Documentos de Académico
Documentos de Profesional
Documentos de Cultura
UNIDAD Nº II
Amenazas y vulnerabilidades.
www.iplacex.cl
SEMANA 3
Introducción
La seguridad informática, tal como sucede con la seguridad aplicada a otros
entornos, se aboca a minimizar los riesgos asociados al acceso y utilización de
determinados recursos informáticos o componentes de una plataforma
tecnológica, de forma no autorizada y en general malintencionada.
Dicha perspectiva de la seguridad informática conlleva una necesidad de gestión
del riesgo. Para ello, es preciso determinar la criticidad de los activos de
información que son procesados y resguardados por tecnologías de información y
conjuntamente, determinar las amenazas existentes para dichos activos.
En la actualidad, tal como las tecnologías han permitido mayores capacidades de
procesamiento de datos y automatización de procesos, también han permitido el
desarrollo de técnicas y herramientas maliciosas usadas en ataques contra
sistemas informáticos, redes o plataformas tecnológicas corporativas.
Para contrarrestar dicha situación, es fundamental conocer en qué consisten estas
amenazas, cómo operan y qué falencias de seguridad o malas prácticas usan para
lograr sus fines.
En esta semana serán abordadas las amenazas a que se encuentran expuestos
sistemas informáticos, sus causas, el rol de la ingeniería social y los tipos de
ataques más frecuentes a los que puede verse afecta una organización, cómo
funcionan y de qué manera pueden ser enfrentados.
2 www.iplacex.cl
Ideas Fuerza
Amenaza a sistema informático: Es una situación o evento que puede afectar a
organizaciones en sus actividades, comprometiendo los sistemas informáticos e
información que éstos procesan. Los objetivos principales de un incidente o
ataque son el hardware, el software y los datos.
Ingeniería social: Es la principal arma empleada por atacantes; es la
denominada “fuerza persuasiva”. Los atacantes aprovechan la ingenuidad o
inocencia del usuario para hacerse pasar por una entidad oficial, un compañero
de trabajo, un experto técnico, un administrador, etc. Existe ingeniería social
basada en personas e ingeniería social basada en computadores.
Ataques: Existen numerosos tipos de ataques que los sistemas informáticos de
una organización pueden recibir. Si bien muchos de estos pueden ser
introducidos desde el exterior, son los empleados de la organización la primera
vía para concretar un ataque a activos de información.
Virus y antivirus: Existe gran variedad de virus que han mutado y evolucionado
mucho desde sus inicios. Su nivel de sofisticación, rapidez de propagación y daño
potencial han crecido a la par con los programas antivirus que buscan hacerles
frente. Esta carrera armamentista ha hecho que los programas antivirus sean
cada vez más versátiles y con motores de detección más especializados.
3 www.iplacex.cl
Desarrollo
1 Amenazas a sistemas informáticos
Conceptualmente, una amenaza a los sistemas informáticos es “cualquier
situación o evento que puede afectar la posibilidad de que las organizaciones o las
personas puedan desarrollar sus actividades, afectando directamente la
información o los sistemas que la procesan”. (Tarazona & César, 2007)
Los objetivos principales de un incidente o ataque son el hardware, el software y
los datos. Una amenaza puede ser clasificada como:
Interrupción: tiene lugar cuando uno o varios componentes del sistema
informático sufren un daño, perdida o dejan de funcionar. Generalmente
una interrupción es inmediatamente detectada, tanto por el sistema como
por el usuario, tal como la eliminación de datos y/o programas, destrucción
maliciosa del hardware, fallas del sistema operativo, etc.
Intercepción: ocurre cuando se produce el acceso determinada información
por parte de personas no autorizadas. Dado que por sus características
esta amenaza generalmente no deja huellas y su detección resulta difícil.
Ejemplos de intercepción son la escucha de datos (sniffering) y copias
ilegales de programas.
