Documentos de Académico
Documentos de Profesional
Documentos de Cultura
16.- Criptográfica
1.1 - Exploit (del inglés to exploit, explotar o aprovechar): es una pieza de software, un
fragmento de datos, o una secuencia de comandos con el fin de automatizar el
aprovechamiento de un error, fallo o vulnerabilidad, a fin de causar un comportamiento no
deseado o imprevisto en los programas informáticos, hardware, o componente electrónico
(por lo general computarizado). Con frecuencia, esto incluye cosas tales como la violenta
toma de control de un sistema o permitir la escalada de privilegios o un ataque de
denegación de servicio
El fin del Exploit puede ser violar las medidas de seguridad para poder acceder al mismo de
forma no autorizada y emplearlo en beneficio propio o como origen de otros ataques a
terceros.
Los Exploits pueden ser escritos empleando una diversidad de lenguajes de programación,
aunque mayoritariamente se suele utilizar lenguaje C. También puede aprovecharse de
distintos tipos de ataques tales como desbordamiento de búfer, Cross Site Scripting, Format
Strings, Inyección SQL, entre otros.
Una de las herramientas más utilizadas para trabajar con este tipo de software es Metasploit
Framework, una plataforma de test de penetración escrita en lenguaje de programación
Ruby, como así también otros frameworks como Core Impact, Canvas, entre otros.
1.3 - Pharming: ataque informático que consiste en modificar o sustituir el archivo del
servidor de nombres de dominio cambiando la dirección IP legítima de una entidad
(comúnmente una entidad bancaria) de manera que en el momento en el que el usuario
escribe el nombre de dominio de la entidad en la barra de direcciones, el navegador
redirigirá automáticamente al usuario a otra dirección IP donde se aloja una web falsa que
suplantará la identidad legítima de la entidad, obteniéndose de forma ilícita las claves de
acceso de los clientes la entidad.
Jorge García Delgado
1.4 - Tabnabbing: la mayoría estará familiarizada con el phising, una técnica de ingeniería social que busca
obtener datos sensibles (personales, tarjetas de crédito, etc) de su víctima, convenciéndola de ingresarlos en
un formulario aparentemente benigno.
Esta técnica se basa en aprovechar el sistema de navegación por pestañas o tabs. Cuando el usuario va de una
pestaña a otra, la que permanece en segundo plano se transforma en una página de acceso a servicios y
plataformas (como Gmail, Youtube, Facebook, etc.). El usuario, al no percatarse, introduce los datos de acceso
a estos servicios, y por tanto, está facilitando estos datos al propietario de la página falsaLa naturaleza del
ataque está en su ingeniosa ejecución, al esperar nuestro descuido y aprovechar todos los recursos que brinda
JavaScript a la hora de manipular el contenido y la presentación de una página web.
1.6 - Sniffing: aplicación de monitorización y de análisis para el tráfico de una red para detectar
problemas, lo hace buscando cadenas numéricas o de caracteres en los paquetes. Se usa
especialmente para detectar problemas de congestionamiento (cuellos de botella o
bottlenecks).
1.7.2 - ARP spoofing: es la suplantación de identidad por falsificación de tabla ARP. Las
tablas ARP (Address Resolution Protocol) son un protocolo de nivel de red que relaciona
una dirección de hardware con la dirección IP del ordenador. Por lo tanto, al falsear la
tabla ARP de la víctima, todo lo que ésta envíe, será direccionado al atacante.
1.7.3 - DNS spoofing: es una suplantación de identidad por nombre de dominio, la cual
consiste en una relación falsa entre IP y nombre de dominio.
1.7.4 - Web spoofing: con esta técnica el atacante crea una falsa página web, muy
similar a la que suele utilizar el afectado con el objetivo de obtener información de
dicha víctima como contraseñas, información personal, datos facilitados, páginas que
visita con frecuencia, perfil del usuario, etc.
1.8 - Phishing: es la denominación que recibe la estafa cometida a través de medios telemáticos
mediante la cual el estafador intenta conseguir, de usuarios legítimos, información confidencial
(contraseñas, datos bancarios, etc) de forma fraudulenta.
El estafador o phisher suplanta la personalidad de una persona o empresa de confianza para
que el receptor de una comunicación electrónica aparentemente oficial (vía e-mail, fax, sms o
telefónicamente) crea en su veracidad y facilite, de este modo, los datos privados que resultan
de interés para el estafador.
Scam no solo se refiere a estafas por correo electrónico, también se le llama scam a sitios web
que tienen como intención ofrecer un producto o servicio que en realidad es falso, por tanto
una estafa.
1.10 - Keylogger: es un tipo de troyano que se caracteriza por capturar y almacenar las
pulsaciones efectuadas sobre el teclado. Posteriormente esta información (que puede contener
información sensible) se envía a un atacante, que las puede utilizar en su propio provecho.
Las últimas versiones de este tipo de programas maliciosos también hacen capturas de pantalla
del equipo atacado. De esta forma, se hace ineficaz e inseguro el uso del teclado virtual.
Jorge García Delgado
z1.11 - Spyware: se utiliza para denominar aplicaciones que recogen y envían información sobre
las páginas web que más frecuentemente visita un usuario, tiempo de conexión, etc. También
suelen capturar datos relativos al equipo en el que se encuentran instalados (sistema operativo,
tipo de procesador, memoria, etc.) e, incluso, hay algunos diseñados para informar de si el
software que utiliza el equipo es original o no.
