Seguridad para PyMEs

Prevención de incidentes

ESET Latinoamérica: Av. Del Libertador 6250, 6to. Piso -

Buenos Aires, C1428ARS, Argentina. Tel. +54 (11) 4788 9213 -
Fax. +54 (11) 4788 9629 - info@eset-la.com, www.eset-la.com
 Seguridad para PyMEs

Índice
Gestión de usuarios ......................................... 3

Autenticación, Autorización y Auditoría (AAA)............... 3

Gestión de contraseñas .................................... 4

Control de acceso ............................................ 5

Administración de sistemas operativos y

aplicaciones .................................................... 5

Administración de actualizaciones ............................... 6

Protección contra software malicioso ............... 6

Prevención ................................................................. 7

Manejo de incidentes .................................................. 8

Cifrado de información..................................... 9

Uso de SSL ................................................................. 9

Correo electrónico ..................................................... 13

Cifrado de información sensible .................................. 13

Fuga de información .......................................14

Ejemplos ...................................................................14

Políticas de manejo de incidentes..................... 15

 Seguridad para PyMEs

Si bien la seguridad incluye controles para detección de ataques y acciones posteriores (desinfección,
corrección, restauración, etc.), la prevención de ataques es un componente fundamental. Un ataque
prevenido es, desde el punto de vista de la seguridad, la situación ideal y más ventajosa para la
organización.

Para tal fin existen una serie de medidas a implementar que colaboran en este área: la prevención de
ataques antes que estos puedan ser consumados exitosamente por el atacante.

Gestión de usuarios
La actividad que desarrolla un usuario en la red es variada, y la cantidad de usuarios, según la
empresa, puede ser moderada e incluso elevada. Por tales motivos es necesario contar con un
esquema de gestión de usuarios centralizado por el Área de Sistemas y en coordinación con el
área de Recursos Humanos.

Esto puede implementarse en un servidor de dominio, o descentralizarlo individualmente en los

equipos de los usuarios.

El escenario estándar para una empresa PyME es la configuración de un servidor de dominio,

autenticando todos los usuarios contra el mismo; y manteniendo localmente en cada equipo,
únicamente una cuenta administrativa protegida por contraseña en posesión de los
administradores de red.

Autenticación, Autorización y Auditoría (AAA)

La gestión de usuarios en la red tiene como objetivo controlar las operaciones que el usuario
realice con los recursos informáticos, a fin de garantizar la Disponibilidad, Integridad y
Confidencialidad de la información.

Las tareas que se deben realizar con los usuarios se resumen en un modelo para el control de
acceso de los usuarios denominado AAA (Authentication, Authorization and Accounting – en
español, Autenticación, Autorización y Auditoría):

• Autenticación: consiste en identificar al usuario. Por lo general, se utiliza un nombre de

usuario y una contraseña para autenticar al usuario en la red. Opcionalmente, se pueden
incluir otras medidas como tarjetas de acceso, tokens o dispositivos biométricos.
• Autorización: una vez identificado el usuario, inicia el proceso de dar acceso al usuario a
los recursos que éste tenga permitidos en la red.
 Seguridad para PyMEs

• Auditoría: es el proceso de registrar la actividad del usuario mientras esté autenticado.

Esta información puede ser utilizada posteriormente con fines estadísticos o de control.

En la etapa de autorización es necesario asignar a los usuarios los permisos y privilegios de

forma tal que éstos puedan realizar las tareas que competen a su trabajo, y nada más.
Cualquier acción que no deba ser requerida por las características de las tareas del usuario, y
que pueda ser un potencial riesgo para la seguridad de la información, debe ser desautorizada
de acuerdo con los permisos del empleado en los sistemas.

