Está en la página 1de 36

“AÑO DE LA LUCHA CONTRA LA CORRUPCIÓN Y LA IMPUNIDAD”

ESCUELA PROFESIONAL DE INGENIERÍA


MECÁNICA

“SEGURIDAD INFORMÁTICA”
DATOS INFORMATIVOS:

▪ Facultad : Ingeniería
▪ Curso : Tecnologías de Información y Comunicación
▪ Área : Ciencias de la Ingeniería
▪ Carácter del curso : Obligatorio
▪ Ciclo de estudios : IV
▪ Semestre Académico : 2019-II
▪ Docente responsable : Dr. Ing. Antenor Mariños Castillo

DATOS DEL GRUPO:

▪ Nombres y Apellidos : Richard Alberto, Principe Galvez


Addison, Miranda Callan
Robert, Carreño Rosales

Nvo. Chimbote, 29 de Octubre 2019

1
ÍNDICE

Carátula ……………………………………………………………………………………..1
ÍNDICE.................................................................................................................................. 2
ÍNDICE DE TABLAS ........................................................................................................... 3
ÍNDICE DE FIGURAS ......................................................................................................... 4
RESUMEN ............................................................................................................................ 5
I. INTRODUCCIÓN ......................................................................................................... 6
II. ANTECEDENTES ........................................................................................................... 7
2.1. Antecedentes Internacionales ..................................................................................... 7
2.2. Antecedentes Nacionales ............................................................................................ 8
III. MARCO TEÓRICO ........................................................................................................ 9
3.1. Acontecimientos Internacionales en el Desarrollo de la Seguridad Informática ........ 9
3.2. Acontecimientos Importantes en el Perú .................................................................. 18
3.3. Seguridad Informática .............................................................................................. 20
3.4. Contemplaciones de la Seguridad Informática ......................................................... 20
3.4.1. Los Usuarios ...................................................................................................... 21
3.4.2. La Información .................................................................................................. 21
3.4.3. La Infraestructura .............................................................................................. 21
3.5. Los Virus Informáticos ............................................................................................. 21
3.4. La Autenticación....................................................................................................... 24
3.4.1. La Autenticación LDAP .................................................................................... 24
3.5. Mecanismos Preventivos en Seguridad Informática ................................................ 26
3.6. Mecanismos Correctivos en Seguridad Informática ................................................. 27
3.7. Mecanismos Detectivos en Seguridad Informática .................................................. 28
3.7.1. Revisión de Patrones de Acceso ........................................................................ 28
3.7.2. Revisión de Transacción .................................................................................... 29
3.7.3. Bloqueo Automático .......................................................................................... 29
3.8. Encriptación en Seguridad Informática .................................................................... 29
3.8.1. Métodos de Encriptación ................................................................................... 29
IV. CONCLUSION ............................................................................................................. 32
V. RECOMENDACIONES................................................................................................. 33
VI. REFERENCIAS BIBLIOGRÁFICAS .......................................................................... 34

2
ÍNDICE DE TABLAS

Tabla 1: Acontecimientos internacionales en el desarrollo de la seguridad informática


............................................................................................................................................... 9

3
ÍNDICE DE FIGURAS

Figura 1: Tipos de Virus ................................................................................................... 23


Figura 2: La descripción el proceso de autenticación de usuarios utilizando un
repositorio LDAP. ............................................................................................................. 25
Figura 3: Esquema de Punto de partida y Apoyo para Gestionar un mecanismo de
Seguridad ............................................................................................................................ 26
Figura 4: Ejemplo de Encriptación Simétrica ................................................................ 30
Figura 5: Ejemplo de Encriptación Asimetrica .............................................................. 31

4
RESUMEN
El presente trabajo de investigación tiene como objetivo transmitir conocimientos
fundamentales acerca de la seguridad informática. Este estudio utilizó un diseño no
experimental pues no se realizó manipulación alguna de variable, y fue basada en la
observación de fenómenos para ser analizados. La investigación inició con la observación
de los latentes problemas de seguridad informática que se han ido suscitando en el transcurso
de la evolución de la informática en el mundo actual, y como gracias a los fundamentos de
la seguridad informática, conceptos sobre riesgos, amenazas como los virus, los malware,
cibercriminales, spyware, etc. y vulnerabilidades que se pueden encontrar en la
infraestructura de los sistemas, ha hecho posible solucionar y prevenir estas amenazas y
vulnerabilidad de la información en las organizaciones. Además, se consideraron diversos
conceptos de mecanismos de prevención, correctivos y detectivos de amenazas que se
puedan presentar.

Finalmente, se concluyó en la suma importancia que la seguridad informática tiene en


nuestra sociedad, para toda organización, pues la mayoría de personas cuenta con
dispositivos que cuentan con un sistema operativo y por lo tanto se requiere la seguridad
informática.

5
I. INTRODUCCIÓN
El principal objetivo de este trabajo de investigación es de describir los diferentes conceptos
de la seguridad informática, mecanismos de prevención, correctivos y detectivos de
amenazas que se puedan presentar.

Los trascendentales cambios operados en la sociedad moderna, ha caracterizado por su


notable desarrollo; la aceleración de la economía en la globalización, la acentuada
dependencia que incorpora en alto volumen de información y los sistemas que la proveen;
el aumento de la vulnerabilidad y el amplio espectro de amenazas, tales como las amenazas
cibernéticas; la escala y los costos de las inversiones actuales y futuras en información y en
sistemas de información; y el potencial que poseen las tecnologías para cambiar
drásticamente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y
reducir costos.

Según la Real Academia Española (2014) establece que la informática es el conjunto de


conocimientos científicos y técnicas que hacen posible el tratamiento automático de la
información por medio de ordenadores. Es decir, posee el conjunto de procedimientos y
técnicas, el control parcial o totalmente los controles internos de los sistemas de información;
la protección de sus activos y recursos.

En conclusión, es importante para estudiantes de informática, que requieran aplicar e


incursionar en el mundo de la seguridad informática, toda persona que se interese en este
tema este informado de forma rápida, simple y a valorar lo importante que es la información,
tanto para las grandes como pequeñas empresas, a motivarlos a contar con sistemas de
seguridad que alejen visitas de posibles hackers y lograr seguridad informática; para datos,
aplicaciones, tecnología, instalaciones, y personal efectivo de la información que requiere la
organización.

Continuando para demostrar la valía de la información recolectada a continuación se


presentarán los siguientes proyectos de investigación que involucra la seguridad de la
información como medio para potenciar su desarrollo económico.

6
II. ANTECEDENTES
A continuación, se presentan los siguientes trabajos previos de manera cronológica
importantes para constatar la importancia de la seguridad informática en las organizaciones:

2.1. Antecedentes Internacionales


En la tesis Zambrano (2011) titulada en “Elementos de seguridad e-business en la banca
nacional para prevenir el fraude en medios de pagos electrónicos” de la Universidad
Metropolitana de Venezuela, expone como objetivo el análisis del elemento de seguridad e-
Business en la Banca Nacional con la intención de prevenir el fraude en medios de pagos
electrónicos. En los elementos de seguridad se utilizó WebSeal como componente para
encriptar y dar seguridad al Backend, Data Power para brindar Web Application Firewall
con el cual se puede verificar las cookies de internet a fin de evitar ataques maliciosos de
XML y SQL Inyection entre otros métodos, CARS como componente de auditoría para
generar las trazas de seguimiento a los eventos y la capa SSL para cifrar los datos en Internet.
El autor concluyó con el proyecto viable ya que en 5 meses de ejecución se concretaron los
elementos técnicos y los costos versus los ingresos son iguales a partir del séptimo mes de
ejecución del proyecto.

En la tesis de Hernández (2014) titulada “Buenas prácticas para la implementación de la


Seguridad en un centro de cómputo” de la Universidad Nacional Autónoma de México, tuvo
como principal objetivo proporcionar ideas, métodos y estrategias para el diseño,
elaboración, implementación, retroalimentación y difusión de las buenas prácticas de
seguridad para optimizar la manera en que se resguarda la información y el lugar de trabajo.
Se implementó un mecanismo de seguridad justificado por una o más políticas de seguridad.
El autor concluyó con la enfatización de la necesidad de las buenas prácticas presentadas en
este trabajo no se afectó la información.

