Universidad Tecnológica Nacional

Facultad Regional Avellaneda

CURSO: Experto en Informática Forense

MATERIAL DIDACTICO

MODULO I “Seguridad Informática”

REALIZADO POR:

Prof. Esp. Luis E. Arellano González

Prof. Dra. María Elena Darahuge

-2019–
 INDICE

MÓDULO I ............................................................................................................................. 2
Guía de estudio ............................................................................................................. 2
Objetivos: ......................................................................................................................... 2
Conceptos preliminares ........................................................................................... 3
Información – Definición: ......................................................................................... 3
SISTEMA INFORMATICO - Definición ................................................................... 3
SEGURIDAD - Definición ........................................................................................... 3
SEGURIDAD INFORMATICA - Definición ........................................................ 3
Objetivo de la Seguridad Informática es : ......................................................... 3
Servicios .......................................................................................................................... 4
Roles y Responsabilidades ....................................................................................... 4
Clasificación de la información ............................................................................... 4
Vulnerabilidades y Amenazas ................................................................................. 5
Planes de contingencia .............................................................................................. 7
Estados de la información (Almacenado, en procesamiento, en
distribución) ................................................................................................................... 7
Protección ....................................................................................................................... 7
ATAQUES ........................................................................................................................... 8
ATAQUES ACTIVOS ..................................................................................................... 9
ATAQUES PASIVOS ................................................................................................... 10
Fraudes informáticos ............................................................................................... 10
Clasificación de fraudes informáticos: ............................................................... 10
Actores ........................................................................................................................... 11
Prevención .................................................................................................................... 12
POLITICAS DE SEGURIDAD DE LA INFORMACION –PSI- .......................... 13
Acceso a la información ........................................................................................... 14
Ejercicio ......................................................................................................................... 14
Criptografía – Conceptos básicos .................................................................... 14
Técnicas clásicas ........................................................................................................ 15
Ataques al cifrado ...................................................................................................... 15
Cifrado de la información ........................................................................................ 15
Criptosistemas simétricos o de clave privada: ............................................... 16
Criptosistemas asimétricos o de Clave pública ............................................. 16
Protocolos de seguridad .......................................................................................... 17
Borrado seguro ........................................................................................................... 17
Hash ................................................................................................................................... 18
CARACTERISTICAS DEL HASH .............................................................................. 19
Tipos de algoritmos de hash ................................................................................. 19
Ejercicio ............................................................................................................................ 19
Ocultamiento de datos ........................................................................................... 20
Esteganografía ............................................................................................................ 20
Flujo de caracteres ................................................................................................... 20
Ejercicio ............................................................................................................................ 20
Firma digital .................................................................................................................. 20
Definición ...................................................................................................................... 20
 Ley 25.506 - FIRMA DIGITAL ................................................................................ 20
Criptografía asimétrica ............................................................................................ 21
Características ............................................................................................................. 21
Proceso de generación de la firma digital: ...................................................... 22
Proceso de comprobación de la firma digital: ................................................ 22
Funcionamiento de la Firma Digital .................................................................... 23
Evaluación criminalística aplicada a la criptografía ............................. 26
Actividad ....................................................................................................................... 28
Análisis de riesgo....................................................................................................... 28
Aspectos preliminares .............................................................................................. 28
Definiciones .................................................................................................................. 28
Riesgo ............................................................................................................................. 28
Análisis de Riesgos .................................................................................................... 29
Amenaza ........................................................................................................................ 29
Control............................................................................................................................ 29
Exposición ..................................................................................................................... 29
Impacto .......................................................................................................................... 29
Probabilidad de ocurrencia ..................................................................................... 30
Síntesis de conceptos y definiciones .................................................................. 30
Propósito del Análisis de Riesgo ........................................................................... 30
Pasos para realizar un Análisis de Riesgo ....................................................... 30
Tipos de riesgos .......................................................................................................... 31
Proceso de gestión de riesgo ................................................................................ 32
Metodología diseñada por el ArCert ................................................................... 33
Ejercicio ............................................................................................................................ 35
Auditoria de la información ................................................................................. 36
Auditoría Interna y Auditoría Externa: .............................................................. 36
Areas Generales.......................................................................................................... 37
Metodología de Trabajo de Auditoría Informática ......................................... 37
Definición de Alcance y Objetivos ....................................................................... 37
Estudio Inicial .............................................................................................................. 37
Informe de auditoria ................................................................................................. 39
Procedimientos de auditoria .................................................................................. 40
Ejercicio ............................................................................................................................ 40
Informática Forense aplicada a la ciberdefensa ..................................... 40
Concepto ....................................................................................................................... 41
Características ............................................................................................................. 41
Herramientas ............................................................................................................... 42
Evaluación de la ciberseguridad ........................................................................... 42
Evaluación de herramientas de ciberseguridad ............................................. 42
Proyectos de aplicaciones ....................................................................................... 42
 Curso Experto en Informática Forense Módulo Seguridad Informática

MÓDULO I

Guía de estudio

Esta guía no pretende ser un reglamento estricto para la lectura de este primer material. Simplemente intenta
destacar aquellos puntos que hemos considerado de especial interés y orientar a quién comienza a analizar-
la:

1. Hemos reunido información de distinta índole, pero orientada a tres tipos de lectores en especial:
1. Informáticos.
2. Abogados.
3. Criminalistas
4. Profesionales de otras áreas.
5. Interesados no específicos. (en base a ellos se establecen los requisitos de conocimientos
mínimos para aprobar el curso)
2. Para los Informáticos y Criminalísticos, pensamos que deberían leer todo el material y descartar lo
que no les resulte especialmente importante para su labor. El texto a leer es del tipo complementario-
profesional. Esperamos generar preguntas interdisciplinarias, a ser resueltas por la totalidad de los
participantes del curso. (en forma directa o por consulta bibliográfica recomendada)
3. Para los abogados y otros profesionales, creemos que deben realizar una lectura general orienta-
tiva previa y luego profundizar en aquellos temas que afecten a sus respectivas profesiones. En este
caso el texto tiene carácter de informativo y orientativo en cuanto a las carencias de conocimientos
que cada profesional pueda experimentar. Esperamos que esto se refleje en preguntas específicas a
resolver en clase o a derivar a material bibliográfico impreso o virtual.
4. Para los cursantes con nivel secundario, la información es de carácter informativo (al igual que el
curso) y pretendemos despertar su interés en ciertos temas específicos. Deberían realizar una lectu-
ra general y profundizar aquellos temas que resulten de su interés particular. Esperamos también sus
preguntas en clase.
5. Recuerden que la bibliografía básica del curso, consiste en los Manuales de Informática Fo-
rense 1 y 3. Dichos manuales constituyen el fundamento y la razón de ser bibliográfica de la
cursada.

En el Módulo I de Introducción a la informática forense y Seguridad Informática se deberá realizar:

1. La lectura de los Capítulos 1, 2, 3 y Capítulo 8, páginas 63 a 72 - el Informe Pericial- del Manual

de Informática Forense I
2. La descarga del modelo de Informe Pericial del grupo de Yahoo
3. La lectura del Módulo I - Seguridad Informática.
4. Las guías de ejercicios prácticos individuales y grupales establecidas en el Módulo I - Seguridad In-
formáitca.
5. Comentarios en los temas propuestos del Módulo I
6. La revisión integradora del Módulo I.

Objetivos:

a. Conceptual: Asimilar los conceptos básicos de la seguridad informática

relacionados con la informática forense.

b. Procedimental: Aplicar los conceptos teóricos en las guías de ejercicios individuales

y grupales

c. Actitudinal: Concientizar la importancia de la responsabilidad del Perito en

Informática Forense en el manejo de las diferentes herramientas de seguridad
informática y de informática forense.

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 2
 Curso Experto en Informática Forense Módulo Seguridad Informática

Conceptos preliminares

Información – Definición:

Todo conocimiento referido a un objeto o hecho, susceptible de codificación y al-

macenamiento. Puede ser: crítica o sensible

Objeto: Conjunto físicamente determinable o lógicamente definible.

Codificación de la Información digitalizada - Sistema numérico binario:

Binary Digit – Bit: 1 y 0 – 8 bits= 1 Byte = 1 carácter (A..Z. 0..9, !”·$%&/()=)

Tabla de caracteres ASCII – Alt + 160: á

Estados de la información digitalizada:

En procesamiento - En tránsito - Almacenada

SISTEMA INFORMATICO - Definición

“Conjunto formado por los recursos humanos, de software y hardware que interac-
túan entre sí en un determinado entorno”.

SEGURIDAD - Definición

Certeza, garantía, confianza sobre algo en particular

SEGURIDAD INFORMATICA - Definición

Certeza, garantía, confianza sobre la gestión de los sistemas y activos informáticos

Objetivo de la Seguridad Informática es :

Mantener la Integridad, Confidencialidad y Disponibilidad de la información gestio-

nada por un Sistema Informático.

Integridad de la información es:

la característica que hace que su contenido permanezca inalterado a menos que

sea modificado por personal autorizado, y esta modificación sea registrada
para posteriores auditorias.

Confidencialidad de la información es:

la necesidad de que la misma sea conocida solo por personas autorizadas.

Disponibilidad de la información es:

La certeza de que los usuarios autorizados puedan acceder a la información y re-

cursos cuando lo soliciten, evitando la denegación o repudio de un servicio ofrecido

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 3
 Curso Experto en Informática Forense Módulo Seguridad Informática

Servicios

➢ No repudio de la información es: un servicio evita que el emisor o el re-

ceptor puedan a posteriori, negar la transmisión o recepción del mensaje.
Asimismo el receptor puede probar que el mensaje le ha sido enviado por
quien dice ser el emisor. De la misma manera el emisor puede probar que el
mensaje ha sido recibido por el receptor a quien estaba destinado.

Roles y Responsabilidades

Propietario de la información:

Es el recurso humano dueño y responsable de la información que produce y de las

operaciones que sobre ella realiza (creación, almacenamiento, modificación, impre-
sión, resguardo, compartimiento, eliminación).

Custodio de la información:

Persona que protege la información de un determinado organismo.

Responsable de seguridad
Persona o personas a tienen asignada formalmente la función de coordinar y con-
trolar las políticas de seguridad de la información.

Proveedor de servicios:

Ofrece servicios de tecnología de la información – Internet: Telecentro – Correo

Electrónico: yahoo.com.ar

Usuario:

Cualquier persona que utiliza la información para realizar su trabajo y requiere ni-
vel de acceso a los datos acorde a su cargo y/o función. Es responsable de aplicar
los procedimientos de seguridad –política- para preservar la integridad, confiden-
cialidad y disponibilidad de los datos para otras personas.

