Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sistemas Informáticos
Autores
Abril de 2017
Seguridad en los sistemas informáticos
Módulo 1. Introducción a la seguridad informática Página 2
Índice de contenidos
En los últimos años, el gran incremento que ha experimentado el uso de Internet en las
empresas, que permiten a sus socios y proveedores acceder a sus sistemas de información; ha
provocado la necesidad de mejorar y facilitar los mecanismos de seguridad para el intercambio
de información e identidades. Por lo tanto, es fundamental saber qué recursos de la compañía
necesitan protección para así controlar el acceso al sistema y los derechos de los usuarios del
sistema de información.
En este primer tema introductorio, veremos que la seguridad en redes no se debe plantear
como una actuación aislada y puntual. Cualquier actuación en seguridad debe responder a un
planteamiento global acorde con una estrategia y definida en la Política de Seguridad de la
Organización.
Se definirán los conceptos y criterios básicos de toda política de seguridad y los tipos de
medidas a implantar. También se expondrán los aspectos generales de la seguridad en redes, y
se enunciarán las dos técnicas en que se basan todos los servicios de seguridad en redes: las
técnicas criptográficas y los sistemas de control de acceso a redes.
Por último, este tema también proporciona una aproximación general de los aspectos a
contemplar en la seguridad en redes y en Internet en particular.
En una primera aproximación puede establecerse que seguridad significa protección de bienes
(llamados también activos o recursos). La seguridad de la información comprende tanto la
seguridad en el ordenador como en las comunicaciones.
Ejemplos de definiciones del concepto de seguridad, los podemos encontrar en [1]: "Medidas
tomadas para proteger un sistema. El estado de un sistema que resulta del establecimiento y
Otra definición, es la propuesta en [2]: "La protección contra amenazas a activos...[] ...
prestando una mayor atención a las amenazas resultantes de acciones humanas maliciosas."
Estos servicios pueden ser proporcionados utilizando criptografía simétrica y/o asimétrica,
como veremos más en detalle a lo largo del módulo 2.
Por último, cabe destacar que no existe una prioridad universalmente aceptada para estos
servicios, es decir, cada uno podrá ser más o menos importante según la naturaleza de la
información y de la empresa u organismo que se trate. Por ejemplo, la confidencialidad puede
ser de gran importancia en el departamento de diseño industrial de una empresa (para
PKI (Public Key Infrastructure), infraestructura de clave pública, es todo lo necesario, tanto
hardware como software, políticas y procedimientos de seguridad que permiten gestionar la
distribución de claves públicas a través de certificados digitales y de esa forma garantizar la
ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital, el no
repudio en transacciones electrónicas.
Recursos de cómputo se refieren a los bienes materiales (por ejemplo, equipos, programas,
bienes muebles e inmuebles, infraestructura, etc.), así como los sistemas de información y
servicios de cómputo ofrecidos por una empresa u organización. Un ejemplo ilustrativo sería el
centro de cómputo, cuya función principal es apoyar la labor administrativa de una empresa u
organización para hacerla más segura, fluida y eficiente. El centro de cómputo es responsable
de custodiar y procesar la mayoría de los datos con los que opera la compañía. Prácticamente
todas las actividades de los demás departamentos se basan en la información que les
proporciona dicho centro. La toma de decisiones depende en gran medida de la capacidad de
respuesta del proceso de datos; debido a esto, es necesario dotar a este recurso tanto de un
nivel de seguridad como de un mantenimiento adecuados.
SGBD (Sistema Gestor de Bases de Datos), en inglés Database Management System (DBMS), es
una agrupación de programas que sirven para definir y construir una base de datos, además de
permitir manipular (almacenar, modificar, extraer y borrar) la información en la misma. Estos
sistemas también proporcionan métodos para mantener la integridad de los datos, para
VPN (Virtual Private Network), red privada virtual, es una tecnología de red que permite la
extensión segura de una red de área local (LAN, Local Area Network) sobre una red pública o
no controlada como Internet. Una VPN permite que, si bien se utiliza una red pública o
compartida, los datos son transmitidos por un canal privado (por lo general, punto a punto y
cifrado) con toda la funcionalidad, seguridad y políticas de gestión de la misma. Este tipo de
redes se pueden utilizar, por ejemplo, para conectar dos o más sucursales de una compañía.
