Tema 5 - TAI

1.
SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN (SSI)

Debe cubrir las características de confidencialidad, integridad y disponibilidad.
Los riesgos fundamentales asociados con la incorrecta protección de la información:
- Revelación a personas no autorizadas

- Inexactitud de los datos
- Inaccesibilidad de la información cuando se necesita
1.1. DEFINICIÓN DE SEGURIDAD INFORMÁTICA

Protección física del ordenador como componentes hardware, de su entorno, hasta la
protección de la información que contiene o de las redes que lo comunican con el exterior, es
un conjunto de reglas, planes y acciones que permiten asegurar la información contenida en
un sistema computacional, un conjunto de soluciones técnicas a problemas no técnicos.
Confidencialidad: el servicio de seguridad, o condición que asegura que la información no

pueda estar disponible o ser descubierta por o para personas, entidades o procesos no
autorizados, se refiere a la capacidad del sistema para evitar que personas no autorizadas
puedan acceder a la información almacenada en él, asegura que los usuarios pueden acceder a
la información que les está permitida en base a su grado o nivel de autoridad y asegura la
protección en base a disposiciones legales o criterios estratégicos de información privada,
como datos de las nóminas, de los empleados, documentos internos… Este aspecto es
particularmente importante en organismos públicos y más en los relacionados con la defensa.
Algunos mecanismos para salvaguardar la confidencialidad son:
- Técnicas de control de acceso a los sistemas

- Cifrado de la información confidencial o de las comunicaciones
Integridad: el servicio de seguridad que garantiza que la información es modificada, incluyendo

su creación y borrado solo por el personal autorizado, el concepto de integridad significa que
el sistema no debe modificar o corromper la información o permitir que alguien no autorizado
lo haga, permite asegurar que no se ha falseado l a información, el problema de la integridad
se refiere también a cambios accidentales o no intencionados.
Un aspecto variante de la integridad es la autenticidad, proporciona los medios para verificar

que el origen de los datos es correcto, en el campo de la criptografía se usan códigos/firmas
añadidos a los mensajes en origen y recalculados en el destino.
Disponibilidad: el grado en que un dato esta en el lugar, momento y forma en que es requerido
por el usuario autorizado, el sistema, tanto hardware como software se mantiene funcionando
eficientemente y es capaz de recuperarse en caso de fallo.
Lo opuesto a disponibilidad y uno de los posibles métodos de ataque a un sistema informático

se domina denegación de servicio (denial of service), los usuarios no pueden obtener des
sistema los recursos deseados cuando:
- Hay una caída del SO.

- No hay suficiente memoria para ejecutar los programas.
- Los discos, cintas o impresoras no están disponibles o llenos.
- No se puede acceder a la información.
Otros aspectos o características de la seguridad:

- Autenticidad: permite asegurar el origen de la información, la identidad del emisor
puede ser validada, se evita que un usuario se haga pasar por otro.
- Imposibilidad de rechazo (no-repudio): permite asegura que cualquier entidad que
envía o recibe información, no puede alegar ante terceros que no la envió o la recibió.
- Consistencia: asegurar que el sistema se comporta como se supone que debe hacerlo.
- Aislamiento: regula el acceso al sistema, impidiendo que personas no autorizadas
entren en él.
- Auditoria: determinar que acciones o procesos se han llevado a cabo en el sistema y
quien y cuando las ha llevado a cabo.
- Prevención: conocer los registros de actividad de los usuarios.
- Información: pueden detectarse comportamientos sospechosos, se puede realizar un
análisis de información almacenada para conocer lo que ha ocurrido, facilita
enormemente la recuperación en caso de fallo.
2. POLÍTICAS DE SEGURIDAD
Reglas y procedimientos que regulan la forma en que una organización previene,
protege y maneja los riesgos de daño sobre:
- Los computadores de sus sistemas y los elementos físicos (impresoras, discos, cables…)
- Software e información almacenada.
- Usuarios del sistema.
La política de seguridad es una declaración de alto nivel, cubre la seguridad y proporciona las
bases para definir y delimitará responsabilidades para las diversas actuaciones técnicas y
organizativas que se requerirán. La política se refleja en una serie de normas, reglamentos y
protocolos a seguir donde se definen las distintas mediad a tomar para proteger la seguridad
del sistema, distintos componentes y mecanismos para controlar su correcto funcionamiento.
Reglas básicas de política de seguridad:
- Debe cubrir todos los aspectos relacionados con el sistema:

o Debe proteger el sistema en todos los niveles: físico, human, lógico y logístico.
o Debe tener en cuenta los distintos componentes del sistema como hardware
software, entorno físico y usuarios y también la interacción entre los mismo.
o Debe tener en cuenta el tipo de compañía o entidad con que tratamos
(comercial, bancaria, educativa…)
- Debe adecuarse a nuestras necesidades y recursos, el valor de los recursos y a la
información, el uso que se hace del sistema.
- Toda la política de seguridad debe basarse:
o Un conocimiento del sistema a proteger y de su entorno.
o Un conocimiento y experiencia en la evaluación de riesgos y el establecimiento
de medidas de seguridad.
o Un conocimiento de la naturaleza humana, de sus posibles motivaciones.
A la hora de establecer una política de seguridad debemos:
- Determinar los recursos a proteger y su valor: lograr que un ataque a nuestros bienes
sea más costoso que su valor, invirtiendo menos de lo que vale, normas básicas en la
evaluación de riesgos: valor intrínseco del producto a proteger y costes derivados de
su perdida.
- Analizar las vulnerabilidades y amenazas de nuestro sistema, su probabilidad y su
coste:
o La seguridad debe cubrir todos los posibles métodos de ataque.
o La máxima seguridad obtenible es la del elemento más débil del sistema.
o La solución de seguridad constituye un sistema complejo.
- Definir las medidas a establecer para proteger el sistema: las medidas deben
establecerse a todos los niveles (físico, humano y logístico).
- Monitorizar el cumplimiento de la política, revisarla y mejorarlas cada vez que se
detecte un problema.
2.1. TIPOS DE MEDIDAS DE SEGURIDAD

Diseñar sistemas mediante criterios de seguridad es más complejo, pues las amenazas
con poco cuantificables y muy variadas, las medidas de seguridad llevan un costo aparejado, a
mayores y más restrictivas medidas de seguridad, menos amigable es el sistema, las medidas
de seguridad que pueden establecerse en un sistema informático son:
- Medidas físicas: mecanismos para impedir el acceso directo o físico no autorizado,

también protege de desastres naturales. Se trata de establecer un perímetro de
seguridad.
o Protección contra accesos no deseados
o Protección contra incendios
o Resistencia de elementos constructivos
o Instalaciones auxiliares
o Grupos de continuidad y electrógenos
o Firewalls
o Control de condiciones medioambientales
o Vigilancia (cámaras, guardias…)
o Sistemas de contingencia y recuperación (SAI, redundancia…)
En relación con la adecuación de locales:
o Construir barreras físicas

o Proteger los locales de amenazas potenciales como fuego, humo, polvo...
En relación con la instalación de líneas de telecomunicaciones:
o Medidas para proteger los cables de líneas de datos contra escuchas o daños
En relación con la ubicación de equipamiento, materiales y copias de respaldo:
o Situar en áreas seguras los equipos a proteger donde se minimicen accesos

o Definir perímetros de seguridad con controles y barreras de entrada
o Ubicar el equipamiento alternativo y copias d respaldo en sitios diferentes
En relación con la entrada y salida física de personas:
o Controlar la entrada en exclusiva al personal autorizado, autorizar solo con

propósitos específicos, registrando los datos y tiempos de entrada y salida
o Restringir el acceso a las áreas seguridad del personal de los proveedores o de
mantenimiento a los casos requeridos
- Medidas lógicas: incluye las medidas de acceso a los recursos, el uso correcto de los
mismos, distribución de las responsabilidades entre los usuarios, protección de la
información almacenada.
o Establecimiento de una política de control de accesos (sistema de
identificación y autentificación, sistema de control de acceso a la información)
o Política de instalación y copia de software
o Criptografía para proteger los datos y las comunicaciones
o Política de copias de seguridad
o Política de monitorización y auditoria del sistema
- Medidas humanas: definir las funciones, relaciones y responsabilidades de distintos

usuarios potenciales del sistema:
o El administrador del sistema y en su caso el administrador de seguridad
o Los usuarios del sistema
o Las personas relacionadas con el sistema pero que no lo usan
o Las personas ajenas al sistema
- Medidas administrativas: aquellas que deben ser tomadas por las personas encargadas
de definir la política de seguridad
o Documentación y publicación de la política de seguridad
o Establecimiento de un plan de formación del personal
- Medidas legales: aplicación de medidas legales para disuadir al posible atacante o para
aplicarle algún tipo de castigo a posteriori. Normalmente son fijadas por instituciones
gubernamentales e incluso instituciones internacionales como LOPD (Ley Orgánica de
Protección de Datos)
3. IDENTIFICACION Y AUTENTIFICACION
Las herramientas y aplicaciones forman la base técnica de la política de seguridad, pero la
política de uso aceptable debe considerar otros aspectos (quien tiene permisos, acceso,
responsabilidades…)
Para poder entrar en un recinto será necesario saber de quien se trata y si el sujeto está
autorizado, será preciso identificar al sujeto (identificación) de forma totalmente fiable
(autenticación o verificación) y consultar un archivo, base de datos y/o algoritmo que nos diga
si el sujeto tiene o no autorización para realizar la acción demandada (autorización).
Esto implica que antes se haya establecido un sistema para identificar a los sujetos (gestión de
la identificación), se haya definido un sistema para autentificar al usuario (Autentificador), y
que para cada usuario se haya definido una tabla de permisos. Cuando el usuario intente
entrar en el sistema, deberá dar su identificación, que el sistema verificará (Comprobación del
identificador), realizar la operación pertinente para demostrar que es quien dice ser
(contraseña) y el sistema lo comprobará (Autentificación).
Otorgamientos de permisos: el administrador de seguridad será el encargado de introducir los
datos de los privilegios al sistema. Pueden darse individualmente a una persona o a un grupo
de personas con las mismas características.
Identificación y verificación del usuario: las claves son los mecanismos mas utilizados, pero
tienen algunos problemas como posibilidad de conocerlos por fuerza bruta, no hay manera de
saber si un intruso ha accedido, es difícil conseguir que los usuarios utilicen una buena
práctica…
Es posible reducir estos inconvenientes si reducimos el número de intentos para introducir la

clave, que esta tenga la suficiente longitud y que admita números y caracteres especiales…
Control de acceso: seleccionar o filtrar los usuarios que pueden acceder a recursos
informáticos, en redes telemáticas se puede hacer la selección del acceso según:
- La máquina (ordenador cliente): solo sirve para procedimientos remotos, son mas
seguros, pero limitan la libertad de poder acceder desde cualquier ordenador.
- El usuario (persona o programa)
Otro criterio es donde se pone el sistema de control:
- En el servidor: el ordenador que almacena la información instala los filtros en el SO,

esto permite realizar la selección también para los usuarios que acceden físicamente al
ordenador, el problema es gestionar el acceso de una lista en muchos servidores, para
solucionar esto hay sistema que centralizan la gestión (Kerberos o Radius).
- En la red: se instalan filtros en la red que controlan los accesos desde maquinas
remotas, estos se pueden implementar en Switchs LAN, Routers o Firewalls. Permite
controlar zonas y grupos.
4. AMENAZAS Y VULNERABILIDADES
Definiciones:
- Amenaza: eventos que pueden desencadenar un incidente en la organización,

produciendo daños materiales o perdidas inmateriales en sus activos.
- Activos: recursos del sistema de información o relacionados con este, necesarios para
que la organización funcione correctamente.
- Vulnerabilidades: la probabilidad de sufrir un determinado ataque en un plazo de
tiempo dado.
Magerit define:
 Vulnerabilidad: potencialidad o posibilidad de ocurrencia de la

