Resumen de seguridad informática

Nombre: Daniel Candelaria

Cédula: 2-102-2757

VIRUS

Un virus informático tiene por objeto alterar el normal funcionamiento de la computadora, sin el
permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables
por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los
datos almacenados de su computadora Ellos tienen la función de propagarse a través de un
software, no se replican a sí mismos y son muy nocivos

El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un programa

que está infectado. El código del virus queda alojado en la memoria RAM de la computadora, aun
cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el
control de los servicios y hacer daño al sistema favorito.

Malware

Es un softwar malintencionado, es un tipo de software que tiene como objetivo infiltrar se o dañar
una computadora o Sistema de información.

Se produjo tanto malware en 2007como en los 20 años anteriores juntos. Según Panda Security,
durante los 12 meses del 2011 se han creado 73.000 nuevos ejemplares de amenazas informáticas
por día, 10.000 más de la media registrada en todo el año 2010. La mayoría son troyanos.

El término virus informático se usa para designar un programa que, al ejecutarse, se propaga

infectando otros softwares ejecutables dentro de la misma computadora. Los virus también

pueden tener un payload 9 que realice otras acciones a menudo maliciosas, por ejemplo, borrar

archivos. Por otra parte, un gusano es un programa que se transmite a sí mismo, explotando

vulnerabilidades en una red de computadoras para infectar otros equipos.

El virus necesita de la intervención del usuario para propagarse mientras que un

gusano se propaga automáticamente. Teniendo en cuenta esta distinción, las infecciones

transmitidas por e-mail o documentos de Microsoft Word, que dependen de su apertura por parte

del destinatario para infectar su sistema, deberían ser clasificadas más como virus que como

gusanos.

Un gusano es un programa que se transmite a sí mismo, explotando vulnerabilidades en una red

de computadoras para infectar otros equipos. El principal objetivo es infectar a la mayor cantidad
posible de usuarios.

Observe que un virus necesita de la intervención del usuario para propagarse mientras que un
gusano se propaga automáticamente. Teniendo en cuenta esta distinción, las infecciones

transmitidas por e-mail o documentos de Microsoft Word, que dependen de su apertura por parte

del destinatario para infectar su sistema, deberían ser clasificadas más como virus que como

gusanos.

Para que un software malicioso pueda completar sus objetivos, es esencial que permanezca oculto

al usuario. Por ejemplo, si un usuario experimentado detecta un programa malicioso, terminaría el

proceso y borraría el malware antes de que este pudiera completar sus objetivos. El ocultamiento

también puede ayudar a que el programa maligno se instale por primera vez en la computadora.

Los crackers suelen usar puertas traseras para asegurar el acceso remoto a una computadora,

intentando permanecer ocultos ante una posible inspección. Para instalar puertas traseras los

crackers pueden usar troyanos, gusanos u otros métodos.

Drive-By Downloads

Esto virus que se efectúa sin consentimiento del usuario, lo cual ocurre al visitar un sitio web, al
revisar un mensaje de correo electrónico o al entrar a una ventana pop-up, la cual puede mostrar
un mensaje de error. Sin ser su verdadera intención, el usuario consiente la descarga de software
indeseable o de malware, y estas vulnerabilidades se aprovechan.

El proceso de ataque Drive-by Downloads se realiza de manera automática mediante herramientas

que buscan en el sitio web alguna vulnerabilidad. Una vez encontrada, insertan un script malicioso

dentro del código HTML del sitio violado. Cuando un usuario visita el sitio infectado, éste

descargará dicho script en el sistema del usuario, y a continuación realizará una petición a un

servidor (Hop Point), donde se solicitarán nuevos scripts con exploits encargados de comprobar si

el equipo tiene alguna vulnerabilidad que pueda ser explotada, intentando con ellas hasta que

tienen éxito.

Rootkits

Las técnicas conocidas como rootkits modifican el sistema operativo de una computadora para

permitir que el malware permanezca oculto al usuario. Por ejemplo, los rootkits evitan que un

proceso malicioso sea visible en la lista de procesos del sistema o que sus ficheros sean visibles en

el explorador de archivos. Este tipo de modificaciones consiguen ocultar cualquier indicio de que

el ordenador está infectado por un malware. Originalmente, un rootkit era un conjunto de

herramientas instaladas por un atacante en un sistema Unix donde el atacante había obtenido
acceso de administrador (acceso root). Actualmente, el término es usado mas generalmente para

referirse a la ocultación de rutinas en un programa malicioso.