En la tesis Peña (2016) titulada “Diseño e implementación de una red privada virtual (VPN-
SSL) utilizando el método de autenticación LDAP en una empresa privada” de la
Universidad Central de Venezuela, expone como objetivo principal diseñar e implementar
una Red Privada Virtual (VPN-SSL) utilizando el método de autenticación LDAP en una
empresa privada, se implementó una aplicación, basada en un modelo cliente-servidor, que
recopila la información del software y el hardware instalado en los equipos de nuestra red
en un sistema centralizado, se creó un Grupo de Seguridad en el directorio activo e incorporó
a los usuarios que van a tener acceso VPN-SSL a este, y se generó un certificado de seguridad

7
instalado en los navegadores web: Mozilla, Chrome e Internet Explorer. El autor concluyó
con el objetivo alcanzado y ofreciendo movilidad, integridad, confidencialidad y seguridad
de los datos, reduciendo costos en la implementación, y permitiendo a usuarios y consultores
externos conectarse.

En la tesis de Dos Reis (2018) titulada “Diseño e implantación de una plataforma segura
para gestionar los procesos de distribución y ventas en una empresa de consumo masivo a
través de dispositivos móviles” de la Universidad Central de Venezuela, expone como
objetivo principal diseñar e implantar una solución segura que soporte las actividades de
venta (DSD) de la empresa de consumo masivo Empresa XYZ a través de las herramientas
AFARIA y SMP de SAP, garantizando el acceso a la información y el correcto flujo de las
actividades de venta y usando diferentes mecanismos de seguridad de datos entre los cuales
se destacan el uso de certificados y firmas digitales. De este modo se satisfarán las
necesidades de intercambio de información y de datos transaccionales entre sus trabajadores,
oficinas, localidades remotas y clientes a través de dispositivos móviles de forma segura y
confiable. El autor concluyó con la disminución de problemas operacionales, mayor
conocimiento por parte del personal técnico especializado, reducción de los costos
relacionados con pérdidas de información por incidentes de seguridad y reducción de la
manipulación de información confidencial por personas no autorizadas.

2.2. Antecedentes Nacionales


En su tesis Villena (2006) titulada “Sistema de Gestión de Seguridad de Información para
una Institución Financiera” de la Pontificia Universidad Católica del Perú, expone como
objetivo establecer los principales lineamientos para poder implementar de manera exitosa,
un adecuado modelo de sistema de gestión de seguridad de información (SGSI) en una
institución financiera en el Perú, el punto de partida fue las normas y estándares en el
mercado peruano, se planteó un esquema de gestión de seguridad de información para una
institución financiera. El autor concluyó con la importancia debida a la protección de la
información, la cual se verá reflejada en el cumplimiento de todas las políticas de seguridad
de información, siempre actualizadas de acuerdo a los cambios constantes en los negocios
propios de una institución financiera.

En su tesis Aguirre (2014) titulada “Diseño de un Sistema de Gestión de Seguridad de


Información para Servicios Postales del Perú S.A.” de la Pontificia Universidad Católica del
Perú, expone como objetivo diseñar un sistema de gestión de seguridad de información para

8
SERPOST según lo indicado por la NTP ISO/IEC 27001:2008 y la NTP-ISO/IEC
17999:2007 de seguridad de información. Se diseño un sistema de gestión de seguridad de
información que se acople a la normativa a la cual está sujeto la organización. En conclusión,
el autor indicó que es necesario difundir las normas de seguridad existente y establecer
charlas de capacitación y concientización en toda la empresa.

III. MARCO TEÓRICO


A lo largo de la historia se ha evolucionado en la seguridad informática y estos
acontecimientos que se suscitaron a través de los años de manera cronológica se muestra en
la siguiente tabla 1. Además, permite analizar los avances tecnológicos a nivel mundial, con
el objetivo principal de asegurar los sistemas donde se almacena la información.

3.1. Acontecimientos Internacionales en el Desarrollo de la Seguridad Informática


Tabla 1: Acontecimientos internacionales en el desarrollo de la seguridad informática

Año Acontecimiento Reseña

Ciro el Grande, rey de Persia, diseña el


primer sistema para transmitir información
Primer
por postas.
550 Sistema de correo
aC

Bacon describe un modo de representar las


1605 Bacon crea letras del alfabeto en secuencias de cifras
el Alfabeto binarias, sucesiones de ceros y unos,
binario fácilmente codificables y decodificables.

Descubre este concepto matemático que


1614 Napier inventa resultará crucial para la programación de
los logaritmos computadoras.

Wilhelm Schickard construye la primera


Las Primeras calculadora mecánica con poleas y
1623 Calculadoras engranajes de reloj.
El filósofo y matemático Blaise Pascal
presenta la Pascalina en 1642.

9
Jonathan Swift describe satíricamente una
máquina imaginaria de bloques de madera
1726 La computadora accionada con una palanca capaz de componer
de Gulliver discursos.

Charles Babbage diseña un “motor


analítico”, una computadora programable
para todo tipo de propósitos. Debido a su
Llega la primera funcionamiento a vapor y al hecho de que
1833 computadora todas las piezas son fabricadas a mano, el
proyecto fracasa. La idea sigue.

Antonio Meucci es el primer inventor del


aparato de comunicación de voz a distancia
que patenta el escocés Alexander Graham
1860 Hola, Teléfono Bell en abril de 1875.

John Presper Eckert y John William


Mauchly construyen la ENIAC
Primera (Electronic Numerical Integrator And
1946 computadora Computer) en la Universidad de
electrónica Pensilvania.

Computadoras El proyecto se denomina RAND (Research And


conectándose Development) y se desarrolla para facilitar el intercambio
1950 con otras entre investigadores en inteligencia artificial.
Computadoras
Nace ARPA Con el objetivo de impulsar la investigación y el desarrollo
1958 (Advanced tecnológico con fines estratégicos y militares, EE.UU.
Research Project establece la ARPA, en cuyo seno nace ARPANET, más tarde
Agency) Internet.
Varios investigadores desarrollan
paralelamente la idea de que la
información viaje en paquetes. En este
Los paquetes de desarrollo se destacan dos personajes
1961 información clave: Vinton Cerf y Robert Kahn.
inician su viaje

10
En 1969 se creó la primera red de computadoras entre cuatro
centros de investigación que conforman históricamente los
primero cuatro hosts de Internet que fueron SRI (Stanford
1969 Atando nodos. Research Institute), UCLA (University of California in los
Angeles), UCSB (University of California in Santa Barbara)
y la Universidad de Utah. A esta red se le denominó Arpanet
(red (net) de arpa).

Alguien escribe Vinton Cerf es considerado la primera


1970 una palabra nueva: persona que acuña el término Internet.
Internet

El correo Ray Tomilinson, de la empresa contratada BBN, idea un


1971 electrónico abre programa de correo electrónico para enviar mensajes a través
sus puertas de la red.
- De repente, en las pantallas de todas las IBM 360 empieza
a aparecer un mensaje:”Im a creeper… catch me if you can”
¿El Primer Virus? (Soy una enredadera. ¡atrápame si puedes!). Robert
Thomas Morris es considerado el autor de este mítico virus
que da lugar lógicamente, al primer programa antivirus.
1972
- Al perfeccionar su programa de correo electrónico, Ray
Llega la arroba Tomlinson rescata el antiguo símbolo @ para separar el
nombre del destinatario del lugar donde se encuentra.

NORSAR (NOR-wegian Seismic AR-


ray), una agencia gubernamental noruega
de detección sísmica, fue la primera
1973 La conexión cruza institución europea que se conectó a la red
el océano de ARPANET. Poco después, lo hizo
también el University College de Londres.

11
John Walker descubre la forma de distribuir un juego en su
UNIVAC 1108 e inadvertidamente da origen al primer
Primer Troyano troyano de la historia llamado “Animal/Pervade”. Animal ya
que consistía en que el software debía adivinar el nombre de
1975 un animal en base a preguntas realizadas al usuario.

