Curso online: Seguridad en los

Sistemas Informáticos

Módulo 1. Introducción a la seguridad

informática

Autores

Florina Almenares Mendoza

Patricia Arias Cabarcos

Abril de 2017
Seguridad en los sistemas informáticos
Módulo 1. Introducción a la seguridad informática Página 2
Índice de contenidos

Capítulo 1 Introducción y objetivos de la seguridad de la información 4

1.1. Objetivos de la seguridad de la información 4
1.2. Glosario de términos 6
Capítulo 2 Medidas de protección 7
2.1. Medidas de protección lógica 9
2.2. Medidas de protección físicas 10
2.3. Medidas de protección administrativas y organizativas 10
Capítulo 3 Planes de seguridad de los sistemas de información 11
Capítulo 4 Políticas de seguridad 13
4.1. Principios generales de seguridad 14
Capítulo 5 Introducción a la seguridad en redes 15
5.1. Amenazas y ataques a las redes de ordenadores 16
5.1.1. Amenazas pasivas 16
5.1.2. Amenazas activas 17
5.2. Protección de las redes de ordenadores 20
5.3. Seguridad en Internet 20
5.4. Diseño de la arquitectura de seguridad en Internet 21
Bibliografía 23

Seguridad en los sistemas informáticos

Módulo 1. Introducción a la seguridad informática Página 3
CAPÍTULO 1 INTRODUCCIÓN Y OBJETIVOS DE LA
SEGURIDAD DE LA INFORMACIÓN

En los últimos años, el gran incremento que ha experimentado el uso de Internet en las
empresas, que permiten a sus socios y proveedores acceder a sus sistemas de información; ha
provocado la necesidad de mejorar y facilitar los mecanismos de seguridad para el intercambio
de información e identidades. Por lo tanto, es fundamental saber qué recursos de la compañía
necesitan protección para así controlar el acceso al sistema y los derechos de los usuarios del
sistema de información.

Con la llegada y enorme evolución de los sistemas informáticos ha surgido la necesidad de

desarrollar herramientas automáticas para proteger los ficheros y otras informaciones
almacenadas en memoria. Estas necesidades de seguridad han conducido a la evolución de los
sistemas operativos con el objeto de proteger los recursos del sistema y dar acceso a usuarios
autorizados. Por otro lado, el desarrollo en paralelo de los sistemas distribuido y redes de
datos ha dado lugar a la aparición de nuevos riesgos de seguridad relativos a la distribución de
la información entre los sistemas informáticos y a la necesidad de reforzar o incluso adaptar al
nuevo entorno los controles de seguridad de los sistemas individuales.

En este primer tema introductorio, veremos que la seguridad en redes no se debe plantear
como una actuación aislada y puntual. Cualquier actuación en seguridad debe responder a un
planteamiento global acorde con una estrategia y definida en la Política de Seguridad de la
Organización.

Se definirán los conceptos y criterios básicos de toda política de seguridad y los tipos de
medidas a implantar. También se expondrán los aspectos generales de la seguridad en redes, y
se enunciarán las dos técnicas en que se basan todos los servicios de seguridad en redes: las
técnicas criptográficas y los sistemas de control de acceso a redes.

Por último, este tema también proporciona una aproximación general de los aspectos a
contemplar en la seguridad en redes y en Internet en particular.

1.1. Objetivos de la seguridad de la información

En una primera aproximación puede establecerse que seguridad significa protección de bienes
(llamados también activos o recursos). La seguridad de la información comprende tanto la
seguridad en el ordenador como en las comunicaciones.

Ejemplos de definiciones del concepto de seguridad, los podemos encontrar en [1]: "Medidas
tomadas para proteger un sistema. El estado de un sistema que resulta del establecimiento y

Seguridad en los sistemas informáticos

Módulo 1. Introducción a la seguridad informática Página 4
mantenimiento de estas medidas. El estado de un sistema cuando no hay accesos
desautorizados, o cambios, destrucciones o pérdidas no autorizadas."

Otra definición, es la propuesta en [2]: "La protección contra amenazas a activos...[] ...
prestando una mayor atención a las amenazas resultantes de acciones humanas maliciosas."

El objetivo de la seguridad en un ordenador es preservar los recursos de cómputo contra usos

y abusos no autorizados, así como proteger los datos de daños, revelaciones y modificaciones
accidentales o deliberadas. La seguridad en las comunicaciones tiene como objetivo proteger
los datos durante su envío por las correspondientes redes.

A continuación, presentamos los principales servicios básicos de seguridad, requeridos para

alcanzar los objetivos mencionados:

 Autenticación. Es un mecanismo que permite garantizar que un usuario que envía un

mensaje, accede al sistema, etc., es realmente quien dice ser, de esta forma, se verifica la
identidad del usuario. Por medio de la autenticación pueden evitarse ataques de
suplantación de identidad.
 Autorización. Este servicio es el encargado de controlar el acceso a los recursos
(información, comunicación, entidades físicas, etc.), permitiendo que el usuario pueda
acceder a ciertos servicios. El proceso de control de acceso determina qué, cómo y
cuándo un usuario puede utilizar los recursos.
 Integridad. Este servicio se encarga de garantizar que la información no ha sido
modificada, integridad de los datos en referencia al volumen de la información.
 Confidencialidad. Es el servicio que permite que la información no esté disponible o no
sea accesible para entidades no autorizadas, con el fin de prevenir su divulgación; esto
implica la necesidad de ocultar o mantener secreta dicha información.
 Disponibilidad. Es necesario que los recursos del sistema estén "disponibles", es decir,
listos para utilizarse, para las entidades autorizadas cuando los necesiten. El objetivo es
prevenir interrupciones no autorizadas o no controladas de los recursos informáticos.
 No repudio. Este servicio proporciona protección a un usuario frente a que otro usuario
niegue posteriormente que en realidad se realizó cierta comunicación. Por ejemplo,
garantizar que el emisor de un mensaje no podrá, posteriormente, negar haberlo enviado,
mientras que el receptor no podrá negar haberlo recibido.
 Auditoría. Se define como el estudio que comprende el análisis y gestión de sistemas para
identificar y corregir las diversas vulnerabilidades que pudieran presentarse en una
revisión exhaustiva de las estaciones de trabajo, redes, servidor, etc.