WAP (Wireless Application Protocol) es un estándar abierto internacional, OMA (Open Mobile
Alliance) para aplicaciones que utilizan las comunicaciones inalámbricas (en 2004 versión 2.0)
con el fin de acceder a información de forma instantánea, p.ej., acceso a servicios de Internet
desde un teléfono móvil. La especificación incluye el entorno de aplicación y un conjunto de
protocolos de comunicaciones para normalizar el modo en que los dispositivos inalámbricos se
utilizan para acceder a distintas aplicaciones, por ejemplo, correo electrónico.
Desde el punto de vista general la seguridad se centra en dos aspectos, uno técnico,
consistente en una larga lista de herramientas tanto software como hardware, y el otro
considera el factor humano, es decir el conjunto de personas encargadas de definir la política
de seguridad, implantar el sistema de seguridad, administradores y todas aquellas personas
que utilizan dicho sistema.
La seguridad es un concepto relativo, inalcanzable en plenitud, y que por cuantiosas que sean
las inversiones en ella, siempre queda un riesgo residual que es imposible eliminar.
Conforme los sistemas de información se han hecho más complejos, se han puesto de
manifiesto un mayor número de puntos vulnerables y una mayor facilidad para perpetrar
ataques contra ellos. Existen dos razones fundamentales para que esto suceda:
Las medidas de protección se pueden clasificar en tres grandes tipos: lógicas, físicas y
administrativas, todas ellas bajo el amparo de las normativas legales, que se pueden
representar mediante el esquema de capas mostrado en la Figura 1.2.1.
Las medidas de protección lógica o técnicas tienen como objetivo proteger tanto el software
como los datos, y pueden implementarse en dispositivos hardware o en productos software.
A continuación, se exponen brevemente, los aspectos más destacables en los que se centran
las medidas de protección lógica:
Seguridad en redes: dentro de las medidas técnicas o lógicas se suele incluir la seguridad
en redes.
El término seguridad física se usa para describir las medidas que tratan de proteger al
ordenador y a su entorno de amenazas físicas externas a los mismos.
Las medidas de protección físicas son, probablemente, las primeras que se adoptan en todas
las instalaciones informáticas. Ello es debido a dos factores: por un lado, aunque la
probabilidad de que se produzca un incendio o una inundación es mucho menor que la
probabilidad de ocurrencia de otras amenazas, ante una catástrofe de este tipo las perdidas
serán completas. Por otra parte, estas medias de protección son fáciles de adoptar, su coste no
es excesivo y su mantenimiento no ofrece dificultades especiales.
En España, se han promulgado bastantes leyes específicas para proteger la información, entre
las cuales podríamos mencionar las siguientes:
Ley Orgánica 10/1995, de 23 de noviembre [3], del Código Penal (protección vía penal de
datos sensibles e introducción, del fraude informático) y sus correspondientes
modificaciones: Ley Orgánica 1/2015, de 30 de marzo [4]; Ley Orgánica 15/2007, de 30 de
noviembre [5] y Ley Orgánica 15/2003, de 25 de noviembre [6].
La Ley Orgánica 15/1999, de 13 de diciembre, (B.O.E. de 14 diciembre de 1999) de
Protección de Datos de Carácter Personal (LOPD) (protección, vía administrativa, de datos
personales) [7].
El Real Decreto 1720/2007 de 21 de diciembre [8], que aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999, del 13 de diciembre, de protección de datos de
carácter personal.
Para contar con una solución de seguridad completa, además de disponer de la última
tecnología, son necesarios otros factores, tales como la estrategia de seguridad, la gestión del
riesgo, llevar a cabo una política de seguridad actualizada, contar con una organización que
asuma la responsabilidad de la seguridad, un plan de divulgación y unas normas consistentes
para la implantación de la tecnología.
