Principios de Seguridad

Jorge García Delgado
1.- Términos y Conceptos
2-. Fiabilidad, confidencialidad, integridad y

disponibilidad.
3.- Elementos vulnerables en el sistema informático:

hardware, software y datos.
4.- Análisis de las principales vulnerabilidades de un

sistema informático.
5.- Amenazas, Tipos: Amenazas físicas. Amenazas

Lógicas.
6.- Seguridad física y ambiental.
7- Ubicación y protección físicas de los equipos y

servidores.
8.- Sistemas de alimentación interrumpida.

9.- Copias de Seguridad e Imágenes de Respaldo
10.- RAID y Centros de Respaldo
11.- NAS, SAN, y Almacenamiento Clouding
12.- Políticas de Contraseñas y de Almacenamiento
13.- Soportes de Almacenamiento.
14.- Control de Acceso Lógico y Auditorias de

Seguridad
15.- Auditorias de Seguridad Informática y

Herramientas de Auditorio Informática.
16.- Criptográfica
17.- Cifrado y Descifrado
18.- Políticas de Seguridad
19.- Seguridad Activa y Pasiva
20.- Respuesta a Incidentes
21.- Análisis Forense en Sistemas Informáticos
22.- Herramientas de Análisis Forense

1.1 - Exploit (del inglés to exploit, explotar o aprovechar): es una pieza de software, un
fragmento de datos, o una secuencia de comandos con el fin de automatizar el
aprovechamiento de un error, fallo o vulnerabilidad, a fin de causar un comportamiento no
deseado o imprevisto en los programas informáticos, hardware, o componente electrónico
(por lo general computarizado). Con frecuencia, esto incluye cosas tales como la violenta
toma de control de un sistema o permitir la escalada de privilegios o un ataque de
denegación de servicio
El fin del Exploit puede ser violar las medidas de seguridad para poder acceder al mismo de
forma no autorizada y emplearlo en beneficio propio o como origen de otros ataques a
terceros.
Los Exploits pueden ser escritos empleando una diversidad de lenguajes de programación,
aunque mayoritariamente se suele utilizar lenguaje C. También puede aprovecharse de
distintos tipos de ataques tales como desbordamiento de búfer, Cross Site Scripting, Format
Strings, Inyección SQL, entre otros.
Una de las herramientas más utilizadas para trabajar con este tipo de software es Metasploit
Framework, una plataforma de test de penetración escrita en lenguaje de programación
Ruby, como así también otros frameworks como Core Impact, Canvas, entre otros.
1.2 - Metaexploit: es un proyecto open source de seguridad informática que proporciona

información acerca de vulnerabilidades de seguridad y ayuda en tests de penetración y en el
desarrollo de firmas para Sistemas de Detección de Intrusos.
Su subproyecto más conocido es el Metasploit Framework, una herramienta para desarrollar

y ejecutar exploits contra una máquina remota. Otros subproyectos importantes son las
bases de datos de opcodes (códigos de operación), un archivo de shellcodes, e investigación
sobre seguridad. Inicialmente fue creado utilizando el lenguaje de programación de scripting
Perl, aunque actualmente el Metasploit Framework ha sido escrito de nuevo completamente
en el lenguaje Ruby.
1.3 - Pharming: ataque informático que consiste en modificar o sustituir el archivo del
servidor de nombres de dominio cambiando la dirección IP legítima de una entidad
(comúnmente una entidad bancaria) de manera que en el momento en el que el usuario
escribe el nombre de dominio de la entidad en la barra de direcciones, el navegador
redirigirá automáticamente al usuario a otra dirección IP donde se aloja una web falsa que
suplantará la identidad legítima de la entidad, obteniéndose de forma ilícita las claves de
acceso de los clientes la entidad.
1.4 - Tabnabbing: la mayoría estará familiarizada con el phising, una técnica de ingeniería social que busca
obtener datos sensibles (personales, tarjetas de crédito, etc) de su víctima, convenciéndola de ingresarlos en
un formulario aparentemente benigno.
Esta técnica se basa en aprovechar el sistema de navegación por pestañas o tabs. Cuando el usuario va de una
pestaña a otra, la que permanece en segundo plano se transforma en una página de acceso a servicios y
plataformas (como Gmail, Youtube, Facebook, etc.). El usuario, al no percatarse, introduce los datos de acceso
a estos servicios, y por tanto, está facilitando estos datos al propietario de la página falsaLa naturaleza del
ataque está en su ingeniosa ejecución, al esperar nuestro descuido y aprovechar todos los recursos que brinda
JavaScript a la hora de manipular el contenido y la presentación de una página web.
1.5 - Malware: es la abreviatura de “Malicious software” (software malicioso), término que

engloba a todo tipo de programa o código de computadora cuya función es dañar un sistema o
causar un mal funcionamiento. Dentro de este grupo podemos encontrar términos como: Virus,
Troyanos (Trojans), Gusanos (Worm), Dialers, Spyware, Adware, Hijackers, Keyloggers, FakeAVs,
Rootkits, Bootkits, Rogues, etc….
1.6 - Sniffing: aplicación de monitorización y de análisis para el tráfico de una red para detectar
problemas, lo hace buscando cadenas numéricas o de caracteres en los paquetes. Se usa
especialmente para detectar problemas de congestionamiento (cuellos de botella o
bottlenecks).
1.7 - Spoofing: en materia de seguridad de redes, el término spoofing es una técnica de

suplantación de identidad a través de la Red, llevada a cabo por un intruso generalmente con
usos de malware o de investigación. Los ataques de seguridad en las redes a través de técnicas
de spoofing ponen en riesgo la privacidad de los usuarios que navegan por Internet, así como la
integridad de sus datos.
De acuerdo a la tecnología utilizada se pueden diferenciar varios tipos de spoofing:
1.7.1 - IP spoofing: consiste en la suplantación de la dirección IP de origen de un

paquete TCP/IP por otra dirección IP a la cual se desea suplantar.
1.7.2 - ARP spoofing: es la suplantación de identidad por falsificación de tabla ARP. Las
tablas ARP (Address Resolution Protocol) son un protocolo de nivel de red que relaciona
una dirección de hardware con la dirección IP del ordenador. Por lo tanto, al falsear la
tabla ARP de la víctima, todo lo que ésta envíe, será direccionado al atacante.
1.7.3 - DNS spoofing: es una suplantación de identidad por nombre de dominio, la cual
consiste en una relación falsa entre IP y nombre de dominio.
1.7.4 - Web spoofing: con esta técnica el atacante crea una falsa página web, muy
similar a la que suele utilizar el afectado con el objetivo de obtener información de
dicha víctima como contraseñas, información personal, datos facilitados, páginas que
visita con frecuencia, perfil del usuario, etc.
1.7.5 - Mail spoofing: suplantación de correo electrónico bien sea de personas o de

entidades con el objetivo de llevar a cabo envío masivo de phising ospam.
1.8 - Phishing: es la denominación que recibe la estafa cometida a través de medios telemáticos
mediante la cual el estafador intenta conseguir, de usuarios legítimos, información confidencial
(contraseñas, datos bancarios, etc) de forma fraudulenta.
El estafador o phisher suplanta la personalidad de una persona o empresa de confianza para
que el receptor de una comunicación electrónica aparentemente oficial (vía e-mail, fax, sms o
telefónicamente) crea en su veracidad y facilite, de este modo, los datos privados que resultan
de interés para el estafador.
1.9 - Scam («estafa, chanchullo» en inglés): es un término anglosajón que se emplea

familiarmente para referirse a una red de corrupción. Hoy también se usa para definir los
intentos de estafa a través de un correo electrónico fraudulento (o páginas web fraudulentas).
Generalmente, se pretende estafar económicamente por medio del engaño presentando una
supuesta donación a recibir o un premio de lotería al que se accede previo envío de dinero.
Las cadenas de mail engañosas pueden ser scams si hay pérdida monetaria y hoax cuando sólo
hay engaño.
Scam no solo se refiere a estafas por correo electrónico, también se le llama scam a sitios web
que tienen como intención ofrecer un producto o servicio que en realidad es falso, por tanto
una estafa.
1.10 - Keylogger: es un tipo de troyano que se caracteriza por capturar y almacenar las
pulsaciones efectuadas sobre el teclado. Posteriormente esta información (que puede contener
información sensible) se envía a un atacante, que las puede utilizar en su propio provecho.
Las últimas versiones de este tipo de programas maliciosos también hacen capturas de pantalla
del equipo atacado. De esta forma, se hace ineficaz e inseguro el uso del teclado virtual.
z1.11 - Spyware: se utiliza para denominar aplicaciones que recogen y envían información sobre
las páginas web que más frecuentemente visita un usuario, tiempo de conexión, etc. También
suelen capturar datos relativos al equipo en el que se encuentran instalados (sistema operativo,
tipo de procesador, memoria, etc.) e, incluso, hay algunos diseñados para informar de si el
software que utiliza el equipo es original o no.
La presencia de spyware en el sistema supone una agresión a la privacidad de los datos

personales que no debe ser consentida. Sin embargo, en la práctica, el spyware es uno de los
tipos de malware más ampliamente distribuido debido a varias razones, propias de la
naturaleza de este tipo de aplicaciones, entre las que destacan las siguientes:
- Utilizan sistemas de camuflaje casi perfectos, ya que normalmente se instalan en el PC

junto con algún tipo de aplicación (un cliente de P2P, alguna utilidad para el disco duro,
etc.).
- Los nombres de los archivos que se corresponden con estos programas no suelen dar
una idea de su verdadera naturaleza, por lo que pueden pasar desapercibidos entre el
resto de ficheros de una aplicación. - No provocan ningún efecto visible en el
ordenador, ni cuando son instalados, ni cuándo se encuentran en plena acción. Por ello,
precisamente, los usuarios no suelen preocuparse de si algún programa de este tipo se
encuentra instalado en su sistema. - Al no tratarse de virus, ni emplear ninguna rutina
que pueda relacionarlos con ellos, los programas antivirus no los detectan. Por tal
motivo, para detectar spyware es necesario utilizar aplicaciones específicas.
1.12 - Botnet: conjunto de ordenadores controlados remotamente por un atacante que pueden
ser utilizados en conjunto para realizar actividades maliciosas como envío de spam, ataques de
DDOS, etc.
1.13 - Spam: es a todo correo no deseado recibido por el destinatario, procedente de un envío
automatizado y masivo por parte del emisor. El ’spam’ generalmente se asocia al correo
electrónico personal, pero no sólo afecta a los correos electrónicos personales, sino también a
foros, blogs y grupos de noticias.
1.14 - Hacker: son intrusos que se dedican a entrar en los sistemas informáticos con el fin de
demostrar a la entidad sus vulnerabilidades y agujeros de seguridad en el sistema, pero nunca
con la intención de provocar daños o pérdidas a la empresa, sino de mantener actualizadas las
medidas de seguridad, así como la adopción de nuevas medidas conforme el hacker va
descubriendo vulnerabilidades y agujeros de seguridad.
1.15 - Cracker (de sombrero negro o "blackhat"): su objetivo es atacar un sistema informático
para conseguir beneficios de forma ilegal o simplemente para provocar daños a la entidad
propietaria del sistema, difundiendo a su vez a través de internet la manera de romper la
seguridad de dicho sistema.
1.16 - Sniffer: se dedica a rastrear y tratar de recomponer y descifrar los mensajes que circulan
a través de redes de ordenadores.
1.17 - Phreaker: son intrusos especializados en sabotear las redes telefónicas para poder
realizar llamadas gratis.
1.18 - Spammer: es el responsable del envío masivo de publicidad a través de correo

electrónico o cualquier medio de difusión de internet, provocando el colapso de servidores y
servicios.
1.19 - Script kiddie o lamer: Es el tipo de atacante más numeroso de la red. No es un

