SMR: Seguridad Informática

Unidad 1.- CONCEPTOS BÁSICOS DE LA SEGURIDAD

INFORMÁTICA

1.- SEGURIDAD INFORMÁTICA ¿POR QUÉ? ......................................................................................................... 1

2.- OBJETIVOS DE LA SEGURIDAD INFORMÁTICA ................................................................................................ 3

3.- CLASIFICACIÓN DE SEGURIDAD ..................................................................................................................... 5

3.1.- Seguridad física y lógica.......................................................................................................................... 5

3.2.- Seguridad activa y pasiva........................................................................................................................ 9

4.- AMENAZAS Y FRAUDES EN LOS SISTEMAS DE LA INFORMACIÓN ................................................................. 10

4.1.- Actuaciones para mejorar la seguridad ................................................................................................. 11

4.2.- Vulnerabilidades .................................................................................................................................. 13

4.3.- Tipos de amenazas de seguridad. ......................................................................................................... 14

4.3.3.- Tipos de ataques: .......................................................................................................................... 15

4.3.4.- Tipos de atacantes. ....................................................................................................................... 17

4.4.- Pautas de protección para nuestro sistema .......................................................................................... 22

5.- Obtención de información de un atacante.. ................................................................................................ 22

1.- SEGURIDAD INFORMÁTICA ¿POR QUÉ?

El espectacular auge de Internet y de los servicios telemáticos ha hecho que los ordenadores y las
redes se conviertan en un elemento cotidiano en nuestras casas y en un instrumento imprescindible
en las tareas de las empresas.

Ya no tenemos necesidad de ir al banco para conocer los movimientos realizados en nuestra cuenta
bancaria, ni para realizar transferencias… directamente podemos realizar dichas operaciones desde
el ordenador de casa. Lo mismo ocurre con las empresas (sea cual sea su tamaño), disponen de
equipos conectados a Internet que les ayudan en sus procesos productivos.

Cualquier fallo en los mismos puede suponer una gran pérdida económica ocasionada por el parón
producido, bien por la pérdida de información o por el mal funcionamiento de los equipos
informáticos, de modo que es muy importante asegurar un correcto funcionamiento de los
sistemas y redes informáticas.

Uno de los principales problemas a los que se enfrenta la seguridad informática es la creencia de
muchos usuarios de que a ellos nunca les va a pasar lo que a otros. Es impensable que nos vayamos
de casa y nos dejemos la puerta abierta. Lo mismo ocurre con la seguridad de la información.
1
 SMR: Seguridad Informática

Con unas buenas políticas de seguridad, tanto físicas como lógicas, conseguiremos que nuestros
sistemas sean menos vulnerables a las distintas amenazas. Ya que, nadie puede asegurar que su
sistema sea cien por cien seguro, hasta la seguridad de la NASA y el Pentágono han sido violadas
por hackers. Hay una lucha permanente entre los técnicos protectores del sistema y los que buscan
rendimientos económicos fáciles, o simplemente su minuto de gloria al superar el reto de asomarse
al otro lado de la barrera de protección.

Tenemos que intentar lograr un nivel de seguridad razonable y estar preparado para que, cuando se
produzcan los ataques, los daños puedan ser evitados en unos porcentajes que se aproximen al
ciento por cien o en caso contrario haber sido lo suficientemente precavidos para realizar las copias
de seguridad y de esta manera volver a poner en funcionamiento los sistemas en el menor tiempo
posible.

Gene Spafford, experto en seguridad informática afirma: “El único sistema verdaderamente
seguro es aquel que se encuentra apagado, encerrado en una caja fuerte de titanio, enterrado en un
bloque de hormigón, rodeado de gas nervioso y vigilado por guardias armados y muy bien
pagados. Incluso entonces, yo no apostaría mi vida por ello”

2
 SMR: Seguridad Informática

2.- OBJETIVOS DE LA SEGURIDAD INFORMÁTICA

Si estudiamos las múltiples definiciones que de seguridad informática dan las distintas entidades,
deduciremos los objetivos de la seguridad informática.

Según la ISO27002, la seguridad de la información se puede caracterizas por la prevención de:

Confidencialidad: asegura que el acceso a la información está adecuadamente autorizado.

Integridad: salvaguarda la precisión y completitud de la información y sus métodos de

proceso.

Disponibilidad: asegura que los usuarios autorizados pueden acceder a la información

cuando la necesitan.

Otra de las definiciones de la seguridad informática dada por INFOSEC Glorassry 2000: “Seguridad
informática son las medidas y controles que aseguran la confidencialidad, integridad y
disponibilidad de los activos de los sistemas de información, incluyendo hardware, software,
firmware y aquella información que procesan, almacenan y comunican”

De estas definiciones podemos deducir que los principales objetivos de la seguridad informática
son:

Confidencialidad: la capacidad de garantizar que la información, almacenada en el

sistema informático o transmitida por la red, solamente va a estar disponible para aquellas
personas autorizadas a acceder a dicha información, es decir, que si los contenidos cayesen
en manos ajenas, estas no podrían acceder a la información o a su interpretación.

