Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ciberguerras
Ciberguerras
net/publication/303974058
CITATIONS READS
0 4,063
6 authors, including:
Reiner Creutzburg
Brandenburg University of Applied Sciences
465 PUBLICATIONS 364 CITATIONS
SEE PROFILE
Some of the authors of this publication are also working on these related projects:
All content following this page was uploaded by Reiner Creutzburg on 15 June 2016.
Por Wikipedians
Editado por:
Reiner Creutzburg, Mauricio Moreno Sánchez Briseño, Juan Carlos Flores Oyervides,
César Chapela Carranco, Carla Ricalde
Fachbereich Informatik und Medien
PF 2132
D-14737 Brandenburg, Germany
Email: creutzburg@th-brandenburg.de
Índice general
2 Introducción 2
2.1 Seguridad informática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
2.1.1 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
2.1.2 Amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
2.1.3 Análisis de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.1.4 Análisis de impacto al negocio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.1.5 Puesta en marcha de una política de seguridad . . . . . . . . . . . . . . . . . . . . . . . . 5
2.1.6 Técnicas para asegurar el sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.1.7 Algunas afirmaciones erróneas comunes acerca de la seguridad . . . . . . . . . . . . . . . 8
2.1.8 Organismos oficiales de seguridad informática . . . . . . . . . . . . . . . . . . . . . . . . 9
2.1.9 Véase también . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.1.10 Notas y referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.1.11 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
i
ii ÍNDICE GENERAL
3.2.8 Certificaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.2.9 Véase también . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.2.10 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.3 Seguridad de redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.3.1 Conceptos de seguridad de redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.3.2 Administración de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.3.3 Véase también . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.3.4 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.3.5 Otras lecturas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.3.6 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.4 Seguridad en telefonía móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.4.1 La importancia de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.4.2 Protección multicapa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.4.3 Antivirus para Smartphones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
3.4.4 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
3.4.5 Véase también . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
3.4.6 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
4 Amenazas 27
4.1 Delito informático . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.1.1 Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.1.2 Crímenes específicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.1.3 Sujetos agente y paciente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.1.4 Como influyen los delitos informaticos: . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.1.5 Regulación por países . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.1.6 Véase también . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.1.7 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.1.8 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.2 Agujero de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.2.1 Tipos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.2.2 Hitos o etapas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.2.3 Búsqueda de vulnerabilidades y motivaciones para su publicación . . . . . . . . . . . . . . 34
4.2.4 Tratamiento de la información sobre vulnerabilidades . . . . . . . . . . . . . . . . . . . . 35
4.2.5 Casos famosos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
4.2.6 Véase también . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
4.2.7 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
4.2.8 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.3 Eavesdropping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.4 Exploit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.4.1 Clasificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.4.2 Frameworks de exploits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.4.3 “Exploits” en los videojuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
ÍNDICE GENERAL iii
5 Defensas 69
5.1 Control de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
5.1.1 Componentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
5.1.2 Véase también . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
5.1.3 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
5.1.4 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
5.2 Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
5.2.1 Métodos de funcionamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
5.2.2 Planificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
5.2.3 Véase también . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
5.2.4 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
5.2.5 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
5.3 Autenticación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
5.3.1 Definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
5.3.2 Tipos de autenticación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
5.3.3 Características de autenticación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
5.3.4 Mecanismo general de autenticación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
5.3.5 Control de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
5.3.6 Autenticación por multifactor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
5.3.7 Autenticación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
5.3.8 Autenticación de usuarios en Unix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
ÍNDICE GENERAL v
5.3.9 PAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
5.3.10 Véase también . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
5.3.11 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
5.3.12 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
5.4 Autorización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
5.4.1 Visión general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
5.4.2 Véase también . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
5.4.3 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
5.5 Cortafuegos (informática) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
5.5.1 Historia del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
5.5.2 Tipos de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
5.5.3 Ventajas de un cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
5.5.4 Limitaciones de un cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
5.5.5 Políticas del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
5.5.6 Véase también . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
5.5.7 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
5.5.8 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
5.6 Sistema de detección de intrusos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
5.6.1 Funcionamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
5.6.2 Tipos de IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
5.6.3 Sistemas pasivos y sistemas reactivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
5.6.4 Comparación con Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
5.6.5 Mecanismos de detección de un ataque . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
5.6.6 Implementación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
5.6.7 Véase también . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
5.6.8 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
5.7 Sistema de prevención de intrusos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
5.7.1 Funcionamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
5.7.2 Véase también . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
5.7.3 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
5.7.4 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
7 Introducción 86
7.1 Cómputo forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
7.1.1 Objetivos de la Informática Forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
7.1.2 Dispositivos a analizar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
7.1.3 Definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
7.1.4 Pasos del cómputo forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
7.1.5 Herramientas de Cómputo Forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
7.1.6 Véase también . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
vi ÍNDICE GENERAL
7.1.7 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
7.1.8 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
8 Software 90
8.1 Password cracking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
8.1.1 Tiempo necesario para descifrar contraseñas . . . . . . . . . . . . . . . . . . . . . . . . . 90
8.1.2 Fácil de recordar, difícil de adivinar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
8.1.3 Incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
8.1.4 Prevención . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
8.1.5 Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
8.1.6 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
8.2 Kali Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
8.2.1 Instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
8.2.2 Usos generales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
8.2.3 Desarrollo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
8.2.4 Políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
8.2.5 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
8.2.6 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
8.3 Nuix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
8.3.1 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
8.4 Windows To Go . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
8.4.1 Funciones de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
8.4.2 Detalles técnicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
8.4.3 Véase también . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
8.4.4 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
8.4.5 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
8.5 Wireshark . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
8.5.1 Aspectos importantes de Wireshark . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
8.5.2 Seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
8.5.3 Portabilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
8.5.4 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
8.5.5 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
9 Certificación 97
9.1 Certificación Ética Hacker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
9.1.1 Examen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
9.1.2 Re-certificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
9.1.3 Controversia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
9.1.4 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
9.1.5 Lecturas Adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
9.1.6 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
9.2 CISM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
ÍNDICE GENERAL vii
10 Procesos 107
10.1 Adquisición de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
10.1.1 Proceso de adquisición de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
viii ÍNDICE GENERAL
11 Organizaciones 112
11.1 CERT Coordination Center . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
11.1.1 Políticas de revelación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
11.1.2 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
11.2 Cisco Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
11.2.1 Juicio de Cisco contra la empresa de origen chino Huawei . . . . . . . . . . . . . . . . . . 113
11.2.2 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
11.2.3 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
11.3 Agencia Europea de Seguridad de las Redes y de la Información . . . . . . . . . . . . . . . . . . . 114
11.3.1 Objectivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
11.3.2 Organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
11.3.3 Véase también . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
11.3.4 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
11.3.5 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
11.4 Government Communications Headquarters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
11.4.1 Historia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
11.4.2 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
11.4.3 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
11.5 Hitachi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
11.5.1 Historia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
11.5.2 Productos y Servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
11.5.3 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
11.6 ISACA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
11.6.1 Historia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
11.6.2 Situación actual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
11.6.3 Hechos sobre ISACA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
11.6.4 Véase también . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
11.6.5 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
11.7 ISC2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
11.7.1 Antecedentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
11.7.2 Historia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
11.7.3 Publicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
ÍNDICE GENERAL ix
12 Personas 127
12.1 Clifford Stoll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
12.1.1 Notas y referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
12.1.2 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
1
Capítulo 2
Introducción
2
2.1. SEGURIDAD INFORMÁTICA 3
e incluso «no informáticas». Muchas son a menudo im- afecta directamente a los ordenadores, sino a sus usuarios,
previsibles o inevitables, de modo que las únicas protec- conocidos como “el eslabón más débil”. Dicho ataque es
ciones posibles son las redundancias y la descentraliza- capaz de almacenar conseguir resultados similares a un
ción, por ejemplo mediante determinadas estructuras de ataque a través de la red, saltándose toda la infraestructu-
redes en el caso de las comunicaciones o servidores en ra creada para combatir programas maliciosos. Además,
clúster para la disponibilidad. es un ataque más eficiente, debido a que es más comple-
Las amenazas pueden ser causadas por: jo de calcular y prever. Se pueden utilizar infinidad de
influencias psicológicas para lograr que los ataques a un
• Usuarios: causa del mayor problema ligado a la se- servidor sean lo más sencillo posible, ya que el usuario es-
guridad de un sistema informático. En algunos casos taría inconscientemente dando autorización para que di-
sus acciones causan problemas de seguridad, si bien cha inducción se vea [1]
finiquitada hasta el punto de accesos
en la mayoría de los casos es porque tienen permi- de administrador.
sos sobre dimensionados, no se les han restringido
acciones innecesarias, etc.
Tipos de amenaza
• Programas maliciosos: programas destinados a
perjudicar o a hacer un uso ilícito de los recursos Existen infinidad de modos de clasificar un ataque y cada
del sistema. Es instalado (por inatención o maldad) ataque puede recibir más de una clasificación. Por ejem-
en el ordenador, abriendo una puerta a intrusos o plo, un caso de phishing puede llegar a robar la contraseña
bien modificando los datos. Estos programas pue- de un usuario de una red social y con ella realizar una
den ser un virus informático, un gusano informático, suplantación de la identidad para un posterior acoso, o
un troyano, una bomba lógica, un programa espía o el robo de la contraseña puede usarse simplemente para
spyware, en general conocidos como malware. cambiar la foto del perfil y dejarlo todo en una broma (sin
que deje de ser delito en ambos casos, al menos en países
• Errores de programación: La mayoría de los erro- con legislación para el caso, como lo es España).
res de programación que se pueden considerar como
una amenaza informática es por su condición de po-
Amenazas por el origen
der ser usados como exploits por los crackers, aunque
se dan casos donde el mal desarrollo es, en sí mismo,
una amenaza. La actualización de parches de los sis- El hecho de conectar una red a un entorno externo nos
temas operativos y aplicaciones permite evitar este da la posibilidad de que algún atacante pueda entrar en
tipo de amenazas. ella,y con esto, se puede hacer robo de información o alte-
rar el funcionamiento de la red. Sin embargo el hecho de
• Intrusos: personas que consiguen acceder a los da- que la red no esté conectada a un entorno externo, como
tos o programas a los cuales no están autorizados Internet, no nos garantiza la seguridad de la misma. De
(crackers, defacers, hackers, script kiddie o script acuerdo con el Computer Security Institute (CSI) de San
boy, viruxers, etc.). Francisco aproximadamente entre el 60 y 80 por ciento
de los incidentes de red son causados desde dentro de la
• Un siniestro (robo, incendio, inundación): una ma- misma. Basado en el origen del ataque podemos decir que
la manipulación o una mala intención derivan a la existen dos tipos de amenazas:
pérdida del material o de los archivos.
• Personal técnico interno: técnicos de sistemas, ad- • Amenazas internas: Generalmente estas amenazas
ministradores de bases de datos, técnicos de desa- pueden ser más serias que las externas por varias ra-
rrollo, etc. Los motivos que se encuentran entre los zones como son:
habituales son: disputas internas, problemas labora-
les, despidos, fines lucrativos, espionaje, etc.
• Si es por usuarios o personal técnico, co-
nocen la red y saben cómo es su funciona-
• Fallos electrónicos o lógicos de los sistemas in-
miento, ubicación de la información, da-
formáticos en general.
tos de interés, etc. Además tienen algún
• Catástrofes naturales: rayos, terremotos, nivel de acceso a la red por las mismas
inundaciones, rayos cósmicos, etc. necesidades de su trabajo, lo que les per-
mite unos mínimos de movimientos.
Ingeniería Social • Los sistemas de prevención de intrusos o
IPS, y firewalls son mecanismos no efec-
Existen diferentes tipos de ataques en Internet como vi- tivos en amenazas internas por, habitual-
rus, troyanos u otros, dichos ataques pueden ser contra- mente, no estar orientados al tráfico in-
rrestados o eliminados pero hay un tipo de ataque, que no terno. Que el ataque sea interno no tiene
4 CAPÍTULO 2. INTRODUCCIÓN
que ser exclusivamente por personas aje- Amenaza informática del futuro
nas a la red, podría ser por vulnerabilida-
des que permiten acceder a la red directa- Si en un momento el objetivo de los ataques fue cambiar
mente: rosetas accesibles, redes inalám- las plataformas tecnológicas ahora las tendencias ciber-
bricas desprotegidas, equipos sin vigilan- criminales indican que la nueva modalidad es manipular
cia, etc. los certificados que contienen la información digital. El
área semántica, era reservada para los humanos, se con-
• Amenazas externas: Son aquellas amenazas que se virtió ahora en el núcleo de los ataques debido a la evo-
originan fuera de la red. Al no tener información lución de la Web 2.0 y las redes sociales, factores que
certera de la red, un atacante tiene que realizar cier- llevaron al nacimiento de la generación 3.0.
tos pasos para poder conocer qué es lo que hay en
ella y buscar la manera de atacarla. La ventaja que • Se puede afirmar que “la Web 3.0 otorga contenidos
se tiene en este caso es que el administrador de la y significados de manera tal que pueden ser com-
red puede prevenir una buena parte de los ataques prendidos por las computadoras, las cuales -por me-
externos. dio de técnicas de inteligencia artificial- son capaces
de emular y mejorar la obtención de conocimiento,
hasta el momento reservada a las personas”.
Amenazas por el efecto
• Es decir, se trata de dotar de significado a las pági-
El tipo de amenazas por el efecto que causan a quien re- nas Web, y de ahí el nombre de Web semántica o
cibe los ataques podría clasificarse en: Sociedad del Conocimiento, como evolución de la
ya pasada Sociedad de la Información
• Robo de información.
En este sentido, las amenazas informáticas que viene en
• Destrucción de información. el futuro ya no son con la inclusión de troyanos en los
sistemas o softwares espías, sino con el hecho de que los
• Anulación del funcionamiento de los sistemas o ataques se han profesionalizado y manipulan el significa-
efectos que tiendan a ello. do del contenido virtual.
• Suplantación de la identidad, publicidad de datos • “La Web 3.0, basada en conceptos como elaborar,
personales o confidenciales, cambio de información, compartir y significar, está representando un desafío
venta de datos personales, etc. para los hackers que ya no utilizan las plataformas
convencionales de ataque, sino que optan por mo-
• Robo de dinero, estafas,...
dificar los significados del contenido digital, provo-
cando así la confusión lógica del usuario y permi-
Amenazas por el medio utilizado tiendo de este modo la intrusión en los sistemas”, La
amenaza ya no solicita la clave de homebanking del
Se pueden clasificar por el modus operandi del atacante, desprevenido usuario, sino que directamente modi-
si bien el efecto puede ser distinto para un mismo tipo de fica el balance de la cuenta, asustando al internauta
ataque: y, a partir de allí, sí efectuar el robo del capital”.
• Obtención de perfiles de los usuarios por medios,
• Virus informático: malware que tiene por objeto al- en un principio, lícitos: seguimiento de las búsque-
terar el normal funcionamiento de la computadora, das realizadas, históricos de navegación, seguimien-
sin el permiso o el conocimiento del usuario. Los vi- to con geoposicionamiento de los móviles, análisis
rus, habitualmente, reemplazan archivos ejecutables de las imágenes digitales subidas a Internet, etc.
por otros infectados con el código de este. Los virus
pueden destruir, de manera intencionada, los datos Para no ser presa de esta nueva ola de ataques más sutiles,
almacenados en un computadora, aunque también se recomienda:
existen otros más inofensivos, que solo se caracteri-
zan por ser molestos. • Mantener las soluciones activadas y actualizadas.
• Phishing. • Evitar realizar operaciones comerciales en compu-
tadoras de uso público o en redes abiertas.
• Ingeniería social.
• Verificar los archivos adjuntos de mensajes sospe-
• Denegación de servicio. chosos y evitar su descarga en caso de duda.
• Spoofing: de DNS, de IP, de DHCP, etc. • DMS en el Data Center
2.1. SEGURIDAD INFORMÁTICA 5
El reto es asignar estratégicamente los recursos para cada • Definir las acciones a emprender y elegir las perso-
equipo de seguridad y bienes que intervengan, basándose nas a contactar en caso de detectar una posible in-
en el impacto potencial para el negocio, respecto a los trusión
diversos incidentes que se deben resolver. • Sensibilizar a los operadores con los problemas liga-
Para determinar el establecimiento de prioridades, el sis- dos con la seguridad de los sistemas informáticos.
tema de gestión de incidentes necesita saber el valor de los
sistemas de información que pueden ser potencialmente Los derechos de acceso de los operadores deben ser defi-
afectados por incidentes de seguridad. Esto puede impli- nidos por los responsables jerárquicos y no por los admi-
car que alguien dentro de la organización asigne un valor nistradores informáticos, los cuales tienen que conseguir
monetario a cada equipo y un archivo en la red o asignar que los recursos y derechos de acceso sean coherentes
un valor relativo a cada sistema y la información sobre con la política de seguridad definida. Además, como el
ella. Dentro de los valores para el sistema se pueden dis- administrador suele ser el único en conocer perfectamen-
tinguir: confidencialidad de la información, la integridad te el sistema, tiene que derivar a la directiva cualquier
6 CAPÍTULO 2. INTRODUCCIÓN
problema e información relevante sobre la seguridad, y se quiere proteger, no solo en aquellos más vulne-
eventualmente aconsejar estrategias a poner en marcha, rables. Por ejemplo, si los datos de una base muy
así como ser el punto de entrada de la comunicación a confidencial se han protegido con dos niveles de fi-
los trabajadores sobre problemas y recomendaciones en rewall, se ha cifrado todo el trayecto entre los clien-
término de seguridad informática. tes y los servidores y entre los propios servidores, se
utilizan certificados y sin embargo se dejan sin ci-
frar las impresiones enviadas a la impresora de red,
2.1.6 Técnicas para asegurar el sistema tendríamos un punto de vulnerabilidad.
• Contraseñas difíciles de averiguar que, por ejem-
DN
SM
S plo, no puedan ser deducidas a partir de los datos
TP
ww
w personales del individuo o por comparación con un
diccionario, y que se cambien con la suficiente pe-
riodicidad. Las contraseñas, además, deben tener la
Intranet suficiente complejidad como para que un atacante
DMZ no pueda deducirla por medio de programas infor-
(LAN) máticos. El uso de certificados digitales mejora la
seguridad frente al simple uso de contraseñas.
• Vigilancia de red. Las redes transportan toda la in-
Router (WAN) formación, por lo que además de ser el medio habi-
tual de acceso de los atacantes, también son un buen
Dos firewalls permiten crear una lugar para obtener la información sin tener que ac-
Zona_desmilitarizada_(informática) donde alojar los princi- ceder a las fuentes de la misma. Por la red no solo
pales servidores que dan servicio a la empresa y la relacionan circula la información de ficheros informáticos co-
con Internet. Por ejemplo, los servidores web, los servidores mo tal, también se transportan por ella: correo elec-
de correo electrónico,... El router es el elemento expuesto trónico, conversaciones telefónicas (VoIP), mensa-
directamente a Internet y, por tanto, el más vulnerable. jería instantánea, navegación por Internet, lecturas y
escrituras a bases de datos, etc. Por todo ello, prote-
El activo más importante que se posee es la información ger la red es una de las principales tareas para evitar
y, por lo tanto, deben existir técnicas que la aseguren, más robo de información. Existen medidas que abarcan
allá de la seguridad física que se establezca sobre los equi- desde la seguridad física de los puntos de entrada
pos en los cuales se almacena. Estas técnicas las brinda la hasta el control de equipos conectados, por ejem-
seguridad lógica que consiste en la aplicación de barre- plo 802.1x. En el caso de redes inalámbricas la po-
ras y procedimientos que resguardan el acceso a los datos sibilidad de vulnerar la seguridad es mayor y deben
y solo permiten acceder a ellos a las personas autorizadas adoptarse medidas adicionales.
para hacerlo.
• Redes perimetrales de seguridad, o DMZ, permiten
Cada tipo de ataque y cada sistema requiere de un medio
generar reglas de acceso fuertes entre los usuarios
de protección o más (en la mayoría de los casos es una
y servidores no públicos y los equipos publicados.
combinación de varios de ellos)
De esta forma, las reglas más débiles solo permiten
A continuación se enumeran una serie de medidas que se el acceso a ciertos equipos y nunca a los datos, que
consideran básicas para asegurar un sistema tipo, si bien quedarán tras dos niveles de seguridad.
para necesidades específicas se requieren medidas extra-
ordinarias y de mayor profundidad: • Tecnologías repelentes o protectoras: cortafuegos,
sistema de detección de intrusos - antispyware,
• Utilizar técnicas de desarrollo que cumplan con los antivirus, llaves para protección de software, etc.
criterios de seguridad al uso para todo el software • Mantener los sistemas de información con las actua-
que se implante en los sistemas, partiendo de están- lizaciones que más impacten en la seguridad.
dares y de personal suficientemente formado y con-
cienciado con la seguridad. • Copias de seguridad e, incluso, sistemas de respal-
do remoto que permiten mantener la información en
• Implantar medidas de seguridad físicas: sistemas dos ubicaciones de forma asíncrona.
anti incendios, vigilancia de los centros de proce-
so de datos, sistemas de protección contra inun- • Controlar el acceso a la información por medio de
daciones, protecciones eléctricas contra apagones y permisos centralizados y mantenidos (tipo Active
sobretensiones, sistemas de control de accesos, etc. Directory, LDAP, listas de control de acceso, etc.).
Los medios para conseguirlo son:
• Codificar la información: criptología, criptografía y
criptociencia. Esto se debe realizar en todos aque- • Restringir el acceso (de personas de la organización
llos trayectos por los que circule la información que y de las que no lo son) a los programas y archivos.
2.1. SEGURIDAD INFORMÁTICA 7
• Asegurar que la información transmiti- Los datos deben quedar alojados en dependen-
da sea la misma que reciba el destinata- cias alejadas de la empresa.
rio al cual se ha enviado y que no le lle-
gue a otro y que existan sistemas y pa- • Mantenimiento de versiones anteriores de los
sos de emergencia alternativos de trans- datos
misión entre diferentes puntos.
• Organizar a cada uno de los empleados Se debe contar con un sistema que permita la
por jerarquía informática, con claves dis- recuperación de, por ejemplo, versiones dia-
tintas y permisos bien establecidos, en to- rias, semanales y mensuales de los datos.
dos y cada uno de los sistemas o aplica-
ciones empleadas. Hoy en día los sistemas de respaldo de información on-
• Actualizar constantemente las contrase- line, servicio de backup remoto, están ganando terreno
ñas de accesos a los sistemas de cómpu- en las empresas y organismos gubernamentales. La ma-
to, como se ha indicado más arriba, e in- yoría de los sistemas modernos de respaldo de informa-
cluso utilizando programa que ayuden a ción online cuentan con las máximas medidas de seguri-
los usuarios a la gestión de la gran canti- dad y disponibilidad de datos. Estos sistemas permiten a
dad de contraseñas que tienen gestionar las empresas crecer en volumen de información derivan-
en los entornos actuales, conocidos habi- do la necesidad del crecimiento de la copia de respaldo a
tualmente como gestores de identidad. proveedor del servicio.
Controlar y monitorizar el acceso a Internet puede detec- Sin embargo, dado que los métodos de contagio se rea-
tar, en fases de recuperación, cómo se ha introducido el lizan por medio de programas automáticos, desde unas
virus. máquinas a otras, estos no distinguen buenos de malos,
interesantes de no interesantes, etc. Por tanto abrir siste-
mas y dejarlos sin claves es facilitar la vida a los virus y
Protección física de acceso a las redes de posibles atacantes. Otra consideración respecto a esta
afirmación que la llevan a ser falsa es que muchos ataques
Independientemente de las medidas que se adopten para no tienen otro fin que el destruir por destruir sin evaluar
proteger los equipos de una red de área local y el software la importancia.
que reside en ellos, se deben tomar medidas que impidan
que usuarios no autorizados puedan acceder. Las medidas • «Estoy protegido pues no abro archivos que no
habituales dependen del medio físico a proteger. conozco»
A continuación se enumeran algunos de los métodos, sin
entrar al tema de la protección de la red frente a ataques
o intentos de intrusión desde redes externas, tales como Esto es falso, pues existen múltiples formas de contagio,
Internet. además los programas realizan acciones sin la supervi-
sión del usuario poniendo en riesgo los sistemas, si bien
la medida es en sí acertada y recomendable.
Redes cableadas Las rosetas de conexión de los edifi-
cios deben estar protegidas y vigiladas. Una medida bási- • «Como tengo antivirus estoy protegido»
ca es evitar tener puntos de red conectados a los switches.
Aun así siempre puede ser sustituido un equipo por otro
no autorizado con lo que hacen falta medidas adiciona- En general los programas antivirus no son capaces de de-
les: norma de acceso 802.1x, listas de control de acceso tectar todas las posibles formas de contagio existentes, ni
por MAC addresses, servidores de DHCP por asignación las nuevas que pudieran aparecer conforme los ordenado-
reservada, etc. res aumenten las capacidades de comunicación, además
los antivirus son vulnerables a desbordamientos de búfer
que hacen que la seguridad del sistema operativo se vea
Redes inalámbricas En este caso el control físico se más afectada aún, aunque se considera como una de las
hace más difícil, si bien se pueden tomar medidas de con- medidas preventivas indispensable.
tención de la emisión electromagnética para circunscri-
birla a aquellos lugares que consideremos apropiados y • «Como dispongo de un cortafuegos (firewall) no
seguros. Además se consideran medidas de calidad el uso me contagio»
del cifrado ( WPA, WPA v.2, uso de certificados digi-
tales, etc.), contraseñas compartidas y, también en este
caso, los filtros de direcciones MAC, son varias de las Esto únicamente proporciona una limitada capacidad de
medidas habituales que cuando se aplican conjuntamen- respuesta. Las formas de infectarse en una red son múlti-
te aumentan la seguridad de forma considerable frente al ples. Unas provienen directamente de accesos al sistema
uso de un único método. (de lo que protege un firewall) y otras de conexiones que
se realizan (de las que no me protege). Emplear usuarios
con altos privilegios para realizar conexiones puede en-
Sanitización trañar riesgos, además los firewalls de aplicación (los más
usados) no brindan protección suficiente contra técnicas
Proceso lógico y/o físico mediante el cual se elimina in- de suplantación de identidad (spoofing). En todo caso, el
formación considerada sensible o confidencial de un me- uso de cortafuegos del equipo y de la red se consideran
dio ya sea físico o magnético, ya sea con el objeto de altamente recomendables.
desclasificarlo, reutilizar el medio o destruir el medio en
el cual se encuentra. • «Tengo un servidor web cuyo sistema operativo
es un Unix actualizado a la fecha y por tanto seguro»
2.1.7 Algunas afirmaciones erróneas co-
munes acerca de la seguridad Puede que esté protegido contra ataques directamente ha-
cia el núcleo, pero si alguna de las aplicaciones web (PHP,
• «Mi sistema no es importante para un hacker» Perl, Cpanel, etc.) está desactualizada, un ataque sobre al-
gún script de dicha aplicación puede permitir que el ata-
cante abra una shell y por ende ejecutar comandos en el
Esta afirmación se basa en la idea de que no introducir unix. También hay que recordar que un sistema actuali-
contraseñas seguras en una empresa no entraña riesgos zado no está libre de vulnerabilidades sino que no se tiene
pues « ¿quién va a querer obtener información mía?». ninguna de las descubiertas hasta el momento.
2.1. SEGURIDAD INFORMÁTICA 9
Estados Unidos
2.1.11 Enlaces externos
El 1 de julio de 2009, el senador Jay Rockefeller ( D -WV
) introdujo la “Ley de Seguridad Cibernética de 2009 - S. Wikilibros
773 " (texto completo ) en el Senado , el proyecto de ley,
co - escrito con los senadores Evan Bayh (D- IL), Barba- • Wikilibros alberga un libro o manual sobre
ra Mikulski (D -MD) , Bill Nelson (D -FL ) y Olympia Seguridad informática.
10 CAPÍTULO 2. INTRODUCCIÓN
3.1 Guerra informática Durante los últimos años estos ataques han aumentado
considerablemente en número y envergadura. Uno de los
El concepto de guerra informática, guerra digital o ci- ataques más comunes es el envío de gran cantidad de lla-
berguerra –en inglés: cyberwar– hace referencia al des- madas simultáneas a un servidor, que exceden su capa-
plazamiento de un conflicto, que toma el ciberespacio y cidad de respuesta y logran paralizarlo; son los llamados
las tecnologías de la información como campo de opera- ataques de denegación de servicio (DDoS).
ciones. Richard Clarke, especialista en seguridad del go- Otro tipo de ataque, muy semejante al anterior, es el
bierno estadounidense, define la guerra cibernética como "envenenamiento de DNS", que penetra el servidor de los
el conjunto de acciones llevadas por un Estado para pe- nombres de dominio para llevar al usuario hacia un ser-
netrar en los ordenadores o en las redes de otro país, con vidor planeado por el hacker. Por ejemplo, está el caso
la finalidad de causar prejuicio o alteración. Bruce Sch- de un grupo de hackers que desviaron un satélite militar
neier, especialista en seguridad cibernética, afirma que británico, pidiendo por su restauración una gran suma de
muchas veces la definición de guerra cibernética no está dinero.
bien aplicada, pues aún no se sabe cómo es una guerra
Otra forma de realizar estos ataques es incapacitar el
en el espacio cibernético cuando una guerra cibernética
antivirus, dejando desprotegido el sistema; luego se en-
se inicia, y tampoco se sabe cómo se pone el espacio ci-
vían gusanos mediante el correo electrónico o a través de
bernético después de que esa guerra termina. Para la in-
archivos compartidos en la red.
vestigadora Gabriela Sandroni, la guerra cibernética se
amolda de acuerdo con las características del espacio ci- Pero, en nuestra época, lo más peligroso consiste en la
bernético, tiene como actores principales los Estados y se propagación de datos confidenciales a través de la red, ya
caracteriza por sus motivos políticos.[1] que dicha información puede comprometer a la nación a
que pertenece, y en muchas ocasiones ésta se ve compro-
También se podría definir como el conjunto de acciones
metida frente a dichos ataques, o también corre peligro
que se realizan para producir alteraciones en la informa-
de ser eliminada información vital. En este rango caben
ción y los sistemas del enemigo, a la vez que se protege
los ciberarsenales o virus que borran información y se
la información y los sistemas del atacante.
propagan a través del correo electrónico.
También podemos encontrar el caso de la propagación de
3.1.1 Armas de la guerra informática información falsa mediante la web, acerca de cualquier
tema específico. Esto podría traducirse en falsas especu-
Se ha demostrado que actualmente en una guerra es laciones acerca de las posibles causas de algún acciden-
más factible derrotar al enemigo atacando su infraes- te, o la denuncia soportada sobre falsas fallas a cualquier
tructura informática, que empleando cualquier otro ti- producto inmerso en la competencia, con el fin de desvir-
po de ataque físico. Esta estrategia ha sido empleada tuarlo y dañar las ventas de dicho producto.
en diversas situaciones, ya sea en ofensivas militares de
un país contra otro, de un grupo armado en contra del
gobierno, o simplemente ataques individuales de uno o 3.1.2 La Guerra informática no está reco-
varios hackers.[cita requerida] gida en el Derecho Internacional Hu-
Es decir, que ahora las armas son los virus informáti- manitario
cos y programas especiales para penetrar la seguridad de
los sistemas informáticos y los luchadores son los exper- Empezaremos por destacar que los ataques informáticos
tos en informática y telecomunicaciones. Generalmente, son posteriores a las convenciones actualmente vigen-
los blancos de los ataques son los sistemas financieros, tes; o sea, que no existe regulación o norma alguna en
bancarios y militares, aunque se han visto numerosos ca- el derecho internacional humanitario que dicte acerca de
sos donde se ven afectados los sistemas de comunicación. la guerra informática. No obstante la anterior situación,
11
12 CAPÍTULO 3. CATEGORÍAS DE SEGURIDAD RELACIONADAS
rataques), contra PostFinance y PayPal por el bloqueo de em Relações Internacionais do Programa “San
las cuentas de WikiLeaks.[7] Existe un vídeo en YouTube Tiago Dantas” (UNESP, UNICAMP y PUC/SP).
dirigido al gobierno de Estados Unidos explicando que ISSN 1984-9265. Disponible en español en:
la Operation Payback es contra las leyes del ACTA, la https://www.academia.edu/5484868/PREVENCI%
censura en Internet y el copyright.[8] WikiLeaks ha mani- C3%93N_DE_GUERRAS_CIBERN%C3%89TICAS
festado que no está ni a favor ni en contra de los ataques [2] Nadie está a salvo de esta ciberguerra, El País, 10/12/2010
cibernérticos en su defensa, pero ha afirmado que son la
expresión de una parte de la opinión pública. [3] Before the Gunfire, Cyberattacks , New York Times,
El 7 de diciembre de 2010 Visa retira la capacidad de ha- 12/8/2008
cer donaciones o pagos a WikiLeaks.[9] En respuesta el 8 [4] Canadá denuncia un ciberataque procedente de China,
de diciembre, la empresa islandesa DataCell, que facilita 17/2/2011, El País
los pagos a WikiLeaks, decidió “tomar acciones legales
inmediatas para hacer posibles las donaciones de nuevo”, [5] sKyWIper: A Complex Malware for Targeted Attacks,
afirmó el jefe ejecutivo de la compañía Andreas Fink, 28/5/2012, sKyWIper: A Complex Malware for Targeted
anunciando que demandará a Mastercard y a Visa.[10] Attacks
El 9 de diciembre de 2010 Twitter canceló la cuenta de [6] Ciberactivismo, no ciberguerra, El País, 8/12/2010
uno de los grupos de apoyo a WikiLeaks, Anonymous y
después Facebook eliminó la página de Operation Pay- [7] Ciberataques para defender a Wikileaks, Público
back (Operación venganza) de ataques DDoS en defen- 7/12/2010
sa de WikiLeaks en lo que ya se considera por parte de
[8] Youtube - Operation Payback - Anonymous Message
miembros de Anonymous como una guerra digital pa-
About ACTA Laws, Internet Censorship and Copyright,
ra proteger la libertad en internet (libertad de expresión, 30/10/2010
neutralidad en la red).[11]
El 10 de diciembre de 2010, Anonymous decide modi- [9] Wikileaks under attack: the definitive timeline, The Guar-
dian, 7/12/2010
ficar su estrategia de ataques a quienes han bloqueado a
WikiLeaks, menos ataques DDoS y más divulgación de [10] WikiLeaks: DataCell demandará a Visa por impedir do-
las filtraciones de WikiLeaks.[12] naciones
la empresa.
Valiosa: Es un activo de la empresa y muy va-
lioso.
Sensible: Debe de ser conocida por las perso-
nas autorizadas
Por más de veinte años[¿cuándo?] la Seguridad de la Infor- do, programa o proceso (por accidente o con mala inten-
mación ha declarado que la confidencialidad, integridad y ción) modifica o borra los datos importantes que son par-
disponibilidad (conocida como la Tríada CIA, del inglés: te de la información, así mismo hace que su contenido
"Confidentiality, Integrity, Availability”) son los princi- permanezca inalterado a menos que sea modificado por
pios básicos de la seguridad de la información. personal autorizado, y esta modificación sea registrada,
La correcta Gestión de la Seguridad de la Información asegurando su precisión y confiabilidad. La integridad de
busca establecer y mantener programas, controles y po- un mensaje se obtiene adjuntándole otro conjunto de da-
líticas, que tengan como finalidad conservar la confiden- tos de comprobación de la integridad: la firma digital es
uno de los pilares fundamentales de la seguridad de la in-
cialidad, integridad y disponibilidad de la información, si
alguna de estas características falla no estamos ante nada formación.
seguro. Es preciso anotar, además, que la seguridad no
es ningún hito, es más bien un proceso continuo que hay Disponibilidad
que gestionar conociendo siempre las vulnerabilidades y
las amenazas que se ciñen sobre cualquier información, La disponibilidad es la característica, cualidad o condi-
teniendo siempre en cuenta las causas de riesgo y la pro- ción de la información de encontrarse a disposición de
babilidad de que ocurran, así como el impacto que puede quienes deben acceder a ella, ya sean personas, procesos o
tener. Una vez conocidos todos estos puntos, y nunca an- aplicaciones. Grosso modo, la disponibilidad es el acceso
tes, deberán tomarse las medidas de seguridad oportunas. a la información y a los sistemas por personas autorizadas
en el momento que así lo requieran.
de usuario y contraseñas de acceso. origen de los datos- ambos en una relación infalsificable
Esta propiedad se puede considerar como un aspecto de que pueden ser verificados por un tercero en cualquier
la integridad -si está firmado por alguien, está realmente momento.
enviado por el mismo- y así figura en la literatura anglo-
sajona. Protocolos de Seguridad de la Información
• Prueba que el mensaje fue recibido por la parte es- Los administradores de programas, los propietarios del
pecífica. sistema, y personal de seguridad en la organización debe
entender el sistema de seguridad en el proceso de planifi-
cación. Los responsables de la ejecución y gestión de sis-
Si la autenticidad prueba quién es el autor de un docu-
temas de información deben participar en el tratamiento
mento y cual es su destinatario, el “no repudio” prueba
de los controles de seguridad que deben aplicarse a sus
que el autor envió la comunicación (no repudio en origen)
sistemas.
y que el destinatario la recibió (no repudio en destino).
