8.

2 SEGURIDAD DE SISTEMAS

La seguridad informática es un término genérico que cubre una vasta área de la

informática y del procesamiento de Información. Las industrias que dependen de
sistemas computarizados y redes para realizar a diario transacciones de negocios y
acceder a información confidencial, consideran los datos como una parte importante de
sus activos totales. Varios términos e indicadores han entrado a su vocabulario diario,
tales como el Costo total de propiedad (TCO), Retorno de la Inversión (ROI) y Calidad
de Servicio (QoS). Mediante estos indicadores, las industrias pueden calcular aspectos
tales como integridad de datos y Alta disponibilidad (HA) como parte de los costos
administrativos de procesos y planeación. En algunas industrias como por ejemplo: el
comercio electrónico, la habilidad y confiabilidad de datos pueden significar la
diferencia entre éxito y fracaso. [RED HAT Inc, 2011]

8.2.2 ESTANDARES DE SEGURIDAD IFORMÁTICA

Los estándares de Seguridad Informática o de la Información están basados en normas

y reglamentos producidos por grandes Instituciones Mundiales y de países altamente
desarrollados dentro de la seguridad de su información tanto para el entono público y
privado; como ser la IEEE 1, la NIST2, la ISO3, PCI DSS4, etc. Estos estándares
generados se han ido adecuando a los entornos de seguridad de información mundial,
pero todos se basan en el modelo estándar llamado CIA traducido del Idioma Ingles
(Confidencialidad, Integridad y Disponibilidad).

 Confidencialidad: La información confidencial debe estar disponible únicamente

para un grupo de individuos pre-establecido. La transmisión y uso de
información no autorizada debe restringirse. Por ejemplo, la confidencialidad de
información garantiza que la información personal o financiera no esté al alcance
de individuos no autorizados con propósitos malintencionados tales como robo
de identidad o fraude de crédito. [RED HAT Inc, 2011]
 Integridad: La información no se debe alterar en formas que la reproduzcan
incompleta o incorrecta. Se debe restringir a los usuarios no autorizados de la
capacidad de modificar o destruir información confidencial. [RED HAT Inc, 2011]

1
IEEE.- Institute of Electrical and Electronics Engineers, Institución Mundial que regula u orienta
aspectos en áreas de electrónica y eléctrica, tiene una unidad independiente IEEE Xplore: IET
Information Security, relacionada a la seguridad de la información.
2
NIST - National Institute of Standards and Technology, institución del Gobierno de Estados Unidos para
normar y reglamentar diferentes procedimientos dentro de sus Instituciones del Gobierno de USA. La
NIST SP 800-39, regula el nivel de riesgo de la información para todas sus Instituciones.
3
ISO- International Organization for Standardization, la organización mundial de estandares en múltiples
áreas para controlar procedimientos. La ISO 27001 es uno de los estándares orientados a seguridad
informática.
4
PCI DSS- Payment Card Industry Data Security Standard, el estándar de seguridad respecto al manejo
de pago mediante tarjetas de crédito.
  Disponibilidad: La información debe estar accesible a usuarios autorizados, en
cualquier momento. Es decir, cuando se necesite. La disponibilidad garantiza
que la información pueda obtenerse con una frecuencia y puntualidad
acordadas. Suele medirse en términos de porcentajes y se acepta de manera
formal en los Acuerdos de Nivel de Servicio (SLA) usados por los proveedores
de servicios de red y los clientes corporativos. [RED HAT Inc, 2011]

8.3 METODOLOGÍA OWASP

8.3.1 PROYECTO OWASP

El Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP: The Open Web

Application Security Project) está dedicado a ayudar a las organizaciones a
comprender y mejorar la seguridad de sus aplicaciones Web y servicios Web.

Esta lista fue creada con el objetivo de enfocar a las empresas y agencias
gubernamentales en las vulnerabilidades más serias. La seguridad de aplicaciones
Web ha sido un tema importante, en tanto muchas compañías compiten por hacer
accesible contenidos y servicios a través de la Web. Al mismo tiempo, los “piratas
informáticos” centran su atención en las debilidades más comunes creadas por los
desarrolladores de aplicaciones. [OWASP, 2004]

8.3.2 GUÍAS OWASP

OWAP al ser una comunidad a nivel mundial que aporta a la seguridad de servicios
web ha plasmado varias guías de referencia, estas guías son la base fundamental de la
guía de prueba o de la OWASP Testing Methodology, la guía de evaluación de
OWASP. A continuación se describen las guías más importantes de evaluación de
seguridad informática.

