UNIVERSIDAD POLITÉCNICA SALESIANA

SEDE GUAYAQUIL

CAMPUS CENTENARIO

CARRERA DE INGENIERÍA DE SISTEMAS

MENCIÓN TELEMÁTICA

TEMA
“MINISTERIO DE TELECOMUNICACION Y DE LA SOCIEDAD DE LA INFORMACION”

AUTORES
DIEGO ANDRES ZAMBRANO VILLAMAR

HUGO XAVIER HERNANDEZ ROMERO

JONATHAN ABDÓN ZAMORA GALINDO

NOHELY SHIRLEY ALAVA MORAN

SEGURIDAD DE REDES
ING. SEGUNDO MOISES TOAPANTA TOAPANTA

GRUPO: 5060

GUAYAQUIL – ECUADOR

2019
Índice
Misión:...............................................................................................................................................1
Visión:................................................................................................................................................1
Objetivos estratégico Institucional.....................................................................................................2
Introducción.......................................................................................................................................3
Análisis Plan Estratégico:...................................................................................................................5
FASE 1 – Identificación y Evaluación de los Procesos:.................................................................5
FASE 2 – Análisis de las Amenazas y de la Vulnerabilidad de los Procesos.................................5
FASE 3 – Identificación de las contramedidas...............................................................................6
Procesos con sus funciones de la organización...................................................................................7
Organigrama del MINTEL.............................................................................................................7
Procesos del MINTEL........................................................................................................................8
PROCESOS GOBERNANTES......................................................................................................9
PROCESOS AGREGADORES DE VALOR................................................................................9
PROCESOS HABILITANTES DE ASESORIA............................................................................9
PROCESOS HABILITANTES DE APOYO...............................................................................10
Riesgos, vulnerabilidades y amenazas del MINTEL........................................................................11
Policitas de seguridad a nivel administrativo y legal en forma general............................................14
De la seguridad informáticas relacionada al personal...................................................................14
Responsabilidades sobre activos IT..............................................................................................14
Políticas de seguridad a nivel físico y tecnológico para mitigar los riesgos de la información en
forma general...................................................................................................................................15
Seguridad Física...........................................................................................................................15
Políticas a nivel Físico..................................................................................................................15
Seguridad Tecnológica.................................................................................................................16
Políticas a nivel Tecnológico........................................................................................................17
Resumen De Artículos.....................................................................................................................18
Bibliografía......................................................................................................................................23
Referencias Electrónicas..................................................................................................................23

1
Misión:
Ser el órgano rector del desarrollo de las tecnologías de la información y comunicación en
el Ecuador, que incluyen las telecomunicaciones y el espectro radioeléctrico, que emite
políticas, planes generales y realiza el seguimiento y evaluación de su implementación,
coordinando acciones con los actores de los sectores estratégicos para garantizar el acceso
igualitario a los servicios y promover su uso efectivo, eficiente y eficaz, que asegure el
avance hacia la sociedad de la información para el buen vivir de la población ecuatoriana.

Visión:
Constituirse en la entidad, referente de la gestión pública, que lidere y gobierne todos los
procesos necesarios para que los ciudadanos accedan y generen información y
conocimiento, mediante el uso efectivo de las tecnologías de la información y
comunicación integrados activamente al proceso de desarrollo social y solidario del
Ecuador.

2
Objetivos estratégico Institucional
 Incrementar el número de ciudadanos incluidos digitalmente
 Incrementar el uso de las TICs en el ámbito público, privado y la sociedad en
general.
 Establecer y coordinar la política del sector de las telecomunicaciones y de la
sociedad de la información y el conocimiento, orientada a satisfacer las necesidades
de toda la población;
 Desarrollar los planes, programas y proyectos de manera concertada con el Consejo
Nacional de Telecomunicaciones, Superintendencia de Telecomunicaciones y con la
ciudadanía, que aporten al cumplimiento de los objetivos del Plan Nacional de
Desarrollo;
 Incentivar la masificación de las tecnologías de la información y comunicación en la
población del Ecuador;
 Apoyar y facilitar la gestión del Consejo Nacional de Telecomunicaciones y
Superintendencia de Telecomunicaciones, para el cumplimiento del Pían Nacional
de Desarrollo;
 Asesorar decisiones presidenciales con relación a la gestión estratégica del sector de
telecomunicaciones y de la sociedad de la información y el conocimiento;
 Diseñar y ejecutar programas y proyectos específicos de corto y mediano plazo, que
respondan a las políticas de desarrollo del sector de las telecomunicaciones y de la
sociedad de la información y el conocimiento;
 Liderar los procesos de diseño, creación, implantación, desarrollo y actualización de
un sistema de información del sector de las telecomunicaciones y de la sociedad de
la información y el conocimiento;
 Realizar investigaciones aplicadas, informes y estudios específicos del sector de las
telecomunicaciones y de la sociedad de la información y el conocimiento, de las
condiciones socioeconómicas que determinan su desarrollo, que permitan el diseño,
la formulación, implementación y evaluación de las políticas sectoriales y el
desarrollo institucional;
 Identificar, coordinar y obtener recursos de cooperación, nacionales o
internacionales, alineándolos con las políticas de desarrollo de las
telecomunicaciones y de la sociedad de la información y el conocimiento; y,
 Realizar el monitoreo, seguimiento y evaluación a las políticas, planes, programas y
proyectos del sector de las telecomunicaciones y de la sociedad de la información y
el conocimiento.

