Tema 1

Aspectos avanzados sobre redes en
entornos móviles y virtualizados

[1.1] ¿Cómo estudiar este tema?
[1.2] Seguridad en redes inalámbricas
[1.3] Ataques contra redes inalámbricas
[1.4] Redes en entornos virtuales
[1.5] Amenazas en las capas virtuales
1
TEMA
Esquema
TEMA 1 – Esquema
Aspectos avanzados sobre redes en entornos móviles y virtualizados
Redes inalám bricas Virtualización

No utilizan un medio físico para la comunicación y por ello Se crea una capa de abstracción nueva entre el hardware y
son más v ulnerables el sistema operativo. Esta capa introduce v ulnerabilidades
Vulnerabilidades NFC
2
Dependen del tipo de red Vulnerabilidades
Bluetooth Modelo en capas
inalámbrica
WiFi
WiMax Hiperv isor

Modelo de capas
Máquinas v irtuales
GSM / LTE Almacenamiento
Usuario
Aplicaciones
Iridium
Sistema operativo
Hardw are
© Universidad Internacional de La Rioja (UNIR)

Seguridad en Entornos Móviles y Virtualización
Ideas clave
1.1. ¿Cómo estudiar este tema?
Para estudiar este tema lee las Ideas clave que encontrarás a continuación.
En el siguiente tema veremos los siguientes aspectos e ideas:
» Las redes inalámbricas, al no disponer de medio físico son especialmente vulnerables.

» Existen varias tipologías de redes inalámbricas diferentes con distintos usos y por
tanto se producen ataques diferentes en cada una de ellas.
» Los dispositivos móviles son auténticos ordenadores. Dicha complejidad da lugar a
gran número de vulnerabilidades.
» En los dispositivos móviles almacenamos gran cantidad de información personal
siendo por tanto objetivos muy codiciados para los atacantes.
» Para estudiar los ataques a los dispositivos móviles estableceremos una estructura de
capas conceptuales.
» La virtualización no es algo nuevo, pero sí es en los últimos años cuando se ha
desarrollado ampliamente esta tecnología de modo que en la actualidad es de uso
frecuente para la provisión de servicios tecnológicos
» El que en una sola máquina física puedan coexistir varias máquinas virtuales,
presenta nuevos retos de seguridad a tener en cuenta.
» Para poder caracterizar los ataques y amenazas a las redes virtuales trabajaremos con
una estructura de capas y veremos el impacto sobre la seguridad en los diferentes
niveles.
1.2. Seguridad en redes inalámbricas
Las redes inalámbricas son aquellas que no utilizan un medio físico para la transferencia
de información, sino que lo hacen a través del aire habitualmente mediante ondas
electromagnéticas. En este sentido, al no existir un medio físico al que se deba tener
acceso para interferir la comunicación, son mucho más vulnerables y por tanto se ha de
esmerar la protección sobre las mismas.
TEMA 1 – Ideas clave 3 © Universidad Internacional de La Rioja (UNIR)

Existen muchos sistemas diferentes de comunicación inalámbrica dependiendo de la

frecuencia de la señal, protocolos, etc. siendo los más comunes en la actualidad
(comunicación inalámbrica digital) los siguientes:
» NFC: es el acrónimo de Near Field Communications o comunicaciones en campo

cercano. Es una tecnología especialmente diseñada para comunicaciones a muy corta
distancia. Su origen está en las comunicaciones RFID o de identificación por
radiofrecuencia y su principal característica es que al ser de muy corta distancia
requieren bajos niveles de potencia. De este modo sus principales usos vienen dados
por estas características de baja potencia y proximidad. El emisor puede ser un
dispositivo pequeño y barato como una tarjeta o una etiqueta y sus aplicaciones van
desde el control de stock o robos mediante la detección de dichos emisores hasta los
más recientes de pagos electrónicos seguros mediante tarjetas contactless en las que
basta con acercar la tarjeta al lector para que la operación se procese.
» Bluetooth: es un estándar para las denominadas WPAM o redes inalámbricas de

área personal. Normalmente se utilizan para comunicar todos los dispositivos móviles
de una persona o evitar cables entre los diferentes dispositivos (ordenador con
teclados, etc.). También es muy utilizado para la transmisión tanto de voz como de
música tanto con dispositivos manos libres como con dispositivos de amplificación de
sonido. Existen diferentes versiones con mayores velocidades de transmisión y
distancias de alcance y actualmente son muy utilizados en la sincronización tanto de
ordenadores como de terminales móviles con todo tipo de aparatos (aparatos de
medida, relojes, sensores de todo tipo, etc.).
» WiFi: Es el estándar más utilizado para la comunicación entre dispositivos digitales

tales como ordenadores, televisores inteligentes, etc. En la actualidad el modo
habitual de trabajo es que todos los equipos se conecten vía WiFi a un punto de acceso
único que provee de conexión a otras redes de mayor tamaño (redes LAN o WAN), de
manera particular proporcionando conexión a Internet. La tecnología WiFi ha ido
tomando gran importancia con el crecimiento de Internet y ello hace que existan gran
cantidad de puntos de acceso público donde se proporciona un servicio (gratuito o de
pago) de conexión. La principal limitación de WiFi es su distancia de alcance de unas
pocas decenas de metros y que además se ve notablemente reducido por la saturación.

» WiMax: (Wordwide Interoperability for Microwave Access es una tecnología de

microondas para obtener coberturas a larga distancia (hasta 50Km.) utilizada para
solventar los problemas de alcance de la tecnología WiFi y con importante presencia
para el desarrollo de las comunicaciones en zonas rurales donde el coste de redes
cableadas no es asumible.
» Comunicación GSM/LTE: la tecnología GSM (Global System for Mobile

communications) nace como un sistema de comunicación telefónica digital.
Inicialmente fue desarrollado para comunicaciones de voz y cada vez fue tomando
más importancia la comunicación de datos. Para ello se definieron diferentes
estándares cada uno de ellos permitiendo velocidades superiores. Posteriormente
nace otra tecnología diferente denominada LTE (long term evolution) que permite
transmisión a más altas velocidades y servicios de valor digitales como voz sobre IP,
streamming, etc.
» Iridium: es un sistema de comunicación vía satélite muy poco extendido por su alto
coste. Permite comunicación con terminales especiales desde cualquier parte del
mundo.
Tecnología Frecuencia Velocidad Distancia Estándar

NFC 13,56 MHz. 106 a 848 Kbps. <10cm. ISO 14443
ISO 18092
Bluetooth 2,4 GHz. 1 a 32 Mbps. 1 a 10 m (hasta IEEE 802.15
100 m en clase
3).
WiFi 2,4 GHz. 11 a 300 Mbps. <50 m. IEEE 802.11
WiMax 2,5 a 5,8 GHz. Hasta 75 Mbps. <50 Km IEEE 802.16
GSM/LTE 900 y 1800 2G: 9,6Kbps. Hasta 20 Km. GSM
MHz. GPRS (2,5G): 80Kbps. entre LTE.
EDGE (2,75G): 236 estaciones
Kbps. base.
UMTS (3G): 384 Kbps.
HSDPA (3,5G):
7,2 Mbps.
HSPA+ (3,75G): 22
Mbps.
4G-LTE: 75Mbps.
Iridium 1,6 GHz. Hasta 128 Kbps. Global (toda la Tecnología
tierra). propietaria.
Tabla 1. Principales tecnologías de comunicación inalámbrica.
Como podemos ver con todo este abanico de tecnologías, hablar de seguridad en redes
inalámbricas no es algo genérico, sino que dependerá del tipo de red, tipo de
comunicaciones, dispositivos, etc.

Intentaremos no obstante dar una idea general sobre las diferentes problemáticas que de
manera global todas las tecnologías inalámbricas presentan y nos centraremos de
manera específica en la tecnología WiFi por ser la más extendida y la que mayores
problemas de seguridad plantea.
Los entornos móviles
Entendemos como entornos móviles aquellos dispositivos especialmente destinados a

hacer uso de las comunicaciones inalámbricas de manera ubicua, esto es, pequeños
dispositivos que pueden ser transportados y utilizados en cualquier lugar o incluso en
movimiento.
Los dispositivos móviles han ido ganando importancia en los últimos años adquiriendo
cada vez mayor potencia y funcionalidad, siendo las siguientes sus principales
características:
» Procesadores de altas prestaciones con sistemas operativos complejos. A

mayor complejidad de sistemas operativos más problemas de vulnerabilidades y
seguridad en general. Estos sistemas operativos proporcionan además un entorno de
desarrollo de aplicaciones (SDK) sencillo y potente de cara a los desarrolladores,
incentivando además su uso a través de un sistema de mercado de aplicaciones (Play
Store, App Store) que permite remunerar a los desarrolladores facilitando las
transacciones comerciales.
» Gran capacidad de almacenamiento, especialmente datos personales y

confidenciales, no siempre debidamente protegidos.
» Sensores que almacenan datos del comportamiento de la persona (posición,

movimiento, etc.), que pueden ser muy útiles para estrategias de mercado de
diferentes empresas, hackers, etc.
Por todo ello, los dispositivos móviles son especialmente sensibles a los ataques y se
debe cuidar el tema de la seguridad sobre los mismos de manera detallada. Para
ello y habida cuenta que es muy diferente la seguridad a nivel de red que de sistema
operativo o de usuario, para los dispositivos inalámbricos se define un modelo de
seguridad en capas donde se diferencia en cada una de estas capas los diferentes ataques

que se pueden sufrir y vulnerabilidades de cada una de ellas, así como los mecanismos
de control de los mismos.
Definiremos por tanto el siguiente modelo de capas:
Figura 1. Capas conceptuales para el estudio de la seguridad en dispositivos móviles.
1.3. Ataques contra redes inalámbricas
Para el estudio de los diferentes ataques contra redes inalámbricas y dispositivos móviles
nos basaremos en el esquema conceptual anterior, estudiando la casuística específica
para cada capa:
Capa de hardware y comunicaciones
Debido a la especial característica de las redes inalámbricas de la no presencia de un

medio físico, es más fácil que estas puedan ser atacadas. Existen varios tipos diferentes
de ataques según dónde se produzcan y los efectos que causen, a saber:
» Suplantación de identidad: uno de los métodos más evidentes de alterar una

comunicación con objetivo de robar información o acceder a los recursos de una de
las partes es la suplantación de la identidad de uno de los extremos de la
comunicación. En este caso un tercero intenta realizar dicha suplantación o
masquerading para lo cual tendrá que convencer al otro extremo de que es quien dice.

