FUNDAMENTOS DE

SEGURIDAD
SEGURIDAD

• Es un estado de estar o sentirse protegido de daños.

• Esun proceso continuo de proteger un objeto de acceso no
autorizado.
 Objeto puede ser:
 Una persona
 Una organización o propiedad como un computador o un archivo

• La
seguridad se define como un estado de estar libre de
ansiedad o miedo

ECP
2
SEGURIDAD

• Un objeto puede estar en un estado físico de seguridad o en un estado

teórico de seguridad
• En un estado físico de seguridad, una facilidad está segura si está
protegida por una barrera, tiene áreas seguras tanto internas como
externas y puede resistir la penetración de intrusos.
• El estado físico de seguridad se garantiza desplegando mecanismos de:
 Disuasión
 Prevención
 Detección
 Respuesta.

ECP
3
SEGURIDAD

• Disuasión
 La primera línea de defensa.
 Crea una atmósfera que busca atemorizar a los intrusos.
 Por ejemplo, puede implicar advertencias de severas consecuencias si
se afecta la seguridad

ECP
4
SEGURIDAD

• Prevención:
 Proceso que intenta detener a los intrusos de ganar acceso a los
recursos del sistema.
 Las barreras pueden ser firewalls, zonas desmilitarizadas (DMZ) y el uso
de métodos de acceso como claves, tarjetas de acceso, biometría, y
otros que permitan acceder a las facilidades solo a usuarios autorizados. mype.com.pe
DNS FTP eMail Telefonía IP Web DHCP

DMZ

eth1
192.168.2.0/24 eth0
INTERNET
eth2

ECP
5
SEGURIDAD

• Detección:
 Sucede cuando el intruso ha logrado o esta en el proceso de ganar
acceso al sistema.
 Señales del proceso de detección incluyen alertas de la existencia del
intruso.
 A veces, estas alertas pueden ser de tiempo real o almacenadas para
futuro análisis por parte del personal de seguridad.

ECP
6
SEGURIDAD

• Respuesta:
 Es el mecanismo a posteriori, que intenta responder a la falla de los tres
primeros mecanismos.
 Busca intentar detener y prevenir daños futuros o acceso a la facilidad.

ECP
7
SEGURIDAD

• Unestado teórico de seguridad, conocido como pseudo

seguridad o seguridad por oscuridad (STO) es una falsa
sensación de seguridad.
• Se
basa en la creencia que un objeto esta seguro si nadie tiene
conocimiento de su existencia.
• Lacreencia que el secretismo puede hacer un sistema seguro
es solo eso: una creencia.

ECP
8
SEGURIDAD DE COMPUTADORAS

• Rama de las ciencias de la computación que se enfoca en crear

un entorno seguro para el uso de computadoras.
• Seenfoca en el comportamiento requerido de los usuarios y
los protocolos para crear un ambiente seguro para cualquiera
que use un computador.

ECP
9
SEGURIDAD DE COMPUTADORAS

• Comprende 4 áreas de interés:

 Ética computacional
 ACM: https://www.acm.org/code-of-ethics
 IEEE: https://www.ieee.org/content/dam/ieee-
org/ieee/web/org/about/ieee_code_of_conduct.pdf
 Desarrollo de protocolos software
 Desarrollo de protocolos hardware
 Desarrollo de buenas prácticas

ECP
10
SEGURIDAD DE REDES

• Es
un campo más amplio que el de la seguridad de
computadoras.
• Es también un campo de las ciencias de la computación.
• Comprendela creación de un entorno en el que una red de
computadoras, incluidos todos sus recursos: datos
almacenados y en tránsito y usuarios estén seguros.

ECP
11
SEGURIDAD DE REDES

• Es un ámbito de estudio complejo, que implica:

 Criptografía.
 Comunicación.
 Transporte
 Intercambio
 Buenas prácticas.

ECP
12
SEGURIDAD DE LA INFORMACIÓN

• Uncampo aún mayor que la seguridad de computadoras y

redes.
• Se encuentra en disciplinas como:
 Ciencias de la computación
 Administración de negocios.
 Ingeniería.
• Implicala creación de un estado en el que la información y los
datos están seguros.

ECP
13
SEGURIDAD EN LA RED DE COMPUTADORAS

• Crear un entorno seguro en una red de computadores significa crear un

ambiente seguro para una variedad de recursos.
• Estos recursos, físicos o no son objetos.
• Garantizar la seguridad de un objeto significa proteger el objeto de
acceso no autorizado tanto interno como externo.
• Los objetos tangibles representan los recursos hardware del sistema.
• Los objetos intangibles son los datos e información tanto en tránsito como
almacenados.

ECP
14
SEGURIDAD EN LA RED DE COMPUTADORAS

• Hardware: Proteger los recursos hardware implica

proteger:
 Objetos de usuario final tales como los componentes
hardware de la interfaz de usuario: teclado, mouse, pantallas
táctiles, etc.
 Objetos de red tales como: firewalls, switches, enrutadores y
pasarelas.
 Canales de comunicación de red para prevenir escucha e
interceptación.

