Seguridad informática

Un a visión Globa l…

Pe dr o D a vid M a r co
 Agenda

• I n t r odu cción
• Est a do, pr e ocu pa cion e s y r ie sgos a ct u a le s
• Cost e s de la se gu r ida d
• Te cn ología s
 Agenda

I n t r odu cción
 I nt roduc c ión
¿Qué es la seguridad?

• En Junio de 1942 un problema criptográfico

japonés tuvo como consecuencia la destrucción
de sus 4 mayores portaaviones y supuso el fin del
dominio japonés del Pacífico.

¡Bu e n o, e st o e s cosa de los m ilit a r e s y a de m á s

ya for m a pa r t e de l pa sa do!
 I nt roduc c ión

• El 2 de Noviembre de 1988 un joven llamado Robert Morris

escribió un pequeño programa capaz de, usando algunas
vulnerabilidades de UNIX, transmitirse de unos sistemas a
otros a gran velocidad infectándolos a su paso.
En unas horas miles de equipos tenían sus CPUs al 100%
sin solución de continuidad.
Se trataba del primer Gusano (Worm) de la historia.

¡Es cosa de “los locos de l UN I X” y t a m bié n e s

ya pa sa do, con u n An t iVir u s e st o se h a br ía e vit a do!
 I nt roduc c ión

• En Junio de 2005 un hacker logró un listado de 40 millones

de tarjetas de crédito.

Servired, Visa y 4B tuvieron que localizar y avisar

urgentemente a más de 50.000 clientes en España del riesgo
que corrían

¡Est o ya n o h a ce t a n t a gr a cia !
 I nt roduc c ión

• Históricamente la seguridad no ha sido nunca vista como una

parte más de las tecnologías de la información, sino como algo
propio de pequeños círculos de amistades, curiosos o gurús.

• En las universidades no existían (en muchas aún hoy no existen)

asignaturas relacionadas con la seguridad

• En el mundo empresarial aun hoy existe esta tendencia en muchos

casos
 I nt roduc c ión
Existen varias razones por las que a todos los niveles no se le
ha dado a suficiente importancia:

1. El riesgo y las consecuencias de ignorarlo eran mínimos

2. Siempre ha sido incomoda: mucho esfuerzo -> poco

resultado

3. Los posibles ataques requerían muy altos niveles de

conocimiento.

4. El acceso al conocimiento y a las redes era muy limitado

 I nt roduc c ión

¿Qué es el riesgo?

Riesgo = vulnerabilidades * amenazas

Si no hay amenazas no hay riesgo

Si no hay vulnerabilidades no hay riesgo
 I nt roduc c ión
Factores que se consideraban fuentes de amenazas:

"Hackers" 24.8%
0.0%

Terroristas Informáticos 21.6%

11.7%

Competidores 13.6%
8.1%

Antiguos empleados 13.9%

7.4%

Usuarios no autorizados 20.8%

6.2%
1998
Clientes 3.0% 1997
2.2%

Auditores 1.6%
3.5%

Consultores 6.2%
3.5%

Empleados 2.6%
1.9%

Usuarios autorizados 7.4%

7.3%

0.0% 5.0% 10.0% 15.0% 20.0% 25.0% 30.0%

Fuente: Ernst&Young
 I nt roduc c ión

Evolución mundial de las vulnerabilidades

 I nt roduc c ión
Incidentes denunciados por empresas. España. 1999.

20,5%
28,2%

7,7%
Otros
Accesos Ilegales a máquinas
Denegaciones de Servicio
Correo Basura
Intentos de Entrada

28,2%
35,9%

Fuent e: CDI , Guardia Civil

 I nt roduc c ión

Hoy en día el escenario ha cambiado

¡¡ RAD I CALM EN TE !!
 Agenda

Est a do, pr e ocu pa cion e s y

r ie sgos

ACTUALES
 Preocupaciones y riesgos actuales

¿Cu á l e s e l n ive l de r ie sgo e n la a ct u a lida d?

