CAPITULO I.

MONITOREO DE SISTEMAS

1.1 ACCESO A BASES DE DATOS

Una base de datos es un almacén que nos permite guardar grandes cantidades de
información de forma organizada para que luego podamos encontrar y utilizar
fácilmente.

El término de bases de datos fue escuchado por primera vez en 1963, en un

simposio celebrado en California. Una base de datos se puede definir como un
conjunto de información relacionada que se encuentra agrupada ó estructurada.
Una base de datos es una colección de archivos relacionados que permite el
manejo de la información de alguna compañía. Cada uno de dichos archivos
puede ser visto como una colección de registros y cada registro está compuesto
de una colección de campos.

Cada uno de los campos de cada registro permite llevar información de algún
atributo de una entidad del mundo real.

Un sistema de base de datos es algo más que simples datos o que un conjunto de
datos en combinación con unos programas de gestión. Es una entidad en la cual
se pueden almacenar datos de manera estructurada, con la menor redundancia
posible. Diferentes programas y diferentes usuarios deben poder utilizar estos
datos. Por lo tanto, el concepto de base de datos generalmente está relacionado
con el de red ya que se debe poder compartir esta información. Sistema de
información es el término general utilizado para la estructura global que incluye
todos los mecanismos para compartir datos que se han instalado.

1.1.1 CARACTERÍSTICAS

Entre las principales características de los sistemas de base de datos podemos

mencionar:

a) Independencia lógica y física de los datos: se refiere a la capacidad

de modificar una definición de esquema en un nivel de la arquitectura

25
 sin que esta modificación afecte al nivel inmediatamente superior. Para
ello un registro externo en un esquema externo no tiene por qué ser
igual a su registro correspondiente en el esquema conceptual.
b) Redundancia mínima: Se trata de usar la base de datos como
repositorio común de datos para distintas aplicaciones.

c) Acceso concurrente por parte de múltiples usuarios: Control de

concurrencia mediante técnicas de bloqueo o cerrado de datos
accedidos a los usuarios.

d) Integridad de los datos: Se refiere a las medidas de seguridad que

impiden que se introduzcan datos erróneos. Esto puede suceder tanto
por motivos físicos (defectos de hardware, actualización incompleta
debido a causas externas), como de operación (introducción de datos
erróneos).

e) Consultas complejas optimizadas: La optimización de consultas

permite la rápida ejecución de las mismas.

f) Seguridad de acceso y auditoría: Se refiere al derecho de acceso a

los datos contenidos en la base de datos por parte de personas y
organismos. El sistema de auditoría mantiene el control de acceso a la
base de datos, con el objeto de saber qué o quién realizó una
determinada modificación y en qué momento.

g) Respaldo y recuperación: se refiere a la capacidad de un sistema de

base de datos de recuperar su estado en un momento previo a la
pérdida de datos.

Permite que sólo se puedan ver, los registros de la base de datos, cuando el
usuario haya introducido un determinado número de registros en ella.

25
Permite configurar los derechos de edición. Puede agregar entradas, si lo
permite en la base de datos. Esto no restringe la visualización de sus entradas
para todos.

Se puede limitar el número máximo de entradas de cada participante.

Podemos permitir añadir comentarios a las entradas de la base de datos.

1.1.2 COMPONENTES

Datos:

Las características más importantes de la información en estos sistemas es que va

a estar integrada y compartida. Integrada: La Base de datos puede considerarse
como una unificación de varios ficheros de datos, que son tratados como uno solo,
y en el que se ha eliminado totalmente, o en parte, la redundancia de datos.
Compartida: Los datos pueden compartirse entre varios usuarios distintos.

Equipo:

Conjunto de dispositivos físicos utilizados para almacenar y procesar los datos.

Los ordenadores personales eran empleados, inicialmente, para manejar bases de
datos autónomas controladas y manipuladas por un usuario único. No obstante,
actualmente, también pueden conectarse a una red cliente/servidor, garantizando
el acceso de varios usuarios a una base de datos común almacenada en unidades
de disco y controladas por un ordenador servidor. El servidor puede ser otro
ordenador personal más potente.

Software:

Un sistema de base de datos incluye dos tipos de programas, El software de

propósito general, para la gestión de la base de datos, comúnmente llamado
sistema gestor de bases de datos y el software de aplicación, que usa las
facilidades para manipular la base de datos con el fin de llevar a cabo una función
específica en la gestión de la empresa.

25
Usuario:

Un usuario es el responsable de escribir programas de aplicación que utilizan las

bases de datos. Es aquel que interactúa con el sistema desde una terminal en
línea, tiene acceso al sistema a través de una aplicación en línea para el usuario
final. Tanto como es el responsable del control total del sistema, además de ser un
usuario altamente experimentado, ofrece el soporte técnico para la base de datos,
decide qué información se mantiene en la base de datos.

1.2 PRUEBAS DE SOFTWARE

Consisten en la dinámica de la verificación del comportamiento de un programa en

un conjunto finito de casos de prueba, debidamente seleccionados de por lo
general infinitas ejecuciones de dominio, contra la del comportamiento esperado.
Son una serie de actividades que se realizan con el propósito de encontrar los
posibles fallos de implementación, calidad o usabilidad del programa u ordenador
probando el comportamiento del mismo.

Son las investigaciones empíricas y técnicas cuyo objetivo es proporcionar

información objetiva e independiente sobre la calidad del producto a la parte
interesada.

Las pruebas son básicamente un conjunto de actividades dentro del desarrollo de

software. A cada uno corresponde un nivel distinto de involucramiento en las
actividades de desarrollo.

El único instrumento adecuado para determinar el estatus de la calidad de un

producto software es el proceso de pruebas. En este proceso se ejecutan pruebas
dirigidas a componentes del software o al sistema de software en su totalidad, con

25
el objetivo de medir el grado en que el software cumple con los requerimientos. En
las pruebas se usan casos de prueba, especificados de forma estructurada
mediante técnicas de prueba.

1.2.1 TIPOS

Deben realizarse distintos tipos de pruebas antes de poner en función el programa

de monitoreo, lo que incluye especificaciones de requisitos, casos de uso,
diagramas de diversos tipos y, por supuesto, el código fuente y el resto de
productos que forman parte de la aplicación

Pruebas de caja negra:

En este tipo de prueba, los datos de prueba se escogerán atendiendo a las

especificaciones del problema, sin importar los detalles internos del programa, a
fin de verificar que el programa corra bien.

Este tipo de prueba se centra en los requisitos funcionales del software y permite
obtener entradas que prueben todos los flujos de una funcionalidad.

Con este tipo de prueba podemos detectar:

 Funcionalidades incorrectas o ausentes.

 Errores de interfaz.
 Errores en estructuras de datos o en accesos a las bases de datos
externas.
 Errores de rendimiento.
 Errores de inicialización y finalización

Pruebas de caja blanca:

Consiste en realizar pruebas para verificar que líneas específicas de código

funcionan tal como esta definido. También se le conoce como prueba de caja
transparente. La prueba de la caja blanca es un método de diseño de casos de

25
prueba que usa la estructura de control del diseño procedimental para derivar los
casos de prueba.

Con este tipo de prueba podemos detectar:

 Se ejecutan al menos una vez todos los caminos independientes de cada

módulo
 Se utilizan las decisiones en su parte verdadera y en su parte falsa
 Se ejecuten todos los bucles en sus límites
 Se utilizan todas las estructuras de datos internas.

Pruebas de Integración:
Consiste en construir el sistema a partir de los distintos componentes y probarlo
con todos integrados. Estas pruebas deben realizarse progresivamente.

Pruebas de aceptación:
Son las únicas pruebas que son realizadas por los usuarios expertos, todas las
anteriores las lleva a cabo el equipo de desarrollo. Consiste en comprobar si el
producto está listo para ser implantado para el uso operativo en el entorno del
usuario. Podemos distinguir entre dos tipos de pruebas, en ambas existe
retroalimentación por parte del usuario experto:

 Pruebas alfa: Las realiza el usuario en presencia de personal de

desarrollo del proyecto haciendo uso de una máquina preparada
para las pruebas.
 Pruebas beta: Las realiza el usuario después de que el equipo de
desarrollo les entregue una versión casi definitiva del producto.

