DIPLOMADO EN SEGURIDAD INFORMÁTICA

UNIDAD 3

“Usted puede tener implementada la mejor tecnología, Firewalls, sistemas de

detección de intrusos o complejos sistemas de autenticación biométricos, pero lo
único que se necesita es una llamada telefónica a un empleado desprevenido y
acceden al sistema sin más. Tienen todo en sus manos”,

Kevin Mitnick, The Art of Intrusion.

1. Seguridad en la conexión de la empresa a Internet

Internet es una red de ordenadores que fue diseñada en los años 70, partiendo de
recursos bastante limitados, comparados con los disponibles en la actualidad en
cualquier organización.

Así, en aquel momento la capacidad de memoria y de procesamiento de los

equipos informáticos era bastante limitada. Varios órdenes de magnitud inferior a
la de los equipos actuales, y debemos tener en cuenta además que la capacidad
de las líneas de comunicación de datos en ese momento, era extremadamente
reducida(del orden de unos pocos cientos de bits por segundo).
Por este motivo, el diseño inicial de Internet fue realizado con la premisa de
utilizar protocolos y servicios muy sencillos y poco exigentes en cuanto a recursos
informáticos y ancho de banda consumido. Además, el entorno de trabajo de la
primera etapa de Internet estaba constituido por varias universidades y centros de
investigación de Estados Unidos, con el objetivo fundamental de facilitar el
intercambio de información entre los profesores e investigadores: básicamente,
envío de mensajes de correo electrónicos en formato de texto, así como la difusión
de algunos documentos de texto con resultados de los estudios y trabajos de
investigación.

En consecuencia, teniendo en cuenta los limitados recursos disponibles y que se

estaba trabajando en un entorno confiable con aplicaciones y recursos sencillos y
que no manejaban datos especialmente sensibles, se prestó una atención escasa
o prácticamente nula a los aspectos relacionados con la seguridad.

Por estas características, en la actualidad debemos asumir que la inseguridad es

una parte intrínseca de Internet, como una consecuencia de las limitaciones de su
diseño inicial.

Una organización puede tratar de gestionar la seguridad informática en la

conexión a Internet, pero nunca podría eliminar totalmente los posibles riesgos o
amenazas que traten de aprovechar las limitaciones en algunos de los protocolos
y servicios de Internet.

Podemos señalar distintas cuestiones a tener en cuenta a la hora de gestionar la

seguridad de la conexión de una empresa a Internet:

 Implantar un sistema de autenticación de los usuarios de los servicios.

 Garantizar la confidencialidad e integridad de las comunicaciones, mediante
la utilización de protocolos criptográficos suficientemente robustos.
 Controlar los accesos a los servicios ofrecidos por la organización, tanto por
parte de los usuarios internos como por parte de los usuarios externos.
 Controlar y supervisar la utilización de los servicios públicos e internet por
parte de los empleados de la organización.
 Garantizar la disponibilidad de los servicios y del funcionamiento de la red
de la organización.
 Controlar los accesos a los equipos de la propia organización.
 Evitar los intentos de intrusión que exploten “agujeros de seguridad “en los
ordenadores y dispositivos de conexión a la red.
De hecho, una organización puede proporcionar una serie de servicios a los
usuarios de Internet a través de uno o varios servidores dedicados, que son
equipos informáticos con altas prestaciones que ofrecen recursos e
información y que se encuentran permanentemente conectados a Internet, con
el objetivo de facilitar información corporativa y sobre todo, los
productos(catálogo electrónico de productos), prestar servicio y apoyo técnico
posventa a los clientes ,etc.

Estos servicios se deben facilitar de una forma segura, controlando el acceso a

los datos y a los recursos del servidor o servidores conectados a Internet y
garantizando en todo momento la disponibilidad de la conexión y del servicio,
evitando posibles ataques de denegación de servicio.

En este sentido, se pueden adoptar dos estrategias de defensa: Defensa

equipo a equipo y Defensa perimetral.

Defensa equipo a equipo

En la estrategia de defensa equipo a equipo, cada dispositivo de la red de la

empresa conectado a Internet debe estar perfectamente configurado y es
auditado de forma sistemática para monitorizar su uso y registrar los intentos
de acceso no autorizados. Es una estrategia no tan sencilla de poner en
práctica, debido a que se pueden cometer errores en la configuración al tener
que comprobar un número importante de equipos y se dificulta la tarea de las
personas dentro de la organización por la adopción de estrictas medidas de
control y de seguridad.