ECP
15
SEGURIDAD EN LA RED DE COMPUTADORAS

• Software: Proteger los recursos software implica

proteger:
 Firmware, sistemas operativos, protocolos de servidor,
navegadores, software de aplicaciones y propiedad
intelectual almacenada en discos y bases de datos.
 Software de clientes como datos financieros, registros de
bienes raíces, imágenes, pinturas y otros archivos personales
almacenados en computadores.

ECP
16
FORMAS DE PROTECCION

• La
prevención de accesos no autorizados a los recursos
del sistema se consigue a través de diversos servicios
que incluyen:
 Control de acceso
 Autenticación
 Confidencialidad
 Integridad
 No repudio

ECP
17
FORMAS DE PROTECCION

• Control de acceso
Sistemas de control de acceso hardware
 Terminal de acceso
 Monitoreo visual de eventos
 Tarjetas de identificación
 Identificación biométrica
 Video vigilancia.

ECP
18
FORMAS DE PROTECCION

• Control de acceso
Sistemas de control de acceso software
 Monitoreo de punto de acceso (POA) – se monitorean
actividades personales mediante aplicaciones de PC, que
recolectan y almacenan eventos de acceso
 Monitoreo remoto con la posibilidad de conexión a un
centro de reportes

ECP
19
FORMAS DE PROTECCION

• Autenticación
 Servicio utilizado para identificar un usuario.
 La identificación de usuarios puede ser difícil si estos
pretenden hacerse pasar por usuarios legítimos.
 Este servicio proporciona mecanismos para verificar que un
usuario es quien dice ser.

ECP
20
FORMAS DE PROTECCION

• Autenticación
 Se puede autenticar usuarios verificando uno o mas de los
siguientes aspectos:
 Nombre de usuario
 Contraseña
 Imágenes de retina
 Huella dactilar
 Ubicación física
 Tarjetas de identidad

ECP
21
FORMAS DE PROTECCION

• Confidencialidad
 Protege los datos del sistema de divulgación no autorizada.
 Cuando los datos abandonan un equipo en la red, están
expuestos a interceptación, por lo que el receptor no puede
estar seguro que estos no hayan sido interceptados.
 Este servicio usa encriptación para asegurar que nada así
pasó en el transito de los datos .

ECP
22
FORMAS DE PROTECCION

• Confidencialidad
 La encriptación protege los canales de comunicación de los
husmeadores (sniffers).
 La encriptación consiste en transformar mediante una clave,
un archivo denominado texto plano, en un archivo cifrado.
 Los algoritmos de encriptación pueden ser simétricos o
asimétricos.

ECP
23
FORMAS DE PROTECCION

• Confidencialidad
 La encriptación simétrica o encriptación de clave secreta
utiliza una clave común para cifrar un archivo.
 La encriptación asimétrica utiliza dos claves: una clave
pública conocida por todos y una clave privada conocida solo
por el emisor. Los mensajes se encriptan en el emisor,
utilizando la clave pública del receptor. El receptor descifra el
mensaje utilizando su clave privada

ECP
24
FORMAS DE PROTECCION

• Integridad
 Protege los datos contra amenazas activas que puedan
alterarlos.
 Se utiliza encriptación y hashing para asegurar la integridad
de los datos.
 En el hashing, a partir de los datos se genera un código que
se utiliza como un resumen de mensaje que se utiliza como
una firma del mensaje.

ECP
25
FORMAS DE PROTECCION

• No repudio (imputabilidad)
 Servicio que proporciona pruebas de origen y entrega de un servicio o
información.
 Se utiliza firmas digitales para asegurar el origen de los datos.
 Busca evitar que un usuario niegue haber emitido un archivo o realizado
alguna acción.

ECP
26
FUENTES DE AMENAZA

• Debilidad en la infraestructura de red y los protocolos de comunicación.

• El crecimiento rápido del ciberespacio y su uso como plataforma
universal de intercambio.
• El crecimiento de la comunidad de hackers
• La vulnerabilidad en los protocolos de los sistemas operativos
• Trabajadores que roban y venden datos de empresas
• Ingeniería social.

ECP
• Robo físico de equipos con datos.

27
GRUPOS DE HACKERS

ECP
28
MOTIVACION DE LAS AMENAZAS A LA SEGURIDAD

• Terrorismo: https://www.un.org/counterterrorism/cybersecurity
• Espionaje militar:
• Espionaje económico:
• Venganza:
• Odio:
• Notoriedad:
• Avaricia:

ECP
• Ignorancia:
29
GESTION DE LAS AMENAZAS A LA SEGURIDAD

• Valoración de riesgos
 Cada tipo de amenaza tiene un impacto diferente. Las estrategias de
respuesta dependerán de dicha valoración

• Selección e implementación de medidas para mitigar los

riesgos
• Seguimiento
y evaluación de pérdidas por riesgo
experimentadas, para validar las partes previas de este
proceso

ECP
30
GESTION DE LAS AMENAZAS A LA SEGURIDAD

• Análisis forense
 Se realiza después de haber detectado y contenido una amenaza.
 Los datos se procesan de forma que puedan servir de evidencia legal.
 Software de análisis forense:
 Encase forensic
 FTK Forensic Toolkit
 Paladin.
 Sleuthkit
 Xplico

ECP
31
VULNERABILIDADES

• Vulnerabilidad:
 Debilidad en el hardware o software que puede ser explotada por un
intruso para ganar acceso o interrumpir la red.