El no repudio evita que el emisor o el receptor nieguen
la transmisión de un mensaje. Así, cuando se envía un Creación de un plan de respuesta a incidentes
mensaje, el receptor puede comprobar que, efectivamen-
te, el supuesto emisor envió el mensaje. De forma similar, Es importante formular un plan de respuestas a inciden-
cuando se recibe un mensaje, el emisor puede verificar tes, soportarlo a lo largo de la organización y probarlo
que, de hecho, el supuesto receptor recibió el mensaje. regularmente. Un buen plan de respuestas a incidentes
Definición según la recomendación X.509 de la UIT-T puede no sólo minimizar los efectos de una violación sino
Servicio que suministra la prueba de la integridad y del también, reducir la publicidad negativa.
3.2. SEGURIDAD DE LA INFORMACIÓN 17
Desde la perspectiva del equipo de seguridad, no impor- compañía tiene su forma particular de manejar inciden-
ta si ocurre una violación o abertura (pues tales eventos tes desde la perspectiva legal. Las regulaciones locales,
son una parte eventual de cuando se hacen negocios usan- de estado o federales están más allá del ámbito de este
do un método de poca confianza como lo es Internet), documento, pero se mencionan debido a que la metodo-
sino más bien cuándo ocurre. El aspecto positivo de en- logía para llevar a cabo el análisis forense, será dictado,
tender la inevitabilidad de una violación a los sistemas al menos en parte, por la consultoría jurídica. La con-
(cualquier sistema donde se procese información confi- sultoría general puede alertar al personal técnico de las
dencial, no está limitado a servicios informáticos) es que ramificaciones legales de una violación; los peligros de
permite al equipo de seguridad desarrollar un curso de que se escape información personal de un cliente, regis-
acciones para minimizar los daños potenciales. Combi- tros médicos o financieros; y la importancia de restaurar
nando un curso de acciones con la experiencia le permite el servicio en ambientes de misión crítica tales como hos-
al equipo responder a condiciones adversas de una mane- pitales y bancos.
ra formal y oportuna.
El plan de respuesta a incidentes puede ser dividido en
Planes de acción
cuatro fases:
Una vez creado un plan de acción, este debe ser aceptado
• Acción inmediata para detener o minimizar el inci- e implementado activamente. Cualquier aspecto del plan
dente que sea cuestionado durante la implementación activa lo
más seguro es que resulte en un tiempo de respuesta pobre
• Investigación del incidente y tiempo fuera de servicio en el evento de una violación.
• Restauración de los recursos afectados Aquí es donde los ejercicios prácticos son invalorables.
La implementación del plan debería ser acordada entre
• Reporte del incidente a los canales apropiados todas las partes relacionadas y ejecutada con seguridad, a
menos que se llame la atención con respecto a algo antes
de que el plan sea colocado en producción.
Una respuesta a incidentes debe ser decisiva y ejecutarse
rápidamente. Debido a que hay muy poco espacio para La respuesta a incidentes debe ir acompañada con reco-
errores, es crítico que se efectúen prácticas de emergen- lección de información siempre que esto sea posible. Los
cias y se midan los tiempos de respuesta. De esta forma, procesos en ejecución, conexiones de red, archivos, di-
es posible desarrollar una metodología que fomenta la ve- rectorios y mucho más debería ser auditado activamente
locidad y la precisión, minimizando el impacto de la in- en tiempo real. Puede ser muy útil tener una toma ins-
disponibilidad de los recursos y el daño potencial causado tantánea de los recursos de producción al hacer un segui-
por el sistema en peligro. miento de servicios o procesos maliciosos. Los miembros
de CERT y los expertos internos serán recursos excelen-
Un plan de respuesta a incidentes tiene un número de re-
tes para seguir tales anomalías en un sistema.
querimientos, incluyendo:
• Reducir. Cuando el riesgo no puede evitarse por te- • Configuración de la política común de todos los pro-
ner varias dificultades de tipo operacional, la alter- ductos
nativa puede ser su reducción hasta el nivel más bajo
posible. Esta opción es la más económica y senci- • Amenaza la inteligencia y la colaboración de eventos
lla. Se consigue optimizando los procedimientos, la • Reducción de la complejidad de configuración
implementación de controles y su monitoreo cons-
tante. Ejemplo: • Análisis de riesgos eficaces y operativos de control
Transferir los costos a la compañía ase- • El caso de la NASA donde dos alemanes ingresaron
guradora en archivos confidenciales.
• El caso de un muchacho de 15 años que entrando
Medios de transmisión de ataques a los sistemas de a la computadora de la Universidad de Berkeley en
seguridad California destruyó gran cantidad de archivos.
• También se menciona el caso de un estudiante de
El mejor en soluciones de su clase permite una respuesta
una escuela que ingreso a una red canadiense con un
rápida a las amenazas emergentes, tales como:
procedimiento de admirable sencillez, otorgándose
una identificación como un usuario de alta prioridad,
• Malware y spam propagado por e-mail. y tomo el control de una embotelladora de Canadá.
• La propagación de malware y botnets. • También el caso del empleado que vendió la lista de
clientes de una compañía de venta de libros, lo que
• Los ataques de phishing alojados en sitios web.
causo una pérdida de USD 3 millones.
• Los ataques contra el aumento de lenguaje de
• También el caso de estudiantes de Ingeniería elec-
marcado extensible (XML) de tráfico, arquitectura
trónica donde accedieron al sistema de una Uni-
orientada a servicios (SOA) y servicios web.
versidad de Colombia y cambiaron las notas de sus
compañeros generando estragos en esta Universidad
Estas soluciones ofrecen un camino a la migración y la in- y retrasando labores, lo cual dejó grandes perdidas
tegración. Como las amenazas emergentes, cada vez más económicas y de tiempo.[2]
generalizada, estos productos se vuelven más integrados
en un enfoque de sistemas. Los virus, troyanos, spyware, malware y demás código
Un enfoque de sistemas de configuración, la política, y llamado malicioso (por las funciones que realiza y no
el seguimiento se reúne cumplimiento de las normativas por tratarse de un código erróneo), tienen como objetivo
en curso y permite a los sistemas rentables de gestión. El principal el ejecutar acciones no solicitadas por el usua-
enfoque de sistemas de gestión de la seguridad, dispone: rio, las cuales pueden ser desde, el acceso a una página
3.2. SEGURIDAD DE LA INFORMACIÓN 19
no deseada, el redireccionamiento de algunas páginas de programas de FÁCIL manejo realizados por autén-
internet, suplantación de identidad o incluso la destruc- ticos hackers.
ción o daño temporal a los registros del sistemas, archivos
y/o carpetas propias. El virus informático es un programa • Un copyhacker' es una persona dedicada a falsificar
elaborado accidental o intencionadamente, que se intro- y crackear hardware, específicamente en el sector
duce y se transmite a través cualquier medio extraíble y de tarjetas inteligentes. Su estrategia radica en es-
transportable o de la misma red en la que se encuentre un tablecer amistad con los verdaderos Hackers, para
equipo infectado, causando diversos tipos de daños a los copiarles los métodos de ruptura y después vender-
sistemas. los los bucaneros. Los copyhackers se interesan por
poseer conocimientos de tecnología, son aficionados
Históricamente los virus informáticos fueron descubier- a las revistas técnicas y a leer todo lo que hay en la
tos por la prensa el 12 de octubre de 1985, con una pu- red. Su principal motivación es el dinero.
blicación del New York Times que hablaba de un virus
que fue se distribuyó desde un BBS y aparentemente era • Un “bucanero” es un comerciante que depende ex-
para optimizar los sistemas IBM basados en tarjeta grá- clusivamente de de la red para su actividad. Los “bu-
fica EGA, pero al ejecutarlo salía la presentación pero al caneros” no poseen ningún tipo de formación en el
mismo tiempo borraba todos los archivos del disco duro, área de los sistemas, si poseen un amplio conoci-
con un mensaje al finalizar que decía “Caíste”. miento en área de los negocios.
Este dato se considera como el nacimiento de su nom- • Un phreaker se caracterizan por poseer vastos co-
bre, ya que los programas con código integrado, diseña- nocimientos en el área de telefonía terrestre y mó-
dos para hacer cosas inesperadas han existido desde que vil, incluso más que los propios técnicos de las com-
existen las propias computadoras. Las primeras referen- pañías telefónicas; recientemente con el auge de los
cias de virus con fines intencionales surgieron en 1983 teléfonos móviles, han tenido que entrar también en
cuando Digital Equipament Corporation (DEC) empleó el mundo de la informática y del procesamiento de
una subrutina para proteger su famoso procesador de tex- datos.
tos Decmate II, que el 1 de abril de 1983 en caso de ser
copia ilegal borraba todos los archivos de su unidad de • Un newbie o “novato de red” es un individuo que
disco. sin proponérselo tropieza con una página de hacking
y descubre que en ella existen áreas de descarga de
buenos programas de hackeo, baja todo lo que puede
Actores que amenazan la seguridad y empieza a trabajar con ellos.
• Un hacker es cualquier persona con amplios cono- • Un script kiddie o skid kiddie, es un simple usua-
cimientos en tecnología, bien puede ser informática, rio de Internet, sin conocimientos sobre hackeo o
electrónica o comunicaciones, mantiene permanen- crackeo que, aunque aficionado a estos tema, no los
temente actualizado y conoce a fondo todo lo rela- conoce en profundidad limitándose a recopilar in-
cionado con programación y sistemas complejos; es formación de la red y a buscar programas que luego
un investigador nato que se inclina ante todo por co- ejecuta, infectando en algunos casos de virus a sus
nocer lo relacionado con cadenas de datos cifrados y propios equipos.
las posibilidades de acceder a cualquier tipo de “in-
formación segura”. Su formación y las habilidades • Un tonto o descuidado, es un simple usuarios de la
que poseen les da una experticia mayor que les per- información, con o sin conocimientos sobre hackeo
mite acceder a sistemas de información seguros, sin o crackeo que accidentalmente borra daña o modi-
ser descubiertos, y también les da la posibilidad de fica la información, ya sea en un mantenimiento de
difundir sus conocimientos para que las demás per- rutina o supervision.
sonas se enteren de cómo es que realmente funciona
la tecnología y conozcan las debilidades de sus pro-
Otros conceptos
pios sistemas de información.
• Un cracker, es aquella persona con comportamiento Otros conceptos relacionados son:[3]
compulsivo, que alardea de su capacidad para reven-
tar sistemas electrónicos e informáticos. Un cracker • Auditabilidad: Permitir la reconstrucción, revisión
es un hábil conocedor de programación de Software y análisis de la secuencia de eventos
y Hardware; diseña y fabrica programas de guerra y
hardware para reventar software y comunicaciones • Identificación: verificación de una persona o cosa;
como el teléfono, el correo electrónico o el control reconocimiento.
de otros computadores remotos.
• Autenticación: Proporcionar una prueba de identi-
• Un lamer Es una persona que alardea de pirata in- dad; puede ser algo que se sabe, que se es, se tiene
formático, cracker o hacker y solo intenta utilizar o una combinación de todas.
20 CAPÍTULO 3. CATEGORÍAS DE SEGURIDAD RELACIONADAS
• Riesgo: la explotación de una vulnerabilidad por Las principales tecnologías referentes a la seguridad de la
parte de una amenaza información en informática son:[4]
• CISSP - Certified Information Systems Security • CriptoRed Red Temática de Criptografía y Segu-
Professional, ISC2 ridad de la Información (más de 400 documentos,
libros, software y vídeos freeware)
• SECURITY+, COMPTia - Computing Technology
Industry Association • D.I.M.E. Dirección de Informática del Ministerio de
Economía de la República Argentina.
• CEH - Certified Ethical Hacker
• HACK HiSPANO - Comunidad de seguridad infor-
• PCI DSS - PCI Data Security Standard mática y nuevas tecnologías.
22 CAPÍTULO 3. CATEGORÍAS DE SEGURIDAD RELACIONADAS
Las redes son objeto de ataques por parte de fuentes ma- • Ataque de predicción de secuencia TCP
lignas. Estos ataques se pueden clasificar de dos formas: • Línea de tiempo hackers
“pasivos” cuando un intruso intercepta datos que están
viajando a través la red y “activos” cuando el intruso eje- • Seguridad de LAN inalámbrica
cuta comandos para alterar el funcionamiento normal de
la red. [4]
3.3.4 Referencias
Tipos de ataque:[5]
[1] A Role-Based Trusted Network Provides Pervasive Secu-
• Pasivos rity and Compliance - interview with Jayshree Ullal, se-
nior VP of Cisco
• Red
[2] Dave Dittrich, Network monitoring/Intrusion Detection
• Escucha telefónica Systems (IDS), University of Washington.
• Escáner de puertos
• Escaneo libre [3] «''Honeypots, Honeynets’'». Honeypots.net. 26 de mayo
de 2007. Consultado el 9 de diciembre de 2011.
• Activos
[4] Wright, Joe; Jim Harmening (2009) “15” Computer and
• Ataque de denegación de servicio Information Security Handbook Morgan Kaufmann Pu-
blications Elsevier Inc p. 257
• DNS spoofing
• Ataque Man-in-the-middle [5] http://www.cnss.gov/Assets/pdf/cnssi_4009.pdf
• ARP Spoofing
• Ataque por salteo de VLAN 3.3.5 Otras lecturas
• Ataque smurf • Case Study: Network Clarity, SC Magazine 2014
• Desbordamiento de búfer
• Cisco. (2011). What is network security?. Retrieved
• Desbordamiento de montículo
from cisco.com
• Ataque de formato String
• pcmag.com
• Inyección SQL
• Phishing • Security of the Internet (The Froehlich/Kent Ency-
clopedia of Telecommunications vol. 15. Marcel
• Cross-site scripting
Dekker, New York, 1997, pp. 231–255.)
• CSRF
• Introduction to Network Security, Matt Curtin.
• Ataque informático
• Security Monitoring with Cisco Security MARS, Gary
Halleen/Greg Kellogg, Cisco Press, Jul. 6, 2007.
3.3.3 Véase también
• Self-Defending Networks: The Next Generation of
• Seguridad de computo en la nube Network Security, Duane DeCapite, Cisco Press,
Sep. 8, 2006.
• Crimeware
• Security Threat Mitigation and Response: Unders-
• Estándares de seguridad cibernética
tanding CS-MARS, Dale Tesch/Greg Abelar, Cisco
• Software de prevención de pérdida de datos Press, Sep. 26, 2006.
• Greynet • Securing Your Business with Cisco ASA and PIX Fi-
rewalls, Greg Abelar, Cisco Press, May 27, 2005.
• Seguridad basada en identidad
• Deploying Zone-Based Firewalls, Ivan Pepelnjak,
• Prevención de filtrado de información Cisco Press, Oct. 5, 2006.
• Metasploit • Network Security: PRIVATE Communication in a
• Seguridad en telefonía móvil PUBLIC World, Charlie Kaufman | Radia Perlman |
Mike Speciner, Prentice-Hall, 2002. ISBN .
• Netsentron
• Network Infrastructure Security, Angus Wong and
• Herramientas de seguridad de red Alan Yeung, Springer, 2009.
24 CAPÍTULO 3. CATEGORÍAS DE SEGURIDAD RELACIONADAS
Malware en Sistemas Operativos Android pueden pagar estos servicios son empresas. Es importan-
te que los usuarios conozcan de forma general los nive-
De acuerdo a los laboratorios Kaspersky, en su boletín de les de comunicación que existen y así poder determinar
seguridad del año 2012. Las estadísticas mostraron que el algunas medidas de protección. Estos niveles o capas se
98.96% del Malware móvil detectado mensualmente fue agrupan en siete:[6]
en los SO Android.
El 1 de enero de 1963 en Nueva York, USA. El Instituto
Seguidos en menor porcentaje el Symbian con un 0.04%
de Ingenieros Eléctricos y Electrónicos (IEEE) fue crea-
y otros con un 0.03%. La identificación de dicho Malware
do con el fin de estandarizar y promover el desarrollo e
es la siguiente:[5]
integración de los avances en TIC, electrónica y ciencias
en beneficio de la sociedad. Ya que los teléfonos móviles
Medidas de seguridad y prevención de riesgos se comunican por niveles o capas en el modelo OSI. El
estándar internacional IEEE 802.11 define las caracterís-
Algunas recomendaciones para incrementar la seguridad ticas y uso de una red de área local inalámbrica (WLAN)
y evitar posibles riesgos son: en los niveles físico y de enlace de datos del modelo. Esta
red local usa tecnologías de radiofrecuencia que permite
la movilidad a sus usuarios sin tener que estar conectados
3.4.2 Protección multicapa al internet mediante cables. Los problemas de seguridad
en este tipo de redes, son la conexión no autorizada de
data unit layers
personas con terminales inalámbricas similares a puntos
de acceso privado. En este sentido las medidas de segu-
Application ridad se enfocan en:
Data Network Process to Application
Presentation
Data Data Representation
and Encryption • Autenticación de usuarios en la red seleccionada. De
Session acuerdo al protocolo de verificación Extensible Aut-
Data Interhost Communication hentication Protocol (EAP), el cual facilita el uso de
diferentes algoritmos. Se establecen dos estándares:
Transport
Segments End-to-End Connections
and Reliability
1. El Wi-Fi Protected Access (WPA).
Network 2. El WPA2 como versión certificada del estándar
Packets
Media Layers
• Telefonía móvil
3.4.3 Antivirus para Smartphones
• Telefonía móvil 3G
Hay que tener presente antes de la instalación de cualquier • Terminal (informática)
antivirus que:
• Historia del teléfono móvil
• La mayoría de los programas requieren de la memo- • Informática
rización de un código de seguridad para ser configu-
rados. • INTECO
La elección adecuada del mejor antivirus para el móvil, • Oficina de Seguridad del Internauta (OSI)
requiere del análisis previo de sus características. Algunos
• Página oficial del UIT-D en español
antivirus son:[7] <ref>Los mejores antivirus para móviles
y tablets</xxxxxx ref> • Secretaría de Estado de Telecomunicaciones y para
la Sociedad de la Información (SETSI)
[1] Estudio sobre seguridad en dispositivos móviles y smartp- • Estudio sobre seguridad en dispositivos móviles y
hones (1.er cuatrimestre 2012) smartphones. (1.er cuatrimestre 2012)
[2] Kaspersky: Boletín de seguridad 2012. Estadística general • (ISC)²® Global Information Security Workforce
de 2012 Study
[3] 2013 - Global Security Report • ISMS - Asociación Española para el Fomento de la
Seguridad de la Información
[4] Virus para móviles acechan Latinoamérica
• Asociación Española de evidencias electrónicas
[5] Kaspersky: Boletín de seguridad 2012. Estadística general
de 2012 • Guía de seguridad de datos. Agencia Española de
Protección de Datos.
[6] Libro seguridad por niveles (Creative Commons)
• El reto de la seguridad en el móvil
[7] 5 Alternativas de antivirus para tu smartphone
Amenazas
27
28 CAPÍTULO 4. AMENAZAS
mación, generalmente conectados a otros equipos o sis- La ley vigente La Argentina sancionó el 4 de junio del
temas externos. Víctima puede ser cualquier persona fí- 2008 la Ley 26.388 (promulgada de hecho el 24 de junio
sica o jurídica que haya establecido una conexión a Inter- de 2008) que modifica el Código Penal a fin de incorpo-
net (ya que es la principal ventana de entrada para estas rar al mismo diversos delitos informáticos, tales como la
conductas), una conexión entre computadoras, o que en distribución y tenencia con fines de distribución de por-
definitiva cuenta con un sistema informático para el tra- nografía infantil, violación de correo electrónico, acce-
tamiento de sus datos[6] . so ilegítimo a sistemas informáticos, daño informático y
Para la labor de prevención de estos delitos es importante distribución de virus, daño informático agravado e inte-
rrupción de comunicaciones.
el aporte de los damnificados que puede ayudar en la de-
terminación del modus operandi, esto es de las maniobras
usadas por los delincuentes informáticos. Definiciones vinculadas a la informática En
el nuevo ordenamiento se establece que el término
"documento" comprende toda representación de actos o
4.1.4 Como influyen los delitos informati- hechos, con independencia del soporte utilizado para su
fijación, almacenamiento, archivo o transmisión (art. 77
cos: Código Penal).
Los delitos informáticos están presentes en la actualidad Los términos "firma" y “suscripción” comprenden la
en cualquier parte del mundo en la que se tenga acceso firma digital, la creación de una firma digital o firmar di-
a un medio virtual y electrónico, esto conlleva a que la gitalmente (art. 77 Código Penal).
información que publicamos en redes sociales, perfiles, Los términos “instrumento privado” y “certificado” com-
correos entre otros puede llegar a ser vulnerada. Este tipo prenden el documento digital firmado digitalmente (art.
de acceso a la privacidad de una persona puede afectar no 77 Código Penal).
solo su vida financiera sino también su vida personal.
El uso de dispositivos cada vez es mas común, ya que to- Delitos contra menores En el nuevo ordenamiento
das las personas buscan comunicarse entre sí, enviar in- pasan a ser considerados delitos los siguientes hechos vin-
formación es algo inevitable sobre todo en aquellos casos culados a la informática:
en que las distancias son más largas. Cualquier tipo de
información que se envié por medios electrónicos puede
• Artículo 128: Será reprimido con prisión de seis (6)
ser alcanzada por un ciberdelincuente, el cual no busca
meses a cuatro (4) años el que produzca, financie,
siempre un beneficio económico con su actividad delicti-
ofrezca, comercialice, publique, facilite, divulgue o
va sino que en algunos casos solo busca colocar a prueba
distribuya, por cualquier medio, toda representación
su inteligencia.
de un menor de dieciocho (18) años dedicado a ac-
Al ampliarse el campo de los Delitos Informáticos tam- tividades sexuales explícitas o toda representación
bién se han creado dependencias en las diferentes institu- de sus partes genitales con fines predominantemente
ciones de seguridad que buscan ponerle freno a las accio- sexuales, al igual que el que organizare espectáculos
nes delictivas cometida por este tipo de personas. en vivo de representaciones sexuales explícitas en
La información que suministramos en las redes sociales que participaren dichos menores.
es de gran valor para aquellas que tienen el tiempo de
investigar la vida de los demás, sin darnos cuenta noso- Será reprimido con prisión de cuatro (4) meses a dos (2)
tros mismos suministramos información valiosa no solo años el que tuviere en su poder representaciones de las
de nuestra vida y actividades sino también de quienes nos descriptas en el párrafo anterior con fines inequívocos de
rodean. Desafortunadamente cuando una persona se da distribución o comercialización.
cuenta de que sus datos han sido vulnerados es demasia-Será reprimido con prisión de un (1) mes a tres (3) años
do tarde. el que facilitare el acceso a espectáculos pornográficos o
Muy pocas personas son consientes de la influencia que suministrare material pornográfico a menores de catorce
tienen los Delitos Informáticos en la actualidad y por (14) años.
esto no tienen mecanismos de defensa control sobre
la información que comparten a través de los medios
Protección de la privacidad
electrónicos.[7]
• Artículo 153: Será reprimido con prisión de quince
(15) días a seis (6) meses el que abriere o accediere
4.1.5 Regulación por países indebidamente a una comunicación electrónica, una
carta, un pliego cerrado, un despacho telegráfico, te-
Argentina lefónico o de otra naturaleza, que no le esté dirigido;
o se apoderare indebidamente de una comunicación
30 CAPÍTULO 4. AMENAZAS
electrónica, una carta, un pliego, un despacho u otro 3. Ilegítimamente insertare o hiciere insertar datos en un
papel privado, aunque no esté cerrado; o indebida- archivo de datos personales.
mente suprimiere o desviare de su destino una co- Cuando el autor sea funcionario público sufrirá, además,
rrespondencia o una comunicación electrónica que pena de inhabilitación especial de un (1) a cuatro (4) años.
no le esté dirigida.
setecientos cincuenta ($ 750) a pesos doce mil quinientos proveimiento jurídico que no se la aplicación de la san-
($ 12.500). ción más gravosa de todo el sistema.
Delito sobre los Sistemas Informáticos’ El 15 de noviem-
bre de 2012, la Fiscalía General de la CABA dictó la Re-
Colombia
solución 501/12, a través de la cual, creó como prueba
piloto por el término de un año, el Equipo Fiscal Espe-
En Colombia el 5 de enero de 2009, el Congreso de la
cializado en Delitos y Contravenciones Informáticas, que
República de Colombia promulgó la Ley 1273 “Por me-
actúa con competencia única en toda la Ciudad Autóno-
dio del cual se modifica el Código Penal, se crea un nue-
ma de Buenos Aires, con el fin de investigar los delitos
vo bien jurídico tutelado –denominado “De la Protección
informáticos propiamente dichos, y aquellos que secome-
de la información y de los datos”- y se preservan integral-
ten a través de internet que por su complejidad en la in-
mente los sistemas que utilicen las tecnologías de la infor-
vestigación o su dificultad en individualizar a los autores,
mación y las comunicaciones, entre otras disposiciones”.
merecen un tratamiento especializado. Existen diferentes
delitos informáticos en eucl es objeto el sistema informá- Dicha ley tipificó como delitos una serie de conductas re-
tico, tales como Delito de Daño: La ley 26388 incorpora lacionadas con el manejo de datos personales, por lo que
como segundo párrafo del art. 183 CP“Enla misma pe- es de gran importancia que las empresas se blinden ju-
na incurrirá el que alterare, destruyere o inutilizare da- rídicamente para evitar incurrir en alguno de estos tipos
tos, documentos, programas o sistemas informáticos, o penales.
vendiere, distribuyere, hiciere circular o introdujere en No hay que olvidar que los avances tecnológicos y el em-
un sistema informático, cualquier programa destinado a pleo de los mismos para apropiarse ilícitamente del patri-
causar dañ monio de terceros a través de clonación de tarjetas banca-
Delito Agravado: La ley 26388 agrega dos nuevas rias, vulneración y alteración de los sistemas de cómputo
agravantes al art. 184 CP: 5) “ejecutarlo en archivos, para recibir servicios y transferencias electrónicas de fon-
registros, bibliotecas, ....o en datos, documentos, pro- dos mediante manipulación de programas y afectación de
gramaso sistemas informáticos públicos”; 6) “ejecutarlo los cajeros automáticos, entre otras, son conductas cada
en sistemas informáticos destinados a la prestación vez más usuales en todas partes del mundo. Según esta-
de servicios de salud, de comunicaciones, de provi- dísticas, durante el 2007 en Colombia las empresas per-
sión o transporte de energía, de medios de transporte dieron más de 6.6 billones de pesos a raíz de delitos in-
u otro servicio público”.http://delitosinformaticos. formáticos.
fiscalias.gob.ar/wp-content/uploads/2014/02/ De ahí la importancia de esta ley, que adiciona al Códi-
CyberCrime-Informe-Final-2013-flip.pdf go Penal colombiano el Título VII BIS denominado “De
la Protección de la información y de los datos” que divi-
de en dos capítulos, a saber: “De los atentados contra la
Uruguay confidencialidad, la integridad y la disponibilidad de los
datos y de los sistemas informáticos” y “De los atentados
El Estado uruguayo aprobó en el año 2007 la ley Nº informáticos y otras infracciones”.
18.237 denominada EXPEDIENTE ELECTRÓNICO
En Colombia existen instituciones de educación como
cuyo único artículo autoriza el uso de expediente electró-
UNICOLOMBIA que promueven capacitaciones en te-
nico, de documento electrónico, clave informática sim-
mas relacionados con Delitos Informáticos, el mejor ma-
ple, firma electrónica, firma digital y domicilio electróni-
nejo y uso de la prueba digital, establecer altos estánda-
co constituido en todos los procesos judiciales y adminis-
res científicos y éticos para Informáticos Forenses, Llevar
trativos que se tramitan ante el Poder Judicial, con idénti-
a cabo investigación y desarrollo de nuevas tecnologías
ca eficacia jurídica y valor probatorio que sus equivalen-
y los métodos de la ciencia del análisis forense digital e
tes convencionales. Se hace referencia a esta ley porque
Instruir a los estudiantes en diversos campos específicos
es evidente que será de amplio tratamiento para el caso
sobre nuevas tecnologías aplicadas a la informática Fo-
de los delitos informáticos, puesto que las conductas que
rense, la investigación científica y el proceso tecnológico
autoriza pueden ser objeto de un ciberdelito.
de las mismas.
Los delitos informáticos no son de tratamiento específi-
co por la legislación uruguaya, puesto que no existe una
ley de ilícitos informáticos (no puede haber delito sin ley España
previa, estricta y escrita que lo determine - principio de
legalidad-), ni tampoco un título específico relativo a los En España, los delitos informáticos son un hecho sancio-
mismos en el Código Penal uruguayo. Se tratará de otor- nable por el Código Penal en el que el delincuente utiliza,
gar una vez más, la participación que al Derecho Penal para su comisión, cualquier medio informático. Estas san-
corresponde dentro del ordenamiento jurídico, como úl- ciones se recogen en la Ley Orgánica 10/1995, de 23 de
timo remedio a las conductas socialmente insoportables, noviembre en el BOE número 281, de 24 de noviembre
que no pueden ser solucionadas por la aplicación de otro de 1995. Éstos tienen la misma sanción que sus homó-
32 CAPÍTULO 4. AMENAZAS
logos no informáticos. Por ejemplo, se aplica la misma • Contra la propiedad: hurto (Art. 13); fraude (Art.
sanción para una intromisión en el correo electrónico que 14); obtención indebida de bienes o servicios (Art.
para una intromisión en el correo postal. 15); manejo fraudulento de tarjetas inteligentes o
El Tribunal Supremo emitió una sentencia el 12 de junio instrumentos análogos (Art. 16); apropiación de tar-
de 2007 (recurso Nº 2249/2006; resolución Nº 533/2007) jetas inteligentes o instrumentos análogos (Art. 17);
que confirmó las penas de prisión para un caso de estafa provisión indebida de bienes o servicios (Art. 18);
electrónica (phishing). posesión de equipo para falsificaciones (Art. 19);
A la hora de proceder a su investigación, debido a que una • Contra la privacidad de las personas y de las comu-
misma acción puede tener consecuencias en diferentes nicaciones: violación de la privacidad de la data o
fueros, comenzará la investigación aquel partido judicial información de carácter personal (Art. 20); viola-
que primero tenga conocimiento de los hechos delictivos ción de la privacidad de las comunicaciones (Art.
cometidos a través de un medio informático, si durante el 21); revelación indebida de data o información de
transcurso de la investagación, se encuentra al autor del carácter personal (Art. 22);
delito y pertenece a otro partido judicial, se podrá reali-
• Contra niños y adolescentes: difusión o exhibición
zar una acción de inhibición a favor de este último para
de material pornográfico (Art. 23); exhibición por-
que continue con la investigación del delito.
nográfica de niños o adolescentes (Art. 24);
• Contra el orden económico: apropiación de propie-
México
dad intelectual (Art. 25); oferta engañosa (Art. 26).
En México los delitos de revelación de secretos y acceso
ilícito a sistemas y equipos de informática ya sean que Estados Unidos
estén protegidos por algún mecanismo de seguridad, se
consideren propiedad del Estado o de las instituciones que Este país adoptó en 1994 el Acta Federal de Abuso
integran el sistema financiero son hechos sancionables por Computacional que modificó al Acta de Fraude y Abu-
el Código Penal Federal en el título noveno capítulo I y so Computacional de 1986.
II.
En el mes de julio del año 2000, el Senado y la Cámara
El artículo 167 fr.VI del Código Penal Federal sanciona de Representantes de este país -tras un año largo de
con prisión y multa al que intencionalmente o con fines deliberaciones- establece el Acta de Firmas Electrónicas
de lucro, interrumpa o interfiera comunicaciones alám- en el Comercio Global y Nacional. La ley sobre la firma
bricas, inalámbricas o de fibra óptica, sean telegráficas, digital responde a la necesidad de dar validez a documen-
telefónicas o satelitales, por medio de las cuales se trans-
tos informáticos -mensajes electrónicos y contratos esta-
mitan señales de audio, de video o de datos. blecidos mediante Internet- entre empresas (para el B2B)
La reproducción no autorizada de programas informáti- y entre empresas y consumidores (para el B2C).
cos o piratería está regulada en la Ley Federal del Dere-
cho de Autor en el Título IV, capítulo IV. Chile
También existen leyes locales en el código penal del
Distrito Federal y el código penal del estado de Sinaloa. En Chile el 28 de mayo de 1993, se promulgó la ley
19.223 pero no fue hasta la fecha 7 de junio de 1993 que
ésta se publicó. Esta ley, tipifica y sanciona los denomi-
Venezuela nados Delitos Informáticos.
Concibe como bien jurídico la protección de los siste- Los delitos tipificados en la Ley 19.223 consideran co-
mas informáticos que contienen, procesan, resguardan y mo un bien jurídico la calidad, la pureza e idoneidad de
transmiten la información. Están contemplados en la Ley la información que está contenida en cualquier sistema
Especial contra los Delitos Informáticos, de 30 de octu- automatizado de tratamiento de la información. Además,
bre de 2001. no solo se protege el bien mencionado anteriormente si
no que también los siguientes:
La ley tipifica cinco clases de delitos:
• Contra los sistemas que utilizan tecnologías de in- • El patrimonio, en el caso de los fraudes informáti-
formación: acceso indebido (Art.6); sabotaje o daño cos.
a sistemas (Art.7); favorecimiento culposos del sa- • La privacidad, intimidad y confidencialidad de los
botaje o daño. (Art. 8); acceso indebido o sabotaje datos, en el caso de espionaje informático.
a sistemas protegidos (Art. 9); posesión de equipos
o prestación de servicios de sabotaje (Art. 10); es- • La seguridad y fiabilidad del tráfico jurídico y pro-
pionaje informático (Art. 11); falsificación de docu- batorio, en el caso de falsificaciones de datos proba-
mentos (Art. 12). torios mediante algún sistema o medio informático.
4.2. AGUJERO DE SEGURIDAD 33
[7] j. ojeda, f. rincón, m. arias, l. daza. «delitos informáticos • Nacimiento.- Durante el proceso de desarrollo del
y entorno jurídico vigente / j. ojeda, f. rincón, m. arias, l. producto por parte del proveedor (Ej el vendedor o
daza». Consultado el 23 de marzo de 2016.
una comunidad de desarrolladores software), se in-
troducen una serie de defectos. Estos defectos pue-
den ser de diseño, implementación o de gestión. Al-
4.1.8 Enlaces externos gunos de esos defectos pueden convertirse en ries-
gos para la seguridad del producto y por tanto para
Legislación la seguridad del usuario del producto. Un defecto
se convierte en una vulnerabilidad si hace que el
• Modificación al Código Penal sobre la incorporación comportamiento del sistema sea tal que pueda ser
de los Delitos Informáticos (Argentina) aprovechado para conseguir acceso no autorizado,
elevación de privilegios, denegación de servicio o
• Ley de protección de la información y de los datos cualquier otra forma de romper la seguridad del sis-
(Colombia) tema. No se considerar vulnerabilidades que son de-
tectadas y corregidas antes del despliegue.
• Delitos Informáticos (Chile)
• Descubrimiento.- Este hito ocurre cuando se tie-
• Ley Especial de Delitos Informáticos (Venezuela) ne conocimiento de la existencia de la vulnerabi-
lidad. Si la vulnerabilidad es creada intencionada-
• Ley General de Telecomunicaciones, Tecnologías mente entonces el nacimiento y el descubrimiento
de Información y comunicación (Bolivia) ocurren simultáneamente. Se llama descubridor a
34 CAPÍTULO 4. AMENAZAS
la primera persona que revela un defecto y determi- vulnerabilidad intencionada. Se especula que algu-
na que ese defecto es una vulnerabilidad. Si el des- nos sistemas tienen desde el origen agujeros de segu-
cubridor no es conocido se dice que es anónimo. ridad intencionados conocidos por alguna de las par-
tes que interviene en el diseño y/o desarrollo. Este
• Comunicación de la vulnerabilidad.- Este hito tipo vulnerabilidades funcionaría a modo de puerta
ocurre una vez que el descubridor revela la vulne- trasera o caballo de Troya. Ejemplos:
rabilidad a alguien más. Esta transferencia de infor-
mación puede ser de distintos tipos. Ejemplos: com- • [5]
En 2007 el gobierno de los Estados Unidos
pleta y pública vía (revelación completa) o comuni- de América lanzó la un estándar para la ge-
cación privada entre hackers. Se llama originador neración de números aleatorios. Se proponían
(en inglés originator) o revelador (en inglés disclo- cuatro generadores de números pseudoaleato-
ser) a la persona u organización que informa de la rios. Uno de ellos, el Dual EC DRBG, promo-
vulnerabilidad a el proveedor del producto. Obser- vido por la NSA, tenía una puerta trasera que
var que el descubridor y el originador pueden ser consistía en un conjunto de números secretos
personas distintas. que permitían predecir la salida a partir de re-
copilar una pequeña porción de los resultados
• Corrección.- Ocurre cuando el vendedor del pro- anteriores.
ducto analiza la vulnerabilidad, localiza cual es el • Se ha hablado mucho[6][7][8] de las supuestas
problema, y lanza una versión al público que resuel- presiones que recibió PGP Corporation pa-
ve la vulnerabilidad. ra introducir una puerta trasera en su softwa-
• Publicitación.- Es cuando el conocimiento de la re. Esta supuesta puerta trasera permitiría a la
vulnerabilidad se extiende a una audiencia impor- ciertas organizaciones (Ej. FBI, NSA ) poder
tante dándole publicidad. descifrar el contenido cifrado con esta herra-
mienta. Para camuflar esta supuesta puerta tra-
• Automatización de explotación.- Es cuando a par- sera se especula que se presionó a PGP Cor-
tir de la vulnerabilidad se crea una herramienta o poration para que hiciera el código de PGP
script que automatiza la explotación de la vulnerabi- (software de código abierto) tan enrevesado y
lidad. A esta herramienta o script se le llama exploit. extenso que no se pudiera detectar tal puer-
De esta forma se permite que no sólo expertos sobre ta trasera. Esto provocó que muchos usuarios
el tema (hackers) puedan vulnerar la seguridad. De se quedaran con las versiones antiguas, fácil-
esta forma se tiene una herramienta que permite a mente verificables, y promovió la creación de
otros usuarios inexpertos (script kiddies) vulnerar- software alternativo.
la. • [9] Otro caso es la supuesta introducción de una
puerta trasera en openBSD promocionada por
• Muerte.- Ocurre cuando el número de sistemas vul-
el FBI.
nerables al exploit es insignificante. Esto puede ha-
ber sucedido porque el sistema ha sido retirado, el
sistema ha sido arreglado mediante algún parche, o 4.2.3 Búsqueda de vulnerabilidades y mo-
porque los hackers no tienen interés en explotarla.
tivaciones para su publicación
Estos eventos no necesariamente ocurren estrictamente La búsqueda de vulnerabilidades de seguridad es rea-
en este orden. Por ejemplo: lizada principalmente por dos tipos de personas u
organizaciones:[3]
• La publicitación y la corrección puede suceder al
mismo tiempo, particularmente en casos donde el • Los atacantes de sistemas.-Pueden aprovechar las
descubridor de la vulnerabilidad es el propio ven- vulnerabilidades para hacer vulnerables a los siste-
dedor del producto, el cual usa el arreglo de la vul- mas y conseguir de forma ilegal beneficios moneta-
nerabilidad como parte de la propia publicidad del rios de ello, ya sea directamente (Ej. permitiendo el
producto. [4] uso de tarjetas de crédito ajenas) o indirectamente
(Ej. vendiendo información privada sobre las vícti-
• La corrección de una vulnerabilidad no tiene por qué mas). Por su propia naturaleza este tipo de investi-
suceder antes de la automatización de la explotación. gadores del vulnerabilidades no están interesados en
Si se construye un exploit antes de que la vulnera- la revelación de las vulnerabilidades descubiertas ya
bilidad sea corregida por el proveedor, se dice que que así se aseguran de que la vulnerabilidad no sea
se trata de un exploit de día cero que da lugar a arreglada y así puedan seguir beneficiándose de la
ataques de día cero. misma.
