Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El espectacular auge de Internet y de los servicios telemáticos ha hecho que los ordenadores y las
redes se conviertan en un elemento cotidiano en nuestras casas y en un instrumento imprescindible
en las tareas de las empresas.
Ya no tenemos necesidad de ir al banco para conocer los movimientos realizados en nuestra cuenta
bancaria, ni para realizar transferencias… directamente podemos realizar dichas operaciones desde
el ordenador de casa. Lo mismo ocurre con las empresas (sea cual sea su tamaño), disponen de
equipos conectados a Internet que les ayudan en sus procesos productivos.
Cualquier fallo en los mismos puede suponer una gran pérdida económica ocasionada por el parón
producido, bien por la pérdida de información o por el mal funcionamiento de los equipos
informáticos, de modo que es muy importante asegurar un correcto funcionamiento de los
sistemas y redes informáticas.
Uno de los principales problemas a los que se enfrenta la seguridad informática es la creencia de
muchos usuarios de que a ellos nunca les va a pasar lo que a otros. Es impensable que nos vayamos
de casa y nos dejemos la puerta abierta. Lo mismo ocurre con la seguridad de la información.
1
SMR: Seguridad Informática
Con unas buenas políticas de seguridad, tanto físicas como lógicas, conseguiremos que nuestros
sistemas sean menos vulnerables a las distintas amenazas. Ya que, nadie puede asegurar que su
sistema sea cien por cien seguro, hasta la seguridad de la NASA y el Pentágono han sido violadas
por hackers. Hay una lucha permanente entre los técnicos protectores del sistema y los que buscan
rendimientos económicos fáciles, o simplemente su minuto de gloria al superar el reto de asomarse
al otro lado de la barrera de protección.
Tenemos que intentar lograr un nivel de seguridad razonable y estar preparado para que, cuando se
produzcan los ataques, los daños puedan ser evitados en unos porcentajes que se aproximen al
ciento por cien o en caso contrario haber sido lo suficientemente precavidos para realizar las copias
de seguridad y de esta manera volver a poner en funcionamiento los sistemas en el menor tiempo
posible.
Gene Spafford, experto en seguridad informática afirma: “El único sistema verdaderamente
seguro es aquel que se encuentra apagado, encerrado en una caja fuerte de titanio, enterrado en un
bloque de hormigón, rodeado de gas nervioso y vigilado por guardias armados y muy bien
pagados. Incluso entonces, yo no apostaría mi vida por ello”
2
SMR: Seguridad Informática
Si estudiamos las múltiples definiciones que de seguridad informática dan las distintas entidades,
deduciremos los objetivos de la seguridad informática.
Otra de las definiciones de la seguridad informática dada por INFOSEC Glorassry 2000: “Seguridad
informática son las medidas y controles que aseguran la confidencialidad, integridad y
disponibilidad de los activos de los sistemas de información, incluyendo hardware, software,
firmware y aquella información que procesan, almacenan y comunican”
De estas definiciones podemos deducir que los principales objetivos de la seguridad informática
son:
Este es uno de los principales problemas a los que se enfrentan muchas empresas, en los
últimos años se ha incrementado el robo de los portátiles con la consecuente pérdida de
información confidencial, de clientes, líneas de negocio…
Disponibilidad: la capacidad de garantizar que tanto el sistema como los datos van a estar
disponibles al usuario en todo momento.
Pensemos, por ejemplo, en la importancia que tiene este objetivo para una empresa
encargada de impartir ciclos formativos a distancia. Constantemente está recibiendo
consultas, descargas a su sitio Web, etc., por lo que siempre deberá estar disponible para
los usuarios.
Integridad: la capacidad de garantizar que los datos no han sido modificados desde su
creación sin autorización. La información que disponemos es válida y consistente.
Este objetivo es muy importante cuando estamos realizando trámites bancarios por
Internet. Se deberá garantizar que ningún intruso pueda capturar y modificar los datos en
tránsito.
3
SMR: Seguridad Informática
Este servicio es muy importante en las transacciones comerciales por Internet, ya que
incrementa la confianza entre las partes en las comunicaciones.