Pruebas funcionales:

25
Este tipo de prueba se realiza sobre el sistema funcionando, comprobando que
cumpla con la especificación.

Pruebas de rendimiento:

Las pruebas de rendimiento se basan en comprobar que el sistema puede

soportar el volumen de carga definido en la especificación, es decir, hay que
comprobar la eficiencia.

1.3 BLOQUEO DE INTRUSOS

Un sistema de detección de intrusos (IDS) es un proceso o dispositivo activo que

analiza la actividad del sistema y de la red por entradas no autorizadas o
actividades maliciosas. La forma en que un IDS detecta las anomalías pueden
variar ampliamente; sin embargo, el objetivo final de cualquier IDS es el de atrapar
a los perpetradores en el acto antes de que hagan algún daño a sus recursos.

Un IDS protege a un sistema contra ataques, malos usos y compromisos. Puede

también monitorear la actividad de la red, auditar las configuraciones de la red y
sistemas por vulnerabilidades, analizar la integridad de los datos y más.
Dependiendo de los métodos de detección que seleccione utilizar, existen
numerosos beneficios directos e incidentales de usar.

Un firewall es un sistema encargado del cumplimiento de las políticas de control

de acceso a la red, lo cual se hace a través de reglas. Un firewall actúa como
guardia perimetral de una red: protege una red de ataques que provengan del
exterior de ésta.

Normalmente un intruso intenta acceder a una determinada información, manipular

cierta información y además hacer que el sistema no funcione de forma segura o
inutilizable.

25
Una intrusión es cualquier conjunto de acciones que puede comprometer la
integridad, confidencialidad o disponibilidad de una información o un recurso
informático. Los intrusos pueden utilizar debilidades y brechas en la arquitectura
de los sistemas y el conocimiento interno del sistema operativo para superar el
proceso normal de autenticación.

La detección de intrusos se puede detectar a partir de la caracterización anómala

del comportamiento y del uso que hacen de los recursos del sistema. Este tipo de
detección pretende cuantificar el comportamiento normal de un usuario.

Los sistemas de deteccion de intrusos son una evolucion directa de los primeros
sistemas de auditorıas. Estos sistemas tenıan como finalidad medir el tiempo que
dedicaban los operadores a usar los sistemas. Con esta finalidad, se
monitorizaban con una precision de milesimas de segundo y servıan, entre otras
cosas, para poder facturar el servidor.

Los primeros sistemas aparecieron en la decada de los cincuenta, cuando la

empresa norteamericana Bell Telephone System creo un grupo de desarrollo con
el objetivo de analizar el uso de los ordenadores en empresas de telefonıa. Este
equipo establecio la necesidad de utilizar auditorıas mediante el procesamiento
electronico de los datos, rompiendo con el anterior sistema basado en la
realizacion de informes en papel. Este hecho provoco que a finales de los anos 50
la Bell Telephone System se embarcara en el primer sistema a gran escala de
facturacion telefonica controlada por ordenadores.

Una intrusión es una secuencia de acciones realizadas por un usuario o proceso

deshonesto, con el objetivo final de provocar un acceso no autorizado sobre un
equipo o un sistema al completo.
La intrusión consistirá en la secuencia de pasos realizados por el atacante que
viola una determinada polıtica de seguridad. La existencia de una polıtica de
seguridad, en la que se contemplan una serie de acciones deshonestas que hay
que prevenir, es un requisito clave para la intrusion. Es decir, la violacion solo se
podra detectar cuando las acciones observadas puedan ser comparadas con el
conjunto de reglas definidas en la polıtica de seguridad.

25
 1.4 MANTENIMIENTO
Se le conoce como mantenimiento a la modificación de un producto software
después de haber sido entregado (a los usuarios o clientes) con el fin de corregir
defectos, mejorar el rendimiento u otros atributos, o adaptarlo a un cambio en el
entorno.
El mantenimiento de software es la modificación de un producto de software
después de la entrega, para corregir errores, mejorar el rendimiento, u otros
atributos.
El mantenimiento de software es también una de las fases en el ciclo de vida de
desarrollo de sistemas, que se aplica al desarrollo de software. La fase de
mantenimiento es la fase que viene después del despliegue (implementación) del
software en el campo.
Una percepción común del mantenimiento es que se trata exactamente de la
corrección de defectos. Este tipo de mantenimiento consiste en la modificación de
un programa debido a cambios en el entorno (hardware o software) en el cual se
ejecuta. Estos cambios pueden afectar al sistema operativo (cambio a uno más
moderno), a la arquitectura física del sistema informático o al entorno de desarrollo
del software. Es una de las actividades en la Ingeniería de Software y es el
proceso de mejorar y optimizar el software desplegado (revisión del programa), así
como también remediar los defectos.
El mantenimiento de software es también una de las fases en el Ciclo de Vida de
Desarrollo de Sistemas (SDLC ó System Development Life Cycle), que se aplica al
desarrollo de software. La fase de mantenimiento es la fase que viene después del
despliegue (implementación) del software en el campo.
La fase de mantenimiento de software involucra cambios al software en orden de
corregir defectos y dependencias encontradas durante su uso tanto como la
adición de nueva funcionalidad para mejorar la usabilidad y aplicabilidad del
software.
A medida que pasa el tiempo, las aplicaciones de software deben ser sometidas a
procesos de modificación que extiendan su vida útil o mejoren sus características.

25
Corrección de bugs, adaptación a nuevos entornos tecnológicos o agregado de
funcionalidad son algunas de las tareas que incluye el mantenimiento del software,
una actividad que se repite periódicamente desde que empieza a utilizarse hasta
su abandono definitivo. El mantenimiento informático, o también llamado soporte
informático, consiste en una serie de tareas que son llevadas a cabo por personal
interno o por empresas especializadas para mantener en determinados niveles de
servicio los sistemas informáticos. El mantenimiento de servidores es un poco más
complejo y requiere de personal con elevada cualificación técnica y de confianza.
Dado que en los servidores suele encontrarse la información más crítica de la
empresa. Tareas comunes de este mantenimiento son la actualización de
software y hardware, las copias de seguridad, el visionado de logs, análisis de
rendimiento, etc.
Se señalan los tipos de servicio de mantenimientos existentes, y entre paréntesis
el porcentaje aproximado respecto al total de operaciones de mantenimiento:

Perfectivo (60%): Mejora del software (rendimiento, flexibilidad, reusabilidad.) o

implementación de nuevos requisitos. También se conoce como mantenimiento
evolutivo.

Adaptativo (18%): Adaptación del software a cambios en su entorno tecnológico

(nuevo hardware, otro sistema de gestión de bases de datos, otro sistema
operativo.)

Correctivo (17%): Corrección de fallos detectados durante la explotación.

Preventivo (5%): Facilitar el mantenimiento futuro del sistema (verificar

precondiciones, mejorar legibilidad.).

25
 CAPITULO II. SEGURIDAD
2.1 AMENAZAS A LA SEGURIDAD
Una amenaza es todo elemento o acción capaz de atentar contra la seguridad de
la información.
Las amenazas surgen a partir de la existencia de vulnerabilidades, es decir que
una amenaza sólo puede existir si existe una vulnerabilidad que pueda ser
aprovechada, e independientemente de que se comprometa o no la seguridad de
un sistema de información. Diversas situaciones, tales como el incremento y el
perfeccionamiento de las técnicas de ingeniería social, la falta de capacitación y
concientización a los usuarios en el uso de la tecnología, y sobre todo la creciente
rentabilidad de los ataques, han provocado en los últimos años el aumento de
amenazas intencionales. La presencia de una amenaza es una advertencia de que
puede ser inminente el daño a algún activo de la información, o bien es un
indicador de que el daño se está produciendo o ya se ha producido. Por ello
siempre debe ser reportada como un incidente de seguridad de la información. Si
sospecha que existe una amenaza a algún sistema de información de la
Universidad, por favor efectúe el reporte del incidente.

2.1.1 ACCESO NO AUTORIZADO

Cuando alguien consigue acceder al sistema de información. (Penetración), o bien
teniendo permiso para utilizar el sistema con un propósito determinado, lo utiliza
con otro destino. Cuando se ofrecen servicios o información en una red para sus
usuarios legítimos, al mismo tiempo se abre la puerta a posibles intrusos en estos
sistemas. Protegerse de esta posibilidad implica tener un especial cuidado con
todo el software empleado, desde el sistema operativo hasta la última de las
aplicaciones instalada, y cuidar en gran medida su configuración.