• El descubrimiento se puede producir en el mismo • Profesionales de la informática y en especial de la
momento del nacimiento, es decir, se trata de una seguridad.- Estos profesionales, por distintas moti-
4.2. AGUJERO DE SEGURIDAD 35
• Disfrutar del desafío intelectual de encontrar • La información es publicada por una fuente confia-
vulnerabilidades. ble e independiente. Se suele considerar un canal
• Obtener gratificaciones monetarias por parte confiable cuando es una fuente aceptada de infor-
del proveedor del producto o de otra entidad. mación de seguridad en la industria (Ej CERT/CC,
Security Focus, Secunia, Microsoft Security Bulle-
tin, USCERT y FrSIRT)
4.2.4 Tratamiento de la información sobre
• La vulnerabilidad ha sido sometida al análisis de ex-
vulnerabilidades pertos que evalúan el riesgo de la revelación. Esto
garantiza la calidad de la información divulgada y
Las formas de conseguir información sobre vulnerabili-
asegura que aporta suficientes detalles para permitir
dades son las siguientes:
determinar el riesgo propio.
la distribución del conocimiento de las vulnerabilidades características. Se han desarrollado distintos modelos pe-
que tenían las cerraduras. ro cada uno tiene sus inconvenientes considerándose el
Teniendo en cuenta los diversos factores (Ej costes, bene- problema de la política de revelación como un problema
ficios, riesgos) se han propuesto distintos tipos de prácti- abierto y pendiente de solución.
cas y políticas para la revelación de la información sobre
vulnerabilidades. Las propuestas podríamos clasificarlas Mercado de vulnerabilidades Alrededor del mundo
en 3 tipos: No revelar, revelación completa y prácticas a de los agujeros de seguridad se ha ido creando una im-
medio camino entre una otra (revelación parcial). portante actividad económica, dando lugar a negocios a
veces muy lucrativos. El activo con el que se negocia es
No revelar Podríamos considerar que la no revelación la información sobre la vulnerabilidad. El negocio suele
pública (extensiva) de la información sobre la vulnerabi- estar en:
lidad es en si misma una política de revelación. La in-
formación se mantiene en secreto. Este enfoque se basa • La compra/venta de información sobre vulnerabili-
en dar prioridad a mantener en secreto la vulnerabilidad dades. El negocio puede ser con dinero o en especie
frente a dar publicidad a la información para podernos (Ej publicidad sobre el descubridor o recompensan-
proteger frente a ella. do con un servicio de pago de forma gratuita). Pue-
de haber intermediarios. Puede haber varias formas
Algunas veces en lugar de una no revelación absoluta, la de realizar la compra/venta. Ejemplos: venta directa
información sobre la vulnerabilidad se comparte de for- en exclusiva, venta directa sin exclusividad (lo mis-
ma restringida (pseudosecreto). Cuanto más amplio sea mo se puede vender a varios), subastas tradiciona-
el número de personan que conocen la vulnerabilidad se les, subastas con más de un ganador. El problema
incrementa el riesgo para los usuarios finales. La infor- de las subastas es la habilidad de comunicar la cali-
mación puede revelarse por ejemplo a: dad de la vulnerabilidad si divulgar la información
sobre la vulnerabilidad. Esto se intenta conseguir
• El proveedor del sistema para que arregle la vulne- dando unos mínimos detalles sobre la vulnerabilidad
rabilidad o el establecimiento de intermediarios de confianza
• Otros investigadores (hackers). que permitan establecer la calidad de la vulnerabili-
dad manteniendo la información en riguroso secreto
• Alguien que compra esa información. De esta forma (este tipo de intermediarios están apareciendo en el
se establece un mercado de vulnerabilidades. mercado underground).
Revelación completa La estrategia de revelación • La venta de productos (Ej. antivirus, IDS´s, IPS´s o
completa, revelación total o divulgación masiva (en cortafuegos) que detectan, solucionan o mitigan el
inglés full disclosure) consiste en revelar a toda la co- impacto de vulnerabilidades.
munidad (divulgación masiva) toda la información dis- • Proveedores de productos que permiten detectar o
ponible sobre un problema de seguridad en cuanto este aprovechar vulnerabilidades de otros productos.
es conocido. Por ejemplo se puede dar información de
como se encontró el fallo, qué sistemas son vulnerables, Se ha propuesto que la existencia de un mercado de vul-
como explotar la seguridad o como protegerse frente al nerabilidades puede ser una buena idea para incentivar a
fallo. Se revelan todo tipo de detalles sobre el fallo y es- los proveedor de sistemas para que se preocupen más en
ta información tan detallada puede ser usada por hackers mejorar la seguridad de sus productos y en arreglar rápi-
malintencionados para desarrollar exploits que permitan damente las vulnerabilidades que se vayan encontrando.
aprovechar la vulnerabilidad a cualquiera que lo utilice,
aunque no entiendan el funcionamiento del mismo (script
kiddies). Motivaciones Las motivaciones para la existencia de
este tipo de mercado son, en última instancia:
Revelación parcial La políticas de revelación revela-
• Conseguir ganancia económica. Este es el principal
ción parcial (en inglés partial disclosure) intentan esta-
motivo para la existencia de este mercado.
blecerse como punto intermedio entre la política de se-
guridad por oscuridad y las política de revelación com- • Consecución de una herramienta defensiva u ofen-
pleta. Intentan aprovechar buenas ideas de una y otra po- siva para poderla utilizar en cierto tipo de conflictos
lítica para situarse en un punto intermedio con mejores (netwar y ciberguerra).
4.2. AGUJERO DE SEGURIDAD 37
Actores Los actores en este mercado son: • Participación en conferencias de hackers e in-
vestigadores (Ej. Black Hat Briefings)
• Productores de información: • Crear sus propias conferencias (Ej. Blue Hat)
• Hackers • Invitar a sus dependencias a investigadores pa-
ra que les enseñen como consiguen encontrar
• investigadores
vulnerabilidades en sus productos.
• Consumidores:
• Agradecimiento público de las colaboraciones con
• Gobiernos (netwar, ciberguerra) los descubridores. De esta forma se da reputación a
• Proveedores de sistemas objeto de los ataques. los investigadores.
boletines de información, productos software como gro o mercado underground e ilícito de vulnera-
antivirus, IDS´s, IPS´s o cortafuegos) que permitan bilidades en el que los atacantes venden informa-
protegerse frente a las vulnerabilidades antes de que ción no revelada públicamente sobre vulnerabilida-
el proveedor arregle la vulnerabilidad. des para que otros puedan aprovecharlas de forma
ilícita (Ej robar dinero, causar daños, espionaje, re-
copilar información para chantaje, divulgación de
Inconvenientes Los principales inconvenientes de es-
información falsa como verdadera (para por ejem-
te tipo de mercado tienen que ver con la revelación de
plo hacer pump and dump) o adware indeseado.
la información, la incentivación a los investigadores y el
Un ejemplo contrastado de uso del mercado un-
aumento de los precios de las vulnerabilidades
derground para la venta de información sobre vul-
nerabilidades es el caso de la vulnerabilidad del
Revelación de la información La existencia del mer- Microsoft Windows WMF rendering fue vendida en
cado de vulnerabilidades provoca una resistencia a que los el mercado ilícito.[12] Hay dos tipos de negocios re-
agujeros de seguridad sean revelados para que puedan ser lacionados con este tipo de mercado: La contrata-
arreglados. La información sobre la vulnerabilidad pier- ción para atacar un objetivo específico (Ej persona
de valor cuanto más gente la conoce y pierde totalmente u organización) y por otro lado la compra de produc-
el valor cuando el problema es arreglado y ya no existe. tos ya elaborados y listos para ser usados (exploits).
Por tanto hay una tendencia, para proteger el valor de la Para ponerse en contacto, las partes de este tipo
información, a mantener la información oculta. Todo esto de mercado usan canales de IRC y sitios web (Ej
repercute en una menor seguridad de los productos. http://web-hack.ru) específicos. Al ser un mercado
ilícito los negocios no son públicos y esto facilita la
En general las más importantes empresas que se dedican a
venta del mismo producto a distintos compradores
este negocio están comunican a los proveedores sobre las
y así sacar un mayor beneficio.
vulnerabilidades que encuentran. Sin embargo hay algu-
nas compañías pequeñas que no lo hacen. Esta política de • TippingPoint, una división de 3Com, ofrece
no revelación de vulnerabilidades es muy criticada pero sistemas de detección de intrusos para protegerse
no se suele considerar ilegal ya que la información es ven- contra vulnerabilidades. Esta compañía aplica una
dida con descargo de responsabilidad diciendo que esa política de seguridad de revelación responsable.
información debería ser usado para pruebas internas, no
para burlar la ley. • iDefense, una compañía de Verisign, se dedica a la
Los gobiernos, dependen del tipo de vulnerabilidad que venta de información sobre vulnerabilidades. Dispo-
encuentren, informan al proveedor del producto o no. Si ne de un servicio de suscripción en el cual los miem-
se trata de un punto débil de sistemas que ellos mismos bros pagan por recibir notificaciones sobre las vulne-
usan entonces comunicarán al proveedor. Si por ejemplo rabilidades y sobre soluciones o formas de mitigar el
se trata de una vulnerabilidad utilizada en una herramien- impacto de dichas vulnerabilidades hasta que el pro-
ta ofensiva, entonces no revelará al proveedor la informa- veedor provea una solución. Esta compañía aplica
ción sobre dicha vulnerabilidad una política de seguridad de revelación responsable.
Ejemplos Ejemplos de negocios en el mundo de las • Wabisabi Labi era un site que permitía la adqui-
vulnerabilidades: sición de vulnerabilidades. Permitía cuatro tipo de
transacciones: Subastas tradicionales, subastas con
• Casi desde el principio de los sistemas de informa- más de un ganador, compras inmediatas y compras
ción ha habido, y sigue habiendo, un mercado ne- de un comprador exclusivo.
4.2. AGUJERO DE SEGURIDAD 39
• Common Weakness Enumerator [9] Thom Holwerda, "More Details Emerge Regarding
OpenBSD FBI Backdoors". OS news. Dec. 2010
• Common Malware Enumerator
[10] Almantas Kakareka, “What is Vulnerability Assess-
• Common Weakness Scoring System ment?". Recopilado en “Computer and Information Se-
curity Handbook” de John R. Vacca. Ed. Elsevier 2009
• Common Attack Pattern Enumeration and Classifi-
cation [11] Michael Sutton y Frank Nagle, “Emerging Economic Mo-
dels for Vulnerability Research”
4.2.5 Casos famosos [12] Microsoft Corp. Microsoft Security Bulletin MS06-001
• En junio de 2005, un servidor de mantenimiento de [13] Caleb Bucker,”Lista de Programas Bug Bounty (Ganando
tarjetas de crédito, fue crackeado por un grupo de Dinero por reportar Vulnerabilidades)"
personas, aprovechando un error en el código de ve-
[14] Defense Science Board. Protecting the Homeland: Report
rificación. Esto generó pérdidas por 10.000.000 de of the Defense Science Board Task Force on Defensive
dólares estadounidenses.[cita requerida] Information Operations 2000 Summer Study Volume II
• El FBI, sufrió un ataque de un usuario que usó cuen-
tas de correo, obtuvo contraseñas y otros datos de • Andrew Cencini et ali., “Software Vulnerabilities:
relevancia, a través de un puerto que estaba abierto Full-, Responsible-, and Non-Disclosure”. Diciem-
en el código web.[cita requerida] bre de 2005
• En Windows 98, ciertas contraseñas de usuario se • Stephen A. Sheperd,"Vulnerability Disclosure. How
exponen en las carpetas, que pueden ser leídas en do we define Responsible Disclosure?. SANS Insti-
MS-DOS[cita requerida] tute. Abril de 2003
• Curiosidad
• Fama personal 4.5 Troyano (informática)
• Beneficio personal
• Espionaje
Desde sus orígenes, los troyanos han sido utilizados como • Borra el disco.
arma de sabotaje por los servicios de inteligencia como la
CIA, cuyo caso más emblemático fue el Sabotaje al Ga- Hoy en día, dada la popularidad de los sistemas para dis-
soducto Siberiano en 1982. La CIA instaló un troyano en positivos móviles y tabletas, especialmente aquellos con
el software que se ocuparía de manejar el funcionamientomenor control en su marketplace de aplicaciones (como
del gasoducto, antes de que la URSS comprara ese soft- Android) son foco de creciente interés para los desarrolla-
ware en Canadá.[4] dores de este tipo de malware. En el caso de estos disposi-
De acuerdo con un estudio de la empresa responsable del tivos, las acciones que un atacante puede llegar a realizar
software de seguridad BitDefender desde enero hasta ju- son similares a las anteriores pero dada la naturaleza del
nio de 2009, «El número de troyanos está creciendo, re- dispositivo, el abanico de opciones se amplía. Algunos
presentan el 83 % del malware detectado».[5] ejemplos son:
La siguiente gráfica muestra el porcentaje de malware que
• Captura de mensajes de texto entrantes y salientes.
representan los troyanos:[6]
• Captura del registro de llamadas.
4.5.2 Propósitos de los troyanos • Habilidad para acceder (consultar, eliminar y modi-
ficar) la agenda de contactos.
Los troyanos están diseñados para permitir a un indi-
viduo el acceso remoto a un sistema. Una vez ejecuta- • Habilidad para efectuar llamadas y enviar SMS.
do el troyano, el individuo puede acceder al sistema de • Conocimiento de la posición geográfica del disposi-
forma remota y realizar diferentes acciones sin necesitar tivo mediante GPS.
permiso.[7] Las acciones que el individuo puede realizar
en el equipo remoto, dependen de los privilegios que ten-
ga el usuario en el ordenador remoto y de las caracterís- 4.5.3 Características de los troyanos
ticas del troyano.[cita requerida]
Algunas de las operaciones que se pueden llevar a cabo Generalmente, los caballos de troya son utilizados para
en el ordenador remoto son: robar información, en casos extremos, obtener el con-
trol remoto de la computadora, de forma que el atacante
consiga acceso de lectura y escritura a los archivos y da-
• Utilizar la máquina como parte de una botnet (por tos privados almacenados, visualizaciones de las pantallas
ejemplo para realizar ataques de denegación de ser- abiertas, activación y desactivación de procesos, control
vicio o envío de spam). de los dispositivos y la conexión a determinados sitios de
Internet desde la computadora afectada como las pági-
• Instalación de otros programas (incluyendo otros
nas pornográficas. Los troyanos están compuestos prin-
maliciosos).
cipalmente por dos programas: un programa de adminis-
• Robo de información personal: información banca- tración, que envía las órdenes que se deben ejecutar en
ria, contraseñas, códigos de seguridad, etcétera. la computadora infectada y el programa residente situa-
do en la computadora infectada, que recibe las órdenes
• Borrado, modificación o transferencia de archivos del administrador, las ejecuta y le devuelve un resultado.
(descarga o subida). Generalmente también se cuenta con un editor del pro-
grama residente, el cual sirve para modificarlo, proteger-
• Ejecutar o terminar procesos. lo mediante contraseñas, unirlo a otros programas para
• Apagar o reiniciar el equipo. disfrazarlo, configurar en que puerto deseamos instalar el
servidor, etc. Atendiendo a la forma en la que se reali-
• Monitorizar las pulsaciones del teclado. za la conexión entre el programa de administración y el
residente se pueden clasificar en:
• Realizar capturas de pantalla.
• Conexión directa: El atacante se conecta directa-
• Ocupar el espacio libre del disco duro con archivos
mente al PC infectado mediante su dirección IP. En
inútiles.
este caso, el equipo atacante es el cliente y la víctima
• Monitorización del sistema y seguimiento de las ac- es el servidor.
ciones del usuario.
• Conexión indirecta: El equipo host o víctima se co-
• Miscelánea (acciones “graciosas” tales como expul- necta al atacante mediante un proceso automático
sar la unidad de CD, cambiar la apariencia del siste- en el software malicioso instalado en su equipo, por
ma, etc.) lo que no es necesario para el atacante tener la di-
rección IP de la víctima. Para que la conexión este
• Sacar fotos por la webcam si tiene. asegurada, el atacante puede utilizar una IP fija o
4.5. TROYANO (INFORMÁTICA) 43
Los virus informáticos tienen, básicamente, la función de tre los computadores personales y dispositivos mó-
propagarse a través de un software, son muy nocivos y al- viles. Se estima que, en 2007, un 90 % de ellos usa-
gunos contienen además una carga dañina (payload) con ba Windows.[cita requerida] Mientras que Android tiene
distintos objetivos, desde una simple broma hasta realizar una cuota de mercado de 80% en 2015. Esta popula-
daños importantes en los sistemas, o bloquear las redes ridad basada en la facilidad de uso sin conocimien-
informáticas generando tráfico inútil. to previo alguno, motiva a los creadores de software
El funcionamiento de un virus informático es conceptual- malicioso a desarrollar nuevos virus; y así, al atacar
mente simple. Se ejecuta un programa que está infectado, sus puntos débiles, aumentar el impacto que gene-
ran.
en la mayoría de las ocasiones, por desconocimiento del
usuario. El código del virus queda residente (alojado) en • Falta de seguridad en Windows plataforma (situa-
la memoria RAM de la computadora, incluso cuando el ción a la que Microsoft está dando en los últimos
programa que lo contenía haya terminado de ejecutar. El años mayor prioridad e importancia que en el pa-
virus toma entonces el control de los servicios básicos del sado). Al ser un sistema tradicionalmente muy per-
sistema operativo, infectando, de manera posterior, ar- misivo con la instalación de programas ajenos a és-
chivos ejecutables que sean llamados para su ejecución. te, sin requerir ninguna autentificación por parte del
Finalmente se añade el código del virus al programa in- usuario o pedirle algún permiso especial para ello
fectado y se graba en el disco, con lo cual el proceso de en los sistemas más antiguos. A partir de la inclu-
replicado se completa. sión del Control de Cuentas de Usuario en Windows
El primer virus atacó a una máquina IBM Serie 360 (y re- Vista y en adelante (y siempre y cuando no se des-
conocido como tal). Fue llamado Creeper, (ENMS) crea- active) se ha solucionado este problema, ya que se
do en 1972. Este programa emitía periódicamente en la puede usar la configuración clásica de Linux de te-
pantalla el mensaje: «I'm a creeper... catch me if you ner un usuario administrador protegido, pero a dia-
can!» («¡Soy una enredadera... agárrame si puedes!»). rio usar un Usuario estándar sin permisos.
Para eliminar este problema se creó el primer programa • Software como Internet Explorer y Outlook Ex-
antivirus denominado Reaper (cortadora). press, desarrollados por Microsoft e incluidos de
Sin embargo, el término virus no se adoptaría hasta 1984, forma predeterminada en las versiones anteriores de
pero éstos ya existían desde antes. Victor Vyssotsky, Windows, son conocidos por ser vulnerables a los
Robert Morris Sr. y Doug McIlroy, investigadores de virus ya que éstos aprovechan la ventaja de que di-
Bell Labs (se cita erróneamente a Dennis Ritchie o Ken chos programas están fuertemente integrados en el
Thompson como cuarto coautor) desarrollaron un jue- sistema operativo dando acceso completo, y prác-
go de ordenador llamado Darwin (del que derivará Core ticamente sin restricciones, a los archivos del sis-
Wars) que consiste en eliminar al programa adversario tema. Un ejemplo famoso de este tipo es el virus
ocupando toda la RAM de la zona de juego (arena).[1] ILOVEYOU, creado en el año 2000 y propagado a
través de Outlook. Hoy en día Internet Explorer ha
Después de 1984, los virus han tenido una gran expan-
sido separado de Windows y Outlook Express fue
sión, desde los que atacan los sectores de arranque de
descontinuado.
disquetes hasta los que se adjuntan en un correo electró-
nico. • La escasa formación de un número importante de
usuarios de estos sistemas, lo que provoca que no
se tomen medidas preventivas por parte de estos, ya
4.6.1 Virus informáticos y sistemas opera- que estos sistemas están dirigidos de manera mayo-
tivos ritaria a los usuarios no expertos en informática. Es-
ta situación es aprovechada constantemente por los
Los virus informáticos afectan en mayor o menor medida programadores de virus.
a casi todos los sistemas más conocidos y usados en la
actualidad.
Unix y derivados
Cabe aclarar que un virus informático mayoritariamente
atacará sólo el sistema operativo para el que fue desarro-
En otros sistemas operativos como las distribuciones
llado, aunque ha habido algunos casos de virus multipla-
GNU/Linux, BSD, Solaris, Mac OS X iOS y otros ba-
taforma.
sados en Unix las incidencias y ataques son raros. Esto se
debe principalmente a:
MS-Windows y Android
• Los usuarios de este tipo de Sistemas Operativos
Las mayores incidencias se dan en el sistema operativo suelen poseer conocimientos mucho mayores a los
Windows y Android debido, entre otras causas: de los usuarios comunes de sistemas o cuenten con
recursos para contratar mantenimiento y protección
• Su gran popularidad, como sistemas operativos, en- mayores que en Windows.
4.6. VIRUS INFORMÁTICO 47
• Tradicionalmente los programadores y usuarios de pujanza se basa sobre todo en videojuegos que necesitan
sistemas basados en Unix han considerado la segu- tener el disquete desprotegido de escritura para almace-
ridad como una prioridad por lo que hay mayores nar puntuaciones o estados del juego, o en determinadas
medidas frente a virus, tales como la necesidad de protecciones. Varios están situados en ROM, por lo que
autenticación por parte del usuario como adminis- no es posible infectar al sistema en sí, pero al necesitar
trador o root para poder instalar cualquier progra- cargar parte desde el disquete, no se realiza comproba-
ma adicional al sistema. En Windows esta prestación ción.
existe desde Windows Vista.
• Commodore Amiga / Amiga OS: Son bastante nu-
• Los directorios o carpetas que contienen los archi-
merosos, hasta el punto de que lo primero que haces
vos vitales del sistema operativo cuentan con per-
cuando recibes un disco de terceros es escanearlo
misos especiales de acceso, por lo que no cualquier
por si acaso. Se conocen al menos 548 virus.[3]
usuario o programa puede acceder fácilmente a ellos
para modificarlos o borrarlos. Existe una jerarquía • Atari ST / Atari TOS: Tiene el primer caso de virus
de permisos y accesos para los usuarios. de plataforma cruzada: los virus Aladinn y Frankie
se escriben para el emulador de Apple Macintosh
• Relacionado al punto anterior, a diferencia de los
Aladinn[4] . Su compatibilidad con el formato de dis-
usuarios de Windows XP y versiones anteriores de
co de MS-DOS provoca que se den casos de discos
Windows, la mayoría de los usuarios de sistemas ba-
ST infectados por virus de sector de DOS (sin efecto
sados en Unix no pueden normalmente iniciar se-
para el equipo), por lo que sus antivirus los contem-
siones como usuarios “administradores’ o por el su-
plan, para dar protección a los emuladores de PC
perusuario root, excepto para instalar o configurar
por soft y hard de la plataforma.
software, dando como resultado que, incluso si un
usuario no administrador ejecuta un virus o algún • Acorn Archimedes / RISC OS: Menos conocidos
software malicioso, éste no dañaría completamente por estar casi restringido al mercado británico, exis-
el sistema operativo ya que Unix limita el entorno de ten al menos 10 antivirus : VProtect, VZap, KillVi-
ejecución a un espacio o directorio reservado llama- rus, Hunter, Interferon, IVSearch, Killer, Scanner,
do comúnmente home. Aunque a partir de Windows VirusKill, VKiller[5]
Vista, se pueden configurar las cuentas de usuario de
forma similar. • MS-DOS / DR-DOS: el paraíso del virus en aque-
llos tiempos, con algunos de los primeros en su clase.
• Estos sistemas, a diferencia de Windows, son usados De los proveedores de antivirus de entonces sobre-
para tareas más complejas como servidores que por viven hoy McAfee y Symantec, el resto entraron en
lo general están fuertemente protegidos, razón que el mercado con Microsoft Windows
los hace menos atractivos para un desarrollo de virus
o software malicioso. • Commodore 64: BHP VIRUS, Bula
• En el caso particular de las distribuciones basadas en • Apple II: ostenta uno de los primeros virus el Elk
GNU/Linux y gracias al modelo colaborativo, las li- Cloner de 1982
cencias libres y debido a que son más populares que
• Apple Macintosh / Mac OS Classic : las versiones
otros sistemas Unix, la comunidad aporta constante-
para procesadores 680x0 y PowerPC son infectados
mente y en un lapso de tiempo muy corto actualiza-
por virus específicos (la emulación del 680x0 en los
ciones que resuelven bugs y/o agujeros de seguridad
PowerPC los hace vulnerables a algunos de los vie-
que pudieran ser aprovechados por algún malware.
jos virus, pero no a todos) como por virus de macro
para MS Office. Los cambios de plataforma actúan
Otros sistemas operativos de barrera para, por ej., los virus de sector de arran-
que. La aparición de Mac OS X marca un punto y
La mayoría de equipos con sistema operativo de disco de aparte en los virus para Mac; aunque no supone su
la década de 1990 (equipos de 8, 16 y 32 bits) han su- desaparición, los reduce notablemente.
frido de las diferentes variantes de virus, principalmente
de sector de arranque y de ficheros infectados.[2] La úni-
ca excepción parecen haber sido las versiones de CP/M, 4.6.2 Características
CP/M-86 y DOS Plus, pero no así su descendiente DR-
DOS. En los directorios de BBS y la incipiente Inter- Dado que una característica de los virus es el consumo
net, siempre está presente un apartado de antivirus. Sin de recursos, los virus ocasionan problemas tales como:
embargo las versiones más actualizadas de estos sistemas pérdida de productividad, cortes en los sistemas de infor-
operativos solo lo contemplan como algo histórico, al no mación o daños a nivel de datos.
haber desarrollos específicos para el OS (lo que no elimi- Una de las características es la posibilidad que tienen de
na, por ej., los ataques a través de navegado web). Esta diseminarse por medio de réplicas y copias. Las redes en
48 CAPÍTULO 4. AMENAZAS
En el sistema Windows puede darse el caso de que la • Usar un bloqueador de elementos emergentes en el
computadora pueda infectarse sin ningún tipo de inter- navegador.
vención del usuario (versiones Windows 2000, XP y Ser-
ver 2003) por virus como Blaster, Sasser y sus variantes • Usar la configuración de privacidad del navegador.
por el simple hecho de estar la máquina conectada a una • Activar el Control de cuentas de usuario.
red o a Internet. Este tipo de virus aprovechan una vulne-
rabilidad de desbordamiento de buffer y puertos de red • Borrar la memoria caché de Internet y el historial del
para infiltrarse y contagiar el equipo, causar inestabili- navegador.
dad en el sistema, mostrar mensajes de error, reenviarse
a otras máquinas mediante la red local o Internet y has- • No abrir documentos sin asegurarnos del tipo de ar-
ta reiniciar el sistema, entre otros daños. En las últimas chivo. Puede ser un ejecutable o incorporar macros
versiones de Windows 2000, XP y Server 2003 se ha co- en su interior.
rregido este problema en su mayoría.
• Recicler: consiste en crear un acceso directo de un Al contrario que los residentes, estos virus no permane-
programa y eliminar su aplicación original, además cen en memoria. Por tanto, su objetivo prioritario es re-
al infectar un pendrive convierte a toda la informa- producirse y actuar en el mismo momento de ser ejecuta-
ción en acceso directo y (Se cambia la palabra “eli- dos. Al cumplirse una determinada condición, se activan
mina” por “oculta”) oculta el original de modo que y buscan los ficheros ubicados dentro de su mismo direc-
los archivos no puedan ser vistos(Se cambió “no son torio para contagiarlos.
recuperables” por “no pueden ser vistos”), pero con
la creación de un archivo “batch” que modifique los • Virus de sobreescritura:
atributos de los archivos contenidos en el pendrive,
estos podrían ser recuperados.
Estos virus se caracterizan por destruir la información
• Troyano: Consiste en robar información o alterar el contenida en los ficheros que infectan. Cuando infectan
sistema del hardware o en un caso extremo permite un fichero, escriben dentro de su contenido, haciendo que
que un usuario externo pueda controlar el equipo. queden total o parcialmente inservibles.
Otros tipos por distintas características son los que se re- Los ficheros se ubican en determinadas direcciones (com-
lacionan a continuación: puestas básicamente por unidad de disco y directorio),
que el sistema operativo conoce para poder localizarlos y
trabajar con ellos.
• Virus residentes:
Los virus de enlace o directorio alteran las direcciones
que indican donde se almacenan los ficheros. De este mo-
La característica principal de estos virus es que se ocul-
do, al intentar ejecutar un programa (fichero con exten-
tan en la memoria RAM de forma permanente o residen-
sión EXE o COM) infectado por un virus de enlace, lo
te. De este modo, pueden controlar e interceptar todas
que se hace en realidad es ejecutar el virus, ya que éste
las operaciones llevadas a cabo por el sistema operati-
habrá modificado la dirección donde se encontraba origi-
vo, infectando todos aquellos ficheros y/o programas que
nalmente el programa, colocándose en su lugar.
sean ejecutados, abiertos, cerrados, renombrados, copia-
dos. Algunos ejemplos de este tipo de virus son: Randex, Una vez producida la infección, resulta imposible locali-
CMJ, Meve, MrKlunky. zar y trabajar con los ficheros originales.
Más que un tipo de virus, se trata de una técnica utiliza- • Virus Keylogger:
da por algunos de ellos, que a su vez pueden pertenecer
a otras clasificaciones. Estos virus se cifran a sí mismos Este virus se encarga de registrar cada tecla que sea pulsa-
para no ser detectados por los programas antivirus. Para da, en algunos casos también registran los clics. Son virus
realizar sus actividades, el virus se descifra a sí mismo y, que quedan escondidos en el sistema operativo de manera
cuando ha finalizado, se vuelve a cifrar. que la víctima no tiene como saber que está siendo moni-
torizada. Los keyloggers se utilizan para usualmente para
• Virus polimórficos: robar contraseñas de cuentas bancarias, obtener contra-
señas personales como las del E-mail, Facebook, etc.
Son virus que en cada infección que realizan se cifran de
una forma distinta (utilizando diferentes algoritmos y cla-
ves de cifrado). De esta forma, generan una elevada can- 4.6.6 Acciones de los virus
tidad de copias de sí mismos e impiden que los antivirus
los localicen a través de la búsqueda de cadenas o firmas, Algunas de las acciones de algunos virus son:
por lo que suelen ser los virus más costosos de detectar.
• Unirse a cualquier programa permitiendo su propa-
Virus multipartitos gación y siendo más costoso liberarse de él.
• Ralentizar el dispositivo.
Virus muy avanzados, que pueden realizar múltiples in-
fecciones, combinando diferentes técnicas para ello. Su • Reduciendo el espacio en el disco.
objetivo es cualquier elemento que pueda ser infectado:
archivos, programas, macros, discos, etc. • Mostrando ventanas de forma constante.
copias. Una versión mejorada del mismo se conocerá co- • Packet sniffer
mo Core Wars. Muchos de los conceptos de este se ba-
san en un artículo de Alexander Dewdney en la columna • Phishing
Computer Recreations de la revista Scientific American.
• Puerta trasera
En 1972 Veith Risak publica el artículo “Selbstrepro-
duzierende Automaten mit minimaler Informationsüber- • Rootkit
tragung” (autómata auto reproducible con mínimo inter-
cambio de información).[9] El artículo describe un vi- • Seguridad informática
rus por escrito con fines de investigación. Este conte-
nía todos los componentes esenciales. Fue programa- • Spam
do en Lenguaje ensamblador para el equipo SIEMENS
4004/35 y corrió sin problemas. • Troyano (informática)
En 1975 el autor Inglés John Brunner publica la novela
• War dialing
El jinete de la onda de shock, en la que anticipa el riesgo
de virus de Internet. Thomas Joseph Ryan describió 1979 • A and A
en The Adolescence of P-1 (la adolescencia de P-1), como
una Inteligencia Artificial se propaga de forma similar a
un virus en la red informática nacional. 4.6.9 Referencias
En 1980, Jürgen Kraus escribió una tesis en la
Universidad técnica de Dortmund, en la que compara a [1] “Darwin, a Game of Survival of the Fittest among Pro-
algunos programas con los virus biológicos.[10] grams”
En 1982 Rich Skrenta, un estudiante de instituto de 15 [2] «Computer viruses for exotic platforms» (en inglés). Con-
años, programa el Elk Cloner para los Apple II, el primer sultado el 23 de septiembre de 2015.
virus informático conocido que tuvo una expansión real y
no como un concepto de laboratorio. Puede ser descrito [3] «The Amiga Virus Encyclopedia» (en inglés). Consultado
como el primer virus de sector de arranque.[11] el 23 de septiembre de 2015.
En 1984 el Profesor Leonard M. Adleman utilizó en una [4] Ferbrache, David (1992). A Pathology of Computer Viru-
conversación con Fred Cohen por primera vez el término ses (en inglés). Springer. p. 13. ISBN 978-1-4471-1774-2.
“virus informático”.
[5] Glover, Alan; Houghton, Tor O. (1992). «The Archime-
des Virus Reference Document» (en inglés). Consultado
4.6.8 Véase también el 23 de septiembre de 2015.
• Virus de telefonía móvil [6] El término Virus informático no se usaba en ese momento.
• Cortafuegos (informática) [8] Filiol, Éric (2005). Computer viruses: from theory to ap-
plications, Volume 1. Birkhäuser. pp. 19-38. ISBN 2-287-
• Cracking (software) 23939-1. Consultado el 25 de septiembre de 2015.
• Amberg, Eric (2004). KnowWare 183. Sicherheit • Wikimedia Commons alberga contenido multi-
im Internet (en alemán). Hamburgo: IPV. ISBN 87- media sobre Virus informático. Commons
91364-38-8.
• Centro de Respuesta a Incidentes de Seguridad
• Brunnstein, Klaus (1989). «3-8092-0530-3». (INTECO-CERT) del Gobierno de España - Virus
Computer-Viren-Report (en alemán). Wirtschaft y el software malicioso
Recht und Steuern, Múnich: WRS Verl.
• Antivirus en Open Directory Project
• Burger, Ralf (1991). Computer Viruses and Data • Linux y virus, no sólo cuestión de popularidad en
Protection (en inglés). Abacus (publicado el 16 de Kriptópolis.
febrero de 2010). p. 353. ISBN 978-1-55755-123-8.
• Enciclopedia de virus informáticos
• Burger, Ralf (1989). Das große Computer-Viren-
Buch (en alemán). Düsseldorf: Data Becker. ISBN
3-89011-200-5.
4.7 Gusano informático
• Janssen, Andreas (2005). KnowWare 170. Viren,
Hacker, Firewalls (en alemán). Osnabrück: Know-
Ware. ISBN 87-90785-83-5.
• Szor, Peter (2005). The Art Of Computer Virus Re- Un gusano informático (también llamado IWorm por su
search And Defense. (en inglés). Upper Saddle River apócope en inglés, “I” de Internet, Worm de gusano) es un
NJ: Addison-Wesley. ISBN 0-321-30454-3. malware que tiene la propiedad de duplicarse a sí mismo.
• Granneman, Scott (6 de octubre de 2003). «Linux Los gusanos utilizan las partes automáticas de un sistema
vs. Windows Viruses». The Register. Consultado el operativo que generalmente son invisibles al usuario.