Básicamente, se trata de fomentar un foro de discusión para generar una visión básica de la
seguridad a fin de:
En este punto, cabe resaltar que la seguridad no es un concepto aislado, sino que es un
proceso cíclico, que debe influir en la política y estructura técnica subyacente a la estrategia de
los sistemas de información. Además, la seguridad debe ser un proceso dinámico y estar en
constante revisión y actualización. En la Figura 1.3.1 se muestra un diagrama en el que se
representa conceptualmente la influencia de la seguridad en la política y estructura técnica
subyacente a la estrategia de los SI como un proceso cíclico.
En esta unidad didáctica vamos a proporcionar una aproximación general a las políticas de
seguridad en los sistemas de información, proporcionando una visión global de las mismas,
puesto que en el módulo 5 ("Malware y Políticas de Seguridad") se volverá a tratar este tema
en mayor profundidad.
Una política de seguridad se puede definir como una declaración de intenciones de alto nivel
que proporciona las bases para definir y delimitar responsabilidades en las actuaciones
técnicas y organizativas que se requieran en relación con la seguridad de los sistemas de
información. La política de seguridad de los sistemas de información debe ser formalmente
acordada y documentada.
Para establecer una Política de Seguridad, es necesario especificar los requisitos de protección
de la información, los controles requeridos para protegerla y fijar las responsabilidades
relativas a su protección. Por tanto, una política de seguridad debe:
Además, una política de seguridad debe describir qué se intenta proteger y por qué; no debe
describir detalles acerca de cómo se va a proteger. De esta manera, se tendrá un documento
que todas las personas de la organización serán capaces de entender.
Por otra parte, una política de seguridad también debe establecer expectativas y
responsabilidades para todos los participantes del sistema, para permitirles saber qué esperar
los unos de los otros. La política, además, debe especificar quiénes tendrán la autoridad para
tomar las correspondientes medidas correctivas y dar indicaciones sobre la clase de sanciones
que se pueden imponer.
En lo que respecta a la OCDE, en una recomendación de 1992 [17], propuso, los siguientes
principios fundamentales:
Principio de contabilidad (la responsabilidad del uso de los recursos debe ser explícita y
exigible).
Principio de concienciación (todas las partes implicadas deben ser sensibilizadas sobre las
amenazas a la información y las medidas de seguridad de la misma).
Principio de ética (la información y los sistemas de información deben ser usados con
arreglo a los códigos de conducta ética de los profesionales de la seguridad).
Principio de multidisciplinariedad (las medidas de seguridad deben ser multidisciplinares:
técnicas, administrativas, organizativas, etc.).
Principio de proporcionalidad (los niveles de seguridad y sus costes deben ser apropiados
y proporcionales a los riesgos de la información).
Principio de integración (las medidas, prácticas y procedimientos deben estar
coordinados e integrados entre sí, para constituir un todo coherente y homogéneo).
Principio de acompasamiento (las instituciones públicas y privadas, nacionales e
internacionales deben actuar coordinadamente).
Principio de reevaluación (la seguridad debe evaluarse periódicamente).
Principio de democracia (la seguridad debe ser sopesada con los derechos de los usuarios
y de todos los individuos involucrados).
Además de los principios generales establecidos por la OCDE, ISSA propuso, también en 1992,
los principios reflejados a continuación:
Principio del mínimo privilegio: Propugna que cualquier sujeto (usuario, administrador,
programa, sistema o lo que sea) debe tener sólo, y no más, los privilegios que necesita
para cumplir con las tareas que tenga asignadas.
Principio de separación de tareas y responsabilidades: Establece que las
responsabilidades se deben separar para que los que tienen que vigilar el cumplimiento
de una norma no puedan utilizar los recursos sujetos a esa norma.
Principio de continuidad: Para que sean efectivas, las medidas de seguridad deben
establecerse para ser aplicadas de forma continua.
En los últimos años, han surgido nuevos retos de seguridad, a los que es necesario
enfrentarse, que provienen de:
La protección perfecta no existe, ningún modelo puede resolver todos los problemas de
seguridad. En relación con la seguridad en redes se pueden postular varios planteamientos:
No hacer ningún esfuerzo en seguridad y tener la mínima, cualquiera que sea, por
ejemplo, la que proporcione el vendedor de forma preestablecida. No obstante, este
planteamiento no es un modelo a seguir.
Suponer que un sistema es seguro sólo porque nadie sabe de él. Esta postura tampoco es
en absoluto recomendable.