Para evitar o al menos dificultar esta labor, se establecen los mecanismos de

autenticación. Cuanto más fuertes sean dichos mecanismos, mayor será la dificultad
de la suplantación.
» Interceptar la comunicación: otro modo de atacar una comunicación sin hacerlo

suplantando origen ni destino es interceptar la comunicación en sí obteniendo
información de la misma sin ser ninguna de las partes. En este caso no se realiza
ningún tipo de modificación en la misma ya que la idea es precisamente ser
transparente a la misma para, si es posible, no ser detectado. Este tipo de ataque se
conoce como eavesdropping. En ocasiones, cuando origen y destino utilizan
mecanismos de autenticación para evitar masquerading, el atacante suele realizar un
primer paso interceptando la comunicación para intentar, escuchando la misma,
hacerse con información que le permita burlar la autenticación y por tanto suplantar
uno de los extremos.
» Contra la calidad del servicio (QOS): existe otro tipo de ataque que no intenta
adquirir información de la comunicación sino simplemente impedir la misma. Esto se
hace mediante ataques a la calidad del servicio, en especial mediante los denominados
ataques de denegación de servicio (DoS). Estos ataques son muy típicos tanto en
comunicaciones inalámbricas como cableadas, aunque en los casos de comunicación
inalámbrica existen sistemas específicos de DoS que lo que hacen en incluir ruido en
el espectro de modo que enmascare la potencia de la comunicación impidiendo la
misma o incluso emitiendo en la misma frecuencia una señal de mayor potencia (es lo
que se denomina jamming). Otro modo típico es el de realizar gran número de
peticiones de comunicación a uno de los extremos, de modo que este acaba saturado
al no poder cursar todas a la vez y no permite o retrasa mucho la petición lícita.
» Obtención de la ubicación de la fuente: un sistema de comunicaciones

inalámbricas, por el mero hecho de emitir en una frecuencia dada, está dejando un
rastro de su ubicación. La detección de la ubicación de un dispositivo y por tanto del
propietario del mismo supone un ataque a su libertad de movimiento. Esto se puede
utilizar para conocer sus hábitos de comportamiento o bien para envío de spam de
establecimientos cercanos, etc.

Y según la tipología podemos caracterizar los siguientes tipos de ataques:
» Tecnología NFC: especialmente ataques de suplantación de identidad a través de la

clonación de tarjetas o de denegación de servicio para impedir detección (en sistemas
de alarma antirrobo, por ejemplo). Pero también se ataca directamente el propio
algoritmo. Esta tecnología posee bajos niveles de criptografía, lo cual proporciona una
importante brecha de seguridad como se ha demostrado en varias conferencias donde
se conseguía romper en vivo la seguridad de diversos sistemas NFC. Dicha
vulnerabilidad se ha conseguido explotar hasta con teléfonos móviles con NFC con lo
que es evidente el bajo coste del ataque. Llevado al extremo, existen páginas web
donde nos permiten comprar kits para implantarnos un dispositivo NFC y realizar
ataques de biohacking.
Figura 2. Dispositivos de biohacking.
» Tecnología bluetooth: especialmente con la llegada del Internet de las Cosas (IOT)
Bluetooth está recibiendo numerosos ataques de todo tipo con destino a hackear o
intervenir estos dispositivos satélites del ordenador o el teléfono móvil. Además de
casos de interceptar la comunicación para por ejemplo escuchar la conversación a
través de un manos libres, el alterar diversos actuadores o medidores que envían o
reciben señal a través de bluetooth u otros protocolos inalámbricos de corta distancia
para actuar sobre dispositivos es una de las grandes preocupaciones de este nuevo
paradigma de comunicación. Cada día son más comunes las pulseras cuantificadoras,
smartwatches y otros muchos dispositivos de medida que controlamos a través de
bluetooth dentro de la nueva tendencia de los wearables. Estas comunicaciones aún
no están estandarizadas y no existen frameworks robustos de seguridad.

Los tres tipos de ataques a dispositivos bluetooth más frecuentes son:
o Bluejacking: se trata de localizar un dispositivo en nuestro radio de alcance y

enviar spam al mismo, bien sea mediante la compartición de archivos, vcards, etc.
o bien mediante el propio mensaje de la solicitud de enlace al terminal. Este tipo
de ataques provocan también la denegación de servicio si se realizan de manera
masiva y automatizada, existiendo herramientas para dicha labor. Es el ataque
menos dañino no por ello menos molesto.
o Bluesnarfing: se aprovechan las vulnerabilidades de las distintas versiones del
propio protocolo para robar información. El caso más típico es el robo de la lista
de contactos.
o Bluebugging: se aprovechan bugs en la autenticación del sistema para poder
acceder a la opción de depuración que permite, mediante comandos específicos,
controlar totalmente la comunicación y todas las opciones posibles mediante
bluetooth.
» Tecnología WiFi: la tecnología WiFi es sin duda la tecnología inalámbrica más

atacada debido especialmente a lo atractivo de la recompensa que normalmente se
obtiene: el acceso a Internet o a otros computadores o teléfonos móviles y la relativa
sencillez para realizarlo (mucho más al principio donde había gran cantidad de redes
desprotegidas). Los ataques más típicos son:
o Suplantación de punto de acceso: una máquina se hace pasar por el punto de acceso
de modo que el cliente comparte la información de acceso de la red verdadera con
este AP falso. Luego basta que este vuelva a redirigir el tráfico al AP original para
que dicho ataque no se detecte.
o ARP Poisoning: son técnicas que se utilizan para interceptar la comunicación
mediante el sistema de «man in the middle». Se utiliza el protocolo de resolución
de direcciones (ARP) para confundir a origen y destino y poder interceptar los
mensajes.
o Uso de sniffers: intercepto paquetes de comunicación intentando descubrir el
mecanismo de autenticación.
o MAC Spoofing: determinadas redes WiFi se configuran para autorizar a los
equipos a través de la dirección MAC de las tarjetas WiFi. Este mecanismo consiste
en clonar una de las MAC autorizadas.
o Escaneo de WLAN: no es un ataque en sí, sino un paso previo que permite
descubrir redes y protocolos de seguridad de las mismas.

Lo que intentan todos estos mecanismos es el introducirnos en una red privada

(LAN) para obtener acceso a los equipos de la misma o a Internet o bien el
establecer una trampa con la propia máquina del atacante de modo que, con la
promesa de acceso gratuito a Internet, otros usuarios se unen a su red dejando
vulnerables sus datos.
» Tecnología WiMax: la tecnología Wimax se ataca de modo similar al WiFi sobre

todo para obtener acceso a servicios de Internet, si bien al ser una tecnología mucho
menos común los proveedores pueden controlar mejor los accesos. En este caso la
mayoría de los ataques van dirigidos a la denegación de servicio mediante diversas
técnicas:
o Jamming: o generación de ruido.
o Scrambling: similar a jamming pero más breve y dirigido a un tipo determinado
de tramas.
o Water torture: se envían tramas que no pueden ser procesadas por las
estaciones y causan saturación en la capacidad de computación de las mismas.
o Réplica de tramas: donde se envían tramas replicadas de modo que WiMax no
dispone de capacidad para su detección y descarte.
o Comando RES-CMD: es un comando que se envía para reinicializar la estación
cuando no responde adecuadamente.
» Tecnología GSM/LTE: las redes GSM y LTE son redes con potentes algoritmos de
protección que, si bien no son invulnerables, es muy difícil atacarlas para lo que es
necesario tener equipos específicos complejos y altos conocimientos (por ejemplo,
técnicas de suplantación de la estación base), ya que este tipo de redes entran a formar
parte de las infraestructuras críticas de los países. La intervención de comunicaciones,
posicionamiento, etc. suele pasar a través de solicitar acceso a una operadora.
Los dispositivos móviles permiten en la mayoría de los casos desactivar los diferentes
modos de comunicación. Es una buena costumbre desactivar aquellos que no se vayan a
utilizar en el momento para sí prever ataques del tipo anterior.

Capa de sistema operativo
Los sistemas operativos para entornos móviles son cada vez más similares a los de un
ordenador personal a nivel de complejidad y por tanto tan vulnerables a ataques diversos
como estos.
Los sistemas operativos móviles de mayor implantación actualmente son:
» Android: es el sistema operativo de código abierto realizado por Google con el que
funcionan la mayoría de los terminales móviles.
» iOS: es el sistema operativo de Apple para su iPhone e iPad.
» Windows Mobile: es el sistema operativo de Microsoft con escasa implantación en
el mercado.
Figura 3. Implantación de sistemas operativos móviles en el mundo. Fuente: statcounter.com
El estudio de los ataques a nivel de sistema operativo en terminales móviles hoy en día
nos lleva a situaciones análogas a los sistemas operativos de escritorio. Siendo los
principales riesgos:
» Vulnerabilidades de día cero: se refieren a aquellos agujeros de seguridad del

sistema operativo que aún no han sido corregidos por la empresa proveedora del
mismo. Cuando se descubre una vulnerabilidad del sistema operativo, la empresa
proveedora se dedica a desarrollar un parche que permita solventar dicha amenaza.
El tiempo que transcurre entre que se descubre el agujero de seguridad y la instalación
de dicho parche el sistema es vulnerable y puede ser atacado. La mayoría de las

vulnerabilidades se refieren a problemas en el aislamiento de los recursos. Es

importante para ello mantener los dispositivos actualizados.
» Versión de sistema operativo comprometida: en el caso de Android, al ser un

sistema abierto, existen por Internet diferentes versiones retocadas por los propios
usuarios programadores, unas con idea de mejorar y otras destinadas a instalar
caballos de Troya o cualquier otra amenaza. Es muy importante como siempre evaluar
cuidadosamente la fuente del mismo.
Los sistemas operativos, para intentar aislar los distintos procesos unos de otros, utilizan
técnicas como ejecutar cada uno en un contenedor aislado donde se asignan recursos a
dicho contenedor de manera específica de modo que no puedan interferir con los
recursos de otros procesos. Esto es lo que se denomina técnicas de sandbox o caja de
arena, donde cada aplicación se ejecuta en su propia sandbox. En Android esto se traduce
en que las aplicaciones corren sobre máquinas virtuales. Actualmente Android utiliza la
máquina virtual ART.
Además, se usa sistema de protección mediante usuarios y perfiles de seguridad.
Capa de aplicaciones
La capa de aplicaciones es uno de los puntos con mayor vulnerabilidad dentro de los
terminales móviles.
Como hemos comentado anteriormente existe un potente mercado de aplicaciones

donde un usuario puede descargar las mismas a cambio de una compensación económica
hacia el programador. En otras ocasiones se usan otras técnicas de recaudación
económica como el freemium donde se permite la descarga y uso gratuito de la aplicación
si bien el usuario podrá optar por pagar pequeñas cantidades de dinero para obtener un
mayor valor añadido de las mismas, desbloquear opciones, obtener ventajas en juegos,
etc.
Comoquiera que existen aplicaciones de pago, existen mecanismos para poder instalar
las mismas fuera del método habitual, esto es, a través del propio mercado, ya sea
directamente o bien mediante mercados paralelos. Estos mercados paralelos, no
«filtran» en ningún caso la procedencia de las aplicaciones y su calidad por lo que
podemos instalar apps inseguras o directamente dañinas.