25
Pero tampoco debería olvidarse la posibilidad de que existan intrusos que accedan
físicamente al sistema. La evolución de las comunicaciones ha hecho que se
preste una gran atención a la posibilidad de accesos remotos, pero de nada sirve
evitar esta posibilidad si se permite el acceso físico al sistema a personas no
autorizadas. Es por esto que, en algunos casos pueda ser necesario tomar las
medidas de seguridad adecuadas sobre el propio hardware para evitar robos, o
pérdidas de información por estos accesos inadecuados. Consiste en acceder de
manera indebida, sin autorización o contra derecho a un sistema de tratamiento de
la información, con el fin de obtener una satisfacción de carácter intelectual por el
desciframiento de los códigos de acceso o passwords, no causando daños
inmediatos y tangibles en la víctima.
Adoptar medidas para prevenir el acceso no autorizado a una computadora es
importante por una gran cantidad de razones, como por ejemplo, poder prevenir
que otras personas instalen programas espías y eliminen tus archivos importantes,
o incluso creen virus. Haciendo cambios a tu computadora para prevenir el acceso
no autorizado, también estarás protegiendo tu privacidad personal. .Consiste en la
utilización sin autorización de los ordenadores y los programas de un sistema
informático ajeno. Este tipo de conductas es comúnmente cometido por
empleados de los sistemas de procesamiento de datos que utilizan los sistemas
de las empresas para fines privados y actividades complementarias a su trabajo.
Comprende todas aquellas conductas dirigidas a eliminar o modificar funciones o
datos en una computadora sin autorización, para obstaculizar su correcto
funcionamiento es decir causar daños en el hardware o en el software de un
sistema.

2.1.2 CABALLO DE TROYA

Cuando una persona deja dentro del sistema algún programa para facilitar futuros
ataques. Programa creado y que opera bajo un aspecto inofensivo y útil para el
usuario, afecta negativamente al sistema al incluir un módulo capaz de destruir
datos. Junto con los demás virus es uno de los tipos de programas dañinos más
conocidos y utilizados. Son utilizados para robar información, en casos extremos,

25
obtener el control remoto de la computadora, de forma que el atacante consiga
acceso de lectura y escritura a los archivos y datos privados almacenados,
visualizaciones de las pantallas abiertas, activación y desactivación de procesos,
control de los dispositivos y la conexión a determinados sitios de Internet. es una
clase de virus que se caracteriza por engañar a los usuarios disfrazándose de
programas o archivos legítimos/benignos (fotos, archivos de música, archivos de
correo, etc. ), con el objeto de infectar y causar daño. Es crear una puerta trasera
(backdoor en ingles) que de acceso a una administración remota del atacante no
autorizado, con el objeto de robar información confidencial y personal. Están
diseñados para que un atacante acceda a un sistema en forma remota y realizar
diferentes acciones sin pedir permiso. Las acciones que el atacante puede realizar
dependen de los privilegios del usuario que está siendo atacado y de las
características del troyano. Un troyano puede estar ejecutándose en un ordenador
durante meses sin que el usuario perciba nada. Esto hace muy difícil su detección
y eliminación de forma manual. Algunos patrones para identificarlos son: un
programa desconocido se ejecuta al iniciar el ordenador, se crean o borran
archivos de forma automática, el ordenador funciona más lento de lo normal,
errores en el sistema operativo. El Caballo de Troya parece un programa de
software legítimo. A diferencia de los virus tradicionales que requieren de un
hacker para encontrar y explotar algún espacio vulnerable de la computadora
destino, al Caballo de Troya lo instala la víctima voluntariamente porque ella cree
que ese software le proporcionará algún beneficio.

2.1.3 MONITORIZACIÓN
Para obtener información confidencial sin necesidad de acceder al sistema, es
decir, interceptar la comunicación entre dos personas. La monitorización es el uso
de un sistema que constantemente monitoriza una red de computadoras buscando
componentes lentos o fallidos y luego notifica al administrador de esa red (vía
email, teléfono celular u otras alarmas) en caso de cortes. Es un subconjunto de
las funciones involucradas en la gestión de redes. Los objetivos de una
infraestructura de monitorización de sistemas informáticos son principalmente la

25
prevención de incidencias y conocer el aprovechamiento de los recursos
disponibles. implementar un buen sistema de monitorización no es una tarea tan
difícil como exigente en su ejecución. El primer paso consiste en realizar un
análisis detallado del sistema informático a monitorizar para, entre otras cosas,
detectar los sistemas críticos (tanto máquinas como servicios) para el buen
funcionamiento de la entidad y formular políticas de actuación frente a incidencias
en dichos sistemas. La monitorización de servicios en una empresa es cada vez
más importante para actuar de forma proactiva delante de cualquier situación de
alerta o comportamiento irregular. Esto le interesa a toda empresa que necesite
disponer de un sistema capaz de monitorizar todos los servicios y procesos con el
mínimo impacto posible de rendimientos sobre ellos, y que la herramienta permita
diagnosticar los problemas y enviar una alerta, ya sea por email o por sms, a los
responsables pertinentes.
2.1.4 DENEGACIÓN DE ACCESO
Cuando un usuario legítimo al intentar acceder a su información el sistema le
deniega el acceso. También llamado ataque DoS (de las siglas en inglés Denial of
Service) o DDoS (de Distributed Denial of Service), es un ataque a un sistema de
computadoras o red que causa que un servicio o recurso sea inaccesible a los
usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red
por el consumo del ancho de banda de la red de la víctima o sobrecarga de los
recursos computacionales del sistema de la víctima. son probablemente uno de los
tipos de ataques más sencillos de llevar a cabo y a la vez uno de los más
complicados de contrarrestar. Estos hechos han provocado en los últimos tiempos
que este tipo de ataques informáticos se hayan convertido en recurso habitual
para todo tipo de hackers, aunque también nos pueden servir a los
administradores de red como test para comprobar hasta qué punto pueden llegar a
responder los sistemas.
Se define principalmente como un tipo de ataque informático especialmente
dirigido a redes de computadoras. Tiene como objetivo lograr que un servicio
específico o recurso de la red, quede completamente inaccesible a los usuarios
legítimos de la red.

25
La denegación de servicio, sobrecarga el equipo hasta hacerlo colapsar. Para
lograrlo, el atacante envía un flujo de información que sobrepasa la capacidad de
procesamiento del equipo, para que no pueda seguir ofreciendo el recurso a los
usuarios del sistema. De esta manera, logra que el equipo (servidor), no pueda
seguir dando el servicio, de allí se deriva el nombre de denegación de servicio.

2.1.5 PRUEBA Y ERROR

En los sistemas en que el acceso al sistema esté basado en una contraseña, un
usuario puede intentar, el acceso constantemente probando diferentes
combinaciones hasta encontrar la que es correcta. Puede ser buscada por medio
de un ordenador que se conecta al principal, y por medio de un programa buscar
continuamente la contraseña hasta lograr encontrarla. Es un método para la
obtención de conocimiento, tanto proposicional como procedural. En la prueba y
error, se prueba una opción y se observa si funciona. Si funciona entonces tiene
una solución. Si no, esto es un error, se intenta otra opción.
En algunas opciones de la prueba y error, la opción se ve como prioritaria como la
más probable. Es la que suele ponerse a prueba primero, seguido de la siguiente
más probable o hasta que se agoten las opciones.

2.1.6 OBTENCIÓN DE CONTRASEÑA

Un usuario deja ejecutándose un proceso sobre la pantalla idéntica a la que
muestra el sistema para pedir los datos de autenticación del usuario de manera
que cuando éste lo escribe son capturados por el proceso almacenándolos en un
fichero; acabando su ejecución y terminando la sesión del usuario. Posteriormente
el propietario del programa espía podrá leer los datos de identificación del usuario
para utilizarlos y poder acceder a sus datos. Con este ataque se debe tener mayor
cuidado, ya que aunque muchas veces la obtención de contraseñas no representa
gran riesgo, en otras puede ser el primer paso para desencadenar otro tipo de
ataque de mayor gravedad.