Defensa Perimetral

En esta estrategia se crea una barrera entre la red interna de la organización y

el mundo exterior, canalizando todo el tráfico potencialmente hostil a través de
un único punto de acceso que se encuentra bien protegido y monitorizado: El
Firewall o cortafuego,s cuya misión es auditar todos los intentos de conexión
desde la red de la empresa hasta el exterior y viceversa, permitiendo sólo
aquellos que hayan sido expresamente autorizados por los responsables
informáticos de la empresa.

De esta manera se facilita la tarea de monitoreo al personal informático de las

empresas porque se focaliza y controla un número menor de elementos, al
tiempo que se pueden implementar medidas menos restrictivas en la red
interna que faciliten el trabajo a sus usuarios.
La Figura Nro. 1 muestra el esquema de una conexión corporativa con un
sistema de defensa perimetral a través de un Firewall:

Figura Nro.1 Conexión corporativa a intranet utilizando un router

y un Firewall.

En el siguiente esquema se muestra la zona DMZ - donde se ubican los

equipos informáticos de la organización que actúan de servidores, ofreciendo
información y ciertos recursos a los usuarios que se conectan desde el exterior.

El firewall permite realizar conexiones desde el exterior hacia los equipos de

esta “zona desmilitarizada” y puede impedir totalmente cualquier intento de
conexión hacia el resto de la red local de la organización.

La correcta implantación de soluciones técnicas basadas en hardware o en

software requiere de competencias en el personal y conocimiento detallado del
funcionamiento de Internet y de la familia de protocolos TCP/IP, así como de
experiencia en la configuración de equipos y soluciones implantadas. Otro
aspecto a destacar es el adecuado mantenimiento y actualización de parches y
revisiones publicadas por los diversos fabricantes, además de realizar
procesos de monitoreo continuos del funcionamiento de las soluciones
implantadas.
Para decidir cuál es la solución técnica recomendada para cada caso, se
requiere de un análisis de la empresa bajo 2 puntos de vista:

1. Como “cliente” de los servicios disponibles en Internet: en este caso hay

algunas preguntas que debe responderse: A) ¿Qué servicios de Internet
van a estar disponibles para los distintos usuarios internos de la red
informática de la organización : correo electrónico , acceso al www,
procesos de videoconferencia IP, chats, entre otros. B) ¿Qué empleados
podrán utilizar cada uno de estos servicios y con qué finalidad,
estableciendo de este modo políticas de control de accesos?. C) ¿Cómo se
va a restringir y controlar el acceso a estos servicios, implantando con
herramientas las políticas de control de acceso? y D) ¿En qué medida se
va a registrar la actividad en las conexiones a Internet para detectar
situaciones anómalas o sin autorización?

Se tiene que la solución a estas cuestiones va a exigir implantar soluciones

técnicas, que deben ir acompañadas de capacitación y sensibilización a
empleados que van a tener acceso a los servicios de Internet.

2. Coómo “servidor” que ofrece sus propios servicios dentro de Internet: En

este caso hay algunas preguntas que debe responderse también: A) ¿Qué
servicios se van a ofrecer a usuarios externos?. B) ¿Qué volumen
transaccional y qué tipo de transacciones se van a manejar?. C) ¿Cómo se
va a garantizar la disponibilidad de estos servicios?. D) ¿Cómo se va a
gestionar la seguridad en el servidor o servidores de la empresa dedicados
a estas funciones?. E) ¿En qué medida se van a integrar estos servicios
con la red interna de la organización? y F)¿Cómo se va a registrar y
supervisar la utilización de estos servicios para evitar intentos de ataque o
de violación de las políticas de control de acceso establecidas?.
2.Tipos de amenazas a la seguridad en las redes de ordenadores

De acuerdo con lo que se menciona en la historia de la informática, se propone

que el primer “Bug”1 o fallo informático tiene su origen en 1878, época donde
Thomas Edison utilizaba la palabra bug como sinónimo de errores, interferencias,
mal funcionamiento y problemas.