Estas aplicaciones podrán acceder a los diferentes recursos de nuestro sistema de modo
que podrán obtener toda la información relevante que poseamos, desde nuestros
contactos, posición, pasando por información financiera o de tarjetas de crédito,
fotografías, acceso a la cámara, al teléfono, etc. Es evidente el riesgo que este tipo de
ataques conllevan.
Figuras 4 y 5. Gestión de permisos en iOS y Android.
En otras ocasiones, los desarrolladores reutilizan librerías externas o código de terceros

para diseñar sus propias apps y de manera inconsciente también están incluyendo de ese
modo algún tipo de malware dentro de sus propios programas.
Para hacernos conscientes de los recursos a los que accede cada app, los sistemas
operativos nos indican a qué recursos está accediendo cada app y se nos pide permiso a
tal fin.

Ramsomware GrandCrab
Figura 6 Ramsomware GrandCrab Screen. Fuente: https://www.soscanhelp.com/blog/how-does-

ransomware-work
Reportado por primera vez en enero de 2018, este tipo de ransomware solo ha ganado
notoriedad desde entonces. El GandCrab ataca a personas en lugar de a empresas, y
emplea principalmente tácticas de phishing para encontrar a sus víctimas.
Los creadores de GandCrab han continuado siendo una amenaza al actualizar

constantemente su código y adaptarse a los desarrollos de seguridad.
En el caso de aplicaciones no deseadas, podemos encontrar los tipos habituales de

malware de cualquier sistema operativo de escritorio:
» Virus.
» Troyanos.
» Keyloggers.
» Backdoors.
» Gusanos.
» Secuestradores de navegador.
» Dialers: muy habituales en dispositivos móviles ya que siempre está en estos
presentes la capacidad de llamar telefónicamente y por tanto de acceso a servicios de
tarificación especial.

El malware sobre dispositivos móviles crece exponencialmente, especialmente en

entornos Android, que suponen el 99,87 % del total de malware desarrollado para
dispositivos móviles.
Figura 7. Malware desarrollado para Android.
Los objetivos principales del malware para Android son el phising, los SMS (para
suscripción a plataforma de pago), las aplicaciones bancarias y la posibilidad de
descargar malware adicional más peligroso.
Para impedir la instalación de software malicioso, los sistemas operativos móviles usan
dos mecanismos principales:
» La protección del superusuario: dentro de los perfiles con los que se pueden ejecutar
las diferentes aplicaciones, el supe usuario está deshabilitado por defecto de modo
que desde las apps no se tiene acceso a las características más peligrosas del sistema.
» La protección para la instalación de programas de fuentes desconocidas: los sistemas

operativos no dejan instalar por defecto apps de fuentes no confiables. Esta opción es
fácilmente desactivable a través de las propias opciones del sistema.
Un caso especial de ataques de aplicaciones es aquellas que se pueden realizar a través

del propio navegador web y por tanto a través de la navegación por Internet pudiendo
encontrar los habituales en equipos de escritorio como el secuestro de navegador para
envío de spam o phishing para la captura de datos privados a través de páginas clon.
Otro ataque típico es el clickjacking mediante el cual el usuario no tiene más remedio
que pulsar en un enlace determinado o visitar una página web contra su voluntad ya sea

mediante engaño o dificultando la navegación. Los propios navegadores web cada vez
poseen mayores sistemas de control para evitar este tipo de ataques.
Pero no todo en el campo de las aplicaciones es negativo. Existen gran cantidad de ellas
que nos permiten aumentar la seguridad de nuestro dispositivo, desde sistemas de
autenticación más fuerte pasando por filtros antispam o programas antivirus que nos
ayudarán en la labor de securizar nuestro terminal ante aplicaciones con
comportamientos no deseados.
La sencillez de los SDK muchas veces permite que desarrolladores con poca experiencia
trabajen en nuevas apps sin realizar su labor con todas las garantías de seguridad. Es
importante utilizar las herramientas de seguridad que el SDK proporciona y seguir las
guías de codificación segura que se proporcionan. Además, si subimos las apps al market
oficial, estas serán auditadas a nivel de seguridad para garantizar la tranquilidad del
posible usuario final.
Como ejemplo de la peligrosidad del malware en dispositivos móviles, vamos a ver el

troyano SpyNote, un troyano tipo RAT (remote administration tool) que permite el
control remoto del dispositivo.
Es un troyano especialmente peligroso que permite:
» Acceder a micro (escuchar) y cámara (ver) del dispositivo.

» Descargar e instalar aplicaciones de manera remota.
» Acceder a toda la lista contactos del dispositivo.
» Escuchar y realizar llamadas, así como acceder a los SMS.
» Acceder a la ubicación GPS.
» Autoactualizarse.
» Acceder a datos sensibles del hardware tales como el IMEI y la dirección MAC de la
WiFi.
Además, todo esto lo puede realizar sin permisos de administrador (root). Otros troyanos
similares necesitan que el dispositivo esté rooteado (tenga acceso root) o realizar dicho
acceso ellos mismos (lo cual no siempre es trivial dependiendo del dispositivo en
cuestión) pero en este caso nada de eso es necesario ya que no necesita perfiles especiales.

Este formato RAT lo que supone además es que no solo consiste en un malware que ataca
dirigido por un grupo más o menos reducido de hackers, sino que es distribuido a través
de la Deep web como un compilador para que quien quiera pueda realizar su propia
versión de SpyNote, difundirla y canalizar la información hurtada hacia su propio
servidor.
Se habla incluso del concepto MaaS (Malware as a Service) donde este tipo de
herramientas pueden ofrecerse como un servicio de pago.
Los 10 riesgos top de OWASP Mobile
Figura 8. Owasp Mobile Top 10. Fuente: www.appsealing.com/owasp-mobile-top-10-a-comprehensive-

guide-for-mobiledevelopers-to-counter-risks/
Con el crecimiento exponencial en el uso de aplicaciones móviles y los consumidores que

encuentran más conveniencia y facilidad de uso para diferentes actividades, las
vulnerabilidades asociadas con las aplicaciones móviles también han aumentado.
OWASP Mobile Top 10 es una de esas listas, que destaca las fallas de seguridad y las
vulnerabilidades de las que los desarrolladores deben proteger sus aplicaciones.
¿Por qué aplicaciones móviles seguras?
A primera vista, los dispositivos móviles y las aplicaciones pueden parecer seguros, ya
que están respaldados por marcas globales establecidas. Sin embargo, la realidad es
mucho menos segura.

En noviembre de 2019, la empresa de seguridad móvil NowSecure probó 250

aplicaciones populares de Android y descubrió que alrededor del 70 % de las
aplicaciones filtraban datos personales confidenciales.
El estudio de fraude de identidad de 2019 realizado por Javelin Strategy & Research
encontró que casi 14,4 millones de personas se convirtieron en víctimas de robos de
identidad en los EE. UU. Gran parte de ellos se produjeron a través de cuentas de
teléfonos móviles comprometidas.
¿Qué es OWASP?
Fundado en 2001, el Open Web Application Security Project (OWASP) es una

comunidad de desarrolladores que crea metodologías, documentación, herramientas
y tecnologías en el campo de la seguridad de aplicaciones web y móviles. Sus listas de
los diez principales riesgos son recursos que se actualizan constantemente y que
tienen como objetivo crear conciencia sobre las amenazas de seguridad emergentes
para las aplicaciones web y móviles en la comunidad de desarrolladores.
¿Qué es OWASP Mobile Top 10?
OWASP Mobile Top 10 es una lista que identifica los tipos de riesgos de seguridad que
enfrentan las aplicaciones móviles a nivel mundial. Esta lista, que se actualizó por
última vez en 2016, es una guía de actuación para que los desarrolladores creen
aplicaciones seguras e incorporen las mejores prácticas de codificación. Con casi el
85 %de las aplicaciones probadas por NowSecure que se ven afectadas por al menos
uno de los diez riesgos principales de OWASP, es esencial que los desarrolladores
comprendan cada uno de ellos y adopten prácticas de codificación que anulen su
aparición en la medida de lo posible.
Capa de usuario
El acceso físico al propio dispositivo es otra manera de acceder a la información del

mismo: no hemos de olvidar que se trata de terminales móviles de pequeño tamaño muy
sencillos de perder o sustraer. En este sentido distinguimos dos tipos de acceso diferente:
» Acceso a los datos a través del propio sistema operativo, a los programas y a los
recursos del mismo: para evitar este tipo de acceso los terminales móviles poseen un

sistema de autenticación de usuario con diferentes niveles de seguridad. Además, los

dispositivos más recientes se han dotado de sistemas de reconocimiento biométrico,
usualmente mediante huella dactilar.
» Acceso a través de la conexión del mismo a un PC o la extracción de la tarjeta de
memoria: para evitar este tipo de acceso los sistemas operativos tienen la capacidad
de encriptar los datos almacenados en memoria si así se encuentran configurados.
La gravedad del ataque dependerá de varios factores:
» Si el dispositivo está encendido o no: si el dispositivo no está encendido, el atacante

tendrá normalmente que introducir el código PIN del teléfono como primera medida
de bloqueo. Una vez encendido, si lo ha usado recientemente puede que el terminal
aún no se encuentre bloqueado.
» Del tiempo que el atacante puede acceder al terminal.
Además de acceso a la información, también se pueden producir otros tipos de ataque

como:
» Borrado de información.
» Uso del dispositivo y suplantación de la identidad del propietario.
» Instalación de código malicioso.
El borrado de la información personal es un punto especialmente delicado. El único

modo de combatir este tipo de ataques de manera fiable es mediante la elaboración de
copias de seguridad periódicas o bien mecanismo de sincronización de datos valiosos con
algún servicio de la nube.
Los sistemas operativos más modernos, así como diversas aplicaciones de seguridad,
permiten también controlar el terminal remotamente para que la información pueda ser
borrada o el terminal localizado una vez sustraído.
Pero el principal peligro en los terminales móviles es el propio usuario. No debemos

nunca menospreciar la ingeniería social y lo que ello supone. Los terminales móviles
tienen una gran capacidad de viralización y en ellos solemos compartir información de
manera indiscriminada y sin demasiados filtros y del mismo modo abrimos archivos o
pinchamos en links que nos ofrecen fuentes supuestamente seguras. Y no solo eso, sino
que de nuevo volvemos a compartirlos con nuestros contactos aumentando así sus

efectos perjudiciales. Hemos de ser críticos y analíticos con la información que recibimos
y difundimos, aunque se trate de simples chistes o comentarios en nuestros momentos
de ocio.
Qué es la ingeniería social
En términos simples, la ingeniería social se basa en el engaño a una víctima para que
haga clic en un enlace o descargue un archivo que luego permite a un pirata informático
robar información personal o piratear una cuenta.
Un pirata informático puede obtener acceso a la red de una víctima a través de muchas
otras vías, ya sea descubriendo contraseñas débiles o encontrando brechas de seguridad
en su red.
Figura 9. Escenario de ataque de ingeniería social. Fuente:

https://www.bing.com/images/search?view=detailV2&ccid=Xag9Mo%2F1&id=0FD3C6555CE3BE7D1395
021EA8B47D504BB2E94C&thid=OIP.Xag9Mo_1xi0O
Figura 10. Ciclo de ataque de ingeniería social Kevin Mitnick. Fuente:

https://www.soscanhelp.com/blog/future-social-engineering-trends

Tips para evitar caer en esquemas de ingeniera social
Pausa. Antes de abrir un correo electrónico o hacer clic en un enlace en un sitio web,
examine la fuente y sus intenciones.
En caso de duda, copie y pegue los enlaces. Si ve un enlace de una fuente que parece
poco confiable, cópielo y péguelo en un motor de búsqueda.
Tenga cuidado con las descargas. Si un correo electrónico procedente de una fuente
externa o de un sitio web que le pide que descargue algo, tenga mucho cuidado.
Sea precavido con los mensajes y enlaces que le infundan un sentido de urgencia o
miedo. Cuando tenemos miedo o nos sentimos presionados para tomar una decisión,
no siempre pensamos con claridad. Los piratas informáticos utilizan estos trucos
psicológicos para llevar a cabo ataques de ingeniería social.
El peligro de la ingeniería social: ejemplo práctico
A continuación, vamos a ver de manera práctica como un ataque mediante ingeniería

social puede ser mucho más efectivo y peligroso que otros con un alto grado de
conocimientos técnicos.
En este caso se trata de un sistema que fue utilizado para desbloquear los terminales
iPhone de Apple que han sido previamente sustraídos.
Nada más robar el teléfono, el ladrón lo apaga inmediatamente. Entonces el usuario

intentará recuperar su teléfono mediante el servicio de Apple «Encuentra mi iPhone».
Como se apagó el teléfono, es muy difícil localizarlo de modo que el usuario utilizará la
opción «Perdido» y añadirá un número para llamar. Ahora el ladrón al arrancar el
teléfono móvil recibirá un mensaje en el mismo indicando que el terminal está siendo
buscado y el nuevo teléfono de contacto del propietario. El ladrón apunta el teléfono y
envía un SMS como el siguiente:
«Su dispositivo iPhone 6 ha sido encontrado. Hora 06:34 p.m., para ver su ubicación
ingrese en http://verify.appleicloudlocate.com».
Cuando el propietario lo recibe, rápidamente intentará entrar en la dirección sin darse

cuenta de que esta no es una dirección oficial de Apple, si bien no se dará cuenta de nada
pues le saldrá la pantalla típica para ingresar en su cuenta Apple ID:

Figura 11. Phishing para conseguir las credenciales Apple en un ataque mediante ingeniería social.
En este momento el usuario ya está perdido pues acaba de introducir sus credenciales y
se las ha dado al ladrón, que no solo podrá desbloquear el terminal, sino que tendrá
acceso a toda la información de este incluidas las opciones de pago con lo que la
sustracción del terminal solo será uno de los problemas del propietario.
Otros dispositivos móviles e inalámbricos: seguridad en IoT
Al hablar de Bluetooth hemos avanzado la problemática de la seguridad en el nuevo

paradigma del Internet de las Cosas (IoT). La manipulación de estos dispositivos puede
provocar importantes riesgos. Cabe estudiar determinados ataques, sus implicaciones y
las consideraciones a realizar sobre la seguridad de los mismos.
» Así, por ejemplo, un programador pudo alterar la comunicación con una bomba de
insulina cuya dosis permitía ajustarse de manera inalámbrica y la comunicación no
iba cifrada. Este ajuste puede suponer la muerte del paciente.
» También es posible manipular remotamente los planes de navegación de diversos

tipos de aviones, entre ellos los famosos drones, con el correspondiente peligro para
la población civil.
» Existen armas de fuego como el rifle TP750 que se controlan con un ordenador
mediante señales WiFi. Se ha conseguido burlar su seguridad y acceder a los
parámetros de configuración del bloqueo del arma.
» Los futuros coches autónomos no han nacido y ya han sido víctimas de hackeos
demostrando lo fácil que será manipular la marcha de los mismos.

Vemos con los ejemplos anteriores la importancia de la seguridad en IoT pero ¿cuál es el
estado actual de desarrollo?
El desarrollo de la tecnología IoT dependerá no solo de su calidad tecnológica sino

además del coste de implantación. Uno de los principales objetivos de la industria es
fabricar sensores sencillos, poco complejos tecnológicamente y con un funcionamiento
lo más básico posible lo que permitirá por un lado ahorro de energía y por otro
abaratamiento del coste de los dispositivos.
La última previsión de Gartner habla de 20 400 millones de objetos inteligentes para

2020.
Figura 12. Evolución IOT. Fuente: Gartner.
Existe por otro lado la necesidad de seguridad con un primer requisito claro: el cifrado
de las comunicaciones. El principal problema es que el coste computacional del cifrado
es proporcional a la robustez del mismo. De este modo si queremos sistemas sencillos no
podemos utilizar métodos de cifrado muy pesados. A nivel de IoT se demuestra que la
transmisión de datos tampoco es de gran volumen lo cual facilita nuestra labor. En
particular utilizaremos algoritmos ligeros como PRESENT o TRIVIUM.
En definitiva, son muchos los estudios para la creación de un marco seguro para el IoT
pero los diferentes fabricantes imponen cada uno su propia tecnología con lo que se
antoja difícil conseguir un estándar.

1.4. Redes en entornos virtuales
¿Qué es la virtualización?
La virtualización es la creación de versiones virtuales de dispositivos, equipos y sistemas,

emulando de este modo los recursos habituales de la informática física.
Para lograr esta emulación, es necesario utilizar una capa de abstracción entre los
recursos de hardware del equipo físico (anfitrión) y el sistema virtual. Con la mencionada
capa, es posible generar tantos dispositivos y sistemas como queramos y del tipo que
queramos, en particular cualquiera de los presentes en un entorno sin virtualización,
como por ejemplo, servidores, unidades de almacenamiento, recursos de red y sistemas
operativos.
Podemos definir la virtualización como el efecto de abstraer los recursos de un equipo

informático y aportar acceso lógico a recursos físicos, para crear mediante un
determinado software, una versión virtual de algún tipo de recurso tecnológico.
Aplicación Aplicación Aplicación
Sistemas Sistemas Sistemas

Operativos Operativos Operativos
Máquina Máquina Máquina

Virtual Virtual Virtual
Plataforma de software de infraestructura virtual
Figura 13. Entorno virtual.
El software de virtualización es ejecutado en la maquina física proporcionando un

entorno operativo para diferentes máquinas virtuales, las cuales ejecutan el recurso
abstraído. Entre la máquina virtual (VM) y la maquina física (host), se encuentra el
hipervisor, gestionando la asignación de recursos y comunicación entre las diferentes
máquinas virtuales, posibilitando así que diferentes VM se ejecuten en una única
maquina host.

La virtualización no es un concepto nuevo, de hecho, debemos remontarnos a los años

60 para obtener su origen. De igual modo que la informática tradicional, su contexto se
limitaba a entornos universitarios, militares y compañías privadas dedicadas a
computación, como IBM con sus proyectos M44 y M45. Otro de los proyectos más
destacado fue el denominado «Atlas», desarrollado por la Manchester University y la
compañía local Ferranti Ltd, contando con la colaboración de Christopher Strachey y
proporcionando soluciones de funcionalidad a los problemas de uso masivo en equipos,
los cuales recibían por terminal un exceso de demanda que no eran capaces de soportar
sin una adecuada partición de recursos, y bajo esta necesidad, surgió el concepto de
virtualización, facilitando una eficiente partición de recursos, los cuales podían admitir
diferentes modos de red, soportar migraciones y aplicaciones entre otras instancias.
En años sucesivos la virtualización continúo evolucionando, pasando por la

virtualización del juego de instrucciones, hasta la actualidad con la virtualización de
escritorios y dispositivos móviles. Durante este proceso y dependiendo de las
necesidades, se han tenido en cuenta diferentes factores: eficiencia, rapidez
fiabilidad y robustez, pero la seguridad nunca tuvo una relevancia inicial en su
desarrollo, aunque en la actualidad esta tendencia está cambiando, no podemos
considerar esta tecnología intrínsecamente segura, por lo cual deberemos tener en
cuenta esta circunstancia y adoptar las medidas necesarias para garantizar la seguridad.
Anteriormente se ha explicado brevemente el concepto de virtualización, pero resulta

necesario para comprenderla con un mayor grado de detalle, conocer en profundidad y
diferenciar los conceptos de hipervisor y máquina virtual.
Hipervisor
La mayor parte de los entornos virtuales cuentan con una plataforma denominada
hipervisor, esta terminología surge con la tecnología de los ordenadores centrales, ya que
su núcleo se denomina supervisor, por lo cual, en un entorno virtualizado, el hipervisor
es el software presente entre el núcleo de la máquina anfitriona y el sistema
virtual.
El hipervisor es un monitor de bajo nivel con inicio previo al de la máquina virtual, siendo
el responsable de monitorizar y administrar las tareas y recursos que utilizan los sistemas
operativos invitados. El hipervisor está contenido en la capa de virtualización, la cual está
situada entre el hardware físico y los sistemas virtualizados, permitiéndoles a los

sistemas virtualizados ejecutarse de manera concurrente dentro de las diferentes

máquinas virtuales en un único servidor físico y habilitando la partición y compartición
de los recursos físicos disponibles.
Podemos distinguir tres tipos de hipervisores, los cuales son clasificados según su
nivel de ejecución:
» Hypervisor native o baremetal. Se ejecuta directamente sobre el hardware

anfitrión y se carga antes que los demás sistemas operativos invitados. Cualquier
acceso al hardware está gestionado por el hipervisor. Los sistemas invitados están
situados en un nivel superior al propio hipervisor. Ejemplo de productos: XEN Server
y VMWare ESX-Server. En este tipo de hipervisor se distinguen dos
subcategorías:
o Kernel Monolítico. Emulan hardware para sus máquinas virtuales
dependientes. Esta configuración obliga a desarrollar drivers específicos para el
hipervisor de cada componente hardware.
o Micro Kernel. El hipervisor se simplifica a una capa de software muy sencilla,
cuya única funcionalidad es la de particionar el sistema físico entre los diversos
sistemas virtualizados. Esta configuración de los hipervisores de micro kernel no
requieren de drivers específicos para acceder al hardware.
» Hypervisor hosted. Se ejecuta directamente sobre el sistema operativo anfitrión y

lo utiliza como acceso a memoria, CPU y E/s. Su carga se realiza una vez arrancado el
sistema operativo anfitrión. Ejemplo de productos: Common Language Runtime
.NET y Máquina virtual de Java.
» Hypervisor hybrid. Emulan un entorno sobre el que ejecutar un sistema operativo

invitado. Tanto el sistema operativo anfitrión como el hipervisor interactúan
directamente con el hardware físico. Las máquinas virtuales se ejecutan en un tercer
nivel con respecto al hardware, por encima del hipervisor, pero, además, también
interactúan directamente con el sistema operativo anfitrión. Ejemplo de productos:
VirtualBox y VMWare Server.
Independientemente del tipo del tipo de hipervisor a utilizar, exclusivamente puede

administrar máquinas con sistemas operativos, librerías y utilidades compiladas para el
mismo tipo de hardware y juego de instrucciones que el de la maquina física.

