se dan las debidas capacitaciones a sus empleados de informática y
todo toca hacerlo empíricamente o toca leer manuales, en sí autoeducación.

También hay que recordar que en las Máquinas virtuales VMware por debajo corre
un Linux y aquí en el Ecuador no es muy explotada esta tecnología, ni hay mucho
conocimiento de la misma.

12.- ¿Considera Ud. que es importante realizar un estudio de las


vulnerabilidades que podrían tener las máquinas virtuales VMWARE?
¿Porqué?
Definitivamente sí, para tratar de minimizar las vulnerabilidades que se presenten ya
que todo sistema es vulnerable de una u otra forma

13.- ¿Considera Ud. Que es importante realizar un estudio para determinar los
delitos informáticos que pueden darse en las máquinas virtuales VMWARE?
¿Porqué?

Sí, porque dependiendo del delito informático se necesita saber que tan importante o
crítico es para la empresa, especialmente cuando se hablan de las cuentas de los
clientes del banco.

14.- ¿Si encontrara alguna vulnerabilidad en sus máquinas virtuales VMWARE


cómo procedería?

• Armaría un laboratorio
• Descubrir la vulnerabilidad
• Buscar la solución
• Analizar en que afectaría en el ambiente de producción, para que al dar la
solución no se cometa el error de cerrar algún servicio que sea importante.

15.- ¿Sabe Ud. si existen herramientas o aplicaciones que protejan las máquinas
virtuales VMWARE?

No ha escuchado.

AEXO ° 3
ETREVISTA A EXPERTO E VIRTUALIZACIÓ

OMBRE: Ing. Cristhian Murrieta


CARGO: Subgerente de Operaciones

1.- ¿Cuáles son las funciones que realiza en su empresa?

Operaciones de Sistemas, se encarga de que los sistemas funcionen correctamente,


recepta y tramita requerimientos, recepta y resuelve problemas de operaciones, se
encarga de los respaldos, contingencias, participa en política y procedimientos de
sistemas, es el encargado fundamentalmente de la virtualización de la empresa.

2.- ¿Qué herramientas de virtualización utilizan en su empresa?


Citrix XenServer

3.- ¿Cuántos años de experiencia tiene en esa herramienta de virtualización?

Un Año cinco meses

4.- ¿Por qué decidieron utilizar esa herramienta de virtualización?

Porque estaba de acuerdo a sus necesidades, tenía licencia gratuita de un año y con
la nueva publicación de Citrix se les extendía un año más de gratuidad a diferencia
de VMware que sólo les daba uno de prueba por 30 días y limitado.

5.- ¿Qué tipo de virtualización tienen implementado?

Tipo Nativo, Bare-metal o unhosted

6.- ¿Qué tipo de seguridades tienen implementado en caso de desastres?

Para el caso de desastres tienen las máquinas virtuales respaldadas en cintas, lo


que harían en estos casos es volver a instalar en un equipo que esté disponible, ya
sea por contrato, por parte del proveedor o comprando uno nuevo.

Para el caso de desastres no tienen un servidor redundante en otro lado que pueda
ser usado en estos casos.

7.- ¿Qué haría Ud. para que las máquinas virtuales no sean vulnerables?

Tendría configurado un buen firewall, se instalaría y configuraría los switch para


que no hayan puertos abiertos que no sean autorizados, se establecerían las
seguridades propias de la máquina para que herede las políticas de dominio, como
cualquier PC.

8.- ¿Indique algunas ventajas y desventajas de las máquinas virtuales?

Ventajas:

• Consolidación.
• Disminución de energía eléctrica
• Mejora en la administrabilidad
• Nivel de contingencia automático
• Alta disponibilidad
• Tolerancia a fallos
• Disminuye costos

Desventajas:

• Daño en el servidor físico afecte el desempeño de las máquinas virtuales.


• Por cada máquina virtual que se tenga es una licencia.

9.- ¿Cree Ud. que existe un desconocimiento en el uso óptimo de la virtualización


de servidores en nuestro medio? ¿Por qué?

Sí, Por lo que es relativamente nuevo, no se llega a optimizar los recursos de los
sistemas de virtualización como se debería.

10.- ¿Cuál es la diferencia entre la máquina virtual de Citrix Xenserver y


VMware?

La diferencia radica en que las máquinas virtuales VMware tienen más Feature
administrativos y muchas más funcionalidades.

11. ¿Considera Ud. que es importante realizar un estudio de las fortalezas y


debilidades de las máquinas virtuales? ¿Por qué?