- Los nombres de los archivos que se corresponden con estos programas no suelen dar
una idea de su verdadera naturaleza, por lo que pueden pasar desapercibidos entre el
resto de ficheros de una aplicación. - No provocan ningún efecto visible en el
ordenador, ni cuando son instalados, ni cuándo se encuentran en plena acción. Por ello,
precisamente, los usuarios no suelen preocuparse de si algún programa de este tipo se
encuentra instalado en su sistema. - Al no tratarse de virus, ni emplear ninguna rutina
que pueda relacionarlos con ellos, los programas antivirus no los detectan. Por tal
motivo, para detectar spyware es necesario utilizar aplicaciones específicas.
1.12 - Botnet: conjunto de ordenadores controlados remotamente por un atacante que pueden
ser utilizados en conjunto para realizar actividades maliciosas como envío de spam, ataques de
DDOS, etc.
1.13 - Spam: es a todo correo no deseado recibido por el destinatario, procedente de un envío
automatizado y masivo por parte del emisor. El ’spam’ generalmente se asocia al correo
electrónico personal, pero no sólo afecta a los correos electrónicos personales, sino también a
foros, blogs y grupos de noticias.
1.14 - Hacker: son intrusos que se dedican a entrar en los sistemas informáticos con el fin de
demostrar a la entidad sus vulnerabilidades y agujeros de seguridad en el sistema, pero nunca
con la intención de provocar daños o pérdidas a la empresa, sino de mantener actualizadas las
medidas de seguridad, así como la adopción de nuevas medidas conforme el hacker va
descubriendo vulnerabilidades y agujeros de seguridad.
1.15 - Cracker (de sombrero negro o "blackhat"): su objetivo es atacar un sistema informático
para conseguir beneficios de forma ilegal o simplemente para provocar daños a la entidad
propietaria del sistema, difundiendo a su vez a través de internet la manera de romper la
seguridad de dicho sistema.
Jorge García Delgado
1.16 - Sniffer: se dedica a rastrear y tratar de recomponer y descifrar los mensajes que circulan
a través de redes de ordenadores.
1.17 - Phreaker: son intrusos especializados en sabotear las redes telefónicas para poder
realizar llamadas gratis.
1.20 - Estafador: utiliza el correo electrónico u otro medio para engañar a otras personas y
obtener información confidencial, como números de tarjetas de crédito o contraseñas.
Jorge García Delgado
1.- Fiabilidad
La fiabilidad es la probabilidad de buen funcionamiento de
algo. Por tanto, extendiendo el significado a sistemas, se dice
que la fiabilidad de un sistema es la probabilidad de que ese
sistema funcione o desarrolle una cierta función, durante un
período determinado bajo condiciones operativas específicas
(por ejemplo, condiciones de presión, temperatura, velocidad,
tensión o forma de una onda eléctrica, nivel de vibraciones,
etc.).
2.- Confidencialidad
Confidencialidad es la propiedad de la información, por la que
se garantiza que está accesible únicamente a personal
autorizado a acceder a dicha información. La confidencialidad
ha sido definida por la Organización Internacional de
Estandarización (ISO) en la norma ISO-17799 como "garantizar
que la información es accesible sólo para aquellos autorizados
a tener acceso" y es uno de los puntos fuertes de la seguridad
de la información.
3.- Integridad: Es la cualidad de un mensaje, comunicación o archivo, que permite comprobar que
no se ha producido manipulación alguna en el original, es decir, que no ha sido alterado.
Cuando un usuario, programa o proceso modifica o borra los datos importantes que son parte de
la información, se registra esta modificación para asegurar la confiabilidad de los datos.
4.- Disponibilidad
En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los
controles de seguridad utilizados para protegerlo, y los canales de comunicación protegidos
que se utilizan para acceder a ella deben estar funcionando correctamente, evitando
interrupciones del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del
sistema.
3.1 Introducción
Una vulnerabilidad o fallo de seguridad, es
todo aquello que provoca que nuestros sistemas
informáticos funcionen de manera diferente a
como funcionaban, afectando a la seguridad de
los mismos, pudiendo llegar a provocar entre
otras cosas la pérdida y robo de información
sensible.
Las amenazas pueden ser de diferentes tipos,
que son hardware, software, factor humano, y
datos.
Se da la amenaza por fallas físicas que presente cualquiera de los elementos de hardware que
conforman al sistema de cómputo. Estas fallas físicas pueden ser defectos de fabricación o mal
diseño del hardware, pero también pueden ser el resultado de un mal uso y descuido en el
mantenimiento.
- Mal diseño: es cuando los componentes de hardware del sistema no son apropiados y no
cumplen los requerimientos necesarios, en otras palabras, dicha pieza del módulo no fue
diseñada correctamente para trabajar en el sistema.
- Errores de fabricación: es cuando las piezas de hardware son adquiridas con desperfectos de
fabricación y posteriormente fallan al momento de intentar usarse. Aunque la calidad de los
componentes de hardware es responsabilidad del fabricante, la organización que los adquiere es
la más afectada por este tipo de amenaza.
- Suministro de energía: las variaciones de voltaje dañan los dispositivos, por ello es necesario
verificar que las instalaciones de suministro de energía funcionen dentro de los parámetros
requeridos. También debe procurarse que dichas instalaciones proporcionen los voltajes
requeridos para hacer funcionar un dispositivo, pues existen componentes de hardware que
necesitan ser energizados a ciertos niveles de voltaje especificados por los fabricantes, de lo
contrario se acortara su vida útil.
- Desgaste: e l uso constante del hardware produce un desgaste considerado como normal, con el
tiempo este desgaste reduce el funcionamiento óptimo del dispositivo hasta dejarlo inutilizable.
- Descuido y mal uso: todos los componentes deben ser usados dentro de los parámetros
establecidos por los fabricantes, esto incluye tiempos de uso, periodos y procedimientos
adecuados de mantenimiento, así como un apropiado almacenamiento. No seguir estas prácticas
provoca un desgaste mayor que trae como consecuencia descomposturas prematuras y reducción
del tiempo de vida útil de los recursos.