Algunos programas maliciosos también contienen rutinas para evitar ser borrados, no sólo para

ocultarse. Un ejemplo de este comportamiento puede ser:

" Existen dos procesos-fantasmas corriendo al mismo tiempo. Cada proceso-fantasma debe

detectar que el otro ha sido terminado y debe iniciar una nueva instancia de este en

cuestión de milisegundos. La única manera de eliminar ambos procesos-fantasma es

eliminarlos simultáneamente, cosa muy difícil de realizar, o provocar un error el sistema

deliberadamente. Quot; 13

Uno de los rootkits más famosos fue el que la empresa Sony incluyó dentro de la protección

anticopia de algunos CD de música. 14

Troyanos

El término troyano suele ser usado para designar a un malware que permite la administración

remota de una computadora, de forma oculta y sin el consentimiento de su propietario, por parte

de un usuario no autorizado. Este tipo de malware es un híbrido entre un troyano y una puerta

trasera, no un troyano atendiendo a la definición.

Los troyanos son programas maliciosos que están disfrazados como algo inocuo o atractivo que
invitan al usuario a ejecutarlo ocultando un software malicioso. Ese software, puede tener un
efecto inmediato y puede llevar muchas consecuencias indeseables, por ejemplo, borrar los
archivos del usuario o instalar más programas indeseables o maliciosos .Cuando un software
produce pérdidas económicas para el usuario de un equipo, también se clasifica como software
criminal, término dado por Peter Cassidy para diferenciarlo de los otros tipos de software Estos
programas están encaminados al aspecto financiero, la suplantación de personalidad y el
espionaje.

Los keyloggers monitorizan todas las pulsaciones del teclado y las almacenan para un posterior

envío al creador. Por ejemplo, al introducir un número de tarjeta de crédito el keylogger guarda el

número, posteriormente lo envía al autor del programa y este puede hacer pagos fraudulentos

con esa tarjeta. Si las contraseñas se encuentran recordadas en el equipo, de forma que el usuario

no tiene que escribirlas, el keylogger no las recoge, eso lo hacen los stealers. La mayoría los
 son usados para recopilar contraseñas de acceso, pero también pueden ser usados para espiar
conversaciones de chat u otros fines.

Los stealers también roban información privada pero solo la que se encuentra guardada en el

equipo. Al ejecutarse comprueban los programas instalados en el equipo y si tienen contraseñas

recordadas, por ejemplo, en los navegadores web o en clientes de mensajería instantánea,

descifran esa información y la envían al creador

Sistema de detección de intrusos

Un sistema de detección de intrusos es un programa usado para detectar accesos no autorizados a

un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script
Kiddies que usan herramientas automáticas.

Suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo

del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS

detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o
falsas alarmas.

Funcionamiento

Estas herramientas se basan en el análisis pormenorizado del tráfico de red, el cual al entrar al
analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos,
como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo
de tráfico es, sino que también revisa el contenido y su comportamiento.

Normalmente esta herramienta se integra con un firewall. El detector de intrusos es

incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un

dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una

herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del

firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser

bloqueados antes de penetrar en la red.

Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.

Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento,

y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o

intento del mismo.

Tipos de IDS
Existen dos tipos de sistemas de detección de intrusos:

1. El principio de funcionamiento de un HIDS, depende del éxito de

los intrusos, que generalmente dejaran rastros de sus actividades en el equipo

atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo

El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus
conclusiones.

2. Un IDS basado en red, detectando ataques a todo el segmento

de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el

tráfico de la red.