Gestión de contraseñas
El acceso de los usuarios a los sistemas informáticos está comúnmente protegido por un
usuario y una contraseña. Según la cantidad de sistemas y contraseñas diferentes que los
usuarios deban utilizar puede ser difícil para estos recordarlas y, por lo tanto, se genera la mala
costumbre de utilizar contraseñas débiles, o una misma contraseña para muchos servicios. En
cualquiera de los dos casos, se genera un alto riesgo de que dicha debilidad sea explotada por
personas con fines maliciosos, para obtener acceso con el perfil de usuario válido en la red.

Existen dos medidas para fomentar la utilización de contraseñas fuertes por parte de los
usuarios. En primer término, a través de la concientización y educación de los usuarios 1 se debe
instruir a los empleados sobre la utilización de contraseñas fuertes 2 y las alternativas de
generación de contraseñas a la vez fuertes y a la vez recordables. La segunda opción es utilizar
programas gestores de contraseñas, que permiten almacenar muchas entradas con una única
contraseña maestra. De esta forma, el usuario sólo debe recordar una única contraseña y las
demás son consultadas en el programa.

1
Para más información sobre concientización y educación, ver módulo 1 del presente curso.
2
Para más información sobre contraseñas fuertes, http://www.eset-la.com/threat-center/2037-seguridad-contrasenas
 Seguridad para PyMEs

Control de acceso
El perímetro de la red debe ser contemplado no solo a nivel tecnológico, sino también a nivel
físico 3. El acceso de personas indeseadas a las instalaciones de la empresa es un riesgo y puede
comprometer la información y causar pérdidas.

Para controlar el acceso físico a la empresa se contemplarán los mismos principios que en la
gestión de usuarios. Se debe contar con personal para autenticar y autorizar el acceso a las
instalaciones, identificando a cualquier persona que ingrese, y habilitando el acceso sólo a las
zonas permitidas. Según las características de la empresa y el sector a proteger, puede ser
personal de seguridad o sólo personal de control. Asimismo, es necesario dejar registro del
ingreso y egreso de personal (interno y externo) a fin de poder auditar los movimientos, ante
cualquier incidente en la organización.

Administración de sistemas
operativos y aplicaciones
Se denomina hardening al proceso de aplicar configuraciones en un equipo, a fin de disminuir sus
vulnerabilidades y, por consiguiente, mejorar su seguridad.

La instalación por defecto de cualquier sistema operativo tiene diferentes grados de seguridad
según su versión y características pero, por lo general, es posible profundizar las características
de seguridad de dicha instalación. De acuerdo con las mejores prácticas y las necesidades de la
empresa, se deben configurar tanto los puestos de trabajo como los servidores, para cumplir
con el mayor nivel de seguridad que sea posible.

3
Para más información sobre perímetro, ver módulo 2 del presente curso.
 Seguridad para PyMEs

Administración de actualizaciones
Las actualizaciones de software son un pilar de la seguridad en sistemas operativos y
aplicaciones. La aplicación de los parches permite mitigar las vulnerabilidades que sean
reportadas y que sean potenciales vías de ataque a la organización.

En entornos corporativos con mayoría de equipos con sistemas operativos de Microsoft es

recomendable utilizar la herramienta de administración de actualizaciones WSUS (Microsoft
Windows Server Update Services – en español, Servidor de Servicios de Actualización para
Microsoft Windows), que permite administrar, desde un servidor las actualizaciones a instalar,
y conectar todos los equipos de la red para que actualicen directamente desde el servidor.
Además de proveer actualizaciones para el sistema operativo, se pueden incluir otros productos
de Microsoft como Microsoft Office o Microsoft SQL Server 4.

De todas formas la administración de actualizaciones contempla no sólo los productos de

Microsoft cubiertos por WSUS, sino también infraestructuras bajo otros sistemas operativos y
todo tipo de aplicaciones que tengan vulnerabilidades que puedan ser explotadas: Acrobat,
Flash, Firefox, etc. Todo software utilizado en la organización debe mantenerse al día, con las
actualizaciones para la versión que utilice la empresa, y es responsabilidad del Administrador de
Red su correcta aplicación.

