Seguridad de La Informacion - Aceituno Canal

0
AUDIENCIA.
Este libro está dirigido a todos aquellos que están preocupados, o simplemente
quieren saber más acerca de la seguridad en sistemas de información. A todos los
que han sido estafados, robados o crackeados. A todos los que usan de contraseña
el nombre de su novia, a los que ponen en un post-it su número de cuenta, a los
que quieren preservar su intimidad, a los domingueros inventores de algoritmos de
cifrado, a los que consiguieron presupuesto para un cortafuego y a todos los hacker
(no confundirlos con los cracker).
1

INTRODUCCIÓN Y ESTRUCTURA.
Hay varios aspectos de la seguridad, siendo la seguridad en sistemas de
información una de las más estudiadas y que está más de moda. Este libro habla
de cómo conseguir y mantener la seguridad en el contexto de una organización,
centrándonos, sin limitarnos a ellos, en los sistemas de información.
Las preguntas que todos los profesionales de la seguridad se hacen son:

• ¿Cómo de segura es mi organización?
• ¿Estoy invirtiendo en las mejores medidas?
• ¿Cómo puedo mantener o mejorar el nivel actual de seguridad?
Intentaremos dar un marco conceptual que ayude a responder estas preguntas, y

ayude a tomar las decisiones y planes de acción a que llevarán las respuestas.
Si viviéramos en un “mundo feliz” como el de la película Pleasantville, el concepto

de seguridad no tendría sentido, porque todo sería siempre como debe ser, la
realidad coincidiría siempre con nuestros ideales y nuestras expectativas se
cumplirían siempre. Sin embargo cuando se pone una idea en la práctica, cuando
se enfrenta con la realidad, es cuando las expectativas se ven rotas, como puede
ser cuando hay overbooking, no viene el fontanero, el coche no funciona.., en ese
mundo ideal muchas cosas no pasarían nunca, como tostadas cayendo por el lado
de la mantequilla. Pero el mundo, nuestro entorno, no es ideal, es la fuente de la
mayor parte de nuestras frustraciones, y el motivo es bien simple: no está bajo
nuestro control. Y no sólo nos defrauda el entorno; nosotros también cometemos
errores como
• dejamos las llaves dentro de casa, o bien

• equivocarnos acerca del día en que es una reunión.
Como dijo Yogi Berra. "en teoría no hay diferencia entre teoría y práctica. En la
práctica, si la hay".
En la NASA existe la teoría de que “los accidentes son normales” en sistemas

complejos y muy acoplados, como puede ser cualquiera de las sondas que
lanzan al espacio. Un sistema complejo tiene muchas partes y funciones, cuyas
interacciones son muy difíciles de comprender. Un sistema fuertemente acoplado
tiene requerimientos de tiempo y secuencia estrictos, que tienen un conjunto
reducido de posibilidades de éxito. Una organización puede considerarse, sin duda,
como un sistema complejo y fuertemente acoplado.
2

Aunque podamos considerar que tener algún accidente es inevitable, que sea
“normal”, no debe hacer que nos resignemos. Se puede hacer mucho para prever y
evitar accidentes, errores y ataques. Aunque la seguridad total no sea posible
debemos conseguir la mayor posible con los medios de que disponemos.
Pero si queremos alcanzar un grado de seguridad lo más parecido posible a una
seguridad total, no tiene sentido dar soluciones parciales. Si tenemos unas medidas
de seguridad excelentes en nuestros sistemas de información, pero
• personas incompetentes tienen derechos excesivos sobre el sistema, o
• cualquiera puede robar un ordenador en el que hay información importante,
el resultado es tan malo como no hacer nada. En otras palabras, desde el punto de
vista de la seguridad somos tan fuertes como nuestro eslabón más débil.
Todos sabemos lo que es la seguridad, al menos de forma intuitiva. Como siempre

que algo es suficientemente complejo, existen casi tantas definiciones como
definidores. Por ejemplo, ¿se atrevería a definir “hombre”?.
La definición más extendida de seguridad es el siguiente mantra:

• Confidencialidad, que consiste en dar acceso a la información sólo a los
usuarios autorizados.
• Control de Accesos, que consiste en controlar el acceso a recursos de
usuarios autorizados.
• Disponibilidad, que consiste en la posibilidad de acceder a información o
utilizar un servicio siempre que lo necesitemos.
• No repudio, que consiste en la imposibilidad de negar la autoría de un
mensaje o información del que alguien es autor.
• Integridad, que consiste en garantizar que una información o mensaje no
han sido manipulados.
Existe una diversidad de opiniones notable respecto del número y definición precisa
de estas cinco características. Esta lista, independiente del contexto, a veces se ve
reducida a tres puntos, pero raramente se amplía a más de cinco. Con frecuencia
se confunde confidencialidad de la información con el secreto de esta.
Pues bien, examinemos los siguientes contextos:
• Imaginemos que no pudiéramos acceder a la información ofrecida en

www.cnn.com, debido a que está cifrada. Sería absurdo, www.cnn.com es
un recurso público que no necesita confidencialidad.
• Imaginemos ahora que tuviéramos que enseñar nuestra identificación
para entrar en una panadería. Insensato. La panadería de la esquina no
necesita control de accesos físico.
3

• Imaginemos que perdemos una carta de amor que recibimos hace años
de una persona a la que actualmente odiamos. La disponibilidad de la
carta puede muy bien resultarnos indiferente.
• Supongamos que recibimos recibos de nuestro Banco. ¿Es realista
pensar que negaran haberlos enviados? Los recibos normalmente no
necesitan "no repudio".
• Enviamos un télex en que se lee al recibir “pr favor vender acci nes
Telfonica". La falta de integridad nos preocupa muy poco, pero sí que
llegue el mensaje.
Como vemos en estos ejemplos, hay contextos en que el mantra no es

aplicable. No sólo eso, sino que puede llegar a ser contraproducente, dado que
si buscamos ciegamente esas características, posiblemente estaremos
comprometiendo las necesidades reales de nuestra organización, y pocas veces
invertiremos en las mejores medidas de seguridad.
¿Qué hay de incorrecto en buscar la confidencialidad, control de accesos, no

repudio, disponibilidad e integridad? Simplemente que no siempre estos
requerimientos coinciden con nuestras expectativas.
Una expectativa es la esperanza de cumplimiento futuro y continuado de una

serie de características o funciones de algo.
Tenemos expectativas respecto del comportamiento ético de los miembros de
nuestra organización, pero también los accionistas, reguladores, clientes,
proveedores y asociados tienen sus propias expectativas respecto de nuestra
organización.
La definición más extendida de seguridad es una definición sin contexto, que no es

aplicable a la información pública ni a las comunicaciones amistosas.
• Asume la protección contra ataques maliciosos, pero
• no considera otros problemas de seguridad como
o los errores,
o la protección de la propiedad intelectual,
o la protección legal y contra fraudes,
o el robo, y
o la persistencia incontrolada de información.
El mantra puede ser a veces un buen resumen de nuestras expectativas, pero no

debe ser nuestro objetivo, dado que habrá contextos en que nuestras expectativas
serán inferiores o superiores. Gene Kranz en su libro “failure is not an option”
describe un entorno, la misión Apollo a la luna, en el que las expectativas eran
extraordinariamente altas.
4

En el otro extremo es curioso que el correo electrónico, a pesar de no estar
normalmente cifrado, sea considerado por los usuarios como un medio seguro de
transmitir información. Su seguridad no está derivada de que el secreto de lo que
comunicamos esté garantizado, sino de que cumple continuamente nuestras
expectativas de que nuestro mensaje, que no suele ser un secreto de estado,
llegue a su destinatario, rápida y cómodamente.
Podemos considerar el siguiente caso de una organización cualquiera:
• No necesita confidencialidad: necesita confidencialidad de los secretos.

• No necesita control de accesos, necesita control de accesos a nuestros
activos importantes.
• No necesita disponibilidad, necesita disponibilidad de nuestros
sistemas críticos.
• No necesita no repudio, necesita no repudio de acuerdos contractuales
y transacciones comerciales.
• No necesita integridad de datos, necesita integridad de la información.
Si en esta organización invertimos ciegamente en confidencialidad, control de

accesos, disponibilidad, no repudio e integridad probablemente implantaremos
medidas más caras de lo necesario y que dificultan innecesariamente el trabajo.
Veamos otro caso, el de un usuario particular que se conecta a Internet.
• Necesita confidencialidad de sus contraseñas.

• Necesita la disponibilidad que le proporciona un PC doméstico.
• Sólo necesita no repudio cuando contrata algo por Internet, o cuando
presenta su declaración de Hacienda.
• En integridad de datos, le basta con tener al menos una copia de los
archivos en que ha trabajado la última semana.
¿Podemos decir si este usuario está seguro? Probablemente sí, a condición de que
sus contraseñas no sean cacheadas ni espiadas, ni las tenga anotadas, y haga
copia de respaldo en un disquete de los archivos con que ha trabajado
recientemente, en otras palabras, de que tome medidas que ayuden a que sus
expectativas se cumplan.
Definir la seguridad en función del contexto, o sea en función de nuestras

expectativas, permite eliminar la necesidad de considerar excepciones a principios
y normas de estándares de seguridad actuales. Si el listado de teléfonos debe ser
publicó, y por tanto no se cifra, no es una excepción a la norma de hacer
confidencial la información, sino la conclusión natural de nuestras expectativas
respecto de esa información.
5

Las expectativas son
• cualitativas e
• informales.
Para expresar formalmente una expectativa se usan requerimientos, que definen

los umbrales de satisfacción de las características del objeto o servicio tratado. De
este modo. La expectativa de la organización de tener confidencialidad de los
secretos podría traducirse en el requerimiento de que los secretos se mantengan
por al menos dos años, y que puedan resistir criptoanálisis disponible
comercialmente. Tanto las expectativas como los requerimientos cambian con el
tiempo.
Existe una relación estrecha entre seguridad y calidad.
Cuando nuestras expectativas se cumplen, consideramos que hay calidad, como

sucede cuando compramos un producto
• por un precio que nos parece razonable,
• hace lo que queremos, y
• no se estropea dentro de un plazo razonable de tiempo.
Si una organización es capaz de ofrecer la misma calidad una y otra vez a pesar de
un ataque terrorista, cambios en la materia prima, o problemas de distribución,
podríamos decir que es una organización segura. En otras palabras,
• la calidad es hacer bien las cosas, poniendo los medios para ello, y
• la seguridad es hacer siempre las cosas con la calidad que acostumbramos.
La medida en que se cumplen las expectativas mide la calidad, la frecuencia

con que se cumplen, mediría la seguridad.
• Una organización que produce con calidad “Hace las cosas bien”,
• una organización que produce con seguridad y calidad “Hace las cosas
siempre bien”.
Los fraudes telefónicos en que alguien pone una línea a nombre de otra persona, y
usándola de locutorio ilegal gasta varios miles de euros, que la compañía reclama
luego a la inocente víctima, ¿pueden considerarse entonces como un problema de
seguridad, o de calidad?
6

Si utilizamos la falsabilidad de Popper. La calidad es falseable, esto es,
encontrando un caso negativo podríamos demostrar que la calidad no se ha
alcanzado, pero este no es el caso de la seguridad. Si realizamos una serie de
pruebas en un momento dado, eso no nos garantiza que vuelvan a tener éxito
dentro de un tiempo. Lo más que se puede decir de la seguridad en ausencia de
ataques, errores o accidentes conocidos es “ha habido seguridad hasta ahora”.
Se considera una organización como segura si se cumplen continuamente

• las expectativas de la organización ante sus activos, así como
• las expectativas de los actores externos ante la organización, como pueden
ser sus clientes o accionistas.
Por consiguiente para determinar si una organización es segura o no, deben
conocerse cuales son estas expectativas, de modo que se pueda evaluar
• si estas expectativas se cumplen, y
• si se cumplen continuamente o no.
Muchas organizaciones tienen la expectativa

• de ser rentables,
• de que sus sistemas de información estén siempre disponibles,
• de que los miembros de su organización no tengan accidentes en el trabajo.
Las expectativas están normalmente fundadas en

• que lo que controlamos
o continúe bajo nuestro control y
o se comporte como esperamos, y
• el tener libertad en obtener y deshacernos de activos y recursos.
La calidad y seguridad de sus procesos y productos son ventajas competitivas

que conllevan mejoras
• en la imagen de cualquier organización, y
• en la satisfacción de sus clientes y accionistas.
Se obtiene calidad cuando un cliente ve sus expectativas cumplidas o superadas.

Mientras que la seguridad se obtiene cuando, existiendo medios en la
organización para ofrecer esta calidad, esta se ofrece a pesar de todas las
amenazas que existen tanto dentro de la organización como fuera de ella.
7

Una compañía que fabrica yogures está ofreciendo calidad cuando el cliente
está satisfecho por el precio que paga, y ofrece seguridad cuando a pesar
de inundaciones, hurtos en la organización, sabotajes, espionaje, o fallos en
la maquinaria, el yogur sigue llegando al cliente con la calidad de siempre.
Para hacer más probable que se cumplan nuestras expectativas, y por consiguiente
tener mayor seguridad, debemos poner medidas lo más económicas posible, y
que no perjudiquen la misión de la organización. Estas medidas idealmente
deben
• contrarrestar las amenazas previsibles, y
• al menos neutralizar las amenazas imprevisibles.
No se debe confundir seguridad con medidas de seguridad.
Un candado no es seguridad. Sino que como resultado de usar un candado

mejoramos la seguridad. Debido a que aumentamos la probabilidad de que se
cumpla nuestra expectativa de que nuestra bicicleta siga estando ahí cuando
volvamos. ¿Dónde está más segura nuestra bicicleta, en nuestro pueblo de cien
habitantes, sin candado, o en el centro de una gran ciudad con él? La
probabilidad de que la bicicleta siga ahí cuando volvamos seguramente sea
mayor en el pueblo, y por consiguiente, a pesar de tener menores medidas de
seguridad, está más segura.
El mantenimiento de la seguridad, y por ende, de las medidas de seguridad,

es un trabajo que no termina nunca, debido fundamentalmente, a que tanto
• nuestras expectativas, como
• nuestros activos, como
• las amenazas
cambian continuamente.
La seguridad es un objetivo a mantener a largo plazo.
De niño te dicen cosas como "si te limpies los dientes, tendrás los dientes
sanos." Con esto no se refieren a que te limpies los dientes una vez, sino a que
hagas de ello una costumbre. De igual modo existe una larga serie de
prácticas de seguridad que cualquier organización puede aplicar, y que debe
elegir dependiendo de sus expectativas y sus medios.
La confianza resultante del cumplimiento continuo de nuestras expectativas

es probablemente la consecuencia más deseable de la seguridad. Cuando
trabajamos para conseguir que nuestra organización sea segura,
• aumentamos la confianza de todos los implicados, y
• hacemos más sencillo y económico hacer todo tipo de planes de futuro.
8

Existen docenas de estándares y metodologías para seguridad en sistemas de
información, entre ellos:
• ISO 17799, basado en el BS 7799 del British Standards Institute.

• ISO/IEC TR 13335-4, del ISO/IEC Joint Technical Committee 1 (UNE
71501).
• La RFC2196, del Internet Engineering Task force.
• Cobit, de la ISACA.
• GAO/AIMD-12.19.6, del federal Information Systems Audit Manual.
• GAASP, de la International Information Security foundation.
• 800-14, del National Institute of Standards and Technology.
• Common Criteria, del National Institute of Standards and Technology
(ISO 15408).
• El Standard of Good Practice for Information Security, del ISF.
• SysTrust, de la AICPA.
• El estándar alemán BSI.
• OCTAVE, del Software Engineering Institute.
• CSEAT Review Criteria.
• OSSTMM del ISECOM.
¿Por qué, a pesar de la existencia de todo este conocimiento, el campo de la

seguridad sigue siendo tan inmaduro y es tan mal comprendido?. Hay
principalmente tres razones:
• Unos estándares desarrollan una teoría sobre lo seguridad, y dejan abierto el

problema de cómo llevar esa teoría a la práctica,
• otros consisten en una larga lista de deberes a cubrir, sin una base teórica
que permita sistematizar y comprender lo que se está haciendo, y
• por último se toma confidencialidad, disponibilidad e integridad como bases
de la seguridad, sin tener en cuenta el contexto.
Muchos de estos estándares parecen asumir que el mismo estilo de gestión de

seguridad es necesario en el trabajo de una ONG en Burundi y en el
ayuntamiento de Helsinki. Si tenemos en cuenta que en el contexto de Burundi
posiblemente no hay crackers, mientras que en el contexto de Helsinki no hay
armas de fuego, vemos lo absurdo de suponer que la gestión de la seguridad es
independiente del contexto.
La aproximación tradicional de prevención-detección-respuesta no aporta suficiente

detalle acerca de las prácticas necesarias para cumplir con los objetivos de
seguridad. Los motivos son varios.
9

• Por un lado la prevención se suele basar en un conjunto ciego de amenazas,
sin tener en cuenta previamente cuales son las expectativas que se
protegen, y sin valorar que expectativas son más importantes que otras.
Cuando esto sucede, los profesionales de la seguridad dedican sus
esfuerzos a las amenazas más populares, y a las medidas de seguridad más
atractivas, como los cortafuegos.
• Por otro lado, la detección y respuesta a incidentes se centra muchas veces
más en contrarrestar el hipotético ataque que en hacer que el impacto sea
nulo, lo que en muchos casos es preferible.
Se puede reconocer una regla o principio de seguridad de estos estándares como

inútil cuando contiene las palabras:
• estrategia,
• arquitectura o
• seguridad,
no siendo mucho mejores las listas más o menos planas con cientos de puntos de
comprobación.
Los principios de un estándar o una metodología prácticos deben ser

• lo suficientemente específicos como para ser aplicables en la realidad,
• lo suficientemente sencillos como para ser comprendidos de modo que
o se extraigan conclusiones y
o nos ayuden a hacer planes y tomar decisiones, y por último,
• el resultado o valor que aportan a la organización debe ser comprobable.
Desarrollar una teoría de seguridad despegando los pies del suelo y sin reflexionar
en cómo llevarla a la práctica es hacer filosofía, y la seguridad es muy filosofable,
pero es un conocimiento inútil en un ámbito teórico.
Dijo Ramon llull:
“Si per entendre no s seguis nul la res.

no fóra bonea de entenent e entés,
e bé en ignorància fóra més.”
Si de la comprensión de algo no se sigue ninguna regla o principio, es un

saber inútil. Intentemos comprender como conseguir y mantener la seguridad, de
modo que podamos aplicar este conocimiento en la realidad.
10

Iremos exponiendo docenas de definiciones, que son útiles para saber sobre que
estamos hablando y para aclarar un concepto que todos tenemos intuitivamente. El
valor principal de las definiciones es mejorar nuestra comprensión de la seguridad,
y extraer conclusiones prácticas de lo que aprendemos.
De todo esto hablaremos en los siguientes capítulos. Cuáles son nuestras expectativas (Capitulo
1), qué puede impedir que se cumplan (Capitulo 2), y que medidas podemos poner para ayudar a
que se cumplan (Capitulo 3). El Capítulo 4 propone un modelo para conocer el estado del
mantenimiento de seguridad en una organización, y poder planear mejoras sobre este. El nivel de
detalle alcanzado debería ser suficiente para una comprensión correcta de cada aspecto sin
necesidad de ser un especialista, y para despertar la curiosidad del lector, que puede profundizar
sus conocimientos con ayuda del anexo “Para saber más”.
Como se puede apreciar en esta introducción se utiliza la palabra organización para referimos
tanto a cualquier empresa como organizaciones sin anima de lucro y las distintas administraciones.
11

12

Las expectativas de una organización son básicamente cinco:
• Cumplimiento de la misión de la organización.
• En caso de negocios, su rentabilidad.
• Continuidad de la organización.
• Cumplimiento de sus compromisos.
• Cumplimiento de regulaciones.
Algunas organizaciones tienen más expectativas, otras, menos. En algunos casos

el cumplimiento de la misión de la organización impondrá difíciles requerimientos
en los sistemas de información, no tanto en otros.
Siempre que se realiza una clasificación existe una tensión en cuanto al número de
categorías. Cuando utilizamos un número pequeño de categorías,
• son fáciles de gestionar y comprender y
• la clasificación supone un proceso sencillo, pero
• podemos extraer conclusiones relativamente pobres de la clasificación.
Si por el contrario usamos demasiadas categorías, con una clasificación más
flexible y granular, si bien
• extraemos conclusiones precisas de la clasificación,
• hacemos está difícil, llegando en algunos casos a tener dudas acerca de la
correcta clasificación de un elemento.
Un ejemplo de clasificación de las expectativas de una organización respecto

de
• sus activos y
• sus sistemas de información
es el siguiente:
Clasificación de las Expectativas de una Organización.
• Continuidad de los activos. • Partición de responsabilidades.
• Confidencialidad de los secretos. • Rentabilidad y Eficiencia.
• Control de accesos. • Rendimiento.
• Evidencia. • Disponibilidad.
• Fiabilidad. • Durabilidad.
• Integridad. • Escalabilidad.
• Protección contra el fraude. • Gestionabilidad.
• Protección de derechos de autor. • Usabilidad.
• Protección jurídica. • Protección de bienes.
13

• Continuidad de los activos. Esperamos que
- la organización, nuestros
- activos y
- servicios
existan siempre, y no sean destruidos o dejen de estar disponibles.
Aquellos activos ante los que tenemos mayores expectativas
son los activos críticos.
• Confidencialidad de los secretos. Esperamos que nuestros secretos

permanezcan así, tanto
- cuando los guardamos como
- cuando los transmitimos a alguien en quien confiamos.
No esperamos confidencialidad de lo que no es secreto.
• Control de accesos. Esperamos que sólo los actores autorizados puedan

utilizar un servicio o acceder a una información que merezca esta protección,
sean actores internos o externos a lo organización. Esperamos poder
identificar a estos actores. Dentro de lo posible, y de las regulaciones
existentes al respecto, la identificación del actor no debe violar su privacidad.
Un actor no debe poder ceder su autorización o credencial a otro.
• Evidencia. Esperamos que exista evidencia

- de cuándo y quien usa
§ un servicio y
§ envía o recibe activos,
para aquellos servicios que lo merezcan.
Habitualmente serán los que tengan consecuencias graves e
irreversibles, como puede ser la gestión de las medidas de seguridad o de
carácter económico.
Esperamos también poder demostrar la autoría ajena sobre algo, y nuestra
propia autoría en su caso.
• Fiabilidad. Esperamos que nuestros servicios se ofrezcan
- sin fallos ni bajadas inaceptables de rendimiento,
- obteniendo los resultados deseados dentro del plazo esperado.
Podemos medir la fiabilidad de un sistema de información como el
porcentaje del tiempo de disponibilidad durante el cual un servicio debe
trabajar sin fallos ni descensos inaceptables de rendimiento.
La mayor parte de los sistemas de información requieren una alta fiabilidad,
sea cual sea su disponibilidad.
14

• Integridad. Esperamos poder comprobar que la información suficientemente
importante sea
- correcta,
- completa y
- relevante al contexto.
• Protección contra el fraude. Esperamos poder impedir que un actor
interno o externo se aproveche de los procesos y activos de la
organización.
• Protección de derechos de autor (en algunos casos, propios, en otros
ajenos). Posibilidad de
- demostrar la autoría propia de la información,
- evitar
§ el uso no autorizado de productos de los que somos autores, y
§ la violación de derechos de autor por parte de miembros de la
organización.
• Protección jurídica. Esperamos cumplir y poder demostrar nuestro
cumplimiento de regulaciones y contratos, y si la otra parte los cumple o
no.
• Partición de responsabilidades. Esperamos
- que todas las responsabilidades de la organización sean cumplidas
por alguien en todo momento,
- que nadie ejerza responsabilidades que no le corresponden, y
- que nadie tenga una responsabilidad por encima de su
competencia.
• Rentabilidad y Eficiencia. Esperamos que nuestra inversión en activos
sirva a la misión de la organización,
- sea mejorando o manteniendo su
§ rentabilidad,
§ calidad o
§ seguridad,
- y que el uso de recursos sea racional.
• Rendimiento. Esperamos que los servicios superen determinados
umbrales de trabajo en términos significativos para la organización. Por
ejemplo, esperamos que el proceso de facturación dure menos de un mes.
• Disponibilidad. Esperamos poder controlar cuando los activos y
servicios están disponibles,
- estándolo cuando sean necesario, y
- que no estén disponibles cuando queramos interrumpir el servicio o
eliminar el activo.
15

• Durabilidad. Esperamos que el mantenimiento de los recursos sea

permanente, tanto
- componentes como
- soporte técnico,
- migración a nuevas necesidades y tecnologías, etc.
Una de las dudas que surgen en algunas organizaciones para utilizar
software de código libre es la durabilidad de ese software. ¿Durante cuánto
tiempo puedo contar que este software vaya a estar soportado? ¿a quién
llamo si falla?
Está claro que la disponibilidad del código fuente facilita encontrar a alguien
que lo soporte, o que varios suministradores compitan por el mantenimiento.
Sin embargo los fabricantes de código propietario no soportan sus propios
productos pasados unos años, con lo que te obligan a actualizar tu software
pagando por ello.
• Escalabilidad. Esperamos que el servicio se adapte a los aumentos de

carga de trabajo, sin cambiar los requerimientos. La escalabilidad podría
medirse como el máximo incremento de capacidad del sistema sin cambiar
de arquitectura, simplemente añadiendo más componentes, cómo
- más disco,
- más CPU,
- más servidores,
- más ancho de banda.
Un sistema escalable no requiere
o cambios de arquitectura, productos, ni
o modificaciones sustanciales en los procedimientos de trabajo.
• Gestionabilidad. Esperamos poder

- adaptar el servicio a las necesidades de la organización,
- medir cuantitativamente su rendimiento, y
- predecir las necesidades futuras.
Un servicio gestionable se adapta a los cambios de requerimientos de la
organización, con carga constante.
La Gestionabilidad se mide cualitativamente.
Cuando un servicio es gestionable nunca deberíamos estar por detrás de las
necesidades de la organización, dado que prevemos esas necesidades y
siempre nos podemos preparar con antelación.
16

• Usabilidad. Esperamos que los interfaces

- faciliten el acceso a los servicios, y que
- se puedan utilizar de una forma rutinaria sin esfuerzo, y
- cuando los utilizamos de una forma no rutinaria con un aprendizaje
mínimo.
Esperamos que los interfaces nos ayuden a prevenir los errores del usuario.
• Protección de bienes. Esperamos poder demostrar la propiedad de
nuestros activos y bienes e impedir su enajenación.
Este conjunto de expectativas no es necesariamente correcto y completo. Es muy
probable que en cada organización exista un conjunto ligeramente diferente de
expectativas con distintas prioridades. Invito al lector a que haga su propia lista de
expectativas en una organización, que podrá ser más larga o corta que esta.
Todas estas expectativas, que pueden traducirse en requerimientos

específicos en una organización, entran en competición los unas con las otras.
• En general la economía (rentabilidad) y eficacia están reñidas con el

resto.
• El rendimiento va en contra de la fiabilidad.
• la gestionabilidad va en contra de la fiabilidad, la disponibilidad y el
control de accesos.
• El control de accesos suele estar reñido con la usabilidad.
• las técnicas de cifrado suelen disminuir el rendimiento de los
sistemas.
Nuestras expectativas son cumplidas en parte por los sistemas de información,

pero no debemos limitarnos a mirar los sistemas de información, sino la
organización en su conjunto.
Analizando nuestras expectativas, podemos evaluar el impacto que supondría su

incumplimiento, y conociendo el riesgo asociado, seleccionar medidas de
reducción del impacto, o de la vulnerabilidad.
Para conocer exactamente cuáles son las expectativas en una organización,

debemos conocer
• ante que activos y actores que pertenecen a la organización tenemos
expectativas, y
• qué actores ajenos tienen expectativas ante nosotros.
17

1.1. ACTIVOS.
Un activo es cualquier propiedad o medio utilizado por la organización para
realizar o mantener sus procesos. En concreto se consideran como activos:
• Los sistemas de información.

• La infraestructura.
• El conocimiento de la organización.
• Las personas.
• Los bienes.
• La imagen y el prestigio de la organización.
• Los recursos financieros.
Algunos activos son materiales y otros inmateriales. Desde el punto de vista de la

seguridad de la información la diferenciación más importante se da entre los
que pueden soportar y transmitir información y los que no, incluyendo medios
no informáticos como la película fotográfica, o el papel.
El conjunto de estados en que un activo puede estar constituye su ciclo de vida.
Cada estado constituye un ámbito separado de problemas de seguridad, debido

a que las expectativas y el comportamiento del elemento a considerar son
diferentes.
El ciclo de vida de un activo puede ser tan simple como

• Alta,
• Asignación de Propiedad,
• Baja,
o tan complejo como el ciclo de vida de un sistema de información compuesto
por hardware y software:
• Adquisición,
• Almacenamiento,
• Desarrollo,
• Certificación,
• Distribución,
• Implantación,
• Producción,
• Auditoría,
• Baja.
18

El almacenamiento y distribución de activos constituyen un ámbito de
seguridad específico.
• Cuando distribuimos un activo esperamos que no se pierda, y que llegue al
destinatario designado.
• Cuando almacenamos un activo, esperamos que no sea robado.
Las expectativas deben tenerse en cuenta desde los estados iniciales del ciclo de
vida de un sistema de información, expresados como requerimientos genéricos
de seguridad para el desarrollo interno o por terceros de software. Cuando las
consideraciones de seguridad, que no están directamente relacionadas con la
función del activo, no se tienen en cuenta nos encontraremos parcheando
continuamente los sistemas de información.
Las expectativas pueden transformarse en requerimientos de un sistema de

información,
• pasando de una afirmación genérica y cuantitativa a otra específica y
formulada en positivo: “Sólo los usuarios autorizados podrán acceder al
sistema”,
• no en negativo: “El sistema estará protegido contra intrusiones a,b,c,”.
El motivo es bien simple, el primer requerimiento
• es concreto,
• puede comprobarse, e
• implica todos los casos negativos.
Si especificamos requerimientos como negativas, siempre podrá existir un caso no
incluido en la lista, que no forma parte del requerimiento.
No se trata de asegurarse de que no suceda lo indeseable, sino de que suceda

lo deseable.
1.1.1. SISTEMAS DE INFORMACIÓN.

A lo largo de este libro utilizaremos
M
ü mensajes,
I
ü información,
S
ü servicios e
I
ü interfaces
como los activos representativos que componen los sistemas de
información.
19

Las funciones elementales que realizan los sistemas de información son
ü el proceso, P
ü el almacenamiento, A
ü la comunicación y C
ü la entrada/salida de información. ES
Sobre estas funciones elementales y a través del sistema operativo y las
aplicaciones,
o se mantiene la información,
o se envían los mensajes y
o se ofrecen los servicios con valor para la organización.
Para una organización el proceso de información resulta en servicios

ofrecidos por sus sistemas de información.
• El proceso. Es la función elemental de los sistemas de información

que
- realiza cálculos aritméticos y lógicos con esta, y
- toma decisiones de flujo en función de condiciones
especificadas.
Los procesadores manejan la información en formato digital, con

una arquitectura conocida como de Von-Neumann, aunque
también existen
o procesadores analógicos, que utilizan valores reales,
o procesadores cuánticos, que usan estados de superposición
llamados qubit, y
o procesadores ternarios, que utilizan tres estados, conocidos
como 1, 0 y -1 en lugar de dos (0 y 1).
• El almacenamiento de información. Es la función elemental de los

sistemas de información que guarda y recupera a voluntad un
volumen de información determinado. Este almacenamiento se
produce en una jerarquía de estructuras, siendo las más
reconocibles por el usuario
- los archivos,
- los directorios y
- las bases de datos.
20

• La comunicación. Es la función elemental de los sistemas de
información, que pasa datos binarios de un sistema de
información a otro. Es la función elemental más compleja con
diferencia, y con frecuencia se estudia sólo la seguridad de las
comunicaciones, como representativa del conjunto de problemas de
seguridad. Podemos realizar comunicaciones a nivel físico
mediante
- redes de conmutación de circuitos, o
- comunicaciones establecidas mediante medios lógicos en las
redes de conmutación de paquetes.
• La entrada / salida. Es la función elemental que pasa información

de un medio digital a un medio físico no informático, como el
papel, película fotográfica, etc., o viceversa, y que interactúa con los
usuarios del sistema a través de los interfaces.
COMPONENTES Y SU GESTIÓN .
Los sistemas de información son muy modulares en sus aspectos lógico y
físico, dividiéndose en numerosos componentes. La relación entre los
componentes de un sistema de información puede ser de
• conexión, cuando participan en algún modo en el traslado o
comunicación de información, y
• adyacencia, cuando comparten parte de un recurso.
El acceso, uso o gestión de un componente lógico puede ser la

capacidad de adquirir, instalar/desinstalar, crear, leer, modificar, comunicar,
traspasar la propiedad, modificar las etiquetas, datar, destruir, inventariar,
renombrar, mover, configurar, optimizar, reproducir, comprimir, descomprimir,
agrupar, dividir, migrar, distribuir, controlar la versión, cambiar de formato,
usar, ceder la propiedad, hacer copia de respaldo y restaurar. No todas estas
acciones son aplicables a todos los componentes lógicos, pero todos los
componentes tienen algún grado de gestión.
El acceso, uso o gestión de un componente físico puede ser la capacidad
de adquirir, instalar/desinstalar, diagnosticar, inventariar, renombrar, mover,
configurar u optimizar un componente. No todas estas acciones son
aplicables a todos los componentes físicos, pero todos los componentes
tienen algún grado de gestión.
21

SERVICIOS Y ACCESOS.
Los servicios ofrecidos
• por el sistema operativo o
• por las aplicaciones
producen resultados con valor para el usuario y pueden necesitar uno o
varios accesos que emplean funciones elementales, como puede ser
• la lectura de un archivo en un sistema de archivos o
• el envío de un paquete a través de la red.
Las funciones elementales como
• la lectura de un archivo,
• el envío de un mensaje,
• la realización de un cálculo, o
• la impresión de un listado
pueden requerir de uno o varios accesos a activos del sistema de
información. Por ello usaremos servicio como sinónimo de acceso.
Dado que para realizar un acceso a información en un sistema es necesario

transportar la información desde el dispositivo de almacenaje a un dispositivo
de entrada/salida, consideraremos un acceso, incluso dentro del mismo
sistema o servidor, como un caso particular de comunicación.
INTERFACES.
Los interfaces de usuario actuales están mayoritariamente basados en
ventanas y líneas de comandos. En la prehistoria de los ordenadores se
utilizaban
• teletipos,
• consolas y
• luces indicadoras.
Cuando un servicio se ofrece a un usuario, y no a otro sistema de
información, este proporciona sus resultados a través de un interfaz.
Cuando un sistema de información proporciona a otro un servicio, lo hace

a través de un protocolo.
22

RECURSOS.
Los servicios se proveen mediante el uso de recursos.
• Un recurso se caracteriza por estar disponible en cantidad limitada y
bastante rígida.
• Un recurso no sólo se utiliza, sino que se consume temporalmente, no
estando disponible excepto para lo que se le está utilizando en un
momento dado.
Una de las funciones principales de un sistema operativo es la asignación de
los recursos de la máquina.
Podemos distinguir como recursos de los sistemas de información:
• La memoria.
• Los ciclos de procesador.
• El espacio en disco duro.
• El ancho de banda.
• El espacio de nombres.
• El espacio de direcciones.
• El espacio físico (rack, puesto de trabajo, etc.).
• Las conexiones.
• Los periféricos.
Cuando dos componentes conectados tienen distinto rendimiento

podemos encontrar un cuello de botella, como por ejemplo
• cuando un procesador espera la llegada de información de Internet, o
• cuando la demanda de información a un servidor Web es superior a lo
que puede servir su tarjeta de red.
Cuando varios componentes adyacentes usan un recurso este puede
agotarse, como
• el espacio en un rack o
• los ciclos de un procesador,
• el consumo de los "file handle" entre varios procesos, o
• cuando varias aplicaciones agotan la memoria del sistema.
Una práctica muy extendida en organizaciones es centralizar el control de

los recursos, de modo que antes de utilizar un recurso este debe ser
provisionado.
• Así se impide que cuando llega el momento de utilizarlo, encontremos
el recurso en uso, y además
• al centralizar la información de uso, podemos prever las necesidades
futuras.
23

SUMINISTROS.
Un suministro es un activo obtenido de un actor externo, cuya falta puede
producir la interrupción de la actividad de parte o toda la organización. Un
suministro puede ser piezas para la fabricación, electricidad, o información,
por ejemplo.
Un repuesto es un suministro que necesitamos cuando hay que reemplazar
un activo o parte de él.
Un consumible es un suministro cuya vida está mucho más determinada por
el número de usos, que a veces es uno sólo, que por su edad.
ESTÁNDARES.
Existen docenas de estándares que definen la

• estructura,
• función e
• interrelación
entre los componentes de un sistema de información.
La industria de sistemas de información crea estándares para
- minimizar los problemas relacionados con la interconexión de
componentes y
- poder realizar sus desarrollos sin dependencias mutuas.
La mayor parte de los estándares son frutos de acuerdos por los que se
definen el comportamiento de un componente o la interconexión entre
componentes. Usando estándares, una compañía puede crear productos
que funcionan con los de otras sin necesidad de un trabajo en conjunto.
Los estándares facilitan el trabajo en equipo sin necesidad de coordinación
continua, suponiendo una especie de coordinación por defecto. En algunas
ocasiones no existe un acuerdo, sino que la fuerza del mercado hace de
ciertos productos un estándar.
Con frecuencia surgen problemas por distintas implementaciones del

estándar por distintas compañías. Esto suele deberse
- a que existen varios estándares alternativos, que compiten por el
mismo espacio, otras veces
- a que el estándar no está definido más allá de cualquier diferencia de
interpretación, y deja ciertas partes a discreción del implementador, y
por ultimo
- a que hay fabricantes que deciden no seguir el estándar al pie de la
letra.
24