Sistemas pasivos y sistemas reactivos

El sensor detecta una posible intrusión, almacena la información y manda una señal de alerta que
se almacena en una base de datos. En un sistema reactivo, el IDS responde a la actividad
sospechosa reprogramando el cortafuegos para que bloquee

tráfico que proviene de la red del atacante

Comparación con Cortafuegos

Si bien ambos están relacionados con seguridad en redes de información, un IDS, difiere

de un cortafuegos, en que este último generalmente examina exteriormente por

intrusiones para evitar que estas ocurran. Un cortafuegos limita el acceso entre redes,

para prevenir una intrusión, pero no determina un ataque que pueda estar ocurriendo

internamente en la red. Un IDS, evalúa una intrusión cuando esta toma lugar, y genera

una alarma. Un IDS además observa ataques que se originan dentro del sistema. Este

normalmente se consigue examinando comunicaciones, e identificando mediante

heurística, o patrones (conocidos como firmas), ataques comunes ya clasificados, y toma

una acción para alertar a un operador.

Mecanismos de detección de un ataque

Un IDS usa alguna de las dos siguientes técnicas para determinar que un ataque se

encuentra en curso:

Heurística

El determina actividad normal de red, como el orden de ancho de banda usado, protocolos,
puertos y dispositivos que generalmente se interconectan, y alerta a un administrador o usuario
cuando este varía de aquel considerado como normal, clasificándolo como anómalo.
Patrón

Analiza paquetes en la red, y los compara con patrones de

ataques conocidos, y preconfigurados. Estos patrones se denominan firmas. Debido a esta

técnica, existe un periodo de tiempo entre el descubrimiento del ataque y su patrón,

hasta que este es finalmente configurado en un IDS. Durante este tiempo, el IDS será

incapaz de identificar el ataque.

Implementación

Para poner en funcionamiento un sistema de detección de intrusos se debe tener en

cuenta que es posible optar por una solución hardware, software o incluso una

combinación de estos dos. La posibilidad de introducir un elemento hardware es debido al

alto requerimiento de procesador en redes con mucho tráfico. A su vez los registros de

firmas y las bases de datos con los posibles ataques necesitan gran cantidad de memoria,

aspecto a tener en cuenta.

Si la red está segmentada con hub (capa 1 del modelo OSI) no hay problema en analizar todo el
tráfico de la red realizando una conexión a cualquier puerto. En cambio, si se utiliza un es
necesario conectar el IDS a un puerto SPAN para poder analizar todo el tráfico de esta red.

Servicios de seguridad

Para mejorar la seguridad de los sistemas de procesamiento de datos y la transferencia de

información en las organizaciones. Los servicios de seguridad están diseñados para contrarrestar
los ataques a la seguridad y hacen uso de uno o más mecanismos de seguridad para proporcionar
el servicio

El concepto clave de un SGSI es para una organización del diseño, implantación,

mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad

de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de

los activos de información minimizando a la vez los riesgos de seguridad de la información.

Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un largo

tiempo adaptándose a los cambios internos de la organización, así como los externos del

entorno.

PDCA

siendo este un enfoque d

*Plan (planificar): es una fase de diseño del SGSI, realizando la evaluación de riesgos

de seguridad de la información y la selección de controles adecuados.

* Do (hacer): es una fase que envuelve la implantación y operación de los controles.

*Check (controlar): es una fase que tiene como objetivo revisar y evaluar el

desempeño (eficiencia y eficacia) del SGSI.

*Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de

vuelta el SGSI a máximo rendimiento.

La mejor definición de SGSI es descrito por la ISO/IEC 27001 y ISO/IEC 27002 y relaciona

los estándares publicados por la International Organization for Standardization (ISO) y la

International Electrotechnical Commission (IEC). JJO también define normas

estandarizadas de distintos SGSI

Otros SGSI

SOGP

Otro SGSI que compite en el mercado es el llamado " Information Security Forum' s

Standard of Good Practice" (SOGP). Este SGSI es más una "best practice"
(buenas

prácticas), basado en las experiencias del ISF.

ISM3

Information Security Management Maturity Model (" ISM3") (conocida como ISM-
cube o

ISM3) está construido en estándares como ITIL, ISO 20000, ISO 9001, CMM, ISO/IEC

27001, e información general de conceptos de seguridad de los gobiernos ISM3 puede ser

usado como plantilla para un ISO 9001 compliant. Mientras que la ISO/IEC 27001 está

basada en controles. ISM3 está basada en proceso e incluye métricas de proceso.

COBIT

En el caso de COBIT, los controles son aún más amplios que en la ISO-IEC 27001. La versión

más actual es la COBIT 5.

Seguridad en los Sistemas Operativos

Todo el mundo desea que los Sistemas Operativos sean " seguros ", pero en todos los
sistemas operativos hay agujeros de seguridad, otra cosa es que no se conozcan.

