PROGRAMA DE FORMACIÓN Consecuencia de la falta de seguridad: ..............

5
Tema 5: Elementos vulnerables en el sistema
GESTIÓN DE LA SEGURIDAD
informático: amenazas ............................................6
INFORMATICA
Personas...............................................................6
Actividad de aprendizaje1:
Amenazas lógicas ............................................7
Fundamentos de TIC, Modelos de
negocios y Seguridad informática Amenazas físicas ..................................................8
Tema 6: Seguridad en redes ....................................8
CONTENIDO
Amenazas externas: .............................................9
Amenazas internas: .............................................9
Contenido
Tema 4 - Seguridad informática ............................. 1 Algunos tipos de ataques informáticos en redes:
.......................................................................... 10
Objetivos de la seguridad informática: ............... 2
1. Ataque de denegación de servicio: ............... 10
Confidencialidad .................................................. 3
2. Man in the middle......................................... 10
Autenticación....................................................... 3
Integridad ............................................................ 3
3. Ataques de REPLAY: ...................................... 10 1
Referencias ........................................................... 10
Protección a la réplica ......................................... 3
Reclamación de origen ........................................ 3
Reclamación de propiedad .................................. 3
Tema 4 - Seguridad informática
No repudiación .................................................... 4
Confirmación de la prestación de un servicio ..... 4 La seguridad informática en los últimos
tiempos ha tenido una mayor acogida entre
Referencia temporal (certificación por fechas) ... 4
usuarios y trabajadores de las empresas
Autorización (control de acceso a equipos y debido que en internet, se encuentran
servicios) .............................................................. 4 muchos peligros, por ende ser consciente
que el mal uso del sistema o de una red
Auditabilidad o trazabilidad ................................ 4
informática puede comprometer la
Disponibilidad del servicio ................................... 4 confidencialidad, autenticidad o integridad
de la información es en la actualidad tema
Anonimato en el uso de los servicios .................. 5
de importancia, debido que puede causar
Certificación mediante terceros de confianza..... 5 la ejecución normal de las operaciones de
una empresa al verse bloqueado el acceso
Técnicas y mecanismos de seguridad en las que
de los usuarios autorizados en el sistema.
se puede recurrir para ofrecer los servicios de
seguridad: ............................................................ 5
Debido a lo anterior, la norma ISO 7498
define la Seguridad Informática como “Una
serie de mecanismos que minimizan la
vulnerabilidad de bienes y recursos en una
organización”.1
Objetivos de la seguridad informática:
o Minimizar y gestionar los riesgos y
detectar los posibles problemas y
amenazas a la seguridad.
o Garantizar la adecuada utilización
de los recursos y de las aplicaciones
del sistema.
o Limitar las pérdidas y conseguir la
adecuada recuperación del sistema
en caso de un incidente de
seguridad.
o Cumplir con el marco legal y con los
requisitos impuestos por los clientes
en sus contratos.
Para cumplir con estos objetivos, una
organización debe contemplar cuatro
planos de actuación:
Plano humano
- Sensibilización y formación
- Funciones, obligaciones y
responsabilidades del personal
- Control y supervisión de los
empleados
1 información, estos son:
Plano Técnico
2 - Selección, instalación,
configuración y actualización de
soluciones Hardware y software
- Criptografía
- Estandarización de productos
- Desarrollo seguro de
aplicaciones
Plano Organizacional
3
- Políticas, normas y
procedimientos
- Planes de contingencia y
respuesta a incidentes
- Relaciones con terceros
(clientes, proveedores…)
2
Plano legislación
- Cumplimiento y adaptación a
4 la legislación vigente (LOPD,
LSSI, LGT, firma electrónica,
código penal, propiedad
intelectual)
5 Figura 1. Gómez (2011). Planos de
actuación en la seguridad informática
Servicios de seguridad de la información
Para alcanzar los objetivos es necesario
contemplar los servicios de seguridad de la
_______
1. Villarrubia, C. (Sin fecha). Seguridad y
Alta disponibilidad adopción de pautas de
seguridad informática. Consultado el 30 de
noviembre en:
http://arco.esi.uclm.es/~david.villa/segurida
d/pautas.2x4.pdf
Confidencialidad
- Datos almacenados en un equipo.
- Datos guardados en dispositivos de
backup.
- Datos trasmitidos a través de redes de
comunicaciones.
Autenticación
- De entidad (usuario o equipo)
 Unilateral:
cuando se
garantiza la identidad del
equipo usuario o terminal
que se intenta conectar a la
red.
 Mutua: en el caso de que la
red o el servidor también se
autentica de cara al equipo,
usuario o terminal que
establece la conexión.
- Del origen de los datos.
Integridad
Garantiza que un mensaje o fichero no
ha sido modificado desde su creación
o durante su transmisión a través de la
red informática
Imagen 1. Fuente: ( Landahlauts, 2011)
Protección a la réplica
Impide la realización de ataques de
repetición (replay attacks) por parte de
usuarios maliciosos, consistentes en la
intercepción y posterior reenvío de
mensajes para tratar de engañar al
sistema y provocar operaciones no
3
deseadas
Reclamación de origen
El sistema, permite probar quien ha
sido el creador de un determinado
mensaje o documento
Reclamación de propiedad
Permite probar que un determinado
documento o contenido digital está
protegido por derechos de autor
(canción, video, libro…) y pertenece a
un determinado usuario u organización
que ostenta la titularidad de los
derechos de autor.