informático en sí, puesto que no tiene conocimientos extensos sobre informática, sino que se
trata de un usuario común que tiene en su poder tanto información como algún tipo de
programa o script especializado para violar la seguridad del sistema o de alguna de sus partes.
1.20 - Estafador: utiliza el correo electrónico u otro medio para engañar a otras personas y
obtener información confidencial, como números de tarjetas de crédito o contraseñas.
1.- Fiabilidad
La fiabilidad es la probabilidad de buen funcionamiento de
algo. Por tanto, extendiendo el significado a sistemas, se dice
que la fiabilidad de un sistema es la probabilidad de que ese
sistema funcione o desarrolle una cierta función, durante un
período determinado bajo condiciones operativas específicas
(por ejemplo, condiciones de presión, temperatura, velocidad,
tensión o forma de una onda eléctrica, nivel de vibraciones,
etc.).
Un sistema es una colección de componentes/subsistemas

dispuestos de acuerdo a un diseño dado con el propósito de
lograr el cumplimiento de unas determinadas funciones con
una adecuación y fiabilidad aceptables. El tipo de
componentes, su cantidad, su calidad y el modo en que están
dispuestas tiene un efecto directo en la fiabilidad de sistema.
2.- Confidencialidad
Confidencialidad es la propiedad de la información, por la que
se garantiza que está accesible únicamente a personal
autorizado a acceder a dicha información. La confidencialidad
ha sido definida por la Organización Internacional de
Estandarización (ISO) en la norma ISO-17799 como "garantizar
que la información es accesible sólo para aquellos autorizados
a tener acceso" y es uno de los puntos fuertes de la seguridad
de la información.
Para garantizar la seguridad se utilizan mecanismos de cifrado

y de ocultación de la comunicación. Los mecanismos de cifrado
garantizan la confidencialidad durante el tiempo necesario
para descifrar el mensaje. Por esta razón, es necesario
determinar durante cuánto tiempo el mensaje debe seguir
siendo confidencial. No existe ningún mecanismo de seguridad
absolutamente seguro.
3.- Integridad: Es la cualidad de un mensaje, comunicación o archivo, que permite comprobar que
no se ha producido manipulación alguna en el original, es decir, que no ha sido alterado.
Cuando un usuario, programa o proceso modifica o borra los datos importantes que son parte de
la información, se registra esta modificación para asegurar la confiabilidad de los datos.
La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos de comprobación de

la integridad: la firma digital Es uno de los pilares fundamentales de la seguridad de la información
4.- Disponibilidad
La disponibilidad es la característica, cualidad o condición de la información de encontrarse a

disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.
En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los
controles de seguridad utilizados para protegerlo, y los canales de comunicación protegidos
que se utilizan para acceder a ella deben estar funcionando correctamente, evitando
interrupciones del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del
sistema.
Garantizar la disponibilidad implica también la prevención de ataque de denegación de

servicio.
La disponibilidad es variada ya que existen varios mecanismos que se implementan en la

infraestructura tecnológica, como servidores de correo electrónico, de bases de datos, de web
etc, mediante el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de
red, servidores espejo, replicación de datos, redes de almacenamiento (SAN), enlaces
redundantes, etc. La gama de posibilidades dependerá de lo que queremos proteger y el nivel
de servicio que se quiera proporcionar.
3.1 Introducción
Una vulnerabilidad o fallo de seguridad, es
todo aquello que provoca que nuestros sistemas
informáticos funcionen de manera diferente a
como funcionaban, afectando a la seguridad de
los mismos, pudiendo llegar a provocar entre
otras cosas la pérdida y robo de información
sensible.
Las amenazas pueden ser de diferentes tipos,
que son hardware, software, factor humano, y
datos.
3.2 Vulnerabilidad de Hardware

Se pueden producir de forma intencionada o no. Incendios fortuitos en los sistemas, fallos físicos,
rotura física de cables…etc.
Se da la amenaza por fallas físicas que presente cualquiera de los elementos de hardware que
conforman al sistema de cómputo. Estas fallas físicas pueden ser defectos de fabricación o mal
diseño del hardware, pero también pueden ser el resultado de un mal uso y descuido en el
mantenimiento.
Clases de vulnerabilidad de hardware:
- Mal diseño: es cuando los componentes de hardware del sistema no son apropiados y no
cumplen los requerimientos necesarios, en otras palabras, dicha pieza del módulo no fue
diseñada correctamente para trabajar en el sistema.
- Errores de fabricación: es cuando las piezas de hardware son adquiridas con desperfectos de
fabricación y posteriormente fallan al momento de intentar usarse. Aunque la calidad de los
componentes de hardware es responsabilidad del fabricante, la organización que los adquiere es
la más afectada por este tipo de amenaza.
- Suministro de energía: las variaciones de voltaje dañan los dispositivos, por ello es necesario
verificar que las instalaciones de suministro de energía funcionen dentro de los parámetros
requeridos. También debe procurarse que dichas instalaciones proporcionen los voltajes
requeridos para hacer funcionar un dispositivo, pues existen componentes de hardware que
necesitan ser energizados a ciertos niveles de voltaje especificados por los fabricantes, de lo
contrario se acortara su vida útil.
- Desgaste: e l uso constante del hardware produce un desgaste considerado como normal, con el
tiempo este desgaste reduce el funcionamiento óptimo del dispositivo hasta dejarlo inutilizable.
- Descuido y mal uso: todos los componentes deben ser usados dentro de los parámetros
establecidos por los fabricantes, esto incluye tiempos de uso, periodos y procedimientos
adecuados de mantenimiento, así como un apropiado almacenamiento. No seguir estas prácticas
provoca un desgaste mayor que trae como consecuencia descomposturas prematuras y reducción
del tiempo de vida útil de los recursos.
3.3 Vulnerabilidad de Software

Se pueden centrar contra los programas del sistema operativo, a los
programas de utilidad o a los programas de usuario. Necesita de mayores
conocimientos técnicos (para los ataques hardware, por ejemplo, bastaría
con unas tijeras, un mazo... cerillas...).
Clases de vulnerabilidad de software:
- Software de desarrollo: es un tipo de software personalizado, puede ser creado con el fin de
atacar un sistema completo o aprovechar alguna de sus características para violar su seguridad.
- Bomba lógica: el programa incluye instrucciones que, al cumplirse una condición, provocan una
distorsión del funcionamiento normal del programa, que normalmente, deriva en daños al
ordenador que lo ejecuta. Esta técnica es usada por algunos programadores. Introducen en la
aplicación un código que se activa en una fecha determinada para que, si no ha cobrado por su
trabajo ese día, destruya la información del ordenador en el que ha sido instalado.
- Código malicioso: es cualquier software que entra en un sistema de cómputo sin ser invitado e
intenta romper las reglas, esto incluye caballos de Troya, virus, gusanos informáticos, bombas
lógicas y otras amenazas programadas.
- Virus: Todos sabemos lo que son, cómo se comportan e incluso habremos sufrido sus
consecuencias. Hoy en día, la conectividad entre ordenadores hace que existan muchísimos más
de los 30 o 40mil conocidos a finales de los 80, y que su impacto, cuando logran trascender, sea
mucho mayor.
- Gusanos: Son programas que se replican, la línea que los separa de los virus es muy delgada.
- Backdoors o puertas falsas: Son programas que permiten la entrada en el sistema de

manera que el usuario habitual del mismo no tenga conocimiento de este ataque.
- Caballos de Troya o Troyanos: El objetivo de estos programas no es el mismo para el

que aparentemente están diseñados. Se utilizan normalmente para instalar puertas traseras.
3.4 Vulnerabilidad de Factor Humano

Los seres humanos somos la principal amenaza que existe
para los sistemas informáticos, ya son los que provocan los
ataques a los sistemas y el incumplimiento de las medidas
de seguridad. Esto no quiere decir que todos tengan en
mente producir actos malintencionados o incumplimiento
de la seguridad, nos referimos a una minoría.
Los ataques suelen consistir en mantener un trato social con

las personas que custodian datos, para indagar en sus
costumbres o conocerlas más profundamente y así
conseguir el acceso o la forma de atacar el sistema de forma
más elaborada.
Clases de vulnerabilidad de humanas:
- Curiosos: se trata de personas que entran a sistemas (en algunos casos de manera accidental) a
los que no están autorizados, motivados por la curiosidad, por el desafió personal, o por el deseo
de aprender o averiguar.
Generalmente este tipo de intrusos no tienen los conocimientos apropiados para lograr causar
daños, pero no por eso se les debe ignorar sin tomar las precauciones necesarias.
Aunque se afirma que no tienen intenciones maliciosas, su sola intrusión al sistema representa
una peligrosa amenaza ya que pueden causar daños no intencionales o dejar expuesta la
estructura y seguridad del sistema.
- Intrusos remunerados: este tipo de atacante se encarga de penetrar a los sistemas a cambio de
un pago. Aunque son menos comunes, en realidad son muy peligrosos ya que se trata de
personas que poseen los conocimientos, experiencia y herramientas necesarias para penetrar en
los sistemas, incuso en aquellos que tienen un nivel alto de seguridad.
- Personal enterado: se trata de personas que tienen acceso autorizado o conocen la estructura
del sistema de cierta organización. Por lo general es el mismo personal interno de una empresa o
un exempleado, sus motivaciones van desde revanchas personales hasta ofertas y
remuneraciones de organizaciones rivales.
- Terroristas: tienen como objetivo causar daños con diferentes fines por ejemplo proselitistas o
religiosos.
- Robo: se refiere a la extracción física de la información por medio de unidades de

almacenamiento secundario (diskettes, CD, cintas, etc.), robo físico de los componentes de
hardware del sistema e incluso también se considera como robo el uso de los equipos para
actividades diferentes a los que se les asigna en la organización,
- Sabotaje: consiste en reducir la funcionalidad del sistema por medio de acciones deliberadas
dirigidas a dañar los equipos, logrando la interrupción de los servicios e incluso la destrucción
completa del sistema. Puede ser perpetuada por el personal interno o por opositores externos.
- Fraude: estas actividades no tienen como principal fin la destrucción del sistema, si no
aprovechar los recursos que se manejan para obtener beneficios ajenos a los objetivos de la
organización.
Aun cuando los responsables del fraude sean identificados y detenidos, este tipo de actividad
comúnmente se trata con suma discreción sin hacerle publicidad debido a que le da mala imagen
a la organización implicada.
- Ingeniería social: en el campo de la seguridad informática ingeniería social es la práctica de

obtener información confidencial a través de la manipulación de usuarios, llevándolos a revelar
información sensible, o bien a violar las políticas de seguridad típicas.
Esta técnica es una de las más usadas a la hora de averiguar nombres de usuario y contraseñas
3.5 Vulnerabilidad de Red Datos

Esta amenaza se presenta cuando la red de comunicación no está
disponible para su uso, esto puede ser provocado por un ataque
deliberado por parte de un intruso o un error físico o lógico del
sistema mismo. Las dos principales amenazas que se presentan en
una red de datos son, la no disponibilidad de la red, y la extracción
lógica de información a través de ésta.
Clases de vulnerabilidad de Red de Datos:
- Topología seleccionada: la topología es la disposición física en la que se conectan los nodos de

una red de ordenadores o servidores. Dependiendo del alcance y recursos compartidos en una
red, debe tomarse en cuenta la limitación de la comunicación y como puede quedarse fuera de
servicio la red, para evitar que se ataque la red usando las debilidades de la misma.
- Sistema operativo: Cada sistema operativo tiene un nivel de protección diferente que los hace
más susceptibles a ataques que otros. Dependiendo del sistema operativo y su nivel de seguridad,
el atacante puede tomar unas acciones u otras y usar sus vulnerabilidades para atacar.
- Incumplimiento de las normas de instalación de la red: la instalación del cableado físico de las
redes de datos, deben seguir ciertas normas y estándares de diseño conocidos también como
cableado estructurado. La estructura consiste en el tendido de cables en el interior de un edificio
con el propósito de implantar una red de área local, es el sistema colectivo de cables,
canalizaciones, conectores, etiquetas, espacios y demás dispositivos que deben ser instalados
para establecer una infraestructura de comunicación, para ello hay que tener en cuenta las
limitaciones de diseño que impone la tecnología de red de área local que se desea implantar:
 La segmentación del tráfico de red.