materialización de una amenaza sobre el activo.
 Impacto: consecuencia sobre el activo de la materialización de una
amenaza.
 Riesgo: posibilidad de que se produzca un impacto determinado en un
activo, en un domino o en la organización.
Vulnerabilidades que afectan a todos los sistemas:
- Instalaciones por defecto de sistemas y aplicaciones: la mayoría del software viene con
scripts de instalación, estos típicamente instalan más componentes de los que se
necesitan en realidad, lo que realmente está instalado en los sistemas deja peligrosos
programas de demostración u otras herramientas potencialmente peligrosas.
- Cuentas sin contraseña o débiles: los nombres de usuario (UID) son relativamente
fáciles de conseguir, toda la seguridad recae en una contraseña fuerte.
- Respaldos incompletos o inexistentes (backups): la recuperación requiere respaldos
actualizados y métodos probados para restaurar la información, se deben verificar el
respaldo y la restauración.
- Gran numero de puertos abiertos: tanto los usuarios legítimos como los atacantes se
conectan a los sistemas por medio de puertos, cuantos más puertos abiertos más
formas hay para que alguien se conecte, es importante mantener abiertos solo los
puertos imprescindibles.
- Insuficiente filtrado de los paquetes con direcciones de inicio y destino inadecuadas:
falsificaciones de direcciones IP es un método comúnmente utilizado por los atacantes,
utilizar un mecanismo de filtrado sobre el trafico que entra en la red (ingress filtering)
y el que sale (egress filtering) ayuda a lograr un alto nivel de protección.
- Registro de eventos (logging) incompleto o inexistente: la prevención es ideal pero la
detección es fundamental, una vez atacado, sin registros (logs) hay muy pocas
probabilidades de que descubra que hicieron realmente los atacantes.
- Programas CGI vulnerables: la mayoría de los servidores web, incluyendo IIS (Microsoft
Internet Information Service) de Microsoft y Apache, permiten el uso de programas
CGI (Common Gateway Interface), proporcionar interactividad a las páginas web, los
programas proporcionan un vínculo directo entre cualquier usuario en cualquier parte
de internet y el SO en la máquina que se encuentra ejecutando el servidor web.
Vulnerabilidades que afectan a sistemas Windows:
- Vulnerabilidad Unicode: salto de directorio en servidores web Unicode, mediante el

envió a un servidor IIS de una URL creada con secuencias invalidas de Unicode UTF-8
un atacante puede forzar a que el servidor entre y salga de cualquier directorio y
ejecute scripts de forma arbitraria.
- Desbordamiento de buffer en extensiones ISAPI (Internet Server Application
Programming Interface):
- IIS es un servidor web que se encuentra en la mayoría de los sitios basados en
Microsoft, cuando se instala IIS, se instalan también varias extensiones ISAPI mediante
el uso de DLL como idq.dll, contienen errores de programación que causan que estas
realicen un chequeo incorrecto de límites.
- Exploit para RDS del IIS (Servicios de información remota Microsoft): es posible
explotar fallos de programación en los servicios RDS de IIS para ejecutar comandos
remotos con atributos administrativos.
- NETBIOS (recursos compartidos en red no protegidos): el protocolo SMB (Server
Message Block) también conocido como CIFS (Common Internet File System), permite
habilitar la compartición de recursos a través de la red, compartir archivos en
maquinas Windows las hace vulnerables tanto al robo de información como a ciertos
tipos de virus que se propagan con rapidez, Macintosh y UNIX son también vulnerables
a ataques de este tipo si los usuarios habilitan la compartición de archivos.
- Fuga de información a través de conexiones de tipo “sesión nula”: también conocido
como “entrada anónima al sistema” es un mecanismo que permite a un usuario
anónimo obtener información a través de la red o conectarse sin autenticarse contra el
sistema.
- Hashing débil en SAM: la mayor parte de los usuario de Windows no tienen necesidad
de soporte para LAN Manager, Microsoft almacena las contraseñas LAN por defecto,
utiliza un esquema de cifrado mucho más débil que le resto de los utilizados en
Microsoft.
Vulnerabilidades que afectan a sistemas UNIX
- Desbordamiento de Buffer en los servicios RPC: las llamadas a procedimiento remoto

(RPC) hacen posible que programas que se encuentran ejecutándose en un sistema
ejecuten a su vez otros programas en un segundo sistema, son ampliamente utilizadas
para acceder a servicios de red tales como el compartir archivos a través de NFS o NIS,
la mayor parte de los ataques DDoS fueron lanzados desde sistemas que habían sido
comprometidos debido a vulnerabilidades en los RPC.
- Vulnerabilidades en sendmail: es un programa que envía, recibe y redirecciona la
mayor parte del correo electrónico procesado en maquinas UNIX y Linux, es un
objetivo prioritario de los hackers. Han sido descubiertos diversos defectos como la
posibilidad de ejecuta código arbitrario por desbordamientos a la hora de tratar los
mensajes que recibe.
- Debilidades en BIND: el paquete BIND (Berkeley Internet Name Domain) es la
implementación más utilizada de DNS, un ataque clásico a BIND, los intrusos borraron
los logs del sistema e instalaron herramientas que les permitieron conseguir privilegios
de administrador.
- Los comandos “r”: las relaciones de confianza son ampliamente utilizadas en el mundo
UNIX para la administración de sistemas, permite saltar de sistema en sistema
convenientemente. Los comandos “r” permiten acceder a sistemas remotos sin tener
que introducir ninguna contraseña (rlogin, rsh, rcp).
- LPD (Demonio del Protocolo de Impresión remota): el demonio “in.lpd” proporciona
los servicios necesarios para que los usuarios puedan hacer uso de la impresora local,
LPD espera dichas peticiones escuchando el puerto TCP 515.
- “sadmind” y “mountd”: “sadmind” permite la administración remota de sistemas
Solaris. “mountd” control y arbitra el acceso a los volúmenes NFS en los sistemas UNIX,
existe la posibilidad de utilizar desbordamientos de buffer en las mismas para
conseguir acceso como superusuario en los sistemas afectados.
- Nombres de comunidad SNMP por omisión: SNMP es ampliamente utilizado por los
administradores de red para supervisar y administrar todo tipo de dispositivos en red.
El único mecanismo de autenticación que SNMP usa es un “nombre de comunidad” no
cifrado. Posibles agresores pueden utilizar esta vulnerabilidad en SNMP para
reconfigurar o incluso desactivar dispositivos remotamente.
Puertos comúnmente vulnerables: los puertos conocidos como “puertos IANA” son los 1024
primeros puertos del PC, esta adjudicó a cada uno de estos puertos una utilidad, protocolo…
para estandarizar la comunicación.
Los puertos “registrados” son los comprendidos entre el 1024 y el 49151 sobre los que
trabajan programas, protocolos… pero sobre los cuales no actúa la estandarización de IANA.
Los puertos dinámicos o privados se comprenden entre el 49151 y el 65535.
Los puertos troyanos son puertos que utilizan por defecto los troyanos para establecer la
comunicación servidor-cliente, bloquear estos puertos constituye tan solo un requisito mínimo
necesario para la seguridad perimetral, mucho mejor es bloquear todos aquellos puertos que
no son utilizados.
Servicios de inicio de sesión:
telnet (23/tcp) SSH (22/tcp) FTP (21/tcp) NetBIOS (139/tcp)
NFS (2049/tcp)
Servicio de nombres:
DNS (53/udp)
Mail:
SMTP (23/tcp) POP (110/tcp) IMAP (143/tcp)
Web:
HTTP (80/tcp) SSL (443/tcp)
Otros:
TFTP (69/udp) NNTP (119/tcp) SNMP (161/tcp)
ICMP: es recomendado bloquear los mensajes ICMP “echo request” entrantes (ping y
traceroute), “echo reply” salientes, “time exceded” y “destination unreachable”.
Vulnerabilidades que afectan a servidores web:
- Parámetros no validos: las aplicaciones web utilizan información de las peticiones

HTTP para saber como responder, los atacantes exploran cualquier parte de la petición
HTTP (url, cabeceras, cookies y campos ocultos). Si no existe un mecanismo que
permita una fuerte y centrada validación de parámetros, existe un riesgo potencial.
- Control de acceso violado: los controles de acceso y autorización, es la forma en que
una aplicación web da acceso a los contenidos y funciones a unos usuarios frente a
otros.
- Ruptura en el manejo de control de cuentas y sesiones: muchas implementaciones de
administración de calves con fallos pueden comprometer a los usuarios del sistema, en
muchas ocasiones las sesiones no están protegidas.
- Desbordamiento de buffer: para corromper la ejecución de los servicios web, enviando
entradas cuidadosamente preparadas a la aplicación, se puede conseguir que esta
ejecute un código arbitrario, incluso tomar el control de la máquina.
- Errores por inyección de comandos: la inyección de código permite a los atacantes
introducir código dañino a través del servicio web a otros sistemas, son llamada de
sistema, utilización de programas externos mediante intérprete de comandos y
llamadas SQL a las bases de datos de backend.
- Problemas con el manejo de errores: mensajes de error interno donde se da
información de las trazas, registros de bases de datos y códigos de error. Estos
mensajes revelan detalles de la implementación que no deberían de ser mostrados.
- Uso inseguro de la criptografía: muchas aplicaciones web tienen una necesidad de
almacenar información sensible, como contraseñas, números de tarjetas de crédito o
información de la propiedad, los desarrolladores cada vez comenten más errores al
integrar el cifrado en las aplicaciones.
- Errores de implementaciones de administración remota: interfaces administrativas
para controlar una aplicación web, problemas comunes incluyen la no utilización de
autentificación y cifrado para el acceso, la mala definición de las funciones de
administración, errores en la separación entre los usuarios y administradores y dar
capacidades administrativas que no son necesarias.
- Fallos en sistemas con scripts: cuando un atacante utiliza una aplicación web para
enviar código dañino, generalmente JavaScript a otro usuario, se puede llegar a
introducir código que afecte a otros posibles usuarios del sistema.
- Falta de configuración correcta en los servidores: los servidores son los encargados de
servir los contenidos y de llamar a las aplicaciones que generan dichos contenidos. Se
proveen numerosos servicios añadidos como pueden ser almacenamiento, servicio de
directorio, corre, mensajería… Hay numerosos apartados de configuración que deben
ser considerados: aplicación de parches de corrección, mala configuración que permite
el listado de directorios, ficheros no necesarios, permisos incorrectos…
5. ATAQUES Y AMENAZAS
Tipos de ataques y amenazas: todas aquellas acciones que supongan una violación de la
seguridad de nuestro sistema (confidencialidad, integridad o disponibilidad), se pueden
clasificar en:
- Interrupción: un recurso del sistema es destruido o se vuelve no disponible, es un

ataque contra la disponibilidad (Nukes: causan que los equipos queden fuera de
servicio).
- Intercepción: una entidad no autorizada consigue acceso a un recurso, ataque contra
la confidencialidad (Troyanos: copia ilícita de archivos o programas o bien la lectura de
las cabeceras de paquetes de datos para desvelar la identidad, Spoofing…)
- Modificación: una entidad no autorizada no solo consigue acceder a un recurso, sino
que es capaz de manipularlo. Virus y troyanos poseen esa capacidad, es un ataca
contra la integridad. Modificación de cualquier tipo en archivos de datos, alterar un
programa, modificar el contenido de información que este siendo trasferida por la
red…
- Fabricación: una entidad no autorizada inserta objetos falsificados en el sistema, es un
ataque contra la autenticidad (Inserción de mensajes falsos en una red o añadir datos
a un archivo), pueden clasificarse en:
o Ataques activos: algún tipo de modificación de los datos o la creación de falsos
datos (suplantación de identidad, modificación de mensajes, web spoofing…)
o Ataques pasivos: el atacante no altera la comunicación si no que únicamente
la escucha o monitoriza para obtener la información que está siendo
transmitida, son muy difíciles de detectar ya que no provocan ninguna
alteración de los datos, es posible evitar su éxito mediante el cifrado de la
información.
5.1. CLASIFICACIÓN DE LOS ATAQUES POR SU “MODUS OPERANDI”