23 de septiembre de 2015. Los gusanos informáticos se propagan de computadora a
computadora, pero a diferencia de un virus, tiene la capa-
• Mark Russinovich (Noviembre de 2006). Advanced cidad a propagarse sin la ayuda de una persona. Lo más
Malware Cleaning video (Web (WMV / MP4)). Mi- peligroso de los worms o gusanos informáticos es su ca-
crosoft Corporation. Consultado el 24 de julio de pacidad para replicarse en el sistema informático, por lo
2011. que una computadora podría enviar cientos o miles de
4.8. ATAQUE DE DENEGACIÓN DE SERVICIO 53
copias de sí mismo, creando un efecto devastador a gran 4.8 Ataque de denegación de servi-
escala.
cio
A diferencia de un virus, un gusano no necesita alterar
los archivos de programas, sino que se encuentra en la
memoria y se duplica a sí mismo. Los gusanos casi siem-
pre causan problemas en la red (aunque sea simplemen-
te consumiendo ancho de banda), mientras que los virus
siempre infectan o corrompen los archivos de la compu-
tadora que atacan.
Los gusanos se basan en una red de computadoras para
enviar copias de sí mismos a otros nodos (es decir, a otras
terminales en la red) y son capaces de llevar esto a ca-
bo sin intervención del usuario, propagándose utilizando
Internet, basándose en diversos métodos, como SMTP,
IRC, P2P, entre otros.
4.7.1 Historia
[1] Zakon, Robert H. (noviembre de 1997). «RFC 2235 - Se genera mediante la saturación de los puertos con flujo
Hobbes’ Internet Timeline». Network Working Group (en de información, haciendo que el servidor se sobrecargue
inglés). Consultado el 27 de noviembre de 2014. y no pueda seguir prestando servicios; por eso se le de-
nomina “denegación”, pues hace que el servidor no dé
abasto a la cantidad de solicitudes. Esta técnica es usa-
4.7.4 Enlaces externos da por los llamados crackers para dejar fuera de servicio
servidores objetivo.
• Wikimedia Commons alberga contenido multi- Una ampliación del ataque DoS es el llamado ataque dis-
media sobre Gusano informático. Commons tribuido de denegación de servicio, también llamado
ataque DDoS (siglas en inglés de Distributed Denial of
• Enciclopedia de Virus. Panda Security. Sitio oficial. Service) el cual se lleva a cabo generando un gran flujo de
54 CAPÍTULO 4. AMENAZAS
información desde varios puntos de conexión. La forma 2) Resetear Conexión: al haber algún error o perdida de
más común de realizar un DDoS es a través de una botnet, paquetes de envío se establece envío de Flags RST:
siendo esta técnica el ciberataque más usual y eficaz por 1-Cliente -------Reset-----> 2-servidor 4-Cliente <----
su sencillez tecnológica. Reset/ACK---- 3-Servidor 5-Cliente --------ACK------>
En ocasiones, esta herramienta ha sido utilizada como un 6-Servidor
buen método para comprobar la capacidad de tráfico que La inundación SYN envía un flujo de paquetes TCP/SYN
un ordenador puede soportar sin volverse inestable y afec-
(varias peticiones con Flags SYN en la cabecera), mu-
tar a los servicios que presta. Un administrador de redes chas veces con la dirección de origen falsificada. Cada
puede así conocer la capacidad real de cada máquina. uno de los paquetes recibidos es tratado por el destino
como una petición de conexión, causando que el servi-
4.8.1 Métodos de ataque dor intente establecer una conexión al responder con un
paquete TCP/SYN-ACK y esperando el paquete de res-
Un ataque de denegación de servicio impide el uso legí- puesta TCP/ACK (Parte del proceso de establecimiento
timo de los usuarios al usar un servicio de red. El ataque de conexión TCP de 3 vías). Sin embargo, debido a que
se puede dar de muchas formas. Pero todas tienen algo la dirección de origen es falsa o la dirección IP real no ha
en común: utilizan la familia de protocolos TCP/IP para solicitado la conexión, nunca llega la respuesta.
conseguir su propósito. Estos intentos de conexión consumen recursos en el ser-
Un ataque DoS puede ser perpetrado de varias formas. vidor y copan el número de conexiones que se pueden
Aunque básicamente consisten en: establecer, reduciendo la disponibilidad del servidor pa-
ra responder peticiones legítimas de conexión.
• Consumo de recursos computacionales, tales como SYN cookies provee un mecanismo de protección contra
ancho de banda, espacio de disco, o tiempo de pro- Inundación SYN, eliminando la reserva de recursos en el
cesador. host destino, para una conexión en momento de su gestión
inicial.
• Alteración de información de configuración, tales
como información de rutas de encaminamiento.
Inundación ICMP (ICMP Flood)
• Alteración de información de estado, tales como in-
terrupción de sesiones TCP (TCP reset). Es una técnica DoS que pretende agotar el ancho de banda
de la víctima. Consiste en enviar de forma continuada un
• Interrupción de componentes físicos de red. número elevado de paquetes ICMP Echo request (ping) de
• Obstrucción de medios de comunicación entre usua- tamaño considerable a la víctima, de forma que esta ha de
rios de un servicio y la víctima, de manera que ya no responder con paquetes ICMP Echo reply (pong) lo que
puedan comunicarse adecuadamente. supone una sobrecarga tanto en la red como en el sistema
de la víctima.
Dependiendo de la relación entre capacidad de procesa-
Inundación SYN (SYN Flood) miento de la víctima y el atacante, el grado de sobrecarga
varía, es decir, si un atacante tiene una capacidad mucho
Principios de TCP/IP Cuando una máquina se comu- mayor, la víctima no puede manejar el tráfico generado.
nica mediante TCP/IP con otra, envía una serie de datos
junto a la petición real. Estos datos forman la cabecera
de la solicitud. Dentro de la cabecera se encuentran unas SMURF
señalizaciones llamadas Flags (banderas). Estas señaliza-
ciones (banderas) permiten iniciar una conexión, cerrar- Existe una variante a ICMP Flood denominado Ataque
la, indicar que una solicitud es urgente, reiniciar una co- Smurf que amplifica considerablemente los efectos de un
nexión, etc. Las banderas se incluyen tanto en la solicitud ataque ICMP.
(cliente), como en la respuesta (servidor). Existen tres partes en un Ataque Smurf: El atacante, el
Para aclararlo, veamos cómo es un intercambio estándar intermediario y la víctima (comprobaremos que el inter-
TCP/IP: mediario también puede ser víctima).
1) Establecer Conexión: el cliente envía una Flag SYN; En el ataque Smurf, el atacante dirige paquetes ICMP ti-
si el servidor acepta la conexión, éste debería responderle
po "echo request" (ping) a una dirección IP de broadcast,
con un SYN/ACK; luego el cliente debería responder con usando como dirección IP origen, la dirección de la víc-
una Flag ACK. tima (Spoofing). Se espera que los equipos conectados
1-Cliente --------SYN-----> 2 Servidor 4-Cliente <----- respondan a la petición, usando Echo reply, a la máquina
SYN/ACK---- 3 Servidor 5-Cliente --------ACK-----> 6 origen (víctima).
Servidor Se dice que el efecto es amplificado, debido a que la can-
4.9. MALWARE 55
tidad de respuestas obtenidas, corresponde a la cantidad [2] Prolexic. «Q1 2014 sees surge in reflection-based DDoS
de equipos en la red que puedan responder. Todas estas attacks» (en inglés). Consultado el 18 de abril de 2014.
respuestas son dirigidas a la víctima intentando colapsar
[3] PR Newswire (17 de abril de 2014). «Akamai Publishes
sus recursos de red.
Prolexic Q1 2014 Global DDoS Attack Report» (en in-
Como se dijo anteriormente, los intermediarios también glés). Consultado el 18 de abril de 2014.
sufren los mismos problemas que las propias víctimas.
Malware no es lo mismo que software defectuoso; este pueden parecer el equivalente informático del grafiti.
último contiene bugs peligrosos, pero no de forma inten- Sin embargo, debido al aumento de usuarios de Internet,
cionada. el software malicioso ha llegado a ser diseñado para sacar
Los resultados provisionales de Symantec publicados en beneficio de él, ya sea legal o ilegalmente. Desde 2003,
el 2008 sugieren que «el ritmo al que se ponen en circu- la mayor parte de los virus y gusanos han sido diseña-
lación códigos maliciosos y otros programas no deseados dos para tomar control de computadoras para su explota-
podría haber superado al de las aplicaciones legítimas».[3] ción en el mercado negro. Estas computadoras infectadas
Según un reporte de F-Secure, «Se produjo tanto malwa- “computadoras zombis” son usadas para el envío masivo
re en 2007 como en los 20 años anteriores juntos».[4] de spam por correo electrónico, para alojar datos ilega-
[7]
Según Panda Security, durante los 12 meses del 2011 se les como pornografía infantil, o para unirse en ataques
crearon 73.000 nuevos ejemplares de amenazas informá- DDoS como forma de extorsión entre otras cosas.
ticas por día, 10.000 más de la media registrada en todo Hay muchos más tipos de malware producido con áni-
el año 2010. De estas, el 73% fueron troyanos y crecieron mo de lucro, por ejemplo el spyware, el adware intrusi-
de forma exponencial los del subtipo downloaders.[5][6] vo y los hijacker tratan de mostrar publicidad no desea-
da o redireccionar visitas hacia publicidad para benefi-
cio del creador. Estos tipos de malware no se propagan
4.9.1 Propósito como los virus, generalmente son instalados aprovechán-
dose de vulnerabilidades o junto con software legítimo
como aplicación informática P2P.
Backdoor 1.89% Spyware 0.08%
Adware 2.27% Others 1.18%
Viruses 16.82%
Trojan horses
69.99%
Drive-by downloads
otras acciones a menudo maliciosas, por ejemplo, borrar
archivos. Por otra parte, un gusano es un programa que
se transmite a sí mismo, explotando vulnerabilidades en Google ha descubierto que una de cada 10 páginas web
una red de computadoras para infectar otros equipos. El que han sido analizadas a profundidad puede contener los
principal objetivo es infectar a la mayor cantidad posi- llamados drive by downloads, que son sitios que instalan
ble de usuarios, y también puede contener instrucciones spyware o códigos que dan información de los equipos sin
dañinas al igual que los virus. que el usuario se percate. [12]
Nótese que un virus necesita de la intervención del usua- A estas acciones Niels Provos y otros colaboradores de
rio para propagarse mientras que un gusano se propaga Google Inc le denominaron, en un artículo, “El fantasma
automáticamente. Teniendo en cuenta esta distinción, las en la computadora”[13] Por ello, se están realizando es-
infecciones transmitidas por correo electrónico o docu- fuerzos para identificar las páginas que pudieran ser ma-
mentos de Microsoft Word, que dependen de su apertura liciosas.
por parte del destinatario para infectar su sistema, debe-
El término puede referirse a las descargas de algún tipo
rían ser clasificadas más como virus que como gusanos.
de malware que se efectúa sin consentimiento del usuario,
lo cual ocurre al visitar un sitio web, al revisar un mensaje
de correo electrónico o al entrar a una ventana pop-up, la
4.9.3 Malware ocultos: backdoor o puerta cual puede mostrar un mensaje de error. Sin ser su ver-
trasera, drive-by downloads, rootkits dadera intención, el usuario consiente la descarga de soft-
y troyanos ware indeseable o de malware, y estas vulnerabilidades se
aprovechan.
Para que un software malicioso pueda completar sus ob- El proceso de ataque Drive-by Downloads se realiza de
jetivos, es esencial que permanezca oculto al usuario. Por manera automática mediante herramientas que buscan en
ejemplo, si un usuario experimentado detecta un progra- el sitio web alguna vulnerabilidad. Una vez encontrada,
ma malicioso, terminaría el proceso y borraría el malwa- insertan un script malicioso dentro del código HTML del
re antes de que este pudiera completar sus objetivos. El sitio violado. Cuando un usuario visita el sitio infectado,
ocultamiento también puede ayudar a que el malware se este descargará dicho script en el sistema del usuario, y
instale por primera vez en la computadora. a continuación realizará una petición a un servidor Hop
Point, donde se solicitarán nuevos scripts con exploits en-
cargados de comprobar si el equipo tiene alguna vulnera-
Puertas traseras o backdoors bilidad que pueda ser explotada, intentando con ellas has-
ta que tienen éxito, en cuyo caso se descargará un script
Un backdoor o puerta trasera es un método para elu- que descarga el archivo ejecutable (malware) desde el ser-
dir los procedimientos habituales de autenticación al co- vidor.
nectarse a una computadora. Una vez que el sistema ha En la mayor parte de los navegadores se están agregando
sido comprometido (por uno de los anteriores métodos o bloqueadores antiphishing y antimalware que contienen
de alguna otra forma), puede instalarse una puerta trasera alertas que se muestran cuando se accede a una página
para permitir un acceso remoto más fácil en el futuro. Las web dañada, aunque no siempre dan una total protección.
puertas traseras también pueden instalarse previamente al
software malicioso para permitir la entrada de los atacan-
tes. Rootkits
Los crackers suelen usar puertas traseras para asegurar
el acceso remoto a una computadora, intentando perma- Las técnicas conocidas como rootkits modifican el sis-
necer ocultos ante una posible inspección. Para instalar tema operativo de una computadora para permitir que el
58 CAPÍTULO 4. AMENAZAS
mación mediante cookies de terceros o barra de herra- ra el usuario de un equipo, también se clasifica como
mientas instaladas en navegadores web. Los autores de crimeware[21] o software criminal, término dado por Pe-
spyware que intentan actuar de manera legal se presen- ter Cassidy para diferenciarlo de los otros tipos de soft-
tan abiertamente como empresas de publicidad e incluyen ware malicioso. Estos programas están encaminados al
unos términos de uso, en los que se explica de manera im- aspecto financiero, la suplantación de personalidad y el
precisa el comportamiento del spyware, que los usuarios espionaje.
aceptan sin leer o sin entender. Los keyloggers y los stealers son programas maliciosos
Por otra parte los programas adware muestran publicidad creados para robar información sensible. El creador pue-
al usuario de forma intrusiva en forma de ventana emer- de obtener beneficios económicos o de otro tipo a través
gente (pop-up) o de cualquier otra forma. Esta publici- de su uso o distribución en comunidades underground.
dad aparece inesperadamente en el equipo y resulta muy La principal diferencia entre ellos es la forma en la que
molesta. Algunos programas shareware permiten usar el recogen la información.
programa de forma gratuita a cambio de mostrar publi- Los keyloggers monitorizan todas las pulsaciones del te-
cidad, en este caso el usuario consiente la publicidad al clado y las almacenan para un posterior envío al creador.
instalar el programa. Este tipo de adware no debería ser Por ejemplo al introducir un número de tarjeta de crédito
considerado malware, pero muchas veces los términos de el keylogger guarda el número, posteriormente lo envía
uso no son completamente transparentes y ocultan lo que al autor del programa y este puede hacer pagos fraudu-
el programa realmente hace. lentos con esa tarjeta. Si las contraseñas se encuentran
Los hijackers son programas que realizan cambios en la recordadas en el equipo, de forma que el usuario no tiene
configuración del navegador web. Por ejemplo, algunos que escribirlas, el keylogger no las recoge, eso lo hacen
cambian la página de inicio del navegador por páginas los stealers. La mayoría los keyloggers son usados para
web de publicidad o página pornográfica, otros redirec- recopilar contraseñas de acceso pero también pueden ser
cionan los resultados de los buscadores hacia anuncios usados para espiar conversaciones de chat u otros fines.
de pago o páginas de phishing bancario. El pharming es
Los stealers también roban información privada pero so-
una técnica que suplanta al DNS, modificando el archivo lo la que se encuentra guardada en el equipo. Al ejecu-
hosts, para redirigir el dominio de una o varias páginas
tarse comprueban los programas instalados en el equi-
web a otra página web, muchas veces una web falsa que po y si tienen contraseñas recordadas, por ejemplo en los
imita a la verdadera. Esta es una de las técnicas usadas
navegadores web o en clientes de mensajería instantánea,
por los hijackers o secuestradores del navegador de In- descifran esa información y la envían al creador.
ternet. Esta técnica también puede ser usada con el obje-
tivo de obtener credenciales y datos personales mediante
el secuestro de una sesión. Realizar llamadas telefónicas: Dialers
Robar información personal: Keyloggers y Stealers Los dialers son programas maliciosos que toman el con-
trol del módem dial-up, realizan una llamada a un número
de teléfono de tarificación especial, muchas veces inter-
nacional, y dejan la línea abierta cargando el coste de di-
cha llamada al usuario infectado. La forma más habitual
de infección suele ser en páginas web que ofrecen con-
tenidos gratuitos pero que solo permiten el acceso me-
diante conexión telefónica. Suelen utilizar como señue-
los videojuegos, salva pantallas, pornografía u otro tipo
de material.
Actualmente la mayoría de las conexiones a Internet son
mediante ADSL y no mediante módem, lo cual hace que
los dialers ya no sean tan populares como en el pasado.
ría del mercado de los sistemas operativos, esto permite Vista. Como resultado, muchas aplicaciones existentes
a los creadores de malware infectar una gran cantidad de que requieren excesos de privilegios pueden tener pro-
computadoras sin tener que adaptar el software malicioso blemas de compatibilidad con Windows Vista. Sin em-
a diferentes sistemas operativos. bargo, el control de cuentas de usuario (UAC en inglés)
La mayoría del software y de los sistemas operativos con- de Windows Vista intenta solucionar los problemas que
tienen bugs que pueden ser aprovechados por el malwa- tienen las aplicaciones no diseñadas para usuarios no pri-
re. Los ejemplos típicos son los desbordamiento de búfer vilegiados a través de la virtualización, actuando como
(buffer overflow), en los cuales la estructura diseñada pa- apoyo para resolver el problema del acceso privilegiado
inherente en las aplicaciones heredadas.
ra almacenar datos en un área determinada de la memoria
permite que sea ocupada por más datos de los que le ca- El malware, funcionando como código sobre-
ben, sobre escribiendo otras partes de la memoria. Esto privilegiado, puede utilizar estos privilegios para
puede ser utilizado por el malware para forzar al sistema modificar el funcionamiento del sistema. Casi todos
a ejecutar su código malicioso. los sistemas operativos populares y también muchas
aplicaciones scripting permiten códigos con muchos
privilegios, generalmente en el sentido que cuando un
usuario ejecuta el código, el sistema no limita ese código
a los derechos del usuario. Esto hace a los usuarios vul-
nerables al malware contenido en archivos adjuntos de
correos electrónicos, que pueden o no estar disfrazados.
Dada esta situación, se advierte a los usuarios de que
abran solamente archivos solicitados, y ser cuidadosos
con archivos recibidos de fuentes desconocidas. Es
también común que los sistemas operativos sean dise-
ñados de modo que reconozcan dispositivos de diversos
fabricantes y cuenten con drivers para estos hardwares,
algunos de estos drivers pueden no ser muy confiables.
Las memorias USB infectadas pueden dañar la computadora du- Eliminando código sobre-privilegiado
rante el arranque.
El código sobre-privilegiado se remonta a la época en
Originalmente las computadoras tenían que ser booteadas la que la mayoría de programas eran entregados con la
con un disquete, y hasta hace poco tiempo era común que computadora. El sistema debería mantener perfiles de
fuera el dispositivo de arranque por defecto. Esto signifi- privilegios y saber cuál aplicar según el usuario o progra-
caba que un disquete contaminado podía dañar la compu- ma. Al instalar un nuevo software el administrador nece-
tadora durante el arranque, e igual se aplica a CD y me- sitaría establecer el perfil predeterminado para el nuevo
morias USB con la función AutoRun de Windows la que código.
ya ha sido modificada. Aunque eso es menos común aho-
Eliminar las vulnerabilidades en los drivers de dispositi-
ra, sigue siendo posible olvidarse de que el equipo se ini-
vos es probablemente más difícil que en los software eje-
cia por defecto en un medio removible, y por seguridad
cutables. Una técnica, usada en VMS, que puede ayudar
normalmente no debería haber ningún disquete, CD, etc.,
es solo mapear en la memoria los registros de ese dispo-
al encender la computadora. Para solucionar este proble-
sitivo.
ma de seguridad basta con entrar en la BIOS del ordena-
dor y cambiar el modo de arranque del ordenador. Otras propuestas son:
En algunos sistemas, los usuarios no administradores tie-
nen sobre-privilegios por diseño, en el sentido que se • Varias formas de virtualización, permitiendo al có-
les permite modificar las estructuras internas del siste- digo acceso ilimitado pero solo a recursos virtuales.
ma, porque se les han concedido privilegios inadecua-
• Varias formas de aislamiento de procesos también
dos de administrador o equivalente. Esta es una de-
conocido como sandbox.
cisión de la configuración por defecto, en los siste-
mas de Microsoft Windows la configuración por defec- • La virtualización a nivel de sistema operativo que
to es sobre-privilegiar al usuario. Esta situación es debi- es un método de abstracción del servidor en don-
da a decisiones tomadas por Microsoft para priorizar la de el kernel del sistema operativo permite múltiples
compatibilidad con viejos sistemas sobre la seguridad y instancias de espacio de usuario llamadas contene-
porque las aplicaciones típicas fueron desarrollados sin dores, VEs, SPV o jails, que pueden ser parecidas a
tener en cuenta a los usuarios no privilegiados. Como los un servidor real.
exploits para escalar privilegios han aumentado, esta prio-
ridad está cambiando para el lanzamiento de Windows • Las funciones de seguridad de Java.
62 CAPÍTULO 4. AMENAZAS
1. Proporcionando protección en tiempo real (real- de forma regular ya que cada día aparecen nuevas
time protection) contra la instalación de malware en amenazas.[34]
una computadora. El software anti-malware escanea
todos los datos procedentes de la red en busca de • Utilizar una cuenta de usuario con privilegios limi-
malware y bloquea todo lo que suponga una amena- tados, la cuenta de administrador solo debe utilizar-
za. se cuándo sea necesario cambiar la configuración o
instalar un nuevo software.
2. Detectando y eliminando malware que ya ha sido
instalado en una computadora. Este tipo de protec-
• Tener precaución al ejecutar software procedente de
ción frente al malware es normalmente mucho más
Internet o de medio extraíble como CD o memorias
fácil de usar y más popular.[32] Este tipo de progra-
USB. Es importante asegurarse de que proceden de
mas anti-malware escanean el contenido del registro
algún sitio de confianza.
de Windows, los archivos del sistema operativo, la
memoria y los programas instalados en la compu-
• Una recomendación en tableta, teléfono celular y
tadora. Al terminar el escaneo muestran al usuario
otros dispositivos móviles es instalar aplicaciones de
una lista con todas las amenazas encontradas y per-
tiendas muy reconocidas como App Store, Google
miten escoger cuales eliminar.
Play o Nokia Store, pues esto garantiza que no ten-
drán malware.[35] Existe además, la posibilidad de
La protección en tiempo real funciona idénticamente a la
instalar un antivirus para este tipo de dispositivos.
protección de los antivirus: el software escanea los archi-
vos al ser descargados de Internet y bloquea la actividad
• Evitar descargar software de redes P2P, ya que real-
de los componentes identificados como malware. En al-
mente no se sabe su contenido ni su procedencia.
gunos casos, también pueden interceptar intentos de eje-
cutarse automáticamente al arrancar el sistema o modifi-
• Desactivar la interpretación de Visual Basic Script
caciones en el navegador web. Debido a que muchas veces
y permitir JavaScript, ActiveX y cookies solo en
el malware es instalado como resultado de exploits para
páginas web de confianza.
un navegador web o errores del usuario, usar un softwa-
re de seguridad para proteger el navegador web puede ser
• Utilizar contraseñas de alta seguridad para evitar
una ayuda efectiva para restringir los daños que el malwa-
ataques de diccionario.[36]
re puede causar.
• Tener el sistema operativo y el navegador web Nota: El método de restauración de sistema de windows,
actualizados.[33] podría restaurar también archivos infectados, que hayan
sido eliminados anteriormente por el antivirus, por tanto
• Tener instalado un antivirus y un firewall y con- es necesario, desactivar esta función antes de desinfectar
figurarlos para que se actualicen automáticamente el sistema, y posteriormente reactivarla.
4.9. MALWARE 63
• Symantec
• TrustPort
• Windows Defender
• Winpooch
4.9.10 Referencias
[1] Microsoft TechNet. «Defining Malware: FAQ» (en in-
glés).
• Iobit Malware Fighter [10] Publicación diaria de MPA Consulting Group ® Dere-
chos reservados © Copyright internacional 1997-2010.
• Kaspersky «Microsoft:"Windows Vista no tendrá puertas traseras"».
Archivado desde el original el 26 de noviembre de 2015.
• Malwarebytes’ Anti-Malware
[11] El Universal .com, suplemento Tecnología. «suman 750
• McAfee mil afectados por virus en Skaype».
64 CAPÍTULO 4. AMENAZAS
[12] Google. searches web’s dark side/ «BBC News» (en in- 4.10 Payload (informática)
glés).
[13] Niels Provos. «The Ghost In The Browser, Analysis of El payload en informática son los datos transmitidos en
Web-based Malware» (en inglés). una comunicación. Concretamente, es la parte de la trans-
misión la cuál era el propósito fundamental de la comu-
[14] Catb.org. «The Meaning of ‘Hack’» (en inglés).
nicación, es decir, el payload no incluye información en-
[15] Bruce Schneier (Traducción al español por José M. Gó- viada como cabeceras o metadatos.
mez). «El “rootkit” del DRM de Sony: la verdadera his-
toria (Sony’s DRM Rootkit: The Real Story)». Archivado En seguridad computacional, el payload se refiere a la
desde el original el 26 de noviembre de 2015. parte del malware que realiza la acción maliciosa. En el
análisis de software malicioso como gusanos, virus o Tro-
[16] Bob Brown, Network World. «Sony BMG rootkit scandal: yanos, se refiere a los resultados del ataque del software.
5 years later, Shocking rootkit revelation seen as “seminal Ejemplos de payloads podrían ser destrucción de datos,
moment in malware history”» (en inglés).
mensajes ofensivos o correo electrónico basura enviado
[17] ESET. «Tipos de malware y otras amenazas informáti- a una gran cantidad de personas (spam).
cas».
En resumen, el payload es el mensaje que se pretende
[18] Kaspersky lab. «Programas troyanos (Caballos de Tro- transmitir en una comunicación.
ya)». Archivado desde el original el 26 de noviembre de
2015.
[19] Viruslist.com. «Droppers troyanos». Archivado desde el 4.10.1 Referencias
original el 26 de noviembre de 2015.
1. Payload Definition. Pcmag.com. 1994-12-01. Re-
[20] Symantec Corporation. «Trojan.Dropper» (en inglés). trieved 2012-02-07.
[21] ALEGSA. «Definición de Crimeware».
2. Payload Definition. Techterms.com. Retrieved
[22] InfoSpyware. «¿Qué es el Rogue Software o FakeAV?». 2012-02-07.
[23] Marcelo Rivero. «Cronología del “virus de la Policía”».
Consultado el 26 de abril de 2012. 3. Payload Definition. Securityfocus.com. Retrieved
2012-02-07.
[24] Marcelo Rivero. «Ransomware». Consultado el 23 de
agosto de 2012.
[25] Luis Corrons. «Operation Ransom: Police Virus authors 4.11 Rootkit
arrested» (en inglés). Consultado el 14 de febrero de 2013.
[26] Marcelo Rivero, Microsoft MVP Enterprise Security - Un rootkit permite un acceso de privilegio continuo a
Founder & CEO to ForoSpyware & InfoSpyware. «El “vi- una computadora pero que mantiene su presencia acti-
rus de la policía” latinoamericano!». Consultado el 22 de vamente oculta al control de los administradores al co-
abril de 2013.
rromper el funcionamiento normal del sistema operati-
[27] Definición de greyware en la Webopedia (en inglés) vo o de otras aplicaciones. El término proviene de una
concatenación de la palabra inglesa root, que significa
[28] Sobre los riesgos del grayware (en inglés)
'raíz' (nombre tradicional de la cuenta privilegiada en los
[29] Definición de graynet o greynet (en inglés) sistemas operativos Unix) y de la palabra inglesa kit, que
significa 'conjunto de herramientas’ (en referencia a los
[30] Definición de greyware (en inglés)
componentes de software que implementan este progra-
[31] Microsoft (14 de abril de 2009). «Documento informativo ma). El término rootkit tiene connotaciones peyorativas
sobre seguridad de Microsoft (951306), Una vulnerabili- ya que se lo asocia al malware.
dad en Windows podría permitir la elevación de privile-
gios». Microsoft Tech Net. En otras palabras, usualmente se lo asocia con malwa-
re, que se esconde a sí mismo y a otros programas,
[32] Fabián Romo:UNAM redes sociales. «10 sencillas formas procesos, archivos, directorios, claves de registro, y puer-
de detectar el malware en la computadora». tos que permiten al intruso mantener el acceso a una am-
[33] ESET Global LLC. «Mantenga su sistema operativo ac- plia variedad de sistemas operativos como pueden ser
tualizado». GNU/Linux, Solaris o Microsoft Windows para remota-
mente comandar acciones o extraer información sensible.
[34] ESET Global LLC. «Consejos de Seguridad».
Típicamente, un atacante instala un rootkit en una compu-
[35] DiarioTi.com,Año 14,Edición 3683. «Diez consejos para tadora después de primero haber obtenido un acceso al
un uso ciberseguro de los dispositivos móviles».
nivel raíz, ya sea por haberse aprovechado de una vulne-
[36] Departamento de Seguridad en Computo/UNAM-CERT. rabilidad conocida o por haber obtenido una contraseña
«¿Cómo crear contraseñas seguras?». (ya sea por crackeo de la encriptación o por ingeniería
4.11. ROOTKIT 65
social). Una vez que el rootkit ha sido instalado, permi- Tipos básicos
te que el atacante disfrace la siguiente intrusión y man-
tenga el acceso privilegiado a la computadora por medio Los rootkits se pueden clasificar en dos grupos: los que
de rodeos a los mecanismos normales de autenticación y van integrados en el núcleo y los que funcionan a nivel de
autorización. Pese a que los rootktis pueden servir con aplicación. Los que actúan desde el kernel añaden o modi-
muchos fines, han ganado notoriedad fundamentalmente fican una parte del código de dicho núcleo para ocultar el
como malware, escondiendo programas que se apropian backdoor. Normalmente este procedimiento se comple-
de los recursos de las computadoras o que roban contra- menta añadiendo nuevo código al kernel, ya sea mediante
señas sin el conocimiento de los administradores y de los un controlador (driver) o un módulo, como los módulos
usuarios de los sistemas afectados. Los rootkits pueden del kernel de Linux o los dispositivos del sistema de Win-
estar dirigidos al firmware, al hipervisor, al núcleo, ó , dows. Estos rootkits suelen parchear las llamadas al siste-
más comúnmente, a los programas del usuario. ma con versiones que esconden información sobre el in-
La detección del rootkit es dificultosa pues es capaz de truso. Son los más peligrosos, ya que su detección puede
corromper al programa que debería detectarlo. Los méto- ser muy complicada.
dos de detección incluyen utilizar un sistema operativo al- Los rootkits que actúan como aplicaciones pueden re-
ternativo confiable; métodos de base conductual; contro- emplazar los archivos ejecutables originales con versio-
les de firma, controles de diferencias y análisis de volcado nes crackeadas que contengan algún troyano, o también
de memoria. La eliminación del rootkit puede ser com- pueden modificar el comportamiento de las aplicaciones
plicada o prácticamente imposible, especialmente en los existentes usando hacks, parches, código inyectado, etc.
casos en que el rootkit reside en el núcleo; siendo a ve-
ces la reinstalación del sistema operativo el único método
posible que hay para solucionar el problema. Ejemplos
Algunas versiones españolas de programas lo han tradu- Algunos troyanos han utilizado estos rootkits no-
cido como « Encubridor». persistentes (FU Rootkits) que cargan en la memoria una
vez que ellos se encuentran instalados:
• SuckIT
4.11.1 Uso de los rootkits
• Adore
Un rootkit se usa habitualmente para esconder algunas
• T0rn
aplicaciones que podrían actuar en el sistema atacado.
Suelen incluir backdoors (puertas traseras) para ayudar al • Ambient’s Rootkit (ARK)
intruso a acceder fácilmente al sistema una vez que se ha
conseguido entrar por primera vez. Por ejemplo, el root- • Hacker Defender
kit puede esconder una aplicación que lance una consola
cada vez que el atacante se conecte al sistema a través de • First 4 Internet XCP (Extended Copy Protection)
un determinado puerto. Los rootkits del kernel o núcleo DRM
pueden contener funcionalidades similares. Un backdoor
• RkU Test Rootkit & Unreal[1]
puede permitir también que los procesos lanzados por un
usuario sin privilegios de administrador ejecuten algunas • Rootkit de núcleo : UACd (Agrega un driver de muy
funcionalidades reservadas únicamente al superusuario. bajo nivel llamado UACd.sys)
Todo tipo de herramientas útiles para obtener informa-
ción de forma ilícita pueden ser ocultadas mediante root- • Rootkits de Macintosh
kits.
Los rootkits se utilizan también para usar el sistema ata-
cado como «base de operaciones», es decir, usarlo a su
4.11.3 Detección de rootkits
vez para lanzar ataques contra otros equipos. De este mo-
Hay limitaciones inherentes a cualquier programa que in-
do puede parecer que es el sistema infiltrado el que lanza
tente detectar rootkits mientras se estén ejecutando en
los ataques y no el intruso externo. Este tipo de ataques
el sistema sospechoso. Los rootkits son aplicaciones que
podrían ser de denegación de servicio (DoS), ataques me-
modifican muchas de las herramientas y librerías de las
diante IRC o mediante correo electrónico (spam).
cuales depende el sistema. Algunos rootkits modifican el
propio kernel (a través de módulos y otros métodos como
se indica más arriba).[cita requerida] El principal problema de
la detección de rootkits consiste en que el sistema opera-
4.11.2 Tipos de rootkits tivo en ejecución no es fiable globalmente.[cita requerida] En
otras palabras, algunas acciones como pedir la lista de los
66 CAPÍTULO 4. AMENAZAS
4.11.4 Véase también Un keylogger (derivado del inglés: key ('tecla') y log-
ger ('registrador'); 'registrador de teclas’) es un tipo de
• Cracker
software o un dispositivo hardware específico que se en-
• Hacker carga de registrar las pulsaciones que se realizan en el
teclado, para posteriormente memorizarlas en un fichero
• Malware o enviarlas a través de internet.
4.12. KEYLOGGER 67
Suele usarse como malware del tipo daemon, permitien- pueden ser eventualmente inadvertidos se detectan
do que otros usuarios tengan acceso a contraseñas impor- fácilmente con una revisión visual detallada.
tantes, como los números de una tarjeta de crédito, u otro
tipo de información privada que se quiera obtener. 2. Dispositivos que se pueden instalar dentro de los te-
clados estándares, requiere de habilidad para soldar
El registro de lo que se teclea puede hacerse tanto con y de tener acceso al teclado que se modificará. No
medios de hardware como de software. Los sistemas co- son detectables a menos que se abra el cuerpo del
merciales disponibles incluyen dispositivos que pueden teclado.
conectarse al cable del teclado (lo que los hace inmedia-
tamente disponibles pero visibles si un usuario revisa el 3. Teclados reales del reemplazo que contienen el
teclado) y al teclado mismo (que no se ven pero que se Keylogger ya integrado. Son virtualmente imper-
necesita algún conocimiento de como soldarlos para ins- ceptibles, a menos que se les busque específicamen-
talarlos en el teclado). Escribir aplicaciones para realizar te.
keylogging es trivial y, como cualquier programa compu-
tacional, puede ser distribuido a través de un troyano o
como parte de un virus informático o gusano informáti- Keylogger con software
co. Incluso puede alterar las búsquedas en Google, crean-
do búsquedas inexistentes y otras páginas adicionales. Se Contrariamente a las creencias populares, el código de un
suele descargar comprimido para eludir antivirus. Se di- keylogger por software es simple de escribir, con un cono-
ce que se puede utilizar un teclado virtual para evitar cimiento básico de la API proporcionada por el sistema
esto, ya que sólo requiere clics del ratón. Sin embargo, operativo objetivo. Los keyloggers de software se dividen
las aplicaciones más nuevas también registran screenshots en:
(capturas de pantalla) al realizarse un clic, que anulan la
seguridad de esta medida. La mejor medida de esto es
1. Basado en núcleo: este método es el más difícil
formatear la PC..
de escribir, y también de combatir. Tales keylog-
gers residen en el nivel del núcleo y son así prác-
4.12.1 Funcionamiento ticamente invisibles. Derriban el núcleo del sistema
operativo y tienen casi siempre el acceso autorizado
El registro de las pulsaciones del teclado se puede alcan- al hardware que los hace de gran alcance. Un keylog-
zar por medio de hardware y de software: ger que usa este método puede actuar como driver
del teclado por ejemplo, y accede así a cualquier in-
formación registrada en el teclado mientras que va
Keylogger con Hardware al sistema operativo.
4.12.2 Protección
Un keylogger tipo hardware.
En algunas computadoras podemos darnos cuenta si están
Son dispositivos disponibles en el mercado que vienen en infectadas por un keylogger (dependiendo de la velocidad
tres tipos: y uso de CPU de nuestro procesador) por el hecho de que
el programa registrará cada una de nuestras teclas de la
1. Adaptadores en línea que se intercalan en la cone- siguiente manera: FicheroLog = FicheroLog + UltimaTe-
xión del teclado, tienen la ventaja de poder ser ins- cla, este evento será ejecutado por el keylogger cada vez
talados inmediatamente. Sin embargo, mientras que que el usuario presione una tecla. Si bien este evento no
68 CAPÍTULO 4. AMENAZAS
Anti-spyware
Firewall
Monitores de red
Software anti-keylogging
Defensas
• Un mecanismo de autenticación de la entidad Hoy en día, cada vez hay más demanda por parte de las
(por ejemplo, contraseña, una mapa, una clave, una empresas para poder rastrear el acceso a sus ordenadores
biométrica, ...). Este mecanismo no es útil en sí mis- usando una notificación de derechos de acceso.
mo, pero es esencial para el funcionamiento de los
dos siguientes:[2]
5.1.2 Véase también
• Un mecanismo de autorización (la entidad puede
ser autenticada, pero no tiene el derecho a acceder a • Acceso condicional
este recurso en un momento dado).