Clasificación de la información

Ley de Inteligencia Nacional

ARTÍCULO 11. — Incorpórase como artículo 16 bis de la ley 25.520 el siguiente:

Artículo 16 bis: Se establecen las siguientes clasificaciones de seguridad que serán

observadas por los organismos integrantes del Sistema de Inteligencia Nacional:

a) SECRETO: Aplicable a toda información, documento o material cuyo conocimien-

to por personal no autorizado pueda afectar gravemente los intereses fundamenta-
les u objetivos vitales de la Nación, entre ellos, la soberanía e integridad territorial;
el orden constitucional y la seguridad del Estado; el orden público y la vida de los

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 4
 Curso Experto en Informática Forense Módulo Seguridad Informática

ciudadanos; la capacidad de combate o la seguridad de las Fuerzas Armadas o de

sus aliados; la efectividad o la seguridad de operaciones de las fuerzas de seguri-
dad; las relaciones diplomáticas de la Nación; y las actividades de inteligencia es-
pecíficamente determinadas y fundadas de los organismos del Sistema de Inteli-
gencia Nacional.

b) CONFIDENCIAL: Aplicable a toda información, documento o material cuyo cono-

cimiento por personas no autorizadas pueda afectar parcialmente los intereses
fundamentales de la Nación o vulnerar principios, planes y métodos funcionales de
los poderes del Estado, entre ellos, la soberanía e integridad territorial; el orden
constitucional y la seguridad del Estado; el orden público y la vida de los ciudada-
nos; la capacidad de combate o la seguridad de las Fuerzas Armadas o de sus alia-
dos; la efectividad o la seguridad de operaciones de las fuerzas de seguridad; las
relaciones diplomáticas de la Nación.

c) PÚBLICO: Aplicable a toda documentación cuya divulgación no sea perjudicial

para los organismos del Sistema de Inteligencia Nacional y que por su índole per-
mita prescindir de restricciones relativas a la limitación de su conocimiento, sin que
ello implique que pueda trascender del ámbito oficial, a menos que la autoridad
responsable así lo disponga.

Vulnerabilidades y Amenazas

Cualquier elemento que comprometa al sistema es considerado como una:

Vulnerabilidad: debilidad en un activo informático

Amenaza:

Violación eventual de la seguridad. Las amenazas aprovechan o “explotan” las

vulnerabilidades o debilidades.

Pueden ser:

➢ De origen humano (malicioso o no, interno o externo al sistema)

➢ De origen natural (desastres naturales).

Momentos de una amenaza:

➢ Previo al ataque
➢ Durante el ataque
➢ Después del ataque

Conducta a adoptar:

Aplicación de las políticas de seguridad de la información para garantizar en el sis-

tema informático, las siguientes

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 5
 Curso Experto en Informática Forense Módulo Seguridad Informática

Acciones Controles
Prevención Físicos
Detección Administrativos
Recuperación Técnicos

Controles Físicos
➢ Archivos y documentación de reserva - Detectores de movimiento
➢ Verjas - Detectores de humo y fuego
➢ Guardias de seguridad- Monitorización por televisión de circuito ce-
rrado
➢ Sistemas de tarjetas de identificación - Sensores y alarmas
➢ Cerraduras y llaves -Candados cifrados
➢ Controles biométricos de acceso
➢ Selección de emplazamiento
➢ Extintores de incendios
➢ Bloqueo de teclados

Controles Administrativos

➢ Conocimientos de seguridad y forma-

ción técnica Revisiones y auditorías de
seguridad
➢ Separación de obligaciones Control de
calidad
➢ Procedimientos sancionadores Investi-
gaciones de antecedentes
➢ Políticas y procedimientos de seguridad
Rotación de responsabilidades
➢ Gestión y supervisión
➢ Recuperación de averías y planes de
contingencia
➢ Administración de accesos de usuarios
➢ Gestión de propietarios de datos y re-
cursos

Controles Técnicos
➢ Programas de control de acceso, registros
de inicio de sesión y huellas o trazas para
auditoría
➢ Programas cortafuegos y antivirus - Siste-
mas expertos de detección de intrusiones
➢ Gestión de contraseñas
➢ Tarjetas inteligentes
➢ Cifrado

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 6
 Curso Experto en Informática Forense Módulo Seguridad Informática

Planes de contingencia

➢ Elaborar planes que permitan actuar con efectividad en el momento de la ocurrencia

de un incidente. Plan “B”

➢ Ante la inevitable ocurrencia de un incidente, mantener la continuidad del negocio o

de al actividad comercial o profesional

➢ Invertir en seguridad de la información a futuro es prevenir pérdidas en el presente

Estados de la información (Almacenado, en procesamiento, en distribución)

Protección

La respuesta al interrogante de ¿Qué se debe proteger?, está haciendo referencia a

los datos que maneja el sistema, los que constituyen el objetivo principal a proteger, ya
que son consecuencia y producto del trabajo realizado. Si existiera daño del hardware,
software o de los elementos fungibles, estos pueden adquirirse nuevamente desde su me-
dio original; pero los datos obtenidos en el transcurso del tiempo por el sistema son impo-
sibles de recuperar; hemos de pasar obligatoriamente por un sistema de copias de seguri-
dad, y aún así es difícil devolver los datos a su forma anterior.

Activo informático

Es todo elemento físico, lógico o humano, que al interactuar con un sistema informático es
susceptible de poseer un valor económico.

Aspectos a proteger del activo informático

➢ INTEGRIDAD: La información no debe alterarse

➢ Implica: Autenticidad

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 7
 Curso Experto en Informática Forense Módulo Seguridad Informática

➢ CONFIDENCIALIDAD: La información debe ser conocida solamente por las perso-

nas autorizadas

➢ Requiere:

➢ Autenticación y Control de acceso

➢ Asegura la PRIVACIDAD

➢ DISPONIBILIDAD: Acceso a la información en tiempo y forma

➢ Evitar la Denegación de servicio

➢ Asegurar el NO REPUDIO

➢ Control: Permite asegurar que solo los usuarios autorizados pueden decidir cuando
y como permitir acceso a la información.
➢ Autenticidad: Permite definir que la información requerida es válida y utilizable en
tiempo, forma y distribución. Esta propiedad asegura el origen de la información,
validando al emisor de la misma, para evitar suplantación de identidades.
➢ Protección a la Réplica: Se asegura que una transacción solo puede realizarse
una única vez, a menos que se especifique lo contrario. Se deberá evitar la posibili-
dad que una transacción pueda ser grabada para reproducirla, con el propósito de
copiar la transacción para que parezca que recibieron múltiples peticiones del mismo
remitente original.
➢ No Repudio: Se evita que una entidad que envió o recibió información, alegue, an-
te terceros, que no la envió o recibió.
➢ Consistencia: Se debe asegurar que el sistema se comporte como se supone que
debe hacerlo ante los usuarios que corresponda.
➢ Aislamiento: Este aspecto, íntimamente relacionado con la Confidencialidad, per-
mite regular el acceso al sistema, impidiendo que personas no autorizadas hagan
uso del mismo.
➢ Auditoria: Es la capacidad de determinar qué acciones o procesos se están llevan-
do a cabo en el sistema, como así también quién y cuándo las realiza.

ATAQUES

No es posible efectuar un listado completo de la totalidad de los ataques posibles a un

sistema de información, no obstante podríamos reunirlos en activos y pasivos:

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 8
 Curso Experto en Informática Forense Módulo Seguridad Informática

ATAQUES ACTIVOS

Estos ataques incluyen, la interrupción, la modificación o la fabricación de mensajes y

afectan respectivamente a la disponibilidad y la integridad de la información. Las técnicas
empleadas son el enmascaramiento (disfraz), en el cual se simula ser otro interlocutor,
la repetición que consiste la captura pasiva de los datos y la retransmisión del mensaje a
su destino original, la modificación de mensajes, que implica la intercepción del mismo,
su modificación y retransmisión al destino y la puesta fuera de servicio de una termi-
nal, mediante un mensaje de desconexión o de violación de la seguridad.

Ataques activos

Interrupción (disponibilidad) Modificación (Integridad) Fabricación (Integri-

dad)

Interrupción: El objetivo es la puesta fuera de servicio del sistema, tornándolo inopera-

ble momentánea o definitivamente. Se trata de un ataque dirigido a la
disponibilidad de la información.

Modificación: Se trata de la modificación de un mensaje auténtico en algún punto de su

recorrido. No implica obligatoriamente la interpretación del mismo. Es un
ataque apuntado hacia la integridad de la información.

Fabricación: En este caso de produce la fabricación de un mensaje y su inserción en el

sistema. Es un ataque contra la autenticidad de la información.

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 9
 Curso Experto en Informática Forense Módulo Seguridad Informática

ATAQUES PASIVOS

Incluyen la intercepción, la interpretación del contenido de los mensajes y el análisis de

tráfico. Todos ellos afectan a la confidencialidad de la información.

Intercepción (Confidencialidad)

Análisis del contenido de los mensajes Análisis de tráfico

Intercepción: Consiste en la intercepción e interpretación de uno o varios mensajes.

Este ataque afecta a la confidencialidad de la información.

Fraudes informáticos

(Manual Informática Forense I- Cap 11 - Pág. 93-100, Cap. 13 - Marco Tecnológico Pericial.
Pág. 198-203, 210-213)

➢ Concepto: sustitución de información auténtica por otra falsificada o adulterada.

➢ Recursos informáticos afectados

✓ personas, cuentas, dispositivos físicos y lógicos, conexiones, artículos, pro-

ductos, etc.

➢ Consecuencias:

✓ Perjuicio económico considerable

✓ Discontinuidad del negocio

Clasificación de fraudes informáticos:

✓ Intrusiones internas y externas

✓ Monitoreo –eavesdropping
✓ Introducción de datos equívocos –data diding-
✓ Introducción de líneas de código –virus, caballo de Troya-
✓ Derivar cantidades pequeñas de dinero –rounding down-
✓ Implementación de programas no autorizados –superzapping-
✓ Explotación de las debilidades del diseño del software de base y de aplicaciones –
puertas traseras o backdoors; trampas o traps-
✓ Empleo de programas que se activarán en una determinada fecha, hora u evento –
bombas lógicas-.