No repudiación
Implementa un mecanismo probatorio
que permita demostrar la autoría y
envío de un determinado mensaje, de
tal modo que el usuario que lo ha
creado y enviado a través del sistema
no pueda posteriormente negar esta
circunstancia o situación que también
aplica al destinatario del envío.
Confirmación de la prestación de un
servicio
Confirma la realización de una
operación o transacción, reflejando los
usuarios o entidades que han
intervenido en ésta.
Referencia temporal (certificación por
fechas)
Se consigue demostrar el instante
concreto, en que se ha enviado un
mensaje o se ha realizado una
determinada operación.
Imagen 2. Fuente: (Isaias. 2008).
Autorización (control de acceso a
equipos y servicios)
Busca controlar el acceso de los
usuarios a los distintos equipos y
servicios ofrecidos por el sistema
informático, una vez superado el
proceso de autenticación de cada
usuario.
Auditabilidad o trazabilidad
Permite registrar y monitorizar la
utilización de los distintos recursos
del sistema por parte de los
usuarios que han sido previamente
autenticados y autorizados. 4
Disponibilidad del servicio
Recuperación del sistema frente a
posibles incidentes de seguridad, así
como frente a desastres naturales o
intencionados (incendios,
inundaciones, sabotajes), de nada
sirven los demás servicios de
seguridad si el sistema informático, no
se encuentra disponible para que
pueda ser utilizado por su legítimo
usuario o propietario.