Microsoft se dedica a desarrollar,


Bill Gates funda fabricar y producir software y
Microsoft equipos electrónicos. A mediados de
los 80 domina el mercado de los
ordenadores personales con su
sistema operativo MS-DOS.
Steve Jobs, de 21 años y Steve
Wozniak, de 25, diseñan una
computadora más pequeña, más
1976 Crece una barata y más fácil de utilizar que
Manzana las ya existentes. Jobs la bautiza
con el nombre de “Apple
Computer”.

Primera La transmisión Control Protocol / Internet Protocol,


demostración abreviado TCP/IP, se caracteriza por un excelente
1977
del protocolo funcionamiento. Es el único conjunto de reglas para el envío
TCP/IP de datos que años más tarde aprobó ARPANET.
Trescientos noventa y tres empleados de ARPANET reciben
Y mañana será inesperadamente un correo de la compañía de ordenadores
1978
spam DEC invitándolos al lanzamiento de un nuevo producto. Se
trata del primer antecedente del más tarde denominado spam.
Tom truscott y Jim Ellis, estudiantes de la Universidad de
Duke, crean Usenet. Palabra formada con las primeras letras
Nace Usenet de Ussers Network; es decir, red de usuarios. Permite enviar
1979
y recibir mensajes (denominados artículos) a distintos grupos
de noticias, aportando y discutiendo sobre temas
determinados.

IBM presenta su PC. Un año


más tarde la revista Time la
1981 Llega la PC de colocará en el lugar del habitual
IBM “Hombre del Año”.

12
- El primer Mouse de uso doméstico es presentado por
Comienza la Mouse Systemas. Sirve par ala PC de IBM. Su invención
invasión original corresponde a Douglas Engelbart y data de 1967.
1982 de ratones
- Este servicio de videotexto mediante redes de teléfono es
Llega Minitel lanzado en Francia por PPt. Es considerado el servicio
online más exitoso hasta el arribo de la World Wide Web.
- En 1983 la parte civil se separó de la parte militar de la
ARPANET se Arpanet y nace lo que hoy se le conoce como Internet.
desmilitariza Hasta ese entonces ya eran más de 500 nodos conectados
a la red.

Los virus se hacen - Keneth Thompson, el creador de UNIX, demuestra


1983 públicos públicamente cómo desarrollar un virus informático.

- Seis años después de la primera demostración, los


protocolos TCP/IP son los únicos aprobados por
TCP/IP protocolo ARPANET. Internet pasa a ser “una serie de redes
único conectadas entre sí, especialmente las que utilizan el
protocolo TCP/IP”.
Aunque nace para compartir y suceder a la consola de juegos
La primera PC Atari, la Amiga 1000, creada por Commodore, se convierte
1985
Multimedia en la primera computadora personal “PC” multimedia de gran
éxito comercial.

Jarkko Oikarinen desarrolla el


“IRC” (Internet Realy Chat), un
1988 ¡Todos a Chatear! programa que permite charlar “en
vivo en Internet”

- Tim Berners-Lee, investigador del CERN (Organización


Europea para la Investigación Nuclear) en Suiza, desarrolló
un sistema de hipertexto, que permitía “navegar” entre
Arpanet le da el documentos por medio de hiperligas de texto e imágenes,
paso al Internet con sólo el clic de un ratón.
1989 comercial
- Un par de años después aparece el primer navegador
gráfico (browser) comercial de Internet, el mosaic.
Desarrollado por Marc Andreesen y un grupo de
estudiantes programadores en la NCSA localizado en la
Universidad de Illinois en Urbana Champaign.

Buscar y encontrar algo en Internet ya es un problema. La


1990 El primer universidad de McGill ofrece el buscador Archie. Al año
buscador siguiente llega Wais y Gopher. (Los tres sistemas son
anteriores a la www).

13
- Tim Berners-Lee mejora la
implementación del
hipertexto liberándolo al uso
El texto se vuelve público. Mediante el
hipertexto hipertexto el usuario puede
saltar de un texto a otro
relacionado.

- Vinton Cerf, también


Internet se conocido como el padre de
1991
presenta Internet, crea la Internet
en sociedad Society (ISOC) de la que será
presidente entre 1992 y 1995..

- Cuando el finlandés Linus


Torvalds era estudiante de
Llega Linux ingeniería de la Universidad
de Helsinki crea el nuevo
sistema operativo libre.

WWW - Nace lo que hoy conocemos como WWW (world wide


web).

- La distribución de las direcciones y la administración de


Comienza el las bases de datos constituyen una dificultad creciente.
1993 Control Para administrar la tarea, se crea la InterNIC (Internet
Network Information Center).

Mosaic, primer - Desplazando al Gopher, basado en textos, Mosaic


gran navegador consigue alcanzar gran popularidad: la www se convierte
gráfico en el acceso preferido a Internet.

- En una conferencia celebrada en la Universidad de los


Ahora se llama Ángeles, Al Gore acuña la expresión “autopista de la
autopista información” para referirse a lo que las computadoras
harán en el futuro. Sin embargo se queda corto.

- La firma de abogados Canter and Siegel aprovecha Usenet


para publicar un aviso de sus servicios legales. Inicia así
Primer spam el spam o correo basura: mensajes no solicitados,
1994
habitualmente publicitarios, enviados masivamente.
Como su mismo nombre indica, resultan muy molestos
para el consumidor.

Primer buscador - WebCrawler es creado para rastrear textos y no sólo


basado en textos títulos de páginas web. Con un mecanismo muy similar,
otro buscador denominado Lycos se convierte en el
primero en obtener éxito comercial.

14
Incrementa el - El número de países con conexión tuvo un incremento
número de países considerable, de 121 a 165 países.
con conexión
La compañía Netscape
Netscape, primer Communications, creado por Marc
navegador Andreessen, uno de los creadores de
comercial Mosaic, lanza el navegador Netscape.
1995
Dos estudiantes de ingeniería de la
Universidad de Stanford, Jerry Yang y
David Filo, casi sin querer, idean el
Yahoo !! buscador más exitoso de los primeros
tiempos de Internet: Yahoo (“Yet
Another Hierarchical Officious
Oracle”).
- La librería virtual Amazon
creada por Jeff Bezos, vende su
Amazon vende primer libro. El comercio
su primer libro electrónico ya tiene a uno de sus
grandes líderes.

- Microsoft adquiere el código


fuente de Mosaic y lanza su
El primer Internet navegador oficial del sistema
Explorer operativo Windows, en el que viene
incluido.

- En San José California, Pierre


Omidyar funda eBay con la
intención de completar una
Remates por la colección de caramelos. Advierte
red que puede utilizar el sitio para que
otras personas ofrezcan lo que ya
no usan.

- Se lanza Altavista, un poderoso


Llega Altavista
motor de búsqueda.

15
John Perry Barlow, poeta y antiguo
letrista del grupo musical Grateful
El ciberespacio se Dead, publica la Declaración de
independiza Independencia del Ciberespacio.

1996 Este primer servicio de e-mail basado


Hotmail en la web, más tarde pasará a
pertenecer a Microsoft.

Inician una 34 universidades de EE.UU. definen una red de alta


segunda velocidad, centrada en la comunicación académica que se
Internet. mantiene al margen de la Internet “comercial”.

La guerra de los Las potencias en conflicto son Explorer y Netscape.


navegadores
En su sitio llamado Robot Wisdom, Jorn Barrer decide
1997 agrupar y publicar diariamente las cosas más interesantes que
Bienvenido, blog encuentra en la red.
Larry y Sergey Brin fundan Google
Inc., la empresa creadora del mayor
motor de búsqueda de Internet, en
funciones desde apenas un par de
1998 Google años antes.

Abre sus puertas - El First Internet Bank of Indiana ofrece todos los
el primer banco servicios bancarios exclusivamente por la red.
virtual
- Cien mil ordenadores se ven atacados por el virus
Ataca Melissa llamado Melissa. Se colapsan los servicios de email y las
casillas de correo de enlaces a sitios pornográficos.