Este es uno de los principales problemas a los que se enfrentan muchas empresas, en los
últimos años se ha incrementado el robo de los portátiles con la consecuente pérdida de
información confidencial, de clientes, líneas de negocio…

En relación a éste objetivo, más adelante analizaremos la ley de Protección de Datos de

Carácter Personal.

Disponibilidad: la capacidad de garantizar que tanto el sistema como los datos van a estar
disponibles al usuario en todo momento.

Pensemos, por ejemplo, en la importancia que tiene este objetivo para una empresa
encargada de impartir ciclos formativos a distancia. Constantemente está recibiendo
consultas, descargas a su sitio Web, etc., por lo que siempre deberá estar disponible para
los usuarios.

Integridad: la capacidad de garantizar que los datos no han sido modificados desde su
creación sin autorización. La información que disponemos es válida y consistente.

Este objetivo es muy importante cuando estamos realizando trámites bancarios por
Internet. Se deberá garantizar que ningún intruso pueda capturar y modificar los datos en
tránsito.

3
 SMR: Seguridad Informática

No repudio: garantiza la participación de las partes en una comunicación. En toda

comunicación, existe un emisor y un receptor, por lo que podemos distinguir dos tipos de
no repudio:

 No repudio en origen: garantiza que la persona que envía el mensaje no puede

negar que es el emisor del mismo, ya que el receptor tendrá pruebas del envío.

 No repudio en destino: el receptor no puede negar que recibió el mensaje, porque el

emisor tiene pruebas de la recepción del mismo.

Este servicio es muy importante en las transacciones comerciales por Internet, ya que
incrementa la confianza entre las partes en las comunicaciones.

Para conseguir los objetivos mostrados en la anterior figura se utilizan los siguientes mecanismos:

Autenticación, que permite identificar al emisor de un mensaje, al creador de un documento

o al equipo que se conecta a una red o a un servicio.

Formas de autenticarse:

 Por algo que el usuario sabe: password, PIN…

 Por algo que el usuario posee: tarjeta de claves, tarjeta ATM (tarjeta bancaria)…
 Por algo que el usuario es: características biométricas, huella dactilar, iris…

Autorización, que controla el acceso de los usuarios a zonas restringidas, a distintos

equipos y servicios después de haber superado el proceso de autenticación.

Auditoría, que verifica el correcto funcionamiento de las políticas o medidas de seguridad

tomadas.

Encriptación, que ayuda a ocultar la información transmitida por la red o almacenada en

los equipos, para que cualquier persona ajena no autorizada, sin el algoritmo y clave de
descifrado, pueda acceder a los datos que se quieren proteger.

Realización de copias de seguridad e imágenes de respaldo, para que en caso de fallos

nos permita la recuperación de la información perdida o dañada.
Antivirus, como su nombre indica, consiste en un programa que permite estar protegido
contra las amenazas de los virus.
4
 SMR: Seguridad Informática

Cortafuegos o firewall, programa que audita y evita los intentos de conexión no deseados
en ambos sentidos, desde los equipos hacia la red y viceversa.

Servidores proxys, consiste en ordenadores con software especial, que hacen de

intermediario entre la red interna de una empresa y una red externa, como pueda ser
Internet. Estos servidores, entre otras acciones, auditan y autorizan los accesos de los
usuarios a distintos tipos de servicios como el de FTP (transferencia de ficheros), o el Web
(acceso a páginas de Internet).

Utilización firma electrónica o certificado digital, son mecanismos que garantizan la

identidad de una persona o entidad evitando el no repudio en las comunicaciones o en la
firma de documentos. También se utilizan mucho hoy en día para establecer
comunicaciones seguras entre el PC del usuario y los servidores de Internet como las
páginas Web de los bancos.

Conjunto de leyes encaminadas a la protección de datos personales que obligan a las

empresas a asegurar su confidencialidad.

3.- CLASIFICACIÓN DE SEGURIDAD

Se pueden hacer diversas clasificaciones de la seguridad informática en función de distintos

criterios.

Según el activo a proteger, es decir, todos los recursos del sistema de información necesarios para el
correcto funcionamiento de la actividad de la empresa, distinguiremos entre seguridad física y lógica
(en dependencia del momento preciso de actuación), entre seguridad pasiva y activa (según se actúe
antes de producirse el percance, de tal manera que se eviten los daños en el sistema, o después del
percance, minimizando los efectos ocasionados por el mismo).

3.1.- Seguridad física y lógica

En este apartado distinguiremos los distintos tipos de seguridad en función del recurso a proteger.

Seguridad Física.-

Habitualmente nos centramos en protegernos de posibles hackers, virus… y nos olvidamos de un

aspecto muy importante en la seguridad informática, la seguridad física.

La seguridad física es aquella que trata de proteger el hardware (los equipos informáticos, el
cableado…) de los posibles desastres naturales (terremotos, tifones…), de incendios, inundaciones,
sobrecargas eléctricas, de robos y un sinfín de amenazas más.

A continuación vamos a enumerar las principales amenazas y los mecanismos para salvaguardarnos
de las mismas:

5
 SMR: Seguridad Informática

Amenazas Mecanismos de defensa

El mobiliario de los centros de cálculo debe ser ignífugo.
Evitar la localización del centro de procesamiento de datos cerca de zonas
donde se manejen o almacenen sustancias inflamables o explosivos.
Incendios
Deben existir sistemas antiincendios, detectores de humo, rociadores de
gas, extintores… para sofocar el incendio en el menor tiempo posible y así
evitar que se propague ocasionando numerosas pérdidas materiales.