Modificación: una amenaza de modificación tiene lugar cuando una persona
no autorizada accede a un sistema informático o a alguno de sus
componentes y realiza cambios para su beneficio. Su detección efectiva
depende de las circunstancias en que se realiza el ingreso no autorizado y
el tipo de modificación realizada; por ello su detección puede resultar
compleja. Ejemplos de amenazas de modificación son los cambios de una
base datos o de elementos de aplicaciones web. Pueden eventualmente
existir cambios de hardware, aunque son acciones más sofisticadas y
menos frecuentes.
Generación: consiste en acciones de creación de nuevos elementos u
objetivos dentro un sistema informático. Esto es, la incorporación de nuevas
transacciones específicas de red o agregar nuevos registros a una base de
datos. La detección de este tipo de amenazas resulta compleja y en
muchas situaciones se trata de un delito de falsificación. Es un ataque
contra el no repudio.
4 www.iplacex.cl
1.1 Factores humanos
Una de las verdades que se esgrime y para la que hay suficiente registro y prueba
empírica, es que los riesgos a la seguridad de una organización son más altos a
nivel interno que a nivel externo.
Dicho de otra manera, la mayor amenaza y probabilidad de origen están en algún
empleado poco prolijo o una persona que cesó su relación laboral en malos
términos, antes que un ataque remoto por un virus o un intento de exploit1
Al respecto, existe un conjunto de malas prácticas riesgosas que se han tornado
habituales en muchas organizaciones. Algunas de ellas son:
1
Exploit: Programa informático malicioso (malware) que intenta utilizar y sacar provecho de una
deficiencia o vulnerabilidad en otro programa o sistema.
5 www.iplacex.cl
Es una forma de ataque difícil de combatir, pues una adecuada defensa no se
puede concebir sólo como una combinación de hardware y software.
Los ataques de ingeniería social se distinguen como tipos de ataques basados en
personas y ataques basados en computadores. Las formas más comunes de
ataques de ingeniería social basada en personas son:
Por otra parte, existen diversas y variadas formas de ataques de ingeniería social
basada en computadores. Los tipos más comunes de estos tipos de ataque son
detallados en el punto 2 del contenido de esta semana.
Ahora bien, para prevenir ataques de ingeniería social, es necesario que la
organización adopte un conjunto de normativas y buenas prácticas respecto del
uso diario de tecnologías de la información. La aplicación y supervisión de dichas
directrices debe ser fuertemente liderada y apoyada por los directivos de la
organización. En este sentido, se sugiere sean implementadas normativas tales
como:
a) Empleados deben firmar una cláusula de acuerdo de confidencialidad para
evitar proporcionar información de la organización a agentes externos.
6 www.iplacex.cl
b) Cada equipo computacional asignado a un puesto de trabajo estará bajo la
responsabilidad de uno de los usuarios autorizados en la plataforma
tecnológica de la organización.
c) Al finalizar su jornada laboral, cada empleado deberá cerrar en su equipo
todas las sesiones activas en sistemas y servicios de redes.
d) Utilizar un protector de pantalla protegido con contraseña.
e) Resguardar e impedir que otros usuarios hagan uso de su identidad para
acceder a sistemas informáticos.
f) Informar cualquier anomalía o incidente observado que pueda
eventualmente comprometer la seguridad informática o el normal
funcionamiento de la plataforma tecnológica de la organización.
g) El equipamiento computacional no debe ser sacado fuera de las
dependencias de la organización, exceptuando situaciones que cuenten
con la expresa autorización escrita de los responsables administrativos.
2
LAN: Red de área local (Local Area Network).
3
ISP: Proveedor de servicio de Internet (Internet Service Provider)
7 www.iplacex.cl
con sus clientes, proveedores, etc. También es importante señalar que la mayoría
de las organizaciones que poseen dependencias separadas geográficamente,
hacen uso de una VLAN4 para comunicar todas sus oficinas.
Si este canal digital es vulnerado, muchos de los componentes de la plataforma
tecnológica de la organización se encontrarán inmediatamente comprometidos.