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 10
 Curso Experto en Informática Forense Módulo Seguridad Informática

✓ Ataques asíncronos o manejo del sistema de la empresa entre dos puntos de restau-
ración.
✓ Recolección –scavenging- de datos excedentes que se encuentran en dispositivos de
almacenamiento primario o secundario.
✓ Divulgación de datos reservados de la empresa –data leakage-
✓ Acceso a zonas restringidas, simulando ser otra persona o hacerse pasar por otra
persona o infiltrándose en el conjunto, impostor –piggybacking, impersonation-.
✓ Intercepción, escucha de líneas telefónicas – wiretapping-
✓ Denegación de servicio –DOS, o distribuida: DDOS
✓ Sondeo, rastreo, exploración –probing-
✓ Desborde de memoria – buffer overflow-
✓ Smurf – explotación del protocolo ICMP
✓ Intercepción y Apropiación de sesiones – session hijacking-
✓ Falsificar, Enmascarar –Spoofing-
✓ Emanaciones electromagnéticas
✓ Código móvil
✓ War driving
✓ War dialing
✓ Revisar la basura –dumpster diving-
✓ Ingenieria social –phising – Ingenieria social inversa
✓ Código malicioso – malware – Virus, Troyanos, Gusanos, Hoax, Bombas lógicas
✓ Correo no deseado –spam-
✓ Ataques criptográficos:
✓ Por fuerza bruta – Analíicos – Estadísticos - Implantación

Actores

Hacker –MIT, 1960-:

✓ Una persona que disfruta explorando los detalles internos de los sistemas informáti-
cos y cómo extender sus capacidades más allá de lo normal. Una persona que dis-
fruta con entusiasmo la programación.
✓ Un experto o entusiasta en una determinada área. No es una persona malintencio-
nada.
✓ Experto en redes, sistemas operativos, programación.
✓ Etica propia
✓ “Es un deber para ellos compartir la información y elaborar software gratui-
to”
✓ Principios de rebeldía intrínsecos, no delictivos.

Cracker -1985-:

✓ Utilizan su conocimiento con fines maliciosos

✓ Intenciones criminales

Phracker (phone+phreak+hacker, (teléfono+loco+hacker)

-EEUU, 1960-

✓ Interfiere en los sistemas telefónicos de forma ilegal

✓ Objetivo: Obtener beneficios

Defacer: Usuario con conocimientos avanzados que suele usar debilidades del software
para acceder a servidores, generalmente los más usados o los más importantes.

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 11
 Curso Experto en Informática Forense Módulo Seguridad Informática

Script boy o Script Kiddie: presume de ser un hacker o cracker, no posee grandes cono-
cimientos pero aplica los de uso público.

Viruxer: produce código malicioso

Prevención

❖ Elaboración de políticas, normas y procedimientos

❖ Norma IRAM/ISO 17799 – Política de Seguridad de la Información

❖ Confección de planes de contingencia para controlar o recuperarse de un da-
ño
❖ Educación y evaluación del personal
❖ Aplicación de rutinas de control específicas a cada una de las áreas de la or-
ganización
❖ Rotación de funciones y responsabilidades
❖ Realización de auditorias de software, de hardware, de la infraestructura edi-
licia, simulaciones para verificar y comprobar el aprendizaje de las políticas,
normas y procedimientos propuestos y para detectar la respuesta del perso-
nal ante determinados siniestros

❖ Norma ISO/IRAM 17799

❖ renombrada a pedido de la ISO como 27.002, con el fin de reservar la serie 27.000
para la seguridad de la información

Dominios-Secciones:

1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento

Norma 27.002:2013

http://www.iso27000.es/iso27002.html

http://iso27000.es/download/ControlesISO27002-2013.pdf

14 Dominios, 35 Objetivos de control y 114 controles

1. Política de seguridad de la información

2. Organización de la Seguridad de la Información.
3. Seguridad de los Recursos Humanos.
4. Gestión de los Activos.
5. Control de Accesos.
6. Criptografía.
7. Seguridad Física y Ambiental.

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 12
 Curso Experto en Informática Forense Módulo Seguridad Informática

8. Seguridad de las Operaciones: procedimientos y responsabilidades; protec-

ción contra malware; resguardo; registro de actividad y monitorización; con-
trol del software operativo; gestión de las vulnerabilidades técnicas; coordi-
nación de la auditoría de sistemas de información.
9. Seguridad de las Comunicaciones: gestión de la seguridad de la red; gestión
de las transferencias de información.
10.Adquisición de sistemas, desarrollo y mantenimiento: requisitos de seguri-
dad de los sistemas de información; seguridad en los procesos de desarrollo
y soporte; datos para pruebas.
11.Relaciones con los Proveedores: seguridad de la información en las relacio-
nes con los proveedores; gestión de la entrega de servicios por proveedores.
12.Gestión de Incidencias que afectan a la Seguridad de la Información: gestión
de las incidencias que afectan a la seguridad de la información; mejoras.
13.Aspectos de Seguridad de la Información para la Gestión de la Continuidad
del Negocio: continuidad de la seguridad de la información; redundancias.
14.Conformidad: conformidad con requisitos legales y contractuales; revisiones
de la seguridad de la información.

POLITICAS DE SEGURIDAD DE LA INFORMACION –PSI-

DA 669/2004 Todos los organismos de la APN (Administración Pública Nacional) deben

contar con:

❑ Una PSI aprobada e implementada. Actualización, ADMINISTRACION PUBLICA

NACIONAL - Disposición 3/2013 “Política de Seguridad de la Información Mode-
lo”.
(http://www.infoleg.gob.ar/infolegInternet/anexos/215000-
219999/219163/norma.htm)

❑ Un responsable de seguridad informática.

❑ Un comité de seguridad de la información para el tratamiento de dichos temas.

Protección de la Información en la APN Obligaciones de los funcionarios públicos

➢ Ley 25.164

➢ Observar el deber de fidelidad y guardar la discreción correspondiente o la

reserva absoluta, en su caso, de todo asunto del servicio que así lo requiera.
➢ Hacer uso indebido o con fines particulares del patrimonio estatal.

Prevención de uso no adecuado de recursos informáticos en la APN Obligaciones

de los funcionarios públicos

➢ Ley 25.188

➢ Abstenerse de utilizar información adquirida en el cumplimiento de sus fun-

ciones para realizar actividades no relacionadas con sus tareas oficiales o de
permitir su uso en
beneficio de intereses privados.
➢ Proteger y conservar la propiedad del Estado y sólo emplear sus
bienes con los fines autorizados.

➢ Programa Nacional de Infraestructuras Críticas de Información y Ciberse-

guridad

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 13
 Curso Experto en Informática Forense Módulo Seguridad Informática

(ICIC), creado mediante la Resolución JGM Nº 580/2011 -

http://www.icic.gob.ar/

Acceso a la información

Para acceder a ciertos niveles será necesario establecer claramente la identidad de la per-
sona que pretende ingresar, basándose en tres modelos:

a. Algo que soy: una firma, una huella dactilar, un modelo del iris, una prueba de ADN
(al respecto las pruebas cada vez se hacen más sencillas, alcanza con una mues-
tra de mucosas simple y quince minutos de procesamiento).

b. Algo que conozco: una contraseña, una estructura, una ubicación de un dato (por
ejemplo, las distintas partes de una contraseña).

c. Algo que poseo: una tarjeta con banda magnética, una tarjeta chip, una llave de
puerto serie, paralelo o USB, un generador de claves sincronizado

➢ La combinacion de dos de modelos es la más recomendable

Ejercicio

 Trabajo Práctico Grupal - Tipos de ataques

 Trabajo Práctico Individual - Explorador y analizador de red- Aplicación Nmap
 Trabajo Práctico Individual -Analizador de Tráfico - Aplicación Tcpdump

Criptografía – Conceptos básicos

(Manual Informática Forense I- Marco Tecnológico Pericial - Borrado Seguro: pág. 189,
191-194)- (Manual Informática Forense III- Cap 10 - Evaluación de certeza criminalística -
Análisis de algoritmos de resumen o hash: pág. 105-114)

Se entiende un conjunto de técnicas que tratan sobre la protección de la informa-

ción frente a observadores no autorizados.

La palabra criptografía proviene del griego kryptos, que significa esconder y

gráphein, escribir, es decir, “escritura escondida”. La criptografía ha sido usada a través de
los años para mandar mensajes confidenciales cuyo propósito es que sólo las personas au-
torizadas puedan entenderlos.

Alguien que quiere mandar información confidencial aplica técnicas criptográficas

para poder “esconder” el mensaje (lo llamaremos cifrar), manda el mensaje por una línea
de comunicación que se supone insegura y después solo el receptor autorizado pueda leer
el mensaje “escondido” (lo llamamos descifrar).

La “confidencialidad” no es lo único que permite la criptografía. También resuelve

otros problemas de seguridad, como certificar la “autenticidad” (firmar mensajes) e “inte-
gridad” (comprobar que la información transmitida no ha sido modificada) de la informa-
ción. PGP (pretty good privacy, http://www.pgpi.org/) permite por ejemplo cifrar un men-
saje para uno o varios destinatarios, y / o firmarlo, para que cualquiera pueda comprobar
de quién es y que permanece tal y como fue emitido. PGP fue adquirido en 2010 por la
empresa Symantec. La versión de Gpg4Win (GNU Privacy Guard for Windows,
http://www.gpg4win.org/) permite cifrar correos electrónicos y archivos.

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 14
 Curso Experto en Informática Forense Módulo Seguridad Informática

Términos importantes en criptografía:

• Texto claro: mensaje o información sin cifrar

• Cifra: Escritura en que se usan signos, guarismos o letras convencionales, y que so-
lo puede comprenderse conociendo la clave.
• Criptograma: mensaje cifrado

• Criptosistema: sistema completo formado por textos claros, criptogramas, claves de

cifrado, y algoritmos de cifrado – descifrado.

• Criptoanálisis: técnica que intenta comprometer la seguridad de un criptosistema, o

bien descifrando un texto sin su clave, u obteniendo ésta a partir del estudio de pa-
res texto claro – criptograma.

Técnicas clásicas

➢ sustitución, los símbolos (caracteres o bits) del texto en claro, se reemplazan por
otros, siguiendo una o varia reglas de sustitución.