- Escaneo de puertos: buscar puertos abiertos y fijarse en los que puedan ser receptivos
o de utilidad, el escaneo tradicional consiste en seleccionar un rango de IPs y hacer
esas llamadas a unas direcciones IP consecutivamente, aunque también se puede
hacer un escaneo a una IP concreta. Los firewalls actuales detectan esa llamada a
puertos consecutivos y por lo tanto reconocen el escaneo.
- Ataques de autenticación: suplantación de una persona con autorización por parte del
atacante, se suele realizar de dos formas, obteniendo el nombre y contraseña del
atacado o suplantando a la víctima una vez esta ya ha iniciado una sesión en su
sistema. Se utilizan varias técnicas:
o Simulación de identidad: técnica para hacerse con el nombre y contraseña de
usuarios autorizados de un sistema. El atacante instala un programa que
recrea la pantalla de entrada al sistema, el programa los captura y muestra
una pantalla de “error en el acceso” al usuario, este cree que en el primer
intento se equivocó al teclear, sin embargo, su login y clave han sido
capturados por el atacante.
o Spoofing: ataques (sobre protocolos) consisten en sustituir la fuente de origen
de una serie de datos adoptando una identidad falsa para engaña a un firewall
o filtro de red, los más conocidos son:
 IP Spoofing: sustituye una IP, el atacante logra identificarse con una IP
que no es la suya, con lo que a ojos del atacado el agresor es una
tercera persona en vez del atacante real.
 DNS Spoofing: sustituye un servidor DNS, aprovecha de la capacidad
de un servidor DNS de resolver una petición de dirección IP a partir de
un nombre que no figura en su base de datos.
 Web Spoofing: el atacante crea un sitio web (falso) similar al que la
víctima desea entrar, los accesos a este sitio están dirigidos por el
atacante permitiéndole monitorizar todas las acciones de la víctima:
datos, contraseñas, números de tarjeta… el atacante también es capaz
de modificar cualquier dato que se transmita entre el servidor original
y la víctima o viceversa.
 Fake-mail: envío de emails con remitente falso, el atacante envía email
en nombre de otra persona con cualquier motivo.
o Looping: el intruso utiliza algún sistema para obtener información e ingresar
en otro, que luego utiliza para entrar en otro y así sucesivamente, tiene como
finalidad hacer imposible localizar la identificación y la ubicación del atacante.
Entre el origen físico y el sistema que finalmente se utilice para realizar el
ataque puede n existir muchos sistemas intermedios, dificultando su
localización. Otra consecuencia es que la víctima puede suponer que están
siendo atacada por un insider o por alguien a miles de kilómetros, es imposible
de determinar.
o IP Splicing-Hijacking: método de sustitución que consiste en que el atacante
espera a que la víctima entre en una red usado su nombre, contraseña y
demás y una vez que la víctima ha superado los controles de identificación y ha
sido autorizada, la expulsa del sistema y se hace pasar por ella.
o Backdoors (puertas traseras): son trozos de código en un programa que
permite a quien los conocen saltarse los métodos usuales de autentificación
para realizar ciertas tareas, son insertados por los programadores para agilizar
la tarea de probar código durante la fase de desarrollo, son fallos de seguridad
que se mantienen voluntariamente o no una vez terminado el producto.
o Exploit: ingresar a un sistema aprovechándose de agujeros en los algoritmos
de encriptación utilizados.
o Obtención de contraseñas: es la obtención por “fuerza bruta” de nombres de
usuarios y calves de acceso, las contraseñas habitualmente utilizadas sestan
vinculadas a nuestros nombres reales, nombres de familiares/mascotas,
fechas. Suele realizar este tipo de ataques usando una clase de programas
llamados diccionarios (programas que en su base de datos contienen millones
de palabras, van probando con millones de combinaciones de letras y números
encriptados, hasta descubrir la combinación correcta).
- Denial of Service (DoS): ataque de negación de servicio, produce la imposibilidad por
parte de la victima de acceder y/o permitir el acceso a un recurso determinado, la
imposibilidad de un servidor de prestar sus servicios. Es más fácil corromper un
sistema que acceder clandestinamente al mismo, estos ataques intentan corromper o
saturar los recursos de la víctima por medio de peticiones de conexión para lograr
desactivarla por medio de saturación, ataques más usuales:
o Jamming o Flooding: ataques que saturan los recursos del sistema de la
victima dejándola sin memoria, sin espacio libre en su disco duro o saturando
sus recursos en red.
o Syn Flood: inundación con paquetes SYN, cuando se establece una
comunicación a través de TCP el servidor envía un paquete que si el cliente no
contesta entra en un estado denominado semiabierto, no se ha atendido el
saludo inicial. El servidor permanecerá a la escucha un determinado tiempo
hasta cancelar la llamada, si se envían muchos saludos incompletos se
consigue que el servidor se paralice.
o Land Attack: consiste en un bug en la implementación de la pila TCP/IP en
Windows, el ataque envía a algún puerto abierto de un servidor (113 o 139) un
paquete, maliciosamente construido con la IP y puerto origen igual que la IP y
puerto destino termine por colapsarse.
o Supernuke o Winnuke: Nuke es el ataque más común de los equipos Windows,
hace que los equipos que escuchan por el puerto UDP 137 a 139 (utilizando
NetBios), queden fuera de servicio o disminuyan su rendimiento al enviarle
paquetes UDP manipulados, se envían fragmentos de paquetes que la
maquina victima detecta como erróneos pasando a un estado inestable.
o Teardrop: afectan a fragmentos de paquetes, algunas implementaciones de
colas IP no vuelve a recomponer correctamente los fragmentos ya que se
superponen haciendo que el sistema se cuelgue.
o Mail bombing / Mail Spamming: consiste en un envío indiscriminado y masivo
de un mensaje idéntico a una misma dirección, saturando así buzón el de
correo del destinatario.
- Ataques de modificación / daño:
o Tampering o Data Diddling: una modificación no autorizada de datos o
software instalado en el sistema victima (incluyendo borrado de archivos), es
decir, una vez se ha entrado en un sistema, se modificación o borran datos del
mismo, por ejemplo en bases de datos de bancos para crear cuentas falsas y
desviar dinero, para modificar páginas de algún servidor, sustituir archivos por
otros similares pero con troyanos o virus, o borrar archivos y colgar el sistema
o destruir alguna base de datos o programa.
o Ataques usando Java Applets: son ejecutados desde otra aplicación como un
navegador de interne, los navegadores actuales implementan JVM para poder
ejecutarlos, no son más que código ejecutable y como tal puede ser
manipulado por intrusos.
o Ataques usando JavaScript y VBScript: son dos lenguajes usados por los
diseñadores de sitios web evitando el uso de java, los programas son
interpretados por el navegador, son capaces de iniciar aplicaciones tales como
grabar información en le disco, por lo que atentan seriamente contra la
seguridad de un sistema ya que pueden colar virus.
o Ataques usando ACTIVEX: es una tecnología de Microsoft cuya seguridad se
basa en certificados y firmas digitales. Una Autoridad Certificadora (AC)
expende un certificado que acompaña a los controles activos y a una firma
digital del programador. Un usuario descarga una página con un control, se le
preguntara si confía en la AC que expendio el certificado, si el usuario acepta el
control, este puede pasar a ejecutarse sin ningún tipo de restricciones, el
problema es que los usuarios aceptan los certificados sin pararse a leerlos, y
estes se basan en que le programador del control ActiveX asegura que su
control no es nocivo, lo cual es falso en bastantes ocasiones.
o Cookies: solo representan una amenaza para la privacidad ya que pueden
cumplir la función de espiar. No son capaces de causar daño al sistema, se
utilizan para reconocer al usuario al entrar en determinados sitios web.
o Ataques usando vulnerabilidades de los navegadores: fallos del navegador, los
más comunes son los “buffer overflow” debido a una debilidad de los buffers
de algunos navegadores para el procesamiento de las entradas de usuario, se
puede llegar a manipular datos como URL almacenadas.
- Explotación de errores:
o Errores de diseño, implementación y operación: sistemas están expuestos a
agujeros de seguridad que son explotados para acceder a archivos, obtener
privilegios o realizar sabotaje. Ocurren por varias razones como puertas
traseras, bugs…
6. CONCEPTOS BÁSICOS SOBRE VIRUS

Es un programa que tiene la capacidad de causar daño y puede replicarse a si mismo y
propagarse a otras computadoras. Infecta “entidades ejecutables”: archivo o sector de las
unidades de almacenamiento que contenga códigos de instrucción que le procesador vaya a
ejecutar, se programa en lenguaje de bajo nivel, requiere conocimientos del funcionamiento
interno del pc, tienen tres características principales:
- Dañino: siempre causa daños en el sistema que infecta, el hacer daño no significa que
vaya a romper algo, el daño puede ser implícito se busca es destruir o alterar la
información o pueden ser situaciones con efectos negativos para la computadora,
consumo de memoria principal, tiempo de procesador, disminución de rendimiento…
- Autorreproductor: crear copias de si mismo, cosa que ningún otro programa
convencional.
- Subrepticio: utilizara distintas técnicas para evitar que el usuario se de cuenta de su
presencia (se oculta). Tener un tamaño reducido para poder disimularse a primera
vista, la peligrosidad de un virus está dada por lo critico del sistema que este
infectando, no pueden causar daño directo sobre el hardware, pero si pueden hacer
ejecutar operaciones que reduzcan la vida útil de estos. Por lo general prefieren atacar
los archivos y no meterse con la parte física.
Funcionamiento: este tipo de programas se pega a alguna entidad ejecutable que le facilitara
la subida a memoria principal y la posterior ejecución, como entidades ejecutables reconocen
los sectores de arranque de los discos de almacenamiento (MBR), los archivos ejecutables de
DOS (.exe), librerías, módulos de programas (.dll, .lib,…) los sectores de arranque son
fundamentales para garantizar que el virus será cargado cada vez que se encienda el pc.
El virus puede tener control total de la maquina al igual que el SO, si logra cargarse antes que
nadie, la necesidad de tener que asociarse a una entidad ejecutable vienen de que como
cualquier otro programa de pc, necesita ser ejecutado y teniendo en cuenta que ningún
usuario en su sano juico lo hará se vale de otros métodos furtivos, según la secuencia de
arranque de los PC, el microprocesador tiene fijado de fábrica la dirección de donde puede
obtener la primera instrucción a ejecutar. Apunta a una celda de la memoria ROM donde se
encuentra la subrutina POST encargada de varias verificaciones y de comparar el registro de la
memoria CMOS con e hardware instalado (función checksum). Sería imposible que el virus
logre cargarse ya que la memoria ROM viene grabada de fábrica y no puede modificarse.
El POST pasa el control a otra subrutina de la ROM BIOS llamada “Bootstrap ROM” que copia el
MBR en memoria RAM. El MBER contiene la información de la tabla de particiones, para
conocer la delimitación de cada partición, su tamaño y cual es la partición activa desde donde
se carga el SO. En este punto el procesador empieza a ejecutar de la memoria RAM, dando la
posibilidad a que un virus tome partida. Hasta aquí el SO todavía no fue cargado y en
consecuencia tampoco el antivirus. El funcionamiento típico del virus seria copiar el MBR en un
sector alternativo y tomar su posición. Así, cada vez que se inicie el sistema el virus lograr
cargarse antes que el SO y luego, respetando su dese por permanecer oculto hará ejecutar las
intrusiones del MBR.
Con la información del MBR sabremos que partición es la activa y en que sector se encuentra
su sector de arranque, el BR contiene una subrutina que se ocupara de cargar los archivos de
arranque del SO, es importante recordad que le SO es el último en cargarse en la secuencia de
arranque antes de que el usuario pueda introducir comandos en la Shell. El antivirus es
cargado por los archivos de configuración del SO personalizable por el usuario.
Cuando un virus infecta un archivo ejecutable .exe, intenta rastrear en el código los puntos de
entrada y salida del programa. El primer punto señalado es en donde, dentro del archivo, se
iniciará la ejecución de instrucciones. El segundo punto resulta ser lo opuesto. Cuando un virus
localiza ambos puntos escribe su propio código antes de cada uno, este código cargara el virus
en memoria y apuntara a esa zona infectada con el virus, a partir de ahí determinara cuales
son las acciones a seguir: puede continuar infectando archivos que sean cargados en memoria,
ocultarse o ejecutar el contenido de su modulo de ataque. El virus puede infectar también las
copias de los archivos cargados en memoria que están en la unidad de almacenamiento. Así se
asegura que, ante un eventual apagado, su código igualmente se encuentra en los archivos de
la unidad. Es importante comprender que la computadora no estará infectada hasta que
ejecutemos algo parasitado previamente con el virus, un virus puede contener tres módulos
principales:
- Módulo de reproducción: encargado de manejar las rutinas para infectar entidades