Anonimato en el uso de los servicios
Es la utilización de determinados
servicios dentro de las redes y
sistemas informáticos, que garantizan
el anonimato de los usuarios que
acceden a los recursos y consumen
determinados tipos de servicios,
preservando de este modo su
privacidad.
Certificación mediante terceros
confianza
Organismo que se encarga de certificar
la realización de diversas operaciones
además de avalar la identidad de los
intervinientes, dotando de este modo a
las transacciones electrónicas de un
respaldo jurídico que de una mayor
seguridad a estas.
Técnicas y mecanismos de seguridad
en las que se puede recurrir para
ofrecer los servicios de seguridad:
o Identificación de usuario
o Control lógico de acceso a los
recursos
o Copias de seguridad
o Centros de respaldo
o Cifrado de las transmisiones
o Huella digital de mensajes
o Sellado temporal de mensajes
o Utilización de la forma electrónica
o Protocolos criptográficos
o Análisis y filtrado de tráfico
(cortafuegos)
o Servidores proxy
o Sistema de detección de intrusiones
(IDS)
o Antivirus
Consecuencia de la falta de seguridad:
1. Pérdidas ocasionadas por horas de
trabajo invertidas en las
reparaciones y reconfiguraciones de
los equipos y redes.
de 2. Robo de información confidencial y
su posible revelación a terceros no
autorizados.
3. Filtración de datos personales de
5
usuarios registrados en el sistema.
4. Pérdida de credibilidad en los
mercados, pérdida de confianza por
parte de los clientes, daño a la
reputación e imagen de la empresa.
5. Perdida de pedidos, impacto en la
calidad del servicio, retrasos en los
procesos de producción, pérdida de
oportunidades de negocio.
6. Pago de indemnizaciones por daños
y perjuicios a terceros, teniendo que
afrontar responsabilidades legales y
la imposición de sanciones
administrativas.
Tema 5: Elementos vulnerables en el
sistema informático: amenazas
Las amenazas de un sistema informático,
pueden provenir de diferentes fuentes,
sean estas un hacker remoto que entra al
sistema a través de un troyano, programas
de descarga gratuita que ayuda a gestionar
fotos pero es una puerta trasera a nuestro
sistema permitiendo la entrada de espías.
Las amenazas pueden ser provocadas por:
Personas
Ultima instancia de personas que
intencionada o inintencionadamente
causan enormes pérdidas, por lo general
se conocen como piratas que intentan
conseguir el máximo nivel de privilegio a
través de agujeros del software.
Imagen 3. Fuente: (Lobo, 2006)
Hay diferentes tipos de personas que
pueden constituir un riesgo para nuestros
sistemas y que se dividen en dos grupos:
Los atacantes pasivos: aquellos que
fisgonean por el sistema pero no lo
modifican o destruyen caso contrario a los
atacantes activos que dañan el sistema
del objetivo atacado o lo modifican a su
favor.
En ese orden de ideas esta:
 El personal: nadie mejor que el
propio personal de la organización
para conocer el sistema y sus
debilidades.
 Ex empleados: personas
descontentas con la organización
que pueden aprovechar debilidades
de un sistema que conocen
perfectamente, pueden insertar
troyanos, bombas lógicas, virus o
simplemente conectarse al sistema
como si aún trabajaran para la
organización, conseguir el privilegio
necesario y dañarlo de la forma que
deseen incluso chantajeando a sus
ex compañeros o ex jefes.
6
 Curiosos: atacantes más habituales
del sistema simplemente para
comprobar que es posible romper la
seguridad de un sistema concreto,
aunque en su mayoría se trata de
ataques no destructivos no
benefician en absoluto al entorno de
fiabilidad que se pueda generar en
un determinado sistema.
 Hacker: término para describir un
experto en programación, es
utilizado con frecuencia con un
sentido negativo, para describir a
una persona, que intenta obtener
acceso no autorizado a los recursos
de la red con intención maliciosa,
aunque no siempre tiene que ser
esa su finalidad.
 Cracker: describe una persona que
 intenta obtener acceso no
autorizado a los recursos de la red
con intención maliciosa.
 Intrusos remunerados: piratas con
gran experiencia en problemas de
seguridad y un amplio conocimiento
del sistema que son pagados por
una tercera persona generalmente
para robar secretos o simplemente
para dañar la imagen, de la entidad
afectada.
Imagen 4. Fuente: (Lobo, 2006)
Amenazas lógicas
En estas, se encuentran todo tipo de
programas que pueden dañar al sistema,
estos programas, son creados de forma
intencionada para ello (software malicioso
conocido como malware) o por error (bugs
o agujeros). Entre esos están:
 Software incorrectos: errores de
programación denominados bugs,
los programas utilizados para
aprovechar uno de estos fallos y
atacar al sistema, se llaman
exploits.
 Herramientas de seguridad:
cualquier herramienta de seguridad
representa un arma de doble filo: de
la misma forma que un
administrador las utiliza para
detectar y solucionar fallos en sus
sistema o en la subred completa, un
potencial intruso las puede utilizar
para detectar esos mismo fallos y
aprovecharlos para atacar los
equipos.
 Puertas traseras: atajos que los
programadores insertan en el
desarrollo de aplicaciones grandes o
sistemas operativos para la
autenticación del programa o del
núcleo que se está diseñando.
 Bombas lógicas: parte de código de
ciertos programas que permanecen
sin realizar ninguna función hasta
que son activadas, generalmente se
7
trata de una acción perjudicial.
 Canales cubiertos u ocultos: canales
de comunicación que permiten
transferir información sea local o de
forma remota, de forma que viole la
política de seguridad del sistema.
 Virus: secuencia de código que se
inserta en un fichero ejecutable
(denominado huésped) de forma
que cuando el archivo se ejecuta, el
virus también lo hace, insertándose
a sí mismo en otros programas.
 Gusanos: programa capaz de
ejecutarse y propagarse por si
mismo a través de redes portando
virus o aprovechando bugs de los
sistemas a los que conecta para
dañarlos.
  Caballos de troya: son instrucciones
escondidas en un programa de
forma que éste parezca realizar las
tareas que un usuario espera de él
pero que realmente ejecute
funciones ocultas (generalmente en
detrimento de la seguridad) sin el
conocimiento del usuario.
 Programa conejo o bacterias:
programas que no hacen nada útil,
sino que simplemente se dedican a
reproducirse hasta que el número
de copias acaba con los recursos
del sistema (memoria, procesador,
disco…) produciendo una negación
de servicio.
Imagen 5. Fuente:
(Salinas, 2007)
Amenazas físicas
Son aquellas que pueden afectar a la
seguridad y por tanto al funcionamiento de
los sistemas, estos son:
 Robos, sabotajes, destrucción de
sistemas
 Cortes, subidas y bajadas bruscas
de suministro eléctrico
 Condiciones atmosféricas adversas.
Humedad relativa excesiva o
temperaturas extremas que afecten
al comportamiento normal de los
componentes informáticos
 Las catástrofes (naturales o
artificiales) amenazas menos
probables contra entornos
habituales simplemente por su
ubicación geográfica
Tema 6: Seguridad en redes
8
Personas y organizaciones dependen en la
actualidad de sus computadoras. Las
herramientas de correo electrónico,
administración de archivos, contabilidad y
gestión de la información, resultan de vital
importancia en una empresa. Debido a
esto, las intrusiones de personas no
autorizadas en la red causan
interrupciones costosas y perdidas de
trabajo.
De estos ataques, surgen cuatro tipos de
amenazas:
 Robo de información
 Robo de identidad
 Perdida y manipulación de datos
 Interrupción del servicio