INFORMACIÓN.
Existe una distinción muy importante entre información y datos.
• Los datos son valores numéricos que soportan la información,
mientras que
• la información es aquello que tiene un significado para nosotros.
Es este el motivo por el que por ejemplo es posible comprimir una imagen jpg
hasta el 10% de su tamaño anterior en bmp. En ambos casos tenemos
distinta cantidad de datos, pero mantenemos esencialmente la misma
cantidad de información.
La definición de Shannon de información indica que hay más información

dependiendo del entorno, y cuanto mayor sea:
• la cantidad de datos. C
• la utilidad de los datos. U
• la sorpresa de los datos. S
• la improbabilidad de los datos. I
El hecho de que la información tenga significado para nosotros quiere decir

que cumple con una sintaxis que comprendemos. Tanto el significado
como la sorpresa, utilidad o improbabilidad de los datos están fuera del
ámbito que podemos evaluar en un sistema de información, por ello
mediremos la cantidad de información por la cantidad de datos necesarios
para expresarla.
Los algoritmos de compresión intentan utilizar la menor cantidad de datos

posibles para expresar cierta información. Gracias a ello podemos
comparar con cierta fiabilidad la cantidad de información de dos fuentes de
información de la misma naturaleza comprimiendo ambas, dado que
compararemos aproximadamente la cantidad mínima de datos necesaria
para expresar ambas fuentes de información. Sin embargo cuando dos
fuentes son de distinta naturaleza, la cantidad de información bit por bit no
será necesariamente comparable, como por ejemplo un texto y una foto. El
texto de este libro ocupa unos cien kilobytes (100 Kb). ¡Lo que no quiere
decir que se pueda medir lo informativo que resulta sólo por este criterio!
La información se representa en los sistemas de información utilizando

el sistema de numeración binario, que está compuesto únicamente de
ceros y unos. Físicamente estos ceros y unos existen en forma de algún tipo
de fenómeno físico, como por ejemplo la magnetización de un área de un
disco.
25

La relación entre el fenómeno físico y el bit suele ser
• por nivel, con lo que cada nivel se relaciona con un bit, o bien
• por flanco, en el que un cambio de nivel se corresponde con un bit.
La codificación de nivel no suele utilizarse debido a que los sistemas físicos
son más estables cuando están en equilibrio, y este equilibrio se mantiene
cuando los datos son aleatorios.
Para ayudar al equilibrio del medio físico, esto es, que haya un equilibrio
entre los estados físicos equivalentes al bit cero y al uno, a veces se
utilizan codificaciones que aleatorizan los datos para equilibrar la cantidad
y frecuencia de los unos y ceros almacenados o transmitidos por el medio
físico. Esta codificación se conoce como codificación de línea y se utiliza,
por ejemplo, en los modem.
Un conjunto de bit como 00101001 no tiene un significado intrínseco. Puede

significar tanto lo A mayúscula como “Estoy bien”, dependiendo de la
convención que hayamos adoptado con nuestro interlocutor u otros
usuarios de un sistema.
Afortunadamente, existen convenciones o estándares muy extendidos

sobre el significado de un conjunto de bit, lo que elimina la posible
ambigüedad acerca de su significado. Entre estos estándares tenemos
• ASCII,
• EBDIC y
• Unicode.
Estas convenciones hacen que 00101001 no signifique cualquier cosa, sino
algo muy definido, en concreto ‘a’ minúscula cuando acordamos usar ASCII.
26

o ASCII sólo representa los caracteres utilizados en inglés, mientras que
o Unicode define un juego de caracteres universal, que representa
prácticamente todos los caracteres existentes en todos los idiomas del
mundo.
Cuando unimos una cadena de bytes de longitud arbitraria, y aceptamos una

convención como ASCII, obtenemos un texto. Este texto podrá tener un
significado dependiendo del contexto, por ejemplo los idiomas conocidos por
la persona que lo lee.
Dos tipos especiales de texto son el código fuente y el código script que
pueden traducirse en instrucciones de bajo nivel que definen con precisión
como se procesa la información o se provee un servicio. Como tales
instrucciones de bajo nivel, los datos toman tres significados:
Ø información a manipular,
Ø instrucciones de qué hacer, y
Ø direcciones para localizar información o más instrucciones.
La diferencia entre código fuente y código script es que
• el código fuente se traduce mucho antes de usarse, mientras que
• el código script se traduce en el momento en que se utiliza.
Un bloque de bit como abaaaabbbbbababaaba puede ser interpretado de

varias formas como una sucesión de byte. Si tomamos a=0 y b=1, un modo
de interpretarla seria 01000111, 11010110 otro 11100010, 01101011, entre
otros. Las transformaciones entre cadenas continuas de bit y secuencias de
códigos interpretables es lo que se conoce como codificación.
La ordenación de los octetos puede ser de dos tipos:

• big endian y
• little endian,
dependiendo de si consideramos el primer octeto como el de mayor o
menor peso en una secuencia de ellos.
27

Algunos sistemas de información sufren de limitaciones a la hora de manejar
datos. Dos limitaciones frecuentes suelen ser
• el bloque mínimo de información que pueden manejar (1, 2 o 4 bytes) y
• qué juego de caracteres pueden manejar.
Para superar estas limitaciones se utilizan codificaciones, que expresan

los mismos datos con
o distintos bloques mínimos o
o distintos juegos de caracteres.
Por ejemplo la codificación

• UTF-8, permite escribir Unicode utilizando como unidad bloques de 1 byte
en lugar de bloques de 2 byte.
• Base64 se utiliza para transformar información puramente binaria en
ASCII, y se emplea para enviar archivos binarios por correo electrónico.
Existen estándares mucho más complejos que ASCII, muchos de ellos

propietarios. Estos estándares semánticos pueden llamarse generalmente
formatos. Algunos formatos populares son Excel, Word, JPEG o MP3.
Un defecto muy común de los formatos es

• lo complejo que puede ser crearlos y
• que la especificación de su estructura no se describe formalmente.
Eso hace que cuando queremos comparar, agregar u operar con conjuntos
de datos que están en formatos distintos, nos vemos obligados a interpretar
los formatos manualmente.
Existe un lenguaje de especificación de formatos, XML, que nos permite

definir formatos formalmente, y si elegimos correctamente los marcadores,
hace el formato autoexplicativo.
MENSAJES.
En lo sucesivo, utilizaremos “mensaje” para referimos a la información

enviada en formato digital entre dos sistemas o dos partes de un sistema de
información.
Los mensajes utilizan un canal para llegar de un sistema a otro.
28

PROTOCOLOS Y LOS NIVELES OSI.
Los sistemas de información utilizan una serie de abstracciones para ocultar
los detalles de operación a los usuarios finales, de modo que su uso y
administración sea lo suficientemente sencilla y comprensible. Estas
abstracciones forman una pila, que para la transmisión de mensajes
teóricamente se divide en siete niveles, aunque pueden ser menos en la
práctica.
Los niveles son:

• Aplicación: Proporciona servicios e interfaces.
• Presentación: Proporciona conversión, cifrado y compresión de
mensajes.
• Sesión: Proporciona servicios para encontrar otros servicios, y
gestiona las sesiones que un servicio proporciona a otro o a un
interfaz.
• Transporte: Mantiene canales entre servicios que se comunican
mediante mensajes.
• Red: Subdivide los mensajes en trozos manejables por la red
(paquetes) y los encamina por ella.
• Enlace: Proporciona corrección de errores de los paquetes.
• físico: Comunica señales en forma de fenómenos físicos.
De este modo, cada nivel aparenta comunicarse directamente con su

equivalente, aunque la transmisión efectiva de información sólo se realiza
mediante fenómenos físicos.
29

1.1.2. ACTORES PROPIOS.
Los actores en una organización son aquellos
• individuos o
• departamentos, o
• agentes de estos
en una organización que
o utilizan servicios y
o consumen recursos,
como por ejemplo los usuarios, administradores y los clientes. Cuando
existe control de accesos. Los actores acceden a los
- activos,
- recursos o
- servicios
mediante sesiones.
En el apartado 3.2.3. se hace una descripción más detallada de los actores

propios.
Los actores son quienes tienen expectativas ante la organización y sus

sistemas de información. Con demasiada frecuencia sólo se ha
considerado como un problema de seguridad el incumplimiento de las
expectativas de los técnicos, como “No quiero que me entre un cracker”.
TÉCNICO.
El técnico es el actor que administra los sistemas de información.
PROPIETARIO.
El propietario es el actor que posee los sistemas de información, para
utilizarlos en sus objetivos de negocio u operaciones.
USUARIO.
El usuario es el actor que utiliza los sistemas de información. Se
informa acerca de, o utiliza, un activo, mediante derechos cedidos por
su propietario.
AGENTE.
Un agente es un proceso del sistema de información que actúa como
delegado de un usuario, sin intervención continua del usuario en sus
operaciones.
30

ATACANTE PROPIO O INTERNO.
Un atacante es un actor que provoca o intenta provocar un daño en
los activos. Dependiendo de su
• motivación,
• capacidad técnica y
• recursos
puede suponer un riesgo más o menos alto. Es interesante prever los
recursos de que verosímilmente pueda disponer, dado que utilizaremos
siempre medidas que requieran una cantidad de recursos no disponible
para cualquier atacante verosímil. Los atacantes internos pueden ser
espías o con frecuencia miembros de la organización descontentos.
1.1.3. IMAGEN Y PRESTIGIO.

Imagen y prestigio de la organización es un activo intangible, pero crítico,
dado que puede afectar profundamente a la cotización de la compañía, o a
las ventas. Muchas compañías basan su estrategia comercial más en la
transmisión de una imagen que en la calidad objetiva y utilitaria de sus
productos, como las motos Harley Davidson o los deportivos Morgan. La
imagen y prestigio suelen ser más importantes cuanto mayor sea el tamaño
de la organización en cuestión.
1.1.4. PRODUCTOS.
Todo resultado de una organización puede considerarse un producto.
Algunos productos tienen una entidad física, como puede ser una lavadora o
una bebida refrescante, y otros no, como pueden ser noticias por la Web.
Cuando un producto es físico puede haber expectativas como que el
producto no sea destruido ni modificado hasta su llegada al distribuidor o
cliente final.
1.1.5 BIENES MUEBLES.

Los bienes muebles son aquellos que pueden ser transportados sin
necesidad de desmontarlos. Algunos pueden ser soportes de información
como por ejemplo los medios magnéticos o la película fotográfica, otros
pueden ser sistemas como ordenadores portátiles.
31

1.2. ENTORNO.
El entorno de la organización le impone restricciones y es origen de amenazas
a nuestras expectativas. Está compuesto de
• todos los actores con los que interactúan sus activos en la realización o
mantenimiento de sus procesos de negocio,
• el entorno físico, y
• el entorno legal.
Entre los actores ajenos que forman parte del entorno tenemos a
• los reguladores,
• los clientes,
• los accionistas y
• los suministradores.
El entorno técnico puede ser tanto Internet, como otros sistemas con los que nos
interconectamos.
1.2.1. ENTORNO FÍSICO.

El entorno físico de una organización está compuesto por:
• Localizaciones.
• Clima en cada localización.
• Medios de transportes disponibles.
• La geografía.
• La geología.
El entorno físico no siempre es estable. Hay grandes cambios de
• humedad,
• temperatura,
• vientos y
• catástrofes varias
que pueden afectar a nuestra organización.
1.2.2. ACTORES AJENOS.

Los actores ajenos son tan importantes para la organización como los
actores internos, o más, dado que es el cumplimiento de sus
expectativas las que más van a influir en la seguridad de la
organización.
32

Si nuestros clientes están satisfechos. Las posibilidades de que nuestra
organización cumpla con sus expectativas de rentabilidad aumentarán, y en
caso contrario puede producir la desaparición de la organización.
ATACANTE AJENO.
Es el actor ajeno que dedica sus medios a dañar a la organización o

los sistemas, por cualquier medio, sea
• desprestigiándola,
• dañando sus productos,
• negándole financiación o
• por cualquier otro medio, como podría ser un ataque de
denegación de servicio.
Los atacantes pueden ser
• antiguos miembros de la organización o

• clientes descontentos,
• crackers, o
• enemigos políticos o comerciales.
El riesgo que suponen depende de su
• motivación,
• capacidad técnica y
• recursos.
La motivación de un atacante ajeno resulta irrelevante en seguridad,

a menos que consideremos posible el eliminar esa motivación, caso
complejo y poco frecuente.
Hay que distinguir un hacker de un cracker.
• Un hacker es una persona con un profundo interés en todo lo

técnico y en cómo funcionan las cosas. Le interesa ante todo
aprender y ser reconocido por sus iguales, beneficiando a la
sociedad en su conjunto de paso al descubrir problemas y
comportamientos inesperados de los sistemas de información,
que pueden afectar a la seguridad o la privacidad del usuario.
Los hacker no tienen intenciones destructivas.
• Un cracker, puede tener el mismo interés en lo técnico, pero
actúa en beneficio propio sin que le preocupe los daños que
pueda causar.
33

ACCIONISTA.
Los accionistas son propietarios de la organización. Sus expectativas
son que la organización
• sea rentable y
• cumpla con su misión.
AUDITOR.
El auditor es el actor externo que se encarga de comprobar de forma
independiente nuestro cumplimiento de regulaciones y aquellos
estándares a que nos sometamos voluntariamente, como puede ser
ISO 9000.
CLIENTE.
Un cliente es el destinatario de nuestros productos y servicios. Un
consumidor es el cliente para el que somos suministradores, es decir
no sólo es cliente nuestro, sino que nuestro producto es un suministro
para ese cliente.
SUMINISTRADOR.
Un suministrador es quien nos proporciona los suministros que
precisamos para nuestras operaciones.
1.2.3. ENTORNO LEGAL: REGULACIONES Y CONTRATOS.

Las regulaciones son restricciones legales a las operaciones de la
organización, tanto internamente como en relación con terceras
organizaciones. Una organización tiene obligaciones, como por ejemplo:
• Fiscales.
• Protección de datos personales.
• Seguridad en el trabajo.
• Regulaciones propias del sector productivo (banca,
telecomunicaciones, electricidad, etc.).
REGULADOR.
Los reguladores son quienes tienen poder de elaborar normativas y
leyes que afecten a la operación de la organización, o de comprobar su
cumplimiento. Sus expectativas son que cumplamos con la regulación,
comprobar este cumplimiento, y poder sancionarnos en caso de
incumplimiento.
34

35

36

Existe en la literatura de seguridad una serie de términos muy conocidos, como
Amenazas, Vulnerabilidades y Riesgos. Estos términos son valiosos, dado que
nos permiten realizar un análisis de la realidad del que podemos extraer
conclusiones sobre donde aplicar nuestros esfuerzos. Ahora bien, estos conceptos
sufren de varios problemas prácticos, siendo el principal de ellos que no suelen
poderse medir cuantitativamente, y que la contabilidad de ahorros no tiene una
traducción práctica precisa. Como ejemplo de contabilidad de ahorros, si alguien te
dice que ahorró un euro porque fue a la universidad corriendo en vez de en autobús
podríamos replicar que la próxima vez corra en lugar de coger un taxi y ahorrara
cinco. Del mismo modo al calcular los ahorros producidos por medidas de
seguridad es fácil llegar a cifras sin significado real.
El riesgo es una medida cuantitativa de la importancia de un incidente que es

mayor cuanto mayor es su impacto y probabilidad.
2.1. VULNERABILIDAD, DEBILIDAD, OPORTUNIDAD.

El concepto de vulnerabilidad se define de forma ligeramente distinta según el
glosario que elijamos. Una definición frecuente considera la vulnerabilidad como la
evaluación objetiva de la probabilidad de sufrir un determinado ataque en un
plazo de tiempo dado. Para conocer la probabilidad se hacen estadísticas
basadas en sucesos pasados elaboradas a partir del número de casos favorables y
el número de casos posibles. Faltando esta información, no es posible calcular la
probabilidad, con lo que la vulnerabilidad será desconocida. Quizá sepamos que ha
habido un ataque de denegación de servicio con éxito en el último año, ¿Cómo
saber la vulnerabilidad real de esta amenaza si no sabemos cuántos intentos de
ataque de denegación de servicio no tuvieron éxito? Si fueron uno y cien, la
vulnerabilidad en un año es del 1%. Si tuvo éxito el único que hubo, la
vulnerabilidad en un año es del 100%. La vulnerabilidad no sólo depende de lo
bien que nos defendemos, sino también de cuanto nos atacan. Este no es el
único defecto práctico del concepto de vulnerabilidad, dado que para que una
probabilidad conocida tenga cierta capacidad predictiva debemos disponer
de una cantidad suficientemente grande de casos. La probabilidad no tiene
capacidad de predicción para casos individuales. Por poner un ejemplo, todas las
combinaciones distintas de siete lanzamientos de una moneda tienen una
probabilidad de 1 en 128. Si tiramos una moneda al aire seis veces, y las seis
veces sale cara, la probabilidad de que vuelva a salir cara es de un medio, no
inferior, lo que choca algo con la intuición.
37

Al hacer una predicción mediante probabilidades estamos suponiendo
• que el futuro se parece al pasado y
• que las condiciones externas no cambian.
Ante la escasez de información y dadas la complejidad de comportamiento de los

atacantes y de las organizaciones que utilizan sistemas de información, es
aventurado suponer las condiciones externas como constantes. Todo esto quiere
decir que si una compañía tiene sólo un servidor conectado a Internet, y
escuchamos la afirmación de que 1 de cada 20 servidores conectados a Internet
son atacados con éxito cada año, no podemos deducir que para este caso
particular la probabilidad sea de 1 entre 20. Dependiendo
• del uso que se le da,
• de la competencia de los administradores, y
• de la intensidad con que sufre ataques,
la probabilidad puede ser mucho mayor o mucho menor.
Por último, pocas veces podremos hacer estimaciones cuantitativas de los

factores de que depende una vulnerabilidad ante un ataque. Por un lado
tenemos
• el valor del activo para el atacante,
• la duración de la ventana de oportunidad,
• el parque de activos equivalentes,
• los medios necesarios para el ataque,
• el número de potenciales atacantes que disponen de esos medios, etc.
Se usa rutinariamente como sinónimo de vulnerabilidad la debilidad, que

existe siempre que un ataque es posible. Como ejemplo, si un servidor IIS tiene un
error software que permitiría atacarlo de una determinada manera, el IIS presenta
una debilidad, no una vulnerabilidad.
En criminología se considera que los crímenes tienen factores como

• arma,
• motivación y
• oportunidad.
Este último término que se utiliza poco en análisis de seguridad, cuando la

eliminación más efectiva de riesgos se produce al eliminar la oportunidad de
que se produzcan. Por ejemplo es más efectivo que sólo los servicios
imprescindibles estén activos, que configurar un cortafuegos que impida el acceso
a los servicios no imprescindibles.
38

En resumen:
• refirámonos cómodamente a vulnerabilidades sabiendo que hablamos de

debilidades (para que nadar contra corriente), y
• pensemos en la eliminación de oportunidades como una de las medidas
de seguridad más efectivas.
2.1.1. LA PUBLICACIÓN DE VULNERABILIDADES.

La publicación de vulnerabilidades es un tema polémico.
• Algunos abogan por la seguridad por oscuridad, no divulgando la
existencia de defectos en los sistemas.
• Otros mantienen que es preferible divulgarlos, para corregir
permanentemente los problemas descubiertos.
Siempre que se publica una vulnerabilidad aumenta el número de potenciales

atacantes con
• conocimiento,
• medios y
• motivación
para traducirla en ataques. A corto plazo esto lleva a un aumento de los
ataques relacionados. Cuando se publica su corrección, el número de posibles
objetivos va disminuyendo según se aplica esta. Gracias a la publicación de la
corrección, llega un momento en que el número de sistemas vulnerables es cero,
y se cierra la ventana de oportunidad.
39

Sin embargo, cuando una vulnerabilidad no se publica, la duración de la
ventana de oportunidad puede ser tan larga como quiera el descubridor. Si
bien
• el número de ataques a corto plazo es inferior,
• a largo plazo la ventana de oportunidad no se cierra, y todos los sistemas
vulnerables continúan teniendo una puerta trasera abierta para el círculo
conocedor de la vulnerabilidad.
La seguridad por oscuridad lleva a largo plazo a que no podamos
prepararnos para detectar y contrarrestar los ataques contra nuestros
sistemas.
El descubridor del defecto puede ser

• un auditor de sistemas de información contratado,
• un hacker que busca el defecto o
• alguien que lo descubre por casualidad.
A menos que seamos un auditor contratado, la actitud más segura
actualmente es no hacer nada; de este modo evitaremos ser acusados de
cualquier delito. Hay que recordar que si no hemos sido contratados, no es
asunto nuestro. Si un vecino nos dejara una nota al lado de la foto de nuestra
familia diciendo: “He estado probando tu sistema de alarma, y la verdad es que
es penoso”, seguramente sentiremos más ira que agradecimiento. Debido a
esto, a menos que conozcamos la actitud de una organización ante el
descubrimiento de fallos en sus sistemas mediante su adhesión a un
proceso estándar, no es buena idea ponemos en contacto directo con
ellos. Si queremos avisar de todos modos, es mejor hacerlo de forma anónima.
Y aquí llegamos al dilema de siempre: hemos descubierto un problema en un

producto,
• sabemos que sería de interés general corregir el problema, y además
• nos gustaría ser admirados por nuestro descubrimiento.
Pero si el fabricante
• nos ignora,
• va contra nosotros, o incluso
• intenta silenciarnos,
la situación puede ir a peor, especialmente para nosotros. Luego, hay que elegir:
• avisamos anónimamente,
• les damos un tiempo para corregirlo, y por ultimo lo revelamos, o bien
• contactamos directamente con ellos y nos arriesgamos a que nos echen
a los leones.
40

La carencia de un proceso de publicación de vulnerabilidades ha llevado a
dificultades tanto a los administradores de sistemas, como a los fabricantes,
como a los hackers que las descubren. Una asociación de fabricantes, la
Organization for Internet Safety, ha propuesto un proceso formal que
pretende
• resolver esta carencia,
• evitar conflictos y
• proteger los intereses de todos los participantes.
Si bien es un proceso orientado a la publicación de vulnerabilidades en

productos, es fácilmente adaptable a las vulnerabilidades de sistemas.
El proceso incluye los siguientes pasos:

• Descubrimiento: el descubridor encuentra una posible vulnerabilidad.
• Notificación: el descubridor contacta con el fabricante, se acuerda el
procedimiento de resolución.
• Investigación: el fabricante colabora con el descubridor.
• Resolución: se acuerda una corrección y los plazos de publicación.
• Publicación: el descubridor y el fabricante publican conjuntamente la
vulnerabilidad, junto con su corrección.
Una vez que se llega al acuerdo del uso de este proceso preestablecido, el
mismo contempla la resolución de los conflictos que puedan surgir.
Como hemos visto, las vulnerabilidades deberían hacerse púbicas en

beneficio de todos. La mejor solución para que esta publicación se haga con el
mínimo riesgo para los afectados, para los descubridores y para los
administradores y fabricantes, sería que los fabricantes hicieran pública su
postura acerca del descubrimiento de vulnerabilidades en sus productos o
sistemas, sea esta
• “me adhiero a tal procedimiento”,
• “no quiero saberlo” o
• “como me entere, te la cargas”.
41

2.2. NOMENCLATURAS.
Las nomenclaturas nos permiten reconocer algo como único y distinto de otra cosa.
Algunas nomenclaturas son
• la utilizada por el Common Criteria, de características de productos de
seguridad,
• el CVE y el BugtraqID, que son nomenclaturas de debilidades.
Hay más glosarios de términos, como
• el Glosario de la NSA, y
• el ISO SC 27 N 2776.
El uso de una nomenclatura de referencia evita la confusión a que puede llevar el

uso de varias fuentes de información sobre el mismo asunto.
2.3. AMENAZAS.
Las amenazas son cualquier circunstancia potencial que pueda afectar a
• los procesos y
• las expectativas
de la organización. Para proteger estas expectativas debemos
o identificar, evaluar y prever que amenazas pueden afectar a su
cumplimiento continuado, y
o ser capaces de medir, sea cuantitativa o cualitativamente, la posibilidad y
probabilidad de materialización de esas amenazas.
Las amenazas se pueden clasificar en tres grandes grupos:
• Amenazas Terciarias o directas, que son las que amenazan

directamente el cumplimiento de nuestras expectativas. Ejemplo:
Inundación.
• Amenazas Secundarias, que son las que disminuyen o eliminan el grado
de éxito de las medidas que ponemos para mitigar las amenazas
primarias. Ejemplo: Defectos en un cortafuegos.
• Amenazas Primarias, que son las que evitan que se mantengan o
lleguen a establecerse las medidas que mitigan las amenazas terciarias o
secundarias. Ejemplo: Organización de Seguridad ineficaz.
En la literatura de seguridad se presta una enorme atención a las amenazas

terciarias. Sin embargo, las que tienen un mayor impacto potencial, y además a
largo plazo, son las amenazas primarias.
42

2.4. AMENAZAS TERCIARIAS.
Las amenazas terciarias pueden clasificarse de muchas formas. Una posible
clasificación es dividirlas en
• accidentes,
• ataques y
• errores. (A partir de aquí nos referiremos a las amenazas terciarias
simplemente como amenazas.)
o Los ataques tienen siempre detrás a un actor con una determinada
motivación, medios y capacidad.
o Los accidentes suelen ser naturales, como puede ser un terremoto o
el fallo de un disco duro por el uso.
o Los errores pueden ser naturales, pero también se pueden manipular,
como puede ser un cracker que genera un coredump en un sistema
que está atacando.
El motivo para realizar esta clasificación es que facilita las decisiones acerca de
qué medidas tomar para mitigarlas.
• Cuando una amenaza es un accidente la única forma de evitarla del todo
consiste en eliminar la oportunidad.
• Cuando una amenaza es un error, se pueden tomar medidas para prevenirlo,
pero pocas veces podremos actuar sobre la oportunidad.
• Cuando la amenaza es un ataque podemos idear medidas de seguridad para
prevenirlo, y podremos limitar las oportunidades de ese ataque.
• Los ataques son el caso tradicionalmente considerado como un problema de

seguridad.
• Los accidentes se consideran como una cuestión de protección contra
catástrofes.
• Los errores están en un limbo, si bien algunas veces se tratan dentro de la
prevención de riesgos laborales, y en el caso de sistemas de información, se
tratan como un problema de continuidad de los sistemas (por ejemplo,
cuando un operario apaga un servidor por accidente).
43

2.4.1. ATAQUES.
Los ataques son incidentes provocados por actores externos o internos.
Aunque se puede hacer un estudio teórico de los atacantes, sus intenciones,
motivaciones, etc., como defensores sólo nos preocupan dos cosas:
• de que recursos disponen, y
• que pueden intentar hacer.
Conocer los posibles recursos y oportunidades de que dispone el atacante
nos permitirá estimar que recursos se dedicarán a un ataque.
Los ataques descritos a continuación pueden suceder individualmente, o

utilizarse en conjunto para producir el efecto deseado por un atacante. Por
ejemplo, mediante ingeniería social se puede obtener un acceso físico no
autorizado que nos proporcione medios de autenticación para desactivar
medidas de seguridad, y finalmente realizar un ataque de denegación de
servicio o robo de información.
ESPIONAJE.
El espionaje consiste en el acceso ilegitimo sea físico o lógico, a
• la información,
• mensajes y
• servicios de la organización.
El objetivo último del espionaje suele ser la revelación de
secretos.
Espionaje.
• Escuchas.
• Lectura o copia de información.
• Lectura de mensajes o información cifrados.
• Suplantación, intermediario, reproducción.
• Análisis de Tráfico.
Escuchas.
Cuando se transmiten mensajes por un canal no protegido, o un
atacante consigue acceso a un canal protegido, este puede
acceder a los mensajes transmitidos. Para protegernos de esta
amenaza podemos dificultar el acceso al medio de
comunicación, como por ejemplo
• usando fibra Óptica, o bien
• cifrar nuestras comunicaciones.
44

Los equipos de entrada/salida emiten radiaciones
electromagnéticas que pueden ser interceptadas por sistemas
como TEMPEST. Para protegemos de este tipo de escuchas
debemos usar apantallamiento, bien
• de los equipos, bien
• del local en que se trabaja.
Lectura o copia de información.

La lectura o copia consiste en el acceso directo a la información,
sin utilizar servicios ni sesiones autorizados. Para ello es
necesario tener,
• bien acceso directo a medios físicos como discos o
cintas de copia de respaldo,
• bien acceso a sesiones anónimas o no autorizadas.
Para evitar la extracción de información fuera de los sistemas

de la organización podemos:
• Utilizar control de acceso físico y vigilancia de los
medios de almacenamiento introducidos y sacados
físicamente de la organización.
• Cifrar la información al grabarla en medios sensibles a
esta amenaza.
• Asegurarnos de que sólo se puede acceder a
información confidencial mediante sesiones
autorizadas.
Los sistemas que tengan salida a Internet deben tener filtros
adecuados para evitar accesos no autorizados. En caso
contrario, podemos llegar a aparecer en Google, facilitando
enormemente la labor de cualquier atacante. Para ver un
ejemplo, basta con ir a la búsqueda avanzada de Google y
buscar las palabras “Index of” en el título de la página.
Lectura de mensajes o información cifrados.

El criptoanálisis consiste en el análisis de datos cifrados en bruto,
sin que necesariamente conozcamos el algoritmo de cifrado ni
nada acerca de que información puede contenerse en los datos.
45

Es curiosa la pobre barrera que supone codificar por sustitución,
utilizando un símbolo para significar otro, supone para el
criptoanálisis, dado que la información es por naturaleza muy
ordenada, lo que resulta sencillo comprobar sin necesidad de
tener una comprensión de la información. Sin necesidad de usar
conceptos matemáticos, cuando vemos caracteres en un idioma
cuyo alfabeto no conocemos, todavía somos capaces de ver que
hay cierta estructura.
En un ataque de fuerza bruta realizamos un criptoanálisis en el

que probaremos todas las claves posibles. El uso de esta técnica
sólo está limitado por la capacidad de proceso de que disponga
el atacante.
La protección contra el criptoanálisis consiste en el uso de

• buenas claves, y
• métodos probados de cifrado.
Otra posibilidad es el uso de cifrados cuánticos, que son
completamente invulnerables al criptoanálisis, ahora bien el
cifrado cuántico es una técnica teórica que se enfrenta con
numerosos problemas para su materialización.
Suplantación, Intermediario, Reproducción.

La amenaza de suplantación se da cuando alguien simula ser
otro ante un tercero. Para protegerse debemos
• fortalecer nuestros medios de autenticación, y

• realizar autenticación en tiempo real o
• realizar pruebas suplementarias de la identidad de nuestro
interlocutor.
Esto es lo que hace una compañía de tarjetas de crédito que te
pide información personal por teléfono ante una compra
importante y fuera de lo habitual.
La amenaza de intermediación se da cuando un intermediario

simula para ambos extremos de la comunicación al interlocutor.
Para prevenirlo es necesario ser estricto en los medios de
autenticación, en ambos sentidos.
46

Un ataque de reproducción se produce cuando alguien
escucha una comunicación, y la reproduce después, produciendo
el mismo efecto que si fuera el agente original. Para evitarlo la
autenticación de una fuente debe tener componentes que
impliquen el uso de tiempo real.
Por ejemplo www.paypal.com es un sitio Web de medios de pago

que se vio sometido a este ataque. Un avispado reprodujo su
aspecto en www.paypa1.com, medio por el que engaño a
algunos incautos internautas.
Análisis de tráfico.
El análisis de tráfico es una amenaza poco conocida. Cuando
se produce una comunicación, si alguien la escucha, y está
cifrada más allá del alcance de cualquier criptoanálisis, el espía
puede llegar a saber al menos,
• de donde viene,
• a donde va,
• cuantos datos se han transmitido, y
• cuando empezó y termino la transmisión.
De estos hechos se pueden sacar conclusiones con utilidad para
el espía, como fue el caso de la primera guerra mundial, en que
el ejército francés llegaba a veces a predecir con éxito la zona en
que vendría una ofensiva próxima gracias al aumento de
mensajes por radio en esa zona.
Si pensamos que esta puede ser una amenaza, la técnica más

efectiva es el camuflaje del hecho de que estamos
comunicándonos, o del hecho de transmitimos información
secreta. La estenografía es una técnica de cifrado que permite
ocultar información en un conjunto de información mayor,
aparentemente inocuo, disminuyendo la vulnerabilidad de
nuestros mensajes a esta amenaza.
SABOTAJE.
El sabotaje es un ataque destructivo, con el que se intenta producir
el máximo daño posible. La protección más efectiva ante esta
amenaza es
• la eliminación de oportunidades, y
• el uso de medidas de reducción del impacto.
47

Cuando se acompaña de extorsión, hablamos de Chantaje.
Sabotaje.
• Interrupción borrado
• Modificación y Generación malintencionada de
datos o información.
• Denegación de servicio (Negación de recursos).
• Terrorismo.
Interrupción, Borrado.
La interrupción de un mensaje o un servicio, o el borrado de
información es autoexplicativa.
Para protegerse de esta amenaza es necesario

• disponer de medios alternativos de comunicación,
• dificultar el acceso al medio de comunicación, y
• utilizar copias de seguridad de la información.
Modificación y Generación malintencionada de datos o

información.
Modificar o generar datos se puede hacer
• sobre el almacenamiento o
• en la transmisión de datos.
Debido a las múltiples funciones de un dato, como puede ser
• un comando,
• una instrucción, o
• un texto,
los efectos pueden ser extremadamente diversos. Dentro de esta
categoría entraría
• el modificar el contenido de un correo electrónico, o
• añadir un comando catastrófico a una comunicación con
un satélite.
La diferencia entre generar o modificar datos intencionadamente

es que simplemente puede deteriorar la calidad de nuestra
información, mientras que generar o modificar información es
una forma más avanzada de ataque que en la comunidad de
inteligencia se conoce como desinformación.
48

Para protegerse de estas amenazas se utilizan firmas digitales y
control de accesos, de los que hablaremos más tarde.
Denegación de servicio (Negación de recursos).

La denegación de servicio consiste en el consumo de los
recursos que tenemos dedicados a algún fin legítimo, de modo
que no puedan cumplir su función. Entre ellos están incluidos el
consumo de
• ancho de banda,
• memoria,
• disco duro, etc.
Por ejemplo, si alguien nos envía correos hasta superar nuestra

cuota, nos están haciendo un ataque de denegación de servicio,
dado que no podremos continuar recibiendo correos. Los ataques
de denegación de servicio más celebres se producen contra el ancho
de banda de grandes proveedores de servicios de Internet, en los que
el atacante somete a cientos de máquinas, llamadas zombies, que
indirectamente provocan una gran cantidad de tráfico, haciendo
creer a máquinas no comprometidas que un equipo les ha lanzado,
por ejemplo, un ping.
• Un antiguo ataque DoS muy conocido, el SYN flood, agotaba
la memoria de la máquina atacada, no el ancho de banda de
la conexión, gracias a un defecto del sistema operativo.
• El ataque MAC flooding llena la tabla de direcciones MAC de
un switch, con lo que este puede pasar a funcionar como hub.
• Existen ataques de denegación de servicio muy sofisticados
como el DrDoS, en que se utilizan características propias de
la infraestructura de Internet para realizar un ataque.
• El spyware y el adware son dos tipos de programas
maliciosos que realizan negación de recursos al ocupar tanto
la pantalla del ordenador con anuncios no solicitados, como el
ancho de banda necesario para descargarlos.
No existen medios totalmente efectivos para prevenir

ataques de denegación de servicio en internet, pero si
podemos evitar ser utilizados o participar inocentemente en el
ataque, comprobando que los paquetes originados en nuestra
red tienen direcciones IP de esta red.
49

Terrorismo.
La amenaza del terrorismo, desde el punto de vista de la
seguridad en sistemas de información, consiste en la
destrucción de los sistemas y la muerte o heridas del
personal que compone la organización.
Para protegerse debemos usar medios que mitiguen su impacto,

como
• copia de respaldo,
• Planes de Continuidad de Operaciones,
• uso de SAI y tomas de alimentación redundantes,
• aire acondicionado,
• detectores de humedad,
• aislamiento contra radiofrecuencia,
• situación de los sistemas en lugares de bajo riesgo, etc.
Actualmente se produce otro tipo de terrorismo:

• Infowar y
• terrorismo cibernético.
Ante esta amenaza debemos tomar las mismas medidas
que ante cualquier otro atacante externo.
La seguridad del personal cae fuera del ámbito de este libro.
COMPROMISO DE MEDIOS DE AUTENTICACIÓN.

