Seguridad Informática

Seguridad Informática
La seguridad informática se encarga de la identificación de las vulnerabilidades de un
sistema y del establecimiento de contramedidas que eviten que las distintas amenazas
posibles exploten estas vulnerabilidades

Seguridad de la Información
La seguridad de la información comprende la protección de la información y de los
sistemas de información de acceso, uso, revelación, interrupción, modificación o
destrucción no autorizados. Los tres componentes de la seguridad de la información
son: confidencialidad, integridad y disponibilidad

 Confidencialidad: Que nadie más lo ve

 Integridad: Que nadie más lo cambie
 Disponibilidad: Que siempre esté ahí

El cifrado provee confidencialidad al ocultar los datos en texto plano. La integridad de

los datos, es decir, el hecho de que los datos sean preservados sin alteraciones
durante una operación, se mantiene a través del uso de mecanismos de hashing. La
disponibilidad, que es la accesibilidad a los datos, está garantizada por los mecanismos
de network hardening y sistemas de resguardo de datos.

Amenazas
Hackers
La palabra hackers tiene una variedad de significados. Para muchos, significa
programadores de Internet que intentan ganar acceso no autorizado a dispositivos en
Internet. También se usa para referirse a individuos que corren programas para
prevenir o reducir la velocidad del acceso a las redes por parte de un gran número de
usuarios, o corromper o eliminar los datos de los servidores. Pero para otros, el término
hacker tiene una interpretación positiva como un profesional de redes que utiliza
habilidades de programación de Internet sofisticadas para asegurarse de que las redes
no sean vulnerables a ataques. Bueno o malo, el hacking es una fuerza impulsora de la
seguridad en redes.
Desde una perspectiva de negocios, es importante minimizar los efectos de los hackers
con malas intenciones. Los negocios pierden productividad cuando la red es lenta o no
responde. Las ganancias se ven impactadas por la pérdida y la corrupción de datos.
El trabajo del profesional de seguridad en redes es el de estar siempre un paso más
adelante que los hackers tomando capacitaciones, participando en organizaciones de
seguridad, suscribiéndose a canales web (feeds) en tiempo real sobre amenazas y
visitando sitios web de seguridad diariamente. El profesional de seguridad en redes
también debe tener acceso a herramientas de seguridad, protocolos, técnicas y
tecnologías de última generación.

Los profesionales de la seguridad en redes tienen que tener muchas de las cualidades
que se buscan en el personal de policía: deben mantenerse al tanto de actividades
maliciosas y tener las habilidades y herramientas para minimizar o eliminar las
amenazas asociadas con esas actividades.

El hacking tiene el efecto accidental de poner a los profesionales de la seguridad en

redes al frente en cuanto a posibilidades de empleo y remuneración. Sin embargo, en
relación con otras profesiones tecnológicas, la seguridad en redes tiene la curva de
aprendizaje más empinada y la mayor demanda de participación constante en
desarrollo profesional.

El hacking comenzó en la década de 1960 con el phone freaking, o phreaking, que se

refiere al hecho de usar varias frecuencias de radio para manipular los sistemas de
teléfono. El phreaking comenzó cuando AT&T comenzó a incluir conmutadores
automáticos en sus sistemas telefónicos. Los conmutadores telefónicos de AT&T
utilizaban muchos tonos, o marcación por tonos, para indicar diferentes funciones,
como el marcado y la terminación de una llamada.

Algunos clientes de AT&T se percataron de que, imitando un tono usando un silbato,

podían explotar los conmutadores telefónicos para efectuar llamadas a larga distancia
gratuitas.

A medida que los sistemas de comunicación evolucionaron, los métodos de hacking los
fueron siguiendo. El wardialing se popularizó en la década de 1980 con el uso de
módems de computadora. Los programas de wardialing escaneaban automáticamente
los números telefónicos de un área, marcando cada uno en búsqueda de
computadoras, sistemas de tablón de anuncios (bulletin board systems) y máquinas de
fax. Cuando se encontraba un número de teléfono, se usaban programas de cracking
de contraseñas para acceder.

El wardriving comenzó en la década de 1990 y es popular aun hoy. Con el wardriving,

los usuarios acceden sin autorización a las redes por medio de access points
inalámbricos. Esto se logra en usando un medio de transporte y una computadora o
PDA con acceso inalámbrico. Los programas de password cracking se usan para
identificarse, si es necesario, e incluso hay software para descifrar el esquema de
cifrado requerido para asociarse al access point.
Otras amenazas han evolucionado desde los años 1960, incluyendo herramientas de
escaneo como Nmap y SATAN, así como herramientas de hacking de administración
de sistemas remotos como Back Orifice. Los profesionales de la seguridad en redes
deben estar familiarizados con todas estas herramientas.

Ataques de Denegación de Servicios (DoS)

El ataque de DoS es un ataque de red que resulta en algún tipo de interrupción en el
servicio a los usuarios, dispositivos o aplicaciones. Muchos mecanismos pueden
generar un ataque de DoS. El método más simple es generar grandes cantidades de lo
que simula ser tráfico de red válido. Este tipo de ataque de DoS satura la red para que
el tráfico de usuario válido no pueda pasar.