Estos servicios pueden ser proporcionados utilizando criptografía simétrica y/o asimétrica,
como veremos más en detalle a lo largo del módulo 2.

Por último, cabe destacar que no existe una prioridad universalmente aceptada para estos
servicios, es decir, cada uno podrá ser más o menos importante según la naturaleza de la
información y de la empresa u organismo que se trate. Por ejemplo, la confidencialidad puede
ser de gran importancia en el departamento de diseño industrial de una empresa (para

Seguridad en los sistemas informáticos

Módulo 1. Introducción a la seguridad informática Página 5
prevenir el espionaje industrial); mientras que la integridad puede ser la característica clave en
un sistema de transferencia de fondos; por último, la disponibilidad quizá sea la característica
más apreciada en un sistema de producción industrial o en un censo electoral.

1.2. Glosario de términos

Activos de información se definen como cualquier recurso o bien de información (valga la

redundancia) valioso para una empresa u organización. Por ejemplo, ficheros y bases de datos,
documentación del sistema, manuales de usuarios, material de formación, procedimientos
operativos o de soporte, planes de continuidad, configuración del soporte de recuperación,
información archivada, etc. Además, dentro esta categoría cabe destacar los activos vitales,
que son aquellos relacionados con la continuidad de la entidad, como pueden ser, por
ejemplo: planes estratégicos, diseño de prototipos, contratos, pólizas, etc.; y los datos
estratégicos, que son la información más sensible en este tipo de entornos y requieren de una
adecuada protección y nivel de seguridad.

IDS (Intrusion Detection System), sistema de detección de intrusos, es un proceso o dispositivo

activo que analiza la actividad del sistema y/o de la red con el fin de detectar entradas no
autorizadas y/o actividades maliciosas.

PKI (Public Key Infrastructure), infraestructura de clave pública, es todo lo necesario, tanto
hardware como software, políticas y procedimientos de seguridad que permiten gestionar la
distribución de claves públicas a través de certificados digitales y de esa forma garantizar la
ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital, el no
repudio en transacciones electrónicas.

Recursos de cómputo se refieren a los bienes materiales (por ejemplo, equipos, programas,
bienes muebles e inmuebles, infraestructura, etc.), así como los sistemas de información y
servicios de cómputo ofrecidos por una empresa u organización. Un ejemplo ilustrativo sería el
centro de cómputo, cuya función principal es apoyar la labor administrativa de una empresa u
organización para hacerla más segura, fluida y eficiente. El centro de cómputo es responsable
de custodiar y procesar la mayoría de los datos con los que opera la compañía. Prácticamente
todas las actividades de los demás departamentos se basan en la información que les
proporciona dicho centro. La toma de decisiones depende en gran medida de la capacidad de
respuesta del proceso de datos; debido a esto, es necesario dotar a este recurso tanto de un
nivel de seguridad como de un mantenimiento adecuados.

SGBD (Sistema Gestor de Bases de Datos), en inglés Database Management System (DBMS), es
una agrupación de programas que sirven para definir y construir una base de datos, además de
permitir manipular (almacenar, modificar, extraer y borrar) la información en la misma. Estos
sistemas también proporcionan métodos para mantener la integridad de los datos, para

Seguridad en los sistemas informáticos

Módulo 1. Introducción a la seguridad informática Página 6
administrar el acceso de usuarios a los mismos y para recuperar la información si el sistema se
corrompiese.

Usuario root es un usuario que posee permisos o privilegios de administrador en sistemas

operativos tipo Unix/Linux, por tanto, "root" es el nombre de la cuenta de "superusuario".
Así este usuario, puede cambiar permisos de archivos del sistema, instalar aplicaciones y/o
servicios en el sistema, etc.; por lo cual, se recomienda no usarlo para una sesión habitual, ya
que podría poner en riesgo el sistema, por ejemplo, proporcionando acceso privilegiado a cada
programa en ejecución. Por lo contrario, es recomendable su uso de forma puntual, sólo
cuando se hace necesario cambiar la configuración del sistema, instalar alguna aplicación en el
sistema (no en espacio de usuario), cambiar permisos, etc.

VPN (Virtual Private Network), red privada virtual, es una tecnología de red que permite la
extensión segura de una red de área local (LAN, Local Area Network) sobre una red pública o
no controlada como Internet. Una VPN permite que, si bien se utiliza una red pública o
compartida, los datos son transmitidos por un canal privado (por lo general, punto a punto y
cifrado) con toda la funcionalidad, seguridad y políticas de gestión de la misma. Este tipo de
redes se pueden utilizar, por ejemplo, para conectar dos o más sucursales de una compañía.

WAP (Wireless Application Protocol) es un estándar abierto internacional, OMA (Open Mobile
Alliance) para aplicaciones que utilizan las comunicaciones inalámbricas (en 2004 versión 2.0)
con el fin de acceder a información de forma instantánea, p.ej., acceso a servicios de Internet
desde un teléfono móvil. La especificación incluye el entorno de aplicación y un conjunto de
protocolos de comunicaciones para normalizar el modo en que los dispositivos inalámbricos se
utilizan para acceder a distintas aplicaciones, por ejemplo, correo electrónico.

CAPÍTULO 2 MEDIDAS DE PROTECCIÓN

Desde el punto de vista general la seguridad se centra en dos aspectos, uno técnico,
consistente en una larga lista de herramientas tanto software como hardware, y el otro
considera el factor humano, es decir el conjunto de personas encargadas de definir la política
de seguridad, implantar el sistema de seguridad, administradores y todas aquellas personas
que utilizan dicho sistema.

La seguridad es un concepto relativo, inalcanzable en plenitud, y que por cuantiosas que sean
las inversiones en ella, siempre queda un riesgo residual que es imposible eliminar.

Seguridad en los sistemas informáticos

Módulo 1. Introducción a la seguridad informática Página 7
La seguridad al 100% no se logra nunca, los controles (medidas) deben ser proporcionales a los
riesgos, la falta de protección de los recursos informáticos es muy peligrosa pero el exceso es
muy costoso. Es necesario identificar en donde podrá suceder algo, qué impacto tendrá y
cuánto costará eliminar el riesgo o disminuir la probabilidad de ocurrencia, es muy importante
sopesar los beneficios que nos reportan las medidas de seguridad con respecto a los recursos
que queremos dedicar.

