Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Contenido Semana 1
Contenido Semana 1
REDES Y SEGURIDAD
SEMANA 1
Amenazas en redes
modernas
IACC
1
SEMANA 1 – REDES Y SEGURIDAD
APRENDIZAJE ESPERADO
Reconocer las amenazas que afectan una
arquitectura de red, entre dispositivos
conectados a una red LAN.
IACC
2
SEMANA 1 – REDES Y SEGURIDAD
INTRODUCCIÓN ............................................................................................................. 4
1. SEGURIDAD EN REDES................................................................................................ 5
1.1. RAZONES PARA LA SEGURIDAD .................................................................................................... 5
3. MITIGACIÓN DE AMENAZAS..................................................................................... 14
3.1 ORGANIZACIONES DE SEGURIDAD DE RED ........................................................................................ 14
3.2 DOMINIOS DE SEGURIDAD DE RED .................................................................................................... 16
IACC
3
SEMANA 1 – REDES Y SEGURIDAD
INTRODUCCIÓN
La amenaza de seguridad se define como un Esto también puede afectar los registros de
riesgo que puede dañar los sistemas los usuarios, los cuales son de suma
informáticos y la organización. La causa importancia. La confianza entre las bases de
podría ser física, como robar una datos y sus clientes puede ser dañada
computadora que contiene datos vitales; o irreparablemente si estos registros están
no física, como un ataque de virus. Durante comprometidos.
el desarrollo de este contenido se definirá
una amenaza como un posible ataque de un La pérdida de dinero y tiempo que se invierte
en rastrear un virus o un gusano y eliminarlo
pirata informático que puede permitir
obtener acceso no autorizado a un sistema de la red es frustrante, además de requerir
informático. Además, es importante resaltar muchos recursos, ya que a menudo se deben
que los errores de unos pueden ser los reconstruir datos desde cero, reinstalar
dolores de cabeza de otras personas. Si una sistemas operativos y recuperar registros de
red es insegura y alguien toma el control de las cintas de respaldo. En resumen, reparar
los daños ocurridos por falta de seguridad
un computador, puede usar esa máquina
para lanzar ataques de denegación de puede llevar a invertir mucho tiempo
servicio a terceros inocentes. También realizando labores de recuperación, lo cual
pueden inundar la web con spam. es un problema para cualquier organización.
“Si piensas que la tecnología puede solucionar tus problemas de seguridad, está claro que ni
entiendes los problemas ni entiendes la tecnología”.
Bruce Shchneier.
IACC
4
SEMANA 1 – REDES Y SEGURIDAD
1. SEGURIDAD EN REDES
Para comenzar, se partirá definiendo qué es la seguridad, según Díaz G. (2014):
IACC
5
SEMANA 1 – REDES Y SEGURIDAD
Hoy en día, es muy extraño encontrar dispositivos -como computadores, tablet o teléfonos- que
funcionen de manera aislada, algo que sí sucedía hace 20 años atrás. En la actualidad, desde los
televisores hasta los vehículos forman parte de redes con acceso a internet, las cuales están
abiertas a recibir ataques internos o externos que pueden afectar a todos los dispositivos
conectados a la misma red. Imposible sería hoy vivir sin la posibilidad de realizar comunicaciones,
trámites y trabajos sin estar interconectados, por lo que se volvería inviable proponer la
desconexión como la solución al problema planteado.
2. AMENAZA DE REDES
El CIS Control en su versión 7 (2015, p. 48) indica que en las redes de datos abiertas existen riesgos
en los cuales “los atacantes se centran en explotar los sistemas que pueden alcanzar a través de
Internet, incluidas las estaciones de trabajo, celulares y dispositivos que extraen contenido de
Internet a través de los límites de la red”.
Además, el Center for Internet Security Critical Security Controls for Effective Cyber Defense, en su
documento CIS Control v.7 (2015), indica lo siguiente:
IACC
6
SEMANA 1 – REDES Y SEGURIDAD
IACC
7
SEMANA 1 – REDES Y SEGURIDAD
IACC
8
SEMANA 1 – REDES Y SEGURIDAD
operaciones fraudulentas.
Lamers (“wannabes”): Los “lamers”, también conocidos por “script kiddies” o “click
“Script-kiddies” o kiddies”, son aquellas personas que han obtenido
“Click-kiddies” determinados programas o herramientas para realizar
ataques informáticos (descargándolos generalmente desde
algún servidor de internet) y que los utilizan sin tener
conocimientos técnicos de cómo funcionan. A pesar de sus
limitados conocimientos, son los responsables de la mayoría
de los ataques que se producen en la actualidad, debido a la
disponibilidad de abundante documentación técnica y de
herramientas informáticas que se pueden descargar
fácilmente de internet, y que pueden ser utilizadas por
personas sin conocimientos técnicos para lanzar distintos
tipos de ataques contra redes y sistemas informáticos.
IACC
9
SEMANA 1 – REDES Y SEGURIDAD
IACC
10
SEMANA 1 – REDES Y SEGURIDAD
https://www.youtube.com/watch?v=AZCwMVgYGMI
Esta frase hace reflexionar de lo rápida y amplia que es la evolución de las técnicas de los piratas
informáticos. La piratería partió por los aparatos telefónicos, en donde con unos silbatos que
venían de regalo en las cajas de cereales “Capitán Crunch” podían alterar su funcionamiento, ya
que estos reconocían su tono de 2.600 Hz. como órdenes de la central.
Figura 3. Silbato con el cual se atacaban las centrales telefónicas hace más de 35 años.
Fuente: https://bit.ly/2CKEPfH
Posteriormente se fueron dando cuenta que incluso utilizando técnicas de ingeniería social podían
incluso manipular hasta a los empleados que manejaban las centrales telefónicas en la compañía.