Sin embargo, fue el 9 de septiembre de 1945 en el laboratorio de cálculo Howard

Aiken en la Universidad de Harvard, donde Grace Murray Hopper (1906-1992) -
quien trabajaba como programadora del ordenador Mark II- en su intento por
averiguar la causa de un fallo en dicho ordenador (uno de los primeros totalmente
electrónicos), descubrió que éste se debía a la presencia de una polilla
enganchada a uno de los relés electromagnéticos del sistema (concretamente el
relé número 70 del panel F) que impedía el correcto funcionamiento del
computador. Es decir, en aquel momento el origen del fallo del ordenador era
literalmente un bug (que en inglés significa bicho o insecto). Lo más simpático de
la historia es que el cadáver de dicho lepidóptero pasó a formar parte de la historia
de la informática, no sólo por su hazaña, sino también de cuerpo presente, ya que
su cuerpo inerte fue pegado al libro de registro de actividad del ordenador con el
comentario «First actual case of bug being found» (Primer caso real de bug
encontrado)2.

1
Fuente : https://es.wikipedia.org/wiki/Error_de_software

2
Fuente : http://clipset.20minutos.es/este-fue-el-primer-bug-real-de-la-historia-de-la-informatica/
Figura Nro 2. Primer Bug reconocido de la historia.

Figura Nro.3 Imágenes del Mark II.

Con el tiempo, el término ha ido extendiéndose y ampliando su acepción hasta
llegar a cubrir la ineptitud de algunos programadores a la hora de hacer
correctamente su trabajo, pero esa es otra historia.

Hasta finales de 1988 muy poca gente se tomaba en serio el tema de seguridad
en redes de ordenadores. Sin embargo, el 22 de noviembre de 1988, Robert
Morris protagonizó el primer gran incidente de la seguridad informática: uno de sus
programas se convirtió en un famoso “worn” o gusano de Internet. Miles de
ordenadores conectados a la red se vieron inutilizados durante días y las pérdidas
se estimaron en millones de dólares. Desde ese momento el tema de seguridad en
las redes de ordenadores ha sido un factor a tener muy en cuenta por cualquier
responsable o administrador de los sistemas informáticos.
Figura Nro. 4 Creador del primer gusano3.

Poco después de este incidente y previamente identificados los peligros que

podría entrañar un fallo o un ataque contra los sistemas informáticos
estadunidenses, la agencia DARPA (Defense Advanced Research Projects
Agency) creó el famoso CERT (Computer Emergency Response Team) – Equipo
de respuesta a Emergencias informáticas- un grupo constituido en su mayor parte
por voluntarios muy cualificados de la comunidad informática , cuya misión
principal era facilitar una respuesta rápida a los problemas de seguridad que
afectaran a redes de ordenadores conectados a Internet.

Posteriormente, surgieron iniciativas análogas en otros países como es el CERT

en España.

Han pasado más de 20 años y cada día se hace más patente la preocupación por
temas de seguridad en las redes de ordenadores. Sobretodo si se tienen en
cuenta las noticias de los numerosos ataques informáticos llevados a cabo contra
redes de empresas e instituciones de prestigio.

3
Imagen tomada de : http://www.reliaquest.com/blog/morris-melissa-code-red/
El siguiente cuadro muestra la evolución de los ataques en las redes de
ordenadores según CERT:

Cuadro Nro.1 Evolución de ataques según CERT.

Los problemas de seguridad más importantes que afectan las redes de

ordenadores son los que se enumeran a continuación:
 Robo de información mediante interceptación de mensajes que han sido
enviados por la red.
 Conexión no autorizada a equipos informáticos con el fin de acceder a
información confidencial o a servicios de acceso restringido.
 Violación de sistemas de control de acceso o explotación de agujeros de
seguridad.
 Suplantación de identidad.
 Destrucción y modificación de datos de forma controlada o descontrolada,
por medio de la introducción de virus y troyanos.
 Modificación de la información guardada en un ordenador conectado a la
red informática, con la intención de alterar el contenido de ciertas
transacciones o los datos incluidos en catálogos electrónicos de productos.
 Análisis del tráfico a partir de la observación de la utilización de las líneas
de comunicación o los discos duros de los ordenadores.
 Denegación del servicio, impidiendo que el sistema pueda operar con
normalidad.

A la hora de identificar los tipos de intrusos en las redes de ordenadores

podemos establecer una clasificación:
  Los Crakers: que son piratas informáticos con el interés en atacar un
sistema para obtener beneficios de alguna forma ilegal o
simplemente para provocar un daño a la organización propietaria del
sistema.

