Foto: perspec_photo88 / CC BY-SA 2.

TICS413 - Seguridad en TICs

Introducción y Preliminares
Andrés del Villar León
Acerca del profesor

• Andrés del Villar León

• Ingeniero de Ejecución en Informática

• Magister en Tecnologías de la Información

• +25 años de experiencia laboral

• Amplia experiencia en el diseño de soluciones,

continuidad operacional y seguridad
Evaluación

• 2 Pruebas (15% cada una)

• Desafíos Capture the Flag (20%)
• Controles (10%)
• Trabajo Semestral (40%)
• Entrega 1: 12,5%
• Entrega 2: 25,0%
• Entrega 3: 62,5%

Nota Final: 0.4TS+ 0.15P1+0.15P2+ 0.1NC+0.2CTF

Trabajo Semestral: 0,125E1 + 0,250E2 + 0,625E3
Controles

• Revisar documentos en webcursos previo a la

clase.
• b.socrative.com
• Room Name: ADELVILLAR
Trabajo Semestral

• Grupos: Mínimo 5 – Máximo 6

• Tema: Análisis de Seguridad en un Banco de la
plaza.
• Cada grupo debe seleccionar y banco.
• No se pueden repetir los bancos.
Trabajo Semestral

• Informe 1, semana 10
• Descripción general de la institución. Explicación de los
principales desafíos.
• Malware detectados y posibles.
• Vulnerabilidades de seguridad detectadas
• Elementos de Criptografía que propone utilizar y su
forma de uso
• Vulnerabilidades en las redes de la empresa y posibles
vulnerabilidades detectadas en el Software que utiliza
la empresa.
Trabajo Semestral

• Informe 2, semana 14
• Información del informe 1, considerando el feedback
entregado
• Sugerencias para la Gestión de Seguridad
• Manejo de Datos Personales
• Tópicos modernos de seguridad en la empresa y sus
vulnerabilidades
• Factor humano en la seguridad de la empresa
Trabajo Semestral

• Informe final
• Información del informe 2, considerando el feedback
entregado, haciendo énfasis en las propuestas y
recomendaciones.
• Video de 3 minutos con las propuestas
Trabajo Semestral

Evaluación
• Informe 1 = Informe (35%) + Presentacion (45%) +
feedback a los otros grupos (25%)
• Informe 2 = Informe (35%) + Presentacion (45%) +
feedback a los otros grupos (25%)
• Informe final = Informe (40%) + Presentacion (45%)
+ Video (15%)
Capture the Flag

• Se publicarán en Webcursos
• Se realizan en la plataforma root.me
Noticias del Mes

• Cada alumno podrá publicar hasta 2 noticias por mes

en el foro correspondiente.

• La noticia debe contener un link y una justificación.

• Deben está relacionadas con Seguridad TI.

• Cada mes se asignará eventualmente a la(s) noticias(s)

ganadoras, que se harán acreedoras de una nota 7
equivalente a un Control.

• Al final de semestre se elegirá y premiará a él o los

alumnos que tengan mejor participación en los foros.
Herramientas Utiles

• Wireshark
• Kali Linux
• Cyberchef
En esta sesión

• Introducción a la seguridad de la información

• ¿Qué es la información?
• ¿Qué es la seguridad de la información?
• CIA
• ¿Qué es la seguridad informática?
• Excusas comunes para no implementarla
• Consecuencias de un ataque
• Principios de seguridad
¿Qué es la Información?

• Es un bien
• Tiene valor
• Requiere almacenamiento
• Requiere ser transmitida
• Puede ser clasificada
• Requiere ser protegida
¿Qué es la Seguridad de la Información?

• Es la forma en que la información es protegida para

asegurar que sólo pueda ser conocida por las
personas a las que va dirigida.
• No está relacionado con la tecnología, está
relacionada con la información.
• Se basa en la CIA
La triada CIA

Seguridad de la Información
Confidencialidad

Disponibilidad
secreto, privado Integridad
exactitud, autenticidad accesibilidad, recuperación
 La triada CIA

Seguridad de la Información
Confidencialidad

Disponibilidad
• La información sólo puede ser visible para Integridad
• La información no debe ser alterada por • La información debe estar siempre disponible
quien corresponda. terceros • Uptime
• Control de acceso • Autenticidad • Redundancia
• Encriptación • No repudiación
• SLA
• Esteganografía • DoS
 La triada CIA

Seguridad de la Información
Confidencialidad

Disponibilidad
Divulgación Alteración Destrucción

• La información sólo puede ser visible para Integridad

• La información no debe ser alterada por • La información debe estar siempre disponible
quien corresponda. terceros • Uptime
• Control de acceso • Autenticidad • Redundancia
• Encriptación • No repudiación
• SLA
• Esteganografía • DoS
¿Qué es la Seguridad Informática?