Conforme los sistemas de información se han hecho más complejos, se han puesto de
manifiesto un mayor número de puntos vulnerables y una mayor facilidad para perpetrar
ataques contra ellos. Existen dos razones fundamentales para que esto suceda:

 El número de posibles atacantes y su imaginación crece rápidamente ante las

posibilidades de obtención de beneficios.
 Los medios disponibles para poder vulnerar un sistema son tan sofisticados como el
sistema mismo, puesto que tienen el mismo origen tecnológico.

Las medidas de protección se pueden clasificar en tres grandes tipos: lógicas, físicas y
administrativas, todas ellas bajo el amparo de las normativas legales, que se pueden
representar mediante el esquema de capas mostrado en la Figura 1.2.1.

Figura 1.2.1. Representación esquemática de los tipos de medidas de protección

Seguridad en los sistemas informáticos

Módulo 1. Introducción a la seguridad informática Página 8
 2.1. Medidas de protección lógica

Las medidas de protección lógica o técnicas tienen como objetivo proteger tanto el software
como los datos, y pueden implementarse en dispositivos hardware o en productos software.

A continuación, se exponen brevemente, los aspectos más destacables en los que se centran
las medidas de protección lógica:

 Criptografía: es el elemento base de los servicios básicos de seguridad: confidencialidad,

integridad, autenticación y no repudio.
En los últimos años, la criptografía ha experimentado un fuerte desarrollo, que ha
originado la aparición continua de nuevos y complejos algoritmos criptográficos.
 Sistemas operativos: un sistema operativo seguro tiene que garantizar la disponibilidad
de los recursos y la integridad de los datos, para lo cual, se deben llevar a cabo, como
mínimo, las siguientes medidas:

 Identificar y autenticar a todos los usuarios del sistema.

 Controlar el acceso a los recursos y activos de información. Para ello, es necesario
implantar protecciones más específicas que hagan inaccesible el acceso no
autorizado a la información al personal mediante cifrado de datos, redes privadas
virtuales (VPN) y detectores de Intrusos (IDS).
 Contabilizar todas las acciones realizadas por los usuarios (o procesos invocados
por ellos).
 Protección de la Información: Una vez definido el perímetro de seguridad,
debemos protegerlo contra ataques internos y modificaciones. Para ello, se
pueden llevar a cabo medidas como el despliegue de sistemas de copia de
seguridad (backup) y antivirus.
 Realizar auditorías de aquellos acontecimientos que puedan representar
amenazas a la seguridad.

 Acceso a la red: es fundamental proteger el perímetro de seguridad, definiéndolo con

algún tipo de cortafuegos (en inglés, firewall) o proxy que proporcione una barrera contra
todo el tráfico entrante.

 Bases de datos: aunque los sistemas operativos se encarguen de algunos aspectos

generales y primarios de la seguridad de las bases de datos (BD), los Sistemas Gestores de
Bases de Datos (SGBD) deben garantizar la seguridad de las propias bases de datos desde
los aspectos formales a los relacionados con la semántica de los datos contenidos en las
mismas.

 Seguridad en redes: dentro de las medidas técnicas o lógicas se suele incluir la seguridad
en redes.

Seguridad en los sistemas informáticos

Módulo 1. Introducción a la seguridad informática Página 9
 2.2. Medidas de protección físicas

El término seguridad física se usa para describir las medidas que tratan de proteger al
ordenador y a su entorno de amenazas físicas externas a los mismos.

Las medidas de protección físicas son, probablemente, las primeras que se adoptan en todas
las instalaciones informáticas. Ello es debido a dos factores: por un lado, aunque la
probabilidad de que se produzca un incendio o una inundación es mucho menor que la
probabilidad de ocurrencia de otras amenazas, ante una catástrofe de este tipo las perdidas
serán completas. Por otra parte, estas medias de protección son fáciles de adoptar, su coste no
es excesivo y su mantenimiento no ofrece dificultades especiales.

2.3. Medidas de protección administrativas y organizativas

Las medidas de protección administrativas y organizativas se ocupan de dictar controles de

índole administrativa y organizativa para instrumentar, reforzar o complementar las restantes
medidas; es decir tienen que ver con:

 El establecimiento de una política de seguridad.

 El análisis de riesgos y los planes de contingencia.
 La asignación de responsabilidades.
 La política de personal.

En lo que se refiere a la normativa legal, comprende el conjunto de disposiciones legales

adoptadas por los poderes competentes para regular y proteger, vía sanciones penales o
administrativas, la información y los sistemas y equipos que la tratan.

En España, se han promulgado bastantes leyes específicas para proteger la información, entre
las cuales podríamos mencionar las siguientes:

 Ley Orgánica 10/1995, de 23 de noviembre [3], del Código Penal (protección vía penal de
datos sensibles e introducción, del fraude informático) y sus correspondientes
modificaciones: Ley Orgánica 1/2015, de 30 de marzo [4]; Ley Orgánica 15/2007, de 30 de
noviembre [5] y Ley Orgánica 15/2003, de 25 de noviembre [6].
 La Ley Orgánica 15/1999, de 13 de diciembre, (B.O.E. de 14 diciembre de 1999) de
Protección de Datos de Carácter Personal (LOPD) (protección, vía administrativa, de datos
personales) [7].
 El Real Decreto 1720/2007 de 21 de diciembre [8], que aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999, del 13 de diciembre, de protección de datos de
carácter personal.