Evitar la ubicación de los centros de cálculo en las plantas bajas de los

edificios para protegerse de la entrada de aguas superficiales.
Inundaciones
Impermeabilizar las paredes y techos del Centro de Cálculo. Sellar las
puertas para evitar la entrada de agua proveniente de las plantas superiores.
Proteger los centros de cálculo mediante puertas con medidas biométricas,
Robos cámaras de seguridad, vigilantes jurados…, con todas estas medidas
pretendemos evitar la entrada de personal no autorizado.
Evitar la ubicación de los centros de cálculo próximos a lugares con gran
radiación de señales electromagnéticas, pues pueden interferir en el
correcto funcionamiento de los equipos informáticos del cableado de red.
Señales
En caso de no poder evitar la ubicación en zonas con grandes emisiones de
Electromagnéticas
este tipo de señales deberemos proteger el centro frente de dichas
emisiones mediante el uso de filtros o de cableado especial, o si es posible,
utilizar fibra óptica, que no es sensible a este tipo de interferencias.
Para evitar los apagones colocaremos Sistemas de Alimentación
Apagones Ininterrumpida (SAI), que proporcionan corriente eléctrica durante un
periodo de tiempo suficiente.
Sobrecargas Además de proporcionar alimentación, los SAI profesionales incorporan
Eléctricas filtros para evitar picos de tensión, es decir, estabilizan la señal eléctrica.
Estando en continuo contacto con el Instituto Geográfico Nacional y la
Desastres
Agencia Estatal de Meteorología, organismos que informan sobre los
Naturales
movimientos sísmicos y meteorológicos en España.

Seguridad Lógica.-

La seguridad lógica complementa a la seguridad física, protegiendo el software de los equipos

informáticos, es decir, las aplicaciones y los datos de usuario, de robos, de pérdidas de datos,
entrada de virus informáticos, modificaciones no autorizadas de los datos, ataques desde la red, etc.

6
 SMR: Seguridad Informática

A continuación vamos a enumerar las principales amenazas y mecanismos para salvaguardarnos de

los mismos:

Amenazas Mecanismos de defensa

Cifrar la información almacenada en los soportes para que en caso de robo no
sea legible.
Robos Utilizar contraseñas para evitar el acceso a la información.
Sistemas biométricos (uso de huella dactilar, tarjetas identificadoras,
caligrafía…).
Realizar copias de seguridad para poder restaurar la información perdida.
Uso de sistemas tolerantes a fallos, elección del sistema de ficheros del
Pérdida de
sistema operativo adecuado.
Información
Uso de conjunto de discos redundantes, protege contra la pérdida de datos y
proporciona la recuperación de los datos en tiempo real.
Uso de programas de chequeo del equipo, SiSoft Sandra 2000, TuneUp…
Pérdida de
Mediante la firma digital en el envío de información a través de mensajes
integridad en la
enviados por la red.
información
Uso de la instrucción del SO Windows, sfc (System file checker).
Entrada de Uso de antivirus, que evite que se infecten los equipos con programas
Virus malintencionados.
Firewall, autorizando y auditando las conexiones permitidas.
Ataques desde
Programas de monitorización.
la red
Servidores Proxys, autorizando y auditando las conexiones permitidas.
Uso de contraseñas que no permitan el acceso a la información.
Modificaciones
Uso de listas de control de acceso.
no autorizadas
Cifrar documentos.

7
 SMR: Seguridad Informática

Caso Práctico 5.- Verificación de la integridad de los ficheros del sistema en Windows

En algunas ocasiones, los virus modifican o dañan los ficheros del sistema. A continuación, vamos a
comprobar mediante el uso del comando sfc de Windows la integridad de los mismos.

Las acciones que debemos realizar son las siguientes:

Hacemos clic en el botón Inicio.

En el cuadro de búsqueda, escribimos cmd.

Escribimos sfc/verifyonly (Windows Vista) o sfc/scannow (Windows XP), y empieza la

comprobación del sistema.

Este proceso suele tardar alrededor de unos quince minutos. El resultado se puede ver en la
siguiente figura:

Con el parámetro /scannow el comando examina inmediatamente todos los archivos del sistema
protegidos y reemplaza las versiones incorrectas que encuentre por versiones correctas de los
mismos.

Para ejecutar muchos comandos del sistema deberemos contar con privilegios de administrador.

8
 SMR: Seguridad Informática

3.2.- Seguridad activa y pasiva

Aquí el criterio de clasificación es el momento en el que se ponen en marcha las medidas oportunas.

Seguridad Activa.-

La seguridad activa la podemos definir como el conjunto de medidas que previenen e intentan
evitar los daños en los sistemas informáticos.

A continuación, vamos a enumerar las principales técnicas de seguridad activa

Técnicas ¿Qué previene?

