LA GESTIÓN DE

LOS RIESGOS
Aplicación de las medidas de salvaguarda con el
objetivo de reducirlos al nivel deseado.

VULNERABILIDADES
Son los puntos más débiles que, al ser explotados por
amenazas, afectan la confidencialidad, disponibilidad e
integridad de la información de un individuo o empresa.

Partes del Material tomado de Daniel Gómez CAS-Chile

 TIPOS DE
AMENAZAS

 Físicas
 Naturales
 De Hardware
 De Software
 De Almacenamiento
 De Conexión
 Humanas
 TIPOS DE
AMENAZAS
 TIPOS DE
AMENAZAS
 TIPOS DE
AMENAZAS
 TIPOS DE
AMENAZAS
 TIPOS DE
AMENAZAS
 TIPOS DE
AMENAZAS
 CÓDIGOS MALICIOSOS
Los códigos maliciosos constituyen, en la actualidad, una de
las amenazas informáticas más propagadas y una de las
que mayor pérdida económica y de tiempo proyecta en
ambientes hogareños y corporativos. Son programas que
provocan algún daño intencional en los sistemas
informáticos.
 Al respecto, un ejemplo práctico, se da al mencionar genéricamente como “virus” a
cualquier programa dañino cuando técnicamente no lo es y en realidad, la palabra
adecuada para llamarlos es malware, o según su traducción, código malicioso.

 La mayoría de estas amenazas informáticas se encuentran representadas por

troyanos, spyware/adware y gusanos.

 Los virus informáticos se caracterizan por su capacidad de infectar a otros

programas, por lo general, inyectando su propio código malicioso dentro del código
original del programa huésped.
 CÓDIGOS MALICIOSOS

 A diferencia de los virus, los spyware/adware son programas

cuyo objetivo radica principalmente en el intento de recolectar
información de los usuarios acerca de sus hábitos de
navegación, generalmente sin el consentimiento de los
usuarios.
 Los gusanos informáticos, los spyware/adware y los troyanos
son mucho más difundidos que el virus propiamente dichos.

 Los troyanos fundan sus características principalmente en el

engaño: aparentando ser un programa benigno, útil e inofensivo
cuando en realidad no lo son u ocultándose en otros programas
útiles.
 CÓDIGOS MALICIOSOS
 Troyanos Downloader: Al comprometer una computadora
se encargan de descargar otros códigos maliciosos.

 Troyanos Bancarios: Utilizados para realizar fraudes a

través de datos confidenciales de los usuarios.

 Troyanos Clicker: Aquellos que realizan fraudes a través de

clic en sitios con publicidad.

 Troyanos Backdoors: Permite el acceso a un sistema de

una manera no convencional.

 Troyanos Bot: Convierte las computadoras en equipos

zombies que luego forman parte de los botnets.
 CÓDIGOS MALICIOSOS
El Malware actual suele contener componentes que
muchas veces dificultan su identificación en cuanto a la
categoría que representan, ya que un solo código
malicioso suele tener las características propias de
varios de ellos.

Por ejemplo, un troyano puede diseminarse adherido a un gusano

y una vez activado, desplegar funcionalidades maliciosas como
backdoors o rootkits (programas utilizados para ocultar procesos y
conexiones en un sistema).
 CÓDIGOS MALICIOSOS
A continuación, se incluye un esquema de la relación existente
entre los diferentes elementos que intervienen en el análisis de
riesgos.

Sobre
Activos Amenazas
Reducen

Implican
Controles
Aumentan

Amenazas Vulnerabilidades Pueden Reducirse

con
Explotan
 IDENTIFICACIÓN DE
ACTIVOS
Se definen como los recursos de una compañía que son
necesarios para la consecución de sus objetivos de
negocio. Ejemplo:

 Información.

 Equipamiento.

 Conocimiento.

 Sistemas.
 IDENTIFICACIÓN DE
ACTIVOS
 Pueden ser cuantificados con un valor económico
(activos tangibles) como el software y hardware y con
valores monetarios (activos intangibles) tales como el
prestigio o la confianza de los clientes.

 El proceso de elaborar un inventario de activos es

uno de los aspectos fundamentales de un correcto
análisis de riesgos.
 IDENTIFICACIÓN DE
AMENAZAS
Se define como un evento que puede desencadenar un incidente en la
organización, produciendo daños materiales o pérdidas inmateriales en sus
servicios.