 La longitud máxima de cada segmento de red.
 La presencia de interferencias electromagnéticas.
 La necesidad de redes locales virtuales.
No tomar en cuenta estos puntos puede resultar en fallas de diseño que causen problemas de
transmisión de datos, operatividad o indisponibilidad de los recursos de red.
4.0 Introducción
Existen diferentes vulnerabilidades que, dependiendo de sus características, las podemos
clasificar e identificar en los siguientes tipos:
4.1 De configuración
Dependiendo de la configuración del usuario final en el sistema, un sistema puede ser más
o menos vulnerable si el usuario no tiene en cuenta su seguridad. Normalmente la mayoría
de usuario no conoce las vulnerabilidades, ni el sistema informático los suficiente como
para protegerlo. Por lo que las configuraciones suelen ser por defecto ya que el usuario
tiene temor a estropear el sistema, pero muchos sistemas por defecto son vulnerables;
otros usuarios tienden a cambiar demasiado la configuración sin saber mucho los peligros
que puede conllevar, por lo que el sistema se vuelve mucho más vulnerable.
4.2 Validación de entrada

Este tipo de vulnerabilidad se produce cuando la entrada que procesa un sistema no es
comprobada adecuadamente, vulnerabilidad que puede ser aprovechada para la entrada
no autorizada de un atacante o amenaza.
4.3 Salto de directorio

La falta de seguridad de un servicio de red puede ser utilizada por un atacante para
desplazarse por las carpetas y directorios del sistema. El atacante podrá robar información,
destruir el sistema, o ejecutar programas de ataque de forma remota, con malos fines.
Se producen cuando no existe una protección lo suficientemente robusta que evite el

acceso a un directorio o archivo desde un enlace simbólico o acceso directo.
4.4 Inyección de comandos en el sistema operativo

Es la capacidad que tiene un usuario, que controla la entrada de comandos (bien a través
de un terminal de Unix/Linux o del interfaz de comando de Windows), para ejecutar
instrucciones que puedan comprometer la integridad del sistema.
4.5 Secuencias de comandos en sitios cruzados (XSS)

Este tipo de vulnerabilidad abarca cualquier ataque que permita ejecutar código de
"scripting", como VBScript o JavaScript, en el contexto de otro dominio. Estos errores se
pueden encontrar en cualquier aplicación HTML, no se limita a sitios web, ya que puede
haber aplicaciones locales vulnerables XSS, o incluso el navegador en sí.
El problema está en que normalmente no se validan correctamente los datos de entrada

que son usados en cierta aplicación. Hay dos tipos:
 Indirecta: consiste en modificar valores que la aplicación web utiliza para pasar
variables entre dos páginas, sin usar sesiones.
 Directa: consiste en localizar puntos débiles en la programación de los filtros.
4.6 Inyección SQL

Es una vulnerabilidad en el nivel de base de datos, que se produce cuando se inserta un
trozo de código SQL dentro de otro código SQL con el fin de modificar el comportamiento
del código y hacer que ejecute un código malicioso en la base de datos.
Un ejemplo es cuando un programa realiza una sentencia SQL sin querer con parámetros
dados por el usuario, para luego hacer una consulta de base de datos. En dichos
parámetros que da el usuario estaría el código malicioso.
Con estas inyecciones de código se pueden obtener múltiples datos confidenciales, eliminar
o sobrescribir datos en la base de datos y hasta lograr ejecutar comandos peligrosos en la
base de datos.
El hecho de que un servidor pueda verse afectado por las inyecciones SQL se debe a la falta
de medidas de seguridad por parte de sus diseñadores/programadores, especialmente por
una mala filtración de las entradas (por formularios, cookies o parámetros).
4.7 Inyección de código

Aquí encontramos distintos sub-tipos dentro de esta clase de vulnerabilidad:
 Inyección directa de código estático: El software permite que las entradas sean
introducidas directamente en un archivo de salida que se procese más adelante
como código, un archivo de la biblioteca o una plantilla. En una inyección de código
de tipo estático, una vez inyectado el código en una determinada parte de la
aplicación web, este código queda almacenado en una base de datos.
Una de las soluciones más apropiadas es asumir que toda la entrada es malévola, y
utilizar una combinación apropiada de listas negras y listas blancas para asegurar que
solamente las entradas válidas y previstas son procesadas por el sistema.
 Evaluación directa de código dinámico: El software permite que las entradas sean
introducidas directamente en una función que evalúa y ejecuta dinámicamente la
entrada como código. En una inyección de código de tipo dinámico o no
permanente la inyección tiene un tiempo de vida limitado y no se almacena.
Las soluciones más apropiadas son las mismas que para la inyección directa de
código estático.
 Inclusión remota de archivo PHP: Existen solo en páginas dinámicas escritas en

PHP, debido a la inclusión de las funciones include, include_once, require,
require_once la cual permite el enlace de archivos situados en otros servidores,
mediante los cuales se puede ejecutar código PHP en el servidor.
Mediante esta vulnerabilidad el atacante podrá obtener una Shell (es una interfaz
con el sistema operativo, gracias a él podremos dar las órdenes y mandatos para que el
sistema realícelas tareas que necesitamos) en el servidor de la víctima y ejecutar un
Archivo maliciosos.
4.8 Error de búfer

Un búfer es una ubicación de la memoria en un ordenador u otro dispositivo informático
reservada para el almacenamiento temporal de información digital, mientras que está
esperando ser procesada.
 El desbordamiento de búfer (Buffer overflow u overrun): un búfer se desborda

cuando de forma incontrolada se intentan meter en él más datos de los que caben.
Ese exceso se vierte en zonas del sistema causando daños. Son defectos
de programación y existen algunos lenguajes que impiden que los desbordamientos
puedan ocurrir.
 El agotamiento de búfer (buffer underflow o underrun): es un estado que ocurre

cuando un búfer usado para comunicarse entre dos dispositivos o procesos se
alimenta con datos a una velocidad más baja que los datos se están leyendo en
ellos. Esto requiere que la lectura del programa o del dispositivo del búfer detenga
brevemente su proceso.
4.9 Formato de cadena

Vulnerabilidad se produce a través de cadenas de formato controladas externamente.
Las cadenas de formato son una descripción de la salida para especificar la localización y el
tipo de salida que una función debe producir.
Como por ejemplo el tipo de funciones "printf" en el lenguaje "C" que pueden conducir
a provocar desbordamientos de búfer o problemas en la representación de los datos.
4.10 Errores numéricos
 El desbordamiento de entero (integer overflow): un desbordamiento del número

entero ocurre cuando una operación aritmética crea un valor numérico que es
más grande del que se puede representar dentro del espacio de almacenaje
disponible.
 El agotamiento de entero (integer underflow): consiste en que a un valor A se le

resta un valor B, y el valor B es menor que el valor mínimo del número A, y que
produce un valor que no es igual que el resultado correcto.
4.11 Revelación/Filtrado de información

Un filtrado o escape de información puede ser intencionado o no intencionado. En este
aspecto los atacantes pueden aprovechar esta vulnerabilidad para descubrir el directorio
de instalación de una aplicación, la visualización de mensajes privados, etc.
4.12 Gestión de credenciales

Este tipo de vulnerabilidad tiene que ver con la gestión de usuarios, contraseñas y los
ficheros que almacenan este tipo de información. Cualquier debilidad en estos
elementos es considerado como una vulnerabilidad que puede ser explotada por un
atacante.
4.13 Permisos, privilegios y/o control de acceso

Se produce cuando el mecanismo de control de acceso o asignación de permisos es
defectuoso. Hay que tener en cuenta que se trata del sistema en sí y no se debe confundir
con una mala gestión por parte del administrador.
4.14 Fallo de autenticación

Esta vulnerabilidad se produce cuando la aplicación o el sistema no es capaz de autenticar
al usuario, proceso, etc. correctamente.
4.15 Carácter criptográfico

La generación de números aleatorios para generar secuencias criptográficas, la debilidad o
distintos fallos en los algoritmos de encriptación así como defectos en su implementación
estarían ubicados dentro de este tipo de vulnerabilidad.
4.16 Falsificación de peticionen sitios cruzados (CSRF)

Este tipo de vulnerabilidad afecta a las aplicaciones web con una estructura de invocación
predecible. El agresor puede colocar en la página cualquier código, el cual posteriormente
puede servir para la ejecución de operaciones no planificadas por el creador del sitio web,
por ejemplo, capturar archivos cookies sin que el usuario se percate.
El tipo de ataque CSRF más popular se basa en el uso del marcador HTML<img>, el cual
sirve para la visualización de gráficos. En vez del marcador con la URL del archivo gráfico, el
agresor pone un tag que lleva a un código JavaScript que es ejecutado en el navegador de la
víctima.
4.17 Condición de carrera

Una condición de carrera se produce cuando varios procesos tratan de acceder y manipular
los mismos datos simultáneamente. Los resultados de la ejecución dependerán del orden
particular en que el acceso se lleva a cabo. Una condición de carrera puede ser interesante
para un atacante cuando ésta puede ser utilizada para obtener acceso al sistema.
4.18 Error en agestión de recursos

El sistema o software que tiene esta vulnerabilidad permite al atacante provocar un
consumo excesivo en los recursos del sistema (disco, memoria y CPU). Esto puede causar
que el sistema deje de responder y provocar denegaciones de servicio.
4.19 Error de diseño

En ocasiones los programadores bien por culpa de los entornos de trabajo o bien por su
metodología de programación, cometen errores en el diseño delas aplicaciones. Esto
provoca que puedan aparecer fallos de seguridad y la consiguiente vulnerabilidad. También
se puede aplicar el "error de diseño" sino hay fallos en la implementación ni en la
configuración de un sistema, si no que el diseño inicial es erróneo
5.0 Introducción
Amenaza: Es la posible causa de un incidente no deseado, el cual puede ocasionar un daño a un sistema o a una
organización.
El objetivo final de la seguridad es proteger lo que la empresa posee. Todo aquello que es propiedad de la empresa
se denomina activo. Un activo es tanto el mobiliario de la oficina (sillas, mesas, estanterías), como los equipos
informáticos (servidores, ordenadores, impresoras), como los datos que se manejan (datos de clientes, facturas,
personal).
5.1 Tipos de Amenaza
Un sistema informático se ve expuesto a un gran número de amenazas y ataques. Para identificar las amenazas a las
que está expuesto un sistema informático realizaremos tres clasificaciones.
5.1.1 Según los tipos de atacantes

Recoge, en la primera columna, los nombres con los que se han denominado a las personas que llevan a cabo los
ataques, y en la segunda columna, una pequeña definición que los caracteriza.
Codificación Definición
Hackers Expertos informáticos con una gran curiosidad por descubrir las vulnerabilidades de los sistemas
pero sin motivación económica o dañina.
Crackers Un hackers que, cuando rompe la seguridad de un sistema, lo hace con intención maliciosa, bien
para dañarlo o para obtener un beneficio económico.
Phreakers Crackers telefónicos, que sabotean las redes de telefonía para conseguir llamadas gratuitas.
Sniffers Expertos en redes que analizan el tráfico para obtener información extrayéndola de los paquetes
que se transmiten por la red.
Lammers Chicos jóvenes sin grandes conocimientos en informática pero que se consideran a sí mismos
hackers y se vanaglorian de ellos.
Newbie Hacker novato.
Ciber terrorista Expertos en informática e intrusiones en la red que trabajan para países y organizaciones como
espías y saboteadores informáticos.
Programadores
de virus
Expertos en programación, redes y sistemas que crean programas dañinos que producen efectos
no deseados en los sistemas o aplicaciones.
Carders
Personas que se dedican al ataque de los sistemas de tarjetas, como los cajeros automáticos.
5.1.2Según los tipos de ataque

