PRINCIPIOS DE SEGURIDAD Y

ALTA DISPONIBILIDAD

CAPÍTULO 1
CFGS 2º ASIR
1
1. INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA
Hoy en día un sistema informático totalmente seguro es imposible, la conectividad global, extiende el campo
de posibles amenazas.
La seguridad informática: asegurar que los recursos del sistema de información sean utilizados de la manera
que se decidió y que el acceso y modificación a la información, solo sea posible a las personas que se
encuentren acreditadas y dentro de los límites de su autorización.
• Objetivos de la seguridad informática:
o Detectar los posibles problemas y amenazas.
o Garantizar la adecuada utilización de los recursos y de las aplicaciones de los sistemas.
o Limitar las pérdidas y conseguir una adecuada recuperación en caso de un incidente.
o Cumplir con el marco legal y con los requisitos impuestos a nivel organizativo.
• Objetivos principales de la seguridad (CID en español o CIA en inglés)
o Confidencialidad (Confidenciality): Previene qué individuos, entidades o procesos no
autorizados puedan interpretar la información a la que no tienen derecho.
o Integridad (Integrity): Previene contra posibles alteraciones no deseadas en la información,
de modo, que se garantice que el mensaje enviado en origen es exactamente el mensaje que
se recibe en destino.
o Disponibilidad (Availability): Mantine la capacidad de exponer los activos informáticos
utilizables en todo momento a los agentes autorizados que los consumen.
• Objetivos secundarios:
o Autenticidad y control de acceso. Comprueba la identidad del agente que accede a un
recurso y la facilidad o deniega el acceso en función de esta identidad.
o Fiabilidad. Mantiene la consistencia entre el comportamiento del sistema y los resultados
obtenidos del mismo, es decir, evalúa si el sistema se comporta como se espera de él.
o No repudio o irrenunciabilidad. Garantiza la autoría de una información o un proceso.
o Auditabilidad. Registra el comportamiento del sistema para su evaluación posterior.

2
ACTIVIDADES
1. Buscar ejemplos de Confidencialidad, integridad y Disponibilidad.
2. Describe un ejemplo de proceso de comunicación en los que se pongan de manifiesto la confidencialidad,
la integridad, la disponibilidad, la autenticidad, la fiabilidad, el no repudio y la auditabilidad.

1.1. Amenaza riesgos y ataques

Conviene ahora precisar el significado de algunos conceptos relacionados con las amenazas propias de la jerga
profesional que se utilizarán frecuentemente.
• Amenaza: Es una acción que pretende ser dañina para el sistema en riesgo.
• Vulnerabilidad o brecha: Es el grado de exposición del sistema amenazado a las amenazas de un
atacante.
• Contramedida: Es la acción que pretende la prevención de una amenaza que actúa aprovechándose
de una vulnerabilidad.
• Atacante: Es el agente activo que perpetra la amenaza que subyace a una vulnerabilidad.
• Riesgo: Es la valoración del daño que representan las amenazas a las que se está expuesto debido a
las vulnerabilidades teniendo en cuenta las contramedidas que se implementan para la defensa
Según esto, el riesgo se puede calcular conceptualmente del siguiente modo:

Gestión de riesgo
Frente a un riesgo, no solamente informático sino de cualquier otra naturaleza, caben únicamente cuatro
posibilidades:
• Evitar el riesgo. El riesgo se evita cuando la organización rechaza aceptarlo, es decir no se acepta
ningún tipo de exposición, lo que exige el compromiso de no realizar nunca la acción que origina el
riesgo.
• Reducir el riesgo. Cuando el riesgo no puede evitarse se puede reducir hasta que llegue a unos
mínimos asumibles.
• Gestión de riesgo
• Reducir, asumir o aceptar el riesgo. En este caso se acepta el riesgo y se asumen sus consecuencias
en caso de que ocurra.
• Transferir o compartir el riesgo. Se trata de buscar un respaldo y compartir el riesgo entro otros
controle o entidades.
Tipos de amenazas
Conocer las amenazar es de vital importancia para poder combatirlas.