ejecutables que aseguraran la subsistencia del virus. Cuando toma el control del
sistema puede infectar otras entidades ejecutables.
- Módulo de ataque: contiene las rutinas de daño adicional o implícito. Puede ser
disparado por distintos eventos del sistema: fecha, hora, encontrar un archivo o sector
especifico, una determinada cantidad de arranques desde que ingreso al sistema…
- Módulo de defensa: principal objetivo es proteger el cuerpo del virus, incluye rutinas
que disminuyen los síntomas que delatan su presencia para que permanezca invisible,
muy sofisticadas logrando dar información falsa al SO y localizándose en lugares poco
comunes para el registro de los antivirus, como la memoria flash/ROM.
Métodos de infección:
- Añadidura o empalme: el código del virus se agrega al final del archivo ejecutable a
infectar, modificando las estructuras de arranque del archivo anfitrión, el control del
programa pase primero al virus cuando se quiera ejecutar el archivo, este cambio de
secuencia permite al virus realizar sus tareas especificas y luego pasar el control al
programa para que este se ejecute normalmente. La principal desventaja es el tamaño
del archivo infectado es mayor al original, lo que permite una fácil detección.
- Inserción: los virus que utilizan el método de inserción buscan alojarse en zonas de
código no utilizadas o en segmentos de datos dentro de los archivos que contagian, la
longitud total del archivo infectado no varía. Exige mayores técnicas de programación
de los virus para poder detectar las zonas posibles de contagio dentro de un
ejecutable.
- Reorientación: se introducen centrales virósicas en zonas físicas del disco rígido
marcadas como defectuosas o en archivos ocultos del sistema. Al ejecutarse,
implantan pequeños trozos de código en los archivos ejecutables que infectan, actúan
como llamadores de las centrales virósicas. El cuerpo del virus, al no estar insertado en
el archivo infectado, sino en otro sitio oculto, puede tener un tamaño bastante grande,
aumentando así su funcionalidad. La desventaja mas fuerte es que la eliminación de
este tipo de infecciones es bastante sencilla. Basta con borrar archivos oculto
sospechosos o reescribir las zonas del disco marcadas como defectuosas.
- Polimorfismo: método más avanzado de contagio logrado por los programadores, la
técnica básica usada es la de inserción de código viral en un archivo ejecutable, pero
para evitar el aumento de tamaño del arco infectado, el virus compacta parte de su
código y del código del archivo anfitrión de manera que la suma de ambos sea igual al
tamaño original del archivo. Al ejecutar, el programa infectado actúa primero el código
del virus descompactando en memoria las porciones previamente compactadas,
permite a los virus usar métodos de encriptación dinámicos para evitar ser detectados.
- Sustitución: usado con variantes por los troyanos, es el método mas primitivo. Consiste
en sustituir el código completo del archivo original por el código del virus, al ejecutar el
programa infectado el único que actúa es el virus, que cumple con sus tareas de
contagiar otros archivos y luego termina la ejecución del programa reportando algún
tipo de error.
- Tunneling: técnica usada por programadores de virus y antivirus para evitar todas las
rutinas al servicio de una interrupción y tener así un control directo sobre esta,
requiere programación compleja, hay que colocar le procesador en modo kernel, tras
ejecutarse cada instrucción se produce la INT 1, se coloca una ISR (Interrupt Service
Routine) para dicha interrupción y se ejecutan instrucciones comprobando si se ha
llegado a donde se quería hasta recorrer toda la cadena de ISR. Los virus utilizan el
tunneling para protegerse de los módulos residentes de los antivirus que monitorean
todo lo que sucede en la máquina para interceptar todas las actividades “típicas” de
los virus.
Clasificación de los virus:
- Según su comportamiento:
o Caballos de Troya: no llegan a ser realmente virus porque no tienen la
capacidad de autorreproducirse. Se esconden dentro del código de archivos
ejecutables y no ejecutables pasando inadvertidos por los controles de
muchos antivirus. Posee subrutinas que permitirán que se ejecute en el
momento oportuno. Su objetivo será el de robar las contraseñas que el
usuario tenga en sus archivos o las contraseñas para el acceso a redes.
Después de que el virus obtenga la contraseña que deseaba, la enviara por
correo a la dirección que tenga registrada como la de la persona que lo envió a
realizar la tarea, se usan estos métodos para el robo de contraseñas para
acceso a internet de usuario hogareños, un troyano que infecta la red de una
empresa representa un gran riesgo ya que esta facilitando enormemente el
acceso a intrusos. Muchos so utilizados para espionaje industrial y están
programados para autodestruirse una vez cumplen el objetivo, destruyendo
toda evidencia.
o Camaleones: variedad de los troyanos, actúan como otros programas
comerciales, en los que el usuario confía, en realidad están haciendo algún
tipo de daño. Los camaleones pueden realizar todas las funciones de los
programas legítimos a los que sustituyen (actúan como programas de
demostración de productos, los cuales son simulaciones de programas reales).
Un camaleón podría emular un programa de acceso a sistemas remotos
(rlogin, telnet) realizando todas las acciones que ellos realizan, pero como
tarea adicional (y oculta) va almacenando en algún archivo los diferentes
logins y claves para recuperarlos y utilizarlos posteriormente por el atacante.
o Virus polimorfos o mutantes: poseen la capacidad de cifrar el cuerpo del virus
para que no pueda ser detectado fácilmente por un antivirus, deja disponibles
unas cuantas rutinas que se encargaran de descifrar el virus para poder
propagarse una vez descifrado el virus intentara alojarse en algún archivo de la
computadora. El virus presenta un modo descifrad, en el que puede infectar,
para que presente su característica de cambio de formas debe poseer algunas
rutinas especiales, si mantuviera siempre esta estructura cualquier antivirus
podría reconocerlo. Para esto incluye un generador de códigos al que se
conoce como motor de mutación, utiliza un generador numérico aleatorio
que, combinado con un algoritmo matemático, modifica la firma del virus,
podrá crear una rutina de descifrado que será diferente cada vez que se
ejecute. Los métodos básicos de detección no pueden dar con este tipo de
virus, existen programas que se dedican especialmente a localizarlos y
eliminarlos.
o Virus sigilosos: posee un módulo de defensa bastante sofisticado, intentara
permanecer oculto tapando todas las modificaciones que haga y observando
como el SO trabaja con los archivos y con el sector de booteo. Subvirtiendo
algunas líneas de código el virus logra apuntar el flujo de ejecución hacia
donde se encuentra la zona infectada. Es difícil que un antivirus se de cuenta
de estas modificaciones por lo que será imperativo que el virus se encuentre
ejecutándose en memoria en el momento justo en que el antivirus corre,
también tiene la capacidad de engañar al SO, se adiciona a un archivo y, en
consecuencia, el tamaño de este aumenta. Esta es una clara señar de que un
virus lo infecta, la técnica stealth de ocultamiento de tamaño captura las
interrupciones del SO que solicitan ver los atributos del archivo y, el virus le
devuelve la información que poseía el archivo antes de ser infectado. Cuando
el SO solicita leer una posición del archivo, el virus devolver los valores que
debería tener ahí y no los que tiene actualmente.
o Virus lentos: infectan solamente los archivos que el usuario hace ejecutar por
el SO, simplemente siguen la corriente y aprovechan cada una de las cosas que
se ejecutan, un virus lento únicamente podrá infectar el sector de arranque de
un disco cuando se use el comando FORMAT para escribir algo en dicho sector.
Su eliminación resulta bastante complicada, cuando el verificador de
integridad encuentra nuevos archivos avisa al usuario. La mayoría de las
herramientas creadas para luchar contra este tipo de virus son programas
residentes en memoria que vigilan constantemente la creación de cualquier
archivo y validan cada uno de los pasos que se dan en dicho proceso, otro
método es el “Decoy Launching”, se cran varios archivos .exe y .com cuyo
contenido conoce el antivirus, los ejecuta y revisa para ver si se han
modificado sin su conocimiento.
o Retro-virus: intenta como método de defensa atacar directamente al
programa antivirus, lo programadores de virus esta no es una información
difícil de obtener ya que pueden conseguir cualquier copia de antivirus que
hay en el mercado, descubrir cuales son los puntos débiles del programa y
buscar una buena forma de aprovecharse de ellos, los retro-virus buscan el
archivo de definición de virus y lo eliminan, otros detectan al programa
antivirus en memoria y tratan de ocultarse o inician una rutina destructiva
antes de que el antivirus logre encontrarlos.
o Virus voraces: alteran el contenido de los archivos de forma indiscriminada,
sustituirá el programa ejecutable por su propio código, se dedican a destruir
completamente los datos que puedan encontrar.
o Bombas de tiempo: virus convencionales con la diferencia de que el trigger de
su modulo de ataque se disparara en una fecha determinada, muestran
mensajes en la pantalla en alguna fecha.
o Conejo: los ordenadores de tipo medio estaban extendidos especialmente en
ambientes universitarios, funcionaban como multiusuario, múltiples usuarios
se conectaban simultáneamente a ellos mediante terminales con un nivel de
prioridad. Como por regla general, los estudiantes tenían prioridad mínima, a
alguno de ellos se le ocurrió la idea de crear este virus, el programa se
colocaba en la cola de espera y cuando llegaba su turno se ejecutaba haciendo
una copia de si mismo, los procesos a ser ejecutados iban multiplicándose
hasta consumir toda la memoria de la computadora central interrumpiendo
todos los procesamientos.
o Macro-virus: son completamente independientes del SO o de la plataforma, ni
siquiera son programas ejecutables, son pequeños programas escritos en el
lenguaje propio de un programa (editores de texto, hojas de cálculo, utilidades
especializadas…), se pueden propagar a otros ordenadores siempre que los
usuarios intercambien documentos del tipo del virus. Alteran de tal forma la
información de los documentos infectados que su recuperación resulta
imposible, solo se ejecutan en aquellas plataformas que tengan la aplicación
para la que fueron creados.
o Gusanos: un conjunto de programas, que tiene la capacidad de desparramar
un segmento de él o su propio cuerpo a otras computadoras conectadas a una
red, hay dos tipos de gusanos:
 Host Computer Worm: contenidos totalmente en una computadora,
se ejecutan y se copian a si mismo vía conexión de una red,
originalmente terminan cuando hicieron una copia de ellos mismo en
otro host, también existen los que hacen la copia e infectan otras
redes, es decir que cada maquina guarda una copia de ese gusano.
 Network Worm: conjunto de partes (segmentos), cada una corre en
una máquina distinta y usando la red para distintos propósitos de
comunicación propagan un segmento de una maquina a otra, tienen
un segmento principal que coordina el trabajo de los otros segmentos.
6.1. TROYANOS
Programa de acceso remoto o administración remota, conocidos también como RAT
(Remote adminstration Tool), se han desarrollado para el control remoto del PC, permite un
manejo prácticamente total de un PC, que físicamente no se encuentra al alcance de nuestras
manos, por medio de una conexión directa dese otro PC. Deben estar instalado en ambos pc y
su comunicación se produce vía internet o vía red. Un troyano tiene unas características
propias que le confieren un carácter malicioso:
- Se aprovecha frecuentemente té de buga y backdoors de los sistemas.