Hay tres formas típicas de autenticar a un usuario,
• por algo que eres, como puede ser la biometría,
• por algo que tienes, como es la posesión de una tarjeta, y
• por algo que sabes, como es el caso de una contraseña.
Las contraseñas son muy efectivas y ampliamente utilizadas, aunque

hay diversas complicaciones relacionadas con su uso. Para
comprenderlas mejor, veamos cómo es un posible proceso de
autenticación mediante contraseña:
• El sistema nos solicita nuestro usuario y contraseña.
• El usuario y contraseña son transportados hasta el servidor
para realizar la comparación con los almacenados en el
sistema.
• Si la comparación es positiva, se nos concede acceso.
50

Lo cual nos conduce a los posibles problemas:
• Podemos olvidar la contraseña.
• Alguien puede ver como la tecleamos o espiar lo que
tecleamos indirectamente. Un tipo de programas llamados
keyloggers graba todo lo que tecleamos en un archivo, de
modo que puede leerse la contraseña posteriormente.
También se puede grabar a la víctima en video, y pasar
después la grabación a cámara lenta para deducir que ha
tecleado.
• El sistema en que tecleamos puede transmitirla
subrepticiamente a un tercero.
• Las contraseñas pueden ser legibles en el tránsito entre
nuestro computador y un servidor. No son raros los protocolos
que envían sus contraseñas en claro por la red, como telnet o
SNMP. Es por esto que toda contraseña que viaje por
protocolos no cifrados debemos considerada como, en
principio, no confidencial.
• Alguien puede hacer un ataque por fuerza bruta, es decir,
probar todas las contraseñas posibles hasta dar con la
correcta.
• Alguien con acceso al sistema puede averiguar la contraseña,
dado que esta debe estar almacenada de algún modo para
poderla validar. Lógicamente, para comprobar si nuestra
contraseña es correcta, el sistema puede necesitar almacenar
su propia copia de esta para después poder compararla.
Para prevenir todos estos problemas, se adoptan las siguientes

soluciones;
• Utilizar contraseñas que sean fáciles de recordar. Para ello

debemos utilizar algún truco mnemotécnico. Lo que no
debemos hacer es escribirlas en ningún sitio, dado que
ofrecemos una oportunidad de que alguien pueda
averiguarlas.
• Situarnos de modo que no se pueda ver lo que tecleamos,
que lo que tecleamos no aparezca en pantalla, y eliminar las
emisiones electromagnéticas del equipo en que tecleamos la
contraseña.
51

• Transmitir la contraseña por un canal seguro, y transmitir en
lugar de la contraseña una prueba de que la conocemos.
Esta prueba puede utilizarse por ejemplo en una
autenticación por desafío y respuesta, o enviando una
prueba de que se conoce la contraseña, como puede ser un
hash de esta.
• Se puede almacenar una prueba del conocimiento de la
contraseña, como un hash, en lugar de la contraseña en sí
misma.
• Se pueden registrar los intentos fallidos de autenticación,
limitar el número de estos e introducir un retraso entre
intentos fallidos. Una posibilidad es duplicar el tiempo entre
intentos de autenticación por cada fallo consecutivo.
Como curiosidad, Microsoft Research ha descubierto recientemente

que el uso de manchas de tinta, como en un test de Rorschach,
permite recordar una contraseña larga y completamente personal, que
es al mismo tiempo muy difícil de adivinar por un tercero aunque pueda
ver estas manchas de tinta.
Las contraseñas fáciles de adivinar son la mayor amenaza. Un método

muy sencillo de averiguar una contraseña sencilla consiste en
reintentar metódicamente todas las contraseñas verosímiles,
hasta que encontremos la correcta. La protección ante la
adivinación consiste en
• uso de contraseñas fuertes y
• la educación de los usuarios.
¿Cómo es una contraseña fuerte? Aunque podemos hacer una lista

larguísima de condiciones que debe cumplir, podemos quedarnos con
cuatro que son fundamentales:
• Longitud suficiente. Como mínimo ocho caracteres.

Recordemos que si alguien intentar adivinar nuestra
contraseña, por cada carácter que añadimos a nuestra
contraseña, podemos llegar a multiplicar casi por 25 el tiempo
que necesita para romperla.
• No debe pertenecer a ningún diccionario en ningún
idioma.
52

• No debe pertenecer obviamente a nuestro entorno. No
debe estar relacionada con nuestra
o familia,
o gustos,
o aficiones,
o actualidad, o
o terminología profesional
• Debe tener caracteres diferentes de los habituales, como
o mayúsculas o
o números a mitad de palabra.
Es curioso que las políticas de contraseñas que hacen la inclusión de

números obligatorias puedan debilitar el password en vez de hacerla
más fuerte, debido a la tendencia de los usuarios de incluir sólo un
número. Si L es la longitud de la contraseña, en vez de 26 elevado a L,
el número de contraseñas verosímiles se reduce a L*10*26(L-1). Obligar
a incluir mayúsculas fortalecería significativamente la contraseña
si se evita la tendencia a que la mayúscula sea la primera letra de
la contraseña.
En general, debemos considerar siempre una contraseña como algo

temporal. Es el único medio de mejorar las posibilidades de que no
pueda ser averiguada por nadie.
Un inconveniente de las contraseñas es que existen muchos sistemas

en los que las utilizamos, con lo que existe una fuerte tendencia a
utilizar una o dos contraseñas, que muy raramente son modificadas.
Cuando hay muchos sistemas en que autenticarnos, típicamente
nos encontraremos con los siguientes problemas:
• Cada sistema tiene requisitos distintos acerca de la contraseña.
• La caducidad en cada sistema no está sincronizada.
• Para cambiar la contraseña, es necesario hacerlo en cada sistema.
• Es necesario introducir la contraseña varias veces en la misma
sesión de trabajo.
• La protección de la contraseña no es la misma en todos los
sistemas.
• El alta y baja de usuarios es dificultosa y no está bien sincronizada.
• La multiplicidad de contraseñas hace más difícil recordarlas.
• La gestión de autorizaciones está distribuida.
53

Una solución para evitar todos estos inconvenientes derivados de tener
docenas de repositorios distribuidos de credenciales es la utilización de
un directorio centralizado.
Como medios de autenticación distinto de las contraseñas más

frecuentes tenemos las llaves y tarjetas. Su compromiso consiste
simplemente en su hurto, robo, o copia.
El compromiso de los medios de autenticación biométricos es bastante

más cinematográfico, como puede ser una copia en cristal del iris de
una persona, o la copia en un adhesivo de la huella digital de una
persona. Actualmente se están buscando medios de desafío-respuesta
para evitar incluso esas posibilidades, sea enviando una pequeña
corriente para el caso de las huellas digitales, o cambios en la
iluminación para comprobar la reacción del ojo.
COMPROMISO DE CLAVES.
El compromiso de claves o credenciales es una de las amenazas con
consecuencias más serias, debido a que en muchas ocasiones, no sabremos
que el compromiso se ha producido. No tiene nada que ver que alguien
fuerce la entrada de mi casa, con que tenga llaves con las que puede
entrar y salir cuando quiera como si fuera yo mismo. El compromiso
de una credencial o una clave permite que un atacante pueda
actuar suplantándonos, con lo que
• no solamente adquiere la misma capacidad que tenemos, sino que
• puede no resultar sencillo que demostremos que no somos los
autores de las acciones de quien roba nuestra contraseña o llave.
Para evitar el compromiso de claves, es necesario almacenarlas a

prueba de
• copia,
• modificación o
• transmisión no autorizada.
INFRACCIÓN DE DERECHOS DE AUTOR.

La infracción de derechos de autor consiste en el uso o copia no
autorizado de algo, como puede ser software, sin pagar los derechos
correspondientes. Para protegerse existen técnicas de protección como
• claves de acceso al producto y
• la utilización de piezas de hardware como “mochilas”.
54

De momento ningún fabricante requiere la autenticación biométrica del
licenciante. No existen medios efectivos al 100% en el mundo
digital para evitar la copia no autorizada, dado que los bit que
componen un activo digital son pasivos, y en el momento en que este
flujo pasa por un canal derivable, estos se pueden grabar
sustrayéndose de toda protección que hayamos podido incluir en el
medio lógico o físico en que se encontrasen.
Otra posible infracción de derechos de autor se produce cuando

reclamamos como propia la autoría de algo que no es nuestro, lo que se
conoce como plagio. Es difícil protegerse del plagio a menos que
utilicemos
• un Registro de Propiedad intelectual, dado que con técnicas de
firma digital es posible demostrar la autoría ajena, pero no la
autoría propia de un activo digital. Otra posible protección es
• el uso de una forma de estenografía que incluye una firma
oculta, conocida como marca de agua por similitud con la
medida equivalente que se utiliza en los billetes corrientes. Esta
protección puede utilizarse en
o imágenes,
o video o
o música
por ejemplo.
DENEGACIÓN DE LA AUTORÍA PROPIA.

Es posible que neguemos nuestra autoría de algo, que es la
amenaza normalmente conocida como "Repudio". Para evitar esta
amenaza se pueden utilizar recibos digitales. Cuando se utiliza la
tecnología de PKI, declarar que nuestra clave privada ha sido robada
puede ser suficiente para que al menos planteemos la duda acerca de
nuestra autoría.
Para evitar que neguemos nuestra autoría es necesaria una

aceptación explicita, y normalmente el paso de un periodo de latencia
será el mecanismo que convierta aquello firmado por nosotros en
irrepudiable.

55

CÓDIGO MALICIOSO.
La mayor parte del código malicioso se aprovecha de una
característica fundamental de la arquitectura de ordenadores: un dato
puede ser tanto
• información del usuario, como
• instrucciones de la máquina, como
• direcciones en la memoria de esta.
Tanto los ataques a la pila como el “format string” sustituyen datos
• como direcciones (ataques a pila),
• como instrucciones (format string) por información de usuario,
que adquiere un control del sistema fuera del control de los
controles de accesos.
El código malicioso se aprovecha también de los sistemas operativos

que confían en todo software al que tienen acceso, en lugar de confiar
sólo en software explícitamente autorizado. No sólo eso, sino que no
se realiza una comprobación de integridad desde el momento en
que el software es compilado hasta que se ejecuta, con lo que se
hace vulnerable a modificación no autorizada.
La tecnología Java, con firma de código, y .Net son pasos en la
dirección correcta.
No olvidemos que un antivirus, en el fondo, es un parche para un
defecto común a casi todos los sistemas operativos modernos. Es
por esto que limitar los derechos de instalación de software es muy
importante para evitar la propagación del código malicioso.
Para protegerse del código malicioso se pueden usar

• medios de autenticación de software,
• integridad de archivos y
• antivirus.
Los siguientes tipos de software entran dentro de la categoría de

código malicioso:
• Un virus es un programa que se transmite de un sistema a otro,
necesitando cierta intervención del usuario, que normalmente
consiste en ejecutar un programa para difundirse.
• Un gusano propiamente dicho es un programa capaz de difundirse
por sí mismo de un sistema a otro, sin intervención del usuario.
56

Otros "gusanos" utilizan correo electrónico para propagarse,
atravesando cortafuegos sin ninguna cortapisa. Son mensajes con
archivos adjuntos ejecutables, que al ser abiertos por el usuario se
reenvían automáticamente a todos los que estén en su libreta de
direcciones. Algunas extensiones de archivos ejecutables no son
mostradas por Windows, como “vbs”, de modo que a veces el
usuario no sabe que está abriendo un archivo ejecutable. Los
“gusanos” de macro son parecidos, pero se transmiten de una
forma más vegetativa, a través de los directorios compartidos en
una red local.
• Un exploit es un programa que toma ventaja del hecho de que en
la arquitectura actual de computadoras
§ Los datos,
§ Las direcciones y
§ Las instrucciones son más o menos intercambiables para
• provocar daños o
• ganar acceso con derechos de administrador.
• Un troyano es un programa que se mantiene oculto en el sistema
hasta que se active
§ bien por unas circunstancias preprogramadas,
§ bien por un atacante.
El atacante busca beneficiarse de uso del troyano. Por ejemplo, un
programador podría introducir un troyano que se activa si las
facturas por su trabajo no son pagadas. Los troyanos no se
propagan por si mismos de un sistema a otro. Algunos se
enmascaran como
o una aplicación inocente, como
o un juego o
o un salvapantallas.
v Un keylogger es un troyano que graba o comunica todo lo
que se teclea en un ordenador.
v Un dialer es un troyano que se conecta a través del modem
con un teléfono que nos carga la llamada.
v Una bomba lógica es un troyano que provoca grandes e
irreparables daños en el sistema. El atacante sólo busca
hacer daño, no beneficiarse.
v Adware es un troyano que muestra anuncios no deseados.
57

v Spyware es un troyano que envía información sobre
nosotros, normalmente con fines de marketing.
v Una puerta trasera es un troyano que proporciona un acceso
oculto a un sistema con privilegios que suelen ser totales.
Un rootkit es un tipo de puerta trasera que consiste en un
conjunto de programas y scripts que permite ocultar que se
ha accedido a un sistema de forma ilegítima, manteniendo
abierta una puerta trasera a este.
La única garantía de que el software que instalamos en nuestros sistemas no

tiene ningún comportamiento distinto del que hemos contratado es
disponer del código fuente. Normalmente confiamos en que la
organización que nos vende el software no comete ningún fraude,
como cuando instalamos Windows. Ahora bien, en Microsoft Word hay
algunos comportamientos no documentados. ¿Qué otros
comportamientos no documentados existirán en el resto del software
que poseemos? Word, PowerPoint o Excel a veces intentan conectarse
con Internet, sin pedir autorización al usuario, ¿cómo nos garantiza el
fabricante que esta conexión es inocua?
Este es el motivo por el que muchos consideran que el código libre

merece más confianza que el código propietario. Como contrapartida,
ha habido intentos de contaminar código libre, como uno reciente que
buscaba añadir una puerta trasera a la kernel de Linux. Decidir si
consideramos que es más seguro un código que no conocemos o uno
que conocemos pero es más sencillo de acceder, aunque por otro lado
está vigilado por más gente es una cuestión de opinión personal.
INGENIERÍA SOCIAL.
La ingeniería social es una de las amenazas más graves y sencilla
de explotar. Por naturaleza existe una tendencia
• a confiar en los demás y especialmente
• a seguir las instrucciones de cualquiera que aparente tener más
conocimientos técnicos que nosotros.
De eso se aprovechan los atacantes.
58

Un ejemplo es la actualización de contraseña casi automática que
realizan algunos operarios, sin una comprobación de la identidad de
quien pide el cambio. Así es posible ganar acceso a una cuenta ajena,
sin necesidad siquiera de conocimientos en informática. Para evitarlo
hay que educar a los administradores y a los usuarios con cierto
escepticismo.
HURTOS, ROBOS.
El hurto consiste en la sustracción de un activo sin violencia. Cuando
se utiliza violencia, hablamos de robo.
Para evitarlo se puede

• usar marcado de los equipos que haga evidente su propiedad y
evite su venta fraudulenta,
• usar códigos de acceso que impidan su aprovechamiento
por personal ajeno a la organización, como se puede hacer
con ordenadores portátiles,
• usar inventario de equipos que nos permita detectar la falta de
equipos y demostrar la propiedad de equipos recuperados, y
• usar limitaciones de acceso físico que impidan el acceso de
potenciales ladrones a los activos, o la enajenación del activo,
sin excluir el uso de fijaciones como cadenas y candados.
ACCESO FÍSICO NO AUTORIZADO.

El acceso físico no autorizado consiste en el acceso a una zona
reservada, normalmente mediante el uso fraudulento de una credencial, o
debido a la falta de barreras de acceso físicas. Este tipo de amenaza se da
especialmente en organizaciones grandes en las que es posible
acceder a un área protegido por el anonimato que proporciona la masa.
PERDIDA DE SINCRONÍA.
Los sistemas necesitan
• una fuente fiable de fecha y hora para marcar la hora de
eventos, e incluso para tomar decisiones instantáneas en el caso
de sistemas de tiempo real. En otras ocasiones se necesita
• una colaboración entre sistemas para realizar una tarea, como
la consolidación de una base de datos distribuida, que requiere
conocer la precedencia entre sucesos.
59

Es por ello necesario que los sistemas de una organización estén
sincronizados. Cuando una transacción, como la venta de unas
acciones, requiera una fecha y horas precisas, el sistema puede ser
vulnerable a ataques que perjudiquen esta sincronización. La falta de
sincronía puede hacer muy difícil analizar un incidente en el sistema de
información, debido a que los log suelen utilizar la hora del sistema
para datar eventos.
Los ataques contra la sincronización pueden afectar tanto a la fuente

de fecha y hora, como a la comunicación con esta.
Para protegerse de este problema, es necesario proteger con cifrado

las comunicaciones con la fuente de tiempos.
FRAUDES.
Los fraudes consisten en aprovechar los recursos de la
organización de forma no legítima. Un ejemplo de fraude es un timo
mediante el cual se envía material de oficina de baja calidad a una gran
organización, y después se reclama su pago. Hay organizaciones que
caen en este timo cuando ante la insistencia de hacer efectivo el cobro
y la ausencia de medios para comprobar si se trata de un envío
solicitado o quien pidió el material, se paga al estafador.
La protección contra algunos de estos fraudes consiste en

• la elección adecuada de medios de pago,
• acceder a medios de evaluar la capacidad de pago de los clientes, y
obviamente
• pagar sólo lo que pedimos o contratamos.
Otros fraudes requieren tan sólo del sentido común acompañado de
cierto escepticismo.
2.4.2. ACCIDENTES.
Los accidentes se deben
• a causas naturales,
• al desgaste por el uso de los elementos físicos de la organización, o
• a características físicas del medio como es el ruido.
60

CATÁSTROFES.
Las catástrofes son incidentes no provocados, como
• terremotos,
• inundaciones,
• tornados,
• rayos,
• huracanes o
• fallos de corriente eléctrica.
En ocasiones fenómenos no menos violentos pueden ser también
catastróficos, como cuando coincide una fuerte ola de calor con una
avería en la refrigeración de un Centro de Proceso de Datos.
La protección contra catástrofes consiste en el uso de redundancia,

como
• copias de respaldo,
• SAI y
• tomas de alimentación redundantes,
• aire acondicionado,
• detectores de humedad,
• aislamiento contra radiofrecuencia,
• detectores de incendios,
• gases como el FM-200, más seguro que el halón,
• alarmas, y
• situar los sistemas en lugares de riesgo de catástrofe bajo.
FALLOS DE COMUNICACIÓN O DE ALMACENAMIENTO.

Al transmitir datos por un canal, o al almacenarlos en un medio,
estos se ven afectados por el ruido eléctrico, y a todo tipo de fallos
espurios.
Para prevenir este problema se podrían enviar los datos dos veces, y
que el receptor los comparase, dando la información por buena si
fueran iguales. Como esto hace que reduce la capacidad de datos
del canal a la mitad, se utilizan códigos especiales añadidos a los
datos que permiten detectar, y en algunos casos corregir, estos
errores. Gracias a estos códigos la pérdida de capacidad del canal es
mucho menor.
61

Otro ejemplo de código de redundancia se da cuando utilizamos
palabras para transmitir letras por teléfono. Cuando decimos B de
Barcelona, “arcelona” es redundante y simplemente evita cualquier
error en la identificación de la letra que queremos decir.
FALLOS EN EL HARDWARE O EN EL SOFTWARE.

Ni el hardware ni el software son perfectos. El hardware sufre fallos
aleatorios fruto de
• fallos de fabricación, de
• electricidad estática, o
• envejecimiento del material que suele agravarse por efectos
térmicos.
Actualmente la fabricación de software, es por su parte más un arte
que una ciencia, y se encuentran continuamente fallos incluso en
software de la industria espacial, como el fallo que destruyó el primer
Ariane V.
Para protegernos contra esta vulnerabilidad se utilizan

• los controles de calidad, y
• el uso de redundancia.
En el transbordador espacial, cinco computadoras ejecutan programas
con la misma función. Tres computadoras están activas en un
momento dado, con aplicaciones desarrolladas por tres equipos
independientes, y votan sus resultados, de modo que cuando dos
tienen un resultado, y la tercera uno distinto, se asume que este es un
error software. En el caso de fallo hardware en alguno de los tres, un
cuarto entra en funcionamiento, y si falla un segundo, el quinto pasa a
ser operativo. Este es un caso extremo de uso de redundancia para
evitar problemas por fallos hardware o software.
Los fallos en el software es algo que las organizaciones llevan

asumiendo desde que existe la informática. Para evitar que un fallo en
el software afecte a la organización es necesario almacenar la
suficiente información para devolver el sistema al estado anterior al
fallo.
62

2.4.3. ERRORES.
Errar es humano, y tanto los errores como la falta de diligencia son
amenazas de este tipo. Estos errores pueden ser para realizar ataques, pero
más frecuentemente suceden sin necesidad de provocarlos. Hay errores de
diseño, de implementación, de administración...
PERMANENCIA INCONTROLADA DE INFORMACIÓN O

SERVICIOS.
La otra cara de la moneda de la perdida de información es el error de
diseño que supone la permanencia incontrolada de información. En
el caso de una perdida, la información que precisamos ya no existe, en
el caso de la permanencia incontrolada, información que queríamos
destruir continúa existiendo.
El problema de permanencia incontrolada de información está

estrechamente relacionado con:
• El paso de los datos por almacenamientos intermedios.
• El uso de memoria secundaria que hace el sistema operativo
de los medios de almacenamiento.
• El efecto de memoria de los medios magnéticos.
Otro problema adicional, nada obvio, son los buscadores como

Google, que guardan una copia de las páginas que visitan en su
cache.
El almacenamiento de datos es rico en medios, podemos encontrar

datos almacenados en:
• Discos duros y otros medios magnéticos.
• Registros de la CPU.
• Memoria RAM.
• Cache.
• Buffer.
Y dentro del disco duro en estructuras como:

• Clúster. • Bases de Datos.
• Sectores de disco no usados. • Archivos
• Sistema de archivos temporales.
(partición, unidad, volumen...). • Swap.
• Archivos. • Coredump.
63

En su paso por estos medios y estructuras los datos no siempre son
eliminados completamente, con lo que nos encontraremos que en
muchas ocasiones en que creemos haber borrado algo, la
información es recuperable por terceros. El hecho de que el
coredump sea una copia del contenido de la memoria ha sido utilizado
por algunos cracker, que han provocado un fallo en la máquina, y
leyendo este archivo han descubierto claves de acceso.
Otro problema relacionado son las aplicaciones que guardan la

información de versiones y cambios anteriores en un archivo. Al
enviar este archivo a terceros, podemos encontrarnos con que hemos
enviado información que suponíamos eliminada del archivo. Este
problema se ha dado con Microsoft Word. Los formatos de archivo
propietarios, en general, nos impiden controlar con precisión la
información que enviamos y recibimos, dado que no sabemos que
correspondencia hay entre los datos de los archivos y nuestra
información.
Para evitar esta amenaza se puede:

• Utilizar herramientas de borrado permanente como Eraser.
• Dentro del proceso de baja de un activo, eliminar toda la
información o software que contuviera. En algunas
organizaciones los discos duros se queman en un horno
cuando dejan de ser utilizados.
• Elegir sistemas operativos que eviten los “escapes de
información”, por ejemplo sobrescribiendo las páginas de
memoria antes de liberarlas.
La permanencia incontrolada de servicios se debe a la falta de

diligencia del administrador o bien a la falta de comunicación entre
departamentos, de modo que cuando un servicio deja de ser
necesario, sin embargo sigue manteniéndose en el sistema.
Para evitar la amenaza de permanencia de servicios, es necesario

• establecer procedimientos eficaces de comunicación entre
los administradores y usuarios, y
• monitorizar el uso que se hace de los servicios para detectar
su abandono.
64

HOAX, CARTAS ENCADENADAS, SPAM.
Los fraudes (hoax) nos hacen
• perder el tiempo, y nos hacen
• perder sensibilidad ante las alarmas reales.
Son una forma de denegación de servicio, dado que consumen nuestro

tiempo y espacio de correo inútilmente. Un tipo muy habitual de
fraude o 'hoax" es una carta encadenada con información falsa u
obsoleta. Normalmente el destinatario sentirá que debe reenviarlo
• bien por superstición ante una amenaza, o
• con la esperanza de un premio.
Algunas características comunes de fraudes y correos

encadenados son:
• Solicitan que se envíen a todas las personas que se

conozcan. A veces recurren a la amenaza o al chantaje
emocional.
• Alertan sobre peligros como virus, intoxicaciones alimentarias,

defectos en productos de consumo, niños perdidos, etc. A
veces justifican la imposibilidad de comprobar el supuesto
defecto, como “El antivirus no lo detecta” o “El gobierno quiere
mantenerlo en secreto”.
Conviene recordar también que:
• Los correos en que se pide que se añada el nombre al final

por alguna causa noble son totalmente ineficaces, debido a
que son muy fáciles de falsificar y por tanto no son aceptados
como reivindicación.
• Las noticias sobre fabricantes que regalan productos, si se

hace esto o aquello, son normalmente falsas.
• Ninguna empresa ni organización gubernamental utiliza

correos encadenados como medio de comunicación. Si un
correo encadenado dice venir de Hotmail, Microsoft, Nokia, o
la Policía, es sin ninguna duda falso.
La protección consiste en educar a los usuarios en no reenviar

mensajes indiscriminadamente, inculcando cierto escepticismo.
65

Cuando se recibe un correo enviado como envío masivo se debe
evaluar si es verosímil y si se puede comprobar por otras fuentes
su veracidad. En ningún caso se deben seguir instrucciones
irreversibles, como por ejemplo si se nos pide que borremos algo, y
nos aseguremos que ha desaparecido de la bandeja de reciclaje.
En lugar de advertir a todos los posibles destinatarios acerca del

fraude, es aconsejable simplemente borrarlo.
INTERFACES POBRES.
Las aplicaciones interactivas se usan mediante interfaces. Cuando
una aplicación está mal diseñada, es posible que el usuario realice
acciones como borrar información, confirmar acciones u otros fallos,
con consecuencias potencialmente graves. Podría pensarse que el
responsable del error es el usuario, pero cuando el interfaz no está
diseñado de modo que prevenga los errores, estamos incurriendo en
un riesgo innecesario. Para evitar esta amenaza en los aviones Airbus,
el interfaz está diseñado de tal forma que impide a los pilotos realizar
maniobras que no son seguras para al avión.
Para protegerse debemos diseñar las aplicaciones de modo

• que soliciten confirmaciones que requieran atención, dado que el
usuario aprende a realizar operaciones mecánicamente (como
pulsar Enter),
• permitir la vuelta atrás en todas las operaciones en que sea
posible, y
• evitar ambigüedades en los mensajes del interfaz.
Para una confirmación es especialmente deseable presentar un

resumen de la acción que se va a aprobar. Para acciones
especialmente sensibles pueden introducirse retrasos artificiales
que obliguen al operario a reflexionar sobre lo que está haciendo.
ERROR HUMANO.
A pesar de todas las medidas que se pongan para prevenirlo, siempre
es posible que el error humano aparezca, por motivos como
• falta de diligencia o
• incompetencia.
66

Algunos errores especialmente espectaculares pueden llevar a ganar
un premio Darwin, que es el premio bufo que da la página Web
www.darwinawards.com a los que mejoran especie gracias a su
desaparición, algo que se hace evidente por su estúpida forma de
morir. Un error humano típico es el que cometen los
administradores que dejan los equipos en su configuración por
defecto.
Es debatible si la configuración por defecto debería permitir todo o

prohibir todo. La configuración por defecto “quita lo que no sirva”
lleva un trabajo muy parecido a la de “pon lo que necesites”. En el
fondo es una cuestión de ver el vaso medio lleno o medio vacío.
Aquellos que se preocupan por la seguridad se encuentran
configurando una y otra vez los mismos parámetros. Para ellos son
más cómodos los equipos seguros por defecto. Aquellos a quienes no
preocupa lo seguridad, prefieren todo activado por defecto. Ambas
opciones son potencialmente igual de efectivas, siempre y cuando
exista una preocupación por mantener el sistema seguro. A largo
plazo, el sistema necesita activar nuevos servicios y eliminar servicios
obsoletos, con lo que el esfuerzo es idéntico.
En el corto plazo es cuando la seguridad sale perdiendo debido a las

configuraciones por defecto, pero a largo plazo el problema no es
tanto que el equipo venga mal configurado como que este mal
administrado. Si supone una amenaza real que el interfaz sea tan
pobre que no advierta al administrador de las consecuencias en la
seguridad que tienen sus decisiones. Los sistemas con “todo
abierto”, deberían advertir con un informe al administrador de las
oportunidades que este deja abiertas para que la máquina sea
comprometida, como puede ser dejar una contraseña de
administrador demasiado sencilla.
La protección ante el error humano es compleja. Se suelen usar

• buenos interfaces,
• sistema de copia de respaldo, y
• educación del usuario.
Como ejemplo de “buen interfaz” los programas de borrado de

particiones y conversión de sistema de archivos suelen pedir que
tecleemos la etiqueta del volumen. El programa no necesita esta
información, pero nos obliga a reflexionar sobre la peligrosa operación
que estamos realizando.
67

CESIÓN DE MEDIOS DE AUTENTICACIÓN.
La cesión de medios de autenticación puede consistir en el préstamo
entre usuarios de una contraseña o de una tarjeta. De esta forma
alguien que en principio no está autorizado gana el acceso.
Hablaremos de cesión de contraseña por ser la más frecuente.
Esta amenaza con frecuencia tiene en su origen los siguientes

motivos:
• Falta de hincapié acerca de la importancia y responsabilidad
que conllevan el uso de las credenciales personales.
• Concesión de acceso a sus conjuntos de sistemas con
credenciales separadas para cada uno. Los usuarios se
ceden o intercambian credenciales para ganar acceso
rápidamente a otros sistemas.
• Retrasos excesivos en la concesión de credenciales. Los
usuarios se ceden la contraseña para poder trabajar.
Esta cesión de contraseñas se da con mucha frecuencia en

administración de sistemas. No es raro que la contraseña de root
comience siendo un secreto que aguanta dos semanas, hasta que
todos los operadores que han necesitado un acceso de forma puntual
la conocen.
La cesión de contraseña es una de las amenazas más importantes

que se dan dentro de una organización. Cuando la cesión de
contraseña se convierte en una costumbre, se pierde la
correspondencia que nos da la credencial entre la persona que
tiene concedido un acceso y esta persona,
• con lo que las responsabilidades se diluyen, y
• cuando alguien comete un error o un delito es imposible saber
quién fue.
Para evitarlo se pueden tomar varias medidas:
• Usar el número más pequeño posible de directorios de

credenciales.
• Informar a los usuarios de que son responsables personales
de cualquier acción realizada con sus credenciales.
• Conceder un único acceso simultáneo con unas credenciales
determinadas.
• Usar medidas de autenticación biométricas.
68

Es casi imposible evitar completamente la cesión de medios de
autenticación. Por ejemplo, aunque alguien no revele su contraseña,
siempre puede hacer login y permitir a otra persona acceder en su
lugar.
DERECHOS EXCESIVOS.
Existe un problema de derechos excesivos cuando alguien posee
derechos indebidos. En casi todos los casos los derechos excesivos
se conceden por errores de los administradores.
Una barrera importante para detectar casos de derechos excesivos es

la existencia de múltiples directorios de credenciales, dado que no
somos capaces de responder a la pregunta ¿a qué puede acceder esta
persona?, sin invertir mucho tiempo y esfuerzo.
Para evitarlo se puede tomar varias medidas:

• Usar el número más pequeño posible de directorios de
credenciales.
• Revisar periódicamente los derechos de todos los usuarios.
• informar a los usuarios de su obligación a notificar si tienen
accesos innecesarios para desarrollar sus responsabilidades.
INCUMPLIMIENTO DE NORMATIVAS.
El incumplimiento de normativas consiste en fallos de cumplimiento de
• leyes,
• regulaciones,
• obligaciones contractuales, etc.
Para protegerse de esta amenaza, podemos

• implantar normas y procedimientos internos consistentes con
la legislación, o
• si somos especialmente retorcidos, situarnos fuera del ámbito
de las legislaciones nacionales.
Por ejemplo algunas compañías utilizan un pseudoestado llamado
SeaLand para escapar al control de las leyes e impuestos de cualquier
país del mundo. SeaLand es una plataforma antiaérea que levantaron
los británicos durante la segunda guerra mundial, y que después de ser
abandonada por el ejército, fue ocupada por una familia y declarada
estado independiente. En aquella época la plataforma estaba fuera de
las aguas territoriales de cualquier país.
69

Actualmente una compañía llamada Havenco ofrece servicios de
housing, en principio fuera de cualquier regulación o legislación
nacional.
BAJA DE PERSONAL.
La baja de personal supone un riesgo debido al conocimiento de
• la compañía,
• sus procedimientos y
• contraseña que pueda tener esta persona.
El error más común consiste en no disponer de procedimientos de
baja que contemplen aspectos de seguridad.
Para protegerse contra esta amenaza, podemos:
• Cancelar todas las credenciales de la persona.

• Pedirle una declaración de todas las contraseñas que
conozca, para cambiarlas.
• Solicitar la devolución de todos los medios de acceso, como
tarjetas, etc.
• Garantizar que la información de la compañía es protegida y
transferida adecuadamente.
FALTA DE SUMINISTROS O DE DISTRIBUCIÓN.

Una organización precisa de todo tipo de suministros para su
funcionamiento, especialmente las del sector industrial. Cuando un
suministro se interrumpe, puede provocar problemas graves en los
procesos de negocio.
La protección más efectiva para una falta de suministro es la

disponibilidad de reservas. Un sistema de alimentación
ininterrumpida es exactamente eso: Una reserva de electricidad. Las
compañías automovilísticas en épocas de crisis internacional aumentan
su almacén de suministros, para protegerse de una posible falta de
estos.
Los productos de la organización deben llegar a los clientes. Cuando

hay fallos de distribución,
• la imagen de la organización o incluso
• los ingresos
pueden verse afectados. Para protegerse de esta amenaza es
necesario disponer de medios alternativos de distribución.
70

Lógicamente, hay productos tangibles e intangibles. En el caso de los
productos intangibles, la falta temporal de distribución no suele ser un
problema, excepto en el caso de los sistemas de información sobre
cotizaciones de bolsa, por poner un ejemplo.
VIOLACIÓN DE LA PRIVACIDAD.
Existe un fuerte conflicto entre la necesidad de autenticación y la
de privacidad. Por ejemplo, una compañía que vende coches necesita
saber quién compra, y si es necesario concederle un crédito, cuál es su
capacidad de pago. Por otra parte, el comprador puede no desear que
se sepa dónde y cuándo gasta su dinero.
Esta amenaza se da sobre todo en la relación entre una organización y

su cliente. Cuanta más información tenga la organización sobre el
cliente, más podrá hacer para darle un producto más a su medida e
intentar fidelizarlo. Las compañías de tarjetas de crédito saben que
compra quien y cuando, y disponen de registros históricos con esta
información. Sin embargo, no a todos los clientes les gusta que
distintas compañías sepan exactamente
• donde viven,
• que compran,
• cuándo y cuánto,
• con quien se comunican
y en general consideran su privacidad agredida por la cantidad de
información disponible acerca de ellos.
Una posible medida para evitar violar la privacidad sería que cada
persona pudiera utilizar un número arbitrario de “alter ego” digitales,
teniendo cada uno asociada sólo la información personal
imprescindible para cada tipo de transacción. Otra posibilidad sería el
uso de dinero electrónico, que como el dinero común no está
enlazado con la personalidad que realiza el pago. Quizá uno de los
motivos del poco éxito del dinero electrónico es el deseo de los
gobiernos de disponer de información sobre la ciudadanía.
71

2.5. AMENAZAS SECUNDARIAS.
Las amenazas secundarias son las relacionadas con
• el ciclo de vida de los activos y
• las medidas de seguridad.
v Cuando la selección, implantación u operación o pruebas de una medida (de

seguridad) es defectuosa, podemos adquirir una sensación de protección que
no se corresponde con la realidad.

v Cuando la selección, implantación u operación o pruebas de un activo es
defectuosa, podemos ver nuestras expectativas incumplidas.
Las amenazas Secundarias y Terciarias se diferencian de las Primarias en

que son evitables cuando la organización está capacitada para ello.
Hablaremos sólo acerca de las amenazas secundarias de las medidas de

seguridad. Las amenazas secundarias de los activos están relacionadas con
procesos de calidad, de gestión, y de selección de personal, fuera del alcance de
este libro.
2.5.1. SELECCIÓN O DISEÑO INCORRECTO DE LAS

MEDIDAS DE SEGURIDAD.
La selección o diseño incorrecto de las medidas de seguridad las hace
inefectivas. Para protegerse contra esta amenaza debemos probar la
efectividad de las medidas una vez implantadas, idealmente
contratando una auditoria periódica de las medidas de seguridad. Si
probamos nosotros mismos las medidas existe el peligro de que
comprobemos sólo lo que esperamos de las medidas de seguridad.
2.5.2. IMPLANTACIÓN INCORRECTA DE LAS MEDIDAS DE

SEGURIDAD.
Cuando implantamos medidas incoherentemente, desperdiciamos las
inversiones en seguridad. Por ejemplo, si al mismo tiempo que usamos el
mejor cifrado y cortafuegos del mundo, cualquiera puede entrar en el CPD y
llevarse uno de estos servidores debajo del brazo, estamos sufriendo de un
problema de implantación incorrecta de las medidas.
72

• La implantación efectiva de medidas de seguridad
o se concentra primero en las amenazas más probables, y
o despliega las soluciones de seguridad diligentemente.
• Para evitar implantaciones incorrectas debemos
o usar procedimientos de implantación de las medidas de
seguridad y
o auditarlas medidas periódicamente.
2.5.3. DEFECTOS EN LAS MEDIDAS DE SEGURIDAD.

Las medidas de seguridad, como cualquier otro activo, pueden tener
defectos. Un defecto típico consiste en el uso incorrecto de técnicas de
cifrado que las convierten en poco efectivas. La máquina Enigma, usada por
los alemanes en la Segunda Guerra Mundial, era descifrada rutinariamente
en Betchley Park gracias en parte a que muchos mensajes empezaban con
fórmulas predecibles, como “Heil, Hitler”.
Para detectar y corregir los defectos podemos:
• Realizar simulaciones de ataques y catástrofes.

• Mantenerse informado de los posibles hallazgos encontrados por
terceros en los productos que implementan nuestras medidas
de seguridad.
• Utilizar medidas ampliamente usadas. De este modo la probabilidad
de que se descubra y publique cualquier posible defecto aumenta.
Si un defecto no es publicado, tampoco será corregido y nada podrá
impedir un ataque por medio de él.
• Pedir ser auditados por terceros.
Defectos Comunes de Medidas de Seguridad.

• Uso de algoritmos inventados por legos.
• Uso de números aleatorios pobres.
• Comunicación de contraseñas en claro.
• Uso de claves cortas o débiles.
73

Los siguientes casos son defectos comunes de medidas de seguridad:
USO DE ALGORITMOS INVENTADOS POR LEGOS.

Tanto al almacenar como al transmitir la información o enviar un
mensaje, debemos utilizar los mejores algoritmos existentes en el
mercado, y NUNCA algoritmos inventados por nosotros mismos.
Los algoritmos de cifrado son diseñados y revisados por matemáticos
expertos, y los diseñados por legos son muy fáciles de romper,
independientemente de si el algoritmo es público o no.
USO DE NÚMEROS ALEATORIOS POBRES.

Para la generación de claves es necesaria la utilización de buenas
fuentes de números aleatorios, dado que en caso contrario las claves
pueden ser relativamente fáciles de predecir y romper.
COMUNICACIÓN DE CONTRASEÑAS EN CLARO.

Las contraseñas deben tratarse con especial cuidado, dado que son
muy utilizadas y son esenciales para el control de accesos. Las
contraseñas no deben almacenarse ni transportarse en claro, sino
que debe utilizarse en su lugar un hash de la contraseña. El tiempo de
permanencia en memoria de la contraseña debe minimizarse
borrándola en cuanto se haya calculado el hash.
USO DE CLAVES CORTAS O DÉBILES.