• Control de acceso informático
• Un mecanismo de trazabilidad: a veces el meca-
nismo de autorización puede ser insuficiente para • Campanilla de puerta
69
70 CAPÍTULO 5. DEFENSAS
Esta es la primera barrera de protección de la red. Empleo de sistemas operativos más seguros
proceso de verificar la identidad de una persona, mientras usuarios permite a estos sistemas asumir con una seguri-
la autorización es el proceso de verificación que una per- dad razonable que quien se está conectando es quien dice
sona conocida tiene la autoridad para realizar una cierta ser para que luego las acciones que se ejecuten en el sis-
operación. La autenticación, por lo tanto, debe preceder tema puedan ser referidas luego a esa identidad y aplicar
la autorización. Para distinguir la autenticación de la au- los mecanismos de autorización y/o auditoría oportunos.
torización de término estrechamente relacionada, existen El primer elemento necesario (y suficiente estrictamente
unas notaciones de taquigrafía que son: A1 para la auten- hablando) por tanto para la autenticación es la existencia
ticación y A2 para la autorización que de vez en cuando de identidades biunívocamente identificadas con un iden-
son usadas,también existen los términos AuthN y AuthZ
tificador único (valga la redundancia). Los identificadores
que son usados en algunas comunidades. de usuarios pueden tener muchas formas siendo la más
común una sucesión de caracteres conocida comúnmente
como login.
5.3.2 Tipos de autenticación
El proceso general de autenticación consta de los siguien-
Los métodos de autenticación están en función de lo que tes pasos:
utilizan para la verificación y estos se dividen en tres ca-
tegorías: 1. El usuario solicita acceso a un sistema.
2. El sistema solicita al usuario que se au-
• Sistemas basados en algo conocido. tentique.
Ejemplo, un password (Unix) o passph-
rase (PGP). 3. El usuario aporta las credenciales que le
identifican y permiten verificar la auten-
• Sistemas basados en algo poseído. Ejem- ticidad de la identificación.
plo, una tarjeta de identidad, una tarjeta
4. El sistema valida según sus reglas si las
inteligente(smartcard), dispositivo usb
credenciales aportadas son suficientes pa-
tipo epass token, Tarjeta de coordenadas,
ra dar acceso al usuario o no.
smartcard o dongle criptográfico.
• Sistemas basados en una característica fí-
sica del usuario o un acto involuntario del 5.3.5 Control de acceso
mismo: Ejemplo, verificación de voz, de
escritura, de huellas, de patrones ocula- Un ejemplo familiar es el control de acceso. Un siste-
res. ma informático supuesto para ser utilizado solamente por
aquellos autorizados, debe procurar detectar y excluir el
desautorizado. El acceso a él por lo tanto es controlado
5.3.3 Características de autenticación generalmente insistiendo en un procedimiento de la au-
tentificación para establecer con un cierto grado estable-
Cualquier sistema de identificación ha de poseer unas de- cido de confianza la identidad del usuario, por lo tanto
terminadas características para ser viable: concediendo esos privilegios como puede ser autorizado
a esa identidad. Los ejemplos comunes del control de ac-
• Ha de ser fiable con una probabilidad ceso que implican la autenticación incluyen:
muy elevada (podemos hablar de tasas de
fallo de en los sistemas menos seguros). • Retirar de dinero de un cajero automáti-
• Económicamente factible para la organi- co.
zación (si su precio es superior al valor • Control de un computador remoto sin In-
de lo que se intenta proteger, tenemos un ternet.
sistema incorrecto).
• Uso de un sistema Internet banking.
• Soportar con éxito cierto tipo de ataques.
• Ser aceptable para los usuarios, que serán Sin embargo, observar que mucha de la discusión sobre
al fin y al cabo quienes lo utilicen. estos asuntos es engañosa porque los términos se utilizan
sin la precisión. Parte de esta confusión puede ser debido
“al tono de la aplicación de ley” de mucha de la discusión.
5.3.4 Mecanismo general de autenticación Ninguna computadora, programa de computadora, o po-
der del usuario de la computadora “confirman la identi-
La mayor parte de los sistemas informáticos y redes man- dad” de otro partido. No es posible “establece” o “probar”
tienen de uno u otro modo una relación de identidades una identidad, cualquiera. Hay ediciones difíciles que es-
personales (usuarios) asociadas normalmente con un per- tán al acecho debajo de qué aparece ser una superficie
fil de seguridad, roles y permisos. La autenticación de directa.
74 CAPÍTULO 5. DEFENSAS
Es solamente posible aplicar una o más pruebas que, si • Autenticación triple factor “al-
están pasadas, se han declarado previamente para ser su- go que tengo” el dispositivo
ficientes proceder. El problema es determinarse qué prue- criptográfico + “algo que sé"
bas son suficientes, y muchos tales son inadecuadas. Tie- una clave de autenticación ti-
nen sido muchos casos de tales pruebas que son spoofed po PIN (al token criptográfico)
con éxito; tienen por su falta demostrada, ineludible, ser + “quién soy” la huella dactilar
inadecuadas. Mucha gente continúa mirando las pruebas que me permite autenticarme
-- y la decisión para mirar éxito en pasar -como aceptable, al dispositivo de forma unívo-
y para culpar su falta en “sloppiness” o “incompetencia” ca.
de parte alguien. El problema es que la prueba fue su-
puesta para trabajar en la práctica -- no bajo condiciones
Una combinación de métodos se utiliza a veces, ejemplo,
ideales de ningún sloppiness o incompetencia-y no. Es launa tarjeta de banco y un PIN, en este caso se utiliza el
prueba que ha fallado en tales casos. Considerar la cajatérmino “autenticación de dos factores”. Históricamen-
muy común de un email de la confirmación a el cual de- te, las huellas digitales se han utilizado como el méto-
ba ser contestado para activar una cuenta en línea de una
do más autoritario de autenticación, pero procesos lega-
cierta clase. Puesto que el email se puede arreglar fácil-
les recientes en los E.E.U.U. y a otra parte han levantado
mente para ir a o para venir de direcciones falsas y untra-
dudas fundamentales sobre fiabilidad de la huella digi-
ceable, éste es justo sobre la menos autenticación robusta
tal. Otros métodos biométricos son prometedores (las ex-
posible. El éxito en pasar esta prueba significa poco, sin
ploraciones retinianas y de la huella digital son un ejem-
consideración alguna hacia sloppiness o incompetencia. plo), pero han demostrado ser fácilmente engañados en la
práctica. En un contexto de los datos de la computadora,
se han desarrollado protocolos de desafío-respuesta que
5.3.6 Autenticación por multifactor permiten el acceso si el que se quiere autenticar respon-
de correctamente a un desafío propuesto por el verifica-
Los factores de la autenticación para los seres humanos dor. Hay protocolos desafío-respuesta basados en algorit-
se clasifican, generalmente, en cuatro casos: mos criptográficos llamándose protocolos criptográficos
de desafío-respuesta. La seguridad de los protocolos crip-
• Algo que el usuario es (ejem- tográficos de desafío-respuesta se basa en la seguridad de
plo, la huella digital o el pa- los algoritmos criptográficos que usa.
trón retiniano), la secuencia de
ADN (hay definiciones clasifi-
cadas de cuál es suficiente), el
5.3.7 Autenticación
patrón de la voz (otra vez va-
El Authentication fue definido por Arnnei Speiser en
rias definiciones), el reconoci-
2003 mientras que la Web basó el servicio que proporcio-
miento de la firma, las señales
na en la autenticación de usuarios finales que tienen acce-
bio-eléctricas únicas produci-
so (Login) a un servicio de Internet. La Autenticación es
das por el cuerpo vivo, u otro
similar a la verificación de la tarjeta de crédito para los
identificador biométrico).
Web site del eCommerce. La verificación es hecha por un
• Algo que el usuario tiene servicio dedicado que reciba la entrada y vuelva la indi-
(ejemplo, tarjeta de la identi- cación del éxito o de fallo. Por ejemplo, un usuario final
ficación, símbolo de la seguri- desea entrar en su Web site. Él consigue entrar en una
dad, símbolo del software o te- página Web de la conexión que requiere para acceso, su
léfono celular) user-id y una contraseña o a los sitios asegurados y su con-
• Algo que el usuario sabe traseña a la vez. La información se transmite al servicio
(ejemplo, una contraseña, una del eAuthentication como pregunta. Si el servicio vuelve
frase o un número de identi- éxito, permiten al usuario final entrar en el servicio de esa
ficación personal (el PIN) del página Web con sus privilegios como usuario.
paso).
• Algo que el usuario hace
(ejemplo, reconocimiento de 5.3.8 Autenticación de usuarios en Unix
voz, firma, o el paso).
Autenticación clásica
y
• Autenticación mediante dos En un sistema Unix habitual cada usuario posee un nom-
factores “algo que tengo” la bre de entrada al sistema o login y una clave o password;
llave + “algo que sé" un núme- ambos datos se almacenan generalmente en el fichero
ro de PIN (token criptográfi- /etc/passwd. Este archivo contiene una línea por usua-
co) rio donde se indica la información necesaria para que los
5.3. AUTENTICACIÓN 75
cos de la autenticación de usuarios: el hecho de que una ciada la regla. Las entradas válidas son:
vez que se ha definido e implantado cierto mecanismo
en un entorno, es difícil cambiarlo. Mediante PAM po- • account: este módulo maneja la cuenta sin
demos comunicar a nuestra aplicaciones con los métodos basarse en autenticación. Típicamente se
de autenticación que deseemos de una forma transparen- usa para restringir/permitir el acceso a un
te, lo que permite integrar las utilidades de un sistema servicio basado en la hora o quizás desde
Unix clásico (login, ftp, telnet...) con esquemas diferentes donde se loguea el usuario (ej.: root solo
del habitual password: claves de un solo uso, biométricos, se puede loguear desde consola
tarjetas inteligentes...
• auth: provee mecanismo de autenticación
La gran mayoría de las aplicaciones de linux usan estos
(el usuario es quien dice ser).
métodos (PAM) para autenticarse frente al sistema, ya
que una aplicación preparada para PAM (PAM-aware)
• password: este módulo es requerido para
puede cambiar el mecanismo de autenticación que usa
modificar la password del usuario.
sin necesidade de recompilar los fuentes. Incluso se pue-
de llegar a cambiar el sistema de autenticación local sin
• session: este módulo está asociado con
siquiera tocar las aplicaciones existentes.
hacer tareas previas y/o posteriores al ini-
PAM viene `de serie' en diferentes sistemas Unix, tan- cio del servicio mismo (pueden ser co-
to libres como comerciales, y el nivel de abstracción que sas como montar un directorio, activar
proporciona permite cosas tan interesantes como kerbe- logueos, etc).
rizar nuestra autenticación (al menos la parte servidora)
sin más que cambiar la configuración de PAM, que se El tercer campo control especifica que hacer si falla el
encuentra bien en el fichero /etc/pam.conf o bien en di- control aplicado. Existen dos sintaxis para este campo,
ferentes archivos dentro del directorio /etc/pam.d/ una sencilla de un campo y otra que especifica más de
PAM trabaja con cuatro tipos separados de tareas de un campo dentro de corchetes rectos [] Para la básica, las
administración: authentication, account, session, y pass- opciones son:
word. La asociación del esquema de administración pre-
• required: indica que esta regla debe ser
ferido con el comportamiento de la aplicación se hace
exitosa, de lo contrario el usuario no es
mediante archivos de configuración. Las funciones de ad-
autorizado a correr el servicio. Si falla se
ministración las hacen módulos que se especifican en el
devuelve el control al programa, pero an-
archivo de configuración. Más adelante se explicara bre-
tes se ejecutan todos los módulos.
vemente la sintaxis del archivo de configuración ya que
se va fuera del alcance de este artículo.
• requisite: es como el required, pero de-
Cuando una aplicación preparada para PAM inicia, se ac- vuelve el control al programa enseguida
tiva su comunicación con la API de PAM. Entre otras de fallar.
cosas esto fuerza la lectura del archivo de configura-
ción: /etc/pam.conf. Alternativamente puede ser que se • sufficient: Si este módulo se verifica, en-
inicie la lectura de los archivos de configuración ba- tonces (se devuelve) se le da el ok al pro-
jo /etc/pam.d/ (cuando existe un archivo de configura- grama y no se sigue verificando los otros
ción correcto bajo este directorio, se ignora el archivo módulos.
/etc/pam.conf)
• optional: la falla o no de este módulo es
solo importante si es el único existente.
Sintaxis del archivo de configuración
El cuarto campo module-path especifica el path al módulo
El archivo (/etc/pam.conf) está formado por una lista de PAM asociado con la regla. Los módulos se encuentran
reglas (típicamente una por línea). Cada regla es un con-
en /lib/security.
junto de campos separados por espacios (los tres prime-
ros son case-sensitives): El quinto campo module-arguments es un conjunto de ce-
ro o más argumentos pasados al módulo durante su invo-
service type control module-path module-arguments cación. Los argumentos varían según el módulo.
La sintaxis de los archivos bajo /etc/pam.d/ es igual salvo La configuración de los archivos de configuración bajo
que no existe el campo “service”. En este caso “service” /etc/pam.d/ resulta ser más flexible (se evita tener una ar-
es el nombre del archivo en el directorio /etc/pam.d/ (el chivo único enorme). Bajo este directorio se puede en-
nombre del archivo debe estar en minúsculas) Usualmen- contrar el archivo de confiuración personal de un servicio
te service es el nombre del servicio o aplicación común- particular como ser ssh. La única diferencia entre la sin-
mente usado, ejemplo de esto son login, su y ssh. taxis del archivo /etc/pam.conf es que no existe el campo
type especifica a que grupo de administración está aso- service.
5.5. CORTAFUEGOS (INFORMÁTICA) 77
5.3.10 Véase también capacidad, sobre la base del «principio de privilegio mí-
nimo»: a los consumidores sólo se les deben conceder los
• AAA = Autenticación, Autorización y Traceabili- permisos que necesitan para realizar su trabajo. Los siste-
dad (Accounting) mas operativos monousuarios más antiguos solían tener
sistemas de autenticación y autorización débiles o care-
• Criptografía
cían por completo de ellos.
• SSH Se llama «consumidores anónimos» o «invitados» a
aquellos consumidores a los que no se les ha exigido que
• RADIUS
se autentiquen. A menudo tienen muy pocos permisos. En
• DIAMETER un sistema distribuido, suele ser deseable conceder acce-
so sin exigir una identidad única. Ejemplos familiares de
• Autorización tokens de autorización incluyen llaves y tiques, que per-
• CAPTCHA miten conceder acceso sin que se provea una identidad.
Existe también el concepto de consumidores «confiables»
• TCP Wrapper (trusted). Los consumidores que se han autenticado y a los
• punto de acceso que se señalan como confiables se les permite acceso ili-
mitado a los recursos. Los consumidores «parcialmente
• Kerberos confiables» e invitados están sujetos a autorización para
usar los recursos protegidos. Las aplicaciones de políticas
• LDAP de seguridad de algunos sistemas operativos, conceden
por defecto a todos los consumidores acceso completo
5.3.11 Enlaces externos a todos los recursos. Otros hacen lo opuesto, insistiendo
en que el administrador lleve a cabo acciones deliberadas
• Autenticación y autorización para permitir a cada consumidor el uso de cada recurso.
Incluso cuando la autorización se realiza usando una com-
• Autenticación de usuarios
binación de autenticación y ACLs, los problemas de man-
tener los datos de las políticas de seguridad no es trivial,
5.3.12 Referencias representando a menudo tanta sobrecarga administrati-
va como la prueba de las necesarias identidades de usua-
rio. A menudo es deseable eliminar la autorización de un
5.4 Autorización usuario: para ello, con la aplicación de políticas de segu-
ridad, es necesario que los datos sean actualizables.
En ingeniería de seguridad y seguridad informática, la
autorización es una parte del sistema operativo que pro-
tege los recursos del sistema permitiendo que sólo sean 5.4.2 Véase también
usados por aquellos consumidores a los que se les ha
concedido autorización para ello. Los recursos incluyen • Ingeniería de seguridad
archivos y otros objetos de dato, programas, dispositivos • Seguridad informática
y funcionalidades provistas por aplicaciones. Ejemplos de
consumidores son usuarios del sistema, programas y otros • Autenticación
dispositivos. Atentamente, Cynthia Jiménez
• Control de acceso
• Kerberos
5.4.1 Visión general
• Sistema operativo
El proceso de autorización se usa para decidir si la perso-
na, programa o dispositivo X tiene permiso para acceder • Autorización OSID
al dato, funcionalidad o servicio Y.
La mayoría de los sistemas operativos multiusuarios mo- 5.4.3 Referencias
dernos incluyen un proceso de autorización. Éste hace uso
del proceso de autenticación para identificar a los consu-
midores. Cuando un consumidor intenta usar un recur- 5.5 Cortafuegos (informática)
so, el proceso de autorización comprueba que al consu-
midor le ha sido concedido permiso para usar ese re- Un cortafuegos (firewall) es una parte de un sistema o
curso. Los permisos son generalmente definidos por el una red que está diseñada para bloquear el acceso no au-
administrador de sistemas en algún tipo de «aplicación torizado, permitiendo al mismo tiempo comunicaciones
de políticas de seguridad», tales como una ACL o una autorizadas.
78 CAPÍTULO 5. DEFENSAS
ción.
El filtrado de paquetes actúa mediante la inspección de los ejemplo: protocolo de transferencia de ficheros, DNS o
paquetes (que representan la unidad básica de transferen- navegación web), y permite detectar si un protocolo no
cia de datos entre ordenadores en Internet). Si un paquete deseado se coló a través de un puerto no estándar o si se
coincide con el conjunto de reglas del filtro, el paquete está abusando de un protocolo de forma perjudicial.
se reducirá (descarte silencioso) o será rechazado (des- Un cortafuegos de aplicación es mucho más seguro y fia-
prendiéndose de él y enviando una respuesta de error al ble cuando se compara con un cortafuegos de filtrado de
emisor). Este tipo de filtrado de paquetes no presta aten- paquetes, ya que repercute en las siete capas del modelo
ción a si el paquete es parte de una secuencia existente de referencia OSI. En esencia es similar a un cortafuegos
de tráfico. En su lugar, se filtra cada paquete basándo-
de filtrado de paquetes, con la diferencia de que también
se únicamente en la información contenida en el paquete podemos filtrar el contenido del paquete. El mejor ejem-
en sí (por lo general utiliza una combinación del emisor
plo de cortafuegos de aplicación es ISA (Internet Security
del paquete y la dirección de destino, su protocolo, y, en and Acceleration).
el tráfico TCP y UDP, el número de puerto).[5] Los pro-
tocolos TCP y UDP comprenden la mayor parte de co- Un cortafuegos de aplicación puede filtrar protocolos
municación a través de Internet, utilizando por conven- de capas superiores tales como FTP, TELNET, DNS,
ción puertos bien conocidos para determinados tipos de DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo,
tráfico, por lo que un filtro de paquetes puede distinguir si una organización quiere bloquear toda la información
entre ambos tipos de tráfico (ya sean navegación web, im- relacionada con una palabra en concreto, puede habili-
presión remota, envío y recepción de correo electrónico, tarse el filtrado de contenido para bloquear esa palabra
transferencia de archivos…); a menos que las máquinas en particular. No obstante, los cortafuegos de aplicación
a cada lado del filtro de paquetes estén a la vez utilizando resultan más lentos que los de estado.
los mismos puertos no estándar.[6]
El filtrado de paquetes llevado a cabo por un cortafuegos Acontecimientos posteriores
actúa en las tres primeras capas del modelo de referencia
OSI, lo que significa que todo el trabajo lo realiza entre En 1992, Bob Braden y DeSchon Annette, de la
la red y las capas físicas.[7] Cuando el emisor origina un Universidad del Sur de California (USC), dan forma al
paquete y es filtrado por el cortafuegos, éste último com- concepto de cortafuegos. Su producto, conocido como
prueba las reglas de filtrado de paquetes que lleva con- “Visas”, fue el primer sistema con una interfaz gráfica con
figuradas, aceptando o rechazando el paquete en conse- colores e iconos, fácilmente implementable y compatible
cuencia. Cuando el paquete pasa a través de cortafuegos, con sistemas operativos como Windows de Microsoft o
éste filtra el paquete mediante un protocolo y un número MacOS de Apple.[cita requerida] En 1994, una compañía is-
de puerto base (GSS). Por ejemplo, si existe una norma raelí llamada Check Point Software Technologies lo pa-
en el cortafuegos para bloquear el acceso telnet, bloquea- tentó como software denominándolo FireWall-1.
rá el protocolo TCP para el número de puerto 23.
La funcionalidad existente de inspección profunda de pa-
quetes en los actuales cortafuegos puede ser compartida
Segunda generación – cortafuegos de estado por los sistemas de prevención de intrusiones (IPS).
Actualmente, el Grupo de Trabajo de comunicación
Durante 1989 y 1990, tres colegas de los laboratorios Middlebox de la Internet Engineering Task Force (IETF)
AT&T Bell, Dave Presetto, Janardan Sharma, y Nigam está trabajando en la estandarización de protocolos para
Kshitij, desarrollaron la segunda generación de servido- la gestión de cortafuegos.[cita requerida]
res de seguridad. Esta segunda generación de cortafuegos
tiene en cuenta, además, la colocación de cada paquete Otro de los ejes de desarrollo consiste en integrar la iden-
individual dentro de una serie de paquetes. Esta tecno- tidad de los usuarios dentro del conjunto de reglas del cor-
logía se conoce generalmente como la inspección de es- tafuegos. Algunos cortafuegos proporcionan característi-
tado de paquetes, ya que mantiene registros de todas las cas tales como unir a las identidades de usuario con las di-
conexiones que pasan por el cortafuegos, siendo capaz recciones IP o MAC. Otros, como el cortafuegos NuFW,
de determinar si un paquete indica el inicio de una nue- proporcionan características de identificación real solici-
va conexión, es parte de una conexión existente, o es un tando la firma del usuario para cada conexión.[cita requerida]
paquete erróneo. Este tipo de cortafuegos pueden ayudar
a prevenir ataques contra conexiones en curso o ciertos
ataques de denegación de servicio. 5.5.2 Tipos de cortafuegos
Nivel de aplicación de pasarela
Tercera generación - cortafuegos de aplicación
Aplica mecanismos de seguridad para aplicaciones espe-
Son aquellos que actúan sobre la capa de aplicación del cíficas, tales como servidores FTP y Telnet. Esto es muy
modelo OSI. La clave de un cortafuegos de aplicación es eficaz, pero puede imponer una degradación del rendi-
que puede entender ciertas aplicaciones y protocolos (por miento.
80 CAPÍTULO 5. DEFENSAS
Circuito a nivel de pasarela yendo una amenaza. La siguiente lista muestra algunos de
estos riesgos:
Aplica mecanismos de seguridad cuando una conexión
TCP o UDP es establecida. Una vez que la conexión se
• Un cortafuegos no puede proteger contra aquellos
ha hecho, los paquetes pueden fluir entre los anfitriones
ataques cuyo tráfico no pase a través de él.
sin más control. Permite el establecimiento de una sesión
que se origine desde una zona de mayor seguridad hacia
• El cortafuegos no puede proteger de las amenazas a
una zona de menor seguridad.
las que está sometido por ataques internos o usua-
rios negligentes. El cortafuegos no puede prohibir a
Cortafuegos de capa de red o de filtrado de paquetes espías corporativos copiar datos sensibles en medios
físicos de almacenamiento (discos, memorias, etc.)
Funciona a nivel de red (capa 3 del modelo OSI, capa 2 y sustraerlas del edificio.
del stack de protocolos TCP/IP) como filtro de paquetes
IP. A este nivel se pueden realizar filtros según los dis- • El cortafuegos no puede proteger contra los ataques
tintos campos de los paquetes IP: dirección IP origen, di- de ingeniería social.
rección IP destino. A menudo en este tipo de cortafuegos
se permiten filtrados según campos de nivel de transpor- • El cortafuegos no puede proteger contra los ataques
te (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto posibles a la red interna por virus informáticos a tra-
origen y destino, o a nivel de enlace de datos (no existe en vés de archivos y software. La solución real está en
TCP/IP, capa 2 Modelo OSI) como la dirección MAC. que la organización debe ser consciente en instalar
software antivirus en cada máquina para protegerse
de los virus que llegan por cualquier medio de alma-
Cortafuegos de capa de aplicación cenamiento u otra fuente.
Trabaja en el nivel de aplicación (capa 7 del modelo OSI), • El cortafuegos no protege de los fallos de seguridad
de manera que los filtrados se pueden adaptar a caracte- de los servicios y protocolos cuyo tráfico esté per-
rísticas propias de los protocolos de este nivel. Por ejem- mitido. Hay que configurar correctamente y cuidar
plo, si trata de tráfico HTTP, se pueden realizar filtrados la seguridad de los servicios que se publiquen en In-
según la URL a la que se está intentando acceder, e inclu- ternet.
so puede aplicar reglas en función de los propios valores
de los parámetros que aparezcan en un formulario web.
Un cortafuegos a nivel 7 de tráfico HTTP suele denomi- 5.5.5 Políticas del cortafuegos
narse proxy, y permite que los ordenadores de una orga-
nización entren a Internet de una forma controlada. Un Hay dos políticas básicas en la configuración de un corta-
proxy oculta de manera eficaz las verdaderas direcciones fuegos que cambian radicalmente la filosofía fundamen-
de red. tal de la seguridad en la organización:
Las limitaciones se desprenden de la misma definición La política restrictiva es la más segura, ya que es más di-
del cortafuegos: filtro de tráfico. Cualquier tipo de ataque fícil permitir por error tráfico potencialmente peligroso,
informático que use tráfico aceptado por el cortafuegos mientras que en la política permisiva es posible que no se
(por usar puertos TCP abiertos expresamente, por ejem- haya contemplado algún caso de tráfico peligroso y sea
plo) o que sencillamente no use la red, seguirá constitu- permitido por omisión.
5.6. SISTEMA DE DETECCIÓN DE INTRUSOS 81
• Firewalls: Seguridad en Internet - Comparativa 2. NIDS (NetworkIDS): un IDS basado en red, detec-
(PDF) tando ataques a todo el segmento de la red. Su inter-
82 CAPÍTULO 5. DEFENSAS
la cual fue finalmente adquirida por NetScreen Techno- • Detección basada en anomalías: en función con el
logies, que a su vez fue adquirida por Juniper Networks patrón de comportamiento normal de tráfico.
en 2004. Dado que los IPS fueron extensiones literales de
los sistemas IDS, continúan en relación.
Detección basada en firmas
También es importante destacar que los IPS pueden ac-
tuar al nivel de equipo, para combatir actividades poten- Una firma tiene la capacidad de reconocer una determi-
cialmente maliciosas. nada cadena de bytes en cierto contexto, y entonces lanza
una alerta. Por ejemplo, los ataques contra los servidores
Web generalmente toman la forma de URLs. Por lo tan-
5.7.1 Funcionamiento to se puede buscar utilizando un cierto patrón de cadenas
que pueda identificar ataques al servidor web. Sin embar-
Un Sistema de Prevención de Intrusos o Intrusion Preven- go, como este tipo de detección funciona parecido a un
tion System (“IPS” en sus siglas en inglés), es un disposi- antivirus, el administrador debe verificar que las firmas
tivo de seguridad de red que monitoriza el tráfico de red estén constantemente actualizadas.
y/o las actividades de un sistema, en busca de actividad
maliciosa. Entre sus principales funciones, se encuentran
no sólo la de identificar la actividad maliciosa, sino la de Detección basada en políticas
intentar detener esta actividad. Siendo ésta última una ca-
racterística que distingue a este tipo de dispositivos de los En este tipo de detección, el IPS requiere que se decla-
llamados Sistemas de Detección de Intrusos o Intrusion ren muy específicamente las políticas de seguridad. Por
Detection Systems (“IDS” en sus siglas en inglés). ejemplo, determinar que hosts pueden tener comunica-
Entre otras funciones (como en el caso del IDS) se tiene ción con determinadas redes. El IPS reconoce el tráfico
que puede alertar al administrador ante la detección de in- fuera del perfil permitido y lo descarta.
trusiones o actividad maliciosa, mientras que es exclusivo
de un Sistema de Prevención de Intrusos (IPS) establecer Detección basada en anomalías
políticas de seguridad para proteger al equipo o a la red
de un ataque. Este tipo de detección tiende a generar muchos falsos po-
De ahí que se diga que un IPS protege a una red o equi- sitivos, ya que es sumamente difícil determinar y medir
po de manera proactiva mientras que un IDS lo hace de una condición ‘normal’. En este tipo de detección tene-
manera reactiva. mos dos opciones:
Otras funciones importantes de estos dispositivos de red,
1. Detección estadística de anormalidades: El IPS ana-
son las de grabar información histórica de esta actividad
liza el tráfico de red por un determinado periodo de
y generar reportes.
tiempo y crea una línea base de comparación. Cuan-
Los IPS se clasifican en cuatro difrentes tipos: do el tráfico varía demasiado con respecto a la línea
1. Basados en Red Lan (NIPS): monitorean la red lan en base de comportamiento, se genera una alarma.
busca de tráfico de red sospechoso al analizar la activi- 2. Detección no estadística de anormalidades: En este
dad por protocolo de comunicación lan. 2. Basados en tipo de detección, es el administrador quien define
Red Wireless (WIPS): monitorean la red inalámbrica en el patrón «normal» de tráfico. Sin embargo, debido
busca de tráfico sospechoso al analizar la actividad por a que con este enfoque no se realiza un análisis diná-
protocolo de comunicación inalámbrico. 3. Análisis de mico y real del uso de la red, es susceptible a generar
comportamiento de red (NBA): Examina el tráfico de red muchos falsos positivos.
para identifica amenazas que generan tráfico inusual, co-
mo ataques de denegación de servicio ciertas formas de
Se podría mencionar un apartado a cerca de las estrae-
malware y violaciones a políticas de red. 4. Basados en
gias utilizadas a fin de decubrir nuevos tipos de ataque;
Host (HIPS): Se efectúa mediante la instalación de pa-
entrando en esta clasificación los honey pots.
quetes de software que monitoran un host único en busca
de actividad sospechosa
• Detección honey pot (jarra de miel): funciona usan-
Los IPS categorizan la forma en que detectan el tráfico do un equipo que se configura para que llame la aten-
malicioso: ción de los hackers.
• Detección basada en políticas: el IPS requiere que Aquí se utiliza un distractor. Se asigna como honey pot un
se declaren muy específicamente las políticas de se- dispositivo que pueda lucir como atractivo para los ata-
guridad. cantes. Los atacantes utilizan sus recursos para tratar de
84 CAPÍTULO 5. DEFENSAS
• DoS
• DDos
• Firewall
• Host-based intrusion detection system (HIDS)
5.7.3 Referencias
85
Capítulo 7
Introducción
86
7.1. CÓMPUTO FORENSE 87
• Impresora Preservación
• Canaima 3.1
7.1.5 Herramientas de Cómputo Forense
• Mini XP
• Sleuth Kit (Forensics Kit. Command Line)
• Autopsy (Forensics Browser for Sleuth Kit) Herramientas para el análisis de discos duros
• Volatility (Reconstrucción y análisis de memoria
RAM) • AccessData Forensic ToolKit (FTK)
• dcfldd (DD Imaging Tool command line tool and al- Herramientas para el análisis de correos electrónicos
so works with AIR)
• NTFS-Tools
Herramientas para el análisis de redes
• Hetman software (Recuperador de datos borrados
por los criminales)
• E-Detective - Decision Computer Group
• qtparted (GUI Partitioning Tool)
• SilentRunner - AccessData
• regviewer (Windows Registry)
• NetworkMiner
• Viewer
• Netwitness Investigator
• X-Ways WinTrace
• X-Ways WinHex
Herramientas para filtrar y monitorear el tráfico de
• X-Ways Forensics una red tanto interna como a internet
Bibliografía
• Ingeniería inversa
7.1.7 Referencias
Software
8.1 Password cracking una contraseña pueda ser juzgada, ya sea por las demo-
ras, CAPTCHAS , o cierres después de cierto número
En criptoanálisis y seguridad informática, el descifrado de intentos fallidos. Otra situación en la cual es posible
de contraseñas es el proceso de recuperación de contra- adivinar de forma rápida, es cuando la contraseña es usa-
señas que se han almacenado en un equipo. Un acerca- da de una llave criptográfica. En estos casos un atacante
miento común es el ataque de fuerza bruta el cual consis- puede rápidamente corroborar si alguna contraseña usa-
te en adivinar repetitivamente la contraseña y corroborar da descodifica información cifrada. Por ejemplo existe un
contra un hash criptográfico existente de la contraseña.[1] software comercial que dice que prueba 103,000 contra-
señas WPA PSK por segundo.[3]
El descifrado de contraseñas puede servir para ayudar a
un usuario a recuperar alguna contraseña olvidada (ins- Las computadoras de escritorio comunes pueden probar
talando una contraseña totalmente nueva), para obtener más de cien millones de contraseñas por segundo utilizan-
acceso no autorizado a un sistema, o ser implementada do herramientas que se ejecutan en una CPU de propósito
como medida preventiva por los administradores del sis- general y miles de millones de contraseñas por segundo
tema para buscar contraseñas fácilmente manipulables. utilizando las contraseñas basada sen la GPU.[4][5][6] Véa-
se John the Ripper.[7] La velocidad para poder descifrar
contraseñas depende mucho de la función criptográfica
usada por el sistema para generar los hashes de las con-
8.1.1 Tiempo necesario para descifrar con- traseñas. Una buena función para hacer esto, tal como
traseñas bcrypt, es varias veces mejor que una función simple co-
mo MD5 o SHA. Una contraseña de ocho caracteres se-
El tiempo para descifrar una contraseña está relacionado leccionada por el usuario con números, mayúsculas, mi-
con la fuerza de bits, una medida de la entropía de la de núsculas y símbolos alcanza una fuerza estimada de 30
información de la contraseña y los detalles de cómo se bits, de acuerdo con el NIST. Esto quiere decir 230 , que
almacena. La mayoría de los métodos de obtención son significa sólo un billón de permutaciones[8] lo cual toma-
ilegales y requieren de una computadora para producir ría segundos para descifrar si la función es simple. Cuan-
muchas posibles contraseñas, cada una de las cuales está do las computadoras de escritorio normal se combinan
marcada. Un ejemplo es el ataque de fuerza bruta, en el con un esfuerzo de descifrado, como se puede hacer con
que un equipo intenta todas las claves posibles o contra- botnets, las capacidades de descifrado aumentan consi-
señas hasta que lo consiga. Los métodos más comunes de derablemente. En el año 2002, distributed.net encontró
descifrado de contraseñas son el ataque de diccionario, con éxito, una clave de 64 bits RC5 en cuatro años, en un
búsqueda de patrones, listas de palabras de sustitución, ejercicio que incluyó más de 300.000 equipos diferentes
etc. Todos estos métodos buscan disminuir los intentos en distintos momentos, y que generó en promedio más
requeridos y comúnmente se usan antes de intentar el ata- de 12 billones de claves por segundo.[9] Los procesadores
que de fuerza bruta. Conforme más alta sea la fuerza de gráficos pueden acelerar el descifrado de contraseñas en
bits de la contraseña se incrementan el número de op- un factor de 50 a 100 sobre las computadoras de pro-
ciones que deben ser intentadas para recuperar una con- pósito general. A partir del 2011, los productos comer-
traseña y reducir la posibilidad de que la contraseña sea ciales disponibles afirman la posibilidad de probar hasta
encontrada en algún diccionario de cracking.[2] 2,800,000,000 contraseñas por segundo en un equipo de
Las contraseñas también pueden ser descifradas utilizan- escritorio estándar con un procesador de gráficos de ga-
do programas computacionales, dado que el número de ma alta.[10] Un dispositivo de este tipo puede descifrar
posibles contraseñas por segundo que se puede compro- una contraseña de 10 letras donde todas sean minúscu-
bar es mayor. Si un hash de la contraseña de destino está las o mayúsculas en un solo día. Aun así el trabajo pue-
disponible para el atacante, este número puede ser bas- de distribuirse entre varias computadoras para aumentar
tante grande. Si no es así, la tasa depende de los límites la velocidad proporcionalmente al número existente de
del software de autenticación, de la frecuencia con que computadoras con un GPU igual.
90
8.1. PASSWORD CRACKING 91
• conferencia contraseñas Internacionales [18] Steinberg, Joseph (21 de abril de 2015). «New Techno-
logy Cracks 'Strong' Passwords -- What You Need To
• Top diez crackers de contraseñas Know». Forbes.
[1] Montoro, Massimiliano (2009). «Brute-Force Password [19] «CERT IN-98.03». Archivado desde el original el 24 de
Cracker». Oxid.it. Consultado el 13 de agosto de 2013. noviembre de 2015. Consultado el 9 de septiembre de
2009.
[2] Lundin, Leigh (11 de agosto de 2013). «PINs and Pass-
words, Part 2». Passwords. Orlando: SleuthSayers. [20] «Consumer Password Worst Practices».