CASA -→FDVD

➢ permutación/transposición, los símbolos se reordenan para aparecer en posicio-

nes distintas de las que tenían en el texto en claro

Ejemplo de permutación

RENGLON 1 E E P O E E M T C O

RENGLON 2 J M L D P R U A I N

Resultado del cifrado por permutación:

EEPOEEMTCOJMLDPRUAIN

Ataques al cifrado
✓ Análisis de frecuencia
✓ Ciphertext Only Attack (COA), intercepción y decodificación
✓ Known Plaintext Attack (KPA), obtención de texto en claro y el mismo cifrado
✓ Chosen-plaintext attack (CPA) (Batch chosen-plaintext attack Adaptive chosen-
plaintext attack) el atacante posee el algoritmo, para ver el comportamiento del
mismo al cifrar distintos textos
✓ Relate-key attack (RKA) Indifferent chosen-ciphertext attack (CCA1)
✓ Adaptive chosen-ciphertext attack (CCA2)

Cifrado de la información
✓ Hash - (Resumen de mensaje, digesto matemático)
MD5 (Mmessage-Digest Algorithm 5)
SHA2 (Secure Hash Algorithm 2)

✓ De intercambio de clave
Diffie-Hellman

✓ De clave secreta, simétricos

DES (Data Encryption Standard)
IDEA (International Data Encryption Algorithm

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 15
 Curso Experto en Informática Forense Módulo Seguridad Informática

✓ De clave pública, asimétricos

El Gamal (curvas elípticas)

RSA (Rivest, Shamir, Adleman, factorización de números primos)
PGP (Pretty Good Privacy)

Criptosistemas simétricos o de clave privada:

Se utiliza la misma clave para cifrar y para descifrar,

Los criptosistemas de clave secreta se caracterizan porque la clave de cifrado y la de

descifrado es la misma, que ha de ser conocida por las partes autorizadas en la comuni-
cación, y solo por éstas, por lo tanto la robustez del algoritmo recae en mantener el secreto
de la misma.

Sus principales características son:

• rápidos y fáciles de implementar

• clave de cifrado y descifrado son la misma
• cada par de usuarios tiene que tener una clave secreta compartida
• una comunicación en la que intervengan múltiples usuarios requiere muchas claves
secretas distintas

Criptosistemas asimétricos o de Clave pública

Emplean una doble clave (Kpública, Ksecreta) de forma que una cifra y la otra desci-
fra, y en muchos casos son intercambiables.
La criptografía simétrica por lo tanto es a priori más sencilla. Sin embargo, aunque
los algoritmos son más sencillos y generalmente rápidos, tiene varios problemas, como el
hecho de que necesitamos un “canal seguro” para transmitir o acordar la clave.
La criptografía asimétrica en cambio, es más potente, y además de permitirnos la
confidencialidad, nos permite un servicio de autenticidad y asegurar la integridad de los
mensajes, sin necesidad de transmitir una clave secreta (solo ha de ser conocida la pública,
que puede transmitirse por un canal inseguro pues no hay problema en que sea conocida).
Por supuesto, la elección de las claves y los algoritmos que las usan para cifrar y
descifrar en criptografía asimétrica no es en absoluto trivial. Han de tener características
muy concretas. La clave secreta y la pública han de estar profundamente relacionadas (lo
que una cifra la otra lo descifra), y sin embargo ha de ser “imposible” obtener una de la
otra.

Números primos: Números divisibles por sí mismo, por la unidad y por ningún otro nú-
mero.

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 16
 Curso Experto en Informática Forense Módulo Seguridad Informática

Dos números primos unidos por una función son:

PRIMOS RELATIVOS:

✓ Uno lo denomino CLAVE PUBLICA

✓ Y al otro lo denomino CLAVE PRIVADA

✓ Ejemplo: Algoritmo PGP

Protocolos de seguridad

Un protocolo de seguridad es la parte visible de una aplicación, es el conjunto de

programas y actividades programadas que cumplen con un objetivo específico y que usan
esquemas de seguridad criptográfica.

Cualquier protocolo de seguridad procura resolver algunos de los problemas de la

seguridad como la integridad, la confidencialidad, la autenticación y el no rechazo, median-
te sus diferentes características

Las características de los protocolos se derivan de las múltiples posibilidades con

que se puede romper un sistema, es decir, robar información, cambiar información, leer
información no autorizada, y todo lo que se considere no autorizado por los usuarios de
una comunicación por red.

El ejemplo más común es SSL (Secure Sockets Layer)

El procedimiento que se lleva acabo para establecer una comunicación segura con SSL es
el siguiente:

1. EL cliente (navegador) envía un mensaje de saludo al Server "ClientHello"

2. El servidor responde con un mensaje "ServerHello"
3. El servidor envía su certificado
4. El servidor solicita el certificado del cliente
5. El cliente envía su certificado: si es válido continua la comunicación si no para
o sigue la comunicación sin certificado del cliente
6. El cliente envía un mensaje "ClientKeyExchange" solicitando un intercambio
de claves simétricas si es el caso
7. El cliente envía un mensaje "CertificateVerify" si se ha verificado el certificado
del servidor, en caso de que el cliente este en estado de autenticado
8. Ambos cliente y servidor envían un mensaje "ChangeCipherSpec" que signifi-
ca el comienzo de la comunicación segura.
9. Al término de la comunicación ambos envían el mensaje "finished" con lo que
termina la comunicación segura, este mensaje consiste en un intercambio del
hash de toda la conversación, de manera que ambos están seguros que los
mensajes fueron recibidos intactos (íntegros).

Borrado seguro

(Manual Informática Forense I- Marco Tecnológico Pericial - Borrado Seguro: pág. 122,
127-129,185-189)

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 17
 Curso Experto en Informática Forense Módulo Seguridad Informática

Conceptos preliminares

La eliminación de archivos presenta las siguientes características:

✓ Los archivos eliminados no son borrados realmente.

✓ Los archivos son marcados para borrar.
✓ Permanecen, hasta que nuevos datos sobrescriban físicamente el área
✓ En FAT, cuando un archivo o directorio es eliminado, la primera letra del nombre del
archivo es asignada con el caracter sigma (σ), por lo tanto los archivos se conservan
intactos.
✓ Cuanto más rápido se recuperen los archivos eliminados, menor será el riesgo de
sobreescribirlos con cualquier operación de entrada/salida del disco rígido.

Técnicas de borrado seguro

✓ DoD 5220.22-M , NISPOM (National Industrial Security Program Operating Manual),

http://web.archive.org/web/20070226092843/http://www.dss.mil/files/pdf/nispom2
006-5220.pdf, actualizado al 2006, conjunto de procedimientos de para eliminar da-
tos.
✓ El Servicio de Seguridad y Defensa (Defense Scurity Service, DSS), Matriz de Lim-
pieza y Restauración al estado original de fábrica de los dispositivos de almacena-
miento
http://web.archive.org/web/20070316034607/http://www.dss.mil/files/pdf/clearing
_and_sanitization_matrix.pdf.
✓ Peter Gutman, de la Universidad de Auckland de Nueva Zelanda,
https://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html / desarrolló un mé-
todo de borrado seguro de 35 pasadas

Equipos de hardware, Degausser:

Permiten volver el dispositivo de almacenamiento a su estado original de fábrica:

✓ http://www.datadev.com/degausser-government-nsa-dod-approved-data-security-
erase.html
✓ https://www.ontrackdatarecovery.ie/products/degausser/

Factores potenciales de sobrescritura de archivos eliminados

✓ Creación de nuevos archivos

✓ Aumento de tamaño de archivos existentes
✓ Instalación de nuevos programas
✓ Actualización de las aplicaciones existentes
✓ Tareas de mantenimiento del sistema operativo
✓ Reinicio del navegador de internet (cache)
✓ Directorio \temp, al instalar aplicaciones
✓ Recursos compartidos, modificado por usuarios remotos
✓ Sistema de Inicio y Apagado

Hash

(Manual Informática Forense I- Marco Tecnológico Pericial - Pág. 122, 127, 143, 144)-
(Manual Informática Forense III- Cap 10 - Evaluación de certeza criminalística - Análisis de
algoritmos de resumen o hash: pág. 105-114)

Concepto: Hash o digesto o síntesis o resumen de los datos. El hash o checksum cripto-
gráfico, es una función matemática unidireccional e irreversible que convierte cualquier
tamaño de los datos, en un número de longitud fija.

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 18
 Curso Experto en Informática Forense Módulo Seguridad Informática

CARACTERISTICAS DEL HASH

✓ Irreversible: dado un hash o resumen de los datos, debería ser imposible encon-
trar los datos, a partir del hash o resumen.
✓ Compresión: el hash o resumen debe tener una longitud fija y debería ser menor al
tamaño de dicho conjunto de datos.
✓ Simple: el cálculo del hash o resumen a partir de un conjunto de datos, debe ser
fácil y sencillo.
✓ Complejo: el resumen o hash del conjunto de datos, debe ser una función compleja
de todos los bits que conforman el conjunto de datos.
✓ Libre de colisiones: las colisiones ocurren cuando dos entradas diferentes pueden
producir la misma salida. Será computacionalmente dificil encontrar dos conjuntos
de datos que devuelvan el mismo resultado de hash o resumen
hash(conjunto de datos) = hash(conjunto de datos´)

Tipos de algoritmos de hash

• N-Hash (Nippon Telephone and Telegraph, 1990), produce

128 bits
un valor hash de resumen. de

• Snefru (Ralph Merkle, 1990), produce un valor hash de re-

128 y 256 bits
sumen entre, es lento y ha sido criptoanalizado.

• MD5 (Message-Digest Algorithm, creado por Ron Rivest, RFC

1321, MIT Laboratory for Computer Science y RSA Data Se-
128 bits
curity, Inc. April 1992). En la actualidad ya no se considera
computacionalmente seguro. md5deep

• Haval (Yuliang Zheng, Josef Pieprzyk y Jennifer Seberry,

256 bits
1992) , produce un valor hash hasta

• RIPEMD (Comunidad Europea, RACE, 1992) 160 bits

• SHA-1 (Secure Hash Algorithm, diseñado por la NSA, Natio-

nal Securtity Agency, de EEUU de Norteamérica e incorpora-
160 bits
do por el NIST, National Institute of Standards anTechno-
logy, 1994) fsum

• Tiger (Ross Anderson, Eli Biham, 1996) 192 bits

• Panama (John Daemen, Craig Clapp, 1998) 256 bits

Ejercicio

 Guía de Ejercicios Obligatoria Nro 00 - Individual - Etapa preliminar: Borrado segu-

ro y Algoritmos de certificación matemática.
Descargar del grupo de Informática Forense en la carpeta:
Archivos Curso de Informatica Forense Guias Obligatorias.
https://espanol.groups.yahoo.com/neo/groups/informatica-
forense/files/Curso%20de%20Informatica%20Forense/Guias%20Obligatorias/

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 19
 Curso Experto en Informática Forense Módulo Seguridad Informática

Ocultamiento de datos
(Manual Informática Forense I- Marco Tecnológico Pericial. Pág.: 127-129, 189-191, 194-
195)

Esteganografía

 Del griego steganos (protegido, oculto, cubierto) y se refiere a la práctica de ocultar

información
 En informática, ocultamiento de la información dentro de los bits menos significati-
vos de archivos de imagen, música
 La esteganografía criptográfica o siego, encubre datos dentro de objetos no secre-
tos que actúan de portador de los datos secretos u ocultos
 Los programas utilizan esteganografía + cifrado

Flujo de caracteres

 Capacidad del sistema de archivos NTFS

 Documentado por Microsoft en 1998
 Las particiones NTFS de Windows NT, XT, 2000 y 2003, tienen un stream primario
predeterminado, uno de datos y otro el descriptor de seguridad.
 Pero existen stream opcionales o aternativos, denominados ADS (Alternative Data
Stream).
 Las herramientas del sistema operativo pueden detectar solamente el stream prima-
rio, pero no los alternativos, ya sean con nombre o sin nombre.