- Solo una de las dos partes del programa tiene capacidad de controlar, mientras que la
otra sirve de conexión con el PC controlado.
- El usuario del PC que actúa como servidor no es consciente de estar comunicado con
el PC principal.
- El servidor del troyano se oculta intentando pasar desapercibido para actual
clandestinamente.
Es decir, un troyano es un programa malicioso insertado en un PC sin consentimiento de su

dueño que permite el control de ese PC por parte de una persona no autorizada.
Para que un troyano se instale en un PC atacado necesita de la actuación del usuario del PC en
cuestión, ya que este debe ejecutarlo personalmente. La forma habitual es la de enviar el
servidor dl troyano al PC que se quiere atacar, por medio de un mail o a través de un
intercambio de ficheros vía IRC, ICQ, FTP… con la intención de que la víctima lo ejecute, se
utilizan dos formas de engañar al usuario para que ejecute el servidor del troyano en su PC, la
primera consiste en enviar el servidor renombrado y con extensión doble, aprovechando la
peculiaridad de los sistemas Windows para ocultar las extensiones conocidas.
La segunda forma de enviar el troyano es más limpia que la primera ya que el atacado no nota
nada raro, consiste en adherir el troyano a un fichero real de forma que se fusionen dos
ficheros en uno solo, pero resultando los dos 100% operativos. Cuando el atacado ejecuta el
archivo en realidad ejecuta los dos a la vez, pero el atacado no lo nota.
6.2. PROGRAMAS DE DEFENSA
- Firewall: es un programa (aunque también los hay hardware), que controla todo el
software que se pone en comunicación con o desde nuestro PC. Controla toda
comunicación entrante y saliente. Controla tanto programas en concreto como
protocolos de comunicación, se pueden permitir bloquear, monitorizar… todo lo que
se mueva entre nuestro PC y la red.
- Antitroyanos: aplicación o dispositivo hardware que hace detección y eliminación de
troyanos.
- Proxys: aplicación o dispositivo hardware que hace de intermediario entre los usuarios,
normalmente de una red local e internet. Lo que hace realmente es recibir peticiones
de usuario y redirigirlas a internet, la ventaja que presenta es que con una única
conexión a internet podemos conectar varios usuarios.
Un proxy es a su vez un servidor de cache, almacena las páginas web a las que se
accede más asiduamente en una memoria, un usuario quiere acceder a internet,
accede a través del proxy. Se aceleran en gran medida los accesos a internet.
El proxy el transparente al usuario, porque tendrá que configurar su navegador
diciéndole que accede a internet a través de este. Los últimos proxies que han
aparecido en el mercado realizan además funciones de filtrado, dejar que un usuario
determinado acceda a unas determinadas páginas de internet o que no acceda a
ninguna, podemos configurar una red local en la que haya usuario a los que se les
permita salir a internet, otros a los que les permita enviar correo, pero no salir a
Internet, …
Diferencias entre un Proxy y un Cortafuegos: el Proxy se usa para redirigir las
peticiones que recibe de varios usuarios a internet de forma transparente se encarga
de devolverles las respuestas (las páginas web).
El firewall, es únicamente un método de protección de la red o de un PC, con el que
podemos cerrar o dejar abiertos ciertos puertos, IP, aplicaciones…
7. TECNICAS CRIPTOGRAFICAS Y PROTOCLOS SEGUROS. MECANISMO DE FIRMA

DIGITAL
Criptografía: se define como el arte de escribir con clave secreta o de un modo enigmático.
Criptología: ciencia que estudia la ocultación, disimulación o cifrado de la información. Abarca

por tanto a la criptografía, la criptofonía y el criptoanálisis, ciencia que estudia los pasos y
operaciones orientados a transformar un criptograma en el texto claro original pro sin conocer
inicialmente el sistema de cifrado utilizado y/o la clave. La finalidad de esta técnica ha sido
siempre enviar menajes confidenciales con la garantía de que solo el destinatario de los mismo
pudiera acceder a la información contenida en el mensaje.
Criptografía: desarrolla métodos que consisten en la aplicación de una transformación al

mensaje conocida como cifrado, con el objetivo de que las personas que desconozcan la
transformación realizada sean incapaces de acceder a la información contenida en el mensaje.
Criptoanálisis: su finalidad es descubrir la clave de cifrado, un algoritmo de cifrado es mas o

menos vulnerable en función de la dificultad de la tarea de descubrimiento de la clave.
Esteganografía: lo que busca es ocultar un mensaje ante un posible atacante, pero la diferencia
estaba en como oculta la información ambas técnicas: mientras que la criptografía pretende
que la información no sea descifrada, la esteganografía lo que pretende es que la información
pase desapercibida.
7.1. TÉCNICAS CRIPTOGRÁFICAS

- Técnicas criptográficas clásicas: realizan el cifrado en base a la sustitución y
transposición de los caracteres del mensaje, es crucial ocultar el algoritmo a los
atacantes ya que si un atacante lo descubre será capaz de interpretar todos los
mensajes cifrados que capture, ejemplos.
o Sustitución monoalfabeto: sustitución de símbolos uno a uno (algoritmo
Cesar). Es un tipo de cifrado por sustitución en el que cada letra en el texto
original es remplazada por otra letra que se encuentra un número fijo de
posiciones mas adelante en el alfabeto.
o Sustitución polialfabeto: sustitución de un símbolo ñor uno de un conjunto
(cifrado Vigenere). El inconveniente de los algoritmos de sustitución
monoalfabeto es que le texto cifrado mantiene la misma distribución de
frecuencia de caracteres que tienen el texto claro original, son
criptoanalizables por métodos estadísticos sencillos. En estos cifrados la
sustitución aplicada a cada carácter varía en función de la posición que ocupe
este dentro del texto claro, corresponde a una aplicación cíclica de n cifrados
de sustitución monoalfabeto.
o Transposición: consiste en cambiar el orden de los símbolos.
o Combinación de sustitución y transposición.
- Técnicas criptográficas modernas: utilizan claves de cifrado, la seguridad del método
debe depende únicamente de la clave de cifrado, esta premisa hace que estas técnicas
resulten mucho mas segura y efectivas ya que resulta más sencillo mantener el secreto
de la clave y además cambiar la clave de cifrado siempre será menos costoso que idear
un nuevo algoritmo resultando frecuente que la clave de cifrado se genere de forma
automática, se pueden clasificar atendiendo a las claves que utilizan o al modo en que
procesan la información.
o Tipo de claves que utilizan.
 Algoritmos de cifrado simétrico o de clave privada: utilizan la misma
clave para el cifrado y el descifrado, debe ser secreta y compartida por
el emisor y el receptor (DES, 3DES, AES, IDEA, RC5…)
 Sistemas de cifrado asimétrico o de clave publica: utilizan un par de
claves generada por el emisor una de las claves es publica y otra
privada de forma que lo que se cifra con una clave es descifrado por
otra y viceversa (RSA, DSA, ElGamal…)
o Modo en que procesan la información:
 Cifrado en modo flujo (stream cipher): se basan en la combinación de
un texto en claro con un texto de cifrado obtenido a partir de una
clave, se va cifrando un flujo de datos bit a bit (RC4, SEAL…)
 Cifrado en modo bloque (block cipher): el algoritmo de cifrado o
descifrado se aplica separadamente a bloques de longitud L y para
cada uno de ellos el resultado es un bloque de la misma longitud (DES
3DES, AES…)
 Funciones resumen (hash functions): permiten obtener una cadena de
bits de longitud fija a partir de un mensaje de longitud arbitraria (MD5,
SHA…)
7.2. CRIPTOGRAFÍA DE CLAVE PRIVADA O SIMÉTRICA

La criptografía de clave simétrica, se caracteriza porque la clave de descifrado “k”, es
idéntica a la clave de cifrado o se puede obtener a partir de esta, ahí reside la fortaleza del
algoritmo en el secreto de la misma. Si “M” es el mensaje en claro que se quiere proteger, al
cifrado con un algoritmo en base a una clave privada Ek(M) se obtiene otro mensaje llamada
texto cifrado “C”. Existe otra función Dk(C) que a partir del texto cifrado por el emisor permite
obtener el nuevo mensaje en claro “M”
La seguridad del sistema recae pues en mantener en secreto la clave k, el principal

inconveniente es el intercambio de claves.
Cifrado en bloque: toma como entrada un bloque de longitud fija y una clave genera un nuevo
bloque cifrado de la misma longitud que el bloque de entrada. La técnica consiste en dividir el
texto a cifrar (con longitud “L”) en bloques de tamaño “b” y a continuación cifrar cada uno de
los bloques. Si “L” no es múltiplo de “B” se agregan bits adicionales para conseguir que todos
los bloques estén completos. Muchos de los algoritmos de cifrado en bloque se basan en:
- Sustitución: consiste en traducir cada bloque de bits que llegan como entrada a otro
de salida siguiendo una permutación determinada
- Transposición: reordenar la información del texto en claro según un patrón
determinado, reescribir cada grupo (1,2,3) en el orden (2,3,1).
El producto de cifras o combinación en cascada de distintas transformaciones criptográficas es

una técnica muy efectiva para implementar algoritmos bastante seguros de forma sencilla, dos
propiedades deseables en un algoritmo criptográfico son la confusión y la difusión, la
confusión consiste en esconder la relación entre la clave y las propiedades estadísticas del
texto cifrado. La difusión propaga la redundancia del texto en claro a lo largo del texto cifrado
para que no sea fácilmente reconocible.
Modos de operación del cifrado en bloque: en ocasiones es posible que se pueda deducir
información indirectamente, por ejemplo, en un protocolo que utilice mensajes can una
cabecera fija, la aparición de los mismos datos cifrados varias veces en una transmisión puede
indicar donde empiezan los mensajes, para contrarrestar esto el cifrado bloque opera en
varios modos:
- ECB (Electronic Codeobook): dividir el texto en bloques y cifrar cada uno de ellos de
forma separada pero los bloques idénticos de mensaje sin cifrar producirán idénticos
textos cifrados.
- CBC (Cipher Block Chaining): antes de ser cifrado, a cada bloque de texto se le aplica
una operación XOR bit a bit, de este modo, cada bloque es independiente de todos los
bloques de texto previos hasta ese punto para hacer cada mensaje único se puede
usar un vector de inicialización.
- CFB (Cipher Feedback): el algoritmo de cifrado no se aplica directamente al texto en
claro sino a un vector auxiliar. Del resultado del cifrado se toman “n” bits del texto en
claro para obtener “n” de texto cifrado. Estos bits se utilizan también para actualizar el
vector auxiliar.
- OFB (Output Feedback): como el CFB pero en lugar de actualizar el vector auxiliar con
el texto cif4rado, se actualiza con el resultado obtenido del algoritmo de cifrado.
Algoritmo de cifrado en bloque DES (Data Encryption Standard): es uno de los algoritmos más
usados el algoritmo ha sido sustituido por AES (Advanced Encryption Standard) debido a que
hoy en día se considera inseguro para muchas aplicaciones.
DES es el prototipo de algoritmo de cifrado por bloques: toma un texto en claro de longitud fija
de bits y lo transforma mediante una serie de operaciones básicas en otro texto cifrado de la
misma longitud, en bloques de 64 bits. DES utiliza una clave criptográfica para modificar la
transformación de modo que le descifrado solo puede ser realizado por aquellos que conozcan
la clave concreta utilizada en el cifrado. En realidad, solo 56 bits son empleados por el
algoritmo, los ocho restantes se utilizan únicamente para comprobar la paridad. La parte
central del algoritmo consiste en divide el mensaje de entrada en grupos de bits, hacer una
sustitución distinta sobre cada grupo y a continuación una transposición de todos los bits, esta
transformación se repite dieciséis veces, en cada iteración, la entrada es una transposición
distinta de los bits de la clave suma bit a bit (XOR) con la salida de la iteración anterior.
Algoritmo de cifrado en bloque 3DES: el principal problema de DES es actualmente la

vulnerabilidad a los ataques de fuerza bruta, a causa de la longitud de la clave de solo 56 bits,
la tecnología actual permite romper el algoritmo en un tiempo cada vez mas corto. Por este
motivo, se creó Triple DES como estándar oficial, mientras no estuviera disponible el nuevo
estándar AES, 3DES consiste en aplicar DES tres veces consecutivas. De este mod, para cifrar
un mensaje “M”, primero se cifra con la primera trasposición luego se descifra con la segunda
trasposición y finalmente se vuelve a cifrar con la tercera trasposición.
Algoritmo de cifrado en bloque AES: Rijndael puede trabajar en bloques de 128, 192 o 256 bits,
y la longitud de la clave también puede ser de 128, 192 o 256 bits. Dependiendo de la longitud
el número de iteración del algoritmo es 10, 12 o 14 respectivamente, cada iteración incluye y
una sustitución fija byte a byte, una transposición, una transformación consistente en
desplazamientos de bits y XORs y una suma binaria (XOR) con bits obtenidos a partir de la
clave.
Cifrado en flujo: para algunas aplicaciones como cifrado de conversaciones telefónicas, el

