Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Lectura 1
Lectura 1
Introducción
En este documento se señalan diversos agentes, relacionados con la seguridad de la información, encaminados
a definir un conjunto de prácticas y lineamientos para mantener la seguridad de los servidores y sitios web del
Sistema de Investigación de la UN - SIUN.
Términos y definiciones
Para los propósitos de estandarizar y precisar los aspectos que intervienen en el presente documento, se
establecen los siguientes términos y definiciones1:
1
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION E INTERNATIONAL ELECTROTECHNICAL COMMISSION. ISO/IEC-
27001:2005. Primera edición.
2
REAL ACADEMIA DE LA LENGUA ESPAÑOLA. “político, ca”. {En línea}. {23 septiembre 2014}. Disponible en:
(http://buscon.rae.es/drae/srv/search?id=N8z4PHRJ5DXX20xsnrZh).
3
UNIVERSIDAD NACIONAL DE COLOMBIA. CONSEJO SUPERIOR UNIVERSITARIO. Acuerdo 046 de 2009: Por el cual se
definen y aprueban las políticas de Informática y Comunicaciones que se aplicarán en la Universidad Nacional de
Colombia.
Usuario: persona que usa una cosa con cierta limitación.
Cuenta de usuario: una instancia que permite identificar al usuario de un sistema informático para
hacer uso del mismo.
Servidor: Unidad informática que proporciona diversos servicios a computadoras conectadas con ella a
través de una red4.
Sitio web: conjunto de páginas relacionadas y comunes a un dominio.
CMS: Content Management System (Sistema de Administración de Contenidos) es el sistema que
administra los contenidos que son cargados y publicados en un sitio web.
Objetivos
Objetivo general
Definir prácticas mediante las cuales se preserve la seguridad de la información de los servidores y
sitios web del Sistema de Investigación de la UN – SIUN.
Objetivos específicos
Concienciar a los usuarios sobre la necesidad e importancia de comprender los riesgos de seguridad
informática de los servidores y sitios web del Sistema de Investigación de la UN - SIUN.
Adoptar y ejecutar un conjunto de lineamientos para establecer buenas prácticas de uso de la
infraestructura tecnológica con el que se minimice la probabilidad de ocurrencia de incidentes
informáticos (control del riesgo informático) de los servidores y sitios web del SIUN y se pueda
responder a eventos inesperados e indeseados.
Alcance
Con base en estas políticas, se establecen los procedimientos que se aplican a la seguridad informática
de los servidores y sitios web del Sistema de Investigación de la UN – SIUN.
Las directrices aquí definidas aplican a los usuarios de los servidores y sitios web del Sistema de
Investigación de la UN – SIUN.
Justificación
La interconexión, casi generalizada, de diversos sistemas y redes de internet, que se extiende mucho más allá
de los límites nacionales, ha propiciado una infraestructura operativa que abarca diversos sectores que
intercambian grandes volúmenes de información. Ésta hace que los sistemas y redes individuales sean más
vulnerables ya que están expuestos a una gran variedad de amenazas que pueden ocasionar pérdida,
alteración o propagación no autorizada de la información.
Para identificar amenazas, es necesario conocer los diversos tipos de ataques y los propósitos de quienes los
llevan a cabo. Los tipos más comunes son: la falta de actualizaciones de seguridad, procedimientos de inicio de
sesión defectuosos y la falta de conocimientos sobre vulnerabilidades informáticas5.
4
REAL ACADEMIA DE LA LENGUA ESPAÑOLA. “servidor, ra”. {En línea}. {23 septiembre 2014}. Disponible en:
(http://lema.rae.es/drae/srv/search?id=OAM4DFt4b2x5Nhp2owJ).
5
SEGURIDAD INFORMÁTICA: NOTICIAS DE SEGURIDAD INFORMÁTICA. “5 de fallas de seguridad de tu sitio web que
puedes solucionar ¡ya!”. {En línea}. {23 septiembre 2014}. Disponible en: (https://seguinfo.wordpress.com/2012/08/27/5-
de-fallas-de-seguridad-de-tu-sitio-web-que-puedes-solucionar-ya/).
