Introducción A La Seguridad Informática: Objetivos

u n dad
Introducción a la
seguridad
informática
OBJETIVOS
•• Conocer las diferencias entre seguridad
de la información y seguridad informática .
•• Aprender los conceptos básicos
relac ionados con el mundo de la seguridad
informática .
•. Describir cuáles son los principios
básicos de la seguridad .
.. Conocer qué son y qué uti lidad tienen
las políticas de seguridad .
.. Aprender en qué consisten los planes
de contingencia.
Escrivá Gascó, Gema, Romero Serrano, Rosa María, and Ramada, David Jorge. Seguridad informática. España: Macmillan Iberia, S.A., 2013. ProQuest ebrary. Web. 3 March 2015.
Copyright © 2013. Macmillan Iberia, S.A.. All rights reserved.
Unidad 1 - Introducción a la seguridad informática 7
1 » Seguridad informática y seguridad

de la información
Uno de los activos más va liosos para cu alqu ier em presa es la infon11ación
que maneja. La información es el conjunto de datos que da sentido a una
empresa , datos qu e la definen, datos con los que trabaja y da tos que, en Normas ISO/lEC 27000
manos in adecu adas, pu eden llevar a la m ism a a la ruina . Extendiendo Para gestionar de forma adecuada la se·
este concepto de seglllida d al m undo de las telecomunicaciones y la infor- guridad de la información se han
mática, pu ede en tenderse desde dos puntos de vista: segu ridad de la in- desarrollado un conjunto de estándares
que se han convertido en el marco para
formación y seguridad informática.
establecer, implantar, gestionar y me·
La seguridad de la información es el conjunto de medidas y procedi- j orar un Sistema de Gestión de la Segu -
m ientos, tanto h umanos com o técn icos, que pem1iten proteger la in tegri- ridad de la Información (SGSI) . Son l as
dad, confi dencia lidad y dispon ibilidad de la inforn1ación : normas ISOI IEC 27000, desarrolladas por
ISO (Internatlonal Organizatlon fO( Stan·
Integridad: certific ando que ta nto la infon11ación como sus métodos darizatlon) e lEC (lnternational Electro·
de proceso son exactos y com pletos. technical Commission).
Confidencialidad: asegu rando q ue únicamen te pueden acceder a la in -
fornlación y m odificarla los usuarios a u torizados.
Disponibilidad: pern1itiendo que la infol1l1ación esté disponible cuando
los usuali os la necesiten.
Este término, por tanto, es un concepto amplio que engloba m edidas de
segu ridad qu e afectan a la in forn1a ción independien temente del tipo de
esta, soporte en el qu e se almacene, forma en que se transm ita, etc.
La seguridad informática , por su parte, es un a rama de la segu ridad de la
infornlación que trata de proteger la infon11ación que utiliza una infraes-
tl1.l ctura infornlática y de telecomunicaciones para ser alma cenada o trans-
m itida . Podem os distingu ir los sigu ientes tipos:
En fu nción de lo q ue se qu ier e proteger:
• Seguridad física: se asocia a la protección física del sistem a ante
amenaza s com o in undaciones, in cendios, robos, etc. Web
• Seguridad lógica: mecan ismos que protegen la parte lógica de u n
sistem a in fornlático (datos, aplicacion es y sistem as operativos). Uno http://pwnies. com: página web de
de los m edios más utilizados es la criptografía. los premios ?wnies, distinción que re-
conoce lo mejor y lo peor de la seguri·
En fu nción del m omento en que t iene lugar la protección :
dad informática durante el úl timo año.
• Seguridad activa: se en carga de preven ir, detectar y evitar cualqu ier
incidente en los sistem as infol1l1áticos antes de qu e se produ zca (me-
didas preventivas). Por ejempl o, u tilización de contrasen as.
• Seguridad pasiva: comprende todas aquellas técnicas o procedim ientos
n ecesalios para m in im izar las consecuencias de un inciden te de segu-
ridad (medidas con·ectoras). Por ejem plo, las copias de segu li dad .
Actividades propuestas
1·· Debate con tus compañeros de clase: ¿a qué crees que se deben la mayoría de los fallos de seguridad?
2 .. Realiza una tabla comparando ejemplos de seguridad pasiva y activa del campo de la informática y del
campo de los vehículos,
8
2 » Conceptos básicos en materia de seguridad

En el mundo de la seguridad de la información e informática, es habitual
manej ar una tem ú nología específica (activos. vul nera bilidades, amen azas,
MAGERIT v.3 ataques, riesgos, impacto, desastre, con tingencias, etc ) que explicarem os
MAGERIT es l a metodología de análisis y a lo largo de este epígrafe.
gestión de riesgos desarrollada por el
Consejo Superior de Administración Elec- 2.1 > Activos
trónica. Es un método formal adoptado
por las Admi nistraciones Públicas para
Un activo se define com o aquel recurso del sistema (infomlático o no) ne-
investigar los riesgos que soportan los cesario para qu e la organización alcance los objetivos propuestos; es decir,
sistemas de información y recomendar todo aquello que tenga va lor y que deba ser protegido frente a un eventual
las medidas adecuadas que deberán percance, ya sea in tencionado o no. Según esta definición . considerarem os
adoptarse para poder controlar dichos como activos: los trabaja dores, el softwa re. los datos, los arch ivos, el hard-
riesgos. ware, las comu nicaciones, etc.
La segu ridad inform ática tiene com o objetivo proteger dich os activos, por
lo que la primera labor será identificarl os para esta blecer los mecanismos
necesarios para su protección y anal izar la relevancia de los m ismos en el
proceso de negocio de la orga nización. No tiene sentido gastar miles de
eu ros en proteger act ivos n o importantes para el negocio o qu e no tengan
un val or qu e justifi qu e ese gasto.
Desde el punto de vista de la in formática, los prin cipales activos de una
empresa son los sigu ien tes:
Información: todo aqu el elem ento qu e contenga datos al macen ados
en cu alqu ier tipo de soporte. Como por ejempl o, docu men tos, libros,
pa tentes, cOlTespondencia, estu dios de m ercado, datos de los em pleados,
manuales de usuario, etc.
Software: programa s o aplicaciones que utiliza la org anización para su
bu en funcion am iento o para automatizar los procesos de su n egocio.
Entre estos se pueden encontrar las aplicaciones comerciales, los sistemas
operativos, etc.
Físicos: toda la infraestructu ra tecnológica utilizada para almacenar,
procesar, gestion ar o transm itir toda la información necesaria para el
bu en fun cion am iento de la orga nización. También estaría incl uida en
esta categoría la estru ctu ra fis ica de la organización, tal com o la sal a de
servidores, los annali os. etc.
Personal de la organización que utilice la estru ctu ra tecnológica y de
comunicación para el manejo de la in forma ción .
2.2 > Vulnerabilidades