cifrado en bloques es inapropiado porque los flujos de datos se producen en tiempo real en
pequeños fragmentos. Las muestras de datos pueden ser tan pequeñas como 8 bits o incluso 1
bit, y seria un desperdicio rellenar el resto de los 64 bits antes de cifrar y transmitirlos. El
funcionamiento de un cifrado en flujo consiste en la combinación de un texto claro “M” con un
texto de cifrado “S” que se obtiene a partir de la clave simétrica “k” obteniendo un texto
cifrado “C”. para descifrar, solo se requiere realizar la operación inversa. No necesitamos
disponer del mensaje entero antes de empezar a cifrarlo o descifrarlo, ya que se puede
implementar el algoritmo para que trabaje con un flujo de datos que se va generando a partir
de la clave (el texto cifrado), existen varias formas de obtener el texto cifrado “S” en función
de la clave “k”:
- Si se escoge una secuencia “k” mas corta que el mensaje “M” se puede repetir
cíclicamente tantas veces como sea necesario para ir sumándola al texto en claro.
- Se podría tomar directamente S(k)=k, es decir, que la propia clave debe ser tan larga
como el mensaje que hay que cifrar. Si “k” es una secuencia totalmente aleator8ia que
no se repite cíclicamente, est6amos ante un ejemplo de cifrado incondicionalmente
seguro.
Lo que en la practica se utiliza son funciones que generan secuencias pseudoaleatorias a partir
de una semilla (parámetro generador), lo que se intercambia como clave secreta “k” es
solamente la semilla, las variables serán finitas, habrá un numero máximo de posibles estados
distintos, al cabo de un cierto periodo, los datos generados se volverán a repetir. Interesa que
el periodo de repetición sea cuanto más largo mejor.
Cifrado en base a funciones resumen: los algoritmos de cifrado no solo se usan para cifrar
datos, sino que son utilizados para garantizar la autenticidad de los mismos (funciones hash).
Una función resumen nos permite obtener una cadena de bits de longitud fija, relativamente
corta, a partir de un mensaje de longitud arbitraria: para mensajes “M” iguales, la función “h”
debe dar resúmenes “H” iguales. Las funciones de resumen, los algoritmos tienen que definir
una relación compleja entre los bits de entrada y cada bit de salida. Los ataques por fuerza
bruta se contrarrestan alargando lo suficiente la longitud del resumen.
7.3. CRIPTOGRAFÍA DE CALVE PUBLICA O ASIMÉTRICA

En los sistemas de encriptación asimétrica no es necesario compartir un secreto,
puesto que cada usuario dispone de dos claves, una publica que debe revelar o publicar para
que los demás puedan comunicarse con él, y una privada que debe mantener en secreto.
Cuando un usuario desea mandar un mensaje protegido, cifra el mensaje con la clave pública
del destinatario para que solo este, que es el único conocedor de la clave secreta pueda
descifrar el mensaje. Se inventaron con el fin de evitar por completo el problema del
intercambio de claves de los sistemas de cifrado simétricos. Por lo tanto, en un algoritmo de
clave publica se utilizan claves distintas para el cifrado y el descifrado, la clave publica, se
puede obtener fácilmente a partir de la otra, la clave privada, pero por lo contrario es
prácticamente imposible. Los algoritmos de clave publica típicos permiten cifrar con la clave
publica y descifrar con la calve privada.
Los algoritmos utilizados permiten cifrar y descifrar fácilmente, pero todos ellos son
considerablemente mas lentos que los equivalentes con criptografía simétrica, por eso, la
criptografía de calve publica se suele utilizar Oslo en los problemas que la criptografía
simétrica no puede resolver: el intercambio de claves y la autenticación con no repudio (firmas
digitales).
Los mecanismos de intercambio de claves permiten que dos partes se pongan de acuerdo en
las claves simétricas que utilizaran para comunicarse, sin que un tercero que este escuchando
el dialogo pueda deducir cuales son estas claves. La autenticación basada en clave publica se
puede utilizar si el algoritmo permite utilizar las claves a la inversa, si A envía un mensaje
cifrado con su clave privada, todo el mundo podrá descifrarlo con la calve publica de A, y al
mismo tiempo todo el mundo sabara que el mansaje solo lo puede a ver generado quien
conozca la calve privada asociada (A), esta es la base de las firmas digitales.
Algoritmos de calve pública (Diffie-Hellman): mecanismo que permite que dos partes se
pongan de acuerdo de forma segura sobre una clave secreta utilizando un canal inseguro, el
algoritmo se basa en la dificultad de calcular logaritmos discretos y se usa generalmente como
medio para acordar calves simétricas que será empleadas para el cifrado de una sesión.
Algoritmos de clave publica (RSA): es el algoritmo mas utilizado en la historia de la criptografía

de clave pública. La clave publica esta formada por un numero n, calculando como producto de
dos factores primos muy grandes y un exponente. La clave privada es otro exponente de tal
forma que el cifrado y el descifrado se puede realizar inversamente, la clave publica y la
privada son intercambiables: si se usa cualquier de ellas para cifrar se deberá utilizar la otra
para descifrar, al fortaleza del algoritmo RSA se basa en la dificultad de obtener “M” a partir de
“C” sin conocer “d” y por otro lado en la dificultad de obtener “r” y “q” a partir de n (problema
de la factorización de numero grandes, que es otro de los problemas considerados difíciles).
Dos posibles problemas:
- ¿Como sé que la calve pública del destinatario es la que dice ser y no es la de otra
persona que me engaña para poder leer el mensaje? Surgen las autoridades de
certificación. Las terceras partes de confianza (trusted third parties), entidades que
merecen la confianza de otros actores en un escenario de seguridad donde no existe
confianza directa entre las partes involucradas en una cierta transacción. Es necesaria
aun infraestructura de clave publica para cerrar el circulo de confianza. Esta
infraestructura de clave publica consta de una serie de autoridades que se especializan
en papeles concretos:
o Autoridades de certificación (CA o certificación authorities): vinculan la clave
publica a la entidad registrada proporcionado un servicio de identificación.
o Autoridades de registro (RA o registration authorities): ligan entes registrados
a figuras jurídicas, extendiendo la accesibilidad de las CA.
o Autoridades de fechado digital (TSA o time stamping authorities): vinculan un
instante de tiempo a un documento electrónico avalando con su firma la
existencia del documento en el instante referenciado (exactitud temporal de
los documentos electrónicos).
CERES: iniciativa puesta en marcha por la Administración, consiste en establecer una entidad
publica de certificación que permita autentificar y garantizar la confidencialidad de las
comunicaciones entre ciudadanos, empresas u otras instituciones ya administración públicas a
través de las redes abiertas de comunicación.
- ¿No resulta demasiado endeble para el sistema de encriptación asimétrica confiar en

que el individuo velara diligentemente en la administración de su clave secreta? Es
posible que exista un amala administración de la clave secreta por parte del usuario,
por lo que se han implementado soluciones como:
o Los repositorios: listas de revocación de certificados por extravío o robo de
calves privadas.
o Las autoridades de fechado digital: permiten al verificador determinar
fehacientemente si la firma digital fue ejecutada dentro del periodo de validez
del certificado.
o Incorporar la calve en un chip adjunto a un medio físico.
o Biometría.
Los algoritmos de encriptación asimétrica son sede media del orden de 100-1000 veces mas
lentos que los algoritmos de encriptación simétrica por ellos es necesario combinar distintas
formas de encriptación para conseguir una mayor eficacia.
8. FIRMA DIGITAL
Es un bloque de caracteres que acompaña a un documento (o fichero) acreditando
quien es su autor (autenticación) y que no ha existido ninguna manipulación posterior de los
datos (integridad) para firmar un documento digital, su autoría queda vinculado al documento
de la firma, dicha firma podrá ser comprobada por cualquier persona que disponga de la clave
pública del autor.
La firma se realiza de la siguiente forma: software del firmante aplica un algoritmo hash sobre
el texto a firmar (unidireccional, lo cifrado no se puede descifrar), extracto de longitud ficha y
absolutamente específico para ese mensaje. Los algoritmos has mas utilizados para esta
función son el MD5 o SHA-1. El extracto conseguido cuya longitud oscila entre 128 y 1690 bits,
se somete a continuación a cifrado mediante la clave secreta del autor.
El algoritmo mas utilizado en el procedimiento de encriptación asimétrica es el RSA,

obtenemos un extracto final cifrado con la clave privada del autor el cual se añadirá al final del
texto o mensaje para que se pueda verificar la autoría e integridad del documento por aquella
personal interesada que disponga de la calve pública del autor.
Con el procedimiento explicado en conjunto la firma digital aporta lo siguiente:
- Identificación del firmante: la firma identifica al firmante.

- Integridad del contenido firmado: es posible verificar que los documentos firmados no
hayan sido alterados por terceras partes.
- No repudio del firmante: no puede repudiarse por parte de su firmante.
9. INFRAESTRUCTURA FISICA DE UN CPD

Un Centro de Proceso de Datos: es aquella ubicación donde se concentran todos los recursos
necesarios para el almacenamiento, procesado y transmisión de la información de una
organización, buscando garantiza la continuidad y disponibilidad de los servicios basados en
dicha información.
Una característica calve del centro de datos es la confiabilidad o disponibilidad, otra es la

flexibilidad o escalabilidad.
Funciones de un CPD: realizan funciones de servicios para las toras operaciones de la

organización, el objetivo principal es concentrar el procesado de los datos y la información de
formal sistematizada y automática de formal que fluyan y organice sin importar el volumen.
Una de las funciones básicas de un CPD es simplificar las labores administrativas, los puestos
de trabajo que aparecerán en:
- Explotación de sistemas o aplicaciones: utilización y aprovechamiento del sistema

desarrollado, previsión de fechas de realización de trabajos, operación general del
sistema, control y manejo de soportes, seguridad del sistema, supervisión…
- Soporte técnico a usuarios: seleccionar, instalar y mantener el sistema operativo
adecuado, control e la estructura de la base de datos, evaluación de las necesidades y
rendimientos del sistema y ayuda directa a usuarios.
- Gestión y administración del propio CPD: operaciones de supervisión, planificación y
control de proyectos, seguridad y gestión.
Estándares:
- TIA-942: definen directrices de planificación y construcción d CPD, la norma trabaja

con cobre y fibra óptica como medios de transmisión, especifica las necesidades para
aplicaciones y procedimientos tales como:
o Arquitectura de red.
o Diseño eléctrico.
o Almacenamiento de archivos, backup y archivo.
o Sistema de redundancia.
o Gestión de base de datos.
o Control ambiental y protección contra riesgos físicos.
Diseño de un CPD: para mantener la integridad y funcionalidad del equipamiento informático

se tendrá que recurrir a la redundancia, tanto en líneas de comunicación como en líneas de
alimentación. Se imponen entrono seguros para la información, es habitual que el CPD
almacena también datos de terceros (bases de datos de clientes, datos personales, negocios
completos de clientes) derivan en responsabilidades frente a estos y las agencias de protección
de datos. Abarcar tanto la seguridad física como la lógica.
Uno de los grandes problemas de un CPD está en la disipación de calor del equipamiento y el
consumo energético asociado, se hace necesarios sistemas de aire acondicionado que
mantenga temperaturas estables y bajas. Los principales factores a la hora de diseñar un CPD
son:
- Ubicación
- Espacios, seguridad
- Cableado, equipamiento, consumo
Ubicación del CPD:
- Situado en un lugar donde no pueda acceder personal no autorizado.

- No entre mucha luz natural
- Climatización
- No debe haber entradas de aire natural
- Medidas anti-incendio
- Ruta de evacuación
Espacios: las áreas funcionales se deben plantear de manera que garantice que:
- Se pueda reasignar fácilmente el espacio para satisfacer necesidades cambiantes.