[3] Elcomsoft Wireless Security Auditor, HD5970 GPU, ac- [21] «NATO Hack Attack». Consultado el 24 de julio de 2011.
cessed 2011-2-11
• Samsung Chromebook
Forensics Mode en Kali Linux
• Samsung Galaxy Note 10.1
BackTrack Linux introdujo la opción Forensics Boot al
sistema operativo y se vio continuada en BackTrack 5,
• CuBox
existe al día de hoy en Kali Linux. Sirve para poner a tra-
bajar las herramientas de software libre más populares en
• Efika MX materia forense de forma rápida y sencilla. Este modo es
muy popular debido a que Kali está ampliamente dispo-
• BeagleBone Black nible y es fácil de conseguir; muchos usuarios potenciales
ya cuentan con una Imagen ISO o un Live USB con el sis-
tema. A su vez, Kali cuenta con el software libre forense
Requerimientos para la versión (1.1.0) más popular instalado, es sencillo y rápido de bootear.
Se realizaron algunos cambios importantes:
• 8GB de espacio en disco.
• El disco duro no se utiliza en absoluto. Lo que trae
• Para arquitecturas i386 y amd64 un mínimo de 1 como consecuencia que si existe una partición swap
GB de RAM. no va a ser usada ni se monta automáticamente nin-
gún disco interno.
• Se deshabilitó el automontado de medios removi-
Requerimientos para instalación en dispositivos An- bles. Entonces, ni los pendrives ni los lectores de CD
droid van a ser montados automáticamente.
• Admite la recompilación del núcleo lo que permi- si, cumple con las Guías de Software Libre de Debian
te agregar drivers, parches o nuevas funcionalidades GNU/Linux.
que no estén incluidas en el kernel original. Como una excepción a lo anterior, Kali Linux no-libre
contiene varias secciones con herramientas que no son de
código abierto, pero que son permitidas para su distribu-
8.2.4 Políticas ción por Offensive Security a través de licencias especí-
ficas o determinadas en acuerdo con los vendedores.
A continuación se detallan algunas de las políticas de Kali
Linux. Todos los desarrollos específicos de Kali hechos para su
infraestructura o para integrar el software suministrado
han sido puestos bajo la licencia GNU GPL.
Usuarios root
Windows To Go USB
8.5 Wireshark
Windows To Go (Windows para llevar) es una caracte-
rística de Windows 8 que permite que todo el sistema se Wireshark, antes conocido como Ethereal, es un
ejecute desde una unidad flash USB o disco duro externo analizador de protocolos utilizado para realizar análisis
USB.[1] y solucionar problemas en redes de comunicaciones, pa-
ra desarrollo de software y protocolos, y como una he-
rramienta didáctica. Cuenta con todas las características
8.4.1 Funciones de seguridad estándar de un analizador de protocolos de forma única-
mente hueca.
Como medida de seguridad destinada a evitar la pérdida La funcionalidad que provee es similar a la de tcpdump,
de datos, Windows “congela” el sistema si la unidad USB pero añade una interfaz gráfica y muchas opciones de or-
se extrae, y sigue funcionando de inmediato si el disco se ganización y filtrado de información. Así, permite ver to-
inserta en los 60 segundos siguientes a la extracción. Si do el tráfico que pasa a través de una red (usualmente una
la unidad no se inserta en ese plazo, el equipo se apaga red Ethernet, aunque es compatible con algunas otras) es-
tras los 60 segundos para evitar que la posible informa- tableciendo la configuración en modo promiscuo. Tam-
ción confidencial o sensible se muestre en la pantalla o bién incluye una versión basada en texto llamada tshark.
se almacene en la RAM.[2] También es posible cifrar una
unidad Windows To Go con BitLocker.[3] Permite examinar datos de una red viva o de un archivo
de captura salvado en disco. Se puede analizar la infor-
mación capturada, a través de los detalles y sumarios por
8.4.2 Detalles técnicos cada paquete. Wireshark incluye un completo lenguaje
para filtrar lo que queremos ver y la habilidad de mostrar
Según Microsoft, un disco de Windows to go se puede el flujo reconstruido de una sesión de TCP.
crear con las herramientas de Windows como ImageX.[4] Wireshark es software libre, y se ejecuta sobre la mayoría
Windows To Go funciona tanto en conexiones USB 2.0 y de sistemas operativos Unix y compatibles, incluyendo
USB 3.0, y tanto en BIOS y UEFI firmware.[5] Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Android,
y Mac OS X, así como en Microsoft Windows.
8.5.2 Seguridad
Para capturar paquetes directamente de la interfaz de red,
generalmente se necesitan permisos de ejecución espe-
ciales. Es por esta razón que Wireshark es ejecutado con
permisos de Superusuario. Tomando en cuenta la gran
cantidad de analizadores de protocolo que posee, los cua-
les son ejecutados cuando un paquete llega a la interfaz, el
riesgo de un error en el código del analizador podría po-
ner en riesgo la seguridad del sistema (como por ejemplo
permitir la ejecución de código externo). Por ésta razón
el equipo de desarrolladores de OpenBSD decidió quitar
Ethereal antes del lanzamiento de la versión 3.6.[1]
Una alternativa es ejecutar tcpdump o dumpcap que vie-
ne en la distribución de Wireshark en modo Superusua-
rio, para capturar los paquetes desde la interfaz de red
y almacenarlos en el disco, para después analizarlos eje-
cutando Wireshark con menores privilegios y leyendo el
archivo con los paquetes para su posterior análisis.
8.5.3 Portabilidad
Wireshark corre en sistemas operativos tipo Unix, in-
cluyendo Linux, Solaris, FreeBSD, NetBSD, OpenBSD,
Mac OS X, Microsoft Windows, U3 y en Portable Apps.
8.5.4 Referencias
[1] CVS log for ports/net/ethereal/Attic/Makefile
Certificación
9.1 Certificación Ética Hacker la página de Prometric Prime. El código del examen varía
dependiendo el centro de pruebas.[5]
El Certificado Hacker Ético es una certificación pro-
fesional proporcionada por el Consejo Internacional de 9.1.2 Re-certificación
Consulta de Comercio Electrónico (EC-Council).
Un hacker ético usualmente trabaja en organizaciones El ECE (Educación Continua de EC-Council) se encarga
que confían en él o ella para intentar penetrar redes y/o de que todos los profesionales certificados mantengan y
sistemas computacionales, usando los mismos métodos amplíen sus conocimientos. Todos los profesionales de-
que un hacker, con el propósito de reparar o encontrar ben de conocer los requerimientos del ECE para que evi-
vulnerabilidades de seguridad informática. ten la revocación de la certificación. Los miembros que
tengan esta certificación o bien otras certificaciones que
Un hacker ético certificado tiene una acreditación o certi-
provengan del EC-Council, tendrá que re-certificarse ba-
ficación en cómo buscar debilidades y/o vulnerabilidades
jo este programa cada 3 años por un mínimo de 120 cré-
en sistemas usando los mismos conocimientos y herra-
ditos.
mientas que un cracker pero con fines benévolos.
El código para el examen de certificación es 312-50. La
versión actual del certificado es la V9. 9.1.3 Controversia
El EC-Council ofrece otra certificación, conocida como
Certificación de Arquitectura en Defensa de Redes (CN- Algunos profesionales en seguridad informática se han
DA, por sus siglas en inglés). Esta certificación fue crea- opuesto al término hacker ético: “No existe tal cosa co-
da por las agencias del Gobierno de los Estados Unidos, y mo 'Hacker ético' eso es como decir 'Violador ético' es
solamente está disponible para los miembros de agencias una contradicción de términos”.[6] Parte de la controver-
seleccionadas. Aparte del nombre, el contenido del curso sia puede que haya surgido por la vieja definición de hac-
es exactamente el mismo.[1] ker, la cual se ha convertido en un sinónimo de criminal
informático.
Por otra parte, a algunas compañías no les interesa la aso-
9.1.1 Examen ciación. De acuerdo a EC-Council, ha habido un incre-
mento de carreras en la cual la CEH y otras certificacio-
La Certificación Hacker Ético se obtiene tomando el exa- nes son preferidas o requeridas.[7][8][9][10] Incluso el go-
men de certificación, eso después de haber atendido a un bierno de los Estados Unidos acepta esta asociación y re-
centro de entrenamiento (Centro de Formación Acredita- quiere la acreditación de la CEH para algunos puestos de
da) o mediante el auto-estudio. Si un candidato opta por trabajo.[11]
realizar auto-estudio, se debe llenar una forma de apli-
cación y debe probar que tiene 2 años de experiencia en
seguridad informática. En caso de que no se tengan los 9.1.4 Referencias
2 años de experiencia, se podrá mandar una solicitud ha-
blándoles sobre tu formación educativa y por que debe- [1] http://www.eccouncil.org/courses/certified_network_
rían de considerarte.[2] La versión actual de el CEH es la defense_architect.aspx Certified Network Defense
V8 y usa el examen 312-50 del EC-Council, así como era Architect
en las versiones anteriores. La nueva versión del examen [2] http://www.eccouncil.org/courses/certified_ethical_
fue lanzado recientemente.[3] Este examen consta de 125 hacker.aspx Certified Ethical Hacker
preguntas de opción múltiple, con un límite de 4 horas
para resolverlo, y requiere por lo menos un puntaje del [3] http://web.archive.org/web/https://cert.
70% para aprobarlo.[4] El examen es resuelto vía web en eccouncil.org/certification/certificate-categories/
97
98 CAPÍTULO 9. CERTIFICACIÓN
[11] http://iase.disa.mil/iawip/Pages/iabaseline.aspx
• Gobierno de la seguridad de la información
9.2.4 Véase también En caso de no cumplir con estos requisitos, existen algu-
nas equivalencias definidas en la página de ISACA:[2]
• CISA
• Un mínimo de un año de experiencia en sistemas de
9.2.5 Enlaces externos información o un año de experiencia en auditorías
operacionales, pueden ser sustituidos por un año de
• What is CISM (en Inglés). experiencia auditoría de sistemas, control interno y
seguridad informática.
• Proveer criterios de ayudar y gestión en la selección • Administración del ciclo de vida de infraestructura
de personal y desarrolladores. y sistemas (19%)
El primer examen se llevó a cabo en 1981, y los regis- • Soporte y entrega de servicios de TI (23%)
tros han crecido cada año. En la actualidad, el examen
es ofrecido en 11 idiomas y más de 200 lugares de todo • Protección de los activos de información (30%)
el mundo. En 2005, la ISACA anunció que el examen se
ofrecerá en junio y diciembre, y que empezaría en 2005. El examen CISA puede presentarse anualmente en junio,
Anteriormente, el examen sólo había sido administrado septiembre (desde 2013) y diciembre.
anualmente, en junio. Más de 50 mil candidatos han con-
seguido el certificado CISA.
La certificación CISA es aprobada formalmente por el Fechas de Examen CISA junio de 2008
Departamento de Defensa de los Estados Unidos en la ca-
tegoría de Aseguramiento de Información Técnica (DoD 13 de febrero: Inicio de registro al examen CISA 2008
8570.01-M). 9 de abril: Fin de registro al examen CISA 2008
14 de junio: Examen CISA 2008
9.3.2 Requisitos
Los candidatos a la certificación CISA deben pasar un Fechas de Examen CISA junio de 2009
examen de acuerdo con el Código Profesional de Ética de
ISACA, además de comprobar cinco años de experiencia 13 de junio: Examen CISA 2009
en auditoría de sistemas, control interno y seguridad in- 12 de diciembre: Examen CISA 2009
formática y tener un programa de educación continua.
100 CAPÍTULO 9. CERTIFICACIÓN
[2] Certificación CISA (consultado el 2 de octubre de 2007) • Adherirse al Código de Ética de la ISC2
(en inglés)
• En caso de ser seleccionado para tal fin, el aspirante
debe someterse y pasar un proceso de auditoría res-
9.3.5 Véase también pondiendo cuatro preguntas en relación al historial
delictivo y de antecedentes personales
• CISSP
[4] http://www.mile2.com/
• Modelo de OSI y comunicación en capas.
penetration-testing-ethical-hacking/cpte.html • Protocolos enrutados.
• Protocolos de enrutación.
9.5.4 Enlaces externos • Servicios de WAN.
9.6 Certificación Cisco Para ver los requerimientos actuales, y más detallados,
consulte el sitio de Cisco Systems.
La Certificación Cisco es un plan de capacitación en
tecnología de redes informáticas que la empresa Cisco CCNA en las Academias de Redes Cisco Una
ofrece.[1] Se divide en tres niveles, de menor a ma- academia típica Cisco incorpora un laboratorio de prác-
yor complejidad: Cisco Certified Network Associa- ticas que incluye una topología de 3 routers Cisco conec-
te,Cisco Certified Network Professional y Cisco Cer- tados en serie (En versiones anteriores se usaba topología
tified Internetwork Expert, más conocidos por sus si- de 5 routers) y estos a su vez se conectan por un puerto et-
glas: CCNA, CCNP y CCIE. hernet (Fastethernet) a un switch cisco; con esta topología
102 CAPÍTULO 9. CERTIFICACIÓN
se realizan todo tipo de prácticas de conexión y configu- El 25 de enero de 2010 se anunció la actualización del te-
ración. Durante el primer semestre, los alumnos montan, mario (anuncio oficial de Cisco) quedando de la siguiente
prueban y usan cables de red siguiendo los estándares pa- manera:
ra los diferentes tipos de cableado existentes.
Las clases se imparten en línea mediante un programa • Encaminamiento (ROUTE)
de conexión por red en el cual también se hacen exáme-
nes periódicos que evalúan sobre la puntuación final. Al • Conmutación (SWITCH)
mismo tiempo, una serie de instructores calificados, se
encargan de impartir lecciones y de proporcionar a los • Resolución de problemas (TSHOOT)
alumnos ejercicios prácticos como recuperación de con-
traseña y configuración de VLANs y ACL entre otros.
Si bien se han producido ligeros cambios en los nuevos
Los alumnos también reciben un software que emula la
temarios de ROUTE y SWITCH, estos son convalida-
topología del laboratorio de modo que puedan practicar y
bles por los anteriores BSCI y BCMSN respectivamente.
familiarizarse con los comandos de configuración en ca-
ISCW y ONT son eliminados, apareciendo el nuevo exa-
sa. La nota mínima requerida para aprobar cada examen
men TSHOOT.
es de un 80% y algunos exámenes incluyen pruebas en
el laboratorio. Cabe destacar que junto al examen final se
debe diseñar y presentar un proyecto en el cual 3 edificios Examen de certificación Los exámenes de certifica-
completamente informatizados quedan enlazados entre sí ción del CCNP se podían realizar, prácticamente en to-
formando una WAN con escalabilidad a 10 años. El curso do el mundo, a través de las empresas Pearson VUE y
consta de 4 semestres y al finalizar, el alumno tiene que Prometric. Desde el mes de julio de 2007, solo se pue-
ser capaz de implementar todo tipo de topologías de red den realizar en Pearson VUE. Estas mismas empresas
usando protocolos como TCP/IP, RIP, EIGRP, OSPF, también supervisan exámenes de certificación para otras
DHCP, TFTP, usar switches, hubs, etc, así como tener empresas, entre ellas, los de Microsoft, Hewlett Packard,
amplios conocimientos del sistema operativo IOS y de Sun Microsystems... Se pueden buscar centros de certifi-
las diferentes capas de red del modelo de referencia OSI. cación cercanos en las páginas Web de estas dos empresas
Los temas principales de los cuatro semestres son: (ver la sección de vínculos, más abajo).
Para aprobar el examen de certificación CCNP, se nece-
• Primer semestre: Introducción a las redes. (Este se- sita tener unos conocimientos bastante buenos en varias
mestre es el semestre más teórico). áreas, entre ellos:
• Segundo semestre: Introducción al encaminamiento • Una buena comprensión del modelo OSI de siete ca-
(routers). pas y del TCP/IP de 4 capas.
• Tercer semestre: Encaminamiento intermedio / con- • Configuración de routers y switches Cisco.
mutación (switching).
• Conocimiento avanzado y configuración de diferen-
• Cuarto semestre: Teoría de WANs. tes protocolos de enrutamiento, incluyendo RIP v2,
EIGRP, OSPF, BGP, IS-IS, y protocolos encami-
Existe otra alternativa para prepararse antes de intentar el nados IP, así como teoría de los protocolos de enca-
examen de certificación, son los llamados Learning Part- minamiento en general, aunque en los últimos años,
ners que tienen mayores exigencias para sus instructores Cisco se ha centrado en el protocolo IP, debido a
pero cuestan mucho más y son más cortos que los cursos la tendencia de este protocolo, se ha incorporado el
ordinarios en las Academias.[cita requerida] estudio de la versión 6 de IP (IPv6) desde el CCNA
Exploration y en la versión 4.0 del BSCI. La última
versión del currículo incluye temas avanzados de en-
9.6.2 Cisco Certified Network Professional rutamiento como MPLS, enrutamiento de Multicast
y filtrado/manipulación de las actualizaciones de en-
(CCNP)
rutamiento.
CCNP (Cisco Certified Network Professional) es el nivel
• Conocimiento de varias tecnologías y protocolos
intermedio de certificación de la compañía [3] . Para obte-
usados en redes, tales como spanning tree, VLANs,
ner esta certificación, se han de superar varios exámenes,
VTP Domain, ACLs, HSRP, VRRP, agregación de
clasificados según la empresa en 3 módulos.
enlaces con LACP/PAgP, VLANs privadas, filtrado
Esta certificación, es la intermedia de las certificaciones entre Vlans.
generales de Cisco, no está tan valorada como el CCIE,
pero si, mucho más que el CCNA. • Teoría y práctica de calidad de servicio (QoS)
9.6. CERTIFICACIÓN CISCO 103
• 642-901 BSCI: Building Scalable Cisco Internet- Cada uno de éstos requiere al candidato “aprobar un
works (BSCI) examen calificativo escrito y un examen práctico en el
laboratorio que demuestran la maestría del candidato en
• 642-812 BCMSN: Building Cisco Multilayer Swit-
la configuración, la prueba y la localización de averías del
ched Networks (BCMSN)
equipo verdadero.” En términos de nueva homologación,
• 642-873 ARCH: Designing Cisco Network Service “CCIEs requieren para pasar un examen escrito dentro
Architecture del período de 24 meses inmediatamente antes de su pla-
zo actual de la nueva homologación. Los exámenes apro-
• 642-892 Composite (BSCI and BCMSN) bados fuera de este plazo no contarán hacia su requisito
• 642-873 ARCH: Designing Cisco Network Service de re-certificación.
Architecture Si un examen no se aprueba dentro de este período, un
CCIE se pone en estado suspendido. Observar que en el
día 15 de junio se continuó el uso de los exámenes espe-
9.6.4 Cisco Certified Internetwork Expert cíficos de la nueva homologación, y en lugar de otro per-
(CCIE) mitirá que un grado que pasa en exámenes escritos CCIE
actualmente disponibles uces de los satisfaga el requisito
El Certificado Cisco de Experto en Internet (CCIE) es el para la nueva homologación. “
nivel de Cisco más alto de la certificación profesional
Las áreas de trabajo de las personas que desean esta cer-
tificación incluyen: arquitecto de red, ingeniero de red,
CCIE ingeniero de infraestructura, y especialista de infraestruc-
tura.
CCIE es una certificación de nivel avanzado para los pro-
fesionales que tienen “el entrenamiento, la experiencia y
la confianza para abordar los problemas más desafiantes 9.6.5 Certificado Arquitecto de Cisco
de su campo.” El CCIE “certifica así las habilidades de
establecimiento de una red de un individuo en el nivel Cisco Certified Architect
experto.” CCIE es un programa aparte que, hasta princi-
pios del 2009, no tenía un programa oficial de entrena- El Certificado Arquitecto de Cisco (Cisco Certified Ar-
miento. Para certificar al nivel experto no es prerrequisi- chitect) es la acreditación de más alto nivel dentro del pro-
to haber certificado otros niveles (CCNA, CCNP o equi- grama de certificación de Cisco. Es el tope de la pirámide
valentes), pero tener una certificación de Cisco de nivel para aspirantes que desean validar sus conocimientos en
avanzado, tal como CCNP (Certificado Cisco de Profe- la tecnología de Cisco y de arquitectura de la infraestruc-
sional de Red), CCDP (Certificado Cisco de Profesional tura.
de Diseño), CCIP (Certificado Cisco de Profesional de Esta prestigiosa credencial reconoce la experiencia de los
Internet), o CCSP (Certificado Cisco de profesional en diseñadores de redes en el área de arquitectura, los cua-
Seguridad) serían deseables antes de tomar el CCIE. les están en capacidad de manejar desarrollos de redes
complejas en organizaciones a nivel mundial y así poder
transformar estrategias de negocios, en estrategias técni-
Temáticas del CCIE
cas innovadoras.
El CCIE fue establecido en el 1993 y es el nivel superior El arquitecto certificado de Cisco es capaz de recolectar
en certificaciones de la carrera de Cisco. Al mes de Abril información de las necesidades del negocio para elaborar
de 2015, hay siete temáticas disponibles de CCIE:[4] un proyecto de red global, integral, escalable y compleja.
104 CAPÍTULO 9. CERTIFICACIÓN
Estos son capaces los parámetros del negocio y objetivos 9.7.1 Programas de certificación
en información esencial para el desarrollo y diseño de una
red. Los exámenes de certificación de CompTIA son adminis-
trados a través de los centros de pruebas Pearson VUE y
Prometric. Además de certificaciones, CompTIA propor-
Requisitos ciona membresías corporativas.
• Mundo Cisco
Network+
• Recursos CCNA
La certificación Network+ sirve para demostrar las ha-
• Cisco LatinoAmerica bilidades como un técnico de red: entender el hard-
ware de red, instalación y Resolución de problemas.
Network+ sirve para prepararse y continuar con las
9.7 CompTIA certificificaciones de Microsoft y las certificaciones de
Cisco. Corresponde al examen N10-004 bajo la marca
certificadora Prometric
La Asociación de la industria de tecnología de la
computación (Computing Technology Industry Asso-
ciation(CompTIA)) es una organización sin ánimo de Server+
lucro fundada en 1982 dedicada a la certificación de ap-
titudes profesionales para la industria de tecnologías de La certificación Server+ se enfoca en servidores especí-
información ficos de algún hardware y sistemas operativos.
9.8. PROFESIONAL CERTIFICADO EN SEGURIDAD OFENSIVA 105
Security-SUPER+ Project+
Security+ es una certificación que trata sobre seguridad Valida habilidades fundamentales de administración de
informática; la temática está relacionada con criptografía proyectos. Cubre todo el ciclo de vida del proyecto desde
y control de acceso. Actualmente, y de acuerdo a Com- el inicio y planificación, a través de la ejecución, acepta-
pTIA, hay más de 23,000 personas en el mundo que se ción, soporte y clausura.
han certificado con esta modalidad.
RFID+
HTI+
Valida los conocimientos y habilidades de un técnico en
Home Technology Integrator (HTI+) cubre la instala- RFID en las áreas de instalación, mantenimiento, repara-
ción, integración y resolución de problemas de subsiste- ción y conservación de la funcionalidad del hardware y el
mas automatizados en el hogar. software de productos RFID.
e-Biz+
9.8 Profesional certificado en segu-
La certificación e-Biz+ cubre los conocimientos básicos
de comercio electrónico. La certificación e-Biz+ ha sido
ridad ofensiva
descontinuada al inglés, pero aún puede ser tomada en
japonés. Profesional certificado en seguridad ofensiva (OSCP)
es una certificación de ethical hacking ofrecida por
Offensive Security que enseña metodologías de exáme-
CTT+ nes de penetración y utilizan herramientas incluyendo el
examen de pentración BackTrack (ahora realizado con
CTT+ es una certificación para entrenar a profesionales éxito con la distribución Kali Linux)[1][2] La certificación
en la industria del cómputo, así como, otras industrias. OSCP consiste en un examen práctico que requiere ata-
car y penetrar de manera satisfactoria varias maquinas en
CDIA+ un ambiente seguro controlado.[3] Actualmente, es una de
las pocas certificaciones que requiere evidencia de las ha-
La certificación CDIA+, es una certificación para bilidades en la parte práctica que consiste en una prueba
[cita requerida]
documentación de imágenes, manipulación de documen- de penetración.
tos y manipulación empresarial de contenidos.
9.8.1 Curso OSCP
Linux+
El curso que lleva a la certificación OSCP fue original-
La certificación Linux+ prueba los conocimientos de los mente llamado"Offensive security 101”, pero fue cam-
sistemas operativos Linux, desde su instalación y uso has- biado a “Pentesting With BackTrack” en diciembre de
ta las aplicaciones de libres, de código abierto y licencias. 2008, esto fue posteriormente cambiado a “Penetration
Testing With Kali Linux” . “Pentesting With Kali Linux”
El examen Linux+ está enfocado a los profesionales de
cubre varios vectores de ataques comunes usados durante
tecnologías de la información que han tenido una expe-
pruebas de penetración y auditorías, basado en el popu-
riencia de entre seis y doce meses en la utilización de
lar examen de penetración utilizando distribución Linux
Linux. El examen se compone de distintas áreas: insta-
- Kali Linux. Este curso se ofrece en dos formatos, clases
lación, administración, configuración, seguridad, docu-
presenciales o en línea. El curso en línea es un paquete
mentación y hardware.
que consiste en videos, un pdf, prácticas de laboratorio
La prueba consiste en un examen de opción múltiple y acceso al mismo; las clases presenciales consisten en el
que se hace en una computadora, una pregunta seguida mismo material y acceso al laboratorio. Los laboratorios
de cuatro posibles respuestas, al menos una (pero pro- son accesibles a través de una conexión de Internet de alta
bablemente más) respuesta correcta. Los tópicos de los velocidad y contienen una variedad de sistemas operati-
exámenes incluyen métodos de instalación, configuración vos y dispositivos de red donde los alumnos llevan a cabo
del cargador de arranque, manejo de paquetes (Debian y sus prácticas.[4]
RPM), navegación de directorios por medio del intérpre-
te de comandos, utilizando bash, consideraciones de se-
guridad, administración de sistemas incluyendo configu- 9.8.2 Reto OSCP
ración de TCP/IP, montaje de sistemas de archivos (NFS,
SMB ó ext3) y manipulación de archivos de configuración Al completar el curso, los estudiantes tienen la oportuni-
para los servicios más comunes en Linux. dad de tomar el reto que implica la certificación.[5] Les
106 CAPÍTULO 9. CERTIFICACIÓN
9.8.3 Re-certificación
OSCP no requiere re-certificación.
• BackTrack
9.8.6 Referencias
[1] «Offensive Security».
Procesos
107
108 CAPÍTULO 10. PROCESOS
la memoria del PC la genera un programa adecuado a las pueden ser conectados a la computadora de los puertos
aplicaciones que quiere el usuario y, luego de procesar- (paralelo, serie, USB, etc...) o ranuras de las tarjetas co-
la, es recibida por mecanismos que ejecutan movimien- nectadas a (PCI, ISA) en la placa madre. Por lo general, el
tos mecánicos, a través de servomecanismos, que también espacio en la parte posterior de una tarjeta PCI es dema-
son del tipo transductores. siado pequeño para todas las conexiones necesarias, de
Un sistema típico de adquisición utiliza sensores, trans- modo que una ruptura de caja externa es obligatorio. Las
ductores, amplificadores, convertidores analógico - digi- tarjetas DAQ a menudo contienen múltiples componen-
tal (A/D) y digital - analógico (D/A), para procesar infor- tes (multiplexores, ADC, DAC, TTL-IO, temporizadores
de alta velocidad, memoria RAM). Estos son accesibles
mación acerca de un sistema físico de forma digitalizada.
a través de un bus por un micro controlador, que puede
En este caso DAQ funciona como transductor de señales ejecutar pequeños programas. El controlador es más fle-
análogas a digitales, propiciando así el procesamiento de xible que una unidad lógica dura cableada, pero más ba-
datos a través de sus funciones de entradas. rato que una CPU de modo que es correcto para bloquear
con simples bucles de preguntas.
Driver software normalmente viene con el hardware
10.1.2 ¿Cómo se adquieren los datos?
DAQ o de otros proveedores, y permite que el sistema
operativo pueda reconocer el hardware DAQ y dar así a
La adquisición de datos se inicia con el fenómeno físi-
los programas acceso a las señales de lectura por el hard-
co o la propiedad física de un objeto (objeto de la in-
ware DAQ. Un buen driver ofrece un alto y bajo nivel de
vestigación) que se desea medir. Esta propiedad física o
acceso.
fenómeno podría ser el cambio de temperatura o la tem-
peratura de una habitación, la intensidad o intensidad del Ejemplos de Sistemas de Adquisición y control: ·
cambio de una fuente de luz, la presión dentro de una DAQ para recoger datos(datalogger) medioambientales
cámara, la fuerza aplicada a un objeto, o muchas otras (energías renovables e ingeniería verde). · DAQ para au-
cosas. Un eficaz sistema de adquisición de datos pueden dio y vibraciones (mantenimiento, test). · DAQ + control
medir todos estos diferentes propiedades o fenómenos. de movimiento(corte con láser). · DAQ + control de mo-
vimiento+ visión artificial (robots modernos).
Un sensor es un dispositivo que convierte una propiedad
física o fenómeno en una señal eléctrica correspondiente
medible, tal como tensión, corriente, el cambio en los va-
lores de resistencia o condensador, etc. La capacidad de 10.1.3 Tiempo de conversión
un sistema de adquisición de datos para medir los distin-
tos fenómenos depende de los transductores para conver- Es el tiempo que tarda en realizar una medida el converti-
tir las señales de los fenómenos físicos mensurables en la dor en concreto, y dependerá de la tecnología de medida
adquisición de datos por hardware. Transductores son empleada. Evidentemente nos da una cota máxima de la
sinónimo de sensores en sistemas de DAQ. Hay trans- frecuencia de la señal a medir.
ductores específicos para diferentes aplicaciones, como
Este tiempo se mide como el transcurrido desde que el
la medición de la temperatura, la presión, o flujo de flui-
convertidor recibe una señal de inicio de “conversión”
dos. DAQ también despliega diversas técnicas de acon-
(normalmente llamada SOC, Start of Conversión) hasta
dicionamiento de Señales para modificar adecuadamente
que en la salida aparece un dato válido. Para que tenga-
diferentes señales eléctricas en tensión, que luego pueden
mos constancia de un dato válido tenemos dos caminos:
ser digitalizados usando CED.
Las señales pueden ser digitales (también llamada seña-
les de la lógica) o analógicas en función del transductor • Esperar el tiempo de conversión máximo que apare-
utilizado. ce en la hoja de características.
El acondicionamiento de señales suele ser necesario si la
señal desde el transductor no es adecuado para la DAQ • Esperar a que el convertidor nos envíe una señal de
hardware que se utiliza. La señal puede ser amplifica- fin de conversión.
da o desamplificada, o puede requerir de filtrado, o un
cierre patronal, en el amplificador se incluye para reali-
Si no respetamos el tiempo de conversión, en la salida
zar demodulación. Varios otros ejemplos de acondiciona-
tendremos un valor, que dependiendo de la constitución
miento de señales podría ser el puente de conclusión, la
del convertidor será:
prestación actual de tensión o excitación al sensor, el ais-
lamiento, linealización, etc. Este pretratamiento del señal
normalmente lo realiza un pequeño módulo acoplado al • Un valor aleatorio, como consecuencia de la conver-
transductor. sión en curso
DAQ hardware son por lo general las interfaces entre
la señal y un PC. Podría ser en forma de módulos que • El resultado de la última conversión
10.1. ADQUISICIÓN DE DATOS 109
• Adaptar el rango de salida del transductor al ran- Se utiliza en la industria, la investigación científica, el
go de entrada del convertidor.(Normalmente en ten- control de máquinas y de producción, la detección de fa-
sión). llas y el control de calidad entre otras aplicaciones.
• Hardware:
10.1.6 Ventajas
• PXI
Flexibilidad de procesamiento, posibilidad de realizar las
tareas en tiempo real o en análisis posteriores (a fin de • Software:
analizar los posibles errores), gran capacidad de alma-
cenamiento, rápido acceso a la información y toma de • LabVIEW
decisión, se adquieren gran cantidad de datos para po- • Measurement Studio para Visual Studio
der analizar, posibilidad de emular una gran cantidad de
• LabWindows/CVI para Lenguaje C
dispositivos de medición y activar varios instrumentos al
mismo tiempo, facilidad de automatización, etc. • MATLAB
10.1. ADQUISICIÓN DE DATOS 111
10.1.9 Bibliografía
• Texas Instruments: “Understanding Data Converters
Application Report”, 1997, ref nº SLAA013.
Organizaciones
El CERT/CC está en contra de la publicación de exploit Cisco Systems es una empresa global con sede en San Jo-
porque piensan que tiene más perjuicios que beneficios. sé,[1] (California, Estados Unidos), principalmente dedi-
Sin embargo su política no define ninguna regla sobre es- cada a la fabricación, venta, mantenimiento y consultoría
to. de equipos de telecomunicaciones.
Algunos investigadores tienen sus dudas sobre si la enti-
dad implementa realmente esta política en todos los ca- • Dispositivos de conexión para redes informáticas:
sos. routers (enrutadores, encaminadores o ruteadores),
switches (conmutadores) y hubs (concentradores);
112
11.2. CISCO SYSTEMS 113
[3] Huawei vs. Cisco: continúa el cruce de acusaciones idg.es, 11.3.3 Véase también
5 de enero de 2003
• Agencias de la Unión Europea
[4] Cisco y Huawei detienen litigio Canal-ar, 6 de octubre de
2003 • Política común de seguridad y defensa
•
• How the European Union works
11.3.1 Objectivo
El objetivo de ENISA es mejorar las redes y la seguridad
de la información en la Unión Europea. La agencia tiene
que contribuir al desarrollo de una cultura de red y segu-
ridad de la información para el beneficio de los ciudada-
nos, consumidores, empresas y organizaciones del sector
público de la Unión Europea, y por tanto contribuirá a
mejorar el funcionamiento interno de la EU.
Sede de GCHQ
ENISA asiste a la Comisión, los Estados Miembros y, por
tanto, a los mercados comunitarios para que estos satis- El Government Communications Headquarters
fagan sus necesidades a nivel de red y seguridad de la in- (Cuartel General de Comunicaciones del Go-
formación que manejan, incluyendo la legislación actual bierno[1] ), más conocido como GCHQ, es uno de los
y futura de la UE. tres servicios de inteligencia del Reino Unido.[2]
Sus dos principales funciones incluyen la inteligencia de
señales (SIGINT), que supone la monitorización, inter-
11.3.2 Organización
cepción y descifrado de datos, sobre todo en la lucha con-
ENISA está encabezada por un Director Ejecutivo, y tra el terrorismo y el crimen organizado; y la information
asistida por un personal compuesto por expertos de los assurance (IA), una especialización de la seguridad de la
stakeholders implicados, como la industria de la tecnolo- información, para proteger los sistemas de comunicacio-
gía de la información y comunicaciones, grupos de con- nes informáticas del gobierno británico.[3]
sumidores y expertos académicos. Al igual que el Secret Intelligence Service, más conocido
La Agencia tuvo un presupuesto de 32 millones de euros como MI6, [2]
pertenece al Ministerio de Asuntos Exteriores
(para el periodo 2005-2009). El mandato de la Agencia se británico.
amplió hasta 2012 con un presupuesto anual de 8 millones Sus 4500 empleados ocupan unas instalaciones moder-
de euros, bajo el mandato del Dr. Udo Helmbrecht. nas en Cheltenham, inauguradas en 2003.[4] A finales de
11.5. HITACHI 115
11.4.1 Historia
GCHQ tiene sus orígenes en Bletchley Park, la mansión
victoriana que albergó la primera computadora Colossus
que permitió romper los códigos de la máquina Enigma
alemana, y donde trabajó como criptoanalista el matemá-
tico Alan Turing.
En 2013, gracias a la revelaciones de Edward Snowden,
se descubrió que el GCHQ es por detrás de la Agencia
de Seguridad Nacional estadounidense (NSA), una de las
principales agencias de inteligencia involucradas en los
programas de vigilancia mundial.
11.4.2 Referencias
[1] «Visita al corazón del espionaje electrónico británico»
BBC Mundo. Consultado el 11 de agosto de 2012.
[5] «Inteligencia británica recluta a ciberespías por internet Hitachi, Ltd. (en japonés: ,transliteración:
Inteligencia británica recluta a ciberespías por internet» Kabushiki-gaisha Hitachi Seisakusho) es una empresa
BBC Mundo. Consultado el 11 de agosto de 2012. con sede en Chiyoda- Tokio, Japón. La compañía fue fun-
dada en 1910 en la ciudad de Hitachi de la Prefectura de
Ibaraki, como una tienda de reparación de equipos eléc-
11.4.3 Enlaces externos tricos. Hitachi produce una gran variedad de electrónica
de consumo y proporciona productos para otras fábricas
• Web oficial (en inglés) por ejemplo circuitos integrados y otros semiconductores.
• Sistemas de Integración
• Servicios de Outsourcing
Hitachi.
• Software
116 CAPÍTULO 11. ORGANIZACIONES
• Material ferroviario
11.6.1 Historia
• Plantas Nucleares, Térmicas e Hidroeléctricas ISACA fue fundada en el año 1967 cuando un grupo de
auditores en sistemas informáticos percibieron la necesi-
• Maquinaria Industrial y Plantas dad de centralizar la fuente de información y metodolo-
• Productos para Automóviles gía para el área de operación. Fue en 1969 que el grupo se
formalizó a asociación, originalmente incorporada como
• Maquinaria de Construcción EDP Auditors Association.
• Elevadores En 1976 el nombre pasó a ser ISACA, por el que
es actualmente conocida, y se estableció la primera
• Escaladores
certificación profesional de auditoría de sistemas de in-
formación, o CISA.