Seguridad en los sistemas informáticos

Módulo 1. Introducción a la seguridad informática Página 10
  La Ley de Propiedad Intelectual [9] (protección de los derechos de autor y editor del
software).
 La Ley de Facturación Telemática (que obliga a implantar mecanismos de seguridad que
aseguren la integridad y exactitud de la información transmitida por medios telemáticos).
 La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de
Comercio Electrónico [10].
 La Ley 9/2014, de 9 de mayo, General de Telecomunicaciones [11]. Esta Ley deroga la Ley
32/2003, de 3 de noviembre [12], además de modificar la Ley 34/2002 con la disposición
final segunda. La Ley 9/2014 comprende la explotación de las redes y la prestación de los
servicios de comunicaciones electrónicas y los recursos asociados, de conformidad con el
artículo 149.1.21.ª de la Constitución. Esta contiene pautas sobre el “Secreto de las
comunicaciones y protección de los datos personales y derechos y obligaciones de
carácter público vinculados con las redes y servicios de comunicaciones electrónicas”.
 La Ley 59/2003, de 19 de diciembre, de firma electrónica [13].
 El Real Decreto 1671/2009 [14], de 6 de noviembre, que desarrolla la Ley 11/2007, de 22
de junio, de acceso electrónico de los ciudadanos a los servicios públicos en el ámbito de
la Administración General del Estado y los organismos públicos vinculados o dependientes
de ésta, en lo relativo a la transmisión de datos, sedes electrónicas y punto de acceso
general, identificación y autenticación, registros electrónicos, comunicaciones y
notificaciones y documentos electrónicos y copias. Éste deroga los artículos 14 a 18 del
Real Decreto 772/1999 (derogado), de 7 de mayo, y el Real Decreto 263/1996, de 16 de
febrero [15].
 Resolución de 26 de mayo de 2003, de la Secretaría de Estado para la Administración
Pública, sobre los "Criterios de seguridad, normalización y conservación de las
aplicaciones utilizadas por la Administración General del Estado en el ejercicio de sus
potestades".
 El Real Decreto 3/2010, de 8 de enero (BOE de 29 de enero) [16], por el que se regula el
Esquema Nacional de Seguridad en el ámbito de la administración electrónica.

CAPÍTULO 3 PLANES DE SEGURIDAD DE LOS SISTEMAS DE

INFORMACIÓN

Para contar con una solución de seguridad completa, además de disponer de la última
tecnología, son necesarios otros factores, tales como la estrategia de seguridad, la gestión del
riesgo, llevar a cabo una política de seguridad actualizada, contar con una organización que
asuma la responsabilidad de la seguridad, un plan de divulgación y unas normas consistentes
para la implantación de la tecnología.

La dirección de la empresa u organización debe establecer las directrices de la política de

seguridad y adoptar el firme compromiso de su cumplimiento. Este compromiso debe estar

Seguridad en los sistemas informáticos

Módulo 1. Introducción a la seguridad informática Página 11
inmerso en la estrategia de la organización, plasmado en una política de seguridad y
desarrollado en los correspondientes programas de seguridad.

La estrategia de seguridad tiene como objetivo introducir a la dirección de la organización en la

importancia de la seguridad de la información y su imprescindible compromiso con ella.

Básicamente, se trata de fomentar un foro de discusión para generar una visión básica de la
seguridad a fin de:

 Definir y formalizar el papel de la Dirección en la seguridad, y conseguir un adecuado nivel

de conocimiento, concienciación y compromiso interno.
 Definir el modelo organizativo con el que se gestionará la seguridad (responsables de
seguridad, comités de seguimiento, etc.).
 Servir de base para el desarrollo de las actividades subsiguientes de generación de
políticas y procedimientos operativos, así como todas aquellas acciones de implantación
que deban llevarse a cabo.

En este punto, cabe resaltar que la seguridad no es un concepto aislado, sino que es un
proceso cíclico, que debe influir en la política y estructura técnica subyacente a la estrategia de
los sistemas de información. Además, la seguridad debe ser un proceso dinámico y estar en
constante revisión y actualización. En la Figura 1.3.1 se muestra un diagrama en el que se
representa conceptualmente la influencia de la seguridad en la política y estructura técnica
subyacente a la estrategia de los SI como un proceso cíclico.

Figura 1.3.1. Representación conceptual de la influencia de la seguridad

Seguridad en los sistemas informáticos

Módulo 1. Introducción a la seguridad informática Página 12
CAPÍTULO 4 POLÍTICAS DE SEGURIDAD

En esta unidad didáctica vamos a proporcionar una aproximación general a las políticas de
seguridad en los sistemas de información, proporcionando una visión global de las mismas,
puesto que en el módulo 5 ("Malware y Políticas de Seguridad") se volverá a tratar este tema
en mayor profundidad.

Una política de seguridad se puede definir como una declaración de intenciones de alto nivel
que proporciona las bases para definir y delimitar responsabilidades en las actuaciones
técnicas y organizativas que se requieran en relación con la seguridad de los sistemas de
información. La política de seguridad de los sistemas de información debe ser formalmente
acordada y documentada.

Una política de seguridad es un conjunto de principios y reglas, donde se especifica cómo se

gestionará la protección de los activos de información de una manera consistente y efectiva.

Para establecer una Política de Seguridad, es necesario especificar los requisitos de protección
de la información, los controles requeridos para protegerla y fijar las responsabilidades
relativas a su protección. Por tanto, una política de seguridad debe:

 Alinear los requisitos de seguridad de la información con las necesidades de negocio de la

empresa u organización.
 Fomentar el apoyo de la Dirección a la seguridad.
 Planificar y presupuestar la seguridad para hacerla posible y fácil de implantar.
 Establecer las responsabilidades en la gestión de la seguridad.
 Promocionar la divulgación, educación y formación en seguridad.
 Dejar patente a los usuarios la necesidad de la seguridad de la información y cómo ellos
pueden contribuir a alcanzar los objetivos de seguridad.
 Facilitar la implantación de los procedimientos y mecanismos de seguridad.

Además, una política de seguridad debe describir qué se intenta proteger y por qué; no debe
describir detalles acerca de cómo se va a proteger. De esta manera, se tendrá un documento
que todas las personas de la organización serán capaces de entender.

Por otra parte, una política de seguridad también debe establecer expectativas y
responsabilidades para todos los participantes del sistema, para permitirles saber qué esperar
los unos de los otros. La política, además, debe especificar quiénes tendrán la autoridad para
tomar las correspondientes medidas correctivas y dar indicaciones sobre la clase de sanciones
que se pueden imponer.