Ejercicio

 Guía de Ejercicios Nro 01 - Individual - Ocultamiento de la información -

Esteganografía - Flujo de caracteres.
Descargar del grupo de Informática Forense en la carpeta:
Archivos Curso de Informatica Forense Guias Obligatorias.
https://espanol.groups.yahoo.com/neo/groups/informatica-
forense/files/Curso%20de%20Informatica%20Forense/Guias%20Obligatorias/

Firma digital

Definición

Método de identificación de un firmante y de verificación de la integridad del contenido de

un documento digital

Ley 25.506 - FIRMA DIGITAL

ARTICULO 2º — Firma Digital. Se entiende por firma digital al resultado de aplicar a un

documento digital un procedimiento matemático que requiere información de exclusivo co-
nocimiento del firmante, encontrándose ésta bajo su absoluto control. La firma digital debe
ser susceptible de verificación por terceras partes, tal que dicha verificación simultánea-
mente permita identificar al firmante y detectar cualquier alteración del documento digital
posterior a su firma.
ARTICULO 5º — Firma electrónica. Se entiende por firma electrónica al conjunto de datos
electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos,
utilizado por el signatario como su medio de identificación, que carezca de alguno de los
requisitos legales para ser considerada firma digital. En caso de ser desconocida la firma
electrónica corresponde a quien la invoca acreditar su validez.

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 20
 Curso Experto en Informática Forense Módulo Seguridad Informática

Actividad
✓ Efectuar:
o La lectura de la Reglamentación de establecida en el Decreto 182/2019
Ley N° 25.506. de fecha 11/03/2019 desde el sitio:
http://servicios.infoleg.gob.ar/infolegInternet/anexos/320000-
324999/320735/norma.htm.
o La lectura de la síntesis explicativa del decreto en el sitio de aboga-
dos.com.ar, https://abogados.com.ar/la-reciente-reglamentacion-de-la-
firma-digital/23248

Criptografía asimétrica

Par de claves (matemáticas dependientes) para cada usuario, la información encriptada con
una clave, sólo puede descifrarse con la otra del mismo par.

Par de claves:

➢ La Clave Pública puede ser conocida por todo el mundo

➢ La Clave Privada debe ser custodiada por el usuario y nunca hacerse pública

Características

✓ Sólo puede ser generada por el poseedor de la clave privada y puede ser verificada
por cualquiera que conozca la clave pública del firmante.
✓ Es dependiente del documento a firmar (la Firma Digital de un documento no puede
emplearse para firmar otro documento).
✓ Para firmar digitalmente el firmante deberá generar previamente su par de claves
(una pública y una privada), relacionadas matemáticamente entre sí.
✓ La clave privada deberá quedar siempre bajo su exclusivo control por ser el elemen-
to que utilizará para producir su firma digital.
✓ La clave pública, junto a sus datos personales, estará contenida en un certificado di-
gital emitido por un certificador licenciado de acuerdo a la normativa vigente, y será
utilizada para verificar su firma digital.
✓ Una firma electrónica carece de algún requisito exigido por la normativa vigente pa-
ra las firmas digitales.

La tecnología de firma digital ofrece soluciones para:

➢ Identificación (autenticación) de usuarios
➢ Privacidad de las comunicaciones
➢ Privacidad de datos
➢ Integridad de datos
➢ Repudio en términos legales

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 21
 Curso Experto en Informática Forense Módulo Seguridad Informática

Aplicable en:

➢ Un mensaje de correo electrónico

➢ Datos ingresados a un formulario Web
➢ Los valores insertados en una BD
➢ Una transacción bancaria
➢ Una imagen (scan) de un documento en papel
➢ Una grabación digital de audio o video
➢ Un archivo cualquiera de la PC
➢ El contenido de un CD-ROM
No es la solución para:

➢ Resguardo de la información
➢ Autorización de usuarios
➢ Disponibilidad de la información

Proceso de generación de la firma digital:

• Empleando un algoritmo de “Hashing” se genera un resumen, de tamaño fijo, del

documento.
• Se cifra el Hash empleando la clave privada del usuario.
• Deberá transmitirse o almacenarse el documento original y la firma

Proceso de comprobación de la firma digital:

✓ A partir del Documento Original, se genera de nuevo el Hash.

✓ Empleando la Clave Pública del firmante, se descifra la firma digital.

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 22
 Curso Experto en Informática Forense Módulo Seguridad Informática

✓ Se comprueba si ambos “Hashes” coinciden, si es así, la firma es auténtica, si no lo

es, el documento ha sido modificado y/o la firma es falsa.
✓ Adicionalmente, debe comprobarse que el Certificado Digital es válido. El Certificado
puede haber caducado, o puede haber sido revocado por una de las partes

Funcionamiento de la Firma Digital

PKI : Infraestructura de Claves Públicas

(Public Key Infraestructure)

✓ Sistema compuesto de hardware, software, canales de comunicación, políticas, pro-

cedimientos y recursos humanos entrenados, que provee un marco de seguridad y
confianza a los documentos digitales mediante la realización de actividades vincula-
das con la creación, administración, almacenamiento, distribución y revocación de
certificados digitales de clave pública.

✓ es la forma común de referirse a un sistema complejo necesario para la gestión de

certificados digitales y aplicaciones de la Firma Digital

✓ Una firma digital, se aplica a un documento digital.

Una PKI debe proporcionar:

✓ Autenticidad. La firma digital tendrá la misma validez que la manuscrita.

✓ Confidencialidad, de la información transmitida entre las partes.
✓ Integridad. Debe asegurarse la capacidad de detectar si un documento firmado ha
sido manipulado.
✓ No Repudio, de un documento firmado digitalmente.

¿Cómo se puede asegurar que una clave pública pertenece a un usuario dado?.

Es necesario poder vincular la clave pública de un usuario con su identidad y para esto
surge el concepto de “Certificado Digital”, que contiene la siguiente información:

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 23
 Curso Experto en Informática Forense Módulo Seguridad Informática

• Identidad del usuario (Nombre, NIF, etc.)

• Clave Pública del usuario.
• Periodo de Validez del Certificado.
• Identidad de la Autoridad Certificadora (entidad que emite el certificado).
• Firma digital del certificado (los datos anteriores más otras posibles extensiones
personalizables, p.e. la dirección de correo electrónico), generada por la Autoridad
Certificadora.

Esta información se encapsula en un formato estándar, definido por la norma ISO X.509
versión 3.

Generalmente existirá un repositorio (p.e. directorio LDAP) en el que se publican todos los
certificados gestionados por la PKI y puede ser consultado por otros usuarios de la PKI que
quieran enviar información cifrada o verificar firmas digitales.

La Autoridad Certificante, es la entidad que asegura la identidad de los usuarios de los cer-
tificados digitales.

Posee su propio par de claves y firma digitalmente los certificados con su clave privada.
Confiando en la Firma Digital de la Autoridad Certificante, puede confiarse en cualquier cer-
tificado generado por la misma.

Las tareas realizadas por la Autoridad Certificante son, entre otras, las siguientes:

• Procesa peticiones de Certificado a través de la Autoridad de Registro. Estas solici-

tudes están compuestas básicamente por los datos identificativos y la clave pública
del solicitante.
• Genera los Certificados y los almacena en el repositorio público (p.e. LDAP)
• Gestiona la caducidad y renovación de certificados.
• Gestiona la revocación de certificados (p.e. por compromiso de la clave privada del
usuario al serle sustraída su SmartCard).

Toda la fiabilidad de la Autoridad de Certificación se basa en la inviolabilidad de su propia

clave privada, la cual resulta crítico proteger empleando medios técnicos y humanos.

La Autoridad de Registro.

En toda PKI deben establecerse los mecanismos para que los usuarios soliciten su propio
certificado, de tal forma que se asegure la identidad de dicho usuario. A este procedimiento
se le denomina “Proceso de Registro” y se realiza a través de la denominada “Autoridad de
Registro”.

Existen dos tipos principales de registro:

• Registro “Cara a Cara”. El solicitante acude en persona a una “Oficina de Registro”,

donde, tras acreditar su identidad, se le proporciona de forma segura su clave pri-
vada y su certificado.
• Registro Remoto. El usuario, a través de Internet, realiza una solicitud de certifica-
do. Para esto empleará un software (p.e. un navegador) que generará el par de cla-
ves y enviará su clave pública a la Autoridad de Registro para que sea firmada por
la Autoridad Certificadora y le sea devuelto su certificado.

La validez de la Firma Digital estará condicionada por la calidad del proceso de registro,
siendo obligatorio para asegurar la validez legal de la firma, algún tipo de registro “Cara a
Cara”, ya que es el único que asegura la identidad del solicitante. Por otra parte, la validez

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 24
 Curso Experto en Informática Forense Módulo Seguridad Informática

de la firma digital también estará condicionada a la firma manuscrita de un “contrato” por

el que el solicitante acepta su certificado y las condiciones de uso del mismo.

La Autoridad de Registro se compondrá de una serie de elementos tecnológicos (hard-

ware y software específico) y unos medios humanos (los Operadores de Registro). Es el
punto de comunicación entre los usuarios de la PKI y la Autoridad certificante.