Frente a este riesgo lo primordial es la utilización de cortafuegos (firewalls) para
poder bloquear y monitorear ataques desde el exterior. No obstante, el diseño
lógico de la red de la organización es sumamente importante
Una DMZ (zona desmilitarizada) es un diseño conceptual de red, en donde los
servidores de acceso público (visibles y disponibles desde el exterior) se
encuentran dispuestos en un segmento de red separado y aislado de la red
interna. El objetivo de una DMZ, como concepto de red, es asegurar que los
servidores de acceso público no puedan comunicarse con otros segmentos de la
red interna (LAN) de la organización, en el caso de que algún servidor de acceso
público se encuentre comprometido.
1.3 Software
4
VLAN: Es una LAN virtual, creadas como redes lógicas independientes dentro de una misma red
física.
8 www.iplacex.cl
información, hasta prevenir técnicas de intervención remota como inyección de
comandos SQL5.
Por ello es importante el diseño conceptual que la organización haya concebido
para su red interna, la arquitectura de comunicaciones de sistemas informáticos
con bases de datos, la decisión de llevar o no a la nube determinadas aplicaciones
o almacenes de datos, etc.
Los sistemas informáticos deben en su diseño incorporar directrices que permita
sólo la conexión desde segmentos de red específicos, así como sus componentes
y librerías deben ser continuamente revisadas. Los servidores de aplicaciones que
sean utilizados deben contener las últimas actualizaciones de seguridad, así como
su administración debe ser de exclusiva responsabilidad de expertos
pertenecientes al área informática de la organización.
Este concepto debe ser además extensivo a las estaciones de trabajo. El sistema
operativo mayormente utilizado en computadores de escritorio es Microsoft
Windows. No obstante, son conocidas las numerosas vulnerabilidades que este
sistema operativo posee y su necesidad de operar siempre con un antivirus que
brinde protección. Por ello, es necesario que la organización posea políticas de
soporte que apunten a que este sistema operativo tenga siempre actualizados sus
parches de seguridad y cuente con un antivirus que brinde protección en tiempo
real para correo electrónico, archivos, memoria y recursos de redes.
1.4 Hardware
5
SQL Injection: es un tipo de ataque a una base de datos a través de un sistema informático que
hace uso de ésta. Las inyecciones utilizan información que ingresaría un usuario combinada con
comandos de base de datos para elaborar una consulta maliciosa.
9 www.iplacex.cl
mantenimiento de los equipos. En este contexto, es siempre importante considerar
que ciertos tipos de dispositivos pueden ser más vulnerables que otros.
Phishing
El término “Phishing” se refiere a uno de los métodos más frecuentemente
empleados para obtener información confidencial de manera fraudulenta. Los
elementos que más frecuentemente se buscan obtener mediante esta técnica son
contraseñas, información bancaria o datos sobre tarjetas de crédito.
10 www.iplacex.cl
El estafador utiliza técnicas de ingeniería social suplantando a una persona o
empresa de confianza en una aparente comunicación oficial electrónica. Por lo
general, la víctima recibe un correo electrónico, o una comunicación mediante
algún sistema de mensajería instantánea, redes sociales, SMS/MMS o inclusive
también llamadas telefónicas.
La forma más común de phishing es mediante correo electrónico, en donde se
incluye un enlace hacia páginas web falsificadas que simulan ser oficiales. De esta
manera, el usuario, creyendo estar usando un sitio de confianza, introduce la
información solicitada, la que en realidad va a parar a manos del estafador.
11 www.iplacex.cl
Pharming
Constituye una modalidad de phishing. Esta técnica consiste en modificar el
sistema de resolución de nombres de dominio (DNS) a fin de que el usuario,
aunque en su navegador escriba correctamente la dirección de un sitio de
confianza, será dirigido a una página web falsa.
