Universidad Tecnológica del Perú

Facultad de Ingeniería de Electrónica y de Sistemas

Escuela Profesional de Ingeniería de Sistemas

Seguridad Informática
Introducción a la
Seguridad
InformáticaSe
Trabajo Autónomo 01
 Investigadores Profesor
Introducción a
la Seguridad ▪ Albert Ronaldo Bernachea Ramos 1410774
Ingeniería de Sistemas e Informática
Ing.Pablo Rosell Tusta

Informática ▪ Amadeus Valdivia Perea 1532156

Ingeniería de Sistemas e Informática

▪ Anthony Grimaldo Juarez Solis 1413462

Ingeniería de Software

▪ Jordy Kenyi Meregildo Aguirre 1628339

Ingeniería de Software

▪ Juan Carlos Huerta Barzola 1410921

Ingeniería de Sistemas e Informática

▪ Haydee Esthefany Sebastian Meza 1533422

Ingeniería de Sistemas e Informática
Contenidos

Capítulo 1 Introducción al concepto

de seguridad informática

Seguridad Informática ¿Qué es?

Principio de Confidencialidad
Principio de Integridad
Principio Disponibilidad

Amenazas de seguridad
Capítulo 2
en redes modernas

Seguridad en el acceso a la información

Amenazas de la red
Metodologías de ataque
Protección de la información
Introducción
La siguiente presentación tiene como principal objetivo dar a
conocer los principales conceptos acerca de la Seguridad
de la Información, resaltando temas como los principios de
la seguridad informática, cuáles son los peligros y
amenazas a los que está expuesta la información, cómo es
que estos agentes actúan y ejecutan sus ataques
vulnerando la seguridad y finalmente cuales son las
metodologías y procedimientos para combatir y contrarrestar
estos ataques, de tal forma que la información no se vea
comprometida ni alterada.
 1
Introducción al
concepto de
seguridad
informática
Seguridad
Informática
La seguridad de la información es el conjunto de procesos, procedimientos, metodologías
Y tecnologías orientadas a garantizar la preservación de los tres factores que
hacen que la información sea realmente segura de tal forma que aporte valor para cualquiera
Organización.

Seguridad informática son las medidas y controles que

aseguran la confidencialidad, integridad y
disponibilidad de los activos de la los sistemas de la
información, incluyendo, hardware, software, firmware
y aquella información que procesan, almacenan y
comunican.
ISO 27002 y los principios de la
Seguridad de la Información
Según la ISO 27002, la seguridad de la Información se caracteriza
por la preservación de los siguientes factores.

Confidencialidad
Asegura que el acceso a la
Información esté adecuadamente
autorizado (1)
Disponibilidad
Integridad
Asegura que los usuarios
autorizados, puedan accede a la
Salvaguarda la precisión y
información cuando estos la
completitud de la información y de
requieran y donde la requieran
sus métodos de proceso
 Confidencialidad
Se refiere a la privacidad de los elementos de
información almacenados y procesados en un sistema
informático, basándose en este principio, las herramientas
de seguridad informática deben proteger el sistema de
invasiones y accesos por parte de personas
o programas no autorizados.

Confidencialidad
Un cajero automático que permite realizar
movimientos al ingresar una contraseña de 4
dígitos
 Integridad
Se refiere a la validez y consistencia de los elementos de
información almacenados y procesados en un sistema
informático. Basándose en este principio, las
herramientas de seguridad informática deben asegurar
que los procesos de actualización estén bien
sincronizados y no se dupliquen, de forma que todos los
elementos del sistema manipulen adecuadamente los
mismos datos.

Integridad
Uno servidor de datos de un banco que
almacena información acerca de los cientes y
que mantiene los datos correctamente
distribuidos, almacenados y seguros
 Disponibilidad
Se refiere a la continuidad de acceso a los elementos de
información almacenados y procesados en un sistema
informático. Las herramientas de seguridad informática
deber reforzar la permanencia del sistema informático, en
condiciones de actividad adecuadas para que los usuarios
accedan a los datos con la frecuencia y dedicación que
requieran.

Integridad
Un centro de datos o datawarehouse
distribuyendo y recibiendo información
desde y hacia distintos nodos
 2
Amenazas de
Seguridad en
Redes
Modernas
 2.1
SEGURIDAD EN EL ACCESO A
LA INFORMACIÓN

Norma que permite el aseguramiento, la confidencialidad e integridad de la información

Implementación de un SGSI
¿Qué es un SGSI?

POLÍTICAS Y PROCEDIMIENTOS QUE NORMALIZAN LA

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN, BIEN DE
TODA UNA ORGANIZACIÓN O BIEN DE UNO O VARIOS DE
SUS PROCESOS DE NEGOCIO.
BASADO EN CICLO DE DEMING : PLAN,DO AJUSTAR Y
VERIFICAR

Fases del ciclo Deming

PLAN, HACER, AJUSTAR Y VERIFICAR

Medidas para proteger el acceso a la información

Restricción de acceso
Principio POLP: restringir al máximo posible las cuentas con permisos de
administrador.