Para conseguir los objetivos mostrados en la anterior figura se utilizan los siguientes mecanismos:
Formas de autenticarse:
Cortafuegos o firewall, programa que audita y evita los intentos de conexión no deseados
en ambos sentidos, desde los equipos hacia la red y viceversa.
Según el activo a proteger, es decir, todos los recursos del sistema de información necesarios para el
correcto funcionamiento de la actividad de la empresa, distinguiremos entre seguridad física y lógica
(en dependencia del momento preciso de actuación), entre seguridad pasiva y activa (según se actúe
antes de producirse el percance, de tal manera que se eviten los daños en el sistema, o después del
percance, minimizando los efectos ocasionados por el mismo).
En este apartado distinguiremos los distintos tipos de seguridad en función del recurso a proteger.
Seguridad Física.-
La seguridad física es aquella que trata de proteger el hardware (los equipos informáticos, el
cableado…) de los posibles desastres naturales (terremotos, tifones…), de incendios, inundaciones,
sobrecargas eléctricas, de robos y un sinfín de amenazas más.
A continuación vamos a enumerar las principales amenazas y los mecanismos para salvaguardarnos
de las mismas:
5
SMR: Seguridad Informática
Seguridad Lógica.-
6
SMR: Seguridad Informática
7
SMR: Seguridad Informática
Caso Práctico 5.- Verificación de la integridad de los ficheros del sistema en Windows
En algunas ocasiones, los virus modifican o dañan los ficheros del sistema. A continuación, vamos a
comprobar mediante el uso del comando sfc de Windows la integridad de los mismos.
Este proceso suele tardar alrededor de unos quince minutos. El resultado se puede ver en la
siguiente figura:
Con el parámetro /scannow el comando examina inmediatamente todos los archivos del sistema
protegidos y reemplaza las versiones incorrectas que encuentre por versiones correctas de los
mismos.
Para ejecutar muchos comandos del sistema deberemos contar con privilegios de administrador.
8
SMR: Seguridad Informática
Aquí el criterio de clasificación es el momento en el que se ponen en marcha las medidas oportunas.
Seguridad Activa.-
La seguridad activa la podemos definir como el conjunto de medidas que previenen e intentan
evitar los daños en los sistemas informáticos.
Seguridad Pasiva.-
La seguridad pasiva complementa a la seguridad activa y se encarga de minimizar los efectos que
haya ocasionado algún percance.
9
SMR: Seguridad Informática
Durante los primeros meses de 2009, en España hemos vivido una época de crisis financiera, lo que
ocasionó numerosos despidos en las empresas. La situación produjo un aumento en los casos de
robos de información confidencial por parte de los empleados despedidos, y puso en evidencia la
falta de seguridad informática en dichas empresas.
El objetivo final de la seguridad es proteger lo que la empresa posee. Todo aquello que es propiedad
e la empresa se denomina activo. Un activo es tanto el mobiliario de la oficina (sillas, mesas,
estanterías), como los equipos informáticos (servidores, ordenadores, impresoras), como los datos
que se manejan (datos de clientes, facturas, personal). Cualquier daño que se produzca sobre estos
activos tendrá un impacto en la empresa.
La seguridad de un sistema real nunca será completa, pero el uso de buenas políticas de seguridad
es imprescindible para evitar y minimizar los daños.
Caso Práctico 6.- Especificar los activos, daños e impacto que sufre la empresa “SiMur”
que almacena datos de los clientes únicamente en un portátil que utiliza el director.
En un descuido se le cae el portátil al suelo y este se estropea. Los datos del disco no se recuperan
hasta dos días después.
En este caso, los activos son el portátil y los datos de los clientes, el daño es la rotura del portátil y
el impacto es la pérdida de negocio durante 48 horas y la necesidad de adquirir un nuevo equipo.
En el nuevo portátil se graban los datos recuperados de los clientes, siendo de nuevo la única copia
existente de los mismos la que hay en el disco duro. Se instalan además los programas para la
gestión de “SiMur” pero no se considera la necesidad de instalar un antivirus y un Firewall, por lo
que se está haciendo vulnerable el equipo.
10
SMR: Seguridad Informática
Identificar los activos, es decir, los elementos que la empresa quiere proteger.