Sí, es importante hacer un análisis porque las máquinas virtuales son como un
Sistema Operativo que se instala entre el Hardware y las máquinas virtuales y este
hypervisor puede ser vulnerable

12. ¿Considera Ud. Que es importante realizar un estudio sobre las seguridades
en las máquinas virtuales? ¿Por qué?

Sí, Porque al ser como un sistema Operativo este puede ser vulnerable.

13. ¿Cree Ud. Que las máquinas virtuales sean vulnerables?

Sí.

14. ¿Si encontrara alguna vulnerabilidad en sus máquinas virtuales cómo


procedería?
Procedería de la siguiente manera:

• Determinaría el problema.
• Diagnosticaría el problema.
• Establecería una solución.

15. ¿Qué delito informático cree Ud. que es el más frecuente en darse en este tipo
de tecnologías?

• Si el Administrador de la máquina virtual lo permite, dando el usuario y


password, se podría dar el robo de la información.
• Si alguien lograra entrar al hypervisor podrían llevarse las máquinas virtuales
pero no la información, ya que esta está en una SAN (storage area network).

16. ¿Sabe Ud. si existen herramientas o aplicaciones que protejan las máquinas
virtuales?

No conoce, pero puede ser que se estén en desarrollo.

AEXO ° 4
ETREVISTA A EXPERTO E VIRTUALIZACIÓ

Jefe de Redes y Servidores de una importante empresa Multinacional del Ecuador

1.- ¿Cuáles son las funciones que realiza en su empresa?

Está a cargo del área de redes, servidores y sus seguridades.

2.- ¿Qué herramientas de virtualización utilizan en su empresa?

VMWARE ESXI V. 2.5 y ahora también las versiones 3.0 y 4.0

3.- ¿Porqué decidieron utilizar esa herramienta de virtualización?

Porque tienen una interface fácil de administración, tiene estabilidad, soporte técnico
y ventajas de las nuevas versiones, aunque son costosas vale la pena el sacrificio.

4.- ¿Qué tipo de virtualización tienen implementado?


Tipo Nativa, está instado VMware ESX sobre el hardware (BLade) y sobre estas se
levantan los sistemas operativos.

5.- ¿Qué tipo de seguridades tienen implementado en esa virtualización, en caso


de desastres que tipo de contingencia tienen?

A nivel de seguridades tienen las máquinas virtuales aisladas, para que si algún
intruso pasara el firewall no tengan acceso a las mismas.

No utilizan firewall a nivel de sistema operativo

Utilizan IP filter para filtrar que equipos se conectan remotamente y de esta manera
tener algo más controlado que el firewall (es una especie de firewall, pero
controlado), el mismo que lo configuran ellos, estableciendo reglas.

No tienen contingencia por ahora ya que sólo tienen un cluster.

6. ¿Cree Ud. Que las máquinas virtuales VMWARE sean vulnerables?

Sí, como todo sistema operativo está propenso a cualquier tipo de ataque informático,
si no se toman los controles respectivos.

7.- ¿Cuándo se instala una MV VMWARE (Hypervisor) qué medidas de


seguridad se deben tomar en cuenta?

Todo se instala por default, el proveedor que les da soporte les instaló las máquinas
virtuales.
La configuración de seguridades va de la mano a nivel de redes y de sistema
operativo.

8.- ¿Cómo debe estar configurado el ambiente para proteger a las Máquinas
Virtuales VMWARE y las mismas no sean vulnerables?

No se debe tener todo configurado dentro de la misma red, es decir una red para
administración, una red para pruebas, etc. Para esto implementan las VLAN.
A nivel de los blade se aíslan las redes en especial las de consola.

9.- ¿Cuáles son las vulnerabilidades que tienen o podrían tener las MV
VMWARE?
Al nivel de puertos depende mucho de los servicios que podrían estar levantados,
en especial los puertos que no son seguros, por ejemplo: el puerto de telnet no
debería estar levantado ya que es una mala práctica de seguridad dejarlo levantado.

Como una buena práctica se deben instalar los parches para el hypervisor
regularmente.

10.- ¿Qué delitos informáticos cree Ud. que son los más frecuentes o que podrían
darse en este tipo de tecnologías en nuestro medio?

Si no está bien diseñada y configurada la red se podrían dar estos delitos


informáticos:

• Violentar claves de seguridad.


• Robar información contenida en las máquinas virtuales.
• Robo de una máquina virtual.

11.- ¿Cree Ud. que existe un desconocimiento en el uso óptimo de la


virtualización de servidores en nuestro medio? ¿Por qué?