25
Esto se puede realizar mediante distintos métodos, de acuerdo con la facilidad
que proporcione el usuario; es decir, si es un usuario demasiado descuidado, será
fácil obtener las claves de acceso al revisar el escritorio o monitor donde trabaja.
De lo contrario existen otros métodos para la obtención de contraseñas como
puede ser un keylogger o un exploit. Otro de los factores comúnmente explotados
por los atacantes son las contraseñas. Si bien en la actualidad existen sistemas de
autenticación complejos, las contraseñas siguen, y seguirán, siendo una de las
medidas de protección más utilizadas en cualquier tipo de sistema informático. En
consecuencia, constituyen uno de los blancos más buscados por atacantes
informáticos porque conforman el componente principal utilizado en procesos de
autenticación simple (usuario/contraseña) donde cada usuario posee un
identificador (nombre de usuario) y una contraseña asociada a ese identificador
que, en conjunto, permiten identificarse frente al sistema. Si bien es cierto que una
contraseña que supere los diez caracteres y que las personas puedan recordar, es
mucho más efectiva que una contraseña de cuatro caracteres, aún así, existen
otros problemas que suelen ser aprovechados por los atacantes.

2.1.7 ABORTO DE PROGRAMAS

Muchos sistemas permiten al usuario abortar un programa por medio de teclas de
control, de manera que una vez abortado un programa el usuario queda con los
privilegios y características del propietario del programa que se estaba ejecutando,
pudiendo acceder a sus datos e incluso al sistema, Saliendo de una función o
aplicación sin salvar los datos que se han cambiado y deteniendo una transmisión
de datos. También es Cancelar un programa o comando antes que finalice
normalmente. Puede deberse a: la acción voluntaria del usuario que cancela un
proceso antes que finalice; un fallo en el software; datos incorrectos que no supo
manipular el programa; o una falla en el hardware. En este caso el usuario es
devuelto al sistema operativo normal, lo que lo distingue de un crash, en el que el
sistema queda inutilizable en su totalidad. Es el proceso de identificar y corregir
errores de programación. En inglés se le conoce como debugging, es que se
asemeja a la eliminación de bichos (bugs), manera en que se conoce

25
informalmente a los errores de programación. Se dice que el término bug proviene
de la época de los ordenadores de válvula termoiónica, en los cuales los
problemas se generaban por los insectos que eran atraídos por las luces y
estropeaban el equipo.

2.1.8 GUSANOS
Normalmente se pueden introducir a este tipo de programas por medio de las
líneas de comunicaciones existentes entre ordenadores. Son programas que
realizan copias de sí mismos, alojándolas en diferentes ubicaciones del ordenador.
El objetivo de este malware suele ser colapsar los ordenadores y las redes
informáticas, impidiendo así el trabajo a los usuarios. A diferencia de los virus, los
gusanos no infectan archivos. El principal objetivo de los gusanos es propagarse y
afectar al mayor número de ordenadores posible. Para ello, crean copias de sí
mismos en el ordenador afectado, que distribuyen posteriormente a través de
diferentes medios, como el correo electrónico, o de mensajería instantánea, entre
otros. Antes los creadores de malware buscaban fama y notoriedad, por lo que
diseñaban gusanos capaces de propagarse masivamente e infectar ordenadores
en todo el mundo. Los gusanos actuales se diseminan principalmente con
usuarios de correo electrónico (en especial de Outlook) mediante el uso de
adjuntos que contienen instrucciones para recolectar todas las direcciones de
correo electrónico de la libreta de direcciones y enviar copias de ellos mismos a
todos los destinatarios.
Generalmente, estos gusanos son scripts (típicamente en VBScript) o archivos
ejecutables enviados como un adjunto, que se activan cuando el destinatario hace
clic en el adjunto.
Sin embargo, actualmente los gusanos están más orientados a obtener beneficios
económicos. Se utilizan para crear grandes redes de bots que controlan miles de
ordenadores en todo el mundo. Los gusanos son en realidad un subconjunto de
malware pero su principal diferencia radica en que no necesitan de un archivo
anfitrión para seguir vivos. Los gusanos pueden reproducirse utilizando diferentes

25
medios de comunicación como las redes locales o el correo electrónico. El archivo
malicioso puede copiarse de una carpeta a otra o enviarse a toda la lista de
contactos del correo electrónico, citando solo algunos ejemplos.

2.2 ESTRATEGIA DE MONITOREO

Antes de implementar un esquema de monitoreo se deben tomar en cuenta los

elementos que se van a monitoreo así como las herramientas que se utilizarán.

El monitoreo de servidor tiene dos objetivos: Mantener informado cuando ocurra

algún error. Publicar el mayor porcentaje de tiempo de actividad posible.

Monitorear un servidor de Internet significa que el dueño de los servidores conoce

si uno o todos sus servicios están caídos. La monitorización del servidor puede ser
interna (el software del servidor se verifica y notifica de los problemas al dueño) o
externa. (Donde se verifican los servidores manualmente). Durante el monitoreo
de los servidores se verifican características como el uso de CPU, uso de
memoria, rendimiento de red y el espacio libre en disco e incluso las aplicaciones
instaladas (como Apache, MySQL, Nginx, Postgres entre otros). Durante este
proceso se verifican también los códigos HTTP enviados del servidor (definidos en
la especificación HTTP RFC 2616), que suelen ser la forma más rápida de verificar
el funcionamiento de los mismos.

a) Análisis e informes

Los sistemas de monitoreo inteligente deben incluir no solo un informe de las

tendencias de los datos de los sensores a corto plazo, sino también datos
históricos a largo plazo. Los mejores sistemas de monitoreo deben tener acceso a
las mediciones de los sensores de semanas, meses o incluso años anteriores y
brindar la posibilidad de generar gráficos e informes de estos datos. Los gráficos
deben poder presentar múltiples tipos de sensores en un mismo informe para su

25
comparación y análisis. Los informes deben poder brindar mediciones de sensor
bajas, altas y promedio en el período seleccionado para distintos grupos de
sensores.

2.3 ALARMAS

Un sistema de alarma es un elemento de seguridad pasivo. Esto significa que no

evitan una intrusión, pero sí son capaces de advertir de ella, cumpliendo así una
función disuasoria frente a posibles intrusos. Son capaces además de reducir el
tiempo de ejecución de la intrusión, minimizando las pérdidas.

Las alarmas son consideradas como eventos con comportamiento inusual. Las
alarmas más comunes son las que reportan cuando el estado operacional de un
dispositivo o servicio cambia.

Existen otros tipos de alarmas basado en patrones previamente definidos en

nuestras métricas, son valores máximos conocidos como umbrales o threshold.
Cuando estos patrones son superados se produce una alarma, ya que es
considerado como un comportamiento fuera del patrón. Algunos tipos de alarmas
son:

• Alarmas de procesamiento

• Alarmas de conectividad

• Alarmas ambientales

• Alarmas de utilización

• Alarmas de disponibilidad (estado operacional)

25
Un sistema de alarma es un elemento de seguridad pasiva. Esto significa que no
evitan una situación anormal, pero sí son capaces de advertir de ella, cumpliendo
así, una función disuasoria frente a posibles problemas.

La intrusión de personas. Inicio y acceso. El desbordamiento de sistemas. La

presencia de agentes (virus). Cualquier situación que sea anormal para el usuario.

Son capaces además de reducir el tiempo de ejecución de las acciones a tomar en

función del problema presentado, reduciendo así las pérdidas.

Una vez que la alarma comienza a funcionar, o se activa dependiendo del sistema
instalado, este puede tomar acciones en forma automática. Por ejemplo, si se
detecta la intrusión de una persona a un área determinada, mandar un mensaje
telefónico a uno o varios números, El uso de la telefonía para enviar mensajes, de
señales o eventos se utilizó desde hace 60 años pero desde el año 2005 con la
digitalización de las redes de telefonía, la comunicación deja de ser segura,
actualmente la telefonía es solo un vínculo más y se deben enviar mensajes
mediante GPRS a direcciones IP de servidores que ofician de receptores de las
señales o eventos, también se utiliza la conectividad propia de las redes IP.

Un sistema de alarma se compone de varios dispositivos conectados a una central

procesadora.