1 . La s vu ln e r a bilida de s se dispa r a n t odos los a ñ os:

Fuent e: Cert
 Preocupaciones y riesgos actuales

¿Cu á l e s e l n ive l de r ie sgo e n la a ct u a lida d?

2. La s a m e n a za s t a m bié n a u m e n t a n :

Ca da ve z e s n e ce sa r ia m e n os e spe cia liza ción y m e n os

con ocim ie n t o t é cn ico pa r a lle va r a ca bo a t a qu e s, r oba r y/ o
m odifica r in for m a ción o com e t e r fr a u de s.

N o sólo e st á dispon ible y a l a lca n ce de t odos la

in for m a ción sobr e los fa llos y la s vu ln e r a bilida de s sin o qu e
t a m bié n lo e st á n los “e x ploit s” y la s h e r r a m ie n t a s pa r a
lle va r a ca bo t odo t ipo de a ccion e s.
 Preocupaciones y riesgos actuales

Si a de m á s t e n e m os e n cu e n t a qu e :

1 . H oy día t odo e st a con e ct a do con t odo

2 . El n ú m e r o de u su a r ios de la r e d cr e ce
e x pon e n cia lm e n t e
3 . Ca da ve z h a y m á s sist e m a s y se r vicios e n la r e d

El n ive l de r ie sgo e s su ficie n t e m e n t e a lt o com o

pa r a e m pe za r a pe n sa r e n la se gu r ida d com o
a lgo im pr e scin dible
 Preocupaciones y riesgos actuales

Tipos de a t a qu e s a ct u a le s: At a qu e s h íbr idos

Son ataques en los que se mezclan más de una técnica:
DOS, DDOS, Exploits, Escaneos, Troyanos, Virus, Buffer Overflows,
Inyecciones, etc.
Suelen ser de muy rápida propagación y siempre se basan en alguna
vulnerabilidad de algún sistema.
Por ejemplo los gusanos Blaster, Sasser, o Slammer se propagaron por todo
el planeta en cuestión de pocas horas gracias a una mezcla de técnicas
de “uso de vulnerabilidad”, Buffer Overflows, escaneado de direcciones,
transmisión vía Internet, y mimetización en los sistemas.

Com o curiosidad: el 75% de los at aques t ienen

com o t elón de fondo t écnicas de Buffer Overflow
¿no podrían ser evit adas?
 Preocupaciones y riesgos actuales

Tipos de a t a qu e s a ct u a le s: I n ge n ie r ía socia l
Son at aques en los que se int ent a engañar a algún usuario para hacerle
creer com o ciert o algo que no lo es.

- Buenos días, ¿es la secret aria del Direct or del Depart am ent o?
- Si digam e, ¿que desea?
- Soy Pedro, t écnico inform át ico del Cent ro de Apoyo a Usuarios y
m e han avisado para reparar un virus del ordenador del direct or
pero la clave que m e han indicado para ent rar no es correct a,
¿podría ayudarm e, por favor?
Ot ros at aques de est e t ipo son:
• Farm ing
• SPAM
• Pishing
• Caj eros aut om át icos
• ETC.
 Preocupaciones y riesgos actuales

Tipos de a t a qu e s a ct u a le s: I n ge n ie r ía socia l
El at aque que m ás preocupa hoy en día a las grandes organizaciones, sobre
t odo en el sect or de banca online es, con diferencia, el “ PI SHI NG” :
 Preocupaciones y riesgos actuales

Ej e m plo de Pish in g…
 Preocupaciones y riesgos actuales

¿Qu é pr e ocu pa y qu é n o e n u n pr oye ct o de se gu r ida d?