Máquina Virtual
En su mínima definición, una máquina virtual es un software que emula una maquina
física, ejecutándose en modo de sesión única y dedicada en exclusividad a las
aplicaciones asignadas. Entre las características que han generado su creciente
implantación en diferentes ámbitos destacaremos las siguientes:
» Particionamiento, mejorando la eficiencia.

» Aislamiento, favoreciendo la seguridad.
» Encapsulación, protegiendo la integridad.
» Independencia con el hardware anfitrión, permitiendo su migración.
Según sus características y funcionalidad se encuentran clasificadas en dos tipos, de

hardware o de sistemas y de proceso o de aplicación.
» Máquinas virtuales de hardware o sistema, son aplicaciones que emulan el

hardware físico, las llamadas al sistema operativo de este, son capturadas y
convertidas al sistema del hardware virtual. Este tipo de máquinas, permiten al
equipo físico soportar varias máquinas virtuales, cada una con sus propias
características. Permitiendo así una funcionalidad que capacita para la existencia de
diferentes sistemas operativos, servidores y pruebas de testeo tanto a nivel de
software como de hardware.
Sistema Sistema
Operativo
Aplicación Operativo
Sistema Máquina Máquina

Sistemas
Operativo Virtual Virtual
Operativos
Capa de Virtualización
Maquina
Hardware Virtual Hardware
Entorno No Entorno
Virtualizado Virtualizado
Figura 14. Arquitecturas generales.

Como podemos comprobar en la figura anterior, en el entorno virtualizado se ha

generado una nueva capa, descrita anteriormente en referencia a la figura del
hipervisor, esta capa la deberemos considerar como un posible vector de ataque, ya
que si bien puede ser un elemento que aislé nuestro sistema físico, también posee
ciertas vulnerabilidades.
Como ejemplo de este tipo de máquinas podemos citar, Xen y KVM, las cuales, junto
con otras plataformas serán desarrolladas más adelante.
» Máquina de proceso o aplicación, situadas en un nivel superior al sistema

operativo físico y ejecutadas como único proceso sobre él, siendo este además el único
soportable. La máquina virtual se inicia automáticamente cuando se lanza el proceso
a ejecutar y se detiene cuando finaliza. Su objetivo primordial es suministrar un
entorno autónomo al del hardware y sistema operativo, ocultando las instrucciones
de la plataforma subyacente y permitiendo a los programas ejecutarse siempre del
mismo modo independientemente de la plataforma. Como ejemplo de este tipo de
máquinas podemos citar, Java Virtual Machine (JVM) en lenguaje Java de Sun
Microsystems y Common Language Runtime (CLR) en lenguaje .NET de Microsoft.
Tipos de virtualización
Como se ha comentado con anterioridad, la virtualización es el efecto de abstraer

los recursos de un equipo informático y aportar acceso lógico a recursos
físicos, con lo cual, dependiendo del recurso abstraído y virtualizado, obtendremos
diferentes tipos de virtualización, uno de los más relevantes por su condicionamiento es
la virtualización asistida por hardware, a continuación expondremos sus características
generales, así como el de varios modelos que por las particularidades de la tecnología
virtualizada y modo de virtualización, es conveniente su conocimiento.
» Virtualización asistida por hardware, son extensiones introducidas en la

arquitectura x86 con el objetivo de facilitar las tareas de virtualización al software
ejecutándose sobre el sistema. Este tipo de arquitectura x86 presenta una tipología
formada por cuatro anillos de protección, el de nivel 0 es el de mayor privilegio y el
nivel 3 el de menor. En el nivel 0 se ejecuta habitualmente el sistema operativo, en el
1 y 2 sus servicios y en el 3 las aplicaciones. Desde el origen de la virtualización, esta
arquitectura supuso un reto ya que generaba conflictos de instrucciones en modo
privilegio.

Menor Privilegio
Anillo 3
Anillo 2
Anillo 1
Anillo 0
Núcleo Mayor Privilegio
Servicios
Servicios
Aplicaciones
Figura 15. Anillos de privilegio Arquitectura x86.
Para solucionar esta problemática y dotar del suficiente nivel de privilegio y ejecución
a las tecnologías que implementan este tipo de virtualización, se introdujo un nuevo
anillo interior, el «anillo -1», en el cual correrá el software de virtualización,
permitiendo al hipervisor o máquina virtual ejecutarse en el «anillo 0». Como
precursores de este tipo de virtualización, destaca inicialmente VT de Intel y AMD con
su AMD-V.
» Virtualización completa o nativa, en este caso la capa de virtualización es un

hipervisor entre el sistema invitado y anfitrión. Permite ejecutar sin modificaciones
previas cualquier sistema operativo, mientras soporte el hardware subyacente.
Algunos ejemplos son: VMware y Hyper-V.
» Paravirtualización, de características similares a la virtualización ya que la capa de

virtualización es el hipervisor, pero en este caso se realizan modificaciones en los
sistemas operativos invitados y los controladores de hardware están integrados en el
hipervisor. Ejemplos: Xen y Oracle VM.
» Virtualización a nivel de sistema operativo. Los entornos son virtualizados

sobre el propio sistema operativo. En este caso no se virtualiza el hardware y se
ejecuta una única instancia del sistema operativo (kernel). Ejemplos OpenVZ y Linux
V-Server.
» Sistema operativo invitado, se instala y ejecuta directamente sobre una

aplicación para virtualización. Ejemplos VMware Workstation y VM VirtualBox.

» Emulación. Las réplicas completas de arquitectura hardware que genera el

emulador, permiten que aplicaciones y sistemas operativos concebidos para otras
arquitecturas de procesador se puedan ejecutar sobre un hardware no soportado
teóricamente. Ejemplos Bochs y Qemu.
» Encapsulación. Englobada en la virtualización de recursos en su ejecución más

simple, crea una interfaz simplificada a través del ocultamiento de la complejidad y
características del recurso.
» Virtualización de memoria. Consiste en la Ocultación al sistema de sus

verdaderos recursos, para obtener de este modo una percepción de mayor capacidad
de memoria virtual mediante la abstracción de memoria y disco.
» Virtualización de almacenamiento. En este caso los recursos abstraídos son

disco y almacenamiento, virtualizando el almacenamiento lógico sobre el físico. La
virtualización de almacenamiento facilita que un conjunto de dispositivos
físicos de almacenamiento recree un único dispositivo, aunque estos se
encuentren en diferentes localizaciones físicas. Según su implementación se definen
varias clasificaciones:
o Basado en Host.
o Basada en dispositivos de almacenamiento.
o Basado en red.
» Virtualización de red. Segmentación o partición lógica de una única red física,

para usar los recursos de la red y crear un espacio virtualizado de direcciones de red.
Debido a su transcendencia tanto en el aspecto técnico, como en al ámbito de la
seguridad, este tipo de virtualización será desarrollada con mayor profundidad en un
apartado posterior.
» Virtualización de enlaces de red. Abstrayendo los enlaces de red, para obtener

un solo enlace de mayor ancho de banda.
» Virtualización de entrada/salida. Consistente en la abstracción de la capa de

transporte y las conexiones de entrada/salida.
» Virtualización de aplicaciones. Aislamiento del componente lógico de las

aplicaciones del sistema operativo, obteniendo así la funcionalidad

independientemente de las características del entorno en que se ejecutan. Según su

modo de ejecución se definen varias clasificaciones:
o Virtualización de aplicación local.
o Virtualización de aplicación hospedada.
» Virtualización de escritorio. Basado en la arquitectura cliente-servidor y definido

como el proceso de aislar el ambiente de escritorio al cual tiene acceso el usuario, de
su equipo físico y del sistema operativo que esta ejecuta. El recurso abstraído en este
caso es el almacenamiento físico del escritorio, permitiendo así el acceso remoto desde
múltiples dispositivos.
En este ámbito, también debemos tener en cuenta que, si bien la virtualización a nivel
general es una realidad en las empresas, también lo es el BYOD (Bring Your
OwnDevice) o «trae tu propio dispositivo», haciendo referencia al uso de dispositivos
personales (Smartphone, tableta…) en el entorno laboral. La virtualización en este
campo y especialmente en el ámbito de la telefonía móvil supone un gran reto de
seguridad. Es necesario establecer una adecuada estrategia, que permita garantizar la
seguridad en base a la política adoptada y además admita la flexibilidad que requiere
el usuario con su dispositivo personal. Ejemplos de soluciones disponibles:
o Horizon Mobile de VMware.
o XenDesktop y VMware View de Citrix.
o Cloud Desktop de Mikogo.
Software de virtualización.
Existen en el mercado gran variedad de software para virtualización, como es habitual

algunas soluciones son comerciales y otras libres. Es necesario para el responsable de TI
y seguridad, conocer las características de la diferente oferta presente en la actualidad,
para poder adoptar o asesorar, en la mejor solución según las necesidades requeridas. A
continuación, citaremos algunas de ellas y serán explicadas brevemente sus
características.
» KVM. Es un hipervisor de tipo hosted, procurando soporte tanto para virtualización

completa como paravirtualización. Desde la versión 2.6.20, el componente KVM para
el núcleo está incluido en Linux.

Consideraciones para escoger el mejor Hypervisor KVM:
o Ejecución.
o Integración.
o Costo.
o Madures.
o Escalabilidad.
o Soporte.
Otras ventajas:
o Bajo costo de propiedad.

o No bloqueo de funciones de parte del Vendor.
o Interoperabilidad multiplataforma.
o Simplicidad para crea plataformas VM individuales.
o Excelente performance.
o Código Abierto (open source).
Figura 16. Hipervisor KVM. Fuente: www.redhat.com/en/topics/virtualization/kvm-vs-vmware-

comparison
» Xen. Es un hipervisor de tipo native, procurando soporte tanto para virtualización

completa como paravirtualización. Instalación, uso y configuración es similar a KVM.
» Qemu. Emulador de procesos, permitiendo la virtualización completa de equipos,

aunque no proporciona algunas funcionalidades complejas como la migración de
máquinas virtuales. Por su rápida configuración y sencillez de uso, resulta una opción
válida para entornos de prueba.