Para que ocurra dicho cambio en la resolución de nombres de dominio, con
frecuencia se requiere que el equipo de la víctima se encuentre infectado por un
tipo de malware, diseñado específicamente para modificar el sistema de
resolución de nombres local en el sistema operativo.
A diferencia del phishing, la técnica de pharming no se lleva a cabo en un
momento concreto. La modificación del sistema de resolución de nombres de
dominio permanece activo en la estación de trabajo de la víctima a la espera de
que el usuario a alguno de los sitios que han sido redirigidos
Si el pharming y la página falsa están bien construidos, es muy difícil distinguir el
sitio web falso en el que se roban los datos. Aun así, existen determinadas
medidas que ayudan a reducir los riesgos: comprobar que la URL se encuentra
bien escrita en el navegador y que haya cambiado a "https". La incorporación de la
letra "s" indica que es un sitio seguro y es legítimo.
Skimming
El “skimming”, o clonación, consiste en la duplicación de documentación sin el
consentimiento del dueño o de la entidad oficial que emitió dicha documentación.
Esta técnica comenzó con la duplicación de tarjetas de crédito o débito mediante
la adulteración de dispositivos bancarios o cajeros automáticos. No obstante
actualmente se está haciendo común el robo de información de pasaportes con
chip.
El delincuente opera utilizando un dispositivo denominado “skimmer” que al pasar
cerca de un pasaporte es capaz de leer la información contenida en el chip del
mismo, si este no se encuentra protegido. Posteriormente, en base a los datos
recopilados con el skimmer, es posible falsificar el pasaporte con información
fidedigna de la víctima incorporando la fotografía del delincuente, pudiendo
suplantar a la víctima con datos oficiales.
12 www.iplacex.cl
no autorizado de avisos publicitarios. Su uso más común es para robar
información personal, sin embargo, existen iniciativas que apuntan a utilizarlos
como herramienta para el control de software pirata.
Algunos síntomas de infección de un equipo con spyware son el cambio en la
página de inicio del navegador y su impedimento de modificación, apertura
aleatoria de “popups” no solicitados, barras de herramientas que se añaden en el
navegador de manera involuntaria y que no es posible eliminar, la percepción de
una navegación más lenta, etc.
Virus
Es un software malicioso que se adosa a otro programa para realizar acciones no
deseadas. Su principal objetivo es lograr acciones destructivas, dañando la
información contenida en el equipo infectado o generando un consumo de
recursos de manera incontrolada, a fin de bloquear o negar servicios.
Existe una gran variedad de virus los que han cambiado mucho desde sus
humildes inicios. Su nivel de sofisticación, rapidez de propagación y daño
potencial han crecido a la par con los programas antivirus que buscan hacerles
frente. Esta carrera armamentista ha hecho que los programas antivirus sean cada
vez más versátiles y con motores de detección más especializados.
13 www.iplacex.cl
Gusanos
En palabras simples, es un virus que cuenta con la característica especial de
poder replicarse a sí mismo de manera automática. Su poder dependerá de cuán
rápido pueda replicarse en conjunto con el daño que pueda causar.
Actualmente los gusanos se propagan principalmente usando como víctima a
usuarios de correo electrónico (en especial de Microsoft Outlook) mediante el uso
de adjuntos que contienen instrucciones para recopilar todas las direcciones de
correo electrónico de la libreta de direcciones y así enviar copias del gusano a
todos los destinatarios.
Generalmente, estos gusanos son scripts (típicamente en VBScript) o archivos
ejecutables enviados como adjuntos en correos electrónicos, los que se activan
cuando el destinatario lo descarga o ejecuta .
Troyanos
Se trata de un software malicioso, pero que fue concebido y escrito para lucir
externamente como algo diferente. Es una herramienta de ataque envuelta en un
disfraz que busca confundir al usuario o equipo objetivo, aparentando ser
programas útiles o legítimos. Es un software que provoca daños y vulnera la
seguridad.