Napster se hace - Shawn Fanning, un estudiante recién ingresado en una


escuchar universidad de Boston, envía a 30 amigos un programa
creado por él mismo para compartir archivos musicales.

Messenger golpea - El programa de mensajería instantánea diseñado por


a la puerta Microsoft para sus sistemas Windows, comienza su
extensa carrera.
1999
- Una pequeña empresa de San Francisco, Pyra Labs,
Blogger lanza este sistema de publicación de Blogs. En el 2003
es adquirido por Google.

16
Jimbo Wales, con la ayuda de Larry Sanger, inician el
2000 Apocalipsis, no proyecto Wikipedia: una enciclopedia libre y políglota
basada en la colaboración.

Llegará a convertirse en la enciclopedia


Nace la más gigantesca de la historia.
2001
Wikipedia

- Se crea el dominio “.kids” para denominar a los sitios


El dominio de los seguros para los niños.
niños

- Apple Computer presenta


Apple iTunes Music Store, que
Bajar música ya permite bajar legalmente temas
es legal musicales pagando 0.99 dólares
por cada uno.

2003

- La idea, desarrollada por


Linden Lab, resulta muy exitosa:
decenas de miles de personas se
Una segunda vida mueven por su Second Life todos
para todos los días. Atraídos por el éxito de
Second Life, infinidad de empresas
establecen negocios y publicidad en
esta economía virtual. Algunos países incluso instalan
embajadas.
- Pensando en sus compañeros de
Harvard, el estudiante Mark
Facebook Zucherberg crea un sitio web de redes
muestra la cara sociales.

El nuevo servicio de e-mail de


2004 Tienes un Gmail Google ofrece una gran capacidad de
almacenamiento gratuito: 1 gigabyte.

Se crea el término Web 2.0 para definir el uso de la www que


La web se hace busca aumentar la creatividad, el intercambio de información
social y la colaboración entre usuarios.

17
- Se publica el Mozilla Firefox.
De esta manera se da origen a
¿La Segunda lo que algunos consideran la
Guerra? “Segunda Guerra de los
Navegadores” entre el recién
llegado, Internet Explorer y
otros como Ópera y Safari

- Digg es un sitio web


especializado en noticias sobre ciencia
y tecnología, creado por Kevin rose,
Se presenta Digg Jay Adilson y otros.

Chad Hurley, Steve Chen y Jawed


Karim fundan un sitio web que
Nos vemos en permite a los usuarios compartir
2005 YouTube videos digitales.

Mil cien - Las cifras del crecimiento de Internet no paran de sorprender.


2006 millones de A esta altura se especula con que para el año 2015 habrá 2 mil
usuarios millones de usuarios.

El Iphone Apple lanza su teléfono celular capaz


2007 de conectarse a Internet.

Fuente:www.ptolomeo.unam.mx:8080/xmlui/bitstream/handle/132.248.52.100/217/A4.pdf
?sequence=4

3.2. Acontecimientos Importantes en el Perú


El Perú no ha sido ajeno al cambio pues según INDECOPI a partir del 23 de julio del 2004
la Presidencia del Consejo de Ministros (PCM) a través de la ONGEI, dispone el uso
obligatorio de la Norma Técnica Peruana NTP-ISO/IEC 17799:2004 EDI Tecnología de la
Información: Código de buenas prácticas para la gestión de la seguridad de la información
en entidades del Sistema Nacional de Informática. Dicha norma fue actualizada el 25 de
agosto del 2007 con la Norma Técnica Peruana NTP - ISO/IEC 17799:2007 EDI.

Según La SGSI (2015) la NTP-ISO 17799 ofrece todas las recomendaciones necesarias para
poder gestionar un Sistema de Seguridad de la Información (SSI), al igual que la norma

18
internacional ISO 27001, ofreciendo los requisitos necesarios para que los responsables del
área en concreto puedan iniciar, implantar, mantener y mejorar la seguridad en las
organizaciones. La norma ISO/IEC 17799 persigue que se proporcione una base común con
la que poder llevar a cabo normas de seguridad dentro de las empresas y convertirse en una
práctica eficaz de gestión de la seguridad.

El especialista Max Lázaro, de la Oficina Nacional de Gobierno Electrónico e Informática


(ONGEI) señala que la NTP-ISO 17799 es neutral en cuanto a la tecnología. La norma
discute la necesidad de contar con Firewalls, pero no profundiza sobre los tipos de Firewalls
a aplicar y cómo se utilizan. En este sentido La Norma Técnica Peruana ISO-17799, fue
emitida para ser considerada en la implementación de estrategias y planes de seguridad de
la información de las entidades públicas (ESAN Universidad, 2016)

De acuerdo con la ONGEI, se entiende por política de seguridad al conjunto de requisitos


definidos por los responsables directos o indirectos de un sistema que indica en términos
generales qué está permitido y qué no lo está en el área de seguridad durante la operación
general de dicho sistema (ESAN Universidad, 2016)

Según el portal de la Universidad Esan (2016), el especialista Max Lázaro, de la Oficina


Nacional de Gobierno Electrónico e Informática (ONGEI) explica un ejemplo de
implementación con la siguiente secuencia:

Dominio de control: gestión de comunicaciones y operaciones

Objetivo de control: proteger la integridad del software y de la información.

Control: controles contra software malicioso.

Po lo tanto, tras un trabajo de consultoría se establecería:

Normativa de uso de software: definición y publicitación en la Intranet.

Filtrado de contenidos: X - Content Filtering

Antivirus de correo: Y - Antivirus

Antivirus personal: Z - Antivirus

A continuación, se describirán conceptos relacionados a la seguridad informática, las bases


principales, sus componentes, términos usados, definiciones de virus, criptografía y los

19
diferentes mecanismos de prevención, corrección en seguridad informática, también se
abordará temas relacionados a los diferentes mecanismos de autenticación de usuarios.

3.3. Seguridad Informática


Según la RAE ( 2014), la Real Academia Española establece que la informática es el
conjunto de conocimientos científicos y técnicas que hacen posible el tratamiento automático
de la información por medio de ordenadores.

Según Aguilera (2011), se puede definir a la seguridad informática como la disciplina


encargada de plantear y diseñar las normas, procedimientos, métodos y técnicas con el fin
de obtener que un sistema de información sea seguro, confiable y sobre todo que tenga
disponibilidad.

Por otro lado, Aguirre (2006), también afirma que la seguridad informática puede definirse
como el conjunto de métodos y de varias herramientas para proteger el principal activo de
una organización como lo es la información o los sistemas ante una eventual amenaza que
se pueda suscitar.

Por consiguiente, de acuerdo a Romero (2018) señala la informática está siendo inundada
por toda la información posible, pero la información por sí sola sigue siendo un universo
más grande y en muchos casos más compleja de manejar, ya que los procesos en muchos
casos no son tan visibles para los involucrados. La principal tarea de la seguridad informática
es la de minimizar los riesgos, en este caso provienen de muchas partes, puede ser de la
entrada de datos, del medio que transporta la información, del hardware que es usado para
transmitir y recibir, los mismos usuarios y hasta por los mismos protocolos que se están
implementando, pero siempre la tarea principal es minimizar los riesgos para obtener mejor
y mayor seguridad.