» Bochs. Proporciona emulación completa, desarrollado en C++ y con capacidad para

ejecutarse en múltiples plataformas.
» Virtual PC. Perteneciente a Microsoft, al igual que en el caso de «Bochs», nos

encontramos ante un emulador. Para sistemas Windows no emula el procesador,
permitiendo que el procesador físico ejecute las instrucciones en el entorno emulado.
Lo contario ocurre en versión para Mac OS, ya que en esta circunstancia emula un
procesador Intel.
» Hyper-V. También de Microsoft, pero en este caso la solución de virtualización está

basada en un hipervisor, que dependiendo de la versión será native o hosted.
» VMware. Proporciona diferentes licencias y soluciones de virtualización para

equipos compatibles x86.
» VirtualBox. Virtualización mediante hipervisor de tipo native. Presenta su producto

con diferentes tipos de licencia.
Ventajas y Desventajas de la virtualización.
El responsable de seguridad no pude desvincularse y permanecer ajeno a las necesidades

de negocio, por lo cual, debe conocer las ventajas e inconvenientes que plantea este tipo
de tecnología. A continuación, se enuncian algunos de los aspectos más relevantes.
» Ventajas:
o Consolidación del hardware de servidores: reduciendo su número y
aumentando su eficiencia.
o Ahorro: reduciendo costes en multitud de ámbitos (instalación, configuración,
administración, energéticos, etc.).
o Optimización de recursos: permitiendo el aprovechamiento eficiente de
recursos como, por ejemplo, CPU, memoria y red.
o Mayor Escalabilidad: la virtualización proporciona mayor escalabilidad que los
entornos físicos tradicionales.
o Migración: migración en caliente de máquinas virtuales sin pérdida de servicio
de un servidor físico a otro.
o Prueba y depuración: permitiendo un entorno más controlado y versátil.

o Mejora de la seguridad: con la aplicación de buenas prácticas. El aislamiento y

la independencia entre máquinas virtuales, puede permitir un nivel de seguridad y
aislamiento más controlado.
» Desventajas:
o Dependencia: un fallo en el equipo anfitrión genera que la totalidad de su
entorno virtualizado quede comprometido.
o Rendimiento: el nivel de rendimiento es menor al de un entorno físico
tradicional.
o Saturación: la sencillez de creación que permite la virtualización, puede resultar
un problema al generar recursos innecesarios que saturen el sistema.
o Limitación de recursos; como es el caso de la aceleración de video por
hardware, no disponible para la mayoría de las máquinas virtuales.
o Limitación por hipervisor: solo es posible la utilización de hardware soportado
por el hipervisor.
o Seguridad: la falsa percepción de seguridad puede ocasionar un entorno
desprotegido y sin supervisión. Otro aspecto relevante en el ámbito de la seguridad,
son los nuevos riesgos y amenazas que supone la implantación de una nueva
tecnología en la organización.
Virtualización y cloud computing
Debido a la existencia, de cierta tendencia generalizada en confundir los términos

virtualización y cloud computing por la presencia de algunas similitudes, al auge de este
tipo de tecnología en el contexto actual, además de su tendencia futura, es necesario
contextualizarla y conocer sus singularidades.
Para diferenciar de forma simple ambos conceptos, la computación en la nube es el

servicio resultante de la virtualización.
La propia Unión Europea tomando como referencia al National Institute for Standards
and Technology (NIST) de los Estados Unidos, define al cloud computing o
computación en la nube como un modelo que permite acceder de forma cómoda y ubicua
a petición del usuario a una serie de recursos informáticos compartidos y configurables
(por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que se pueden
suministrar con rapidez y distribuir con un esfuerzo mínimo de gestión o interacción del
proveedor de servicios.

Los principales tipos de computación en la nube son los siguientes:
Los servicios pertenecen y son ofrecidos por una entidad

Nube pública
a v arias organizaciones o clientes.
Los serv icios son exclusivos y usados por una única

Nube priv ada
entidad.
Combinación de las anteriores, permitiendo entre otros

Nube híbrida
recursos su portabilidad.
Figura 17. Tipos de computación en la nube.
Figura 18 Esquema de virtualización y cloud computing. Fuente: sookocheff.com.
Los tipos fundamentales de servicios ofrecidos son los siguientes:
» Software como servicio (SaaS). Ofrece y permite a los usuarios la utilización de

un entorno completo de software, por ejemplo, para el correo electrónico, el
procesamiento de textos y la gestión con terceros. Como ejemplos podemos destacar
Google Docs, Calendar y Gmail, Zimbra, Spotify, Salesforce.com, Microsoft Office 365
y Lync Online.
» Plataforma como servicio (PaaS). Permite a los usuarios desarrollar

aplicaciones propias o de terceros, aprovechando la capacidad de la nube para ofrecer
automáticamente recursos adicionales de computación y almacenamiento según
necesidades. El usuario tiene control sobre las aplicaciones y configuración de las
mismas, pero no del resto de la infraestructura, como: red, servidores, sistemas
operativos y almacenamiento. Como ejemplos podemos destacar: IBM Websphere,

Force.com, Springsource, Morphlabs, Google App Engine, Microsoft Windows Azure

y Amazon Elastic Beanstalk.
» Infraestructura como servicio (IaaS). Permite a los usuarios el control directo

de los recursos de computación, almacenamiento e incluso cierto control sobre
componentes de red como el caso de un firewall. Como ejemplo podemos destacar:
Elastic Compute Cloud de Amazon, Zimory, Elastichosts y vCloud Express de
VMWare.
La computación en la nube no está en ningún caso exenta de riesgos. Los

principales riesgos están basados en la dependencia del proveedor y la ambigüedad de
normalización y legislación específica en este ámbito, comprometiendo gravemente con
ello la confidencialidad, integridad y confidencialidad de los servicios e información
alojados en la nube. Por lo cual se torna imprescindible que los suministradores de
servicio adopten las mejores prácticas en seguridad.
Un aspecto fundamental para la minimización de riesgos es la monitorización de red.

En una nube publica, el usuario debe adaptarse a las soluciones ofrecidas por el
proveedor, por tanto es necesario la demanda y contracción de un servicio acorde a las
necesidades. En el caso de la nube privada, estos criterios pueden ser personalizados y
adaptados en exclusividad a los requerimientos específicos.
Consideraciones para el manejo de la seguridad en el cloud:
Encriptar los datos.

Asegurarse de que todos los usuarios se autentican apropiadamente.
Establezca sus propios niveles de autenticación.
Monitoree y registre toda la actividad de los usuarios.
Asegure el cumplimiento de leyes, regulaciones y guías.
Verifique que cuando los datos sean borrados de la nube sean eliminados.
Confirme que usted es dueño de los datos que residen en la nube.
Establezca SLAS que especifiquen la disponibilidad del sistema y los datos.
Asegure que su vendedor de la nube cuente con un plan de recuperación de desastres
viable.
Tenga una estrategia de terminación de servicios.

Redes Virtuales
Definimos anteriormente la virtualización de red, como la segmentación o partición

lógica de una única red física, para usar los recursos de la red y crear un espacio
virtualizado de direcciones. Dependiendo del método y arquitectura utilizada
distinguiremos diferentes modelos descritos a continuación.
» Virtualización de red. Si la virtualización la determinamos como el efecto de

abstraer los recursos de un equipo informático y aportar acceso lógico a recursos
físicos, para crear mediante un determinado software una versión virtual de algún
tipo de recurso tecnológico. En este caso, el recurso tecnológico a virtualizar o abstraer
es la red. Estableciendo una definición específica, podemos considerar la
virtualización de red, como la combinación de los recursos de red del hardware para
configurarlos y adminístralos por medio de software según las necesidades
requeridas. El resultado de la virtualización de red, es la red virtual, la cual se clasifica
en dos categorías principales: externa e interna.
o Red virtual externa. Este tipo de red está formada por varias redes locales que
el software de virtualización administra como una única entidad. Los elementos
que componen la red externa clásica son el hardware de conmutación y la
tecnología de software VLAN. Como ejemplos podemos mencionar: Virtual LAN
(VLAN) sobre switches Ethernet y VPN sobre redes MPLS.
o Red virtual interna. Formada por un sistema que utiliza zonas o máquinas
virtuales configuradas en al menos una pseudointerfaz de red, los cuales pueden
comunicarse entre ellos como si estuvieran en la misma red local, por lo que
proporcionan una red virtual en un único host. Los elementos que componen la
red interna son las tarjetas de interfaz de red virtual, o NIC virtuales (VNIC) y los
conmutadores virtuales.
También en el ámbito de las redes virtuales, es necesario conocer dos tipos de

arquitectura con una fuerte relevancia en la actualidad: Virtualización de funciones
de red y Redes definidas por software.
» Virtualización de funciones de red (NFV). Si en el caso de la virtualización de

red, la red es virtualizada de modo generalizado, la virtualización de funciones de red
(NFV, Network Function Virtualization) la realiza de forma individual, virtualizando
por ejemplo servidores, switches, dispositivos de almacenamiento y firewalls. El
acoplamiento de diferentes NFV implementa el segmento de red virtualizado. Un

elemento fundamental en este tipo de arquitectura es el switch virtual, el cual

proporciona conectividad entre maquinas tanto a nivel interno como externo. La
arquitectura de NFV se divide en tres bloques:
o Funciones de redes virtuales.
o Infraestructura.
o Hipervisor.
» Redes definidas por software (SDN). Otro concepto relacionado con la red
virtual, es el paradigma SDN (Software Defined Networking), conocido
habitualmente como «Redes Definidas por Software». Si en primer término
definimos a la virtualización de red como la abstracción del hardware de red
mediante software. En segundo término, al SDN lo podemos catalogar como el
conjunto de técnicas orientadas a conseguir que la coordinación y gestión de esta
infraestructura se haga de forma automatizada, y lo más independientemente posible
de dicha infraestructura, gracias al uso de interfaces estándares y de software que
permita controlar completamente la infraestructura de manera externa a la misma,
consiguiendo así un comportamiento de la red más simplificado y eficiente. Un
elemento fundamental en este tipo de arquitectura y al cual debemos prestar especial
atención, es el controlador, el cual gestiona toda la red y esta circunstancia supone
por tanto un riesgo, ya que un ataque al controlador condiciona toda la red.
Tanto la virtualización de funciones de red (NFV) como la red definida por

software (RDS) están relacionadas y pueden aplicarse de manera conjunta o
individual. Si bien, la tendencia normal es hacia un uso compartido, ya que supone un
aprovechamiento de las características de cada uno de ellos. Su implementación aporta
una serie de características que en gran medida las diferencian de la virtualización de red
tradicional:
» Centralización de todos los elementos de red.

» Mayor Compatibilidad de elementos con independencia del fabricante.
» Formación de una sola red lógica con capacidad para dividirse según requerimientos.
» Varios supervisores pueden gestionar una misma red que a su vez pueden controlarse
de manera centralizada.
» Centralización y ubicación de funciones de red según necesidad.