3
Las amenazas las podemos clasificar:

• Dependiendo del lugar de procedencia de la amenaza:

o Amenaza interna. Proceden del interior del sistema atacado.
o Amenaza externa. Procede del exterior del sistema atacado.
• Dependiendo de la vía de ataque:
o Amenaza física o ambiental. Afectan al hardware o a las instalaciones en donde se ubica.
o Amenaza lógica. Afectan al sistema en su software mediante la introducción de malware o
por la ejecución de operaciones lógicos que comprometen la seguridad del sistema.
Vulnerabilidades de un sistema
Todo componente de un sistema (hardware, software o de procedimiento) es vulnerable a priori. Las
vulnerabilidades exigen de una planificación exhaustiva y entre ellos se encuentran los siguientes elementos
vulnerable en un sistema:

• El hardware. Por ejemplo, una persona podría desconectar la alimentación de un servidor. Entre los
equipos afectado por vulnerabilidades de hardware tendremos router, conmutadores y módems;
cámaras web y servidores de vídeo, etc.
• El software. Por ejemplo, un virus podría dañar el sector de arranque del disco de sistema. Entre los
elementos de software más vulnerable están los sistemas operativos, servidores y bases de datos; los
navegadores las aplicaciones ofimáticas y las utilidades.
• Los datos.
o Los datos que residen en los medios de almacenamiento. Un ataque podría alterar los datos de la
base de datos de facturación.
o Los datos en cuanto información que se transporta (comunicaciones).
o Los documentos con capacidades activas o de interacción con las aplicaciones. Por ejemplo,
documentos ofimáticos con macros o programación de tipo script.
Para controlar las vulnerabilidades, el responsable de seguridad cuenta con un conjunto de herramientas,
procedimientos y tecnologías que le ayudan en su tarea:

• Parches del sistema operativo y actualización de aplicaciones y utilidades.

• Seguridad en los ficheros y control de acceso de los usuarios a los recursos.
• Cuentas de usuarios y políticas de gestión de contraseñas.
• Control de los servicios y aplicaciones instaladas.
• Registro y auditoría de eventos.
• Configuración de las herramientas de seguridad: antivirus, cortafuegos, copias de seguridad, etc.
• Test de penetración frente a ataque internos y externos.

4
Actividades
Localiza los abundantes errores conceptuales que encuentres en la siguiente afirmación:
“Un sistema operativo que no está actualizado tiene una amenaza por un fallo de seguridad que un atacante
aprovecha ejecutando una vulnerabilidad de alto riesgo. El administrador de seguridad atenúa la brecha
mejorando el riesgo provocado por las contramedidas.”
Confecciona un mapa conceptual de los tipos de amenazas y vulnerabilidades a que están expuesto los
sistemas informáticos.

1.2. Planes de seguridad

La mejor solución contra un ataque es organizar una buena defensa, sobre todo a través de la prevención.
1. Tener un plan de seguridad de los sistemas de información.
2. Respetar los códigos éticos de comportamiento personal y profesional.
3. Proveer planes de contingencia específicos para cada activo informático, validados mediante
pruebas.
4. Disponer de un sistema eficaz de evaluación de la seguridad informática.
Toda la información de seguridad, las acciones preventivas y las reactivas después de sufrir un ataque se
formulan en un plan de seguridad, también llamado a veces, planes de contingencia o plan de respuesta a
incidentes.