Protección contra software

malicioso
El malware constituye un riesgo de seguridad para cualquier individuo que haga uso de una
computadora. Sin embargo en entornos corporativos los daños producidos por un archivo
malicioso pueden causar un alto costo en materia de pérdida o recuperación de información, o
demoras en el funcionamiento de la organización.

Además, actualmente no es suficiente la protección contra virus, sino también contra nuevas
amenazas que constituyen la evolución de los mismos: troyanos, gusanos, spyware, etc. Todos

4
Para más información sobre WSUS, http://technet.microsoft.com/es-es/wsus/default(en-us).aspx
 Seguridad para PyMEs

ellos se consideran malware (acrónimo del inglés malicious software – en español, software
malicioso) y es necesario que una empresa esté protegida contra todo tipo de malware 5.

Prevención
Ante códigos maliciosos la mejor alternativa a nivel seguridad es prevenir la infección. La
diferencia entre prevenir una infección o detectarla y eliminarla es muy grande,
específicamente respecto a costos (tanto económicos como de otra índole).

Todos los equipos de la red deben contar con las aplicaciones de prevención respectivas:
• Antivirus para la prevención contra malware.
• Antispyware para la detección y prevención de spyware y adware.
• Antispam para denegar el acceso de correo no deseado.
• Firewall para controlar las conexiones entrantes y salientes de los equipos.

Tanto en el antispam como el firewall la empresa puede contar con una solución centralizada
perimetral. Sin embargo, es recomendable contar con una segunda capa de protección en las
computadoras de los usuarios.

Asimismo, cuando la empresa cuente con un número de equipos considerable, es

recomendable emplear soluciones de antivirus que incluyan herramientas de gestión
corporativas, con gestión y actualización centralizadas. De esta forma se minimiza el esfuerzo
necesario para monitorear el estado de protección en todos los equipos de la red.

Cabe destacar que, en la actualidad, todas estas funciones pueden ser cubiertas por un único
software 6 como ESET Smart Security o por un conjunto de ellos.

Asimismo, para una mejor administración de los programas antivirus, es recomendable en un

entorno corporativo contar con herramientas de administración centralizada, como ESET
Remote Administrator.

5
Para más información, http://www.eset-la.com/threat-center/threats.php
6
http://www.eset-la.com/products/smartsecurity_business.php
 Seguridad para PyMEs

Imagen 1 – ESET Remote Administration Console

Manejo de incidentes
Independientemente de las técnicas de prevención, cabe la posibilidad de que algún equipo de
la red se infecte de todas formas, tanto por haber salteado las técnicas de prevención (ninguna
medida es 100% segura) como por la inexistencia o mala configuración de alguna de ellas.

En el caso que se detecte que un equipo se ha infectado, se deben considerar las siguientes
medidas:
1. Determinar las características de la infección. ¿Realmente es un programa dañino lo
que afecta al sistema? ¿Qué tipo de malware afecta al sistema (troyano, gusano,
spyware, etc.)? ¿Conozco el nombre del malware? ¿Conozco cuáles fueron las acciones
realizadas por el código malicioso?
2. Desconectar el equipo de la red. Este paso es recomendable tanto para minimizar la
propagación de la infección por la red, como para denegar al equipo el acceso a Internet
(gran parte del malware utiliza la conexión a Internet para mantenerse activo en el
sistema o para realizar las acciones maliciosas).
3. Modo a prueba de fallos. Reiniciar el equipo y acceder en modo a prueba de errores
permite una mejor opción para poder ejecutar las herramientas de seguridad. Es muy
 Seguridad para PyMEs

común que el malware deniegue la posibilidad de utilizar herramientas de seguridad

para la desinfección.
4. Herramientas de seguridad. Utilizar un antivirus con capacidades de detección
proactivas y actualizado para comprobar si es posible eliminar la infección.

Cifrado de información
La información de la empresa es transmitida a través de diferentes soportes de comunicación,
tanto internamente (a través de la red LAN) como hacia el exterior (comunicaciones WAN).