Cómo se consiguen evitar los agujeros de seguridad:

Evitando el contacto directo con la máquina: Ya que cuando se puede tener acceso a

ésta, se puede modificar su configuración, tanto por programas (virus, programas

servidores, craqueadores, desensambladores, buscadores de claves...), como por

mecanismos físicos (destrozando la bios, cortocircuitando, creando sectores

defectuosos...).

Si se accede por telnet o por otro servicio de red: Tener un buen sistema de claves, y que

al fichero de claves no se pueda tener acceso de ninguna forma. Excepto claro el

administrador o superusuario. Además, si los usuarios son invitados o anónimos,

restringirle al máximo sus derechos, y como caso extremo hasta la escritura. Aparte de

que no puedan ejecutar los programas que ellos quieran en nuestro sistema. E incluso

evitando que usen los compiladores que pueda haber en el sistema (virus, formateos,

scripts...). Y es más, no poder entrar nadie ni cambiarse a superususario o administrador,

para no tener acceso a toda la máquina jamás.

Cerrar los servicios de red que no se necesiten o evitar el acceso a alguno de ellos a horas

que no está el administrador del sistema.

No olvidarse de un buen firewall.

Sistema de archivos: Hay que tener un buen sistema de archivos, que controle a través

del sistema operativo, el acceso a un fichero. Nada de claves independientes de fichero,

por qué lo único que se consigue es olvidar las claves o poner la misma en todas, con lo

cual es un gran fallo.

Criptografía: Es un método más para proteger partes de ficheros, o el fichero entero. En

principio no lo veo necesario a menos que se traten de datos muy importantes. Ya que se

puede perder la clave y no se podrá recuperar, como se puede recuperar las de los

usuarios del sistema operativo.

Seguridad en Internet.
Seguridad en Internet es un tema cuya importancia va aumentando en la medida en que

el uso de las transacciones en la red se hace más accesible. Paralelamente, se incrementa

la necesidad de que la Seguridad en Internet sea reforzada. Con este propósito, la

tecnología SSL ofrece las herramientas con los estándares más altos y las Marcas de

Confianza se empeñan en sus procesos para avalar a las Organizaciones. Ambas convergen

en que los usuarios web obtengan los mejores resultados en calidad y confianza.

El concepto de Seguridad en Internet va tomando matices más complejos y

especializados. Actualmente, incluye servicios y estrategias para resguardar el intercambio

de información y quienes la emiten o reciben. Y cada vez existen instrumentos más

precisos que proporcionan seguridad en toda la red protegiendo los servidores con acceso

a Internet y a redes privadas.

Asimismo, la Seguridad en Internet se ha convertido en un asunto vital para las

Organizaciones que transmiten información confidencial por las redes. De ella depende la

confianza de los visitantes a su sitio web porque los consumidores se resisten a facilitar

datos personales, números de tarjetas de crédito, contraseñas o cualquier información

confidencial por temor a que sea interceptada y manipulada con malas intenciones y los

exponga a riesgos como fraude o robo de identidad.

La Seguridad en Internet se revela como una necesidad constante de

garantías para que los consumidores sepan que sus transacciones en línea están

protegidas.

¿Cómo garantizar la Seguridad en Internet?

Afortunadamente, las Organizaciones tienen a su disposición tecnologías destinadas a

proteger a sus clientes, autentificar sus sitios web y mejorar el grado de confianza de sus

visitantes. Eligiendo entre varias opciones, pueden ofrecer medios a los consumidores

para distinguir con facilidad los sitios web auténticos de las posibles réplicas que pueda

haber creado un usuario malintencionado.

La Seguridad en Internet cuenta con opciones como la tecnología SSL y el respaldo de las

Marcas de Confianza que garantizan a los clientes la seguridad de una transacción y la

autenticidad de los sitios web que visitan, respectivamente.

La tecnología SSL es el estándar mundial de Seguridad en Internet,

cifra la información que se transmite en la red y protege los datos en tránsito que, de otro

modo, podrían interceptarse y manipularse. Además, es compatible con los principales

sistemas operativos, navegadores y aplicaciones web, así como con el hardware de

servidor.