Una longitud de clave suficiente es esencial para prevenir el
criptoanálisis, dado que la dificultad de descifrar se debe a la
necesidad de utilizar una gran potencia de cálculo, potencia que
depende directamente de la longitud de la clave.
2.5.4. OPERACIÓN INCORRECTA DE LAS MEDIDAS DE

SEGURIDAD.
Cada medida de seguridad debe ser operada correctamente para tener un
efecto real en el cumplimiento de nuestras expectativas. Algunas
medidas de seguridad son complejas de operar, como por ejemplo
• los ciclos de vida (Generación, Distribución, Acceso, Eliminación), de
claves y credenciales, o
• los filtros entre zonas, como los cortafuegos.
74

Para protegerse de esta amenaza es necesario
• tener personal competente, bien formado, y
• disponer de procedimientos detallados de la operación de las medidas
de seguridad.
2.5.5. DEFECTOS O AUSENCIA DE PRUEBAS DE LAS

MEDIDAS.
Cuando no probamos las medidas de seguridad, podemos encontrarnos
con que son inútiles en el momento de producirse un incidente. La carencia
de pruebas nos impide evaluar
• si han sido seleccionadas e implantadas correctamente, y
• si se están operando correctamente.
Por ejemplo, si realizamos una copia de respaldo pero no probamos la
restauración de datos, puede resultar que no podamos recuperar la
información cuando se hace necesario.
ü Las medidas que reducen la vulnerabilidad se prueban con
simulaciones de ataques.
ü Las medidas que reducen el impacto se prueban con
simulaciones de incidentes o catástrofes.
2.6. AMENAZAS PRIMARIAS.

Las amenazas primarias están relacionadas con la capacidad de la organización
para mantener la seguridad. Estas amenazas impiden a la organización tomar
medidas de seguridad efectivas. La tecnología no puede corregirlas.
2.6.1. ORGANIZACIÓN INSEGURA.

Ø Cuando en una organización alguna responsabilidad no es asumida por
nadie,
Ø cuando una responsabilidad es asignada a una persona incompetente, o
Ø cuando nadie supervisa el desempeño de alguna responsabilidad
importante,
podemos encontramos con problemas gravísimos de seguridad.
75

Para prevenir esta amenaza podemos:
• Establecer una partición de responsabilidades, esto es, que todas

las responsabilidades sean cumplidas por algún grupo de trabajo o
persona, pero sólo por un grupo de trabajo o persona.
• Asegurar una relación uno a uno entre poder y responsabilidad. El
que un rol o un grupo de trabajo tengan asignada una
responsabilidad, debe acompañarse con
§ los recursos necesarios para desempeñarla, y
§ la capacidad completa para ejercerla.
Cuando realizar una tarea implique una aprobación externa, la
responsabilidad en realidad pertenece al rol que aprueba, y no
a quien la realiza.
• Establecer un control. Por cada rol existente debe existir otro
responsable de controlarlo, esto es, tener entre sus
responsabilidades el comprobar si el primero cumple sus
responsabilidades.
2.6.2. RESPONSABILIDADES DE SEGURIDAD MAL

DEFINIDAS O EJERCIDAS.
Los responsables de seguridad deben
Ø encargarse de detectar las expectativas de la organización,
Ø tomar las medidas más rentables para disminuir el riesgo, y
Ø supervisar el cumplimiento de las responsabilidades de seguridad de
aquellas que no desempeñe directamente.
Para este último fin, los responsables de seguridad tienen como

instrumentos:
• Política de Seguridad. P
• Estándares de Seguridad. E
• Normas de Seguridad. N de seguridad
• Acuerdos de Seguridad A
• Procedimientos de Seguridad. P
• Plan de Continuidad de Operaciones. P
• Normas de uso aceptable. N
76

En una organización que sufre de esta amenaza
• las responsabilidades de seguridad no están definidas,
• no se eligen las mejores medidas de seguridad y
• no se mantiene el personal de seguridad óptimo.
2.6.3. CARENCIA DE NORMATIVAS DE SEGURIDAD.

La carencia de política y normas de seguridad nos impide saber si estamos
tomando las medidas necesarias, y mucho menos las óptimas. Cuando los
objetivos de seguridad no están definidos ¿cómo saber si se están
cumpliendo?
Las normativas de seguridad mínimas son las siguientes:
• Política de seguridad, que debe especificar cuáles son las

expectativas de la organización. Sólo cuando conocemos estas
expectativas podemos tomar medidas proporcionales.
• Plan de Continuidad de Operaciones, también llamado plan de
recuperación de catástrofes, debe especificar las medidas a tomar
en caso de incidentes que pongan en peligro los activos críticos de
la organización o su actividad.
• Política de Uso Aceptable, que define el uso aceptable de los
sistemas. En su ausencia es imposible demostrar que un actor
interno haya hecho un uso incorrecto de los sistemas.
2.7. EL RIESGO Y SU MEDIDA.

El riesgo es el coste esperado de una amenaza en un plazo de tiempo dado. Para
decidir la mejor forma de gastar el presupuesto dedicado a la seguridad
necesitamos
• una valoración cuantitativa de los riesgos, y
• encontrar la forma de que se reduzcan (los riesgos) tanto como sea posible.
Ahora bien, realizar un cálculo que nos permita conocer qué medidas reducirán
más el riesgo en proporción a su coste es extraordinariamente difícil, debido a la
falta de información en la que basarnos.
El análisis de riesgos que realizan grandes firmas tiene muchas veces fundamentos
matemáticos sólidos, pero padecen de un problema grave: Si metes basura en un
cálculo, sale basura, y cuando los activos y la probabilidad de una amenaza son tan
difíciles de estimar, tendremos datos poco fiables para hacer las cuentas.
77

No se debe olvidar que usar estimaciones con matemáticas es como mezclar
magia con física. Las estimaciones sirven para cálculos cualitativos, no
cuantitativos.
Al examinar amenazas debemos distinguirlas por

• su posibilidad, ¿podría suceder?, y
• su probabilidad, ¿cómo cuantificar esa posibilidad?
La mejor estimación de la probabilidad de que una amenaza se materialice viene a
ser considerar que será tan presente en el futuro como en el pasado. Por ejemplo,
si ha habido diez hurtos de portátiles en un año, podemos estimar que habrá unos
diez hurtos el año que viene para el mismo parque de portátiles.
Dado que las organizaciones utilizan el año fiscal para todo tipo de propósitos de
gestión, como el presupuesto en seguridad, utilizaremos el año fiscal como base
sobre la que medir la posibilidad y probabilidad de una amenaza. Una buena
métrica de una amenaza puede ser el número de incidentes que podemos
esperar en un año fiscal. Incluimos de este modo en un sólo numeral
• la probabilidad,
• las oportunidades (como puede ser el parque de portátiles), y
• nos ayuda a estimar qué coste le va a suponer a la organización.
Cuando el número de incidentes que podemos esperar en un año es mucho menor
que uno, puede considerarse como posible pero poco probable. Ante este tipo de
amenazas uno debe centrarse en aquellas que pueden afectar mucho a la
organización, dado que ante las que afectan poco no será rentable establecer
medidas. Cuando el número de incidentes esperados es mayor de uno, dado
que el origen de las amenazas rara vez estará bajo nuestro control, tendremos
que actuar sobre la probabilidad de que nos afecten.
Sabiendo la probabilidad de una amenaza podemos decidir qué medidas

establecer para reducirla, medidas que conllevan un coste. Si pudiéramos comparar
este coste con la disminución del riesgo correspondiente, podríamos tomar decisiones
suficientemente informadas para nuestras inversiones en seguridad.
2.7.1. INCIDENTES Y SU COSTE.

Cuando una amenaza se materializa, tenemos un incidente. Algunos
incidentes son provocados (ataques), otros se producen por falta de
diligencia (errores), y otros son, podríamos decir, sobrevenidos (accidentes
o catástrofes). Cuando se ha producido un incidente, sea un ataque o no,
debemos ser capaces de detectarlo e identificarlo, dado que en caso
contrario no podremos limitar su impacto o defendernos.
78

Cuando faltan medidas de seguridad, pocas veces detectaremos un
incidente si no es por sus efectos. Si las medidas que implantamos son
suficientemente efectivas, ningún incidente, sea un ataque, un error, o un
accidente, debe afectar el cumplimiento de nuestras expectativas.
El manejo de incidentes es complejo, y aunque existe un interés lógico en la

identificación del atacante y las represalias legales y de otro tipo que se
pueden tomar, tiene un valor añadido que va más allá. El análisis de
incidentes nos proporciona información muy valiosa acerca del
funcionamiento de nuestras medidas de seguridad, e incluso los
incidentes que no llegan a producirse como tales pueden aportar
información útil. Mediante el análisis podemos
• reevaluar la probabilidad de la amenaza correspondiente,
• identificar su fuente,
• recolectar evidencia, e incluso
• tomar medidas de respuesta, normalmente legales.
Lo más interesante de un incidente no catastrófico o de un cuasi incidente
es qué nos dice acerca de nuestras medidas de seguridad. ¿Son eficientes?
¿Funcionan como estaba previsto?
A la hora de gestionar un incidente pueden realizarse las siguientes

acciones:
• Identificación del incidente.

• Recopilación y conservación de evidencia.
• Identificación del atacante.
• Reacción.
• Recuperación del incidente.
• Evaluación o análisis.
• Acciones legales.
Los efectos de un incidente pueden ser:
• Pérdida del activo.

• Modificación no autorizada del activo.
• Filtrado de información sobre el activo, conocido como intrusión, y
que suele servir de preparación de un ataque. Es una forma de
ataque de bajo impacto directo en la que el atacante gana
información sobre su objetivo.
• Interrupción de la disponibilidad o pérdida de eficacia inaceptable
del activo.
79

El impacto mide el perjuicio potencial de un incidente. Entre estos perjuicios
pueden estar:
Costes directos:
• Pérdida de ingresos.
• Pérdida o daño de propiedades.
• Pérdidas económicas directas.
• Pérdidas humanas.
• Pérdida de información.
• Pago de multas.
Costes indirectos:
• Pérdidas de imagen.
• Pérdida de confianza.
• Problemas inducidos de flujo de caja.
• Incumplimiento de contratos y otras responsabilidades legales.
• Incumplimiento de obligaciones sociales o morales.
• Gastos adicionales.
Para valorar un incidente debemos conocer como mínimo el valor de los

activos afectados. El coste total debe considerar cuánto cuesta restituir la
organización al estado anterior al incidente. De este modo podemos evaluar,
por ejemplo, una pérdida de imagen de la organización, dado que
contaremos como parte del coste del incidente
• los ingresos perdidos,
• campaña publicitaria para recuperar la confianza de los clientes,
• multas y otros gastos,
• perdidas de imagen y confianza,
• pérdidas de ingresos,
• problemas de cashflow, etc.
2.7.2. RETORNO DE INVERSIÓN EN SEGURIDAD.

El cálculo del retorno de inversión en seguridad permite determinar si
una medida de seguridad reduce lo suficiente el riesgo como para
compensar su coste.
Para que una inversión sea rentable la diferencia entre el riesgo antes y
después de la medida debe ser superior al coste de la medida.
80

Para un cualquier conjunto de amenazas que causan un mismo incidente el
coste en un periodo de inversión es
CA = Coste por incidente x Número de incidentes.
Por consiguiente, de tomar alguna medida para mitigar esta amenaza,

debemos invertir un máximo de CA, menos un euro. El nivel de riesgo que
conseguimos depende del CA que estemos dispuestos a aceptar, siendo
máximo riesgo la certeza de perder el valor del activo.
En el coste de la medida se incluyen

• los costes directos, como
o implantación,
o operación,
o adquisición y
• los indirectos, como
o selección,
o auditoría,
o monitorización, etc.
Para poder realizar una estimación del número de incidentes esperados,

es imprescindible
• mantener registro de ellos, o bien
• acceder a fuentes de información equivalentes para organizaciones
parecidas a la nuestra.
Es por ello que la recogida de la información es un coste indirecto intrínseco
al cálculo de la rentabilidad de la inversión en seguridad.
• Si no podemos basar nuestra estimación en datos históricos,
estaremos haciendo un acto de adivinación al estimar el número de
incidentes esperados en un año.
• Si la información que tenemos es especulativa, podemos justificar
cualquier decisión de inversión, con lo que podemos evitar fórmulas
matemáticas y simplemente tomar la decisión directamente. Hay una
anécdota famosa acerca de Bertrand Russell. En una tertulia afirmo
que dado como cierta cualquier proposición falsa, podía demostrarse
cualquier cosa. Se le pidió que dado 2 = 1 demostrara que él era el
Papa, y dijo: “Yo y el Papa somos dos, como 2 = 1, el Papa y yo somos
uno, luego yo soy el Papa”.
81

Después de la medida el coste de la amenaza es:
Nuevo Coste Amenaza = Coste por incidente x (Número de

Incidentes - Disminución de incidentes) + Coste de la medida.
La diferencia entre el coste de los incidentes con y sin la medida es:
Diferencia = Coste por Incidente x Disminución de Incidentes –

Coste de la Medida.
En el coste de la medida se incluyen los costes de

(indirecto)
• selección,
• implantación,
• operación, (directos)
• adquisición,
etc.
Por tanto la rentabilidad de la medida es:
ROSI = (CA – NCA)/CM
Rentabilidad = (Coste por Incidente * Disminución de incidentes -

Coste de la Medida) / Coste de la Medida.
La fórmula de rentabilidad dice: “Es rentable si reduce el riesgo existente

con proporción a su coste”. Esta fórmula es aplicable a amenazas cuyo
número de incidentes esperados al año es superior a uno.
Cuando el número de incidentes esperados sea inferior a uno la mejor opción es

buscar medidas que reduzcan el impacto. Estas medidas pueden llegar a
doblar el coste de un sistema de información, y es por esto que normalmente
se utilizan sólo para proteger los activos más importantes. Las medidas de
reducción de impacto tienen una ventaja notable: no protegen contra
amenazas específicas, como las medidas de reducción de vulnerabilidad,
sino contra una variedad de amenazas, incluyendo a veces amenazas
imprevisibles. Estas medidas ponen un límite a nuestras perdidas en el caso
de un incidente. Si hubiera dos fallos de disco consecutivos, y nos
salvásemos gracias a un array de discos ¿podríamos decir que el array vale
tanto como el doble del valor de la información? Obviamente no. Aunque no
podamos calcular su rentabilidad, si podemos medir su eficacia, ¿permite una
determinada medida la recuperación de la situación inicial en minutos, u
horas? ¿Funciona siempre o falla en ocasiones?
82

Caso práctico:
• Hay 2 hurtos de portátil en un parque de 50 en un año. El coste del
portátil es de 1800 euros. Al año siguiente el parque aumenta a 75
portátiles. Se decide poner candados, con un coste de 60 euros la
unidad. El siguiente año hay 1 robo de portátil. Al parque
aumentado le corresponderían 3 incidentes al año. Lo que significa
que se han evitado 2 incidentes.
• Si el valor de reemplazar el portátil fuera nulo, y el valor de la
información que contuviera cero, 1800 * 2 es menor que 75 * 60 =
4500, con lo que la medida no sería rentable. Los candados de 60
euros son rentables cuando la información del portátil vale más de
2.700 euros, o si esperáramos 5 hurtos para este año.
Con este tipo de análisis, podemos decidir poner candados sólo en

ordenadores con información importante, o calcular el precio máximo de
candados a poner a todos los portátiles.
Es de notar que la rentabilidad de una medida cualquiera variara de

organización a organización. En una organización en la que nadie roba
nunca un portátil, comprar candados para evitarlo tiene rentabilidad negativa.
Allá donde el robo sea frecuente. La medida será probablemente muy
rentable.
Cuando en el desarrollo de sistemas de información se tienen en cuenta los

requerimientos de seguridad desde la fase de diseño, y por tanto el sistema
final está diseñado para ser seguro, no es necesario aplicar medidas de seguridad
“externas” al sistema. Esto se traduce en un ahorro nada fácil de medir, pero que
intuitivamente parece obvio.
En la siguiente tabla se relacionan los tipos de medidas con su criterio de

selección y sus costes directos e indirectos.
83

84

Uno de los factores clave en el mantenimiento de la seguridad es la selección
de medidas de seguridad. Si elegimos mal en el mejor de los casos la medida será
poco rentable. En el peor de los casos nos dará una falsa sensación de seguridad,
sin mejorarla en absoluto.
La selección de medidas depende de varios factores, como

ü el entorno,
ü nuestras expectativas,
ü el valor de los activos,
ü el presupuesto, etc.
Al decidir cuáles son las mejores medidas de seguridad para una organización,
debemos tener en cuenta que:
• Existe un riesgo residual que no puede eliminarse.
• Toda medida será un compromiso entre
o nivel de protección,
o eficacia,
o facilidad de uso,
o facilidad de gestión,
o coste, etc.
No hay medidas perfectas.
• Dado que no hay medidas perfectas, es mejor una solución buena hoy
que una “perfecta” mañana.
• Para poder confiar en una medida debemos ponerla periódicamente a
prueba.
• El coste de la selección de una medida de seguridad debería ser
despreciable en comparación con el coste de la medida.
Para decidir cuánto vamos a gastar en, por ejemplo, control de accesos, debemos
decidir primero cual es el nivel de acceso deseado, y comprobar si ese nivel es
alcanzable con el presupuesto que tenemos. La paradoja de Mayfield ejemplifica el
compromiso en la selección de medidas demostrando que tanto para conseguir que
todo el mundo acceda a un sistema como para que nadie acceda a un sistema hay
que gastar infinito dinero, mientras que las posturas intermedias son relativamente
económicas.
85

El nivel de seguridad que conseguimos depende del riesgo que estemos
dispuestos a aceptar. Si queremos que el coste de la amenaza sea prácticamente
cero, tendremos que disminuir la probabilidad muy por debajo de uno en un periodo
de inversión tomando medidas de seguridad que reduzcan el impacto.
En el siguiente gráfico tenemos relacionadas cualitativamente varias propiedades

a considerar al seleccionar medidas de seguridad.
v Las medidas que disminuyen el impacto suelen hacer el sistema más difícil de
gestionar, y por tanto lo hacen más costoso. Este tipo de medidas deben
proteger activos para los que esté justificado el aumento de estos costes de
gestión.
v Las medidas que disminuyen la vulnerabilidad hacen los sistemas más difíciles de usar.
Para que la medida no sea contraproducente debemos determinar cuánto
podemos dificultar el uso del sistema sin perjudicar su empleo.
86

El presupuesto de seguridad determinara que medidas podemos permitimos.
Cuando éstas son insuficientes para garantizar el cumplimiento de las expectativas
de la organización, es el momento de informar a la dirección para bien
• aumentar el presupuesto, o
• rebajar las expectativas.
Dentro de la selección de medidas debemos enfocar nuestro trabajo primero a los

activos más valiosos, y las amenazas más probables (mayor vulnerabilidad). Si hay
varias medidas posibles, debemos elegir las más simples para contener su coste
de mantenimiento.
La medida de seguridad más simple es la eliminación de oportunidades. Por

ejemplo, si un edificio tiene quince entradas, es más eficaz convertir las
innecesarias en salidas de emergencia en lugar de poner guardia continua en ellas.
De igual modo, es más eficaz limitar a lo imprescindible el número de servidores y
servicios conectados directamente con Internet. Es más eficaz que todas las líneas
de teléfono sean digitales que establecer medidas para impedir que se introduzcan
módem analógicos en el edificio.
Ejemplos de medidas que previenen incidentes y por consiguiente disminuyen la

vulnerabilidad a amenazas conocidas:
• Cortafuegos externos.
• Candados.
• Control de accesos.
• Limitaciones horarias.
• Reservas de suministros.
• Diseño seguro.
• Activación sólo de los servicios necesarios.
Ejemplos de medidas que disminuyen el impacto, y por tanto protegen tanto contra
amenazas previsibles como imprevisibles:
• RAID.
• Copia de respaldo.
• Centro de respaldo.
• Líneas de comunicación redundantes.
• DMZ.
87

Ejemplos de medidas que mejoran la seguridad indirectamente, al capacitar a la
organización para mejorar la seguridad:
• Medidas de gestión de incidentes, incluyendo

o detección de intrusiones,
o reacción,
o identificación del atacante, etc.
• Auditorías periódicas.
• Selección de personal de seguridad por especialistas.
• Sistemas de detección de intrusiones.
• Análisis forense de equipos.
Aunque podamos recuperarnos de un incidente gracias a las medidas de

seguridad, esto puede acarrear interrupciones en la disponibilidad del activo. Si
además de proteger el activo tenemos expectativas de disponibilidad elevadas,
debemos evitar que el activo pueda ser afectado por un incidente aislado,
adoptando medidas en capas que eliminen los puntos únicos de fallo. Tomar
medidas que impidan los incidentes a pesar del fallo de una medida de seguridad
individual se conoce en la literatura de seguridad como “defense in depth”.
La prioridad de un activo puede hacerse granular, pero para la mayor parte de las
organizaciones se divide entre activos críticos y no críticos. La pérdida de un activo
no crítico es tolerable por definición. Cuando protegemos un activo, y
especialmente cuando lo consideramos crítico, todos aquellos activos de los
que dependa tendrán la misma clasificación, y por tanto, habrá que protegerlo
igual. Por ejemplo, si nuestra presencia en Internet a través de un servidor es
crítica, tanto el acceso físico a este, como el suministro de electricidad, como la
conexión con Internet necesitaran una protección de activo crítico.
Al evaluar medidas de seguridad es imprescindible considerar su eficacia

cuantitativamente. Por ejemplo, tomemos un sistema de reconocimiento de caras
que tiene una efectividad del 99.9%, en otras palabras por cada 1000 terroristas
que pasen por un punto, identificara correctamente a 999, y dejara escapar a uno,
mientras que darán un falso positive en el 0.01% de los casos. En principio parece
un gran sistema. Tomemos el caso de que por un aeropuerto pasan 10000
personas todos los días, y sólo hay una cámara de reconocimiento. Imaginemos
que ese día no hay ningún terrorista. Un 0.01% de los pasajeros serán
incorrectamente identificados tomo terroristas. Esto son 10 detenciones diarias de
media. Al cabo de poco tiempo, es difícil creer al sistema cuando afirma haber
detectado a uno. Si llevamos esto al terreno de los sistemas de información, no
parece nada sencillo justificar la utilidad de sistemas como los IDS. ¿Cuantos
incidentes reales reportan? ¿Es posible distinguir un ataque de un falso positivo?
88

Al elegir una medida de seguridad para un sistema de información hay varias
características deseables para que sus costes de gestión no sean
desproporcionados:
• Gestión centralizada, tanto de configuración como de almacenamiento de

logs.
• Gestión de ciclo de vida centralizado, cubriendo al menos:
o Distribución,
o actualización y
o configuración.
• Cumplimiento de estándares.
• Integración con otros productos.
Para resumir todo lo dicho,

• conociendo las expectativas de la organización, y los recursos de que
disponemos,
• tomando como precondición la existencia de una organización de
seguridad,
se pueden seleccionar medidas que
• maximicen la seguridad y
• sean tanto efectivas como rentables, haciendo un balance con la facilidad
de uso y los costes de gestión.
Como resultado de la selección, implantación y operación de estas
medidas, podremos garantizar el cumplimiento de las expectativas de
la organización a largo plazo, incluso ante un desastre.
En el resto de secciones de este capítulo veremos las técnicas, que describen el

qué se hace, y las tecnologías relacionadas, que determinan el cómo se toman
medidas de seguridad.
3.1. SOFTWARE Y SISTEMAS SEGUROS.

El software es el activo que sirve para ofrecer los servicios de información de
la organización. Para mantener la seguridad del software desarrollado, los
requerimientos de seguridad deben ser parte integral del ciclo de desarrollo,
desde la toma de requerimiento hasta la implantación. Existen varios estándares
propuestos para hacer el desarrollo de software seguro más sencillo, como
• gss-api que propone una API estándar,
• RBAC que propone un sistemas de control de accesos basado en roles.
• CSOR que pretende ser un registro de objetos de seguridad y
• OWASP que es una iniciativa para ayudar al desarrollo de aplicaciones web
seguros.
89

Cuanto más seguros sean nuestros sistemas por diseño, menos medidas de
seguridad necesitaremos. No debemos perder de vista que si se usan cortafuegos,
IDS y equipos similares se debe a defectos de diseño o construcción de nuestros
sistemas. Si los sistemas estuvieran diseñados para ser seguros, seria completamente
innecesario poner parches ni añadir equipos específicos que ayuden a que se cumplan
nuestros requisitos de seguridad. Por poner algunos ejemplos de defectos de
diseño,
• los sistemas operativos consideran como legítimamente ejecutable cualquier
archivo que se encuentre en su sistema de archivos, y carecen de medios
para comprobar su integridad. Como parche a este defecto, tenemos los
o antivirus y
o los programas de verificación de integridad, como tripwire.
Cuando los sistemas son por naturaleza inseguros, el aplicar parches normalmente
no acabara con esa inseguridad. Por ejemplo,
• un cortafuegos puede ser un parche para una aplicación pobremente

programada, o para un sistema pobremente configurado, pero el cortafuegos
no convertirá el sistema en seguro.
Los cortafuegos parchean problemas de diseño como:

• Falta de correspondencia biunívoca entre una máquina y una dirección IP,
con lo que no podemos estar seguros de quien se conecta con nosotros.
• Los sistemas operativos y aplicaciones no están diseñados y configurados
para conceder acceso sólo a quienes están autorizados.
• Existen errores en el software que facilitan accesos no autorizados al
sistema, usando programas conocidos como "exploits".
Cuando un cortafuegos llega a controlar

• el contenido,
• la estructura o
• la cantidad
de la información que llega a un servicio, está supliendo un defecto grave del
servicio, dado que este debería ser invulnerable por diseño a defectos en el
contenido, estructura o cantidad de información que se le pasa.
El sobreesfuerzo que supone comprobar la seguridad del código desarrollado

lleva a muchas organizaciones a utilizar software libre. Debido a que
• todos los usuarios de este software pueden examinar el código fuente,
• la probabilidad de que un error se descubra y corrija es mayor que con el
código propietario.
90

Cuando los requerimientos de seguridad son especialmente altos, el uso de
código propietario es simplemente inaceptable, especialmente si es fabricado en
otro país, dado que será muy difícil garantizar que no existen comportamientos
no documentados en el código, como
• troyanos,
• bombas lógicas,
• keyloggers o
• controles remotos.
La licencia que se acepta al comprar código propietario suele incluir una cláusula
que prohíbe la ingeniería inversa. Por ello, aunque pudiéramos hacer un análisis
del código máquina para encontrar debilidades, estaríamos violando esta licencia.
Hay un debate abierto sobre si los sistemas operativos deberían instalarse por
defecto con “todo cerrado”, lo que se supone más seguro, o “todo abierto”. Este
debate mira sólo el corto plazo y la comodidad del administrador del sistema.
Los administradores preocupados por la seguridad prefieren “Todo cerrado”, los
que quieren usar cómodamente el sistema, prefieren “todo abierto”. En cualquier
caso, la seguridad depende de la calidad de la administración a largo plazo, y
no de la configuración por defecto de los sistemas operativos y aplicaciones.
Veremos ahora algunas consideraciones acerca del Desarrollo de Software

Seguro.
3.1.1. TOMA DE REQUERIMIENTOS.

Para proteger las expectativas, en la fase de toma de requisitos debemos
examinar tanto los Requisitos Funcionales como:
• Requisitos de control de accesos.
• Requisitos de fiabilidad.
• Requisitos de secreto.
3.1.2. SELECCIÓN Y ADQUISICIÓN.

Al seleccionar y adquirir software debemos introducir consideraciones de
cumplimiento de los requerimientos de seguridad que están derivados
de nuestras expectativas. Tanto en RFP's como en nuestros contratos con
suministradores y clientes debemos reflejar estos requerimientos y
compromisos.
91

3.1.3. ANÁLISIS.
El análisis debe añadir a todos los requisitos derivados de la funcionalidad
del proyecto, los requisitos de seguridad que se deriven de las
expectativas de la organización ante el sistema. Una vez que los
conocemos en detalle podemos convertirlos en requerimientos para el
desarrollo. Los requisitos dicen que debe hacer el software.
Los requerimientos formulan de una forma cuantitativa y no ambigua como

debe cumplir el software los requisitos
Ejemplo:
• Requisito: Debería poderse comprobar quien ha realizado cualquier

operación sobre la contabilidad.
• Requerimientos correspondientes:
v Las operaciones contables deben quedar registradas, indicando
• los detalles de la operación,
• la cuenta de usuario utilizada y
• la fecha.
v El registro de una operación sólo debe ser accesible por el
súperusuario de la aplicación.
v El súperusuario no puede borrar el registro de ninguna
operación.
3.1.4. DISEÑO.
El diseño debe seleccionar las técnicas y tecnologías más adecuadas para
cumplir con los requerimientos de seguridad que se deducen del análisis.
A continuación veremos unos consejos genéricos de diseño. Lógicamente

habrá aplicaciones donde no serán pertinentes, como aplicaciones que no
necesiten control de accesos.
Consejos Genéricos de Diseño.

• Autentificar al actor.
• Autorizar al actor.
• Minimizar los privilegios.
• Dejar evidencia.
• Ayudar al usuario a garantizar la calidad y secreto de las contraseñas.
• Evitar los ataques con uso masivo de contraseñas.
• Prevenir los errores del usuario.
• Incluir una comprobación de integridad en los binarios, de modo que
indiquen al usuario si han sido modificados.
92

AUTENTIFICAR AL ACTOR.
Las funciones deben identificar siempre que sea posible al actor que
ha desencadenado el evento, sea otro programa o un usuario.
AUTORIZAR AL ACTOR.
Las funciones deben dar al actor identificado los derechos
predefinidos bien en el sistema o bien en un sistema externo,
idealmente un directorio centralizado. La verificación de estos derechos
debe realizarse en el momento en que estos vayan a utilizarse.
• Una medida extra de seguridad puede ser volver a solicitar la
autenticación o comprobar si la dirección IP del actor no ha
cambiado.
• Otra medida aconsejable es que si el actor es un sistema o
programa, comprobar que toda la cadena de llamantes tienen
autorización.
MINIMIZAR LOS PRIVILEGIOS.

A priori cualquier actor debe tener derechos nulos o mínimos, a
menos que se le autorice lo contrario. Se deben conceder sólo los
privilegios mínimos que permiten utilizar la funcionalidad autorizada.
DEJAR EVIDENCIA.
Debe existir evidencia, idealmente en un log sólo modificable por la
aplicación, de todos los usos de servicios en el sistema que superen un
determinado umbral de criticidad, en especial
• las operaciones de tipo económico y
• los accesos a información confidencial.
Debe dejarse evidencia de todos los intentos de autenticación,
tanto los exitosos como los fallidos. En el log debe incluirse al menos:
• usuario,
• dirección de origen,
• fecha y hora,
• recurso al que se quería acceder y
• derecho que se pretendía ejercer sobre el recurso.
93

AYUDAR AL USUARIO A GARANTIZAR LA CALIDAD Y
SECRETO DE LAS CONTRASEÑAS.
El usuario normalmente seguirá el camino de mínimo esfuerzo para
elegir su contraseña. Debemos evaluar la calidad de ésta, y rechazar
las que no la alcancen, explicando al usuario el motivo específico del
rechazo. Las contraseñas deben cambiarse periódicamente. Al
introducir contraseñas, no debe aparecer en pantalla nada que indique
a un posible espía ni la contraseña, ni su longitud.
EVITAR LOS ATAQUES CON USO MASIVO DE

CONTRASEÑAS.
Es muy sencillo evitar estos ataques
• introduciendo retrasos artificiales en la admisión de una
nueva contraseña cuando se produce un error, y
• limitando el número de posibles intentos antes de notificar al
administrador.
PREVENIR LOS ERRORES DEL USUARIO.

Los usuarios comenten errores. Por lo tanto es aconsejable solicitar
su confirmación de cualquier uso del sistema que tenga
• consecuencias irreversibles,
• repercusiones económicas, y en general
• cualquier funcionalidad descrita como sensible en los
requerimientos.
No está de más avisarle de que esa acción quedara registrada.
INCLUIR UNA COMPROBACIÓN DE INTEGRIDAD EN LOS

BINARIOS, DE MODO QUE INDIQUEN AL USUARIO SI HAN
SIDO MODIFICADOS.
Si la forma compilada del programa verifica la integridad del archivo
antes de ejecutarse, prevendremos
• la infección por virus, y
• los errores por corrupción del binario.
94

3.1.5. CONSTRUCCIÓN DE SOFTWARE SEGURO.
La construcción de software seguro implica evitar todas las prácticas de
programación que conducen a debilidades en el software.
Prácticas de Programación que conducen a debilidades en el

software
• Validar o limitar todas las entradas.
• Evitar el desbordamiento de la pila.
• Inicializar siempre las variables.
• Utilizar buenos números aleatorios.
• No almacenar ni transportar información secreta en claro.
• Utilizar los mejores algoritmos de cifrado disponibles.
• Utilizar claves de suficiente longitud.
• Comprobar la integridad de la información.
• Borrar efectivamente la información cuando deja de utilizarse.
• Autolimitar los recursos que se utilizan.
• No utilizar comandos vulnerables del lenguaje elegido.
• Probar la integridad especialmente cuando el código proviene de una
tercera parte.
• Lanzar una excepción cuando se produzca un error.
VALIDAR O LIMITAR TODAS LAS ENTRADAS.

Debemos considerar como entradas cualquier información, sea
• la introducida por el usuario o bien
• nombres de archivos,
• variables de entorno,
• URLs,
• HTML,
• XML, etc.
Validar que las entradas a cada función son correctas previene

• desbordamientos de pila y
• comportamientos no predecibles de la función que pueden tener
un resultado adverso para la seguridad.
Se debe comprobar tanto que la entrada

• tienen valores y longitud manejables, como que
• está correctamente expresada en la codificación esperada.
Es necesario que el programador conozca las distintas
codificaciones (UTF-8, ISO8859-1, etc.) en que la información
puede ser proporcionada, especialmente en Internet.
95

• Cuando sea posible podemos validar la entrada con alguna base
de datos en que confiemos.
• No se deben permitir como entrada palabras reservadas de
lenguajes cuando estimamos que pueden ser reenviadas a otro
sistema.
Una alternativa a validar las entradas del usuario consiste en limitar

las entradas que se pueden hacer, con una lista desplegable por
ejemplo. En el caso de fechas es una solución muy utilizada, dado que
cada usuario puede escribir una fecha de un modo completamente
distinto.
EVITAR EL DESBORDAMIENTO DE LA PILA.

La mayor parte de los ataques consisten en un desbordamiento de la
pila para ganar los privilegios del programa atacado. Existen técnicas
que dificultan estos ataques, algunas de las cuales han sido
incorporadas en determinados compiladores, como gcc (Propolice y
StackGuard).
INICIALIZAR SIEMPRE LAS VARIABLES.

Esta práctica tiene los mismos efectos que Validar todas las entradas.
UTILIZAR BUENOS NÚMEROS ALEATORIOS.

Para la generación de claves es necesaria la utilización de buenas
fuentes de números aleatorios, dado que en caso contrario estas
pueden ser relativamente fáciles de predecir y romper.
NO ALMACENAR NI TRANSPORTAR INFORMACIÓN

SECRETA EN CLARO.
La información secreta como las contraseñas no debe almacenarse ni
transportarse en claro. En el caso de contraseñas puede utilizarse
en su lugar un hash, que nos permita probar su conocimiento sin
necesidad de revelarla ni de almacenarla. El tiempo de permanencia en
cualquier almacenamiento intermedio, sea cache, memoria o archivos
temporales debe minimizarse borrándola en cuanto sea posible. Cuando
se utilicen archivos temporales estos
• sólo deben poder utilizarse por el programa que los creo, y
• deben sobrescribirse cuando se hayan dejado de utilizar.
96

UTILIZAR LOS MEJORES ALGORITMOS DE CIFRADO
DISPONIBLES.
Tanto al
• almacenar como al
• transmitir la información o
• enviar un mensaje,
debemos utilizar los mejores algoritmos existentes en el mercado,
y NUNCA algoritmos inventados por nosotros mismos. Los
algoritmos de cifrado son diseñados y revisados por matemáticos
expertos, y los diseñados por legos son muy fáciles de romper,
independientemente de si el algoritmo es público o no.
UTILIZAR CLAVES DE SUFICIENTE LONGITUD.

La longitud de la clave es esencial para prevenir el criptoanálisis,
dado que la dificultad de descifrar se debe a la necesidad de utilizar
grandes cantidades de cálculo, que dependen directamente de la
longitud de la clave.
COMPROBAR LA INTEGRIDAD DE LA INFORMACIÓN.