3.4. Contemplaciones de la Seguridad Informática


Según Romero (2018) La seguridad Informática se puede clasificar en tres partes como son
los siguientes:

• Los usuarios
• La información, y
• La infraestructura

20
3.4.1. Los Usuarios
Son considerados como el eslabón más débil de la cadena, ya que a las personas es imposible
de controlar, un usuario puede un día cometer un error y olvidar algo o tener un accidente y
este suceso puede echar a perder el trabajo de mucho tiempo, en muchos casos el sistema y
la información deben de protegerse del mismo usuario. (Romero,2018)

3.4.2. La Información
La información se considera como el oro de la seguridad informática ya que es lo que se
desea proteger y lo que tiene que estar a salvo, en otras palabras, se le dice que es el principal
activo. (Romero,2018)

3.4.3. La Infraestructura
Por último, está la infraestructura esté puede ser uno de los medios más controlados, pero
eso no implica que sea el que corre menos riesgos, siempre dependerá de los procesos que
se manejan. Se deben de considerar problemas complejos, como los de un acceso no
permitido, robo de identidad, hasta los daños más comunes, por ejemplo, robo del equipo,
inundaciones, incendios o cualquier otro desastre natural que puede tener el material físico
del sistema de la organización. (Romero,2018)

3.5. Los Virus Informáticos


Según la RAE (2014) es un “Programa introducido subrepticiamente en la memoria de una
computadora que, al activarse, afecta a su funcionamiento destruyendo total o parcialmente
la información almacenada”.

Por otro lado, según Prieto (2006) “Un virus informático es programa que se copia
automáticamente (sin conocimiento ni permiso del usuario), ya sea por medios de
almacenamiento o por Internet, y que tiene por objeto alterar el normal funcionamiento del
ordenador, que puede ir desde una simple broma; acceso a tus datos confidenciales; uso de
tu ordenador como una maquina zombie; borrado de los datos; etc.”.

Según Romero (2018) Las computadoras solo entienden código binario como ceros y unos,
en el mundo de las computadoras y de la informática existen muchos conceptos como el de
programas, videojuegos, sistemas operativos y cualquier clase de software.

Es importante resaltar la definición de un software para mayor comprensión del virus en la


informática:

21
Según Sánchez (2013) Se conoce como software al equipamiento lógico o soporte lógico de
un sistema informático; comprende el conjunto de los componentes lógicos necesarios que
hacen posible la realización de tareas específicas, en contraposición a los componentes
físicos, que son llamados hardware. También indica que los profesionales que crean el
software se denominan PROGRAMADORES y utilizan lenguajes específicos de
programación. Estos lenguajes son similares a idiomas que permitan entenderse con el
ordenador y escribir instrucciones que generan nuevos programas.

Por otro lado, según Romero (2018) El software es uno de los conceptos más abstractos, y
se lo define como todo lo intangible de la computadora, son instrucciones que el ordenador
espera que se realicen, las cuales pueden ser instrucciones complejas o instrucciones
sencillas.

Además, Según Beynon-Davies (2015), el término software o programa es utilizado para


describir una secuencia de varias instrucciones que es leído por un computador, los cuales
son escritos en un determinado lenguaje de programación que pueden ser clasificados de la
siguiente manera: Lenguaje de máquina, lenguaje ensamblador y lenguajes de alto nivel

Por lo tanto, tomando en cuenta lo anterior, concluimos que un virus informático es un


programa que tiene como objetivo dañar o alterar el funcionamiento de una computadora.

Según Vieites (2013), se define al virus informático, como un programa desarrollado en un


determinado lenguaje de programación (C++, C, ensamblador, etc.) con el objetivo de
infectar uno o varios sistemas informáticos, utilizando varios mecanismos de propagación o
autoreplicación, el cual trata de reproducirse de forma acelerada para extender su alcance.

Un virus informático puede hacer muchas cosas, por ejemplo, eliminar archivos, evitar
accesos a las computadoras, robo de información, bloqueo de funciones de un sistema
operativo o de programas dentro de una computadora. También Vieites (2013), indica que
existen varios tipos de virus que se los puede definir de la siguiente manera: Virus de sector
de arranque (BOOT), virus de archivos ejecutables, virus de macros, virus de lenguajes de
Script, Malware, Gusanos, troyanos, spyware, keyloggers, adwares, dialers, backdoors,
rootkits, bacterias y bombas de tiempo.

22
Figura 1: Tipos de Virus

Fuente: https://portal.andina.pe/edpespeciales/2017/ciberseguridad/index.html

Según Vieites (2013) la mayoría son programados para causar daños relacionados con la red
y tener la capacidad de autopropagación, esto quiere decir que se multiplica el mismo
muchas veces y se posiciona en partes automatizadas del sistema operativo infectado.
También existe el denominado software malicioso que no es considerado como virus como
tal, pero que también genera daños a la computadora, algo muy importante que se debe tener
claro es que, el software malicioso debe de tener ciertas características para ser considerados
como virus informático, una de las características elementales es que debe de poder
reproducirse y generar copias, ya que es la forma en la que se propagan teniendo un
comportamiento biológico similar al de los virus que se pueden encontrar en la naturaleza y
atacan a los animales y personas.

23
3.4. La Autenticación
Según Romero (2018) se puede definir como un proceso en el que se busca confirmar algo
como verdadero, no se busca verificar un usuario, ya que la autenticación no siempre está
relacionada con estos, en muchos casos se quiere saber si un cambio o un dato es correcto,
no se debe cometer el error en pensar que solamente las personas necesitan este proceso, este
puede ser para cualquiera, un sistema, un dispositivo o una persona.

De igual manera Sánchez (2011) explica que la autenticación consiste en un sistema para
certificar que el usuario es quien dice ser; lo más común es utilizar una combinación de
identificador de usuario único y contraseña.

Para mayor comprensión Romero (2018) nos ejemplifica la autenticación de la siguiente


manera, comparándolo al proceso de ingreso a un país y solicitando un documento como la
visa o pasaporte, como un método de autenticación, en otro caso es cuando se asigna un
número de cuenta o ID de identificación en el trabajo para acceder a ciertas áreas o también
para llevar un registro de los movimientos y en caso de ser necesario poder validar esos
movimientos

Según la IBM, la autenticación es el proceso de validar la identidad de un usuario mediante


un ID de usuario y una contraseña. Puede autenticar a los usuarios utilizando los métodos
siguientes:

✓ Puede utilizar el servidor de aplicaciones y un servidor LDAP (Lightweight


Directory Access Protocol), con o sin el Gestor de miembros virtuales. LDAP es un
conjunto de protocolos para acceder a los directorios de información.
✓ Puede utilizar un servidor de cliente Web para la autenticación nativa.

3.4.1. La Autenticación LDAP


Según la IBM, señala que este sistema utiliza la seguridad del servidor de aplicaciones con
un mecanismo de autenticación externo y Además, el sistema se ha creado con la tecnología
Java™ 2 Platform, Enterprise Edition (J2EE). Esta tecnología requiere un servidor de
aplicaciones comercial. El sistema utiliza WebSphere Application Server o WebLogic
Server. De forma predeterminada, la seguridad de WebSphere Application Server está
habilitada.

A continuación, se presenta en la Figura 1, la descripción del proceso de autenticación LDAP

24
Figura 2: La descripción el proceso de autenticación de usuarios utilizando un
repositorio LDAP.

Fuente: https://sysone.gitbooks.io/isb/content/security/intro.html

Según IBM, además, se utiliza un servidor de cliente Web para autenticación nativa, cuando
un usuario proporciona un ID de inicio de sesión y contraseña, las funciones de seguridad
validan si el ID de usuario y la contraseña están en la base de datos. Al usuario se le concede
acceso a aplicaciones, acciones y datos en función de los grupos de seguridad con los que
está asociado su ID de usuario.

Un ejemplo notable para mayor entendimiento nos dice Romero (2018) se basa en algo de
propiedad del usuario, por ejemplo, la tarjeta de crédito, pasaportes o también son los Tokens
que generan números aleatorios o palabras claves. También existen las tarjetas conocidas
como inteligentes o que contienen cierta información, se pueden parecer a una tarjeta de
crédito, pero el comportamiento o información puede variar. Se tiene también los tipos de
autenticación basados en una característica física, cuando se habla de características físicas
se puede mencionar a: La voz, las huellas dactilares, el ojo y la escritura.

25
3.5. Mecanismos Preventivos en Seguridad Informática
Según el diario Reporte Digital (2019) Las empresas se encuentran atravesando un periodo
de cambios que las empujan a informatizar todos sus sistemas. Ante este problema, las
compañías han comenzado a invertir en seguridad. Según un estudio realizado por Gartner,
las empresas a nivel mundial invertirán un aproximado de 96.296 millones de dólares en
ciberseguridad. Esto quiere decir que en 2018 se invirtió un 8 % más que en 2017. La
tendencia es clara, firme y preocupante.