• Es un problema de negocio, no tecnológico

• Protege la información que se encuentra en activos
tecnológicos
• Solo controles tecnológicos => FRACASO
• La tecnología de seguridad por si sola no puede
eliminar todos los peligros potenciales
• Se requiere de un modelo que unifique las medidas
tecnológicas y no tecnológicas
• La seguridad debe ser un facilitador de los negocios
y no un obstáculo para realizarlos
¿Porqué tener seguridad informática?

• Prevenir
• Proteger porque la organización fue comprometida
• Otros me lo exigen:
• Auditorias internas
• SOX
• PCI
• Otras certificaciones
Excusas clásicas para no aplicar
seguridad

• Excusa #1: El producto/servicio entrega 100% de

seguridad.
• MAC no requiere antivirus
 Seguridad 100% es una falacia

𝐵! + 𝐵" > 𝐶# + 𝐶$ 𝑃% 𝑃$

• 𝐵! Beneficio monetario para el atacante

• 𝐵" Beneficio psicológico para el atacante (reputación)
• 𝐶# Costo de cometer el crimen (operación)
• 𝐶$ Costo monetario por ser atrapado (costos legales, oportunidades, futuras
perdidas)
• 𝑃% Probabilidad de ser arrestado
• 𝑃$ Probabilidad de ser condenado

J. R. Clark, William L. Davis, “A Human Capital Perspective On Criminal Careers”

Seguridad 100% es una falacia

𝐵! + 𝐵" > 𝐶# + 𝐶$ 𝑃% 𝑃$

• Para el caso de la seguridad de la información: 𝑃! → 0

• En el caso de Chile: 𝑃" → 0

⇒ 𝐵! + 𝐵" > 𝐶#
Seguridad 100% es una falacia

𝐵! + 𝐵" > 𝐶#

• Seguridad 100%: 𝐶# → ∞

• Seguridad real: má𝑥 𝐶# > 𝐵$ + 𝐵%

Excusas clásicas para no aplicar
seguridad

• Excusa #1: El producto/servicio entrega 100% de

seguridad.
• MAC no requiere antivirus

• Excusa #2: Seguridad “Next”

Excusas clásicas para no aplicar
seguridad

• Excusa #1: El producto/servicio entrega 100% de

seguridad.
• MAC no requiere antivirus

• Excusa #2: Seguridad “Next”

• Excusa #3: “Nunca nos han atacado”

Excusa #3: ”Nunca nos han atacado”

• Falsa sensación de seguridad basado por no tener

un hecho comprobable que demuestre que fuimos
atacados
• Creencia que el tamaño o rubro determina si se es
un sujeto de ataque
• La materialización de un ataque es la fase final de un
proceso de vulneración, por lo que podemos estar
siendo atacados en este preciso instante
Excusas clásicas para no aplicar
seguridad

• Excusa #4: Tenemos un firewall

• Equivale a pensar que porque tenemos rejas en la casa
no van a entrar a robar
Excusas clásicas para no aplicar
seguridad

• Excusa #4: Tenemos un firewall

• Equivale a pensar que porque tenemos rejas en la casa
no van a entrar a robar

• Excusa #5: Usamos criptografía

Excusa #5: ”Usamos criptografía”

• ¿Sabemos realmente cómo hacerlo?

• ¿Qué tipos de criptografía hay?
• ¿Cómo y con qué propósito se usan?

• La criptografía tiene debilidades

• Hay personas que inventa sus propios (y oscuros)

esquemas criptográficos.
• ¿son seguros?
Excusas clásicas para no aplicar
seguridad

• Excusa #4: Tenemos un firewall

• Equivale a pensar que porque tenemos rejas en la casa
no van a entrar a robar

• Excusa #5: Usamos criptografía

• Excusa #6: Los ataques solo vienen de afuera

 Excusa #6: ”Los ataque solo vienen de
afuera”

• La incidencia de ataques desde la empresa

extendida bordea el 58%

• No siempre son ataques que alteren el servicio

Infosecurity Magazine, “58% Information Security Incidents Attributed to Insider Threat”

Excusas clásicas para no aplicar
seguridad

• Excusa #7: Esto es pega de TI

• Sólo la protección técnica es responsabilidad de TI
 ¿Cuáles son las consecuencias de un
Ataque?