Cuando la información guardada sea suficientemente importante,
debemos introducir mecanismos de firma que garanticen que esta
no se ha modificado entre el momento que se almacenó, y el
momento en que se utiliza. Para coordinar aplicaciones debemos
evitar el uso de archivos de bloqueo, siendo preferible utilizar otras
facilidades del sistema operativo.
BORRAR EFECTIVAMENTE LA INFORMACIÓN CUANDO

DEJA DE UTILIZARSE.
Cuando una unidad de información ha sido utilizada, debe
garantizarse su desaparición del sistema, normalmente
sobrescribiéndola. El liberar la memoria no es suficiente, dado que
determinados sistemas operativos no sobrescriben la memoria
liberada, y esa información puede acabar, por ejemplo,
• en un coredump o
• en el archivo de swap.
97

AUTOLIMITAR LOS RECURSOS QUE SE UTILIZAN.
Si es posible debemos autolimitar la cantidad de recursos de
sistema que vamos a utilizar, para evitar que un error o un ataque
resulte en una denegación de servicio debido a que hayamos usado
toda la memoria, disco, ancho de banda o CPU disponible. Es muy
difícil predecir los recursos que vamos a necesitar para una tarea, y es
preferible que alguna tarea legítima no se realice por una utilización
excesiva de recursos a que consumamos más de lo debido. El ataque Zip of
Death y similares existen gracias a fallos en la aplicación de esta regla.
NO UTILIZAR COMANDOS VULNERABLES DEL LENGUAJE

ELEGIDO.
Estudiar las características de seguridad de los lenguajes utilizados y
no utilizar las palabras claves o expresiones reconocidas como
vulnerables.
PROBAR LA INTEGRIDAD ESPECIALMENTE CUANDO EL

CÓDIGO PROVIENE DE UNA TERCERA PARTE.
Incluir en el plan pruebas específicas de seguridad, y examinar la
integridad
o de los componentes y
o código
que vengan de terceras partes antes de incluirlas en un sistema.
LANZAR UNA EXCEPCIÓN CUANDO SE PRODUZCA UN

ERROR.
• En caso de un error previsto, el programa debe terminar
registrando en un log la razón del error.
• En el caso de errores imprevistos, la información guardada en el
log debe permitir investigar el fallo mientras el programa esté en
desarrollo.
Cuando el programa pase a producción puede considerarse eliminar
esta información.
98

3.1.6. PRUEBAS.
El primer paso al entrar en la fase de pruebas puede ser eliminar las APIs
de prueba utilizadas durante el desarrollo, para evitar que se integren en
el código. Estas APIs pueden dar lugar a funcionalidad no pretendida en el
diseño de la aplicación.
Dentro de las pruebas del software, los requerimientos de seguridad

pueden probarse como cualquier otro requerimiento. El cumplimiento de
los requerimientos se comprueba simulando usuarios autorizados.
En las pruebas se deben considerar tanto

• el comportamiento esperado, como
• los fallos esperados del comportamiento habitual (como qué pasa si la
entrada es incorrecta).
Además podemos evitar parcialmente los problemas de seguridad
relacionados con funcionalidades no pretendidas simulando usuarios que
intenten realizar operaciones no autorizadas o tirar el sistema.
Para probar la seguridad de la aplicación también podemos:
• Denegar el acceso a
§ archivos,
§ librerías,
§ variables de entono, y
§ otros recursos necesarios para un correcto funcionamiento.
Comprobar que se muestra un mensaje de error que lo identifica.
• Proporcionar acceso a
§ archivos,
§ librerías,
§ variables de entorno y
§ otros recursos con nombres o contenidos inválidos.
• Verificar que no se utilizan características de los lenguajes o
sistemas operativos que se conocen como vulnerables.
• Forzar la aplicación a funcionar en un sistema con recursos por
debajo de la especificación,
§ falta de disco,
§ conexión de red o
§ permisos de archivos o bases de datos incorrectos.
99

• Someter la aplicación a una carga por encima de su capacidad,
probando la existencia de “condiciones de carrera”.
• Comprobar que los log generados se corresponden con las
operaciones realizadas y con las fallidas...
3.1.7. IMPLANTACIÓN.
En la implantación del software debemos asegurarnos de que este no es
modificado respecto del código que hemos probado. Esto puede verificarse
utilizando sumas de comprobación.
ACCEDER SÓLO A RECURSOS CONFIABLES, Y TOMANDO

PRECAUCIONES.
Sólo debemos acceder a recursos, sean estas librerías u otros

sistemas, si tenemos razones para confiar en ellos. Además este
acceso debe realizarse mediante las medidas de seguridad
requeridas por ese sistema, pero sin limitarse a éstas. Por ejemplo,
si el acceso requiere usuario/contraseña, esta contraseña se
modificara periódicamente, lo requiera el sistema externo o no. Un
programa “seguro” sólo debería invocar a otros programas que también
lo sean.
DISEÑAR LOS ARCHIVOS DE CONFIGURACIÓN DE MODO

QUE SÓLO LOS ADMINISTRADORES PUEDAN
GESTIONARLOS.
Los archivos de configuración de la aplicación sólo deben ser
modificables por los administradores del sistema. Idealmente los
archivos de configuración deberían
• modificarse a través de la propia aplicación, y
• estar protegidos como información confidencial.
3.1.8. MANTENIMIENTO.
Se suelen reconocer cuatro tipos de mantenimiento,
ü el correctivo,
ü el perfectivo,
ü el evolutivo y
ü el adaptativo.
100

El parcheo que se realiza en sistemas operativos y aplicaciones para tapar
los agujeros de seguridad que se van descubriendo se considera como
correctivo.
• También se descubren con frecuencia defectos en la mayor parte de las
medidas de seguridad basadas en software. Este es el motivo por el que
una medida de seguridad robusta no debe basarse en el conocimiento
o de la existencia o
o de la naturaleza de esta,
sino que deben ser tanto públicas como ampliamente utilizadas.
• Cuando formamos parte de una comunidad amplia de usuarios de una
medida de seguridad, la probabilidad de que cualquier debilidad de la
medida se descubra y se haga pública aumenta. El hacer público el
problema y su solución nos da una oportunidad de corregir el problema
que en caso de utilizar medidas en una pequeña comunidad no
tendremos.
• Si tenemos medidas de seguridad poco utilizadas, en caso de descubrirse
una vulnerabilidad, la ventana de oportunidad para atacarnos
posiblemente no se cierre nunca, con lo que nuestra vulnerabilidad
aumenta de forma desproporcionada.
El parcheo continuo constituye un trabajo que no termina nunca, y que se ve

dificultado por la incompetencia de algunos fabricantes. Esto ha dado lugar al
infierno del parcheo:
• Es necesario determinar que sistemas necesitan el parche.
• Hay que modificar los procedimientos de instalación para que todos
los sistemas instalados a partir de ahora lleven el parche.
• Es necesario distribuir determinados parches de cliente a un
número muy grande de máquinas.
• Algunos parches de seguridad son incompatibles con otros.
• Al actualizar ciertos componentes del software podemos deshacer
cambios realizados por un parche, con lo que es necesario volver a
aplicarlo.
• Hay parches que tienen que aplicarse en determinado orden.
• Es necesario detener el sistema para aplicar los parches.
• Hay máquinas de terceros con los que interactuamos que no
podemos parchear.
• Cuando aparece el parche de un componente con dialogo suele
aparecer antes para la versión inglesa del sistema operativo.
Podemos optar por parchear dos veces, o esperar a que aparezca
la versión en nuestro idioma.
101

• A veces es imposible la vuelta atrás, con lo que un parche
defectuoso queda “enquistado” en el sistema.
La corrección y evolución del software tiene el potencial de introducir fallos no

presentes en el diseño inicial. Esto se puede mitigar mediante pruebas de
regresión en que se simulen tanto usuarios autorizados como no autorizados.
3.2. TÉCNICAS QUE MITIGAN AMENAZAS TERCIARIAS.

Una técnica es una forma de actuar ante una amenaza, independientemente de los
medios efectivos que se utilicen. Por ejemplo, si se determina que ciertos mensajes
se mantengan en secreto, podemos utilizar técnicas de cifrado o blindar el medio.
Tanto una como otra técnica puede llevarse a cabo mediante diversas tecnologías,
como
• cifrado del canal con TLS,
• cifrado del mensaje con Skipjack, o
• en el caso de blindaje el uso de fibra óptica punto a punto.
3.2.1. ELIMINACIÓN DE OPORTUNIDADES.

La eliminación de oportunidades es la técnica de seguridad más efectiva,
con diferencia. Es una medida conceptualmente simple, y la dificultad de su
aplicación consiste simplemente en ser, en el fondo, un problema de
gestión. Tomemos por ejemplo el caso de un servicio que deja de ser
utilizado. ¿Cuantas veces los gestores notificaran a los técnicos de este
hecho, y será este servicio retirado? Desgraciadamente menos de las que se
debería. En cualquier sistema de información complejo y vivo encontraremos
servicios innecesarios activos, que suponen una oportunidad de ataque.
Como alternativa a la eliminación de oportunidades, podemos disminuirlas.

Un ejemplo de aplicación de esta técnica
• permitir el acceso a un sistema sólo en el margen horario en que es
legítimo su uso, en general,
• el uso de caducidad de medios de autenticación, credenciales y claves,
lo que obliga a su cambio periódico,
son medidas que disminuyen las oportunidades para ataques, errores y
accidentes.
102

Una tercera alternativa relacionada es la división en zonas, con filtrado
entre ellas. Un ejemplo típico es el uso de las DMZ, o zonas
desmilitarizadas. Mediante esta división se consigue disminuir las
oportunidades de un hipotético atacante, dado que en caso de ganar acceso
a una máquina de la DMZ, sólo tiene un acceso sencillo a las máquinas de
esa zona. Desgraciadamente la división en zonas no se usa lo suficiente, y la
mayor parte de las veces consiste en una división puramente técnica, y no
administrativa. En la mayor parte de los casos veremos una política de
seguridad aplicada tanto a un sistema de producción, como a otro de
desarrollo, cuando las expectativas de ambos sistemas son distintas, y por
consiguiente deberían encontrarse en zonas tanto técnica como
normativamente separadas.
Una zona es una división que tiene fronteras:
• Está gestionada por un sólo equipo.

• Tiene una función determinada.
• Tiene unas expectativas uniformes.
• Trabaja bajo el mismo entorno operativo.
Es muy difícil insistir lo suficiente en el valor de eliminar las oportunidades,

dado que es la medida de seguridad más eficaz, sobre todo si la
comparamos con su coste, por al menos tres motivos:
• Es una cuestión de gestión, que en muchas ocasiones no depende

directamente de los responsables de seguridad.
• Es mucho más económica que cualquier otra técnica.
• Es la técnica más efectiva. Donde se elimina la oportunidad. La
vulnerabilidad es cero.
La eliminación de oportunidades nos permite enfocar nuestros esfuerzos en

el resto de medidas de seguridad, que obviamente habrá que tomar aunque
eliminemos todas las oportunidades posibles.
103

3.2.2. REDUNDANCIA.
Se utiliza redundancia
• para eliminar los puntos únicos de fallo y
• para emplear de forma fiable canales o medios que son
inherentemente poco fiables.
Un punto único de fallo es aquel cuyo fallo implica el fallo del sistema,
de modo que las probabilidades de fallo de un sistema son al menos tan altas
como las del punto único de fallo más débil del sistema. Es por esto que
cuando tenemos expectativas altas respecto de la fiabilidad de un
sistema. La eliminación de puntos de fallo único es el principal camino
a seguir.
Los inconvenientes de esta técnica son

ü su coste directo,
ü la dificultad de administración que implica invariablemente, y
ü que los sistemas muy redundantes son al mismo tiempo muy complejos.
La complejidad de un sistema redundante puede afectar a su fiabilidad, dado
que puede fallar de formas que no fallaría un sistema más simple. Es por
esto que sea una técnica que suele aplicarse sólo a los activos críticos
de lo organización. La redundancia
• minimiza el impacto de un incidente, pero
• no disminuye la vulnerabilidad del sistema ante cualquier amenaza.
Existen distintas formas de aplicar esta técnica, dependiendo de las

expectativas que tengamos en la recuperación del fallo, si la recuperación no
se debe notar, o si puede tardar minutos, horas o días. Podemos aplicar
redundancia tanto de proceso como de almacenamiento, comunicación y
entrada / salida.
• Proceso - Un clúster con fail-over es un ejemplo del uso de
redundancia. Su tiempo de recuperación suele ser de pocos
minutos.
• Almacenamiento - Las copias de seguridad suponen un ejemplo
de redundancia de la información, siempre que haya una copia
válida de la información disponible. Su tiempo de recuperación, si
los sistemas y el software están disponibles es típicamente de
horas, y si no lo están, de días.
• Comunicación - Una línea RDSI puede usarse como respaldo de
una línea frame-relay.
• Entrada/salida - Imprimir por una impresora cuando la habitual esta
estropeada es un ejemplo de redundancia.
104

Para que una aplicación de esta técnica sea efectiva, es imprescindible
realizar simulaciones de incidentes lo más reales posible. En caso
contrario en el momento de la verdad podemos encontrarnos con que no es
operativo, como es el caso
• de no poder restaurar una copia de respaldo, o
• cuando cambios en la configuración de una línea RDSI impiden su
entrada en servicio, o
• cuando errores de procedimiento impiden recuperar un disco en espejo.
La redundancia aplicada con más frecuencia es la doble, aunque en

algunos casos se aplican redundancias mayores. En el ejemplo del
transbordador espacial se utiliza una redundancia quíntuple, teniendo tres
sistemas de computadoras activas al mismo tiempo, con la posibilidad de
perder dos antes de perder funcionalidad.
La redundancia puede aplicarse a muchos niveles dentro de la torre

OSI. Por poner algunos ejemplos, los paquetes que se transmiten por una
red tienen siempre un código de redundancia cíclica, y la memoria ECC RAM
tiene códigos para detectar y corregir posibles errores.
Cuando no sólo utilizamos redundancia

• de sistemas, sino de
• medidas de seguridad,
estamos aplicando el conocido principio de "defense in depth", tiene
sentido utilizar esta redundancia cuando queramos protegernos contra el fallo
de una medida de seguridad individual, lo que equivale a “poner todos los
huevos en la misma cesta”.
3.2.3. CONTROL DE ACCESOS LÓGICO Y FÍSICO.

El control de accesos consiste básicamente en la capacidad de
• controlar y
• conocer
o quién y
o cuándo
gana acceso, sea
v a una zona de un edificio,
v a cierta información,
v a un mensaje, o
v a un servicio.
105

El control de accesos es posiblemente la medida de seguridad más
importante que se puede establecer, dado que un control de accesos
bien aplicado nos permite
• saber quién ha hecho qué, dónde y cuándo, y
• controlar quien puede hacer qué, dónde y cuándo,
colmando nuestras expectativas más exigentes de control sobre nuestros
activos.
Sólo podemos hablar superficialmente de control de accesos, debido a la

enorme complejidad del tema. Existen varios modelos teóricos de control de
accesos, entre ellos el de Bell-laPadula y el de Clark-Wilson. Los principales
modelos que podemos encontrar en sistemas operativos comerciales son
DAC, MAC, ACL y RBAC.
ü DAC es el control de accesos a discreción, en el que un usuario puede
conceder y denegar accesos a los activos de que es propietario.
ü MAC es el control de accesos obligatorio, en el que sólo el
administrador puede gestionar los accesos.
ü RBAC es una especie de mezcla entre los dos anteriores, y basa los
accesos que podemos gestionar en el rol que tenemos en el sistema.
ü ACL es un refinamiento de DAC, por el que podemos mejorar la
granularidad de derechos que concedemos a nuestros activos.
En el ámbito de los sistemas de información el control de acceso físico no

es menos importante que el control de accesos lógico. Tanto
• el acceso a las salas en que se gestionan y explotan los sistemas de
información, como
• la fijación de los equipos que son susceptibles de robo, como
• la identificación de los equipos y
• el control de acceso a la consola
necesitan con mucha frecuencia estar estrictamente controlados. Las
mayor parte de las organizaciones tienen la expectativa de que sólo
personal autorizado del departamento de sistemas pueda acceder
físicamente a su infraestructura de sistemas de información.
• La división en zonas y
• la propiedad de activos
son dos principios que
o hacen el control de accesos más efectivo y
o hacen su gestión más sencilla.
106

La división en zonas permite segregar
• activos de clasificación muy distinta, así como
• actores de nivel de acceso muy distinto.
De esta forma se simplifica la administración del sistema, dado que el manejo
de activos de muy distinta clasificación introduce el riesgo de errores en la
administración.
La propiedad de activos permite identificar al responsable último de un

activo, que podrá marcar los criterios de acceso a sus activos.
En conjunto con estos dos principios, para ser efectivo deben cumplirse
algunas premisas fundamentales:
• La organización y su entorno se particionan en zonas físicas y
lógicas según las expectativas.
• Los actores están identificados sin violar su privacidad y
pertenecen a una sola zona.
• Todos los activos
§ tienen un propietario, sea este
• una persona o
• un departamento y
§ pertenecen a una sola zona.
• Las credenciales las otorga una autoridad a un actor dependiendo
de lo zona a la que pertenecen.
• Las sesiones en una zona se obtienen mediante credenciales.
• El acceso a
§ servicios,
§ información, o
§ zonas,
se produce exclusivamente a través de sesiones, excepto cuando el
actor es el propietario del activo en cuestión.
• En una sesión se produce tanto
§ la autenticación (comprobación de credenciales) como
§ la autorización (comprobación de los derechos correspondientes
a esas credenciales).
• Las sesiones y credenciales
§ caducan y
§ no pueden cederse a otro actor.
107

• Todas las partes en que se divide una credencial se almacenan a
prueba de espionaje.
• Los accesos en una sesión dejan una evidencia que por defecto es
la definida para la zona.
Probablemente dentro del control de accesos el problema más difícil de
tratar es evitar que un actor
• ceda información a otro no autorizado,
• ceda su medio de autenticación, o
• ceda su sesión.
La resolución de este problema implica el uso concertado de control de
accesos físico y lógico.
ROLES DE UN CONTROL DE ACCESO.
Propietario de los Activos.

Se usa el concepto de propietario en los sistemas de control de
accesos, dado que los derechos se originan en el propietario, y son
cedidos a los otros usuarios del sistema. El propietario de un activo
es el actor que en origen lo haya creado o adquirido, poseyendo
legítimamente todos los derechos sobre ese activo,
• puede cederlos (a veces, a discreción) y
• puede limitar la cesión de estos derechos, con las limitaciones
establecidas por la clasificación del activo.
Se accede a la propiedad bien mediante

• la adquisición,
• la transferencia,
• préstamo,
• creación u
• otros métodos.
El propietario de un activo puede acceder al activo sin necesidad de

usar una sesión excepto cuando accede desde una zona distinta a la
suya.
108

Administrador.
El administrador es el propietario de los recursos de los sistemas de
información sobre los que se soporta la información, los mensajes y los
servicios. El administrador se encarga de proporcionar acceso a
los recursos al resto de actores.
Cuenta de usuario.
Es la identidad efectiva ante el sistema de un actor que accede a
los activos a través de sesiones.
Autor.
El actor que crea un activo.
Autoridad.
La autoridad es la propietaria de las credenciales de los sistemas.
Es el actor que gestiona
• el registro de usuarios, junto con
• sus credenciales y
• los derechos sobre los activos en nombre de los propietarios.
Las autoridades también identifican al resto de actores de la
organización.
Sesiones.
Una sesión es el medio por el que el usuario gana acceso a un
activo, como puede ser información o un servicio. Una sesión es el
conjunto de accesos que un actor realiza desde que se le autentica y
autoriza en el sistema hasta que el actor cierra la sesión o la
autenticación se considera caducada. Al abrir una sesión ganamos
acceso a recursos del sistema, de los que disponemos durante la
duración de la sesión. El uso de sesiones introduce una serie de
limitaciones a nuestros accesos:
• Sólo los usuarios identificados y autorizados pueden realizar

el acceso.
• La duración del acceso está limitada por la caducidad de la
sesión después de un periodo de tiempo o al cambiar alguno
de los aspectos de la autorización. Puede haber restricciones
suplementarias como hora del día, etc.
• Los recursos usados en el acceso están limitados.
109

• Se puede mantener un registro de los accesos realizados
durante la sesión.
El acceso mediante sesiones permite limitar las oportunidades para un

incidente, gracias a las limitaciones temporales, y limita la posibilidad
de ataques de denegación de servicio, gracias a las limitaciones de
recursos.
REGISTROS DE ACCESO.
La evidencia de los accesos de una sesión facilita un histórico del uso y

propiedad de los activos, lo que permite una investigación de incidentes
efectiva. Nuestras expectativas sobre los sistemas nos indicaran de qué tipo
de accesos necesitaremos evidencia. En la mayor parte de los sistemas de
información la evidencia se registra en archivos de log, en los que se
almacenan tanto los accesos como otros eventos del sistema. Para tener
valor probatorio la evidencia no debería ser manipulable y conservarse
durante un tiempo suficientemente largo como para recurrir a ellos
cuando sea necesario. Desgraciadamente la mayor parte de los servicios
de información no contemplan el registro de uso en su diseño.
IDENTIFICACIÓN Y CREDENCIALES.
Una credencial se utiliza para verificar la identidad en un momento dado

de un actor. Esta verificación de identidad se conoce como autenticación.
En cualquier organización de un tamaño no trivial, no todos sus componentes
se conocen personalmente, e incluso cuando lo hacen, no pueden
reconocerse a través de ciertos medios de comunicación. Mediante la
autenticación se facilita la comprobación automatizada de la identidad de un
actor interno o externo siempre que sea necesario.
110

Con frecuencia se confunde
• el todo, la credencial,
• con una parte, el medio de autenticación.
El medio de autenticación es la prueba presentada de que podemos utilizar
una identidad efectiva, normalmente llamada cuenta de usuario. Hay al
menos tres tipos de medios de autenticación, que pueden combinarse:
ü por algo que eres, como puede ser la biometría,
ü por algo que tienes, como es la posesión de una tarjeta, y
ü por algo que sabes, como es el caso de una contraseña.
La credencial está compuesta de

• una cuenta de usuario, que es una representación del actor en el sistema,
y
• un medio de autenticación dividido en dos partes.
ü Una parte se almacena en el sistema, como puede ser
§ la contraseña,
§ el número de serie de una tarjeta, o
§ el mapa digitalizado de nuestro iris, y
ü la otra parte la tiene el actor que sabe la contraseña, tiene la tarjeta o
cuyos ojos se corresponden con ese mapa del iris.
Sin usuario, medio de autenticación o medio de comprobación de la

autenticación, no existe credencial.
El usuario tiene asociadas unas autorizaciones de que disfruta el actor

cuando se autentica en el sistema. El control de acceso con credenciales nos
permite dar autorizaciones a actores en el sistema, sean estos usuarios o
agentes.
Hay varios condicionantes para la efectividad de las credenciales:
• Todo actor debe almacenar su medio de autenticación a prueba

de espionaje o pérdida. Las credenciales físicas deben estar
custodiadas.
• La identificación de actores para concesión de credenciales
debe prevenir la posibilidad de fraude, dado que a partir de ese
momento constituye la identidad del actor efectiva ante la
organización. En determinadas organizaciones esta comprobación
de identidad es exhaustiva, examinando el entorno, relaciones e
historia del actor.
111

• Los medios de autenticación no pueden cederse ni compartirse
para conservar la asociación entre el medio de autenticación y
la persona o agente autorizado. El actor no debe prestar su tarjeta
ni declarar su clave, por poner un par de ejemplos. De la misma
manera cada usuario debe estar asignado a un único actor.
• Las credenciales suelen contener información acerca de la
identidad del actor que la utiliza. Esta información es muy
sensible, y es necesario protegerla especialmente.
Además es aconsejable que cada zona de una organización tenga sus

propias credenciales. Si un actor debe acceder a varias zonas, necesitara
unas credenciales para cada una de ellas. La auditoría y la administración
de credenciales deberían estar separadas.
DIRECTORIOS.
En muchos casos reales, el usuario necesita autenticarse ante varios

sistemas, varias veces al día. La complejidad y multiplicidad de medios de
autenticación llevan a
• que a la larga se use una sola contraseña para todos los sistemas,
• que esta contraseña sea débil,
• que sólo esté protegida como el más débil de los sistemas, y
• que se cambie con la menor frecuencia posible.
Mediante un registro centralizado de

• usuarios,
• perfiles y
• credenciales
se simplifica la gestión de accesos. Tanto para los administradores
como para los usuarios.
Un sistema centralizado es más difícil de gestionar, pero

• permite conocer que derechos tiene un actor determinado ante todos
los activos y recursos de una organización, lo que en un sistema
distribuido puede ser difícil o imposible. Además
• se corrigen los problemas de gestión relacionados con la multiplicidad
de contraseñas.
112

AUTENTICACIÓN.
El proceso de autenticación consiste en la comprobación de la identidad
del actor, mediante la comparación
• del medio de autenticación que proporciona el usuario
• con la copia a prueba de conocimiento de este medio de autenticación
que se almacena en el sistema.
Esta comprobación de credenciales en sistemas de información se suele
llamar logon o login. Tanto un actor personal como un agente pueden
autenticarse en un sistema.
La autenticación presenta el problema de transmisión de información

secreta entre
• el punto en que se introduce el medio de autenticación y
• el punto donde se realiza la comparación con el valor almacenado en
el sistema.
Para impedir el acceso a esa parte de la credencial almacenada se suele
almacenar una prueba de su conocimiento en lugar de almacenar el medio
de autenticación en sí mismo. Una prueba de conocimiento puede ser por
ejemplo el valor hash de una contraseña.
Del mismo modo, se puede transmitir entre ambos puntos,

• bien el medio de autenticación,
• bien la prueba de su conocimiento,
en cualquier caso cifrada.
CLASIFICACIÓN DE ACTIVOS.
Para determinar
• a quien se puede conceder autorización sobre activos y
• quien puede ser propietario de estos
es necesario clasificar los activos.
En toda clasificación existe una tensión entre la granularidad y el control que
obtenemos. Un control mayor exige mayor granularidad, pero hace más
difícil la clasificación, y por tanto supone un coste de gestión más alto.
Cualquier tipo de activo, físico o no, es susceptible de clasificación.
La clasificación de información, en su versión más simple, puede ser:

• Confidencial:
§ Puede accederse por personas de la organización en quien se
confié que no vayan a divulgarla.
113

§ Esta información está protegida contra borrado o modificación no
autorizados.
§ Se lleva registro de cada acceso.
§ Su divulgación podría ser perjudicial para la organización.
§ Las claves y contraseña, y otros medios de autenticación,
pertenecen a esta categoría.
§ Suelen clasificarse así las operaciones económicas.
• Sensible:
§ Esta información está protegida contra borrado o modificación no
autorizados.
§ Suele clasificarse así la información económica.
• Privada:
• Pública:
§ Puede ser accedida por todo el mundo dentro y fuera de la
organización.
Existen muchas otras clasificaciones posibles, validas cada una dentro de un

ámbito específico. La información personal en España es especialmente
significativa debido a la existencia de legislación específica, como la LOPD,
que regula su uso. Puede ser información personal la información
concerniente a
• la residencia,
• historiales médicos y económicos,
• información salarial,
• condiciones de contratación,
• historial académico,
• historial penal,
• historial jurídico,
• actividades políticas o religiosas,
• biografía,
• preferencias sexuales, etc.
114

Tiene sentido realizar clasificaciones muy complejas cuando nuestras
expectativas lo requieran. Por ejemplo, puede haber información
• “de tiempo real”, que es información requerida en un momento y lugar
concreto, pudiendo producirse un incidente en caso contrario, y puede
haber información
• “vital”, cuya ausencia puede llevar a la pérdida de vidas.
Cada organización debe decidir que clasificación se ajusta mejor a sus
expectativas y medios.
AUTORIZACIÓN.
Cuando un usuario intenta acceder a un activo mediante una sesión, el proceso
de autorización comprueba si existen los derechos suficientes en el perfil para
conceder el acceso. Dentro de una sesión la autorización puede producirse
tantas veces como accesos se producen.
Al realizar una autorización se pueden comprobar, para cada tipo de

acceso:
• Derechos explícitos concedidos al usuario.
• Limitaciones genéricas de acceso del activo, incluyendo limitaciones
temporales y atributos.
• Limitaciones específicas de acceso al activo, expresadas por
ejemplo en listas de control de accesos.
Cuando el acceso lo realiza un agente el proceso de autorización debe

comprobar los perfiles de toda la cadena de llamantes, hasta llegar al
usuario. Las autorizaciones deben caducar, para limitar las
oportunidades de acceso ilícito.
Derechos, Privilegios y Permisos.

Un derecho es la capacidad concedida o denegada a un usuario de
acceder a un activo, que puede ser información o un servicio. Cada
actor ostenta distintos derechos sobre los activos de la
organización. En teoría a cada actor se le dan los derechos mínimos
necesarios para los accesos que precise. Aunque se suelen utilizar
derechos, privilegios y permisos como sinónimos, en el contexto de
seguridad se pueden usar los siguientes significados específicos:
• Privilegio: Derechos que permiten modificar los derechos de

terceros sobre activos.
115

• Permiso: limitaciones genéricas, como “sólo lectura”, de
acceso a un servicio o información.
Perfiles.
El conjunto de derechos concedidos y denegados a un usuario
dependiendo de su rol en la organización se denomina perfil de
acceso o simplemente perfil.
Debido al enorme número de combinaciones de activos, accesos y

propietarios, no es posible gestionar individualmente cada uno. Por ello
se utilizan conjuntos prefabricados de derechos. Asignando un
perfil a una credencial, y con ello a un actor, se le dan unos
derechos por defecto a los activos. Estos derechos se pueden
entonces refinar en función de las necesidades.
La definición de perfiles depende directamente de la clasificación de

activos que hayamos realizado en cada zona de la organización.
Dentro del ciclo de vida de perfiles, tenemos al menos su

• creación,
• asociación con credenciales (definición),
• asociación con usuarios a grupos (concesión),
• revocación,
• derogación o caducidad,
• revisión y
• suspensión.
Etiquetas.
Las etiquetas es la meta-información acerca del activo, entre ella

• su identidad,
• sus atributos,
• los recursos que aporta, y
• las limitaciones de acceso a una información o servicio.
Entre esta meta-información tenemos
• limitaciones genéricas de acceso, como los permisos, o
• limitaciones específicas, como las listas de control de accesos
(ACL).
Una etiqueta puede también contener meta-información, como
fecha de acceso, propietario del activo. etc.
116

ZONAS Y FILTROS.
Una organización, especialmente de gran tamaño, tiene diversas
expectativas ante activos semejantes. No se espera lo mismo de una base
de datos de cliente en producción que de una base de datos de prueba en un
aula. No es infrecuente encontrar organizaciones en que se pretende usar
una única política de seguridad aplicable universalmente, y que afecta
adversamente a aquellas partes de la organización con expectativas más
relajadas.
Una zona es una partición

• física,
• técnica y
• organizativa
de la organización ante cuyos activos tenemos unas expectativas uniformes.
La división por zonas simplifica la administración de seguridad, dado
que cada zona
• puede tener sus propias normas conformes con la política de
seguridad, que cumple con las expectativas para la zona y
• son independientes de las otras zonas.
Cuando dividimos una organización en zonas, podemos establecer filtros que
controlen los accesos entre zonas y el paso de activos entre zonas. Un ejemplo de
este tipo de filtros es un cortafuegos.
Mientras que en el entorno doméstico pueden definirse dos zonas: la de la

casa y la zona Internet, que además coinciden básicamente con las zonas
físicas, en el entorno de las organizaciones suelen necesitarse más, como
por ejemplo:
• zona “segura”,
• zona DMZ,
• zona Internet y
• zona de desarrollo.
Particiones físicas, técnicas y organizativas vienen utilizándose durante

mucho tiempo, como por ejemplo
• cuando se usa una DMZ,
• cuando los sistemas de gestión de personal no están bajo el control del
departamento de sistemas, o
• cuando materiales valiosos están en una zona con acceso físico
restringido.
117

El uso consciente y explícito de zonas mejora la seguridad al conciliar la
normativa de seguridad con las expectativas reales de la organización en sus
distintas divisiones.
No existe una única tecnología relacionada con la división en zonas.

Esta división es más efectiva cuando cubre todos los niveles, desde el físico
hasta el organizativo, y por tanto está relacionada con tecnologías propias de
todos estos niveles.
GESTIÓN DEL CONTROL DE ACCESOS.

La parte más débil del control de accesos no es su implementación, sino
su administración. Entre errores comunes que se pueden encontrar en la
administración de un control de accesos tenemos:
• Comprobación defectuosa de la identidad al conceder credenciales.
• Falta de borrado y desactivación de usuarios y activos no utilizados.
• Reinicio de contraseña sin comprobar la identidad del peticionario.
• Compartición de contraseña.
• Cesión de sesiones.
Las credenciales de un sistema externo usadas pero no gestionadas

por la organización son un aspecto poco vigilado. Cuando hay altas o
bajas en la organización de actores que usan estas credenciales, debemos
pedir la cancelación de las credenciales o cambiar la contraseña, por
ejemplo.
Para ayudar a la gestión de estos aspectos de la seguridad, cuando alguien

se da de baja en una organización, además de cancelar sus credenciales, y
pedir la devolución de tarjetas y llaves, debería exigirse una declaración de
conocimiento de contraseñas.
3.2.4. CIFRADO.
El cifrado es la técnica de seguridad más popular, hasta el punto de que
seguridad y cifrado se han convertido en sinónimos. Desgraciadamente, el
cifrado sólo palia un subconjunto de los riesgos, por lo que allí donde se
identifica cifrado con seguridad, se presta menos atención de la debida al
resto de las técnicas aplicables.
118

Las amenazas terciarias que pueden mitigarse usando cifrado son:
• Modificación y generación malintencionadas de datos.

• Compromiso de medios de autenticación.
• Compromiso de claves.
• Análisis de tráfico.
• Infracción de derechos de autor.
• Denegación de la autoría propia.
• Denegación de la autoría ajena.
• Código malicioso.
• Errores en los mensajes.
• Errores en el almacenamiento.
De todos los usos de las técnicas de cifrado nos centraremos en el

almacenaje de información y el envío de mensajes, con usos como:
• Mantener secreta la información y los mensajes secretos.

• Identificar a las partes de un acceso o comunicación (uso de un
servicio).
• Identificar al autor de una información o de un mensaje.
• Probar el conocimiento de algo, sin revelarlo.
• Comprobar la consistencia de unos datos.
• Probar la existencia e identificar inequívocamente un mensaje.
• Probar cuándo se ha enviado o recibido un mensaje.
• Ocultar el hecho de que se transmiten mensajes cifrados.
Para simplificar mientras hablemos de cifrado usaremos el termino mensaje

para referimos tanto
ü a un conjunto de datos ordenados que se transmiten como
ü a un conjunto de datos ordenados que se almacenan.
Cifrar es una operación reversible por la que convertimos un mensaje en un

conjunto de datos cuasi aleatorios, el mensaje cifrado. Como entradas de
esta operación se utilizan
ü el mensaje y
ü la clave.
La clave sirve para hacer el número de posibles cifrados distintos del

mismo mensaje muy grande, dificultando la obtención del mensaje original
a partir del mensaje cifrado cuando se carece de la clave. Cuanto más
aleatorio sea el mensaje cifrado y mayor es el número de claves posibles,
mejor es la cifra.
119

El cifrado no se basa en el secreto del algoritmo de cifrado, sino en la dificultad
computacional del descifrado cuando no se tiene la clave.
Una operación se considera computacionalmente difícil cuando la

capacidad de proceso y almacenamiento necesarios aumentan mucho más
rápido que la cantidad de datos tratados. Un ejemplo de dificultad puede ser
la factorización en números primos de números grandes. Factorizar en
primos un número de 2n cifras requiere al menos n cuadrado la potencia de
proceso que factorizar un número de n cifras.
En matemáticas, y sin ser muy riguroso, se llaman algoritmos NP-

completos a los que se completan en un tiempo exponencial respecto al
tamaño del problema. La factorización de números primos es un problema
NP-completo, y debido a ello se utiliza con frecuencia en algoritmos de
cifrado.
Podemos aumentar la dificultad computacional usando más datos para

representar el mismo mensaje. Por ejemplo, la imagen de una letra A utiliza
una gran cantidad de datos para expresar lo mismo que el ASCII de la letra
A. Debido a esto puede suponerse es más seguro convertir un texto en una
imagen antes de cifrarlo, especialmente si añadimos algo de ruido
(aleatoriedad) a la imagen.
Cuando hablamos de descifrado “imposible” significa que no existen

suficientes recursos de computación en la Tierra que puedan encontrar el
mensaje original en ausencia de la clave en un tiempo finito, entendiendo
por finito un margen de tiempo con significación humana, como 100 años, por
poner un ejemplo.
120

En teoría se pueden factorizar números muy grandes fácilmente con técnicas
basadas en la mecánica cuántica. Como contrapartida a esta amenaza al
cifrado tradicional, que usa computación determinista, está el cifrado
cuántico, que aunque mucho más difícil de llevar a la práctica es
enormemente superior al tradicional.
En la carrera entre el criptoanálisis y el cifrado, el cifrado ha tenido

hasta ahora una ventaja histórica. Cada vez que el criptoanálisis avanza
un paso, como por ejemplo cuando con la colaboración de miles de
computadoras conectadas a Internet se descifró sin la clave un mensaje
codificado con el algoritmo RSA y una clave de 128 bit, el cifrado avanza dos.
Actualmente no es raro usar claves asimétricas de 2048 bit.
Las operaciones de cifrado se suelen clasificar dependiendo de si utilizan una

clave igual o distinta para cifrar y descifrar los datos. El cifrado simétrico usa
la misma clave, el cifrado asimétrico una distinta.
ALEATORIEDAD.
Generar una clave consiste en elegir un número de entre un

conjunto muy grande de ellos de una forma impredecible para un
tercero. Es este el motivo por el que es necesario utilizar números
aleatorios para iniciar el proceso de selección o construcción de una
clave. Dentro de este proceso se suelen seleccionar claves que
cumplen determinadas condiciones matemáticas que dificultan el
análisis de cualquier mensaje cifrado con esa clave. Estas condiciones
varían dependiendo del algoritmo de cifrado utilizado.
Obtener números realmente aleatorios en un sistema informático no es

sencillo. Para ello debemos recoger “desorden”, lo que
matemáticamente se llama entropía. La generación de números
primos se realiza con la ayuda de esta entropía y del algoritmo de
Rabin-Miller, que detecta probabilísticamente si un número es primo o
no.
¿Qué se consideran datos ordenados y datos aleatorios? Para el

usuario de un sistema de información, los primeros (datos ordenados)
tienen significado, y los segundos (datos aleatorios) no. El orden desde
el punto de vista matemático se manifiesta, por tomar el ejemplo del
lenguaje escrito, por determinadas leyes. Las frecuencias con que
aparece cada letra del alfabeto de un lenguaje son bastante constantes
en un texto cualquiera de cierta extensión mínima.
121

En español por ejemplo, lo precedencia de frecuencia es:
e, a, o, l, s, n, d. Otra ley que cumple el lenguaje escrito no ideográfico
es la ley de Paretto, por la que la frecuencia de las palabras de
cierta longitud es inversamente proporcional a esta (frecuencia).
La información cifrada es fácil de identificar por su desorden. Un

conjunto de datos se consideran más desordenados cuanto más
“normales” sean, o sea cada posible subconjunto contiguo de bit es
equiprobable dentro de ella. De este modo, tomando un bit al azar, la
probabilidad de tener un 0 o un 1 será del 50%, tomando dos la
probabilidad de tomar un 00, 01, 10, y 11 será del 25%, y así
sucesivamente.
SIMÉTRICO.
Cuando el cifrado es simétrico se utiliza la misma clave para cifrar y
descifrar el mensaje. Esto presenta el inconveniente de la
distribución de claves. Cuando A y B están en dos localizaciones
distintas y quieren transmitirme un mensaje cifrado, necesitan tener la
misma clave. Sea donde sea donde se crea esta clave, para que sea
posible la comunicación cifrada, esta debe ser comunicada tanto a A
como a B. Esta comunicación debe ser secreta, dado que para que A
y B se comuniquen en secreto la clave debe ser secreta. Ahora
bien para que se pueda comunicar la clave en secreto debe hacer un
canal seguro. Pero si hay un canal seguro ¿para qué ciframos el
mensaje? El escenario descrito es un ejemplo de la paradoja que surge
al usar un sistema de clave simétrica.
En caso de comunicación entre un número grande de interlocutores, la

distribución de claves pasa de ser difícil a ser ingestionable debido al
incremento exponencial del número de pares de claves. Si añadimos el
hecho de que cualquier clave tiene una vida limitada. Para dificultar el
criptoanálisis de los mensajes cifrados, es fácil ver que el uso exclusivo
de claves simétricas no es práctico.
La distribución de claves es el punto más débil del cifrado simétrico.