En cualquiera de los casos es posible que un atacante intente obtener información que no le
pertenece, interceptando las comunicaciones que realice el personal de la organización, y así
poder obtener información que no está a su alcance.

Según sea el medio existen diferentes técnicas para interceptar las comunicaciones, desde
capturar paquetes (sniffing) en una red, hasta interceptar correos electrónicos o leer tráfico web
(http).

Para evitar este tipo de incidentes se deben utilizar técnicas de criptografía. Cifrar un mensaje
es la acción de convertir un mensaje legible, en otro ilegible.

Uso de SSL
El acceso web es una de las tareas más frecuentes en el uso de Internet en la empresa.
Asimismo, también es frecuente no sólo el acceso desde la empresa hacia Internet, sino
también la exposición de servicios web propios de la organización: sitio web, aplicaciones web
de gestión, webmail, etc.

Cuando una persona accede a un sitio web por el protocolo tradicional (http), la información
que se transfiere entre el equipo del usuario (el cliente) y el servidor web es transmitida en texto
plano. De esta forma, si el tráfico web es interceptado, un atacante podrá observar la
información contenida en la comunicación entre el usuario y el sitio web.
 Seguridad para PyMEs

10

En el caso de un sitio web con información pública 7 de la organización, este riesgo puede no ser
grave; un atacante podrá observar la descripción de la empresa, el domicilio de la organización
u otra información que sea de público conocimiento.

Sin embargo cuando se trata de aplicaciones web que contienen información privada y/o
confidencial7, la obtención, por parte de un tercero, de la información transmitida, puede ser un
riesgo alto para la organización. En esta categoría se incluyen aplicaciones web (de gestión,
CRM, etc.), webmail, o cualquier sitio web que contenga login de usuario y contraseñas. En
cualquier de estos casos los sitios web deben ser publicados bajo protocolos que cifren la
información traficada, como SSL.

SSL (Secure Socket Layer – en español, Capa de Conexión Segura) es un protocolo que brinda
una conexión cifrada para la comunicación de dos equipos (cliente-servidor) en Internet.

Implementar SSL en un servidor web no es una tarea compleja, y brinda una capa de seguridad
de alta efectividad. Para configurar el sitio web por SSL es necesario:
1. Comprar el certificado digital. Este trámite puede tramitarse vía web y consiste en
adquirir un certificado válido emitido por una entidad autorizada para tal fin 8.
2. Instalar el certificado en el servidor web. El procedimiento de instalación dependerá
del servidor web instalado 9. Se recomienda delegar la operación a quien haya instalado
el mismo servidor web o el administrador del mismo.

7
Para más información sobre clasificación de la información, ver módulo 2 del presente curso.
8
Algunas autoridades certificadoras: http://www.verisign.com/, http://www.thawte.com/, http://www.rapidssl.com/ y
http://www.instantssl.com/
9
Instalar SSL en Apache: http://httpd.apache.org/docs/2.2/ssl/ssl_howto.html
Instalar SSL en Internet Information Services: http://support.microsoft.com/kb/299875
 Seguridad para PyMEs

11

Una vez instalado el certificado digital, los clientes podrán acceder al sitio web por protocolo
seguro SSL (https), la comunicación entre cliente y servidor estará cifrada, y la información no
podrá ser legible para un intruso.

Imagen 2 – Webmail por https

 Seguridad para PyMEs

12

En la imagen 2 puede observarse (ver recuadros en rojo) 10:

1. La página web utiliza el protocolo seguro https.
2. El navegador muestra un candado indicando el certificado digital.
3. Haciendo clic en el candado se observa la autoridad certificadora (CA).
4. El botón Ver Certificado permite obtener más información sobre el certificado.