Jorge García Delgado
- Software de desarrollo: es un tipo de software personalizado, puede ser creado con el fin de
atacar un sistema completo o aprovechar alguna de sus características para violar su seguridad.
- Bomba lógica: el programa incluye instrucciones que, al cumplirse una condición, provocan una
distorsión del funcionamiento normal del programa, que normalmente, deriva en daños al
ordenador que lo ejecuta. Esta técnica es usada por algunos programadores. Introducen en la
aplicación un código que se activa en una fecha determinada para que, si no ha cobrado por su
trabajo ese día, destruya la información del ordenador en el que ha sido instalado.
- Código malicioso: es cualquier software que entra en un sistema de cómputo sin ser invitado e
intenta romper las reglas, esto incluye caballos de Troya, virus, gusanos informáticos, bombas
lógicas y otras amenazas programadas.
- Virus: Todos sabemos lo que son, cómo se comportan e incluso habremos sufrido sus
consecuencias. Hoy en día, la conectividad entre ordenadores hace que existan muchísimos más
de los 30 o 40mil conocidos a finales de los 80, y que su impacto, cuando logran trascender, sea
mucho mayor.
- Gusanos: Son programas que se replican, la línea que los separa de los virus es muy delgada.
- Curiosos: se trata de personas que entran a sistemas (en algunos casos de manera accidental) a
los que no están autorizados, motivados por la curiosidad, por el desafió personal, o por el deseo
de aprender o averiguar.
Generalmente este tipo de intrusos no tienen los conocimientos apropiados para lograr causar
daños, pero no por eso se les debe ignorar sin tomar las precauciones necesarias.
Aunque se afirma que no tienen intenciones maliciosas, su sola intrusión al sistema representa
una peligrosa amenaza ya que pueden causar daños no intencionales o dejar expuesta la
estructura y seguridad del sistema.
- Intrusos remunerados: este tipo de atacante se encarga de penetrar a los sistemas a cambio de
un pago. Aunque son menos comunes, en realidad son muy peligrosos ya que se trata de
personas que poseen los conocimientos, experiencia y herramientas necesarias para penetrar en
los sistemas, incuso en aquellos que tienen un nivel alto de seguridad.
- Personal enterado: se trata de personas que tienen acceso autorizado o conocen la estructura
del sistema de cierta organización. Por lo general es el mismo personal interno de una empresa o
un exempleado, sus motivaciones van desde revanchas personales hasta ofertas y
remuneraciones de organizaciones rivales.
- Terroristas: tienen como objetivo causar daños con diferentes fines por ejemplo proselitistas o
religiosos.
- Sabotaje: consiste en reducir la funcionalidad del sistema por medio de acciones deliberadas
dirigidas a dañar los equipos, logrando la interrupción de los servicios e incluso la destrucción
completa del sistema. Puede ser perpetuada por el personal interno o por opositores externos.
- Fraude: estas actividades no tienen como principal fin la destrucción del sistema, si no
aprovechar los recursos que se manejan para obtener beneficios ajenos a los objetivos de la
organización.
Aun cuando los responsables del fraude sean identificados y detenidos, este tipo de actividad
comúnmente se trata con suma discreción sin hacerle publicidad debido a que le da mala imagen
a la organización implicada.
Esta técnica es una de las más usadas a la hora de averiguar nombres de usuario y contraseñas
Jorge García Delgado
- Sistema operativo: Cada sistema operativo tiene un nivel de protección diferente que los hace
más susceptibles a ataques que otros. Dependiendo del sistema operativo y su nivel de seguridad,
el atacante puede tomar unas acciones u otras y usar sus vulnerabilidades para atacar.
- Incumplimiento de las normas de instalación de la red: la instalación del cableado físico de las
redes de datos, deben seguir ciertas normas y estándares de diseño conocidos también como
cableado estructurado. La estructura consiste en el tendido de cables en el interior de un edificio
con el propósito de implantar una red de área local, es el sistema colectivo de cables,
canalizaciones, conectores, etiquetas, espacios y demás dispositivos que deben ser instalados
para establecer una infraestructura de comunicación, para ello hay que tener en cuenta las
limitaciones de diseño que impone la tecnología de red de área local que se desea implantar:
No tomar en cuenta estos puntos puede resultar en fallas de diseño que causen problemas de
transmisión de datos, operatividad o indisponibilidad de los recursos de red.
Jorge García Delgado
4.0 Introducción
Existen diferentes vulnerabilidades que, dependiendo de sus características, las podemos
clasificar e identificar en los siguientes tipos:
4.1 De configuración
Dependiendo de la configuración del usuario final en el sistema, un sistema puede ser más
o menos vulnerable si el usuario no tiene en cuenta su seguridad. Normalmente la mayoría
de usuario no conoce las vulnerabilidades, ni el sistema informático los suficiente como
para protegerlo. Por lo que las configuraciones suelen ser por defecto ya que el usuario
tiene temor a estropear el sistema, pero muchos sistemas por defecto son vulnerables;
otros usuarios tienden a cambiar demasiado la configuración sin saber mucho los peligros
que puede conllevar, por lo que el sistema se vuelve mucho más vulnerable.
Indirecta: consiste en modificar valores que la aplicación web utiliza para pasar
variables entre dos páginas, sin usar sesiones.
Directa: consiste en localizar puntos débiles en la programación de los filtros.
Jorge García Delgado
Un ejemplo es cuando un programa realiza una sentencia SQL sin querer con parámetros
dados por el usuario, para luego hacer una consulta de base de datos. En dichos
parámetros que da el usuario estaría el código malicioso.