Muchas veces la finalidad de los troyanos es recabar información o permitir el
acceso y control remoto del equipo infectado para fines malintencionados. Sin
embargo, también el objetivo es sólo introducir un virus o “dejar un paquete”, que
será el que se encargará de realizar innumerables acciones dañinas en el equipo
huésped una vez infectado.
Adware
Consiste en programas que suelen instalarse en el computador junto con otro
software y que gracias a su diseño inocentes y hasta anuncian numerosos
beneficios para el desempeño del equipo. En este sentido, su vía de entrada en
muchas ocasiones es similar a un troyano.
Su función real es bombardear al usuario con publicidad, generalmente en
ventanas del navegador, alterando la página principal del mismo o agregando
barras de herramientas al browser. Uno de los navegadores que presenta más
vulnerabilidades frente a Adware es Internet Explorer de Microsoft.
14 www.iplacex.cl
Exploit
Un exploit es un trozo de código que se aprovecha de alguna vulnerabilidad o
falencia de seguridad en el sistema operativo u algún programa utilizado en el
computador, para obtener acceso a éste y realizar acciones de manera remota.
Trasladando esto a la vida real, sería como si un modelo de cerradura (sistema o
aplicación) tuviera un fallo de diseño que permite crear llaves que la abren (exploit)
y poder así acceder al sitio que trata de proteger y realizar actos delictivos
(malware).
Frente a los exploits es posible adoptar una serie de medidas para evitar que sean
utilizados para infectar estaciones de trabajo o dañar activos información. La
acción más recomendada es mantener todas aplicaciones y sistemas
actualizados. Dado que los exploits aprovechan brechas de seguridad, resulta vital
prevenir la existencia de una de ellas. Una política de actualizaciones eficaz puede
evitar una circunstancia que pueda ser aprovechada por los atacantes. Por otra
parte, para las estaciones de trabajo, también es altamente recomendable contar
con software de seguridad que permita detectar y bloquear exploits concebidos
para aprovechar vulnerabilidades de navegadores y aplicaciones de oficina.
Ransomware
Este software busca secuestrar el computador o algún conjunto de archivos dentro
de éste. Muchos ransomware lo que hacen es encriptar parte del disco duro del
usuario y exigir un pago por la clave que permita su decodificación.
Otra modalidad menos frecuente es cuando el software se anuncia como una
actividad policial, indicando que descubrió material ilegal en el equipo. Señala
además que si no es pagada cierta suma de dinero, se procederá a acciones
legales.
Son generalmente cadenas que circulan en Internet y que buscan causar alarma.
Algunos hoax alertan vulnerabilidades o fallas e incitan a usuarios a borrar
manualmente archivos o desinstalar otros programas, pero son anuncios falsos.
Otros alertan sobre falsas promociones de conocidas compañías o buscan
sembrar pánico anunciando el cierre de servicios o funcionalidades de redes
sociales. No obstante, hay ocasiones en que causan daños directos, de manera
similar a un virus real.
Frente a los hoaxes, lo aconsejable es mantener una actitud escéptica y
comprobar la fuente y el tipo de anuncio, antes de visitar enlaces o seguir las
instrucciones de la cadena.
16 www.iplacex.cl
Conclusión
Los sistemas informáticos tienen por objetivo apoyar los procesos de negocio de
una organización. En estos procesos intervienen diversas personas y roles en la
ejecución de tareas.
En este contexto, el punto más débil de un sistema informático son las personas
involucradas con éste en mayor o menor medida. La causa de incidentes puede
ser inexperiencia, falta de capacitación, ingenuidad, o una combinación de estos
factores. En cualquiera de estas situaciones la acción primordial es prevenir.
17 www.iplacex.cl
Bibliografía
Paus, L. (2015). Nuevo phishing afecta a entidad financiera en Chile.
WeLiveSecurity ESET Latinoamérica. Recuperado de: https://goo.gl/So1f7C
18 www.iplacex.cl
19 www.iplacex.cl