Medios Digitales y Productos de Consumo
• CISA - Certified Information Systems Audi- las políticas, desarrollar procedimientos y proporcionar
tor, certificación de auditores de sistemas de estratégicos dirección para la organización. Juntas con-
información. Existen cerca de 90.000 perso- sultivas regionales compuesto de adicionales líderes de
nas certificadas (2012); seguridad de información también proporcionan un abo-
[3]
• CISM - Certified Information Security Ma- gado a la organización.
nager, certificación de gestores de seguridad. (ISC)2 misión declarado es[4] “hacer el mundo ciberné-
Existen cerca de 16.000 personas certificadas; tico un lugar de seguridad a través de la elevación de la
• CGEIT - Certified in the Governance of Enter- información de seguridad a la dominio público y a tra-
prise IT, certificación de gestores de la gober- vés del apoyo y desarrollo de la seguridad de información
nanza empresarial TI. Existen cerca de 4.600 profesionales alrededor del mundo”.
personas certificadas (2007);
• CRISC - Certified in Risk and Information
Systems Control, certificación de gestores de 11.7.2 Historia
control de riesgos en sistemas de información.
Existen cerca de 15.000 personas certificadas A principios de la década de 1980, las organizaciones
(2010). que utilizaban redes informáticas empezaron a compren-
der que múltiples equipos conectados en diversos luga-
res eran mucho más vulnerables que un mainframe úni-
11.6.4 Véase también co. Por ello surgió la necesidad de dotar a estos sistemas
de medidas de seguridad de la información, y de formar
• COBIT
profesionales cualificados para planificar e implementar
• CISA los procedimientos y políticas de seguridad. En aquel en-
tonces no existía una titulación específica, ni escuelas que
• CISM ofrecieran estudios apropiados.
La necesidad de una certificación profesional para man-
11.6.5 Enlaces externos tener y validar un corpus de conocimiento común, unos
valores y una ética para los individuos en la industria se
• Página Oficial de ISACA. convirtió en una creciente preocupación. Varias socieda-
des de profesionales de la tecnología informática recono-
• Página Oficial de ITGI. cieron que se necesitaba un programa de certificación que
validara la calidad del personal de la seguridad informá-
• Cobit Wiki. tica.
En 1989, estas asociaciones formaron (ISC)2 para desa-
11.7 ISC2 rrollar un estándar aceptable para la industria para la
práctica de la seguridad de la información y una certifica-
ción que validara el entendimiento de estas buenas prác-
El Consorcio internacional de Certificación de Segu- ticas entre los practicantes de la seguridad. A cambio de
ridad de Sistemas de Información o (ISC)2 (del in- la respuesta a sus demandas de certificaciones individua-
glés International Information Systems Security Certifica- les, se otorgó a las organizaciones una membresía a un
tion Consortium), es una organización sin ánimo de lu- Consejo Asesor encargado de administrar la creación de
cro con sede en Palm Harbor, Florida que educa y cer- un proceso de certificación de seguridad de información
tifica a los profesionales de la seguridad de la informa- global.
ción. (ISC)2 fue fundada en 1989, ha certificado a cer-
ca de 60.000 profesionales de 135 países, y cuenta con
oficinas en Londres, Hong Kong y Tokio.[1] La certifi-
cación más extendida ofrecida por la organización es la 11.7.3 Publicaciones
de Profesional certificado en sistemas de seguridad de la
información (CISSP). • Guía global de recursos para los profesionales de la
seguridad de la información de hoy[5] proporcionan-
do información sobre los últimos recursos educati-
11.7.1 Antecedentes
vos y los eventos en todo el mundo.[6]
Regida por un elegido miembro de la junta de
directores,[2] (ISC)2 es administrado por un personal pro- • Info Security Professional, una revista trimestral di-
fesional. La junta se compone de información profesio- gital, centrándose en desarrollo profesional y cues-
nales de seguridad que representa una variedad de paí- tiones de carrera en el campo de seguridad de infor-
ses y organizaciones. Miembros de la junta determinar mación.
118 CAPÍTULO 11. ORGANIZACIONES
[8] «(ISC)² Security Transcends Technology». (think tank) liberó diversos anuncios de seguridad infor-
mática y produjo algunas de las herramientas software
[9] «(ISC)² Security Transcends Technology».
de auditoría más usadas, como L0phtCrack (un crackea-
[10] «(ISC)² Security Transcends Technology». dor de contraseñas para Windows NT. The L0pth tam-
bién es conocida por crear la Hacker News Network, The
[11] https://www.isc2.org/scholarship/default.aspx Whacked Mac Archives CD, el Black Crawling Systems
[12] «(ISC)² Cyber Exchange - Security Transcends Techno- Archives CD, un kit decodificador POCSAG y otras he-
logy». rramientas.
En 1998, representantes de L0pth testificaron ante el
[13] «Childnet International».
Congreso de los Estados Unidos que podrían tirar aba-
[14] «GSEC Global Secure Systems: 40 percent of kids don't jo la red Internet en cuestión de 30 minutos.
know their chat buddies».
En enero de 2000, L0pht Heavy Industries se fusionó con
la joven @stake (atstake), completando la lenta transición
11.7.8 Enlaces externos de este organización 'underground' hacia una compañía
de seguridad tipo 'White hat', es decir destinada a ayudar
• Esta obra deriva de la traducción de (ISC)² de a resolver a las empresas sus problemas de seguridad.
Wikipedia en inglés, publicada por sus edito- Symantec anunció la adquisición de @stake el 16 de sep-
res bajo la Licencia de documentación libre de tiembre de 2004 y completó la transacción el 9 de octubre
GNU y la Licencia Creative Commons Atribución- de ese mismo año.
CompartirIgual 3.0 Unported.
• (ISC)2 SitioWeb
11.8.1 Miembros
• (ISC)2 Certificaciones
Fundadores
• White Knight
L0pht Heavy Industries (pronunciado “loft”) fue un fa-
moso colectivo hacker ubicado en Boston, Massachusetts, • Brian Oblivion
entre 1992 y 2000.
• Golgo 13
Nombre
Últimos miembros
El símbolo "Ø" en su nombre representa un cero, reme-
morando, los ceros tachados que eran usados en los anti- • Brian Oblivion
guos teletipos y que aún se utilizan en algunas páginas de
caracteres, y tanto su nombre online como su nombre de • Kingpin
dominio es “l0pht” (con un cero), no “lopth” (con una O)
o “lØpht” (con la letra O tachada), que en la actualidad • Mudge
no podría ser un nombre de dominio válido.
• Dildog
Independientemente del significado de "Ø", el nombre no
está carente de significado. Algunos de los miembros fun- • Weld Pond
dadores de L0pht compartieron un apartamento loft en
Boston, desde donde se interconectaban y experimenta- • Space Rogue
ban tanto con sus propios ordenadores personales como
con los equipos adquiridos de Flea en el MIT, y otros • Silicosis
equipos que eran recuperados de los basureros.
• John Tan
Historia
Notas
The L0pht fue fundada en 1992 en Boston, como ciudad
para sus miembros y para tener sus equipos y trabajar Dos de los últimos miembros (Mudge and Dildog), así
en varios proyectos. Al cabo del tiempo los miembros de como dos de los fundadores originales (Count Zero and
L0pth dejaron sus trabajos para formar una empresa lla- White Knight), son también miembros de CULT OF
mada L0pht Heavy Industries. Esta organización hacker THE DEAD COW.
120 CAPÍTULO 11. ORGANIZACIONES
11.8.2 Enlaces de enlace y combinar las acciones de la NSA con las fuer-
zas armadas, que sirve de apoyo a la NSA.
• Página actual de L0pht
11.9.1 Organización
Administrada como parte del Departamento de Defen-
sa, la agencia está dirigida por un oficial de tres estrellas
(un teniente general o bien un vicealmirante). La NSA es
un componente clave de la Comunidad de Inteligencia de
Estados Unidos, que está encabezada por el Director de Instalaciones gene-
la Inteligencia Nacional. rales de la NSA en Fort Meade, Maryland, restringidas
El Servicio Central de Seguridad o CSS (del inglés a la entrada de personal ajeno a la NSA, finales del siglo
Central Security Service CSS) es el encargado de servir XX.
11.9. AGENCIA DE SEGURIDAD NACIONAL 121
Guerra Fría
• 1982: La NBS emitió una solicitud para un están- Crypto AG paga al gobierno iraní una fianza
dar de algoritmo de criptografía de clave pública. de un millón de dólares. Semanas más tarde la
La RSA DAta Security Incorporated estaba intere- compañía despide a Buehler e insiste en que
sada en convertir RSA en estándar federal pero la le devuelva el dinero. Buehler relata su expe-
NSA no. Finalmente el plan para establecer el es- riencia en su libro Verschlüsselt. Relata que al
tándar fue archivado.[10] principio no sabe nada del tema pero después
de hablar con varios empleados de la compañía
• 1982-1992: Confrontación entre, las organizaciones llega a la conclusión de que algunas máquinas
gubernamentales (inteligencia y seguridad nacional) que vendía estaban amañadas.
que quieren mantener el control de la criptografía y • En 1995 un ingeniero suizo hace revelaciones
por otro lado los defensores de la privacidad, sec- sobre el tema a Scott Shane bajo la condición
tores académicos y empresas privadas vinculadas a de no revelar las fuentes. En sus revelaciones
las nuevas tecnologías, donde se desarrollan avan- explica como hacer material criptográfico con
ces públicos sobre criptografía, que quieren poner a puertas traseras.[16] En el mismo artículo Sha-
disposición del gran público y/o explotar comercial- ne revela, nombrando a un testigo, que la crip-
mente estos nuevos conocimientos. Acontece una tógrafa de la NSA Nora L. Mackebee tuvo una
lucha por el control de la criptografía[11] reunión con empleados de Crypto AG para ha-
• 1984: La NSA lanza su proyecto Commercial blar sobre el diseño de nuevas máquinas crip-
COMSEC Endorsement Program. Justitificándose tográficas.
en que el uso masivo del DES podría provocar que
• 1990-1994: Promoción por parte de la NSA de
una agencia hostil organizase un ataque a gran es-
esquemas de depósitos de claves para que los distin-
cala, intentan implantar un nuevo sistema de cifra-
tos estamentos del estado de Estados Unidos puedan
do basado en la implantación de módulos hardware
acceder al contenido de las comunicaciones [2] . Co-
en los sistemas. Los algoritmos implantados en estos
mo consecuencia se fomentó el uso del chip Clipper.
módulos eran secretos e incluso las claves eran gene-
radas y distribuidas por la NSA. Toda la seguridad
se basaba en la confianza en la NSA. Las entidades, Siglo XXI
en general, rechazaron el sistema y prefirieron que-
darse con sistemas basados en el DES.[9][12] • Comienzos del siglo XXI: Reestructuración,
reorientación y ampliación. Se estima[17] que
cuando sucedieron los atentados del 11 de septiem-
Década de 1990 bre de 2001 la NSA tenía unos 38.000 empleados en
Estados Unidos y otros 25.000 en el extranjero. A
• Años 80-90: Sospechas de la inclusión de puertas partir del 11S hay recortes fundamentalmente alen-
traseras en hardware criptográfico de Crypto tando jubilaciones. En particular se prescinde de re-
AG.[4][13] Crypto AG es una empresa en la que po- cursos orientados a la forma tradicional de recopilar
co a poco muchos países confían para proteger sus y procesar información. Por ejemplo se prescinde de
secretos. Sin embargo parece ser que desde los años muchos lingüistas especialistas en lenguajes soviéti-
50[14][4] algunas de esas máquinas disponen de puer- cos y especialistas en radiofrecuencias. Además hay
tas traseras que permiten acceder a la información. una reorientación y se invierte en recopilar infor-
No hay información verificada sobre la existencia de mación por medio de sistemas que no implican ata-
estas puertas traseras. Lo que hay son diversas fuen- ques matemáticos directos a sistemas tradicionales
tes y sucesos que apuntan hacia dicha existencia: de cifrado. Se invierte en la implantación y explo-
tación de puertas traseras, captación de emisiones
• Parece ser que aproximadamente a mediados electromagnéticas y ataques de hacking. Estas serán
de los 80 llegan a la Unión Soviética informa- las fuentes principales de información. A partir de
ciones sobre la existencia de puertas traseras 2004 la plantilla va creciendo de forma constante.
en las máquinas de Crypto AG. Hay dos teo- En 2010 se funda el Cibercomando con el que la
rías sobre la procedencia de estas revelaciones. NSA trabajará en estrecha colaboración. De hecho
Unas apuntan a la venta por parte de Israel de ambos organismos tienen la misma sede y el mis-
información obtenida a través de Jonathan Po- mo director.[4] La Oficina de Operaciones de Acce-
llard. Otras fuentes apuntan a la posibilidad de so Individualizado (conocido por las siglas TAO del
que la información llegara a través de las reve- inglés Tailored Access Operations), creada en 1997
laciones obtenidas del espía Aldrich Ames.[15] y perteneciente a la NSA, tiene como misión reunir
• En 1992 el gobierno de Irán arresta al vende- informaciones sobre objetivos extranjeros entrando
dor de Crypto AG Hans Buehler acusado de a escondidas en sus ordenadores y sistemas de te-
espionaje y le tiene en prisión durante 9 me- lecomunicaciones, descifrando contraseñas, desar-
ses. Finalmente es liberado cuando la empresa mando los sistemas de seguridad informática que los
11.9. AGENCIA DE SEGURIDAD NACIONAL 123
protegen, robando los datos almacenados, monitori- por el Congreso, de mayoría demócrata, que otor-
zando el tráfico de datos,... La TAO es también res- ga inmunidad con efectos retroactivos a las com-
ponsable de desarrollar las técnicas que permitirían pañías de comunicaciones que habían participado
al Cibercomando realizar sus funciones centrando en las escuchas siempre que éstas pudieran demos-
sus objetivos a partir de la información recopilada trar que habían recibido para ello una solicitud del
por toda la NSA. Parece ser que la TAO es hoy el gobierno. Con esta ley, además, no se requiere que
departamento más grande dedicado a la SIGINT de los oficiales federales que investiguen espionaje in-
la NSA. Está compuesta por más de 1.000 hackers, terno y terrorismo tengan que cumplir con las mis-
analistas de información, especialistas en seleccio- mas garantías que otros perseguidores de crimina-
nar objetivos, diseñadores de computadoras y pro- les. En lugar de ello se establece un requerimiento
gramas e ingenieros eléctricos, tanto civiles como separado y menos exigente para operaciones de se-
militares.[18][19] guridad nacional. Antes de esta ley el gobierno tenía
que satisfacer ante el FISC que había una probable
causa para creer que la persona objetivo estaba di-
recta o indirectamente conectada con un poder ex-
tranjero, y que el objetivo podía ser encontrado si el
sujeto era monitorizado. Sin embargo con las nue-
vas enmiendas se expandían las habilitaciones del
gobierno para conducir actividades de monitoriza-
ción. Se reducían las responsabilidades de supervi-
sión del FISC y se eliminaban los previos requeri-
mientos que requerían especificar y particularizar a
objetivos concretos.[21] La NSA sólo tiene la obli-
gación de presentar sus directrices generales ante el
FISC una vez al año. Estas directrices determinan
los objetivos del año - los criterios se limitan a indi-
Taller de la NSA donde se introduce de manera clandestina hard- car que la vigilancia “ayude a legitimar la recogida
ware y software en ordenadores y otro dispositivos interceptados de inteligencia extranjera” - y entonces recibe la au-
a través del correo ordinario, para una mejor vigilancia de indi- torización global para proceder.[22] Con esta autori-
viduos seleccionados zación puede obligar a las empresas de telecomuni-
caciones y de Internet norteamericanas a colaborar.
Además la ley permite la intervención de emergen-
• En diciembre de 2002 el New York Times revela
cia durante siete días sin orden de ninguna clase. Es-
al público que el Presidente George Bush secreta-
ta intervención de emergencia continúa mientras se
mente autorizaba a la NSA escuchar comunicacio-
tramita la solicitud y mientras están pendientes las
nes dentro y fuera de Estados Unidos para buscar
apelaciones.[8][23] Las enmiendas de FISA 2008 te-
evidencias de actividad terrorista sin ningún tipo de
nían un periodo de vigencia finalizado el cual que-
autorización judicial.[8] USA Today también infor-
daban sin validez. Sin embargo han sido renovadas
mó que secretamente se habían almacenado graba-
sucesivamente.[24]
ciones de decenas de millones de llamadas de te-
lefónicas usando los proveedores de datos AT&T,
Verizon y BellSouth.[8] Todas estas revelaciones in-
dicaban que el presidente se podría haber saltado
la legalidad vigente (Ley de Vigilancia de la Inte-
ligencia Extranjera de 1978). Inicialmente el pre-
sidente se negó a contestar a las acusaciones pero
finalmente reconoció haber autorizado a la NSA a
realizar escuchas en el marco del Programa de Vi-
gilancia Terrorista, TSP (del inglés Terrorist Survei-
llance Programm) para interceptar comunicaciones
internacionales dentro y fuera de Estados Unidos pa-
ra personas relacionadas con organizaciones terro-
ristas. Además afirmaba que no era necesario nin-
guna orden judicial por parte de la FISA ya que el
Congreso le daba la autoridad para usar la ne-
cesaria fuerza para proteger a los estadouniden- Presentación secreta filtrada de la NSA sobre su programa de
ses.[20] Para neutralizar posibles consecuencias lega- espionaje PRISM, en la imagen aparecen por orden cronológico
les, el 10 de julio de 2008 Bush firma, para que en- las empresas colaboradoras de la agencia (2013)
tre en vigor, una ley de enmiendas a FISA aprobada
124 CAPÍTULO 11. ORGANIZACIONES
• Junio de 2010: Desclasificación de documentos [2] Steven Levy, "Cripto. Cómo los informáticos libertarios
que confirman la ya muy sospechada existencia de vencieron al gobierno y salvaguardaron la intimidad en la
UKUSA, un tratado de colaboración de los servicios era digital". Alianza Editorial 2002
de inteligencia de Estados Unidos (la NSA), Reino [3] Walter Goobar Seguilo, 'Edward Snowden, la NSA y
Unido (el GCHQ)), Canadá, Australia y Nueva Ze- el “BIG DATA"'. Martes 5 de noviembre de 2013 en
landa. Su origen fue la colaboración entre británicos Infonews
y estadounidenses en la segunda guerra mundial. En
marzo de 1946 firman el acuerdo BRUSA y final- [4] Craig P. Bauer, “Secret History. The story of Cryptology”.
mente el UKUSA en 1946. La alianza fue poste- CRC Press 2013
riormente abierta a tres países más: Australia, Ca- [5] Schorr, Daniel (29 de enero de 2006). «A Brief History
nadá y Nueva Zelanda, y se conformó el llamado of the NSA». NPR. Consultado el 2 de febrero de 2014.
Club de los cinco ojos. Bajo UKUSA los servicios
de inteligencia comparten casi todo y nunca seña- [6] La NSA espió a Mohamed Alí y Martin Luther King en
lan como objetivos a ciudadanos de uno u otro país los años 60, Europa Press. 26 de septiembre de 2013
sin permiso. Bajo este ámbito se ubica el programa [7] “National Security Agency: The historiography of con-
ECHELON que permiten a las agencias realizar vi- cealment”. J. Fitsanakis en “The History of Information
gilancia tecnológica, y así supuestamente monitori- Security: A Comprehensive Handbook”. Elservier 2007
zar las comunicaciones telefónicas, de fax y de tráfi-
co de datos de todo el globo. Se ha acusado a esta red [8] Newton Lee, Counterterrorism and Cybersecurity: Total
de recopilar información que es aprovechada por las Information Awareness. Springer 2013
empresas de los países implicados para así conseguir [9] Steven Levy, “Cripto: Como los informaticos libertarios
ventaja sobre sus competidores (espionaje indus- vencieron al gobierno y salvaguaron la intimidad en la era
trial).[25][26][27][4] digital”, 12 de noviembre de 2002. Alianza Editorial
• Mayo de 2013: Revelaciones de Edward Snow- [10] “Privacy on the Line: The Politics of Wiretapping and
den. En mayo de 2013, Edward Snowden, trabaja- Encryption”. Whitfield Diffie,Susan Eva Landau. MIT
dor del contratista de defensa Booz Allen Hamilton 1998
que trabajaba para la NSA, huye de Estados Unidos
[11] “Cyber-Security and Threat Politics: US Efforts to Secure
y revela distintas prácticas de espionaje realizadas the Information Age”, Myriam Dunn Cavelty, Routledge
por la NSA: 2008
• Espionaje masivo. Para ello revela que la NSA [12] Whitfield Diffie, Susan Eva Landau,"Privacy on the Line:
desarrolla distintos sistemas o programas de The Politics of Wiretapping and Encryption”. Massachu-
investigación, como Bullrun, MUSCULAR, setts Institute of Technology 1998
Boundless Informant, PRISM, XKeyscore o
Unified Targeting Tool, cuyo objetivo es reco- [13] The story about Crypto AG
pilar, procesar y dejar disponible información [14] Ronald W. Clarck, “The man who borke purple”, Little
masiva. Brown, Boston 1977
• Espionaje selectivo realizado a millones de ci-
[15] Wayne Madsen, “THE DEMISE OF GLO-
viles entre ellos importantes personalidades de
BAL COMMUNICATIONS SECURITY”,
un amplio número de países, incluso impor- WayneMadsenReport.com
tantes aliados de Estados Unidos. Por ejem-
plo, revela que la NSA interceptó, almace- [16] Scott Shane y Tom Bowman, “No such agency: Ameri-
nó y analizó las comunicaciones electrónicas ca’s fortress of spies”. Artículo publicado en 6 partes. The
y telefónicas de Dilma Rousseff, presidenta Baltimore Sun, 3-15 de diciembre de 1995. Parte 4
de Brasil y Felipe Calderón, ex-Presidente de [17] James Banford,"A Pretext for War: 9/11, Iraq, and
México.[28][29] the Abuse of America’s Intelligence Agencies”. Anchor
Books 2004
• Enero de 2014: Se devela que la NSA intercep-
ta ordenadores comprados online para instalarle [18] Matthew M. Aid, "En el ultrasecreto grupo de piratas de
software de espionaje y hardware.[30] Igualmente, la NSA que espía a China"]. Diario El Pais. 21 de junio
instala añadidos a diversas aplicaciones móviles de de 2013
uso extendido (como Angry Birds o Google Maps)
[19] Inside TAO: Documents Reveal Top NSA Hacking Unit.
para espiar a sus usuarios.[31]
Der Spiegel 29 de diciembre de 2013
[1] «Mission». National Security Agency (en inglés). 15 de [21] Introduction to Law and the Legal System. Frank Schu-
enero de 2009. Consultado el 17 de noviembre de 2015. bert. Cengage 2013
11.10. OPEN WEB APPLICATION SECURITY PROJECT 125
[22] Snowden. Sin un lugar donde esconderse. Glenn Green- OWASP es un nuevo tipo de entidad en el mercado de se-
wald. Ediciones B. 2014 guridad informática. Estar libre de presiones corporativas
facilita que OWASP proporcione información imparcial,
[23] Senate Approves Bill to Broaden Wiretap Powers. Licht-
blau, Eric. The New York Times, July 10, 2008.
práctica y redituable sobre seguridad de aplicaciones in-
formática. OWASP no está afiliado a ninguna compañía
[24] Amendments to the Foreign Intelligence Surveillance Act tecnológica, si bien apoya el uso informado de tecnolo-
(FISA) Extended Until June 1, 2015 gías de seguridad. OWASP recomienda enfocar la seguri-
[25] Gordon Corera,”Escándalo de espionaje: qué es el “Club
dad de aplicaciones informáticas considerando todas sus
de los cinco ojos”". BBC. 30 de octubre de 2013 dimensiones: personas, procesos y tecnologías.
Los documentos con más éxito de OWASP incluyen
[26] Thiber, La Agencia de Seguridad Nacional (NSA), el es-
pionaje y colaboración público-privada en EEUU. Real la Guía OWASP y el ampliamente adoptado documen-
Instituto El Cano. 11 de noviembre de 2013 to de autoevaluación OWASP Top 10. Las herramien-
tas OWASP más usadas incluyen el entorno de forma-
[27] James Cox, Canada and the Five Eyes Intelligence Com- ción WebGoat, la herramienta de pruebas de penetración
munity. Diciembre de 2012 WebScarab y las utilidades de seguridad para entornos
[28] «NSA Documents Show United States Spied Brazilian Oil .NET OWASP DotNet. OWASP cuenta con unos 50 ca-
Giant». Jornal da Globo Fantástico. 8 de septiembre de pítulos locales por todo el mundo y miles de participantes
2013. Consultado el 16 de noviembre de 2015. en las listas de correo del proyecto. OWASP ha organiza-
do la serie de conferencias AppSec para mejorar la cons-
[29] Jens Glüsing, Laura Poitras, Marcel Rosenbach y Holger trucción de la comunidad de seguridad de aplicaciones
Stark (20 de octubre de 2013). «Fresh Leak on US Spying:
web.
NSA Accessed Mexican President’s Email». Der Spiegel.
Consultado el 16 de noviembre de 2015.
• Filtros de validación (Stinger para J2EE, filters pa- • Reunir información sobre todo lo referente a se-
ra PHP) – Filtros genéricos de seguridad perimetral guridad informática (sistemas operativos, routers,
que los desarrolladores pueden usar en sus propias firewalls, aplicaciones, IDS, etc.)
aplicaciones.
• Ofrecer capacitación y certificación en el ámbito de
• WebGoat – Una herramienta interactiva de forma- la seguridad informática
ción y benchmarking para que los usuarios aprendan
sobre seguridad de aplicaciones web de forma segu- Igualmente, el SANS Institute es una universidad forma-
ra y legal. tiva en el ámbito de las tecnologías de seguridad. Es una
referencia habitual en la prensa sobre temas de auditoría
• DotNet – Un conjunto de herramientas para securi-
informática.[1] .[2]
zar los entornos .NET.
11.11.1 Referencias
11.10.2 Historia
[1] SANS Institute consultará con tres españoles la seguridad
Los líderes OWASP son responsables de tomar decisio- de la 'web' · ELPAÍS.com
nes sobre la dirección técnica, las prioridades del proyec-
to, los plazos y las publicaciones. Colectivamente, los lí- [2] eWeek
deres OWASP pueden considerarse gestores de la Funda-
ción OWASP, si bien el proyecto prima la compartición
11.11.2 Enlaces externos
de conocimiento en la comunidad frente al reconocimien-
to individual. • SANS Institute (en inglés)
OWASP comenzó en el año 2001. La Fundación
OWASP, una organización sin ánimo de lucro, se creó • Universidad del Instituto SANS (en inglés)
en 2004 para apoyar los proyectos e infrastructura de
OWASP.
OWASP depende para su mantenimiento de las donacio-
nes y las cuotas de los socios, particulares y empresas.
• Seguridad informática
Personas
127
Capítulo 13
13.1 Texto
• Seguridad informática Fuente: https://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica?oldid=91176365 Colaboradores: Ema-
ri~eswiki, Soniautn, JorgeGG, InfoAudit, Sanbec, Zwobot, Dodo, Sms, Tostadora, Tano4595, NathyMig, Cinabrium, Fmariluis, Loco085,
Iescriva, Kordas, Edupedro, Renabot, Deleatur, Pchamorro, Airunp, Edub, Emijrp, Rembiapo pohyiete (bot), Magister Mathematicae,
OMenda, Orgullobot~eswiki, RobotQuistnix, Thr41N, Platonides, Alhen, H4l9k, Superzerocool, Inu~eswiki, Caiserbot, Yrbot, Amadís,
Baifito, Seanver, Oscar ., Adrruiz, Maleiva, Vitamine, Oscarif, Mortadelo2005, GermanX, Crisborghe, LoquBot, The Photographer, Ti-
gerfenix, Santiperez, MIGUEL OJEDA, HECTOR ARTURO AZUZ SANCHEZ, Banfield, Er Komandante, Ciencia Al Poder, Chlewbot,
Tomatejc, Uncorreotemporal, Nihilo, Paintman, Cad, BOTpolicia, RamonVeres, Daniel121, JEDIKNIGHT1970, CEM-bot, Gabriel Ac-
quistapace, 333, Laura Fiorucci, -jem-, Alexav8, Gerval, Retama, Baiji, Roberpl, Gafotas, Montgomery, FrancoGG, Thijs!bot, Draugmor,
Srengel, Cansado, Yeza, RoyFocker, Alakasam, Cratón, Isha, Egaida, Bernard, Arcibel, Mpeinadopa, Jurgens~eswiki, JAnDbot, Jugo-
nes55, Mansoncc, Death Master, Aosoriod, Sarampión, Ing.armandolopez, Muro de Aguas, Iulius1973, TXiKiBoT, Humberto, Netito777,
BrWriter2~eswiki, Mjsoto, Sausaf, NaSz, Fixertool, Nioger, Chabbot, Seguridad informática, Pólux, Rogeliowar, BL, Jmvkrecords, P
kos, Pitlik, Vanessaalexandra, Bucephala, AchedDamiman, Cinevoro, VolkovBot, Snakeyes, Technopat, Galandil, Queninosta, Montejo,
Matdrodes, Elabra sanchez, House, DJ Nietzsche, BlackBeast, Lucien leGrey, Luis1970, Muro Bot, Javiergtz, Mushii, Rimac, BOTarate,
Gustavodiazjaimes, Mel 23, OboeCrack, Manwë, Nubecosmica, Magrox, Greek, PipepBot, Ivanics, Héctor Guido Calvo, Tirithel, Javie-
rito92, HUB, Nicop, Aikurn, DragonBot, McMalamute, Giannii, Eduardosalg, Leonpolanco, Pan con queso, Ricardo abarca, Botito777,
Petruss, Cybermeis, Poco a poco, Demex, BodhisattvaBot, Açipni-Lovrij, Osado, UA31, SergioN, AVBOT, David0811, TheDarkFear,
Agox, Angel GN, Vituzzu, Diegusjaimes, Rodri cyberdog, Arjuno3, Jmquintas1973, Andreasmperu, Luckas-bot, Centroamericano, Na-
llimbot, Roinpa, Romz, Bk26, Fmartagong, ArthurBot, M3thod.mdf, Laozmdq, Gromerol, SuperBraulio13, Xqbot, Simeón el Loco, Jkbw,
Irbian, Cxocommunity, Ricardogpn, Rennatot, Romel.rivas, Artlejandra, Botarel, B3rN9, BOTirithel, Hprmedina, Halfdrag, RedBot, Kizar,
KrumVik, JUANCARLOSMTZT, JoanCalderón, Jihernandez, Leugim1972, Urruedelp, PatruBOT, H3dicho, Fran89, Manuchansu, Ta-
rawa1943, Nachosan, Rafa2386, Edslov, EmausBot, Savh, ZéroBot, Internetsinacoso, Intecocert, Rubpe19, Mecamático, ChuispastonBot,
MadriCR, Waka Waka, K-F.U.N 2, Luis 414, Jramio, Lotje, Palissy, ILoveSugar, Antonorsi, MerlIwBot, Santi1212, Renly, Damianienco-
wiki, Travelour, Ginés90, MetroBot, Lucifer8k, Acorletti, Allan Aguilar, Gusama Romero, MarcosJHofer, Rodriguemus, Aziku, Acratta,
LlamaAl, Asqueladd, Neburor, Helmy oved, Makecat-bot, YaiElSa, Tsunderebot, CEVICAS, Syum90, Omarngo, Sergio Mendez Galin-
do, Nayeli.Inteli, Lemilio775, MaKiNeoH, Beesocialmx, Lejocum, WebResearcher!, Addbot, Mettallzoar, Balles2601, Curredsoc, Adrián
Cerón, Ferdol123, Juanepomucenux, ElsaMaile, IrvingCarR, MarioFinale, Karlacastro.kvcm, Jarould, Baltazarmarquez, Crystallizedcar-
bon, Bananoff, Paquitodrogon, Nereagernekua, Euphotoshop, Susanazv, Raquel apastegui, Earizrod, Fernando2812l, Ks-M9, NAP343449,
Cursorosana, FescUnam2016, Croses1980, MiguelTrujilloZ, Julián David Cano Páez, Panian Pazán, Krassnine y Anónimos: 720
• Guerra informática Fuente: https://es.wikipedia.org/wiki/Guerra_inform%C3%A1tica?oldid=91125154 Colaboradores: Vanbasten 23,
Jynus, Digigalos, Soulreaper, Chobot, Yrbot, BOT-Superzerocool, Eloy, Siabef, Fercufer, Alexav8, Aswarp, Dorieo, TXiKiBoT, Itzigaya,
AnandaDyviaela, Slayer01, Cinevoro, Yayoloco, Barri, Copydays, Plisaso, Gallowolf, LordT, Furti, XXDarkingXx, Alexbot, MastiBot,
DumZiBoT, Arjuno3, Luckas-bot, ArthurBot, Xqbot, BenzolBot, RedBot, Kizar, TjBot, EmausBot, ZéroBot, Rezabot, TeleMania, Ro-
quetin, Addbot, ConnieGB, Jarould, BenjaBot, Gnappeta y Anónimos: 31
• Seguridad de la información Fuente: https://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n?oldid=90943142 Colabora-
dores: Sabbut, Jynus, Psion7s, Aeveraal, Alhen, H4l9k, Yrbot, Vitamine, Banfield, Ciencia Al Poder, Folkvanger, CEM-bot, Laura Fio-
rucci, Salvador alc, Davius, Ggenellina, Rcidte, RoyFocker, Isha, Arcibel, JAnDbot, Death Master, Aosoriod, Kakico, CommonsDelinker,
Moplin, NaBUru38, Netito777, Fixertool, MaryAnneBaker, Jmvkrecords, Ahenestrosa, Cinevoro, Technopat, Matdrodes, Muro Bot, Ed-
menb, Gerakibot, Jmvgpartner, PaintBot, Ralti, Choipablo, Drinibot, Bigsus-bot, Pascow, BuenaGente, Supersimn, HUB, Reyesoft, Nicop,
Panter1, Ricardo abarca, Açipni-Lovrij, UA31, AVBOT, David0811, LucienBOT, MastiBot, Diegusjaimes, Arjuno3, Juvalen, Luckas-bot,
Roinpa, Kavor, Aldotobar, Juasebsierra, M3thod.mdf, SuperBraulio13, Jkbw, Patricia.garcia, Cxocommunity, Botarel, KvedBOT, Miha04,
SSasuke, D4n1e7, KrumVik, Alberto Salome Flores, Jancona, El moncayo, JoanCalderón, Mkbalcazar, Lungo, Luismtzsilva, Leugim1972,
Juanjorm78, H3dicho, Mister Roboto, Ripchip Bot, Bortolini~eswiki, Tarawa1943, Foundling, GrouchoBot, Miss Manzana, A cortes2002,
Rafa2386, Rumaru22, EmausBot, George Dude, AVIADOR, Internetsinacoso, Grillitus, MercurioMT, WikitanvirBot, Jramio, EYPM,
MerlIwBot, KLBot2, Gelosada, Invadibot, Acorletti, Bernos, Acratta, Pablo Gomez wolf, Elvisor, DanielithoMoya, WebResearcher!, Add-
bot, JacobRodrigues, Saectar, Mile2 Latam, Jarould, Matiia, AlvaroMolina y Anónimos: 177
• Seguridad de redes Fuente: https://es.wikipedia.org/wiki/Seguridad_de_redes?oldid=91390095 Colaboradores: Soulreaper, Banfield,
CEM-bot, Elvisor, Jarould, BenjaBot, ARSJ94, Nyzeratha y Anónimos: 4
128
13.1. TEXTO 129
LuisArmandoRasteletti, Alecs.bot, BetoCG, PetrohsW, Alexbot, Tinom 94, Arhendt, Gabriel-rocksarino, Ravave, Ferrari 707, Camilo,
UA31, Ucevista, Ente X, AVBOT, Elliniká, David0811, Dermot, Markps96, MarcoAurelio, Winjaime, Diegusjaimes, Davidgutierrezal-
varez, Linfocito B, Victormoz, CarsracBot, Arjuno3, Serail, WikiDreamer Bot, Spirit-Black-Wikipedista, Borboteo, Elhorrego, Jotterbot,
Vic Fede, Hack-Master, M303, LyingB, Matiash93, Markoszarrate, Rmarmolejor, Voiceterms~eswiki, La Corona, Nara Shikamaru, Mo-
nicagorzy, Yaneli'm, Hampcky, Ornitododo, Alvarittox, Chapapapa, ArthurBot, FedericoF, SuperBraulio13, Ortisa, Kender00, Manuelt15,
Xqbot, Jkbw, Dreitmen, Ricardogpn, Jusaheco, Tophia, Jacorream, Pitototote, Blacki4, Jakeukalane, TobeBot, RedBot, Kizar, Vubo, Phy-
rokarma, TorQue Astur, PatruBOT, Ganímedes, KamikazeBot, Dinamik-bot, Avm99963, Carolchin, Pincho76, Ripchip Bot, Tarawa1943,
K312W1N, AstroF7, Nachosan, Foundling, Alex music24, Edslov, EmausBot, Savh, AVIADOR, ZéroBot, HRoestBot, Internetsinacoso,
Sergio Andres Segovia, ChuispastonBot, WikitanvirBot, Diamondland, Metrónomo, Rezabot, MerlIwBot, General Pico, KLBot2, VR0,
AvicBot, AvocatoBot, MetroBot, Invadibot, DARIO SEVERI, Elvisor, Santga, Makecat-bot, Lemilio775, MaKiNeoH, Legobot, Periki-
yo, Addbot, Balles2601, WikiFurrySwift, MarioFinale, Jarould, Egis57, Crystallizedcarbon, AlvaroMolina, Renato Hernández, BenjaBot,
4lextintor, Grabado, AlbertoProGamer, Francheskapb, Marco gonzalez fiorillo, Fernando2812l, Fuente De Luz, Rkrea, Yoniszelaya, Yo-
nis Ramirez, Ks-M9, Jairo Edgar, Candisol, Akihito kambara, Fierropariente, Emily guadalupe, Eduardo90ma, Kiarey isabel, Fecanul,
Juan5432, VirusEbocancer, Penedelira, Almorcho, Estudiante misael, Jose99103, Mefolloatumadre, Pamcracia, Fr2002, Rockinteddy,
Lacomowstas, Tatii09, Cotelani y Anónimos: 832
• Gusano informático Fuente: https://es.wikipedia.org/wiki/Gusano_inform%C3%A1tico?oldid=91088837 Colaboradores: Joseaperez,
SpeedyGonzalez, Lourdes Cardenal, Vanbasten 23, Aloriel, Jondel, Txuspe, Edupedro, Richy, Soulreaper, Yrithinnd, Taichi, Rembiapo
pohyiete (bot), Orgullobot~eswiki, RobotQuistnix, Superzerocool, Palica, Yrbot, FlaBot, YurikBot, GermanX, Equi, KnightRider, The
Photographer, Tigerfenix, Kekkyojin, Banfield, Filipo, BOTpolicia, CEM-bot, Gabriel Acquistapace, Pacovila, Rastrojo, Rosarinagazo,
Antur, Gafotas, FrancoGG, Thijs!bot, Alvaro qc, Ninovolador, Mpeinadopa, JAnDbot, Hemtar, Mansoncc, Segedano, EGFerreiro, Gaius
iulius caesar, TXiKiBoT, UVXR, Gustronico, Ignacioerrico, Nioger, Idioma-bot, Pólux, Manuel Trujillo Berges, AchedDamiman, Al-
noktaBOT, Technopat, Lucien leGrey, Tatvs, Barri, AlleborgoBot, Muro Bot, YonaBot, Jmvgpartner, SieBot, PaintBot, Bigsus-bot, Dark,
Relleu, Mafores, Tirithel, Marcecoro, StarBOT, Cangueblues, El denyu, Eduardosalg, Veon, LordT, Frei sein, Raulshc, Açipni-Lovrij, Bot-
Sottile, UA31, PMéndezor, AVBOT, MastiBot, Agox, Diegusjaimes, DumZiBoT, MelancholieBot, Arjuno3, Saloca, Amirobot, Nallimbot,
Yonidebot, Mcat95, Nixón, ArthurBot, Xqbot, Jkbw, Rubinbot, Romano5, Botarel, MauritsBot, Panderine!, D'ohBot, BOTirithel, Half-
drag, Kizar, PatruBOT, Jorge c2010, Foundling, EmausBot, AVIADOR, Internetsinacoso, Grillitus, Rubpe19, Mecamático, Juan Pablo, El
Genio, ChuispastonBot, MadriCR, Waka Waka, JABO, MetroBot, Invadibot, Allan Aguilar, Ileana n, Creosota, Carloslopezperez, Helmy
oved, Addbot, Balles2601, MarioFinale, Jarould, Crystallizedcarbon, Tatiana gonsalez, Cgalayo, Fran Fromage y Anónimos: 198
• Ataque de denegación de servicio Fuente: https://es.wikipedia.org/wiki/Ataque_de_denegaci%C3%B3n_de_servicio?oldid=91353003
Colaboradores: Aloriel, Dodo, Ejmeza, Daniel G., Cinabrium, Orgullomoore, DMG, Emijrp, Ghostbar, RobotQuistnix, Mortadelo, Super-
zerocool, Chobot, BOT-Superzerocool, FlaBot, BOTijo, YurikBot, GermanX, Huds, KnightRider, Eskimbot, Kekkyojin, Er Komandante,
Smoken Flames, Paintman, BOTpolicia, CEM-bot, Laura Fiorucci, X.Cyclop, Jjvaca, Rastrojo, Rllaque, Antur, Alexisabarca, Dorieo,
Montgomery, Thijs!bot, Bot que revierte, Bernard, JAnDbot, Jugones55, Chiquix, TXiKiBoT, Rei-bot, Dav7mx, AlnoktaBOT, Cinevo-
ro, VolkovBot, Technopat, Nelsito777, Barri, Muro Bot, Feministo, SieBot, BOTarate, RICARDOSA, AlexGPL, Yilku1, DorganBot,
Marcecoro, DragonBot, Gallowolf, Petruss, Darkicebot, Rαge, Açipni-Lovrij, SilvonenBot, AVBOT, David0811, MastiBot, Rizome, Die-
gusjaimes, CarsracBot, Luckas-bot, Ptbotgourou, LordboT, Antojio, ArthurBot, Manuelt15, Xqbot, Alemazurk Mayo, Jkbw, Leandrosw,
Surfaz, Botarel, Linux65, Jakeukalane, TobeBot, Vicper, RedBot, Kizar, Vubo, Dinamik-bot, EmausBot, Sans-Serif, KLBot, Rubpe19,
Albertojuanse, WikitanvirBot, Mjbmrbot, Manubot, ILoveSugar, AStarBot, Snak1116, Doctor Ácula, Hernando Gamezvar, MerlIwBot,
Enrichh, UAwiki, Vagobot, Allan Aguilar, Elvisor, NonimoHack, Forestrf, Miguel2706, Legobot, ConnieGB, OGelus, Akashksunny13,
Jarould, CAMILO9091, Juliangz1, Matiia, Antony1212121212 y Anónimos: 188
• Malware Fuente: https://es.wikipedia.org/wiki/Malware?oldid=91361061 Colaboradores: Lourdes Cardenal, Vanbasten 23, Paz.ar, Dodo,
Sms, Elwikipedista, Galio, Schummy, Alarga, Z80user, Edupedro, Renabot, Raas, Petronas, Airunp, Edub, RedTony, Aadrover, Further
(bot), RobotQuistnix, Platonides, Alhen, H4l9k, Chobot, Yrbot, Amadís, YurikBot, GermanX, Gaijin, The Photographer, Gothmog, Ka-
zem, Tigerfenix, Banfield, Fravia, Ignacios, Tempere, Ciencia Al Poder, Tomatejc, Aguilasainz, Paintman, Jago84, BOTpolicia, Qwertyy-
trewqqwerty, CEM-bot, Laura Fiorucci, Maxtermind, Josergc, -jem-, Alexav8, Mrtn z, Retama, Baiji, IvanStepaniuk, Rastrojo, Antur,
Martínhache, CF, FrancoGG, Thijs!bot, Gpastor, Jorgebarrios, Bot que revierte, RoyFocker, Patriciadedo, Isha, Gragry, MSBOT, Mpei-
nadopa, Doreano, JAnDbot, Kved, Mansoncc, EGFerreiro, Death Master, Satin, Lobizon, BetBot~eswiki, Muro de Aguas, CommonsDe-
linker, TXiKiBoT, Netito777, Ale flashero, Rei-bot, Pokefan SPD, Nioger, Pólux, AchedDamiman, Almupeta, AlnoktaBOT, Cinevoro,
VolkovBot, Snakeyes, Technopat, Galandil, Queninosta, Balamacab, Matdrodes, BlackBeast, Lucien leGrey, Muro Bot, Edmenb, Holalola,
Corydora, SieBot, PaintBot, Loveless, Macarrones, Obelix83, Conejjo22, BOTarate, Totoclasta, Correogsk, Greek, Chico512, Tirithel,
FRuBeNZ, Mutari, Javierito92, Marcecoro, HUB, MetsBot~eswiki, StarBOT, Antón Francho, Kikobot, Pctek, JOKblogger, Eduardosalg,
Veon, Leonpolanco, Pan con queso, Alecs.bot, Darkicebot, Valentin estevanez navarro, BodhisattvaBot, Ravave, Ernesto23, SilvonenBot,
Camilo, UA31, Shalbat, Ente X, AVBOT, Mememax, LucienBOT, Volnig, Colin25, Diegusjaimes, Linfocito B, Arjuno3, Andreasmpe-
ru, Luckas-bot, No.faking.time, Ptbotgourou, Jotterbot, GRamirezC, CayoMarcio, ArthurBot, SuperBraulio13, Almabot, Xqbot, Jkbw,
SassoBot, Rubinbot, Plasmoid, FrescoBot, Kingpowl, Botarel, D'ohBot, Yabama, TiriBOT, MAfotBOT, Hprmedina, TobeBot, Raytown,
RedBot, Kizar, Cmiram, Born2bgratis, Wmarin, PatruBOT, Gomgc, Dinamik-bot, Angelito7, ShenHatarNoe, Ripchip Bot, Tarawa1943,
Dark Bane, Nachosan, Jorge c2010, Foundling, Wikiléptico, Edslov, EmausBot, Savh, AVIADOR, ChessBOT, Internetsinacoso, J. A.