Se entiende por amenaza una violación potencial de la seguridad de un sistema y por ataque
la materialización de una amenaza.
Según la arquitectura de seguridad OSI, por la forma de actuación las amenazas intencionadas
y los ataques derivados se pueden clasificar en pasivas y activas:
Los ataques pasivos son difíciles de detectar, ya que no provocan ninguna alteración de los
datos. En este tipo de amenazas, el atacante no altera la comunicación, sino que únicamente la
escucha o monitoriza, para obtener información que está siendo transmitida, por lo que son
difíciles de detectar. Sin embargo, es posible minimizar su efecto mediante el cifrado de la
información.
Sus objetivos son la intercepción de datos y el análisis de tráfico. Una técnica más sutil para
obtener información de la comunicación, que puede consistir en:
Estos ataques implican algún tipo de modificación del flujo de datos transmitido o la creación
de un falso flujo de datos, por lo que son más fácil detectar que los pasivos. A continuación, se
exponen brevemente los distintos tipos de amenazas activas:
Aunque los ataques activos son fáciles de detectar, es muy complejo evitarlos de una manera
absoluta, ya que sería necesario proteger, debidamente y en cualquier momento, todos los
recursos de la organización. Para los ataques pasivos es más importante la prevención que la
detección. Sin embargo, si no ha sido posible evitar el ataque, es fundamental su detección y la
recuperación de cualquier situación anómala que haya podido ocasionar.
Por otra parte, se entiende por amenaza programada cuando las instrucciones de un programa
se diseñaron con la intención de hacer daño.
Bombas lógicas: son amenazas que permanecen latentes por un extenso periodo hasta
que se disparan, en ese momento, ejecutan una función que no es la función propia del
programa en el cual están contenidas.
Un tipo especial de bombas lógicas son las que se usan para controlar los tiempos de
cobertura y forzar pagos u otras provisiones de contratos. Estas bombas hacen que se
detenga el programa al pasar una determinada fecha o periodo a menos que se tome una
acción especial.
Caballos de Troya: los caballos de Troya modernos son archivos que pretenden ser
benignos pero que, de hecho, son perjudiciales. Una diferencia muy importante con
respecto a los virus es que no se replican a sí mismos. Los caballos de Troya contienen
código dañino que, cuando se activa, provoca pérdidas o incluso robo de datos. Para que
un caballo de Troya se extienda es necesario dejarlo entrar en el sistema, por ejemplo,
abriendo un archivo adjunto de correo.
Un ejemplo de caballo de Troya es PWSteal.Trojan.
Virus: un virus es una secuencia de código que se inserta en otro código ejecutable, para
que cuando el programa regular se ejecute, el código viral también se ejecute. Los virus
no son programas independientes, no pueden ejecutarse por sí solos, necesitan que se
ejecute el programa que los hospeda para activarlos. Un virus típico pasa por las fases de
nacimiento, latencia, activación (ocultamiento, reproducción, infección y activación) y
erradicación.
Gusanos (en inglés, worms): son programas que se pueden ejecutar independientemente
y viajar de máquina en máquina (nodo) a través de las conexiones de red; los gusanos
pueden hacer que porciones de ellos mismos se ejecuten en muchas máquinas diferentes.
Un agresor puede insertar instrucciones dañinas en otros lugares además de en los programas
pre-compilados. Los archivos de intérprete de instrucciones awk, Perl, guiones CGI (Common
Gateway Interface), Active X, archivos PostScript. Es importante señalar que la popularidad de
los navegadores y de los servidores web propicia que los virus y los caballos de Troya puedan
desarrollarse y propagarse. Para protegerse de las amenazas programadas se pueden seguir,
entre otras, las siguientes recomendaciones:
Cabe destacar que, en algunos casos, estos segmentos de programas se usan para actuaciones
lícitas. Por ejemplo, los gusanos pueden usarse para hacer cálculos distribuidos en
procesadores ociosos; las puertas traseras son útiles para depurar programas, las bombas
lógicas se usan para controlar los tiempos de cobertura de licencias de uso y los virus pueden
escribirse para actualizar código fuente y parches para errores. El propósito, no el enfoque, es
lo que hace que una amenaza programada sea peligrosa.