Principio RBAC: aplicar una política de seguridad en un nivel más específico

Actualización de contraseñas

Acceso físico

Normas legales para terceros

 2.2
Amenazas de la red
Cada día las amenazas de seguridad son cada vez más
graves, sofisticadas y difíciles de detectar, he aquí la
importancia para las empresas de comprender y entender
cuáles son las posibles amenazas que toda organización
está hoy en día expuesta.
A continuación vamos a describir las 12 amenazas más
peligrosas en Internet:
Amenazas de red
• Cross-site scripting • Denegación de servicio
(Denial-of-service):
Amenazas de red
• Denegación de servicio • Intercepción (Passive wiretapping)
distribuido (Distributed
denial-of-service)
• Es un tipo de ataque mediante el cual un
tercero capta la información (esta puede
estar en texto claro o cifrada) que estaba
siendo transmitida entre dos nodos en la
red. La captación de la información
puede realizarse por múltiples medios
(redes alámbricas, redes wireless, etc).
Este tipo de ataque tiene la
particularidad de que es muy difícil de
detectar mientras es llevado a cabo, por
lo que un atacante puede capturar cierta
información privilegiada (usuarios y
contraseñas) para acceder luego al
sistema o a la red para buscar más
información o causar algún daño.
Amenazas de red
• War driving • SQL injection:
Es la actividad que se realiza con el
objetivo de buscar en las avenidas
de las ciudades redes inalámbricas
no seguras. El wardriving
regularmente se realiza desde un
automóvil utilizando una
computadora portátil junto con
una antena WiFi de largo alcance.
Amenazas de red
 Virus
• Phishing: So n pro gra mas ca paces de
copia rse a s í mis mos e i nfect ar
un o rde na dor si n e l pe rmiso o
conoci mie nto de l us ua rio. Un
virus pue de da ña r o e li mi nar
da tos guarda dos. Re gularme nte
uti li za n los pro gra mas de correo
elec tró nic o para pro pa garse a
través de la re d hacia ot ros
orde na dores , o i nc luso bo rrar
to do e l co nte ni do de l disco duro.
A dife re ncia de un gusa no
inf ormá tico, un vi rus re qui ere la
int erve nci ó n huma na (po r lo
ge nera l si n sa berlo ) pa ra
propagarse.
Amenazas de red
• Caballo de Troya (Trojan • Bomba lógica (Logic bomb
horse) • Este tipo de ataque se lleva a cabo colocando
intencionalmente un pedazo de código de
• Es un programa de programación dañino dentro del código fuente
computadora que a simple vista de un software. El objetivo es ejecutar una
parece tener una función útil, función maliciosa al momento que se produzcan
pero al mismo tiempo también ciertas condiciones determinadas
tiene una función oculta y
potencialmente peligrosa,
evadiendo de esta forma los
mecanismos de seguridad
Amenazas de red
• Ataque del día cero (Zero-day
exploit) • Worm (gusano)
• Al escribir un exploit para la • Es un programa malicioso que utiliza
vulnerabilidad previamente mecanismos de red para propagarse. A
desconocida, el atacante crea diferencia de los virus informáticos, el gusano
una gran amenaza, ya que el no requiere intervención humana para
marco de tiempo comprendido propagarse.
entre los descubrimientos de la
vulnerabilidad y el lanzamiento
del parche de seguridad a dicha
vulnerabilidad por parte del
fabricante de la aplicación toma
un tiempo determinado. En ese
espacio de tiempo, todos los
sistemas afectados por dicha
vulnerabilidad se encuentran en
una posición difícil de defender.
Metodologías de
Ataques Informáticos
• Detección de vulnerabilidades en los
sistemas
• Este tipo de ataques tratan de
detectar y documentar las posibles
vulnerabilidades de un sistema
informático
2.3
• Robo de información mediante la
interceptación de mensajes
• Ataques que tratan de interceptar los
mensajes de correo o los documentos
que se envían a través de redes de
ordenadores como Internet
Tipos de ataque

• Modificación del contenido y • Análisis del tráfico

secuencia de los mensajes
transmitidos
• En estos ataques los intrusos tratan de
reenviar mensajes y documentos que ya
habían sido previamente transmitidos en
el sistema informático
• Estos ataques persiguen observar los
datos y el tipo de tráfico transmitido a
través de redes informáticas, utilizando
para ello herramientas como los
“sniffers”.
Tipos de ataque
• Ataques de suplantación de la
identidad
• Los ataques de suplantación de la
identidad presentan varias posibilidades,
siendo una de las más conocidas la
denominada “IP Spoofing”
(“enmascaramiento de la dirección IP”),
• Captura de cuentas de usuario y
contraseñas
También es posible suplantar la identidad de
los usuarios mediante herramientas que
permitan capturar sus contraseñas, como los
programas de software espía o los dispositivos
hardware especializados que permitan
registrar todas las pulsaciones en el teclado de
un ordenador (“keyloggers”).
Tipos de ataque