Uso de Contraseñas Previene el acceso a recursos por parte de personas no autorizadas.
Listas de control de Previene el acceso a los ficheros por parte de personas no autorizadas.
acceso
Encriptación Evitan que personas sin autorización pueden interpretar la información.
Uso de software de Previene de virus informáticos y de entradas indeseadas al sistema
seguridad informática informático.
Firmas y certificados Permite comprobar la procedencia, autenticidad e integridad de los
digitales mensajes.
Sistemas de ficheros Previene fallos de integridad en caso de apagones de sincronización o
con tolerancia a fallos comunicación.
Previene que ciertos usuarios hagan un uso indebido de la capacidad de
Cuotas de disco
disco.

Las tarjetas inteligentes, es un ejemplo de seguridad activa, impiden el acceso a personas no

autorizadas a los recursos.

Seguridad Pasiva.-

La seguridad pasiva complementa a la seguridad activa y se encarga de minimizar los efectos que
haya ocasionado algún percance.

A continuación, enumeraros las técnicas más importantes de seguridad pasiva:

Técnicas ¿Cómo minimiza?

Conjunto de discos Podemos restaurar información que no es válida ni consistente.
redundantes
Una vez que la corriente se pierde las baterías del SAI (sistemas de
alimentación ininterrumpida) se ponen en funcionamiento proporcionando
SAI la corriente necesaria para mantener los equipos encendidos el tiempo
necesario para guardar la información una vez que se ha producido el
desastre (el apagón de la luz).
Realización de A partir de las copias realizadas, podemos recuperar información en
copias de seguridad caso de pérdida de datos.

9
 SMR: Seguridad Informática

4.- AMENAZAS Y FRAUDES EN LOS SISTEMAS DE LA INFORMACIÓN

Durante los primeros meses de 2009, en España hemos vivido una época de crisis financiera, lo que
ocasionó numerosos despidos en las empresas. La situación produjo un aumento en los casos de
robos de información confidencial por parte de los empleados despedidos, y puso en evidencia la
falta de seguridad informática en dichas empresas.

El objetivo final de la seguridad es proteger lo que la empresa posee. Todo aquello que es propiedad
e la empresa se denomina activo. Un activo es tanto el mobiliario de la oficina (sillas, mesas,
estanterías), como los equipos informáticos (servidores, ordenadores, impresoras), como los datos
que se manejan (datos de clientes, facturas, personal). Cualquier daño que se produzca sobre estos
activos tendrá un impacto en la empresa.

La seguridad de un sistema real nunca será completa, pero el uso de buenas políticas de seguridad
es imprescindible para evitar y minimizar los daños.

Una vulnerabilidad es cualquier fallo que compromete la seguridad del sistema.

Un riesgo es la posibilidad de que se produzca un impacto negativo para la empresa aprovechando

alguna de sus vulnerabilidades.

Caso Práctico 6.- Especificar los activos, daños e impacto que sufre la empresa “SiMur”
que almacena datos de los clientes únicamente en un portátil que utiliza el director.

En un descuido se le cae el portátil al suelo y este se estropea. Los datos del disco no se recuperan
hasta dos días después.
En este caso, los activos son el portátil y los datos de los clientes, el daño es la rotura del portátil y
el impacto es la pérdida de negocio durante 48 horas y la necesidad de adquirir un nuevo equipo.

En el nuevo portátil se graban los datos recuperados de los clientes, siendo de nuevo la única copia
existente de los mismos la que hay en el disco duro. Se instalan además los programas para la
gestión de “SiMur” pero no se considera la necesidad de instalar un antivirus y un Firewall, por lo
que se está haciendo vulnerable el equipo.

10
 SMR: Seguridad Informática

4.1.- Actuaciones para mejorar la seguridad

Los pasos a seguir para mejorar la seguridad son los siguientes:

Identificar los activos, es decir, los elementos que la empresa quiere proteger.

Formación de los trabajadores de las empresas en cuanto a materias de seguridad.

Concienciación de la importancia de la seguridad informática para los trabajadores de la

empresa.

Evitar los riesgos, considerando el impacto que pueden tener los datos que se produzcan
sobre los activos y las vulnerabilidades del sistema.

Diseñar el plan de actuación, que debe incluir:

 Las medidas que traten de minimizar el impacto de los daños ya producidos. Es lo que
hemos estudiado referido a la seguridad pasiva.

 Las medidas que traten de prevenir los daños minimizando la existencia de

vulnerabilidades. Se trata de la seguridad activa.

Revisar periódicamente las medidas de seguridad adoptadas.

Un problema que suele encontrarse a la hora de diseñar estas actuaciones es que los gerentes de las
empresas no ven la necesidad de invertir personal, esfuerzo y dinero en seguridad informática.

Caso Práctico 7.- Descubrir qué equipos están conectados en la red de SiMur, qué
servicios tienen instalados y descubrir qué programas y versión está detrás de un servidor
Web.

Para poder tomar medidas y proteger nuestra red, es bueno conocer los pasos que un atacante
seguiría para intentar abordar nuestro equipo.

1.- Analiza la red en busca de equipos y servicios.

Existen muchos analizadores de red, nosotros para este caso vamos a utilizar nmap y su interfaz
gráfico Zenmap (http://nmap.org), un programa que se puede ejecutar sobre Windows o
GNU/Linux.