En el campo de la seguridad informática se considera com o vulnerabilidad
a cu alqu ier debilidad de un activo qu e pu eda repercu tir de algu na fOl1l1a
sobre el COl1:ecto fu ncionamiento del sistem a infOlmático. Estas debilidades,
también con ocidas com o "agujeros de segu li dad" , pueden estar asociadas
a fallos en la impl ementa ción de las aplicaciones o en la configuración
del sistem a operativo, a descu idos en la u tilización de los sistem as , etc.
Por ejemplo, no util izar ningún tipo de protección frente a fallos eléctricos
o carecer de meca nismos de protección frente a ata ques informáticos,
como antivirus o cortafu egos.
Uni dad 1 - Introducción a la seguridad informática 9
Es muy importante corregir cualqu ier vul nerabilida d detectada o descu -

biel'ta , porque constituye un peligro potencial para la estabilidad y segu -
li dad del sistema en genera l.
Las vulnerabilidades de algunas apl icacion es pueden pem útir una escalada
de privilegios, con lo que un atacante podría conseguir más privilegios de
los previstos. Esto pod¡i a implicar que en algunos casos llegaran a tener los
m ismos que los adm inistradores, pudiendo conu-olar el sistema. Un ejemplo
sería cuando una vulnerabilidad produce un fallo en un sen.ridor web que
pe¡m ite que un atacante acabe accediendo al sistem a como si se tratara de
un administrador, con lo que podría realizar acciones reservadas a estos.
Para m inim izarla s, los admin istradores de los sistemas in fomláticos deben
actu alizar periódicamente el sistem a operativo y las aplicaciones y man-
tenerse actualizados en temas r elaciona dos con la seguridad in fonn ática.
Para ello pu eden visita r páginas web especial izadas en mateli a de seguri-
dad informática, como los equipos de respu esta a in cidentes de seguridad
de la infonn ación (CERT o CSIRT) o páginas web de segu ridad, como
www.h ispasec.com . etc .
2.3 > Amenazas

Una amenaza es cualqu ier entidad o circunstancia qu e atente contra el buen
func ionamiento de un sistema infomlático. Aunqu e bay amenazas que afec-
tan a los sistemas de fOlma involuntalia, com o, por ejemplo, un desasU·e na-
tural, en la m ayoría de casos es necesalia una inten ción de producir daño.
La s am enazas se su elen dividir en pasivas y activas , en fu nción de las ac-
ciones realizadas por parte del ataca nte:
Amenazas pasivas, también con ocidas como "escu chas". Su objetivo es
obtener infomla ción rela tiva a una com unicación. Por ejem plo, los
equ ipos informáticos portátiles qu e utilizan programas especializados
para m on itOlizar el tráfico de una red WiFi .
Amenazas activas. qu e tratan de real izar algún cambio no autOlizado
en el esta do del sistema, por lo qu e son más peligrosas qu e las anteriores.
Como ejemplos se encu entran la inserción de mensajes il egítim os, la
usurpa ción de identidad, etc.
Otra posible cl asificaci ón, en func ión de su ámbito de acción, sería dife -
renciar entre amenazas sobre la segllli dad fisica, lógica, las com unicaciones
o los usuarios de la organización.
MAGERIT presenta la sigu iente clasificación de amenazas:
Grupos de amenazas
Desastres naturales Fuego, daños por agua, desastres naturales.
Fuego, daños por agua, desastres industriales, contaminación mecánica, con-
Desastres industriales
taminación electromagnetica, etc.
Errores y fallos no intencionados Errores de usuarios, errores de configuración, etc.
Manipulación de la confi guración , suplantación de la identidad del usuario ,
Ataques deliberados
Difusión de software dañino, etc.
10
2.4 > Ataques

Un ataqu e es una acción que trata de aprovechar una vulnerabilida d de
un sistema informático para provocar un impacto sobre él e incluso toma r
el control del m ismo. Se trata de acciones tanto in ten cionadas com o for-
tu itas que pu eden llegar a poner en tiesga un sistem a. De hech o, en alguna
metodología com o MAGERIT se distingu e entre ataques (a cciones inten-
cionadas) y en'ores (acciones fortuitas).
Com o ejempl os de ataques, qu e desao"ollaremos a lo la rgo de este libro,
podem os citar la utilización de programas para consegu ir acceso al selvidor
de forma il egítima o la realización de ataques de denegación de servicio
para colapsar el servidor.
Normalm ente un ataque informático pasa por las sigu ientes fas es:
Reconocimiento. Consiste en obten er toda la información necesa¡; a de
la víctima , que pu ede ser una persona o una orga nización.
Exploración. Se trata de conseguir in fOlmación sobre el sistem a a a tacar,
com o por ejemplo, direcciones IP, nombres de host, datos de autentica-
ción, etc.
Obtención de acceso. A partir de la información descubierta en la fase
anterior, se intenta explotar algu na vul nerabilidad detectada en la víc-
tima para llevar a cabo el ataque.
Mantener el acceso. Después de acceder al sistema, se buscará la f0l111a
de implantar hen'am ientas que pem ú tan el acceso de nuevo al sistem a
en futuras ocasion es.
Borrar las huellas. Final men te, se in ten tarán borrar las h uellas que se
haya n podido dejar durante la intrusión para evitar ser detectado.
En el m ercado existen una gran var ieda d de h erram ien tas de seguridad
que penniten consegu ir un nivel óptim o de segu¡;dad, pero hay estra tegias
de ataqu e que ha cen in eficaces a estas helTamientas, como las orientadas
a explotar las debilidades del factor h umano.
Es el caso de la ingeniería social, que consiste en la obten ción de in for-
mación confi den cial ylo sensible de un usuario mediante m étodos que
son propios de la condición humana. El ataque más simpl e sería el de en -
gañar al usuario ha cién dose pasar por el adm inistrador del sistema de su
organización para obten er alguna in fomlación de r elevancia.
Ejemplos
Ataque de ingeniería social