• Modificaciones del tráfico y de las • Introducción en el sistema de

tablas de enrutamiento “malware” (código malicioso)
• Los ataques de modificación del tráfico y • Malware cualquier programa, documento
de las tablas de enrutamiento persiguen o mensaje susceptible de causar daños
desviar los paquetes de datos de su ruta en las redes y sistemas informáticos. Así,
original a través de Internet dentro de esta definición estarían
incluidos los virus, troyanos, gusanos,
bombas lógicas, etcétera.
Tipos de ataque

• Ataques contra los sistemas • Denegación del Servicio (Ataques DoS

criptográficos – Denial of Service)
• Los ataques contra la seguridad de los • Los ataques de Denegación de
sistemas criptográficos persiguen Servicio (DoS) consisten en
descubrir las claves utilizadas para cifrar
unos determinados mensajes o distintas actuaciones que
documentos almacenados en un sistema, persiguen colapsar determinados
o bien obtener determinada información equipos o redes informáticos, para
sobre el algoritmo criptográfico utilizado. impedir que puedan ofrecer sus
servicios a sus clientes y usuarios.
Protección de 2.4
la Información
El objetivo de la protección
son los datos mismos y trata
de evitar su perdida y
modificación no-autorizado.
La protección debe El motivo para implementar Por ejemplo la perdida o
garantizar en primer lugar medidas de protección, que la modificación errónea
la confidencialidad, integri responden a la Seguridad causado intencionalmente
dad y disponibilidad de los de la Información, es el o por negligencia
datos, sin embargo existen propio interés de la humana de una cuenta
más requisitos como por institución o persona que bancaria puede resultar
ejemplo la autenticidad entre maneja los datos, porque la en perdidas económicas u
otros. perdida o modificación de otras consecuencias
los datos, le puede causar negativas para una
un daño (material o institución.
inmaterial).
Medidas para la
Protección de la
Información
1. Descripción de las rutinas de
control de datos de los programas
que se utilicen para ingresarlos en
las bases, inclusión de acciones a
tomar en caso de errores detectados,
rutinas de control a fin de evitar
incorporar a la base datos ilógicos,
incorrectos o faltantes.
2. Copias de respaldo de la
información contenida en las bases.
3. Designación de un responsable de
adopción y control de cumplimiento
de medidas.
4. Identificación del personal que
accede a las bases.
5. Procedimiento de autenticación
de usuario y control de acceso,
tanto para la visualización como para
el tratamiento de los datos.
6. Adoptar medidas de prevención
a efectos de impedir amenazas por
la intromisión de software
malicioso que pudiere afectar
archivos con datos personales.
7. Adoptar procedimientos que
garanticen una adecuada gestión
de los soportes que contengan
datos personales.
8. Realización de auditorías que
tengan como objeto el control del
cumplimiento de las medidas y de
los principios de finalidad,
integridad, etc., de los datos
personales contenidos en las bases.
Bibliografìa
• http://www.monografias.com/trabajos82/la-seguridad-informatica/la-seguridad-informatica.shtml
• http://www.iprofesional.com/notas/91106-Cuales-son-las-medidas-para-proteger-la-informacion-
confidencial?page_y=0
• https://protejete.wordpress.com/gdr_principal/seguridad_informacion_proteccion/
• http://www.networkworld.es/seguridad/principales-amenazas-para-la-seguridad-de-las-redes-inalambricas
• https://issuu.com/juanjesustorresvalero/docs/seguridad_inform_tica
• https://www.isotools.org/2014/10/21/iso-27001-garantizar-seguridad-informacion/
• https://www.bsigroup.com/es-ES/Seguridad-de-la-Informacion-ISOIEC-27001/
• http://www.redseguridad.com/especialidades-tic/certificaciones-y-formacion/sabes-diferenciar-la-iso-27001-y-la-
iso-27002
• http://www.edisa.com/wp-
content/uploads/2014/08/Ponencia_Tipos_de_ataques_y_de_intrusos_en_las_redes_informaticas.pdf
• http://blog.capacityacademy.com/2012/06/21/las-12-amenazas-mas-peligrosas-en-internet/
• http://www.hackeone.info/2017/12/a7-cross-site-scripting-xss-2017.html
• https://www.infospyware.com/articulos/que-es-el-phishing/
• https://www.veracode.com/blog/intro-appsec/sql-injection-attacks-and-how-prevent-them-infographic