En la siguiente figura se muestra el resultado de un análisis rápido, quick scan, con el que hemos
detectado dentro de la red de SiMur tres equipos, el equipo SERVER, el router y nuestro propio
equipo. Para el equipo SERVER, que se el que está seleccionado en la figura, ha detectado varios
servicios activos. Un atacante estudiaría todos los servicios activos y las versiones de los programas
que dan estos servicios para buscar una vulnerabilidad en ellos. Nosotros en este caso nos vamos a
centrar en el servicio http.

11
 SMR: Seguridad Informática

2.- Investiga los servicios que tiene activos el equipo que se quiere atacar.

En la siguiente figura se muestra el resultado de realizar un escaneo más profundo, intense scan,
donde se nos muestra el programa y la versión que está detrás de dicho servicio. En el caso del
servidor Web, puerto 80, el programa servidor es Apache httpd 2.2.11.

3.- Investiga vulnerabilidades que puedan tener los protocolos activos.

Ahora que ya conocemos que programas está utilizando el equipo SERVER para ofrecer el servicio
Web y la versión del mismo, podemos buscar en Internet sus vulnerabilidades conocidas.

Una página en la que podemos encontrar esta información es http://securityfocus.com. También

puedes encontrar las vulnerabilidades en las páginas oficiales, en este caso en www.apache.org.

Recuerda que un servidor Web tiene por objetivo servir aplicaciones de tipo Web, es decir,
programas construidos con los lenguajes HTML, javaScript y PHP entre otros. Estos programas
también pueden tener fallos que podría utilizar un posible atacante.

12
 SMR: Seguridad Informática

Si utilizamos aplicaciones propias de la empresa, tendremos que descubrir y corregir nuestras

propias vulnerabilidades, si por el contrario utilizamos aplicaciones más genéricas como por
ejemplo Joomla o Moolde, tendremos que seguir las noticias oficiales de seguridad de esas
aplicaciones para que en caso de que se produzca un fallo, solucionarlo en cuanto este sea conocido
por la empresa.

Estos pasos también se pueden simplificar a través de algún programa de detección de

vulnerabilidades como, por ejemplo, Nexus (http://www.nessus.org).

4.2.- Vulnerabilidades

Las vulnerabilidades de un sistema son una puerta abierta para posibles ataques, de ahí que sea tan
importante tenerlas en cuenta, en cualquier momento podrían ser aprovechadas.

Podemos diferenciar tres tipos de vulnerabilidades según cómo afectan a nuestro sistema:

Vulnerabilidades ya conocidas sobre aplicaciones o sistemas instalados. Son

vulnerabilidades de las que ya tienen conocimiento las empresas que desarrollan el
programa al que afecta y para las cuales ya existe una solución, que se publica en forma de
parche.
Existen listas de correo relacionadas con las noticias oficiales de seguridad que informan
de la detección de esas vulnerabilidades y las publicaciones de los parcheas a las que
podemos suscribirnos.

Vulnerabilidades conocidas sobre aplicaciones no instaladas. Estas vulnerabilidades

también son conocidas por las empresas desarrolladores de la aplicación, pero puesto que
nosotros no tenemos dicha aplicación instalada no tendremos que actuar.

Vulnerabilidades aún no conocidas. Estas vulnerabilidades aún no han sido detectadas

por la empresa que desarrolla en programa, por lo que si otra persona ajena a dicha
empresa detectara alguna, podría utilizarla contra todos los equipos que tienen instalado
este programa.

Lograr que los sistemas y redes operen con seguridad resulta primordial para cualquier empresa y
organismo. Esto ha llevado a que empresas como Microsoft dispongan de departamentos dedicados
exclusivamente a la seguridad, como es Microsoft Security Response Center (MSRC). Sus
funciones son, entre otras, evaluar los informes que los clientes proporcionan sobre posibles
vulnerabilidades en sus productos, y preparar y divulgar revisiones y boletines de seguridad que
respondan a estos informes.

Para ello clasifica las vulnerabilidades en función de su gravedad, lo que nos da una idea de los
efectos que pueden tener en los sistemas. En la siguiente tabla puedes ver dicha clasificación:

Codificación Definición
Vulnerabilidad que puede permitir la propagación de un gusano de
Crítica
Internet sin la acción del usuario.

13
 SMR: Seguridad Informática
Vulnerabilidad que puede poner en peligro la confidencialidad,
Importante integridad o disponibilidad de los datos de los usuarios, o bien, la
integridad o disponibilidad de los recursos de procesamiento.

El impacto se puede reducir en gran medida a partir de factores como

Moderada configuraciones predeterminadas, auditorías o la dificultad intrínseca en
sacar partido a la vulnerabilidad.
Baja Vulnerabilidad muy difícil de aprovechar o cuyo impacto es mínimo.

4.3.- Tipos de amenazas de seguridad.

Se entiende por amenaza una condición del entorno del sistema de información (p.e. persona,
máquina, etc) que, dada una oportunidad, podría dar lugar a que se produjese una violación de la
seguridad (confidencialidad, integridad, disponibilidad o uso ilegítimo).

Las amenazas a la seguridad pueden caracterizarse modelando el sistemas como un flujo de

información: desde una fuente, como por ejemplo un fichero o una región de memoria principal, a
un destino, como por ejemplo otro fichero o un usuario.