3
Introducción
El desarrollo y la organización de los países industrializados se basan en un sistema de
infraestructuras cada vez más complejo y articulado; las Infraestructuras Nacionales
Criticas (Critical National Infraestructure, o CNI) definidas como aquellas infraestructuras
privadas o públicas, cuya correcta operatividad es vital para el funcionamiento y la
seguridad de un País.
Estas son infraestructuras que supervisan los sectores fundamentales de las sociedades
modernas, tales como: salud, economía, energía, trasporte, telecomunicaciones, orden
público, defensa y, en general, todos los sectores de la administración publica.
Dichas infraestructuras pueden estar sujetas a eventos críticos de diferente naturaleza que
pueden comprometer directa o indirectamente la eficiencia. Los eventos críticos son, en
primera aproximación, atribuibles a ataques internacionales o desastres naturales.
Para su funcionamiento, las CNI se basan siempre más en infraestructuras de
telecomunicaciones (CII – Crital Information Infraestructure). Estas redes deben permitir
que el CNI funcione en condiciones normales de funcionamiento, pero también, y, sobre
todo, garantizar una capacidad operativa adecuada en caso de eventos críticos.

En la figura podemos observar que quien lidera la jerarquía es el País; el correcto

crecimiento y desarrollo de la vida social y de la economía de una Nación depende
fuertemente del grado de calidad de algunos servicios básicos.
Los pilares principales son la energía y las TIC; mientras que los servicios de “valor
agregado” como salud y protección civil están en un segundo nivel.

4
La energía, es por definición, el elemento esencial para poder desenvolver un trabajo.
Cualquier servicio avanzado depende de la correcta producción, trasmisión y distribución
de energía.
Las telecomunicaciones y la tecnología de la información son el elemento sin el cual no es
posible trasferir señales, datos, información o permitir la coordinación correcta de los
recursos.
Sin embargo, la energía y las telecomunicaciones son fuertemente interdependientes: sin un
adecuado y constante suministro de energía, el equipo que realiza los servicios telemáticos
no puede operar, y las amplias instalaciones de producción, trasmisión y distribución de
energía solo pueden operar en virtud de la existencia de sistemas de comunicación que
funcionan correctamente entre diferentes sistemas eléctricos.
En nuestro país, el Ministerio de Telecomunicaciones y de la Sociedad de la Información se
encarga de apoyar estos procesos para el mejoramiento de los servicios que prestan las
instituciones del sector de telecomunicaciones para el desarrollo del país.

5
Análisis Plan Estratégico:

Hoy en día son múltiples los riesgos asociados a que equipos y sistemas de información y
comunicaciones no cuenten con controles de seguridad. Las amenazas en las TIC son
globales, y están repartidas en distintos niveles de criticidad según sea la orientación y el
ámbito de su utilización. Preocupante es para grandes, medianas y pequeñas organizaciones
el espionaje industrial, los ladrones de información, la interrupción de servicios y las fallas
críticas en la infraestructura y sistemas centrales de información.
Cada día, se desarrollan nuevos métodos que afectan a la seguridad de la información de las
organizaciones, es por ello la necesidad de una estrategia completa de seguridad, de manera
de prevenir fugas y fallas en los sistemas. A lo antes expuesto se suman vulnerabilidades
internas (misma organización), que son un factor de riesgo no menor, y, por lo tanto, existe
alta probabilidad de pérdida de dinero y repercusiones en la confiabilidad por parte de
usuarios, clientes y socios de negocios.
No se pueden obviar los factores de riesgos por desastres que al no estar previstos
eficientemente y sin planes de contingencia y/o de recuperación pueden provocar daños
irreparables en tiempo y costos de recuperación. Esto, que es difícilmente cuantificable,
puede incluso determinar la continuidad de una organización.
Es por eso se debe tomar medidas de seguridad para contrarrestar las amenazas, solo de esa
manera se lograría reducir el nivel de riesgo global a la que está sujeta la CII.
Las operaciones a seguir son las siguientes:

FASE 1 – Identificación y Evaluación de los Procesos:

 Datos
 Recursos
 Bienes físicos
FASE 2 – Análisis de las Amenazas y de la Vulnerabilidad de los
Procesos.
 Identificación de amenazas de los Procesos
 Evaluación de los niveles de amenazas (alto, medio, bajo)
 Identificación de vulnerabilidad de los Procesos
 Evaluación de los niveles de amenazas (alto, medio, bajo)
 Identificación de riesgos de los Procesos
 Evaluación de los niveles de riegos (alto, medio, bajo)

6
FASE 3 – Identificación de las contramedidas.
 Evitar el riesgo
 Reducir el riego: reducir el riesgo a un nivel aceptable implica adoptar
contramedidas apropiadas
 Aceptar el riesgo: hay que aceptar que el sistema está expuesto a un riesgo y que
hay que reducirlo lo más pronto posible. Hay que considerar el hecho de que no es
posible construir un sistema completamente libre de riesgos ya sea porque sería
difícil de usar y porque no es posible predecir todos los tipos de ataques tanto desde
el exterior como internos.