Amenazas

Humanas Naturales

No
Intencionadas
Intencionadas

Personal Personas
Interno Externas
Clasificación General de
Amenazas
 IDENTIFICACIÓN DE
AMENAZAS
Dependiendo de la organización y el proceso analizado, las amenazas
tendrán una probabilidad de ocurrencia que dependerá de la existencia de
una vulnerabilidad que pueda ser explotada, para materializarse en un
incidente.

Por ejemplo, una amenaza del tipo de desastre natural como es un terremoto, tendrá una mayor
probabilidad de ocurrencia en una empresa con oficinas en Japón, donde los terremotos ocurren
con mayor frecuencia, que en España.

Resulta más complicado valorar amenazas humanas (ataques maliciosos, robos de información,
etc.) que las amenazas naturales. En el componente humano existen dos factores:

AMENAZA = CAPACIDAD X MOTIVACIÓN

La motivación es una característica humana que es difícil de valorar, pero que sin embargo es un
factor a considerar: empleados descontentos, ex empleados, etc.
 IDENTIFICACIÓN DE
AMENAZAS
Para identificar las vulnerabilidades que pueden
afectar a una compañía, debemos responder a la
pregunta ¿Cómo puede ocurrir una amenaza?

Para responder a esta pregunta ponemos como

objetivo la amenaza y definimos las distintas
situaciones por las que puede ocurrir la misma,
evaluando si dentro de la compañía puede darse esa
circunstancia; es decir, si el nivel de protección es
suficiente para evitar que se materialice la amenaza.
 IDENTIFICACIÓN DE
AMENAZAS
Por ejemplo, si nuestra Amenaza es que nos roben datos estratégicos de la
compañía podemos establecer, como otros, los siguientes escenarios:

Escenarios Nivel de Protección

1. Entrada no autorizada a los datos a ¿Existe un control de acceso a los

través del sistema informático. datos?

2. Robo de datos de los dispositivos de ¿Están los dispositivos de

almacenamiento magnético. almacenamiento protegidos y
controlados de forma adecuada?

3. Robo de datos mediante accesos no ¿Existen perfiles adecuados de acceso

autorizados. a los datos?
 OPTIMIZACIÓN DEL
PROCESO DE AUDITORÍA
QUÉ HACER
 Contar con la función del auditor interno.

 Capacitar a todos los empleados de la compañía respecto a

las características del negocio, y las actividades operativas de
la empresa.

 Involucrar a la alta gerencia (directores/dueños) en el negocio

y la administración. Esto permite al auditor recibir de manera
directa, la visión y valores de los accionistas.

 Armar presupuestos económicos por áreas, para que sea

finalmente el CFO quién compile los presupuestos finales.
 OPTIMIZACIÓN DEL
PROCESO DE AUDITORÍA
QUÉ NO HACER
 Evitar la excesiva confianza en personas con roles clave.
Segregar las funciones importantes y aplicar un control por
oposición.

 No contar con un sistema operacional integrado: Dificulta el

proceso de auditoría y genera riesgos de errores o fraudes.
En muchos casos las empresas contienen distintos aplicativos
que requieren diversas interfaces para finalmente procesar
toda la información contable.

 Desconocer el rol y las responsabilidades del auditor atentan

contra la emisión de información auditada oportuna y de
calidad.
 HERRAMIENTAS DEL SISTEMA
OPERATIVO
Registro de Windows:
El registro de Windows es una base de datos jerárquica que
almacena los ajustes de configuración y opciones en los
sistemas operativos Microsoft Windows. Contiene la
configuración de los componentes de bajo nivel del sistema
operativo, así como de las aplicaciones que hay funcionando en
la plataforma: hacen uso del registro el núcleo (kernel, en
inglés), los controladores de dispositivos, los servicios, el SAM,
la interfaz de usuario y las aplicaciones de terceros. El registro
también proporciona un medio de acceso a los contadores para
generar un perfil del rendimiento del sistema.
HERRAMIENTAS DEL SISTEMA
OPERATIVO
 HERRAMIENTAS DEL SISTEMA
OPERATIVO
Respuesta o Reply quiere decir que el equipo remoto está
encendido y la tarjeta de red operativa. Otro dato importante es
la Velocidad (tiempo), ya que si fuera muy lenta lo mismo
sucederá con cualquier conexión que realicemos a ese equipo.

En caso de no haber respuesta puede ser que el equipo esté

apagado, la tarjeta de red no operativa o el cable desconectado.

Ping localhost –t

“Ping con nombres de dominio”

 HERRAMIENTAS DEL SISTEMA
OPERATIVO
TRACE ROUTE

Resulta un comando muy útil para determinar el camino que siguen

los paquetes de red desde un equipo a otro y así determinar si existe
algún problema en algún momento entre ambos.