Central procesadora: es la CPU del sistema. En ella se albergan la placa base, la

fuente y la memoria central. Esta parte del sistema es la que recibe las diferentes
señales que los diferentes sensores pueden emitir, y actúa en consecuencia,
disparando la alarma, comunicándose con "el servicio de monitoreo" por medio de
un módem, comunicador incorporado o no por TCP/IP, GPRS o Transmisor de
radio. Se alimenta a través de corriente alterna y de una batería respaldatoria, que
en caso de corte de la energía, le proporcionaría una autonomía al sistema de
entre 12 horas y 4 días (dependiendo de la capacidad de la batería).

Teclado: es el elemento más común y fácil de identificar en una alarma. Se trata

de un teclado numérico del tipo telefónico. Su función principal es la de permitir a
los usuarios autorizados (usualmente mediante códigos preestablecidos) armar
(activar) y desarmar (desactivar) el sistema. Además de esta función básica, el

25
teclado puede tener botones de funciones como: Emergencia Médica, Intrusión,
etc. Por otro lado, el teclado es el medio más común mediante el cual se configura
el panel de control.

CAPITULO III. SEGURIDAD DEL ROUTER Y EL SWITCH

3.1 CONTROL DE ACCESO

El control de acceso constituye uno de los servicios de seguridad que es

indispensable, existe una gran variedad de formas y métodos para implementar un
control de acceso. Los perímetros son barreras para proteger un recurso o tesoro.
A mayor número de perímetros mayor dificulta de acceso para el atacante.

Es el proceso de conceder permisos a usuarios o grupos de acceder a objetos

tales como ficheros o impresoras en la red. El control de acceso está basado en
tres conceptos fundamentales: identificación, autenticación y autorización. Cuando
un atacante posee acceso directo a la información, básicamente utiliza técnicas
criptográficas para hacer uso de la misma.

Además de proteger el acceso físico, son necesarias unas configuraciones

seguras para proteger el acceso de los routers y los switches. Cualquiera que
pueda acceder un router o un switch puede mostrar información.

3.2 ACCESO AL SISTEMA

El acceso al sistema es la capacidad que tiene un intruso no autorizado de obtener

acceso a un dispositivo para el que dicho intruso no tiene cuenta ni contraseña. La
entrada o acceso a los sistemas para los que no se tiene acceso normalmente
implica la ejecución de un hack, script o herramienta que explota una
vulnerabilidad conocida del sistema o aplicación que se ataca.

Métodos que usan los hackers:

25
Aprovecharse de las contraseñas que se pueden deducir fácilmente utilizando
ataques de fuerza bruta o herramientas de cracking.

Aprovecharse de los servicios mal configurados, incluyendo los siguientes:

-servicio IP, como FTP anónimo, TFTP (trivial file transfer protocolo) y el acceso al
registro remoto.

Relaciones de confianza a través del spoofing y los servicios remotos.

Aprovecharse de los agujeros de la aplicación, incluyendo los datos de entrada

maltratados.

El acceso exterior al dominio de la aplicación y las sobrecargas de búfer son

posibles gracias a los puntos débiles del protocolo.

Llevar a cabo la fragmentación y el secuestro dela sesión TCP.

Utilizar troyanos, que introducen una puerta trasera invisible en el host.

3.3 AUTENTICACION

La autenticación como la verificación de la identidad del usuario, generalmente

cuando entra en el sistema o la red, o accede a una base de datos.

Normalmente para entrar en un sistema se utiliza un nombre de usuario y una

contraseña. Pero, cada vez más se están utilizando otras técnicas más seguras.

Es posible autenticarse de tres maneras:

Por lo que uno sabe (una contraseña), Por lo que uno tiene (una tarjeta
magnética), Por lo que uno es (las huellas digitales)

La utilización de más de un método a la vez aumenta las probabilidades de que la

autenticación sea correcta. Pero la decisión de adoptar más de un modo de
autenticación por parte de las empresas debe estar en relación al valor de la
información a proteger.

25
La técnica más usual es la autenticación utilizando contraseñas. Este método será
mejor o peor dependiendo de las características de la contraseña. En la medida
que la contraseña sea más grande y compleja para ser adivinada, más difícil será
esta técnica.

Además, la contraseña debe ser confidencial. No puede ser conocida por nadie
más que el usuario. Muchas veces sucede que los usuarios se prestan las
contraseñas o las anotan en un papel pegado en el escritorio y que puede ser
leído por cualquier otro usuario, comprometiendo a la empresa y al propio dueño,
ya que la acción que se hagan con esa contraseña son responsabilidad de la
empresa.

Para que la contraseña sea difícil de adivinar debe tener un conjunto de caracteres
amplio y variado (con minúsculas, mayúsculas y números). El problema es que los
usuarios difícilmente recuerdan contraseñas tan elaboradas y utilizan palabras
previsibles (el nombre, el apellido, el nombre de usuario, etc.), que facilitan la tarea
a quién quiere entrar en el sistema sin autorización.

3.4 POLITICAS DE SEGURIDAD

La Política de una organización es mostrar el posicionamiento de la organización

con relación a la seguridad, y por otro lado servir de base para desarrollar los
procedimientos concretos de seguridad.

Lo más importante para que estas surtan efecto es lograr la concienciación,

entendimiento y compromiso de todos los involucrados. Las políticas deben
contener claramente los que serán adoptados por la compañía. Y estas políticas
deben ser revisadas, y si es necesario actualizadas, periódicamente.

Las políticas deben definir qué es seguridad, cuáles son sus objetivos principales y
su importancia dentro de una organización, mostrar el compromiso de sus altos
cargos con la misma, definir la filosofía respecto al acceso a los datos, establecer
responsabilidades.

25
Establecer la base para poder diseñar normas y procedimientos referidos a
organización de la seguridad, clasificación y control de los datos, seguridad de las
personas, seguridad física y ambiental, plan de contingencia, prevención y
detección de virus, administración de los computadores.

3.5 MONITOREO DE RED DE FORMA REMOTA

Para satisfacer y poder hacer la red mas segura, protegiéndola contra el acceso
no autorizado, haciendo imposible que personas ajenas puedan entender la
información que circula en ella.

Para ello hay que controlar cambios y actualizaciones en la red de modo que
ocasionen las menos interrupciones posibles, en el servicio a los usuarios.

La colección de información acerca del estado de la red y componentes del

sistema. La información recolectada de los recursos debe incluir: eventos,
atributos y acciones operativas. También la transformación de la información para
presentarla en formatos apropiados para el entendimiento del administrador. Y la
transportación de la información del equipo monitoreado al centro de control.

3.6 TRAFICO DE RED

El tráfico web es la cantidad de datos enviados y recibidos por los visitantes de un

sitio web. Esta es una gran proporción del tráfico de internet. El tráfico web es
determinado por el número de visitantes y de páginas que visitan.

El tráfico web es medido para ver la popularidad de sitios web y páginas

individuales o secciones sin que estos estén en un portal.
El tráfico web puede ser analizado con ver las estadísticas encontradas en el
archivo del servidor de la página, el cual genera automáticamente una lista de
todas las páginas vistas. Prever el volumen de tráfico de la red es difícil, las

25
tendencias de utilización cambian constantemente, la carga sube cuando menos lo
esperamos, y los costes asociados pueden ser inmensos. No obstante, hay un
software que nos ayuda a detectar posibles problemas de red antes de que
ocurran, un monitor de tráfico de red. Si monitoriza el tráfico de la red, puede:

a) Prevenir cuellos de botella de la banda ancha y del rendimiento de sus

servidores
b) Descubrir qué programas causan más tráfico de red
c) Actuar de forma proactiva y dar un servicio mejor a sus usuarios
d) Reducir costes comprando el ancho de banda y hardware según sus
necesidades reales
e) Resolver problemas de conectividad con facilidad

3.7 FIREWALL
La seguridad ha sido el principal concerniente a tratar cuando una organización
desea conectar su red privada al Internet. Sin tomar en cuenta el tipo de negocios,
se ha incrementado el número de usuarios de redes privadas por la demanda del
acceso a los servicios de Internet tal es el caso del World Wide Web (WWW),
Internet Mail (e-mail), Telnet, y File Transfer Protocol (FTP). Adicionalmente los
corporativos buscan las ventajas que ofrecen las paginas en el WWW y los
servidores FTP de acceso público en el Internet. Un firewall es software o
hardware que comprueba la información procedente de Internet o de una red y, a
continuación, bloquea o permite el paso de ésta al equipo, en función de la
configuración del firewall.