FASE 1 & 2 FASE 3

PROCESO
C
O
N
R T
AMENAZA I R
A
E
M
S E
G D
VULNERABILIDAD O I
D
A
S

ANALISIS GESTION

7
8
Procesos con sus funciones de la organización.
Organigrama del MINTEL

9
Procesos del MINTEL
Las actividades que se desarrollan en el MINTEL se constituyen en un proceso sistemático,
necesario para generar productos y servicios demandados por clientes internos y externos.
Los procesos que generan los productos y servicios del MINTEL se ordenan y clasifican en
función de su grado de contribución o valor agregado al cumplimiento de la misión y
objetivos institucionales. Los procesos gobernantes son los encargados de emitir directrices,
políticas, normas, procedimientos y planes estratégicos, que posibiliten una adecuada
administración y ejercicio de la representación legal de la institución. Los procesos
agregadores de valor tienen el rol sustantivo de generar el portafolio de productos y
servicios destinados a los usuarios externos, y permiten cumplir con la misión institucional
y los objetivos estratégicos, constituyéndose en la razón de ser de la institución. Los
procesos habilitantes se clasifican en procesos de asesoría y de apoyo, y generan los
productos que son demandados por los procesos gobernantes, agregadores de valor y por
los propios procesos habilitantes.
PROCESOS GOBERNANTES

Ejecución de las Políticas de Regulación del Sector de las

Telecomunicaciones Telecomunicaciones

Gerenciamiento Estratégico
Industrial

PROCESOS AGREGADORES DE VALOR

Gestion del Espectro Radioeléctrico

Gestión de los Servicios de Telecomunicaciones

Gestión de Titulos Habitantes

Gestión de los Planes Técnicos y Agenda Regulatoria

PROCESOS HABITANTES DE ASESORIA

Gestión de Asesoria Gestión de Planificación Gestión de Auditoría

Juridica Industrial Interna

PROCESOS HABITANTES DE APOYO

Gestión de
Gestión Documental y Gestión Administrativa
Infraestructura
Atención al Usuario Financiera
Tecnologica

10
PROCESOS GOBERNANTES
DIRECCIONAMIENTO Y GESTION ESTRATEGICA DE LAS
TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACION
Y EL CONOCIMIENTO.
Despacho Ministerial
Misión: Liderar los procesos de gestión institucional, mediante el
direccionamiento estratégico y el establecimiento de políticas, normas y
procedimientos que coadyuven al cumplimiento de la misión y objetivos
institucionales del MINTEL. Estará representado por el Ministro de
Telecomunicaciones y de la Sociedad de la Información.

PROCESOS AGREGADORES DE VALOR

GESTION DE TECNOLOGIAS DE LA INFORMACION Y
COMUNICACIÓN
Despacho Viceministerial de Tecnologías de la Información y
Comunicación.
Misión: Coordinar y facilitar la implementación de políticas y estrategias
de gestión técnica, financiera y administrativa para la generación de
estudios, planes, programas y proyectos, a ser ejecutados por el
Ministerio de Telecomunicaciones y de la Sociedad de la Información en
materia de tecnologías de la información y comunicación.

PROCESOS HABILITANTES DE ASESORIA

GESTION DE PLANIFICACION INSTITUCIONAL
Coordinación General de Planificación Institucional
Misión: Planificar, coordinar, controlar, dar seguimiento y asesorar en los
procesos de planificación sectorial e institucional, inserción estratégica
internacional y gestión de proyectos para el cumplimiento de los objetivos
y metas de las políticas, planes y programas que se emitan por parte del
Ministerio alineados al Plan Nacional de Desarrollo. Estará representado
por el Coordinador General de Planificación Institucional.

11
PROCESOS HABILITANTES DE APOYO
GESTION ADMINISTRATIVA FINANCIERA
Coordinación General Administrativa Financiera
Misión: Apoyar la gestión del Ministerio mediante la administración
eficiente y eficaz del talento humano y de los recursos financieros,
administrativos y de gestión tecnológica, que permitan satisfacer las
necesidades de los procesos institucionales. Estará representado por el
Coordinador General Administrativo Financiero.