Seguridad en los sistemas informáticos

Módulo 1. Introducción a la seguridad informática Página 13
La propia política de seguridad debe prever su revisión, ya que las necesidades de una
organización cambian con el tiempo, y las políticas antes adecuadas pueden volverse
demasiado estrictas o demasiado laxas.

4.1. Principios generales de seguridad

A continuación, se presentan las recomendaciones y principios generales de seguridad

establecidos por dos organizaciones: OCDE (Organización de Cooperación y Desarrollo
Económico) y la ISSA (Information Systems Security Association).

En lo que respecta a la OCDE, en una recomendación de 1992 [17], propuso, los siguientes
principios fundamentales:

 Principio de contabilidad (la responsabilidad del uso de los recursos debe ser explícita y
exigible).
 Principio de concienciación (todas las partes implicadas deben ser sensibilizadas sobre las
amenazas a la información y las medidas de seguridad de la misma).
 Principio de ética (la información y los sistemas de información deben ser usados con
arreglo a los códigos de conducta ética de los profesionales de la seguridad).
 Principio de multidisciplinariedad (las medidas de seguridad deben ser multidisciplinares:
técnicas, administrativas, organizativas, etc.).
 Principio de proporcionalidad (los niveles de seguridad y sus costes deben ser apropiados
y proporcionales a los riesgos de la información).
 Principio de integración (las medidas, prácticas y procedimientos deben estar
coordinados e integrados entre sí, para constituir un todo coherente y homogéneo).
 Principio de acompasamiento (las instituciones públicas y privadas, nacionales e
internacionales deben actuar coordinadamente).
 Principio de reevaluación (la seguridad debe evaluarse periódicamente).
 Principio de democracia (la seguridad debe ser sopesada con los derechos de los usuarios
y de todos los individuos involucrados).

Además de los principios generales establecidos por la OCDE, ISSA propuso, también en 1992,
los principios reflejados a continuación:

 Principio del mínimo privilegio: Propugna que cualquier sujeto (usuario, administrador,
programa, sistema o lo que sea) debe tener sólo, y no más, los privilegios que necesita
para cumplir con las tareas que tenga asignadas.
 Principio de separación de tareas y responsabilidades: Establece que las
responsabilidades se deben separar para que los que tienen que vigilar el cumplimiento
de una norma no puedan utilizar los recursos sujetos a esa norma.
 Principio de continuidad: Para que sean efectivas, las medidas de seguridad deben
establecerse para ser aplicadas de forma continua.

Seguridad en los sistemas informáticos

Módulo 1. Introducción a la seguridad informática Página 14
  Principio de anticipación: La mayoría de las medidas de seguridad se basan en la
prevención de riesgos, disminuyendo las vulnerabilidades de los activos.

CAPÍTULO 5 INTRODUCCIÓN A LA SEGURIDAD EN REDES

Las redes de ordenadores han modificado el panorama de la informática y se han convertido

en una parte tan indispensable de la vida de muchas personas, que ahora es difícil imaginar
utilizar la informática sin ellas. Sin embargo, la implantación de redes conlleva la aparición de
nuevos problemas de seguridad derivados de que:

 Existen muchos más puntos de ataque y más posibilidades de llevarlos a cabo.

 Compartir recursos implica que cada usuario accede a la red a través de nodos diferentes,
con controles de acceso distintos y con la posibilidad de que el control de acceso realizado
por un sistema no sea suficientemente bueno para otro.

En los últimos años, han surgido nuevos retos de seguridad, a los que es necesario
enfrentarse, que provienen de:

 La existencia de nuevos usuarios internos y externos: todos ellos necesitan acceder a

información crítica de la compañía y lo hacen a través de redes públicas como Internet.
 La necesidad de interconexión de áreas departamentales: el cliente demanda
información de cada departamento y quiere tener un único interlocutor.
 La utilización del comercio electrónico: hay que asegurar las transacciones entre cliente y
proveedor y permitir que miles de usuarios entren a nuestros servidores a la búsqueda de
información.
 La multiplicidad de usuarios y dispositivos: el número de internautas se ha incrementado
exponencialmente, inicialmente con tecnologías como WAP (Wireless Application
Protocol), y actualmente con tecnologías móviles de banda ancha.
 La conectividad permanente.

La protección perfecta no existe, ningún modelo puede resolver todos los problemas de
seguridad. En relación con la seguridad en redes se pueden postular varios planteamientos:

 No hacer ningún esfuerzo en seguridad y tener la mínima, cualquiera que sea, por
ejemplo, la que proporcione el vendedor de forma preestablecida. No obstante, este
planteamiento no es un modelo a seguir.
 Suponer que un sistema es seguro sólo porque nadie sabe de él. Esta postura tampoco es
en absoluto recomendable.

Seguridad en los sistemas informáticos

Módulo 1. Introducción a la seguridad informática Página 15
  Reforzar la seguridad de cada máquina por separado. Este modelo de seguridad puede ser
apropiado para sitios pequeños o con necesidades de extrema seguridad, aunque cabe
resaltar que se trata de un mecanismo que implica mucha dedicación y restricciones.
 Seguridad para redes. A medida que crece el tamaño y la diversidad de los entornos,
resulta más complicado asegurar máquina por máquina, por lo que la tendencia actual es
hacia un modelo de seguridad para redes. Las medidas de seguridad para redes incluyen
la instalación de cortafuegos (firewalls), la utilización de estrictas medidas de
autenticación y el uso de cifrado para proteger los datos que transitan por la red.
Sin embargo, cabe destacar que la seguridad de las redes requiere un enfoque global,
distribuido y completo, dado que la sola incorporación de cortafuegos, no garantiza la
seguridad de la información.

5.1. Amenazas y ataques a las redes de ordenadores

Se entiende por amenaza una violación potencial de la seguridad de un sistema y por ataque
la materialización de una amenaza.

Atendiendo a su origen, las amenazas se pueden clasificar en involuntarias e intencionadas. La

mayor parte de los desastres no son intencionados, son accidentes o equivocaciones.

Según la arquitectura de seguridad OSI, por la forma de actuación las amenazas intencionadas
y los ataques derivados se pueden clasificar en pasivas y activas:

5.1.1. Amenazas pasivas

Las amenazas pasivas atentan contra la confidencialidad de la información, y su rasgo

distintivo es que no alteran el estado de ésta ni del sistema en su conjunto.