Es de resaltar que gran parte de los incidentes de seguridad de la información ocurren por el desconocimiento
o descuido de los usuarios que intervienen en el sistema o por la ausencia de mecanismos de control de riesgos
informáticos.
Antecedentes
Los días 27 y 28 de marzo de 2014, por solicitud de profesor Alexander Gómez Mejía, como vicerrector de
investigación, se contactó a Alexis Miguel Taborda, jefe de la Oficina de Tecnologías de Información y
Comunicaciones de la sede Manizales, quien realizó una visita a las instalaciones de la Vicerrectoría de
Investigación con el objetivo de “evaluar la pertinencia de la contratación de una auditoría en seguridad
informática con el fin de minimizar ataques a la infraestructura Hermes y a las otras páginas adscritas a la
Vicerrectoría de Investigación”6.
Inyección SQL
Los ataques de inyección, más específicamente SQLI (Structured Query Language Injection), es una técnica para
modificar una cadena de consulta de base de datos mediante la inyección de código en la consulta. El SQLI
explota una posible vulnerabilidad donde las consultas se pueden ejecutar con los datos validados. Puede ser
utilizada para obtener acceso a las tablas de bases de datos, incluyendo información del usuario y la
contraseña.
Los ataques de inyección SQL se producen cuando un hacker intenta insertar comandos SQL en los campos de
la página web. En el caso de que un dato contenga una comilla simple (‘) al final de un nombre de usuario, su
base de datos podría ver esto como una consulta SQL construida. Debido a esto, se podría recibir datos de una
consulta SQL.
6
ALEXIS MIGUEL TABORDA SALAZAR. Oficio CC-067: Resumen de informe de visita e Informe final de la visita efectuada a
la Vicerrectoría de Investigación los días 27 y 28 de marzo de 2014.
DDoS
La Denegación de Servicio – DoS o Denegación de Servicio Distribuida - DDoS son las formas más comunes para
congelar el funcionamiento de un sitio web. Estos son los intentos de inundar un sitio con solicitudes externas,
por lo que ese sitio no podría estar disponible para los usuarios reales. Los ataques de denegación de servicio
por lo general se dirigen a puertos específicos, rangos de IP o redes completas, pero se pueden dirigir a
cualquier dispositivo o servicio conectado.
Fuerza Bruta
Básicamente se intenta “romper” todas las combinaciones posibles de nombre de usuario y contraseña en una
página web. Los ataques de fuerza bruta buscan contraseñas débiles para ser descifradas y tener acceso de
forma fácil.
Defacement
Es un ataque a un sitio web que cambia el aspecto visual del sitio o una página web. Estos son por lo general el
trabajo de los crackers de sistemas, que irrumpen en un servidor web y sustituyen el sitio web alojado con uno
de los suyos. Defacement se entiende generalmente como una especie de grafiti electrónico, aunque
recientemente se ha convertido en un medio para difundir mensajes por motivos políticos "manifestantes
cibernéticos" o hacktivistas.
Ingeniería social
Es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una
técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes
informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan
realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil".
En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo
ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o
un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de
acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a
revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros
sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones,
-por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener
que encontrar agujeros de seguridad en los sistemas informáticos.
RFI o LFI es posible gracias a la existencia de parámetros vulnerables en el código PHP en las páginas web que
referencian a objetos externos sin filtrarlos.
El ataque RFI es posible solo en páginas web que cumplan con ciertos requisitos:
Primero deben tener código PHP, ya que permite enlace a archivos remotos. Actualmente se calcula
que tres cuartas partes de las webs contienen código PHP, entre ellas Facebook, Wikipedia y
WordPress.
La programación del código debe contener errores básicos de seguridad, aunque mucho más comunes
de lo que se pueda pensar, como la falta de filtrado de los datos.
El problema aparece si el código de las funciones que toman archivos externos no está suficientemente
filtrado, en ese caso se podría crear una petición manipulada a través de la cual se podría ejecutar código,
añadir ficheros... directamente en el servidor.