Para resolver estos puntos se han desarrollado modos, como el Diffie-
Hellman, que permite acordar una clave entre dos partes sin
intercambiar información secreta.
122

Como inconvenientes de este tipo de cifrado se puede citar.
• No se puede enlazar una clave con una identidad.
• No permite identificar a los interlocutores de una
comunicación, excepto por la posesión de la clave.
• Las claves tienen una vida corta.
• Es necesario usar un número muy elevado de claves, al
menos una por cada par de comunicantes.
Las ventajas de los algoritmos de cifrado simétrico usados

actualmente son:
• Las claves son cortas.
• Exigen pocos recursos de proceso de datos.
ASIMÉTRICO.
Con este tipo de cifrado si se usa una clave para cifrar, la otra sirve
para descifrar y viceversa.
Esto permite
• resolver elegantemente el problema de distribución de claves, al
disminuir el número de claves necesarias, que es de 2n por
cada interlocutor, y
• hacer innecesaria la existencia de un canal seguro para
transmitir las claves.
Si A y B quieren intercambiar información en secreto, pueden

generar un par de claves cada uno. Una clave la mantienen secreta,
y la otra pueden hacerla pública.
• La clave secreta se llama clave privada.
• La clave publicada se llama pública.
Si A envía a B un mensaje secreto, puede cifrarlo con la clave
pública de B. Para descifrarlo, es necesaria la clave privada de B.
La cual ha sido generada por B, y además nunca ha sido transmitida,
por lo que el mensaje cifrado sólo puede descifrarlo B.
Para que el envío de mensaje sea seguro se debe cumplir

ü que la clave privada sea secreta,
ü que nadie tenga la misma clave repetida, y
ü que el propietario de la clave la reconozca como suya.
123

El uso de cifrado asimétrico proporciona un mecanismo de firma
digital. Si A cifra algo con su clave privada, cualquiera puede
descifrar el mensaje, pero ¿Quién puede originar el mensaje? Sólo A.
Este tipo de firma digital nos permite afirmar la autoría ajena. En el
ejemplo que citamos, B puede demostrar que el mensaje proviene de
A. Curiosamente, A no puede probar lo mismo, dado que podría ser B
quien firmó el mensaje y lo envío a A, A pudo entonces descifrarlo y
firmarlo como si fuera suyo. Luego el cifrado asimétrico no permite
afirmar la autoría propia, sólo denegarla.
Para que el mecanismo de firma digital sea efectivo, debe haber algún
medio de comprobar que la llave pública pertenece a A, y no a alguien
que se hace pasar por A.
Para proteger los derechos de propiedad intelectual, técnicamente

hablando para poder afirmar la propia autoría o negar la ajena,
sería necesario
• que la firma digital contuviera algún tipo de sello temporal
imposible de falsificar, o
• usar “marcas de agua”, que es una técnica esteganográfica.
Como podemos ver en este ejemplo, la comunicación es segura, pero

¿Cómo puede estar seguro A que B es quien dice ser y viceversa? Al
fin y al cabo uno puede producir tantos pares de claves privada y
pública como quiera, con lo que no existe ninguna relación entre una
personalidad y una clave privada.
124

Para establecer esta relación se utilizan certificados. Los
certificados son emitidos por una autoridad en la que confían las
partes implicadas que, una vez comprobada la identidad de alguien,
crea un documento digital que enlaza esa identidad con su clave
pública. De este modo cuando A quiere comunicarse con B, puede
buscar el certificado de B, y puede confiar en que hay una
correspondencia entre la clave pública y B. Obviamente B puede hacer
la mismo, con lo que se puede establecer no sólo una comunicación
segura de sistema a sistema, sino de persona a persona.
Un certificado debe contener como mínimo

• la clave pública y el nombre,
• el DNI,
• la dirección de correo electrónico u otra forma de identificación.
El certificado entonces puede cifrarse con la clave privada de la
autoridad que emite los certificados, para que cualquiera pueda
comprobar la autoría de la autoridad.
Como inconvenientes de este tipo de cifrado se puede citar:
• Las claves son largas.

• Exigen muchos recursos de proceso de datos.
Las ventajas de los algoritmos de cifrado asimétricos usados

actualmente son:
• Las claves tienen una vida larga.

• El número de claves necesarias es pequeño.
• La distribución de claves es simple.
Además, mediante el uso de una infraestructura de clave pública se

puede:
• Enlazar una clave con una identidad, y por tanto;

• Identificar a los interlocutores de una comunicación.
Debido a lo lento que resulta el cifrado asimétrico en comparación con

el simétrico, se suele combinar el uso de ambos. Por ejemplo puede
usarse cifrado asimétrico para intercambiar una clave secreta de un
sólo uso, la cual se utiliza para enviar mensajes cifrados
simétricamente.
125

HASH Y FIRMA DIGITAL.
Un resumen o “hash” es una función que realiza una operación
sobre un mensaje, con las siguientes propiedades:
• No puede obtenerse el mensaje a partir del “hash”.

• No es posible encontrar dos mensajes con el mismo “hash”.
• La longitud del “hash” es fija e independiente de la longitud
del mensaje.
Cuando se hace un hash de un mensaje, el resultado se suele

concatenar al final del mensaje. Un hash por si sólo permite
comprobar la integridad del mensaje, siguiendo el siguiente
procedimiento: Se calcula el hash del mensaje recibido, y se compara
con el hash recibido. Si son iguales, el mensaje no ha sido alterado.
El uso de cifrado asimétrico permite firmar digitalmente, mediante la

cifra del mensaje con la clave privada. Debido a que este tipo de
firmado requiere demasiados recursos de computación, especialmente
si el mensaje es largo, y dado que existe una relación uno a uno
entre un mensaje y su hash, se suele cifrar el hash del mensaje
con la clave privada en lugar del mensaje en sí mismo. De este
modo creamos una firma digital, con la que podemos probar que
alguien es el autor de un mensaje, ahorrando muchos recursos de
computación.
126

ESTEGANOGRAFÍA.
Cuando se transmite un mensaje, quizá alguien que espié la
comunicación no pueda descifrarlo, pero si podrá saber al menos que
se ha enviado un mensaje cifrado, cuando se ha producido, y que
cantidad de datos cifrados se han intercambiado. Cuando este
conocimiento constituya una amenaza para nuestra organización,
podemos utilizar esteganografía. La esteganografía es la ocultación
de un mensaje secreto dentro de otro no secreto. De este modo se
oculta la existencia del mensaje secreto. Si el mensaje oculto con
esteganografía está además cifrado, podemos mantener el secreto del
mensaje aunque la transmisión fuera detectada. Un mensaje se podrá
ocultar con mayor facilidad en una información que pueda ser
expresada con una cantidad variable de datos, como puede ser una
fotografía, o un sonido. Un ejemplo curioso de esteganografía es la
ocultación de un mensaje dentro de otro que tiene el formato típico de
un correo no deseado o "spam".
Otro uso de la esteganografía consiste en el “firmado” oculto de un

conjunto de datos. De este modo cuando se hace una copia no
autorizada de estos, se puede detectar su fuente. Aún no se ha
encontrado un algoritmo de “marca de agua” resistente a la
manipulación que se puede hacer de los datos, como puede ser la
• introducción de ruido,
• el cambio de resolución de una imagen,
• la sobreescritura de otra firma u otros.
3.2.5. CAMUFLAJE.
El camuflaje consiste en hacernos indistinguibles del entorno,
• mimetizándonos o bien
• modificando el entorno.
El camuflaje sirve para hacer menos obvio para el atacante que atacar. El
camuflaje no sirve para complicar el ataque en sí, sino que aumenta los
recursos que necesita el atacante para realizar el ataque con garantías de
éxito, hasta el punto de que puede llegar a hacer este imposible. Por ejemplo
• para mover al presidente de la URSS se utilizaban 6 limusinas Zil, no
por una exhibición de riqueza, sino para que al desconocer que
limusina llevaba al presidente. La planificación de un posible atentado
lo hiciera casi imposible. Otro bonito ejemplo es
127

• cuando se ruedan varios finales para una película de suspenso, para
evitar que nadie difunda el final hasta el estreno de la película.
El cifrado mediante esteganografía realiza un camuflaje del hecho que

enviamos mensajes cifrados. La ofuscación de código camufla el código
para evitar que se pueda analizar y reproducir su comportamiento.
3.2.6. RESERVA.
La técnica de reserva consiste en almacenar suficiente cantidad de un
suministro para soportar la interrupción de este durante un tiempo
razonable.
• Una SAI (fuente de alimentación ininterrumpida) es una aplicación de
la técnica de reserva, como lo es
• el almacenamiento de piezas de repuesto,
• el represamiento de agua o
• el uso de un buffer que impida la interrupción de la comunicación en
caso de fallos puntuales en la línea.
No es útil para interrupciones demasiado prolongadas de un suministro.
3.2.7. SEGUROS.
Un seguro consiste en la transferencia de un riesgo a una tercera parte a
través de la suscripción de una póliza para obtener una contraprestación
económica en caso de producirse un incidente, normalmente afectando a un
bien tangible.
A pesar de su popularidad y su uso continuo. Los seguros no suelen

mencionarse como una técnica de seguridad, sin embargo el tomar un
seguro es una medida muy valiosa para aquellos incidentes ante los
cuales la inversión para evitarlos sería desproporcionada. Por ejemplo,
hacer una casa completamente a prueba de incendios puede ser
enormemente caro, con lo que al no actuar sobre la vulnerabilidad reducimos
el impacto de ese posible incidente tomando el seguro. Las compañías de
seguro, por su parte, pueden modificar la póliza dependiendo de la
vulnerabilidad del cliente (siniestralidad).
128

En el campo de los sistemas de información. Los seguros apenas se
emplean, y posiblemente tendremos problemas para encontrar una compañía
que asegure nada que no sea el hardware en bruto, cuando es la
información el activo más valioso de un sistema. Un seguro, por
supuesto,
• no disminuye la vulnerabilidad,
• ni evita ningún incidente, pero
o disminuye el impacto, y
o no afecta a la facilidad de gestión,
con lo que en algunos casos puede ser una medida deseable.
3.2.8. INVENTARIO Y MARCADO.
El inventario y marcado consiste en la identificación de nuestros activos

físicos, normalmente mediante algún tipo de marca. Esta técnica sirve
• para distinguir que es propiedad de la organización,
• identificar si falta algo, e
• identificarlo ante terceros, como por ejemplo después de un robo.
No sirve para prevenir un robo, pero si para disuadir de él si la marca es
permanente y obvia. En España recientemente podemos inutilizar un teléfono
robado dando el número de serie a nuestra compañía telefónica. Los coches
de pruebas suelen llevar grandes marcas del concesionario con una finalidad
parecida. Para el marcado digital se utilizan técnicas de esteganografía
como las marcas de agua.
3.2.9. BLINDAJE.
El blindaje es la técnica que se utiliza para asegurar que un activo no
vigilado
• continuará ahí cuando volvemos,
• que continuará en buen estado,
• que nadie ha conseguido acceso a través de él.
129

3.2.10. NO HACER NADA.
No hacer nada sirve para mejorar o mantener la facilidad de uso y
administración de un sistema cuando podemos asumir el coste de los
incidentes que se produzcan.
Esta medida se suele adoptar cuando aplicar otras implicaría

• una disminución inaceptable en la facilidad de uso o
• el coste de administración de un sistema.
Por ejemplo las compañías de tarjetas de crédito, asumen un nivel de fraude
a cambio de hacer las tarjetas fáciles de usar para la mayoría. Si se toman
medidas, estas son a posteriori, como perseguir a los defraudadores.
La diferencia entre tomar esta medida y cerrar los ojos y cruzar los dedos
consiste en que asumimos conscientemente los incidentes que se
pueden producir.
3.3. TÉCNICAS QUE MITIGAN AMENAZAS

SECUNDARIAS Y PRIMARIAS
Las técnicas que mitigan las amenazas secundarias y primarias permiten:
• Implantar una organización de mantenimiento de la seguridad efectiva.
• Gestionar el ciclo de vida de las medidas de seguridad eficazmente.
• Difundir el conocimiento sobre mantenimiento de la seguridad a toda la
organización.
3.3.1. DIVULGAR Y CONCIENCIAR.

La mayor parte de las personas son básicamente bienintencionadas y crédulas,
y precisamente por ello, suponen un riesgo difícil de mitigar. Para que cada
persona conozca y cumpla sus responsabilidades individuales en el
mantenimiento de la seguridad es necesario concienciar a los miembros de
la organización, y divulgar
• que medidas de seguridad se llevan a cabo,
• por qué se implantan, y
• como les afectan en su trabajo.
La concienciación de seguridad además debería instilar cierto saludable
escepticismo.
130

Entre la formación de seguridad se deben incluir:
• Las normativas de seguridad que afectan a cada una.
• Las responsabilidades de cada persona en la aplicación de las
medidas y normativas de seguridad existentes.
• Información sobre el canal para reportar las amenazas, incidentes o
defectos en las medidas de seguridad detectados o sospechados por
cualquier miembro de la organización.
• Advertencias acerca de las responsabilidades en que se incurren al
realizar un acceso o uso ilegitimo.
Como recordatorio de las normas de seguridad existentes, se pueden utilizar

mensajes de
• entrada a las aplicaciones,
• login a la red y
• al pie de los correos, por poner un ejemplo,
que recuerden de las limitaciones de uso aceptable existentes del sistema
que se va a utilizar.
3.3.2. CONTROL DE CALIDAD:

AUDITORÍA, PUESTA A PRUEBA, VIGILANCIA.
Comprobar la calidad de nuestra gestión de la seguridad sigue exactamente
los mismos pasos que cualquier otro proceso de calidad:
• Planear,
• Hacer y
• Comprobar.
Lógicamente debemos contar con los recursos necesarios, y producir los
resultados deseados.
Para evaluar la efectividad de nuestra organización en el mantenimiento y

mejora de seguridad hay que verificar
• que se toman medidas contra amenazas terciarias (medidas de seguridad),
• que se toman medidas contra amenazas secundarias (las medidas de
seguridad se gestionan adecuadamente), y
• que se toman medidas contra amenazas primarias (la organización que
gestiona las medidas de seguridad es capaz y efectiva).
Suponiendo que existe una organización de seguridad y que se gestionan

las medidas de seguridad de acuerdo con la normativa de seguridad
existente, podemos realizar los siguientes controles de calidad:
131

• La auditoría,
o que es realizada por terceros, y
o que se verifica mediante el examen de evidencia si se producen
incumplimientos de las medidas y prácticas de seguridad detalladas en
la normativa de seguridad.
El enfoque de la auditoria al análisis de evidencia, sin pruebas activas,
hace que una auditoria tenga un valor limitado, si bien se puede confiar
plenamente en que a la auditoria no afecta el funcionamiento del sistema.
• Pruebas, que verifican activamente el funcionamiento de lo probado.
Un auditor no hará nunca una prueba como pedirle la contraseña de
acceso a un usuario, por poner un ejemplo. Las pruebas pueden
o formar parte de las prácticas internas de seguridad, o
o ser realizadas por terceros de confianza.
Probar nuestras medidas de seguridad implica
• no sólo averiguar cómo romperlas, sino también
• rodearlas o
• causar daños indiscriminados.
Las pruebas pueden
o comprobar el funcionamiento de las medidas de reducción de
vulnerabilidad, mediante la simulación de ataques, o
o comprobar el funcionamiento de las medidas de reducción de
impacto, mediante la simulación de incidentes.
• Vigilancia o Monitorización,
o Es el examen en tiempo real de la evidencia de uso de los
servicios de la organización.
o Esta técnica se utiliza para detectar un incidente o intrusión en el
momento en que se produce.
o Mediante la detección de incidentes podemos evaluar la
efectividad de las medidas de seguridad.
o Ejemplos de aplicación de esta técnica son
§ los circuitos cerrados de televisión,
§ los IDS (Sistemas de detección de intrusiones) y
§ los Honeypot, que son host que no contienen información y se
utilizan para detectar actividades maliciosas.
Para poder monitorizar, probar o auditar es necesario que los sistemas y
prácticas estén diseñados para dejar evidencia de su operación. La
evidencia es un resultado de proporcionar acceso mediante una sesión.
132

Por ejemplo, si existe un control de acceso a un CPD, debe haber evidencia de
quien entra y sale de él, sea mediante un sistema automático con tarjetas o
firmas en un libro. Cuando firmamos la entrada a un CPD, estamos iniciando
una “sesión” de acceso físico.
3.3.3. NORMATIVA.
A nivel organizativo existen responsabilidades y actividades tanto
• para cumplir con las expectativas de la organización como
• para mejorar la seguridad de la organización.
Cualquier de estas responsabilidades y actividades es una práctica. Por
ejemplo, limitar el acceso físico al CPD es una práctica de control de acceso
físico, ejercida por el equipo que gestiona el CPD.
Las normas de seguridad documentan las prácticas de seguridad para que

• estas sean conocidas en toda la organización,
• se hagan oficiales, y
• no existan diferencias de interpretación acerca de ellas.
Las prácticas ejercidas de forma uniforme en cada ámbito de la organización
pueden mejorarse continuamente y evolucionar con ella. Si no hay una norma
no puede evaluarse el estado de la seguridad de una organización, dado
que no se puede determinar si las prácticas ejercidas coinciden o no con las
definidas por la organización.
Responsabilidades Práctica de Normas de

y Actividades Seguridad Seguridad
Las prácticas se definen en la normativa de seguridad, siendo comprobable

por una auditoria si la práctica se ejerce
• de acuerdo,
• parcialmente o
• incumple
la norma. Una posible definición del grado en que se ejerce una práctica
sería:
133

• Política: la práctica está identificada como obligatoria por la política de
Seguridad.
• Procedimentada: Existen
§ normas,
§ estándares,
§ procedimientos y
§ formación
§ para el ejercicio de esta práctica.
• Implementada: El procedimiento se utiliza efectivamente.
• Verificada: Existen revisiones periódicas de los resultados del uso del
procedimiento.
• Integrada: Los casos en que el procedimiento no se utiliza son
anecdóticos.
En algunas organizaciones se intenta incluir todas las obligaciones de seguridad

y normas a tomar en un único documento, al que se llama Política De
Seguridad. Si bien es mejor que no tener nada, este tipo de política tiene varios
inconvenientes:
• No considera la existencia de expectativas distintas en diferentes

partes de la organización.
• Contiene demasiada información.
• Es difícil mantenerla actualizada según
§ la organización,
§ la tecnología y
§ su entorno
evolucionan.
• Al abarcar tantos aspectos tienen un nivel de aprobación muy alto, que
puede ser muy difícil de conseguir.
Cuando las normativas de seguridad son documentos teóricos no añaden

valor alguno a la seguridad de la organización. Las normativas deben
permitirnos comparar qué se hace en la organización para mantener y
mejorar la seguridad con qué debería hacerse. Con esta información
podemos tomar medidas correctoras de la gestión de la seguridad, y como
consecuencia mejorar la seguridad de la organización.
Las normativa debe • Qué se hace En la organización

permitirnos comparar • Qué se debería hacer para mantener y
mejorar la seguridad
134

De menor a mayor nivel de detalle, las normativas de seguridad se pueden
dividir en:
• La política de seguridad efectiva describe los principios de alto nivel,

que describen
§ los objetivos (por qué) y
§ las estrategias (qué) para conseguirlos.
• Las normas de seguridad desarrollan las estrategias describiendo el
ámbito de aplicación (donde y cuando) de las prácticas de seguridad.
• Los estándares desarrollan las normas con especificaciones
concretas,
§ aplicables a ámbitos específicos,
§ de cumplimiento objetivamente comprobable.
• Los procedimientos desarrollan los estándares y las normas
describiendo paso a paso quién y cómo se ejerce la práctica. El Plan
de Continuidad de Operaciones es un procedimiento que especifica
cómo actuar en caso de catástrofe.
• Las normas de uso aceptable informan a los usuarios de sus
obligaciones al utilizar los sistemas de la organización.
• Los acuerdos con terceros definen compromisos mutuos de
seguridad en las fronteras de la organización.
Lógicamente cada organización puede hacer una división más o menos granular
de las normativas, dependiendo de la división de responsabilidades de
seguridad y de sus expectativas.
Las normativas de seguridad tienen un ciclo de vida con

• validación,
• aprobación,
• implementación,
• distribución, etc.,
de los documentos normativos. Estas tareas normalmente serán realizadas por
los responsables de la seguridad.
135

ORGANIZACIÓN DE SEGURIDAD.
En una organización segura existe una partición de responsabilidades,
esto es, todas las responsabilidades son cumplidas por algún grupo de
trabajo o persona, pero sólo por un grupo de trabajo o persona y por cada
rol existente hay otro responsable de controlarlo, esto es, tener entre sus
responsabilidades el comprobar, sea, activa o pasivamente, que estas
responsabilidades están siendo cumplidas.
Hay una relación uno a uno entre poder y responsabilidad. El que un rol o
un grupo de trabajo tengan asignada una responsabilidad, debe
acompañarse con
• los recursos necesarios para desempeñarla, y
• la capacidad completa para ejercerla.
Cuando realizar una tarea implique una aprobación externa, la

responsabilidad pertenece al rol que aprueba. Esta situación se
considerará un problema a menos que el rol aprobador tenga capacidad para
reemplazar al rol auxiliar si este no estuviera disponible.
Ø Cuando en una organización alguna responsabilidad no es asumida por

nadie,
Ø cuando una responsabilidad es asignada a una persona incompetente, o
Ø cuando nadie supervisa el desempeño de alguna responsabilidad
importante,
podemos encontrarnos con problemas gravísimos de seguridad, que pueden
derivar en casos como el del Banco Barings, que fue a la quiebra en 1995 por
permitir a su empleado Nick Leeson negociar sin límite con derivados
financieros.
Los responsables de seguridad deben encargarse de

• detectar las expectativas de la organización,
• tomar las medidas más rentables para disminuir el riesgo, y
• supervisar el cumplimiento de las responsabilidades de seguridad de
aquellas que no desempeñe.
Los recursos de la organización de seguridad incluyen

• su presupuesto, y
• el personal suficiente para ejercer sus responsabilidades.
Como es natural, siempre que sea necesario se deberá seleccionar el
personal idóneo para la organización.
136

Si bien la selección de personal queda fuera del alcance de este libro, se
puede señalar que dependiendo de las expectativas de la organización se
pueden utilizar criterios simplemente de experiencia o académicos, como
llegar incluso a la investigación del entorno personal que se realiza para
ingresar en organizaciones gubernamentales o militares.
Los responsables de seguridad tienen como instrumentos:

• Política de Seguridad.
• Estándares de Seguridad.
• Normas de Seguridad.
• Acuerdos de Seguridad.
• Procedimientos de Seguridad.
• Plan de Continuidad de Operaciones.
• Normas de uso aceptable.
En una organización que no tiene una organización de seguridad efectiva,

• las responsabilidades de seguridad no están definidas,
• no se rigen las mejores medidas de seguridad y
• no se mantiene el personal de seguridad óptimo.
POLÍTICA DE SEGURIDAD.
Para poder definir una política de seguridad necesitamos conocer nuestras
expectativas. Lo que nos permitirá siempre responder al porqué de cualquier
medida. Una política de seguridad bien definida no necesita revisiones
frecuentes.
Contenidos posibles de una política de seguridad:

• Las expectativas generales de la organización, y los criterios por los
que se valora si las expectativas se cumplen.
• La estructura organizativa que soporta el mantenimiento de la
seguridad, con su distribución de responsabilidades.
• Las responsabilidades del resto de individuos y departamentos
sobre las prácticas de seguridad.
• La dotación de recursos específicos para el mantenimiento de la
seguridad.
• Las prácticas
§ obligatorias,
§ prohibidas,
§ recomendadas y
§ opcionales a ejercer en la organización.
137

• Categorías de clasificación de activos, normalmente como mínimo
§ confidencial/
§ privado/
§ público.
• Categorías de priorización de activos, que normalmente será
§ critico/
§ no crítico.
• Definición de tipos de entorno. Esta definición nos permite dividir la
organización en entornos que contengan activos de una
clasificación y prioridad uniforme. Esta partición facilita la aplicación
de prácticas de seguridad adaptadas a las necesidades de cada
parte de la organización, y limita el flujo de activos entre zonas.
Ninguna política de seguridad debería hablar de medidas de seguridad

específicas, sino de
• los activos y expectativas que se protegen y
• los medios que se ponen para realizar esta protección.
Las medidas a poner deben determinarlas los responsables de seguridad.
NORMAS DE SEGURIDAD.
Las normas, entre otras cosas, definen la relación de una zona con las
demás, cubriendo
Ø la comunicación de activos y
Ø las transferencias de propiedad:
• Enumeración de los entornos que existen en la organización.
• Las prácticas obligatorias en todos y cada una de esos entornos, y
específicamente la gestión de credenciales y sesiones.
• Limitaciones de transferencia de activos entre los entornos.
• Guía de cómo evitar incidentes.
• Guía de actuación en caso de determinados incidentes,
normalmente aquellos que afecta a activos críticos.
• Normas de información y concienciación sobre seguridad.
• Mantenimiento de la viabilidad del Plan de Continuidad de
Operaciones.
138

ESTÁNDARES DE SEGURIDAD.
Cada entorno tendrá sus propios estándares de seguridad, que desarrollan
las normas de seguridad para entornos específicos, como pueden ser:
• Laboratorios.
• Desarrollo.
• Producción.
• Gestión de Recursos Humanos.
• Dirección.
• Etc.
Por ejemplo, en el entorno de desarrollo podría existir un estándar de

desarrollo y evaluación de aplicaciones que defina
Ø los requerimientos de seguridad de todas las aplicaciones
desarrolladas para la organización y
Ø los procedimientos de certificación de seguridad de las aplicaciones.
En el estándar se especifica
ü cuando y quien debe realizar actividades siguiendo los
procedimientos de la zona. También indica
ü con quien contactar en caso de necesitarse información suplementaria.
PROCEDIMIENTOS DE SEGURIDAD.
Documentan
ü quien y cada paso de cómo se aplican los estándares de seguridad, y
ü como se gestionan las medidas de seguridad.
• Los procedimientos pertenecen a zonas determinadas.

• Los estándares de la zona especifican cuando debe realizarse el
procedimiento.
Procedimientos Zonas Estándares
El procedimiento indica
o quien debe realizarlo y
o que debe hacerse,
incluso con detalles paso a paso.
139

PLAN DE CONTINUIDAD DE OPERACIONES.
Los Planes de Continuidad de Operaciones garantizan la existencia a largo
plazo de la organización, siendo el instrumento por el cual protegeremos
la organización de la situación de peor caso, como desgraciadamente
aprendieron las organizaciones que sufrieron las consecuencias de los
atentados del 11 de Septiembre.
El plan de continuidad de Operaciones protege ciertos entornos de la

organización, definiendo:
• Planes de actuación ante incidentes de gran impacto.
• Las prácticas obligatorias a ejercer en la organización para
garantizar su efectividad permanente.
• La estructura organizativa que soporta el plan.
• Dotación de recursos para el plan.
• Las responsabilidades individuales y departamentales acerca del
Plan.
• Definición de tipos de entorno y prioridad de los activos protegidos
por el Plan.
Lógicamente, el plan de contingencias debe estar soportado fuera del propio
sistema que protege o corre el riesgo de desaparecer con él.
3.3.4. MEDIDAS LEGALES.

Las medidas legales mejoran la seguridad al definir y proteger nuestras
relaciones tanto dentro de la organización como fuera de ella. Entre las medidas
que podemos tomar tenemos
• los contratos,
• las limitaciones de responsabilidad por el uso de nuestros productos o
servicios, como las que emplea la industria del software,
• el cumplimiento de las normativas relevantes al sector de actividad de
nuestra organización, y
• las acciones legales ante incidentes o violación de contrato que
podamos realizar protegidos por la legislación vigente.
El comportamiento y uso que se hace de los activos repercute en la

seguridad, y en ocasiones puede tener repercusiones en la imagen de la
organización. Para regular este comportamiento y uso es necesario disponer de
unas normas y formar tanto a los miembros de la organización como al resto de
usuarios de los activos.
140

El documento de Normas de Uso Aceptable especifica:
• Uso aceptable de activos de la compañía

o por parte de miembros de la organización y
o por parte de terceras compañías.
• Uso aceptable de activos de otras compañías por parte de los miembros
de la organización.
• Comportamiento aceptable de los miembros de la organización.
• Advertencias incorporadas en los sistemas e instalaciones informando
o del uso aceptable y
o de las responsabilidades en que se incurren en su caso.
El acuerdo de Interconexión con Terceros o Acuerdo de Seguridad especifica

con aquellas terceras partes que
• nos provean servicios o
• estén conectados de cualquier forma a nuestros sistemas de información:
o Normas de comportamiento.
o Medidas obligatorias.
o Etc.
3.4. TECNOLOGÍAS.
Cada una de las técnicas que hemos visto en el apartado anterior pueden llevarse
a la práctica mediante distintas tecnologías. Estas tecnologías suelen ser
ligeramente distintas dependiendo de si protegemos
• información,
• mensajes,
• entrada / salida o
• infraestructura.
Dada la profundidad del tema y la enorme cantidad de literatura técnica disponible,
hablaremos de cada tecnología superficialmente.
Para abordar proyectos de software usando alguna de estas tecnologías, es

necesario disponer de las librerías correspondientes. Hasta no hace mucho, no
existía una API estándar para acceder a servicios de seguridad. La GSS API
(RFC2078) es un estándar que cada vez adopta más este papel. En el caso de
desarrollar protocolos de seguridad, es aconsejable seguir la RFC3365.
141

3.4.1. ELIMINACIÓN DE OPORTUNIDADES.
Físicamente es posible eliminar la oportunidad de una amenaza simplemente
eligiendo una localización donde esa amenaza no esté presente. Un CPD en
un tercer piso no debería verse nunca afectado por el desbordamiento de un
rio cercano.
CORTAFUEGOS, PROXIES.
Un cortafuegos es un dispositivo que filtra los mensajes o

conexiones que pasan a través de él. Esta verificación puede
producirse a cualquiera de los niveles de la torre OSI.
Aunque existen muchos otros protocolos, hablaremos de los protocolos

IP por ser los utilizados en Internet. Un paquete IP tiene la siguiente
estructura:
Un cortafuegos puede examinar todo el paquete y decidir si lo

reenviara o no dependiendo de:
• Los interfaces de origen y destino del paquete.

• Las direcciones de origen y destino del paquete.
• Los puertos de origen y destino del paquete.
• El contenido y longitud del paquete.
• El estado y duración de la conexión.
• La hora actual...
• ...y otros criterios.
142

Dependiendo si el protocolo proporciona una conexión fiable o no
fiable se utilizan protocolos con estado o sin estado.
• Los cortafuegos que no son capaces de filtrar dependiendo del
estado de la conexión se llaman filtros de paquetes.
• Cuando el cortafuegos es capaz de examinar no sólo el estado
sino el contenido de los paquetes, verificando que es aceptable
para la aplicación a que está destinado, se llama proxy. Como
es lógico, este filtrado es específico por cada aplicación.
Los cortafuegos se pueden utilizar tanto para controlar la conexión

• entre la organización e Internet, como
• entre distintas zonas dentro de la organización.
El ejemplo más frecuente de este último uso es el cortafuegos
que existe en muchas organizaciones entre la DMZ (Zona
desmilitarizada) y el resto de la red.
Hacer que un proxy controle el contenido de las conexiones es tratar

un problema de programación con una solución de sistemas. Es
una mala solución. Siempre que sea posible, la comprobación de la
corrección de la sintaxis y semántica de la información manejada la
debe realizar la propia aplicación.
Los cortafuegos y proxies eliminan oportunidades de incidentes gracias

a que
• bloquean el acceso a puertos, o bien
• controlan que las conexiones están autorizadas.
Un cortafuegos también disminuye nuestra vulnerabilidad ante ataques

IP.
3.4.2. REDUNDANCIA
Si se diseña correctamente, podemos hacer nuestros sistemas capaces de
resistir incidentes con impactos tan serios como la destrucción física de una
máquina o un CPD, pero si no advertimos qué recursos son compartidos
entre sistemas podemos tener una falsa sensación de invulnerabilidad.
Cada tecnología nos protegerá de unas amenazas, pero no de otras, de
modo que si usamos un clúster, un fallo en una CPU no hará fallar el servicio,
pero quizá un fallo de corriente si, o puede que un fallo en el router que nos
conecta con Internet.
143

Cuantos mas puntos únicos de fallo eliminamos, mayor es la
redundancia. Cuando usamos un nivel de redundancia realmente alto, es
necesario hacer numerosas pruebas de fallos hasta que comprendamos bien
cuál es el comportamiento y recuperación del sistema total en caso de un
fallo individual.
Físicamente, si acompañamos las medidas de redundancia con una

localización juiciosa, podemos obtener beneficios extra. Si por la
tecnología elegida es posible poner dos nodos de un clúster muy alejados,
será mucho más difícil que el clúster sea destruido por un ataque terrorista.
RAID.
Un RAID es una matriz de discos baratos, vistos como uno sólo

por el sistema operativo. Gracias a que los datos están distribuidos
entre los discos, si se produce un fallo en uno de ellos se puede
reemplazar sin que la información deje de ser accesible.
Los RAID pueden estar controlados por el sistema operativo o por

hardware. La opción hardware es preferible en sistemas de alta
disponibilidad, debido
• a su fiabilidad y
• a que es más probable que se pueda reemplazar un disco roto
sin interrumpir la operación del sistema.
144

Existen varios tipos de RAID. Dependiendo de cómo distribuyen la
información entre los discos que los componen:
• Nivel 0:
o Concatenación de discos que se ve como uno.
o No hay distribución de información, y por tanto no es “auténtico”
RAID.
o Aumenta la velocidad de lectura del disco lógico resultante.
• Nivel 1:
o Dos discos contienen idéntica información.
o Tienen la importante desventaja de que suele ser difícil
determinar que disco contiene la información valida, y para
determinarlo puede ser necesario interrumpir la operación del
sistema.
o Se conoce como "mirror".
• Nivel 2:
o La información se distribuye bit a bit entre 39 discos con paridad
tipo Hamming.
o Se usa con muy poca frecuencia.
• Nivel 3:
o La información se distribuye byte a byte entre tres o más discos,
dedicando uno a almacenar la paridad.
• Nivel 4:
o La información se distribuye bloque a bloque entre tres o más
discos, dedicando uno a almacenar la paridad.
• Nivel 5:
o Idéntico a nivel 4, pero los discos se dividen en bandas
repartiendo el papel de almacenar la paridad entre distintas
bandas.
• Nivel 1+0, ó 10:
o Concatenación de RAID de nivel 1, resulta en un RAID-1 más
rápido.
• Nivel 0+1:
o Mirror de RAID de nivel 0.
o Menos fiable y tarda más en recuperarse de un fallo que el RAID-
10.
Uso de RAID nos protege contra fallos hardware.
145

JOURNALING.
Los sistemas de archivos tradicionales son sensibles a fallos hardware
y software. Cuando se produce una caída del sistema operativo, el
sistema de archivos puede quedar en un estado inconsistente, con lo
que es necesario comprobar su consistencia al iniciar el sistema. Esta
comprobación puede llevar un tiempo muy largo, y es posible que la
corrección de los errores detectados conlleve perdida de información.
Los sistemas de archivo con journaling nos protegen contra
• fallos en el sistema operativo o las aplicaciones, y ante
• fallos en la RAM,
• fallos de alimentación u otros.
Estos sistemas de archivo son prácticamente invulnerables a los fallos

software o caídas del sistema, y manejan mejor los fallos en el disco
duro. Nunca es necesario comprobar la consistencia del sistema de
archivos, dado que el sistema siempre "sabe" llegar rápidamente a un
estado consistente.
ECC RAM Y RAM CON PARIDAD.

La memoria de un sistema es muy fiable, pero no infalible. Debido a
• radiactividad natural,
• rayos cósmicos,
• efectos térmicos y
• otros fenómenos físicos,
es posible que un 0 almacenado en memoria se convierta en un 1
antes de ser leído, y viceversa. Para aumentar la fiabilidad de la
memoria, se puede usar
• memoria con paridad, que permite detectar este tipo de fallos, o
• ECC RAM, que permite no sólo detectarlos, sino corregir la
mayor parte de ellos.
La RAM con paridad y ECC nos protege contra fallos hardware, que
aunque normalmente pasan inadvertidos, pueden provocar incidentes
“misteriosos”.
CONEXIONES REDUNDANTES.
Las conexiones redundantes permiten continuar la conexión a pesar de
la caída de una línea. Consideraremos redes Ethernet y protocolo
TCP/IP por simplicidad.
146

Hay varios tipos de redundancia, dependiendo de la disponibilidad de
la conexión redundante:
• Conexión de copia de respaldo: Esta línea no está conectada

normalmente, sólo cuando se detecta un fallo en la principal.
Suele tener un ancho de banda inferior.
• Conexión redundante: Esta línea no suele tener tráfico, sólo
cuando se detecta un fallo en la principal.
• Conexión redundante con balanceo de carga: Esta línea lleva
parte del tráfico, o todo cuando se detecta un fallo en la otra
línea.
En la siguiente tabla vemos las distintas opciones a utilizar
dependiendo del tipo y nivel de redundancia. Lógicamente, a nivel
físico siempre harán falta dos cables, a menos que usemos redes por
radio, infrarrojos o similares.
Las NIC (Tarjeta de red) especiales tienen varios puertos que a veces
tienen la misma dirección MAC.
Para
• detectar fallos y
• cambiar el enrutamiento, y
• balancear la carga
se usan protocolos, que son en su mayor parte propietarios.
Conseguir que la redundancia sea efectiva puede ser difícil, dado que
debemos comprobar que ambas líneas no compartan ningún
punto único de fallo, como puede ser por ejemplo:
• Conexión al mismo hub o switch.