Con estas inyecciones de código se pueden obtener múltiples datos confidenciales, eliminar
o sobrescribir datos en la base de datos y hasta lograr ejecutar comandos peligrosos en la
base de datos.
El hecho de que un servidor pueda verse afectado por las inyecciones SQL se debe a la falta
de medidas de seguridad por parte de sus diseñadores/programadores, especialmente por
una mala filtración de las entradas (por formularios, cookies o parámetros).
Inyección directa de código estático: El software permite que las entradas sean
introducidas directamente en un archivo de salida que se procese más adelante
como código, un archivo de la biblioteca o una plantilla. En una inyección de código
de tipo estático, una vez inyectado el código en una determinada parte de la
aplicación web, este código queda almacenado en una base de datos.
Una de las soluciones más apropiadas es asumir que toda la entrada es malévola, y
utilizar una combinación apropiada de listas negras y listas blancas para asegurar que
solamente las entradas válidas y previstas son procesadas por el sistema.
Evaluación directa de código dinámico: El software permite que las entradas sean
introducidas directamente en una función que evalúa y ejecuta dinámicamente la
entrada como código. En una inyección de código de tipo dinámico o no
permanente la inyección tiene un tiempo de vida limitado y no se almacena.
Las soluciones más apropiadas son las mismas que para la inyección directa de
código estático.
Mediante esta vulnerabilidad el atacante podrá obtener una Shell (es una interfaz
con el sistema operativo, gracias a él podremos dar las órdenes y mandatos para que el
sistema realícelas tareas que necesitamos) en el servidor de la víctima y ejecutar un
Archivo maliciosos.
Jorge García Delgado
Como por ejemplo el tipo de funciones "printf" en el lenguaje "C" que pueden conducir
a provocar desbordamientos de búfer o problemas en la representación de los datos.
El tipo de ataque CSRF más popular se basa en el uso del marcador HTML<img>, el cual
sirve para la visualización de gráficos. En vez del marcador con la URL del archivo gráfico, el
agresor pone un tag que lleva a un código JavaScript que es ejecutado en el navegador de la
víctima.
5.0 Introducción
Amenaza: Es la posible causa de un incidente no deseado, el cual puede ocasionar un daño a un sistema o a una
organización.
El objetivo final de la seguridad es proteger lo que la empresa posee. Todo aquello que es propiedad de la empresa
se denomina activo. Un activo es tanto el mobiliario de la oficina (sillas, mesas, estanterías), como los equipos
informáticos (servidores, ordenadores, impresoras), como los datos que se manejan (datos de clientes, facturas,
personal).
Un sistema informático se ve expuesto a un gran número de amenazas y ataques. Para identificar las amenazas a las
que está expuesto un sistema informático realizaremos tres clasificaciones.
Codificación Definición
Hackers Expertos informáticos con una gran curiosidad por descubrir las vulnerabilidades de los sistemas
pero sin motivación económica o dañina.
Crackers Un hackers que, cuando rompe la seguridad de un sistema, lo hace con intención maliciosa, bien
para dañarlo o para obtener un beneficio económico.
Phreakers Crackers telefónicos, que sabotean las redes de telefonía para conseguir llamadas gratuitas.
Sniffers Expertos en redes que analizan el tráfico para obtener información extrayéndola de los paquetes
que se transmiten por la red.
Lammers Chicos jóvenes sin grandes conocimientos en informática pero que se consideran a sí mismos
hackers y se vanaglorian de ellos.
Ciber terrorista Expertos en informática e intrusiones en la red que trabajan para países y organizaciones como
espías y saboteadores informáticos.
Programadores
de virus
Expertos en programación, redes y sistemas que crean programas dañinos que producen efectos
no deseados en los sistemas o aplicaciones.
Carders
Personas que se dedican al ataque de los sistemas de tarjetas, como los cajeros automáticos.
Jorge García Delgado
Codificación Definición
Interrupción Un recurso del sistema o la red deja de estar disponible debido a un ataque.
Intercepción Un intruso accede a la información de nuestro equipo o a la que enviamos por la red.
Fabricación Se crea un producto (por ejemplo una página Web) difícil de distinguir del auténtico y que puede
utilizarse para hacerse, por ejemplo, con información confidencial del usuario.
Codificación Definición
Spoofing Suplanta la identidad de un PC o algún dato del mismo (como su dirección MAC).
Keyloggers Se utiliza una herramienta que permite conocer todo lo que el usuario escribe a través del teclado,
e incluso pueden realizar capturas de pantallas.
Denegación Interrumpen el servicio que se está ofreciendo en servidores o redes de ordenadores. También
de Servicio denominado DoS (denial of Service).
Ingeniería Se obtiene información confidencial de una persona u organismo para utilizarla con fines
social maliciosos. Los ejemplos más llamativos son el phishing y el spam.
Password Descifrar contraseñas de sistemas y comunicaciones. Los métodos más comunes son mediante
cracking sniffing, observando directamente la introducción de credenciales (shoulder surfing), ataque por
fuerza bruta.
Botnet Conjunto de robots informáticos o bots, que se ejecutan de manera autónoma en multitud de host,
para controlarlos de forma remota.
Jorge García Delgado
Habitualmente nos centramos en protegernos de posibles hackers, virus… y nos olvidamos de un aspecto muy
importante en la seguridad informática, la seguridad física. La seguridad física es aquella que trata de proteger el
hardware (los equipos informáticos, el cableado…) de los posibles desastres naturales (terremotos, tifones…), de
incendios, inundaciones, sobrecargas eléctricas, de robos y un sinfín de amenazas más.
A continuación vamos a enumerar las principales amenazas y los mecanismos para salvaguardarnos de las mismas:
Evitar la localización del centro de procesamiento de datos cerca de zonas donde se manejen o
almacenen sustancias inflamables o explosivos.