Se recogen los principales ataques que puede sufrir un sistema, si se aprovechan sus vulnerabilidades.
Interrupción Un recurso del sistema o la red deja de estar disponible debido a un ataque.
Intercepción Un intruso accede a la información de nuestro equipo o a la que enviamos por la red.
Modificación La información ha sido modificada sin autorización, por lo que ya no es válida.
Fabricación Se crea un producto (por ejemplo una página Web) difícil de distinguir del auténtico y que puede
utilizarse para hacerse, por ejemplo, con información confidencial del usuario.
5.1.3 Según cómo actúan estos atacantes
Spoofing Suplanta la identidad de un PC o algún dato del mismo (como su dirección MAC).
Sniffing Monitoriza y analiza el tráfico de la red para hacerse con información.
Conexión no Se buscan agujeros de la seguridad de un equipo o un servidor, y cuando se descubren, se realiza

autorizada una conexión no autorizada a los mismos.
Malware Se introducen programas malintencionados (virus, troyanos o gusanos) en nuestro equipo,

dañando el sistema de múltiples formas.
Keyloggers Se utiliza una herramienta que permite conocer todo lo que el usuario escribe a través del teclado,
e incluso pueden realizar capturas de pantallas.
Denegación Interrumpen el servicio que se está ofreciendo en servidores o redes de ordenadores. También
de Servicio denominado DoS (denial of Service).
Ingeniería Se obtiene información confidencial de una persona u organismo para utilizarla con fines
social maliciosos. Los ejemplos más llamativos son el phishing y el spam.
Phishing Se engaña al usuario para obtener su información confidencial suplantando la identidad de un

organismo o páginas Web de Internet.
Spam Correo o mensaje basura, no solicitado, no deseados o de remitente no conocido.
Pharming Redirigir un nombre de dominio a otra máquina distinta falsificada y fraudulenta.
Password Descifrar contraseñas de sistemas y comunicaciones. Los métodos más comunes son mediante
cracking sniffing, observando directamente la introducción de credenciales (shoulder surfing), ataque por
fuerza bruta.
Botnet Conjunto de robots informáticos o bots, que se ejecutan de manera autónoma en multitud de host,
para controlarlos de forma remota.
6.1 Seguridad Física y Ambiental
Habitualmente nos centramos en protegernos de posibles hackers, virus… y nos olvidamos de un aspecto muy
importante en la seguridad informática, la seguridad física. La seguridad física es aquella que trata de proteger el
hardware (los equipos informáticos, el cableado…) de los posibles desastres naturales (terremotos, tifones…), de
incendios, inundaciones, sobrecargas eléctricas, de robos y un sinfín de amenazas más.
A continuación vamos a enumerar las principales amenazas y los mecanismos para salvaguardarnos de las mismas:
Amenazas Mecanismos de defensa
Incendios El mobiliario de los centros de cálculo debe ser ignífugo.
Evitar la localización del centro de procesamiento de datos cerca de zonas donde se manejen o
almacenen sustancias inflamables o explosivos.
Deben existir sistemas antiincendios, detectores de humo, rociadores de gas, extintores… para
sofocar el incendio en el menor tiempo posible y así evitar que se propague ocasionando numerosas
pérdidas materiales.
Inundaciones Evitar la ubicación de los centros de cálculo en las plantas bajas de los edificios para protegerse de la
entrada de aguas superficiales.
Impermeabilizar las paredes y techos del Centro de Cálculo. Sellar las puertas para evitar la entrada
de agua proveniente de las plantas superiores.
Robos Proteger los centros de cálculo mediante puertas con medidas biométricas, cámaras de seguridad,
vigilantes jurados…, con todas estas medidas pretendemos evitar la entrada de personal no
autorizado.
Señales Evitar la ubicación de los centros de cálculo próximos a lugares con gran radiación de señales
Electromagnéticas electromagnéticas, pues pueden interferir en el correcto funcionamiento de los equipos
informáticos del cableado de red.
En caso de no poder evitar la ubicación en zonas con grandes emisiones de este tipo de señales
deberemos proteger el centro frente de dichas emisiones mediante el uso de filtros o de cableado
especial, o si es posible, utilizar fibra óptica, que no es sensible a este tipo de interferencias.
Apagones Para evitar los apagones colocaremos Sistemas de Alimentación Ininterrumpida (SAI), que
proporcionan corriente eléctrica durante un periodo de tiempo suficiente.
Sobrecargas Además de proporcionar alimentación, los SAI profesionales incorporan filtros para evitar picos de
Eléctricas tensión, es decir, estabilizan la señal eléctrica.
Desastres Estando en continuo contacto con el Instituto Geográfico Nacional y de Meteorología, organismos
Naturales que informan sobre los movimientos sísmicos y meteorológicos en España.
7.1 Introducción
Para minimizar el impacto de un posible problema físico tendremos que imponer condiciones
de seguridad para los equipos y sistemas de la organización. Por otra lado para que los
equipos informáticos funcionen correctamente deben de encontrarse en bajo ciertas
condiciones.
No todos los equipos informáticos de una organización tienen el mismo valor. Para poder
tener una buena seguridad debemos saber que equipos y datos son más importantes para la
organización. Ej. Un servidor y un puesto de trabajo no tendrán las mismas medidas de
seguridad, ni físicas ni lógicas.
Los servidores dado que su funcionamiento ha de ser continuo deben de situarse en un lugar
que cumpla las condiciones óptimas para el funcionamiento de estos.
Para asegurar los sistemas y equipos que han de mantenerse siempre operativos se crean
lugares que se conocen como "Centro de Procesamiento de Datos" o por sus siglas CPD. Para
poder asegurar un CPD lo primero que debemos hacer es asegurar el recinto con medidas de
seguridad física.
7.2 Ubicación y Protección
7.2.1 Sistemas contra incendios.

Existen varios tipos de sistemas de extinción de incendios, como:
extracción de oxígeno, inserción de gases nobles o extintores
especiales que eviten el riesgo de electrocución.
Es importante intentar evitar los sistemas contra incendios que usen

materiales conductores, dado que, de lo contrario pueden perderse
datos de los dispositivos.
7.2.2 Sistemas de contraseña.

Estos sistemas son los más usados por si simplicidad de uso y bajo
coste. En estos tipos de sistemas se ha de establecer políticas de
contraseñas. Por tanto la organización que implemente un sistema de
contraseña tendrá que indicar a sus usuarios con que periodicidad son
cambiadas y que características tienen que tener para ser seguras.
7.2.3 Sistemas Tarjeta magnética.

Estos sistemas se componen de una tarjeta con una banda magnética
que contiene un código para acceder.
7.2.4 Sistemas RFID.

Son las siglas de identificación por radio frecuencia en Ingles (Radio
Frequency IDentification), estos sistemas se componen de un elemento
que reacciona ante una señal, devolviendo un resultado. Existen
dispositivos RFID con identificadores únicos certificados por la casa de la
moneda.
7.2.5 Sistemas de Token.

Un sistema de token se compone de un elemento
móvil llamado "Token" que genera claves
aleatorias, para poder funcionar correctamente el
token ha de estar sincronizado con el sistema de
acceso. Para poder acceder el usuario ha de
insertar la clave generada por el token en el
sistema, este generará una clave usando el mismo
algoritmo y la comparará. Actualmente se están
usando sistemas de "Token" mediante el envío de
un SMS.
7.2.3 Sistemas Biométricos.

Son sistemas que otorgan acceso mediante la identificación por
elementos físicos de cada individuo, véase iris del ojo, huellas
dactilares, voz, sistema de venas palmares, u otros rasgos únicos. Este
tipos de sistemas son más complejos para ser saltados dado es muy
complejo copiar este tipo de datos.
7.2.4 Sistemas de control de temperatura.

Para que los sistemas informáticos funcionen correctamente los
elementos físicos de los mismos han de encontrase a ciertas
temperaturas.
Debido a que los equipos informáticos funcionan mediante

semiconductores se tienen que mantener entre ciertos valores de
temperatura, de lo contrario los semiconductores pierde sus
propiedades y dejan de funcionar adecuadamente. La temperatura
adecuada de un CPD no debe de superar los 30º.
8.1 Introducción
Para que los sistemas informáticos funcionen adecuadamente es necesario que la
alimentación eléctrica sea correcta. La corriente eléctrica tiene fluctuaciones que
pueden afectar a los sistemas electrónicos.
Cada equipo dependiendo de su función tendrá distintas características de alimentación

eléctrica. Por ejemplo un equipo compuesto por diez discos duros necesitará más
potencia que un equipo de procesado o que un switch de red. Por tanto tendremos que
saber que necesidades eléctricas necesita cada equipo, para ello consultaremos el
manual de cada elemento de un equipo y haremos la suma de potencias.
Es recomendable que las fuentes de alimentación sean superiores a la suma de

potencias, de este modo la fuente trabajará en mejores condiciones y evitaremos
riesgos. En algunos servidores en normal ver fuentes de alimentación duplicadas, para
evitar que fallen.
8.2 Fenómenos eléctricos en la corriente eléctrica

En la corriente eléctrica convencional podemos encontrar fenómenos como:
 Sobretensión/Picos de tensión: La sobretensión abarca una gran variedad de

fenómenos, pero todos implican el agotamiento de los transportadores de carga
en la superficie del electrodo. Esto quiere decir que la tensión en bornes del
enchufe sube por encima del 110% de la tensión habitual.
 Caída de tensión: Se provoca por cambios en la resistencia de la red eléctrica.

Para que este efecto sea relevante la tensión ha de estar sobre el 80% de la
tensión habitual.
 Ruido eléctrico: Se denomina ruido eléctrico o interferencias a todas aquellas

señales, de origen eléctrico, no deseadas y unidas a la señal principal, de
manera que la alteran el comportamiento normal de la señal produciendo
efectos perjudiciales. Pueden producirse por efectos de inducción entre cables.
8.3 SAIs o UPSs

Como todos sabemos las empresas suministradoras de corriente
no aseguran su suministro durante las 24 horas los 365 días, por
tanto, es esperable que en algún momento falle el suministro.
Los sistemas de alimentación ininterrumpida son conocidos como

SAIs o UPSs por sus siglas en castellano e inglés respectivamente.
Son elementos con la propiedad de ser activos encargados de

alimentar a los sistemas conectados a ellos. Se sitúan entre la
fuente de alimentación de los equipos y la red eléctrica. Algunos
de ellos posen soporte para apagar los equipos de forma correcta
si fuera necesario.
Es tan importante tener los equipos informáticos conectados a un SAI

como los sistemas de red, ya que si se falla el suministro eléctrico y se
pierde la conectividad con los equipos es igual que si estos estuvieran
apagados.
Los equipos SAI se componen de varias partes:
 Rectificador: Este elemento permite convertir la corriente alterna procedente

de la red eléctrica convencional a corriente continua. Esto es posible gracias al
uso de diodos rectificadores.
 Inversor: Este elemento opera de forma opuesta al rectificador, convierte la

corriente continua procedente de la batería o del rectificador a corriente alterna
con los valores de frecuencia, tensión y corriente deseados. A diferencia del
rectificador la electrónica de este elemento es bastante compleja.
 Batería: Una batería es un acumulador eléctrico. Almacenamos la energía

eléctrica que proviene del rectificador para poder usarla cuando sea necesario.
Las baterías eléctricas son fabricada de distintas maneras según las necesidades:
Tipo Energía/ Tensión Duración Tiempo de Auto-descarga

peso (V) (nun. carga por mes (% del
recargas) total)
Plomo 30-50 Wh/kg 2V 1000 8-16h 5%
Ni-Cd 48-80 Wh/kg 1,25 V 500 10-14h * 30%
Ni-Mh 60-120 1,25 V 1000 2h-4h * 20 %
Wh/kg
Li-ion 110-160 3,16 V 4000 2h-4h 25 %
Wh/kg
Li-Po 100-130 3,7 V 5000 1h-1,5h 10%
Wh/kg
Otra manera de prevenir los cortes de alimentación es

usar líneas redundantes de alimentación, a ser posible
con diferentes orígenes, es decir, que la energía provenga
de subestaciones distintas, o fuentes renovables; esto
protegerá ante la caída en una de las dos subestaciones.
Es habitual que los CPDs con muchas máquinas tengan

sus propios generadores (de gasolina) eléctricos para caso
de la caída del suministro eléctrico general. En un futuro
los generadores de gasolina podrían sustituirse por
generadores con hidrógeno o biomasas.
9.1.1.- Copias de Seguridad
Una copia de seguridad o backup en informática es un duplicado de nuestra

información más importante, que se crear con el fin de que estas copias puedan
utilizarse para restaurar el original en el caso de una pérdida de datos.
9.1.2.- Tipos de copia de seguridad