5
Básicamente un plan de respuesta a incidentes tiene cuatro fases:
1. Acción inmediata para detener o minimizar el incidente de seguridad.
2. Investigación del incidente.
3. Restauración de los recursos afectados, dañados o comprometidos debido al incidente.
4. Reporte del incidente y de los daños a los responsables del nivel superior

1.3. Tecnologías relacionadas con la seguridad de los sistemas

El material técnico con el que cuenta el administrador de la seguridad también es muy variado y está en
constante evolución puesto que a cada nueva vulnerabilidad se abre una línea de investigación para tratar de
atajarla. A continuación, se describirán a modo introductorio estas tecnologías:
• Cortafuegos.
• Administración de las cuentas de los usuarios y los servicios
• Detección y prevención de intrusos.
• Antivirus y antimalware.
• Infraestructura de clave pública, técnicas de cifrado y firma digital.
• Técnicas de seguridad en el comercio electrónico.
• Capa de socket segura (SSL)
• IPSec.
• Single Sing On (SSO) o técnicas de conexión única.
• Biometría.
• Control de los accesos remotos.
• Redes privadas virtuales
• Informática forense.
• Recuperación de datos
• Monitorización y auditoría del sistema

ACTIVIDADES
1. Buscar los estándares relacionados con la seguridad
2. Buscar las especificaciones de la norma ISO/IEC 27000

2. Seguridad física y lógica

Los elementos de seguridad sobre los que más se puede influir son los relacionados con la seguridad física y
lógica. Deben darse las dos a la vez.
Todos estos elementos se seguridad son eslabones de una única cadena de seguridad, que se romperá por el
eslabón más débil.

6
2.1. Seguridad física y ambienta
La seguridad física consiste en la aplicación de contramedidas tales como barreras físicas o procedimientos
de control que prevengan amenazas contra los recursos que se pretenden proteger, disminuyendo los riesgos.
Los peligros físicos pueden ser intencionados o fortuitos (no intencionados). Entre los fortuitos se encuentran
los incendios, terremotos, inundaciones, obras, meteoros climáticos, deficiencias en las instalaciones
eléctricas o en el aire acondicionado, deterioro de los medios de almacenamiento o peligros ergométricos
que son el resultado de la interacción de cuerpo humano con los dispositivos del hardware.
Entre los peligros intencionales por acciones hostiles se pueden citar los siguientes: robos, fraudes y
sabotajes.
El control físico de acceso
Se trata de estudiar cómo será el acceso del personal a los equipos.
Algunas de las técnicas de acceso son las siguientes:

• Utilizar personal de seguridad y/o animales.

• Detectores de metales.
• Sistemas biométricos.
• Verificación automática de firma.
• Protección electrónica.

Investigación
En la dirección http://www.seguritecnia.es/directorio-de-empresas/control-de-accesos/disbio-s.l disponen
de documentación sobre productos de control de acceso biométrico.
En http://www.accesor.com/ se puede encontrar de un amplio catálogo de productos de seguridad sobre
control de accesos y CCTV.

2.2. Seguridad lógica

La seguridad lógica consiste en la aplicación de barreras y procedimientos que protejan el acceso a los datos
y aplicaciones a personas o agentes autorizados para ello, descartando a los demás.
Las técnicas de seguridad lógica persiguen los siguientes objetivos:
• Restringir el acceso a los activos informáticos de software.
• Garantizar que todo usuario puede acceder a los datos o aplicaciones que necesita, pero solo a los
que necesita.
• Asegurar que con cada información o dato con el que se trabaje se emplea el procedimiento adecuado
y no alternativas no autorizadas.
• Cuidar la integridad, confidencialidad y no repudio en las comunicaciones de mensajes.
• Buscar alternativas redundantes para situaciones de fallos en equipos, por ejemplo, líneas de
transmisión alternativas, pero controladas.