Imagen 6. Fuente: Arana. (2010)
Las amenazas de seguridad causadas por
intrusos en la red, pueden originarse tanto
en forma interna como externa
Amenazas externas: provienen
personas que trabajan fuera de una
de
organización. Estas personas, no tienen
autorización para acceder al sistema o a la
red de la computadora. Los atacantes
externos logran introducirse en la red
principalmente desde internet, enlaces
inalámbricos o servidores de acceso por
marcación o dial-up
Amenazas internas: se originan cuando
una persona cuenta con acceso autorizado
a la red a través de una cuenta de usuario
o tienen acceso físico al equipo de la red.
Un atacante conoce la política interna y las
personas. Por lo general conocen
información valiosa y vulnerable y saben
cómo acceder a esta.
Imagen 7. Fuente: Arana. (2010).
Muchas de las organizaciones destinan
dinero para defenderse contra los ataques
externos y no tienen presente que la mayor
parte de las amenazas son de origen
interno. Para un intruso obtener acceso
interno o externo, lo hace, aprovechando
las conductas humanas. Este es un
método común de explotación de las 9
debilidades humanas que se le denomina
ingeniería social
En el contexto de la seguridad de
computadoras y redes, la ingeniería social
hace referencia a una serie de técnicas
utilizadas para engañar a los usuarios
internos a fin de que realicen acciones
específicas o revelen información
confidencial. Se les considera uno de los
enlaces más débiles en lo que se refiere a
la seguridad.
La concepción de soluciones de seguridad
de red, comienza con una evaluación del
alcance completo de los delitos
informáticos.
Los denunciados, que tienen implicaciones
en la seguridad de la red y tienen más
frecuencia son:
 Abuso del acceso a la red por parte
de personas que pertenecen a la
organización.
 Virus.
 Suplantación de identidad en los
casos en los que una organización
está representada de manera
fraudulenta como el emisor.
 Uso indebido de la mensajería
instantánea.
 Denegación del servicio, caída de
servidores.
 Acceso no autorizado a la
información.
 Robo de información de los clientes
o de los empleados.
 Abuso de la red inalámbrica.
 Penetración en el sistema.
 Fraude financiero.
 Detección de contraseñas.
 Registro de claves.
 Alteración de sitios web.
 Uso indebido de una aplicación web
publica.
Algunos tipos de ataques informáticos en
redes:
1. Ataque de denegación de servicio:
también llamado DoS (Deny of Service)
es un ataque a un sistema de
computadoras o red que causa que un
servicio o recurso sea inaccesible a los
usuarios legítimos, provocando la
perdida de la conectividad de las red
por el consumo del ancho de banda de
la red de la víctima o sobrecarga de los
recursos computacionales del sistema
de la victima
2. Man in the middle: A veces abreviado
MitM, es una situación donde el
atacante supervisa (generalmente
mediante un rastreador de puertos) una
comunicación entre dos partes y
falsifica los intercambios para hacerse
pasar por una de ellas
3. Ataques de REPLAY: una forma de
ataque de red, en el cual una
transmisión de datos valida, es
maliciosa o fraudulenta repetida o
retardada.
10
Referencias
COSTAS, S. Jesús, Seguridad
Informática. Editorial Ra-Ma. España 2011.
GOMEZ V., Álvaro, Seguridad informática:
Básico. Ecoe Ediciones, Bogotá 2011.
Villarrubia, C. (Sin fecha). Seguridad y
Alta disponibilidad adopción de pautas de
seguridad informática. Consultado el 30 de
noviembre en:
http://arco.esi.uclm.es/~david.villa/segurida
d/pautas.2x4.pdf
 CONTROL DE DOCUMENTO
Autores Nombre Cargo Dependencia Fecha