Exist e un problem a subyacent e en la m ent e de TODOS los Direct ores de

inform át ica de las grandes com pañías que nunca debem os olvidar
si querem os t ener éxit o en la im plant ación de un sist em a de seguridad:

“ La com pañía puede vivir sin seguridad pero no sin com unicaciones”

Si un sist em a de seguridad, por m uy m aravilloso que sea, dest inado a evit ar

problem as que pueden no haberse producido aun puede generar problem as
Nuevos, ese sist em a NO SERA ACEPTADO.
 Preocupaciones y riesgos actuales

¿D on de qu e da la cr ipt ogr a fía e n t odo e st o?

Los est ándares act uales de cifrado de la inform ación ( AES, DES,
RSA, MD5, et c., et c.) son globalm ent e acept ados com o buenos y
suficient es en la m ayoría de los casos, quedando su est udio
reducidos a pocos ent ornos, Universidades, Fuerzas del Orden,
Minist erios, et c.

La cript ografía capt a la at ención general pocas veces, pero cuando

lo hace suele ser por algo serio, cuando algún prot ocolo y/ o
algorit m o es “ revent ado” . Por ej em plo, WEP, el cifrado que usan las
redes WiFi basado en RC4 que puede ser descifrado si se consigue
una capt ura de t ráfico suficient em ent e grande.
 Agenda

Cost e s de la se gu r ida d
 Costes de la Seguridad

El Cost e de la se gu r ida d
El esfuerzo t ant o económ ico com o hum ano de los Depart am ent os de
Seguridad debe buscar siem pre cuat ro obj et ivos:
1. Disponibilidad
Se consideran sist em as acept ables a part ir de dos nueves, est o es:
disponibles el 99,99% del t iem po. La inversión por cada nueve
ext ra es siem pre m uy elevada.
2. Confidencialidad: Seguridad “ keep t he good giys in”
3. I nt egridad: Seguridad “ Keep t he bad guys out ”
4. Cum plim ient o de la legalidad: LOPD, Sarbanes- Oxley,
I SO17799
 Costes de la Seguridad

El e sfu e r zo e con óm ico e n se gu r ida d e s im posible de m e dir pe r o com o é st e

de be se r sie m pr e pr opor cion a l a l r ie sgo de pe r dida s, qu e SI ES M ED I BLE,
si e s posible h a ce r e st im a cion e s r a zon a ble s
 Costes de la Seguridad

Pr oble m a s cola t e r a le s de la se gu r ida d

e n la s gr a n de s com pa ñ ía s
1 . Cost e s & ROI ( Re t u r n of I n ve st m e n t )
1. Cost es de personal
1. Difícil encont rar t écnicos cualificados
2. Muy alt a rot ación en según que sect ores
2. Cost es t ecnológicos: HW, SW, ROI
3. Cost es ocult os ( a m enudo elevados)
4. Cost es de cum plim ient o de la legalidad ( LOPD,
Sarbanes- Oxley, et c)
5. Cost es de cum plim ient o de polít icas y
norm at ivas
6. Cost es de seguros ( aprox. 25% de las
com pañías)
 Preocupaciones y riesgos actuales

Pr oble m a s cola t e r a le s de la se gu r ida d

e n la s gr a n de s com pa ñ ía s

2 . D e or ga n iza ción
Lleva m ucho t iem po y esfuerzo conocer e int egrar
cualquier sist em a de seguridad cuando hay
im plicado m ás de un depart am ent o.
Se est im a que 30 m inut os de un Hacker pueden
suponer una sem ana de t rabaj o de un ingeniero
con experiencia para reparar lo dañado y prevenir
nuevos incident es
3 . D e ga r a n t ía de dispon ibilida d
4 . D e ga r a n t ía de a j u st e a n or m a t iva y le ga lida d
 Costes de la Seguridad

En t on ce s ¿Cu á n t o se su e le ga st a r e n se gu r ida d?
 Agenda

Te cn ología s
 Tecnologías

¿Qu é t e cn ología s e x ist e n y cu á l e s su e st a do a ct u a l?