Fuga de información
Mas que ser un ataque, es un error del administrador del sitio, el cual consiste en dejar público el registro de
errores, lo que facilita al atacante ver las fallas exactas del sistema, tomar provecho de estas, y obtener el
control parcial o total del sitio.
Marco normativo
La normativa relacionada con las políticas de seguridad, que en este documento se definen, se relata a
continuación:
Normativa internacional
ISO/IEC 27001: proporciona un modelo para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).
ISO/IEC 27002: proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de
la información a todos los interesados y responsables en iniciar, implantar o mantener un Sistema de
Gestión de la Seguridad de la Información (SGSI).
ISO/IEC 27005: proporciona directrices para la gestión del riesgo de seguridad de la información en una
organización.
Directrices de la OCDE (Organization for Economic Co-operation and Development) para la seguridad
de sistemas y redes de información: Hacia una cultura de seguridad.
Normativa nacional e institucional
Ley 1273 de 2009: “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico
tutelado - denominado de la protección de la información y de los datos y se preservan integralmente
los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras
disposiciones”.
Acuerdo 046 de 2009 – CSU: “Por el cual se definen y aprueban las políticas de Informática y
Comunicaciones que se aplicarán en la Universidad Nacional de Colombia”.
Guía para la elaboración de políticas de seguridad – Dirección Nacional de Informática y
Comunicaciones.
Lineamientos generales
Principios
Los principios que dirigen la definición de las políticas de seguridad, y que son transversales a la aplicación de
las mismas, son la implementación de las directrices de la OCDE para la seguridad de sistemas y redes de
información.
1. Concienciación: los usuarios de los servidores y sitios web del SIUN deberán ser conscientes de la
necesidad de contar con un sistema seguro y conocer los modos de mejorar la seguridad.
2. Responsabilidad: todos los usuarios son responsables de la seguridad de los servidores y sitios web del
SIUN, según aplique.
3. Respuesta: los usuarios de los servidores y sitios web del SIUN deben actuar de manera adecuada y
conjunta para prevenir, detectar y solucionar incidentes de seguridad de la información.
4. Ética: los usuarios de los servidores y sitios web del SIUN deben respetar los intereses legítimos de
terceros. Es decir, reconocer que sus acciones o la falta de ellas ocasionan daños a terceros.
5. Democracia: la seguridad de los servidores y sitios web del SIUN debe ser compatible con los valores
esenciales de una sociedad democrática.
6. Evaluación del riesgo: los usuarios de los servidores y sitios web del SIUN deben llevar a cabo
evaluaciones de riesgo informático.
7. Diseño y realización de la seguridad: los usuarios de los servidores y sitios web del SIUN deben
incorporar la seguridad como un elemento fundamental de todos los productos.
8. Gestión de la seguridad: los usuarios de los servidores y sitios web del SIUN deben adoptar una visión
integral de la administración de la seguridad informática en aras de crear un sistema coherente de
seguridad.
9. Reevaluación: los usuarios de los servidores y sitios web del SIUN deben revisar, reevaluar y realizar las
modificaciones adecuadas sobre políticas, prácticas, medidas y procedimientos de seguridad.
Centralización
La información almacenada en los sitios web del SIUN, hospedados en sus servidores, estará concentrada bajo
un mismo CMS con el objeto de mantener la organización y estandarización de la estructura y la presentación
de sus contenidos.
Políticas de seguridad
Las siguientes políticas, complementarias entre sí, son de interés y aplicabilidad general y en todos los niveles,
tanto en el ámbito administrativo y técnico. Conservan una clasificación respondiendo al conjunto de riesgos
que comprometen la seguridad de la información.
Responsabilidades
1. El SIUN tendrá como responsabilidad definir, aplicar, evaluar y modificar las políticas de seguridad de
sus servidores y sitios web, así como establecer la frecuencia de su actualización.
2. Todos los usuarios de los servidores y sitios web del SIUN deberán aplicar las políticas de seguridad de
los sitios web del SIUN y el SIUN hará seguimiento de su cumplimiento.