Evitar los riesgos, considerando el impacto que pueden tener los datos que se produzcan
sobre los activos y las vulnerabilidades del sistema.
Las medidas que traten de minimizar el impacto de los daños ya producidos. Es lo que
hemos estudiado referido a la seguridad pasiva.
Un problema que suele encontrarse a la hora de diseñar estas actuaciones es que los gerentes de las
empresas no ven la necesidad de invertir personal, esfuerzo y dinero en seguridad informática.
Caso Práctico 7.- Descubrir qué equipos están conectados en la red de SiMur, qué
servicios tienen instalados y descubrir qué programas y versión está detrás de un servidor
Web.
Para poder tomar medidas y proteger nuestra red, es bueno conocer los pasos que un atacante
seguiría para intentar abordar nuestro equipo.
Existen muchos analizadores de red, nosotros para este caso vamos a utilizar nmap y su interfaz
gráfico Zenmap (http://nmap.org), un programa que se puede ejecutar sobre Windows o
GNU/Linux.
En la siguiente figura se muestra el resultado de un análisis rápido, quick scan, con el que hemos
detectado dentro de la red de SiMur tres equipos, el equipo SERVER, el router y nuestro propio
equipo. Para el equipo SERVER, que se el que está seleccionado en la figura, ha detectado varios
servicios activos. Un atacante estudiaría todos los servicios activos y las versiones de los programas
que dan estos servicios para buscar una vulnerabilidad en ellos. Nosotros en este caso nos vamos a
centrar en el servicio http.
11
SMR: Seguridad Informática
2.- Investiga los servicios que tiene activos el equipo que se quiere atacar.
En la siguiente figura se muestra el resultado de realizar un escaneo más profundo, intense scan,
donde se nos muestra el programa y la versión que está detrás de dicho servicio. En el caso del
servidor Web, puerto 80, el programa servidor es Apache httpd 2.2.11.
Ahora que ya conocemos que programas está utilizando el equipo SERVER para ofrecer el servicio
Web y la versión del mismo, podemos buscar en Internet sus vulnerabilidades conocidas.
Recuerda que un servidor Web tiene por objetivo servir aplicaciones de tipo Web, es decir,
programas construidos con los lenguajes HTML, javaScript y PHP entre otros. Estos programas
también pueden tener fallos que podría utilizar un posible atacante.
12
SMR: Seguridad Informática
4.2.- Vulnerabilidades
Las vulnerabilidades de un sistema son una puerta abierta para posibles ataques, de ahí que sea tan
importante tenerlas en cuenta, en cualquier momento podrían ser aprovechadas.
Podemos diferenciar tres tipos de vulnerabilidades según cómo afectan a nuestro sistema:
Lograr que los sistemas y redes operen con seguridad resulta primordial para cualquier empresa y
organismo. Esto ha llevado a que empresas como Microsoft dispongan de departamentos dedicados
exclusivamente a la seguridad, como es Microsoft Security Response Center (MSRC). Sus
funciones son, entre otras, evaluar los informes que los clientes proporcionan sobre posibles
vulnerabilidades en sus productos, y preparar y divulgar revisiones y boletines de seguridad que
respondan a estos informes.
Para ello clasifica las vulnerabilidades en función de su gravedad, lo que nos da una idea de los
efectos que pueden tener en los sistemas. En la siguiente tabla puedes ver dicha clasificación:
Codificación Definición
Vulnerabilidad que puede permitir la propagación de un gusano de
Crítica
Internet sin la acción del usuario.
13
SMR: Seguridad Informática
Vulnerabilidad que puede poner en peligro la confidencialidad,
Importante integridad o disponibilidad de los datos de los usuarios, o bien, la
integridad o disponibilidad de los recursos de procesamiento.
Se entiende por amenaza una condición del entorno del sistema de información (p.e. persona,
máquina, etc) que, dada una oportunidad, podría dar lugar a que se produjese una violación de la
seguridad (confidencialidad, integridad, disponibilidad o uso ilegítimo).
Interrupción: Un recurso del sistema es destruido o deja de estar disponible. Este es un ataque
contra la disponibilidad. Un ejemplo de ataque es la destrucción de un elemento hardware,
como un disco duro, cortar una línea de comunicación o deshabilitar el sistema de gestión de
ficheros.