 Los Hackers: son intrusos que se dedican a estas tareas como

pasatiempo y reto técnico. Ellos entran al sistema para demostrar su
inteligencia y conocimientos de los entresijos de las redes, pero no
pretenden provocar daños en estos sistemas. En la siguiente imagen
se muestra a Kevin Mitnick, uno de los Hackers más famosos del
mundo y autor de muchos libros sobre intrusión.

 Los Sniffers: se dedican a rastrear y tratar de recomponer y descifrar

los mensajes que circular en las redes.

También debemos tener en cuenta el papel desempeñado por algunos empleados

en muchos de los ataques e incidentes de seguridad informática, ya sea de
manera voluntaria o no. Así, podríamos considerar el papel de los empleados que
actúan como “fisgones” en la red informática de su organización, los usuarios
incautos o despistados o los empleados descontentos o desleales que pretender
causar algún daño a la organización. Es por ello, que conviene reforzar la
seguridad tanto en relación con el personal interno (insider) como con el personal
externo –usuarios externos del sistema informático (outsiders).

Por otro lado, los exempleados pueden actuar contra su antigua organización por
despecho o venganza, accediendo a información por medio de contraseñas que
no se han vencido o servidores de la organización que ellos conocen. También se
puede provocar una “bomba informática lógica” para causar daños como
eliminación de ficheros, archivos, envío de información a terceros, entre otros tras
un despido a manera de venganza.

Los intrusos remunerados son expertos informáticos contratados por un tercero

para la sustracción de información confidencial y llevar a cabo sabotajes contra
una organización.

La legislación de muchos países de nuestro entorno se ha tenido que adaptar con

mucha rapidez para combatir los diferentes tipos de crímenes informáticos y
delitos surgidos de ataques informáticos a la seguridad de los sistemas de
telecomunicación y redes de ordenadores. En Colombia, el nuevo Código Penal
que entró en vigor en 1996 contiene muchas referencias a los delitos informáticos,
entre ellos está por ejemplo el daño por destrucción, alteración o inutilización de
equipos, programas o incluso datos guardados en un sistema informático.

El FBI ha acuñado el acrónimo MICE para resumir distintas motivaciones de los

atacantes e intrusos en las redes de ordenadores: (Money, Ideology, Compromise
and Ego) – (Dinero , ideología, Compromiso y Autorealización Personal).

En general, uno podría resumir las causas de los atacantes o sus motivaciones en
el siguiente resumen:

 Consideraciones económicas: Llevar a cabo operaciones de fraude,

transacciones en línea, robo de información confidencial que vende a
terceros, extorsión e intentos de manipulación de cotizaciones bursátiles,
etc.
 Diversión.
 Ideología: Ataques realizados a empresas u organizaciones determinadas
con un fin político.
 Autorrealización.
 Búsqueda de reconocimiento social.

Los fraudes y estafas financieras a través de Internet se han hecho muy

frecuentes en los últimos años. Se utiliza el término de “phishing” para referirse al
tipo de ataques que tratan de obtener los números de cuentas y claves de accesos
de servicios bancarios para realizar con ellos operaciones comerciales
fraudulentas que perjudiquen a los legítimos propietarios. Normalmente se utilizan
páginas web falsas que imitan las originales.
El “pharming” es una variante del phishing en la que los atacantes utilizan un virus
que conecta a las víctimas desde su ordenador a paginas falsas, en lugar de las
legitimas de sus bancos para capturar números de cuentas, usuarios y claves de
accesos.

El pharming y el phishing pueden ser empleados para robar y utilizar de forma

fraudulenta números de tarjetas de crédito y llevar a cabo ataques tipo “salami”,
que consisten en la repetición de operaciones pequeñas como transferencias de
importe reducido para pasar inadvertidas de forma individual, pero que en conjunto
pueden representar daño económico sustancial.

Por otro lado se ha desarrollado el “ransom ware” que es software malicioso que
busca el lucro por medio de rescates- es un tipo de extorsión. Un caso famoso fue
el PGPcoder en mayo de 2005 que pretendía dinero a cambio de que los usuarios
afectados pudiesen restaurar su información de ficheros.