Acceso físico
1. La Dirección Nacional de Tecnologías de la Información y las Comunicaciones – DNTIC será la
responsable de la administración física de los servidores del SIUN, del acceso físico a ellos y de la
regulación de la energía para su correcto funcionamiento.
Acceso lógico
Gestión de cuentas de usuario
1. Perfiles de usuario: se clasificarán las cuentas de usuario, con los privilegios adecuados sobre el CMS y
sin llegar a ser sobredimensionados, de acuerdo a la responsabilidad, actividades laborales y
dependencia a la que pertenezca un usuario de los sitios web del SIUN.
2. Administración de cuentas de usuario: es responsabilidad de las dependencias usuarias designar un
administrador que creará, asignará, mantendrá y eliminará las cuentas de usuario, con el perfil
adecuado, para la administración de contenidos del sitio web correspondiente.
3. Cuentas de usuario de base de datos: los administradores de los servidores, dónde se encuentran
alojados sitios web, deberán crear un usuario de base de datos diferente para cada sitio web y
proporcionarle acceso sólo a la base de datos del sitio web específico, restringiendo sus permisos a:
‘SELECT’, ‘INSERT’, ‘UPDATE’, ‘DELETE’, ‘FILE’ y ‘CREATE TEMPORARY TABLES’, y añadir otros permisos
sólo si es necesario para el funcionamiento del sitio.
4. Nombres de cuentas de usuario: la asignación de los nombres de cuentas de usuario no debe ser
arbitraria. Deberá cumplir las siguientes características:
a. Debe reflejar el cargo o la función que el usuario desempeña y la dependencia a la que
pertenece.
b. No debe estar relacionado con el nombre del sitio web, del cargo, función o información del
funcionario asociado.
Gestión de contraseñas
1. Asignación de contraseñas: se fijarán contraseñas a las cuentas de usuario que se asignen por primera
vez a un usuario particular, quien deberá cambiarla posteriormente.
2. Responsabilidad de las credenciales de acceso: cada usuario es responsable de sus credenciales de
acceso, es decir, del usuario y contraseña necesarios para acceder a la información e infraestructura
tecnológica.
3. Confidencialidad de las credenciales de acceso: las credenciales de acceso son personales e
intransferibles, no se deben prestar a otras personas para que accedan a los sitios o servidores web.
4. Confiabilidad de las contraseñas: al momento de cambiar o asignar una contraseña, ésta debe reunir
las siguientes cualidades:
a. La cantidad mínima de caracteres que debe contener la contraseña es ocho (8).
b. La contraseña debe contener al menos un carácter de cada uno de los siguientes tipos: letra
minúscula, letra mayúscula, número y símbolo.
5. Cambio de contraseñas: la frecuencia con la que se deben cambiar las contraseñas, asociadas a cada
cuenta de usuario, debe ser semestral.
6. Contraseñas de cuentas de usuario de bases de datos: las contraseñas de las cuentas de usuario de
base de datos deben ser diferentes para cada una y cumplir las políticas de confiabilidad y cambio de
contraseñas.
Recomendaciones
A continuación se hacen algunas recomendaciones sobre la gestión de contraseñas:
Gestión de hardware
1. Soporte técnico: contratar el servicio de soporte técnico para los servidores que incluya, el soporte de
hardware en sitio, el reemplazo de partes defectuosas y garantía sobre lo componentes
proporcionados.
Gestión de cambios
1. Administración de contenidos: es responsabilidad de las dependencias usuarias la administración de
los sitios web que les corresponda y la asignación del personal encargado del manejo y mantenimiento,
en cuanto a consulta, ingreso, modificación, eliminación y/o divulgación, de la información almacenada
en los sitios web que les corresponda.
2. Instalación y/o actualización de componentes: para realizar la instalación o actualización de una
extensión, componente, plantilla, idioma o plugin en el CMS de los sitios web, se debe realizar una
prueba inicial en un equipo local con la última versión del sitio web y de la extensión, para lo cual se
debe solicitar al administrador del servidor una copia de la última versión del sitio y, tras el éxito de la
prueba, se podrá realizar la instalación o actualización en el servidor.