 Copia normal o copia total: Es una copia de seguridad total de los archivos y
directorios seleccionados.
 Copia de seguridad diaria: Es una copia de todos los archivos seleccionados
que se hayan modificado desde la última copia. Los archivos y ficheros no se
marcan tras la copia.
 Copia de seguridad diferencial: Es una copia de todos los archivos creados o
modificados desde la última copia de seguridad normal o incremental. Los
archivos se marcan tras la copia como no modificados.
 Copia de seguridad incremental: Sólo copia los archivos creados o modificados
desde la última copia de seguridad normal o incremental. Los archivos no se
marcan tras la copia, quedan igual.
9.2.1.- Imagen de respaldo

Es una copia de respaldo de todo el contenido de una partición o de un conjunto de
particiones, que tiene la función de restaurar nuestro sistema operativo cuando este
haya sufrido daños; evitando así tener que instalar de nuevo sistema operativo. Una
vez restaurada el ordenador tendrá la misma configuración y los mismos archivos que
tenía en el momento de la realización de la imagen.
A diferencia con la copia de seguridad que copia los archivos seleccionados, la imagen
solo se hace de toda o varias particiones completas, y no de archivos y ficheros
seleccionados.
Jorge García Delgado Jorge García Delgado
10.1.1.- RAID.
En informática, RAID es un conjunto redundante de discos independientes, es decir,

un sistema de almacenamiento que usa múltiples discos duros que se distribuyen o
replican los datos.
10.1.2.- Tipos de RAID:
-. RAID-0. Distribuye los datos equitativamente entre dos o más discos sin
información de paridad.
-. RAID-1. Crea una copia exacta (o espejo) de un conjunto de datos en dos o más
discos.
-. RAID-2. Divide los datos a nivel de bits y usa un código de Hamming para la
corrección de errores. Necesitaría 39 discos, 32 se usarían para almacenar los bits
individuales y 7 se usarían para la corrección de errores.
-. RAID-3. Distribuye los datos a nivel de bits entre 3 discos y usa un 4 para la paridad.
-. RAID-4. Distribuye los datos a nivel de bloques entre 3 discos y usa un 4 para la
paridad.
-. RAID-5. Distribuye los datos a nivel de bloques entre 4 discos distribuyendo un

bloque de paridad entre todos los discos miembros del conjunto.
-. RAID-6. Distribuye los datos a nivel de bloques entre 6 discos distribuyendo dos
bloques de paridad entre todos los discos miembros del conjunto.
-. RAID-7. RAID 3 o RAID 4 y una cache para mejorar el rendimiento.
-. RAID-0 + 1. Distribuye con 4 discos dos RAID 0 y a su vez une los RAID 0 con un
RAID 1.
-. RAID-1 + 0 o RAID 10. Distribuye con 4 discos dos RAID 1 y a su vez une los RAID 1
con un RAID 0.
-. RAID-30. Es una combinación de un RAID 3 y un RAID 0.
-. RAID-100. Es la unión de dos RAID 10 con un RAID 0.
-. RAID-50. Son tres RAID 5 unidos por un RAID 0.

10.2.1.- Centro de Respaldo

Un centro de respaldo es un centro de procesamiento de datos (CPD)
específicamente diseñado para tomar el control de otro CPD principal en caso de
contingencia. Usado en grandes organizaciones, s como bancos o Administraciones
Públicas. Terremotos, incendios o atentados en estas instalaciones son infrecuentes,
pero no improbables. Por este motivo, se suele habilitar un centro de respaldo para
absorber las operaciones del CPD principal en caso de emergencia.
10.2.2.- Diseño de un centro de respaldo Un centro de respaldo se diseña bajo los

mismos principios que cualquier CPD, pero bajo algunas consideraciones más.
1. Debe elegirse una localización totalmente distinta a la del CPD principal entre
20 y 40 kilómetros.
2. El equipamiento electrónico e informático del centro de respaldo debe ser

absolutamente compatible con el del CPD principal. El equipamiento puede
ser una Sala blanca (cuando el equipamiento es exactamente igual al
existente en el CPD principal), o una Sala de back-up (cuando el
equipamiento es similar pero no exactamente igual).
3. En tercer lugar, el equipamiento software debe ser idéntico al existente en el

CPD principal. Esto implica exactamente las mismas versiones y parches del
software de base y de las aplicaciones corporativas del CPD principal.
11.1. Almacenamiento remoto: SAN, NAS y Almacenamiento Clouding.
11.1.1-. NAS (Network-Attached Storage): contiene un solo dispositivo de

almacenamiento que está directamente conectado a una LAN y que ofrece datos
compartidos a todos los clientes de la red, a través del protocolo TCP-IP y
basándose en sistemas de ficheros remotos como NFS (Network File System) o
CIFS (Common Internet File System). Los equipos conectados a la NAS piden los
datos (ficheros) de forma remota a la unidad NAS a través de uno de estos dos
protocolos y se almacenan en la propia máquina local.
11.1.2-. SAN (Storage Area Network): es una red de alta velocidad que sirve los
datos a bajo nivel a través de protocolos SCSI con tecnologías como fibra óptica o
iSCSI. Está en una red diseñada especialmente para el almacenamiento de datos y
que está conectada a uno o más servidores a través de fibra. Los usuarios de la
SAN conectan su equipos en la red SAN a bajo nivel por lo que solicitan el bloque
concreto de un determinado disco, es decir que verán el disco compartido de la
SAN como si fuera un disco/sistema de archivos local en lugar de uno remoto.
11.1.3a-. Almacenamiento Clouding: Almacenamiento de todo lo que pueda

ofrecer un sistema informático como servicio. Donde los usuarios puedan acceder
a los servicios disponibles "en la nube de Internet" sin conocimientos o sin ser
expertos en la gestión de los recursos que usan.
11.1.3.b.- Tipos de nubes de Clouding:
 Nubes públicas: se manejan por terceras partes, y almacenan datos (que

pueden estar mezclados en los servidores) de muchos clientes diferentes,
otros sistemas de almacenamiento y otras infraestructuras de la nube. Los
usuarios finales no conocen qué trabajos de otros clientes pueden estar
corriendo en el mismo servidor.
 Nubes privadas: están en una infraestructura manejada por un solo
cliente que controla qué aplicaciones debe correr y dónde, normalmente
empresas con privacidad. Son propietarios del servidor, red, y disco, y
pueden decidir qué usuarios están autorizados a utilizar la infraestructura.
 Nubes híbridas: combinan los modelos de nubes públicas y privadas. Los
usuarios pueden ser propietarios de unas partes y compartir otras,
aunque de una manera controlada.
12.- Políticas de Contraseñas
12.1.- Política y acciones para construir contraseñas seguras:
1. Se deben utilizar al menos 8 caracteres para crear la clave. Según el número medio
de caracteres por contraseña para usuarios entre 18 y 58 años habituales de Internet
es de 7. Esto conlleva el peligro de que el tiempo para descubrir la clave se vea
reducido a minutos o incluso segundos. Sólo un 36% de los encuestados indicaron
que utilizaban un número de caracteres de 7 o superior.
2. Se recomienda utilizar en una misma contraseña dígitos, letras y caracteres

especiales.
3. Es recomendable que las letras alternen aleatoriamente mayúsculas y minúsculas.

Hay que tener presente el recordar qué letras van en mayúscula y cuáles en
minúscula. Según el mismo estudio, el 86% de los usuarios utilizan sólo letras
minúsculas, con el peligro de que la contraseña sea descubierta por un atacante casi
instantáneamente.
4. Elegir una contraseña que pueda recordarse fácilmente y es deseable que pueda
escribirse rápidamente, preferiblemente, sin que sea necesario mirar el teclado.
5. Las contraseñas hay que cambiarlas con una cierta regularidad. Un 53% de los
usuarios no cambian nunca la contraseña salvo que el sistema le obligue a ello cada
cierto tiempo. Y, a la vez, hay que procurar no generar reglas secuenciales de cambio.
Por ejemplo, crear una nueva contraseña mediante un incremento secuencial del
valor en relación a la última contraseña. P. ej.: pasar de “01Juitnx” a “02Juitnx”.
6. Utilizar signos de puntuación si el sistema lo permite. P. ej.: “Tr-.3Fre”. En este

caso de incluir otros caracteres que no sean alfa-numéricos en la contraseña, hay que
comprobar primero si el sistema permite dicha elección y cuáles son los permitidos.
Dentro de ese consejo se incluiría utilizar símbolos como: ! " # $ % & ' ( ) * + , - . / : ; <
= > ? @ [ \ ] ^ _ ` { | } ~ 7. Existen algunos trucos para plantear una contraseña que no
sea débil y se pueda recordar más fácilmente. Por ejemplo se pueden elegir palabras
sin sentido pero que sean pronunciables, etc. Nos podemos ayudar combinando esta
selección con números o letras e introducir alguna letra mayúscula. Otro método
sencillo de creación de contraseñas consiste en elegir la primera letra de cada una de
las palabras que componen una frase conocida, de una canción, película, etc. Con
ello, mediante esta sencilla mnemotecnia es más sencillo recordarla. Vg: de la frase
“Comí mucho chocolate el domingo 3, por la tarde”, resultaría la contraseña:
“cmCeD3-:xLt”. En ella, además, se ha introducido alguna mayúscula, se ha cambiado
el “por” en una “x” y, si el sistema lo permite, se ha colocado algún signo de
puntuación (-).
12.2.- Acciones que deben evitarse en la gestión de contraseñas seguras:
1. Se debe evitar utilizar la misma contraseña en todos los sistemas o servicios,

recurriendo a contraseñas distintas para cada una de las cuentas.
2. No utilizar información personal en la contraseña: nombre del usuario o de

sus familiares, ni sus apellidos, ni su fecha de nacimiento. Y, por supuesto, en
ninguna ocasión utilizar datos como el DNI o número de teléfono.
3. Hay que evitar utilizar secuencias básicas de teclado (por ejemplo: ”qwerty”,
“asdf” o las típicas en numeración: “1234” ó “98765”)
4. No repetir los mismos caracteres en la misma contraseña. (ej.: “111222”).
5. Hay que evitar también utilizar solamente números, letras mayúsculas o

minúsculas en la contraseña.
6. No se debe utilizar como contraseña, ni contener, el nombre de usuario

asociado a la contraseña
7. No utilizar datos relacionados con el usuario que sean fácilmente deducibles,

o derivados de estos. (ej: apodos, nombre de familia, etc.).
8. No escribir ni reflejar la contraseña en un papel o documento donde quede

constancia de la misma. Tampoco se deben guardar en documentos de texto
dentro del propio ordenador o dispositivo.
9. No se deben utilizar palabras que se contengan en diccionarios en ningún