El comando para poder ejecutar el análisis es tracert (windows) o

tracerout (linux) desde la línea de comandos.

Como ejemplo, en Linux podemos hacer un traceroute a google.com

y podríamos obtener lo siguiente

user@localhost:/#traceroutewww.google.com

Traceroute to www.i.google.com (64.233.169.99), hops ,ax, 40 byte packets.

 HERRAMIENTAS DEL SISTEMA
OPERATIVO
IPCONFIG

Muestra la configuración básica de red en nuestro equipo como la

dirección IP, la máscara de enlace y con algunas opciones también
la dirección MAC que identifica de forma inequívoca nuestra tarjeta
de red.

IPCONFIG/ALL

En esta captura podemos observar que además nos muestra la

marca y modelo de las tarjetas de red así como las direcciones MAC
de nuestras tarjetas entre otros datos.
 HERRAMIENTAS DE ANÁLISIS DE RED
NMAP
De Network Mapper, es una utilidad de software libre para
explorar. Administrar y auditar la seguridad de redes de
ordenadores. Detecta host online, sus puertos abiertos,
servicios y aplicaciones corriendo con ellos, su sistema
operativo, que firewalls/filtros corren en una red y de qué tipo
son.
NETCAT
NetCat, la navaja suiza de los hackers y administradores.

NBTSCAN
Es un explorador conocido de la red de NetBIOS. Es un programa para
explorar las redes del IP para la información conocida de NetBIOS.
 HERRAMIENTAS DE VULNERABILIDAD

Nessus es un escáner de vulnerabilidades que funciona

mediante un proceso de alta velocidad por el que
encuentra los datos sensibles y trabaja con la auditoría de
configuraciones y el perfil activo.

Este programa es de gran utilidad para los dispositivos de uso

personal pero también para las grandes empresas que se manejan
con equipos conectados en red, pues trabaja mediante uso de DMZ.

No podemos olvidar de diferenciar las auditorías de seguridad que Nessus

es capaz de soportar. En primer lugar, tenemos que hablar de puerto de
credenciales que estén basadas tanto en sistemas operativos de Windows
como la gran parte de las Plataformas Unix.
 ANALIZADORES DE PROTOCOLOS

Dsniff nos demuestra lo inseguiras que son nuestras

redes, sobre todo si nos empeñamos en enviar
contraseñas en formato texto plano. Con este sniffer, nos
daremos cuenta de lo realmente importante que puede
llegar a ser la utilización de la encriptación en nuestras
comunicaciones diarias.

Para hacernos una idea de las posibilidades del dsniff, conéctese

directamente a internet como lo hace habitualmente, en otra sesión
como root escribir: #dsniff –i ppp0 .

Entrar ahora usando ssh y visualice cómo en este caso nuestro sniffer no
captura la contraseña.
 ANALIZADORES DE PROTOCOLOS

Cain & Abel Permite “recuperar” contraseñas de una

amplia variedad de protocolos, entre ellos FTP, SMT,
POP3, HTTP, MySQL, ICQ, Telnet y otros, además de
poder recuperar también las claves ocultas en Windows
bajo la típica línea de asteriscos.

Caín & Abel es una herramienta de

recuperación de contraseña para sistemas
operativos de Microsoft.
 ANALIZADORES DE PÁGINAS WEB

Compruebe la seguridad de su equipo con Acunetix Web

Vulnerability Scanner. Los Firewalls, SSL y los servidores
cerrados son inútiles contra el pirateo de aplicaciones web.

Cualquier defensa a nivel de seguridad de la red no proporciona

protección contra ataques a aplicaciones web mientras sean
lanzadas desde el puerto 80 – que tiene que mantenerse abierto.

Es más, las aplicaciones web son hechas a medida, por lo tanto menos
comprobadas que en el software propio, y con mayor probabildiad tienen
vulnerabilidades no descubiertas. La auditoría manual en busca de
vulnerabilidades es virtualmente imposible – necesita ser realizado
automática y regularmente.
 ANALIZADORES DE PÁGINAS WEB

Acunetix Web Vulnerability Scanner automáticamente

chequea sus aplicaciones web en busca de inyecciones
SQL, XSS y otras vulnerabilidades web.

Asegúrese de que su sitio web es seguro contra ataques web.

Automáticamente comprueba que el sistema en busca de inyecciones

SQL y vulnerabilidades de scripts a lo largo del sitio web.