12
Riesgos, vulnerabilidades y amenazas del MINTEL.

PROCESO

GESTION DOCUMENTAL

AMENAZA CO
RI NT
INCUMPLIR CON LOS RA
ES REDUNDANCIA EN
PROCESOS ATADOS A M
CAIDA DE ENLACE G ED
ENLACE MPLS
SERVIO AL CLIENTE
O ID
AS
VULNERABILIDAD

ACUMULAR DOCUMENTACION POR

DIGITALIZAR SIN SUBIRLA AL PORTAL

PROCESO

GESTION DE INFRAESTRUCTURA
TECNOLOGICA

AMENAZA CO
RI NT
COMPLICA PODER RA DOCUMENTACION Y
ES
FALTA DE DOCUMENTACION DE LOCALIZAR ESTACIONES M PLANOS CIVILES
G ED
PLANOS CIVILES DE TRABAJO DIGITALES
O ID
AS
VULNERABILIDAD

DEMORA EN ATENCION DE
REQUERIMIENTOS

PROCESO RI FALTA DE RESPALDOS A CO RESPALDO

13
 GESTION ADMINISTRATIVA
FINANCIERA

AMENAZA
NT
RA
ES
OLVIDO DE RESPALDO DE BASES DE M
G LA FECHA AUTOMATICO DE DATA
DATOS ED
O ID
AS
VULNERABILIDAD

PERDIDA DE INFORMACION A LA
FECHA

PROCESO

GESTION DE AUDITORIA INTERNA

AMENAZA CO
RI NT
RA DIGITALIZACION DE
ES NO SE CUENTA CON
M INFORMACION
DIGITALIZACION DE INFORMACION G INFORMACION DIGITAL ED HISTORICA
O ID
AS
VULNERABILIDAD

FALTA DE INFORMACION HISTORICA

PROCESO CO
RI CAIDA DE SERVICIO EN PLANES DE
NT
ES GENERAL RA
LEVANTAMIENTO

14
 GESTION DE LOS SERVICIOS DE
TELECOMUNICACIONES

AMENAZA

FALTA DE ALTA DISPONIBILIDAD DE

SERVICIOS
G M OPERATIVO EN CASO DE
O ED SINIESTROS
VULNERABILIDAD ID
AS

RIESGO DE PERDIDA DE
INFORMACION

PROCESO

GESTION DE PLANIFICACION
INSTITUCIONAL

AMENAZA CO
RI NT
FALTA DE DEFINCION RA LEVANTAMIENTO DE
ES
INCUMPLIMIENTO DE PROCESOS DE PROCESOS M INFORMACION
G ED
INTERNOS INTERNOS DEPARTAMENTAL
O ID
AS
VULNERABILIDAD

QUE SE OBVIEN LOS PROCESOS POR

DESCONOCIMIENTO

15
Policitas de seguridad a nivel administrativo y legal en
forma general.
De la seguridad informáticas relacionada al personal.
 Los servicios de la red municipal de datos son de uso exclusivo para los usuarios
del MINTEL y de usuarios externos previamente autorizados por la autoridad
competente.
 Es responsabilidad de los usuarios de bienes y servicios informáticos cumplir con
lo establecido en el Reglamento de Seguridad Informática del MINTEL.
 Se entregará al contratado toda la información necesaria para ejercer sus labores
dentro de la institución, durante la vigencia de su contrato laboral.
 La información procesada, intercambiada, reproducida, almacenada y conservada
en los computadores de la entidad, será considerada como municipal.
 Se consideran faltas graves el robo, daño, alteración de información de los
sistemas automatizados de la entidad, el uso de los sistemas para ejecutar actos
como piratería informática, penetración a otras redes, etc.; o que el usuario sea
judicialmente declarado culpable de un delito informático.
 Cualquier acto negligente o ataque informático hacia los activos de información
(redes, sitios, equipos, sistemas internos o externos) que cause o no daños a la
información, será considerado como una falta grave y sancionado según lo
establecido en la Ordenanza Reglamentaria del Talento Humano del MINTEL.

Responsabilidades sobre activos IT

 Todo equipo informático tendrá un custodio o responsable que velará por su

cuidado y buen uso, debiendo responder en forma pecuniaria y directa en caso de
cualquier pérdida o destrucción injustificada.
 Los administradores de sistemas (correo electrónico, intranet, internet, sistemas
transaccionales y web, bases de datos y demás sistemas futuros), designados por la
Dirección de Informática, serán los responsables de la seguridad de la información
en el campo de sus competencias.

16
Políticas de seguridad a nivel físico y tecnológico para
mitigar los riesgos de la información en forma general.

Seguridad Física
Definición
Cuando se quiere tener un equipo seguro es importante considerar todos los aspectos que
están involucrados. Uno de ellos y sin duda, uno de los más importantes es la seguridad que
se brinda en el entorno donde está ubicado el equipo.
Medidas de seguridad física
El Hardware es frecuentemente el elemento más caro de todo sistema informático y por
tanto las medidas encaminadas a asegurar su integridad son una parte importante de la
seguridad física del ministerio
Problemas a los que nos enfrentamos:
 Acceso Físico.
 Desastres Naturales/Alteraciones del entorno.
 Malas prácticas.