Los componentes básicos pueden resumirse en:

✓ La Autoridad de Certificación. La pieza central del “rompecabezas” y la que pro-

porciona la base de confianza en la PKI. Constituido por elementos hardware, soft-
ware y, evidentemente, humanos.
✓ Publicación de Certificados. El repositorio de certificados permite a los usuarios
operar entre ellos (p.e. para la validación de una Firma Digital), y es un requisito le-
gal que cuente con una total disponibilidad de acceso.
✓ Soporte de la Clave Privada. La elección de un buen soporte para que los usua-
rios custodien su clave privada es un punto esencial y complejo en si mismo (p.e. si
la clave está en una SmartCard, es necesario diseñar el Sistema de Gestión de
SmartCards que permita la emisión y distribución de las tarjetas a los usuarios)
✓ Aplicaciones “PKI-Enabled”. Se denomina así a las aplicaciones capaces de ope-
rar con certificados digitales. Estas aplicaciones son las que dan el valor real de la
PKI de cara al usuario.
✓ Políticas de Certificación. Deben diseñarse una serie de políticas, o procedimien-
tos operativos, que rigen el funcionamiento de la PKI y establecen los compromisos
entre la Autoridad Certificadora y los Usuarios Finales. Estos documentos tendrán un
carácter tanto técnico como legal.

El Proceso de Construcción de una PKI deberá siempre partir de la definición de las Polí-
ticas Operativas y contemplar como requerimiento esencial el asegurar la calidad y seguri-
dad de las operaciones que los usuarios finales realizan con sus claves privadas (p.e. Firma
Digital de Documentos).

Direcciones útiles:

✓ Participar en el Laboratorio de Firma Digital, solicitándolo en

http://www.pki.gov.ar

✓ Obtener un certificado digital de mail en: http://ca.sgp.gov.ar

✓ Obtener un certificado personal, para agentes de la Administración Pública Nacional

en:http://ca.pki.gov.ar

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 25
 Curso Experto en Informática Forense Módulo Seguridad Informática

Evaluación criminalística aplicada a la criptografía

(Manual Informática Forense III- Cap 8 - Modelo de evaluación criptográfica (sustentado en

la metodología criminalística) Pág. 67-79. Cap 9 - Evaluación de certeza criminalística -
Análisis de algoritmos criptográficos: pág. 81-104)

En la determinación de los puntos característicos de evaluación de certeza crimina-

lística para el análisis de los algoritmos criptográficos, que el profesional en informática
forense necesite efectuar para obtener y cuantificar la validez del algoritmo en cuestión, se
contemplarán una serie de aspectos que se encuentran documentados en el en el informe
de noviembre de 2014 de ENISA (European Union Agency for Network and Information
Security - Agencia de la Unión Europea para Redes y Seguridad de la Información,
https://www.enisa.europa.eu/).

En el siguiente formulario de evaluación criminalística se muestran los puntos

a evaluar, por ejemplo, de los algoritmos de hash o de certificación matemática. (Darahu-
ge, 2014). Aplicación del método criminalístico a la criptografía. Trabajo Final. Especializa-
ción en Criptografía y Seguridad Teleinformática. Disponible en la biblioteca de la Facultad
del Ejército - Escuela Superior Técnica).

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 26
 Curso Experto en Informática Forense Módulo Seguridad Informática

.Forumulario de Evaluación Criminalística

FUNCIONES DE RESUMEN o DIGESTO MATEMATICO o HASH
Valor asig- Observaciones y Porcentaje de Pro-
Punto característico a Evaluar
nado Referencias babilidad
Primitiva criptográfica
Bits de bloque
Bits de salida
Cifrador de bloque:

CBC
Función hash
Colisiones
Compresión
Facilidad de cómputo

Resistencia a la pre-imagen

Resistencia a pre-imágenes parciales.

Resistencia a la 2da pre-imagen

Resistencia a colisiones

Efecto avalancha

Resistencia a ataques

Código fuente (Abierto/Cerrado)

Desarrollador / Fabricante

Seguridad ofrecida: Autenticación

Seguridad ofrecida: Integridad

Seguridad ofrecida: No repudio

Seguridad ofrecida: Confidencialidad

En uso / Obsoleto

Participación en Competencias Criptográficas

Normalizado

Puntos de referencia. (Benchmarks)

Evaluación de certeza criminalística (comprobación de

confiabilidad de la prueba indiciaria informática)

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 27
 Curso Experto en Informática Forense Módulo Seguridad Informática

Actividad

✓ Consultar el sitio de ENISA y describir el o los algoritmos de hash reco-

mendados que aún no hayan sido vulnerados. Enviar los resultados a
darahuge@yahoo.com.ar.

Análisis de riesgo

Aspectos preliminares

Las infracciones de seguridad afectan a las organizaciones de diversas formas:

1. Pérdida de beneficios
2. Perjuicio de la reputación de la organización
3. Pérdida o compromiso de la seguridad de los datos
4. Interrupción de los procesos empresariales
5. Deterioro de la confianza del cliente
6. Deterioro de la confianza del inversor

El control de la preservación de los activos informáticos requiere de los siguientes elemen-

tos:

1. Análisis de riesgos
2. Valoración de los riesgos
3. Optimización de la calidad
4. Reingeniería
5. Plan estratégico
6. Simulación

Las políticas de seguridad de la información ofrecen los lineamientos básicos para la ges-
tión de la seguridad de la información para incorporar en un organismo o empresa. Por
ejemplo, en el caso de la Función Pública Nacional, la Política de seguridad de la informa-
ción, aprobada por la disposición 3/2013, se puede descargar del siguiente sitio:

http://www.infoleg.gob.ar/infolegInternet/anexos/215000-
219999/219163/norma.htm

Oficina Nacional de Tecnologías de Información

ADMINISTRACION PUBLICA NACIONAL
Disposición 3/2013
Apruébase la “Política de Seguridad de la Información Modelo”.
Bs. As., 27/8/2013

Definiciones

Riesgo

“La Posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de

los objetivos. El riesgo se mide en términos de impacto y probabilidad”

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 28
 Curso Experto en Informática Forense Módulo Seguridad Informática

Análisis de Riesgos

Proceso sistemático para estimar la magnitud de los riesgos a que están expuestos los ac-
tivos de una Organización.
Evaluación de Riesgos

Se entiende por evaluación de riesgos a la evaluación de las amenazas y vulnerabilidades

relativas a la información y a las instalaciones de procesamiento de la misma, la probabili-
dad de que ocurran y su potencial impacto en la operatoria del Organismo.

Tratamiento de Riesgos

Proceso de selección e implementación de medidas para modificar el riesgo.

Gestión de Riesgos

Actividades coordinadas para dirigir y controlar una organización en lo que concierne al

riesgo.

NOTA. La gestión de riesgos usualmente incluye la evaluación de riesgos, el tratamien-

to de riesgos, la aceptación de riesgos y la comunicación de riesgos.
➢ La seguridad absoluta no existe, se trata de reducir el riesgo a niveles
asumibles.

Amenaza

Fenómeno, acción evento, intencional o accidental que produce un impacto negativo en los
activos informáticos.

Control

Medio para gestionar el riesgo, incluyendo políticas, procedimientos, directrices, prácticas o

estructuras organizacionales, las cuales pueden ser de naturaleza administrativa, técnica,
de gestión, o legal.

Exposición

Instancia en la cual la información o un activo de información es susceptible a dañarse o

perderse por el accionar de un agente de amenaza.

Impacto
Medida del daño sobre el activo derivado de la materialización de una amenaza

Incidente de seguridad

Evento adverso que puede comprometer la confidencialidad, integridad o disponibi-

lidad de la información.

Un incidente de seguridad se produce cuando una amenaza explota una vulnerabilidad

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 29
 Curso Experto en Informática Forense Módulo Seguridad Informática

Probabilidad de ocurrencia

La posibilidad de que ocurra un acontecimiento en un lapso de tiempo determinado

Síntesis de conceptos y definiciones

Propósito del Análisis de Riesgo

Determinar la exposición al Riesgo de una organización

El análisis de riesgo es constituye en una de las formas más adecuadas de guía y procedi-
mientos para aplicar los controles de seguridad a los activos informáticos.

Permite:

✓ Desarrollar Políticas, Normas y Procedimientos de Seguridad

✓ Elaborar un Plan de Seguridad
✓ Evaluar la efectividad del Plan de Seguridad
✓ Desarrollar un Plan de Continuidad del Negocio

Pasos para realizar un Análisis de Riesgo

1. Identificación y clasificación de los activos de información

Sobre todos los activos de información identificados, se realiza una clasificación en

base a la criticidad del activo para el negocio, utilizando como medida a las tres
componentes principales de la Seguridad de la Información:

✓ Integridad
✓ Disponibilidad
✓ Confidencialidad

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 30
 Curso Experto en Informática Forense Módulo Seguridad Informática

2. Definición de matrices

a. Matriz de impacto

Define los ámbitos del negocio que pueden ser afectados cuando ocurre un
evento adverso. Utiliza una escala simple de valoración que es relevante a la
organización que hace el análisis

b. Matriz de probabilidad

Define la probabilidad de que una amenaza genere un impacto, en términos

de tiempo. Utiliza una escala simple basada en los tiempos que son relevan-
tes al negocio.

c. Matriz de Riesgos

Se obtiene en base a la matriz de impacto y a la matriz de probabilidad de

ocurrencia:

3. Identificación de Amenazas

Las amenazas relevantes pueden ser clasificadas en tres grandes grupos:

✓ Amenazas ambientales,
✓ Amenazas humanas: Internas, Externas, Estructuradas, No estructuradas,
✓ Amenazas tecnológicas.

Esta clasificación permite analizar, tomar medidas de seguridad e implementar con-

troles para tratar las amenazas en conjunto.

4. Cálculo del Riesgo:

Cálculo de Riesgo Bruto y Residual

Tipos de riesgos

Riesgo Bruto
Corresponde al impacto y probabilidad de ocurrencia de una amenaza en un supues-
to donde no existen controles ni salvaguardas implementadas.

Riesgo Residual

Corresponde al impacto y probabilidad de ocurrencia de una amenaza en donde

existen controles y medidas de seguridad implementadas.

Opciones para la gestión de los riesgos

Las matrices de riesgo nos ayudan a definir prioridades de acción, en el tra-

tamiento y remediación de riesgos que se encuentran en zonas no aceptables para
la organización.

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 31
 Curso Experto en Informática Forense Módulo Seguridad Informática

Las posibles acciones son:

✓ Eliminar el riesgo
✓ Disminuir el riesgo
✓ Aceptar el riesgo
✓ Trasladar o transferir el riesgo
✓ Incrementar el riesgo

Gestión de Riesgo

✓ Interpretación del Riesgo Residual

✓ Selección de salvaguardas
✓ Gestión de la Dirección –Nivel de riesgo aceptable

Interpretación del Riesgo Residual

✓ Impacto y riesgo residual son una medida del estado presente, entre la inseguridad
potencial (sin salvaguarda alguna) y las medidas adecuadas que reducen impacto y
riesgo a valores despreciables.
✓ Si la diferencia entre el riesgo bruto y el riesgo residual es nula, las salvaguardas
existentes no cumplen ninguna función.
✓ Es importante entender que un valor residual es sólo un número. Para su correcta
interpretación debe venir acompañado de la relación de lo que se debería hacer y no
se ha hecho.