• Unavulnerabilidad de sistema es una condición, debilidad o

ausencia de procedimientos de seguridad o de controles que
pueden ser explotados por una amenaza.

ECP
32
FUENTES DE VULNERABILIDAD

• Fallas de diseño
 Factores humanos
 Lagunas mentales, olvido
 Prisa por terminar
 Exceso de confianza
 Malicia
 Auto complacencia
 Complejidad del software
 Fiabilidad de las fuentes de software
 Reutilización de software, reingeniería de software, diseños heredados

ECP
33
FUENTES DE VULNERABILIDAD

• Gestión de seguridad pobre

 La gestión de seguridad es un proceso técnico y administrativo que
implica políticas de seguridad y controles que una organización decide
poner en practica para proveer un nivel de protección requerido.
 También comprende el monitoreo y evaluación de la efectividad de
estas políticas.

ECP
34
FUENTES DE VULNERABILIDAD

• Implementación incorrecta
Suele producirse como resultado de interfaces
incompatibles ocasionadas por:
 Comprensión deficiente de los parámetros subyacentes
 Comunicación pobre durante el diseño
 Ignorar aspectos de integración

ECP
35
FUENTES DE VULNERABILIDAD

• Vulnerabilidad de las tecnologías de Internet

 Vulnerabilidades de sistema operativo
 Vulnerabilidades de puertos
 Errores en las aplicaciones software
 Software de protocolos de sistema
• Naturaleza cambiante de las actividades y tecnologías de
hackers
• Dificultad de corregir sistemas vulnerables

ECP
36
FUENTES DE VULNERABILIDAD

• Limitaciones de la efectividad de las soluciones reactivas

 El número de vulnerabilidades ha alcanzado niveles imposibles de
corregir
 Millones de computadores y dispositivos móviles en línea
 Avance en tecnologías de ataque
 Ataques automatizados
 Tecnologías de ataque stealth
 Internet es una plataforma de comunicación crítica.

• Ingeniería social

ECP
37
FUENTES DE VULNERABILIDAD

• Ingeniería social – a través de:

 Teléfono
 Online
 En persona
 Basura (trashing o dumpster diving)
 Suplantación, etc.

ECP
38
EVALUACION DE VULNERABILIDADES

• Procesoque identifica, sigue y gestiona la reparación de

vulnerabilidades en el sistema
 Mapeo de redes/objetos y vulnerabilidades conocidas
 Análisis de vulnerabilidades y ranking de debilidades
 Lista priorizada de errores de configuración
• Herramientas que ayudan a identificar vulnerabilidades:
 Nessus
 Acunetix
 OpenVAS

ECP
39
EVALUACION DE VULNERABILIDADES

• Servicio de evaluación de vulnerabilidades

 Escaneo de vulnerabilidades.
 Valoración de vulnerabilidades y pruebas de penetración.
 Valoración de aplicaciones.

• Ventajas de los servicios de valoración de vulnerabilidades

 Se mantienen mas actualizados que los administradores de sistema
 Elimina la necesidad de planificar actualizaciones
 Reportes más detallados

ECP
40
ATAQUES

• Criptoanálisis – búsqueda de información útil en texto cifrado, sin

conocer la clave de descifrado
• Password pilfering – robo de contraseñas
 Guessing
 Ingeniería social
 Impersonation : suplantación
 Phishing : suplantación de identidad.
 Pharming : redirección de una página a otra que suplanta la primera.
 Ataque de diccionario
 Password sniffing

ECP
 Side – channel attack

41
ATAQUES

• Eavesdropping – interceptación de datos

• Identity spoofing
 Man-in-the-middle-attack
 Message replay
 Network spoofing
 Syn flooding
 TCP hijacking
 ARP spoofing (ARP poisoning)

ECP
42
ATAQUES

• Buffer-Overflow

• Repudiación

• Intrusión

• Análisis de tráfico
• Ataque de denegación de servicios
 DoS
 DDoS

ECP
 Correo spam
43
ATAQUES

• Software malicioso
 Virus
 Gusanos
 Troyanos
 Bombas lógicas
 Backdoors
 Spyware
 Ransomware

ECP
44
TRABAJO DE SESION

1. Encuentre dos sitios web de reporte de vulnerabilidades y

describa un problema de seguridad, reportado en el ultimo
año, que afecte a:
a) Sistema operativo Windows 10.
b) Sistema operativo Linux con kernel 5.0+.
c) Una aplicación de escritorio.
d) Un SGBD

2. Para cada caso, en el ejercicio anterior, indique la

contramedida aplicada o si es un problema aun no resuelto.

ECP
45