A partir del análisis de las amenazas, las pérdidas que podrían ocasionar y su probabilidad de
ocurrencia, se debe diseñar una política de seguridad que defina responsabilidades y reglas
para evitar las amenazas o minimizar sus efectos. A los mecanismos utilizados para realizarlo
se les denomina mecanismos de seguridad, los cuales, se pueden dividir en tres grandes
grupos, que exponemos brevemente a continuación:
Prevención: son los mecanismos que aumentan la seguridad del sistema durante su
funcionamiento normal, previniendo la ocurrencia de violaciones de seguridad. Un
ejemplo de este tipo de mecanismo, es el uso de cifrado en las transmisiones de datos.
Detección: son los mecanismos que se utilizan para detectar violaciones de seguridad o
intentos de violación. Por ejemplo, los programas de auditoría de seguridad que permiten
detectar agujeros de seguridad.
Recuperación: estos mecanismos se aplican cuando se detecta una violación del sistema,
con el objetivo de volver a su funcionamiento correcto. Un ejemplo típico de estos
mecanismos es la utilización de copias de seguridad.
Los protocolos de Internet fueron diseñados para que fueran simples y sencillos. El poco
esfuerzo necesario para su desarrollo y verificación hizo posible su implantación generalizada,
pero tanto las aplicaciones como los niveles de transporte carecían de mecanismos de
seguridad.
El uso creciente de Internet para actividades que van más allá de la comunicación personal y el
entretenimiento ha generado una creciente demanda de seguridad en la red. El comercio
electrónico en sus diferentes modalidades, las transacciones bancarias, la certificación de
componentes descargables de la red, las redes privadas virtuales y los portales Web en
general, son algunas de las aplicaciones de Internet que requieren mayores niveles de
seguridad para garantizar su correcto funcionamiento.
PKI, por tanto, permite autenticación de usuarios y sistemas, identificación del interlocutor
(servidor/cliente seguro), cifrado de datos digitales, firmado digital de datos (documentos,
correos, software, etc.), y aseguramiento de las comunicaciones.
[1] R. Shirey. "Internet Security Glossary", RFC 2828, IETF Network Working Group. Mayo,
2000.
[2] "Common Criteria for Information Technology Security Evaluation. Part 1: Introduction
and general model", versión 3.1. Septiembre, 2006.
[3] Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Disponible en
https://www.boe.es/buscar/doc.php?id=BOE-A-1995-25444.
[4] Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de
23 de noviembre, del Código Penal. Disponible en
https://www.boe.es/diario_boe/txt.php?id=BOE-A-2015-3439.
[5] Ley Orgánica 15/2007, de 30 de noviembre, por la que se modifica la Ley Orgánica
10/1995, de 23 de noviembre, del Código Penal en materia de seguridad vial. Disponible
en https://www.boe.es/diario_boe/txt.php?id=BOE-A-2007-20636.
[6] Ley Orgánica 15/2003, de 25 de noviembre, por la que se modifica la Ley Orgánica
10/1995, de 23 de noviembre, del Código Penal. Disponible en
https://www.boe.es/buscar/doc.php?id=BOE-A-2003-21538.
[7] Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Disponible en https://www.boe.es/buscar/doc.php?id=BOE-A-1999-23750.
[8] Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de
carácter personal. Disponible en
https://www.boe.es/boe/dias/2008/01/19/pdfs/A04103-04136.pdf.
[9] Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido
de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las
disposiciones legales vigentes sobre la materia. Disponible en
https://www.boe.es/buscar/act.php?id=BOE-A-1996-8930.
[10] Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio
electrónico. Disponible en https://www.boe.es/buscar/doc.php?id=BOE-A-2002-13758.
[11] Ley 9/2014, de 9 de mayo, General de Telecomunicaciones. Disponible en
http://www.boe.es/diario_boe/txt.php?id=BOE-A-2014-4950.
[12] Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. Disponible en
https://www.boe.es/buscar/doc.php?id=BOE-A-2003-20253.
[13] Ley 59/2003, de 19 de diciembre, de firma electrónica. Disponible en
https://www.boe.es/boe/dias/2003/12/20/pdfs/A45329-45343.pdf.