Según MIFSUD (2012) Lo primero que hemos de hacer es un análisis de las posibles
amenazas que puede sufrir el sistema informático, una estimación de las pérdidas que esas
amenazas podrían suponer y un estudio de las probabilidades de que ocurran. A partir de
este análisis habrá que diseñar una política de seguridad en la que se establezcan las
responsabilidades y reglas a seguir para evitar esas amenazas o minimizar los efectos si se
llegan a producir. Para esto es necesario información sobre nuestras políticas y normas bases
sobre la seguridad informática en nuestro país a continuación se presenta en la Figura 2 un
esquema sobre el apoyo y punto de partida para la prevención:

Figura 3: Esquema de Punto de partida y Apoyo para Gestionar un mecanismo de


Seguridad
Fuente: http://recursostic.educacion.es/observatorio/web/ca/software/software-
general/1040-introduccion-a-la-seguridad-informatica?showall=1

Según Romero (2018) entre los elementos que se pueden aplicar en los mecanismos
preventivos se puede mencionar a:

• El respaldo de información: Para Seleccionar los mecanismos de respaldo se tiene


que considerar los siguientes factores: formatos de archivo, por ejemplo, MP3,
archivos de texto, bases de datos, las imágenes y vídeos.

26
• Horario de respaldo: Otro reto es a qué hora se puede hacer el respaldo, es común
seleccionar las horas de menos tráfico.
• Control de los medios: El tener acceso a respaldos es algo de alto riesgo, se puede
robar la información, manipular, perder, así que, el respaldo es una solución, pero
también es otro problema que se debe resolver.
• La comprensión de la información: No toda la información se puede comprimir, pero
existe alguna que, sí lo necesita, así que se deben hacer las valoraciones respectivas.

Por otro lado, el Centre Seguretat TIC de la Comunitat Valenciana Nombra 12 medidas
preventivas, lamedida número 1 es la presencia de un antivirus en la computadora, numero
2 contar con un contrafuegos o Firewall, un software destinado a garantizar la seguridad en
sus comunicaciones vía Internet al bloquear las entradas sin autorización a su ordenador y
restringir la salida de información, número 3 Actualizar frecuentemente las aplicaciones con
los “parches de seguridad”, número 4 contar con un software, número 5 tener precaución
con correos electrónicos no esperados, verificar con el remitente para asegurarse, número 6
tener prudencia con los archivos descargados por internet, número 7 disponga de un usuario
Administrador y uno estándar (ambos con contraseña) y utilice un usuario sin permisos de
administrador para las tareas habituales de navegación y edición, número 8 Tenga
contraseñas seguras, número 9 realice una navegación segura, número 10 realice de forma
periódica copias de seguridad de su información más valiosa, número 11 infórmese de la
veracidad de los mensajes recibidos y ayude a los demás colaborando en la detención de su
distribución y por último medida número 12 manténgase Informado.

Por lo tanto, considerando lo antes dicho, el mantenimiento y respaldo de la información es


mecanismo preventivo y la Actualización de sistemas, antivirus, firewall, navegación por
internet, contraseñas y accesos remotos nos ayudarán a no sufrir ataques.

3.6. Mecanismos Correctivos en Seguridad Informática


Según TAMINCHI (2014) Actúan luego de ocurrido el hecho y su función es corregir la
consecuencia. Utilizando un dispositivo biométrico los costos de administración son más
pequeños, se realiza el mantenimiento del lector, y una persona se encarga de mantener la
base de datos actualizada. Sumado a esto, las características biométricas de una persona son
intransferibles

27
Por otro lado, Romero (2018) expone que otra característica de los mecanismos correctivos
es que el tiempo es limitado, así que el tiempo se vuelve algo muy apreciado en estos casos,
pero también es muy escaso. Dentro de los mecanismos de corrección se tienen diferentes
pasos de ejecución para enfrentar este problema serio en los que se puede mencionar:

• Catalogación y asignación de problemas


• Análisis del problema
• Análisis de la solución
• La documentación

3.7. Mecanismos Detectivos en Seguridad Informática


Según Romero (2018) Los mecanismos de detección parten de que se tiene la idea de que un
atacante es capaz de violar la seguridad y puede haber realizado una intrusión total o parcial
a un determinado recurso. Siempre que se trabaja en los mecanismos de detección se tiene
la premisa en mente, se debe de trabajar como si lo que se fuera a encontrar es lo peor y se
debe estar preparados para la peor de las situaciones posibles. Estos mecanismos de
detección tienen dos objetivos:

• Poder detectar el punto exacto del ataque para poder llegar a una solución y
recuperarse del mismo, pero no siempre es posible esto, depende de los problemas
que se afrontan.
• Detectar la actividad que se considera sospechosa y conocer lo sucedido, ya que si
no se encuentra donde fue el ataque, lo mínimo que se necesita es saber qué fue lo
que sucedió y partir de esa parte.

Así mismo el autor explica los mecanismos de detección de intrusión tienen unos pasos que
se ejecutan como manera básica de detección que se menciona a continuación:

3.7.1. Revisión de Patrones de Acceso


En este caso lo que se hace es ver los patrones de acceso, esto quiere decir que se va a analizar
los accesos y tratar de encontrar si se está manejando un patrón, por ejemplo, acceso a
determinadas horas o el mismo usuario haciendo accesos a la misma sección o módulo. Los
patrones siempre van a indicar algo, pueden ser muchos o Las mayorías falsas alarmas, pero
es seguro, que si se hizo un ataque se puede encontrar patrones que llamen la atención para
después encontrar el problema (Romero, 2018).

28
3.7.2. Revisión de Transacción
En la mayoría de los casos se obtienen ciertos archivos o se intenta descargar o subir algo de
información, así que la transacción es un método muy rápido para lograr esto, la mayoría de
los intentos van a ir acompañados de al menos una transacción, esto no es una garantía, pero
es algo muy probable, siempre durante la detección si se logra encontrar una transacción es
como encontrar el objetivo del atacante lo cual es muy valioso (Romero, 2018).

3.7.3. Bloqueo Automático


Algunas aplicaciones no tienen un sistema de bloqueo, así que, aunque en algunos casos se
encuentre el problema y ya se tenga las razones, Si no se cuenta con un mecanismo de
bloqueo de emergencia, el atacante podrá seguir haciendo lo que quería. Algunos de los
mecanismos de bloqueo comunes son los de paro absoluto, es decir el bloqueo del sistema
completo, es algo un poco drástico, pero en muchas ocasiones no se quiere otro riesgo y se
considera la mejor opción a la mano (Romero, 2018).

3.8. Encriptación en Seguridad Informática


Según Nextvision (2017) La encriptación (traducción de la palabra en inglés encryption),
también conocida como criptografía, es la acción de proteger información y documentos con
técnicas que implican que sólo la persona que posea la clave para descifrar el código pueda
leerla. A pesar de ser un aspecto inherentemente a la informática, el cifrado de información
(y la necesidad de proteger data de ojos extraños) se remonta a los inicios de la escritura., la
Figura 2 muestra un ejemplo de encriptación.

3.8.1. Métodos de Encriptación


Según Romero (2018) algunos de los métodos de encriptación disponibles actualmente y
que son bastantes conocidos se puede mencionar a:

• Encriptación simétrica
• Encriptación asimétrica de clave pública y privada
• Encriptación WPA
• Encriptación WEP
• Firma digital

a) Encriptación simétrica
Según (Santos, 2014) este tipo de criptografía está basado en métodos criptográficos
que usan una misma clave para cifrar y descifrar el mensaje, estos extremos cuando

29
establecen la comunicación deben establecer un acuerdo sobre la clave que tienen
que usar, para posteriormente los dos tener acceso a la misma clave, en donde el
remitente cifra el contenido de la misma y el destinatario la descifra con el mismo
mecanismo. Se puede indicar varios ejemplos de cifrado simétrico.