Este mayor grado de monitorización y control de la virtualización de funciones de

red (NFV) como la red definida por software (RDS), supone indiscutiblemente
una enorme ventaja. Los beneficios de control que aportan estas técnicas, deben ser
aprovechados y configurados en base a la seguridad requerida. Si no tenemos en cuenta
la seguridad, las ventajas de gestión y control se traducen en una vulnerabilidad, ya que
el centro de control, se convierte en el centro del ataque, permitiendo una intrusión
masiva en todo el ámbito virtualizado.
La falta de madurez de este tipo de tecnologías también las hace muy

vulnerables, por lo que en ningún caso las debemos considerar intrínsecamente
seguras. Sirva como ejemplo, el uso de algunos protocolos que no requieren de
autenticación o cifrado, lo que supone un evidente vector de ataque.
Independientemente de la solución definida en la red virtual y de las ventajas técnicas y

funcionales de este tipo de tecnología, debemos ser conscientes que la red virtual es uno
de nuestros mayores vectores de ataque. La política y medidas de seguridad adoptadas
en este entorno, debe ser específica teniendo en cuenta sus singularidades. No es un
asunto trivial, por tanto, se deben establecer claramente las necesidades y soluciones
necesarias, tanto en los requerimientos técnicos como en los mecanismos de defensa.
Varios son los mecanismos necesarios para proteger la red en tipo de entornos, uno de
ellos es el switch virtual para segmentar los dispositivos y trafico según la política
establecida, otro de vital importancia es la instalación de cortafuegos virtuales. Al igual
que un cortafuego tradicional, es un dispositivo de seguridad situado entre dos redes, por
el cual circula todo el tráfico intercambiado, con la capacidad de implementar una
política de seguridad definida, para identificar y filtrar los diferentes tipos de datos.
Como consideraciones fundamentales en la implementación del firewall, se deben
considerar los siguientes aspectos:
Empleo de roles para segregación de tareas de

1 administración.
2 Implementación de monitoreo de logs.
3 Documentar.
Figura 19. Aspectos.

Este último apartado «Documentar», cobra especial relevancia, en él se definirán

claramente los requerimientos necesarios, por ejemplo, si la política es restrictiva
o permisiva, topología de defensa, privilegios de usuarios y autenticación de los mismos.
1.5. Amenazas en capas virtuales
Las amenazas presentes en un entorno virtualizado plantean

particularidades añadidas a un entorno sin virtualizar. Si en los dispositivos
móviles considerábamos cuatro capas (hardware y comunicaciones, sistema operativo,
aplicaciones y usuario), la incorporación de una nueva capa, en este caso la de
virtualización, suponen nuevas vulnerabilidades a tener en cuenta, enfrentándonos de
este modo, a la problemática de seguridad y riesgos conocidos, más los riesgos inherentes
a la tecnología de la virtualización.
Podemos considerar la virtualización como una estrategia para desplegar los

recursos del ordenador en diferentes capas aisladas unas de las otras. Por
tanto es necesario definir controles de seguridad en cada capa dentro de la arquitectura
virtual. Las capas virtuales primarias y a las que debemos prestar especial atención
incluyen el hipervisor, los sistemas operativos hospedados, la red virtual que conecta las
máquinas virtuales, el sistema de gestión de la virtualización, el almacenamiento físico
de las imágenes virtuales y la red física.
Hipervisor
En la mencionada capa primaria, el elemento más expuesto y vulnerable es el hipervisor.

Debemos tener en cuenta que el hipervisor soporta todo el tráfico de red entre
aplicaciones, por lo cual, una vulnerabilidad en él puede afectar incluso al equipo
anfitrión, de hecho, Venon aprovecha una vulnerabilidad en el código fuente y mediante
desbordamiento de búfer obtiene acceso al sistema.
Las herramientas de seguridad aplicadas en un entorno normal, pueden no resultar

eficaces para el hipervisor, ya que al pertenecer a un sistema cerrado su tráfico puede
resultar invisible. Por tanto, es necesaria una administración y configuración segura del
hipervisor.

Entre las recomendaciones básicas destacamos las siguientes:
» Acceso exclusivo a través de la red de management.

» El hipervisor no debe tener una IP propia asignada en el segmento LAN. Si posee una
dirección IP asignada se deberán establecer controles de autorización y
autenticación.
» Definición especifica de roles en todos los ámbitos.
» Monitoreo de logs.
Máquinas virtuales
Otro aspecto fundamental son las máquinas virtuales orientadas al exterior, las cuales
representan por sí mismas una amenaza, pero si además están combinadas con
máquinas orientadas al interior, el riesgo es exponencial.
Al igual que ocurre con el hipervisor, los elementos tradicionales de seguridad no

resultan eficaces en este tipo de ambientes, ya que están instalados en segmentos de
redes físicas, por lo cual no pueden proteger las máquinas virtuales de forma adecuada,
por tanto, es necesario adoptar soluciones de seguridad específicas.
En este sentido, también es importante analizar y adoptar los controles oportunos, ante
el riesgo que supone la limitada visibilidad del tráfico interno entre máquinas virtuales.
Este concepto debe ser aplicado a toda la virtualización de red y sus controles deben
igualar como mínimo a los considerados necesarios en el entorno físico.
También deberemos considerar las amenazas que suponen maquinas

inactivas, falsas e innecesarias, ya que pueden pasar desapercibidas y no se
aplicaran las correspondientes actualizaciones y parches de seguridad necesarios. La
falta de control en la creación de máquinas virtuales puede suponer un riesgo, debido a
que si no son organizadas de forma conveniente, puede conllevar un crecimiento en la
complejidad de la administración, gestión de licencias de los servidores, y por supuesto
un riesgo para la seguridad.

Sistemas de almacenamiento en red
Los sistemas de almacenamiento en red también están expuestos a amenazas y

constituyen otra vulnerabilidad para los atacantes. Una recomendación es mantener los
sistemas de almacenamiento separados del resto de las máquinas virtuales, igualmente
es recomendable para estas máquinas, la separación del tráfico entre ellas mediante el
uso de VLAN, el uso de cortafuegos en cada máquina y switches virtuales. Con estas
medidas conseguiremos paliar intrusiones del tipo man in the middle, que aprovechan
la captura de tráfico entre ellas.
Único punto de fallo
Las amenazas en la capa de virtualización afectan a todas sus dependencias,

de igual modo, un incidente en el sistema anfitrión, incluyendo por ejemplo un incidente
en la red física, puede afectar a la totalidad del entorno virtualizado. Por tanto es
necesaria una adecuada planificación ante desastres y una correcta elección del sistema
anfitrión y sistema de virtualización.
Código malicioso
Otra de las amenazas de mayor riesgo, tanto en entornos virtualizados como sin
virtualizar y con independencia de la capa a considerar, son los códigos maliciosos.
65,89%
25,12%
4,01% 3,03% 1,95%
Troyanos PUPs Adware/Spyware Gusanos Virus
Figura 20. Porcentaje infecciones por malware. Fuente: Panda Security.

En la anterior figura, podemos observamos el porcentaje de infecciones por malware en

el primer trimestre de 2016 según tipología. Destacando sensiblemente el malware de
tipo troyano.
Incidentes de seguridad gestionados por CCN-CERT
2015 Troyano 51,30%

Explotación de vulnerabilidades 17,60%
Inyección SQL 9,60%
Inyección de ficheros remota 5,90%
Gusano 5,30%
Seguridad de la información 2,20%
Escaneo de vulnerabilidades 1,50%
Spyware 1,10%
Defacement 1,00%
Otros 1,00%
Cross-Site Scripting 0,90%
Dos/Ddos 0,70%
Phishing 0,70%
Spam 0,50%
2014 Troyano 79,14%
Explotación de vulnerabilidades 7,04%
Inyección SQL 3,89%
Inyección de ficheros remota 3,88%
Gusano 3,88%
Spyware 2,17%
Figura 21. Porcentaje incidentes gestionados. Fuente: CCN-CERT.
La «Figura 15», se corresponde con el porcentaje de incidentes gestionados en España

durante los periodos 2014 y 2015, por el Centro Criptológico Nacional. Igualmente es
destacable la presencia de malware tipo troyano. Esta tendencia, extrapolable a nivel
mundial, es propiciada en gran medida por el importante aumento de las infecciones
sufridas por ransomware.
Es habitual en las organizaciones, desarrollar sistemas virtualizados como entorno de

pruebas para verificar la seguridad. Debemos tener en cuenta que la presencia de
ransomware puede no ser detectada en la virtualización. Las últimas versiones,
como el caso de CryptoWall 2.0, tiene la capacidad de detectar una máquina virtual, e
interrumpir cualquier proceso de cifrado o método que permita su detección.
En cualquier caso nuestra seguridad debe estar enfocada tanto para los entornos físicos
como para los virtuales. En el caso de sistemas virtuales y protección contra código
malicioso, una buena práctica de seguridad es la implementación de software
antimalware en cada uno de los sistemas virtualizados.

Tecnología sin el suficiente nivel de madurez
Si las principales ventajas de la virtualización son la flexibilidad y sencillez en su

despliegue, su principal riesgo es la falta de madurez en las tecnologías que permite su
control y gestión. Las principales herramientas actuales de gestión están basadas en
«agente», los cuales residen en la máquina física, esto supone que, ante una falta de
respuesta por parte del controlador, el sistema de control interpretaría la inoperatividad
del sistema virtualizado, con las consecuencias negativas que esto conlleva. La falta de
madurez en la tecnología de virtualización también afecta entre otros al hipervisor y
como ya se ha explicado, a las arquitecturas como NFV y SDN que presentan niveles
mínimos de madurez. SDN obtiene especialmente riesgos en las capas de plano de datos
y controlador.
Mayor vulnerabilidad ante amenazas internas
La propia condición de las máquinas virtuales en referencia a su facilidad de puesta en

marcha, junto con la sensación de falsa sensación de seguridad, las hacen vulnerables
ante las amenazas internas. La integridad, confidencialidad y disponibilidad de la
información puede ser comprometida de forma involuntaria y lo que supone un especial
riesgo, de forma voluntaria, con los denominados Malicious Insiders. Este tipo de
amenazas siempre están presentes en las organizaciones, en el caso de los ambientes
virtualizados, al igual que en los físicos, se deben aplicar los controles necesarios y tener
en cuenta su posible impacto.
Otras amenazas generales a considerar en entornos virtualizados son las siguientes:
» Planificación deficiente en proyectos de virtualización.

» Las cargas de trabajo de los distintos niveles de seguridad se consolidan en un único
servidor físico.
» Consumo excesivo de recursos.
» Incompatibilidad de hardware y software.
» Configuraciones deficientes.