Expertos temáticos Jenny Marisol Experta Temática Sena - Centro de Diciembre 12 de

Henao Garcia Diseño e Innovación 2013
Tecnológica Industrial
–Regional Risaralda.

Yuly Paulin Saenz Experta Temática Sena - Centro de Diciembre 12 de

Agudelo Diseño e Innovación 2013
Tecnológica Industrial
–Regional Risaralda.

Revisión John Jairo Guionista Sena - Centro de Diciembre 17 de

Alvarado González Diseño e Innovación
Tecnológica Industrial
2013
11
–Regional Risaralda.

Andrés Felipe Líder línea de Sena - Centro de Diciembre 17 de

Valencia Pimienta producción Diseño e Innovación 2013
Tecnológica Industrial
–Regional Risaralda
 CRÉDITOS Ricardo Bermúdez Osorio
Cristian Fernando Dávila López
Equipo Línea de Producción, SENA
Centro de diseño e innovación
tecnológica industria, Dosquebradas

Líder línea de producción:

Andrés Felipe Valencia Pimienta

Apoyo línea de producción:

Carlos Andrés Mesa Montoya

Asesor pedagógico:
Edward Abilio Luna Díaz
12
Elaboración de contenidos expertas
temáticas:
Yuly Paulín Sáenz Giraldo
Yenny Marisol Henao García

Guionistas:
John Jairo Alvarado González
Gabriel Gómez Franco

Diseñadores:
Lina Marcela Cardona
Mario Fernando López Cardona

Desarrolladores Front End:

Julián Giraldo Rodríguez