Un firewall puede ayudar a impedir que hackers o software malintencionado (como

gusanos) obtengan acceso al equipo a través de una red o de Internet. Un firewall
también puede ayudar a impedir que el equipo envíe software malintencionado a
otros equipos. Además un firewall  en Internet es un sistema o grupo de sistemas
que impone una política de seguridad entre la organización de red privada y el
Internet. El firewall determina cual de los servicios de red pueden ser accesados

25
dentro de esta por los que están fuera, es decir quién puede entrar para utilizar los
recursos de red pertenecientes a la organización. Para que un firewall sea
efectivo, todo trafico de información a través del Internet deberá pasar a través del
mismo donde podrá ser inspeccionada la información. El firewall podrá únicamente
autorizar el paso del trafico, y el mismo podrá ser inmune a la penetración.
Desafortunadamente, este sistema no puede ofrecer protección alguna una vez
que el agresor lo traspasa o permanece entorno a este.

3.8 PRIVACIDAD DE DATOS

La protección no son los datos en sí mismo, sino el contenido de la información

sobre información valiosa, para evitar el abuso de esta.

Esta es, el motivo para la implementación de medidas de protección, por parte de

la institución o persona que maneja los datos, es la obligación jurídica o la simple
ética personal, de evitar consecuencias negativas para las personas de las cuales
se trata la información. Se refiere al control de la información que posee un
determinado usuario que se conecta a un sitio determinado, interactuando por
medio de diversos servicios en línea con los que intercambia datos durante la
navegación.

Todas las empresas, independientemente de su tamaño, organización y volumen

de negocio, son conscientes de la importancia de tener implantadas una serie de
políticas de seguridad tendentes a garantizar la continuidad de su negocio en el
caso de que se produzcan incidencias, fallos, actuaciones malintencionadas por
parte de terceros, pérdidas accidentales o desastres que afecten a los datos e
informaciones que son almacenados y tratados, ya sea a través de sistemas
informáticos como en otro tipo de soportes, como el papel. Las grandes
situaciones que tiene la privacidad es la importancia de la protección de la
información desde una órbita interna de la empresa: el acceso restringido a cierta
documentación por determinados empleados, la firma de cláusulas de
confidencialidad por parte del personal, el establecimiento de políticas y
procedimientos de respaldo y recuperación de datos o el almacenamiento externo

25
de información. El usuario tendrá el control sobre todos sus datos y podrá acceder
en todo momento a cambiar sus datos e incluso a solicitar la baja del uso de los
mismos por parte de la empresa, hasta el momento previo a la entrega de dicho
fichero al centro de monitoreo y su posterior eliminación de la misma.

3.8.1 MEDIDAS DE SEGURIDAD

 Existencia de una lista actualizada de usuarios autorizados que tengan

acceso autorizado al sistema de información.

 Contraseñas: procedimiento de creación, asignación, conservación y

cambio periódico.

 Identificación de usuario, de manera inequívoca y personalizada.

 Limitación de acceso incorrecto reiterado.

3.9. SOFTWARE LIBRE

Es el software que respeta la libertad de los usuarios y la comunidad. En grandes
líneas, significa que los usuarios tienen la libertad para ejecutar, copiar, distribuir,
estudiar, modificar y mejorar el software. Es decir, el software libre es una cuestión
de libertad, no de precio.

El software libre es la libertad de los usuarios para ejecutar, copiar, distribuir,

estudiar, cambiar y mejorar el software; de modo más preciso, se refiere a cuatro
libertades de los usuarios del software: la libertad de usar el programa, con
cualquier propósito; de estudiar el funcionamiento del programa, y adaptarlo a las
necesidades; de distribuir copias, con lo que puede ayudar a otros; de mejorar el
programa y hacer públicas las mejoras, de modo que toda la comunidad se
beneficie. Un programa es software libre si otorga a los usuarios todas estas
libertades de manera adecuada. De lo contrario no es libre. Existen diversos

25
esquemas de distribución que no son libres, la libertad de ejecutar el programa
como se desea significa que al usuario no se le prohíbe o no se le impide hacerlo.
No tiene nada que ver con el tipo de funcionalidades que el programa posee ni con
el hecho de que el programa sea o no sea útil para lo que se quiere hacer. Un
programa es software libre si y solo si ofrece las cuatro opciones. Para
determinarlo, hay que tener en cuenta:

La licencia (debe ser una licencia libre, que garantice las cuatro libertades, de
forma nítida e irrevocable. No se consideran libres las licencias que permiten su
revocación total o parcial.)

La distribución (debe poder obtenerse el código fuente, debe poder modificarse

efectivamente).

3.9.1 CARACTERISTICAS

Se encuentra disponible el código fuente del software, por lo que puede

modificarse el software sin ningún límite y con la libertad de estudiarlo y adaptarlo,
además de distribuir copias, creando mejora y publicación de cambios, y
cualquiera puede usar el programa con cualquier propósito.

a) Distribución gratuita: Según esta característica, una licencia no puede impedir

la distribución del software sin costo. No obstante, queda la opción de que cada
licencia defina como o por qué concepto cobrar: Normalmente se cobra por el
medio físico, los manuales o soporte.

Una licencia gratuita no puede evitar el uso o redistribución del software (y su

código), a ninguna persona o grupo. Esto ha causado algún nivel de problemas,
principalmente por lo relacionado con el terrorismo.

En términos comerciales, implica que no se puede evitar que un competidor utilice

o redistribuya el software o el código fuente.

25
b) Control del Software: Esta característica impide que se restringa o controle el
uso del software en algún área. Así, quien define la licencia, no puede imponer sus
valores políticos, sociales o culturales en ésta. Tampoco una licencia gratuita
puede evitar la comercialización (servicios, capacitación, etc.), del software.

En el modelo gratuito, la licencia es el único mecanismo de licenciamiento

existente. No se puede exigir la firma de un acuerdo de confidencialidad u otro
tipo de acuerdo paralelo al licenciamiento (en relación a patentes), para obtener el
software.

c) Licencia no especificada en productos: El Software Libre no puede estar

restringido en su uso a otro producto en específico. Por ejemplo: no se puede
limitar el uso de un Software Libre específicamente a Linux. Los contratos ligados,
que imponen prácticas monopólicas o que lesionen la libre competencia, no se
condicen con el licenciamiento gratuito.

3.10 MONITOREO CON PRTG

El monitoreo de ancho de banda se refiere a la medición del ancho de banda de

líneas alquiladas, conexiones de red y equipos (routers, switches, etc.). Además,
PRTG Network Monitor nos puede enviar notificaciones si hay cargas excesivas
en la red, o si un umbral de utilización de ancho de banda se haya traspasado.

Un programa de monitoreo de ancho de banda como PRTG Network Monitor nos

ayuda a medir cuánto ancho de banda se esta utilizando (por ejemplo para fines
de facturación) y por qué aplicaciones y servidores/usuarios, ver tendencias de
utilización, encontrar cuellos de botella y errores de conectividad para evitarlos en
el futuro, balancear y optimizar el tráfico de red, mejorar el flujo de datos en su red,
reducir costes comprando el ancho de banda y hardware según la carga efectiva,
ofrecer un servicio mejor a los usuarios ya que podemos actuar de manera
proactiva. PRTG Network Monitor asegura que usted sea notificado cuando
ocurren problemas. También aumenta la eficiencia de la red al seguir el consumo
y recurso de ancho de banda.

25
El software de monitoreo de red PRTG es fácil de instalar y de usar. Soporta el
manejo remoto vía cualquier browser o teléfono móvil, varios métodos de
notificación y monitoreo a múltiples localidades. El monitoreo de redes es esencial
para compañías de cualquier tamaño. La herramienta de monitoreo apropiada no
sólo asegura que usted sea notificado cuando ocurren averías, pero también
aumenta la eficiencia de la red al rastrear el consumo de recurso y de ancho de
banda.