Un usuario malicioso haciéndose pasar por el administrador de La organización envía un correo electrónico a
Los usuarios para obtener información, en este caso la contraseña, de manera fraudulen ta .
To' . . . . , . . . . . . . . . " . . " . " ..... _

. . . . . . H ••• _ • . - _ _..... ~." •• • , .1. _ _ _ .1 _ , . , , _ _
..... _ " . . . ." _ ' . ." 1 _ 1 _ '0 . l . . . _ . . . . . _ . " . . . . . . .. . . d •
. . . •• . . . . . . , . . . .. . . . . . . . . . . . . . .. . , " . . . . . . 1 . . . . , ." ••••••• ••
""~"I_" .......,....... I...,......
Casos prácticos 1
Análisis de vulnerabilidades, ataques y amenazas a un sistema

•• Lee eL siguiente artícuLo y responde a Las preguntas que se hacen a continuación deL mismo.
La compaiiía de St-"gIlndad para lmernct Bi tDcfender ha \ocalu.ado un nue\'O fr-~ud~ en la rt-d social
FacdJOOk que utiliza para propaga"'c el etiquetado en la~ foto~ que permi te d icha r~"" ~ocial.
El mcwdo uti¡'~ado es el siguiente: un usuario cs etiquetado en una foto de una chica jO"cn y
"estida de manera proH>eati\"a. Jlmto a esa foto. se incluye un mensaje que dice: " D escubre quiénes
son tUS principales seguidores", junto con Un !i"k pat'd utili~-lIr una aplicación 'luC permitiría conocer
esa inform~ciÓn.
Si"¡ USillI riO pindu cn"¡ li"k., será K-dirigido a una ap~Qlción que, por un lado, le pedirá Su nombre
de usuario)' contt'dsdía y, por otro, le pcdi...~ permisos para publicar mcosajes ("Il su muro )" par~
acc.,.Jct a Su JisrA de conmctos en l'acelxx:Jk. UtU va hap im roducido los datos y cLtdo permiso a la
aplicación, est'd mostt'Mi un mensaje de ertor, señalando que no esr" disponible en ese momento.
Sin cmb:ug<J, inmediatamenTe. comenzaran a publicanse nue''a~ foto~ en la galería del usuario en la
que >;eran etiquetados todos sus amigos. Adt"flliÍs, en el muro de eM05 aplteccci que alguien les ha
eriquetado en ~-sa foto, JUnTO con el comentario inicial (,'Descubre q uiénes son rus principale5
~eguidore5') más clli"k que conduce a la aplicación f:dS<l .
En el momen to en que uno de e~os amigos pinche en el!;"/( e instale la aplicación creyendo que su
amigo )1\ la ha aprobado)' que se la cstá r(,{;o'TIcndando, el proceso \'olvet'~ a COtllen~r De esta
manera, la ap~cación consigue un efecto viral, propagándose por la red social.
Puente: Europa Pr..".s. Madrid. 1.3/ 04 / 11
a) ¿De qué tipo de ataque se trata?

b) AnaLiza Las vuLnerabiLidades y amenazas a ese sistema.
c) ¿Qué recomendaciones darías para evitar esta situación?
Solución . .
al Se trata de un ataque basado en ingeniería social, realizado con la finalidad de conseguir los datos del
usuario para propagarse.
b) l a vulne ra bilidad es eL elemento personaL, encarnado por La confianza deL usuario en los contenidos
recibidos, que Le Lleva a conceder privilegios totaLes aL atacante. La ame naza existente es un tipo de amenaza
pasiva, consistente en supLantar La identidad deL usuario para permitir aL atacante conseguir sus fines.
c) Se recomienda desconfiar tanto de Las fotos como de los mensajes de este tipo, que pretenden lLamar la
atención ante situaciones curiosas. ALmismo tiempo, se debe desconfiar de las aplicaciones que supuestamente
reaLizan acciones que en reaLidad no pueden llevarse a cabo, como por ejempLo saber cuántas veces han
visitado tu perfil.
3 .. ¿CuáL es eL activo más valioso para una empresa?

a) ¿Qué vuLnerabilidades podrían afectarle?
b) ¿Qué amenazas son Las que podrían afectarle? ClasifícaLas.
12
2.5 > Riesgos

Existen diversas definiciones para definir el ténnino liesgo; entre todas
ella s destacamos las sigu ientes:
PILAR
Según la UNE-71504:2008 , u n liesgo es la estimación del grado de expo-
Es una aplicación implementada por la
sición a que una am enaza se material ice sobre uno o más activos cau-
metodología MAGERIT, para el análisis y
gestión de riesgos de un sistema de in-
sando daños o perj u icios a la organización.
formación . Ha sido desarrollada por el El Centro Gi ptológico Nacional define el riesgo com o la p robabilidad
Centro Criptológico Nacional (CCN) y es de que una am ena za se ma terial ice aprovechando una vulnera bilidad y
de amplia utilización en la Administra- causa n do da ño (impacto) en u n proceso o sistema .
ción Pública española.
El riesgo es, por tanto, una m edida de la probabil idad de que se materialice
u na amenaza. Por ejemplo, si la instalación eléctrica del edificio es antigua,
existirá u n riesgo elevado de sufrir u na interru pción del servicio en caso
de producirse una subida de tensión .
El coste asociado a la reducción de esa cifi'a aum enta de manera exponen·
cial frente a la n ecesidad de m in im izar el¡;esgo, por lo qu e se debe trata r
de obtener un fa ctor coste/riesgo que sea asum ible por la organización.
Ningún sistema de segu ridad debería ten er un coste superior al del sistema
en conjunto o al de la infol111ación qu e protege.
Para poder establ ecer unos procedim ientos de segll ¡; dad adecuados, será
necesario realiza r u n a clasificación de los datos y un anál isis de riegos,
con el fin de establecer p rioridades y real izar u n a adm inistración más efi·
ciente de los recu rsos de la organización.
En el análisis de riesgos hay que ten er en cuenta qu é activos hay que
proteger, sus vulnerabilidades y amenazas, así como la probabilidad de
qu e estas se p rod u zcan junto con el impacto d e las m ismas . Además,
h abrá que tener también en cuenta durante cuánto tiempo y qu é esfuerzo
y d inero se está dispuesto a invert ir.
Los resu ltados del an álisis de riesgos pem1iten recom endar qué m ed idas
se deberán tomar para conocer, preven ir , imped ir, reducir o controlar los
riesgos previamente identificados y así poder reducir al mínimo su poten -
cial idad o sus posib les daños.
Existen d iferentes n iveles de l;esgo a los qu e p uede esta r expuesto un
activo. El n ivel dep en derá de la probabilidad de qu e se ma ter ialice una
amenaza y al grado de impacto producido . Por ejemplo:
Robo de información
Alto Robo de hardware
Medio Accesos no autorizados
Muy bajo Inundaciones
Hay que ten er en cu enta que el r iesgo cero no existe, ya q ue n o es posible