Políticas a nivel Físico

Equipamiento
 Los equipos de la Institución sólo deben usarse para actividades de trabajo y no para
otros fines.
 No se permite fumar, comer o beber mientras se está usando una estación de trabajo
 Deben protegerse los equipos de riesgos del medioambiente (por ejemplo, polvo,
incendio y agua)
 Deben protegerse los equipos para disminuir el riesgo de robo, destrucción, y mal
uso.
 La pérdida o robo de cualquier componente de hardware o programa de software
debe ser reportado a la Dirección Nacional de Tecnologías de la Información
inmediatamente detectado el incidente
 Los usuarios de PCs son responsables de proteger los programas y datos contra
pérdida o daño.
 Cualquier falla en los computadores o anomalía en la red debe reportarse
inmediatamente al personal de la Dirección Nacional de Tecnologías de la
Información, para evitar posibles problemas serios como pérdida de la información
o indisponibilidad de los servicios.

17
  Debe respetarse y no modificar la configuración de hardware y software establecida
por la Dirección Nacional de Tecnologías de la Información Ningún equipo que
pertenece a la Institución puede moverse o ser reubicado sin permiso.
 Para llevar un equipo fuera de la Institución se requiere una autorización escrita
emitida por parte del Director Nacional de Tecnologías de la Información o un
funcionario encargado.
 Los gabinetes (armarios del cableado estructurado) donde se ubican los switchs
deben ser protegidos y no deben ser obstruidos para tener libre acceso.
Alteraciones del entorno.
 Ante un corte del suministro de energía eléctrica debe apagarse los equipos, hasta
que se normalice el fluido eléctrico.
 Ante sismos, evacuar en orden. Posteriormente cuando se pueda acceder
nuevamente a la planta
Control de acceso físico a oficinas y zonas restringidas.
 El personal podrá permanecer en las instalaciones de la Institución durante el
horario autorizado. Se deberá establecer un procedimiento de autorización para el
personal que deba permanecer fuera de su horario habitual de trabajo.
 Únicamente los funcionarios de la Dirección Nacional de Tecnologías de la
Información tienen acceso al área del centro de cómputo donde se encuentran los
servidores, los switchs de comunicaciones y demás equipamiento crítico.
 Ninguna persona sin autorización previa podrá ingresar al área del centro de
cómputo, para reducir el riesgo de accidentes y actividades fraudulentas.
 Toda persona que ingrese a las áreas restringidas, debe registrarse y requerirá
autorización para ingresar.
 Cualquier persona ajena a la Institución que necesite ingresar al centro de cómputo
deberán anunciarse con un funcionario de la dirección, un personal de sistemas lo
escoltará desde la puerta hacia el interior del centro de cómputo y lo acompañará
durante el transcurso de su tarea, hasta que ésta concluya.

Seguridad Tecnológica
Definición
Es la configuración adecuada del sistema para evitar el acceso a los recursos y
configuración del mismo por parte de personas no autorizadas, ya sea a nivel local o vía
red.
Medidas de seguridad
La Seguridad Tecnológica utiliza medidas electrónicas tales como permisos dentro del
sistema operativo o reglas de acceso a las capas de red.

18
Problemas a los que nos enfrentamos:
 Virus
 Fraude informático (Acceso modificar información con propósitos fraudulentos BD)
 Acceso no autorizados

Políticas a nivel Tecnológico

 Controles para computadores portátiles con información sensible: Todos los
computadores portátiles de la compañía que contengan información sensible deben
emplear encripción en el disco duro para sus archivos y protección para el arranque
del sistema.
 Contraseñas difíciles de descifrar: Los usuarios deben entender que todas las
contraseñas escogidas por el usuario para ingresar a los sistemas deben ser difíciles
de descifrar.
 Cambio periódico obligatorio de la contraseña: Los funcionarios entenderán que
el sistema debe obligar automáticamente a que todos los usuarios cambien sus
contraseñas al menos una vez cada sesenta (60) días.
 Utilización de contraseñas diferentes cuando se tiene acceso a varios sistemas:
Si un usuario tiene acceso a varios sistemas de información, se deben emplear
contraseñas diferentes para cada uno de los sistemas a los cuales tiene acceso.
 Administración de controles de acceso a la información: Toda la información del
computador principal que sea sensible, critica o valiosa debe tener controles de
acceso al sistema para garantizar que no sea inapropiadamente descubierta,
modificada, borrada o no adaptable.
 Se prohíbe instalar programas externos en los computadores interconectados
en red: Los usuarios no podrán instalar ningún programa o software desarrollado
fuera de la entidad en sus propios microcomputadores, en sus estaciones de trabajo,
en servidores de la red o en computadores conectados a la red a menos que haya
sido aprobado por la dirección de la unidad de tecnología corporativa.
 Prohibición para bajar y cargar Software de Internet en los sistemas
corporativos por parte de terceras personas Política: Los funcionarios de la
entidad no deben permitir que terceras personas puedan bajar y/o cargar Software de
Internet en los sistemas de la entidad ya que el sistema lo impedirá. Solo bajo
aprobación de Gerencia de Talento Humano y departamento de Seguridad de la
Información se podrá instalar con su debida justificación.
 Los usuarios no deben intentar erradicar virus del computador Política: Si los
usuarios sospechan que hay infección por un virus ellos deben parar de usar el
computador, desconectarlo de todas las redes y llamar al encargado solicitando la
ayuda.