idioma. Hoy en día existen programas de ruptura de claves que basan su
ataque en probar una a una las palabras que extraen de diccionarios: Este
método de ataque es conocido como “ataque por diccionario”.
10. No enviar nunca la contraseña por correo electrónico o en un sms. Tampoco

se debe facilitar ni mencionar en una conversación o comunicación de
cualquier tipo.
11. Si se trata de una contraseña para acceder a un sistema delicado hay que
procurar limitar el número de intentos de acceso, como sucede en una
tarjeta de crédito y cajeros, y que el sistema se bloquee si se excede el
número de intentos fallidos permitidos. En este caso debe existir un sistema
de recarga de la contraseña o “vuelta atrás”.
12. No utilizar en ningún caso contraseñas que se ofrezcan en los ejemplos

explicativos de construcción de contraseñas robustas. 13. No escribir las
contraseñas en ordenadores de los que se desconozca su nivel de seguridad y
puedan estar monitorizados, o en ordenadores de uso público (bibliotecas,
cibercafés, telecentros, etc.).
13. Cambiar las contraseñas por defecto proporcionadas por

desarrolladores/fabricantes.
12.3.- Políticas de almacenamiento.
Respaldar la información significa copiar el contenido lógico de nuestro sistema

informático a un medio que cumpla con unas políticas de almacenamiento y
exigencias:
1. Ser confiable: Minimizar las probabilidades de error. Sea cual sea el método
de almacenamiento, los datos deben estar confiables en todo momento.
2. Estar fuera de línea, en un lugar seguro: Tan pronto como se realice un
respaldo de la información, el soporte que almacena este respaldo debe ser
desconectado del ordenador y almacenado en un lugar seguro, para evitar un
ataque o amenaza.
3. La forma de recuperación, rápida y eficiente: Es necesario comprobar la
recuperación de los backups, la rapidez y la eficiencia del sistema.
4. Seguridad física y lógica: Es necesario eliminar los medios de entrada/salida
innecesarios en los sistemas informáticos, tales como disqueteras y CD/Roms
para evitar posible ataques y amenazas del exterior.
13.1.- Soportes de almacenamiento.
Los materiales físicos en donde se almacenan los datos se conocen como medios de
almacenamiento o soportes de almacenamiento.
-. Cinta magnética: soporte de almacenamiento de datos que se graba en pistas sobre una
banda plástica con un material magnetizado, donde se puede almacenar vídeo, audio y
datos. Tipos de cinta: Cinta de bobina, de Casete, y de Cartucho.
-. Disco magnético: soporte de almacenamiento que almacena en pistas circulares los datos.
Las pistas circulares son anillos concéntricos separados sí, existentes en sus dos caras
recubiertas de una fina capa superficial de material magnetizable.
-. Disquetes: Es el primer sistema de almacenamiento extraíble que se instaló en un PC en el

año 1976 con los primeros de 5.25'. Y aumentando su capacidad a durante los años hasta en
los últimos modelos de 1.2 Mb en 2006.
-. Discos duros: Medio de almacenamiento más utilizado desde 1955. El disco está
compuesto por discos de metal magnetizado dividido en sectores, donde se guardan los
datos. Un motor que hace girar los discos. Un conjunto de cabezales movidos por un
electroimán, que leen la información guardada en los discos. Un circuito electrónico de
control, que se conecta con el ordenador y la memoria caché. Y una caja hermética que
protege el conjunto.
El número de discos depende de la capacidad del HDD y de los cabezales. Los discos duros
pueden ser IDE (ATA), Serial ATA y SCSI, pudiendo ir estos conectados bien directamente al
ordenador o utilizarse como medios externos, mediante una caja con conexión USB, SCSI o
FireWire.
Las principales diferencias entre estos tipos de conexiones son:
IDE (ATA / PATA): Son los más extendidos. Velocidad de hasta 133 MBps y velocidad de giro
de 7.200 rpm, entraron en competencia directa con los HDD SCSI con la una mayor
capacidad y menor costo.
Serial ATA (SATA): Es el nuevo estándar para HDD. Es el más actual. Hay dos tipos. SATA1,
con velocidad de hasta 150 MBps y SATA2 (o SATA 3Gb), con transferencia de hasta 300
MBps. La velocidad de giro de los discos duros actuales es de 7.200 rpm, llegando a las
10.000 rpm en algunas series de discos duros de alta velocidad. En cuanto a los discos duros
para portátiles, la velocidad de giro es de 5.400 rpm hasta 7.200 rpm.
SCSI: Estos discos deben estar conectados a una controladora SCSI. Tienen una velocidad de
trasmisión de hasta 80 MBps, y discos con una velocidad de giro de 10.000 rpm.
Los discos duros se dividen pueden dividir en 4 particiones, 3 primarias y una extendida
donde se pueden hacer tantas particiones lógicas como memora tenga la partición lógica.
Estas particiones usan sistemas de ficheros FAT 16, FAT 32 y NTFS.
FAT16 (o simplemente FAT)

Guarda las direcciones en clúster de 16 bits, estando limitado a 2 Gb en DOS y a 4 Gb en
Windows NT. Para los archivos debe usar la convención 8.3 (nombres de hasta 8 dígitos +
extensión de 3, separados por punto), Todos los nombres deben crearse con caracteres
ASCII. Deben empezar pon una letra o número y no pueden contener los caracteres (. ' [ ] : ; |
= ni ,). Este sistema de ficheros, por su sencillez y compatibilidad, es el utilizado por todos los
medios extraíbles de almacenamiento, a excepción de los cds y dvds.
FAT32
Guarda las direcciones en clúster de 32 bits, por lo que permite discos de hasta 32
Gb, aunque con herramientas externas a Microsoft puede leer particiones mayores, con un
límite en el tamaño de archivo de 4 Gb, lo que lo hace poco apto sobre todo para trabajos
multimedia. Apareció con Windows 95 OSR2 y para pasar un HDD de FAT a FAT32 era
necesario formatear el HDD hasta que Windows 98 incorporó una herramienta que permitía
pasar de FAT16 a FAC32 sin necesidad de formatear.
NTFS
Diseñado para Windows NT, está basado en el sistema de archivos HPFS de IBM/Microsoft,
usado por el sistema operativo OS/2 de IBM. Permite definir clúster de 512 bytes, que es lo
mínimo en lo que se puede dividir un disco duro, por lo que a diferencia de FAT y FAT32
desperdicia poquísimo espacio. Debemos tener en cuenta que la unidad básica de
almacenamiento es el clúster, y que en FAT32 el clúster es de 4 Kb, por lo que un archivo de 1
Kb ocupará un clúster, del que se estarán desperdiciando 3 Kb.
Además, NTFS admite tanto compresión nativa de ficheros como encriptación (esto a partir
de Windows 2000). NTFS tiene algunos inconvenientes, como que necesita reservarse mucho
espacio del disco para su uso, por lo que no se debe usar en discos de menos de 400 Mb, no
es accesible desde MS-DOS ni con sistemas operativos basados en él y es unidireccional, es
decir, se puede convertir una partición FAT32 a NTFS sin formatear ni perder datos, pero no
se puede convertir una partición NTFS a FAT32. Reseñar que el programa Fdisk, utilizado para
crear las particiones, al estar basado en DOS, reconoce las particiones NTFS como Non-DOS.
-. Memorias USB: Creados por IBM en 1.998 para sustituir a los disquetes. Los lápices de
memoria también llamados Pendrive, funcionan bajo el Estándar USB Mass Storage
(almacenamiento masivo USB), actual estándar USB 3.0 con memorias desde 1 GB hasta 256
GB y a una velocidad desde los 480 Mbps hasta los 4,8 Gbps. Están compuestos por un
conector USB macho, un controlador USB, que incorpora un pequeño micro RISC y mini
memorias RAM y ROM, uno o varios chips de memoria Flash NAND, y un cristal oscilador a 12
Mhz para el control de flujo de salida de datos.
-. Tarjetas de memorias: Son tarjetas con una capacidad desde 256 MB hasta 32 GB, usadas
en cámaras digitales, teléfonos móviles o en ordenadores con lector de tarjetas. Tipos de
tarjetas de memoria: Secure Digital (SD), TransFlash o Micro SD, Compact Flash (CF),
Multimedia Card (MMC), Mini MMC, Smart Media (SM), XD.
-. Unidades ZIP o IOMEGA: Soporte de almacenamiento del tipo magneto-óptico, extraíbles

de media capacidad. La primera versión tenía una capacidad de 100 MB, y en la actualidad
llega a capacidades de 1 TB.
-. CDs: es un soporte digital óptico utilizado para almacenar cualquier tipo de información
(audio, imágenes, vídeo, documentos y otros datos). Los CD estándar tienen un diámetro de
12 centímetros y pueden almacenar hasta 99 minutos de audio (o 900 MB de datos). Los
MiniCD tienen 8 cm y son usados para la distribución de sencillos y de controladores
guardando hasta 24 minutos de audio o 214 MB de datos. Esta tecnología fue más tarde
expandida y adaptada para el almacenamiento de datos (CD-ROM), de video (VCD y SVCD), la
grabación doméstica (CD-R y CD-RW) y el almacenamiento de datos mixtos (CD-i), Photo CD,
y CD EXTRA.
-. DVDs: es un disco óptico de almacenamiento de datos de capa simple donde puede

guardar hasta 4,7 GB (se lo conoce como DVD-5), o de doble capa donde puede guardar
hasta 9,4 GB (se conoce como DVD-9). Con una velocidad máxima de 24x - 259,20MBs.
Tipos de DVD:
 DVD-ROM (dispositivo de lectura únicamente).

 DVD-RAM: Regrabable de acceso aleatorio. Lleva a cabo una
comprobación de la integridad de los datos siempre activa tras completar
la escritura.
 DVD-R y DVD+R (solo pueden escribirse una vez): La diferencia entre los
tipos +R y -R radica en la forma de grabación y de codificación de la
información. En los +R los agujeros son 1 lógicos mientras que en los –R
los agujeros son 0 lógicos.
 DVD-RW y DVD+RW (permiten grabar y borrar las veces que se quiera):
También difieren en la capacidad de almacenamiento de cada uno de los
tipos.
 DVD-10: dos caras, capa simple en ambas; 9,4 GB o 8,75 GiB - Discos
DVD±R/RW.
 DVD-14: dos caras, capa doble en una, capa simple en la otra; 13,3 GB o
12,3 GiB - Raramente utilizado.
 DVD-18: dos caras, capa doble en ambas; 17,1 GB o 15,9 GiB - Discos
DVD+R.
-. BRD: También conocido como Blu-ray o BD, es un formato de disco óptico de nueva
generación de 12 cm de diámetro (igual que el CD y el DVD), con capacidad de
almacenamiento llega de 25 a 33,4 GB.
14.1 .- Control de acceso lógico: Identificación, autenticación y autorización
Identificación: La identificación es el proceso por el cual se comprueba que un

usuario está autorizado a acceder a una serie de recursos, normalmente mediante un
nombre de usuario y contraseña o sistemas biométricos.
Autenticación: La autenticación es la situación en la cual se puede verificar que un

documento ha sido elaborado (o pertenece) a quien el documento dice.
Autorización: Es una parte del sistema operativo que protege sus recursos y servicios
permitiendo el acceso a usuario autentificados.
15.1.- Auditorias de seguridad informática. Concepto auditoria
Una auditoría de seguridad informática es el estudio, análisis y gestión de sistemas llevado a

cabo por profesionales para identificar, enumerar y posteriormente describir las diversas
vulnerabilidades que pudieran presentarse en las estaciones de trabajo, redes de
comunicaciones o servidores.
Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes
deberán establecer medidas preventivas de seguridad y/o corrección del sistema.
15.2.- Tipos de auditoria:
 Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de

seguridad y privacidad de las redes locales y corporativas de carácter interno.
 Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red
local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las
entradas exteriores
 Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se
intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión
no deseada. Es un complemento fundamental para la auditoría perimetral.
 Análisis forense. El análisis forense es una metodología de estudio ideal para el
análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha
penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños
han provocado la inoperatividad del sistema, el análisis se denomina análisis
postmortem.
 Auditoría de páginas web. Entendida como el análisis externo de la web,
comprobando vulnerabilidades como la inyección de código sql, verificación de
existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
 Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones
páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje
empleado
15.3.- Pruebas y herramientas de auditoria informática.