El prototipo de ataque de este tipo, es el producido por un sniffer, dispositivo hardware o

software que captura toda la información que atraviesa un enlace.

Los ataques pasivos son difíciles de detectar, ya que no provocan ninguna alteración de los
datos. En este tipo de amenazas, el atacante no altera la comunicación, sino que únicamente la
escucha o monitoriza, para obtener información que está siendo transmitida, por lo que son
difíciles de detectar. Sin embargo, es posible minimizar su efecto mediante el cifrado de la
información.

Sus objetivos son la intercepción de datos y el análisis de tráfico. Una técnica más sutil para
obtener información de la comunicación, que puede consistir en:

 Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los

paquetes monitorizados.

Seguridad en los sistemas informáticos

Módulo 1. Introducción a la seguridad informática Página 16
  Control del volumen de tráfico intercambiado entre las entidades monitorizadas,
obteniendo así información acerca de actividad o inactividad inusuales.
 Control de las horas habituales de intercambio de datos entre las entidades de la
comunicación, para extraer información acerca de los períodos de actividad.

5.1.2. Amenazas activas

Estos ataques implican algún tipo de modificación del flujo de datos transmitido o la creación
de un falso flujo de datos, por lo que son más fácil detectar que los pasivos. A continuación, se
exponen brevemente los distintos tipos de amenazas activas:

 La interrupción: es una amenaza a la disponibilidad de la información y consiste en

provocar la falta de continuidad de la transmisión o de un proceso. En un caso extremo,
puede consistir en la destrucción del hardware o software, o bien un corte de la línea
física de comunicación. Amenazas más elaboradas que los anteriores son la supresión de
los mensajes con un cierto destino o la saturación de un servicio mediante numerosas y
reiteradas peticiones al mismo. Una amenaza de este tipo es la que se conoce como
denegación de servicio (DoS, Denial of Service).

 La modificación: es una amenaza a la integridad de la información, que consiste en la

alteración fraudulenta de mensajes (en el caso de redes) o en general de cualquier
información, por ejemplo, cambios no autorizados en programas o datos. Un caso típico,
es la suplantación de un usuario por otro cambiando las cabeceras de los mensajes IP de
aquel, lo que se denomina IP spoofing.

 La generación: consiste en la construcción de mensajes falsos que se hacen pasar por

verdaderos. Un ejemplo es la replicación de un mensaje, consistente en la captura del
mismo para su posterior emisión tantas veces como se considere oportuno. Dentro de
este tipo se encuentra el IP hijaking, que consiste en el "secuestro" de una conexión
TCP/IP por ejemplo, durante una sesión Telnet permitiendo a un atacante inyectar
comandos o realizar un DoS durante dicha sesión.

Aunque los ataques activos son fáciles de detectar, es muy complejo evitarlos de una manera
absoluta, ya que sería necesario proteger, debidamente y en cualquier momento, todos los
recursos de la organización. Para los ataques pasivos es más importante la prevención que la
detección. Sin embargo, si no ha sido posible evitar el ataque, es fundamental su detección y la
recuperación de cualquier situación anómala que haya podido ocasionar.

Por otra parte, se entiende por amenaza programada cuando las instrucciones de un programa
se diseñaron con la intención de hacer daño.

Existen muchos y diferentes tipos de amenazas programadas. La ocurrencia de estas amenazas

ha sido descrita casi uniformemente por los medios de comunicación de masas como virus. La
mayoría de los expertos efectúan la siguiente clasificación práctica de programas maliciosos:
Seguridad en los sistemas informáticos
Módulo 1. Introducción a la seguridad informática Página 17
  Herramientas de seguridad: las cuales están diseñadas para detectar problemas de
seguridad y reportarlos a los expertos para que los corrijan. Estas herramientas también
las usan los agresores para buscar fallos de seguridad y comprometer los sistemas o las
redes.

 Puertas traseras: son fragmentos de código escritos dentro de aplicaciones o sistemas

operativos para facilitar a los programadores el acceso a programas sin tener que pasar
por los medios normales de autenticación. La puerta trasera es un código que reconoce
alguna secuencia especial de entrada, o que se dispara al ejecutarla desde un
determinado número de identificación de usuario, otorgando entonces el acceso especial.
Las puertas traseras se convierten en amenazas cuando las usan programadores
malintencionados para lograr accesos no autorizados. Estas puertas poseen un
mecanismo de acceso que puede ser una combinación de teclas, una secuencia de
acciones, un acceso (login) determinado, etc.
Un ejemplo de puerta trasera es la que presenta la BIOS de las placas AWARD. Cuando
queramos modificar sus parámetros podemos utilizar cualquiera de las siguientes
contraseñas: "condo" y "589589". Aunque el propietario del ordenador haya incorporado
su propia contraseña, las dos anteriores suponen una puerta trasera que permite entrar a
la configuración de la BIOS igualmente.

 Bombas lógicas: son amenazas que permanecen latentes por un extenso periodo hasta
que se disparan, en ese momento, ejecutan una función que no es la función propia del
programa en el cual están contenidas.
Un tipo especial de bombas lógicas son las que se usan para controlar los tiempos de
cobertura y forzar pagos u otras provisiones de contratos. Estas bombas hacen que se
detenga el programa al pasar una determinada fecha o periodo a menos que se tome una
acción especial.

 Caballos de Troya: los caballos de Troya modernos son archivos que pretenden ser
benignos pero que, de hecho, son perjudiciales. Una diferencia muy importante con
respecto a los virus es que no se replican a sí mismos. Los caballos de Troya contienen
código dañino que, cuando se activa, provoca pérdidas o incluso robo de datos. Para que
un caballo de Troya se extienda es necesario dejarlo entrar en el sistema, por ejemplo,
abriendo un archivo adjunto de correo.
Un ejemplo de caballo de Troya es PWSteal.Trojan.

 Virus: un virus es una secuencia de código que se inserta en otro código ejecutable, para
que cuando el programa regular se ejecute, el código viral también se ejecute. Los virus
no son programas independientes, no pueden ejecutarse por sí solos, necesitan que se
ejecute el programa que los hospeda para activarlos. Un virus típico pasa por las fases de
nacimiento, latencia, activación (ocultamiento, reproducción, infección y activación) y
erradicación.