19
Resumen De Artículos

An Attack Graph Based Network Security Evaluation Model for

Hierarchical Network
“Un modelo de evaluación de seguridad de red basado en gráficos de ataque
para redes jerárquicas”

En el mercado existen varios modelos de evaluación de ataques para las redes en general,
pero no existe uno diseñado meramente para redes jerárquicas.
El modelo de evaluación de ataques, esta diseñado con el fin de prever las amenazas y
vulnerabilidades de la red y por medio de ellas buscar la solución mas viable para la
organización; ya que hoy en día con el manejo de internet, y de la gran información que
deben manejar las empresas a través de él, quedan muchas ventanas abiertas para los
atacantes como hackers y malware.
Se busca tener una red altamente controlada, las redes jerárquicas requieren saber el
funcionamiento de todas sus áreas, desde la mas baja hasta las mas altas donde se
encuentran los gerentes y directores, y son ellos quienes supervisarán si existen errores o
fallas, para tomar las medidas correctivas de manera temprana.
En este modelo, el valor del riesgo de seguridad es decidido por tres parámetros
importantes: pérdida de activos (AL), Valor de amenaza de ataque (TVA) y coeficiente de
importancia de los activos (CAI).
El método grafico de ataques es una forma de presenciar las vulnerabilidades de una red.
Mediante el método descriptivo, seremos capaces de evaluar un tipo de red que está muy
extendida, tiene una topología complicada, y necesita una garantía de seguridad alta, como
ejércitos, bancos, gobiernos, y así sucesivamente.
Entonces, mediante el algoritmo propuesto será capaz de saber qué medidas tomar en
relación con el tipo de ataque que incurra. En este artículo se gestiona la red en base a la
“suposición”, suposición de que se ha obtenido un grafico de ataques, y así plantear las
posibles soluciones.
Se presenta en caso de estudio donde se construye un gráfico de ataque simple basado en
tres tipos de ataques, tales como: el ataque basado en la vulnerabilidad del puerto 1433, el
ataque basado en la vulnerabilidad Web DAV, y el ataque basado en troyano. El cual a
través de los cálculos propuesto para la perdida de activos, y el valor de la amenaza y el
valor de otras variables influyentes, se logra determinar el riesgo que sufre la seguridad por
área, en términos cuantitativos y cualitativos.
[ CITATION Hai10 \l 12298 ]

20
 Network Security
“Seguridad de la red”

“Proporcionar técnicas de protección adecuadas es importante para combatir las amenazas

cibernéticas, y preservar la integridad, confidencialidad y disponibilidad de las redes de
computadoras”
Teniendo esto claro en nuestra mente, debemos identificar a nivel de cada capa del modelo
OSI, los diferentes tipos de ataques que incurren en la red. Ya que, cada ataque, significa
perdida o mal uso de la información, que transitan por los medios de voz o datos.
Existen diferentes tipos de ataques en una red de computadoras:
- Ataques de red en diferentes capas
- Ataques de modificación de datos
- Ataques de suplantación de identidad
- Ataque de denegación de servicio
- Ataques de inundación MAC
- Ataques de denegación de servicio (Ataque pitufo ó SMURF Attack)
- Ataques de olfateo de paquetes
A pesar de existir diferentes tipos de ataques, estos son nombrados únicamente por el
medio en el que incurren, ya sea en la emisión de paquetes por la red o en los canales de
comunicación entre computadoras, de voz o datos. Estos tienen un ente en común, que su
atacante esta vigilando el movimiento de su víctima, ya sea una persona detrás o la
información como tal que transita en la red. Este atacara de diferente manera: descifrando
código, apropiándose de la identidad de su víctima, modificando, falsificando y/o robando
información, denegando servicios, escuchando y apropiándose de una conversación en la
red (lo que conocemos como Man in the Middle), difundiendo malware, etc.
Así como existen atacantes, existen defensas. Se han creado e implementado gran variedad
de herramientas anti-sniffing y otras como: Tcpdump, Tshark, Wireshark, usadas para
interceptar y filtrar paquetes en la red, y mediante la encriptación de datos.

[ CITATION Izz18 \l 12298 ]

21
 A Design and Implementation Method of IPSec Security Chip for Power
Distribution Network System Based on National Cryptographic
Algorithms
Un método de diseño e implementación del chip de seguridad IPSec para
sistemas de redes de distribución de energía basados en algoritmos
criptográficos nacionales.