• Modelo STRIDE nos muestra cuales son las

amenazas y sus consecuencias:

• Spoofing
• Tampering
• Repudiation
• Information Disclosure
• Denial of Service
• Elevation of Privilege

Howard, Lipner: “The Security Development Lifecycle”

Spoofing

• Identidad
• Paquetes de red
• Archivos
• Software

“Star Wars IV: A New Hope”, LucasFilm, 1977.

Tampering

• Paquetes de red
• Archivos
• Software

“Star Wars IV: A New Hope”, LucasFilm, 1977.

Repudiation

• Imposibilidad de demostrar
que no se realizó una
determinada acción
• Registros de log alterados

“Star Wars IV: A New Hope”, LucasFilm, 1977.

Information Disclosure

• Exponer información interna

en forma pública que
permita a un atacante tener
información relevante.
• Sniffing de Red
• MitM
• Sistemas web configurados
por default

“Star Wars IV: A New Hope”, LucasFilm, 1977.

Denial of Service

• Apagado de sistema
• Consumo excesivo de
recursos

“Star Wars IV: A New Hope”, LucasFilm, 1977.

Elevation of Privilege

• XSS
• SQL Injection
• Mal diseño de privilegios

“Star Wars IV: A New Hope”, LucasFilm, 1977.

8 principios de las seguridad

• Jerome Saltzer y Michael Schroeder: “The

Protection of Information in Computer Systems”

• ... propuestos en 1975

• Paradójicamente, hoy son mucho más vigentes que

hace 40 años
#1 Economía de Mecanismo

• Los mecanismos muy complejos podrían no ser

entendidos, modelados, configurados,
implementados y usados correctamente
• Si no necesitas esa función, no la implementes
• KISS: Keep It Simple, Stupid
• Más simple → Menos cosas pueden fallar
• Y si llegaran a fallar, es más fácil descubrirlas y
arreglarlas
#2 Política por defecto a prueba de
fallos

• Negar todo acceso por defecto

• Luego, implementar una lista blanca
• Todo lo que se quiere permitir en forma explícita
• ¿Habrá algún caso en que sea mejor una lista negra?
#3 Mediación Completa

• Cada acceso a un objeto de ver ser verificado

• Requiere identificar la fuente de cada solicitud
#4 Diseño abierto

• No se debe depender del secreto del diseño

• El sistema debería ser abierto a escrutinio y aún así
ser seguro
• Principio de Kerckhoffs
• “Un sistema criptográfico deberá ser seguro aún
cuando sus detalles (excepto la llave) sean de
conocimiento público”
#5 Mínimos Privilegios

• Se deben asignar a los usuarios y aplicaciones los

mínimos privilegios para operar
• Reduce significativamente el riesgo de ejecutar
operaciones no autoriazadas.

• Argumento: “Es que si no lo echamos a andar como

root/admin, las cosas no funcionan”
• Respuesta: “Entrégame el listado de todas las
operaciones que necesitas hacer y te las entrego 1 a 1
aunque sean todas las del sistema"
#6 Separación de Privilegios

• En la medida de lo posible utilizar dos claves para

desbloquear un sistema de protección

• Actualmente se estila utilizar autenticación de dos

factores basados en:
• Algo que sé
• Algo que tengo
#7 Mecanismo menos común

• Evitar que el acceso a los recursos sea compartido

entre varios usuarios o procesos
#8 Aceptabilidad Psicológica

• Hazlo seguro, pero no lo hagas TAN seguro hasta el

punto que sea inusable
• Un usuario frustrado con la seguridad podría
desactivar las funciones de seguridad o evitar usar el
sistema del todo
¿Hacker v/s Cracker v/s Script Kiddie?

• Hacker
• Alguien que logra ingresar a un sistema informático ajeno.

• Cracker
• Lo hace con fines ilícitos

• Script Kiddie
• Logró introducirse a un sistema informático ajeno, utilizando
herramientas, tutoriales e información generada por otro,
normalmente no tiene conocimiento técnico detallado
¿Quiénes son los atacantes?

• Empleado (o ex-empleado)
• Cibercriminal
• Ciberactivista
• Auspiciador Estatal
• Espía Corporativo
¿Qué facilita un ataque?

• Asignación de Roles y Perfiles

• Uso de Pendrives
• Almacenamiento de datos de la empresa en
repositorios personales en la nube
• Política de desvinculación (bloqueo de contraseñas y
correo electrónico)
• WI-FI
• Política de BYOD
• Acceso Remoto