Sí, a nivel de empresas pequeñas y medianas que no tienen los recursos necesarios
para tener un buen asesoramiento en el uso de las máquinas virtuales VMware
debido a su alto costo.

No, a nivel de empresas grandes ya que siempre cuentan con el soporte técnico de los
técnicos encargados de esta herramienta, tienden a invertir en estos soportes.

12.- ¿Considera Ud. que es importante realizar un estudio de las


vulnerabilidades que podrían tener las máquinas virtuales VMWARE?
¿Porqué?

Sí, porque ellos sólo las administran y más bien es el proveedor el que se encarga y
sabe que vulnerabilidades tienen estos sistemas.

13.- ¿Considera Ud. Que es importante realizar un estudio para determinar los
delitos informáticos que pueden darse en las máquinas virtuales VMWARE?
¿Por qué?

Si, lo cree recomendable, aunque en su empresa no han sufrido ningún tipo de ataque
debido a todas las seguridades implementadas, es necesario saber que delitos
informáticos puedan darse.
14.- ¿Si encontrara alguna vulnerabilidad en sus máquinas virtuales VMWARE
cómo procedería?

• Realiza una evaluación del riesgo


• Ante el riesgo de seguridad lo tratan con el proveedor.
• El proveedor les da la solución.

15.- ¿Sabe Ud. si existen herramientas o aplicaciones que protejan las máquinas
virtuales VMWARE?

No ha escuchado.

AEXO ° 5
ETREVISTA A PERITO E DELITOS IFORMÁTICOS

OMBRE: Ing. Darwin Patiño


Departamento de Investigación, Desarrollo Tecnológico y Educación Continua de la
Carrera de Ingeniería en Sistemas Computacionales de la Universidad de Guayaquil

En la entrevista realizada a un experto en delitos informáticos, indicó que hoy en día


ya existen abogados especializados en Delitos informáticos, promoción de abogados
cuya maestría la realizaron en España.

La manera en que los peritos informáticos trabajan es realizando un informe técnico


del delito informático encontrado, de esta manera asesoran al Juez, para que este sea
el que juzgue según su criterio, ya que el perito en delitos informáticos no es quien
dice que se ha cometido o no un delito, sólo emite su informe.

Para obtener la información necesaria los peritos en delitos informáticos realizan una
especie de Informática Forense utilizando herramientas que estén a su alcance y les
permitan esclarecer el delito, ya que hoy en día en nuestro país no existen los medios,
ni los equipos necesarios para hacerlo.

Los delitos informáticos más comunes que se dan en nuestro medio son: El fraude, el
robo de información, la suplantación de identidad.
La única ley que tenemos para castigar los delitos informáticos es la Ley aprobada en
el 2002 del código civil, aunque los abogados han encontrado en la Ley del código
penal artículos que les han permitido sancionar ciertos delitos informáticos.

En nuestro país no se cumplen las leyes ante los delitos informáticos ya que aún hay
jueces corruptos que se dejan comprar por los delincuentes quedando estos impunes y
sin sanción alguna.

Los Delitos informáticos se dan hoy en día en cualquier organización sea esta
pequeña, mediana o grande.

La Fiscalía de Quito está buscando crear un departamento que aplique la Informática


Forense que permita obtener pruebas y descubrir los delitos informáticos que se
cometan en nuestro medio, para ello también envió a la Asamblea los Delitos
informáticos que aún no están tipificados en la Ley, para que los mismos sean
aprobados en nuestras Leyes para su respectiva aplicación y estén correctamente
sancionados y tipificados en la Ley del código penal para juzgar a alguien en estos
casos.

AEXO °6

ISTALACIÓ TIPO ATIVO DEL ESX SERVER 4.0


1.- Escoger como boteo el CD-ROM
2.- Comienza la instalación
3.- Presionar siguiente

4.- Aceptar los términos de la licencia, siguiente.


5.- Instalar los drivers
6.- Poner el número serial, para este caso se puso que se ingresará después el número
serial, clic en Siguiente.
7.- Establecer la configuración de red, siguiente.
8.- Configurar la IP, mascara, Gateway, dns, nost name, siguiente.

9.- Poner standard setup, siguiente.


10.- Establecer la zona horaria, siguiente
11.- Establecer la clave para el root, siguiente.

12.- Siguiente.
13.- Siguiente

14.- Finish
15.- Esperamos que cargue VMware.

16.- Escoger VMware ESX 4.0


17.- Empieza a cargar VMware ESX 4.0