3.10.1 MONITOREAR EL ROUTER UTILIZANDO SNMP

SNMP es la técnica más básica para monitorear un router. Se puede configurar

con unos pocos clicks:

Añada un equipo con la dirección IP del router, después añada un sensor para
este equipo, PRTG escanea el equipo y enumera las interfaces disponibles para
este equipo

Seleccione la interfaz y guarde su configuración. El software le mostrará

enseguida datos sobre la utilización de su banda ancha, dividido en tráfico
entrante y saliente (subidas y descargas). PRTG utiliza SNMP y WMI para
comprobar la disponibilidad de sus servidores, y para supervisar la utilización de
los discos duros, la carga del CPU, la velocidad de la red, la temperatura en la
sala de servidores, etc. El software también puede ser utilizado como servidor
syslog y SNMP Trap receiver: PRTG guarda los mensajes enviados por los
dispositivos gestionados y los analiza, activando una alarma si necesario.

El uso de un switch o router que tiene un puerto de monitoreo, es posible

monitorizar todo el tráfico en su red. La mayoría de los switches y routers no
administrados no tienen esta característica, muchos switches y routers estan
gestionados hacerlos manualmente.

La duplicación de puertos se utiliza en un conmutador de red para enviar una

copia de todos los paquetes de red se ven en un puerto de switch a una conexión

25
de red de monitoreo en otro puerto del switch. Esto es comúnmente utilizado para
aplicaciones de red que requieren supervisión de tráfico de la red, tal como un
sistema de detección de intrusiones.

CAPITULO IV. SOFTWARE DE MONITOREO

4.1 AMENAZAS LOGICAS

Los protocolos de comunicación utilizados carecen en su mayoría de seguridad o

esta ha sido implementada en forma de parche de tiempo después de su
creación.

 Existen agujeros de seguridad en los sistemas operativos.

 Existen agujeros de seguridad en las aplicaciones.

 Existen errores en las configuraciones de los sistemas.

 Los usuarios carecen de información respecto al tema.

Esto podría seguir extendiéndose a medida que se evalúen mayor cantidad de

elementos de un sistema de monitoreo.

Las empresas u organizaciones no se pueden permitir el lujo de denunciar

ataques a sus sistemas, pues el nivel de confianza de los clientes bajaría
enormemente.

Los administradores tienen cada vez mayor conciencia respecto de la seguridad

de sus sistemas y arreglan por sí mismos las deficiencias detectadas. A esto hay
que añadir las nuevas herramientas de seguridad disponibles en el mercado.

Unas de las principales causas de una amenaza lógica son:

a) Software incorrecto

25
Defectos de instalación o programación

Eliminación o sustitución de bibliotecas comunes a más de un programa o del

sistema.

Reiniciar arbitrariamente la sesión de un usuario para que la instalación tenga

efecto.

Presuponer que el usuario tiene una conexión permanente a internet.

b) Herramientas de seguridad

El mal uso de estas herramientas puede concluir en situaciones de bloqueo,

enlentecimiento e incluso denegación de servicio de las máquinas analizadas.
Estas herramientas sólo deben ser lanzadas contra máquinas ajenas única y
exclusivamente cuando sus responsables nos hayan autorizado a ello. Bajo
ninguna circunstancia deben ser empleadas contra máquinas que no sean sin
consentimiento expreso por parte de sus propietarios, informando en cada caso
de la actividad que se vaya a realizar.

c) Bombas lógicas

Ejemplos de acciones que puede realizar una bomba lógica:

 Borrar información del disco duro

 Mostrar un mensaje

 Modificar archivos dentro de una base de datos

 Enviar un correo electrónico

 Apagar el sistema

 Provocar errores dentro del mismo.

La seguridad de un sistema es tan fuerte como su punto más débil. La seguridad

total no existe pero si la mínima inseguridad.

d) Identificación de las Amenazas

25
La identificación de amenazas requiere conocer los tipos de ataques, el tipo de
acceso, la forma operacional y los objetivos del atacante.

Las consecuencias de los ataques se podrían clasificar en:

Data Corruption: la información que no contenía defectos pasa a tenerlos.

Denial of Service (DoS): servicios que deberían estar disponibles no lo están.

Leakage: los datos llegan a destinos a los que no deberían llegar.

Son diferentes tipos de ataques perpetrados, principalmente, por hackers. Estos

ataques pueden ser realizados sobre cualquier tipo de red, sistema operativo,
usando diferentes protocolos, etc.

4.2 FALLOS DE SEGURIDAD EN LA UTILIZACION DE SOFTWARE

Es un error o fallo en un programa de computador o sistema de software que
desencadena un resultado indeseado.

Los programas que ayudan a la detección y eliminación de errores de

programación de software son denominados depuradores.

Se puede hacer un análisis agrupando los fallos de seguridad que se pueden dar
en el software. Este análisis va a permitir enfocar, más adelante cómo distintos
tipos de software ayudan a solventarlos. De una forma simplista, se pueden dividir
en tres bloques:

 Fallos debidos a errores desconocidos en el software, o conocidos sólo por

terceras entidades hostiles.

 Fallos debidos a errores conocidos pero no arreglados en la copia en uso

del software.

 Fallos debidos a una mala configuración del software, que introduce

vulnerabilidades en el sistema

El tercer tipo de vulnerabilidades puede achacarse, sin embargo, a una falta de

documentación del software o una falta de formación adecuada de los

25
administradores para hacer una adaptación correcta del mismo a sus
necesidades.

Los fallos pueden dar lugar a un mal funcionamiento del programa, siendo en el
ámbito de la seguridad preocupantes por cuanto:

 Pueden implementarse algoritmos de forma incorrecta lo que puede llevar a

una pérdida de seguridad (por ejemplo, un algoritmo de generación de
claves que no se base en números totalmente aleatorios)

 Pueden diseñarse servicios que, en contra de sus especificaciones,

ofrezcan funcionalidades no deseadas o que puedan vulnerar la seguridad
del servidor que los ofrezca.

 Pueden no haberse tomado las medidas de precaución adecuadas para

asegurar el correcto tratamiento de los parámetros de entrada, lo que
puede hacer que un atacante externo abuse de ellos para obligar al
programa a realizar operaciones indeseadas.

4.3 ANALISIS Y GESTION DE RIESGO

Es un proceso que comprende la identificación de activos informáticos, sus

vulnerabilidades y amenazas a los que se encuentran expuestos así como su
probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los
controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del
riesgo.

Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas

financieras o administrativas a una empresa u organización, se tiene la necesidad
de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta
mediante la aplicación de controles. Dichos controles, para que sean efectivos,
deben ser implementados en conjunto formando una arquitectura de seguridad
con la finalidad de preservar las propiedades de confidencialidad, integridad y
disponibilidad de los recursos objetos de riesgo.

25
El análisis de riesgo que tiene como propósito determinar los componentes de un
sistema que requieren protección, sus vulnerabilidades que los debilitan y las
amenazas que lo ponen en peligro, con el fin de valorar su grado de riesgo.

Es un método para determinar, analizar, valorar y clasificar el riesgo, para

posteriormente implementar mecanismos que permitan controlarlo.

En su forma general contiene cuatro fases

 Análisis: Determina los componentes de un sistema que requiere

protección, sus vulnerabilidades que lo debilitan y las amenazas que lo
ponen en peligro, con el resultado de revelar su grado de riesgo.

 Clasificación: Determina si los riesgos encontrados y los riesgos restantes

son aceptables.

 Reducción: Define e implementa las medidas de protección. Además

sensibiliza y capacita los usuarios conforme a las medidas.

 Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las

medidas, para determinar y ajustar las medidas deficientes y sanciona el
incumplimiento.

Monitorizar el transcurso de un sistema para evaluar el estado de los riesgos y

actuar en consecuencia. El riesgo siempre implica dos características:

 Incertidumbre: el acontecimiento que caracteriza al riego puede o no ocurrir.

 Pérdida: si el riesgo se convierte en una realidad, ocurrirán consecuencias

no deseadas ó pérdidas.

Cuando se analizan los riegos es importante cuantificar el nivel de incertidumbre y

grado de pérdida asociados a cada riesgo.

Los riesgos técnicos amenazan la calidad y la planificación temporal del software

que hay que producir. Si un riesgo técnico se convierte en realidad, la
implementación puede llegar a ser difícil o imposible. Los riesgos técnicos

25
identifican problemas potenciales de diseño, implementación, de interfaz,
verificación y de mantenimiento.