Mantenimiento de políticas
Auditorías
1. Auditorías internas: una vez implementada la presente política se debe llevar a cabo al menos una
auditoría semestralmente la cual evaluará el cumplimiento de lo dispuesto en el presente documento.
Los anexos 6 y 7 disponen de los formatos que se deben utilizar para la planeación y presentación de
informe de la auditoría.
2. Auditorías externas: con al menos una frecuencia anual se debe gestionar la realización de una
auditoría externa, que esté basada en riesgos, con el fin de adoptar la medidas pertinentes y realizar la
actualización a la política de seguridad con base en los resultados reportados. Se debe considerar la
consecución de los permisos necesarios de acuerdo al alcance de la auditoría, en caso de que pueda
haber afectación de la disponibilidad de los servicios.
Bibliografía
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION E INTERNATIONAL ELECTROTECHNICAL
COMMISSION. ISO/IEC-27001:2005. Primera edición.
ORGANIZATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT. Directrices para la seguridad de
sistemas y redes de información: Hacia una cultura de seguridad. 2001.
UNIVERSIDAD NACIONAL DE COLOMBIA. CONSEJO SUPERIOR UNIVERSITARIO. Acuerdo 046 de 2009:
Por el cual se definen y aprueban las políticas de Informática y Comunicaciones que se aplicarán en la
Universidad Nacional de Colombia.
.SEGURIDAD: CULTURA DE PREVENCIÓN PARA TI. “Seguridad de la información”. Disponible en:
(http://revista.seguridad.unam.mx/).
WIKILIBROS. “Mejores prácticas para redes de datos. Definición de contraseñas”. Disponible en:
(http://es.wikibooks.org/wiki/Mejores_pr%C3%A1cticas_para_redes_de_datos/Definici%C3%B3n_de_
contrase%C3%B1as).
HOSTDIME BOLG. “Tipos De Ataques Más Comunes A Sitios Web Y Servidores”. Disponible en:
(http://www.hostdime.com.co/blog/tipos-de-ataques-mas-comunes-a-sitios-web-y-servidores/).
WIKIPEDIA. “Website defacement”. Disponible en:
(http://en.wikipedia.org/wiki/Website_defacement).
WIKIPEDIA. “Ingeniería social (seguridad informática)”. Disponible en:
(http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_%28seguridad_inform%C3%A1tica%29).
NOVACREAIONS. “Protegiendo tu sitio web de las vulnerabilidades más comunes”. Disponible en:
(http://novacreations.net/diez-vulnerabilidades-aplicaciones-web/).
CYBERSEGURIDAD. “Inclusión de ficheros remotos (RFI Remote File Inclusion) (Ataques informáticos
II)”. Disponible en: (http://cyberseguridad.net/index.php/181-inclusion-de-ficheros-remotos-rfi-
remote-file-inclusion-ataques-informaticos-ii).
TYPO3. “TYPO3 Security Bulletins”. Disponible en: (http://typo3.org/teams/security/security-
bulletins/).
Anexos
1. Inventario de servidores y sitios web del Sistema de Investigación de la Universidad Nacional – SIUN.
2. Resumen de informe de visita e Informe final de la visita efectuada a la Vicerrectoría de Investigación
los días 27 y 28 de marzo de 2014.
3. ISO/IEC-27001:2005.
4. Directrices de la OCDE para la seguridad de sistemas y redes de información: Hacia una cultura de
seguridad. 2001.
5. Acuerdo 046 de 2009: Por el cual se definen y aprueban las políticas de Informática y Comunicaciones
que se aplicarán en la Universidad Nacional de Colombia.
6. Formato Universidad Nacional para plan de auditoría interna.
7. Formato Universidad Nacional para presentación de informe de auditoría interna.
Control de versiones
Versión Nombre Cargo Fecha
Martha Correa
Creado por: 1.0 23 Octubre 2014
Iván Cabezas
Modificado por:
Revisado por:
Aprobado por:
Estado: Borrador