Las herramientas tecnológicas son ampliamente utilizadas en el proceso de auditoría y la
captación de evidencias, permiten realizar un procesos de contabilización, revisión y
auditoria más selectiva y penetrante de las actividades y procedimientos del sistema.
 ACL: herramienta de software para extraer y analizar datos, detectar fraudes y lograr
un monitoreo continuo.
 Autoaudit: herramienta que permite realizar una planificación de Auditorías en
función de la evaluación de riesgos, siguiendo metodologías de evaluación vertical
y/o por proceso. Soportando todo el proceso y flujo de trabajo, desde la fase de
planificación, pasando por el trabajo de campo, hasta el informe final.
 BackTrack: es una distribución GNU/Linux en formato LiveCD pensada y diseñada
para la auditoría de seguridad y relacionada con la seguridad informática en general.
 Apex SQL Audit provee: herramienta de auditoría para bases de datos Microsoft SQL
Server.
 Assistant: sistema de administración de auditorías que le ayuda a realizar, revisar y
controlar su actividad de auditoría de manera más eficiente.
16.1.- Criptografía
La Criptografía es el estudio de las técnicas matemáticas empleadas en la seguridad informática. La
criptografía pretende ofrecer las técnicas para lograr el aseguramiento de la información.
Los objetivos básicos de la criptografía son: confidencialidad, integridad de los datos,

autenticación, y no repudio.
La criptografía se basa en la aritmética: En el caso de un texto, consiste en transformar las letras

que conforman el mensaje en una serie de números y luego realizar cálculos con estos números
para:
•Modificarlos y hacerlos incomprensibles.

•Asegurarse de que el receptor pueda descifrarlos.
16.2.- Tipos de Claves:
1.-Las claves simétricas: son las claves que se usan tanto para el cifrado como para el descifrado. En
este caso hablamos de cifrado simétrico o con clave secreta.
2.-Las claves asimétricas: son las claves que se usan en el caso del cifrado asimétrico. Se usa una
clave para el cifrado y otra para el descifrado.
16.3.- Historia de la criptografía

La historia de la criptografía es larga y abunda en anécdotas. Ya las primeras civilizaciones
desarrollaron técnicas para enviar mensajes durante las campañas militares, de forma que si el
mensajero era interceptado la información que portaba no corriera el peligro de caer en manos del
enemigo.
El primer método de criptografía fue en el siglo V a.C, era conocido como "Escítala". El segundo
criptosistema que se conoce fue documentado por el historiador griego Polibio: un sistema de
sustitución basado en la posición de las letras en una tabla. También los romanos utilizaron
sistemas de sustitución, siendo el método actualmente conocido como César, porque
supuestamente Julio César lo empleó en sus campañas, uno de los más conocidos en la literatura
(según algunos autores, en realidad Julio César no usaba este sistema de sustitución, pero la
atribución tiene tanto arraigo que el nombre de este método de sustitución ha quedado para los
anales de la historia).
Otro de los métodos criptográficos utilizados por los griegos fue la escítala espartana, un método
de trasposición basado en un cilindro que servía como clave en el que se enrollaba el mensaje para
poder cifrar y descifrar. En 1465 el italiano Leon Battista Alberti inventó un nuevo sistema de
sustitución polialfabética que supuso un gran avance de la época.
Otro de los criptógrafos más importantes del siglo XVI fue el francés Blaise de Vigenère que escribió
un importante tratado sobre "la escritura secreta" y que diseñó una cifra que ha llegado a nuestros
días asociada a su nombre. A Selenus se le debe la obra criptográfica "Cryptomenytices et
Cryptographiae" (Luneburgo, 1624).
Durante los siglos XVII, XVIII y XIX, el interés de los monarcas por la criptografía fue notable. Las
tropas de Felipe II emplearon durante mucho tiempo una cifra con un alfabeto de más de 500
símbolos que los matemáticos del rey consideraban inexpugnable. Cuando el matemático francés
François Viète consiguió criptoanalizar aquel sistema para el rey de Francia, a la sazón Enrique IV, el
conocimiento mostrado por el rey francés impulsó una queja de la corte española ante del papa Pío
V acusando a Enrique IV de utilizar magia negra para vencer a sus ejércitos.
Por su parte, la reina María Estuardo, reina de Escocia, fue ejecutada por su prima Isabel I de
Inglaterra al descubrirse un complot de aquella tras un criptoanálisis exitoso por parte de los
matemáticos de Isabel.
Durante la Primera Guerra Mundial, los alemanes usaron el cifrado ADFGVX. Este método de
cifrado es similar a la del tablero de ajedrez Polibio. Consistía en una matriz de 6 x 6 utilizado para
sustituir cualquier letra del alfabeto y los números 0 a 9 con un par de letras que consiste de A, D, F,
G, V, o X. Desde el siglo XIX y hasta la Segunda Guerra Mundial, las figuras más importantes fueron
la del holandés Auguste Kerckhoffs y la del prusiano Friedrich Kasiski.
17.1.- Cifrado y Descifrado
El cifrado es un método que permite aumentar la seguridad de un mensaje o de un

archivo mediante la codificación del contenido, de manera que sólo pueda leerlo la
persona que cuente con la clave de cifrado adecuada para descodificarlo.
17.2.- Métodos y Técnicas de Cifrado:
Cifrado de sustitución: El cifrado de sustitución consiste en reemplazar una o más

entidades (generalmente letras) de un mensaje por una o más entidades diferentes.
Existen varios tipos de criptosistemas de sustitución:
 La sustitución monoalfabética consiste en reemplazar cada una de las letras

del mensaje por otra letra del alfabeto.
 La sustitución polialfabética consiste en utilizar una serie de cifrados

monoalfabéticos que son re-utilizados periódicamente.
 La sustitución homófona hace posible que cada una de las letras del mensaje
del texto plano se corresponda con un posible grupo de caracteres distintos.
 La sustitución poligráfica consiste en reemplazar un grupo de caracteres en un

mensaje por otro grupo de caracteres.
Cifrado César: Este código de cifrado es uno de los más antiguos ya que su uso se
remonta a Julio César. El principio de cifrado se basa en la adición de un valor
constante a todos los caracteres de un mensaje o, más precisamente, a su código
ASCII.
Cifrado ROT 13: El caso específico del cifrado César donde la clave de cifrado es N (la
13º letra del alfabeto) se denomina ROT 13 (se eligió el número 13, la mitad de 26,
para que sea posible cifrar y descifrar fácilmente mensajes textuales).
Cifrado de Transposición: El método de cifrado por transposición consiste en

reordenar datos para cifrarlos a fin de hacerlos ininteligibles. Esto puede significar, por
ejemplo, reordenar los datos geométricamente para hacerlos visualmente inutilizables.
El Cifrado Simétrico: El cifrado simétrico (también conocido como cifrado de clave

privada o cifrado de clave secreta) consiste en utilizar la misma clave para el cifrado y
el descifrado. El cifrado consiste en aplicar una operación (un algoritmo) a los datos
que se desea cifrar utilizando la clave privada para hacerlos ininteligibles. El algoritmo
más simple (como un OR exclusivo) puede lograr que un sistema prácticamente a
prueba de falsificaciones (asumiendo que la seguridad absoluta no existe).
El Cifrado Asimétrico. El cifrado asimétrico (también conocido como cifrado con clave
pública). En un criptosistema asimétrico (o criptosistema de clave pública), las claves se
dan en pares:
 Una clave pública para el cifrado;
 Una clave secreta para el descifrado.
En un sistema de cifrado con clave pública, los usuarios eligen una clave aleatoria que
sólo ellos conocen (ésta es la clave privada). A partir de esta clave, automáticamente
se deduce un algoritmo (la clave pública). Los usuarios intercambian esta clave pública
mediante un canal no seguro.
Descifrado: El Análisis por frecuencias para descifrar criptogramas se basa en estudiar

la frecuencia con la que aparecen los distintos símbolos en un lenguaje determinado y
luego estudiar la frecuencia con la que aparecen en los criptogramas, y de esta manera
establecer una relación y obtener el texto plano. Ejemplo mensaje descifrado
18.1.- Políticas de Seguridad:
Una Política de Seguridad es un conjunto de requisitos definidos por los responsables

de un sistema, que indican los términos generales que están o no están permitido en
el área de seguridad durante la operación general del sistema."
18.2.- Se debe tener encuenta:
 Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene
sentido proteger el acceso con una puerta blindada si a esta no se la ha
cerrado con llave.
 Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja

fuerte para proteger un lápiz.
 Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y

eficiencia.
 Definir estrategias y criterios generales a adoptar en distintas funciones y

actividades, donde se conocen las alternativas ante circunstancias repetidas.
 Definición de violaciones y sanciones por no cumplir con las políticas.
 Responsabilidades de los usuarios con respecto a la información a la que

tiene acceso
Cualquier política de seguridad ha de contemplar los elementos claves de seguridad

ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente,
Control, Autenticidad y Utilidad.
19.1.- Seguridad Activa y Pasiva
19.1.1.- Seguridad activa: Tiene como objetivo proteger y evitar posibles daños en los
sistemas informáticos. Podemos encontrar diferentes recursos para evitarlos como:
-Una de esas técnicas que podemos utilizar es el uso adecuado de contraseñas, que
podemos añadirles números, mayúsculas, etc.
-También el uso de software de seguridad informática: como por ejemplo ModSecurity,

que es una herramienta para la detección y prevención de intrusiones para aplicaciones
web, lo que podríamos denominar como “firewall web”. -Y la encriptación de los datos.
19.1.2.- Seguridad pasiva: Su fin es minimizar los efectos causados por un accidente, un
usuario o malware. Las prácticas de seguridad pasiva más frecuentes y más utilizadas hoy
en día son: -El uso de hardware adecuado contra accidentes y averías. -También podemos
utilizar copias de seguridad de los datos y del sistema operativo. Una práctica también
para tener seguro nuestro ordenador es hacer particiones del disco duro, es decir dividirlo
en distintas partes.
19.2.- Generalidades
La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y
nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de
redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder
explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la
aparición de nuevas amenazas para los sistemas de información.
Estos riesgos que se enfrentan ha llevado a que muchas desarrollen documentos y
directrices que orientan en el uso adecuado de estas destrezas tecnológicas y
recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso
indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y
operaciones de la empresa.
En este sentido, las políticas de seguridad informática surgen como una herramienta
organizacional para concientizar a los colaboradores de la organización sobre la
importancia y sensibilidad de la información y servicios críticos que permiten a la empresa
crecer y mantenerse competitiva.
Ante esta situación, el proponer o identificar una política de seguridad requiere un alto
compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y
constancia para renovar y actualizar dicha política en función del dinámico ambiente que
rodea las organizaciones modernas.
19.3.- Definición de Políticas de Seguridad Informática Una política de seguridad

informática es una forma de comunicarse con los usuarios, ya que las mismas establecen
un canal formal de actuación del personal, en relación con los recursos y servicios
informáticos de la organización. No se puede considerar que una política de seguridad
informática es una descripción técnica de mecanismos, ni una expresión legal que
involucre sanciones a conductas de los empleados, es más bien una descripción de los que
deseamos proteger y él por qué de ello, pues cada política de seguridad es una invitación
a cada uno de sus miembros a reconocer la información como uno de sus principales
activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Por
tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante
del personal por el uso y limitaciones de los recursos y servicios informáticos.
19.4.- Elementos de una Política de Seguridad Informática Como una política de

seguridad debe orientar las decisiones que se toman en relación con la seguridad, se
requiere la disposición de todos los miembros de la empresa para lograr una visión
conjunta de lo que se considera importante. Las Políticas de Seguridad Informática deben
considerar principalmente los siguientes elementos:
 Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual

aplica.
 Objetivos de la política y descripción clara de los elementos involucrados en su

definición.
 Responsabilidades por cada uno de los servicios y recursos informáticos aplicado

a todos los niveles de la organización.
 Requerimientos mínimos para configuración de la seguridad de los sistemas que

abarca el alcance de la política.
19.5.- Definición de violaciones y sanciones por no cumplir con las políticas.
Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.