 Gusanos (en inglés, worms): son programas que se pueden ejecutar independientemente
y viajar de máquina en máquina (nodo) a través de las conexiones de red; los gusanos
pueden hacer que porciones de ellos mismos se ejecuten en muchas máquinas diferentes.

Seguridad en los sistemas informáticos

Módulo 1. Introducción a la seguridad informática Página 18
 Utilizan las redes para propagarse de un sistema a otro. Una vez dentro pueden
comportarse como un virus o un caballo de Troya. Para propagarse pueden utilizar el
correo electrónico, realizar una ejecución remota o un login remoto. Un gusano pasa por
las mismas fases que un virus: latencia, propagación y activación.
Un ejemplo de gusano muy conocido fue el “I LOVE YOU”. Este programa se trataba de un
script bastante sencillo, escrito en Visual Basic Script. Además de los problemas que
causaba en la máquina infectada, como la eliminación de archivos, la red se veía afectada
por millones de correos electrónicos que sobrecargaban los servidores, produciendo así
un DoS. Otro ejemplo de gusano es Koobface [18], que atacó a la red social Facebook en
2008.

Un agresor puede insertar instrucciones dañinas en otros lugares además de en los programas
pre-compilados. Los archivos de intérprete de instrucciones awk, Perl, guiones CGI (Common
Gateway Interface), Active X, archivos PostScript. Es importante señalar que la popularidad de
los navegadores y de los servidores web propicia que los virus y los caballos de Troya puedan
desarrollarse y propagarse. Para protegerse de las amenazas programadas se pueden seguir,
entre otras, las siguientes recomendaciones:

 Verificar regularmente la integridad de los archivos importantes.

 Revisar los programas nuevos, especialmente los de fuentes desconocidas, y ante
cualquier sospecha no deben usarse. Si es posible, primero instalarlos en algún sistema
para pruebas, para aislar problemas e identificar incompatibilidades.
 Aceptar solamente programas de fuentes confiables.
 No confiar automáticamente en los programas de firmas o grupos comerciales. Algunas
firmas comerciales insertan puertas traseras en su código para permitir mantenimiento o
recuperar contraseñas perdidas.
 Pedir garantías y responsabilidades por escrito del código que se compra e instala.
 Hacer regularmente backup’s.
 No ejecutar programas como usuario root excepto cuando sea totalmente
imprescindible.
 Tener instalado y actualizado un programa antivirus.

Cabe destacar que, en algunos casos, estos segmentos de programas se usan para actuaciones
lícitas. Por ejemplo, los gusanos pueden usarse para hacer cálculos distribuidos en
procesadores ociosos; las puertas traseras son útiles para depurar programas, las bombas
lógicas se usan para controlar los tiempos de cobertura de licencias de uso y los virus pueden
escribirse para actualizar código fuente y parches para errores. El propósito, no el enfoque, es
lo que hace que una amenaza programada sea peligrosa.

Seguridad en los sistemas informáticos

Módulo 1. Introducción a la seguridad informática Página 19
 5.2. Protección de las redes de ordenadores

A partir del análisis de las amenazas, las pérdidas que podrían ocasionar y su probabilidad de
ocurrencia, se debe diseñar una política de seguridad que defina responsabilidades y reglas
para evitar las amenazas o minimizar sus efectos. A los mecanismos utilizados para realizarlo
se les denomina mecanismos de seguridad, los cuales, se pueden dividir en tres grandes
grupos, que exponemos brevemente a continuación:

 Prevención: son los mecanismos que aumentan la seguridad del sistema durante su
funcionamiento normal, previniendo la ocurrencia de violaciones de seguridad. Un
ejemplo de este tipo de mecanismo, es el uso de cifrado en las transmisiones de datos.
 Detección: son los mecanismos que se utilizan para detectar violaciones de seguridad o
intentos de violación. Por ejemplo, los programas de auditoría de seguridad que permiten
detectar agujeros de seguridad.
 Recuperación: estos mecanismos se aplican cuando se detecta una violación del sistema,
con el objetivo de volver a su funcionamiento correcto. Un ejemplo típico de estos
mecanismos es la utilización de copias de seguridad.

5.3. Seguridad en Internet

Los protocolos de Internet fueron diseñados para que fueran simples y sencillos. El poco
esfuerzo necesario para su desarrollo y verificación hizo posible su implantación generalizada,
pero tanto las aplicaciones como los niveles de transporte carecían de mecanismos de
seguridad.

El uso creciente de Internet para actividades que van más allá de la comunicación personal y el
entretenimiento ha generado una creciente demanda de seguridad en la red. El comercio
electrónico en sus diferentes modalidades, las transacciones bancarias, la certificación de
componentes descargables de la red, las redes privadas virtuales y los portales Web en
general, son algunas de las aplicaciones de Internet que requieren mayores niveles de
seguridad para garantizar su correcto funcionamiento.

En la actualidad, los sistemas de seguridad en transacciones a través de redes están basados

en el uso de infraestructuras de clave pública conocidas como PKI (Public Key Infrastructure)
[19], que se basan en el uso de certificados digitales para asociar la identidad de un usuario
con su clave pública. Además, se puede confiar en la identidad de los usuarios, ya que los
certificados son emitidos por una entidad de confianza que avala sus datos. El propósito de PKI
es permitir a los usuarios autenticarse frente a otros usuarios y usar la información de los
certificados de identidad (por ejemplo, las claves públicas de otros usuarios) para cifrar y
descifrar mensajes.

PKI, por tanto, permite autenticación de usuarios y sistemas, identificación del interlocutor
(servidor/cliente seguro), cifrado de datos digitales, firmado digital de datos (documentos,
correos, software, etc.), y aseguramiento de las comunicaciones.

Seguridad en los sistemas informáticos

Módulo 1. Introducción a la seguridad informática Página 20
Los conceptos relativos a criptografía simétrica/asimétrica, certificados y firmas digitales, etc.,
se abordarán en mayor profundidad a lo largo del siguiente módulo, módulo 2.