4.4 CIFRADO

Es el proceso por el que una información legible se transforma mediante un

algoritmo (llamado cifra) en información ilegible, llamada criptograma o secreto.
Esta información ilegible se puede enviar a un destinatario con muchos menos
riesgos de ser leída por terceras partes. El destinatario puede volver a hacer
legible la información, descifrarla, introduciendo la clave del cifrado.

Consiste en alterar un mensaje antes de transmitirlo, generalmente a través de

una clave, de forma que el contenido del mismo no sea legible para los que no
posean esa contraseña. Así, no se puede entender su contenido a menos que se
cuente con la clave para descifrar el mismo.

4.4.1 CIFRADO SIMÉTRICO

Consiste en el uso de una clave que es conocida tanto por el emisor como por el
receptor, y se supone que por nadie más. El emisor genera el mensaje cifrado
utilizando un algoritmo de cifrado simétrico y la clave, y transmite el mensaje
cifrado al receptor. Este, aplicando la misma clave y el algoritmo inverso, obtiene
nuevamente el mensaje original. Este método garantiza confidencialidad y
autentificación

4.4.2 CIFRADO ASIMETRICO

25
Las técnicas de cifrado asimétrico se basan en el uso de dos claves, una pública y
otra privada, de modo que lo que una de ellas cifra, sólo puede descifrarlo la otra,
y viceversa. Se inventaron para evitar el problema del intercambio de claves de los
sistemas descifrados simétricos. Tanto el emisor como el receptor poseen dos
claves: una privada (conocida sólo por el) y una pública (conocida por cualquiera),
de manera que no es necesario que el emisor y el receptor intercambien claves
secretas. Además, sólo se necesitan un par de claves privada/pública por persona.

La encriptación o cifrado de datos, surge como una capa de seguridad adicional

que permite proteger no solo la información de una organización sino también sus
comunicaciones.

El cifrado se puede entender como el hecho de guardar algo valioso dentro de una
caja fuerte cerrada con llave. Los datos confidenciales se cifran con un algoritmo
de cifrado y una clave que los hace ilegibles si no se conoce dicha clave. Las
claves de cifrado de datos se determinan en el momento de realizar la conexión
entre los equipos. El uso del cifrado de datos puede iniciarse en su equipo o en el
servidor al que se conecta. Cómo prevenir ataques:

a) Usar contraseñas fuertes y mantenerlas en secreto.

b) Todas los usuarios deben tener conocimiento de las debilidades del sistema .

c) Mantener la Integridad.

d) Implementar de programas antivirus que operen bajo mecanismos de detección

avanzados que escaneen, controlen y administren de manera centralizada cada
una de las conexiones de la red.

e) Asegurar la Disponibilidad.

f) No confiar jamás en archivos adjuntos no solicitados. No abrirlos ni reenviarlos.

g) Habilitar las conexiones inalámbricas solamente cuando se esté utilizando el

dispositivo, y deshabilitarlas cuando haya terminado.

25
h) Hay que ser muy cuidadosos con los datos personales y evitar publicar esta
información sensible, especialmente a través de redes sociales.

La encriptación de datos consiste en manipular la información para intentar

conseguir:

 Confidencialidad: que solo pueda acceder a la información su legítimo

destinatario.

 Autentificación: que tanto el emisor como el receptor puedan confirmar la

identidad de la otra parte.

 Integridad: que la información no pueda ser alterada sin ser esto detectado.
Un sistema de cifrado será bueno si toda la seguridad reside en la clave y
ninguna en el algoritmo. En otras palabras, no debería ser de ninguna
ayuda para un atacante conocer el algoritmo que se está usando. Solo si el
atacante obtuviera la clave, le serviría conocer el algoritmo. Dado que toda
la seguridad descansa en la clave, el tamaño de la clave es una medida de
la seguridad del sistema.

Es un procedimiento que utiliza un algoritmo de cifrado con cierta clave (clave de

cifrado) transforma un mensaje, sin atender a su estructura lingüística o
significado, de tal forma que sea incomprensible o, al menos, difícil de comprender
a toda persona que no tenga la clave secreta (clave de descifrado) del algoritmo.
Las claves de cifrado y de descifrado pueden ser iguales (criptografía simétrica) o
no (criptografía asimétrica).

A veces el texto cifrado se escribe en bloques de igual longitud. A estos bloques

se les denomina grupos. Estos grupos proporcionaban una forma de verificación
adicional, ya que el texto cifrado obtenido debía tener un número entero de
grupos. Si al cifrar el texto plano no se tiene ese número entero de grupos,
entonces se suele rellenar al final con ceros o con caracteres sin sentido. el cual
consiste en alterar un mensaje antes de transmitirlo, generalmente mediante la
utilización de alguna clave, de tal modo que el contenido del mismo no sea legible

25
para los que no posean dicha clave. Así, cualquier persona que tenga acceso al
mensaje no podrá entender su contenido a menos que cuente con la clave para
descifrar el mismo.

Dado que la información que se envía a través de Internet en algunos casos

puede ser accedida por intrusos, el cifrado de datos es una alternativa para
mantener la privacidad. Por lo tanto, este concepto puede aplicarse en las distintas
actividades que un usuario realiza todos los días. Cuando se navega por Internet,
algunos sitios web ofrecen una conexión cifrada, de tal modo que los datos que se
envían desde y hacia el sitio se encuentran cifrados, y son ilegibles para intrusos
que puedan estar escuchando la comunicación. Sin embargo, los sitios que
proveen servicios de correo electrónico, mensajería instantánea, o cualquier otro
tipo de comunicación, sí tienen acceso al contenido de los mensajes enviados. Por
eso, una medida adicional que los usuarios pueden tomar para mantener su
privacidad, consiste en cifrar los mensajes por su cuenta.

El cifrado de los datos no sólo es útil para los datos, sino también en todo caso en
que se quiera proteger información sensible. Así, es posible cifrar la información
contenida en discos, carpetas o incluso archivos individuales, para evitar el acceso
no permitido. Luego, además del beneficio de proteger la privacidad de los
usuarios, el cifrado de datos evita otro tipo de ataques como el robo de identidad,
o los fraudes por medio de un sistema, además de brindar un mecanismo de
protección ante el robo o pérdida de dispositivos con información sensible.

4.5 TUNNELING

La técnica de tunneling consiste en encapsular un mensaje de un protocolo dentro

de sí mismo aprovechando ciertas propiedades del paquete externo con el objetivo
de que el mensaje sea tratado de forma diferente a como habría sido tratado el
mensaje encapsulado. De esta forma un paquete puede saltar la topología de una
red. Por ejemplo, un túnel puede ser usado para evitar un firewall. Esta es una
consideración a tener en cuenta al configurar un túnel.

25
Las características más importantes de los protocolos que soportan “tunneling”
son encriptado de datos, autenticación, autorización e integridad de datos; muchas
de estas características son posibles gracias al encriptado completo del paquete
encapsulado. Se pueden destacar como requerimientos básicos de un protocolo
de túnel que cumpla con las siguientes condiciones:

Autenticación de usuario

Asignación dinámica de direcciones

Compresión de datos

Encriptación de datos

Administración de llaves

Soporte multiprotocolo

El Tunneling se basa en tres protocolos

 El protocolo del carrier: Es el protocolo usado por la red que esta

transportando la información

 Protocolo del encapsulamiento (empaquetamiento): Es el protocolo que

aplica al envoltorio del paquete enviado, y según el tipo será más o menos
seguro, pudiendo ser GRE, IPSec, L2F, PPTP, L2TP, Siendo el IPSec el
más seguro entre los populares.

El protocolo pasajero: Es el protocolo del paquete de información que se envía

dentro del envoltorio, es decir, el paquete original de información. Los "protocolos
pasajero" habituales son IPX, NetBeui e IP.

4.5.1 TIPOS DE TUNNELINGS

25
Túneles Voluntarios: Un usuario o estación de trabajo cliente puede emitir una
petición VPN para configurar y crear un túnel voluntario. En este caso, el usuario
es un terminal del túnel y actúa como el cliente del mismo.

Túneles Compulsivos: Una VPN con servidor con capacidad de acceso por
llamada, configura y crea un túnel, donde el usuario no es un terminal del mismo.
Otro dispositivo, el RAS (Servidor de Acceso Remoto), entre la computadora
usuario y el servidor de túnel es la terminal del túnel y actuará como cliente.

25