 Interrupción: Un recurso del sistema es destruido o deja de estar disponible. Este es un ataque
contra la disponibilidad. Un ejemplo de ataque es la destrucción de un elemento hardware,
como un disco duro, cortar una línea de comunicación o deshabilitar el sistema de gestión de
ficheros.

 Intercepción: Una entidad no autorizada consigue acceso a un recurso. Este es un ataque

contra la confidencialidad. La entidad no autorizada puede ser una persona, un programa o
un ordenador. Un ejemplo de este ataque es escuchar una línea para registrar los datos que
circulen por la red y la copia ilícita de ficheros o programas (intercepción de datos), o bien la
lectura de las cabeceras de paquetes para desvelar la identidad de uno o más de los usuarios
implicados en la comunicación observada ilegalmente (intercepción de la identidad).
14
 SMR: Seguridad Informática

 Modificación: una entidad no autorizada no sólo consigue acceder a un recurso, sino que es
capaz de manipularlo. Este es un ataque contra la integridad. Un ejemplo de este ataque es
alterar un programa para que funcione de forma diferente, modificar el contenidode un
fichero o de un mensaje transferido por red.

 Fabricación: Un ataque contra la autenticidad es cuando una entidad no autorizada inserta

falsificados en el sistema. Un ejemplo de este ataque es la inserción de mensajes espurios
(mensajes basura) en una red o añadir registros a un fichero.

Estos ataques se pueden clasificar de forma útil en términos de ataques pasivos y ataques activos.

4.3.1.- Ataques pasivos.

En los ataques pasivos, el atacante no altera la comunicación, sino que únicamente la escucha o
monitoriza, para obtener información de lo que está siendo transmitido. Sus objetivos son la
intercepción de datos y el análisis de tráfico, una técnica más sutil para obtener información de la
comunicación.

Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna alteración de los
datos. Sin embargo, es posible evitar su éxito mediante el cifrado de la información y otros
mecanismos que se verá más adelante.

4.3.2.- Ataques activos.

Estos ataques implican algún tipo de modificación del flujo de datos transmitido o la creación de un
falso flujo de datos, pudiendo subdividirse en cuatro categorías:

1. Suplantación de identidad. El intruso se hace pasar por una entidad diferente.

Normalmente, incluye alguna de las otras formas de ataque activo. Por ejemplo, secuencias
de autentificación pueden ser capturadas y repetidas, permitiendo a una entidad no autorizada
acceder a una serie de recursos privilegiados suplantando a la entidad que posee esos
privilegios, como al robar la contraseña de acceso de una cuenta.

2. Reactuación. Uno o varios mensajes legítimos son capturados y repetidos para producir un
efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta.

3. Modificación de mensajes. Una porción del mensaje legítimo es alterada, o los mensajes
son retardados o reordenados, para producir un efecto no autorizado. Por ejemplo, el mensaje
“Ingresa un millón de euros en la cuenta A” podría ser modificado para decir “Ingresa un
millón de euros en la cuenta B”.

4. Degradación fraudulenta del servicio. Impide o inhibe el uso normal o la gestión de

recursos informáticos y de comunicaciones. Por ejemplo, el intruso podría suprimir todos los
mensajes dirigidos a un determinada entidad o se podría interrumpir el servicio en una red
inundándola con mensajes espurios (mensajes basura). Entre estos ataques se encuentran los
de denegación de servicio. La denegación de servicio consiste en paralizar temporalmente el
servicio de un servidor de correo, Web, FTP, etc.

4.3.3.- Tipos de ataques:

15
 SMR: Seguridad Informática
En la siguiente tabla podemos ver algunos de los ataques más usuales, así como la forma de
solucionarlo.

Nombre Descripción Solución

Sniffing Escuchar los datos que atraviesan una red. Se Encriptado de datos o usar
usa para obtener password password no reusables.
Spoofing El atacante envía paquetes con una dirección Encriptado del protocolo.
fuente incorrecta. Las respuestas se envían a
la dirección falsa. Pueden usarse para:
 Acceder a recursos confiados sin
privilegios.
 Para DOS (Deny o Service) directo
como indirecto o recursivo.
Hijacking Permite a un usuario robar una conexión de un Filtrado de paquetes.
usuario que ha sido autentificado en el Encriptado del protocolo.
sistema.
Explotar bugs Un ataque aprovecha los fallos del software Actualizar el software y
del sistema para poder hacerse con el control de la barterías de tests.
máquina.
Negación de Bloquear un determinado número de servicios Eliminar paquetes con
servicio para que los usuarios legítimos no lo puedan direcciones falsas.
usar. Los servidores deben limitar el
número de recursos reservados
por una única entidad.
Ingeniería Un atacante convence a un usuario legítimo a Autenticación e información.
social que le facilite información (contraseñas,
configuraciones, etc)
Phisisng Es una variable de la ingeniería social. A Autenticación e información.
través de mensajes de texto “falsificados” y
sitios Web fraudulentos, engañan a los
usuarios con el fin de que revelen datos
financieros, datos personales, contraseñas, etc.
Confianza Aprovechar las relaciones de confianza UNIX Autenticación y filtrado de
transitiva entre usuarios o hosts para tomar sus paquetes.
privilegios.
Ataques Virus, gusanos y páginas de javaScript. Antivirus, firma digital e
dirigidos por información.
datos
Troyanos Software que se instala en el ordenador Firma digital, verificación de
atacado que permite al atacante hacerse con el software y filtrado de
control de la máquina. paquetes.
Mensajes de Se envían paquetes ICMP para hacer pasar los Filtrado de paquetes y
control de red paquetes por un router comprometido encriptación.
o enrutamiento
fuente
Reenvío de Retransmisión de paquetes para engañar o Rechazar paquetes duplicados,
paquetes duplicar un mensaje (p.e. una transferencia) usando marcas de tiempo o
número de secuencia.
Adivinación de Fuerza bruta o ataques basados en Información y firma digital.
password diccionarios.
Tempest Barrido de emisiones de electrones de los Paredes de plomo y hormigón.
CRT.
16
 SMR: Seguridad Informática
Rubber-hosse Utilizar soborno o tortura para obtener una Defensa personal.
determinada información.