Modificación: una entidad no autorizada no sólo consigue acceder a un recurso, sino que es
capaz de manipularlo. Este es un ataque contra la integridad. Un ejemplo de este ataque es
alterar un programa para que funcione de forma diferente, modificar el contenidode un
fichero o de un mensaje transferido por red.
Estos ataques se pueden clasificar de forma útil en términos de ataques pasivos y ataques activos.
En los ataques pasivos, el atacante no altera la comunicación, sino que únicamente la escucha o
monitoriza, para obtener información de lo que está siendo transmitido. Sus objetivos son la
intercepción de datos y el análisis de tráfico, una técnica más sutil para obtener información de la
comunicación.
Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna alteración de los
datos. Sin embargo, es posible evitar su éxito mediante el cifrado de la información y otros
mecanismos que se verá más adelante.
Estos ataques implican algún tipo de modificación del flujo de datos transmitido o la creación de un
falso flujo de datos, pudiendo subdividirse en cuatro categorías:
2. Reactuación. Uno o varios mensajes legítimos son capturados y repetidos para producir un
efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta.
3. Modificación de mensajes. Una porción del mensaje legítimo es alterada, o los mensajes
son retardados o reordenados, para producir un efecto no autorizado. Por ejemplo, el mensaje
“Ingresa un millón de euros en la cuenta A” podría ser modificado para decir “Ingresa un
millón de euros en la cuenta B”.
15
SMR: Seguridad Informática
En la siguiente tabla podemos ver algunos de los ataques más usuales, así como la forma de
solucionarlo.
Tenemos en la primera columna, los nombres con los que se han denominado a las personas que
llevan a cabo los ataques, y en la segunda columna, una pequeña definición que los caracteriza.
Codificación Definición
Expertos informáticos con una gran curiosidad por descubrir las
Hackers
vulnerabilidades de los sistemas pero sin motivación económica o dañina.
Un hackers que, cuando rompe la seguridad de un sistema, lo hace con
Crackers intención maliciosa, bien para dañarlo o para obtener un beneficio
económico.
Crackers telefónicos, que sabotean las redes de telefonía para conseguir
Phreakers
llamadas gratuitas.
Expertos en redes que analizan el tráfico para obtener información
Sniffers
extrayéndola de los paquetes que se transmiten por la red.
Chicos jóvenes sin grandes conocimientos en informática pero que se
Lammers
consideran a sí mismos hackers y se vanaglorian de ellos.
Newbie Hacker novato.
Expertos en informática e intrusiones en la red que trabajan para países y
Ciber terrorista
organizaciones como espías y saboteadores informáticos.
Programadores Expertos en programación, redes y sistemas que crean programas dañinos que
de virus producen efectos no deseados en los sistemas o aplicaciones.
Personas que se dedican al ataque de los sistemas de tarjetas, como los
Carders
cajeros automáticos.
Otras terminologías más actualizadas respecto a los tipos de delincuentes cibernéticos la podemos ver a
continuación:
Aficionados: los aficionados, o script kiddies, tienen pocas habilidades o ninguna, y generalmente usan
herramientas existentes o instrucciones que se encuentran en Internet para realizar ataques. Algunos solo
son curiosos, mientras que otros intentan demostrar sus habilidades y causar daños. Pueden utilizar
herramientas básicas, pero los resultados aún pueden ser devastadores.
Hackers: este grupo de delincuentes penetran en las computadoras o redes para obtener acceso por
varios motivos. La intención por la que interrumpen determina la clasificación de estos atacantes como
17
SMR: Seguridad Informática
delincuentes de sombrero blanco, gris o negro. Los atacantes de sombrero blanco penetran en las redes o
los sistemas informáticos para descubrir las debilidades a fin de mejorar la seguridad de estos sistemas.
Los propietarios del sistema les otorgan permiso para realizar la interrupción y reciben los resultados de
la prueba. Por otro lado, los atacantes de sombrero negro aprovechan las vulnerabilidades para obtener
una ganancia ilegal personal, financiera o política. Los atacantes de sombrero gris están en algún lugar
entre los atacantes de sombrero blanco y negro. Los atacantes de sombrero gris pueden encontrar una
vulnerabilidad y señalarla a los propietarios del sistema si esa acción coincide con sus propósitos.