prever y evitar todas la s posibles situaciones que podrían afectar a n u estros
sistemas .
Unidad 1 - Introducción a la ~eguridad informática 13
2.6> Impacto
Una organización se ve afectada cuando se produce una situación que
atenta contra su fun cionam iento n Olma l; estas consecuencias para la em -
presa reciben el nombre de impacto . Dicho de otra fomla, el impacto sería
el alca nce producido o daii.o causa do en caso de que u na amenaza se ma -
teria lice.
Dos organizaciones pu eden verse afectadas en diferente medida ante la
materi alización de la m isma amenaza si han adoptado estrategias diferentes
pa ra soluciona rla. Así, el impacto del borrado del disco duro ocasionado
por un virus in fom1ático será muy escaso en una empresa qu e real iza pe-
riódicamente copias de seguridad de la información importante, pero será
bastantegt'a ve en una empresa qu e no lleva a cabo copias de segUlidad re-
gulam1 ente.
Un impacto leve no afecta prácticamente al funcionamiento de la empresa
y se produce en organizaciones que han identificado las amena zas y han
establecido la s pautas a segu ir en el caso de que se materialicen. Por otro
lado, un impacto grave afecta seriamente a la empresa pudiendo ocasionar
su qu iebra y se produ ce en organizaciones qu e no ha n considerado las
consecuencias que supone para ellas la materialización de esa amenaza .
Las empresas deben , por tanto, identificar los impactos para la organización
en el caso de que las posibles amenazas se produzcan. Esta tarea es uno de
los objetivos del análisis de riesgos que debe real izar toda organización.
2.7 > Desastres

Según ISO 27001, un desastre es cualqu ier evento accidental, natural o
malintencionado que interru mpe las operaciones o servicios habituales
de una organización. Por ejemplo, la caída de un servidor com o conse-
cu encia de u na subida de tensión o un ataque.
Un evento de este tipo puede destru ir los activos de la empresa. Tradicio-
nalmen te se planteaba únicamente la desli1.lcción de recursos fis icos, como
sil las, edific ios, etc. pero hoy día las organizaciones se enfrentan a una
nueva forma de desastre que afecta a los recu rsos lógicos , que constituye
uno de sus principa les activos ; la infOlmación. Un desastre de este tipo po-
dría ocasionar grandes pérdidas e incluso el cese de la actividad económ ica.
Las organizaciones deben esta r preparadas ante cualquier tipo de desastre
de manera qu e se reduzca el impacto que pu eda ocasionar. Para ello, desa-
n'oll an e implantan planes de contingencia que pemú ten la prevención y
recuperación de desastres infom1áticos.
4·· ¿Crees que la evaluación de riesgos será igual para todas las empresas? ¿Por qué?
5" Enumera posibles preguntas que podrían hacerse en la realización de una evaluación de riesgos.
6" Busca en Internet aplicaciones comerciales que permitan realizar una evaluación de riesgos.
14
3 » Principios de seguridad informática

Canal seguro Aunqu e la mayoría de expertos coinciden en qu e no existe ningún sistema
totalmente segu ro e infalible al 100% , se debe tratar de proteger la infor-
Flujo normal mación y el sistema q ue la utiliza para ofrecer un n ivel de segmi dad razo-
--:~ nable a los usualios.
Emisor Receptor
Para qu e un sistema se pueda considerar razonablemente seguro se debe
1. 1. Rujo normal de la información. garantizar que se cum plen los pli ncipios básicos de la segurida d infomlá-
tica : integti dad, confi dencialidad y disponibilidad .
3.1 > Integridad

La integridad es un principio básico de la segtl li dad infomlática que con-
siste en garantizar que la in fom1ación solo pu eda ser alterada por las per-
Emisor t ,. Ref:.eptor
sonas autorizadas o usuali os legítimos, indepen dientemen te de si esa mo·
difica ción se produce de forma intencionada o no. Así, por ejemplo, no se
viola la integrida d cuando usuarios autorizados modific an un r egistro de
una base de datos o cuando un usua lio que trabaja con la base de datos
Modificación
(T(Jm~rinJl) borra un regisu'o que no debería por en·ol".
1.2. Violación de la integridad. La vulneración de la integridad tien e distinto significado según se produzca
en un equ ipo o en una red de comunicacion es:
Equipo de trabajo. Se produce violación de la integridad cuando un
usuali o no legítimo modific a información del sistema sin ten er autori-
zación para ello.
Red de comunicaciones. Existe violación de la integridad cuando un
atacante actúa como in temlediario en una comunicación, recibe los da-
tos enviados por un usuario, los modifica y se los envía al r eceptor (ata-
Snifters
ques man ·itHhe-midd¡e). Un m eca nismo que nos protege frente a este
Snlffer es una palabra inglesa que signi-
tipo de ataques es la fimla electrónica . que se estudiará con más deta lle
fica "husmeo".
en unidades posteli ores.
Un snlffer es un tipo de herramienta
utilizada por atacantes para capturar 3.2 > Confidencialidad
información que circula por la red y no
ha sido enviada para ellos. Tambifm se
La confidencial idad es otro de los principios básicos de la seguridad in for-
denomina asi a los usuarios que husmean mática que garantiza qu e la in fonnación solo es accesible e in terpretada
la información transmitida en una red . por personas o sistemas autorizados.
La vu lneración de la confidencial ida d también afecta de fonna diferente a
eq uipos y redes:
Equipo de trabaj o. Se produce una violación de la confidencialidad
cuando un atacante consigue acceso a un equ ipo sin au torización, con-
trolando sus recursos . Un ejemplo sería la obtención de las claves de ac-
ceso. Otro ejemplo, mu cho más simple, se produce cuando un usua rio
--..-:~ aba ndona m om entán eam ente su pu esto de trabajo, dejando su equipo
Emisor
+ Receptor sin bloquear y con infomlación mostrándose en la pantalla.
Red de comun icaciones. Se vulnera la confidencia lidad de una red
O
Intercepción
cua ndo un atacante accede a los m ensajes que circula n por ella sin
tener autorización para ello . Existen mecan ismos que penniten prote-
gerse frente este tipo de ataqu es, como el cifra do de la in formación o el
1.3. Violación de la con fidencialidad.
uso de protocolos de comunicación .
3.3 > Disponibilidad