También podemos considerar dentro de este tipo de ataques la difusión de correos

electrónicos con ofertas falsas o engañosas, así como la publicación de falsas
noticias en foros y grupos de noticias, con intención de alterar el valor de las
acciones de una empresa.

Los ataques contra redes de ordenadores y sistemas informáticos suelen constar

de las etapas o fases que se presentan a continuación:

1. Descubrimiento y exploración del sistema informático.

2. Búsqueda de vulnerabilidades en el sistema.
3. Explotación de las vulnerabilidades detectadas por medio de exploits. Comentario [JML1]: Definir exploits

4. Corrupción o compromiso del sistema, esto es la modificación de

programas y ficheros del sistema para dejar instaladas puertas traseras o
troyanos.
5. Creación de cuentas con privilegios administrativos que faciliten el posterior
acceso del atacante en el sistema.
6. Eliminación de las pruebas que puedan involucrar al atacante y que
permitan identificar el compromiso del sistema, esto incluye borrado de
logs, cambios en programas de monitoreo y parches de vulnerabilidad para
que no pueda ser utilizada por ningún otro intruso, inclusive.

El siguiente gráfico tomado de (Oficial Certified Ethical Hacker, 2007) nos

muestra dichas fases descritas:
 Figura Nro. 5. Etapas de un ataque informático.

Para poder llevar a cabo un ataque informático, los intrusos deben disponer de
medios técnicos, los conocimientos, las herramientas informáticas adecuadas,
motivación y finalidad y se debe contar con la oportunidad que facilite el ataque.
Estos tres aspectos constituyen lo que se llama “El Triángulo de la Intrusión”,
concepto que se presenta de forma gráfica a continuación:
Figura Nro. 6. Triángulo de la Intrusión

En cuanto a los medios y herramientas disponibles para hacer ataques, podríamos

mencionar algunas en la siguiente lista:

 Sniffers: dispositivos que capturan paquetes de datos que circulan en una

red.
 Exploits: herramientas que buscan y explotan vulnerabilidades.
 Escáneres de puerto: son escáneres que permiten detectar los servicios
instalados en un determinado sistema informático.
 Backdoors kits: programas que permiten abrir y explotar puertas traseras.
 Root kits: programas para ocultar puertas traseras.
 Auto-rooters: herramientas capaces de automatizar totalmente un ataque.
 Password crakers: aplicaciones que permiten averiguar contraseñas de los
usuarios del sistema comprometido.
 Generadores de virus y programas maliciosos.
 Herramientas que facilitan la ocultación y suplantación de direcciones IP
(spoofing).
 Herramientas de cifrado y protocolos criptográficos (como son PGP, SSH y
SSL).

Bibliografía y Cibergrafía

http://www.dte.us.es/personal/mcromero/docs/ip/tema-seguridad-IP.pdf

http://www.blogodisea.com/cual-origen-palabra-bug-errores-programacion.html

http://www.masadelante.com/faqs/que-es-un-gusano

http://www.gitsinformatica.com/ciberataques.html
https://es.wikipedia.org/wiki/Hacker

https://hipertextual.com/presentado-por/movistar-plus/crackers-mr-robot

Acurio Del Pino S. (2010). Pontificia Universidad Católica del Ecuador. Los Delitos
Informáticos en el Ecuador

Bueno López, D. M. D. C. (2014). Los crímenes informáticos: el lado oscuro de la

creatividad en la informática.

Kevin Mitnick, The Art of Intrusión. John Wiley & Sons, 2005.

LOBO PARRA, L. D., OVALLOS OVALLOS, J. A., & SIERRA GOMEZ, A. N. A.

(2014). PLAN DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DE LA
BIBLIOTECA ARGEMIRO BAYONA DE LA UNIVERSIDAD FRANCISCO DE
PAULA SANTANDER OCAÑA, MEDIANTE LA APLICACIÓN DE LA NORMA ISO
27001 Y TÉCNICAS DE ETHICAL HACKING (Doctoral dissertation).

Muñoz Cedeño, D. E. (2014). Monitoreo e identificación de ataques a redes

(Doctoral dissertation).

Official Certified Ethical Hacker Review Guide, Sybex. 2007.

http://andressantana.260mb.net/violacion-a-sistemas-informaticos-hackers-y-
crackers/?ckattempt=1

http://www.solvetic.com/tutoriales/article/899-seguridad-%E2%80%93-
introduccion-a-seguridad-de-la-informacion/