5.4. Diseño de la arquitectura de seguridad en Internet

Para garantizar la seguridad en redes se pueden distinguir dos tipos de medidas

complementarias, encaminadas a conseguir:

 Protección de los accesos. en este tipo de medidas es típica la instalación de un

cortafuego a fin de restringir el acceso a una parte protegida de una red. Los cortafuegos
son mecanismos que permiten filtrar los accesos, en función de diferentes criterios o
parámetros, determinando quién puede o no acceder de dentro a fuera de la red y
viceversa. Estas técnicas consisten en una combinación de filtrado de paquetes y filtrado a
nivel de aplicación. En el primer caso, se determina qué paquetes pueden salir y/o entrar
en la red, mientras que en el filtrado a nivel de aplicación se controlan parámetros
específicos para cada conexión (p.ej. momento de llamada, número de sesiones, tipo de
servicios requeridos, etc.).

 Aplicaciones seguras extremo a extremo. si pensamos por ejemplo en correo electrónico

consistiría en construir un mensaje en el cual el contenido ha sido asegurado mediante un
procedimiento de encapsulado, cifrado, previo al envío, de forma que este mensaje
puede atravesar sistemas heterogéneos y poco fiables sin por ello, perder la validez de los
servicios de seguridad provistos.

En el diseño de la arquitectura de seguridad en Internet se debe realizar una selección de los

mecanismos y controles necesarios para conseguir el nivel de seguridad establecido en el
análisis de riesgos. A continuación, presentamos brevemente los mecanismos principales:

 Sistemas operativos seguros: instalación de sistemas operativos compatibles, pero

específicamente diseñados para impedir y contener posibles ataques de seguridad, que
integren, en ellos, las aplicaciones: web, mail, etc.

 Sistemas de seguridad perimetral: implantación de cortafuegos para la seguridad

perimetral, que incluyan:
 Sistemas de proxy Web: configuración de un servidor con sistema operativo
virtual como interlocutor/proxy entre servidores y clientes de Internet, que
contemple mecanismos de Single-Sign-On (SSO) para llevar a cabo los procesos de
autenticación, control de acceso y autorización con contraseña única.

 Redes Privadas Virtuales (VPN): implantación de protocolos y sistemas que gestionen

adecuadamente los aspectos de confidencialidad e integridad de la información
transferida y garanticen la autenticación y autorización de los usuarios.

Seguridad en los sistemas informáticos

Módulo 1. Introducción a la seguridad informática Página 21
  Sistemas de antivirus corporativos: implantación de sistemas antivirus corporativos, que
incluyan el control del perímetro, los puestos de trabajo, el correo electrónico y los
sistemas de ficheros.

 Infraestructura de clave pública (PKI): implantación de la infraestructura de clave pública,

para la gestión de certificados digitales, y definición de la política de certificación.

Seguridad en los sistemas informáticos

Módulo 1. Introducción a la seguridad informática Página 22
BIBLIOGRAFÍA

[1] R. Shirey. "Internet Security Glossary", RFC 2828, IETF Network Working Group. Mayo,
2000.
[2] "Common Criteria for Information Technology Security Evaluation. Part 1: Introduction
and general model", versión 3.1. Septiembre, 2006.
[3] Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Disponible en
https://www.boe.es/buscar/doc.php?id=BOE-A-1995-25444.
[4] Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de
23 de noviembre, del Código Penal. Disponible en
https://www.boe.es/diario_boe/txt.php?id=BOE-A-2015-3439.
[5] Ley Orgánica 15/2007, de 30 de noviembre, por la que se modifica la Ley Orgánica
10/1995, de 23 de noviembre, del Código Penal en materia de seguridad vial. Disponible
en https://www.boe.es/diario_boe/txt.php?id=BOE-A-2007-20636.
[6] Ley Orgánica 15/2003, de 25 de noviembre, por la que se modifica la Ley Orgánica
10/1995, de 23 de noviembre, del Código Penal. Disponible en
https://www.boe.es/buscar/doc.php?id=BOE-A-2003-21538.
[7] Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Disponible en https://www.boe.es/buscar/doc.php?id=BOE-A-1999-23750.
[8] Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de
carácter personal. Disponible en
https://www.boe.es/boe/dias/2008/01/19/pdfs/A04103-04136.pdf.
[9] Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido
de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las
disposiciones legales vigentes sobre la materia. Disponible en
https://www.boe.es/buscar/act.php?id=BOE-A-1996-8930.
[10] Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio
electrónico. Disponible en https://www.boe.es/buscar/doc.php?id=BOE-A-2002-13758.
[11] Ley 9/2014, de 9 de mayo, General de Telecomunicaciones. Disponible en
http://www.boe.es/diario_boe/txt.php?id=BOE-A-2014-4950.
[12] Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. Disponible en
https://www.boe.es/buscar/doc.php?id=BOE-A-2003-20253.
[13] Ley 59/2003, de 19 de diciembre, de firma electrónica. Disponible en
https://www.boe.es/boe/dias/2003/12/20/pdfs/A45329-45343.pdf.

Seguridad en los sistemas informáticos

Módulo 1. Introducción a la seguridad informática Página 23
[14] Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley
11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos.
Disponible en http://www.boe.es/boe/dias/2009/11/18/pdfs/BOE-A-2009-18358.pdf
[15] Real Decreto 263/1996, de 16 de febrero, por el que se regula la utilización de técnicas
electrónicas, informáticas y telemáticas por la Administración General del Estado.
Disponible en http://www.boe.es/boe/dias/1996/02/29/pdfs/A07942-07946.pdf.
[16] Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad en el ámbito de la Administración Electrónica. Disponible en
https://www.boe.es/buscar/doc.php?id=BOE-A-2010-1330
[17] Organization for Economic Cooperation and Development (OECD), "Guidelines for the
Security of Information Systems", 1992.
[18] "Koobface virus hits Facebook". Diciembre, 2008. Disponible en
http://news.cnet.com/koobface-virus-hits-facebook/.
[19] D. Cooper, S. Santesson, S. Farrell, S. Boeyen, R. Housley, W. Polk. Internet X.509 Public
Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. RFC 5280.
Mayo, 2008.

Seguridad en los sistemas informáticos

Módulo 1. Introducción a la seguridad informática Página 24