 Referencia de Escritorio en Seguridad de Aplicación es de OWASP (OWASP

Application Security Desk Reference)

La ASDR contiene las definiciones básicas y descripciones de todos los

principios importantes de seguridad, agentes de amenaza, ataques,
vulnerabilidades, contramedidas, impactos técnicos y de negocio en seguridad
de aplicaciones. Esta es una referencia básica para todas las otras guías y es
referenciada también por estos otros volúmenes. [OWASP, 2008]

 Guía de Desarrollo de OWASP

La guía de desarrolladores cubre todos los controles de seguridad que los

desarrolladores de software deben utilizar. Estas son las protecciones “positivas”
que los desarrolladores deben construir en sus aplicaciones. Aunque hay miles
 de tipos de vulnerabilidades en software, ellos pueden ser evitados con un
conveniente conjunto de controles de seguridad fuertes. [OWASP, 2008]

 Guía de Pruebas de OWASP.

La guía de pruebas que está leyendo cubre los procedimientos y herramienta

para probar la seguridad de las aplicaciones. La mejor manera de usar esta guía
es como parte de una verificación exhaustiva de la seguridad en aplicaciones.
[OWASP, 2008]

 La Guía de Revisión de Código de OWASP.

La mejor forma de usar La guía de revisión de código junto con la guía de

pruebas. Verificar las aplicaciones desde el código es usualmente mucho más
efectivo (monetariamente hablando) que las pruebas de intrusión. Pero usted
puede escoger la mejor manera para la aplicación en la que está trabajando.
[OWASP, 2008]

8.3.2 ANÁLSIS DE RIESGOS MEDIANTE OWASP

8.3.3 REPRESENTACIÓN DEL RIESGO MEDIANTE OWASP

Se comprende que no se puede medir el nivel de seguridad por sí mismo en cualquier

tipo de sistemas o en cualquier tipo de infraestructura. El nivel de seguridad se mide en
base al nivel de riesgo que puede sufrir una unidad en un Centro de procesamiento de
Datos orientado a que este es el que almacena los medios y servicios principales para
el funcionamiento del mismo.

La siguiente representación tiene como objetivo el poder demostrar dentro de un

escenario ejemplo

Fuente: OWASP Top 10, 2013

En base a la anterior figura OWASP permite establecer que un atacante o hacker, es
una amenaza constante dentro del Internet y que este en base a vector de ataque
puede vulnerar el sistema en base a la debilidad que el sistema puede presentar ya sea
una debilidad conocida o una nueva debilidad que el administrador de dicho servicio no
ha podido identificar, este tipo de debilidades son las debilidades o vulnerabilidades de
día ZERO por el cual el atacante toma el control generando una serie de opciones que
según el nivel de Intención que tenga el atacante pueda ejecutar. Este tipo de impactos
técnicos pueden ser los denominados defacemente, conexiones remotas, acceso
indebido, robo de información o cualquier otro acto que genere un impacto en el
servicio vulnerado. Finalmente el impacto se reflejará en la actividad de Negocio que
puede ser cuantificado dependiendo del nivel de popularidad, credibilidad, imagen y
otros elementos de análisis que se puedan reflejar en el nivel de impacto dependiendo
del tipo del negocio.

8.3.4 NIVEL DE RIESGO MEDIANTE OWASP

Este nivel de riesgo se puede determinar mediante el OWASP TOP 10 que se enfoca
en la identificación de los riesgos más serios para una amplia gama de organizaciones.
Para cada uno de estos riesgos se proporciona información genérica sobre la
probabilidad y el impacto técnico a través del siguiente esquema de calificaciones que
está basado en la Metodología de Evaluación de Riesgos OWASP.

Fuente: OWASP Top 10, 2013

8.3.5 TOP 10 DE RIESGOS DE SEGURIDAD EN APLICACIONES

OWASP por medio del su TOP 10 permite identificar los riesgos más críticos a nivel
mundial sobre aplicaciones web. Para el presente trabajo se mencionará estos

 A1 Inyección SQL
 A2 Pérdida de Autenticación y gestión de sesiones

 A3 Secuencia de Comandos en Sitios Cruzados XSS

 A4 Referencia Directa Insegura a Objetos

 A5 Configuración de Seguridad Incorrecta

 A6 Exposición de Datos Sensibles

 A7 Ausencia de Control de Acceso a Funciones

 A8 Falsificación de Peticiones en Sitios Cruzados CSRF

  A9 Utilización de Componentes con vulnerabilidades conocidas.

 A10 Redirección y reenvíos no validos

RED HAT Inc, Red Hat Enterprise Linux 6 Guía de seguridad, 2011.

OWASP Top 10 WEB Vulnearbilities, 2004.

OWASP GUÍA DE PRUEBAS, 2008.