Chequea la solidez de las contraseñas en las páginas de autentificación

(formatos HTTP o HTML). Escanea aplicaciones Javascript / AJAX para
vulnerabilidades de seguridad.
 ANALIZADORES DE PÁGINAS WEB

Paros Proxy es una

aplicación que funciona
como un Proxy y que
permite capturar las
peticiones tanto en HTTP
como HTTPS para
simplemente registrarlas a
modo de debug o para
poder modificarlas.
 ATAQUES
En criptografía, se denomina ataque de fuerza bruta a la
forma de recuperar una clave probando todas las
combinaciones posibles hasta encontrar aquella que
permite el acceso.
Dicho de otro modo, define al procedimiento por el cual a partir del
conocimiento del algoritmo de cifrado empleado y de un par texto
claro/texto cifrado, se realiza el cifrado.
Software de Fuerza Bruta (Brutus force)

Brutus es uno de los más rápidos, más flexibles password crackers remoto
que puede obtener libremente. Está disponible para Windows, aunque se
trata de una posibilidad en algún momento en el futuro. Brutus se hizo por
primera vez a disposición del público en octubre de 1998 y desde entonces
se han producido al menos 70.000 descargas y más de 175.000 visitantes
a esta página.
 ATAQUES
John The Ripper

Es un programa de criptografía que aplica fuerza bruta para

desifrar contraseñas. Es capaz de romper varios algoritmos
de cifrado o hash como DES, SHA -1, y otros.
Es una herramienta de seguridad muy popular, ya que permite a los
administradores de sistemas comprobar que las contraseñas de los
usuarios son suficientemente buenas.
 PRINCIPIOS GENERALES DE
CORTAFUEGOS
Un cortafuegos o firewall es un sistema que previene el uso y el
acceso desautorizados al ordenador.

Los cortafuegos pueden ser software, hardware, o una combinación de ambos. Se

utilizan con frecuencia para evitar que los usuarios desautorizados de internet tengan
acceso a las redes privadas conectadas con internet, especialmente intranets.

Todos los mensajes que entran o salen de la intranet pasan a través del cortafuegos,
que examina cada mensaje y bloquea los que no cumplen los criterios de seguridad
específicos.

Es importante recordar que un cortafuegos no elimina problemas de virus del

computador, si no que cuando se utiliza conjuntamente con actualizaciones regulares
del sistema operativo y un buen software antivirus, añadirá cierta seguridad y
protección adicionales para el computador o red.
 PRINCIPIOS GENERALES DE
CORTAFUEGOS
Los cortafuegos de hardware proporcionan una fuerte protección
contra la mayoría de las formas de ataque que vienen en el mundo
exterior y se pueden comprar como producto independiente o en routers
de banda ancha. un sistema que previene el uso y el acceso
desautorizados al ordenador.

Para usuarios particulares el corta fuego más usado es el cortafuegos de software.

Un buen cortafuegos de software protegerá el computador contra intentos de controlar
o acceder a él desde el exterior y generalmente proporciona protección adicional
contra los troyanos o gusanos de e-mail más comunes.

La desventaja de los cortafuegos de software es que protegen solamente al

computador en el que están instalados y no protegen una red.
 PRINCIPIOS GENERALES DE
CORTAFUEGOS
TIPOS DE TÉCNICAS DE CORTAFUEGOS

 Packet Filter: Mira cada paquete que entra o sale de la red y lo acepta o
rechaza basándose en reglas definidas por el usuario. La filtración del paquete
es bastante eficaz y transparente a los usuarios, pero es difícil de configurar.
Además, es susceptible al IP spoofing.

 Aplicación Gateway: Aplica mecanismos de seguridad a ciertas aplicaciones,

tales como servidores web ftp y servidores telnet. Esto es muy eficaz, pero
puede producir una disminución de las prestaciones.

 Circuit-level Gateway: Aplica mecanismos de seguridad cuando se establece

una conexión TCP o UDP. Una vez que se haya hecho la conexión, los
paquetes pueden fluir entre los anfitriones sin más comprobaciones.

 Proxy Server: Intercepta todos los mensajes que entran y salen de la red. El
servidor proxy oculta con eficacia las direcciones de red verdaderas.
 PRINCIPIOS GENERALES DE
CORTAFUEGOS
COMPONENTES DE UN CORTAFUEGOS

 Packet Filter: El filtrado de paquetes se

puede utilizar para implementar
diferentes políticas de seguridad en la
red; el objetivo principal de todas ellas
suele ser evitar el acceso no autorizado
entre dos redes, pero manteniendo
intactos los accesos autorizados.