Selección de mecanismos de protección

Es necesario planificar el conjunto de mecanismos de protección pertinentes para resolver

tanto el impacto como el riesgo, reduciendo al máximo el daño del activo (minimizando el
daño) o reduciendo la frecuencia de la amenaza (minimizando sus oportunidades).

• Mecanismos de protección técnicos: en aplicaciones, equipos y redes.

• Mecanismos de protección físicos: protegiendo el entorno de trabajo de las per-
sonas y los equipos.
• Medidas de protección de la organización: de prevención y gestión de las inci-
dencias.
• Política de personal: el personal, es el eslabón imprescindible y más difícil de ges-
tionar.

Proceso de gestión de riesgo

1. Proceso de gestión de riesgos

2. Evaluación de riesgos
3. Identificación de riesgos
4. Análisis de riesgos: Tipos de análisis
✓ Cuantitativo
✓ Cualitativo
5. Tratamiento de riesgos
➢ Selección e implantación de técnica de tratamiento
➢ Seguimiento y monitoreo
➢ (Mitigar, Aceptar, Transferir, Evitar)
6. Documentación, comunicación y publicación
7. Mejora continua (Círculo de Deming - Plan Do Check Act, Planificar, Hacer, Verificar,
Actuar)

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 32
 Curso Experto en Informática Forense Módulo Seguridad Informática

Documentación de referencia: Normas ISO/IRAM 27001, Magerit, Octave

Gestión de la Dirección

La dirección de la Organización sometida al análisis de riesgos debe determinar el

nivel de impacto y riesgo aceptable. Esta decisión no es técnica. Puede ser una decisión
política o gerencial.
Cualquier nivel de impacto y/o riesgo es aceptable si lo conoce y acepta formalmen-
te la Dirección.
Si el impacto y/o el riesgo están por encima de lo aceptable, se puede:

1. Eliminar el activo; a veces existen activos que no se justifica mantener.

2. introducir nuevas protecciones o mejorar la eficacia de las presentes.

Metodología diseñada por el ArCert

(Manual de seguridad en redes, descargar del grupo)

Determinar:
1. Los recursos a proteger
2. Las amenazas y vulnerabilidades de los recursos a proteger
3. Los mecanismos de protección (control y / o salvaguardas)
4. Clasificar los recursos por:
✓ Importancia o prioridad
✓ Impacto en caso de daño parcial o total

Factores a considerar

➢ Estimación del riesgo de pérdida del recurso – Ri

➢ Estimación de la importancia del recurso -Wi

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 33
 Curso Experto en Informática Forense Módulo Seguridad Informática

Asignación de valores o cuantificación

Riesgo (Ri) de perder un recurso, se le asigna un valor de cero a diez, donde cero, signi-
fica que no hay riesgo y diez es el riesgo más alto.
Importancia de un recurso (Wi), se le asigna un valor de cero a diez, donde cero signi-
fica que no tiene importancia y diez es la importancia más alta.

La evaluación general del riesgo es el: producto del valor del riesgo y su impor-
tancia (o peso).

WRi = Ri *Wi

WRi : es el peso del riesgo del recurso “i” (o ponderación)

Ri : es el riesgo del recurso “i”
Wi : es la importancia del recurso “i”

Ejemplo y Ejercicio:

Establecer los riesgos de los equipos de interconectividad en la red de su área, dependen-

cia u organismo

Recursos de hardware:

1. Enrutadores –Routers: R1 = 6 , W1 = 7, WR1 = 42

2. Conmutadores – Switches: R2 = 6 , W2 = 3, WR2 = 18
3. Servidor: R3 = 10 , W3 = 10, WR3 = 100

¿Cuál es el recurso que se debe proteger con mayor prioridad?

Respuesta:

A partir del cálculo de riesgo que se muestra en el ejemplo de recursos de hardware, calcu-
lar los riesgos de los :

✓ Recursos de software

✓ Recursos humanos

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 34
 Curso Experto en Informática Forense Módulo Seguridad Informática

Ejemplo de Escala:

1,2 MUY BAJO

3,4 BAJO ---→ Nivel de riesgo aceptable
5,6 MEDIO -
7,8 8ALTO
>9 MUY ALTO

Respuesta:

Ejercicio

 Trabajo Práctico Grupal -Análisis de Riesgo

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 35
 Curso Experto en Informática Forense Módulo Seguridad Informática

Auditoria de la información

A finales del siglo XX, los Sistemas Informáticos se han constituido en las herra-
mientas más poderosas para materializar uno de los conceptos más vitales y necesarios
para cualquier organización empresarial, los Sistemas de Información de la empresa.
La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso
las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a
los generales de la misma. En consecuencia, las organizaciones informáticas forman parte
de lo que se ha denominado el “management” o gestión de la empresa. Cabe aclarar que la
Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no
decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una em-
presa, existe la Auditoría Informática.
El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se
ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas.
El concepto de auditoría es mucho más que esto. Es un examen crítico que se
realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo,
una entidad, etc.

La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra audi-
tor, que se refiere a todo aquel que tiene la virtud de oír.

Los principales objetivos que integran a la auditoría Informática son:

➢ el control de la función informática,
➢ el análisis de la eficiencia de los Sistemas Informáticos que comporta,
➢ la verificación del cumplimiento de la Normativa general de la empresa en
este ámbito y
➢ la revisión de la eficaz gestión de los recursos materiales y humanos informá-
ticos.

La auditoría nace como un órgano de control de algunas instituciones estatales y

privadas. Su función inicial es estrictamente económico-financiera, y los casos inmediatos
se encuentran en las pericias por orden judicial y las contrataciones de contables expertos
por parte de Bancos Oficiales.

La función auditora debe ser absolutamente independiente; no tiene carácter ejecu-

tivo, ni son vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisio-
nes pertinentes.
La auditoría contiene elementos de análisis, de verificación y de exposición de debi-
lidades y disfunciones. Aunque pueden aparecer sugerencias y planes de acción para elimi-
nar las disfunciones y debilidades antedichas; estas sugerencias plasmadas en el Informe
final reciben el nombre de Recomendaciones.

Auditoría Interna y Auditoría Externa:

(Manual de Control Interno de la SIGEN http://www.sigen.gov.ar/pdfs/normativa/ngci.pdf)

La auditoría interna es la realizada con recursos materiales y personas que pertene-

cen a la empresa auditada. La auditoría interna existe por expresa decisión de la Empresa,
o sea, que puede optar por su disolución en cualquier momento.
La auditoría externa es realizada por personas afines a la empresa auditada; es
siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna,
debido al mayor distanciamiento entre auditores y auditados.
La auditoría informática interna cuenta con algunas ventajas adicionales muy impor-
tantes respecto de la auditoría externa, las cuales no son tan perceptibles como en las au-
ditorías convencionales.

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 36
 Curso Experto en Informática Forense Módulo Seguridad Informática

La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando

Revisiones globales, como parte de su Plan Anual y de su actividad normal.
Los auditados conocen estos planes y se habitúan a las Auditorías, especialmente
cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.
Dentro de las áreas generales, se establecen las siguientes divisiones:

Auditoría Informática: de Explotación, de Sistemas, de Comunicaciones y de Desa-

rrollo de Proyectos. Estas son las Areas Especificas de la Auditoría Informática más impor-
tantes.

Areas Generales
Areas Específicas Interna Dirección Usuario Seguridad

Explotación

Desarrollo
Sistemas

Comunicaciones

Seguridad

Metodología de Trabajo de Auditoría Informática

El método de trabajo del auditor pasa por las siguientes etapas:

➢ Alcance y Objetivos de la Auditoría Informática.

➢ Estudio inicial del entorno auditable.
➢ Determinación de los recursos necesarios para realizar la auditoría.
➢ Elaboración del plan y de los Programas de Trabajo.
➢ Actividades propiamente dichas de la auditoría.
➢ Confección y redacción del Informe Final.
➢ Redacción de la Carta de Introducción o Carta de Presentación del Informe final.

Definición de Alcance y Objetivos

El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo
muy preciso entre auditores y clientes sobre las funciones, las materias y las organizacio-
nes a auditar.
Una vez definidos los objetivos (objetivos específicos), éstos se añadirán a los obje-
tivos generales y comunes de a toda auditoría Informática: La operatividad de los Sistemas
y los Controles Generales de Gestión Informática.

Estudio Inicial

Para realizar dicho estudio ha de examinarse las funciones y actividades generales

de la informática.
Para su realización el auditor debe conocer lo siguiente:

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 37
 Curso Experto en Informática Forense Módulo Seguridad Informática

Organización:

Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta
es fundamental. Para realizar esto en auditor deberá fijarse en:

1) Organigrama:

El organigrama expresa la estructura oficial de la organización a auditar.

2) Departamentos:

Se entiende como departamento a los órganos que siguen inmediatamente a la Di-

rección. El equipo auditor describirá brevemente las funciones de cada uno de ellos.
3) Relaciones Jerárquicas y funcionales entre órganos de la Organización:

El equipo auditor verificará si se cumplen las relaciones funcionales y Jerárquicas pre-

vistas por el organigrama, o por el contrario detectará, por ejemplo, si algún empleado
tiene dos jefes. Las de Jerarquía implican la correspondiente subordinación. Las funciona-
les, por el contrario, indican relaciones no estrictamente subordinables.

4) Flujos de Información:

Además de las corrientes verticales intradepartamentales, la estructura organizativa

cualquiera que sea, produce corrientes de información horizontales y oblicuas extradepar-
tamentales.
Los flujos de información entre los grupos de una organización son necesarios para su
eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama.
En ocasiones, las organizaciones crean espontáneamente canales alternativos de infor-
mación, sin los cuales las funciones no podrían ejercerse con eficacia; estos canales alter-
nativos se producen porque hay pequeños o grandes fallos en la estructura y en el organi-
grama que los representa.
Otras veces, la aparición de flujos de información no previstos obedece a afinidades
personales o simple comodidad. Estos flujos de información son indeseables y producen
graves perturbaciones en la organización.