Deben existir sistemas antiincendios, detectores de humo, rociadores de gas, extintores… para
sofocar el incendio en el menor tiempo posible y así evitar que se propague ocasionando numerosas
pérdidas materiales.
Inundaciones Evitar la ubicación de los centros de cálculo en las plantas bajas de los edificios para protegerse de la
entrada de aguas superficiales.
Impermeabilizar las paredes y techos del Centro de Cálculo. Sellar las puertas para evitar la entrada
de agua proveniente de las plantas superiores.
Robos Proteger los centros de cálculo mediante puertas con medidas biométricas, cámaras de seguridad,
vigilantes jurados…, con todas estas medidas pretendemos evitar la entrada de personal no
autorizado.
Señales Evitar la ubicación de los centros de cálculo próximos a lugares con gran radiación de señales
Electromagnéticas electromagnéticas, pues pueden interferir en el correcto funcionamiento de los equipos
informáticos del cableado de red.
En caso de no poder evitar la ubicación en zonas con grandes emisiones de este tipo de señales
deberemos proteger el centro frente de dichas emisiones mediante el uso de filtros o de cableado
especial, o si es posible, utilizar fibra óptica, que no es sensible a este tipo de interferencias.
Apagones Para evitar los apagones colocaremos Sistemas de Alimentación Ininterrumpida (SAI), que
proporcionan corriente eléctrica durante un periodo de tiempo suficiente.
Sobrecargas Además de proporcionar alimentación, los SAI profesionales incorporan filtros para evitar picos de
Eléctricas tensión, es decir, estabilizan la señal eléctrica.
Desastres Estando en continuo contacto con el Instituto Geográfico Nacional y de Meteorología, organismos
Naturales que informan sobre los movimientos sísmicos y meteorológicos en España.
Jorge García Delgado
7.1 Introducción
Para minimizar el impacto de un posible problema físico tendremos que imponer condiciones
de seguridad para los equipos y sistemas de la organización. Por otra lado para que los
equipos informáticos funcionen correctamente deben de encontrarse en bajo ciertas
condiciones.
No todos los equipos informáticos de una organización tienen el mismo valor. Para poder
tener una buena seguridad debemos saber que equipos y datos son más importantes para la
organización. Ej. Un servidor y un puesto de trabajo no tendrán las mismas medidas de
seguridad, ni físicas ni lógicas.
Los servidores dado que su funcionamiento ha de ser continuo deben de situarse en un lugar
que cumpla las condiciones óptimas para el funcionamiento de estos.
Para asegurar los sistemas y equipos que han de mantenerse siempre operativos se crean
lugares que se conocen como "Centro de Procesamiento de Datos" o por sus siglas CPD. Para
poder asegurar un CPD lo primero que debemos hacer es asegurar el recinto con medidas de
seguridad física.
8.1 Introducción
Para que los sistemas informáticos funcionen adecuadamente es necesario que la
alimentación eléctrica sea correcta. La corriente eléctrica tiene fluctuaciones que
pueden afectar a los sistemas electrónicos.
A diferencia con la copia de seguridad que copia los archivos seleccionados, la imagen
solo se hace de toda o varias particiones completas, y no de archivos y ficheros
seleccionados.
Jorge García Delgado Jorge García Delgado
10.1.1.- RAID.
-. RAID-0. Distribuye los datos equitativamente entre dos o más discos sin
información de paridad.
-. RAID-1. Crea una copia exacta (o espejo) de un conjunto de datos en dos o más
discos.
-. RAID-2. Divide los datos a nivel de bits y usa un código de Hamming para la
corrección de errores. Necesitaría 39 discos, 32 se usarían para almacenar los bits
individuales y 7 se usarían para la corrección de errores.
-. RAID-3. Distribuye los datos a nivel de bits entre 3 discos y usa un 4 para la paridad.
-. RAID-4. Distribuye los datos a nivel de bloques entre 3 discos y usa un 4 para la
paridad.
-. RAID-6. Distribuye los datos a nivel de bloques entre 6 discos distribuyendo dos
bloques de paridad entre todos los discos miembros del conjunto.
-. RAID-0 + 1. Distribuye con 4 discos dos RAID 0 y a su vez une los RAID 0 con un
RAID 1.
-. RAID-1 + 0 o RAID 10. Distribuye con 4 discos dos RAID 1 y a su vez une los RAID 1
con un RAID 0.
1. Debe elegirse una localización totalmente distinta a la del CPD principal entre
20 y 40 kilómetros.
11.1.2-. SAN (Storage Area Network): es una red de alta velocidad que sirve los
datos a bajo nivel a través de protocolos SCSI con tecnologías como fibra óptica o
iSCSI. Está en una red diseñada especialmente para el almacenamiento de datos y
que está conectada a uno o más servidores a través de fibra. Los usuarios de la
SAN conectan su equipos en la red SAN a bajo nivel por lo que solicitan el bloque
concreto de un determinado disco, es decir que verán el disco compartido de la
SAN como si fuera un disco/sistema de archivos local en lugar de uno remoto.
1. Se deben utilizar al menos 8 caracteres para crear la clave. Según el número medio
de caracteres por contraseña para usuarios entre 18 y 58 años habituales de Internet
es de 7. Esto conlleva el peligro de que el tiempo para descubrir la clave se vea
reducido a minutos o incluso segundos. Sólo un 36% de los encuestados indicaron
que utilizaban un número de caracteres de 7 o superior.
4. Elegir una contraseña que pueda recordarse fácilmente y es deseable que pueda
escribirse rápidamente, preferiblemente, sin que sea necesario mirar el teclado.