• Ser del mismo proveedor.
147

• Que los proveedores compartan infraestructura física.
• Que los cables sigan un camino físicamente compartido.
Las conexiones redundantes nos pueden proteger de fallos del

proveedor, físicos, problemas en la línea y en otros equipos de red,
dependiendo del diseño y el número de puntos únicos de fallo que
eliminemos.
CÓDIGOS DE REDUNDANCIA.
Todos los sistemas de información utilizan códigos de redundancia a
bajo nivel para detectar y corregir errores de transmisión y errores
hardware, como
• el código Hamming,
• el bit de paridad,
• el CRC y otros.
Estos códigos garantizan la operación correcta del sistema, pero no

otras formas de manipulación. Por ello cuando queramos garantizar
que nuestra información no ha sido manipulada, necesitaremos firmas
digitales.
CLUSTER.
Los cluster son un conjunto de dos o más host que proporcionan un
conjunto de servicios de forma solidaria. Debido a esto, necesitan
acceso a un repositorio de información común, sea
• un sistema de archivos,
• una base de datos, o bien
• sub-servicios.
Los host que pertenecen a un cluster se llaman nodos.
Existen los siguientes tipos de cluster:
• Hardware, con compartición de discos:

o En este tipo de cluster el sistema operativo funciona como si
estuviera en un host individual.
o El hardware automáticamente activa o desactiva dispositivos
según se hayan producido fallos en el hardware.
o La compartición de información típica entre nodos se realiza
mediante conexiones duales a SCSI o Firewire a una red de
almacenamiento (SAN) o una cabina de discos.
148

• Fail-over, con compartición de discos.
o En este tipo de cluster existen servicios del sistema operativo
que monitorizan el estado del resto de nodos del cluster.
o Los otros nodos están "en espera", y se activan cuando se
produce un fallo en el único nodo activo.
o La compartición de información se hace también con
conexiones duales a un almacenamiento común.
• Alta disponibilidad.
o Este tipo de cluster es idéntico al Fail-over, excepto porque
o hay más de un nodo activo simultáneamente.
• Load-balancing, sin compartición de discos.
o En este tipo de cluster la compartición de información se hace
mediante una red de datos a los servidores del backend.
• Computación en paralelo.
o En este tipo de cluster se utilizan librerías para que los
programas ejecutados vean todo el cluster como un único
host.
o Cuando falla un nodo, los programas continúan ejecutándose,
aunque algo más despacio.
• Base de datos, sin compartición de discos.
o Es un cluster de load-balancing en el que los nodos no son
sistemas operativos, sino bases de datos.
o Cada nodo es una réplica de la base de datos que se
mantienen sincronizadas.
o Sólo ofrecen servicios de bases de datos.
En contra de la intuición, la detección del fallo de un nodo es algo

compleja. Para ello se utiliza el llamado "heartbeat", que es un
mensaje de "estoy vivo" enviado a través de una conexión
especialmente fiable.
149

BACKUP.
La copia de respaldo es una de las tecnologías más efectivas para
reducir el impacto de incidentes. Mediante copia de respaldo
podemos recuperar nuestra
• información,
• configuraciones e incluso
• sistemas completos.
Desgraciadamente realizar copias de respaldo efectivas y que puedan
recuperarse con facilidad requiere un gran esfuerzo de
administración.
Para que una copia de respaldo sea efectiva debe realizarse

periódicamente, para minimizar la cantidad de información que puede
perderse.
Puede clasificarse una copia de respaldo dependiendo de la

naturaleza de la información copiada, de la cantidad de datos
utilizados para copiar esa información, y de su periodicidad.
Naturaleza:
• Sistema.
• Configuración.
• Sistema de archivos.
• Archivos,
• Base de datos.
• Directorio.
Cantidad de datos:
• Total.
• Parcial
• Incremental.
Periodicidad:
• Torre de Hanói.
• Diario.
• Semanal.
• Mensual.
• Anual
150

Debido a la enorme complejidad del tema, destacar al menos:
• La mayor parte de los sistemas de copia de respaldo no tratan
bien la meta-información, como
o atributos,
o listas de control de accesos y similares.
• Es mejor almacenar la copia de respaldo con la máxima
seguridad física lo que implica disponer de cajas ignífugas y
localizaciones alternativas.
• Las copias de respaldo incrementales
o requieren menos capacidad de copia de respaldo, pero
también
o son más difíciles de usar para restaurar información.
• Para hacer copia de respaldo se deben utilizar credenciales
especiales del sistema, no asociadas a ningún usuario. En
caso contrario,
o la baja,
o desactivación temporal de la cuenta,
o cambio en los derechos, etc...
puede comprometer la copia de respaldo.
• Usar una periodicidad matemáticamente óptima como la torre de
Hanói es difícil de comprender y gestionar. Es mejor usar
periodicidades calendáricas.
• Es imprescindible hacer pruebas de restauración periódicas
para comprobar su efectividad. El número de modos que puede
fallar una copia de respaldo o un restore casi no tiene límites,
como por ejemplo:
o Fallos de red durante la copia de respaldo.
o Falla de espacio en el medio de almacenamiento que es, con
frecuencia, cinta.
o Problemas de derechos o de atributos del usuario de copia
de respaldo.
o Fallos de procedimiento al etiquetar, cambiar o almacenar
cintas.
o Caducidad de cintas o fallos en el medio magnético.
o Fallos del hardware o software de copia de respaldo.
o Hurto de cintas.
o Las personas que conocen el sistema de restore no están
disponibles.
151

o Determinadas copias de respaldo masivas llevan más tiempo
del que se puede dedicar a realizarlas.
o Después de un desastre, el único dispositivo que puede
realizar el restore ha sido destruido.
...el límite de formas de que falle un backup es la imaginación.
REPLICACIÓN.
La replicación es una tecnología de redundancia muy relacionada

con el backup. El siguiente cuadro describe, de una forma análoga al
cuadro de conexiones redundantes, los distintos tipos de replicación de
datos. El término "foto" se usa en sentido figurado.
• La replicación física es una copia bit a bit.

• La replicación de sistema de archivos conserva la estructura y la
meta-información de los archivos.
• La replicación de contenido conserva la información, su estructura y
su integridad referencial
La copia en línea se utiliza cuando no es posible desbloquear los

archivos para hacer backup, o no da tiempo a hacerlo en la ventana
disponible, como sucede con bases de datos empresariales. En este
caso es habitual obtener "fotos" del contenido.
La replicación de bases de datos se distingue de los cluster de bases

de datos en que la replicación de bases de datos sólo replican la
información. Los cluster de bases de datos tienen los mismos servicios
disponibles desde todos los nodos del cluster.
152

La replicación, a pesar de añadir complejidad, se utiliza debido a las
siguientes ventajas:
• Permite mayor rendimiento en lectura. Por eso se emplea
especialmente en los directorios como NDS y Active Directory.
• Supone una protección contra catástrofes, dado que las réplicas
pueden estar en localizaciones distintas.
Desventajas:
• En algunos sistemas la sincronización del reloj del sistema es
esencial para el funcionamiento de la replicación.
• Puede perjudicar a aplicaciones que necesiten un “conocimiento
completo” de la base de datos en tiempo real. La actualización
de una tabla puede tardar cierto tiempo en ser reflejada por
todas las réplicas.
• Pueden existir actualizaciones incompatibles de registros
simultáneas en distintas replicas, que necesitan un tratamiento
específico para no comprometer la consistencia de la base de
datos.
3.4.3. CONTROL DE ACCESOS LÓGICO Y FÍSICO.

Las tecnologías de control de accesos permiten
• la gestión del ciclo de vida de las credenciales y
• la concesión de sesiones mediante autenticación, autorización y registro
de uso.
Las tecnologías de control de accesos físico utilizan principalmente

• barreras,
• guardas de seguridad y
• tarjetas de acceso con fotografía difíciles de falsificar.
DIRECTORIOS.
Los directorios son la clave de cualquier sistema de control de
accesos en entornos medianos y grandes. Cuando el control de
accesos está basado en servidores individuales, el coste de gestión del
sistema crece muy rápidamente según aumenta el número de
servidores. El directorio centraliza el control de accesos, como un
paraguas que cubre todos los sistemas operativos, servidores y otros
recursos de la organización.
153

Los principales directorios actualmente son
• LDAP,
• Active Directory y
• eDirectory.
Cuando en una organización existen varios directorios, se recurre a

diversos parches cuando no es posible consolidarlos en uno sólo,
como puede ser
• el uso de metadirectorios,
• sistemas de single sign on, que actúan como intermediarios
entre los usuarios y los distintos directorios, o incluso
• bases de datos manejadas por un operario, que se encarga de
asegurar que las credenciales están sincronizadas en los
distintos directorios existentes.
Los sistemas de directorios son enormemente complejos, como es

obvio al revisar algunos de las características de un servicio de
directorios maduro:
• Un “Schema” flexible permite gestionar recursos propios de nuestra
organización cuyos atributos sean distintos de los objetos
existentes por defecto en el directorio.
• Un diseño del árbol de objetos representa bien la estructura
orgánica o geográfica de la organización.
• Las réplicas de la base de datos, o de una parte de ella, permite el
acceso eficiente al directorio.
• El uso de protocolos complejos, como kerberos o ldap, permite
garantizar el secreto de la información manejada en la
autenticación y autorización, y otras operaciones.
• Una API bien desarrollada permite integrar aplicaciones propias
con el directorio.
• Interopera con otros y con DNS.
• Algunos directorios pueden operar sobre, y gestionar los accesos
de cualquier sistema operativo.
• El soporte para cifrado permite manejar firmas digitales,
certificados, etc.
• El soporte de medios de autenticación permite aceptar
• contraseñas,
• tarjetas inteligentes,
• biometría y otros medios de autenticación.
154

MEDIOS DE AUTENTICACIÓN.
Existe un número muy amplio de medios de autenticación, como:
• Contraseñas. De las contraseñas hablamos en el apartado

"Compromiso de medios de autenticación".
• Frases de paso. Es como una contraseña, pero más larga.
• Preguntas mágicas. Es una pregunta personal de la que sólo

nosotros debemos conocer la respuesta. Es incluso más efectiva si
la respuesta que elegimos dar no está relacionada con la pregunta.
• Tarjetas "inteligentes". Son tarjetas con microchip que puede

almacenar cierta cantidad de datos.
• Biometría. Puede hacerse biometría de la voz, el iris, la letra, la

cara, las huellas digitales o los intervalos de tiempo entre letras
cuando tecleamos en un teclado. Estos intervalos son
característicos de cada persona.
Algunos de estos medios exigen lectores especiales que los hacen

muy caros. Los medios biométricos suelen tener problemas de falsos
positivos o falsos negativos por variaciones naturales.
PROTOCOLOS.
Los protocolos más utilizados son
• ldap,
• kerberos y
• ldap sobre ssl/tls, que se conoce como sldap.
Otros protocolos para la sincronización entre directorios, como ldup y
dirsync, están acercándose poco a poco a ser una realidad.
REGISTROS DE ACCESO (LOG).
• Muchas aplicaciones,
• sistemas operativos y
• elementos de red
utilizan logs para registrar
o el uso que se hace de ellos, y
o los posibles errores en el sistema.
Algunos log están asociados a sesiones, lo que permite rastrear su
origen. Otros simplemente registran eventos en el sistema.
155

El uso de logs presenta las siguientes dificultades:
• Cada sistema operativo y aplicación utiliza un formato de log
distinto, lo que dificulta su automatización.
• Los log no suelen estar protegidos contra modificaciones, por lo
que pueden falsificarse.
• La fiabilidad de la hora y fecha del log depende de la fiabilidad de
éstas en el sistema.
• Los log suelen estar distribuidos en distintos directorios de distintos
host, lo que hace más difícil su administración.
• Es muy difícil predecir cuanto espacio requiere un log.
• Es muy difícil interpretar y relacional los eventos de varios log.
Gracias a los log se puede hacer un análisis forense de lo sucedido en

un sistema y obtener estadísticas. Lógicamente el log de un
cortafuegos o un IDS puede ser especialmente revelador.
Un log que no se analiza no sirve apenas para nada. Debido al

coste de gestión de este análisis, se debe balancear ese coste con los
posibles beneficios, y contemplar medidas como
• adquirir programas que faciliten el análisis,
• seleccionar cuidadosamente de que eventos quiere tenerse
registro y
• centralizar los logs en un único directorio en una máquina
dedicada, entre otras.
Existen herramientas que examinan los eventos y son capaces de
correlacionarlos, pero son herramientas complejas cuya rentabilidad
debe justificarse muy bien.
Si la posible manipulación o borrado del log es un riesgo, puede

utilizarse un medio de sólo lectura para almacenar el log, como un CD-
R, o almacenarlos en un sistema distinto del que los genera.
En aquellos entornos en que se requiere gestionar los errores en

tiempo real, puede ser más indicado gestionar los sistemas mediante
SNMP que analizar los log de errores.
3.4.4. CIFRADO.
Las tecnologías de cifrado son enormemente ricas, y aquí podremos
escasamente arañar la superficie.
156

AUTORIDADES DE CERTIFICACIÓN.
Como comentamos al hablar de cifrado de clave asimétrica, para que
los receptores y los emisores de mensajes puedan confiar entre sí, es
necesario algún enlace entre la clave pública y la personalidad de
cada uno. Puede ser necesario también corresponder la clave con un
ordenador, no con una persona. En este caso la correspondencia
puede ser con una URL o una dirección IP.
Utilizando los certificados emitidos por una Autoridad de Certificación,

podemos relacionar personalidades o host con claves públicas. Un
certificado contiene al menos,
• la clave pública y la identidad del propietario,
• la identidad de la autoridad certificadora, y
• la firma digital de la autoridad de certificación.
Las Autoridades Certificadoras se basan en una infraestructura de

PKI para proveer los siguientes servicios:
• Emisión y Revocación de certificados.
• Comprobación de la identidad del solicitante de un certificado.
• Mantenimiento de repositorios públicos con certificados.
• Mantenimiento de repositorios públicos con listas de revocación.
El proceso de concesión de un certificado es, simplificando un

poco, como sigue:
• El solicitante genera un par de claves. Una de las claves se inserta
en una petición de certificado, y la otra se mantiene como secreta.
• El certificado se envía a la autoridad de certificación.
• La autoridad de certificación comprueba la identidad del
peticionario por medios alternativos, como puede ser la
comprobación de documentos de identidad estando el solicitante
presente.
• La autoridad firma el certificado, lo hace público y devuelve una
copia al solicitante.
Para poder comprobar la validez de los certificados la Autoridad de
Certificación emite un certificado con su clave pública, firmado por ella
misma. Este certificado se conoce como certificado raíz.
157

En caso de que la clave privada de un usuario deje de ser secreta, este
puede revocar el certificado, que se almacena en una lista de
revocación para que partes interesadas puedan comprobar la
efectividad de certificados en tiempo real.
Debido a que todo el sistema se fundamenta en el pilar fundamental de

que la clave de la privada de la autoridad de certificación sea secreta,
se extreman las medidas de precaución con el host que la hospeda.
Este host no está conectado a ninguna red, por lo que los certificados a
firmar se tratan siempre mediante lotes (batch) "fuera de línea".
Existen varios puntos débiles de las autoridades de certificación

que han impedido que se conviertan en un medio más extendido para
proporcionar secreto y autenticación:
• Existen demasiadas autoridades de certificación, con lo que es

necesario tener un certificado al menos por cada una de ellas con
la que operemos.
• La clave pública se suele enlazar con una dirección de correo, no
con la identidad. Como la mayor parte del mundo tiene dos o más
direcciones de correo, el número de certificados necesarios
aumenta innecesariamente.
• Cada certificado sólo sirve para un tipo de transacciones limitadas,
dependiendo de para que los emitió la autoridad certificadora.
• Como no todas las autoridades de certificación comprueban
fehacientemente la identidad al conceder un certificado, la
confianza en los certificados es relativamente baja.
Si hubiera un número más reducido de autoridades, el certificado se
asociara con la identidad, y gracias a una comprobación de identidad
exhaustiva existiera más confianza en ellos, el uso de certificados
estaría mucho más extendido.
PROTOCOLOS.
At igual que en la redundancia de conexiones, asumiremos como caso

más simple IP. La mayor parte de los protocolos utilizados actualmente
en Internet se diseñaron con el fin de obtener una funcionalidad, sin
incorporar características que pudieran protegerlos de ataques. Existen
protocolos seguros a nivel de enlace, de red y de aplicación.
158

• Nivel de Red: Ipsec, L2TP, PPTP.
• Nivel de Transporte: SSL.
• Nivel de Aplicación: S/MIME, PGP, Kerberos (sobre UDP).
La mayor parte de los protocolos IP se pueden encapsular actualmente

en TLS y SSL, y así existen sftp, sldap, https y otros protocolos a los
que se ha añadido la "s" de seguro. TLS
• permite comprobar el origen y destinatario de una conexión IP, y
• cifra el contenido de los paquetes para mantener su secreto.
La redes privadas virtuales (VPN) son redes IP tuneladas mediante

Ipsec, L2TP o PPTP.
Existen sutiles diferencias entre todos estos protocolos relacionadas

con:
• La gestión de claves.
• La negociación de longitud de claves y algoritmos de cifrado.
• Los algoritmos de cifrado soportados.
El uso de protocolos seguros nos permite asegurar el secreto de los

mensajes y conexiones establecidas a través cualquier red, aunque no
esté dentro de nuestra organización.
ALGORITMOS.
Existe un enorme número de algoritmos de cifrado, tanto simétrico
como asimétrico y para generación de hash. Los algoritmos pueden ser
• de bloque, lo que indica que cifran la información dividiéndola
previamente en bloques, o
• de flujo, que indica que la información es cifrada según se
procesa bit a bit.
Algunos de los más populares son
Asimétrico. Flujo. Hash.

• RSA • RC4 • SHA-1 • AES,
• Diffie-Hellman • W7 • MD5 • DES,
• Blowfish,
• IDEA,
• Rijndael y Skipjack,
159

3.4.5. CAMUFLAJE.
El mimetismo es muy utilizado
• en la naturaleza,
• en el entorno militar y
• en la caza.
Las marcas de agua digitales pretenden proteger los derechos de

propiedad intelectual, mezclando un "sello" con la información a proteger.
De este modo, si esta información se copia sin autorización, se puede
averiguar su origen. Su éxito está limitado por la facilidad de manipular
información sea en forma de sonido, video o fotos. Pueden sufrir ataques
en los que se elimina la marca o se añade una segunda marca para dar la
sensación de que el autor es quien ha violado los derechos de protección
intelectual. Es de notar que las firmas digitales no ofrecen el mismo tipo
de protección, dado que una firma digital acompaña a la información
firmada, pero no se mezcla en absoluto con ella.
ESTEGANOGRAFÍA.
La esteganografía consiste en una forma de cifrado en que un
mensaje secreto se oculta dentro de otro no secreto. De esta
forma, no sólo ocultamos el mensaje, sino el mismo hecho de que
enviamos un mensaje.
OFUSCACIÓN DE CÓDIGO.
La ofuscación de código se utiliza para impedir el uso de nuestro
código binario o código fuente por terceros, realizando la labor
inversa a la de un programador. En lugar de hacer el código tan simple
como leer como sea posible, lo hacemos tan obtuso como se pueda.
160

De esta forma podemos dificultar o impedir la ingeniería inversa del
código, sea con un desensamblador o leyendo el propio código fuente.
Las herramientas usadas, como es lógico, dependen del tipo de código
que se desea ofuscar.
3.4.6. RESERVA.
SAI.
Las SAI o Fuentes de Alimentación Ininterrumpidas, almacenan

energía eléctrica para su uso en caso de un fallo de la red de
suministro. Las SAI convierten la corriente eléctrica continua que
obtienen de sus baterías en corriente alterna mediante un ondulador.
Es frecuente combinar el uso de dos SAI con host que disponen
de dos fuentes de alimentación, de modo que
• ni el fallo de una SAl
• ni una pérdida de corriente,
• ni el fallo de un cable,
• ni el fallo de una fuente de alimentación
puede interrumpir la alimentación eléctrica al host.
BUFFERS.
Los buffer son almacenes temporales de información que bien

• nos protegen de interrupciones en el flujo de información, como
sucede con la grabación de un CD, que puede fallar en caso de
interrumpirse el flujo de datos, o
• palian la diferencia de velocidad entre dos medios.
Asegurando que siempre hay un dato disponible en el momento que un

dispositivo lo necesita.
ALMACENES.
Muchas organizaciones dependen de determinados suministros para

su operación, que pueden ser materias en bruto, componentes y
similares. No es extraño tener que retrasar la recuperación de un
sistema por falta de piezas o conectores específicos. Un ejemplo del
uso de almacenamiento se dio cuando las empresas automovilísticas
hicieron acopio de material cuando la situación mundial amenazaba el
transporte de las piezas que necesitaban de Asia.
161

3.4.7. INVENTARIO Y MARCADO.
NÚMEROS DE SERIE.
Marcar un bien con un número de serie permite llevar un control de
inventario efectivo. En la mayor parte de las organizaciones se
utilizan números de serie internos, dado que los números de serie
de los fabricantes son demasiado distintos entre sí. Las tecnologías
más utilizadas son el uso de
• pegatinas,
• marcas permanentes en los equipos,
• códigos de barras, o
• marcas no falsificables indelebles, como la marca de la matrícula
de un coche en todas las ventanillas.
Las tecnologías existentes permiten dar un número, marcar y leer el
número de serie de cualquier bien.
MARCADO.
Las marcas identifican un bien como perteneciente a una organización.
Son más utilizadas en productos para evitar su falsificación que
para bienes de una empresa. Las tecnologías son muy variadas,
desde
• la marca de agua que se utiliza en los billetes,
• el uso de hologramas, que son prácticamente infalsificables, o
• marcas digitales usadas en DVD comerciales.
• Algunas BIOS nos permiten incluir un mensaje en el arranque de
un equipo en el que podemos marcarlo como propiedad de la
organización.
3.4.8. BLINDAJE.
CANDADOS Y CADENAS.
Los candados y cadenas son tecnologías que dan buenos resultados,

aunque no son invulnerables. Su efectividad depende de su calidad
y del valor de lo protegido.
162

PESO Y VOLUMEN.
Los bienes pesados y voluminosos son más difíciles de hurtar. Aunque
raramente hagamos un bien pesado intencionadamente, puede ser una
opción interesante cuando el bien debe encontrarse en una zona
pública. Por ejemplo los llaveros de las llaves de hotel suelen ser
incómodamente grandes para evitar su perdida.
ENDURECIMIENTO.
Endurecer es una tecnología usada habitualmente en lugares públicos,

por ejemplo las cabinas y los cajeros automáticos usan esta tecnología.
Militarmente, no hay ejemplo más obvio que un tanque. En sistemas de
información se usan procedimientos de configuración que
"endurecen" los sistemas.
APANTALLAMIENTO.
El apantallamiento impide que las ondas electromagnéticas entren o
salgan de un canal o una zona. Esto suele conseguirse gracias al
efecto faraday. Si por algún motivo no queremos que nadie hable por
móvil en una zona, podríamos apantallarla. La fibra óptica supone un
buen apantallamiento, dado que es muy difícil extraer luz sin que se
detecte la manipulación de la fibra.
3.4.9. CONTROL DE CALIDAD.

VIGILANCIA O MONITORIZACIÓN.
En seguridad física las tecnologías de vigilancia son muy numerosas,
como son
• los circuitos cerrados de televisión,
• los contactos magnéticos para saber si una puerta está abierta o
cerrada,
• los detectores de infrarrojos y
• las cámaras de visión nocturna, entre otros.
En el mundo de sistemas de información, las medidas de vigilancia
más utilizadas son
• los sistemas de detección de intrusiones (IDS) y
• los honeypot.
Los IDS examinan el trafico IP buscando sucesos que indiquen una

actividad fuera de lo normal.
163

Los honeypot son cebos, víctimas propiciatorias puestas ahí para que
un potencial atacante se revele como tal. En investigación se utilizan
redes "honeynet" con su firewall, IDS y honeypots para estudiar el
comportamiento de los atacantes existentes en la red.
Un honeypot es sólo uno de los posibles cebos que pueden utilizarse,

los cuales sólo están limitados por la imaginación del administrador. En
algunas organizaciones, se activan cuentas de correo como
a@organizacion.com, aa@organizacion.com, etc., para detectar
correos enviados automáticamente a todas las direcciones de un
dominio. Cuando se recibe un correo en uno de esos buzones,
podremos a veces detectar antes que los usuarios la propagación
masiva de un gusano.
La vigilancia no se limita a la detección de ataques. También existen

tecnologías para la detección de accidentes y errores, algunas de las
cuales han sido ya comentadas, como los códigos de corrección de
errores. El uso de sistemas de monitorización, que con frecuencia
emplean el protocolo SNMP, constituyen otra rama de las tecnologías
de monitorización y vigilancia. Como ejemplos de productos están Big
Brother (de código libre) o Patrol.
PRUEBAS.
Las tecnologías que existen para probar nuestras medidas de
seguridad son las mismas que utilizaría un potencial atacante. En
seguridad física las pruebas consisten en simulaciones de incidentes,
como es una simulación de incendios. En seguridad de la información
se utilizan herramientas para simular intrusiones, ataques, accidentes,
y errores.
AUDITORIA Y ANÁLISIS FORENSE.

La auditoría y análisis forense examinan evidencias. Para ello, pueden
utilizar las mismas tecnologías de análisis de log ya comentadas, y
herramientas como F.I.R.E para examinar un sistema sin modificar en
absoluto su estado.
164

3.5. ENTORNO DOMÉSTICO.
Las expectativas del usuario en un entorno doméstico son, en términos generales,
ü que nadie pueda acceder a la información de la computadora desde Internet,

ü que el resto de usuarios no puedan acceder a los archivos secretos de los
demás,
ü que sólo se instale el software que quieran los usuarios y nos ser engañados en
su uso de Internet. A algunos usuarios también les preocupa
ü el registro que se hace de su uso de la computadora y de Internet.
En la mayor parte de los Entornos Domésticos:

• La computadora se comparte entre varias personas.
• Ninguna persona de la familia es un experto en informática.
• la conexión a Internet se realiza mediante modem o ADSL.
• Hay dos tipos de archivos, los "grandes" y el resto. Los más grandes suelen
ser fotos y videos.
• El sistema operativo es Windows.
• Se dispone de una grabadora de CD.
Las medidas de seguridad más recomendables para este tipo de entorno son:
• Configurar las aplicaciones para que hagan una copia de seguridad
automática en el disco cada diez o quince minutos, a fin de que no se pierda
el trabajo si se corta la corriente.
• Instalar un antivirus que se actualice automáticamente.
• Instalar un cortafuegos, especialmente si la conexión es ADSL.
• Sustituir Explorer+Outtook por otro navegador como Mozilla u Opera.
Configurarlo para que bloquee anuncios.
• Instalar un programa anti-adware y spyware.
• Si hay niños en la casa, instalar un programa de control de contenidos o
contratar este servicio al proveedor de acceso.
• Llamar a la compañía telefónica y pedir que corten el acceso a números
• tipo "906". En España han cambiado recientemente este tipo de prefijos.
• Quitar el servicio de compartición de directorios.
• Crear un directorio para archivos muy voluminosos (normalmente fotos y
video) en un directorio separado del de "Mis Documentos" (por ejemplo "Mis
imágenes"), para facilitar la copia de seguridad. Cambiar el directorio por
defecto de las aplicaciones de foto, video y música a este.
165

• Poner en una pegatina el teléfono de atención al cliente de la conexión
Internet y pegarlo al monitor. En caso de desastre se les puede llamar para
averiguar los parámetros de conexión.
• Conectar el ordenador y todos los periféricos a una base de enchufes con
interruptor, protegida contra sobretensiones si el suministro es especialmente
malo.
• Configurar el navegador para que no recuerde contraseñas (En Explorer hay
que desactivar "Autocompletar"). Opcionalmente podemos disminuir los
históricos de las aplicaciones, si nos preocupa que se pueda saber que
hemos estado haciendo con la computadora.
• Configurar el correo para que utilice texto, no HTML.
Costumbres aconsejables de adquirir como usuarios domésticos:
ü Usar al menos dos cuentas de correo con dos contraseñas totalmente

diferentes, una para suscribirse a listas de correos y servicios gratuitos, y otra
para acceso a servicios de pago, bancos, etc. Estas contraseñas deberían
ser "buenas", esto es:
o Tener longitud suficiente, al menos ocho caracteres.
o No deben estar relacionadas obviamente con la actualidad ni su
entorno. Sea la familia, gustos, aficiones, o terminología profesional.
o No pertenecer a ningún diccionario en ningún idioma. Esto es fácil de
hacer duplicando o quitando letras. Por ejemplo “eleffante” en vez de
"elefante".
ü No ejecutar archivos adjuntos a correos sin verificarlos antes con un
antivirus.
ü Mantener el sistema actualizado con Windows Update o similar.
ü Evitar conectarnos desde cibercafés a bancos o para hacer compras.
ü Mantener la información confidencial (como contraseñas, números de cuenta,
el certificado que nos proporciona la Agenda Tributaria para presentar la
declaración por Internet, etc.) exclusivamente en disquetes o CD's, nunca en
el disco duro. Si tiramos el disco, destruirlo.
ü Mantener al menos una copia de todo el software que usemos, y de los driver
de todos los dispositivos y hacer copias de seguridad de nuestra información.
La copia se puede simplificar un poco si:
o Grabamos los archivos del directorio "Mis Documentos" en un CD
regrabable de vez en cuando. Marcamos la fecha en el CD, y lo
guardamos bien. Los discos regrabables más antiguos se pueden
reutilizar.
166

o Grabamos los archivos del directorio "Mis Imágenes" a un CD normal
una vez. Marcar la fecha en el CD y lo guardamos. Como los archivos
de fotos y videos no suelen cambiar no es necesario mantener más
que una copia, o quizá dos.
ü No reenviar correos encadenados.
ü Apagar el interruptor de la base de enchufes al irse de vacaciones o en el
caso de una tormenta eléctrica fuerte.
ü Formatear de verdad, no con formato rápido, el disco duro si se regala o
vende el ordenador a alguien en quien no se tenga total confianza.
ü Como no todo lo que está en Internet es verdad, es saludable ser un poco
escéptico ante lo que nos llega por correo. Debemos ser especialmente
cuidadosos con la información económica y médica.
ü Al conocer gente por Internet es necesario tomar ciertas precauciones como:
o No dar información personal.
o Pedir una foto.
o Ser especialmente desconfiado cuando haya cualquier inconsistencia
en la información dada, sea aspecto, edad, etc.
o Encontrarse siempre en lugares públicos. Ser especialmente
cuidadoso al encontrarse en ciudades distintas de la de residencia.
o Cortar el contacto ante sospechas acerca de las intenciones o
equilibrio mental de la otra persona. Que no nos presenten nunca a
familia ni amigos debe hacer sospechar, por ejemplo.
En caso de que el ordenador sea un portátil:

ü Usar un candado o una alarma cuando estemos en lugares de acceso
público.
ü Activar un salvapantallas con contraseña, si pensamos ausentarnos
dejándolo encendido en un lugar de acceso público. Desactivar la conexión
por infrarrojos.
ü Anotar su número de serie, para poder reclamarlo e identificarlo en caso de
robo.
ü Etiquetarlo claramente como de nuestra propiedad.
ü Poner una contraseña de arranque en la BIOS.
167

Si el usuario es avanzado, también se podrían tomar estas medidas:
ü Convertir el sistema de archivos a NTFS, que es más fiable que FAT32.
ü Usar de vez en cuando una herramienta para eliminar todo el rastro de
o nuestra navegación por Internet,
o uso de la computadora, y
o archivos temporales.
ü Instalar una fuente de alimentación ininterrumpida.
ü Para los especialmente paranoicos, usar una herramienta como Eraser para
garantizar el borrado de información del disco duro.
ü Si nos preocupa que alguien pueda obtener lo que hay en el disco duro,
debido a su importancia, podemos usar herramientas de cifrado.
ü Configurar nuestro cliente de correo para enviar y recibir correo cifrado.
ü Usar servicios cifrados y anónimos de navegación, mensajería instantánea y
correo.
168

169

170

Un objetivo de cualquier modelo debe ser disminuir la complejidad de la gestión de
la seguridad. El modelo de madurez de la seguridad (MMS) tiene como objetivo
ü ayudar a las organizaciones a comprender cuál es su estado actual del
mantenimiento de la seguridad, y
ü proporcionar una vía para alcanzar el grado de madurez deseado por la
organización.
El MMS ayuda a las organizaciones a mejorar su seguridad adoptando las mejores
prácticas.
El MMS se basa en el principio de aplicar prácticas repetibles a todos los

elementos que influyen en la seguridad de la organización.
• La adopción de mejores prácticas es un enfoque alternativo o complementario al
análisis de riesgos.
• Con el análisis de riesgos el resultado del análisis nos lleva a seleccionar unas
medidas.
• Con el uso de mejores prácticas no es imprescindible el análisis; simplemente
implementándolas sabemos que alcanzaremos nuestro objetivo.
• Las mejores prácticas son prácticas muy comunes y que han probado su
efectividad en el día a día.
• Una práctica puede ser ejercida en mayor o menor medida, o con mayor o
menor eficacia. Esto dependerá de los procedimientos utilizados y de la
competencia en su aplicación.
ü Nuestros activos,
ü las expectativas que tenemos acerca de ellos, y
ü las amenazas a que están sometidos
no son constantes ni tienen siempre las mismas propiedades. Evaluar nuestras
expectativas y las amenazas bajo las que están asegura que conocemos la
v situación actual y
v necesidades de medidas de seguridad de la organización.
Entendemos aquí por evaluar el

ü identificar,
ü valorar,
ü priorizar y
ü clasificar algo.
171

Evaluando expectativas podemos extraer las siguientes conclusiones:
• Identifican Qué amenazas conocidas existen a esas expectativas.
• Valorar: Como de vulnerables somos a esas amenazas.
• Priorizar: Qué amenazas tienen un riesgo mayor y deben tratarse primero.
• Clasificar: Qué técnica podemos usar para disminuir el riesgo.
Evaluando incidentes podemos responder a ellos e:

• Identificar: Qué incidentes se han producido. Así podemos hacer una
proyección de nuestra vulnerabilidad en el futuro.
• Valorar: Qué gravedad tiene el incidente, cuanto nos costará volver a la
situación anterior a él, valorar la efectividad de las medidas existentes.
• Priorizar: Qué incidentes deben resolverse primero.
• Clasificar: Como debemos tratar el incidente.
Evaluando activos podemos:
• Identificar Podemos inventariar que activos tenemos y quienes son los

propietarios.
• Valorar: Qué impacto nos produciría la pérdida del activo, en función de
nuestras expectativas y cuanto nos ha costado.
• Priorizar: Diferenciar al menos entre activos críticos y no críticos para
determinar su nivel de protección. Cuando un activo crítico depende de otros
estos se convierten inmediatamente en críticos también. Si un servidor
provee un servicio crítico, tanto la alimentación eléctrica, como la conexión a
la red, como el acceso físico al servidor se hacen críticos.
• Clasificar: Qué nivel de acceso (autorización) debemos dar al activo.
Es de notar que la priorización no está relacionada directamente con la

clasificación, dado que un activo puede ser de alta prioridad, mientras que puede
tener una clasificación, o nivel de acceso relativamente bajo. Un ejemplo puede ser
la información de contacto de todos los miembros de la organización. Casi todo el
mundo debe ser capaz de contactar con al resto, por lo que el nivel de acceso es
público dentro de la organización. Sin embargo, la perdida de esta información
supondría un impacto alto en el funcionamiento de la organización.
172

Las prácticas consideradas en el modelo de madurez pueden estar adoptadas en
mayor o menor medida:
• Teórica: La práctica está identificada en la política de seguridad, pero no
está desarrollada en normas estándares y procedimientos.
• Documentada: La práctica está completamente descrita en la normativa.
• Implementada: La normativa sobre esa práctica se cumple efectivamente.
• Comprobada: El resultado del cumplimiento de esa práctica se comprueba
periódicamente.
• Integrada: Los casos de incumplimiento de la normativa acerca de esa
práctica son anecdóticos.
Alcanzar un nivel alto de madurez puede tener como efecto el abaratamiento de los
seguros que tomemos. Existen cinco niveles de competencia, que se pueden
caracterizar de una forma no rigurosa como:
4.1. NIVEL INICIO - 1.

ü La seguridad no está reconocida como una característica deseable de la
organización.
ü La ausencia de incidentes es fruto de la casualidad o de esfuerzos individuales.
ü La presencia de incidentes conduce casi siempre al máximo impacto que podría
esperarse de ellos.
4.2. NIVEL RECONOCIMIENTO - 2.