Las políticas de seguridad informática, también deben ofrecer explicaciones
comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la importancia
de los recursos. Igualmente, deberán establecer las expectativas de la organización en
relación con la seguridad y especificar la autoridad responsable de aplicar los correctivos o
sanciones.
Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje
sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una
comprensión clara de las mismas, claro está sin sacrificar su precisión.
Por último, y no menos importante, el que las políticas de seguridad, deben seguir un
proceso de actualización periódica sujeto a los cambios organizacionales relevantes, como
son: el aumento de personal, cambios en la infraestructura computacional, alta rotación
de personal, desarrollo de nuevos servicios, regionalización de la empresa, cambio o
diversificación del área de negocios, etc.
Parámetros para Establecer Políticas de Seguridad Es importante que al momento de

formular las políticas de seguridad informática, se consideren por lo menos los siguientes
aspectos:
 Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar
las políticas a la realidad de la empresa.
 Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la
experiencia y son la principal fuente para establecer el alcance y definir las
violaciones a las políticas.
 Comunicar a todo el personal involucrado sobre el desarrollo de las políticas,

incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus
elementos de seguridad.
 Identificar quién tiene la autoridad para tomar decisiones en cada

departamento, pues son ellos los interesados en salvaguardar los activos críticos
su área.
 Monitorear periódicamente los procedimientos y operaciones de la empresa, de

forma tal, que ante cambios las políticas puedan actualizarse oportunamente.
 Detallar explícita y concretamente el alcance de las políticas con el propósito de

evitar situaciones de tensión al momento de establecer los mecanismos de
seguridad que respondan a las políticas trazadas. Razones que Impiden la
Aplicación de las Políticas de Seguridad Informática A pesar de que un gran
número de organizaciones canalizan sus esfuerzos para definir directrices de
seguridad y concretarlas en documentos que orienten las acciones de las mismas,
muy pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es
convencer a los altos ejecutivos de la necesidad y beneficios de buenas políticas
de seguridad informática.
Otros inconvenientes lo representan los tecnicismos informáticos y la falta de una

estrategia de mercadeo por parte de los Gerentes de Informática o los especialistas en
seguridad, que llevan a los altos directivos a pensamientos como: “más dinero para
juguetes del Departamento de Sistemas”.
Si se quiere que las políticas de seguridad sean aceptadas, deben integrarse a las
estrategias del negocio, a su misión y visión, con el propósito de que los que toman las
decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la
compañía.
Finalmente, es importante señalar que las políticas por sí solas no constituyen una
garantía para la seguridad de la organización, ellas deben responder a intereses y
necesidades organizacionales basadas en la visión de negocio, que lleven a un esfuerzo
conjunto de sus actores por administrar sus recursos, y a reconocer en los mecanismos de
seguridad informática factores que facilitan la formalización y materialización de los
compromisos adquiridos con la organización.
20.1.- Respuestas a Incidentes
1. El proceso de identificar, preservar, analizar y presentar las evidencias digitales

de una manera que sea aceptable legalmente en cualquier vista judicial o
administrativa. Es decir recupera datos utilizando las reglas de evidencia.
2. Implica obtener y analizar información digital para conseguir evidencias en

casos administrativos, civiles o criminales.
3. Implica examinar y analizar científicamente datos de medios de

almacenamiento de computadores para que dichos datos puedan utilizarse
como evidencias digitales en los juzgados.
4. Aplicación de método científico para medios de almacenamiento digital para

establecer información basada en los hechos para revisión judicial.
5. Implica preservar, identificar, extraer, documentar e interpretar medios de

almacenamiento de computador en busca de evidencias y/o análisis de la
causa raíz. Se utilizan diversos métodos como:
 Descubrir datos en un sistema de computación.

 Recuperar información de ficheros borrados, cifrados o dañados.
 Monitorizar la actividad habida.
 Detectar violaciones de la política corporativa. La información recogida
permite el arresto, la persecución, el despido del empleado y la
prevención de actividad ilegal futura. Una evidencia digital es
cualquier información que puede estar o no sujeta a intervención
humana que puede extraerse de un computador, debe estar en
formato leíble por las personas y capaz de ser interpretado por una
persona con experiencia en el tema.
20.2.- Análisis de evidencias digitales.
La Evidencia Digital, es todo aquel elemento que pueda almacenar información de

forma física o lógica que pueda ayudar a esclarecer un caso. Pueden formar parte:
 Discos rígidos
 Archivos temporales
 Espacios no asignados en el disco
 Diskettes, Cd-rom,Dvd, Zip, etc.
 Pen drives
 Cámaras digitales
 Backups
 Memoria
 Conexiones de Red
 Procesos
 Usuarios conectados
 Configuraciones de red
 Discos
20.3.- Tipos de Evidencias
• Testimonio Humano
• Evidencias Físicas
• Evidencias de Red
• Evidencias de Host
21.1.- Análisis forense en sistemas informáticos
Es la investigación y análisis detallado y minucioso de cualquier dispositivo

electrónico (ordenadores, teléfonos, agendas PDA, servidores corporativos, etc.…)
para la obtención de pruebas admisibles judicialmente o de información relevante
para negociaciones internas.
El objetivo del análisis es la identificación de indicios y certificación de hechos

realizados a través de los mismos. En situaciones de conflicto, este servicio da
respuesta al qué, quién, cuándo, dónde y cómo se ha cometido un determinado
fraude, ilícito o delito.
Debido a la arquitectura de los sistemas operativos actuales, donde el rendimiento

prevalece sobre la seguridad de la información, un experto informático forense
puede recuperar archivos o fragmentos que previamente el usuario había borrado
o modificado. El aumento exponencial del tamaño de las unidades de
almacenamiento permite a los expertos forenses recuperar ficheros borrados o
manipulados con meses e incluso años de antigüedad.
21.2.- Fases de un Análisis Forense
 Identificación: Describe el método por el cual el investigador es notificado

sobre un posible incidente.
 Preservación: Mecanismos utilizados para el correcto mantenimiento de
evidencia. Importante para acciones legales posteriores.
 Colección: Involucra técnicas y métodos específicos utilizados en la
recolección de evidencia.
 Examinación: Trata las herramientas y técnicas utiizadas para examinar los
datos recolectados y extraer evidencia a partir de ellos.
 Análisis: Refiere a los elementos involucrados en el análisis de la evidencia
recolectada.
 Presentación Herramientas y técnicas utilizadas para presentar las
conclusiones del investigador ante una corte u organismo.
22.1.- Herramientas de Análisis Forense
Existen una gran cantidad de herramientas para recuperar evidencia. El uso de herramientas sofisticadas se hace
necesario debido a:
1. La gran cantidad de datos que pueden estar almacenados en un computador.

2. La variedad de formatos de archivos, los cuales pueden variar, aún dentro del contexto de un mismo sistema
operativo.
3. La necesidad de recopilar la información de una manera exacta, y que permita verificar que la copia es exacta.
4. Limitaciones de tiempo para analizar toda la información.
5. Facilidad para borrar archivos de computadores.
6. Mecanismos de encriptación, o de contraseñas.
22.1.- Tipos de Herramientas de Análisis Forense:
 Herramientas para el Monitoreo de Redes y Ordenadores.

 Herramientas de Marcado de documentos.
 Herramientas de Hardware.
Ejemplos de Herramientas para realizar análisis forense

Herramientas utilizadas en el ámbito de la informática forense para la recuperación de datos borrados o
recolección de evidencia digital.
 Outport
 AIRT (Advanced incident response tool
 Foremost
 WebJob
 HashDig
 Md5deep

Principios de Seguridad

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Principios de Seguridad

Cargado por

Copyright:

Formatos disponibles

Jorge García Delgado

1.- Términos y Conceptos

2-. Fiabilidad, confidencialidad, integridad y

3.- Elementos vulnerables en el sistema informático:

4.- Análisis de las principales vulnerabilidades de un

5.- Amenazas, Tipos: Amenazas físicas. Amenazas

6.- Seguridad física y ambiental.

7- Ubicación y protección físicas de los equipos y

8.- Sistemas de alimentación interrumpida.

9.- Copias de Seguridad e Imágenes de Respaldo

10.- RAID y Centros de Respaldo

11.- NAS, SAN, y Almacenamiento Clouding

12.- Políticas de Contraseñas y de Almacenamiento

13.- Soportes de Almacenamiento.

14.- Control de Acceso Lógico y Auditorias de

15.- Auditorias de Seguridad Informática y

17.- Cifrado y Descifrado

18.- Políticas de Seguridad

19.- Seguridad Activa y Pasiva

20.- Respuesta a Incidentes

21.- Análisis Forense en Sistemas Informáticos

22.- Herramientas de Análisis Forense

1.2 - Metaexploit: es un proyecto open source de seguridad informática que proporciona

Su subproyecto más conocido es el Metasploit Framework, una herramienta para desarrollar

1.5 - Malware: es la abreviatura de “Malicious software” (software malicioso), término que

1.7 - Spoofing: en materia de seguridad de redes, el término spoofing es una técnica de

De acuerdo a la tecnología utilizada se pueden diferenciar varios tipos de spoofing:

1.7.1 - IP spoofing: consiste en la suplantación de la dirección IP de origen de un

1.7.5 - Mail spoofing: suplantación de correo electrónico bien sea de personas o de

1.9 - Scam («estafa, chanchullo» en inglés): es un término anglosajón que se emplea

La presencia de spyware en el sistema supone una agresión a la privacidad de los datos

- Utilizan sistemas de camuflaje casi perfectos, ya que normalmente se instalan en el PC

1.18 - Spammer: es el responsable del envío masivo de publicidad a través de correo

1.19 - Script kiddie o lamer: Es el tipo de atacante más numeroso de la red. No es un

Un sistema es una colección de componentes/subsistemas

Para garantizar la seguridad se utilizan mecanismos de cifrado

La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos de comprobación de

La disponibilidad es la característica, cualidad o condición de la información de encontrarse a

Garantizar la disponibilidad implica también la prevención de ataque de denegación de

La disponibilidad es variada ya que existen varios mecanismos que se implementan en la

3.2 Vulnerabilidad de Hardware

Clases de vulnerabilidad de hardware:

3.3 Vulnerabilidad de Software

Clases de vulnerabilidad de software:

- Backdoors o puertas falsas: Son programas que permiten la entrada en el sistema de

- Caballos de Troya o Troyanos: El objetivo de estos programas no es el mismo para el

3.4 Vulnerabilidad de Factor Humano

Los ataques suelen consistir en mantener un trato social con

Clases de vulnerabilidad de humanas:

- Robo: se refiere a la extracción física de la información por medio de unidades de

- Ingeniería social: en el campo de la seguridad informática ingeniería social es la práctica de

3.5 Vulnerabilidad de Red Datos

Clases de vulnerabilidad de Red de Datos:

- Topología seleccionada: la topología es la disposición física en la que se conectan los nodos de

 La segmentación del tráfico de red.

4.2 Validación de entrada

4.3 Salto de directorio

Se producen cuando no existe una protección lo suficientemente robusta que evite el

4.4 Inyección de comandos en el sistema operativo

4.5 Secuencias de comandos en sitios cruzados (XSS)

El problema está en que normalmente no se validan correctamente los datos de entrada

4.6 Inyección SQL

4.7 Inyección de código