Imagen 3 – Certificado digital

10
Las imágenes fueron capturadas con Internet Explorer 7. Las mismas opciones son mostradas de forma similar por otros
navegadores.
 Seguridad para PyMEs

13

Correo electrónico
La información que viaja a través del correo electrónico puede ser interceptada de la misma
forma que a través de otro tipo de servicios, si ésta viaja en texto plano.

Aunque aún no es tan frecuente esta práctica, al enviar información confidencial vía correo
electrónico, también es posible cifrar el mensaje para evitar que este pueda ser leído en caso de
ser interceptado. Para tal fin existen aplicaciones como PGP y GPG.

Es posible cifrar mensajes en los clientes de correo más populares (incluso en algunos servicios
de webmail) y la configuración difiere según el programa y la versión.

Cifrado de información sensible

Otra información que puede ser robada está constituida por aquellos archivos que hayan sido
almacenados en un dísco duro, tanto en el caso de un acceso indebido al equipo, como por la
sustracción completa del mismo. Si un intruso obtuviera un disco duro al que no tiene acceso
vía sistema operativo (por no poseer la contraseña) puede colocar el disco rígido en otra
computadora y leer los datos allí almacenados.

Para evitar esto existen aplicaciones que permiten cifrar la información almacenada en disco 11.
Con una contraseña que es ingresada por el usuario al encender el equipo, todos los datos son
cifrados al guardarse en el disco duro. De esta forma, cualquier intruso leyendo datos del disco
sólo podrá leer información cifrada. La gran mayoría de los sistemas operativos modernos
incluyen funciones de cifrado de información.

Aunque esta es una buena práctica para cualquier equipo, se recomienda su implementación
especialmente en computadoras que almacenen mucha información confidencial, o cuya
probabilidad de sustracción sea mayor, como en el caso de las portátiles.

Se debe tener en cuenta que el cifrado/descifrado de información se realiza en tiempo real al

leer/escribir el disco rígido, por lo que esta acción tiene un alto consumo de CPU. En caso de no
contar con equipos cuya performance permita encriptar todo el disco rígido, se puede crear una
partición cifrada y colocar allí toda la información de índole confidencial.

11
La aplicación más popular es TrueCrypt (Open Source): http://www.truecrypt.org/.
 Seguridad para PyMEs

14

Fuga de información
Se considera fuga de información la adquisición de información confidencial por parte de una
persona ajena a la empresa, o integrantes de la organización que no tienen acceso autorizado a
dicha información.

La fuga de información puede ser maliciosa o no, según las circunstancias en que se ha
producido esa fuga. En cualquiera de los casos los riesgos para la organización son importantes,
pudiendo causar desde pérdidas económicas moderadas hasta serios problemas financieros a
lacompañía. En una empresa PyME, las pérdidas económicas pueden ser más significativas que
para otro tipo de organizaciones, y el riesgo de que el negocio se vea afectado por una fuga de
información es mayor.

Un envío involuntario de un correo electrónico, un empleado vendiendo información a la

competencia, o un atacante sniffeando las redes de la empresa son diferentes vías para
efectivizar la fuga de información.

Las precauciones a tomar no son lineales y dependerán de las características de la empresa y de

la criticidad de la información a proteger. Resguardar la confidencialidad de la información y
concientizar a los usuarios respecto a los cuidados son las principales herramientas de las que
dispone la empresa, para disminuir el riesgo de una fuga de información.

Ejemplos
El número de empresas que han sufrido este tipo de incidentes es muy grande, y crece día a día.
Algunos de los casos más populares de los últimos tiempos sugieren que la fuga de información
es un campo a considerar muy seriamente por las empresas.

En agosto de 2008, fue subastado en un popular portal una computadora cuyo disco duro
contenía información bancaria de 1 millón de personas. El equipo fue subastado por un ex
empleado de una empresa proveedora de un banco escocés, que no se preocupó por eliminar la
información contenida en el equipo antes de venderlo.

En noviembre de 2008 fue robada una laptop con datos personales de casi 100.000 empleados
de una reconocida cadena internacional de cafetería. Luego del incidente la empresa se
comprometió a cifrar la información contenida en dispositivos móviles de la empresa.