Gélvez, Grillitus, JackieBot, KLBot, MKernel, Rubpe19, WikitanvirBot, Lcampospousa, ILoveSugar, MerlIwBot, KLBot2, TeleMania,
VR0, Vagobot, Deivis, MetroBot, Invadibot, Santyago0805, WikiCesarPro, Allan Aguilar, Espectrus95, Érico, Elvisor, Creosota, Santga,
Helmy oved, HeMaCh, EduLeo, Totemkin, Addbot, Joaquin2020, Balles2601, Pachangola, Wilovisu, JuanDelOlmo, Juanito Bananas 19,
TheGSGgamer, Soufianmoro18, Jarould, Crystallizedcarbon, Futurepastori, BenjaBot, Adolfi15, Birotero, Fidi&luis, Gabisbisi, Basslap1,
Cotelani y Anónimos: 370
• Payload (informática) Fuente: https://es.wikipedia.org/wiki/Payload_(inform%C3%A1tica)?oldid=88135718 Colaboradores: Lamder y
Alber8295
• Rootkit Fuente: https://es.wikipedia.org/wiki/Rootkit?oldid=90031790 Colaboradores: Aloriel, Triku, SimónK, Tostadora, Fajro, Jarfil,
Cinabrium, Digigalos, Deleatur, Edub, Rembiapo pohyiete (bot), Magister Mathematicae, RobotQuistnix, Unf, Vynith, FlaBot, BOTi-
jo, YurikBot, Icvav, GermanX, HECTOR ARTURO AZUZ SANCHEZ, Eskimbot, Ulpianus, Mascle, Lázaro, Ciencia Al Poder, JJMC,
CEM-bot, Laura Fiorucci, Montgomery, Escarbot, ANELKAOS, TuvicBot, Botones, Arcibel, TXiKiBoT, Moplin, ColdWind, Humberto,
Netito777, Rei-bot, Enrique r25, Cinevoro, VolkovBot, Matdrodes, Shooke, Barri, AlleborgoBot, Muro Bot, Gameso, SieBot, Ecalata,
Loveless, Rimac, Gecanarias, Manwë, Txon~eswiki, Nicop, PixelBot, Botellín, Alejandrocaro35, LordT, Petruss, GoldenAven, UA31,
AVBOT, Gemini1980, ViB, Diegusjaimes, Emiliorp, Luckas-bot, RobFK, Vic Fede, Hack-Master, Hampcky, ArthurBot, Jkbw, Edy Co-
rrea, The kill 27, BOTirithel, Jcfidy, Kizar, Omerta-ve, Born2bgratis, Zoram.hakaan, PatruBOT, Francisco Serrador, TjBot, Alph Bot,
13.1. TEXTO 131
GrouchoBot, EmausBot, AVIADOR, ZéroBot, Internetsinacoso, Grillitus, WikitanvirBot, MerlIwBot, KLBot2, MetroBot, Allan Aguilar,
Elvisor, BOTito, Pablovidelayanez y Anónimos: 98
• Keylogger Fuente: https://es.wikipedia.org/wiki/Keylogger?oldid=90864376 Colaboradores: Pino, Julie, Jynus, Daniel G., Rodrigouf,
Fmariluis, FAR, Maquinangel, Magister Mathematicae, Aadrover, RobotQuistnix, Yrbot, FlaBot, YurikBot, GermanX, HECTOR AR-
TURO AZUZ SANCHEZ, Kauderwelsch, BOTpolicia, Hawking, CEM-bot, Laura Fiorucci, Baiji, Rastrojo, Rosarinagazo, Andres moya,
Resped, Tortillovsky, Mahadeva, Jileon, RoyFocker, Chuck es dios, Mpeinadopa, JAnDbot, Skippan, Beta15, CommonsDelinker, TXi-
KiBoT, Humberto, Netito777, Pólux, AchedDamiman, Aibot, VolkovBot, Technopat, BlackBeast, SieBot, Ctrl Z, Ensada, Tucapl, Bo-
ris55, BOTarate, Macarse, STBot~eswiki, MacaBot, McOil, Tirithel, HUB, Leonpolanco, Alecs.bot, Alexbot, Darkicebot, Mike.lifeguard,
UA31, Shalbat, MARC912374, AVBOT, SunriseProjector, MastiBot, Diegusjaimes, Arjuno3, AlguzarA, Andreasmperu, Luckas-bot,
Billinghurst, Thollybot, Hampcky, Vivaelcelta, SuperBraulio13, Xqbot, Jkbw, ChenzwBot, Botarel, Raytown, Kizar, Ckmer, Zitralia, Pa-
truBOT, Francisco Serrador, Humbefa, GrouchoBot, EmausBot, AVIADOR, Internetsinacoso, S3cr3tos, ChuispastonBot, Waka Waka,
GM83, KLBot2, Chrishonduras, Felipepe07 27, Ginés90, Allan Aguilar, Jorge Basadre, Stefan Bellini, Hanscun, Michael Dave, Jarould,
BenjaBot, Antrax6667 y Anónimos: 194
• Control de acceso Fuente: https://es.wikipedia.org/wiki/Control_de_acceso?oldid=91118362 Colaboradores: Sabbut, Mansoncc, Mcap-
devila, Jkbw, Invadibot, Lagoset, Jarould y Anónimos: 11
• Antivirus Fuente: https://es.wikipedia.org/wiki/Antivirus?oldid=91394240 Colaboradores: Joseaperez, Abgenis, JorgeGG, Lourdes Car-
denal, Julie, Sms, Tostadora, Tano4595, Jsanchezes, Barcex, Troels Nybo~eswiki, Porao, Ap0st0L, Elsenyor, FAR, Jabov5, Alexan,
Petronas, Orgullomoore, Airunp, JMPerez, Edub, Natrix, Taichi, Emijrp, Rembiapo pohyiete (bot), Anrfernandez, Hectordanielopez,
Magister Mathematicae, Orgullobot~eswiki, RobotQuistnix, Francosrodriguez, Platonides, Alhen, Superzerocool, Palica, Yrbot, BOT-
Superzerocool, Oscar ., FlaBot, Vitamine, BOTijo, Skywalker309, YurikBot, Al59, GermanX, Ferbr1, Gaijin, KnightRider, Gothmog,
Libero, Carutsu, C-3POrao, Santiperez, FedericoMP, HECTOR ARTURO AZUZ SANCHEZ, Banfield, Ignacios, Grizzly Sigma, Lázaro,
Ciencia Al Poder, Dmlambea~eswiki, Zanaqo, Filipo, Siabef, Folkvanger, The worst user, Jorgechp, BOTpolicia, Qwertyytrewqqwerty,
CEM-bot, Laura Fiorucci, -jem-, Mrtn z, Xexito, Retama, Pacostein, Baiji, Roberpl, Antur, Montgomery, FrancoGG, Thijs!bot, Lati-
noyargentino, Charlie Wiki, Alvaro qc, Srengel, Mahadeva, Bot que revierte, Yeza, RoyFocker, Alavisan, Will vm, ProgramadorCCCP,
Cratón, Isha, FFD, Mpeinadopa, Rrmsjp, El loko, JAnDbot, Kved, Mansoncc, Beta15, Gacelo, Satin, Muro de Aguas, Gaius iulius cae-
sar, Gsrdzl, TXiKiBoT, Orcaj001, Carlos e64, Aristarco de Samotracia, Gacq, Elisardojm, Humberto, Netito777, SeñorDarcy, NaSz,
Nioger, Behemot leviatan, MotherForker, Idioma-bot, Pólux, Recuperamosdatos, Jmvkrecords, Jtico, AchedDamiman, Cipión, Cinevoro,
Ricardovo, VolkovBot, LordNes, Technopat, Queninosta, Matdrodes, Elabra sanchez, Mrexcel, BlackBeast, Vatelys, 3coma14, Muro Bot,
Edmenb, Racso, BotMultichill, Corydora, Mjollnir1984, Sealight, Jmvgpartner, SieBot, Mushii, PaintBot, Ensada, Carmin, Bigsus-bot,
Marcelo, Mel 23, OboeCrack, Manwë, Nubecosmica, Sebasgnokrbipahbdfg, BuenaGente, Aleposta, Mafores, PipepBot, Chico512, Tirit-
hel, Mutari, ArSk8, robot, Javierito92, HUB, Soruz, Rodrigofeu, STARPLAYER, Nicop, Khattab01~eswiki, Eduardosalg, Veon,
Bulimaster, Wedrey, Leonpolanco, ElMeBot, Pan con queso, Botito777, Petruss, Clauswifi, Zeytin, BetoCG, Tonchizerodos, Alexbot, Rα-
ge, Frei sein, Raulshc, Açipni-Lovrij, Julian leonardo paez, Camilo, UA31, AVBOT, Elliniká, Jonadad, Elmejoramigodelhombre, Angel
GN, MarcoAurelio, NjardarBot, Ialad, Ezarate, Diegusjaimes, Davidgutierrezalvarez, Linfocito B, CarsracBot, Margueniz, Arjuno3, An-
dreasmperu, Luckas-bot, Jotterbot, Hack-Master, Dangelin5, LyingB, Jjmama, Misi91, Hampcky, Nixón, XZeroBot, Asael31, Lifnob,
SuperBraulio13, PAULOGARCIA2005, Ortisa, Simeón el Loco, Jkbw, RAMDOM X, SassoBot, Dx4, Ricardogpn, ChenzwBot, Guadalu-
pe Emmanuel, Foxinlee, Rockerorocky, Botarel, Cesarth15, Alexlp182, Elgrandezon, Panderine!, Diego1105, Lissitax, Hprmedina, Vubo,
Sermed, Jprm, Dartozitho, Cris7593, Ec uv, PatruBOT, CVBOT, Ganímedes, Angelito7, Mr.Ajedrez, Panda Madrid, Tarawa1943, Found-
ling, Vacarreno, EmausBot, Savh, HRoestBot, J. A. Gélvez, Judioxx, Rubpe19, MercurioMT, Emiduronte, Jcaraballo, Peter Griffin~eswiki,
ChuispastonBot, WikitanvirBot, Jxvierrm, Daimond, EdoBot, Anma12345678910, MerlIwBot, KLBot2, Firewalldefender, Talkahe, Inva-
dibot, Si brigith jaja, Painandloveaxl, Dragonager, Allan Aguilar, Javiergtareveron, Vichock, Gabi turretoh, Creosota, Asqueladd, Santga,
Justincheng12345-bot, Helmy oved, Estefania avila, Chevebot, AITDIV, 2rombos, Baute2010, Sergio Mendez Galindo, Orlandodj, Ar-
genis86, Beesocialmx, Legobot, Canopus49Puppet, EL NEGRO FERIA, Perman, -ecarv-, Claudiameme, Addbot, 9javivi, Balles2601,
Nasterapolo, Sayiling, Marilyn vanely, MarioFinale, MrCharro, Jarould, Matiia, Crystallizedcarbon, BenjaBot, Fernando2812l, Ks-M9,
Jrfmario, Leonardo Cahuich Lopez, Benito Camelo sanchez y Anónimos: 897
• Autenticación Fuente: https://es.wikipedia.org/wiki/Autenticaci%C3%B3n?oldid=90894245 Colaboradores: PACO, NicFit, Caos, Digi-
galos, Emijrp, Rembiapo pohyiete (bot), LeCire, RobotQuistnix, Yrbot, Maleiva, GermanX, Miguel.lima, KnightRider, Fercufer, CEM-bot,
Alexav8, Thijs!bot, Alakasam, JAnDbot, Jugones55, Diego.souto, TXiKiBoT, Rei-bot, Idioma-bot, FrankAndProust, VolkovBot, Tidsa,
Technopat, Lara1885.ule, AlleborgoBot, Muro Bot, SieBot, Raymac, BOTarate, Fernando johann, Correogsk, Greek, Pla y Grande Covián,
Jruzo, Lautraro, PixelBot, Botito777, Jpandres, BotSottile, Osado, AVBOT, MastiBot, Diegusjaimes, Luckas-bot, Ferripan, DSisyphBot,
ArthurBot, Obersachsebot, Xqbot, Jkbw, Artlejandra, D'ohBot, Ferripan,com.ve, PatruBOT, Prof71, Vamosolimpo, GrouchoBot, Eds-
lov, EmausBot, Alvaroforero, WikitanvirBot, Damianiencowiki, Invadibot, Elvisor, Tsunderebot, Ivanretro, Addbot, Avpxeneb, Jarould,
Egis57, Coelma y Anónimos: 56
• Autorización Fuente: https://es.wikipedia.org/wiki/Autorizaci%C3%B3n?oldid=84680899 Colaboradores: Dodo, Superzerocool, Yrbot,
Rastrojo, JAnDbot, TXiKiBoT, VolkovBot, Technopat, Elabra sanchez, Gerakibot, SieBot, Alexbot, Luckas-bot, Jordav, Rubinbot, M4rl3n,
GrouchoBot, EmausBot, WikitanvirBot, Diamondland, Elvisor, DLeandroc, MaKiNeoH, Addbot, Porqueeresido y Anónimos: 6
• Cortafuegos (informática) Fuente: https://es.wikipedia.org/wiki/Cortafuegos_(inform%C3%A1tica)?oldid=90950432 Colaboradores:
Sauron, JorgeGG, Lourdes Cardenal, Hashar, ManuelGR, Robbot, Angus, Interwiki, Dodo, Ascánder, Sms, Cookie, Tostadora, Jondel,
Barcex, LadyInGrey, Dianai, Fmariluis, Veloma~eswiki, Robotico, Ecemaml, MatiasBellone, Niqueco, Donpipo, Caos, Digigalos, Airunp,
Edub, Natrix, Taichi, Malkavian, Rembiapo pohyiete (bot), Caiser, Marco Regueira, Aadrover, Further (bot), RobotQuistnix, Gcsantia-
go, Platonides, Superzerocool, Chobot, Caiserbot, Yrbot, Vitamine, YurikBot, GermanX, Rosita fraguel, Alejobd, KnightRider, Carlos
Humberto, Santiperez, Quiliro, Morza, Er Komandante, Ciencia Al Poder, FrozenFlame, Axxgreazz, Miguelcorsi, BOTpolicia, CEM-bot,
Roithamer, Laura Fiorucci, Alexav8, Ugur Basak Bot~eswiki, Hacko2, Psicodelico6, Roberpl, Thijs!bot, Vbarahona, Mahadeva, Fire-
wall~eswiki, LMLM, Egaida, JAnDbot, Mansoncc, Xavigivax, Reinam, TXiKiBoT, Humberto, Netito777, Fixertool, Valdega, Nioger,
Idioma-bot, Pólux, Jmvkrecords, Biasoli, Bucephala, AchedDamiman, AlnoktaBOT, Mced, Cipión, Cinevoro, VolkovBot, Technopat, Jo-
tego, Queninosta, David.Villa, Matdrodes, Fernando Estel, BlackBeast, Lucien leGrey, Barri, AlleborgoBot, Ingteleco, Muro Bot, Yona-
Bot, Jmvgpartner, SieBot, Loveless, Cobalttempest, BOTarate, Deoxys 94, Correogsk, Tirithel, Marcecoro, Antón Francho, DragonBot,
Estirabot, Leonpolanco, Mar del Sur, Alecs.bot, Poco a poco, Antonio Lopez, Paporrubio, Raulshc, Osado, UA31, AVBOT, MastiBot,
Diegusjaimes, Bethan 182, Alhassam, Rodri cyberdog, Arjuno3, Luckas-bot, Amirobot, Roinpa, Ptbotgourou, Billinghurst, Leiro & Law,
Vivaelcelta, SuperBraulio13, Ortisa, Manuelt15, Xqbot, Jkbw, Serolillo, Cybermaniac, Irbian, Danem, Botarel, Googolplanck, BOTirit-
hel, Luispore, TobeBot, Halfdrag, Vubo, Ver-bot, Aslan Ramírez, Humbefa, Nachosan, Jorge c2010, Foundling, GrouchoBot, Axvolution,
132 CAPÍTULO 13. ORIGEN DEL TEXTO Y LAS IMÁGENES, COLABORADORES Y LICENCIAS
EmausBot, Savh, ZéroBot, HRoestBot, Internetsinacoso, Dani vk2, J. A. Gélvez, Ebrambot, Grillitus, Rubpe19, Any Rand, WikitanvirBot,
Ismagm, Hiperfelix, Welteroel, MerlIwBot, TeleMania, Ruiz-mazon, Ginés90, MetroBot, Allan Aguilar, Elvisor, Justincheng12345-bot,
Helmy oved, Albertocalzones, Lautaro 97, Addbot, Chmarkine, PedroPrograma500, Balles2601, Hans Topo1993, BOTito, Saiko28, Ti-
mohap, Jarould, AlvaroMolina, Sapristi1000, Gonzalo Rodriguez Zabala, Ks-M9, Panian Pazán y Anónimos: 334
• Sistema de detección de intrusos Fuente: https://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusos?oldid=86833532
Colaboradores: Tano4595, El Moska, Caos, Gpdm, Digigalos, Taragui, Oarmas, JMPerez, Taichi, Emijrp, Rembiapo pohyiete (bot), Robot-
Quistnix, Victormartin, Caiserbot, Yrbot, Amadís, BOTijo, YurikBot, GermanX, Beto29, Ciencia Al Poder, Chlewbot, CEM-bot, Damifb,
Laura Fiorucci, Daguero, -jem-, Mister, Diosa, Felixgomez18, JAnDbot, TXiKiBoT, Netito777, Amanuense, Pólux, Cinevoro, Volkov-
Bot, Technopat, AlleborgoBot, Muro Bot, HUB, Marcos vazquez~eswiki, AVBOT, Diegusjaimes, Xqbot, Leandrosw, Gaspar87, RedBot,
Nachosan, EmausBot, Savh, ZéroBot, Vanearango, WikitanvirBot, Rezabot, 4-1los cogimos, Elvisor, Addbot, Pabafe y Anónimos: 67
• Sistema de prevención de intrusos Fuente: https://es.wikipedia.org/wiki/Sistema_de_prevenci%C3%B3n_de_intrusos?oldid=90253720
Colaboradores: Zwobot, Tano4595, Psion7s, Boticario, Wastingmytime, RobotQuistnix, Flazcano, Chobot, Pabloab, Amadís, BOT-
Superzerocool, Oscar ., BOTijo, YurikBot, GermanX, LoquBot, CEM-bot, Thijs!bot, Neok, Arym, Mjsoto, AchedDamiman, VolkovBot,
Technopat, The Bear That Wasn't, Barri, PaintBot, Loveless, Tirithel, MastiBot, Amirobot, DiegoFb, Xqbot, Nachosan, Zephirotycvm117,
Grillitus, Kasirbot, Abián, MerlIwBot, Legobot, BenjaBot y Anónimos: 20
• Cómputo forense Fuente: https://es.wikipedia.org/wiki/C%C3%B3mputo_forense?oldid=91126808 Colaboradores: Yakoo, Vitamine,
Xombra, CEM-bot, Gabriel Acquistapace, Gusgus, Gacq, VolkovBot, Barri, Muro Bot, SieBot, Marcelo, Kikobot, Petruss, PetrohsW,
UA31, Diegusjaimes, Arjuno3, Luckas-bot, Avelaz, Nallimbot, Antonio Salmeron, Rafael moncada, Calbimonte.daniel, Xqbot, Jkbw, Ru-
binbot, Andy.qaf, Manuel-jrs, Panderine!, Eduardohome, GrouchoBot, Miss Manzana, EmausBot, TuHan-Bot, Sergio Andres Segovia, J.
A. Gélvez, Grillitus, Farnabol, ChuispastonBot, MerlIwBot, Grosalesu, Francisco974, Elvisor, Tsunderebot, Addbot, Raymondorta, Lago-
set, Luis beberaggi, Jarould, Quin1616, Xippoar, Mbendinelli, Jrcanseco, Engeleloy y Anónimos: 75
• Password cracking Fuente: https://es.wikipedia.org/wiki/Password_cracking?oldid=87881358 Colaboradores: Vanbasten 23, BOT-
Superzerocool, Banfield, CEM-bot, Damifb, Alakasam, Death Master, ColdWind, VolkovBot, Ensada, Wilfreddehelm, MetsBot~eswiki,
Maudis~eswiki, Farisori, Botito777, LordT, Diegusjaimes, Luckas-bot, Jcrueda, FrescoBot, PatruBOT, Dinamik-bot, Nachosan, Grillitus,
WikitanvirBot, ILoveSugar, KLBot2, Damianiencowiki, Elvisor, Dexbot, YFdyh-bot, Addbot, Churrasco italiano, Rostrium, BenjaBot,
Isaias marvi, Fernando montes17, AG nothingness, Victoria BaL y Anónimos: 5
• Kali Linux Fuente: https://es.wikipedia.org/wiki/Kali_Linux?oldid=90935708 Colaboradores: BOT-Superzerocool, Hhmb, Osepu, Rud-
wolf, Alejandrocaro35, Wikiniel, Jkbw, Kizar, BOTito, GabKnight, Nikos3194, TASTOCADO, Jarould, JGB28, Mmartinez7, Fernan-
do2812l y Anónimos: 21
• Nuix Fuente: https://es.wikipedia.org/wiki/Nuix?oldid=90523296 Colaboradores: Paintman
• Windows To Go Fuente: https://es.wikipedia.org/wiki/Windows_To_Go?oldid=78983786 Colaboradores: Covi, Fremen, SF007, Linfo-
cito B, Caulk, SuperBraulio13, Elivi1997, PatruBOT, EmausBot, ZéroBot, ChuispastonBot, KLBot2, Deivis, Dexbot, YFdyh-bot, Mar-
coantoniothomas, Albertgberbel, Giovanny Alfredo Garciliano Diaz y Anónimos: 9
• Wireshark Fuente: https://es.wikipedia.org/wiki/Wireshark?oldid=91238448 Colaboradores: Fibonacci, Sabbut, ManuelGR, Zwobot, Do-
do, Colgadin, Porao, Gpdm, Taragui, Taichi, Rembiapo pohyiete (bot), Orgullobot~eswiki, RobotQuistnix, Superzerocool, Aeoris, FlaBot,
YurikBot, GermanX, KnightRider, Eskimbot, Chlewbot, Juana de Arco, Jarke, BOTpolicia, CEM-bot, Marc-André Aßbrock, Alexav8,
KaRuRoSuULE, Bombadil1986, Thijs!bot, EstebanMonge, Mpeinadopa, JAnDbot, CommonsDelinker, TXiKiBoT, Netito777, Galaxy4,
Guillermolla, Shooke, Barri, Muro Bot, Mbassale, Razorblade, PaintBot, Manwë, Tirithel, HUB, Alexbot, AVBOT, David0811, Lucien-
BOT, Logoff, MastiBot, Luckas-bot, LordboT, Chpfeiffer, FrescoBot, Carlitoslemon, RedBot, Jaap Keuter, PatruBOT, Charlrey, DEagle-
Bot, GrouchoBot, ZéroBot, Desaroll, TuHan-Bot, JackieBot, Courcelles, Mecamático, Patrias, Edc.Edc, Conopo, Elvisor, Tsunderebot,
Guy Harris, WalterNewsome, Addbot, Rrosillon y Anónimos: 67
• Certificación Ética Hacker Fuente: https://es.wikipedia.org/wiki/Certificaci%C3%B3n_%C3%89tica_Hacker?oldid=90113257 Colabo-
radores: Thelmadatter, Invadibot, Elvisor, Alfredo Cantú Rubio, LuisQuiroz1618, Cbustani1, RodrigoAFS y Anónimos: 3
• CISM Fuente: https://es.wikipedia.org/wiki/CISM?oldid=64799586 Colaboradores: Sabbut, Folkvanger, Rafa sanz, Rcidte, Escarbot, Poco
a poco, TyposBot, KLBot2 y Anónimos: 3
• CISA Fuente: https://es.wikipedia.org/wiki/CISA?oldid=89976415 Colaboradores: RobotQuistnix, BOTijo, Rosarinagazo, Rcidte, Hem-
tar, Faras, TXiKiBoT, Zyder, TottyBot, Jmvgpartner, Obelix83, Bigsus-bot, Correogsk, Leonpolanco, Alecs.bot, Fidelbotquegua, DumZi-
BoT, Luckas-bot, Xqbot, TiriBOT, KLBot2, Invadibot, Castillo blanco y Anónimos: 13
• Certified Information Systems Security Professional Fuente: https://es.wikipedia.org/wiki/Certified_Information_Systems_Security_
Professional?oldid=90641954 Colaboradores: Sabbut, Airunp, Gaeddal, Jgaray, Swazmo, Cad, CEM-bot, Laura Fiorucci, Alexav8, Bai-
ji, Webe, Thijs!bot, Tibmart, VolkovBot, Matdrodes, SieBot, Hu12, Alecs.bot, AVBOT, Louperibot, Luckas-bot, MystBot, FrescoBot,
Artlejandra, PatruBOT, EmausBot, Elvisor, Legobot, BenjaBot y Anónimos: 19
• CPTE Certified Penetration Testing Engineer Fuente: https://es.wikipedia.org/wiki/CPTE_Certified_Penetration_Testing_Engineer?
oldid=73107396 Colaboradores: FrescoBot, Invadibot, Guemont y Anónimos: 1
• Certificación Cisco Fuente: https://es.wikipedia.org/wiki/Certificaci%C3%B3n_Cisco?oldid=89544885 Colaboradores: Pieter, Robbot,
Cookie, Jecanre, Kordas, Elsenyor, Soulreaper, Airunp, Taichi, Rembiapo pohyiete (bot), Magister Mathematicae, RobotQuistnix, Caiser-
bot, BOT-Superzerocool, FlaBot, Vitamine, BOTijo, YurikBot, GermanX, KnightRider, Eskimbot, DamiánDV, RoboDick~eswiki, Cals-
bert, BOTpolicia, Efepe, CEM-bot, Bienchido, Salvador alc, Hilmarz, Mister, Rosarinagazo, Gafotas, Thijs!bot, Guille, Frecano, Mariorb,
Eder2004mx, QuicksilverPhoenix, Xosema, FANSTARbot, Evelio80, NaBUru38, Humberto, Pólux, Naldo 1065, AlnoktaBOT, Volkov-
Bot, Matdrodes, Synthebot, Lucien leGrey, Barri, Muro Bot, SieBot, Rmg22384, Loveless, Bigsus-bot, Guzmiante, Aresenbatalla, Dragon-
Bot, Oscarvp1979, LordT, Alexbot, Arhendt, RottenKitten, AVBOT, Dermot, Louperibot, MastiBot, NicolasAlejandro, Ezarate, Jcclaros,
Arjuno3, Ssssantossss, Frisconipo, Andreasmperu, Uswikisa, Vic Fede, Iuliusfox, Mettro, Xqbot, Jkbw, Botarel, RubiksMaster110, Frac-
talis, WikiTerror, LaurentFR, EmausBot, Grillitus, WikitanvirBot, MerlIwBot, Jose.contreras.dass, Invadibot, Gesifred, Elvisor, Addbot,
Jarould, BenjaBot, Mwfernandezm y Anónimos: 114
• CompTIA Fuente: https://es.wikipedia.org/wiki/CompTIA?oldid=89329853 Colaboradores: LeonardoRob0t, Toxickore, BOT-
Superzerocool, Tamorlan, CEM-bot, Biasoli, SieBot, Loveless, Alexbot, Ptbotgourou, Igna, PatruBOT, Grillitus, Legobot y Anónimos:
24
13.2. IMÁGENES 133
13.2 Imágenes
• Archivo:Application-pgp-signature.svg Fuente: https://upload.wikimedia.org/wikipedia/commons/0/00/Application-pgp-signature.
svg Licencia: CC BY-SA 2.0 Colaboradores: http://gnome-look.org/content/show.php/Tango+mine?content=76316 Artista original: Jakub
Steiner
• Archivo:Beast_RAT_client.jpg Fuente: https://upload.wikimedia.org/wikipedia/commons/9/9a/Beast_RAT_client.jpg Licencia: Public
domain Colaboradores: Trabajo propio Artista original: V.H.
• Archivo:Bundesarchiv_Bild_101I-241-2173-09,_Russland,_Verschlüsselungsgerät_Enigma.jpg Fuente: https://upload.wikimedia.
org/wikipedia/commons/7/74/Bundesarchiv_Bild_101I-241-2173-09%2C_Russland%2C_Verschl%C3%BCsselungsger%C3%A4t_
Enigma.jpg Licencia: CC BY-SA 3.0 de Colaboradores: Este archivo fue provisto a Wikimedia Commons por el Archivo Federal de
Alemania (Deutsches Bundesarchiv) como parte de un proyecto de cooperación. Esta institución gubernamental garantiza la autenticidad
de la fotografía con la utilización exclusiva de los originales (negativos y/o positivos), archivos de imágenes digitales y escaneos. Artista
original: Grupp
134 CAPÍTULO 13. ORIGEN DEL TEXTO Y LAS IMÁGENES, COLABORADORES Y LICENCIAS