7
 • Tener la capacidad de restaurar los sistemas de información en poco tiempo después de un incidente
a partir de backups, si fuera necesario.
• Implementar sistemas redundantes de reparto de carga y alta disponibilidad.
• Garantizar la continuidad del negocio.
El control lógico del acceso
Estos controles se pueden aplicar en el sistema operativo, en aplicaciones, en las bases de datos o en cualquier
elemento de software sobre los que se puedan definir alguno de los objetivos descritos anteriormente.
El NIST (National Institute for Standards and Technology, www.nist.gov) ha resumido los siguientes
estándares de seguridad que se refieren a los requisitos mínimos de seguridad de cualquier sistema:
• Identificación y Autenticación. Todo usuario debe ser identificado antes de concederle acceso
mediante un proceso de autenticación suficientemente seguro.
• Roles. Define el perfil de necesidades y obligaciones del usuario, por ejemplo, contable, programador,
gerencia, etc.
• Transacciones. Para realizar ciertas operaciones delicadas es necesario disparar un procedimiento de
seguridad específico, por ejemplo, disponer de una contraseña o un token de seguridad
• Limitaciones a los servicios. Son los procesos de autorización que se siguen de una autenticación de
usuario, que le autorizan a consumir ciertos servicios
• Modalidad de acceso. El acceso al dato será de lectura, ejecución, borrado, etc.
• Ubicación y horario. Establece las restricciones de acceso a los recursos en función de un horario o
calendario, o desde ciertas ubicaciones.
• Control de acceso interno. Contraseñas, métodos aceptables de cifrado, listas de control de acceso,
etc.
• Control de acceso externo. Paso por cortafuegos, pasarelas de comunicaciones, creación de túneles,
etc.
• Administración. Recursos Humanos, definición de los puestos laborales, organización del personal,
etc.

2.3. Niveles de seguridad para sistemas operativos

El estándar de niveles de seguridad para sistemas operativos originario se describe en el TCSEC Orange Book
(Trusted Computer Security Evaluation Criteria), desarrollado en 1985 de acuero con las normas de seguridad
para ordenadores del Departamento de Defensa de los Estados Unidos.
El estándar define varios niveles y subniveles de seguridad, cada uno de los cuales incluye a todos los
anteriores.

8
Estos niveles de seguridad han sido la base de desarrollo para otros estándares europeos como el
ITSEC/ITSEM y los internacionales propuestos por la ISO/IEC. Define 10 clases de funcionalidades de las que
5 son equivalentes a las de TCSEC. Las otras 5 funcionalidades están orientadas a aplicaciones en vez de a
sistemas operativos.
El tercer tipo de estándar, mucho más actual y de mayor interés para los fabricantes es el Comman Criteria.
Este estándar, creado en 1996, establece criterios comunes para Europa y Estados Unidos como una iniciativa
común para armonizar TCSEC e ITSEC. La versión actual es la 3.1
Se puede conseguir información complementaria en la web de Common Criteria en la dirección
https://www.commoncriteriaportal.org/

2.4. Análisis forense

Desgraciadamente, no siempre las medidas tomadas para contrarrestar las amenazas son totalmente
eficaces.
El análisis forense es el encargado de rastrear en el sistema comprometido toda la información posible sobre
el ataque de modo que se pueda diseñar una contramedida apropiada para evitarlo en el futuro o para
determinar el agente que perpetró el ataque, así como evaluar los daños sufridos.

9
Actividades
1. Sobre una instalación de sistemas informáticos en red, por ejemplo, la del aula, describe qué medidas
de seguridad física y ambiental están tomadas y qué otras se podrían tomar para mejorar la seguridad.
2. Repite el ejercicio anterior sustituyendo los elementos de seguridad física por elementos de seguridad
lógica.
3. ¿Cuáles son las cuatro fases de un análisis de investigación forense? ¿Podrías poner ejemplos de
actividades específicas de cada una de las fases?

3. Copias de seguridad
La copia de seguridad es el procedimiento más inútil mientras todo funciona bien, pero el que más se echa
de menos en caso de problemas. No basta con hacer copias de seguridad de los sistemas, además, hay que
comprobar que están bien realizadas y que se hacen las que se deben y no otras.
Junto a la información salvada se asocian a cada copia de seguridad un conjunto de parámetros, los más
habituales son:

• Ficheros, directorios o discos de origen que se pretendes salvar.

• Lugar de destino de la información salvada.
• Tipo de backup: completo, diferencial, incremental, etc.
• Programación automática del backup.
• Otros parámetros, frecuentemente dependientes del fabricante del sistema de backup.