ü La seguridad está reconocida como una característica deseable de la
organización.
ü La ausencia de incidentes es fruto de la casualidad o de esfuerzos concretos en
la organización.
ü La presencia de incidentes no siempre conduce al máximo impacto que podría
esperarse de ellos.
ü Las responsabilidades de seguridad en la organización no están definidas.
ü El efecto de los esfuerzos concretos desaparece con el tiempo.
• Se evalúan a veces las expectativas, incidentes y activos.
• Se toman medidas hasta agotar el presupuesto de seguridad.
173

4.3. NIVEL DEFINICIÓN - 3.
organización.
ü La ausencia de incidentes es fruto de la casualidad o de esfuerzos mantenidos
por la organización.
ü La presencia de incidentes no suele conducir al máximo impacto que podría
esperarse de ellos.
ü Las responsabilidades de seguridad en la organización están definidas.
ü El efecto de los esfuerzos mantenidos es constante.
ü Existe una normativa de seguridad.
• Se evaluán a veces las expectativas, incidentes y activos.
• Se toman medidas hasta agotar el presupuesto de seguridad.
• Las responsabilidades de seguridad en la organización están definidas.
• Se accede a los activos mediante sesiones.
• Existe normativa de seguridad, normalmente consistente en una política de
seguridad.
• Se hacen auditorías de las medidas de seguridad.
4.4. NIVEL GESTIÓN 4.

organización.
ü La ausencia de incidentes es fruto de esfuerzos mantenidos por la organización.
ü La presencia de incidentes casi nunca conduce al máximo impacto que podría
esperarse de ellos.
ü Existe una normativa de seguridad.
ü Existe un Plan de Continuidad de Operaciones que considera el estado de la
organización, y está dotado de medios para su cumplimiento.
ü Se evalúan continuamente las expectativas, los incidentes y los activos y se
toman soluciones para mitigar, bien la vulnerabilidad, bien el impacto.
ü La política de seguridad siempre es aplicada.
174

• Se evalúan las expectativas, incidentes y activos.
• Se toman las mejores medidas disponibles con el presupuesto de seguridad.
• Existe normativa de seguridad, que se aplica.
• Se accede a los activos sólo mediante sesiones.
• Existe normativa de seguridad.
• Hay partición de responsabilidades, y son supervisadas.
• Existe un Plan de Continuidad de Operaciones efectivo.
4.5. NIVEL ÓPTIMO 5.

organización.
ü La ausencia de incidentes es fruto de esfuerzos mantenidos por la organización.
ü La presencia de incidentes no conduce al máximo impacto que podría esperarse
de ellos.
ü Existe una política de seguridad.
ü Existe un Plan de Continuidad de Operaciones que considera la evolución de la
organización, y está dotado de medios para ser aplicada.
ü Se evalúan continuamente los posibles riesgos y se toman soluciones para
mitigar, bien la vulnerabilidad, bien el impacto.
ü La política de seguridad siempre es aplicada.
ü Existe información cuantitativa sobre los incidentes acaecidos y se seleccionan
las soluciones de seguridad con criterios objetivos.
• Se evalúan las expectativas, incidentes y activos cuantitativamente.
• Se toman las mejores medidas disponibles con el presupuesto de
seguridad. Se puede determinar si el presupuesto de seguridad es
consistente con las expectativas de la organización.
• Existe normativa de seguridad, que se aplica.
• Se accede a los activos sólo mediante sesiones.
• Existe normativa de seguridad.
• Hay partición de responsabilidades, y son supervisadas.
175

• Existe un Plan de Continuidad de Operaciones efectivo, que considera la
evolución de la organización.
• Se recoge información cuantitativa sobre incidentes y cuasi-incidentes.
• Se seleccionan medidas de seguridad con criterios objetivos.
176

177

178

5.1. EJEMPLO DE NORMATIVA.
Los siguientes ejemplos están redactados enfatizando la facilidad de lectura y
claridad de conceptos. Antes de adaptarlos y adoptarlos en una organización real
es conveniente que sean revisados por un abogado para asegurar su efectividad
legal y su compatibilidad con la legislación bajo la que se rige la organización.
5.1.1. POLÍTICA DE SEGURIDAD.

El objeto de la política de seguridad es definir las expectativas de la
organización protegidas mediante
ü la organización de seguridad,
ü sus recursos, y
ü el ejercicio de sus obligaciones al respecto del resto de la organización.
Esta política de seguridad se revisará

• cuando los cambios en las expectativas de la organización lo aconsejen,
• cuando se produzcan modificaciones en la organización de seguridad, o
• cuando se produzcan cambios en la legislación aplicable.
Esta política de seguridad es aplicable

• a todos los actores internos de la organización, y
• a las relaciones con el entorno de la organización y los actores externos.
Esta política entra en vigor en la fecha de su publicación.
EXPECTATIVAS DE LA ORGANIZACIÓN Y CRITERIOS DE

CUMPLIMIENTO.
Sigue una lista de las expectativas de la organización. El incumplimiento
de cualquiera de ella se considerara como un incidente.
• Nuestros activos y servicios deben existir indefinidamente en el tiempo.
No deben
o ser destruidos
o ni dejar de estar disponibles durante un tiempo excesivo.
• Cuando se quiera interrumpir un servicio o destruir un activo este debe
dejar de estar disponible.
• Se espera que los secretos permanezcan así, durante al menos cinco
años.
o No se espera confidencialidad de lo que no es secreto.
179

• Sólo los actores autorizados deben poder utilizar un servicio o acceder
a una información, sean actores internos o externos a la organización.
o Se debe poder identificar a estos actores.
o Para accesos de tipo económico, personal y confidencial debe existir
evidencia de cuándo y quien usa un servicio y envía o recibe activos,
• Los servicios se deben ofrecer sin fallos ni bajadas inaceptables de
rendimiento, obteniendo resultados esperados dentro del plazo esperado.
Se plantea un objetivo
o del 99,999 por ciento de fiabilidad del tiempo de disponibilidad de los
servicios críticos, y
o de un 99 por ciento de los no críticos.
• Se debe impedir en la medida de lo posible que un actor interno o externo
se aproveche de los procesos de la organización.
o El fraude o impago no debe superar el 0,1% de la facturación anual.
• Se debe proteger la propiedad intelectual de la organización, y la
violación de derechos de autor o propiedad intelectual por parte de
componentes de la organización.
o Se debe poder superar una auditoria al respecto sin necesidad de
preaviso.
• Esta organización está sometida a la ley española y comunitaria.
o Se debe cumplir y poder demostrar nuestro cumplimiento de
regulaciones y contratos, y si la otra parte los cumple o no.
o Se debe poder superar una auditoria al respecto sin necesidad de
preaviso.
• El proceso de facturación debe durar menos de un mes.
o El proceso de pago de nóminas debe realizarse antes del primer día
hábil del mes siguiente al correspondiente a la nómina.
• Se deben impedir los hurtos y robos de activos o bienes, y demostrar su
propiedad aun habiendo sido robados o hurtados.
o El coste de reposición por robo o hurto no debe superar el 0,1% de la
inversión anual en activos o bienes.
• El mantenimiento de los activos, en especial los informáticos, debe ser
permanente, tanto componentes como soporte técnico, migración a
nuevas necesidades y tecnologías.
o Se evitara trabajar con empresas acerca de cuya continuidad haya
dudas.
180

• Los servicios deben adaptarse a los aumentos de carga de trabajo, a
requerimientos constantes.
o Los servicios se deben adaptar a las necesidades de la organización,
se debe poder medir cuantitativamente su rendimiento, y se deben
poder predecir las necesidades futuras.
• Los interfaces deben facilitar el acceso a los servicios de modo que se
puedan utilizar de una forma rutinaria sin esfuerzo, y cuando los
utilizamos de una forma no rutinaria con un aprendizaje mínimo.
o Los interfaces de los servicios deben prevenir los errores del usuario.
• Las responsabilidades de la organización deben cumplirse por alguien en
todo momento, que
o nadie debe ejercer responsabilidades que no le corresponden, y
o nadie debe tener una responsabilidad por encima de su competencia.
• El coste de nuestros activos y servicios debe servir a la misión de la
organización, sea mejorando o manteniendo su
o rentabilidad,
o calidad o
o seguridad, y
el uso de recursos debe ser racional.
ESTRUCTURA ORGANIZATIVA DE MANTENIMIENTO DE LA

SEGURIDAD.
La responsabilidad de mantenimiento de la seguridad será del comité de
seguridad, que se reunirá semanalmente y estará compuesto por:
• El responsable de Prevención de Riesgos laborales, del que
depende el cumplimiento de la normas de seguridad en el trabajo.
• El responsable de Mantenimiento de locales, del que depende el
control de accesos físico y el inventario de bienes.
• El responsable de Seguridad de la Información.
El comité de seguridad podrá invitar a los responsables de otros

departamentos a fines consultivos.
El comité es responsable único de la política de seguridad, y debe aprobar

cualquier otra normativa de seguridad.
181

DERECHOS Y RESPONSABILIDADES DEL RESTO DE LA
ORGANIZACIÓN EN MATERIAS DE SEGURIDAD.
La organización se reserva todos los derechos sobre sus activos, incluido el

examen de cualquier información o mensaje residente en sus sistemas y
medios de almacenamiento de información. Los usuarios de los sistemas de
información no deben esperar más privacidad que la protegida por la ley para
actividades sindicales.
Está terminantemente prohibido el manejo de información de la organización

en sistemas ajenos a ella, excepto la estrictamente necesaria para el
cumplimiento de sus obligaciones legales y contractuales.
La organización retiene sus derechos de propiedad intelectual de cualquier

material, aunque este material sea publicado en un foro público. Para el uso y
divulgación de cualquier material bajo una licencia no propietaria deberá ser
expresamente autorizada por el departamento legal.
Sólo determinadas personas representan el punto de vista de la

organización. Cualquier otra comunicación, se considerara particular, y debe
estar acompañada de una nota que lo advierta.
DOTACIÓN DE RECURSOS PARA EL MANTENIMIENTO DE LA

SEGURIDAD.
El Comité de Dirección fijara anualmente el presupuesto para el

mantenimiento de la seguridad, que será gestionado por el comité de
seguridad, y podrá ser utilizado para mejorar la seguridad como el comité
considere oportuno.
PRÁCTICAS A EJERCER EN LA ORGANIZACIÓN.

Obligatorias.
• La selección, implantación y mantenimiento de medidas de

seguridad es responsabilidad del departamento de seguridad.
• Todos los departamentos están obligados a cumplir con las
instrucciones del departamento de seguridad. En caso de conflicto,
puede escalarse a nivel de directores.
• La información confidencial sólo podrá existir en la zona
confidencial.
• La información personal interna sólo podrá existir en la zona de
gestión de recursos humanos.
182

Obligatorias.
• La información personal externa sólo podrá existir en la zona de

atención al cliente.
• La información privada estará protegida mediante control de
accesos.
• Los medios de autenticación caducan en, como máximo, un año.
• La contraseña inicial concedida a un usuario
o no será predecible, y
o sólo se podrá utilizar un número limitado de veces, obligando al
usuario a personalizarla.
• El propietario de un medio de autenticación es el responsable
único del
o uso de los sistemas o
o acceso realizados mediante ese medio.
• Los sistemas de control de acceso permitirán el seguimiento de
cualquier acceso a servicios e información
o confidencial,
o personal o
o económica.
• El acceso a servicios confidenciales, personales o económicos no
permitirá sesiones simultáneas del mismo usuario.
• El acceso a un servicio confidencial dejará registrada en un log no
modificable la siguiente información:
o Identificación del Usuario.
o Tipo de operación. (Conexión, desconexión, modificación de
la información, etc.).
o Día y hora de la operación.
o Fallos de los intentos de conexión y razón por la que se
producen.
o Fallos de funcionamiento.
• Las sesiones expiran por falta de uso.
• Las credenciales expiran por falta de uso.
• El acceso físico a la zona donde se maneje información confidencial
estará limitado a personal controlado.
• Las zonas donde se maneje información confidencial tendrán una
norma sobre
o el uso de medios de soporte y
o tratamiento de información transportables, sean informáticos o
de otro tipo.
183

Obligatorias.
• Existirán salas de reunión con personal externo, que se limpiaran

de material informativo antes y después de cada reunión. Este
material será destruido.
• En cada zona de la organización se especificaran normas de
acceso a y uso de despachos y salas de reuniones.
• Se guardara registro de toda persona ajena a la organización que
acceda a zonas privadas o confidenciales de la organización. Se
tomará al menos
o el DNI,
o el nombre de la persona que autoriza su acceso temporal,
o la fecha y la hora de entrada y salida.
• En las zonas confidenciales será obligatorio que la visita este
acompañada por el autorizador en todo momento.
• Para la conexión directa con cualquier sistema de información
externo a la organización es condición previa la firma por la
organización propietaria del Acuerdo de Conexión con Terceros.
• Debe evitarse el envío de información confidencial fuera de los
sistemas de la organización. De realizarse, el receptor debe
garantizar su secreto.
• Todo miembro de la organización debe firmar a su entrada en la
organización un Acuerdo de Confidencialidad.
• Todo miembro de la organización que deje la organización debe
firmar una Declaración de Confidencialidad, como parte de la cual
se hará una declaración de accesos conocidos, los cuales tendrán
su medio de autenticación cambiado.
• En caso de baja de un miembro de la organización se suspenderán
sus cuentas cuando se considere que se ha perdido la confianza.
• Sólo se permite el uso de software licenciado con una licencia
aprobada por la Open Source Initiative o licencia del fabricante.
• Los sistemas de información deben sincronizarse con la fecha y
hora correcta.
• La información y los servicios críticos están protegidos contra
catástrofes.
o La recuperación de una catástrofe está documentada en un Plan
de Continuidad.
o La recuperación de catástrofes se ensayara al menos una vez al
año.
184

Obligatorias.
• Todo CPD tendrá

o un sistema de detección y supresión de incendios,
o aire acondicionado y
o un sistema de detección de humedad.
• Las instalaciones cumplirán con la normativa vigente sobre riesgos
laborales.
• Existirán métodos de copia de seguridad que garanticen la
disponibilidad de la información crítica, tanto ante fallos de sistema
como catástrofes mayores.
• Las computadoras estarán inventariadas.
• Los equipos podrán ser identificados como pertenecientes a la
organización aunque sean robados. Por ejemplo,
o se hará constar en la BIOS, la cual podrá protegerse contra
manipulación de personal ajeno al departamento de sistemas.

Prohibidas.
• Se prohíbe expresamente la cesión de medios de autenticación y

sesiones de acceso, que son personales e intransferibles.
• Está prohibido que las contraseñas sean legibles cuando se
teclean o modifican.
• El uso de cualquier material en violación de los derechos de
autor por
o copia fraudulenta,
o falta de licencia o
o cualquier otro motivo está prohibido.
• El uso de software de cifrado no proporcionado por el
departamento de sistemas, especialmente si impide el acceso del
departamento de sistemas a información propiedad de la
organización.
• Manejo de información confidencial en habitaciones con ventanas.
• Se prohíbe la posibilidad de hacer auto-forward de correos.
• Los grupos de correo internos no podrán recibir correo externo.
185

Recomendadas.
• Los usuarios de los sistemas de la organización accederán a los

activos mediante sistemas de control de accesos.
• A cada usuario se le deben conceder los accesos necesarios para
el cumplimiento de sus funciones, ni más ni menos.
• El software debería instalarlo el departamento de sistemas.
• Se recomienda no utilizar cuentas anónimas.
• El antivirus debería actualizarse periódicamente.
• Los CPD's no deben instalarse por debajo de una primera planta.
• Se debería controlar el acceso físico.
• Se deberían usar destructoras de papel.
• Se debería contratar un servicio de destrucción de documentos.

Opcionales.
• Asistencia a un curso de seguridad de todos los nuevos miembros

de la organización.
• En algunas zonas puede ser conveniente la destrucción diaria del
papel impreso y no recogido de las impresoras compartidas.
CATEGORÍAS DE CLASIFICACIÓN DE LA INFORMACIÓN.

La información se clasificara según sea Confidencial, Privada, Pública o
Personal.
Confidencial:
• Planes de fusión / adquisición.
• Actas del Comité Ejecutivo de la organización.
• Información concerniente a relaciones con clientes.
• Información completa de tarifas.
• Información de facturación y compras.
• Información sobre los sistemas de información.
186

Privada:
• Propuesta de proyectos.
• Tarificación de proyectos.
• Información Técnica de la configuración de Redes.
• Estructuración de Sistemas de Información.
Pública:
• Material de Marketing.
• Artículos de Revistas.
• Cierta información de tipo administrativo, normativo, informativo, etc.
Personal:
• La información de carácter personal se manejará de acuerdo con las

leyes y reales decretos relevantes, como la LOPD.
En caso de dudas acerca de la clasificación de determinada información, se

debe consultar al equipo de seguridad del departamento de sistemas.
CATEGORÍAS DE PRIORIZACIÓN DE ACTIVOS.
Los activos de la organización se priorizaran como críticos y no críticos.

Los primeros estarán protegidos por el Plan de Continuidad de Operaciones.
La Dirección decidirá esta priorización en función del presupuesto de
protección anual presentado por el Departamento de Sistemas.
Toda la información confidencial, personal y económica, y los sistemas que la

soportan se consideran críticos.
DEFINICIÓN DE TIPOS DE ENTORNO.
En lo organización existen los siguientes tipos de entornos, cuyos

responsables, en colaboración con el departamento de sistemas, deben
desarrollar la presente política en una Norma de Seguridad propia.
• Entornos en que se maneja información personal.
• Entornos en que se maneja información económica.
• Entornos en que se maneja información confidencial.
• Entornos en que se realiza trabajo para organizaciones terceras.
• Entornos de desarrollo interno.
• Entornos de mantenimiento de sistemas y medidas de seguridad.
187

5.1.2. NORMA DE SEGURIDAD.
Esta norma de seguridad es consistente con la política de seguridad de la
compañía. La presente norma se aplica a la zona de recursos humanos. Recursos
humanos es una División, por lo que esta zona está separada de las demos de la
organización tanto físicamente, como técnicamente.
PRÁCTICAS.
En la zona de recursos humanos son Obligatorias todas las prácticas

descritas en la Política como:
• Obligatorias.
• Recomendadas.
• Opcionales.
Además las siguientes prácticas son obligatorias en esta zona:

• La separación técnica sólo permitirá
o el paso de correo electrónico entre esta zona y el resto de la
organización y
o la consulta de Internet para funciones de selección de personal.
• Existirá un registro completo
o de accesos a Internet y
o del envío y recepción de correo.
• Cada miembro de esta zona es responsable de la custodia de la
información que maneja.
• Existirá un registro completo de acceso a información de naturaleza
personal.
• El personal externo no tendrá ningún tipo de acceso a esta zona,
excepto limpieza una vez que todos los equipos estén apagados.
• No se permite el uso de soportes de información portátiles. Entre
ellos:
o Ordenadores portátiles.
o Grabadoras de CD.
o Disquetes.
o Discos USB,etc.
A estos efectos,
• los equipos no tendrán disqueteras ni grabadoras de CD.
• El resto de la entrada/salida, como puertos serie, paralelo o USB que
no estén en uso, estarán deshabilitados.
188

GESTIÓN DE CREDENCIALES.
El acceso a los sistemas y físico se solicitará al Departamento de Sistemas, y
deberá ser aprobado por el Director de Recursos Humanos.
En caso de baja, no existirá periodo de carencia, notificándose la necesidad

de cancelar todos los accesos al Departamento de Sistemas en cuanto le sea
comunicado al interesado.
GESTIÓN DE SESIONES.
La cesión de sesiones se considerara como falta grave.
LIMITACIONES DE TRANSFERENCIA DE ACTIVOS E

INFORMACIÓN.
Para transferir a otra zona o dar de baja un equipo de esta zona, su disco
duro deberá ser extraído y destruido físicamente.
ACTUACIÓN EN CASO DE UN INCIDENTE.

En caso de sospechas o evidencia sobre fugas de información se comunicara
inmediatamente al Responsable de Seguridad.
5.1.3. POLÍTICA DE USO ACEPTABLE.

Este documento describe las normas de uso aceptable dentro de la organización.
El uso aceptable se describe como obligaciones y no como prohibiciones, de
modo que toda actividad no permitida explícitamente está prohibida. Por ejemplo, la
obligación de emplear los activos de la organización para propósitos relacionados
con el desempeño de las responsabilidades de cada componente de ella implica la
prohibición de toda actividad distinta de esta que no esté específicamente
permitida.
Esta política de uso aceptable obliga a

• todos los miembros de la organización, y a
• todos los particulares y
• miembros de otras organizaciones
que usen los sistemas de información de la organización.
189

Todo miembro de la organización tiene la responsabilidad de conocer esta
norma y cumplir con ella.
• Esta condición es una condición imprescindible para ingresar en la organización.
• Se permitirá el acceso a personal no miembros de la organización una vez
hayan leído y aceptado expresamente esta política.
Los miembros de la organización están obligados al cumplimiento de esta normas

de uso aceptable tanto para el uso de los sistemas de la organización, como de
cualquier otro sistema en el cumplimiento de sus funciones.
El incumplimiento de esta norma de uso aceptable implica una sanción que puede
llegar al despido justificado y la demanda civil o criminal.
La organización se reserva el derecho de modificar esta norma, si bien para

considerar vinculados a los miembros de lo organización se les dará oportunidad
suficiente
• de conocer de las modificaciones y
• de expresar sus reservas a estas modificaciones si las tuvieran.
Los sistemas de la organización deben utilizarse para el desempeño de las

funciones de sus miembros, ahora bien el uso personal de los sistemas está
permitido siempre que:
• Consuma unos recursos mínimos.
• No interfiera en la productividad.
• No perjudique ninguna actividad de la organización, ni deteriore su imagen.
La responsabilidad de cualquier acceso realizado con una contraseña o tarjeta es

exclusivamente del propietario de esta.
El usuario de información importante la mantendrá en servidores, o bien se

responsabilizara de disponer de una copia de seguridad.
Las siguientes normas son aplicables al uso del correo electrónico:

• Todo mensaje enviado debe ser cortés y profesional.
• Está prohibida la ejecución de archivos adjuntos, sean script o ejecutables.
• Se debe poner especial cuidado en que mensajes sensibles lleguen sólo a
los destinatarios adecuados.
• Este prohibido iniciar o reenviar cartas encadenadas.
• Se prohíbe el envío de correo no deseado.
Todo correo llevara un pie en que se indique expresamente que su contenido no
representa necesariamente la posición de la organización.
190

Los siguientes comportamientos se consideran como especialmente graves y
sancionables:
• La cesión de
o contraseñas,
o tarjetas de acceso, y
o uso de sesiones de trabajo personales.
• El uso o copia de todo tipo de material en violación de los derechos del autor.
• La descarga, tenencia o envío de pornografia.
• El uso de juegos, dado que se considera que interfieren en la productividad.
• La pérdida de información crítica por negligencia.
• La conexión a sistemas externos por medios distintos de los proporcionados
y autorizados por el departamento de informática.
• El uso o propagación de software que pueda dañar los sistemas u obtener
información sobre ellos.
• El uso de software de cifrado no proporcionado por el departamento de
informática.
• Cualquier incumplimiento de estas normas, en especial sobre el uso de
correo electrónico.
• Abandono de documentos impresos con información confidencial en
cualquier impresora, fax, fotocopiadora, o dispositivo similar.
5.1.4. ACUERDO DE INTERCONEXIÓN CON TERCEROS.

Este acuerdo expresa
• las condiciones bajo las que se interconectan los sistemas de las
organizaciones firmantes, así como
• las condiciones de uso de los sistemas de cada organización por los
miembros de la otra.
ü La firma de este acuerdo invalida cualquier acuerdo o garantía anterior, formal o

informal.
ü Este acuerdo se podrá modificar de común acuerdo.
ü En caso de desacuerdo en la modificación, las organizaciones firmantes se
someten al arbitraje de los tribunales.
ü Cualquier parte podrá renunciar a este acuerdo avisando con treinta días de
antelación.
191

Los departamentos de sistemas de ambas organizaciones podrán establecer las
interconexiones que estimen necesarias para proveer de infraestructura a las
colaboraciones vigentes, encontrándose estas interconexiones sujetas al presente
acuerdo.
• Cada organización costeara un 50% de los gastos de
o la interconexión,
o alquiler de la línea y
o mantenimiento hardware y software de los equipos.
• Las diferencias en gasto se compensaran en una factura única anual.
• Ambos departamentos de sistemas se prestaran asistencia mutua en la
instalación, configuración y mantenimiento de las interconexiones.
• La solución de averías por parte de una operadora será seguida hasta su
resolución por el departamento de sistemas de la organización A en meses
pares y por B en los impares.
• Cada organización tendrá la capacidad de gestionar los equipos residentes en
sus locales, y se responsabilizara de su gestión con los medios humanos
necesarios, prestando su colaboración al departamento de sistemas de la otra
organización.
• La responsabilidad última de gestión de equipos y conexiones será del
propietario o arrendatario del local donde resida el equipo.
• Cada organización retiene la propiedad de sus equipos aunque residan en
locales de la otra organización.
• Las contraseñas de acceso a los equipos serán compartidas por los
departamentos de sistemas.
• Ambas organizaciones se notificaran mutuamente de bajas entre el personal
autorizado.
La interconexión entre los sistemas sólo podrá utilizarse para propósitos

relacionados con acuerdos de colaboración entre ambas organizaciones.
• La interconexión se utilizara exclusivamente para acceder a servicios ofrecidos
por cada organización.
• El uso de un servicio sólo podrá hacerse mediante el uso de una sesión.
• No se realizará transferencia de información ni envío de mensajes por otro
método que no sea el acceso a un servicio. De este modo se garantiza la
identificación de los usuarios de la interconexión.
192

• Sólo se permitirá el uso de la conexión a miembros de las organizaciones con
responsabilidades relacionadas con la colaboración.
• La concesión de acceso será solicitada por el departamento de sistemas de
cada organización a la otra.
• Ambas organizaciones se responsabilizan de las consecuencias del uso
indebido de la conexión por parte de los miembros de sus respectivas
organizaciones.
5.1.5. PLAN DE CONTINUIDAD DE OPERACIONES.

Tomemos el caso de una empresa de cinco empleados. Hay un servidor y cinco
ordenadores:
El presente plan de continuidad de operaciones describe el procedimiento a seguir

en caso de un fallo grave en los sistemas de la compañía. Se considera fallo
grave de los sistemas a aquel que nos impida cumplir con nuestros
compromisos con nuestros clientes y suministradores, incluida la perdida
inaceptable del rendimiento.
Aunque el director es en principio responsable del cumplimiento del plan, en caso

de incapacitación de este puede ser necesario que otra persona tome su lugar. A
este efecto, todos los empleados deben conocer y recordar el número (91xxxxxxx y
la dirección de la empresa Desastres S.A., sita en la Calle Obvia, Metro lógico, la
cual dispone de una copia de este plan y de una lista de los números de teléfonos
privados y direcciones de todos los empleados, siendo responsable del plan hasta
que se determine que empleado lo coordine. En principio, el orden de
antigüedad determinará quién es el responsable del cumplimiento del plan.
En caso de destrucción de las oficinas o de sus sistemas, existe una copia de toda
la información custodiada en Custodias S.L. Su teléfono es el 93xxxxxxx o el
93xxxxxxxx. Custodias S.L. se pondrá en contacto con el director o con alguien de
su familia, y entregara la copia de respaldo que se realiza todos los domingos al
director o sustituto.
Existe un contrato con la empresa Desastres S.A. para el uso de oficinas y

sistemas alternativos. En caso de destrucción de la oficinas o destrucción de las
líneas de comunicación, el personal se reunirá en la dirección Calle de la
Catástrofe, 100, donde, según la catástrofe:
• Se hará entrega de la copia de respaldo a los técnicos de Desastres S.A, que
disponen de sistemas compatibles con los utilizados en nuestra empresa, y
copias de seguridad de un puesto de trabajo tipo.
193

• Se trasladarán los sistemas de la compañía en su estado actual.
En caso de fallo catastrófico de los sistemas, estos serán instalados por Desastres
S.A. en las propias oficinas.
El coordinador del plan determinara un delegado con la función de supervisar las

oficinas siniestradas:
• Identificación de material crítico para su traslado urgente a las oficinas
temporales.
• Custodia de las oficinas siniestradas, con la ayuda de un delegado de
Desastres S.A.
• Recuperación de material no crítico y reutilizable para su almacenamiento
temporal en Desastres S.A.
• Ayudará a la policía y bomberos en la investigación del incidente.
Una vez recuperado el sistema y la conexión Internet, se seguirá el Plan de
Comunicación con los clientes, para mantener su confianza y continuar ofreciendo
los servicios de la compañía.
El director o sustituto:
• Se pondrá en contacto con la empresa de seguros Aseguradora Total, S.A.
Existe una copia de las pólizas suscritas custodiada por Desastres S.A.
• Se pondrá en contacto con la compañía telefónica para la redirección de las
líneas a las oficinas temporales.
5.2. CERTIFICACIONES DE SEGURIDAD.

Hay muchas certificaciones para productos específicos de distintos fabricantes.
Cuanto más importante es el producto, más valiosa es la certificación. Otras
certificaciones más generales son:
• GIAC ofrece varias certificaciones, siendo la más avanzada la de GSE.

• El ISC2 ofrece la certificación de CISSP.
• La ISACA ofrece la certificación CISA.
• El ISECOM ofrece la certificación OPST, entre otras.
El tener uno de estos certificados facilita la selección de personal de

seguridad, dado que ninguno es sencillo de obtener, requiriendo un nivel de
conocimientos alto.
194

5.3. SERVICIOS COMERCIALES DE SEGURIDAD.
Distintas empresas ofrecen un gran conjunto de servicios de seguridad, desde el
outsourcing hasta la venta de productos específicos.
Algunos servicios que pueden ser interesantes son:

• Análisis de Riesgos.
• Comprobación de vulnerabilidades (interna o externa).
• Auditoria.
• Consultoría.
• Mantenimiento de sistemas (Copia de respaldo, Cortafuegos, IDS, etc.).
• Certificación de seguridad de aplicaciones.
• Auditoria de código.
• Outsourcing de Centros de Recuperación de Desastres.
• Outsourcing.
• Formación.
• Servicios legales LOPD, LSSI, Propiedad intelectual.
• Análisis de Madurez según el Modelo de Madurez de Seguridad.
5.4. PARA SABER MÁS.

Para estar permanentemente informado sobre las debilidades que nos afectan hay
dos opciones principales:
• Suscribirse a listas generales sobre debilidades, o
• contratar a una empresa externa que nos ofrezca como servicio informarnos
sólo de las que afectan a nuestros sistemas.
Dado el tiempo que consume la revisión de nuevas vulnerabilidades, es una
opción muy interesante a considerar, por el ahorro en tiempo dedicado a esa
tarea por los administradores.
Desgraciadamente la mayor parte de la información disponible sobre seguridad,

especialmente la más actualizada, está disponible sólo en inglés.
195

5.4.1. GENERAL.
http://www.microsoft.com/security/
http://www.linuxsecurity.com
http://packetstormsecurity.nl
http://www.securiteam.com
http://www.cert.org
http://www.securityfocus.com
http://www.parallaxresearch.com
http://security.tao.ca
http://www.sans.org
5.4.2. PRUEBAS.
ANTIVIRUS.
http://www.pandasoftware.com/activescan/
http://housecallantivirus.com/housecall/start_corp.asp
PROBAR NUESTRO NAVEGADOR.
http://privacy.net/analyze/
http://www.trustedbase.org/test/english/
ANÁLISIS DE PUERTOS ABIERTOS.

http://scan.sygate.com/probe.html
https://grccom/x/ne.diahldkyd2
FRAUDES.
http://www.rompecadenas.com.ar
http:// hoaxbusters.ciac.org
5.4.3. HACKERS.
http://www.whitehats.com/
http://www.antionline.com/index.php
http://www.cotse.com/
http://neworder.box.sk/
196

5.4.4. FUENTES DE INFORMACIÓN SOBRE ATAQUES Y
DEBILIDADES.
http://www.der-keiler.de/
http://www.ntbugtraq.com/
http://isc.incidents.org/
http://www.dshield.org/
También puede ser conveniente consultar las páginas web de los fabricantes de su
software, sistemas operativos y equipos de comunicaciones.
5.4.5. SOFTWARE SEGURO.

http://www.shmoo.com/securecode
http://members.rogers.com/razvan.peteanu
http://wwlv.dwheeler.com/secureprograms
http://www.bugscaninc.com
http://www.owasp.org
5.4.6. DIRECTORIOS.
http://ww.microsoft.com/windows2000/technologies/directory/ad/default.asp
http://www.novel.com/products/edirectory
http://www.openldap.org
5.4.7. ESTEGANOGRAFÍA Y MARCAS DE AGUA.

http://www.jjtc.com/Steganography
http://www.spammimic.com
5.4.8. AUDITORÍA.
http://www.isecom.org/projects/osstmm.htm
5.4.9. HERRAMIENTAS.
http://www.insecure.org/tools.html.
http://www.cisecurity.com/
http://www.epic.org/privacy/tools.html
http://www.seguridadenlared.org/es/checkdialer.php
197

http://koeln.ccc.de/archiv/drt/crypto/linux-disk.html.
http://security.tao.ca/diskcrypt.shtml.
5.4.10. ANÁLISIS FORENSE.

http://www.opensourceforensics.org
http://www.cerias.purdue.edu/homes/carrier/forensics/
http://biatchux.dmzs.com/?section=tools&subsection=f
5.4.11. PAGINAS CRACKEADAS.

http://www.zone-h.org/en/defacements
5.4.12. AUTORIDADES DE CERTIFICACIÓN.

http://foroconsumo.cepymev.es/ce/autoridades.htm
http://www.thawte.com
5.4.13. EN ESPAÑOL.
http://www.iec.csic.es/criptonomicon/
http://www.kriptopolis.com
http://derecho-internet.org
5.5. EL FRAUDE 419 O NIGERIANO.

Este es un fraude muy frecuente. Consiste en proponemos intervenir en la
transferencia de una enorme cantidad de dinero a cambio de una comisión. En un
momento de la transacción, se nos pedirá un dinero por adelantado para realizar
algún tipo de gestión. No volveremos a ver ese dinero.
En caso de recibir un correo como el ejemplo real que se adjunta, lo más indicado
es reenviarlo a la dirección del departamento del Tesoro de Estados Unidos que se
encarga de combatir este fraude, 419.fcd@usss.treas.gov, indicando en el subject
"No loss".
198

199

5.6. COMPAÑIAS DE SEGURIDAD DE LA INFORMACIÓN
EN ESPAÑA.
• SIA.
• DaVinci.
• S21SEC.
• NET25.
• Germinus.
• Computer Associates.
• Deloitte & Touche.
• Ernst & Young.
• IBM.
• Indra.
• Nokia.
• Safelayer.
• SGI.
• Steria.
• Symantec.
• Panda.
• ipsCA.
• KPMG.
• Accenture.
• Hispasec.
200

201

Seguridad de La Informacion - Aceituno Canal

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad de La Informacion - Aceituno Canal

Cargado por

Copyright:

Formatos disponibles

0

Las preguntas que todos los profesionales de la seguridad se hacen son:

Intentaremos dar un marco conceptual que ayude a responder estas preguntas, y

Si viviéramos en un “mundo feliz” como el de la película Pleasantville, el concepto

• dejamos las llaves dentro de casa, o bien

En la NASA existe la teoría de que “los accidentes son normales” en sistemas

Todos sabemos lo que es la seguridad, al menos de forma intuitiva. Como siempre

La definición más extendida de seguridad es el siguiente mantra:

Pues bien, examinemos los siguientes contextos:

• Imaginemos que no pudiéramos acceder a la información ofrecida en

Como vemos en estos ejemplos, hay contextos en que el mantra no es

¿Qué hay de incorrecto en buscar la confidencialidad, control de accesos, no

Una expectativa es la esperanza de cumplimiento futuro y continuado de una

La definición más extendida de seguridad es una definición sin contexto, que no es

El mantra puede ser a veces un buen resumen de nuestras expectativas, pero no

Podemos considerar el siguiente caso de una organización cualquiera:

• No necesita confidencialidad: necesita confidencialidad de los secretos.

Si en esta organización invertimos ciegamente en confidencialidad, control de

Veamos otro caso, el de un usuario particular que se conecta a Internet.

• Necesita confidencialidad de sus contraseñas.

Definir la seguridad en función del contexto, o sea en función de nuestras

Para expresar formalmente una expectativa se usan requerimientos, que definen

Existe una relación estrecha entre seguridad y calidad.

Cuando nuestras expectativas se cumplen, consideramos que hay calidad, como

La medida en que se cumplen las expectativas mide la calidad, la frecuencia

Se considera una organización como segura si se cumplen continuamente

Muchas organizaciones tienen la expectativa

Las expectativas están normalmente fundadas en

La calidad y seguridad de sus procesos y productos son ventajas competitivas

Se obtiene calidad cuando un cliente ve sus expectativas cumplidas o superadas.

No se debe confundir seguridad con medidas de seguridad.

Un candado no es seguridad. Sino que como resultado de usar un candado

El mantenimiento de la seguridad, y por ende, de las medidas de seguridad,

La seguridad es un objetivo a mantener a largo plazo.

La confianza resultante del cumplimiento continuo de nuestras expectativas

• ISO 17799, basado en el BS 7799 del British Standards Institute.

¿Por qué, a pesar de la existencia de todo este conocimiento, el campo de la

• Unos estándares desarrollan una teoría sobre lo seguridad, y dejan abierto el

Muchos de estos estándares parecen asumir que el mismo estilo de gestión de

La aproximación tradicional de prevención-detección-respuesta no aporta suficiente

Se puede reconocer una regla o principio de seguridad de estos estándares como

Los principios de un estándar o una metodología prácticos deben ser

Dijo Ramon llull:

“Si per entendre no s seguis nul la res.

Si de la comprensión de algo no se sigue ninguna regla o principio, es un

Algunas organizaciones tienen más expectativas, otras, menos. En algunos casos

Un ejemplo de clasificación de las expectativas de una organización respecto

• Confidencialidad de los secretos. Esperamos que nuestros secretos

• Control de accesos. Esperamos que sólo los actores autorizados puedan

• Evidencia. Esperamos que exista evidencia

• Durabilidad. Esperamos que el mantenimiento de los recursos sea

• Escalabilidad. Esperamos que el servicio se adapte a los aumentos de

• Gestionabilidad. Esperamos poder

• Usabilidad. Esperamos que los interfaces

Todas estas expectativas, que pueden traducirse en requerimientos

• En general la economía (rentabilidad) y eficacia están reñidas con el

Nuestras expectativas son cumplidas en parte por los sistemas de información,

Analizando nuestras expectativas, podemos evaluar el impacto que supondría su

Para conocer exactamente cuáles son las expectativas en una organización,

• Los sistemas de información.

Algunos activos son materiales y otros inmateriales. Desde el punto de vista de la

El conjunto de estados en que un activo puede estar constituye su ciclo de vida.

Cada estado constituye un ámbito separado de problemas de seguridad, debido