5) Número de Puestos de trabajo

El equipo auditor comprobará que los nombres de los Puesto de los Puestos de Trabajo
de la organización corresponden a las funciones reales distintas.
Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica
la existencia de funciones operativas redundantes.
Esta situación pone de manifiesto deficiencias estructurales; los auditores darán
a conocer tal circunstancia y expresarán el número de puestos de trabajo verdade-
ramente diferentes.

6) Número de personas por Puesto de Trabajo

Es un parámetro que los auditores informáticos deben considerar. La inadecuación del

personal determina que el número de personas que realizan las mismas funciones rara vez
coincida con la estructura oficial de la organización.

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 38
 Curso Experto en Informática Forense Módulo Seguridad Informática

Entorno Operacional

El equipo de auditoría informática debe poseer una adecuada referencia del entorno
en el que va a desenvolverse. Este conocimiento previo se logra determinando, fundamen-
talmente, los siguientes extremos:

a) Situación geográfica de los Sistemas:

Se determinará la ubicación geográfica de los distintos Centros de Proceso de Da-
tos en la empresa. A continuación, se verificará la existencia de responsables en
cada unos de ellos, así como el uso de los mismos estándares de trabajo.

b) Arquitectura y configuración de Hardware y Software:

Cuando existen varios equipos, es fundamental la configuración elegida para cada
uno de ellos, ya que los mismos deben constituir un sistema compatible e interco-
municado. La configuración de los sistemas está muy ligada a las políticas de segu-
ridad lógica de las compañías. Los auditores, en su estudio inicial, deben tener en
su poder la distribución e interconexión de los equipos.

c) Inventario de Hardware y Software:

El auditor recabará información escrita, en donde figuren todos los elementos físi-
cos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades
de control local y remoto, periféricos de todo tipo, etc.
El inventario de software debe contener todos los productos lógicos del Sistema,
desde el software básico hasta los programas de utilidad adquiridos o desarrolla-
dos internamente. Suele ser habitual clasificarlos en facturables y no facturables.

d) Comunicación y Redes de Comunicación:

En el estudio inicial los auditores dispondrán del número, situación y características
principales de las líneas, así como de los accesos a la red pública de comunicacio-
nes y datos. Igualmente, poseerán información de las Redes Locales de la Empre-
sa.

Informe de auditoria

Estructura:

1. Identificación del informe

2. Identificación del cliente
3. Identificación de la entidad auditada
4. Objetivos de la auditoria informática
a. Para identificar el propósito
b. Si no se satisface un objetivo, debe figurar en el informe
5. Normativa aplicada y excepciones
6. Alcance de la auditoria
a. Naturaleza
b. Extensión
c. Limitaciones
d. Restricciones del auditado
e. Sistemas revisados
7. Conclusiones
a. Opinión: favorable, no favorable, con salvedades, denegada
b. Recomendaciones para acciones correctivas
8. Distribución del informe

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 39
 Curso Experto en Informática Forense Módulo Seguridad Informática

Procedimientos de auditoria

✓ ISACA - Information Systems Audit and Control Association

✓ ADACSI - Asociación De Auditoria y Control De Sistemas De Información
(http://www.isaca.org.ar/)
✓ COBIT - Control Objectives for Information and Related Technology
▪ Proporciona herramientas para la gerencia para asociar el control de los as-
pectos técnicos con los riesgos del negocio
▪ Permite desarrollar políticas y buenas prácticas
▪ Enfatiza el cumplimiento regulatorio
▪ Posee 34 objetivos, divididos en 4 dominios:
▪ Planear y organizar - PO
▪ Adquirir e implementar - AI
▪ Entregar y dar soporte - DS
▪ Monitorear y evaluar – ME

✓ Normativa del sector público

▪ Resolución 152/02 – SIGEN – Normas de auditoria interna del gobierno
▪ Resolución 48/05 – SIGEN – Normas de control interno para TI del APN
▪ http://www.sigen.gob.ar/pdfs/normativa/ngci.pdf

Ejercicio

 Trabajo Práctico Grupal -Auditoria Informática

Informática Forense aplicada a la ciberdefensa

La situación globalizante de la Guerra de la Información crece y evoluciona, provo-

cando conmoción en todos los estratos sociales y generando inseguridad jurídica para todos
los habitantes de la República.
Se hace necesaria una respuesta académica, eficiente, efectiva y eficaz, que permita
formar cuadros profesionales dúctiles, flexibles y adaptables a la evolución tecnológica y a
los cambios estratégicos que los grupos criminales organizados imponen a nivel nacional,
regional y mundial.
La seguridad jurídica de la República depende de muchos factores interactuantes,
interrelacionados e integrados, entre ellos la posibilidad de detectar, identificar, prevenir y
de ser necesario neutralizar, amenazas a la seguridad de sus habitantes, provenientes del
Crimen Organizado y manifestado mediante técnicas de Ciberataques. La única respuesta
legal que se puede vislumbrar es contar con recursos humanos altamente capacitados al
respecto.
Este conflicto que ha dejado de ser una amenaza, para transformarse en una reali-
dad cotidiana, debe ser considerado como uno de los ejes actuales de debate ligado al
plano de la Defensa, por cuanto es de una típica concepción de lo que hoy se conoce como
“amenazas o respuestas asimétricas”.
El ámbito de aplicación de la ciberdefensa ha trascendido las fronteras nacionales,
requiere la integración con otros organismos regionales e internacionales, orientados en
igual sentido.

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 40
 Curso Experto en Informática Forense Módulo Seguridad Informática

La normativa Decisión Administrativa 15/2015 del MINISTERIO DE DEFENSA

del 4/3/2015, incorpora una modificación a la estructura organizativa del mismo creando la
DIRECCIÓN GENERAL DE CIBERDEFENSA.
(http://www.infoleg.gob.ar/infolegInternet/anexos/240000-244999/244566/norma.htm)

En la PLANILLA ANEXA AL ARTÍCULO 1°, de la decisión administra, detalla su res-

ponsabilidad primaria y acciones:

RESPONSABILIDAD PRIMARIA

Intervenir en el planeamiento, formulación, dirección, supervisión y evaluación de las polí-

ticas de ciberdefensa para la jurisdicción del MINISTERIO DE DEFENSA y su instrumento
militar dependiente.

ACCIONES

1.- Asistir en el planeamiento, diseño y elaboración de la política de ciberdefensa de acuer-

do a lo establecido en el Ciclo de Planeamiento de la Defensa Nacional en coordinación con
la SUBSECRETARÍA DE PLANEAMIENTO ESTRATÉGICO Y POLÍTICA MILITAR.
2.- Entender en la coordinación con los organismos y autoridades de los distintos poderes
del Estado para contribuir desde la Jurisdicción a la política nacional de ciberseguridad y de
protección de infraestructura crítica.
3.- Intervenir en la orientación, dirección y supervisión de las acciones en materia de ci-
berdefensa ejecutadas por el Nivel Estratégico Militar.
4.- Ejercer el control funcional sobre el COMANDO CONJUNTO DE CIBERDEFENSA de las
FUERZAS ARMADAS.
5.- Intervenir en la evaluación y aprobación de los planes militares de desarrollo de capaci-
dades de ciberdefensa, en la doctrina básica y en las publicaciones militares pertinentes,
cualquiera sea su naturaleza.
6.- Intervenir en el diseño de políticas, normas y procedimientos destinados a garantizar la
seguridad de la información y a coordinar e integrar los centros de respuesta ante emer-
gencias teleinformáticas.
7.- Fomentar políticas de convocatoria, captación, incentivo y formación de recursos huma-
nos para la ciberdefensa para mantener un plantel adecuado.
8.- Promover vínculos sistemáticos de intercambio y cooperación en materia de ciberdefen-
sa con los ámbitos académico, científico y empresarial.
9.- Impulsar acuerdos de cooperación e intercambio en materia de investigación y asisten-
cia técnica en ciberdefensa con organismos públicos y privados.
10.- Asistir en el desarrollo doctrinario, en el diseño y fortalecimiento de capacidades y en
la elaboración de la estrategia de ciberdefensa de conformidad a los lineamientos del Ciclo
de Planeamiento de la Defensa Nacional.

Respecto de las estrategias as estrategias de ciberseguridad y ciberdefensa en Ar-

gentina: marco político. institucional y normativo, consultar el informe de investigación
publicado en la Escuela de Defensa Nacional
http://www.edena.mindef.gob.ar/docs/PERFIL_DOCUMENTOS/GASTALDI_1.pdf)

Concepto

Ciberseguridad es el conjunto de tecnologías, procesos y procedimientos destinados a

proteger las redes de computadoras, programas y datos de ataques, daños o acceso no
autorizados a la información.

Características

La gestión de la ciberseguridad requiere de la coordinación de esfuerzos a través de

un sistema de información que incluya los siguientes elementos:

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 41
 Curso Experto en Informática Forense Módulo Seguridad Informática

➢ Aplicaciones de seguridad
➢ Seguridad de la información
➢ Seguridad de las redes
➢ Recuperación de desastres, planificación de la continuidad del negocio
➢ Profesionales capacitados
➢ Educación del usuario final

Algunos de los estándares que contemplan medidas y procedimientos de ciberseguridad

se listan a continuación:

• ISO 27001 and 27002

• Standard of Good Practice
• NERC
• NIST
• ISO 15408
• RFC 2196
• ISA/IEC-62443 (ISA-99)
• IEC 62443 Conformity Assessment Program
• IASME

Herramientas
➢ http://www.xarp.net/
➢ http://sectools.org
➢ http://www.cyber50.org/tools
➢ https://cybersecurity.mo.gov/tools/

Catálogo: Homeland Open Security Technology (HOST)

➢ https://www.dhs.gov/sites/default/files/publications/csd-host-open-soruce-
cybersecurity-catalog.pdf

Evaluación de la ciberseguridad
➢ https://ics-cert.us-cert.gov/Assessments
➢ https://www.us-cert.gov/ncas/tips
➢ https://www.dhs.gov/stopthinkconnect

Evaluación de herramientas de ciberseguridad

➢ NIST - Security Content Automation Protocol Validated Products
➢ https://nvd.nist.gov/scapproducts.cfm
➢ http://scap.nist.gov/

Proyectos de aplicaciones
➢ http://opensource.com/government/13/7/homeland-cybersecurity-grants
➢ Open Information Security Foundation, http://oisf.net/
➢ Suricata, http://oisf.net/suricata/Open Web Application Security Project,
https://www.owasp.org/index.php/Main_Page

Prof. Esp. Luis Arellano González - Prof. Dra. María E Darahuge Página 42