El ataque de DoS se aprovecha del hecho de que los sistemas objetivo como los
servidores deben mantener información de estado. Las aplicaciones pueden depender
de los tamaños de buffer esperados y el contenido específico de los paquetes de red.
Un ataque de DoS puede explotar esto enviando tamaños de paquetes o valores de
datos que no son esperados por la aplicación receptora.

Hay dos razones principales por las cuales puede ocurrir un ataque de DoS:
 Un host o aplicación no puede manejar una condición esperada, como datos de
entrada formateados maliciosamente, una interacción inesperada entre
componentes del sistema, o un simple agotamiento de los recursos.
 Una red, host o aplicación es incapaz de manejar una cantidad enorme de datos,
haciendo que el sistema colapse o se vuelva extremadamente lento.

Los ataques de DoS intentan comprometer la disponibilidad de una red, un host o una
aplicación. Se los considera un riesgo importante porque pueden interrumpir fácilmente
un proceso de negocios y causar pérdidas significativas. Estos ataques son
relativamente sencillos de llevar a cabo, incluso por un atacante inexperto.

Un ejemplo de un ataque DoS es el envío de un paquete venenoso. Un paquete

venenoso es un paquete formateado inapropiadamente designado para hacer que el
dispositivo receptor procese el paquete de manera inapropiada. El paquete venenoso
hace que el dispositivo receptor se cuelgue o ande muy lentamente. Este ataque
puede hacer que todas las comunicaciones hacia y desde el dispositivo se interrumpan.

En otro ejemplo, un atacante envía un flujo continuo de paquetes, que sobrecargan el

ancho de banda disponible de los enlaces de la red. En la mayoría de los casos, es
imposible diferenciar entre el atacante y el tráfico legítimo y rastrear al ataque hasta su
fuente. Si muchos sistemas en el núcleo de Internet se ven comprometidos, el atacante
puede sacar ventaja de virtualmente un ancho de banda ilimitado para lanzar tormentas
de paquetes hacia blancos deseados.
Ataque de Denegación Distribuida de Servicio (DDoS)
Un Ataque de Denegación Distribuida de Servicio (DDoS) es similar en intención a un
ataque DoS, excepto que un ataque DDoS se origina en múltiples fuentes coordinadas.

Un ataque DDoS requiere al profesional de seguridad de red que identifique y detenga

los ataques desde fuentes distribuidas a la vez que administra un incremento en el
tráfico.

Como ejemplo, un ataque DDoS podría proceder de la siguiente manera:

 Un hacker escanea los sistemas que son accesibles.
 Una vez que el hacker accede a varios sistemas "picaportes", el hacker instala
software zombie en ellos.
 Los zombies luego escanean e infectan sistemas agentes.
 Cuando el hacker accede a los sistemas agentes, el hacker carga software de
ataque por control remoto para llevar a cabo el ataque DDoS.

Será útil detallar tres ataques de DoS comunes para entender mejor cómo funcionan.

El ping de la muerte
En un ataque de ping de la muerte, un hacker envía una solicitud de eco en un paquete
IP más grande que el tamaño de paquete máximo de 65535 bytes. Enviar un ping de
este tamaño puede colapsar la computadora objetivo. Una variante de este ataque es
colapsar el sistema enviando fragmentos ICMP, que llenen los buffers de
reensamblado de paquetes en el objetivo.

Ataque Smurf
En un ataque smurf, el atacante envía un gran número de solicitudes ICMP a
direcciones broadcast, todos con direcciones de origen falsificadas de la misma red que
la víctima. Si el dispositivo de ruteo que envía el tráfico a esas direcciones de broadcast
reenvía los broadcast, todos los host de la red destino enviarán respuestas ICMP,
multiplicando el tráfico por el número de hosts en las redes. En una red broadcast
multiacceso, cientos de máquinas podrían responder a cada paquete.

Inundación TCP/SYN
En un ataque de inundación TCP/SYN, se envía una inundación de paquetes SYN
TCP, generalmente con una dirección de origen falsa. Cada paquete se maneja como
una solicitud de conexión, causando que el servidor genere una conexión a medio abrir
devolviendo un paquete SYN-ACK TCP y esperando un paquete de respuesta de la
dirección del remitente. Sin embargo, como la dirección del remitente es falsa, la
respuesta nunca llega. Estas conexiones a medio abrir saturan el número de
conexiones disponibles que el servidor puede atender, haciendo que no pueda
responder a solicitudes legítimas hasta luego de que el ataque haya finalizado.
Mailbombing
El Mailbombing es el envío indiscriminado y masivo de un mensaje idéntico a una
misma dirección, saturando así el buzón de correo (mailbox) del destinatario, lo que
produce una saturación del servidor de correo entrante. La forma más común de
infección son los mensajes de correo electrónico no solicitado.