5. Las contraseñas hay que cambiarlas con una cierta regularidad. Un 53% de los
usuarios no cambian nunca la contraseña salvo que el sistema le obligue a ello cada
cierto tiempo. Y, a la vez, hay que procurar no generar reglas secuenciales de cambio.
Por ejemplo, crear una nueva contraseña mediante un incremento secuencial del
valor en relación a la última contraseña. P. ej.: pasar de “01Juitnx” a “02Juitnx”.
3. Hay que evitar utilizar secuencias básicas de teclado (por ejemplo: ”qwerty”,
“asdf” o las típicas en numeración: “1234” ó “98765”)
11. Si se trata de una contraseña para acceder a un sistema delicado hay que
procurar limitar el número de intentos de acceso, como sucede en una
tarjeta de crédito y cajeros, y que el sistema se bloquee si se excede el
número de intentos fallidos permitidos. En este caso debe existir un sistema
de recarga de la contraseña o “vuelta atrás”.
1. Ser confiable: Minimizar las probabilidades de error. Sea cual sea el método
de almacenamiento, los datos deben estar confiables en todo momento.
2. Estar fuera de línea, en un lugar seguro: Tan pronto como se realice un
respaldo de la información, el soporte que almacena este respaldo debe ser
desconectado del ordenador y almacenado en un lugar seguro, para evitar un
ataque o amenaza.
3. La forma de recuperación, rápida y eficiente: Es necesario comprobar la
recuperación de los backups, la rapidez y la eficiencia del sistema.
4. Seguridad física y lógica: Es necesario eliminar los medios de entrada/salida
innecesarios en los sistemas informáticos, tales como disqueteras y CD/Roms
para evitar posible ataques y amenazas del exterior.
Jorge García Delgado
Los materiales físicos en donde se almacenan los datos se conocen como medios de
almacenamiento o soportes de almacenamiento.
-. Cinta magnética: soporte de almacenamiento de datos que se graba en pistas sobre una
banda plástica con un material magnetizado, donde se puede almacenar vídeo, audio y
datos. Tipos de cinta: Cinta de bobina, de Casete, y de Cartucho.
-. Disco magnético: soporte de almacenamiento que almacena en pistas circulares los datos.
Las pistas circulares son anillos concéntricos separados sí, existentes en sus dos caras
recubiertas de una fina capa superficial de material magnetizable.
-. Discos duros: Medio de almacenamiento más utilizado desde 1955. El disco está
compuesto por discos de metal magnetizado dividido en sectores, donde se guardan los
datos. Un motor que hace girar los discos. Un conjunto de cabezales movidos por un
electroimán, que leen la información guardada en los discos. Un circuito electrónico de
control, que se conecta con el ordenador y la memoria caché. Y una caja hermética que
protege el conjunto.
El número de discos depende de la capacidad del HDD y de los cabezales. Los discos duros
pueden ser IDE (ATA), Serial ATA y SCSI, pudiendo ir estos conectados bien directamente al
ordenador o utilizarse como medios externos, mediante una caja con conexión USB, SCSI o
FireWire.
IDE (ATA / PATA): Son los más extendidos. Velocidad de hasta 133 MBps y velocidad de giro
de 7.200 rpm, entraron en competencia directa con los HDD SCSI con la una mayor
capacidad y menor costo.
Serial ATA (SATA): Es el nuevo estándar para HDD. Es el más actual. Hay dos tipos. SATA1,
con velocidad de hasta 150 MBps y SATA2 (o SATA 3Gb), con transferencia de hasta 300
MBps. La velocidad de giro de los discos duros actuales es de 7.200 rpm, llegando a las
10.000 rpm en algunas series de discos duros de alta velocidad. En cuanto a los discos duros
para portátiles, la velocidad de giro es de 5.400 rpm hasta 7.200 rpm.
SCSI: Estos discos deben estar conectados a una controladora SCSI. Tienen una velocidad de
trasmisión de hasta 80 MBps, y discos con una velocidad de giro de 10.000 rpm.
Los discos duros se dividen pueden dividir en 4 particiones, 3 primarias y una extendida
donde se pueden hacer tantas particiones lógicas como memora tenga la partición lógica.
Estas particiones usan sistemas de ficheros FAT 16, FAT 32 y NTFS.
Jorge García Delgado
FAT32
Guarda las direcciones en clúster de 32 bits, por lo que permite discos de hasta 32
Gb, aunque con herramientas externas a Microsoft puede leer particiones mayores, con un
límite en el tamaño de archivo de 4 Gb, lo que lo hace poco apto sobre todo para trabajos
multimedia. Apareció con Windows 95 OSR2 y para pasar un HDD de FAT a FAT32 era
necesario formatear el HDD hasta que Windows 98 incorporó una herramienta que permitía
pasar de FAT16 a FAC32 sin necesidad de formatear.
NTFS
Diseñado para Windows NT, está basado en el sistema de archivos HPFS de IBM/Microsoft,
usado por el sistema operativo OS/2 de IBM. Permite definir clúster de 512 bytes, que es lo
mínimo en lo que se puede dividir un disco duro, por lo que a diferencia de FAT y FAT32
desperdicia poquísimo espacio. Debemos tener en cuenta que la unidad básica de
almacenamiento es el clúster, y que en FAT32 el clúster es de 4 Kb, por lo que un archivo de 1
Kb ocupará un clúster, del que se estarán desperdiciando 3 Kb.