Durante el mismo mes, en 2008, un incidente involuntario involucró al gobierno británico,

dado que un empleado de una empresa proveedora del gobierno extravió un pen drive en el
 Seguridad para PyMEs

15

estacionamiento de un bar. El mismo contenía información confidencial, como datos de

Hacienda o multas. Según el gobierno, la información en el dispositivo estaba cifrada.

En enero de 2009, un importante sitio de búsqueda de empleo por Internet sufrió el robo de 1,6
millones de datos de usuarios registrados en el sitio. A través de la instalación de un troyano los
atacantes lograron obtener credenciales de acceso como empleados de la organización, y así
robar información. Posteriormente los atacantes distribuyeron correos electrónicos maliciosos
a todos esos usuarios, instalando nuevos troyanos en los equipos de aquellos que accedían al
sitio web de los atacantes 12.

Políticas de manejo de incidentes

La prevención ante incidentes es un componente clave de la seguridad en la empresa. Sin
embargo, la probabilidad de ocurrencia de un incidente de seguridad existe,
independientemente de las medidas de seguridad aplicadas.

Ante la ocurrencia de un incidente, un buen manejo de la situación puede colaborar en

minimizar las pérdidas o daños causados por el mismo.

Para tal fin la empresa debe contar con una Política de manejo de incidentes que defina las
responsabilidades y acciones a tomar ante una ocurrencia.

Ante un incidente, se debe contemplar:

• Controlar el incidente. Aislar el problema de forma tal de detener el daño que se esté
causando.
• Reparar el incidente. Eliminar cualquier factor de riesgo para colocar en producción
cualquier servicio afectado en el menor tiempo posible.
• Analizar auditorías. Estudiar cualquier tipo de registro que se posea para conocer la
naturaleza, causas y perjuicios del incidente.
• Tomar acciones legales o punitivas. Si es posible obtener información referida a las
responsabilidades del incidente, la empresa debe tomar las medidas necesarias, tanto a nivel
interno como a nivel legal.

12
Anuncio oficial de Monster.com, http://help.monster.com/besafe/jobseeker/index.asp
 Seguridad para PyMEs

16

• Tomar acciones correctivas para evitar futuros incidentes.

Nótese que el procedimiento es similar al descrito previamente ante un incidente con software
malicioso, siendo este último, la generalización a cualquier incidente de seguridad.
 Seguridad para PyMEs

17

Copyright © 2012 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.

Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados
en este curso, son marcas registradas de sus respectivos propietarios y no guardan relación con
ESET, LLC y ESET, spol. s.r.o.

© ESET, 2012

Acerca de ESET

Fundada en 1992, ESET es una compañía global de soluciones de software de seguridad que
provee protección de última generación contra amenazas informáticas. La empresa cuenta con
oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinación regional en San Diego,
Estados Unidos; Buenos Aires, Argentina y Singapur. También posee sedes en Londres (Reino
Unido), Praga (República Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal
(México).

Además de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compañía ofrece ESET
Smart Security, la solución unificada que integra la multipremiada protección proactiva del
primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos
el mayor retorno de la inversión (ROI) de la industria como resultado de una alta tasa de
productividad, velocidad de exploración y un uso mínimo de los recursos.

Desde el 2004, ESET opera para la región de América Latina en Buenos Aires, Argentina, donde
dispone de un equipo de profesionales capacitados para responder a las demandas del mercado
en forma concisa e inmediata y un laboratorio de investigación focalizado en el descubrimiento
proactivo de variadas amenazas informáticas.

La importancia de complementar la protección brindada por tecnología líder en detección

proactiva de amenazas con una navegación y uso responsable del equipo, junto con el interés
de fomentar la concientización de los usuarios en materia de seguridad informática, convierten
a las campañas educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya
ha adquirido renombre propio.

Para más información, visite www.eset-la.com