El tercer pilar básico de un sistema segu ro es la disponibilidad, esto es,
asegu rar que la info rmación es accesible en el momento adecuado para
los usu alios legítim os.
Emisor Receptor
La violación de la dispon ibilidad también se da de forma distin ta en
equipos y redes:
Interru p.clón
Equipos info r máticos. Se vulnera la disponibilidad de un equ ipo cuando
los usua lios que tienen acceso a él no pu eden u tilizarlo . Por ejemplo, 1 A . Violación de la di5ponibilidad.
podría ser un virus qu e ha paral izado el sistema.
Redes d e com unica ciones. Se produce un ataqu e contra la disponibili-
dad cua ndo se consigu e que un recurso deje de estar disponible para
otros usuarios que acceden a él a través de la red. Existen una gran va-
r iedad de ataques qu e atentan contra la dispon ibilidad de un recurso
en una r ed, como los ataques de den egación de servicio. Estos ataqu es,
así como las técnicas que podemos utilizar para proteger las redes, se
estudiarán en la u nidad dedicada a la seguli dad en redes.
3.4 > otras características deseables en un sistema seguro

Además de los principios básicos qu e acabam os de ver, existen otros Pli n -
cipios de seguridad qu e se consideran como desea bles en todo sistema in -
formático . Estos principios son los sigu ientes:
No r epudio. Este principio consiste en probar la participación de ambas
partes en u na comunicación. Por ejemplo, cuando se en trega la decla -
ración de la renta telemáticam ente, se firnla con un certificado digital
qu e solo pu ede poseer la persona qu e la presenta . La firma digital es
una prueba in-efutabl e, de forma qu e impide qu e el ciudadano pu eda
nega r o repudiar el trámite realizado. Este ptincipio está estandariza do
en la ISO-7498-2 . Existen dos clases:
• No repu dio d e o r igen : protege al destinata rio del envío, ya que este
recibe una pru eba de qu e el em isor es qu ien dice ser.
• No r epu dio de destino: protege al emisor del envío , ya que el desti-
natario no pu ede negar haber recibido el m ensaje del em isor.
Em isor í~ Receptor
Autenticac ión . Pem1ite comprobar la identidad de los participantes en
una comunicación y garantizar que son qu ienes dicen ser. Esta caracte-
rística asegura el OIi gen de la info rmación. Existen ataques que atentan
O
Atacan te
contra este principio, como la suplantación de la identidad o los de
1. 5. Violación de la autenticacioo.
robos de contraseñas.
7· · A partir de Los principios expresados en este epígrafe:

a) PLantea un posible ataque contra cada uno de estos principios.
b) Indica una posibLe soLución para cada uno de Los ataques planteados.
8 .. Busca más información sobre Los sniffers en Internet. ¿Qué son? ¿Qué utilidad tienen?
16
4 » Políticas de seguridad
La RFC 1244 define la política de seguridad com o:
RFe Una d eclaración d e intencion es d e a lto nivel q u e cubre la segu-