10
4. DIRECCIONES DE INTERÉS
INTECO - Instituto Nacional de Tecnologías de la Comunicación:

• www.inteco.es
Blog y repositorio de blogs de seguridad informática de INTECO:
• http://www.inteco.es/blog/Seguridad/Observatorio/BlogSeguridad
Hispasec Sistemas: Seguridad y Tecnologías de información. Noticias diarias y resúmenes anuales de noticias
de actualidad sobre seguridad informática:
• www.hispasec.com
Informes sobre vulnerabilidades en aplicaciones y sistemas operativos, se puede buscar información sobre
las versiones de los productos de distintos fabricantes, e incluso descargar exploits de verificación.
• www.securityfocus.com
Guía completa de seguridad informática
• http://www.rediris.es/cert/doc/unixsec/unixsec.html
Web de seguridad informática de la empresa de tecnologías de información (IT) IDG.

• www.idg.es
Blog de seguridad informática de la empresa Trend Micro con noticias actuales:

• http://blog.trendmicro.es
Portal de ISO 27001 en español:
• www.iso27000.es
Blog sobre auditoría y seguridad informática ISO 27001:
• http://sgsi-iso27001.blogspot.com
Sitio web sobre seguridad informática de GNU/Linux, de Criptonomicón, un servicio ofrecido libremente
desde el Instituto de Física Aplicada del CSIC:
• http://www.iec.csic.es/CRIPTonOMICon/linux/
Blog de la empresa de máxima seguridad S21SEC

• http://blog.s21sec.com/
Blogs sobre seguridad informática. Para estar a la última en novedades sobre vulnerabilidades y ataques.
• http://www.opensecurity.es/
• http://www.bloginformatico.com/etiqueta/seguridad-informatica
Blog de análisis de aplicaciones de seguridad informática:

11
 • http://lestathijackthis.wordpress.com/
TESIS completa sobre Seguridad informática.
• http://www.segu-info.com.ar/tesis/
Rootkit Hunter: Analizador de rootkit para sistemas GNU/Linux:
• www.rootkit.nl/
VirusTotal: analizador online de archivos potencialmente malware:
• www.virustotal.com
NESSUS: Aplicación que detecta vulnerabilidades tanto para sistemas y aplicaciones de Windows como
GNU/Linux. En su última versión Nessus4, funciona como servidor web.
• www.nessus.org
Microsoft Baseline Security Analyzer (MBSA): analizador del el estado de seguridad según las
recomendaciones de seguridad de Microsoft, ofrece orientación de soluciones específicas. Sirve para detectar
los errores más comunes de configuración de seguridad y actualizaciones de seguridad que falten.
• http://technet.microsoft.com/es-es/security/cc184924
NMAP: programa de código abierto que sirve para efectuar rastreo de puertos.
• http://www.insecure.org/nmap/
Microsoft Update: para ver las últimas actualizaciones del sistema operativo Windows en caso de tenerlo
instalado en nuestro equipo. Podremos hacerlo entrando con Internet Explorer 5 o superior en:
• http://www.update.microsoft.com/
Comprueba el estado de actualización de tus aplicaciones, con un análisis desde la web de Secunia y su
inspector online:
• http://secunia.com/vulnerability_scanning/online/?lang=es
Analizador del nivel de fortaleza en tus contraseñas:
• http://www.microsoft.com/latam/protect/yourself/password/checker.mspx
Mantenerse siempre informado y al día es la primera y mejor recomendación en materia de seguridad
informática.
Origen y evolución del eFraude
• http://www.securitybydefault.com/2010/01/origen-y-evolucion-del-efraude.html
Los peligros más comunes para los usuarios de Internet los encontramos en las denominadas redes sociales,
ya que son actualmente de las webs más usadas. Para ello se propone analizar la siguiente noticia “Cinco
nuevas estafas en Facebook y Twitter”.

12
• Fuente: http://www.csospain.es/Cinco-nuevas-estafas-en-Facebook-y-Twitter/seccion-
alertas/articulo-196360

13