- Se pueda manejar fácilmente los cables de manera que los tendidos no superen las
distancias recomendables.
La norma TIA-942 recomienda las siguientes áreas funcionales clave:
- Uno o más cuartos de entrada: alberga el equipo de los operadores de telefonía y el

punto de demarcación.
- Un Área de Distribución Principal (MDA): alberga el punto de conexión cruzada central
para el sistema de cableado estructurado dl centro de datos. Ubicada en una zona
central, racks separados para los cables de fibra, UTP y coaxial.
- Una o mas Áreas de Distribución Horizontal (HDA): ubicación de las interconexiones
horizontales, el punto de distribución para el cableado hacia las áreas de distribución
de los equipos, máximo 2000 cables UTP de 4 pares.
- Un Área de Distribución de Zona (ZDA): cableado estructurado para los equipos que
van en el suelo y no pueden aceptar paneles de parcheo, computadoras centrales y
servidores.
- Un Área de Distribución de Equipos: ubicación de los gabinetes y racks de equipos,
colocar en una configuración “hot aisle/cold aisle” (pasillos) que disipen de manera
eficaz el calor de los equipos.
Cableado: el sistema de cableado de un CPD debe deseñarse teniendo en mente que tiene que
ser permanente y genérico, debe seguir las normas EIA/TIA-568, que garantizan que los
sistemas que se ejecuten de acuerdo a ella soportaran todas las aplicaciones de
telecomunicaciones presentes y futuras por un lapso de al menos diez años.
- Uso de racks comunes: simplifica el montaje y brinda un control unificado de los cables
(sin superar el 70% de la capacidad del armario).
- Instalar guías de cables verticales y horizontales comunes.
- Extensas trayectorias para cables por arriba y debajo del piso: las superiores se
dedican al cableado temporal, pudiendo ir por canaletas y las inferiores para el
cableado permanente.
- Los cables UTP y coaxiales irán separados de la fibra en las trayectorias horizontales.
- Los cables eléctricos irán en bandejas de cables y la fibra en canales montados en
bandejas para evitar dañarla
- Todos los cables deberán ir convenientemente etiquetados.
Conexión cruzada: para conectar los equipos se utiliza el método de conexión cruzada se
conectan a paneles de parcheo (patch panels) conectados a su vez al cableado permanente, el
cableado apenas se vuelve a tocar tras su instalación, ventajas:
- Reducción de costes: la conexión cruzada reduce enormemente el tiempo que lleva

agregar tarjetas, trasladar circuitos, modernizar software y realizar mantenimiento.
- Confiabilidad y disponibilidad mejoradas: conexiones permanentes protegen los
cables, los cambios en la red se pueden realizar sin afectar el servicio.
- Competitividad: permite hacer cambios rápidos a la red.
Fibra óptica: presentan las ventajas de no sufrir interferencias electromagnéticas ni las

limitaciones en distancia del cobre, la fibra no es un medio delicado, aunque precisa de un
mayor entrenamiento que el cobre, su manipulación no es complicada, recomendaciones:
- Evitar las curvas.

- No superar las curvaturas máximas.
- Protegerla físicamente contra daños.
Dos formas de conectar la fibra, empalmes de fusión o conectores, se suele preferir el

empalme debido a:
- Menor perdida de señal: perdida de 0,01 dB.

- Velocidad: medio minuto en fusionar.
- Mayor confiabilidad: la tasa de error en los conectores asciende hasta el 50%.
Equipamiento: facilitar el diseño de la disposición de los equipos en el CPD se recurre a

instalaciones modulares, servidores montados en armarios rack dispuestos en hileras
formando corredores entre ellas, cuatro categorías:
- Dispositivos de comunicaciones: switches, routers, firewalls… encargados de

proporcionar la conectividad y la seguridad de red necesarias.
- Dispositivos de almacenamiento: grandes arrays de discos duros.
- Dispositivos de cálculo: servidores de red, de bases de datos, grupos de ordenadores
para computación en paralelo…
- Dispositivos de backup: sistemas de grabación en cinta magnética.
Climatización: optimizar espacio, se tiende a acomodar mas equipos en menos espacio y esto
conduce aun grave problema de disipación de calor, se hace imprescindible recurrir a equipos
de refrigeración y aire acondicionado que mantenga el clima del centro de datos
rigurosamente controlado, los valores recomendados son 16-24º y 40-55% de humedad.
Para refrigeración se emplean unidades CRAC o CRAH:
- CRAC (Computer Room Air Conditioner): Aire Acondicionado para Salsas de

Ordenadores
o Ciclo de refrigeración autónomo para extraer el calor de la sala y alejarlo del
CPD.
o Intercambiadores de calor basados en el principio de equilibrio térmico.
o Expansión directa de un fluido refrigerante.
- CRAH (Computer Room Air Handling): Tratamiento de Aire para Salas de Ordenadores
o Utilizan agua fría en circulación para extraer el calor.
Para favorecer la circulación de aire se usan diferentes arquitecturas de refrigeración:
- Salas: método tradicional utilizado para refrigerar un CPD, varias opciones de

configuración:
o Uno o más equipos de aire acondicionado que suministran aire frio sin ningún
tipo de restricción.
o Suministro o retorno parcialmente limitados por un sistema de falso suelo o
una cámara de retorno en el techo (distribuyen el aire en un diseño planificado
en pasillos fríos y calientes).
 Desventajas: muy sensible a particularidades de cada sala, escasa
capacidad de predicción y uniformidad del rendimiento, no se puede
aprovechar toda la capacidad de las unidades de CRAC…
- Filas: las unidades de CRAC están asociadas y dedicada a una fila, las vías de circulación
de aire son más cortas y están definida scon mayor claridad que en la refrigeración por
salas.
o Ventajas: flujos de aire sencillos, aprovecha toda la capacidad de las CRAC,
mayor rendimiento y eficacia…
- Pasillos: requieren que las filas de racks tengan una disposición que alterne pasillos
calientes y fríos, eliminan los puntos calientes típicos de los centros de datos
tradicionales, 2 tipos de contención:
o Pasillos fríos (CACS, Cold Aisle Containment System)
o Pasillos calientes (HACS, Hot Aisle Containment System)
- Racks: las unidades de CRAC están asociadas y dedicadas a un único rack, se montan
directamente al lado o dentro de los racks
o Ventajas: aprovecha toda la capacidad de las CRAC, alcanza la máxima
densidad de potencia, reduce la potencia necesaria de los ventiladores de las
unidades de CRAC y aumenta la eficacia, capacidad de refrigeración se
adecuen a las necesidades reales.
o Su principal desventaja es el coste elevado y la obligación de una gestión mas
precisa de la carga calorífica de los racks
Todos los sistemas de refrigeración desempeñan:
- Suministrar capacidad de refrigeración en bruto.

- Distribución del aire entre las cargas
- Controlar el flujo del aire
Consumo energético: parte vital de un centro de datos y uno de sus mayores problemas
logísticos, no puede faltar suministro en ningún momento, los procedimientos más habituales
son:
- Separación de los circuitos eléctricos para los servidores, los de comunicaciones,

climatización y suministro eléctrico general.
- Dos o mas acometidas de la empresa de servicio.
- Alimentación eléctrica de emergencia: SAI, grupos electrógenos…
- Circuitos eléctricos redundantes (servidores con varias fuentes de alimentación)
Las medidas a tomar dependerán del nivel de fiabilidad requerido y de los costos, mantener un
equilibrio sopesando el coste que tendría para la empresa un “apagón”. Para ayudar a estimar
el nivel de fiabilidad de un CPD, la norma TIA-492 desarrolla cuatro niveles denominados Tier:
el nivel I brinda la menor fiabilidad y el IV, la mayor.
TIER se crearon para describir consistentemente la infraestructura requerida para mantener

las operaciones de los centros de datos, no las características de sistemas individuales o
subsistemas. El grado de la topología Tier para un sitio esta limitado por el grado del
subsistema más débil que afectara a las operaciones del sitio.
Niveles TIER:
- Tier I (CPD Básico): un CPD Tier I puede admitir interrupciones tanto planeadas como
no planeadas. Cuenta con sistemas de aire acondicionado y distribución de energía,
pero puede no tener piso técnico, UPS o generador eléctrico. La carga máxima de los
sistemas en situaciones críticas puede llegar al 100%, el CPD deberá estar fuera de
servicio al menos una vez al año por razones de mantenimiento y o reparaciones.
Errores de operación fo fallas en los componentes de su infraestructura causaran la
interrupción del CPD.
- Tier II (Componentes Redundantes): un CPD con componentes redundantes son
ligeramente menos susceptibles a interrupciones, tanto planeadas como las no
planeadas. Cuentan con suelo técnico, UPS y generadores eléctricos, conectado a una
sola línea de distribución eléctrica, existe al menos un duplicado de cada componente
de la infraestructura. La carga máxima de los sistemas en situaciones criticas es del
100%. El mantenimiento en la línea de distribución eléctrica o en otros componentes,
pueden causar una interrupción del servicio.
- Tier III (Mantenimiento Concurrente): permiten realizar cualquier actividad planeada
sobre cualquier componente de la infraestructura sin interrupciones en la operación,
incluyen mantenimiento preventivo, reparaciones o reemplazo de componentes,
agregar o eliminar componentes, realizar pruebas de sistemas o subsistemas, entre
otros. Suficiente capacidad y doble línea de distribución de los componentes,
actividades no planeadas como errores de operación o fallos espontaneas den la
infraestructura pueden todavía causar una interrupción del CPD. La carga máxima en
los sistemas en situaciones críticas es de 90%.
- Tier IV (Tolerante a Fallos): provee capacidad para realizar cualquier actividad
planeada sin interrupciones en el servicio, la funcionalidad tolerante a fallos le permite
a la infraestructura continúa operando aun ante un evento critico no planeado. Esto
requiere dos líneas de distribución simultáneamente activas (UPS independientes). La
carga máxima de los sistemas de situaciones críticas des de 90%. Persiste un nivel de
exposición a fallos, por el inicio una alarma de incendio o porque una persona inicie un
procedimiento de apagado de emergencia (EPO).
Sistemas de alimentación ininterrumpida (SAI): dispositivo que puede proporcionar energía

eléctrica a todos los dispositivos que tenga conectados, tras un corte en la red de
alimentación. Se basa en el uso de baterías recargables, el tiempo de interrupción es limitado,
proporcional a la capacidad de las baterías, permiten las siguientes funciones:
- Facilitan un apagado “ordenado” de los dispositivos para evitar daños en discos os

sistemas de ficheros.
- Filtro de subidas y picos de tensión.
- Elimina problemas de frecuencia.
Existirán SAIs centralizadas en el CPD para dar alimentación eléctrica durante un periodo corto
de tiempo, equipos siguen funcionando más allá de este tiempo de paradas, será necesario
utilizar “grupos electrógenos”, existen 3 tipos de SAI:
- SAI Offline: son económicos (equipos no críticos), no disponen de estabilizador de

corriente, solamente generan tensión en caso de corte en el suministro eléctrico…
- SAI Inline: incorporan un estabilizador de corriente, solamente generan tensión en
caso de corte…
- SAI Online: diseñado para proteger sistemas críticos, siempre generan tensión
eléctrica, independientemente de la entrada…
Seguridad: los CPD son entornos críticos que deben adoptar diferentes medidas de seguridad.
Hay que prevenir accesos no autorizados (control de acceso, cámaras de vigilancia, alarmas,
sensores de presencia). Paralelamente hay que implementar mecanismos de prevención y
contención de desastres naturales.
- Precaución antiincendios: para reducir los riesgos se debe guardar las impresoras, una
fuente común de ignición, lejos de otros equipos, las paredes deben tener un grado
mínimo de resistencia al fuego de una hora y deben proporcionar barrera frente al
humo, todas las puertas de acceso deben tener ventana con cierre propio, los
materiales de construcción de la sala de ordenadores deben ser incombustibles y los
cables tendidos bajo el suelo deben ser LSZH (Low Smoke Zero Halogen).
Los principios para protección contra incendios son: reducir la probabilidad de que un
fuego comience, reducir la probabilidad de que un fuego se disperse y reducir el daño
mínimo que un fuego puede causar.
Los sistemas por aspersión se activan por dos detectores, hay que evitar que en caso
de incendio el agua caiga directamente sobre los equipos electrónicos y que los
sistemas de energía y aire permanezcan abiertos. Los dispositivos mas implantados son
los mecanismos de disparo de dióxido de carbono, se vacían grandes cantidades de
este gas en la sala que provoca el desplazamiento del oxígeno y por tanto el apagado
del incendio sin dañar los equipos.
- Armarios ignífugos: las copias de backup o los servidores de respaldo, también han de
contar con protección, los armarios ignífugos para daos, rack y equipos proporcionan
la más alta protección ante todo tipo de agentes externos.
- Sistemas de control de inundaciones: detectores de inundación con alarmas en varios
sitios instaladas en sitos visibles del edifico. La principal ventaja de los datos digitales
es su facilidad de copia, grandes organizaciones optan por realizar backups periódicos,
almacenan en ubicaciones geográficas distintas al CPD de tal forma que sus datos,
permanecen a salvo.
10. SISTEMAS DE GESTION DE INCIDENCIAS