r id ad de los sistem as informáticos y que proporc ion a las bases
Son las siglas de Request Far (omments
(petición de comentarios). Son unas no-
para definir y delimitar respon sabilidades para las diversas ac-
tas emitidas por una organización de
tuaciones técnicas y organ izativas que se requ ier an.
normalización (la IElF, Internet En~j· En otras palabras , las políticas de seguridad infomlática detallan una serie
neering Task Force), con la intención de de nom1aS y protocolos a segu ir donde se definen las medidas a tomar
establecer estándares en Internet. para la protección de la segu ridad del sistema . así como la defin ición de
Cada RFC tiene un título y un número los m ecanismos para controlar su correcto func ionamiento.
asignado.
Tienen como objetivo concienciar a los m iem bros de una organ ización
sobre la importancia y sensibilidad de la información y servicios críticos.
Se puede decir q ue son una descripción de todo aquello que se q uiere
proteger.
Las política s de seguridad deben cublir aspectos r elacionados con la pro·
tección fisica, lógica, h umana y de comunicación. ten er en cu enta todos
los componentes de la organización y no dejar de lado el en tomo del sis-
tema .
¿Qué aspectos se deben tener en cuenta a la hora de elaborar las política s
de seguridad?
Elaborar las regla s y procedim ientos para los servicios críticos.
Definir las acciones q ue ha brá qu e ejecuta r y el persona l que deberá
estar involu crado.
Sensibilizar al personal del departamento encargado de la administración
del sistema informático de los posibles problemas relacionados con la
seguridad qu e pu eden producirse.
Establecer una clasificación de los activos a proteger en func ión de su
n ivel de criticidad, de forma que los sistemas vitales sean los más prote-
gidos y no se gasten recursos en proteger aquellos activos con m enor
importa ncia.
Las m edidas de control deben ser efectivas, fáciles de usar, actual izadas
periódicamente y, por supu esto, apropiadas a la situación. No hay que ol-
vidar que deben func ionar en el momento adecuado.
Nu m erosas organizacion es intemacionales ha n desarrolla do docum entos,
directrices y recom endaciones con información relacionada con el uso
adecuado de la s n uevas tecnologías para sacarle el máximo provecho y
1.6. Control de riesgos.
evitar el uso inadecuado de las m ismas.
9·· ¿Crees que establecer normas a los usuarios de una organización para que tengan una contraseña de
acceso segura es una buena política de seguridad?
10 .. Indica qué políticas de seguridad establecerías para evitar la caída de los servidores de la organización .
Unidad 1 - Introducción a la ~eguridad informática 17
5 » Planes de contingencia
Las políticas de segu¡i dad contemplan la parte de prevención de un sistema,
pero no hay que desechar la posibilidad de que, aun a pesa r de la s medidas
tomadas, pueda ocasionarse un desastre . Hay qu e recordar q ue n ingún Soluciones de alta disponibilidad
sistema es completamente seguro. Es en este caso cuando entran en juego Una solución de alta disponibilidad per-
los planes de contingencia . mite que los sistemas de información de
la organización esten disponibles las 24
El p lan d e contingen cia contiene m edidas d et alladas p ar a con segu ir horas de los 7 días de la semana. (on
la recuper ación del sist em a , es decir, creadas para ser utilizadas cuando esta solución las empresas pueden tener
el sistema fall e, no con la intención de qu e no falle . la posibilidad de no perder in formación
debido a fallos en los sistemas.
La creación de un plan de contingencia debe abarca r las sigu ientes fas es:
Evaluació n: en esta etapa hay que crear el gl.1.lpo que desarrollará el
plan. Se deberán identificar los elementos considerados com o críticos
para la organización, ana lizar el impacto qu e pueda producirse ante u n
desastre y definir cuál es deberán ser las solucion es altemativa s a cada
uno de los probl emas que se puedan producir.
Planificació n : en esta fase se deberá documentar y va lidar el pla n de
contingencia por parte de los responsables de las áreas involucradas de
la organización .
Realización de pruebas pa ra comproba r la viabilidad del plan.
Ejecución del pla n para comprobar qu e efectivamente asegurará la
continu idad de las tareas Cliticas de la organización en caso de posible
catástrofe .
Recuperación: tras el incidente o ataqu e, deberá restablecerse el orden
en la organización.
El plan de contingencia deberá ser revisado periódicamente para que siem -
pre pueda estar de acuerdo con las necesidades de la organización. Entre
las numerosas m edidas que debe recoger, podemos ind icar las sigu ientes:
Ten er redundancia: es decir, ten er dupl icado el hardware para el alma -
cenamiento de la infonnación, de fomla que quede asegu rada la conti-
nu idad de la actividad diaria en caso de problemas con dicho hardware.
Ten er la infor mación alm acenad a de man er a d istribu ida, es decir,
Punto úníco de fallo
no tener almacenada en el m ismo lugar toda la infonna ción considerada
El punto único de fallo o SPOF (5in~le
como crítica para la organización.
Poine 01 Foilure) puede ser un compo-
Ten er un plan d e r ecuperación que contemple las m edidas necesali as
nente hardware, software o electrónico.
para r estaurar el esta do de los recu rsos tal y como estaban antes de la Un fallo en el puede ocasionar un fallo
ma terial ización de la amenaza . Por ejemplo, tener u n bu en plan para general en el sistema. Para evitarlo, se
la realización de copias de seguridad . utiliza la redundancia de elementos para
Ten er a todo el per sonal de la organización formad o y p reparad o evitar la caída del sistema si uno de
ante cualqu ier situación de emergencia. ellos falla.
11·· ¿Quiénes crees que deben elaborar el plan de contingencia para una empresa?
12·· ¿Crees que un plan de contingencia, una vez creado, es ya para toda la vida?
18
Actividades finales
.: CONSOLIDACiÓN :.
1·· ¿En qué se diferencian la seguridad activa y La seguridad pasiva?
2·· Indica algunas razones por las que a alguien Le puede interesar realizar un ataque a la seguridad informática de
una empresa.
3·· Enumera posibles activos asociados a una organización.
4·· ¿Cuáles son los posibles puntos débiles en los sistemas informáticos de una organización?
5·· ¿Qué recomendaciones harias para evitar eL acceso no autorizado a La información en una organización?
6 · · Enumera posibles vulnerabilidades asociadas a las estaciones de trabajo en una organización .
7·· Indica, para los siguientes supuestos, qué principios de La seguridad se están violando:
a) Destrucción de un elemento hardware.
b) Robo de un portátil con información de interés de la empresa.
cl Robos de direcciones IP.
dl Escuchas electrónicas.
el Modificación de tos mensajes entre programas para variar su comportamiento.
f) Deshabilitar los sistemas de administración de archivos.
gl Alterar la información que se transmite desde una base de datos.
h) Robos de sesiones.
8·· Pon un ejemplo de ataque por ingeniería social. ¿Cómo crees que se puede proteger una organización ante los
ataques de ingeniería social?
9" Analiza el grado del impacto que pueda ocasionar la acción de una amenaza meteorológica como pueda ser un
huracán para una organización.
10· · ¿En qué consisten y que aspectos deben cubrir las políticas de seguridad?
11" ¿Por que crees que es importante que una organización tenga un plan de contingencia? ¿Qué consecuencias po-
dría haber si no tuviese un plan de contingencia establecido?
12" ¿En qué consiste el análisis de riesgos? ¿Para qué sirve realizar un análisis de riesgos?
13" ¿Que utilidad tienen para las organizaciones los planes de contingencia?
.: APLICACiÓN :.
1" Suponemos que el hospital X está ubicado cerca de un cauce de río que prácticamente no lleva agua. El hospital
tiene su centro de cálculo situado en el sótano. Se han anunciado lluvias fuertes y por tanto existe una alta posibi-
lidad de desbordamiento del río que pasa cerca de la zona debido a la falta de limpieza de su cauce.
Identifica 105 activos, las amenazas y las vulnerabilidades del sistema.
2" ¿Qué tipo de aplicaciones se pueden utilizar para comprometer la confidencialidad del sistema?
3·· Una empresa se ha visto atacada de forma que su página web ha sido modificada sin previa autorización. ¿Qué
tipo de a taque se ha producido? ¿Qué principios de la seguridad se han visto violados?
4" ¿Qué soluciones se podrían aplicar para que el sistema informá tico de una entidad bancaria no se viera afectado
por un desastre que afectara a sus clientes?
Uni dad 1 - IntroduCCIón a la seguridad informauca 19
Ca so final 11
Instalación y uso de una herramienta de análisis y gestió n de riesgos
• . Instala en tu equipo La herramienta PILAR, desarrollada por eL Centro Criptológico Nacional (CCN), Que im-
plementa la metodología MAGERIT de análisis y gestión de riesgos y Que es de amplia utilización en La Adminis-
tración Pública españoLa. Abre el proyecto de ejemplo Que incLuye, ana!Ízalo y contesta a Las siguientes cues-
tiones:
al ¿Qué tipo de empresa se estudia en el ejemplo?
b) ¿Qué clasificación de activos tiene? ¿Cuáles se encuentran dentro de los de la sección Equipamiento? ¿Qué
aplicación utilizan?
cl ¿Qué vulnerabilidades de los dominios se muestran?
d) Identifica las categorías de amenazas registradas. ¿En Qué categoría entran las siguientes amenazas?
Manipulación de La configuración.
Fuego.
Errores de configuración.
Divulgación de la información.
Corte de suministro eléctrico.
Errores de los usuarios.
Extorsión.
el Proporciona alguna amenaza más por cada categoria.
f) ¿Qué valoración de las amenazas se da para los activos clasificados como Equipos? ¿Y para La Sala de Equipos?
Solución .. las herramientas de software específicas para la gestión de riesgos pueden facilitar en gran
medida el trabajo de análisis y gestión de riesgos en una organización para posteriormente elaborar unas
poLíticas de seguridad y un pLan de contingencia, ya Que trabajan desde el punto de vista de los principios
básicos: confidencialidad, integridad, disponibiLidad y autenticidad.
Antes de comenzar a contestar las preguntas, debes proceder a descargar e instaLar la aplicación. Para ello,
comprueba Que tu equipo cuenta con Los requisitos mínimos necesarios para ltevar a cabo la instaLación de la
herramienta PILAR:
Microprocesador: Intel Pentium, AMD586 o similar.
Disco duro libre: 20 MB .
Memoria libre: 256 MB.
Máquina virtuaL de Java: esta herramienta está desarrollada en Java, por lo Que puede utilizarse en cualquier
sistema operativo (Windows, Linux, Unix, etc) Que disponga de máquina virtual de Java versión 1.5.0 o su-
perior.
Si tu equipo cumple con Los requisitos, descarga La apLicación
desde la página https://www.ccn-cert.cnLes/ haciendo dic en
PILAR (4.4 .5 - beld 23 .11. 20 10 ) (g)
Herramientas I EAR I PUar. l eterTlfllO) Unidad admirHtraliva
Instala la herramienta y carga el proyecto de ejemplo Que viene biblioteca: std
PI.AR# (4.4.2 . 24.2.2010)
incluido. Ahora ya puedes responder a las preguntas planteadas.
domjm06 1 ~ 17: 1 2CEST 2010
a) Como puedes ver en la imagen, la empresa Que se estudia
en eL ejemplo es una unidad administrativa consistente en una I Aceptar I
biblioteca.
20
b) Esta unidad administrativa tiene la siguiente clasificación de activos, incluyendo eL detalle de la sección
Equipamiento:
;;;;", (BJ~'" '.;2 .•