Además, NTFS admite tanto compresión nativa de ficheros como encriptación (esto a partir
de Windows 2000). NTFS tiene algunos inconvenientes, como que necesita reservarse mucho
espacio del disco para su uso, por lo que no se debe usar en discos de menos de 400 Mb, no
es accesible desde MS-DOS ni con sistemas operativos basados en él y es unidireccional, es
decir, se puede convertir una partición FAT32 a NTFS sin formatear ni perder datos, pero no
se puede convertir una partición NTFS a FAT32. Reseñar que el programa Fdisk, utilizado para
crear las particiones, al estar basado en DOS, reconoce las particiones NTFS como Non-DOS.
-. Memorias USB: Creados por IBM en 1.998 para sustituir a los disquetes. Los lápices de
memoria también llamados Pendrive, funcionan bajo el Estándar USB Mass Storage
(almacenamiento masivo USB), actual estándar USB 3.0 con memorias desde 1 GB hasta 256
GB y a una velocidad desde los 480 Mbps hasta los 4,8 Gbps. Están compuestos por un
conector USB macho, un controlador USB, que incorpora un pequeño micro RISC y mini
memorias RAM y ROM, uno o varios chips de memoria Flash NAND, y un cristal oscilador a 12
Mhz para el control de flujo de salida de datos.
-. Tarjetas de memorias: Son tarjetas con una capacidad desde 256 MB hasta 32 GB, usadas
en cámaras digitales, teléfonos móviles o en ordenadores con lector de tarjetas. Tipos de
tarjetas de memoria: Secure Digital (SD), TransFlash o Micro SD, Compact Flash (CF),
Multimedia Card (MMC), Mini MMC, Smart Media (SM), XD.
-. CDs: es un soporte digital óptico utilizado para almacenar cualquier tipo de información
(audio, imágenes, vídeo, documentos y otros datos). Los CD estándar tienen un diámetro de
12 centímetros y pueden almacenar hasta 99 minutos de audio (o 900 MB de datos). Los
MiniCD tienen 8 cm y son usados para la distribución de sencillos y de controladores
guardando hasta 24 minutos de audio o 214 MB de datos. Esta tecnología fue más tarde
expandida y adaptada para el almacenamiento de datos (CD-ROM), de video (VCD y SVCD), la
grabación doméstica (CD-R y CD-RW) y el almacenamiento de datos mixtos (CD-i), Photo CD,
y CD EXTRA.
Tipos de DVD:
-. BRD: También conocido como Blu-ray o BD, es un formato de disco óptico de nueva
generación de 12 cm de diámetro (igual que el CD y el DVD), con capacidad de
almacenamiento llega de 25 a 33,4 GB.
Jorge García Delgado
Autorización: Es una parte del sistema operativo que protege sus recursos y servicios
permitiendo el acceso a usuario autentificados.
Jorge García Delgado
Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes
deberán establecer medidas preventivas de seguridad y/o corrección del sistema.
ACL: herramienta de software para extraer y analizar datos, detectar fraudes y lograr
un monitoreo continuo.
Autoaudit: herramienta que permite realizar una planificación de Auditorías en
función de la evaluación de riesgos, siguiendo metodologías de evaluación vertical
y/o por proceso. Soportando todo el proceso y flujo de trabajo, desde la fase de
planificación, pasando por el trabajo de campo, hasta el informe final.
BackTrack: es una distribución GNU/Linux en formato LiveCD pensada y diseñada
para la auditoría de seguridad y relacionada con la seguridad informática en general.
Apex SQL Audit provee: herramienta de auditoría para bases de datos Microsoft SQL
Server.
Assistant: sistema de administración de auditorías que le ayuda a realizar, revisar y
controlar su actividad de auditoría de manera más eficiente.
Jorge García Delgado
16.1.- Criptografía
La Criptografía es el estudio de las técnicas matemáticas empleadas en la seguridad informática. La
criptografía pretende ofrecer las técnicas para lograr el aseguramiento de la información.
1.-Las claves simétricas: son las claves que se usan tanto para el cifrado como para el descifrado. En
este caso hablamos de cifrado simétrico o con clave secreta.
2.-Las claves asimétricas: son las claves que se usan en el caso del cifrado asimétrico. Se usa una
clave para el cifrado y otra para el descifrado.
El primer método de criptografía fue en el siglo V a.C, era conocido como "Escítala". El segundo
criptosistema que se conoce fue documentado por el historiador griego Polibio: un sistema de
sustitución basado en la posición de las letras en una tabla. También los romanos utilizaron
sistemas de sustitución, siendo el método actualmente conocido como César, porque
supuestamente Julio César lo empleó en sus campañas, uno de los más conocidos en la literatura
(según algunos autores, en realidad Julio César no usaba este sistema de sustitución, pero la
atribución tiene tanto arraigo que el nombre de este método de sustitución ha quedado para los
anales de la historia).
Otro de los métodos criptográficos utilizados por los griegos fue la escítala espartana, un método
de trasposición basado en un cilindro que servía como clave en el que se enrollaba el mensaje para
poder cifrar y descifrar. En 1465 el italiano Leon Battista Alberti inventó un nuevo sistema de
sustitución polialfabética que supuso un gran avance de la época.
Otro de los criptógrafos más importantes del siglo XVI fue el francés Blaise de Vigenère que escribió
un importante tratado sobre "la escritura secreta" y que diseñó una cifra que ha llegado a nuestros
días asociada a su nombre. A Selenus se le debe la obra criptográfica "Cryptomenytices et
Cryptographiae" (Luneburgo, 1624).
Jorge García Delgado
Durante los siglos XVII, XVIII y XIX, el interés de los monarcas por la criptografía fue notable. Las
tropas de Felipe II emplearon durante mucho tiempo una cifra con un alfabeto de más de 500
símbolos que los matemáticos del rey consideraban inexpugnable. Cuando el matemático francés
François Viète consiguió criptoanalizar aquel sistema para el rey de Francia, a la sazón Enrique IV, el
conocimiento mostrado por el rey francés impulsó una queja de la corte española ante del papa Pío
V acusando a Enrique IV de utilizar magia negra para vencer a sus ejércitos.