Se va a crear e implementar un método para la protección y seguridad del sistema de

automatización de la distribución de energía eléctrica, así se podrá respaldar aquella
seguridad que se necesita la comunicación entre la estación maestra de distribución el
terminal de distribución. La pasarela de encriptación y autenticación para el sistema de
distribución mejora la seguridad de la comunicación en la capa de red entre el terminal y la
pasarela VPN. El dispositivo de autenticación de cifrado de la capa de aplicación de
distribución garantiza la confidencialidad e integridad de la transmisión de datos en la capa
de aplicación y realiza la autenticación de identidad entre la estación maestra y el terminal.
Todas estas medidas se utilizan para prevenir daños maliciosos y ataques al sistema
maestro mediante la falsificación de la identidad del terminal, ataques de repetición y otras
operaciones ilegales, con el fin de evitar los accidentes resultantes en la red de distribución.
Con la ayuda de IPSec, la cual proporciona un conjunto completo de servicios de seguridad
basados en criptografía para IP, incluido el control de acceso, verificación de la fuente de
datos, ataque anti-reproducción, etc. Se ofrecerá protección para IP y protocolos superiores,
además se empezará un esquema de protección de seguridad del sistema de automatización
de la distribución de energía, este trabajo realiza el desarrollo de la encapsulación multichip
y se realiza la función de doble encriptación y autenticación en la capa IP y en la capa de
aplicación que soporta el algoritmo criptográfico nacional.

[ CITATION Wei19 \l 12298 ]

22
 Encouraging users to improve password security and memorability
“Animar a los usuarios a mejorar la seguridad de la contraseña y la memoria”

En el presente artículo se realiza un estudio sobre un nuevo enfoque como guía para la
creación de contraseñas o claves menos inseguras, en la cual se motivan a los usuarios en la
selección de contraseñas de texto más seguras y fácil de memorizar. Conocemos que la
autenticación es una de las áreas más importantes en seguridad informática, y el uso de
contraseñas tradicionales basadas en texto ha sido bien estudiado. Pero, este tipo de
mecanismo de autenticación tiene inconvenientes, y es por eso que se han propuesto varios
esquemas alternativos de autenticación que apuntan a alinear la seguridad y la usabilidad.
Estas propuestas van desde la autenticación de contraseña gráfica hasta la autenticación
basada en la ubicación. Sin embargo, ninguno de estos esquemas podría superar la
simplicidad y la asequibilidad de escribir una secuencia de caracteres del teclado para
permitir la autenticación de los usuarios. Como resultado, las contraseñas tradicionales
basadas en texto siguen siendo el mecanismo de autenticación más popular a nivel social y
profesional.

Desafortunadamente, la autenticación de contraseña basada en texto es bastante

problemática. Una buena contraseña debe ser "fácil de recordar y difícil de adivinar" al
mismo tiempo, sin embargo, las contraseñas que son fáciles de recordar son generalmente
cortas o se basan en palabras del diccionario (muy conocidas). Por lo tanto, estas
contraseñas se vuelven vulnerables a los ataques de diccionario. Las contraseñas que
incluyen información personal también son memorables, pero corren el riesgo de ser
adivinadas por personas cercanas al propietario de la contraseña y los atacantes que han
recopilado información sobre el usuario.

El usuario por ciertos factores suele causar problemas de seguridad, y es por eso que se
ofrece una solución confiable alentando a crear su propia fórmula para componer
contraseñas. Se ha realizado un estudio para evaluar la eficiencia de las pautas de
contraseña propuestas. Sus resultados sugieren que los métodos de creación de contraseñas
y un mensaje persuasivo proporcionado a los usuarios han convencido a estos en la
creación de contraseñas criptográficamente seguras y de fácil recordar. Los participantes
seleccionados se dividieron en dos grupos en el estudio. El primeo es el grupo
experimental, los cuales recibieron varios métodos de creación de contraseña junto con un
mensaje persuasivo. Estos crearon contraseñas más seguras y de fácil recordar. El otro
grupo de participantes será del grupo de control, y a estos se les pidió que cumplieran con
las estrictas reglas habituales de creación de contraseña. El resultado fue bastante obvio.
El estudio también sugiere que los métodos de creación de contraseñas del presente artículo
son mucho más eficientes que las estrictas reglas de política de contraseñas. La evaluación
de seguridad y usabilidad de la directriz de contraseña propuesta mostró que las mejoras
simples, como agregar texto persuasivo a las pautas de contraseña habituales que consisten
en varias reglas de restricción de contraseña, hacen cambios significativos en la solidez y
memoria de las contraseñas.
[ CITATION MYı19 \l 12298 ]