A lO__ I['T • 11.......... ...
A [5.)uNoSGnlI ..... acI6n"' •• aoodol
A [$J " - I T,omIIadoln ,_o
;:;;" ¡t$l $000_ """""
A [IfI ..., .... _SSl. ....... _1oI
A IImIiIlMemljliileleClr600ka
... a l toc l _~S.ru' T'

_ 'I),q""",",,,t,,
.,,,=._
A [.c_l .. doMIloIsIoIoICOC .... ' ..
·"."n
t 13 1SW1 ~ ...1onH
A ISW_..... IT' _acl6n ... ·r •• """
, Q ¡lfWI t,. ',..
A ¡PC I _ ..... " ......
A ISRVI 5,,'01'1
.. O ICOMIC _ _ .,
ClIWlQDoo, . .... MI PETO'
=- 15515"'" ......._
A 1.t.OStIC... uh ..... ....
;;;;", Ill _ _ _
A ,,,",,,.,--
A ¡cltl_tlu.a JI
Estos activos utilizan la siguiente apLicación: [ SW_opp) Tratamiento de Expedientes

el Se muestran las siguientes vulnerabilidades de Los dominios:
dI PILAR registra las amenazas que muestra la siguiente imagen:
Uni dad 1 • IntroduCCIón a la seguridad informauca 21
Como también se puede ver en la imagen, la categorización de las amenazas indicadas es la siguiente:
Manipulación de la configuración: [AJ Ataques deliberados
fuego: [NJ Desastres naturales
Errores de coofiguradón: [EJ Errores y fallos no intencionados
Divulgación de la informadón: [AJ Ataques deliberados
Corte de suminstro eléctrico: [IJ De origen industrial
Errores de los usuarios: [EJ Errores y fallos no intencionados
Extorsion: [AJ Ataques deliberados
e) Ademas de las expuestas, se podrian incluir algunas amenazas mas en las distintas categorías:
Desastres naturales: daños por agua, desastres naturales.
De origen industrial: contaminación mecánica, contaminación electromagnética.
Errores y fallos no intencionados: errores del administrador, pérdidas de equipos.
Ataques deliberados: robo de material informático, incendios provocados.
f) Para acceder a la valoradón de las amenazas, en el árbol de categorías, debes desplegar la opción Andlisis
de riesgos I Amenazas I valoración.
I"'-.::=~
....
"'J ...... __ I
. ,.____ LO
Para el equipamiento, la valoradón de las amenazas que se da es que existe un 100%, tanto en disponibilidad
(O), como en integridad (1), confidencialidad (C), autenticación (A) y trazabilidad (T). Por lo tanto, los
niveles de seguridad son óptimos.
En cambio, la sala de equipos tiene un 100% en disponibilidad (O), pero en el resto, en integridad (1), confi·
dencialidad (C), autenticadón (A) y trazabilidad (T), tiene unicamente una valoradón del 50%, con lo que su
seguridad es bastante mejorable.
22
Ideas clave
De la información
Seguridad Informática
Activos de una organización
Vulnerabilidades
Ataques
Conceptos básicos Amenazas
Riesgos
Impactos
Desastres
INTRODUCCiÓN
A LA SEGURIDAD
Integridad
INFORMATICA
Confidencialidad
Principios de la seguridad
Disponibilidad
Otros aspectos re lacionados
Políticas de seguridad
Planes de contingencia
"+ ,.
Unidad 1 - IntroduCCIón a la seguridad informauca REVISTA DE INFORMÁTICA
íJ''j IJ j 8:;
ymonte<: Corp. presento los conclusiones de su enC\Jesta de