Por su parte, la reina María Estuardo, reina de Escocia, fue ejecutada por su prima Isabel I de
Inglaterra al descubrirse un complot de aquella tras un criptoanálisis exitoso por parte de los
matemáticos de Isabel.
Durante la Primera Guerra Mundial, los alemanes usaron el cifrado ADFGVX. Este método de
cifrado es similar a la del tablero de ajedrez Polibio. Consistía en una matriz de 6 x 6 utilizado para
sustituir cualquier letra del alfabeto y los números 0 a 9 con un par de letras que consiste de A, D, F,
G, V, o X. Desde el siglo XIX y hasta la Segunda Guerra Mundial, las figuras más importantes fueron
la del holandés Auguste Kerckhoffs y la del prusiano Friedrich Kasiski.
Jorge García Delgado
La sustitución homófona hace posible que cada una de las letras del mensaje
del texto plano se corresponda con un posible grupo de caracteres distintos.
Cifrado César: Este código de cifrado es uno de los más antiguos ya que su uso se
remonta a Julio César. El principio de cifrado se basa en la adición de un valor
constante a todos los caracteres de un mensaje o, más precisamente, a su código
ASCII.
Cifrado ROT 13: El caso específico del cifrado César donde la clave de cifrado es N (la
13º letra del alfabeto) se denomina ROT 13 (se eligió el número 13, la mitad de 26,
para que sea posible cifrar y descifrar fácilmente mensajes textuales).
El Cifrado Asimétrico. El cifrado asimétrico (también conocido como cifrado con clave
pública). En un criptosistema asimétrico (o criptosistema de clave pública), las claves se
dan en pares:
Una clave pública para el cifrado;
Una clave secreta para el descifrado.
Jorge García Delgado
En un sistema de cifrado con clave pública, los usuarios eligen una clave aleatoria que
sólo ellos conocen (ésta es la clave privada). A partir de esta clave, automáticamente
se deduce un algoritmo (la clave pública). Los usuarios intercambian esta clave pública
mediante un canal no seguro.
Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene
sentido proteger el acceso con una puerta blindada si a esta no se la ha
cerrado con llave.
19.1.1.- Seguridad activa: Tiene como objetivo proteger y evitar posibles daños en los
sistemas informáticos. Podemos encontrar diferentes recursos para evitarlos como:
-Una de esas técnicas que podemos utilizar es el uso adecuado de contraseñas, que
podemos añadirles números, mayúsculas, etc.
19.1.2.- Seguridad pasiva: Su fin es minimizar los efectos causados por un accidente, un
usuario o malware. Las prácticas de seguridad pasiva más frecuentes y más utilizadas hoy
en día son: -El uso de hardware adecuado contra accidentes y averías. -También podemos
utilizar copias de seguridad de los datos y del sistema operativo. Una práctica también
para tener seguro nuestro ordenador es hacer particiones del disco duro, es decir dividirlo
en distintas partes.
19.2.- Generalidades
La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y
nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de
redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder
explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la
aparición de nuevas amenazas para los sistemas de información.
Estos riesgos que se enfrentan ha llevado a que muchas desarrollen documentos y
directrices que orientan en el uso adecuado de estas destrezas tecnológicas y
recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso
indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y
operaciones de la empresa.
En este sentido, las políticas de seguridad informática surgen como una herramienta
organizacional para concientizar a los colaboradores de la organización sobre la
importancia y sensibilidad de la información y servicios críticos que permiten a la empresa
crecer y mantenerse competitiva.
Ante esta situación, el proponer o identificar una política de seguridad requiere un alto
compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y
constancia para renovar y actualizar dicha política en función del dinámico ambiente que
rodea las organizaciones modernas.
Jorge García Delgado
Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje
sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una
comprensión clara de las mismas, claro está sin sacrificar su precisión.
Por último, y no menos importante, el que las políticas de seguridad, deben seguir un
proceso de actualización periódica sujeto a los cambios organizacionales relevantes, como
son: el aumento de personal, cambios en la infraestructura computacional, alta rotación
de personal, desarrollo de nuevos servicios, regionalización de la empresa, cambio o
diversificación del área de negocios, etc.
Jorge García Delgado
Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar
las políticas a la realidad de la empresa.
Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la
experiencia y son la principal fuente para establecer el alcance y definir las
violaciones a las políticas.
Si se quiere que las políticas de seguridad sean aceptadas, deben integrarse a las
estrategias del negocio, a su misión y visión, con el propósito de que los que toman las
decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la
compañía.
Finalmente, es importante señalar que las políticas por sí solas no constituyen una
garantía para la seguridad de la organización, ellas deben responder a intereses y
necesidades organizacionales basadas en la visión de negocio, que lleven a un esfuerzo
conjunto de sus actores por administrar sus recursos, y a reconocer en los mecanismos de
seguridad informática factores que facilitan la formalización y materialización de los
compromisos adquiridos con la organización.
Jorge García Delgado
Discos rígidos
Archivos temporales
Espacios no asignados en el disco
Diskettes, Cd-rom,Dvd, Zip, etc.
Pen drives
Cámaras digitales
Backups
Memoria
Conexiones de Red
Procesos
Usuarios conectados
Configuraciones de red
Discos
• Testimonio Humano
• Evidencias Físicas
• Evidencias de Red
• Evidencias de Host
Jorge García Delgado
Existen una gran cantidad de herramientas para recuperar evidencia. El uso de herramientas sofisticadas se hace
necesario debido a:
Outport
AIRT (Advanced incident response tool
Foremost
WebJob
HashDig
Md5deep