Material complementario
Lecciones magistrales
Ejemplo práctico EMM
En la siguiente lección magistral mostraremos el funcionamiento de un programa de

Enterpise Mobile Management comercial que además posee una versión para podáis
investigar por vuestra cuenta.
Accede a la lección magistral a través del aula virtual.
No dejes de leer…
Redes WiFi
Monográfico de redes WiFi del Ministerio de Educación de España.
Accede al artículo a través del aula virtual o desde la siguiente dirección web:
http://recursostic.educacion.es/observatorio/web/es/cajon-de-sastre/38-cajon-de-
sastre/961-monografico-redes-wifi
TEMA 1 – Material complementario 46 © Universidad Internacional de La Rioja (UNIR)

3G4G WWAN Wireless Mobile Broadband FAQ
FAQ sobre las redes 3G y 4G del Syncrotech.
http://www.synchrotech.com/support/faq-3g-wireless-pcmcia-pc_cards.html#Q002A
Escritorios remotos en máquinas virtuales aplicados en grandes

corporaciones
López, J., Oller, A., Alcober, J., Pujal, J., Flaminio, M., Fanning, C. (2009). Escritorios
remotos en máquinas virtuales aplicados en grandes corporaciones. RedIRIS, 85-86, 42-
49.
El artículo propone plantear un nuevo modelo aplicando tecnologías de virtualización de

sistemas operativos y de escritorio remoto.
http://www.rediris.es/difusion/publicaciones/boletin/85-86/ponencias85-5.pdf

No dejes de ver…
Qué es NFC, para qué sirve y cuáles son sus usos actualmente
En el vídeo se muestran las características y usos de la tecnología NFC.
Accede al vídeo a través del aula virtual o desde la siguiente dirección web:
https://www.youtube.com/watch?v=NJ0OcR9FmHQ
Iridium NEXT
La nueva versión de Iridium para satélites de comunicaciones digitales.
https://www.youtube.com/watch?v=GShOalJu1tA

Virtualización de red. Introducción.
Video explicativo sobre la virtualización de red y las tecnologías NFV y SDN.
https://www.youtube.com/watch?v=js7FgbubLRk
A fondo
Borrador de especificaciones 5G
La nueva tecnología de comunicación inalámbrica se encuentra en proceso de

definición por la ITU-T.
Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://www.itu.int/md/R15-SG05-C-0040/en
Android malware
Familias y especificaciones de malware para Android
Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://forensics.spreitzenbarth.de/android-malware/

Enlaces relacionados
Iridium
Web comercial de la plataforma.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
https://www.iridium.com
LTE Specifications
Información a fondo de LTE.
http://www.3gpp.org/technologies/keywords-acronyms/98-lte

IEEE 802.11 Specifications
Especificaciones detalladas de WiFi.
http://www.ieee802.org/11/
Recursos sobre Android
Página web de Android Developers by Google.
https://developer.android.com/index.html
Firewall
Página web con múltiples enlaces relacionados con cortafuegos y seguridad informática.
http://www.firewall.com/

Test
1. ¿Qué tecnología se utiliza para comunicación en muy cortas distancias?

A. Bluetooth.
B. Iridium.
C. NFC.
D. WiFi.
2. El jamming es:
A. Un ataque de denegación de servicio.
B. Un ataque típico en redes WiMax.
C. Introducir ruido en una comunicación con objeto de impedirla.
D. Todas las anteriores son ciertas.
3. La seguridad en el Internet de las Cosas (IoT):

A. Es algo de lo que no hay que preocuparse, los protocolos son muy robustos y
seguros.
B. IoT no es un campo de interés para hackers por el momento por la poca
implantación de sistemas de este tipo.
C. Se encuentra en fase de desarrollo y estandarización.
D. Es un importante campo de estudio en el que todos los fabricantes se han unido
para definir una plataforma única de seguridad.
4. La existencia de potentes SDK para los sistemas operativos móviles:

A. Incentiva a la creación de apps y a la vez también de malware.
B. Hace que en iOS al ser un SDK propietario no haya virus.
C. Proporciona funcionalidades de seguridad y autenticación suficientes para
poder prevenir cualquier ataque.
D. Proporciona a los usuarios kits para diseñar su propio malware a la carta.
TEMA 1 – Test 52 © Universidad Internacional de La Rioja (UNIR)

5. ¿Cuál de las siguientes afirmaciones no es cierta respecto a las capas conceptuales en

dispositivos móviles?
A. La capa de programa es altamente vulnerable ya que existen infinidad de ellos y
cada día aparecen nuevas amenazas.
B. La capa de usuario es la menos vulnerable ya que interviene la componente
humana.
C. La capa de usuario es altamente vulnerable ya que es muy difícil combatir la
ingeniería social con medios tecnológicos.
D. La capa de hardware y comunicaciones es altamente sensible ya que las
comunicaciones son inalámbricas (no existe un medio entre los intervinientes) y
los terminales móviles y fácilmente sustraíbles.
6. Una máquina virtual inactiva:

A. Es un desperdicio de recursos y por tanto debe evitarse.
B. Suele ser una máquina olvidada y por tanto fuera de control a nivel de seguridad
constituyendo un riesgo.
C. Ambas anteriores son ciertas.
7. ¿Cuál es la principal vulnerabilidad de una virtualización de red?

A. Que la red es más sensible ante la caída de uno de sus nodos.
B. Una red virtualizada es invulnerable.
C. Que el centro de control se convierte en un punto de ataque ya que si se controla
se controla todo el tráfico de la red.
D. Que los nodos virtualizados no se pueden proteger.
8. La seguridad en máquinas virtualizadas:

A. Es la misma que en máquinas físicas.
B. Es totalmente diferente que en las máquinas físicas ya que estamos en entornos
virtuales.
C. La virtualización es mucho más insegura que la máquina física.
D. Es igual que en las máquinas físicas en las capas tradicionales, añadiendo
además la seguridad propia del entorno de virtualización.
9. Las mayores amenazas a la seguridad en máquinas virtuales se producen:

A. Desde el exterior.
B. Desde el interior.

10. ¿Qué tipo de tecnología sufre más ataques?

A. WiMax.
B. WiFi.
C. 3G.
D. 4G.
11. El hipervisor es:

A. El encargado de proporcionar los recursos físicos a las máquinas virtuales.
B. El elemento de seguridad más importante de una red virtualizada.
C. Un elemento presente en cada una de las máquinas virtuales.
D. La máquina física sobre la que se corren las máquinas virtuales.

Tema 1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 1

Cargado por

Copyright:

Formatos disponibles

Aspectos avanzados sobre redes en

entornos móviles y virtualizados

[1.2] Seguridad en redes inalámbricas

[1.3] Ataques contra redes inalámbricas

[1.4] Redes en entornos virtuales

[1.5] Amenazas en las capas virtuales

Redes inalám bricas Virtualización

WiMax Hiperv isor

© Universidad Internacional de La Rioja (UNIR)

1.1. ¿Cómo estudiar este tema?

En el siguiente tema veremos los siguientes aspectos e ideas:

» Las redes inalámbricas, al no disponer de medio físico son especialmente vulnerables.

1.2. Seguridad en redes inalámbricas

TEMA 1 – Ideas clave 3 © Universidad Internacional de La Rioja (UNIR)

Existen muchos sistemas diferentes de comunicación inalámbrica dependiendo de la

» NFC: es el acrónimo de Near Field Communications o comunicaciones en campo

» Bluetooth: es un estándar para las denominadas WPAM o redes inalámbricas de

» WiFi: Es el estándar más utilizado para la comunicación entre dispositivos digitales

TEMA 1 – Ideas clave 4 © Universidad Internacional de La Rioja (UNIR)

» WiMax: (Wordwide Interoperability for Microwave Access es una tecnología de

» Comunicación GSM/LTE: la tecnología GSM (Global System for Mobile

Tecnología Frecuencia Velocidad Distancia Estándar

TEMA 1 – Ideas clave 5 © Universidad Internacional de La Rioja (UNIR)

Los entornos móviles

Entendemos como entornos móviles aquellos dispositivos especialmente destinados a

» Procesadores de altas prestaciones con sistemas operativos complejos. A

» Gran capacidad de almacenamiento, especialmente datos personales y

» Sensores que almacenan datos del comportamiento de la persona (posición,

TEMA 1 – Ideas clave 6 © Universidad Internacional de La Rioja (UNIR)

Definiremos por tanto el siguiente modelo de capas:

Figura 1. Capas conceptuales para el estudio de la seguridad en dispositivos móviles.

1.3. Ataques contra redes inalámbricas

Capa de hardware y comunicaciones

Debido a la especial característica de las redes inalámbricas de la no presencia de un

» Suplantación de identidad: uno de los métodos más evidentes de alterar una

TEMA 1 – Ideas clave 7 © Universidad Internacional de La Rioja (UNIR)

Para evitar o al menos dificultar esta labor, se establecen los mecanismos de

» Interceptar la comunicación: otro modo de atacar una comunicación sin hacerlo

» Obtención de la ubicación de la fuente: un sistema de comunicaciones

TEMA 1 – Ideas clave 8 © Universidad Internacional de La Rioja (UNIR)

Y según la tipología podemos caracterizar los siguientes tipos de ataques:

» Tecnología NFC: especialmente ataques de suplantación de identidad a través de la

Figura 2. Dispositivos de biohacking.

TEMA 1 – Ideas clave 9 © Universidad Internacional de La Rioja (UNIR)

Los tres tipos de ataques a dispositivos bluetooth más frecuentes son:

o Bluejacking: se trata de localizar un dispositivo en nuestro radio de alcance y

» Tecnología WiFi: la tecnología WiFi es sin duda la tecnología inalámbrica más

TEMA 1 – Ideas clave 10 © Universidad Internacional de La Rioja (UNIR)

Lo que intentan todos estos mecanismos es el introducirnos en una red privada

» Tecnología WiMax: la tecnología Wimax se ataca de modo similar al WiFi sobre

TEMA 1 – Ideas clave 11 © Universidad Internacional de La Rioja (UNIR)

Capa de sistema operativo

Los sistemas operativos móviles de mayor implantación actualmente son:

Figura 3. Implantación de sistemas operativos móviles en el mundo. Fuente: statcounter.com

» Vulnerabilidades de día cero: se refieren a aquellos agujeros de seguridad del

TEMA 1 – Ideas clave 12 © Universidad Internacional de La Rioja (UNIR)

vulnerabilidades se refieren a problemas en el aislamiento de los recursos. Es

» Versión de sistema operativo comprometida: en el caso de Android, al ser un

Además, se usa sistema de protección mediante usuarios y perfiles de seguridad.

Como hemos comentado anteriormente existe un potente mercado de aplicaciones

TEMA 1 – Ideas clave 13 © Universidad Internacional de La Rioja (UNIR)

Figuras 4 y 5. Gestión de permisos en iOS y Android.

En otras ocasiones, los desarrolladores reutilizan librerías externas o código de terceros