D e sde e l pu n t o de vist a e m pr e sa r ia l e x ist e n dos posible s
e n foqu e s pa r a cla sifica r los sist e m a s de se gu r ida d:
1 . Se gú n cost e :
1. Soft ware libre: Linux, Snort , Nessus, Et hereal, et c.
Suele ser difícil im plant ar est e t ipo de sist em as salvo que
haya verdaderos problem as presupuest arios.
2. Sist em as propiet arios: Microsoft , Sun, I BM, Sym ant ec, I SS,
Checkpoint , Trend, et c.
Gran calidad debida a la com pet encia
 Tecnologías

¿Qu é t e cn ología s e x ist e n y cu á l e s su e st a do a ct u a l?

D e sde e l pu n t o de vist a e m pr e sa r ia l e x ist e n dos posible s
e n foqu e s pa r a cla sifica r los sist e m a s de se gu r ida d:
2 . D e sde e l pu n t o de vist a de su u t ilida d:
1. “ Keep t he good guys in” : VPN, PKI , RAS, Radius, Tacacs+ ,
Single Sing On, et c.
2. “ Keep t he bad guys out ” : Ant iVirus, FW, I PS, I DS, ADS, et c.
 Tecnologías

¿Qu é gr a do de im pla n t a ción t ie n e ca da u n a ?

 Tecnologías

¿ Cu á le s son la s t e n de n cia s a ct u a le s ?
Firewalls
Todas las com pañías m ont an sist em as de filt rado de paquet es, bien
m ediant e FireWalls, bien m ediant e list as de cont rol de acceso en
rout ers.
Exist en FW personales cuya ut ilidad suele cuest ionarse ( a favor de los
I PS personales)
Ant ivirus
Se m ont an siem pre a dos niveles: a nivel de red ( para filt rar correo
elect rónico principalm ent e) y a nivel de puest o de t rabaj o.
 Tecnologías

¿ Cu á le s son la s t e n de n cia s a ct u a le s ?
I DS
Los sist em as de det ección de int rusos han est ado ayudando a det ect ar
problem as en las redes durant e años pero su incapacidad de det ener
los at aques que ellos m ism os det ect aban y la gran cant idad de alarm as
que generaban ( im posibles de perseguir) han dado paso a los I PSs
I PS
Est án en pleno auge. Son capaces de det ect ar y det ener t ant o at aques
conocidos com o desconocidos, det ect ar y det ener virus, t royanos, aislar
hackers cuando se les det ect a y hast a prot eger a los ot ros elem ent os
de seguridad de la red, por ej em plo a los Firewalls.

ADS
Sist em as de det ección de anom alias. Son t ot alm ent e
novedosos y aún es pront o para hablar de sus
result ados reales.
 Tecnologías

¿ Cu á le s son la s t e n de n cia s a ct u a le s ?
Single Sign- on
Han sido, son y seguirán siendo de gran ut ilidad, m áxim e en las
grandes em presas donde la gran variedad de sist em as y claves a
m em orizar conviert en los post - it j unt o a los m onit ores en algo com ún.
Cont rol de acceso a red
Microsoft y Cisco est án en plena pugna por “ llevarse el gat o al agua” en
lo que a cont rol de acceso a red se refiere y aunque recient em ent e
anunciaron su int ención de colaborar, lo ciert o es que cada uno sigue
por su lado, NAP, NAC… el t iem po dirá…
 Tecnologías

¿ Cu á le s son la s t e n de n cia s a ct u a le s ?
VPN + PKI
Durant e años el binom io VPN + PKI han dom inado el m undo de los
accesos rem ot os seguros pero la necesidad de inst alar un client e de
VPN en el PC los ha hecho incóm odos. Est án dej ando paso a m archas
forzadas a las VPN + SSL.
VPN + SSL
Sin m ás com plej idad para el client e que conect arse a una página web
segura de la com pañía para poder ent rar en ella vía VPN. Sencillas,
cóm odas y ligeras. Exist en ya sist em as basados en appliances de red.
¡ GRACIAS !