4.3.4.- Tipos de atacantes.

Tenemos en la primera columna, los nombres con los que se han denominado a las personas que
llevan a cabo los ataques, y en la segunda columna, una pequeña definición que los caracteriza.

Codificación Definición
Expertos informáticos con una gran curiosidad por descubrir las
Hackers
vulnerabilidades de los sistemas pero sin motivación económica o dañina.
Un hackers que, cuando rompe la seguridad de un sistema, lo hace con
Crackers intención maliciosa, bien para dañarlo o para obtener un beneficio
económico.
Crackers telefónicos, que sabotean las redes de telefonía para conseguir
Phreakers
llamadas gratuitas.
Expertos en redes que analizan el tráfico para obtener información
Sniffers
extrayéndola de los paquetes que se transmiten por la red.
Chicos jóvenes sin grandes conocimientos en informática pero que se
Lammers
consideran a sí mismos hackers y se vanaglorian de ellos.
Newbie Hacker novato.
Expertos en informática e intrusiones en la red que trabajan para países y
Ciber terrorista
organizaciones como espías y saboteadores informáticos.
Programadores Expertos en programación, redes y sistemas que crean programas dañinos que
de virus producen efectos no deseados en los sistemas o aplicaciones.
Personas que se dedican al ataque de los sistemas de tarjetas, como los
Carders
cajeros automáticos.

Otras terminologías más actualizadas respecto a los tipos de delincuentes cibernéticos la podemos ver a
continuación:

¿Quiénes son los delincuentes cibernéticos?

En los primeros años del mundo de la ciberseguridad, los delincuentes cibernéticos típicos eran
adolescentes o aficionados que operaban desde una PC doméstica, y sus ataques se limitaban a bromas y
vandalismo. Actualmente, el mundo de los delincuentes cibernéticos se ha vuelto más peligroso. Los
atacantes son personas o grupos que intentan atacar las vulnerabilidades para obtener una ganancia
personal o financiera. Los delincuentes cibernéticos están interesados en todo, desde las tarjetas de
crédito hasta los diseños de producto y todo lo que tenga valor.

Aficionados: los aficionados, o script kiddies, tienen pocas habilidades o ninguna, y generalmente usan
herramientas existentes o instrucciones que se encuentran en Internet para realizar ataques. Algunos solo
son curiosos, mientras que otros intentan demostrar sus habilidades y causar daños. Pueden utilizar
herramientas básicas, pero los resultados aún pueden ser devastadores.

Hackers: este grupo de delincuentes penetran en las computadoras o redes para obtener acceso por
varios motivos. La intención por la que interrumpen determina la clasificación de estos atacantes como
17
 SMR: Seguridad Informática
delincuentes de sombrero blanco, gris o negro. Los atacantes de sombrero blanco penetran en las redes o
los sistemas informáticos para descubrir las debilidades a fin de mejorar la seguridad de estos sistemas.
Los propietarios del sistema les otorgan permiso para realizar la interrupción y reciben los resultados de
la prueba. Por otro lado, los atacantes de sombrero negro aprovechan las vulnerabilidades para obtener
una ganancia ilegal personal, financiera o política. Los atacantes de sombrero gris están en algún lugar
entre los atacantes de sombrero blanco y negro. Los atacantes de sombrero gris pueden encontrar una
vulnerabilidad y señalarla a los propietarios del sistema si esa acción coincide con sus propósitos.
Algunos hackers de sombrero gris publican los hechos sobre la vulnerabilidad en Internet para que otros
atacantes puedan sacarles provecho.

La figura ofrece detalles sobre los términos hacker de sombrero blanco, negro y gris.

Hackers organizados: estos hackers incluyen organizaciones de delincuentes informáticos, hacktivistas,

terroristas y hackers patrocinados por el estado. Los delincuentes cibernéticos generalmente son grupos
de delincuentes profesionales centrados en el control, la energía y la riqueza. Los delincuentes son muy
sofisticados y organizados, e incluso pueden proporcionar el delito cibernético como un servicio. Los
hacktivistas hacen declaraciones políticas para concientizar sobre los problemas que son importantes
para ellos. Los hacktivistas publican de manera pública información embarazosa sobre sus víctimas. Los
atacantes patrocinados por el estado reúnen inteligencia o sabotean en nombre de su gobierno. Estos
atacantes suelen estar altamente capacitados y bien financiados. Sus ataques se centran en objetivos
específicos que resultan beneficiosos para su gobierno. Algunos atacantes patrocinados por el estado son
incluso miembros de las fuerzas armadas de sus países.