S 2011 sobre concienciación de los amenaz as en la s pymes
!2011 5MB Threal Awarenes$ Pal~, que indicó que, aunque el
nivel de concienciaCIón es alto, las pymes no se consideran ob-
i e~vo de los ciberolaques. Debido a ello, no están implementando
los medidos de pralección apropiadas para salvaguardar su in-
formación ,
lo encuesta sobre concienciación de las amena zas en los pymes
exa mino los niveles de concienciación de los pymes en lo que se
re~ere a los peligros de los amena z as a la seguridad, osi como
su preparación poro de fenderse conlro esle li pa de atagues.
"Nuestro estudio muestra que los pymes son bastante vulnerables
W
0 10$ ciberotaques a firmo 5teve Cullen, vicepresidente senior
,
de marketing mundial poro 5MB y doud en Symontec Corp. "In-

cluso con los presupuestos ajustados y con los recursos limitados
actuales, unos cambios sencillos como, por ejemplo, iniciativos
de formación y buenos prácticos, pueden ¡ortalecer en gran me-
d ido el enfoque de uno pyme hacia lo seguridad para hacer
frente o los posibles ciberalaques·.
Aspectos destacados de la encuesta: Recomendaciones

• Las pymes e~án familiarizadas con las amenazas a la segurKlad. lo • Formar a los empleados: desarrollar
encue1la Indico que mós de lo mitad de los pyrnes están familiarizados con los diversos unos pautas sabre seguridad en Internet y
amenazas o lo seguridad formar o los empleados.
• Valorar su estado de seguridad:
• Las pymes piensan que no son objetivo de dichas amenazas. Aunque
los pyrnes hocen frente o uno mayor con~·
las pyrnes conocen los doi'los de los oberotoques, piensan que no corren riesgo en
dad de riesgos que amerlozon su inFormo·
este terreno, lo mitad de los pymes pienso que no corren peligro, yo que solo las
ción, por lo que resulto esencial proteger
grandes orgonizociones tienen que preocuparse, Sin emborgo, según los datos de
sus dotas, Por ello, es importante que coo
Symantec,cloud, el 40% de todos los otoques dirigidos o ob jetivos especificas se han
nazcan sus riesgos y los voc ios en seguri·
perpetrado contro compoi'lios de menos de 500 empleados, en comparación con ton
dad que puedan tener poro dar los posas
solo el 28% dirig ido o grandes organizaciones.
necesarios poro profeger su información,
• Las pymes no estan realizando ninguna acción , Como los pymes no se ven • Tomar medidas: ser prooctivo y elo·
como obletlvos, muchos de ellos no están lomando los precauciones bósicos poro pro. boror un plorl de seguridad, Considerar
teger su Informoción, Dos lercios de ellos restringe quien ~ef1e lo información necesorlo acciones como las polaicos de cOrllrosei'los,
poro occedef o ciertos servicios, pefO un 63% no protege los máquinas que utllizon lo protección de endpoinll, la seguridad
poro lo bOrlco on/lne, mós de lo mitad (61 %) no usa ontivirus en todos los equipos y del correo electrónico y de los activos web,
el 47% rlO uso seguridad en los servidores de correo. así como el cifrado de los dalos.
Fuenle' Modrld, 28 de noviembre de 2011 . www syrnonlec,com
Actividades
1·· ¿Por qué crees que Las e mpresas no están impLementando las medidas de protección apropiadas para saL-
vaguarda r su información?
2·· Según eL te xto, ¿qué a menazas a La seguridad pueden sufrir Las pymes? ¿Qué otras amenazas añadirias?

Introducción A La Seguridad Informática: Objetivos

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Introducción A La Seguridad Informática: Objetivos

Cargado por

Copyright:

Formatos disponibles

u n dad

1 » Seguridad informática y seguridad

2 » Conceptos básicos en materia de seguridad

2.2 > Vulnerabilidades

Es muy importante corregir cualqu ier vul nerabilida d detectada o descu -

2.3 > Amenazas

2.4 > Ataques

Ataque de ingeniería social

To' . . . . , . . . . . . . . . " . . " . " ..... _

Análisis de vulnerabilidades, ataques y amenazas a un sistema

Puente: Europa Pr..".s. Madrid. 1.3/ 04 / 11

a) ¿De qué tipo de ataque se trata?

3 .. ¿CuáL es eL activo más valioso para una empresa?

2.5 > Riesgos

Medio Accesos no autorizados

Muy bajo Inundaciones

Hay que ten er en cu enta que el r iesgo cero no existe, ya q ue n o es posible

2.7 > Desastres

3 » Principios de seguridad informática

3.1 > Integridad

3.3 > Disponibilidad

3.4 > otras características deseables en un sistema seguro

7· · A partir de Los principios expresados en este epígrafe:

RFe Una d eclaración d e intencion es d e a lto nivel q u e cubre la segu-

;;;;", (BJ~'" '.;2 .•

... a l toc l _~S.ru' T'

Estos activos utilizan la siguiente apLicación: [ SW_opp) Tratamiento de Expedientes

dI PILAR registra las amenazas que muestra la siguiente imagen:

Activos de una organización

Otros aspectos re lacionados

ymonte<: Corp. presento los conclusiones de su enC\Jesta de

de marketing mundial poro 5MB y doud en Symontec Corp. "In-

Aspectos destacados de la encuesta: Recomendaciones

Fuenle' Modrld, 28 de noviembre de 2011 . www syrnonlec,com

También podría gustarte