Algunos hackers de sombrero gris publican los hechos sobre la vulnerabilidad en Internet para que otros
atacantes puedan sacarles provecho.
La figura ofrece detalles sobre los términos hacker de sombrero blanco, negro y gris.
Haga clic aquí para ver representaciones gráficas de los perfiles de los hackers.
18
SMR: Seguridad Informática
19
SMR: Seguridad Informática
Motivos de los delincuentes cibernéticos
Los perfiles de los delincuentes cibernéticos y los motivos han cambiado a lo largo de los años. El
hacking comenzó en los años 60 con el «phone freaking» (o el «phreaking»), una actividad que hace
referencia al uso de diversas frecuencias de audio para manipular los sistemas telefónicos. A mediados
de los años 80, los delincuentes utilizaban módems de internet por acceso telefónico de la computadora
para conectar las computadoras a las redes y utilizaban programas de descifrado de contraseñas para
obtener acceso a los datos. Hoy en día, los delincuentes van más allá del robo de información. Los
delincuentes ahora pueden usar el malware y los virus como instrumentos de alta tecnología. Sin
embargo, la motivación más grande para la mayoría de los delincuentes cibernéticos es financiera. Los
delitos cibernéticos se han vuelto más lucrativos que las transacciones de las drogas ilegales.
Los perfiles generales del hacker y los motivos han cambiado un poco. La figura muestra los términos de
hacking modernos y una breve descripción de cada una.
20
SMR: Seguridad Informática
21
SMR: Seguridad Informática
Cualquier equipo conectado en red está expuesto a se atacado. Como ya sabes,, hay auténticos
expertos informáticos que se dedican a buscar vulnerabilidades en los sistemas, dedicando mucho
tiempo y esfuerzo a este fin. Para proteger tu sistema tendrás que ser más listo que ellos y dedicar
también mucho tiempo y esfuerzo a esta tarea.
Formar a los usuarios del sistema para que hagan uso de buenas prácticas.
Instalar un firewall. Esta herramienta permite controlar el tráfico entre una red privada y
una pública.
Gestionar y revisar los logs del sistema. Los logs reflejan toda la actividad desarrollada en
el sistema, por lo que su revisión periódica puede detectar a tiempo un posible ataque.
El primer paso que realiza un atacante es la exploración. En la exploración el atacante obtiene una lista
de direcciones IP y de red utilizando barridos de pings, consultas whois y transferencias de zona. Estas
técnicas proporcionan información valiosa a los atacantes incluyendo nombres de empleados, números
de teléfono, rangos de direcciones IP, servidores DNS, etc. (más adelante veremos estas técnicas más en
detalle)
Una vez identificados los sistemas activos, el siguiente paso que realiza un atacante es la exploración de
puertos. La exploración de puertos es el proceso de conexión de puertos UDP y TCP del sistema destino
que nos permite determinar los servicios que se están ejecutando. Identificar los puertos que están a la
escucha es crítico para determinar el tipo de sistema operativo y aplicaciones que se están utilizando.
Los servicios activos que estén a la escucha pueden permitir que un usuario no autorizado tenga acceso a
sistemas que no estén bien configurados o que ejecuten una versión de software que tenga
vulnerabilidades de seguridad conocidas. Los objetivos que se persiguen con la exploración de puertos
son los siguientes:
Identificar vulnerabilidades
Identificar equipos
Whois ICMP
Los sistemas operativos son configurables y, por lo tanto, pueden engaña a un posible atacante con
información incorrecta. Cuestionaros las siguientes preguntas:
¿Qué pasa si identifica los servicios de forma incorrecta? Por ejemplo, identificar un servidor de
correo qmail en un máquina con Exchange.
Un atacante obtiene las vulnerabilidades del sistema a partir de la información de los servicios y
servidores. Por lo tanto, si esta información es incorrecta, el atacante, que se encuentra engañado, jamás
va a realizar con éxito su ataque ya que es imposible aplicar los fallos de seguridad del servidor de
correo de Windows (p.e. Exchange) en un servidor de correo Linux (p.e. qmail).
23