• Algoritmo de cifrado DES, usa claves basados en 56 bits.


• Algoritmos de cifrado 3DES, Blowfish, e IDEA, usan claves de 128 bits.
• Algoritmos de cifrado RC5 y AES.

A continuación, se presenta en la figura 3 un ejemplo de encriptación asimétrica

Figura 4: Ejemplo de Encriptación Simétrica


Fuente: https://www.nextvision.com/2017/08/24/todo-sobre-encriptacion-de-datos-
paraempresas/

b) Encriptación asimétrica
También (Santos, 2014) indica que este tipo de encriptación se basa en que si el emisor
cifra la información el receptor lo puede descifrar o viceversa, en este caso cada usuario
del sistema debe poseer una pareja de claves y se tiene dos tipos.

• Clave privada: Custodiada por el propietario, por lo tanto, solo él tiene acceso a
ella sin darla a conocer a nadie.
• Clave pública: conocida por uno o todos los usuarios

Como ejemplo de este tipo de algoritmos usados por este tipo de cifrado se tiene a
MD5 y SHA.

A continuación, se presenta en la figura 3 un ejemplo de encriptación asimétrica

30
Figura 5: Ejemplo de Encriptación Asimetrica

Fuente: https://www.nextvision.com/2017/08/24/todo-sobre-encriptacion-de-datos-
paraempresas/
c) Firma digital
Según ADOBE (2019) La firma digital es el tipo de firma electrónica más avanzado y
seguro, que te permite cumplir con los requisitos legales y normativos más exigentes al
ofrecerte los más altos niveles de seguridad sobre la identidad de cada firmante y la
autenticidad de los documentos que firman. Además, expone que las firmas digitales
utilizan un ID digital basado en certificado que emite una autoridad de certificación (CA)
acreditada o un proveedor de servicios de confianza (TSP). De este modo, cuando firmas
un documento de forma digital, tu identidad acaba vinculada a ti de forma exclusiva, la
firma se asocia al documento mediante cifrado y todo puede verificarse con la tecnología
subyacente que conocemos como “infraestructura de clave pública” (PKI).

d) Encriptación WEP y WPA


La encriptación WEP y WPA tienen algo en común, las dos son aplicadas a las señales
inalámbricas y están basados en protocolos de conexión Wifi la primera y la segunda se
basa en servidores de autentificación.

El proceso de encriptación WEP, genera una llave de 64 o 128 bits a partir de la


contraseña introducida para la seguridad de la red. Al tamaño de la llave se le debe restar
24 bits del vector de inicialización, razón por la cual se utiliza contraseñas de 40 o 104
bits, o lo que es igual, 5 o 13 caracteres ASCII, dependiendo de la longitud con que se
trabaje (Vulnerabilidad de protocolos de encriptación WEP, WPA y WPA2 en redes
inalámbricas con plataforma Linux, 2015)

31
WEP tiene muchas debilidades asociadas, entre las cuales se destacan (Vulnerabilidad
de protocolos de encriptación WEP, WPA y WPA2 en redes inalámbricas con plataforma
Linux, 2015) :

• WEP no impide la falsificación de paquetes.


• WEP no previene los ataques de repetición. Un atacante puede simplemente
grabar y reproducir los paquetes como se desee y serán aceptados como
legítimos.
• WEP utiliza incorrectamente RC4. Las claves utilizadas son muy débiles, y
pueden ser violentadas usando software libre.
• WEP reutiliza vectores de inicialización. Diversos métodos disponibles pueden
descifrar los datos sin conocer la clave de cifrado.
• WEP permite a un atacante modificar imperceptiblemente un mensaje sin
conocer la clave de cifrado.

El proceso de encriptación de WPA en la primera fase se genera una cadena de caracteres


con el password, la dirección MAC del emisor, y el vector de chequeo de inicialización. La
dirección MAC es incorporada en la cadena de caracteres del emisor del mensaje,
permitiendo que no se pueda descifrar por extraños. En la segunda fase se añade la llave
dinámica seleccionada combinándose con el número de paquetes que se envía
(Vulnerabilidad de protocolos de encriptación WEP, WPA y WPA2 en redes inalámbricas
con plataforma Linux, 2015)

A diferencia de WEP, WPA utiliza en la cabecera de la trama 48 bits para cada paquete
transmitido, lo que le permite ser menos vulnerable que su antecesor. Las claves WPA
pueden ser encontradas haciendo un proceso de autentificación de un cliente a una red
(handshake); para ello se puede usar búsquedas por fuerza bruta, siendo esta una debilidad
de la encriptación WPA, la cual puede ser subsanada utilizando claves más elaboradas
(Vulnerabilidad de protocolos de encriptación WEP, WPA y WPA2 en redes inalámbricas
con plataforma Linux, 2015).

IV. CONCLUSION
De acuerdo a lo expuesto en el trabajo de investigación, para implantar una adecuada gestión
de seguridad informática, el primer paso es la concientización e información de fundamentos
básicos del tema y obtener el apoyo y soporte de la organización en conjunto, haciéndolos

32
participes de lo que significa mantener adecuadamente protegida la información de la
empresa o individual.

Ha quedado demostrado lo importante que es la protección de la información, y la


contribución de las políticas, normas, estándares y procedimientos de seguridad, soportados
por la tecnología de información de la institución. Además, recalcar que es necesario
mantener un estado de alerta y actualización permanente, debido a la constante amenaza en
que se encuentran los sistemas, la seguridad es un proceso continuo que exige aprender sobre
las propias experiencias.

V. RECOMENDACIONES
• Actualice regularmente su sistema operativo y el software instalado en su equipo,
poniendo especial atención a las actualizaciones de su navegador web. Estar al día
con las actualizaciones, así como aplicar los parches de seguridad recomendados por
los fabricantes, le ayudará a prevenir la posible intrusión de hackers y la aparición de
nuevos virus.
• Instale un Antivirus y actualícelo con frecuencia. Analice con su antivirus todos los
dispositivos de almacenamiento de datos que utilice y todos los archivos nuevos,
especialmente aquellos archivos descargados de internet.
• Instale un Firewall o Cortafuegos con el fin de restringir accesos no autorizados de
Internet.
• Utilice contraseñas seguras, es decir, aquellas compuestas por ocho caracteres, como
mínimo, y que combinen letras, números y símbolos. Es conveniente además, que
modifique sus contraseñas con frecuencia. En especial, le recomendamos que cambie
la clave de su cuenta de correo si accede con frecuencia desde equipos públicos.
• Navegue por páginas web seguras y de confianza. Para diferenciarlas identifique si
dichas páginas tienen algún sello o certificado que garanticen su calidad y fiabilidad.
Extreme la precaución si va a realizar compras online o va a facilitar información
confidencial a través de internet
• Ponga especial atención en el tratamiento de su correo electrónico, ya que es una de
las herramientas más utilizadas para llevar a cabo estafas, introducir virus, etc.
• No abra mensajes de correo de remitentes desconocidos.
• Desconfíe de aquellos e-mails en los que entidades bancarias, compañías de subastas
o sitios de venta online, le solicitan contraseñas, información confidencial, etc.

33
• No propague aquellos mensajes de correo con contenido dudoso y que le piden ser
reenviados a todos sus contactos. Este tipo de mensajes, conocidos como hoaxes,
pretenden avisar de la aparición de nuevos virus, transmitir leyendas urbanas o
mensajes solidarios, difundir noticias impactantes, etc.
• En general, es fundamental estar al día de la aparición de nuevas técnicas que
amenazan la seguridad de su equipo informático, para tratar de evitarlas o de aplicar
la solución más efectiva posible.