Virus, Troyanos y Gusanos

Las principales vulnerabilidades de las computadoras de los usuarios finales son los
ataques de virus, gusanos y troyanos:

Un virus es un software malicioso que se adjunta a otro programa para ejecutar una
función indeseada específica en una computadora.

Un gusano ejecuta código arbitrario e instala copias de sí mismo en la memoria de la

computadora infectada, que luego infecta a otros hosts.

Un troyano es una aplicación escrita para parecerse a otra cosa. Cuando se descarga y
ejecuta un troyano, ataca a la computadora del usuario final desde dentro.

Virus:
Tradicionalmente, el término virus se refiere a un organismo infeccioso que requiere de
una célula huésped para crecer y multiplicarse. Un estudiante de de la Universidad de
California del Sur llamado Frederick Cohen sugirió el término "virus de computadora"
en 1983. Un virus de computadora, al que llamaremos virus en el resto de este curso,
es un programa que puede copiarse a sí mismo e infectar una computadora sin el
conocimiento del usuario.

Un virus es código malicioso que se adjunta a archivos ejecutables o programas

legítimos. La mayoría de los virus requiere una activación de parte del usuario final y
puede permanecer inactivo por largos períodos de tiempo y luego activarse en una
fecha u hora específica. Un virus simple puede instalarse en la primera línea de código
en un archivo ejecutable. Una vez activado, el virus puede buscar en el disco otros
ejecutables para infectar todos los archivos que aún no hayan sido infectados. Los virus
pueden ser inofensivos, como aquellos que muestran una imagen en la pantalla, pero
también pueden ser destructivos, como aquellos que modifican o eliminan los archivos
del disco duro. Los virus también pueden ser programados para mutar con el propósito
de evitar su detección.

En años anteriores, los virus generalmente eran diseminados a través de floppy disks y
módems. Hoy en día, la mayoría de los virus se pasan a través de pendrives, CDs,
DVDs, redes compartidas o correo electrónico. Los virus por correo electrónico son
actualmente el tipo más común de virus.
Gusanos
Los gusanos son un tipo de código hostil particularmente peligroso. Se multiplican
explotando vulnerabilidades en las redes independientemente. Los gusanos
generalmente hacen que las redes operen más lentamente.

Mientras que los virus requieren un programa huésped para ejecutarse, los gusanos
pueden ejecutarse solos. No requieren la participación del usuario y pueden
diseminarse muy rápidamente en la red.

Los gusanos son responsables de algunos de los ataques más devastadores de

Internet. Por ejemplo, el SQL Slammer Worm de enero de 2003 hizo que el tráfico
global de Internet fuera más lento como resultado de un ataque de Denegación de
Servicio. Más de 250,000 hosts fueron afectados en los primeros 30 minutos. El gusano
explotó una vulnerabilidad de desbordamiento de buffer en el servidor SQL de
Microsoft. Se había lanzado un parche para esta vulnerabilidad a mediados de 2002,
por lo que los servidores que fueron afectados eran aquellos que no habían
descargado la actualización que contenía el parche. Este es un buen ejemplo de por
qué es tan importante que la política de seguridad de la organización exija
actualizaciones y parches oportunos para los sistemas operativos y aplicaciones

Troyano
El término troyano proviene de la mitología griega. Los guerreros griegos ofrecieron al
pueblo de Troya (troyanos) un caballo gigante hueco como regalo. Los troyanos
llevaron el caballo gigante adentro de su ciudad amurallada, sin sospechar que éste
contenía muchos guerreros griegos. Durante la noche, cuando la mayoría de los
troyanos dormía, los guerreros salieron del caballo y tomaron la ciudad.

Un troyano, en el mundo de la computación, es malware que realiza operaciones

maliciosas bajo el disfraz de una función deseada. Un virus o gusano puede llevar
consigo un troyano. Los troyanos contienen código malicioso oculto que explota los
privilegios del usuario que lo ejecuta. Los juegos suelen llevar un troyano adjunto.

Cuando el juego se está ejecutando, funciona, pero, en segundo plano, el troyano ha

sido instalado en el sistema del usuario y continúa ejecutándose luego de que el juego
ha sido cerrado.

El concepto de troyano es flexible. Puede causar daño inmediato, proveer acceso

remoto al sistema (una puerta trasera), o llevar a cabo acciones instruidas
remotamente, como "envíame el archivo de la contraseña una vez por semana". Los
troyanos personalizados, como aquellos que tienen un objetivo específico, son difíciles
de detectar.

Los troyanos generalmente se clasifican de acuerdo al daño que causan o la manera

en que violan el sistema:
 Troyanos de Acceso Remoto (permiten el acceso remoto no autorizado)
 Troyano de Envío de Datos (provee al atacante de datos sensibles como
contraseñas)
 Troyano Destructivo (corrompe o elimina archivos)
 Troyano proxy (la computadora del usuario funciona como un servidor proxy)
 Troyano FTP (abre el puerto 21)
 Troyano inhabilitador de software de seguridad (detiene el funcionamiento de
programas antivirus y/o firewalls)
 Troyano de denegación de servicio (reduce la velocidad o detiene la actividad en
la red)