23
 Security against passive attacks on network coding system – A survey
“Seguridad contra ataques pasivos en el sistema de codificación de red: una encuesta ”
La codificación de redes (en inglés network coding) es un nuevo paradigma que permite
mejorar el rendimiento de las redes de comunicaciones convencionales. En si la
codificación de red es una tecnología de difusión progresiva de información para
comunicaciones de red. Desde su aparición en el cambio de milenio, la codificación de red
ha llegado a más y más aplicaciones. En este artículo de la encuesta, presentamos una
revisión exhaustiva de las investigaciones sobre codificación de red segura contra ataques
pasivos. Los estudios en esta área abordan problemas tales como: "Si un espía puede
interceptar algunos paquetes de un sistema de codificación de red, ¿cómo debería diseñarse
el sistema para proteger la información útil de la divulgación?" De acuerdo con la fuerza de
protección, establecemos una jerarquía de seguridad con cuatro grados para sistemas de
codificación de red. Para cada grado, recopilamos e investigamos ampliamente los
esquemas existentes. Se expone la esencia de cada esquema, como ideas clave,
encriptaciones o construcciones de matrices de precodificación, etc.
El objeto de este artículo se centra exclusivamente en los ataques pasivos por las siguientes
razones:
- Primero, en el contexto de la seguridad de la red, las preguntas, los métodos son
muy diferentes entre los ataques pasivos y los activos. Por lo que es razonable
discutirlos por separado.
- En segundo lugar, los estudios hasta ahora sobre ataques pasivos, especialmente
ataques de escuchas telefónicas son más profundos y más sistemáticos que los
ataques activos.
- Por último, pero no menos importante, se muestra que la codificación de red es
inherentemente más resistente a los ataques pasivos en comparación con el
enrutamiento, pero en comparación, se queda corto cuando se trata de ataques
activos.

[ CITATION Yan19 \l 12298 ]

24
Bibliografía
Haihui Ge, L. G. (2010). An Attack Graph Based Network Security Evaluation Model for Hierarchical
Network. 2010 IEEE International Conference on Information Theory and Information
Security (pp. 208-211). Beijing, China: IEEE.

Izzat Alsmadi, R. B.-Q.-O. (2018). Network Security. In R. B.-Q.-O. Izzat Alsmadi, Practical
Information Security (pp. 121-138). Springer International Publishing.

Liu, Y. (2019). Security against passive attacks on network coding system – A survey. Computer
Networks, 57-75.

Wei Xi, S. S. (2019). A Design and Implementation Method of IPSec.

Yıldırım, M. (2019, abril 11). Encouraging users to improve password security and memorability. p.
18.

Referencias Electrónicas

Agencia de Regulacion y Control de las Telecomunicaciones (ARCOTEL). (2004). Ley Especial de

Telecomunicaciones reformada. FIEL Magister 7.1. Obtenido de
https://www.arcotel.gob.ec/wp-
content/uploads/downloads/2013/07/ley_telecomunicaciones_reformada.pdf

Agencia de Regulacion y Control de las Telecomunicaciones (ARCOTEL). (2017). Resolucion 0806

"Norma técnica para la provisión de infraestructura física a ser usada por prestadores de
servicio del régimen general de telecomunicaciones en sus redes públicas de
telecomunicaciones". ARCOTEL. Obtenido de https://www.arcotel.gob.ec/wp-
content/uploads/downloads/2017/08/Resolucion-0806-ARCOTEL-2017.pdf

CELSIA S.A. (2013). Políticas de tecnologías de información y comunicación TIC. CELSIA S.A.
Obtenido de https://www.celsia.com/Portals/0/contenidos-celsia/nuestra-
empresa/politicas-y-adhesiones/politicas/politica-tecnologias-de-informacion-y-
comunicacion-tic.pdf

Director ejecutivo de CEUPE. (s.f.). Obtenido de Centro Europeo de Postgrado (CEUPE):

https://www.ceupe.com/blog/ejemplo-politica-seguridad-informacion-y-sgsi.html

25
Haihui Ge, L. G. (2010). An Attack Graph Based Network Security Evaluation Model for Hierarchical
Network. 2010 IEEE International Conference on Information Theory and Information
Security (págs. 208-211). Beijing, China: IEEE.

Instituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione. (s.f.). La sicurezza

delle reti nelle infrastrutture critiche. Instituto Superiore delle Comunicazioni e delle
Tecnologie dell'Informazione. Obtenido de
http://www.isticom.it/documenti/news/pub_003_ita.pdf

Ministerio de la presidencia y para las administraciones territoriales, Gobierno de España. (2016).

POLÍTICA DE SEGURIDAD DE LAS TIC. España: Centro Criptológico Nacional. Obtenido de
https://www.ccn-cert.cni.es/pdf/guias/series-ccn-stic/guias-de-acceso-publico-ccn-
stic/1579-ccn-stic-001-informacion-clasificada-en-la-administracion/file.html

Ministerio de Telecomunicaciones y de la Sociedad de la Información (MINTEL). (2017). Políticas

públicas del sector de las telecomunicaciones y de la sociedad de la información 2017 -
2021. Quito: MINTEL. Obtenido de https://www.telecomunicaciones.gob.ec/wp-
content/uploads/2017/10/Pol%C3%ADtica-P%C3%BAblica-del-Sector-de-las-
Telecomunicaciones-y-de-la-Sociedad-de-la-Informaci%C3%B3n-Registro-Oficial.pdf

Secretaria Nacional de Telecomunicaciones (SENATEL). (2012). Manual de procesos de la

secretaria nacional de telecomunicaciones. Quito: ARCOTEL. Obtenido de
https://www.arcotel.gob.ec/wp-content/uploads/2015/10/manual-de-procesos.pdf

26