Haga clic aquí para ver representaciones gráficas de los perfiles de los hackers.

18
SMR: Seguridad Informática

19
 SMR: Seguridad Informática
Motivos de los delincuentes cibernéticos
Los perfiles de los delincuentes cibernéticos y los motivos han cambiado a lo largo de los años. El
hacking comenzó en los años 60 con el «phone freaking» (o el «phreaking»), una actividad que hace
referencia al uso de diversas frecuencias de audio para manipular los sistemas telefónicos. A mediados
de los años 80, los delincuentes utilizaban módems de internet por acceso telefónico de la computadora
para conectar las computadoras a las redes y utilizaban programas de descifrado de contraseñas para
obtener acceso a los datos. Hoy en día, los delincuentes van más allá del robo de información. Los
delincuentes ahora pueden usar el malware y los virus como instrumentos de alta tecnología. Sin
embargo, la motivación más grande para la mayoría de los delincuentes cibernéticos es financiera. Los
delitos cibernéticos se han vuelto más lucrativos que las transacciones de las drogas ilegales.

Los perfiles generales del hacker y los motivos han cambiado un poco. La figura muestra los términos de
hacking modernos y una breve descripción de cada una.

20
SMR: Seguridad Informática

21
 SMR: Seguridad Informática

4.4.- Pautas de protección para nuestro sistema

Cualquier equipo conectado en red está expuesto a se atacado. Como ya sabes,, hay auténticos
expertos informáticos que se dedican a buscar vulnerabilidades en los sistemas, dedicando mucho
tiempo y esfuerzo a este fin. Para proteger tu sistema tendrás que ser más listo que ellos y dedicar
también mucho tiempo y esfuerzo a esta tarea.

Algunas de las pautas que debes seguir son:

No instalar nada que no sea necesario en los servidores.

Actualizar todos los parches de seguridad. Muchos parches de seguridad corrigen

vulnerabilidades de los programas por lo que es necesario mantener siempre actualizado el
sistema.

Formar a los usuarios del sistema para que hagan uso de buenas prácticas.

Instalar un firewall. Esta herramienta permite controlar el tráfico entre una red privada y
una pública.

Mantener copias de seguridad según las necesidades.

Gestionar y revisar los logs del sistema. Los logs reflejan toda la actividad desarrollada en
el sistema, por lo que su revisión periódica puede detectar a tiempo un posible ataque.

Sentido común y experiencia previa del administrador.

5.- Obtención de información de un atacante.

Es importante conocer la metodología que sigue un atacante para poder defendernos de él.

El primer paso que realiza un atacante es la exploración. En la exploración el atacante obtiene una lista
de direcciones IP y de red utilizando barridos de pings, consultas whois y transferencias de zona. Estas
técnicas proporcionan información valiosa a los atacantes incluyendo nombres de empleados, números
de teléfono, rangos de direcciones IP, servidores DNS, etc. (más adelante veremos estas técnicas más en
detalle)

Una vez identificados los sistemas activos, el siguiente paso que realiza un atacante es la exploración de
puertos. La exploración de puertos es el proceso de conexión de puertos UDP y TCP del sistema destino
que nos permite determinar los servicios que se están ejecutando. Identificar los puertos que están a la
escucha es crítico para determinar el tipo de sistema operativo y aplicaciones que se están utilizando.
Los servicios activos que estén a la escucha pueden permitir que un usuario no autorizado tenga acceso a
sistemas que no estén bien configurados o que ejecuten una versión de software que tenga
vulnerabilidades de seguridad conocidas. Los objetivos que se persiguen con la exploración de puertos
son los siguientes:

 Identificar los servicios que se están ejecutando en el sistema.

 Identificar el tipo de sistema operativo instalado en el sistema.

22
 SMR: Seguridad Informática
 Identificar las versiones o aplicaciones específicas de un determinado servicio.

 Identificar las vulnerabilidades del sistema.

Identificar vulnerabilidades

Id. S.O. Id. Servicios Id. Puertos

Identificar equipos

Whois ICMP

Esquema general del proceso de obtención de información.

Los sistemas operativos son configurables y, por lo tanto, pueden engaña a un posible atacante con
información incorrecta. Cuestionaros las siguientes preguntas:

 ¿Qué pasa si identifica los servicios de forma incorrecta? Por ejemplo, identificar un servidor de
correo qmail en un máquina con Exchange.

 ¿Qué pasa si identifica mal el sistema operativo?

 ¿Qué pasa si los equipos activos realmente no existen?

Un atacante obtiene las vulnerabilidades del sistema a partir de la información de los servicios y
servidores. Por lo tanto, si esta información es incorrecta, el atacante, que se encuentra engañado, jamás
va a realizar con éxito su ataque ya que es imposible aplicar los fallos de seguridad del servidor de
correo de Windows (p.e. Exchange) en un servidor de correo Linux (p.e. qmail).

23