En el mismo sentido, la Seguridad en Internet, encuentra sustento en las Marcas de

Confianza. Su papel va estrechamente ligado al proceso para la emisión de Certificados.

Esto se explica porque para ganarse la confianza de los clientes y potenciar sus ingresos,

las Empresas de comercio electrónico no sólo necesitan proteger los datos que se

transmiten en sus sitios web, también les conviene demostrar cómo lo han hecho.

Así, los sellos de las Autoridades de Certificación o Marcas de Confianza son una forma de

comprobar a los clientes que están protegidos y de ganarse su confianza mediante un

signo de seguridad visible. Su presencia puede ser un factor determinante para usar o

realizar compras en un sitio web de comercio electrónico. Cuando los usuarios ven el sello

de la Autoridad de Confianza saben que pueden confiar en el enlace, sitio web y

transacción.

El sello de Symantec™ es el distintivo de Seguridad en Internet más usado y reconocido

del mundo. Al desplegarse muestra también el nombre del propietario del Certificado, su

periodo de validez, información general sobre los servicios de seguridad incluidos y otros

datos sobre el proceso de validación que sigue Symantec™ antes de emitir el certificado.

Por otro lado, la Seguridad en Internet cuenta con más soluciones avanzadas que dan

tranquilidad a los clientes en otras fases de la interacción electrónica, tales como el

escaneo de malware de sitio web y la prevención de phishing. Ambas estrategias están

encaminadas a fomentar la tranquilidad de los clientes y reducir los riesgos de fraude.

Con los argumentos antes mencionados, los clientes y usuarios confiarán en sus relaciones

con Organizaciones. Para acompañarlas, CertSuperior.com con el respaldo de Symantec™,

les ofrece las opciones con los estándares más altos de Seguridad en Internet y espera el

contacto con ellas para trabajar en esta tarea.

Los 15 ataques de seguridad más comunes:

1. Keyloggers y Spyware. Dichos ataques permiten instalarse silenciosamente en la PC con el

fin de enviar datos sobre la información que la víctima teclea o almacena en el sistema.

2. Backdoor o puerta trasera. Estas herramientas dan acceso remoto para controlar los

sistemas infectados y, cuando son ejecutados, corren encubiertamente.

3. Inyección SQL. Es una técnica de ataque utilizada para explotar vulnerabilidades en

páginas Web que tienen una ruta de comunicación con bases de datos.

4. Abuso al sistema vía acceso privilegiado. Es el abuso deliberado de recursos, accesos o

privilegios concedidos a una persona por una organización.

5. Acceso no autorizado con credenciales predeterminadas. Son los métodos a través de los

cuales los atacantes obtienen acceso a un dispositivo o sistema protegido con contraseñas

y nombres de usuario predeterminados o estandarizados.

6. Violación de usos aceptables y otras políticas. Este ataque no distingue si fue

cometido de manera accidental o premeditada, la violación a una política fue tener graves

consecuencias.

7. Acceso no autorizado mediante listas de control de acceso débiles o mal configuradas

(ACL). Cuando hay las condiciones el atacante puede accesar a recursos y llevar a cabo

acciones sin que la víctima se dé por enterada.

8. Sniffers. Estas herramientas monitorean y capturan información a través de una red.

9. Acceso no autorizado vía credenciales robadas. Para llegar a este punto, el atacante se
valió de otros métodos para ganar acceso válido a sistemas protegidos sin ser detectado.

10. Ingeniería social. Manipular las creencias o sentimientos de la víctima y persuadirla de llevar a
cabo una acción, como facilitarle información confidencial.

11.Las técnicas para evitar o evadir los mecanismos estandarizados de autenticación con el fin de
obtener acceso no a autorizado

a un sistema.

12. Las informaciones podrían comenzar con el robo de una

laptop, un smartphone o incluso un servidor o una PC de escritorio.

13. Ataque de fuerza bruta. Requiere un alto nivel de automatización para

intentar adivinar múltiples combinaciones de usuario y contraseña para obtener acceso a

un sistema.

14. RAM scraper. Diseño de malware para capturar información en la

memoria RAM.

15. Phishing y sus variantes. Una técnica de ingeniería social en la cual un atacante utiliza

comunicaciones electrónicas fraudulentas para provocar que el destinatario facilite

información