Pero, ¿qué es esto de la ingeniería social? “Son estrategias de ataque que se basan en el engaño y
que están netamente orientadas a explotar las debilidades del factor humano” (Owasp.org, 2016).
IACC
11
SEMANA 1 – REDES Y SEGURIDAD
Uno de los hacker más famoso del mundo, Kevin Mitnick, dice que en la ingeniería social existen 4
pilares fundamentales basados en la psicología del ser humano (Owasp.org, 2016), estos son:
EJEMPLO
https://www.youtube.com/watch?v=GIlS5eJHYNI
A pesar de que todas estas prácticas fueron solo un juego para los perpetradores, con el tiempo
comenzaron a darse cuenta que podían no solamente entretenerse sino que también ganar dinero
robando información, lo que fue en aumento con el nacimiento de internet.
Según Oxman (2013), en la actualidad uno de los delitos más comunes es el phishing, cuya
finalidad es la de apoderarse de información personal del usuario de Internet, para acceder a sus
cuentas de correo o de redes sociales, o bien, conseguir sus claves de e-banking”.
IACC
12
SEMANA 1 – REDES Y SEGURIDAD
Según Rentería (s. f.), para poder mitigar los riesgos que diariamente aparecen en internet,
históricamente se han desarrollado herramientas y/o técnicas que permiten minimizarlos:
IACC
13
SEMANA 1 – REDES Y SEGURIDAD
Control de acceso Controla el acceso de los sistemas y aplicaciones mediante los medios
de comunicación, el cual al tratar de ganar acceso, debe identificarse
primero o autenticarse para acceder.
Disponibilidad Este último servicio verifica que las personas autorizadas accedan a la
información deseada cuando lo requieran y tantas veces como sea
necesario, esto no significa que siempre se va tener este acceso, sino
cuando sea requerido o necesario.
3. MITIGACIÓN DE AMENAZAS
Según Owasp.org (s. f.), “el modelado de amenazas es un proceso para capturar, organizar y
analizar toda esta información. Permite tomar decisiones informadas sobre los riesgos de
seguridad en las aplicaciones”.
IACC
14
SEMANA 1 – REDES Y SEGURIDAD
https://www.incibe.es/protege-tu-empresa/guias
IACC
15
SEMANA 1 – REDES Y SEGURIDAD
Según Isotools.org (2013), “los dominios de Seguridad incorporan los activos de la información que
van a proteger y cumplir totalmente. Su finalidad es asegurar que los requisitos legales de
seguridad referidos al diseño, operación, uso y gestión de los sistemas de información se
cumplan”.
En su principal descripción, la norma Nch-ISO27001 (2014, p. 1) indica que esta “ha sido preparada
para proporcionar los requisitos para establecer, implementar, mantener y mejorar de manera
continua un sistema de gestión de la seguridad de la información”.
En cuanto a la norma Nch-ISO27002 (2014, p.1.), esta “ofrece recomendaciones para realizar la
gestión de la seguridad de la información”.
IACC
16
SEMANA 1 – REDES Y SEGURIDAD
IACC
17
SEMANA 1 – REDES Y SEGURIDAD
https://bit.ly/2TF36Jz
IACC
18
SEMANA 1 – REDES Y SEGURIDAD
COMENTARIO FINAL
De acuerdo a lo estudiado en este contenido, diariamente se puede detectar una infinidad de
fallas de seguridad, las que son utilizadas por piratas informáticos para tratar de acceder a
información que puede llegar a tener un gran valor en el mercado. Los principales afectados con
estos incidentes son los usuarios de los distintos servicios que existen en redes públicas y privadas,
quienes nos entregan una gran responsabilidad de ser guardianes de esta información, estando en
constante alerta y en constante investigación para enfrentar estas amenazas.
A modo de conclusión, se puede indicar que no solo los encargados de los sistemas son los
responsables de cuidar la información de las organizaciones, sino que todos los usuarios de la red
deben tener un real compromiso para no tener que afrontar las consecuencias de estos robos de
información. Es importante recordar que los usuarios son el eslabón más débil en esta cadena que
protege a las organizaciones de las amenazas existentes en las redes.
IACC
19
SEMANA 1 – REDES Y SEGURIDAD
REFERENCIAS
Alegre M. (2011). SEGURIDAD INFORMATICA ED.11 . Madrid, España: Paraninfo.
Center for Internet Security (CIS). (2015). CIS Control versión 7. Recuperado de:
https://bit.ly/2JMXPjy
Díaz G. (2014). Procesos y herramientas para la seguridad de redes. Madrid, España: Universidad
Paraninfo.
Gómez L. y Álvarez A. (2012). Guía de aplicación de la norma UNE-ISO 27001. Madrid, España:
AENOR.
Gómez, A. (2014). Tipos de ataques e intrusos en las redes informáticas. Recuperado de:
https://bit.ly/2FHLAka.
de: https://bit.ly/2UJ2qHX
Oxman, N. (2013). Estafas informáticas a través de Internet: acerca de la imputación penal del
IACC
20
SEMANA 1 – REDES Y SEGURIDAD
Rentería, F. (s. f.). Inicio y evolución de la seguridad informática en el mundo. Recuperado de:
https://bit.ly/2Yxj3oS
Ministerio de Educación, Cultura y Deporte de España. (s. f.). Organismos relacionados con la
Santiago, Chile.
Welivesecurity.com (2017). Desafíos nuevos con viejos conocidos: el enfoque de seguridad que
IACC
21
SEMANA 1 – REDES Y SEGURIDAD
IACC
22
SEMANA 1 – REDES Y SEGURIDAD
IACC
23