VI. REFERENCIAS BIBLIOGRÁFICAS


ADOBE DOCUMENT CLOUD. 2019. ¿Qué son las Firmas digitales? [En línea]
ADOBE, 2019. [Citado el: 4 de Noviembre de 2019.] Disponible en:
https://acrobat.adobe.com/la/es/sign/capabilities/digital-signatures-faq.html.
AGUILERA, P. 2011. Redes Seguras (Seguridad Informática). Madrid : Editex, 2011.
ISBN: 9788490031124.
AGUIRRE, David. 2014. Diseño de un Sistema de Gestión de Seguridad de Información
para Servicios Postlaes del Perú S.A. [Titulación de Ingeniero Informático] Lima :
Pontificia Universidad Católica del Perú, 2014. Disponible en:
http://mendillo.info/seguridad/tesis/Aguirre.pdf.
AGUIRRE, J. R. 2006. Libro electrónico de Seguridad Informática y Criptología.
Madrid : Universidad Politécnica de Madrid, 2006. ISBN: 84-86451-69-8.
BEYNON-DAVIES, P. 2015. Sistemas de Información: Introducción a la informática en
las Organizaciones. Barcelona : Editorial Reverté, 2015. ISBN: 978-84-291-4397-3.
Centre Seguretat TIC de la Comunitat Valenciana. 12 MEDIDAS BÁSICAS PARA
LA SEGURIDAD INFORMÁTICA. [En línea] Generalitat Valenciana. [Citado el: 4 de
Noviembre de 2019.] Disponible en:
https://www.csirtcv.gva.es/sites/all/files/downloads/12%20medidas%20b%C3%A1sicas%
20para%20la%20seguridad%20Inform%C3%A1tica.pdf.
DOS REIS, Jenny. 2018. Diseño e Implantación de una Plataforma Segurida para
Gestionar los Procesos de Distribución y Ventas en una Empresa de Consumo Masivo a
Través de Dispositivos Móviles. [Especialización en Comunicaciones y Redes de
Comunicación de Datos] Caracas : Universidad Central de Venezuela, 2018. Disponible
en: http://mendillo.info/seguridad/tesis/Dos%20Reis.pdf.
ESAN Universidad. 2016. Norma Técnica Peruana: Políticas y Procedimientos en
Seguridad de Información. [Conexión Esan] Lima : Universidad Esan, 2016. Dsiponible
en: https://www.esan.edu.pe/apuntes-empresariales/2016/04/norma-tecnica-peruana-
politicas-procedimientos-seguridad-informacion/.
HERNÁNDEZ, Leticia. 2014. Buenas Prácticas para la Implementación de la Seguridad
en un Centro de Cómputo. [Titulo en Ingenieria de Sistemas] México D.F. : Universidad

34
Nacional Autónoma de México, 2014. Disponible en: www.ptolomeo.unam.mx › xmlui ›
bitstream › handle › Tesis.
IBM Knowledge Center. Autenticación de Usuarios. [En línea] IBM Knowledge Center.
[Citado el: 27 de Octubre de 2019.] Disponible en:
https://www.ibm.com/support/knowledgecenter/es/SSLKT6_7.6.0/com.ibm.mbs.doc/secur
group/c_authentication_users.html.
Indecopi, REPOSITORIO. 2004. Instituto Nacional de Defensa de la Competencia y de
la Protección de la Propiedad Intelectual. [En línea] 26 de Julio de 2004. [Citado el: 27 de
Octubre de 2019.] http://repositorio.indecopi.gob.pe/handle/11724/3063.
MIFSUD, Elvira. 2012. Gobierno de España: Ministerio de Educación, Cultura y Deporte.
Monográfico: Introducción a la Seguridad Informática. [En línea] OBSERVATORIO
TECNOLÓGICO, 26 de Marzo de 2012. [Citado el: 4 de Noviembre de 2019.] Disponible
en: http://recursostic.educacion.es/observatorio/web/ca/software/software-general/1040-
introduccion-a-la-seguridad-informatica?showall=1. NIPO: 8020-10-289-9.
NEXTVISION. 2017. Todo sobre encriptación de datos para empresas. [En línea]
Nextvision: Ciberseguridad Inteligente, 24 de Agosto de 2017. [Citado el: 4 de Noviembre
de 2019.] Disponible en: https://www.nextvision.com/2017/08/24/todo-sobre-encriptacion-
de-datos-para-empresas/.
PEÑA, Daniela. 2016. Diseño e Implementación de una Red Privada Virtual (VPN-SSL)
utilizando el Método de Autenticación LDAP en una Empresa Privada. [Especialización en
Comunicaciones y Redes de Comunicación de Datos] Caracas : Universidad Central de
Venezuela, 2016. Disponible en: http://mendillo.info/seguridad/tesis/Pe%C3%B1a.pdf.
PRIETO, Víctor y PAN, Ramón. 2006. Virus Informáticos. [Máster en Informática]
Coruña : Universidad de Coruña, 2006. Disponible en:
http://sabia.tic.udc.es/docencia/ssi/old/2006-2007/docs/trabajos/08%20-
%20Virus%20Informaticos.pdf.
RAE. 2014. Real Academia Española. [En línea] Asociación de Academias de la Lengua
Española, 2014. [Citado el: 27 de Octubre de 2019.] https://dle.rae.es/?id=buVODur.
—. 2014. Real Academia Española. [En línea] Asociación de Academias de la Lengua
Española , Octubre de 2014. [Citado el: 27 de Octubre de 2019.]
https://dle.rae.es/?id=buVODur.
REPORTE DIGITAL. 2019. Seguridad informática: la importancia de la protección de la
información en el mundo actual. [ed.] Equipo Editorial. ReporteDigital. Seguridad, 9 de
Mayo de 2019, Disponible en: https://reportedigital.com/seguridad/ciberseguridad/.
ROMERO, Martha. 2018. Introducción a la Seguridad Informática y el Análisis de
Vulnerabilidades. Alicante : ÁREA DE INNOVACIÓN Y DESARROLLO, S.L, 2018.
978-84-949306-1-4.
SÁNCHEZ, Jordi. 2010. Sistemas de Autenticación y Autorización en Internet. [Máster
en Interacción Persona Ordenador] Lérida : Universidad de Lérida, 2010. Disponible en:
https://jordisan.net/proyectos/Autent_y_auth-J_Sanchez.pdf.

35
SÁNCHEZ, Jorge. 2013. Software 1. Sistema Operativo Software de Aplicación.
[Proyectos Circulos] s.l. : Red Circulos, 2013. Disponible en:
https://proyectocirculos.files.wordpress.com/2013/11/software.pdf.
SGSI. 2015. NTP-ISO/IEC 17799: Norma Técnica Peruana. [Blog especializado en
Sistemas de Gestión de la Información] s.l. : Sistemas de Gestión de Seguridad de la
Información, 2015. Disponible en: https://www.pmg-ssi.com/2015/03/ntp-isoiec-17799-
norma-tecnica-peruana/.
TAMINCHI, José. 2014. Seguridad Informática. [Titulación para Ingeniero de Sistemas e
Informático] Iquitos : Universidad Nacional de la Amazonía Peruana, 2014. Disponible en:
http://repositorio.unapiquitos.edu.pe/bitstream/handle/UNAP/4635/Jose_Tesis_Titulo_201
4.pdf?sequence=1&isAllowed=y.
VIEITES, Á. G. 2013. Auditoría de Seguridad Informática. Bogotá : Ediciones de la U.,
2013. ISBN: 9788492650743.
VILLENA, Moises. 2006. Sistema de Gestión de Seguridad de Información para una
Institución Financiera. [Título de Ingeniero Informático] Lima : Pontificia Universidad
Católica del Perú, 2006. Disponible en: http://mendillo.info/seguridad/tesis/Villena.pdf.
Vulnerabilidad de protocolos de encriptación WEP, WPA y WPA2 en redes inalámbricas
con plataforma Linux. MENDEZ, Wilmer, MOSQUERA, Darin y RIVAS, Edwin.
2015. Extra 1, Colombia : Revista Tecnura, 2015, Vol. 19. ISSN: 0123-921X.
ZAMBRANO, Ronald. 2011. Elementos de Seguridad e-business en la banca nacional
para prevenir el fraude en medios de pagos electrónicos. [Especialización en Gerencia y
Tecnología de las telecomunicaciones] Caracas : Universidad Metropolitana, 2011.
Disponible en: http://mendillo.info/seguridad/tesis/Zambrano.pdf.

36

También podría gustarte