Incidentes de seguridad: cualquier evento que pueda provocar una interrupción o degradación
de los servicios ofrecidos por el sistema, o bien afectar a la confidencialidad o integridad de la
información, es necesario implantar un “Plan de respuesta a incidentes” que contemple todas
las tareas encaminadas a responder adecuadamente ante dicho incidente entre las cuales
podríamos incluir: equipo de respuestas ante incidentes, conjunto de procedimientos,
documentar la detección del incidente de seguridad, analizar el incidente, medidas de
corrección, erradicación y recuperación,…
Equipos de respuesta a incidentes de seguridad informática (CSIRT Computer Security Incident

Response Team): esta formado por las personas que cuentan con la experiencia y la formación
para actuar y gestionar las incidencia y desastres que pudieran afectar a la seguridad
informática de una organización.
Procedimientos y actividades a realizar: definir una guía de actuación con los procedimientos y
acciones necesarios para restauración rápida, eficiente y segura de la capacidad de
procesamiento informático y de comunicaciones de la organización, así como para la
recuperación de los datos dañados o destruidos. Debe proporcionar una respuesta sistemática
ante los incidentes de seguridad, permitirá minimizar los daos ocasionados y facilitar la
recuperación del sistema afectado.
Detección de un incidente de seguridad e indicadores de posibles incidentes de seguridad:
- Precursores de un ataque: actividades previas de reconocimiento del sistema (escaneo

de puertos, escaneo de vulnerabilidades en servidores…)
- Alarmas generadas en los Sistemas de Detección de Intrusiones (IDS): cortafuegos o en
las herramientas antivirus.
- Registro de “logs” de servidores y dispositivos de red: incremento sustancial del
número de entradas en los “logs”.
- Aparición de nuevas carpetas o ficheros con nombres extraños en un servidor:
modificaciones realizadas en ficheros del sistema (librerías, kernel, aplicaciones
críticas) mediante herramientas de revisión de la integridad de ficheros.
- Caída o mal funcionamiento de algún servidor: reinicios inesperados, fallos en algunos
servicios, aparición de mensajes de error, incremento anormal de la carga del
procesador.
- Notable caída en el rendimiento: incremento inusual del tráfico de datos.
- Cambios en la configuración de determinados equipos de la red: modifica de las
políticas de seguridad, activación de nuevos servicios, puertos abiertos que no estaban
autorizados, tarjetas de red en modo promiscuo (sniffers).
- Existencia de herramientas no autorizadas en el sistema.
- Aparición de nuevas cuentas de usuario: conexiones de usuario en unos horarios
extraños, utilización de la misma cuenta desde distintos equipos a la vez…
- Detección de procesos extraños en ejecución dentro de un sistema.
- Generación de trafico extraño en la red: actividad inusual de transferencia de ficheros,
escaneo de otros equipos desde un equipo interno…
Análisis de un incidente de seguridad: el Plan de Respuesta a Incidentes debe definir como el

equipo de respuesta debería proceder al análisis de un posible incidente de seguridad
determinando cual es su alcance y si ha podido comprometer información confidencial. El
equipo de respuesta debería determinar como se ha producido el incidente (el tipo de ataque,
que métodos ha empleado…). Es recomendable utilizar una matriz de diagnóstico, realizar una
valoración inicio de los daños y de sus posibles consecuencias, establecer un orden de
prioridades en las actividades que debería llevar a cabo el equipo de respuesta.
Contención, erradicación y recuperación: el equipo de respuesta debe elegir una determinada

estrategia de contención del incidente de seguridad, una primera opción es llevar a cabo una
rápida actuación para evitar que el incidente pueda tener mayores consecuencias, apagar
todos los equipos afectados, desconexión de estos equipos de la red, desactivación de ciertos
servicios, es la mas adecuada cuando se puedan ver afectados servicios críticos.
Una segunda alternativa seria retrasar la contención para poder estudiar con mas detalle el
tipo de incidente y tratar de averiguar quien es el responsable del mismo. Se puede adoptar
siempre y cuando sea posible monitorizar y controlar la actuación de los atacantes, para de
este modo reunir las evidencias necesarias que permitan iniciar las actuaciones legales. Se
corre el riesgo de que el incidente pueda tener perores consecuencias para la organización o
para terceros.
La erradicación es la etapa del Plan de Respuesta a Incidentes en la que se llevan a cabo todas
las actividades necesarias para eliminar los agentes causantes del incidente y de sus secuelas,
podríamos citar posibles “puertas traseras”, rootkits u otros códigos malignos. Será
conveniente llevar a cabo una revisión de otros sistemas que se pudieran ver comprometidos a
través de las relaciones de confianza con el sistema afectado
La recuperación es la etapa del Plan de Respuesta a Incidentes en la que se trata de restaurar

los sistemas para que puedan volver a su normal funcionamiento. Contemplar tareas como
reinstalación del SO y aplicaciones partiendo de una copia segura, cambio de contraseñas que
puedan haber sido comprometidas, la desactivación de las cuentas, revisión de las medidas de
seguridad para prevenir incidentes similar y prueba del SO para comprobar su correcto
funcionamiento.
Identificación del atácate y posibles actuaciones legales: dentro del Plan de Respuesta a
Incidentes, la identificación del atacante es necesario para poder emprender acciones legales
para exigir responsabilidades y reclamar indemnizaciones. Generalmente solo se podrá
identificar la maquina o maquinas desde la que se ha llevado a cabo el ataque, pero no
directamente al individuo responsable de su utilización. Es una tarea que consume bastante
tiempo y recursos, no debería interferir en la contención y erradicación del incidente, los
ataques realizados desde otros países con ciertas lagunas legales.
Existen distintas técnicas para determinar la dirección IP del equipo desde el que se ha llevado
a cabo el ataque contra el sistema informático: herramientas como “ping”, “traceroute” o
“whois” consulta en los registros inversos de servidores DNS, es necesario tener en cuenta una
serie de obstáculos que pueden dificultar esta tarea:
- Mediante técnicas de “IP Spoofing” se podría enmascarar la dirección en algunos tipos

de ataque.
- El atacante podría estar utilizando equipos de terceros para realizar sus acciones.
- El atacante podría haber empleado una dirección IP dinámica.
- El equipo del atacante podría estar situado detrás de un servidor proxy con el NAT
activo.
El análisis de las actividades de exploración (escaneo de puertos y de vulnerabilidades en el

sistema) suelen anteceder un ataque, registradas por los “logs” o por el IDS.
Comunicación con terceros en relaciones públicas: el Plan de Respuesta de Incidentes tiene

que contemplar como la organización debería comunicar a terceros la causa y las posibles
consecuencias de un incidente de seguridad, establecer contactos con proveedores de acceso
a internet, se deben contemplar los contactos con terceros que pudieran haber sido
perjudicados utilizando ordenadores de la organización para realizar un ataque contra sistema
y redes de otras entidades.
Documentación del incidente de seguridad: el Plan de Respuesta a Incidentes debería

establecer como se tiene que documentar un incidente de seguridad, reflejando de forma clara
y precisa aspectos como:
- Descripción del tipo de incidente.

- Hechos registrados (eventos en los “logs” de los equipos).
- Daños producidos en el sistema informático.
- Decisiones y actuaciones del equipo de respuesta.
- Comunicaciones que se han realizad con terceros y con los medios.
- Lista de evidencias obtenida durante el análisis y la investigación.
- Comentario e impresión del personal involucrado.
- Posibles actuaciones y recomendaciones para reforzar la seguridad y evitar incidentes
similares en el futuro.

Tema 5 - TAI

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 5 - TAI

Cargado por

Copyright:

Formatos disponibles

1.

SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN (SSI)

Los riesgos fundamentales asociados con la incorrecta protección de la información:

- Revelación a personas no autorizadas

1.1. DEFINICIÓN DE SEGURIDAD INFORMÁTICA

Confidencialidad: el servicio de seguridad, o condición que asegura que la información no

- Técnicas de control de acceso a los sistemas

Integridad: el servicio de seguridad que garantiza que la información es modificada, incluyendo

Un aspecto variante de la integridad es la autenticidad, proporciona los medios para verificar

Lo opuesto a disponibilidad y uno de los posibles métodos de ataque a un sistema informático

- Hay una caída del SO.

Otros aspectos o características de la seguridad:

Reglas básicas de política de seguridad:

- Debe cubrir todos los aspectos relacionados con el sistema:

A la hora de establecer una política de seguridad debemos:

2.1. TIPOS DE MEDIDAS DE SEGURIDAD

- Medidas físicas: mecanismos para impedir el acceso directo o físico no autorizado,

En relación con la adecuación de locales:

o Construir barreras físicas

En relación con la instalación de líneas de telecomunicaciones:

En relación con la ubicación de equipamiento, materiales y copias de respaldo:

o Situar en áreas seguras los equipos a proteger donde se minimicen accesos

En relación con la entrada y salida física de personas:

o Controlar la entrada en exclusiva al personal autorizado, autorizar solo con

- Medidas humanas: definir las funciones, relaciones y responsabilidades de distintos

Es posible reducir estos inconvenientes si reducimos el número de intentos para introducir la

Otro criterio es donde se pone el sistema de control:

- En el servidor: el ordenador que almacena la información instala los filtros en el SO,

- Amenaza: eventos que pueden desencadenar un incidente en la organización,

 Vulnerabilidad: potencialidad o posibilidad de ocurrencia de la

Vulnerabilidades que afectan a todos los sistemas:

Vulnerabilidades que afectan a sistemas Windows:

- Vulnerabilidad Unicode: salto de directorio en servidores web Unicode, mediante el

Vulnerabilidades que afectan a sistemas UNIX

- Desbordamiento de Buffer en los servicios RPC: las llamadas a procedimiento remoto

Los puertos dinámicos o privados se comprenden entre el 49151 y el 65535.

Servicios de inicio de sesión:

telnet (23/tcp) SSH (22/tcp) FTP (21/tcp) NetBIOS (139/tcp)

SMTP (23/tcp) POP (110/tcp) IMAP (143/tcp)

HTTP (80/tcp) SSL (443/tcp)

TFTP (69/udp) NNTP (119/tcp) SNMP (161/tcp)

Vulnerabilidades que afectan a servidores web:

- Parámetros no validos: las aplicaciones web utilizan información de las peticiones

- Interrupción: un recurso del sistema es destruido o se vuelve no disponible, es un

5.1. CLASIFICACIÓN DE LOS ATAQUES POR SU “MODUS OPERANDI”

6. CONCEPTOS BÁSICOS SOBRE VIRUS

- Módulo de reproducción: encargado de manejar las rutinas para infectar entidades

Clasificación de los virus:

- Se aprovecha frecuentemente té de buga y backdoors de los sistemas.

Es decir, un troyano es un programa malicioso insertado en un PC sin consentimiento de su

7. TECNICAS CRIPTOGRAFICAS Y PROTOCLOS SEGUROS. MECANISMO DE FIRMA

Criptología: ciencia que estudia la ocultación, disimulación o cifrado de la información. Abarca

Criptografía: desarrolla métodos que consisten en la aplicación de una transformación al

Criptoanálisis: su finalidad es descubrir la clave de cifrado, un algoritmo de cifrado es mas o

7.1. TÉCNICAS CRIPTOGRÁFICAS

7.2. CRIPTOGRAFÍA DE CLAVE PRIVADA O SIMÉTRICA

La seguridad del sistema recae pues en mantener en secreto la clave k, el principal

El producto de cifras o combinación en cascada de distintas transformaciones criptográficas es

Algoritmo de cifrado en bloque 3DES: el principal problema de DES es actualmente la

Cifrado en flujo: para algunas aplicaciones como cifrado de conversaciones telefónicas, el

7.3. CRIPTOGRAFÍA DE CALVE PUBLICA O ASIMÉTRICA

Algoritmos de clave publica (RSA): es el algoritmo mas utilizado en la historia de la criptografía

Dos posibles problemas: