Capítulo I Introducción A La Seguridad en Redes

Universidad Tecnológica de Panamá
Facultad de Ingeniería de Sistemas Computacionales
Departamento de Arquitectura y Redes Informáticas
Asignatura
Seguridad y Privacidad en Redes I
Capítulo I
Introducción a la Seguridad en Redes
Prof. Giovana Garrido
2022
Objetivos:
• Definir el término seguridad y otros conceptos relacionados con este.
• Identificar los diversos tipos de servicios de seguridad.
• Describir los diversos tipos de actores maliciosos y amenazas que se dan en la
seguridad informática.
• Identificar las vulnerabilidades que se presentan en los sistemas informáticos.
• Comprender la metodología empleada por los atacantes.
Capítulo I Introducción a la Seguridad en Redes
1.0 Introducción
En la actualidad, las organizaciones son cada vez más dependientes de sus redes informáticas y un
problema que las afecte, por mínimo que sea, puede llegar a comprometer la continuidad de las
operaciones.
La falta de medidas de seguridad en las redes es un problema que está en crecimiento. Cada
vez es mayor el número de atacantes y cada vez están más organizados, por lo que van
adquiriendo día a día habilidades más especializadas que les permiten obtener mayores
beneficios. Tampoco deben subestimarse las fallas de seguridad provenientes del interior
mismo de la organización.
La propia complejidad de la red es una dificultad para la detección y corrección de los múltiples y
variados problemas de seguridad que van apareciendo. En medio de esta variedad, han ido
aumentando las acciones poco respetuosas de la privacidad y de la propiedad de recursos y sistemas.
“Hackers”, “crakers”, entre otros, han hecho aparición en el vocabulario ordinario de los usuarios y de
los administradores de las Redes.
Además de las técnicas y herramientas criptográficas, es importante recalcar que un componente muy
importante para la protección de los sistemas consiste en la atención y vigilancia continua y sistemática
por parte de los responsables de la red.
A la hora de plantearse en qué elementos del sistema se deben de ubicar los servicios de seguridad
podrían distinguirse dos tendencias principales:
Protección de los sistemas de transferencia o transporte. En este caso, el administrador de un

servicio asume la responsabilidad de garantizar la transferencia segura al usuario final de la
información de forma lo más transparente posible.
Ejemplos de este tipo de planteamientos serían el establecimiento de un nivel de transporte seguro, de
un servicio de mensajería con MTAs (Mail Transport Agents) seguras, o la instalación de un firewall,
que defiende el acceso a una parte protegida de una red.
Aplicaciones seguras extremo a extremo. Si pensamos, por ejemplo, en el correo electrónico,

consistiría en construir un mensaje en el cual el contenido ha sido asegurado mediante un
procedimiento de encapsulado previo al envío. De esta forma, el mensaje puede atravesar sistemas
heterogéneos y poco fiables sin por ello perder la validez de los servicios de seguridad provistos.
Aunque el acto de asegurar el mensaje cae bajo la responsabilidad del usuario final, es razonable
pensar que dicho usuario deberá usar una herramienta amigable proporcionada por el responsable de
seguridad de su organización. Esta misma operatoria, puede usarse para abordar el problema de la
seguridad en otras aplicaciones tales como videoconferencia, acceso a bases de datos, etc.
1.1 Conceptos generales

En la actualidad, la seguridad de la información ha adquirido gran auge, dadas las cambiantes
condiciones y las nuevas plataformas de computación disponibles. La posibilidad de interconectarse a
través de redes ha abierto nuevos horizontes que permiten explorar más allá de las fronteras de la
organización. Esta situación ha llevado a la aparición de nuevas amenazas en los sistemas
computarizados.
Consecuentemente, muchas organizaciones gubernamentales y no gubernamentales internacionales

han desarrollado documentos y directrices que orientan en el uso adecuado de estas destrezas
tecnológicas y recomendaciones con el objeto de obtener el mayor provecho de estas ventajas, y evitar
el uso indebido de la mismas. Esto puede ocasionar serios problemas en los bienes y servicios de las
empresas en el mundo.
En este sentido, las políticas de seguridad informática (PSI) surgen como una herramienta
organizacional para concientizar a cada uno de los miembros de una organización sobre la importancia
y la sensibilidad de la información y servicios críticos que favorecen el desarrollo de la organización y
su buen funcionamiento.
2
Prof. Giovanna Garrido - FISC
1.1.1 Consideraciones de seguridad
El Porqué de la Seguridad
Ya no se puede decir que Internet sea un fenómeno en expansión, porque Internet es una realidad
en las comunicaciones actuales. La “red de redes” interconecta hoy día a prácticamente la totalidad
de la población mundial, permitiendo la compartición de información a nivel global.
Esto no es todo, porque las posibilidades de Internet se extienden más allá de la simple difusión de
información. Internet permite la interactividad entre usuarios, y ahí es donde radica el principal
problema de seguridad.
Internet no creció con la seguridad en mente, y por tanto no incorpora ningún mecanismo de
seguridad en su estructura básica, por lo que todos los servicios que se integran en Internet sufren
de esas debilidades básicas, amén de otras “proporcionadas” por los propios servicios, que
normalmente hacen poco o ningún hincapié en los posibles fallos y “agujeros” que pueda tener. Por
tanto, cuanta más gente se une a la Red y más servicios se hacen disponibles, más necesario es
añadirle mecanismos de seguridad a Internet, pero para clarificar esta necesidad, hay que contestar
a tres preguntas básicas:
1.-Que proteger
2.-De quien protegerlo
3.- Como protegerlo
Que Proteger
Es evidente que la seguridad no tendría sentido si no hubiese nada que proteger, podríamos dejar
todos los agujeros y no preocuparnos de nada, pero la lógica nos dice que esto no es así. A
continuación vamos a detallar de forma exhaustiva todo lo que necesita ser protegido:
• Datos: La información puede ser robada, destruida o modificada, y cualquiera de los tres casos es
igual de malo:
Robo: A una empresa puede hacerle muchísimo daño que le roben información confidencial, porque
los casos de espionaje industrial por la red son cada vez más frecuentes. Por ejemplo no hay que
olvidar que recientemente, en un ataque a Microsoft, se rumoreaba que podían haber robado los
códigos fuente de Windows y Office, posiblemente la posesión más preciada de una empresa de
Software. Por tanto, será necesario proteger la información confidencial de las empresas y usuarios,
para que no caiga en “malas manos”.
Destrucción: Otro de los desastres posibles con los datos es la destrucción de los mismos. Puede ser
desastroso que por un descuido toda la información valiosa sea destruida, y se pierda el trabajo
empleado durante mucho tiempo, o incluso que desaparezca información necesaria para el
funcionamiento interno de la empresa (lista de clientes, facturación, nominas, etc...). Incluso en el caso
de que se almacenen copias de seguridad de los datos, la destrucción de los mismos supone una
interrupción de la producción mientras se restauran los mismos, con la posible aparición de problemas
derivados del hecho de restaurar unos datos “antiguos” (dependiendo de la naturaleza de los datos se
pueden perder las últimas modificaciones, teniendo que buscar el punto exacto de actualización).
Modificación: Posiblemente el peor de los riesgos es el de modificación de los datos. Es el ataque más
sutil de todos y puede causar grandes daños a la infraestructura de una empresa. Se podrían modificar
desde los planos de un proyecto por parte de una empresa, hasta el código fuente de un software de
próxima aparición. En cualquier caso, si se descubre a tiempo la intrusión (cosa que es más
complicada que en el caso de la destrucción de datos) requiere una revisión completa de los datos,
primero para averiguar la fuente del cambio, y luego para corregirlo. Esto suele requerir gran cantidad
de tiempo, lo que provoca un retraso significativo en la normal evolución de la empresa, con la pérdida
económica asociada. Muchísimo peor es no advertir la modificación, lo que puede producir un desastre
que acabe con una empresa.
3
• Programas: Al igual que los datos, los programas de computador deben ser protegidos, entre otras
cosas porque son una forma de acceso a los datos. Los programas manejan la información y
acceden al sistema, con lo cual son una herramienta perfecta para conseguir los objetivos del
“pirata informático”. Son conocidas por todas las debilidades que presenta el Internet Explorer, que
permite, por ejemplo, que se ejecuten instrucciones en el computador poniendo la URL apropiada.
• Hardware: Otras veces, el hacker pretende usar los recursos disponibles, más que los propios
datos, por ejemplo, para iniciar un ataque desde una máquina que no es suya, y así permanecer en
el anonimato. Otras veces utiliza las maquinas como servidores ilegales (por ejemplo, de FTP) o
utiliza los recursos para acceder a servicios a los que normalmente no accedería.
Este es el principal riesgo para los usuarios finales, ya que los datos que pueda perder un
usuario son insignificantes en la mayoría de casos, pero que tu computador aparezca como el
origen de un ataque a una corporación importante puede acarrear no pocos problemas. Además,
determinadas paginas “poco recomendables” (normalmente de contenido pornográfico) intentan
instalar (sin permiso) conexiones de Red distintas de la que tenga contratada el usuario
(normalmente un 906), para que sin saberlo este haciendo uso de ese servidor, y por tanto,
facturando llamadas.
• Imagen: No hay nada que produzca más desconfianza, que una empresa que ha sido atacada o
que ha sido usada como soporte para un ataque a una tercera persona. Crea una apariencia de
dejadez que no beneficia a la empresa. Por tanto, es importante que una empresa mantenga una
buena seguridad, máxime si esta empresa es de Software. Además, cuando se encuentra una
brecha de seguridad, esta es inmediatamente conocida en la red, lo cual provoca que los ataques
se multipliquen a menos que la brecha sea rápidamente contenida.
De Quien Protegerlo
Hay 2 tipos de atacantes de los que preocuparse: Los hackers profesionales y los llamados Tiny
Hackers. Los primeros son, afortunadamente, una minoría, y son los que se encargan de buscar
debilidades y de crear aplicaciones capaces de aprovechar estas vulnerabilidades. Luego, estos
programas de crack son distribuidos por la red y usados por una gran cantidad de Tiny Hackers, que
en realidad lo único que buscan es un poco de fama, o simplemente “gastar una broma”.
Los hackers que de verdad preocupan son los primeros, ya que son realmente capaces de conseguir
sus fines, si se lo proponen. La única forma eficaz de protegerse de ellos es conseguir que sea tan
difícil atacar la red que no les merezca la pena emplear tanto tiempo. Esto es tanto más difícil cuanto
más importante es la red a proteger.
Los otros hackers son sobre todo una molestia, porque al utilizar los programas que todo el mundo
conoce son más fáciles de parar. Es relativamente sencillo crear defensas para protegerse de ellos,
por eso las víctimas de estos “piratas” suelen ser usuarios desprevenidos, o redes no lo
suficientemente protegidas.
Los ataques pueden clasificarse en 3 tipos genéricos:
Desmantelamiento de sistemas: Suelen ser ataques de Denial of Service. Estos

ataques tienen como fin colapsar una o más máquinas, haciendo que se “cuelguen”,
e incluso provocando la perdida de datos (esto último dependiendo del sistema
operativo). La forma más sencilla de provocarlo es inundando de peticiones a la/las
maquinas, hasta que se acaba la memoria y se cuelga.
Robo de datos: La manera más normal de atacar para robar datos es conseguir una
combinación de login/password de algún usuario (cuantos más privilegios tenga ese
usuario, mejor). Esto se puede conseguir probando combinaciones de password
contra algún login conocido (o contra todos), empezando por las combinaciones más
típicas y luego probando todas las posibles (ataques de fuerza bruta). Otra forma de
conseguir un login/password es mediante un sniffer, un programa que captura todos
los datos que pasen por la red. Muchas aplicaciones mandan información por la red
4
sin encriptar (como Telnet) y puede ser analizada por un atacante para encontrar
una identificación con la que acceder al sistema.
Intrusión: Estos ataques consiguen que el hacker tenga acceso remoto a otra
máquina, y por tanto puede usar los recursos de esta. Normalmente se utilizan estas
máquinas para lanzar ataques contra otras de una forma “camuflada”, y sin un
riesgo claro para el atacante.
En cualquier caso, todos los ataques suelen ir acompañados de un trabajo de “limpiado de huellas”, ya
que el hacker debe cubrir su ataque para no ser descubierto. En general, el hacker suele hacer
“spoofing”, que consiste en utilizar una dirección IP de origen que no es la suya, para así cubrirse él.
Otra de las técnicas es lanzar el ataque de forma remota desde una máquina que haya sido atacada
previamente lo cual también cubre al atacante real. Además, se suele completar la “limpieza”
camuflando las actividades en el ataque, mediante una modificación de los archivos de logging, de tal
forma que no aparezca ningún rastro del ataque.
Por eso, es muy importante a la hora de proteger una red que se tenga un buen sistema de informes,
principalmente para que un ataque no pueda pasar desapercibido y para que se pueda rastrear al
atacante. Este sistema debe ser exhaustivo, de tal forma que recoja la información de todo lo que pase
en el sistema, y además debe ser difícil de modificar, para que no se pueda manipular fácilmente.
Dicho tema lo estaremos desarrollando más adelante en este capítulo.
Como Protegerlo
No existe una forma genérica para proteger una red (o un único computador) de cualquier ataque. Hay
muchos factores a tener en cuenta, desde la importancia de los datos a proteger (no es lo mismo
proteger una pequeña red que solo se usa para tener una forma de inventario muy rápida, que
proteger una red gubernamental), hasta el presupuesto disponible para seguridad. Se colocan equipos
conocidos como firewalls (cortafuegos) que son los que proporcionan la seguridad a la red, mediante
un análisis del tráfico, permitiendo unas cosas y denegando otras (en función de la configuración
elegida).
Como ya hemos comentado antes, es importante plantearse la importancia de lo que se va a proteger,

para hacerse una idea de los esfuerzos que están dispuestos a hacer los hackers para conseguir
atacar la red. Incluso es necesario plantearse la naturaleza del servicio que se ofrece, porque
determinadas empresas son susceptibles de ser atacadas por motivos ajenos a la información que
posea (Microsoft, servidores de Web como Yahoo, Telefónica...).
Una vez se tiene claro el nivel de seguridad que va a ser necesario (y siempre con la restricción
económica en mente), se debe decidir qué tipo de topología se va adoptar en la red. No es lo mismo
una pequeña red, donde se pueden concentrar los esfuerzos en proteger un numero pequeño de
máquinas, que una gran red separada en múltiples segmentos, con distintos privilegios y necesidades,
donde será necesario distribuir la responsabilidad de la seguridad (poner varios firewalls), y prestar
más atención a cada segmento. Existen muchos tipos de Topologías de seguridad más o menos
“conocidas” por todos, y que están recomendadas para distintos casos, pero aun así es necesario un
estudio pormenorizado, entre otras cosas porque las redes suelen hacerse primero y se “aseguran”
después, con lo que las opciones suelen restringirse mucho. Las configuraciones más normales
consisten en un firewall en “punta de lanza” (como primer obstáculo) y luego otros firewalls en cada
segmento separado, añadiendo más seguridad a cada subred, dependiendo en la naturaleza de estas.
Existe un tipo “especial” de segmento, conocido como DMZ (De-Militarized Zone), donde se suelen
colocar los equipos de “riesgo”, como los servidores que deben ser accesibles desde la zona Internet
(servidores de www, correo, IRC...). Es una zona donde hay que permitir demasiadas cosas
(conexiones que empiezan en el exterior...), y no es recomendable que conviva con otros equipos que
no necesitan tantos riesgos. Esta es la configuración más típica, con un firewall al que se conecta la
subred segura, el DMZ e Internet (o el acceso externo), y se crean distintas políticas para cada acceso
(Internet→Interno, DMZ→Interno, Interno→Externo...). Además, se puede añadir un servidor Proxy (de
Web, de Telnet, de FTP...) para ofrecer distintos servicios con un nivel de seguridad mayor, ya que un
Proxy analiza el tráfico de forma más detallista que un filtro, que solo analiza tráfico como mucho a
nivel de direcciones, puertos y protocolo de nivel 4. Dicho tema será tratado en otro curso.
5
Una vez se tiene la topología a implementar, se pasa a analizar las necesidades de cada segmento, en
función de las tareas que tenga que realizar. La política habitual es prohibir todo el tráfico que no se
permita explícitamente, y solo se permite el tráfico que sea necesario. Esto requiere un conocimiento
básico de Redes, para poder implementar las reglas que permiten el acceso a los servicios que
requiera cada segmento, cosa que no ocurre con los proxies, ya que son totalmente automáticos, pero
no existen proxies para todos los servicios, por lo que dependiendo del tipo de red (de usuarios de
Internet o de Investigación) puede ser suficiente con un proxy (que implemente todos los servicios) o
puede ser necesario un filtro “convencional”, en el que se configure manualmente el servicio.
Además, es necesario conocer los riesgos asociados a cada servicio que se permita en la red, para así
añadir la seguridad que sea necesaria, bien en el propio firewall, o bien en los equipos finales. Puede
ser necesario añadir un sistema de detección de intrusos para que monitorice el tráfico en busca de
patrones conocidos de ataque, dependiendo de los servicios que se permitan. Dicho tema será
tratando en el segundo curso.
Otro de los factores a tener en cuenta es que la mayoría de los ataques comienzan desde dentro de la
propia subred, bien por malicia de un usuario o bien por desconocimiento o despiste de un neófito. Por
eso es muy importante concienciar a todo el mundo de las cosas que se pueden y se deben hacer, y
de cuales no (no ejecutar archivos descargados de páginas de poca confianza, vigilar los attachments
de los mails...), estableciendo unas políticas de seguridad para los usuarios (usuarios con distintos
privilegios en función de su cargo y de sus conocimientos en informática). También sería
recomendable un control de login/password, para evitar combinaciones especialmente débiles
(basadas en palabras de diccionario).
Por tanto, también será importante añadir seguridad en los equipos finales, principalmente en los
servidores, de los que depende gran parte del funcionamiento de una subred. Entre los dispositivos de
seguridad más normales están los antivirus (preferiblemente con detección de troyanos) y los llamados
“Personal Firewalls” (o Desktop Firewalls), que cumplen una función similar a un firewall estándar, pero
para un equipo final (que no tiene que hacer routing). Así, podemos añadir un nivel de restricción
superior que el que le corresponda por segmento de red, ya que por ejemplo desde un servidor de
NFS solo será necesario que se permita el acceso NFS y ninguno más (nadie va a navegar Web desde
allí), a pesar de que el firewall de ese segmento permita el tráfico red.
Por último, no se recomienda la instalación de servidores en el/los firewalls, porque se pueden crear
agujeros de seguridad que pongan en peligro a toda la red. Además, en la mayoría de las
configuraciones, el Firewall es un “cuello de botella”, ya que actúa como router externo, y si se le
añaden servicios, aumentara su tiempo de respuesta y hará que la Red funcione más lenta.
1.1.2 Definiciones
Dado que se está tratando con conceptos que pueden tener múltiples interpretaciones, parece
prudente acordar ciertos significados específicos, los cuales estaremos desarrollando a continuación.
Iniciamos con el término seguridad, y para ello nos hacemos la siguiente pregunta, ¿Qué es la
seguridad? La seguridad tiene múltiples usos. En términos generales, se puede decir que este
concepto proviene del latín securitas se centra en la propiedad de seguro, es decir, mejorar la
propiedad de algo donde hay peligro, daño o la comprobación de riesgos. Una cosa es segura es algo
fuerte, cierta e indudable. La seguridad, por lo tanto, puede ser considerada como una certeza.
Otra definición de Seguridad: es “calidad de seguro”, y, seguro está definido como “libre de riesgo”.
Seguridad, es estar libre de peligro, a salvo; libre del miedo o ansiedad.
Por otro lado, en un sentido general, seguridad significa proteger nuestros activos. Esto puede
significar protegerlos de atacantes que invaden nuestras redes, desastres naturales, condiciones
ambientales adversas, cortes de energía, robo o vandalismo u otros estados indeseables. En última
instancia, intentaremos protegernos contra las formas más probables de ataque, en la mejor medida
que podamos, dado nuestro contexto.
La seguridad de la información es un campo de estudio aún más amplio que incluye la seguridad y las
redes informáticas. En ella se encuentra una variedad de disciplinas, incluidas las ciencias de la
6
computación, la gestión empresarial, los estudios de información y la ingeniería. Implica el estudio de

un estado en el que la información y los datos están seguros. Aquí la información o los datos están en
movimiento a través de los canales de comunicación o almacenados en bases de datos en el servidor.
Esto, por lo tanto, implica el estudio no solo de diseños matemáticos más detallados de protocolos y
mejores prácticas criptográficas, de comunicación, transporte e intercambio, sino también del estado
de los datos y la información en movimiento. Estos temas serán tratados más adelante.
Según la ISO/IEC, la seguridad de la información se podría definir como aquellos

procesos, buenas prácticas y metodologías que busquen proteger la información y
los sistemas de información del acceso, uso, divulgación, interrupción, modificación
o destrucción no autorizada. Esta definición básicamente significa que debemos
proteger nuestros datos y nuestros recursos de infraestructura tecnológica de
aquellos quiénes intentarían hacer un mal uso de ellos.
La seguridad de la información protege a esta de una amplia gama de amenazas, a fin de garantizar la
continuidad de una organización.
Otra definición Información: es “acción y efecto de informar”.

Informar: es “dar noticia de una cosa”.
Redes: es “el conjunto sistemático de caños o de hilos conductores o de vías de comunicación o de
agencias y servicios o recursos para determinado fin”.
La Seguridad Informática se puede definir como la disciplina encargada de plantear y diseñar las
normas, procedimientos, métodos y técnicas con el fin de obtener que un sistema de información sea
seguro, confiable y sobre todo que tenga disponibilidad.
La principal tarea de la seguridad informática es la de minimizar los riesgos, en este caso provienen de
muchas partes, puede ser de la entrada de datos, del medio que transporta la información, del
hardware que es usado para transmitir y recibir, los mismos usuarios y hasta por los mismos
protocolos que se están implementando, pero siempre la tarea principal es minimizar los riesgos para
obtener mejor y mayor seguridad.
Uniendo todas estas definiciones, podemos establecer qué se entiende por Seguridad en redes.
Seguridad en Redes
Es la necesidad de tener una comunicación segura, además, mantener la provisión de información

libre de riesgo y brindar servicios para un determinado fin.
Las medidas de seguridad diseñadas para proteger los datos durante su transmisión a través de redes
(como Internet) se denominan seguridad de red. Aunque se denomina seguridad de red, los principios
y mecanismos involucrados aquí también se aplican a las redes.
Si trabajamos en definir Seguridad en Redes con los elementos que conocemos,

podemos llegar a una definición más acertada:
Seguridad en redes es mantener bajo protección los recursos y la

información con que se cuenta en la red, a través de procedimientos
basados en una política de seguridad tales que permitan el control de lo
actuado.
Si unimos la definición de seguridad e información para obtener la seguridad de la información:

Medidas adoptadas para evitar el uso no autorizado, el mal uso, la modificación o la denegación
del uso de conocimiento, hechos, datos o capacidades. (Tomado del libro Maiwald)
INFOSEC Glossary 2000: “Seguridad de los Sistemas de Información consiste en la protección de los
sistemas de información respecto al acceso no autorizado o modificación de la información en el
almacenamiento, proceso y tránsito y contra la denegación de servicio para los usuarios autorizados,
incluyendo aquellas medidas necesarias para detectar, documentar y contrarrestar dichas amenazas.”
Sistema de Seguridad: Es un conjunto de elementos que permiten al usuario realizar ciertas

operaciones en función del nivel de responsabilidad que le ha sido asignado. Este nivel de
7
responsabilidad depende del puesto que ocupe el usuario del sistema. El sistema ha de tratar de
reducir los puntos por donde se puede producir un ataque y los que no se puedan eliminar tienen que
ser controlados para evitar el ataque.
La seguridad por sí sola no puede garantizar la protección, por lo cual se hace necesario tener los
preventivos para proteger tanto la información como sus capacidades.
¿Por qué seguridad de red?
La seguridad a menudo se considera como la necesidad de proteger uno o más aspectos de la

operación de la red y el uso permitido (acceso, comportamiento, privacidad y confidencialidad
incluidos). Los requisitos de seguridad pueden ser 'Globales' o 'Locales' en el alcance, según el
propósito de diseño e implementación de las redes o la interconexión de redes.
• La política del buen vecino. Tus errores pueden ser los dolores de cabeza de otra persona. Si su
red es insegura y alguien toma el control de una de sus computadoras, puede usar esa máquina
para
• lanzar ataques de denegación de servicio contra terceros inocentes. También pueden inundar la
Web con spam.
• Privacidad de los usuarios. Obviamente, los registros de usuarios son de suma importancia. La
confianza entre la biblioteca y sus clientes puede verse irreparablemente dañada si estos registros
se ven comprometidos.
• Dinero y tiempo. Rastrear un virus o un gusano y eliminarlo de su red es frustrante y requiere
mucho tiempo. A menudo tiene que reconstruir sus máquinas desde cero, reinstalando el sistema
operativo y el software y restaurando los datos de las cintas de respaldo. La seguridad puede llevar
a semanas de tiempo perdido parcheando su red y reparando los restos.
Las inseguridades generalmente se dividen en dos categorías:

• Un estado activo de inseguridad, es decir, el desconocimiento por parte del usuario de las
funcionalidades del sistema, algunas de las cuales pueden ser perjudiciales para el sistema
(por ejemplo, no desactivar servicios de red que no son necesarios para el usuario).
• un estado pasivo de inseguridad, es decir, cuando el administrador (o usuario) de un sistema
no está familiarizado con los mecanismos de seguridad que existen.
Ciberseguridad
Hace unos 40 años, la tecnología de la información trajo consigo la introducción de la seguridad

informática con el objetivo de proteger los sistemas tecnológicos que utilizamos. Hace unos 15 años,
este concepto se fue transformando en la seguridad de la información con el objetivo de proteger la
información (nuestra información) que se encuentra almacenada en los sistemas tecnológicos que
utilizamos. Y más recientemente, comenzamos a hablar de ciberseguridad, ya que actualmente el
objetivo se extendió no solo a proteger nuestra información, sino también a proteger la infraestructura
tecnológica que la soporta y nos hace funcionar como sociedad.
ISACA (Information Systems Audit and Control Association) también nos da una definición de
Ciberseguridad. De acuerdo con esta asociación, puede entenderse como:
“Protección de activos de información, a través del tratamiento de amenazas que ponen en riesgo la
información que es procesada, almacenada y transportada por los sistemas de información que se
encuentran interconectados”.
La ciberseguridad es el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de

seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros
y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el
ciberentorno. Los activos de la organización y los usuarios son los dispositivos informáticos
conectados, los usuarios, los servicios/aplicaciones, los sistemas de comunicaciones, las
comunicaciones multimedios, y la totalidad de la información transmitida y/o almacenada en el
ciberentorno. La ciberseguridad garantiza que se alcancen y mantengan las propiedades de seguridad
de los activos de la organización y los usuarios contra los riesgos de seguridad correspondientes en el
ciberentorno. (UIT–T X.1205)
De acuerdo con la Unión Europea, ciberseguridad se define como “salvaguardas y acciones que
pueden emplearse para proteger el dominio cibernético, tanto en el ámbito civil como militar, frente a
8
las amenazas vinculadas con sus redes interdependientes y su infraestructura de información o que
pueden afectar a estas”, https://ec.europa.eu/digital-single-market/en/news/eu-cybersecurity-plan-
protect-open-internet-and-online-freedom-and-opportunity-cyber-security
“imprecisión temeraria que puede abarcar una lista prácticamente interminable de distintos problemas
de seguridad, inconvenientes técnicos y ‘soluciones’ desde técnicas hasta legislativas.” (ISOC)
La ciberseguridad se basa en la seguridad de la información, seguridad de aplicaciones,

seguridad de red y la seguridad de Internet como bloques de construcción fundamentales.
Con mucha frecuencia se confunden los términos ciberseguridad y seguridad de la información.

Ambos conceptos tienen como objetivo conseguir y mantener las propiedades de la seguridad:
confidencialidad, integridad y la disponibilidad.
Sin embargo, el alcance global de Internet le da a la ciberseguridad un carácter único.

Mientras que la seguridad de la información se inició cuando la mayoría de los sistemas estaban
aislados y raramente se atravesaban jurisdicciones, la ciberseguridad trabaja sobre amenazas globales
e incertidumbre legal.
1. Las leyes creadas para la seguridad de la información son inadecuadas en la era de Internet.
2. La ciberseguridad tiene que lidiar con una arquitectura de Internet que hace prácticamente
imposible atribuir un ataque a quien lo ha iniciado.
3. Debido a sus orígenes en los servicios militares y diplomáticos, la seguridad de la información
suele centrarse en la confidencialidad. A pesar de que WikiLeaks ha destacado la
importancia de la confidencialidad, la ciberseguridad se centra también en la integridad y la
disponibilidad.
En caso contrario, la ciberseguridad se encuentra enfocada, de forma principal, en la información que

se encuentra en formato digital y los sistemas interconectados que la procesan, transmiten o
almacena, por lo que tienen una mayor cercanía a la seguridad informática.
La seguridad de la información se encuentra sustentada por diferentes metodologías, normas,
herramientas, estructuras, técnicas, tecnología y otros elementos, que soportan la idea de proteger las
diferentes áreas de la información, además se involucra durante la aplicación y la gestión de las
medidas de seguridad apropiadas, mediante un enfoque holístico.
Por lo general, los límites no importan para cada concepto, el principal objetivo es proteger la
información, de forma independiente de que ésta pertenezca a una empresa tratándose de
información personal, ya que nadie se encuentra exento de padecer algún riesgo en seguridad.
Es la capacidad para minimizar el nivel de riesgo al que está expuesta la información ante amenazas o
incidentes de naturaleza cibernética. La ciberseguridad tiene como foco la protección de la información
digital.
La ciberseguridad incluye una serie de estrategias, metodologías y tecnologías para protegernos de las
amenazas actuales y es un nuevo punto de partida para lo que vendrá en el futuro.
Una vez que ya conocemos la definición de cada uno de los términos y el alcance que tienen,
podemos utilizarlos en diferentes momentos ya que seguramente podemos seguir aplicando el
concepto. Con los avances tecnológicos que se incorporan cada vez más a nuestras vidas cotidianas,
la dependencia de la tecnología se incrementa, y como consecuencia se genera la necesidad de
aplicar la ciberseguridad.
Ciberespacio
El término fue acuñado por William Gibson, un escritor de ciencia ficción en el año 1982.
Posteriormente en 1984 reiteró el término en su novela “Neuromancer”.
El ciberespacio se puede entender como el dominio global dentro del marco del ambiente informático
que consiste en redes de tecnología de la información interdependientes, sistemas de computadores,
procesadores integrados y controladores, y que genera un espacio virtual donde circulan datos,
contenidos e información.
9
La ISO/IEC 27032 Guidelines for cybersecurity, lo define como “el entorno complejo resultante de la
interacción de personas, software y servicios en Internet por medio de dispositivos tecnológicos y
redes conectadas a él, que no existe en ninguna forma física”.
De acuerdo con la Unión Europea, ciberseguridad se define como “salvaguardas y acciones que
pueden emplearse para proteger el dominio cibernético, tanto en el ámbito civil como militar, frente a
las amenazas vinculadas con sus redes interdependientes y su infraestructura de información o que
pueden afectar a estas”.
Hoy día se ha convertido en el conjunto de dispositivos de computación, redes, cables de fibra
óptica, enlaces inalámbricos y otras infraestructuras que llevan Internet a miles de millones de
personas alrededor del mundo.
El ciberespacio ofrece grandes oportunidades y también tiene un lado oscuro que ha traído la
necesidad de la ciberseguridad y todavía existe la Web invisible o profunda que presenta grandes e
innumerables riesgos.
Ciberguerra (guerra cibernética)

La ciberguerra es un área dentro de las agencias militares de los países que tiene como objetivo
encontrar las vulnerabilidades técnicas de los sistemas o redes informáticas del enemigo para
penetrarlas y atacarlas, tanto así como para extraer datos e información sensible. En este caso el
ciberespacio es el campo de batalla y las armas son programas o aplicaciones informáticas. Las
tácticas de combate son la infiltración en redes enemigas, la recopilación de datos, la interferencia de
señales inalámbricas, los programas informáticos falsificados y contaminados (a partir de la instalación
de “puertas traseras”), ataques a sistemas enemigos a través de virus, gusanos y bombas lógicas,
entre otras. Algunas potencias en materia de ciberguerra son Estados Unidos, China y Rusia, mientras
que en un segundo nivel se encuentran Israel y Francia. Otras naciones con capacidad para la guerra
cibernética son Taiwán, Irán, Australia, Corea del Sur, India y Paquistán, entre otros.
Se define entonces como ciberguerra a las acciones efectuadas por una Organización-Nación-Estado
con el propósito de penetrar los sistemas informáticos y redes de computadores de otra Nación-
Estado, con el propósito de causar daños o interrupción de los mismos.
El área de “guerra cibernética” surge a principios de los 90s en el seno de las agencias de seguridad
de los Estados Unidos, donde los servicios de inteligencia comienzan a ver Internet como una
potencial herramienta para el espionaje electrónico. Un nuevo concepto que adquiere significación a
partir del desarrollo de este campo es el de infraestructuras críticas de información, también conocidos
como sistemas SCADA (acrónimo de supervisión, control y adquisición de datos, en inglés). Son
sistemas informáticos que hacen al funcionamiento de los servicios públicos de un país, como por
ejemplo, los sistemas de gestión hidrológica, los conductos de gas, las redes de transmisión y
distribución eléctrica, los sistemas eólicos, los sistemas de control medioambiental y los sistemas de
control de tráfico aéreo, ferroviario o vial, entre otros, que pueden resultar como potenciales objetivos
en el marco de un conflicto bélico virtual.
Cibercrimen (delito informático)

El cibercrimen es un término que carece de una definición universalmente homogénea y aceptada por
los especialistas en el área. Si bien muchos investigadores están de acuerdo en que es una actividad
ilegal realizada a través del computador existe un desacuerdo con respecto al lugar en el que se
ejecuta.
Cibercrimen (o crimen informático): cualquier delito donde la tecnología de la información y las

comunicaciones 1) se usa como herramienta para cometer una infracción; 2) es el objetivo de una
infracción; 3) es un dispositivo de almacenamiento en la comisión de una infracción.
El ciberdelincuente puede usar un dispositivo para acceder a la información personal de un usuario,

información comercial confidencial, información gubernamental o deshabilitar un dispositivo.
Algunos ejemplos de estas divergencias son las siguientes definiciones:

• Chung et al.: actividades ilegales realizadas a través de computadores que a menudo tienen
lugar en las redes electrónicas globales.
10
• Parker afirma que es el sistema de información que sirve de canal.

• Philippsohn considera que se realizan a través de internet.
• Power lo asume como la intromisión sin autorización de un computador.
Ciberterrorismo
El ciberterrorismo es la convergencia del ciberespacio y el terrorismo. No obstante, no existe acuerdo
acerca de una definición única.
El ciberterrorismo es el ataque premeditado y políticamente motivado contra información, sistemas

computacionales, programas de computadoras y datos que puedan resultar en violencia contra
objetivos no combatientes por parte de grupos subnacionales o agentes clandestinos.
La definición de Dorothy Denning, investigadora en seguridad de la información, en su testimonio ante

la Cámara de Representantes de los Estados Unidos define el ciberterrorismo como: “ataques ilegales
y amenazas de ataque contra las computadoras, las redes y la información almacenada en él, con la
intención de intimidar o coaccionar a un gobierno o su gente en el fomento de objetivos políticos o
sociales”.
Algunos posibles ejemplos de ciberterrorismo con consecuencias graves en el mundo físico:

• Acceso remoto a los sistemas de control de alguna fábrica de procesado de cereales,
cambiando los niveles de enriquecimiento de hierro y provocando enfermedades o muertes de
niños que pudieran ingerirlos posteriormente;
• Colocación de varias bombas controladas por ordenador en una ciudad. Cada bomba estaría
transmitiendo una secuencia numérica cifrada única y difícilmente previsible, y las demás
estarían recibiendo las secuencias. Tan pronto como una bomba dejara de transmitir su
secuencia (por haber sido desactivada o anulada, por ejemplo), las demás bombas
explotarían;
• Ataque a los sistemas de control de tráfico aéreo para provocar una colisión de aviones;
• Ataque a los sistemas de control de vías en infraestructuras ferroviarias, provocando
accidentes de trenes por colisión o por conducirlos a vías muertas, por ejemplo;
• Alteración remota de las fórmulas de distintos medicamentos de manera que provocaran
enfermedades o muertes;
• Cambio remoto de la presión en las conducciones de gas, provocando eventualmente un fallo
de alguna válvula y posiblemente alguna explosión posterior.
1.1.3 ¿Por qué es necesaria la seguridad?
La seguridad informática se ha transformado en un factor de suma importancia en los negocios y en el

ámbito personal. Si bien las problemáticas son diferentes en cada entorno, tienen muchas cosas en
común, y es fundamental conocer los distintos aspectos que la componen a fin de poder protegerse en
forma adecuada.
Normalmente, la seguridad está referida a un conjunto de medidas que podemos tomar tanto
preventivas como correctivas y que están orientada a proteger la información. Pero sabemos que hoy
en día los sistemas informáticos procesan, transportan y almacenan más y más datos, ya
prácticamente todo se puede digitalizar por lo que nos enfrentamos a situaciones desconocidas en el
ámbito de la seguridad de la información. Se gana en la rapidez de los procesos y en el acceso a la
información, pero a cambio, aparecen otros problemas ligados a esas facilidades ya que, si es más
fácil transportar la información también hay más posibilidades de que desaparezca “en alguna parte del
camino”, si es más fácil acceder a ella también es más fácil modificar su contenido.
La seguridad informática como hemos dicho en puntos anteriores es el conjunto de medidas

encaminadas a proteger el hardware, el software, la información y las personas.
11
La necesidad de seguridad es una constante que ha acompañado a la historia del ordenador. Es

necesario asegurar tanto la máquina como la información que contiene, así como garantizar la
seguridad de los usuarios. Cualquier fallo puede tener repercusiones graves de tipo económico, social
o personal.
Además, en un futuro próximo, la revolución de Internet y su evolución continua conllevarán un cambio

radical en la forma de entender los riesgos informáticos. La irrupción del big data y el Internet de las
cosas obligará a elaborar nuevas estrategias de seguridad. Veamos qué significan estos dos
conceptos:
• Big data. Es la gestión y análisis de enormes volúmenes de datos que no pueden ser tratados
de manera convencional. Es útil para hacer pronósticos y diagnósticos que pueden pasar
desapercibidos con cantidades de datos más pequeñas y permitirá grandes mejoras en todos
los ámbitos de la vida. Sin embargo, los usuarios a menudo facilitan datos personales sin
darse cuenta de las implicaciones que ello podrá tener en su privacidad: datos de usuario en
las redes sociales, señales de los móviles, pagos con tarjeta...
• Internet de las cosas. Es la conexión de objetos de uso cotidiano con Internet para dotarlos
de interactividad. Este avance facilitará la interconexión entre personas y objetos y reducirá o
eliminará las barreras de distancia y tiempo. Se conectarán a Internet muchas más cosas que
personas, pero a la vez se incrementarán notablemente los riesgos informáticos, en
comparación con los actuales.
En esta continua evolución, debemos minimizar los riesgos. Si vamos a utilizar el ordenador en una
red, tenemos que:
• Saber utilizarlo (no usaremos a la ligera herramientas que no conozcamos, sobre todo en
Internet).
• Conocer las herramientas de seguridad de que disponemos (así sabremos si estamos
protegidos frente a virus, ciberdelincuentes y páginas de contenido indeseado).
• Aplicar una serie de normas básicas de seguridad que rigen nuestra interacción con los
otros usuarios de la red.
La seguridad también es necesaria para evitar que los intrusos puedan obtener
información sobre las personas o sobre las empresas para poder utilizarla a favor
suyo y en perjuicio de los demás.
Es necesaria para evitar la suplantación de una persona y que se la culpe a ésta de
la fechoría hecha por el intruso que ha sustituido a esa persona.
Es necesaria para poder evitar que un fallo en el sistema producido por un usuario
perjudique al resto de usuarios o para evitar que el usuario emplee Internet para perder el tiempo en
horas de trabajo.
La seguridad es necesaria para evitar el robo de los passwords, la alteración o robo de ficheros, la
introducción de virus o troyanos y para evitar que nuestro computador sea utilizado para realizar un
ataque a otro.
1.1.4 Privacidad en la red
Ciberseguridad y privacidad
En los últimos años, se ha hecho hincapié en la relación entre la ciberseguridad y la privacidad. En

esta situación, la privacidad significa los derechos y capacidades de una persona para controlar cómo
se almacena, comparte y utiliza su información. Aunque el tema de la privacidad se extiende más allá
de la ciberseguridad, la ciberseguridad aún juega un papel muy importante para garantizar que los
datos de una persona estén protegidos contra el uso malicioso. La ciberseguridad también es
responsable de muchos de los controles que permiten a una empresa auditar el uso de sus datos,
asegurándose de que siga las reglas o regulaciones necesarias. En el futuro, es probable que la
12
protección de la privacidad de un usuario se convierta en una parte cada vez más integral del campo
de la ciberseguridad.
Las comunicaciones son la base de los negocios modernos, pues sin las mismas ninguna empresa
podría sobrevivir. Por tal razón, es necesario que las organizaciones mantengan sus servidores, datos
e instalaciones lejos de los hackers y piratas informáticos.
La temática de la privacidad de las redes ha ido cobrando, desde hace mas de una década, un lugar
bien importante en el entorno del desarrollo de la informática, ya que las empresas se sienten
amenazadas por el crimen informático y busca incansablemente tecnologías que las protejan del
mismo, para lo cual destinan partidas en sus presupuestos para fortalecer la seguridad de la
información y de las comunicaciones.
El mantener una red segura fortalece la confianza de los clientes en la organización y mejora su
imagen corporativa, ya que muchos son los criminales informáticos (agrupaciones, profesionales,
aficionados y accidentales) que asedian día a día las redes. De forma cotidiana estos hackers aportan
novedosas técnicas de intrusión, códigos malignos más complejos y descubren nuevos vacios en las
herramientas de software.
Primeramente, definiremos privacidad se refiere a aquellas acciones destinadas a garantizar que

nuestra información privada está protegida en nuestros accesos y/o publicaciones en Internet. O sea,
Se refiere a que la información solamente puede ser leída por personas autorizadas.
Ejemplo. Si la comunicación se establece por Teléfono y alguien intercepta la comunicación o escucha

la conversación por otra línea podemos afirmar que no existe Privacidad. Ejemplo: Si mandamos una
carta y por alguna razón alguien rompe el sobre para leerla, podemos decir que se ha violado la
Privacidad. En la comunicación por Internet es muy difícil estar seguro de que la comunicación es
privada, ya que no se tiene control de la línea de comunicación. Por lo tanto si ciframos (escondemos
la información), cualquier intersección no autorizada no podrá entender la información confidencial.
Esto es posible si se usan técnicas criptográficas, en particular la Privacidad se logra si se cifra el
mensaje con un Método Simétrico.
Entonces, la privacidad es que nadie vea lo que haces, pero potencialmente saber quién eres. La
privacidad se trata de contenido, la privacidad se trata de mantener la confidencialidad y guardar
secretos. Un ejemplo de privacidad podría ser si envía un correo electrónico encriptado a un amigo.
Solo tú y ellos pueden leerlo, por lo que es privado del mundo y no público.
Otro ejemplo, si te registras en un proveedor de almacenamiento en la nube como Dropbox, no eres

anónimo, pero si encriptas los archivos y solo tienes la clave, los datos son privados, tienes privacidad.
Anonimato
El anonimato es que nadie sepa quién eres, pero potencialmente vea lo que haces. El anonimato es
mantener sus acciones y actividades separadas de su verdadera identidad. El anonimato se refiere a
su identidad, el anonimato es cuando, de un conjunto de todas las personas posibles, existe la misma
posibilidad de que sea cualquiera.
Puede desear esto para ver contenido, pero no para hacerlo, depende. Anonimato significa no
atribución de sus acciones, no tener nombre, no tener rostro.
Un ejemplo, te conectas a Internet a través de un servicio anónimo como Tor y publicas un mensaje
sobre los derechos de las mujeres con un nombre de usuario anónimo, tal vez en un país donde eso
es un delito. Su identidad permanece anónima y separada de su verdadera identidad, pero su mensaje
se recibe y no es privado, esto es anonimato.
Si se conecta a un sitio web a través de una red privada virtual, es potencialmente anónimo para ese
sitio web, pero cuando publica un mensaje en su foro público, ese mensaje no es privado.
En este sentido, la privacidad y el anonimato son las dos caras de una misma moneda. Las tablas 1.4
y 1.5 ilustran las diferencias fundamentales entre privacidad y anonimato.
13
Tabla 1.4 ejemplo de anonimato
Tabla 1.5 ejemplo de privacidad
Hay una sutil diferencia entre la privacidad y el anonimato. La palabra privacidad también se usa de
manera genérica para referirse al anonimato, y existen casos de uso específicos para ambos. La Tabla
1.4 ilustra una tabla anonimizada donde la PII está protegida y los datos confidenciales se dejan en su
forma original. Los datos confidenciales deben estar en forma original para que los datos puedan
usarse para extraer conocimiento útil.
La anonimización es un proceso de dos pasos: enmascaramiento de datos y desidentificación. El

enmascaramiento de datos es una técnica que se aplica para sustituir, suprimir o codificar
sistemáticamente los datos que llaman a un individuo, como nombres, ID, números de cuenta, SSN,
etc. Las técnicas de enmascaramiento son técnicas simples que perturban los datos originales. La
desidentificación se aplica en los campos de atributos de identificación (QI). Los campos de QI, como
la fecha de nacimiento, el sexo y el código postal, tienen la capacidad de identificar a las personas de
manera única. Combine eso con SD, como los ingresos, y un Warren Buffet o Bill Gates se identifica
fácilmente en el conjunto de datos. Al eliminar la identificación, los valores de QI se modifican
cuidadosamente para que la relación se mantenga hasta que las identidades no puedan inferirse.
Pseudo-anonimato.
Y finalmente, hay una variante del anonimato que la gente usa a veces y es el pseudo-anonimato. El
pseudo-anonimato es cuando desea conservar una reputación frente a una identidad. Un ejemplo
común es tener un alias para las redes sociales o para un foro en línea. Y esta imagen lo resume.
Es posible que un adversario no sepa quién es el usuario de la bolsa azul, pero puede atribuirle
publicaciones y actividades. Esto es un alias, una tapadera, una identidad falsa.
14
Uno de los seudónimos más interesantes de los tiempos modernos es Satoshi Nakamoto, el creador
de Bitcoin. Si no está familiarizado con quién es, esa es una pequeña lectura adicional que puede
hacer para divertirse.
Categorías de Privacidad
Hay cuatro categorías de privacidad que deben considerarse y abordarse, tanto con controles de
seguridad como con prácticas de privacidad adecuadas.
• La privacidad de la información tiene que ver con el establecimiento de reglas que rigen la
recopilación y el manejo de la información personal. Este es el tipo de categoría que más
comúnmente se considera que tiene implicaciones de privacidad que involucran la protección
de elementos de información específicamente referenciados. Algunos ejemplos incluyen
información financiera (como números de cuentas bancarias), información médica (como
números de cuentas de seguros de salud), registros gubernamentales (como números de
seguro social) y registros de las actividades de una persona (como a través del acceso
registros) en Internet.
• La privacidad corporal se centra en el ser físico de una persona y cualquier invasión del
cuerpo. Algunos ejemplos incluyen pruebas genéticas, pruebas de drogas, búsquedas de
cavidades corporales, información sobre cirugías y escaneos de la Administración de
Seguridad del Transporte (TSA) en los aeropuertos de EE. UU.
• La privacidad territorial se ocupa de poner límites a la capacidad de entrometerse en el entorno
de otro individuo. El entorno no se limita al hogar; también incluye el lugar de trabajo y los
espacios públicos. La invasión a la privacidad territorial de un individuo generalmente toma la
forma de monitoreo, como videovigilancia, drones, controles de identidad y uso de tecnología y
procedimientos similares. En esta categoría se incluye hacer que otros tomen una foto de una
persona o graben a las personas en público con sus teléfonos inteligentes o computadoras
portátiles.
• La privacidad de las comunicaciones implica la protección de las formas en que los individuos
se corresponden con los demás. Los ejemplos incluyen correo postal, conversaciones
telefónicas, correo electrónico, Skype y tipos similares de soluciones de protocolo de Internet
(VoIP) de voz y otras formas.
¿Cuál es la diferencia entre seguridad y privacidad?
En muchas organizaciones, las personas responsables de la privacidad están completamente

separadas y en departamentos completamente diferentes de las personas responsables de la
seguridad. A menudo, estos departamentos no se comunican, ni siquiera reconocen o entienden la
relación apremiante que existe esencialmente entre los dos. Con demasiada frecuencia, la privacidad
se considera un problema puramente legal, cuya responsabilidad se entrega a menudo al asesor legal
de la organización.
¿En qué se diferencia la seguridad de la privacidad? Es realmente bastante simple; debe implementar
seguridad para garantizar la privacidad. Debe utilizar la seguridad para obtener privacidad. La
seguridad es un proceso, la privacidad es una consecuencia. La seguridad es una acción, la privacidad
es el resultado de una acción exitosa. La seguridad es una condición, la privacidad es el pronóstico. La
seguridad es la estrategia, la privacidad es el resultado. La privacidad es un estado de existencia, la
seguridad es la constitución que respalda la existencia. La seguridad es una estrategia táctica, la
privacidad es un objetivo estratégico contextual. La seguridad es el sobre sellado, la privacidad es la
entrega exitosa del mensaje dentro del sobre. El resultado final: las estrategias de gestión de la
privacidad empresarial y la arquitectura de gestión de la seguridad deben integrarse de manera
efectiva y activa.
Privacidad de los datos
La información personal de miles de empleados del servicio de ambulancias y demandantes de

beneficios de vivienda se filtró accidentalmente en el último error de violación de datos del Reino
Unido. (Noticia enero 4, 2014, https://www.infosecurity-magazine.com/news/thousands-of-personal-
details/)
15
La cadena de atención médica natural Community Health Systems (CHS) dice que se han robado
alrededor de 4.5 millones de piezas de "datos de identificación de pacientes no médicos relacionados
con nuestra práctica médica". (Noticia agosto 18, 2014, https://www.infosecurity-
magazine.com/news/45-million-records-stolen-from/)
La empresa de subcontratación EXL Service, que cotiza en NASDAQ, ha perdido un cliente clave
debido a la violación de datos confidenciales de clientes por parte de algunos de sus empleados.
(Noticia, Economic Times (India) on November 6, 2013
https://economictimes.indiatimes.com/tech/ites/exl-loses-key-client-due-to-breach-of-confidential-
data/articleshow/25282849.cms)
Se ha advertido a 4500 participantes de trasplantes sobre una violación de la privacidad que afecta a
su información médica. (Noticia 14 julio 2022, https://www.infosecurity-magazine.com/news/healthcare-
provider-transplant-data/)
Hay numerosos incidentes de este tipo en los que la información personal confidencial de los clientes
ha sido atacada o perdida por un fisgón de datos. Cuando ocurren tales incidentes adversos, las
organizaciones enfrentan demandas legales, pérdidas financieras, pérdida de imagen y, lo que es más
importante, la pérdida de sus clientes.
Hay muchas partes interesadas en la privacidad de los datos en una organización; estos se muestran
en la Figura siguiente. Definamos estas partes interesadas.
Fig. Privacidad de datos: partes interesadas en la organización.
Las empresas gastan millones de dólares para proteger la privacidad de los datos de los clientes. por
que es tan importante? ¿Qué constituye información personal? La información personal consta de
nombre, identificadores como número de seguro social, información geográfica y demográfica e
información confidencial general, por ejemplo, estado financiero, problemas de salud, patrones de
compras y datos de ubicación. La pérdida de esta información significa la pérdida de la privacidad: el
derecho de uno a estar libre de la intrusión de otros. Como veremos, proteger la privacidad de la
persona no es trivial.
Definición de privacidad en redes
16
Las redes son sistemas de almacenamiento, procesamiento y transmisión de datos que están
compuestos de elementos de transmisión (cables, enlaces inalámbricos, satélites, encaminadores,
pasarelas, conmutadores, etc.) y servicios de apoyo (sistema de nombres de dominio incluidos los
servidores raíz, servicio de identificación de llamadas, servicios de autenticación, etc.).
Conectadas a las redes existe un número cada vez mayor de aplicaciones (sistemas de entrega de
correo electrónico, navegadores, etc.) y equipos terminales (servidores, teléfonos, ordenadores
personales, teléfonos móviles, etc.).
Requisitos para mantener la privacidad de las redes
Las redes deben cumplir los siguientes requisitos o características para mantener su privacidad y
poder ser más seguras ante las posibilidades de intrusión.
1. Disponibilidad: significa que los datos son accesibles, inclusive en casos de alteraciones,
cortes de corriente, catástrofes naturales, accidentes o ataques. Esta característica es
particularmente importante cuando una avería de la red puede provocar interrupciones o
reacciones en cadena que afecten las operaciones de la empresa.
2. Autenticación: confirmación de la identidad declarada de usuarios. Son necesarios métodos
de autenticación adecuados para muchos servicios y aplicaciones, como la conclusión de un
contrato en línea, el control del acceso a determinados servicios y datos, la autenticación de
los sitios web, etc.
3. Integridad: confirmación de que los datos que han sido enviados, recibidos o almacenados
son completos y no han sido modificados. La integridad es especialmente importante en
relación con la autenticación para la conclusión de contratos o en los casos en los que la
exactitud de los datos es critica
4. Confidencialidad: protección de las comunicaciones o los datos almacenados contra su
interceptación y lectura por parte de personas no autorizadas. La confidencialidad es
necesaria para la transmisión de datos sensibles y es uno de los requisitos principales a la
hora de dar respuesta a las inquietudes en materia de intimidad de los usuarios de las redes
de comunicación.
Es preciso tener en cuenta todos los factores que pueden amenazar la privacidad y no solamente los
intencionados. Desde el punto de vista de los usuarios, los peligros derivados de los incidentes del
entorno o de errores humanos que alteren la red pueden ser tan costosos como los ataques
intencionados. La seguridad de las redes y la información puede entenderse como la capacidad de las
redes o de los sistemas de información para resistir, con un determinado nivel de confianza, todos los
accidentes o acciones malintencionadas, que pongan en peligro la disponibilidad, autenticidad,
integridad y confidencialidad de los datos almacenados o transmitidos y de los correspondientes
servicios que dichas redes y sistemas ofrecen o hacen accesibles.
Amenazas o riesgos a la privacidad de las redes

Las principales amenazas o riesgos que enfrentan las empresas que utilizan las redes son:
1. Interceptación de las Comunicaciones: la comunicación puede ser interceptada y los datos
copiados o modificados. La interceptación puede realizarse mediante el acceso físico a las
líneas de las redes, por ejemplo, pinchando la línea, o controlando las transmisiones.
2. Acceso no Autorizado a Ordenadores y Redes de Ordenadores: el acceso no autorizado a
ordenadores o redes de ordenadores se realiza habitualmente de forma mal intencionado para
copiar, modificar o destruir datos. Técnicamente, se conoce como intrusión y adopta varias
modalidades: explotación de información interna, ataques aprovechando la tendencia de la
gente a utilizar contraseñas previsibles, aprovechar la tendencia de la gente a desvelar
información a personas en apariencia fiable e interceptación de contraseñas.
3. Perturbación de las Redes: actualmente las redes se encuentran ampliamente digitalizadas
y controladas por ordenadores, pero en el pasado la razón de perturbación de la red más
frecuente era un fallo en el sistema que controla la red y los ataques a las redes estaban
dirigidos principalmente a dichos ordenadores. En la actualidad, los ataques más peligrosos se
concretan a los puntos débiles y más vulnerables de los componentes de las redes como son
sistemas operativos, encaminadores, conmutadores, servidores de nombres de dominio, etc.
4. Ejecución de Programas que Modifican y Destruyen los Datos: los ordenadores funcionan
con programas informáticos, pero lamentablemente, los programas pueden usarse también
para desactivar un ordenador y para borrar o modificar los datos. Cuando esto ocurre en un
17
ordenador que forma parte de una red, los efectos de estas alteraciones pueden tener un
alcance considerable. Por ejemplo, un virus es un programa informático mal intencionado que
reproduce su propio código que se adhiere, de modo que cuando se ejecuta el programa
informático infectado se activa el código del virus.
5. Declaración Falsa: a la hora de efectuar una conexión a la red o de recibir datos, el usuario
formula hipótesis sobre la identidad de su interlocutor en función del contexto de la
comunicación. Para la red, el mayor riesgo de ataque procede de la gente que conoce el
contexto. Por tal razón, las declaraciones falsas de personas físicas o jurídicas pueden causar
daños de diversos tipos, como pueden ser transmitir datos confidenciales a personas no
autorizadas, rechazo de un contrato, etc.
6. Accidentes no Provocados: numerosos problemas de seguridad se deben a accidentes
imprevistos o no provocados como: son tormentas, inundaciones, incendios, terremotos,
interrupción del servicio por obras de construcción, defectos de programas y errores humanos
o deficiencias de la gestión del operador, el proveedor de servicio o el usuario.
1.1.4 Riesgos
Podríamos decir que Riesgo es la estimación del grado de exposición a que una amenaza se
materialice sobre uno o más activos causando daños o perjuicios a la organización. Por tanto, se trata
de una medida de la probabilidad de que se materialice una amenaza. En el análisis de riesgos hay
que tener en cuenta qué activos hay que proteger, sus vulnerabilidades, amenazas, su probabilidad y
su impacto. El riesgo es la posibilidad de que una amenaza se provoque, lo que resulta en un equipo
sea un ataque. Esto no es más que la probabilidad de que el ataque se produzca por parte de la
vulnerabilidad que se encuentra por la amenaza.
Otra definición, se denomina riesgo a la posibilidad de que se materialice o no una amenaza

aprovechando una vulnerabilidad. No constituye riesgo una amenaza cuando no hay vulnerabilidad ni
una vulnerabilidad cuando no existe amenaza para la misma.
El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente. Es importante
saber qué características son de interés en cada activo, así como saber en qué medida estas
características están en peligro, es decir, analizar el sistema.
Se podría decir entonces que el riesgo se define como la posibilidad de que no se obtengan los
resultados deseados. En informática, las empresas nunca desean sufrir un ataque externo o interno a
sus sistemas de información, pero los ataques siempre suceden, de manera que esa posibilidad o
probabilidad se materializa. La empresa siempre está amenazada de sufrir algún daño en su sistema
informático, daño que puede provocar pérdidas de muchos tipos, y las amenazas son mayores cuando
los sistemas de información presentan ciertos puntos débiles llamados “vulnerabilidades”, de manera
que se tiene mayor o menor riesgo dependiendo de la cantidad y número de vulnerabilidades que se
tengan.
Ante un determinado riesgo, una organización puede optar por tres alternativas distintas:
• Asumirlo sin hacer nada. Esto solamente resulta lógico cuando el perjuicio esperado no tiene
valor alguno o cuando el coste de aplicación de medidas superaría al de la reparación del
daño.
• Aplicar medidas para disminuirlo o anularlo.
• Transferirlo (por ejemplo, contratando un seguro).
Establecer las Áreas y Grados de Riesgo
Es muy importante el crear una conciencia en los usuarios de la organización sobre el riesgo que corre
la información y hacerles comprender que la seguridad es parte de su trabajo.
Para esto se deben conocer los principales riesgos que acechan a la función informática y los
medios de prevención que se deben tener, para lo cual se debe:
▪ Establecer el Costo del Sistema de Seguridad (Análisis Costo vs Beneficio)
▪ Este estudio se realiza considerando el costo que se presenta cuando se pierde la información
vs el costo de un sistema de seguridad.
18
Para realizar este estudio se debe considerar lo siguiente:

▪ Clasificar la instalación en términos de riesgo (alto, mediano, pequeño)
▪ Identificar las aplicaciones que tengan alto riesgo
▪ Cuantificar el impacto en el caso de suspensión del servicio de aquellas aplicaciones con un
alto riesgo
▪ Formular las medidas de seguridad necesarias dependiendo del nivel de Seguridad que se
requiera
▪ La justificación del costo de implantar las medidas de seguridad
Riesgo Computacional
Se debe evaluar las aplicaciones y la dependencia del sistema de información, para lo cual es
importante, considerar responder las siguientes cuatro preguntas:
1.-¿Qué sucedería si no se puede utilizar el sistema?

Si el sistema depende de la aplicación por completo, se debe definir el nivel de riesgo.
Por ejemplo, citemos:

▪ Una lista de clientes será de menor riesgo.
▪ Un sistema de reservación de boletos que dependa por completo de un sistema computarizado
es un sistema de alto riesgo.
▪ Un sistema de contabilidad fuera del tiempo de balance será de mucho menor riesgo.
2. ¿Qué consecuencias traería si es que no se pudiera acceder al sistema?

Al considerar esta pregunta se debe cuidar la presencia de manuales de respaldo para
emergencias o algún modo de cómo se solucionó este problema en el pasado.
3. ¿Existe un procedimiento alternativo y que problemas ocasionaría?

Se debe verificar si el sistema es único o es que existe otro sistema también computarizado de apoyo
menor. Ejemplo: Sí el sistema principal está diseñado para trabajar en red sea tipo WAN quizá haya un
soporte de apoyo menor como una red LAN o monousuario. En el caso de un sistema de facturación
en red, si esta cae, quizá pudiese trabajar en forma distribuida con un módulo menor monousuario y
que tenga la capacidad de que al levantarse la red existan métodos de actualización y verificación
automática.
4. ¿Qué se ha hecho en casos de emergencia hasta ahora?

Se debe considerar al menos las siguientes situaciones, donde se debe rescatar los acontecimientos,
las consecuencias y las soluciones tomadas, considerando:
▪ Que exista un sistema paralelo al menos manual

▪ Si hay sistemas duplicados en las áreas críticas (tarjetas de red, teclados, monitores,
servidores, unidades de disco, aire acondicionado).
▪ Si hay sistemas de energía ininterrumpida UPS.
▪ Si las instalaciones eléctricas y de red son adecuadas (se debe contar con el criterio de un
experto).
▪ Si se cuenta con un método de respaldo y su manual administrativo.
Recomendaciones
Definido el grado de riesgo elaborar una lista de los sistemas con las medidas preventivas que se
deben tomar y las correctivas en caso de desastre, señalando la prioridad de cada uno. Con el objetivo
que en caso de desastres se trabajen los sistemas de acuerdo con sus prioridades.
Consideración y Cuantificación del Riesgo a Nivel Institucional (importante)
Ahora que se han establecido los riesgos dentro la organización, se debe evaluar su impacto a nivel
institucional, para lo cual se debe:
▪ Clasificar la información y los programas de soporte en cuanto a su disponibilidad y

recuperación.
▪ Identificar la información que tenga un alto costo financiero en caso de pérdida o pueda tener
impacto a nivel ejecutivo o gerencial.
19
▪ Determinar la información que tenga un papel de prioridad en la organización a tal punto que
no pueda sobrevivir sin ella.
Una vez determinada esta información se la debe CUANTIFICAR, para lo cual se debe efectuar
entrevistas con los altos niveles administrativos que sean afectados por la suspensión en el
procesamiento y que cuantifiquen el impacto que podrían causar estas situaciones.
Nota: Los Activos son los recursos que pertenecen al propio sistema de información o que están
relacionados con este. La presencia de los activos facilita el funcionamiento de la empresa u
organización y la consecución de sus objetivos. Al hacer un estudio de los activos existentes hay que
tener en cuenta la relación que guardan entre ellos y la influencia que se ejercen: cómo afectaría en
uno de ellos un daño ocurrido a otro.
1.2 Servicios de Seguridad

Podemos definir servicio de seguridad como el servicio que mejora la seguridad de los sistemas de
procesamiento de datos y la transferencia de información de una organización.
Además, de estos servicios clásicos que se definieron a finales de la década de los ochenta, debido a
los requisitos que exigen algunos de nuevos servicios de redes que están actualmente siendo
vislumbrados cabe hablar de un nuevo servicio: anonimato.
Para hacer frente a las amenazas a la seguridad del sistema se definen una serie de servicios para
proteger y contrarrestar los ataques. Estos servicios hacen uso de uno o varios mecanismos de
seguridad. Una clasificación útil de los servicios de seguridad es la siguiente:
1.2.1 Confidencialidad: este servicio proporciona protección para evitar que los datos sean revelados,
accidental o deliberadamente, a un usuario no autorizado. Mantiene el secreto de la información. Es
decir, garantiza que los datos tan sólo van a ser entendibles por el destinatario o destinatarios del
mensaje. Para ello, el mensaje se alternará de tal manera que aquellas personas que no sean
destinatarios autorizados, aunque lo capturen, no podrán ser capaces de entender su significado.
El propósito de la confidencialidad, entonces, evitar la divulgación no autorizada de información.
Cuando es proporcionado, protege a los usuarios de las redes contra un ataque, muy apreciado por
ciertos organismos que en teoría están para proteger al ciudadano, consistente en proteger contra el
ataque de acceso, de forma indebida, a la información que por allí circula. Un ejemplo que siempre se
aplica es el correo postal, en la cual como derecho cívico se le garantiza la confidencialidad en las
comunicaciones convencionales mediante papel. Este involucra:
o Confidencialidad de archivos
o Confidencialidad de la información durante la transmisión (ver tabla siguiente)
o Confidencialidad del flujo de tráfico
Mecanismos de confidencialidad Controles físicos de seguridad

Control de acceso a los archivos electrónicos
Encriptación de archivos
Requerimientos de archivos de Identificación y autenticación
confidencialidad Configuración apropiada del sistema
computacional
Se utiliza la administración apropiada de la llave
de encriptación
1.2.2 Autenticación: se encarga de garantizar la autenticidad de la comunicación (entre persona o

máquina) es quien dice ser. Se distinguen dos tipos: de entidad, que asegura la identidad de las
entidades participantes en la comunicación, mediante biométrica (huellas dactilares, identificación de
iris, etc.), tarjetas de banda magnética, contraseñas, o procedimientos similares; y de origen de
información, que asegura que una unidad de información proviene de cierta entidad, siendo la firma
digital el mecanismo más extendido.
20
Este servicio protege contra un ataque muy fácilmente penetrable en las redes: la suplantación de
personalidad mediante el cual una entidad remota se hace pasar por quien no es.
Se pueden identificar dos casos distintos:

• Autenticación de origen. Cuando se garantiza que la entidad origen de la comunicación es
quien dice ser.
• Autenticación de destino. Cuando se garantiza que la entidad destino de la comunicación es
quien dice ser.
Puede tratase de autenticación de entidad simple, en cuyo caso sólo uno de los participantes en la
comunicación (puede ser tanto la entidad origen de los datos como el destino) está obligado a
demostrar su identidad. Un ejemplo de ello puede ser el acceso a un servidor remoto que contenga
una BDatos que almacene información por cuyo consumo el cliente debe pagar. Previo autorizarle el
acceso y anotarle el correspondiente cargo, si el protocolo de acceso tiene implementado el servicio
de autenticación, se garantiza a los gestores del servidor que el usuario que está tratando de acceder
a la base de datos es la persona o entidad que proclama ser.
Podrían distinguirse en este servicio dos calidades, una de las cuales es la Autenticación débil y está
apoyada en el uso más o menos sofisticado de palabras de paso (passwords) o de identificadores,
mientras que cuando el resultado es más eficaz se le denomina Autenticación fuerte (strong
authentication), que requiere del intercambio de mensajes, cifrados y, posiblemente, del concurso de
una Tercera Parte de Confianza, TTP (trusted third party). Las TTPs son agentes especializados que
intervienen en las comunicaciones seguras, cuya constitución y comportamiento será comentado con
mayor detalle en el siguiente capítulo.
1.2.3 Integridad: garantiza al receptor del mensaje que los datos recibidos coinciden exactamente con
los enviados por el emisor de estos, de tal forma que puede tener garantías de que la información
original no le ha sido añadida, ni modificada, ni sustraída alguna de sus partes. Es decir, el receptor de
la información (o el proveedor de servicio) detectará si se ha producido o no un ataque de modificación
y de refutación del mensaje, lo que le permitirá rechazar o dar por buenos los datos recibidos. Como
ocurre con la confidencialidad, este servicio debe trabajar con el servicio de responsabilidad para
identificar apropiadamente a los individuos. Este incluye:
o Integridad de los archivos
o Integridad de la información durante la transmisión
El objetivo de la integridad, entonces, evitar la modificación no autorizada de la información.
La integridad hace referencia a:

■ La integridad de los datos (el volumen de la información).
■ La integridad del origen (la fuente de los datos, llamada autenticación).
Es importante hacer insistencia en la integridad de la fuente, ya que puede afectar su precisión,

credibilidad y confianza que la gente pone en la información.
Cuando se trata de mensajes o datos en soporte electrónico, las posibilidades de hacer

modificaciones sin dejar huellas están al alcance de cualquiera. Piénsese por ejemplo, en que alguien
quiera presentar ante un organismo cualquiera, como elemento probatorio, un mensaje de correo
impreso en el que se respalde cualquier circunstancia favorable a quien lo presenta. Resulta evidente
que si no presenta una prueba robusta (por lo general será una prueba criptográfica) de la integridad
del mensaje, nadie en su sano juicio va a aceptar ese mensaje como una prueba válida (cualquiera
puede redactar e imprimir lo que le parezca oportuno y darle el formato que tendría un mensaje de
correo). Por todo ello, resulta absolutamente imprescindible la provisión del servicio de integridad
cuando se trata de intercambiar mensajes, con cierta garantía a través de redes de comunicaciones.
Para la integridad de datos se aplican mecanismos como por ejemplo mediante un hash criptográfico
con firma, mientras que la integridad de secuencia de datos asegura que la secuencia de los bloques
o unidades de datos recibidas no ha sido alterada y que no hay unidades repetidas o perdidas.
1.2.4 No repudio: ofrece protección a un usuario frente a que otro usuario niegue posteriormente que
en realidad se realizó cierta comunicación. Esta protección se efectúa por medio de una colección de
21
evidencias irrefutables que permitirán la resolución de cualquier disputa. El no repudio de origen

protege al receptor de que el emisor niegue haber enviado el mensaje, mientras que el no repudio de
recepción protege al emisor de que el receptor niegue haber recibido el mensaje. Las firmas digitales
constituyen el mecanismo más empleado para este fin. Se distinguen tres situaciones:
No repudio con prueba de origen: en este caso, el receptor del mensaje adquiere una prueba,
demostrable ante terceros, del origen de los datos recibidos. En muchos casos puede bastar
las garantías que el emisor introduce en el mensaje cuando aplica los mecanismos que
aseguran la autenticación del origen de los datos. En otros casos pueden requerirse
evidencias acerca de la relación existente entre el autor de un determinado mensaje y la
entidad que procede a enviarlo a través de la red. Piénsese por ejemplo, en que alguien
escriba y firme una carta vejatoria hacia otra persona pero que no se atreve a enviársela por
correo postal. Si un tercero localiza ese escrito y lo pone en el correo, el receptor tendrá
pruebas demostrables de quién es el autor de la carta, pero no de que además de escribirla ha
sido él quien ha tomado la decisión ofensiva de enviársela.
No repudio con prueba de envío: el receptor o el emisor del mensaje adquieren una prueba,
demostrable ante terceros, de la fecha y hora en que el mensaje fue enviado. Este servicio
trata de emular al que frecuentemente presta el Servicio Postal cuando al entregar una carta
certificada en la estafeta se solicita que una copia del documento que se quiere enviar sea
sellada con una marca de tiempo precisa, de tal manera que pueda servir posteriormente
como prueba ante determinados actos administrativos que quieren que, por ejemplo, una
solicitud sea entregada antes de una fecha concreta bien en el registro de entrada de la oficina
de destino o bien en una dependencia de correos. (dependiendo de que entidad reciba la
prueba, se puede desdoblar en dos este servicio).
No repudio con prueba de entrega: el emisor del mensaje adquiere una prueba, demostrable
ante terceros, de que los datos han sido entregados al receptor adecuado. Continuando con el
ejemplo del correo, este servicio equivaldría al envío de cartas con acuse de recibo, una
cartulina que sirve de evidencia y justificación de que la carta ha llegado a su destinatario.
En estos dos últimos ejemplos, el correo se comporta como una entidad intermediaria entre el
emisor y el receptor, lo que traducido al mundo de las redes significa que para implantar ese
servicio es necesaria alguna entidad que actúe como Tercera Parte de Confianza (TTP). Esto
equivale a decir que para que este servicio pueda ser provisto es necesario que exista, en
alguna medida, una infraestructura de seguridad que haga de garantice y proporcione las
evidencias exigidas.
Esta es la causa por la que el servicio de No Repudio es más difícil de implantar que la terna
autenticación-confidencialidad-integridad que, como antes dijimos, pueden implantarse (en su
versión más simplista) solamente en la entidad emisora y en la entidad receptora son el
concurso de ninguna TTP intermediaria. No obstante esta mayor dificultad, no es necesario
poner mucho énfasis para trasladar la convicción de lo imprescindible que resulta la
implantación de servicios de No Repudio si lo que se pretende es que dentro de la Sociedad
de la Información, la mayoría de las comunicaciones que convencionalmente han venido
desenvolviéndose mediante el intercambio de documentos en papel se vean sustituidas por
transferencias de documentos digitales a través de redes telemáticas.
Un ejemplo de aplicación que requiera el no repudio puede ser el simple correo electrónico. Al mandar
mensajes de correo, si estos poseen información importante (como la autorización para realizar una
compra, asignar tareas en una empresa, etc.) se puede requerir algo que indique que el usuario en
verdad ha mandado el mensaje y luego no lo pueda negar (no repudio de origen) y que indique
además que el usuario receptor del mensaje en verdad lo ha recibido.
Control de acceso: sirve para evitar el uso no autorizado de los recursos de la red. Limita y controla el
acceso a sistemas host y aplicaciones por medio de enlaces de comunicaciones. Para conseguirlo,
cualquier entidad que intente acceder debe antes ser identificado o autenticado, de forma que los
derechos de acceso puedan adaptarse de manera individual. Puede ser acceso a los recursos
(información, capacidad de cálculo, nodos de comunicaciones, entidades físicas, etc.) sea controlado y
limitado por el sistema destino, mediante el uso de contraseñas o llaves hardware, por ejemplo,
protegiéndolos frente a usos no autorizados o manipulación. De forma resumida, podríamos decir que
este servicio permite especificar quién puede hacer qué, es decir, qué usuarios pueden hacer
determinadas operaciones.
22
Realmente este es un servicio que ya hace mucho tiempo se viene aplicando en las redes para el
control de recursos.
En las redes de comunicaciones se puede presentar la necesidad de disponer de un servicio de control

de acceso en dos situaciones distintas. Éstas son:
a. El acceso remoto a servidores de todo tipo como bases de datos, impresoras, servidores de
correo, etc. El usuario accede regularmente bajo una arquitectura cliente-servidor y, tras
identificarse, los mecanismos en que se apoya el servicio determinan a qué partes del servicio
se les concede acceso.
b. El acceso a las terminales desde los que el usuario se conecta a la red. Ellos pueden incluir
desde computadores protegidos a tarjetas inteligentes. Con frecuencia son estos puntos
externos de las redes los que necesitan ser protegidos de forma más estricta, mientras que en
otros casos se permite el acceso desde cualquier terminal y los controles se centran solamente
en el servidor accedido.
En la mayoría de los casos este servicio se implementa íntimamente ligado a la provisión previa de un
servicio de autenticación. Una vez que el usuario ha demostrado que es quien dice ser se le aplican
restricciones o permisos correspondientes.
En cuanto al grado de implantación de este servicio, cabe decir que, desafortunadamente, con
demasiada frecuencia el control se limita a decir sí o no al intento de acceso al recurso, sin mayores
detalles posteriores.
También con demasiada frecuencia el control de acceso se aplica a través de mecanismos de

autenticación muy débiles, como puede ser una palabra de paso (password) o un PIN (número de
identificación personal). En otros casos se emplean mecanismos de criptográficos robustos que
aportan la necesaria seguridad en la protección de acceso. Las tarjetas inteligentes representan un
componente de seguridad importantísimo de cara a la implantación tanto del servicio de control de
acceso como de los restantes servicios de seguridad.
Como ejemplo de aplicación telemática que requiere este tipo de servicios valdría un sistema operativo
distribuido. En este tipo de sistemas operativos, se suelen ofrecer facilidades para compartir ficheros,
directorios, dispositivos, etc., pero se necesita dar ciertos permisos a determinados usuarios para
permitir un uso eficiente y robusto de estos. Si se cumple el servicio de control de acceso se puede
decir que se cumplen todos los requisitos de permisos.
1.2.5 Disponibilidad: es la propiedad que tiene un sistema o recurso de un sistema de estar accesible
y utilizable a petición de una entidad autorizada, según las especificaciones de rendimiento para el
sistema (un sistema está disponible si proporciona servicios de acuerdo con el diseño del sistema en el
momento en que los usuarios lo soliciten). Una variedad de ataques puede dar como resultado la
pérdida o reducción de la disponibilidad. Estos ataques pueden ser de denegación de servicio.
Anonimato: se trata de conseguir que la identidad de la persona que realiza una determinada
operación de comunicación permanezca oculta ante algunos de los actores presentes en esa
operación. Se trata de emular en la red situaciones de la vida real en las cuales es conveniente
mantener cierto anonimato. Si dentro del correo postal es posible enviar cartas de forma anónima,
también el correo electrónico debe permitir esa posibilidad.
El objetivo de la disponibilidad es entonces controlar para evitar interrupciones no autorizadas/de los

recursos informáticos.
Por lo general, para proveer el servicio de anonimato en un escenario de relativa complejidad se

necesitan Agentes Telemáticos especializados (TTP) además de las TTPs necesarias para soportar
una infraestructura de seguridad convencional. Será necesario, también, utilizar mecanismos
criptográficos avanzados, algo más complejos que los que se refieren en el capítulo dos.
En la Tabla siguiente se muestra una serie de analogías entre los servicios de seguridad y la vida
cotidiana.
23
Servicio de seguridad Ejemplo de la vida cotidiana
Carné con identificación fotográfica

Autentificación
Huellas dactilares
Control de acceso Llaves y cerrojos
Tinta invisible
Confidencialidad
Carta lacrada
Integridad Tinta indeleble
Firma notariada
No repudio
Correo certificado
Tabla Analogías entre servicios de seguridad y vida cotidiana.
La recomendación X.800 define cada uno de estos servicios de seguridad como un servicio
proporcionado por una capa de protocolo de sistemas abiertos de comunicación, que garantiza la
seguridad adecuada de los sistemas o transferencia de datos. La podemos encontrar en RFC 2828.
En X.800 los divide en cinco categorías y 14 servicios específicos.
1.3 Amenazas y Vulnerabilidades
1.3.1 Amenazas y tipos de amenazas
Amenazas y fraudes en las personas

En la seguridad, lo más importante es proteger a las personas. Los daños a la máquina no dejan de
ser daños materiales, pero los daños causados a las personas permanecen en el tiempo y trascienden
a otros aspectos de la vida.
Debemos tener en cuenta que la seguridad hacia las personas abarca muchas otras áreas, como por
ejemplo la seguridad postural frente al ordenador o el riesgo de adicciones al ordenador.
Las amenazas de un sistema informático se pueden clasificar según diferentes criterios, en los cuales
estaremos desarrollando varios de ellos.
Se define amenazas como “la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede
producir un daño (material o inmaterial) sobre los elementos de un sistema, en el caso de la Seguridad
Informática, los Elementos de Información”.
La presencia de una amenaza es una advertencia de que puede ser inminente el daño a algún activo
de la información, o bien es un indicador de que el daño se está produciendo o ya se ha producido. Por
ello siempre debe ser reportada como un incidente de seguridad de la información.
Se entiende por amenaza una condición del entorno del sistema de información (persona, máquina,
suceso o idea) que, dada una oportunidad, podría dar lugar a que se produjese una violación de la
seguridad (confidencialidad, integridad, disponibilidad o uso legítimo). La política de seguridad y el
análisis de riesgos habrán identificado las amenazas que han de ser contrarrestadas.
Clasificación de las amenazas

De forma general podemos agrupar las amenazas en: amenazas físicas y amenazas lógicas.
Estas amenazas, tanto físicas como lógicas, son materializadas básicamente por: las personas,
programas específicos, catástrofes naturales.
Las amenazas pueden ser causadas por:
• Usuarios: causa del mayor problema ligado a la seguridad de un sistema informático. En
algunos casos sus acciones causan problemas de seguridad, si bien en la mayoría de los
24
casos es porque tienen permisos sobre dimensionados, no se les han restringido acciones
innecesarias, etc.
A. Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los
recursos del sistema. Es instalado (por inatención o maldad) en el ordenador, abriendo una
puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus
informático, un gusano informático, un troyano, una bomba lógica, un programa espía o
spyware, en general conocidos como malware.
• Errores de programación: La mayoría de los errores de programación que se pueden
considerar como una amenaza informática es por su condición de poder ser usados como
exploits por los crackers, aunque se dan casos donde el mal desarrollo es, en sí mismo, una
amenaza. La actualización de parches de los sistemas operativos y aplicaciones permite evitar
este tipo de amenazas.
B. Intrusos: persona que consiguen acceder a los datos o programas a los cuales no están
autorizados (crackers, defacers, hackers, script kiddie o script boy, viruxers, etc.).
C. Un siniestro (robo, incendio, inundación): una mala manipulación o una mala intención derivan
a la pérdida del material o de los archivos.
D. Personal técnico interno: técnicos de sistemas, administradores de bases de datos, técnicos
de desarrollo, etc. Los motivos que se encuentran entre los habituales son: disputas internas,
problemas laborales, despidos, fines lucrativos, espionaje, etc.
E. Fallos electrónicos o lógicos de los sistemas informáticos en general.
F. Catástrofes naturales: rayos, terremotos, inundaciones, rayos cósmicos, etc.
Origen de las amenazas

• Amenazas naturales: inundación, incendio, tormenta, fallo eléctrico, explosión, etc...
• Amenazas de agentes externos: virus informáticos, ataques de una organización criminal,
sabotajes terroristas, disturbios y conflictos sociales, intrusos en la red, robos, estafas, etc...
• Amenazas de agentes internos: empleados descuidados con una formación inadecuada o
descontentos, errores en la utilización de las herramientas y recursos del sistema, etc...
Las amenazas a la seguridad en una red pueden caracterizarse modelando el sistema como un flujo
de información (podrían producir sobre la información) desde una fuente, (como por ejemplo un
archivo o una región de memoria principal) a un destino (como por ejemplo otro archivo o un usuario).
Un ataque no es más que la realización de una amenaza.
En función del tipo de alteración, daño o intervención que, las amenazas se clasifican en cuatro
grupos:
• De interrupción.
• De interceptación.
• De modificación.
• De fabricación.
A continuación explicaremos cada uno de ellos en detalle.
Interrupción: Se produce cuando un recurso del sistema es destruido o llega a ser

inutilizable. El objetivo de la amenaza es deshabilitar el acceso a la información. Este es un
ataque contra la disponibilidad. Ejemplos de este ataque son la destrucción de un elemento
hardware, como un disco duro, cortar una línea de comunicación, borrado de registros,
archivos, bases de datos, programas, Nubes, destrucción Hw, cortar línea de comunicación
etc.
25
Figura 1.1. Ataque por Interrupción
Intercepción (datos): Una entidad no autorizada consigue acceso a un recurso. Esto es, una
participación sin autorización por parte de una persona, computadora o programa en una
comunicación. Este es un ataque contra la confidencialidad. Ejemplos de este tipo de
ataque son escuchar una línea para tomar los datos que circulen por la red (sniffer, es
quizás el más difícil de detectar al no producirse una alteración en el sistema), la copia ilícita
de archivos o programas (intercepción de datos), o bien la lectura de las cabeceras de
paquetes para desvelar la identidad de uno o más de los usuarios implicados en la comunicación
observada ilegalmente (intercepción de identidad). (Obtención de datos con troyanos, copia
ilícita de archivos o programas)
Figura 1.2 Ataque por Intercepción
Modificación: una entidad no autorizada no sólo consigue acceder a un recurso, sino que es
capaz de manipularlo y alterarlo. Añade información falsa en toda la información del sistema.
Este es un ataque contra la integridad. Ejemplos de este tipo de ataque son el cambio de
valores en un archivo de datos, alteración de un programa para que funcione de forma
diferente y modificar el contenido de mensajes que están siendo transferidos por la red.
Este tipo de ataque es el más peligroso. (modificación de cualquier archivo de datos, alterar
un programa para que funcione de forma distinta…).
26
Figura 1.3 Ataque por Modificación
Fabricación: una entidad no autorizada inserta objetos falsificados en el sistema. Este es un

ataque contra la autenticidad. Ejemplos de este ataque son la inserción de mensajes falsos
en una red o añadir registros a un archivo.
Figura 1.4 Ataque de fabricación
Estos ataques se pueden asimismo clasificar de forma útil en términos de ataques pasivos y ataques
activos.
• Activos: Implican algún tipo de modificación de los datos o la creación de datos falsos
(Suplantación de identidad, modificación mensajes, Web Spoofing…).
• Pasivos: No altera la comunicación. Si no que únicamente la escucha o la monitoriza, para
obtener de esta manera la información que se está siendo transmitida. Son muy difíciles de
detectar pues no alteran los datos. Es posible evitarlos mediante el cifrado de la información y
mediante otros mecanismos.
Según su origen las amenazas se clasifican en:

• Accidentales. Accidentes meteorológicos, incendios, inundaciones, fallos en los equipos, en
las redes, en los sistemas operativos o en el software, errores humanos.
• Intencionadas. Son debidas siempre a la acción humana, como la introducción de software
malicioso –malware– (aunque este penetre en el sistema por algún procedimiento automático,
su origen es siempre humano), intrusión informática (con frecuencia se produce previa la
27
introducción de malware en los equipos), robos o hurtos. Las amenazas intencionadas pueden
tener su origen en el exterior de la organización o incluso en el personal de la misma.
Las amenazas de un sistema informático se pueden clasificar según diferentes criterios, en los cuales
estaremos desarrollando varios de ellos.
Las amenazas o ataques que puede recibir un sistema son muy variados y dependerán en gran
Atendiendo al origen, éstas pueden ser:
• Internas.
• Externas.
Las amenazas internas son aquellas que se originan en las redes de la empresa a la que pertenece el
sistema atacado; si el sistema no está conectado en red, se dice que el ataque es interno si tiene su
origen en la propia consola del sistema. Normalmente, el atacante es algún empleado de la empresa
propietaria del sistema, pudiendo ocurrir que el ataque no sea premeditado, sino más bien fruto de un
despiste o descuido. Si el atacante no mantiene ninguna relación con la empresa, se habrá introducido
en ella mediante algún tipo de engaño (ingeniería social).
Las amenazas externas se realizan desde sistemas conectados a una red distinta de las de la empresa
dueña del sistema objetivo del ataque. También se pueden clasificar las amenazas teniendo en cuenta
la motivación del atacante:
a) Venganza: El objetivo de algunos hackers es el de dañar los sistemas de una empresa como
respuesta a una demanda no satisfecha o un servicio insuficiente. Este grupo está formado
principalmente por empleados y clientes de la empresa. Los empleados resentidos, a su vez, se
pueden dividir en dos subgrupos: los que siguen en activo dentro de la empresa y los que han sido
despedidos.
Normalmente, el grupo de empleados molestos que siguen en activo es el más peligroso, ya que
tienen más facilidad para acceder al sistema. Los empleados que ya no trabajan en la empresa,
intentarán acceder al sistema desde el exterior empleando su vieja cuenta de usuario
(desgraciadamente, la mayoría de administradores de sistemas no anulan las cuentas y privilegios de
los usuarios del sistema que causan baja). En determinados casos, buscarán apoyo en antiguos
compañeros.
b) Exaltación del propio ego: Existen otros hackers cuya finalidad no es otra que la de demostrar que
son capaces de acceder a casi cualquier sistema. Generalmente, informan al responsable del sistema
atacado de las debilidades encontradas y procuran difundir sus hazañas (no le sirve de nada conseguir
atacar un sistema si nadie se entera).
c) Fines económicos: Quizás el grupo más numeroso de hackers (y quizás más peligroso por la
naturaleza de su motivación y el anonimato de sus acciones) es el formado por aquellos que intentan
acceder a los sistemas con fines lucrativos, ya sea para conseguir información privilegiada o
confidencial que pueda interesar a una tercera persona, o para provocar graves perjuicios económicos
a un directo competidor.
d) Fines políticos: Por último, se pueden encontrar también hackers cuya intención es la de conseguir
secretos de un partido político o de estado para desestabilizar un gobierno o un partido político. En la
actualidad, existen unidades dentro de los diferentes ejércitos destinadas a la guerra electrónica,
centradas, entre otras cosas, a lanzar ataques informáticos, y a prevenirlos y evitarlos.
AMENAZAS POR EL EFECTO

El tipo de amenazas por el efecto que causan a quien recibe los ataques podría clasificarse en:
• Robo de información.
• Destrucción de información.
• Anulación del funcionamiento de los sistemas o efectos que tiendan a ello.
• Suplantación de la identidad, publicidad de datos personales o confidenciales, cambio de
información, venta de datos personales, etc.
• Robo de dinero, estafas,...
AMENAZAS POR EL MEDIO UTILIZADO
28
Se pueden clasificar por el modus operandi del atacante, si bien el efecto puede ser distinto para un
mismo tipo de ataque:
• Virus informático: malware que tiene por objeto alterar el normal funcionamiento de la
computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente,
reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden
destruir, de manera intencionada, los datos almacenados en una computadora, aunque
también existen otros más inofensivos, que solo se caracterizan por ser molestos.
• Phishing.
• Ingeniería social.
• Denegación de servicio.
• Spoofing: de DNS, de IP, de DHCP, etc.
1.3.2 Vulnerabilidades
Definición
Las vulnerabilidades son por lo general fallos de diseño de procedimientos o de recursos, las
vulnerabilidades existen no se fabrican, una vulnerabilidad es cualquier fallo de diseño que permite que
una amenaza pueda afectar a un recurso. Si se habla de recursos informáticos se suele decir que una
vulnerabilidad es un fallo de diseño de un sistema, un sistema no actualizado o un sistema mal
Configurado que permite que un agente externo, acceda sin permisos apropiados al recurso o
información que dicho sistema gestiona, en función del tipo de recurso al que estemos orientados
existen distintas fuentes de información dónde se puede buscar vulnerabilidades aplicables a los
sistemas con que se cuenta.
Las vulnerabilidades son fallas en los sistemas, no son puertas abiertas diseñadas deliberadamente,
sino errores de diseño, configuración o implementación que generan oportunidades de ataque, es decir
que hacen viable una amenaza.
Definiendo a muy grandes rasgos que es una vulnerabilidad, una vulnerabilidad de una manera muy
general es un fallo en un sistema que puede ser explotada por un atacante generando un riesgo para
la organización o para el mismo sistema.
Por ejemplo, se puede analizar las distintas superficies que se tienen que estudiar para identificar
potenciales amenazas y vulnerabilidades como: software y hardware, los cuales veremos más
adelante.
Probabilidades que existen de que una amenaza se materialice contra un activo. No todos los activos
son vulnerables a las mismas amenazas. Por ejemplo, los datos son vulnerables a la acción de los
hackers, mientras que una instalación eléctrica es vulnerable a un cortocircuito. Al hacer el análisis de
riesgos hay que tener en cuenta la vulnerabilidad de cada activo.
Todos somos vulnerables, y nuestra vulnerabilidad aumenta cuanto más nos exponemos. En Internet
nos mostramos a los demás en mayor o menor medida. Entre los peligros que pueden amenazarnos
están:
• El acceso involuntario a información ilegal o perjudicial.
• La suplantación de la identidad, los robos y las estafas. Por ejemplo, el phishing es un delito
informático de estafa que consiste en adquirir información de un usuario (datos bancarios,
claves, etc.) a través de técnicas de engaño para usarlos de forma fraudulenta. Su nombre
alude al hecho de “pescar” passwords y contraseñas (en inglés, pescar es to fish). El ejemplo
más habitual es el de un correo que llega al usuario suplantando una comunicación de un
banco y pidiéndole sus claves de acceso bajo una falsa amenaza de seguridad.
• La pérdida de nuestra intimidad o el perjuicio a nuestra identidad o imagen.
• El ciberbullying o ciberacoso, que es un tipo de acoso que consiste en amenazas, chantajes,
etc., entre iguales a través de Internet, el teléfono móvil o los videojuegos.
29
En un sistema informático lo que queremos proteger son sus activos, es decir, los recursos que forman
parte del sistema y que podemos agrupar en:
• Hardware: elementos físicos del sistema informático, tales como procesadores,
• electrónica y cableado de red, medios de almacenamiento (cabinas, discos, cintas, DVDs,...).
• Software: elementos lógicos o programas que se ejecutan sobre el hardware, tanto
• si es el propio sistema operativo como las aplicaciones.
• Datos: comprenden la información lógica que procesa el software haciendo uso del hardware.
En general serán informaciones estructuradas en bases de datos o paquetes de información
que viajan por la red.
• Otros: fungibles, personas, infraestructuras,.. aquellos que se 'usan y gastan' como puede ser
la tinta y papel en las impresoras, los soportes tipo DVD o incluso cintas si las copias se hacen
en ese medio, etc.
De ellos los más críticos son los datos, el hardware y el software. Es decir, los datos que están
almacenados en el hardware y que son procesados por las aplicaciones software.
Figura 1.5 Proceso de vulnerabilidad
Incluso de todos ellos, el activo más crítico son los datos. El resto se puede reponer con facilidad y
los datos... sabemos que dependen de que la empresa tenga una buena política de copias de
seguridad y sea capaz de reponerlos en el estado más próximo al momento en que se produjo la
pérdida. Esto puede suponer para la empresa, por ejemplo, la dificultad o imposibilidad de reponer
dichos datos con lo que conllevaría de pérdida de tiempo y dinero.
Podemos definir vulnerabilidad como la capacidad, las condiciones y características del sistema
mismo (incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de
sufrir algún daño. En otras palabra, es la capacidad y posibilidad de un sistema de responder o
reaccionar a una amenaza o de recuperarse de un daño.
Las vulnerabilidades provienen de diferentes ámbitos, y las podemos clasificar en:

• Vulnerabilidades de implementación
• Vulnerabilidades de configuración
• Vulnerabilidades de dispositivo
• Vulnerabilidades de protocolo
Vulnerabilidades de configuración
Quizás la vulnerabilidad más común y la más fácil de solucionar son las vulnerabilidades generadas
por errores de configuración. Estos errores pueden provenir de falta de conocimiento por parte del
personal dedicado a la instalación y configuración de los servicios. En general, la facilidad de
configuración va en contra de la seguridad. Es por esto que muchos desarrolladores optan por
simplificar la instalación, configuración y puesta en funcionamiento, a costa de dejar opciones por
defecto inseguras. Por otra parte, existen productos que requieren un mayor tiempo y conocimiento
para su instalación y configuración, pero una vez en funcionamiento, se encuentran configurados con
la seguridad deseada. Para detectar estas vulnerabilidades es necesario conocer de manera
exhaustiva el software a analizar. De esta forma se pueden generar pruebas específicas para conocer
cuáles han sido las opciones configuradas. La forma de protegernos de este tipo de vulnerabilidades
es clara: conocimiento. Se debe conocer el software a instalar y se deben investigar las diferentes
opciones de configuración para conocer cuál es la seguridad que permite habilitar y cuál es la
seguridad que necesitamos. Si lo que necesitamos no se encuentra dentro de las capacidades del
software, tenderemos que agregar algún control auxiliar para no quedar desprotegidos.
Vulnerabilidades de dispositivo
Los dispositivos de red contienen software que puede generar vulnerabilidades. Un error de
programación en el sistema operativo del dispositivo podría estar abriendo una puerta de acceso a
30
nuestra red o proveyendo herramientas para avanzar en un ataque por denegación de servicios. Un
ejemplo de este tipo de vulnerabilidades que tuvo una gran difusión fue la vulnerabilidad en los
sistemas operativos de Cisco que con sólo enviar un paquete IP con ciertas características (para más
detalle puede ver el vínculo) el dispositivo deja de reenviar paquetes. Esto puede permitir realizar de
manera muy sencilla un ataque por denegación de servicios. La solución a este tipo de
vulnerabilidades debe ser provista por los fabricantes o desarrolladores del dispositivo. En caso de no
contar con una solución, se deberán utilizar medidas alternativas, como filtrado de paquetes,
reemplazo del dispositivo afectado, etc.
Vulnerabilidades de protocolo
Existen múltiples protocolos que fueron definidos sin tener en cuenta la seguridad. Muchas veces no
se tuvo en cuenta la seguridad porque cuando se creó el protocolo no existía una difusión tan grande
de Internet, y otras veces no se agregó seguridad porque son protocolos simples que no soportarían la
complejidad o el procesamiento de la seguridad. En el caso de estos protocolos, ya conocemos desde
su definición que no proveen herramientas de seguridad. Un ejemplo de esto puede ser HTTP. HTTP
no es un protocolo seguro, dado que no realiza autenticación ni encriptación de los datos que
intercambia. Esto puede no ser necesario en algunos ambientes (por ejemplo, en las páginas visitadas
por los usuarios), pero cuando se realizan transacciones económicas, es necesario ofrecer privacidad
de la información transmitida. Esto se puede lograr mediante protocolos adicionales: SSL o TSL.
Por ejemplo, si se usa el gestor de contenidos Wordpress para desarrollar una página web, se puede
buscar vulnerabilidades del CMS, de algunas de sus plantillas o de lo plugins que se utilizarán para dar
funcionalidad a la página web en https:// wpvulndb.com/, la Figura 1.6 muestra la página principal de
este sitio de búsqueda de vulnerabilidades.
Figura 1.6. Sitio web de vulnerabilidades de sistemas.

Fuente: https://wpvulndb.com/
Si se busca base de datos más amplia o relativas a más sistemas se puede acudir a las bases de CVE
o Common Vulnerabilities and Exposures, por ejemplo, se puede recurrir al boletín de vulnerabilidades
del Centro Criptológico Nacional de España o CCN-CERT, la Figura 1.7 muestra la página principal de
este buscador de vulnerabilidades.
31
Figura 1.7. Base de datos de vulnerabilidades de España.

Fuente: https://www.ccn-cert.cni.es/
En este tipo de buscadores se puede filtrar la información de vulnerabilidades expuesta por

fabricantes, versiones, recursos, etc., y pueden estar gestionados por equipos de respuestas a
incidentes informáticos por sus siglas en inglés CERT, pertenecientes a instituciones tanto públicas
como privadas que comparten y difunden esta información, ya que la mejora global de la seguridad
incrementa la seguridad individual y fuerza a desarrolladores y fabricantes a eliminar vulnerabilidades
de sus sistemas.
Vulnerabilidad en software
Está compuesto de aplicaciones, servicios, ejecutables, páginas web y otros servicios como NFTP,
TELNET y otros similares. Las vulnerabilidades en el software son fallas en la programación o
compilación de los programas que ejecutan las computadoras a servidores, los ataques a estas
vulnerabilidades pueden derivar en un mal funcionamiento del software, acceso a información
restringida, fallos de sistema, etc. Para reducir esta superficie de ataque, hay que reducir al mínimo el
software instalado en las computadoras y servidores, mantener actualizado el software y aplicar todos
los parches de seguridad publicados por los desarrolladores.
ConFigurar el software con la ley de los mínimos privilegios en mente, no utilizar software pirata o de
fuentes no confiables y explorar recurrentemente las bases de datos públicas de vulnerabilidades en
busca de aquellas que puedan afectar al software.
Vulnerabilidad en Hardware
Estadísticamente hablando el hardware es la segunda superficie de ataque a considerar, lo común es

que, para atacar a un dispositivo hardware, el atacante necesita tener acceso físico al dispositivo. En
este caso es fácil analizar que las amenazas naturales como fallos por envejecimiento de equipos o
desastres como robos, incendios o inundaciones, afecta específicamente a esta superficie de ataque.
Los ataques a hardware también pueden producirse a través de la red o afectando al medio físico de
transmisión, por ejemplo, los perturbadores de señal pueden interrumpir las comunicaciones de distinto
tipo de tecnología inalámbrica mediante la generación de ruido radioeléctrico en la frecuencia y forma
correcta. Este tipo de ataques podría anular sistemas de comunicaciones de los que dependen
alarmas, sensores o cualquier otro tipo de comunicaciones, ya sean entre dispositivos o personas.
Todo Hardware de la infraestructura está o puede estar expuesto como dispositivo en sí mismo, por
sus puertos y protocolos de comunicaciones, aplicaciones e interfaces. Para reducir al mínimo la
superficie de ataque, se debe proteger físicamente los equipos frente a incidentes y sabotajes
mediante instalaciones seguras con controles de acceso. Se debe conFigurar los equipos cerrando
todo puerto innecesario y deshabilitando cualquier protocolo de comunicación no pertinente, en el
32
entorno de red se puede desplegar firewalls, sistemas de detección de intrusión y sistemas de gestión
y balanceo de carga de tráfico. Al igual que con el software se debe mantener el firmware actualizado
de los equipos y evitar que personal no autorizado pueda manipular su configuración.
1.3.2.1 Tipos de vulnerabilidades
Existen dos tipos de vulnerabilidades que se mencionan a continuación:

• Las lógicas
• Las físicas
a. Vulnerabilidades físicas
Las vulnerabilidades físicas son las que van a afectar a la infraestructura de la organización de manera
física y se pueden mencionar en este tipo de clasificación a los desastres naturales, como ejemplo se
podría mencionar una vulnerabilidad alta de este tipo si se vive en una zona de alto riesgo de sismos,
ya que puede presentarse una negación en el servicio, una afectación en la disponibilidad y a partir de
ahí se podría empezar con problemas. Si la organización está en una zona que generalmente se
inunda, se tiene también otro tipo de vulnerabilidad.
Otra de las opciones físicas son los controles de acceso, en muchas ocasiones se tiene los accesos a
la infraestructura crítica y no se tiene los accesos pertinentes, cualquier persona podría abrir una
puerta, podría entrar y constituye un gran riesgo para la organización porque cualquier usuario podría
ingresar con una USB y copiar información, podría infectar la misma infraestructura.
b. Vulnerabilidades lógicas
Las vulnerabilidades lógicas son las que van a afectar directamente la infraestructura y el desarrollo de
la operación de estos, estas pueden ser de:
Configuración
Actualización
Desarrollo
Las de configuración en el sistema operativo, pueden ser las configuraciones por defecto del sistema
o incluso de algunas aplicaciones del servidor que se tenga expuesta, puede ser también la
configuración de algunos firewalls que no está gestionado de una manera correcta y también de
infraestructura perimetral.
Las vulnerabilidades de actualización, en muchas ocasiones hay empresas que no actualizan sus
sistemas, van saliendo las vulnerabilidades y es un punto que se debe tomar en cuenta.
Actualmente, en los equipos XP de Windows no se les está dando soporte y muchas empresas tienen
estos sistemas, cuando se realiza un escaneo en una determinada red al no tener soporte estos
equipos ya son vulnerables.
Las vulnerabilidades de desarrollo, aquí se puede mencionar las inyecciones de código en SQL,
Cross Site Scripting, esto puede variar dependiendo del tipo de aplicación, la validación de los datos.
Cada escáner de vulnerabilidades utiliza distintas escalas, en estas escalas se va a poder auditar en
base a una metodología de pruebas de penetración, de cumplimiento, si se va a auditar una red interna
o una aplicación web, es muy distinto el escáner que se va a utilizar.
1.3.2.2 Otra clasificación de vulnerabilidades

Existen algunos tipos de vulnerabilidades que son mecanismos aprovechados por los atacantes para
infectar una red o robar información entre los cuales se puede mencionar a los siguientes tipos:
a. Desbordamiento de buffer
El desbordamiento de buffer ocurre cuando el programador no controla el espacio de memoria del
programa, entonces alguna persona puede introducir su propio código en ese espacio de memoria y la
máquina lo va a ejecutar antes que cualquier otra tarea, por ejemplo, eso normalmente se da mucho
con los payloads, en los cuales se inyectan cierta cantidad de memoria o inclusive dentro de los
backdoor o puerta trasera, los cuales inyectan en la memoria RAM un cierto o una cierta cantidad de
código, el cual se arranca antes, inclusive de arrancar toda la parte del sistema operativo o de algunos
de los archivos dentro del mismo sistema que se utilizan para arrancar de manera normal. La Figura
3.3 muestra un ejemplo de desbordamiento de buffer.
33
Si un programa no controla la cantidad de datos que se copian en buffer, puede llegar un momento en
que se sobrepase la capacidad del buffer y los bytes que sobran se almacenan en zonas de memoria
adyacentes. En esta situación se puede aprovechar para ejecutar código que nos de privilegios de
administrador.
Figura 1.8. Desbordamiento de buffer.

Fuente: https://www.slideshare.net/RevistaSG/ups-cdigo-inseguro-deteccin-explotacin-y-mitigacin-de-
vulnerabilidades-en-software
b. Errores de configuración
Otra de las principales vulnerabilidades, son los errores de configuración, se puede mencionar, por
ejemplo, los password por default, password débiles, usuarios con demasiados privilegios e inclusive la
utilización de protocolos de encriptación obsoletos, normalmente una de las cosas más típicas en las
organizaciones es que utilizan algún sistema de encriptación web, lo cual con una aplicación de
teléfono celular se puede crackear en menos de 10 o 15 segundos o inclusive con una laptop.
Otro error de vulnerabilidad puede ser algún protocolo de SSH que no se haya parchado o actualizado,
por ejemplo, con alguna especie de vulnerabilidad se estaría utilizando algún protocolo de encriptación
ya sea obsoleto o inseguro, pero normalmente la parte de errores de configuración provienen de la
parte del password default, cuando se ingresa a una red con la IP por ejemplo, 198.X.X.X y si se tiene
la posibilidad de ingresar a Google y buscar dentro del mismo, lo que sería el usuario y la contraseña
por default, se puede cambiar la configuración causando un daño a la empresa.
c. Errores web
Otros tipos de vulnerabilidades son las WEB, aquí simple y sencillamente se tiene errores de
validación de input, Scripts inseguros, errores de configuración de aplicaciones web, entre algunas
otras situaciones, que a final de cuenta todos y cada uno de esos errores son los medios para algún
ataque de XSS (Cross Site Scripting) o inyección SQL.
También permite inyectar código VBSript o JavaScript en páginas web vistas por el usuario. El phishing
es una aplicación de esta vulnerabilidad. En el phishing la víctima cree que está accediendo a una URL
(la ve en la barra de direcciones), pero en realidad está accediendo a otro sitio diferente. Si el usuario
introduce sus credenciales en este sitio se las está enviando al atacante.
Según Cañon Parada (2015), la inyección por SQL es uno de los ataques más utilizados en la
actualidad, consiste en acceder a las tablas de la base de datos incluyendo información sobre el
usuario y su clave, este ataque está caracterizado porque es fácil de ejecutar porque modifica la
cadena de consulta SQL hacia la base de datos.
También Cañon Parada (2015), indica que los ataques tipos Cross Site Scripting consisten en infectar
un sitio web mediante scripts maliciosos con el objetivo de obtener acceso a una determinada cuenta
de usuario.
d. Errores de protocolo
34
Por último, se tiene la parte de las vulnerabilidades de protocolos, existen diversas cantidades de
protocolos que normalmente fueron definidos sin la necesidad o sin tener en cuenta precisamente la
parte de la seguridad y en muchas veces no se preveo el crecimiento que estos iban a tener y como el
internet no estaba preparado para ser tan grande, no se pensó en la parte de la seguridad.
Algunos de los protocolos pueden ser un simple HTTP, el cual no es seguro, dado que realiza
solamente la parte de la autenticación, pero sin la encriptación de los datos que a final intercambia,
esto puede ser necesario en algunos ambientes, por ejemplo, en las páginas visitadas simple y
sencillamente por los usuarios, pero cuando se realizan transacciones bancarias normalmente la parte
de este protocolo resultaría muy inseguro, probablemente se requiera de alguna otra acción como
sería algún certificado SSL o TSL, etc. Normalmente el mayor problema es cuando se define el marco
de seguridad que tienen las fallas, por ejemplo, alguna especie de utilización de sistema web.
f. Aprovechamiento de las vulnerabilidades
Normalmente existen dos formas de aprovechar las vulnerabilidades como se muestra a continuación:
Forma remota
Ingeniería social
En la forma remota se llega mediante una computadora y se empieza a hacer análisis, ataques a un
cierto servidor y tratar de vulnerarlo, si se logra el acceso, quiere decir que ya se hizo alguna
explotación remota.
En la parte de la ingeniería social, alguien puede ayudar de manera interna, una persona dentro de la
organización puede ayudar a realizar un acceso no permitido.
También existen las partes de ataques directo una vulnerabilidad de forma remota utilizando internet,
se aprovecha de que algún software o servicio tiene un puerto abierto volviéndose vulnerable. Otra de
las partes es engañando a un usuario, aplicando ingeniería social con alguna memoria o algún archivo
infectado se puede aprovechar de alguna vulnerabilidad que se encuentra dentro del mismo sistema.
Las vulnerabilidades de los sistemas informáticos las podemos agrupar en función de:
Diseño
• Debilidad en el diseño de protocolos utilizados en las redes.
• Políticas de seguridad deficiente e inexistente.
Implementación
• Errores de programación.
• Existencia de “puertas traseras” en los sistemas informáticos.
• Descuido de los fabricantes.
Uso
• Mala configuración de los sistemas informáticos.
• Desconocimiento y falta de sensibilización de los usuarios y de los responsables de
informática.
• Disponibilidad de herramientas que facilitan los ataques.
• Limitación gubernamental de tecnologías de seguridad.
Vulnerabilidad del día cero

• Se incluyen en este grupo aquellas vulnerabilidades para las cuales no existe una solución
“conocida”, pero se sabe cómo explotarla.
Vulnerabilidades conocidas
• Vulnerabilidad de condición de carrera (race condition). Si varios procesos acceden al mismo
tiempo a un recurso compartido puede producirse este tipo de vulnerabilidad. Es el caso típico
de una variable, que cambia su estado y puede obtener de esta forma un valor no esperado.
• Vulnerabilidad de denegación del servicio. La denegación de servicio hace que un servicio o
recurso no esté disponible para los usuarios. Suele provocar la pérdida de la conectividad de la
red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos
informáticos del sistema de la víctima.
• Vulnerabilidad de ventanas engañosas (Window Spoofing). Las ventanas engañosas son las
que dicen que eres el ganador de tal o cual cosa, lo cual es mentira y lo único que quieren es
35
que el usuario de información. Hay otro tipo de ventanas que si las sigues obtienen datos del
ordenador para luego realizar un ataque.
En http://www.cert.org/stats/ hay disponibles unas tablas que indican el nº de vulnerabilidades

detectadas por año. Es interesante visitar la web de vez en cuando y comprobar el elevado número de
vulnerabilidades que se van detectando. Habría que ver cuántas no se detectan...
Vulnerabilidades más comunes que pueden comprometer la seguridad
Sin embargo, es bien sabido que la seguridad puede ser comprometida por muchos motivos, los más
comunes se mencionan a continuación:
• Empleados: las estadísticas internacionales indican que más del 70% de las violaciones de
seguridad en las empresas ocurren internamente, bien sea por personal con ánimos de
revancha, o simplemente por mera curiosidad.
• Sistemas mal configurados: es práctica muy común instalar los sistemas tal y como los
provee el fabricante, sin eliminar servicios ni cerrar puertos que jamás serán utilizados. Por lo
general, estas configuraciones por defecto poseen vulnerabilidades que pueden ser explotadas
por individuos malintencionados con la finalidad de ingresar a los sistemas
• Falta de Políticas y Procedimientos que refuercen la seguridad: un elemento primordial de
toda arquitectura de seguridad es el correspondiente a las políticas y generalmente se utilizan
tecnologías para reforzar su cumplimiento. La carencia de buenas políticas de seguridad
podría permitir que se instalen tecnologías inadecuadas, o incorrectamente, abriendo así
brechas en la seguridad de datos corporativa.
• Herramientas equivocadas: el uso de herramientas de seguridad es necesario, pero si no se
tiene en cuenta el por qué y para que se necesitan, realmente no sirven de mucho; por
ejemplo, es posible que se adquieran sistemas de análisis de vulnerabilidades que no sean
utilizados ni actualizados regularmente los cuales dejen vulnerabilidades sin detectar en los
diferentes sistemas.
• Inexistencia de Monitoreo: el uso de herramientas de monitoreo es necesario para la
detección oportuna de posibles ataques; más aún, es necesario centralizar las alertas en un
único lugar, a fin de poder dar respuesta efectiva y eficiente ante posibles ataques. Sin
embargo, cuando se adquiere tecnología puntual de seguridad muchas veces no se toma en
cuenta que la información generada por ellas puede ser monitoreada y, en muchas ocasiones,
ni siquiera se activan las de auditorías de seguridad de dichos dispositivos permitiendo que los
atacantes pasen desapercibidos.
• Código mal escrito: cuando se escriben programas, pocas veces se tienen en cuenta las
características mínimas de seguridad como, por ejemplo, el evitar que se sobrecarguen
variables o que se pasen parámetros no esperados. Esto puede ser aprovechado por los
hackers para generar fallas que les permita ingresar a los sistemas.
1.4 ACTORES MALICIOSOS
Primeramente, comenzaremos definiendo el término de ataque.

Un ataque son todas aquellas acciones que supongan una violación de la seguridad de nuestro
sistema (confidencialidad, integridad o disponibilidad).
Esto constituye lo que son amenazas provocadas por personas.

La mayor parte de los ataques a los sistemas informáticos son provocados, intencionadamente o no,
por las personas.
¿Qué se busca?
En general lo que se busca es conseguir un nivel de privilegio en el sistema que les permita realizar
acciones sobre el sistema no autorizadas.
Se dice que se ha producido un ataque accidental o deliberado contra el sistema cuando se ha

materializado una amenaza.
En función del impacto causado a los activos atacados, los atacantes se clasifican en:
• Activos. Si modifican, dañan, suprimen o agregan información, o bien bloquean o saturan los
canales de comunicación.
36
• Pasivos. Solamente acceden sin autorización a los datos contenidos en el sistema. Son los
más difíciles de detectar. Su objetivo es curiosear el sistema.
Un ataque puede ser directo o indirecto, si se produce desde el atacante al elemento «víctima»
directamente, o a través de recursos o personas intermediarias.
Impactos
Son la consecuencia de la materialización de una o más amenazas sobre uno o varios activos
aprovechando la vulnerabilidad del sistema o, dicho de otra manera, el daño causado.
Los impactos pueden ser cuantitativos, si los perjuicios pueden cuantificarse económicamente, o
cualitativos, si suponen daños no cuantificables, como los causados contra los derechos
fundamentales de las personas.
Repasamos ahora todos los tipos de personas que pueden constituir una amenaza para el sistema
informático sin entrar en detalles:
1. Personal de la propia organización
2. Ex-empleados
3. Curiosos
4. Crackers
5. Terroristas
6. Intrusos remunerados
Ataques de red
Un ataque a la red o un incidente de seguridad se define como:
"Una amenaza, intrusión, denegación de servicio u otro ataque a la infraestructura de la red, sistema(s)
informático(s) o cuenta(s) de usuario. Los incidentes de seguridad informática pueden variar desde
correos electrónicos molestos dirigidos a una persona hasta ataques de intrusión en datos
confidenciales y sistemas informáticos. Algunos incidentes de seguridad están inherentemente
basados en la informática; en otros, el medio electrónico es coincidente con el delito o la violación de la
política".
1.4.1 ATACANTES
Hackers
Un hacker es aquella persona que trabaja con computadores para manipular la tecnología y la
información. Es aquella persona que trata entrar en los computadores de diversas maneras sin tener
autorización y, por tanto, están realizando un acto ilegal.
Una definición muy buena dada por

Un Hacker es a todas luces, alguien con profundos conocimientos sobre una tecnología. Esta puede
ser la informática, electrónica o comunicaciones. El Hacker normalmente conoce todos los terrenos en
los que reposa la actual tecnología.
Un hacker o atacante de redes es alguien que maliciosamente ataca redes, sistemas, computadoras,
aplicaciones; y que capture, corrompa, modifique, robe o elimine información confidencial de la
empresa.
Así pues, el verdadero Hacker es alguien que tiene ansias por saberlo todo, le gusta la investigación y
sobre todo lo que resulta más difícil de descifrar. Nos estamos refiriendo a sistemas de cifrado o
sistemas de codificación. En la actualidad los sistemas de cifrado y codificación están al orden del día,
tomemos como ejemplo los canales de televisión de pago o cualquier soporte de grabación de datos
como el CD, DVD o USB.
Los hackers son programadores. Tienen un conocimiento de los lenguajes de programación y de los
Sistemas operativos.
Los hackers emplean los mensajes ICMP para examinar las redes o para redireccionar tráfico.
37
Los hackers intentan conseguir que los usuarios digan sus passwords, esto es lo que ellos llaman
Ingeniería Social.
Los hackers realizan programas que automáticamente chequean la seguridad de la red de máquinas
remotas para descubrir los puntos más vulnerables y poder entrar en ellas y así romper la seguridad de
éstas.
El primer eslabón de una sociedad " delictiva " según la prensa. Estos personajes son expertos en
sistemas avanzados. En la actualidad se centran en los sistemas informáticos y de comunicaciones.
Dominan la programación y la electrónica para lograr comprender sistemas tan complejos como la
comunicación móvil. Su objetivo principal es comprender los sistemas y el funcionamiento de ellos. Les
encanta entrar en computadores remotos, con el fin de decir aquello de " he estado aquí " pero no
modifican ni se llevan nada del computador atacado.
Normalmente son quienes alertan de un fallo en algún programa comercial, y lo comunican al

fabricante. También es frecuente que un buen Hacker sea finalmente contratado por alguna importante
empresa de seguridad.
El perfil del Hacker idóneo es aquel que se interesa por la tecnología, al margen de si lleva gafas, es
delgado o lleva incansablemente encima un teléfono celular de grandes proporciones o emplea
muchas horas delante del computador, pero para nada debe ser un obsesivo de estas máquinas. No
obstante puede darse el caso.
Este grupo es él más experto y menos ofensivo, ya que no pretenden serlo, a pesar de que poseen
conocimientos de programación, lo que implica el conocimiento de la creación de Virus o Crack de un
software o sistema informático.
Crackers
El cracker es aquella persona que se dedica a romper los esquemas de protección y de encriptación.
El cracker intenta romper la integridad del sistema de seguridad de una máquina remota. No tienen
autorizado el acceso y destruyen información muy importante, es decir, se dedican a realizar acciones
malvadas.
Cracker es aquel Hacker fascinado por su capacidad de romper sistemas y Software y que se dedica
única y exclusivamente a Crackear sistemas. Para los grandes fabricantes de sistemas y la prensa
este grupo es el más rebelde de todos, ya que siempre encuentran el modo de romper una protección.
Pero el problema no radica hay, si no en que esta rotura es difundida normalmente a través de la Red
para conocimientos de otros, en esto comparten la idea y la filosofía de los Hackers.
En la actualidad es habitual ver como se muestran los Cracks de la mayoría de Software de forma
gratuita a través de Internet. El motivo de que estos Cracks formen parte de la red es por ser estos
difundidos de forma impune por otro grupo que será detallado más adelante.
Crack es sinónimo de rotura y por lo tanto cubre buena parte de la programación de Software y
Hardware. Así es fácil comprender que un Cracker debe conocer perfectamente las dos caras de la
tecnología, esto es la parte de programación y la parte física de la electrónica. Más adelante
hablaremos de los Cracks más famosos y difundidos en la red.
A diferencia de los hackers, los crackers no implementan programas para chequear la seguridad de la
red, si no que los piden o los roban.
Los crackers pueden romper un sistema para lucrarse, es decir, porque es contratado por una empresa
para romper el sistema de seguridad de otra y a cambio recibe un dinero.
Muchas veces oímos hablar de Cracking, el cual es el proceso por el cual se intenta descubrir la
contraseña de una cuenta de usuario conociendo su contraseña cifrada. Para ello, se cifra cada una de
las palabras almacenadas en un diccionario (en este contexto, una serie de palabras formadas por
símbolos empleados en el lenguaje escrito, no sólo por caracteres alfanuméricos) usando el mismo
38
algoritmo que el sistema operativo a atacar. Si el resultado obtenido es igual que la contraseña cifrada,
la palabra del diccionario que se cifró es la contraseña buscada.
Lammers
Este grupo es quizás el que más número de miembros posee y quizás son los que mayor presencia
tienen en la red. Normalmente son individuos con ganas de hacer Hacking, pero que carecen de
cualquier conocimiento. Habitualmente son individuos que apenas si saben lo que es un computador,
pero el uso de este y las grandes oportunidades que brinda Internet, convierten al nuevo internauta en
un obsesivo ser que rebusca y relee toda la información que le fascina y que se puede encontrar en
Internet. Normalmente la posibilidad de entrar en otro sistema remoto o la posibilidad de girar un
gráfico en la pantalla de otro computador, le fascinan enormemente.
Este es quizás el grupo que más peligro acontece en la red ya que ponen en práctica todo el Software
de Hackeo que encuentran en la red. Así es fácil ver como un Lamer prueba a diestro y siniestro un "
bombeador de correo electrónico " esto es, un programa que bombardea el correo electrónico ajeno
con miles de mensajes repetidos hasta colapsar el sistema y después se mofa autodenominándose
Hacker.
También emplean de forma habitual programas Sniffers para controlar la Red, interceptan tu
contraseña y correo electrónico y después te envían varios mensajes, con dirección falsa amenazando
tu sistema, pero en realidad no pueden hacer nada más que cometer el error de que poseen el control
completo de tu disco duro, aun cuando el computador está apagado.
Toda una negligencia en un terreno tan delicado.
Copyhackers
Es una nueva raza solo conocida en el terreno del crackeo de Hardware, mayoritariamente del sector
de tarjetas inteligentes empleadas en sistemas de televisión de pago. Este mercado mueve al año más
de 25.000 millones de pesetas sólo en Europa.
En el año 1994 los Copyhackers vendieron tarjetas por valor de 16.000 millones de pesetas en pleno
auge de canales de pago como el grupo SKY y Canal+ plus- Estos personajes emplean la ingeniería
social para convencer y entablar amistad con los verdaderos Hackers, les copian los métodos de
ruptura y después se los venden a los " bucaneros " personajes que serán detallados más adelante.
Los Copyhackers divagan entre la sombra del verdadero Hacker y el Lamer. Estos personajes poseen
conocimientos de la tecnología y son dominados por la obsesión de ser superiores, pero no terminan
de aceptar su posición. Por ello " extraen " información del verdadero Hacker para terminar su trabajo.
La principal motivación de estos nuevos personajes, es el dinero.
Bucaneros
Son peores que los Lamers, ya que no aprenden nada ni conocen la tecnología. Comparados con los
piratas informáticos, los bucaneros sólo buscan el comercio negro de los productos entregados por los
Copyhackers. Los bucaneros sólo tienen cabida fuera de la red, ya que dentro de ella, los que ofrecen
productos " Crackeados " pasan a denominarse " piratas informáticos " así puestas las cosas, el
bucanero es simplemente un comerciante, el cual no tienen escrúpulos a la hora de explotar un
producto de Cracking a un nivel masivo.
Phreaker
Es una extensión del Hacking y el Cracking. Este grupo es bien conocido en la Red por sus
conocimientos en telefonía. Un Phreaker posee conocimientos profundos de los sistemas de telefonía,
tanto terrestres como móviles. En la actualidad también poseen conocimientos de tarjetas prepago, ya
que la telefonía celular las emplea habitualmente.
39
Sin embargo es, en estos últimos tiempos, cuando un buen Phreaker debe tener amplios
conocimientos sobre informática, ya que la telefonía celular o el control de centralitas es la parte
primordial a tener en cuenta y/o emplean la informática para su procesado de datos.
Newbie
Es un novato o más particularmente es aquel que navega por Internet, tropieza con una página de
Hacking y descubre que existe un área de descarga de buenos programas de Hackeo. Después se
baja todo lo que puede y empieza a trabajar con los programas.
Al contrario que los Lamers, los Newbies aprenden el Hacking siguiendo todos los cautos pasos para
lograrlo y no se mofa de su logro, sino que aprende.
Script Kiddie
Denominados Skid kiddie o Script kiddie, son el último eslabón de los clanes de la Red. Se trata de
simples usuarios de Internet, sin conocimientos sobre Hack o el Crack en su estado puro. En realidad
son devotos de estos temas, pero no los comprenden. Simplemente son internautas que se limitan a
recopilar información de la Red. En realidad se dedican a buscar programas de Hacking en la Red y
después los ejecutan sin leer primero los ficheros Readme de cada aplicación. Con esta acción,
sueltan un virus, o se fastidian ellos mismos su propio computador. Esta forma de actuar, es la de total
desconocimiento del tema, lo que le lleva a probar y probar aplicaciones de Hacking. Podrían llamarse
los “pulsa botones “de la ReD. Los Kiddies en realidad no son útiles en el progreso del Hacking.
Samurai
Normalmente es alguien contratado para investigar fallos de seguridad, que investiga casos de
derechos de privacidad, esté amparado por la primera enmienda estadounidense o cualquier otra
razón de peso que legitime acciones semejantes. Los samuráis desdeñan a los crackers y a todo tipo
de vándalos electrónicos. También se dedican a hacer y decir cómo saber sobre la seguridad con
sistemas en redes
Y estos actores operan mediante ataques organizativos: Hay una organización que entra en la red para
intentar tener acceso a información confidencial con el fin de obtener una ventaja empresarial.
Black Hat, White Hat, Gray Hat
Un hacker de sombrero blanco (del inglés, White hats), se refiere a una ética hacker que se centra en
asegurar y proteger los sistemas de Tecnologías de información y comunicación. Estas personas
suelen trabajar para empresas de seguridad informática las cuales los denominan, en ocasiones,
«zapatillas o equipos tigre»
Por el contrario, un hacker de sombrero negro (del inglés, Black Hat) es el villano o chico malo,
especialmente en una película de western, de ahí que en tal carácter se use un sombrero negro, en
contraste con el héroe, el de sombrero blanco. Son aquellos que realizan actividades para vulnerar la
seguridad de sistemas, violentar y extraer información restringida con un fin monetario. Entre otras
actividades también son creadores de virus, spywares y malwares.
En los últimos años, los términos sombrero blanco y un sombrero negro han sido aplicados a la
industria del posicionamiento en buscadores (Search Engine Optimization, SEO). Las tácticas de
posicionamiento en buscadores de los hackers de sombrero negro, también llamada spamdexing,
intento de redireccionar los resultados de la búsqueda a páginas de destino particular, son una moda
que está en contra de los términos de servicio de los motores de búsqueda, mientras que los hackers
de sombrero blanco, utilizan métodos que son generalmente aprobados por los motores de búsqueda.
También están los de sombrero gris (del inglés, Gray Hat), este el tipo de Hackers usan sus
habilidades para traspasar los niveles de seguridad y luego ofrecen sus servicios como
administradores de seguridad informática para corregir dichos errores. De esta forma atacando
diferentes servicios demuestran sus conocimientos para luego ofrecer.
40
1.5 TIPOS DE CIBERCRIMEN
Categorías de Ataques
Como ya hemos visto, el conectar su sistema a Internet, lo expone a numerosas amenazas que se
incrementan diariamente. Los tipos más generales de amenazas son:
Vulnerabilidad de información
Vulnerabilidad en el software
Debilidades en el sistema físico
Transmisión de debilidades
Las formas y estilos comúnmente usados en ataques realizados vía Internet en redes corporativas,
están divididos en 9 categorías:
Ataques basados en passwords

En base a escuchar el tráfico de la red
Ataques que explotan los accesos confiables
Basándose en las direcciones IP
Introduciendo información sin darse cuenta
Predicción de números secuenciales
Secuestrando sesiones
Ataques enfocados a explotar las debilidades de la tecnología
Explotando el sistema de librerías compartidas
a. Ataques basados en passwords
Estos son, históricamente, uno de los favoritos para los hackers. Inicialmente, los hackers tratan de
entrar a un sistema en la red por medio de teclear un nombre de usuario y contraseña. Esta persona
tratara de una contraseña a otra hasta que una de ellas funcione. Sin embargo ahora existen
programas que hacen una decodificación o adivinan los passwords mediante una combinación de
todas las palabras y letras de diccionarios en varios idiomas con signos de puntuación y números.
b. Escuchando el tráfico de la red
Es posiblemente uno de los más difíciles tipos para llevar a cabo, pero es un ataque muy serio cuando
se logra en una transacción comercial. Para ello se utiliza el llamado packet sniffer, el cual se
encargará de interceptar los paquetes que viajan a través de la red, estos pueden contener información
confidencial como las claves de usuarios, paquetes de transacciones comerciales con el número de
una tarjeta de crédito, e_mail, etc... El procedimiento es obtener el IP que recibirá el paquete y así
cuando pase uno dirigido a ese host, entonces lo copiará para enviarlo al sistema del hacker.
c. Mediante accesos confiables
Son comunes en redes que usan un sistema operativo (incluyendo UNIX, VMS y NT) que incorpora
mecanismos de accesos confiables. Los usuarios de estos sistemas pueden crear archivos de hosts
confiables (como archivos .rhosts en los directorios base) los cuales incluyen los nombres de máquinas
o direcciones IP de las cuales un usuario puede accesar el sistema sin una contraseña para ello. Si un
hacker obtiene el nombre de la máquina tendrá privilegios de entrar al sistema y la mayoría de ellos
sabe que los administradores de UNIX colocan el archivo en el directorio raíz, con esto se moverían
como super-usuarios.
d. Con direcciones IP
Como ya sabemos, cuando las computadoras se comunican en la red, lo hacen mediante el

direccionamiento de paquetes. Estas direcciones son las llamadas IP Address que identifican cada
computadora en el mundo. Cuando un hacker hace un ataque de esta manera, da información falsa
acerca de la identidad de su computadora, es decir, dice que su computadora es una confiable dentro
de una red mediante el duplicado de una dirección TCP/IP. Así el intruso gana los paquetes de acceso
a un sistema y sus servicios.
41
e. Introduciendo información
Este tipo de ataques se han convertido en comunes y mucho más peligrosos en tanto más usuarios se
conectan a la red. Un ejemplo simple es cuando un hacker envía un e_mail a los usuarios informando
que el administrador de la red es un intruso y le pide que le envíen su password por este medio y evitar
el daño. También se puede hacer usando un applet de Java para avisar que tiene un e_mail nuevo y
que necesita poner su clave de acceso para revisarlo, este applet crea una ventana familiar a la vista
del usuario para ganar su confianza y es así como se logra obtener su clave. Este tipo de ataque es
usual en los usuarios que no conocen mucho acerca de las computadoras y las redes, lo mejor para
evitar estos problemas es la educación del usuario.
f. Predicción de números secuenciales
Es una técnica común para el robo de IP’s dentro de las redes UNIX. El principio de cualquier conexión
TCP/IP requiere que las dos máquinas intercambien lo que se llama un “handshake,” o un paquete de
inicio el cual incluye números secuenciales. Las computadoras usan estos números como parte de
cada transmisión durante la conexión. La creación de estos se realiza basándose en los relojes
internos de cada computadora. En muchas versiones de UNIX, los números secuenciales obedecen un
patrón que es predecible usando un determinado algoritmo. Después de escuchar estos patrones
durante cierto tiempo, hechos por conexiones legítimas, un hacker puede predecir en cierta medida la
secuencia de números para lograr un handshake no autorizado.
g. Secuestro de sesiones
En este tipo, el intruso encuentra una conexión existente entre dos computadoras, generalmente de un
servidor y un cliente. Inmediatamente después penetrando a routers desprotegidos o firewalls
inadecuados, obtiene los números de direcciones TCP/IP en un intercambio entre las computadoras.
Después el intruso secuestra la sesión del usuario simulando la dirección del usuario. Al lograr esto, el
secuestrador se adueña de la sesión y el host desconecta al usuario legítimo y el intruso obtiene libre
acceso a los archivos que el usuario podía llegar. Es muy difícil detectar una sesión secuestrada y lo
que se puede hacer para evitar esto es por ejemplo, remover cuentas de acceso innecesarias,
conseguir parches de seguridad para proteger los routers y los firewalls, también se puede usar el
encriptamiento de paquetes. Es muy importante que se tengan estas medidas porque es virtualmente
imposible detectar sesiones secuestradas ya que el secuestrador aparece en el sistema como el
usuario secuestrado.
h. Explotando las debilidades de la tecnología
Todos los sistemas operativos tienen sus propias debilidades, algunos son más accesibles que otros.
Cuando salen los nuevos sistemas pueden contener los llamados bugs que provocarían el colapso de
un equipo conectado a la red.
i. Explotando las librerías compartidas
Esto es muy común en los sistemas UNIX. Una librería compartida es un conjunto de funciones de
programas comunes que el sistema operativo carga de un archivo a la memoria RAM en cada petición
del programa.
Los hackers hacen un reemplazo de estas librerías para sus propósitos, como proveerlos de privilegios
para accesar una petición. La solución a este problema es muy simple, se necesita de un buen
mantenimiento del sistema de archivos periódicamente y hacer algunas pruebas.
El estudio de estos problemas es importante ya que ofrecen un amplio panorama de lo que los hacker
pueden hacer en cualquier intento de ataque a una red. También podemos revisar las características
de cada uno de estos tipos te amenazas para prevenir cualquier intrusión al sistema.
Las políticas de seguridad se deben escribir tomando en cuenta todo lo anterior para establecer una
línea de fuego. En caso de ser víctimas de un ataque, es necesario tener algún plan de contingencia
respecto a la pérdida de información o el implante de algún programa que le permita el acceso al
intruso.
42
Las características de todos los posibles ataques a una red corporativa o institucional nos permiten la
creación de una buena política de seguridad. Esta debe contener la mayor cantidad posible de
defensas y/o medidas de prevención. Así mismo, este capítulo nos provee de una visión de lo que
debemos revisar en cuanto a posibles trampas, o puertas escondidas dentro de los programas que se
van a ejecutar dentro de la red.
Unas de las prácticas actuales para el análisis de intrusos es el hacking ético, ello se utiliza para
detectar las posibles vulnerabilidades o falencias en un sistema informático o red de datos. A
continuación se nombrarán algunas herramientas utilizadas para el análisis de redes:
Escáner de red: Escáner de uso general usado para encontrar vulnerabilidades potenciales en la red
de la empresa. (También se podría incluir a los escaners de redes VoIP). Estos escaners sirven a su
vez para auditar redes LAN o WLAN, facilitando el trabajo de indagar en dichas redes.
Escáner de Puertos: El término escáner de puertos o escaneo de puertos se emplea para designar la
acción de analizar por medio de un programa el estado de los puertos de una máquina conectada a
una red de comunicaciones. Detecta si un puerto está abierto, cerrado, o protegido por un cortafuegos.
Se utiliza para detectar qué servicios comunes está ofreciendo la máquina y posibles vulnerabilidades
de seguridad según los puertos abiertos. También puede llegar a detectar el sistema operativo que
está ejecutando la máquina según los puertos que tiene abiertos. Es usado por administradores de
sistemas para analizar posibles problemas de seguridad, pero también es utilizado por usuarios
malintencionados que intentan comprometer la seguridad de la máquina o la red.
Escáner para la seguridad de aplicaciones Web: Permite a los negocios realizar evaluaciones de
riesgo para identificar las vulnerabilidades en aplicaciones web y así evitar ataques. Este tipo de
escaners deberían ser utilizados también por el departamento de desarrollo (programación) de una
aplicación web, ayudando así a encontrar todos los bugs que puedan generarse durante la creación de
la aplicación, antes de poner la aplicación a un entorno de producción.
Escáner base de datos: Permite encontrar puntos débiles en bases de datos, protegiendo así el
activo más importante de una empresa. Es quizás una de las herramientas más importantes ya que si
en la base de datos se llega a radicar un error o una amenazase verá comprometido el buen nombre y
la confianza de la organización.
j. Ataque de día cero (zero-day attack). Aprovecha una vulnerabilidad en una aplicación o
sistema, que ha sido detectada por el atacante antes que, por el dueño, para introducir código
malicioso en el intervalo de tiempo previo a su localización y reparación mediante un parche
informático.
1.5.1 Malware
Este término inglés se refiere al software malicioso que circula por Internet y que constituye un
problema cada vez más grave. Con estos programas, que los hackers instalan aprovechando las
deficiencias de seguridad de los servidores web, los delincuentes obtienen acceso a sitios web ajenos.
Dentro del malware se engloban programas desarrollados con distintos fines, como el adware (que
muestra publicidad emergente no solicitada) y los troyanos (que recopilan información confidencial,
como datos bancarios).
Para infectar un equipo a través del navegador web, hay que realizar dos tareas: establecer una
conexión con la víctima e instalar el programa en su equipo. En función de la táctica que utilice el
hacker, estas dos operaciones pueden suceder muy rápidamente y sin que el usuario se percate de
nada.
El beneficio más directo para los creadores de malware se obtiene del robo de información sensible.
Tal es el caso de las contraseñas para el acceso a la banca online y otros servicios financieros que hoy
en día son posibles a través de Internet: credenciales para el acceso a banca, contraseñas de servicios
43
como PayPal, números de tarjeta de crédito junto con sus códigos secretos... Una vez cuentan con esa
información en su poder, realizan transacciones de ciertas cantidades (también a través de Internet o
empresas de envío de efectivo) y a través de terceros para obtener directamente los beneficios.
Los datos que interesan a los atacantes. Estos serán sus objetivos predilectos a la hora de recolectar
información en un sistema infectado. Estos son: nombres de usuarios y contraseñas, certificados,
formularios, correos electrónicos, documentos, tráfico cifrado, datos específicos (espionaje industrial).
Una vez conocidos los datos que pueden llegar a interesar a los atacantes, se describe a continuación
los métodos de captura de datos más usados para obtenerlos. Podemos mencionar: registro de teclas
pulsadas, análisis del disco duro, pharming local, aplicación que simula al navegador, aplicación
superpuesta, formgrabbers, captura de imágenes y videos, rogueware.
Mecanismos frecuentes de distribución de malware:

• Actualizaciones de software: El malware envía invitaciones a través de las redes sociales para
que los usuarios vean un vídeo y, después, se les hace creer que necesitan una actualización
de software para verlo.
• Publicidad en banners: Los usuarios hacen clic en un banner que intenta instalar el código
malicioso en sus equipos sin que ellos se den cuenta o que les envía a un sitio web donde se
les invita a descargar un PDF con código malicioso oculto. También es posible que se les
solicite sus datos bancarios para proceder a la descarga.
• Documentos descargables: Se anima al usuario a abrir un programa de confianza, como
Microsoft Word o Excel, que en realidad contiene un troyano preinstalado.
• Ataque de interposición “Man-in-the- Middle”: El usuario piensa que se está comunicando con
un sitio web de confianza, pero la realidad es que un ciberdelincuente está recopilando la
información que ese usuario comparte con el sitio, como su nombre de usuario y contraseña.
También es posible que el delincuente se infiltre en una sesión y la mantenga abierta después
de que el usuario piense que la ha cerrado, de modo que tiene carta blanca para realizar
operaciones fraudulentas. Así, el estafador puede transferir dinero si el usuario había iniciado
la sesión en su banco, o bien robar el número de tarjeta de crédito durante una transacción de
compra por Internet.
• Keyloggers: Se engaña al usuario para que descargue un keylogger con cualquiera de las
técnicas descritas anteriormente. Ese programa malicioso hace un seguimiento de actividades
específicas, como las acciones del ratón o el teclado, y toma capturas de pantalla para
registrar datos bancarios o de la tarjeta de crédito.
A continuación, estaremos describiendo como se le conocía anteriormente, y la forma en que se

comportaban al momento de infectar a los equipos informáticos.
1.5.1.1 VIRUS
Un virus es un programa destructivo que modifica otros programas insertando copias de sí mismo, en
un esfuerzo por ocultar su existencia y propagarse a sí mismo en la red. Esta es una forma molesta de
ataque en el sistema por que se comporta como un parásito. Cuando el programa infectado es
ejecutado, también se ejecuta el código viral.
Aunque, dependiendo de la naturaleza de los virus, el código original puede o no puede ser ejecutado.
Los virus no pueden ejecutarse como un programa independiente; ellos necesitan un programa
anfitrión (host program) que los inicialice. Una vez que el virus se ha establecido y atacado a otros
programas en el sistema, es difícil eliminarlo.
Un virus computacional comparte muchos de los atributos de los biológicos convencionales. Consiste
de tres subsistemas: mecanismo de infección, activador (trigger) y misión. [
No todos los virus son perjudiciales para un sistema, un virus benéfico por ejemplo, podría comprimir
todos los programas en un sistema para conservar espacio en disco y descomprimirlos cuando son
ejecutados, permitiendo al programa, llegar a ser ejecutable otra vez..
Las siguientes recomendaciones ayudan a proteger los sistemas de virus computacionales:
44
Centralizar la responsabilidad de mover cualquier archivo entre sistemas, con el fin de proveer
un estricto control e inspección minuciosa.
Implantar una política de respaldos con respaldos completos del sistema almacenados por
largo tiempo (así que el software más estable del sistema operativo y el software de terceros
pueda ser recuperado de medios sin infección como parte de la reconstrucción del sistema).
Mantener los archivos temporales fuera de los directorios del sistema operativo y de los que
soportan productos de software de terceros. Esto no necesariamente protege al sistema y
archivos de terceros de una infección externa, sin embargo hace más ordenada la
recuperación, así como reduce la oportunidad de que el virus sea reintroducido en el sistema.
Mantener actualizado con la literatura de UNIX para estar atento de epidemias de virus en la
comunidad de UNIX.
Establecer máscaras de usuarios (umasks) para que los programas escritos por usuarios no
puedan ser invadidos por virus que tengan permisos insuficientes.
Proteger directorios de forma tal que estos no sean fácilmente contaminados por virus.
Desarrollar políticas para el uso de grupos de usuarios en sistemas UNIX, así que un virus
proveniente de group ID público no sea capaz de infectar programas compartidos con otros
grupos de usuarios.
Tipos de virus.
Existen muchos tipos de virus. Los primeros que aparecieron contaminaban los discos duros y se
propagaban a través de archivos y discos contaminados. Aquellos primeros virus se dividían en:
Virus del sector de arranque (boot), de la tabla de particiones o de asignación de ficheros. El
virus se instala (se almacena) en el sector de arranque, en la tabla de particiones o en la de
asignación de ficheros del disco duro, con lo que se ejecuta cada vez que se enciende el
computador.
Virus de archivo. El virus se instala en (se añade a) un archivo ejecutable. En algunos casos, el
virus era rápidamente detectado porque el archivo ejecutable dejaba de funcionar correctamente.
En otros casos (virus troyanos), el archivo ejecutable seguía funcionando correctamente hasta que
se producía el evento que provocaba la activación del virus.
Virus multipartitos. Son virus que se instalan en cualquier parte del disco (en un archivo, en el
sector de arranque, etc.).
Han ido apareciendo nuevos virus (siguen existiendo los virus arriba comentados) que emplean nuevas
fórmulas de propagación y dañan los sistemas empleando nuevas técnicas:
Virus de macro. El virus se instala en un archivo de datos (algunas plantillas para edición de
documentos pueden incluir pequeños programas que ayuda a realizar tareas rutinarias de
edición). Su velocidad de propagación es mayor porque los usuarios comparten con más
frecuencia archivos de datos que ejecutables.
Virus en Internet. El virus llega al computador a través de Internet (al descargar una página
WEB, dentro de archivos adjuntos en un mensaje de correo, etc.) Una vez en el computador,
intentará usar la red para llegar a otro computador quedando latente en el primero. También
reciben el nombre de gusanos.
Los daños que causan los virus actuales no difieren mucho de los que causaban los primeros,
incorporando funcionalidades para iniciar ataques de denegación de servicio (incluso contra sistemas
de telefonía móvil) y de recopilación de información del sistema infectado.
1.5.1.2 GUSANOS (WORMS)
Los worms (gusanos) son programas autoreplicables y autoinicializables, diseminables por ellos
mismos de máquina en máquina a través de arrastrarse por la red. Aprovechan los “security holes”
(huecos de seguridad) conocidos. Un worm no altera o daña otros programas, pero podría ser un
vehículo para otros programas como los virus.
Un worm no necesariamente verifica la máquina atacada para ver si ya está contaminada. Puede
causar un rechazo de los servicios por estar usando todo el espacio en disco. Algunas veces estos
programas son diseñados para enviar simplemente de regreso al desarrollador información acerca de
los sistemas, la cual puede ser usada más tarde para atacar al sistema directamente, y otras veces
ellos pueden hacer daño en su trayecto (posiblemente dejando una bacteria o virus en su camino).
45
Generalmente estas entidades de red gastan mucho de su tiempo recogiendo y procesando archivos
de seguridad y de red, intentando encontrar rutas en la misma hacia otros sistemas e intentando
adivinar passwords.
Un worm consiste de tres partes: búsqueda de un nuevo host para infectarlo, copia de sí mismo al
nuevo host y provocar que la nueva copia sea ejecutada.
Los síntomas del ataque de un gusano se pueden apreciar en los archivos de log (tales como su.log, el
cual indicará los numerosos intentos sin éxito de una entidad no autorizada para convertirse en
superusuario), significante incremento en el tráfico de la red (lo cual se manifiesta como una reducción
en la capacidad de procesamiento normal), y procesos anormales corriendo en el sistema (los cuales
pueden ser desplegados mediante le comando ps – process status).
1.5.1.3 BACTERIAS
Algunas veces también llamadas conejas, son programas que existen para recuperarse a si mismas, y
generalmente afectan un sistema por tomar ventaja de los recursos computacionales que ellas
consumen sólo por existir en el sistema. Más que pegarse a otros programas, como los virus, las
bacterias computacionales simplemente al ser ejecutadas se duplican a si mismas.
La bacteria no altera los datos ni destruye archivos. Su propósito es degradar el servicio del sistema,
pues dependiendo de cómo es programada, puede empezar a ocupar todo el espacio en disco o los
ciclos de CPU muy rápidamente, llevando al sistema a detenerse. Un programa que es de un solo byte
de longitud podría consumir 4 GB. De espacio después de sólo 32 ciclos de reproducción. Los más
grandes, programas de medida más real podrían necesitar menos ciclos para sobrecargar el sistema.
1.5.1.4 INSECTOS (BUGS)
Un Bug es un defecto en un programa que causa que este realice algo inesperado. Estos bugs a
menudo son destructivos. Programas escritos en lenguajes de bajo nivel como C o Lenguaje
Ensamblador, son especialmente indefensos para los bugs destructivos porque los errores en el
direccionamiento de memoria, pueden resultar en sobrescribir datos almacenados en áreas
usualmente reservadas para el sistema operativo. Sin pensar que lenguajes como C o Ensamblador
sean malos, es muy importante que los programadores tomen en cuenta que programas mal escritos,
pueden resultar desastrosos.
1.5.1.5 TROYANOS.
Primeramente hay que comenzar comentando en qué consiste un programa de acceso remoto o
programa de administración remota. Este tipo de programas, conocidos también como RATs (Remote
Administration Tool), se han desarrollado para el control remoto de un PC o un sistema, valga la
redundancia. Es decir, permiten un manejo prácticamente total de un PC, que físicamente no se
encuentra al alcance de nuestras manos, por medio de una conexión directa desde otro PC. El
programa de acceso remoto deben estar instalado en ambos PCs y su comunicación se produce
generalmente vía internet o vía red.
Se denomina Troyano (o 'Caballo de Troya', traducción más fiel del inglés Trojan Horse aunque no tan
utilizada) a un virus informático o programa malicioso capaz de alojarse en computadoras y
permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de
recabar información sin consentimiento de su dueño que permite el control de ese
computadora por parte de una persona no autorizada, pudiéndose incluso considerar un tipo de
virus, ya que la computadora atacada se “infecta” con él.
Características.
• Se aprovecha frecuentemente de bugs y backdoors de los sistemas informáticos, como el
Back Orifice o el BackDoor.
46
• Sólo una de las dos partes del programa (un troyano se instala en ambos PCs) tiene
capacidad de controlar (cliente del troyano) mientras que la otra sirve de conexión con el PC
controlado (servidor del troyano).
• El usuario del PC que actúa como servidor (el PC controlado) no tiene conciencia o
conocimiento de estar comunicado con aquel otro PC. Ni tan siquiera es consciente de haber
instalado el troyano en su PC.
• El servidor del troyano se oculta intentando pasar desapercibido para actuar clandestinamente.
Tipos de Troyanos.
Troyanos del tipo cliente/servidor. Infecta una maquina con el servidor y después accede a ella a
través del cliente, con el cual conectabas conociendo la IP de la víctima. Los inconvenientes de este
sistema son obvios: existe el problema de conseguir que la víctima active un ejecutable en su máquina,
y además, necesitamos conseguir su IP más tarde para poder establecer una conexión. El 95,5% de
las maquinas, digamos, normales, no están conectadas 24 horas a Internet (aun con la tarifa Plana: P)
y tienen una IP dinámica, por lo que tendríamos que encontrarnos con la víctima en el IRC.
Troyano pasivo consiste en que es la maquina infectada la que conecta a donde el atacante desea, y
recoge de allí las instrucciones a seguir. Por ejemplo, cuando la maquina conecta a Internet, esta
realiza una conexión a un ftp gratuito donde yo he dejado un script, un batch, o un binario, lo recoge y
lo ejecuta. De esta manera tenemos la maquina controlada sin preocuparnos de si está conectado o
no, y sin saber su IP.
Los Caballos de Troya son probablemente las amenazas programadas más comunes y fáciles de
implantar, son programas que imitan a un programa que el usuario quiere ejecutar, pero son realmente
diferentes.
Aparentan ser inofensivos, pero permiten violar la seguridad de un sistema, pues se pueden ver como
una herramienta estándar de UNIX, aunque hayan sido programados para realizar ciertos actos
destructivos cuando se ejecutan por un usuario del sistema con privilegios apropiados.
Desafortunadamente el usuario no está siempre consciente de que un Caballo de Troya ha sido

ejecutado hasta que el daño se ha realizado. Un Caballo de Troya puede ser usado para capturar
passwords, cambiar permisos a archivos o crear programas set-UID.
Un ataque de Caballo de Troya engaña al usuario en la ejecución de un programa dañando al sistema

por tomar ventaja de los permisos de acceso del usuario. Otro modo común de ataque es a través del
uso de shar (compartir) los archivos respaldados en cinta –archive. Estos archivos son grandes shell
scripts que al ejecutarse realizan autoextracciones de archivos, los cuales fueron previamente
respaldados en cinta como parte del script en sí mismo.
Algunas medidas o hábitos para reducir la oportunidad de que el usuario se convierta en víctima de un
Caballo de Troya incluyen lo siguiente:
Nunca colocar directorios no estándares (incluyendo .o “ “) en un PATH. Probablemente
colocarlo en último lugar del PATH el ..
Nunca ejecutar el shar de archivos respaldados en cinta, particularmente de procedencia no
familiar. Si se necesita ejecutarlos, llevarlo a cabo sólo en un sistema UNIX que no afecte su
daño o pérdida total, sino ejecutarlos después de un llamado al sistema chroot que limite el
impacto que pueda generarse en el sistema de archivos.
1.5.1.6 BOMBAS LÓGICAS (LOGIC BOMBS)
Bombas lógicas (time bombs): En esta modalidad, la actividad destructiva del programa comienza tras
un plazo, sea por el mero transcurso del tiempo (por ejemplo a los dos meses o en una fecha o a una
hora determinada), o por la aparición de determinada señal (que puede aparecer o puede no
aparecer), como la presencia de un dato, de un código, o cualquier mandato que, de acuerdo a lo
determinado por el programador, es identificado por el programa como la señal para empezar a actuar.
La jurisprudencia francesa registra un ejemplo de este tipo de casos. Un empleado programó el
sistema de tal forma que los ficheros de la empresa se destruirían automáticamente si su nombre era
borrado de la lista de empleados de la empresa.
47
Las bombas lógicas son características ocultas construidas en un programa ejecutado cuando se
cumplen ciertas condiciones, tales como, un cierto conjunto de claves, o cierta fecha alcanzada,
modificando dramáticamente su comportamiento.
Las bombas lógicas ejecutan una función, o un conjunto de funciones, que no fueron características
intencionales del programa original, siendo las más comunes la destrucción de aplicaciones o datos.
Son frecuentemente colocadas por programadores encargados de mantenimiento de sistemas. El
famoso virus Miguel Angel, fue disparado por una bomba lógica.
Existen muchos usos legítimos de bombas lógicas. Los time-out son ampliamente usados por los
vendedores de software, permiten administrar las provisiones contractuales o reforzar agendas de
pago. La ejecución de una bomba lógica no necesariamente es disparada por el reloj.
Las bombas lógicas son frecuentemente perpetradas no por personas ajenas al sistema quienes han
ganado acceso no autorizado (ya que ellos prefieren hacer el daño tan pronto como sea posible), sino
por usuarios quienes están autorizados para tener acceso al sistema.
Un caso documentado es la bomba lógica de Michael J. Lauffenburger insertada en un programa

llamado Cleanup el 20 de Marzo de 1991, la cual está dispuesta para activarse le 24 de Mayo a las
6:00 PM., siendo sus funciones eliminar el programa de seguimiento (PTP), borrar la base de datos
(SAS.DB) y autodestruírse sin dejar una huella. Un compañero de trabajo la descubrió accidentalmente
el 10 de Abril. Finalmente, Michael fue arrestado el 31 de Abril.
La mejor protección contra los desastres de las bombas lógicas es tener bien definidos procesos de
administración y mantenimiento de cuentas de usuario. Tales procedimientos serán enfocados para
detectar bombas lógicas antes de que éstas tengan la oportunidad de hacer daños.
Proteger todos los editores de archivos de inicialización en el directorio Home, de forma tal que
sólo el administrador pueda escribir en ellos. También poner el sticky bit en el directorio Home
de forma tal que otros usuarios no tengan permitido borrar archivos que ellos no puedan
escribir.
Si las terminales tienen la habilidad de repetir cadenas de caracteres enviándolos como si
fueran escritos en el teclado, deshabilitar este aspecto (o mejor aún, reemplazar la terminal
con una que no tenga esta característica).
Otra modalidad que actúa sobre los programas de aplicación es el llamado «cáncer de rutinas»
(«cancer routine»). En esta técnica los programas destructivos tienen la particularidad de que se
reproducen, por sí mismos, en otros programas, arbitrariamente escogidos.
1.5.1.7 PUERTAS TRASERAS (BACK DOORS)
Las back doors (puertas traseras) son conocidas también como trap doors (trampas), aunque entre
ellos existen diferencias importantes que se describen en este capítulo. Estos programas son
diseñados para abrir una "puerta trasera" en nuestro sistema de modo tal de permitir al creador del
backdoor tener acceso al sistema y hacer lo que desee con él.
El objetivo es lograr una gran cantidad de computadoras infectadas para disponer de ellos libremente
hasta el punto de formas redes de botnets.
Algunas veces son insertados maliciosamente en los sistemas, aunque otras los programadores y
desarrolladores los escriben usualmente en aplicaciones que requerirán amplios procedimientos de
autentificación.
Los back doors permiten al usuario entrar a los programas rápidamente para propósitos de evaluación,
depuración, mantenimiento y monitoreo en el proceso de desarrollo de sistemas. Muchas veces los
back doors son olvidados y dejados en el código cuando éste es liberado. Potencialmente destructivos
los back doors pueden existir en programas por muchos años antes de ser descubiertos.
Los back doors pueden presentar problemas cuando son descubiertos por hackers sin escrúpulos. Es
por eso que se consideran una amenaza real a la seguridad del sistema. Uno de los aspectos más
significativos de esta amenaza es que se encuentran disponibles para muchos usuarios. Más que
48
requerir un grado particular de conocimientos técnicos y destreza, para estas amenazas se necesita
conocer el back door y puede ser fácilmente pasado de boca en boca o enviado por correo electrónico
en bulletin boards. La mejor defensa contra un ataque a través de una puerta trasera es obteniendo el
conocimiento de ésta, antes de que llegue a ser ampliamente difundida. Por lo cual, una de las mejores
protecciones es la comunicación entre administradores de sistemas.
Las puertas traseras permiten a quien los conocen saltarse los métodos usuales de autentificación
para realizar ciertas tareas. Habitualmente son insertados por los programadores del sistema para
agilizar la tarea de probar código durante la fase de desarrollo. No es por tanto un método de
suplantación, si no de saltarse los controles de autentificación o, como su nombre indica, entrar por
la “puerta de atrás”.
Son fallos de seguridad que se mantienen, voluntariamente o no, una vez terminado el producto ya
que cualquiera que conozca el agujero o lo encuentre en su código podrá saltarse los mecanismos
de control normales.
1.5.1.8 TRAMPAS (TRAP DOORS)
Las trampas son actualmente consideradas como un caso especial de bomba lógica, aunque se
parecen a las puertas traseras, dado que son aspectos no documentados o modos de operación de
programas que de otra forma son confiables. Sin embargo, mientras que las back doors son
deliberadamente explotadas por usuarios conocedores, las trap doors son disparadas por algún
conjunto de condiciones de habilitación causando que estas realicen sus acciones destructivas. Estas
condiciones podrían ser la hora del sistema o la identificación del usuario al momento de ejecutar un
programa.
1.5.1.9 HUECOS DE SEGURIDAD (SECURITY HOLES)
Los huecos de seguridad son imperfecciones en el diseño de software, que mal usados, otorgan
privilegios a usuarios comunes. La mayoría de los servicios en Internet (FTP, TELNET, SENDMAIL)
tienen huecos de seguridad.
Los huecos de seguridad se manifiestan en cuatro formas:

1. Huecos de Seguridad Físicos. Donde el problema potencial es causado por permitir acceso físico
al equipo a personas no autorizadas, donde estas pueden realizar operaciones que no deberían
ser capaces de hacer.
2. Huecos de Seguridad de Software. Donde el problema es causado por elementos mal escritos
de software privilegiado (daemons, cronjobs) los cuales pueden ser utilizados para realizar cosas
que no deberían poder hacer.
3. Huecos de Seguridad por Uso Incompatible. Donde, por falta de experiencia o por errores
propios, el Administrador del Sistema ensambla una combinación de hardware y software el cual
cuando se usa como un sistema está seriamente dañado, desde el punto de vista de la seguridad.
Es precisamente esta incompatibilidad de tratar de hacer que dos cosas no conectables pero útiles
se integren lo que crea un hueco de seguridad.
4. Selección de una filosofía de seguridad y su mantenimiento. Este hueco de seguridad se
manifiesta como un problema de percepción y entendimiento. El software perfecto, el hardware
protegido y los componentes compatibles no trabajarán adecuadamente a menos que se
seleccione una política de seguridad apropiada y las partes del sistema se direccionen para
reforzarla. Pues aún teniendo el mejor mecanismo de password en el mundo, es tiempo perdido si
los usuarios piensan que su nombre al revés es un buen password.
Nuevos huecos como estos son descubiertos y lo mejor que se puede hacer es:
• Tratar de estructurar el sistema de forma tal que el menor número de programas de software
posible se ejecute con privilegios de root/daemon/bin, los cuales sean conocidos por su
robustez.
• Suscribirse a foros donde se obtengan detalles de problemas y soluciones que se apliquen tan
rápido como sea posible.
49
1.5.1.10 Otros
Los sistemas tanto informáticos como de redes usan una diversidad de componentes, desde
electricidad para suministrar alimentación a los equipos hasta el programa de software ejecutado
mediante el sistema operativo que usa la red.
Los ataques se pueden producir en cada eslabón de esta cadena, siempre y cuando exista una
vulnerabilidad que pueda aprovecharse. El esquema que figura a continuación repasa brevemente los
distintos niveles que revisten un riesgo para la seguridad:
Figura 1.9. Ejemplo de riesgo de seguridad
a. HOAX
Un Hoax (del inglés: engaño, bulo) es un mensaje de correo electrónico con contenido falso o
engañoso y normalmente distribuido en cadena. Algunos informan sobre virus desastrosos, otros
apelan a la solidaridad con un niño enfermo o cualquier otra noble causa, otros contienen fórmulas
para hacerse millonario o crean cadenas de la suerte como las que existen por correo postal. Los
objetivos que persigue quien inicia un hoax son: alimentar su ego, captar direcciones de correo y
saturar la red o los servidores de correo.
Frecuentemente, circulan por Internet falsos mensajes de alerta sobre virus, conocidos como Hoaxes
o bulos. Su finalidad es generar alarma y confusión entre los usuarios. Para confirmar si ha recibido
un falso aviso de este tipo, consulte sitios de confianza como los abajos mencionados.
http://www.rompecadenas.com.ar/hoaxes.htm
http://www.enciclopediavirus.com/tipos/index.php
http://www.vsantivirus.com/hoaxes.htm
http://esp.sophos.com/virusinfo/hoaxes/
http://www.sophos.com/virusinfo/scares/
http://www.stiller.com/hoaxa.htm
http://www.stiller.com/hoaxes.htm
http://hoaxbusters.ciac.org/
http://vil.mcafee.com/hoax.asp
http://vil.nai.com/vil/hoaxes.asp
http://www.trendmicro.com/vinfo/hoaxes/default.asp
http://www.f-secure.com/hoaxes/hoax_index.shtml
http://vmyths.com/hoax.cfm?page=0
http://hoaxbusters.ciac.org/
50
http://www.urbanlegends.about.com
http://www.snopes.com
http://www.urbanlegends.com
http://securityresponse.symantec.com/avcenter/hoax.html
http://www.pandasoftware.es/virus%5Finfo/hoaxes/
http://kumite.com/myths/myths/
http://antivirus.about.com/compute/antivirus/library/blenhoax.htm
http://www.f-secure.com/hoaxes/hoax_new.shtml
http://www.symantec.com/avcenter/hoax.html
b. KEYLOGGER
Como su nombre lo indica un Keylogger es un programa que registra y graba la pulsación de teclas
(y algunos también clicks del mouse). La información recolectada será utilizada luego por la persona
que lo haya instalado. Actualmente existen dispositivos de hardware o bien aplicaciones (software)
que realizan estas tareas.
Los Keyloggers físicos son pequeños dispositivos que se instalan entre nuestra computadora y el
teclado. Son difíciles de identificar para un usuario inexperto, pero si se presta atención es posible
reconocerlos a simple vista. Tienen distintas capacidades de almacenamiento, son comprados en
cualquier casa especializada y generalmente son instalados por empresas que desean controlar a
ciertos empleados.
Cabe aclarar que esta forma de actuar puede traer problemas legales a quien lo instala ya que
registrar a un usuario mediante este accionar puede interpretarse como una violación a su privacidad.
Es aquí donde cobra relevancia una política de seguridad clara, puesta por escrito y firmada por el
usuario.
Con respecto a las keyloggers por software, actualmente son los más comunes, muy utilizados por
el malware orientado a robar datos confidenciales o privados del usuario. Como es de imaginar, la
información obtenida es todo lo que el usuario ingrese en su teclado como por ejemplo documentos,
nombres de usuarios, contraseñas, números de tarjetas, PINes, etc.
Esto explica el porqué de su gran éxito y utilización actual ya que como sabemos el malware, cada
vez más orientado al delito, puede utilizar esta herramienta para proporcionar información sensible del
usuario a un atacante.
KeyLoggers físico. http://www.logisteam.org/store/catalog/product_info.php?cPath=21&products_id=29
c. ROGUE, falsos antivirus gratis
Los Rogue o Scareware son sitios web o programas que simulan ser una aplicación de seguridad,
generalmente gratuita, pero que en realidad instalan otros programas dañinos. Bajo la promesa de
solucionar falsas infecciones, cuando el usuario instala estos programas, su sistema es infectado.
Estos programas, que en la mayoría de los casos son falsos antivirus, no suelen realizar
exploraciones reales, ni tampoco eliminan los virus del sistema si los tuviera, simplemente informan
que se ha realizado con éxito la desinfección del equipo, aunque en realidad no se realizado ninguna
acción.
Para los delincuentes es sencillo desarrollar este tipo de software, ya que los programas sólo
muestran unas pocas pantallas y unos cuantos mensajes falsos para engañar al usuario.
Por ejemplo, se podría mostrar una pantalla como la siguiente, simulando una exploración del
sistema, cuando en realidad son simples imágenes (no dañinas).
51
Figura 1.10. Ejemplo de Rogue
d. ROOTKIT
Un RootKit es un programa o conjunto de programas que un intruso usa para esconder su presencia
en un sistema y le permite acceder en el futuro para manipular este sistema.
Para completar su objetivo, un Rootkit altera el flujo de ejecución del sistema operativo o manipula un
conjunto de datos del sistema para evitar la auditoria.
Un rootkit no es un exploit, es lo que el atacante usa después del exploit inicial. En algunos aspectos,
un rootkit es más interesante que un Exploit, incluso que uno 0-day. Algunos de nosotros somos
reticentes a creer en el hecho de que más vulnerabilidades continuaran siendo descubiertas. La
Seguridad Informática es sobre todo manejo del riesgo.
Un Exploit 0-day es una bala, pero un Rootkit puede decir mucho del atacante, como cuál era su
motivación para disparar.
Windows es diseñado con seguridad y estabilidad en mente. El núcleo (kernel) debe ser protegido de
las aplicaciones de usuario, pero estas aplicaciones requieren cierta funcionalidad desde el kernel.
Para proveer esto Windows implementa dos modos de ejecución: modo usuario y modo kernel.
Windows hoy solo soporta esos dos modos, aunque las CPU Intel y AMD soportan cuatro modos de
privilegios o anillos en sus chips para proteger el código y datos del sistema de sobreescrituras
maliciosas o inadvertidas por parte de código de menor privilegio.
Originalmente el término RootKit proviene de sistemas Unix y hacía referencia a pequeñas utilidades
y herramientas que permitían acceso como "root" de esos sistemas.
El término ha evolucionado y actualmente es un conjunto de herramientas utilizadas en cualquier
sistema para conseguir acceder ilícitamente al mismo. Generalmente se los utiliza para ocultar
procesos y programas que permiten acceso al sistema atacado, incluso tomar control de parte del
mismo.
Es importante remarcar que un Rootkit no es un Malware en sí mismo, pero, debido a que es
utilizado ampliamente para ocultar los mismos, muchas veces se lo considera incorrectamente como
programa dañino.
52
Actualmente, incluso son utilizados por ciertas empresas para controlar componentes del sistema y
permitir o denegar su utilización. Hay que remarcar que el uso de estos programas es éticamente
incorrecto (o incluso ilegal), ya que se hace sin la autorización expresa del usuario.
e. SPAM
Se define SPAM a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en forma
masiva. La vía más utilizada es la basada en el correo electrónico, pero puede presentarse por
programas de mensajería instantánea o por teléfono celular.
El Spam es el correo electrónico no solicitado, normalmente con contenido publicitario, que se envía
de forma masiva.
El término spam tiene su origen en el jamón especiado (SPiced hAM), primer producto de carne
enlatada que no necesitaba frigorífico para su conservación.
Debido a esto, su uso se generalizó, pasando a formar parte del rancho habitual de los ejércitos de
Estados Unidos y Rusia durante la Segunda Guerra Mundial. Posteriormente, en 1969, el grupo de
actores Monthy Python protagonizó una popular escena, en la cual los clientes de una cafetería
intentaban elegir de un menú en el que todos los platos contenían...jamón especiado, mientras un
coro de vikingos canta a voz en grito "spam, spam, spam, rico spam, maravilloso spam".
En resumen, el spam aparecía en todas partes, y ahogaba el resto de las conversaciones. Haciendo
un poco de historia, el primer caso de spam del que se tiene noticia es una carta enviada en 1978 por
la empresa Digital Equipment Corporation.
Esta compañía envió un anuncio sobre su ordenador DEC-20 a todos los usuarios de ArpaNet
(precursora de Internet) de la costa occidental de los Estados Unidos. Sin embargo, la palabra spam
no se adoptó hasta 1994, cuando en Usenet apareció un anuncio del despacho de los abogados
Lawrence Cantera y Martha Siegel. Informaban de su servicio para rellenar formularios de la lotería
que da acceso a un permiso para trabajar en Estados Unidos. Este anuncio fue enviado mediante un
script a todos los grupos de discusión que existían por aquel entonces. Algunas de las características
más comunes que presentan este tipo de mensajes de correo electrónico son:
• La dirección que aparece como remitente del mensaje no resulta conocida para el usuario, y es
habitual que esté falseada.
• El mensaje no suele tener dirección Reply.
• Presentan un asunto llamativo.
• El contenido es publicitario: anuncios de sitios web, fórmulas para ganar dinero fácilmente,
productos milagro, ofertas inmobiliarias, o simplemente listados de productos en venta en
promoción.
• La mayor parte del spam está escrito en inglés y se origina en Estados Unidos o Asia, pero
empieza a ser común el spam en español.
Aunque el método de distribución más habitual es el correo electrónico, existen diversas variantes,
cada cual con su propio nombre asociado en función de su canal de distribución:
• Spam: enviado a través del correo electrónico.
• Spim: específico para aplicaciones de tipo Mensajería Instantánea (MSN Messenger, Yahoo
Messenger, etc).
• Spit: spam sobre telefonía IP. La telefonía IP consiste en la utilización de Internet como medio
de transmisión para realizar llamadas telefónicas.
• Spam SMS: spam destinado a enviarse a dispositivos móviles mediante SMS (Short Message
Service).
El spam es un fenómeno que va en aumento día a día, y representa un elevado porcentaje del tráfico
de correo electrónico total. Además, a medida que surgen nuevas soluciones y tecnologías más
efectivas para luchar contra el spam, los spammers (usuarios maliciosos que se dedican
profesionalmente a enviar spam) se vuelven a su vez más sofisticados, y modifican sus técnicas con
objeto de evitar las contramedidas desplegadas por los usuarios.
¿Cómo funciona? ¿Cómo se distribuye? Obtención de direcciones de correo Los spammers tratan de
conseguir el mayor número posible de direcciones de correo electrónico válidas, es decir, realmente
utilizadas por usuarios. Con este objeto, utilizan distintas técnicas, algunas de ellas altamente
sofisticadas:
53
• Listas de correo: el spammer se da de alta en la lista de correo, y anota las direcciones del
resto de miembros.
• Compra de bases de datos de usuarios a particulares o empresas: aunque este tipo de
actividad es ilegal, en la práctica se realiza, y hay un mercado subyacente.
• Uso de robots (programas automáticos), que recorren Internet en busca de direcciones en
páginas web, grupos de noticias, weblogs, etc.
• Técnicas de DHA (Directory Harvest Attack): el spammer genera direcciones de correo
electrónico pertenecientes a un dominio específico, y envía mensajes a las mismas. El servidor
de correo del dominio responderá con un error a las direcciones que no existan realmente, de
modo que el spammer puede averiguar cuáles de las direcciones que ha generado son válidas.
Las direcciones pueden componerse mediante un diccionario o mediante fuerza bruta, es decir,
probando todas las combinaciones posibles de caracteres.
Por lo tanto, todos los usuarios del correo electrónico corremos el riesgo de ser víctimas de estos
intentos de ataques. Cualquier dirección pública en Internet (que haya sido utilizada en foros, grupos
de noticias o en algún sitio web) será más susceptible de ser víctima del spam.
Actualmente hay empresas que facturan millones de dólares al año recolectando direcciones de
correo electrónico, vendiéndolas y enviándolas mensajes de promociones, ofertas, y publicidad no
solicitada.
Las recomendaciones para evitar el SPAM son las siguientes:
1. No enviar mensajes en cadena ya que los mismos generalmente son algún tipo de engaño
(hoax).
2. Si aun así se deseara enviar mensajes a muchos destinatarios hacerlo siempre Con Copia
Oculta (CCC), ya que esto evita que un destinatario vea (robe) el mail de los demás
destinatarios.
3. No publicar una dirección privada en sitios webs, foros, conversaciones online, etc. ya que sólo
facilita la obtención de las mismas a los spammers (personas que envían spam).
4. Si se desea navegar o registrarse en sitios de baja confianza hágalo con cuentas de mails
destinada para ese fin. Algunos servicios de webmail disponen de esta funcionalidad:
protegemos nuestra dirección de mail mientras podemos publicar otra cuenta y administrar
ambas desde el mismo lugar.
5. Para el mismo fin también es recomendable utilizar cuentas de correos temporales y
descartables como las mencionadas al pie del presente.
6. Nunca responder este tipo de mensajes ya que con esto sólo estamos confirmando nuestra
dirección de mail y sólo lograremos recibir más correo basura.
7. Es bueno tener más de una cuenta de correo (al menos 2 o 3): una cuenta laboral que sólo sea
utilizada para este fin, una personal y la otra para contacto público o de distribución masiva.
Algunos filtros de correo funcionan efectivamente previniendo gran cantidad de SPAM, pero ninguno
funciona lo suficientemente bien como para olvidarnos de estos simples consejos que, utilizados
correctamente, nos ayudará a recibir menos correo no deseado. Otra característica negativa de los
filtros es que algunos funcionan tan sensiblemente que terminan filtrando correo normal.
f. ADWARE/SPYWARE
Se define como Adware al software que despliega publicidad de distintos productos o servicios. Estas
aplicaciones incluyen código adicional que muestra la publicidad en ventanas emergentes, o a través
de una barra que aparece en la pantalla simulando ofrecer distintos servicios útiles para el usuario.
Generalmente, estas aplicaciones agregan iconos gráficos en las barras de herramientas de los
navegadores de Internet o en los clientes de correo. Estas barras de tareas personalizadas tienen
palabras claves predefinidas para que el usuario llegue a sitios con publicidad, sea lo que sea que el
mismo esté buscando.
Se define como Spyware o Software Espía a las aplicaciones que recopilan información sobre una
persona u organización sin su conocimiento, ni consentimiento. El objetivo más común es distribuirlo a
empresas publicitarias u otras organizaciones interesadas.
54
Normalmente, este software envía información a sus servidores, en función de los hábitos de
navegación del usuario. También, recogen datos acerca de las webs que se visitan y la información
que se solicita en esos sitios, así como direcciones IP y URLs que se navegan.
Esta información es explotada para propósitos de mercadotecnia y muchas veces es el origen de otra
plaga como el SPAM, ya que pueden encarar publicidad personalizada hacia el usuario afectado. Con
estos datos, además, es posible crear perfiles estadísticos de los hábitos de los internautas.
Las recomendaciones para evitar la instalación de este tipo de software son las siguientes:
1. Verifique cuidadosamente los sitios por los que navega, ya que es muy común que estas
aplicaciones auto-ofrezcan su instalación o que la misma sea ofrecida por empresas de dudosa
reputación.
2. Si es posible, lea atentamente las políticas de privacidad de estas aplicaciones. Generalmente
incluyen puntos como "recolectamos la siguiente información del usuario" o "los daños que
causa la aplicación no es nuestra responsabilidad" o "al instalar esta aplicación usted. autoriza
que entreguemos sus datos a...".
3. Estas aplicaciones normalmente prometen ser barras con funcionalidades extras que se
instalan sobre el explorador.
4. Actualmente, se nota una importante aparición de aplicaciones que simulan ser software anti-
spyware que en realidad contiene spyware. Una lista de los mismos puede ser encontrada en la
dirección que se detalla al pie del presente.
5. Cuando una aplicación intente instalarse sin que usted lo haya solicitado, desconfíe y verifique
la lista anterior.
6. Es común que los sitios dedicados al underground o pornográficos, contengan un alto contenido
de programas dañinos que, explotando diversas vulnerabilidades del sistema operativo o del
explorador, le permiten instalarse.
7. Verificar los privilegios de usuarios. Es común que todos los usuarios que hacen uso de la
computadora lo hagan con permisos administrativos. Esto no necesariamente debe ser así, es
recomendable que cada usuario tenga su propio perfil, sólo con los permisos necesarios para
realizar sus tareas. Ya que esto disminuye el campo de acción de un posible intruso (virus,
backdoor, usuario no autorizado, etc.).
8. Estas aplicaciones evolucionan continuamente por lo que contar con un antivirus actualizado y
con capacidades proactivas es fundamental para detectar estas aplicaciones y evitar su
instalación.
Los programas espías son aplicaciones informáticas que recopilan datos sobre los hábitos de
navegación, preferencias y gustos del usuario. Los datos recogidos son transmitidos a los propios
fabricantes o a terceros, bien directamente, bien después de ser almacenados en el ordenador.
El spyware puede ser instalado en el sistema a través de numerosas vías, entre las que se
encuentran: troyano, que los instalan sin consentimiento del usuario; visitas a páginas web que
contienen determinados controles ActiveX o código que explota una determinada vulnerabilidad;
aplicaciones con licencia de tipo shareware o freeware descargadas de Internet, etc.
El spyware puede ser instalado con el consentimiento del usuario y su plena conciencia, pero en
ocasiones no es así. Lo mismo ocurre con el conocimiento de la recogida de datos y la forma en que
son posteriormente utilizados.
Antispyware sospechosos: http://www.spywarewarrior.com/rogue_anti-spyware.htm
Este sitio ofrece una lista de software sospechoso. La lista es mantenida por Eric L. Howes profesor
en la GSLIS (Graduate School of Library and Information Science) de la Universidad de Illinois,
EE.UU.
1.5.2 BOTNET
Botnet es una palabra formada por la unión de “BOT” referente a robot y “NET” referente a la red
informática. Simplemente describe una red (o si queremos un “ejército”) de robots. Aunque el término
“robot” nos lleve a pensar más bien en una idea futurista de máquinas de metal con apariencia
humana, aquí se refiere, sin embargo, a artefactos software que se ejecutan en las máquinas víctima
tomando el control sobre ellas. Estas máquinas controladas se las suele denominar “zombis”. El
disponer de un ejército de máquinas zombis a nuestra disposición nos permite realizar ataque
coordinados o conjuntos sobre las víctimas elegidas. Con este potencial y con el enmascaramiento que
55
obtiene el que gobierna (o amo) este “ejército de zombis” permite poder realizar unos ataques exitosos
y anónimos.
Botnet o red de ordenadores zombis es el conjunto formado por ordenadores infectados por un
tipo de software malicioso, que permite al atacante controlar dicha red de forma remota. Los
equipos que integran la red se denominan “zombis”, o también drones.
Formación de un botnet y su funcionamiento:

Aunque los métodos de creación y desarrollo del funcionamiento de una botnet son muy variados, se
identifican una serie de etapas comunes en la vida útil de este tipo de redes:
1. El creador de la botnet diseña la red que va a crear, definiendo los objetivos y los medios
necesarios que va a emplear, incluido el sistema de control de la red.
2. Además, necesitará un malware que se aloje en los equipos y permita el control del mismo,
denominado bot, que frecuentemente es un troyano. Este malware puede ser creado por él mismo
(el creador de la red) o puede comprar este bot a un creador de malware.
3. El siguiente paso consiste en distribuir el malware o bot por cualquier método: correo basura,
páginas con vulnerabilidades, ingeniería social, etc. El objetivo final es que las víctimas ejecuten el
programa y se infecten. En la mayoría de las ocasiones el propio troyano se propaga por sí
mismo, y es capaz (como los gusanos tradicionales, pero diseñados específicamente para formar
parte de una red concreta una vez infectados) de llegar a otros sistemas desde un sistema
infectado a su vez. Si tiene éxito, el número de zombis puede llegar a crecer exponencialmente.
4. Una vez que el atacante consigue una masa crítica suficiente de sistemas infectados, puede
conseguir el propósito buscado al programar el sistema. Algunas de estas actuaciones pueden
ser:
• Robar información de los equipos infectados.
• Enviar correo basura o spam.
• Realizar ataques combinados a una página web o ataques de denegación de servicio
distribuido.
• Construir servidores web para alojar material ilícito (pornográfico y/o pedofílico), realizar
ataques de fraude online (phishing), alojar software malicioso.
• Distribuir o instalar nuevo malware.
• Crear nuevas redes de equipos zombis.
• Manipular juegos online.
• Observar lo que la víctima hace si el programa ofrece la posibilidad de visionado de escritorio
remoto.
• El creador de la botnet puede explotarla de diversas formas:
• Utilizar la red directamente en su beneficio.
• Alquilarla a terceros, de tal forma que el cliente recibe los servicios y el creador controla la red.
• Vender entornos de control, es decir, el creador vende el programa de control de zombis al
cliente, para que este último lo explote.
6. La botnet permanecerá activa mientras se produzca la actualización del bot para dificultar su
detección, añadir alguna funcionalidad o alguna otra mejora. El declive de la misma puede
provocarse con la resolución de vulnerabilidades de sistemas operativos y aplicaciones tras la
publicación por parte de los fabricantes de las actualizaciones, la mejora en el control de las
redes, utilización de antivirus y antiespías, etc.
Métodos de control de los botnets

El método de control o protocolo de comunicación de la botnet es su núcleo y ofrece diferentes
posibilidades al atacante, desde el control de forma segmentada (canales de IRC) al control por medio
de sistemas de nombre de dominio (DNS) o control a través de la navegación web (HTTP), entre otros.
La evolución de estos protocolos implica a su vez fórmulas más sofisticadas de protección del malware
para evitar que la red zombi sea descubierta. La dificultad de realizar esta detección plantea problemas
no solo técnicos, sino también judiciales, ya que estas redes suelen propagarse por varios países a la
vez, afectando por tanto a varias legislaciones.
56
Se dan algunos los tipos de protocolos de control de las botnets. Estos son:
Puertos fijos y puertas traseras: Los bot tradicionales abrían una puerta trasera en un ordenador (un
puerto lógico o socket) que permitía al atacante conectarse directamente y controlar el sistema
infectado. Aunque los programas ofrecían ventajas para gestionar a un gran número de sistemas con
la puerta trasera “disponible”, esto resultaba incómodo para el atacante, y no era una forma eficiente
de controlar una botnet.
IRC (chat): La forma tradicional de control que se ha venido empleando ha sido a través de un típico
chat (protocolo IRC o Internet Relay Chat). Los sistemas zombis infectados pasan a formar parte de
una sala privada, como las tradicionales salas de chat en las que los participantes pueden enviarse
mensajes cruzados.
HTTP (web): Para eludir los cortafuegos, los atacantes idearon una nueva forma de comunicar los
zombis con el controlador. Prácticamente todos los cortafuegos permitían (y permiten) conexión hacia
una web, por tanto hicieron que los troyanos (bots) se comunicaran por este protocolo con el sistema
central. Hoy es uno de los métodos más usados, debido a lo complejo que es para el usuario detectar
tráfico HTTP (navegación) “anómalo” en su tráfico HTTP habitual. Además, HTTP permite cifrar de
forma sencilla el tráfico, lo que hace que los atacantes puedan pasar desapercibidos en mayor medid.a
Finalidad de un botnet:
Como se indicaba en el apartado II.3, el creador de una botnet necesita reunir un número suficiente de
equipos infectados para poder explotarla de la forma más rentable, desde utilizarla directamente a
alquilarla o venderla.
Por tanto, los ciberataques que realiza el controlador pueden revestir diversas fórmulas, ilegítimas pero
muy lucrativas en su mayoría. Se desarrollan las principales, tales como Fraudes de tipo “click”
(publicitario), Denegación de servicio distribuida (DDoS), Robo de información, correo basura,
aplicaciones pirateadas, alquiler de botnets.
Medios de detección y protección
Existe una infinidad de clasificaciones que podríamos exponer sobre medios de detección y protección
ante las botnets. Algunas podrían fijarse en si se usan técnicas pasivas o activas, si son a nivel de host
o de red, si son de detección de prevención restrictivas o correctivas, etc.
Este desafío de “clasificar” lo inclasificable se debe a la multitud de puntos de vista que puedan existir
con respecto a una botnet. Así podremos verlo desde el punto de vista del atacante, de la víctima o
incluso desde el punto de vista del tercero que las está detectando.
a. Detección de botnets: existen una serie de parámetros “distinguibles” que se asocian a una
botnet. El tipo, la frecuencia (o cadencia), los destinos y el tamaño del tráfico es un patrón
característico de cualquier servicio y por ende de una botnet.
Técnicas de detección a nivel de host: La forma de detección en la que somos víctimas o
verdugos (en cao de ser un equipo zombi) de una botnet es la siguiente: Detección de una
infección por el antivirus (existen muchas infecciones que no se detectarán), Paquetes de
detección de rootkits, Percepción en la modificación del archivo de hosts de Windows, La máquina
tarda más de apagarse de lo normal, Recepción de correo extraño o tus contactos reciben correos
tuyos que no enviaste, Aparición de ventanas emergentes aleatorias que, aunque sean,
probablemente, una infección de adware, a veces puede ser una forma de actividad relacionada
con botnets, Lentitud de la máquina. Aunque se pueda deber a otros aspectos, es una señal de
alarma para malware tipo botnet o relacionado, etc.
Técnicas de detección a nivel de red: El monitoreo de una red para la detección de malware (y
en nuestro caso botnets) se puede realizar a nivel de nuestra red local y su conexión al exterior (y
viceversa) o se puede ver desde el punto de vista de la monitorización de internet (labor más
ardua) que suele ser llevada a cabo por organismos constituidos para proporcionar seguridad,
como los CERT’s. Los “síntomas” que nos pueden indicar que existen sospechas de tráfico botnet
en la red son los siguientes: Emplear listas de servidores conocidos C&C para ver si existen
intentos de conexión a ellos. En dsshield mantienen una lista negra de IP’s generada
cooperativamente por sus miembros. Existen firmas creadas expresamente para la detección de
servidores C&C y que se pueden usar en herramientas como Snort (IDS). Detección de tráfico
57
mediante análisis de paquetes. Es una técnica que emplea varias de las descritas anteriormente.
Detección de tráfico mediante análisis de flujo. Detección través de tráfico DNS. Si una gran
cantidad de máquinas están haciendo las mismas solicitudes de DNS, o accediendo al mismo
servidor probablemente sea debido a la existencia de una botnet, etc.
b. Técnicas de protección e inhabilitación de botnets

Después de reunir suficientes evidencias sobre la existencia de una botnet se deben de tomar medidas
para inhabilitar nuestras máquinas afectadas por la botnet.
En caso de detección hay que ponerse en contacto con las agencias pertinentes (CERTs, ISP’s, etc.)
para lograr que la red botnet se cierre y que los actores cibercriminales sean detenidos.
Las técnicas de protección en nuestra red y de las máquinas infectadas serían las siguientes:
• Inicialmente TODAS las máquinas se consideran infectadas a la espera de la verificación que
niegue esa suposición.
• Si se quiere investigar sobre el bot hay que realizar un análisis forense (Cuidado: podría servir
como prueba en un hipotético juicio o demanda) utilizando Sand Box y aislando de la red de
producción las máquinas zombis.
• Hay que valorar la posibilidad de formatear todas las máquinas y que esto acabe con el
malware instalado (existen APT’s capaces de permanecer en un dispositivo, aunque este sea
formateado).
• No poner nada en producción hasta que se comprueba que el sistema y toda la red está libre
de ese malware.
• En general:
o Todos los hosts deben de tener actualizado su sistema operativo (incluyendo los
parches correspondientes)
o Todas las aplicaciones deberían de ser legales, oficiales y obviamente también
actualizadas y parcheadas.
o Lo mismo se puede decir de un antivirus y un firewall de host eficaz.
o En la red es aconsejable disponer de sistemas IDS (como Snort) e IPS (como suricata)
con reglas específicas para botnets como emerging-botcc.rules y botnet-cnc-ru.
o Es deseable que la red tenga bien configurados sus dispositivos cortafuegos y sus
capacidades IDS/IPS si las tienen.
o Los usuarios no deben ejecutar contenido no confiable y menos con privilegios de
administrador (si disponen de él).
o Las comunicaciones de cualquier tipo deberían pasar a través de servicios proxies.
o Solo deberían permitirse consultas a DNS internos o confiables.
o Es una buena práctica disponer de un Honeypot (o varios) en la red empresarial y
monitorizar la red en tiempo real.
o Empleo de herramientas gratuitas (o de pago) de detección de botnets (por ejemplo,
Bot Revolt, RuBotted, Bot Hunter, etc.).
o Empleo de herramientas on-line de servicios antibotnet (como las de OSI-Incibe,
Costant Guard, Microsoft Safety Scaner, etc.).
o Etc.
1.5.3 Ransomware
El ransomware es una de las amenazas informáticas más similares a un ataque sin

medios tecnológicos: el secuestro. En su aplicación informatizada, el ransomware
es un código malicioso que cifra la información del ordenador e ingresa en él una
serie de instrucciones para que el usuario pueda recuperar sus archivos. La
víctima, para obtener la contraseña que libera la información, debe pagar al
atacante una suma de dinero, según las instrucciones que este disponga.
El pago generalmente es indicado a través de un depósito bancario, luego del cual el atacante envía
las contraseñas para descifrar la información del disco duro. En las primeras versiones, los métodos de
cifrado utilizados fueron de lo más precarios y recuperar la información era una tarea viable sin
entregar el dinero al atacante. Sin embargo, el ransomware es una amenaza cuyo desarrollo es
58
paralelo a los nuevos métodos de cifrado y su gravedad, por lo tanto, aumenta proporcional al
desarrollo de la criptografía.
El ataque, en el común de los casos, ataca solo a ciertos archivos; siendo los principales afectados los
de ofimática, como procesadores de texto, hojas de cálculo o diapositivas. También las imágenes y
correos electrónicos son considerados prioritarios para el común de los ataques.
El nombre proviene del término sajón "Ransom" que define la exigencia de pago por la restitución de la
libertad de alguien o de un objeto, es decir, un secuestro. De todas formas, también se suele
denominar a estos ataques como criptovirus.
El nacimiento de este ataque data del año 1989, cuando vía correo postal fueron distribuidos a
empresas farmacéuticas, diskettes que supuestamente contenían información respecto al HIV. Al
ejecutar los archivos que este contenía, se producían los efectos del ataque: la información del
ordenador era cifrada y la víctima podía observar una serie de instrucciones y requerimientos para
recuperar sus datos, que incluían la entrega de dinero al atacante.
A pesar que la defensa proactiva de malware, es la principal barrera de defensa con la que cuenta el
usuario para prevenir esta amenaza; otro método de minimizar los daños por parte del usuario, es la
creación de backups periódicos de los datos del ordenador.
Algunas de las técnicas para el secuestro son las siguientes:

• Cifrado de archivos del disco.
• Bloqueo de acceso a ciertos archivos (frecuentemente documentos de ofimática).
• Bloqueo total de acceso al sistema (previo al login, o bloqueo de pantalla una vez que el
usuario accedió al sistema).
1.5.4 Ingeniería social

La ingeniería social es quizás la base de un Hacker, para obtener los datos o lo que le interesa por
medio de una conversación y de personas. Es la forma de engañar al otro, y hacerle creer que tú eres
alguien en quien confiar.
Conjunto de actividades orientadas a establecer alguna relación social (amistad, aprecio, amor,
etc.) con personas que pueden facilitar, consciente o inconscientemente, el ataque a un sistema
informático.
El término "Ingeniería social" incluye a un conjunto de técnicas y habilidades sociales realizadas por el
atacante para obtener información de terceros. Estas técnicas o habilidades incluyen generalmente un
engaño o parcialización de la verdad con el objetivo de obtener la confianza de la persona con los
conocimientos a obtener. Una vez que se ha obtenido la confianza de la persona, se procede a obtener
la información considerada importante.
Los fundamentos de la ingeniería social se basan en la forma de aplicar determinados conocimientos

psicológicos y sociológicos fundamentales, es decir no se trata de conocimientos excesivamente
complejos porque el atacante normalmente no dispone de muchos detalles de su víctima y tiene que
basarse en generalidades, estadísticamente válidas para obtener en la misma proporción resultados
estadísticamente positivos. La ingeniería social se nutre inicialmente de una serie de conceptos
básicos y estadísticamente ciertos de la psicología del individuo, entre estos conceptos destacan 4 que
hacen a la persona más vulnerables a este tipo de acciones como son:
• No decir “NO”
• Exceso de confianza
• El exceso de halagos hacia la persona
• Empatía
A la persona le cuesta decir “NO”, es fácil escuchar a alguien solo con un sí a una petición, pero
cuando se trata de decir no, casi nunca nos escuchamos tal cual, sonaría grosero, ese no casi siempre
va acompañado de una excusa, porque a las personas les gusta ayudar a los demás, los hace sentir
bien y cuando quieren decir no se necesita razonarlo y excusarlo tanto a la persona a la que se lo
dicen cómo a la persona misma, por eso sí el ingeniero social es capaz de neutralizar el uso de
59
excusas, estará cerrándole las puertas al objetivo que se encontrará en la encrucijada entre decir
simplemente no o ceder a la petición sea total o parcialmente.
La confianza, las personas son confiadas por naturaleza, si algo es permisible la mayor parte de la
gente lo dará por válido, se tiende a creer en las cosas sí parecen reales lo sean o no, el más claro
ejemplo está en la gran cantidad de noticias falsas y cadenas que se distribuyen en las redes sociales
como Facebook o WhatsApp.
La adulación, a las personas les encanta que los adulen, todos buscan reconocimiento en la vida
profesional, particular o sentimental, se quiere ser reconocido en la empresa, en la familia o en el
deporte que se practica, cuando se alimenta el EGO la sensación de superioridad hace sentir segura al
individuo y en consecuencia se baja el nivel de atención a otros detalles.
La empatía, un buen ingeniero social aprovecha esta vulnerabilidad para que la persona se preocupe
por sus simulados problemas de forma que ayudarle, haga sentir mejor al individuo que atender a sus
propias preocupaciones.
La tribu o los clanes, desde el punto de vista más sociológico la principal barrera o vulnerabilidad
según se mide para un ingeniero social, es la trivialización, los clanes, todos somos vulnerables en
cuanto a que por defecto confiamos, esta confianza es más fuerte si cabe con la gente del círculo
cercano, la familia, los amigos, compañeros de trabajo. La persona es más receptiva a todo aquello
que les cuenta gente del clan o tribu, es más fácil creer en algo que diga la madre o el hijo, que lo que
le cuente cualquier extraño y por difícil que resulte de creer, el asunto del que le hablen carece
totalmente de importancia.
El contexto, al hablar de tribu o clan no solamente se habla de la gente que se conoce directamente,
también se habla de los contextos, ya que el elemento de una tribu a la que se pertenece sólo tendrá
sentido en dicho contexto.
Una de las formas más habituales de uso de la ingeniería social para atacar infraestructuras
informáticas es la obtención de información personal de la plantilla de una organización, consciente
que dicha información permita descubrir contraseñas y acceso a recursos restringidos. También se usa
la ingeniería social para generar campañas genéricas de email fraudulentos conocidas como
Phishing, destinadas a distribuir por ejemplo malware.
Actualmente la ingeniería social es el principal método de distribución de ransomware, un malware que

cifra los archivos y pide un rescate económico. El Phishing funciona porque el email parece auténtico,
suplanta la identidad corporativa de una empresa reconocible, es muy común suplantar a compañías
eléctricas, proveedores de servicios telefónicos, el caso del espía Phishing es una variación del
Phishing que, en lugar de distribuirse masivamente, emplea email redactados y diseñados para
engañar específicamente a una persona. Es común suplantar a un miembro de la compañía de
posición jerárquica, a un proveedor o aun cliente, así consiguen crear una historia consistente capaz
de engañar a la víctima específica mediante la ingeniería social.
Para defenderse de los ataques de ingeniería social se debe ser siempre meticuloso a la hora de
identificar la identidad y quien nos escribe o visita alguna oficina y la titularidad de las páginas web que
se visita, de este modo será más difícil caer en los engaños de lo que aparentemente son visitas,
correos electrónicos o páginas web normales.
La ingeniería social se da muchas veces vía telefónica, correo electrónico o a través de sesiones de
chat, donde la verdadera personalidad del atacante queda oculta. Un ejemplo típico de Ingeniería
social es cuando el atacante llama a un usuario de la red, simulando ser del departamento de
informática, y le exige que le informe de su nombre de usuario y contraseña. Si el usuario que está
siendo víctima del engaño, no conoce la estructura de la organización, es muy probable que le brinde
al atacante la información solicitada. De esta forma, el atacante, con sólo conocer el número telefónico
de la víctima, y sin realizar ninguna acción sospechosa sobre la red, podrá tener acceso con los
privilegios de un usuario interno. La ingeniería social termina cuando se obtiene la información
buscada. Las actividades que se realicen con la información obtenida ya no entran en el marco de la
Ingeniería social.
Vía el internet o la web se usa, adicionalmente, el envío de solicitudes de renovar permisos de acceso
a páginas web o memos falsos que solicitan respuestas e incluso las famosas "cadenas". Llevando así
a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los
60
ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en

ciertas situaciones,-por ejemplo proporcionando detalles financieros a un aparente funcionario de un
banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.
La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de
políticas de seguridad y asegurarse de que estas sean seguidas.
Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su
opinión, la ingeniería social se basa en estos cuatro principios:
• Todos queremos ayudar.
• El primer movimiento es siempre de confianza hacia el otro.
• No nos gusta decir No.
• A todos nos gusta que nos alaben.
Contramedidas
Dada la naturaleza humana de los ataques de ingeniería social, ninguna empresa está a salvo de
estos ataques. Dicho esto, algunas de las contramedidas recomendadas para minimizar los riesgos en
lo posible son:
• Utilizar adblocks para bloquear ventanas pop-ups y banners maliciosos
• Cambiar periódicamente las contraseñas y utilizar si es posible el doblecheck, es decir,
vincular a un segundo teléfono o dispositivo una segunda verificación de inicio de sesión.
• Establecer políticas sobre contraseñas fuertes y poco intuitivas que dificulten los ataques.
• Identificar a los trabajadores con placas identificativas, uniformes, etc. para que sea más difícil
la entrada de un intruso. También cachear a los visitantes y controlar las estancias con
cámaras de seguridad complementa esta recomendación
• Cambiar las políticas de seguridad física y endurecerlas. También aumentar las capas
antimalware en los dispositivos y sistemas.
• Nunca difundir información personal en redes sociales. Si esto no es posible, al menos
restringir las políticas de los empleados a difundir la información. Si se sospecha de un perfil
falso, revisar detalladamente dicho perfil en busca de incoherencias (por ejemplo, fecha de
registro muy cercana a la comunicación).
• Enseñar a los empleados a detectar los emails de phishing visualmente; diferencias del tono
de lenguaje o faltas gramaticales, archivos adjuntos sospechosos, direcciones de email
desconocidas o urgencia de las demandas de procedimientos de información son algunas de
las pautas que deben saber detectar a simple vista.
• Guías y jerarquías de la información pueden ayudar a distinguir qué tipo de información es
relevante y cual susceptible de ser robada (aunque a priori cualquier tipo de información es
útil).
1.5.4.1 Phishing
Cada vez es más habitual recibir mensajes de correo electrónico que se hacen pasar por comunicados
de bancos, tiendas de Internet u otros negocios y organizaciones reclamando la atención de los
destinatarios para actualizar sus claves de acceso, confirmar su número de tarjeta de crédito o
cualquier otra información personal especialmente sensible a través de un enlace que les conduce a
páginas web falsas.
Este fraude se denomina phishing (que en castellano podríamos traducir como robo de identidad en
Internet) y es posiblemente la modalidad de fraude digital más extendida, especialmente a través del
correo electrónico.
En caso de caer en este fraude, nuestros datos son capturados y los delincuentes pueden suplantar
nuestra identidad para realizar todo tipo de operaciones ilegales en Internet.
El término phishing viene de la contracción del inglés password harvesting fishing (cosecha y pesca de
contraseñas), y básicamente consiste en un fraude en el que el atacante duplica una página web válida
(de un banco, de un operador de Internet…) y envía mensajes de correo electrónico de forma masiva
incluyendo un enlace a la web falsa, haciendo creer a los destinatarios que se trata de la original.
61
Phishing es la denominación que recibe la estafa cometida a través de medios telemáticos mediante la
cual el estafador intenta conseguir, de usuarios legítimos, información confidencial (contraseñas, datos
bancarios, etc) de forma fraudulenta. El phishing es una técnica de ingeniería social utilizada por
los delincuentes para obtener información confidencial como nombres de usuario, contraseñas
y detalles de tarjetas de crédito haciéndose pasar por una comunicación confiable y legítima.
El estafador o phisher suplanta la personalidad de una persona o empresa de confianza para que el
receptor de una comunicación electrónica aparentemente oficial (vía e-mail, fax, sms o
telefónicamente) crea en su veracidad y facilite, de este modo, los datos privados que resultan de
interés para el estafador.
Técnicas utilizadas en Phishing

El principal objetivo del phishing es el de conseguir el mayor número de credenciales de todo tipo de
cuentas de usuario, que posteriormente son usadas de forma fraudulenta: para envío de SPAM desde
cuentas comprometidas, robo de dinero mediante acceso a servicios de banca electrónica, uso de
tarjetas de crédito de las víctimas, etc.
La mayoría de los métodos de phishing utilizan alguna técnica de engaño consistente en incluir
enlaces en un e-mail a un sitio web falso que simula un sitio real, pero que realmente conduce al sitio
web fraudulento.
Otro truco común es hacer que el texto que se muestra en un enlace sugiera un destino confiable,
cuando el enlace en realidad va dirigido al sitio fraudulento. Para comprobar esto, en la parte inferior
de la mayoría de los navegadores se puede ver la dirección real a la que conduce cada enlace,
simplemente situando el ratón sobre el mismo.
Otro ataque utilizado en el phishing consiste en remitir el cliente a la web legal del banco o la
organización suplantada, después de colocar una ventana emergente solicitando las credenciales en la
parte superior de la página web de una manera que parece que es la página oficial quien está
solicitando esta información confidencial.
La principal manera de llevar adelante el engaño es a través del envío de spam (correo no deseado) e
invitando al usuario a acceder a la página señuelo. El objetivo del engaño es adquirir información
confidencial del usuario como contraseñas, tarjetas de crédito o datos financieros y bancarios. A
menudo, estos correos llegan a la bandeja de entrada disfrazada como procedentes de
departamentos de recursos humanos o tecnología o de aéreas comerciales relacionadas a
transacciones financieras.
El escenario de Phishing generalmente está asociado con la capacidad de duplicar una página web
para hacer creer al visitante que se encuentra en el sitio web original, en lugar del falso.
Otra forma de propagación, menos común, pueden ser el fax y los mensajes SMS a través del
teléfono móvil. En algunos casos se proclamen grandes premios y descuentos en la venta de
productos. También se debe destacar que el destinatario de los mensajes es genérico y los mensajes
son enviados en forma masiva para alcanzar una alta cantidad de usuarios, sabiendo que un
porcentaje (aunque sea mínimo) caerá en la trampa e ingresará al sitio falso, donde se le robará la
información.
62
Figura 1.11. Ejemplo de Phishing
Como evitar ser víctima del phishing

o Aprender a detectar un mensaje de phishing es el primer paso fundamental para evitar caer en
el engaño.
o Nunca hacer caso a los mensajes de phishing y evitar enviar cualquier tipo de información
confidencial que nos soliciten.
o Ser especialmente cautos al rellenar formularios en páginas web.
o No hacer caso de mensajes de correo electrónico que recibamos procedentes de remitentes
desconocidos, de entidades en las que no tenemos ningún tipo de cuenta o que están escritos
en un idioma desconocido.
o Si se sospecha del mensaje, no hace nunca clic en los enlaces que pueda incluir para acceder
a una página web (al colocar el ratón sobre el enlace se puede comprobar si la dirección a la
que apunta es en realidad la que pretende ser o es sólo parecida).
o Nunca contestar correos que informen de cancelación de cuentas y mensajes similares.
o Tomar medidas ante cualquier mensaje que solicite información financiera o datos personales.
o Considerar la instalación de una barra para el navegador que proteja de los sitios falsos.
Así mismo usted puede aplicar medidas anti-phishing que puede aplicar en los diversos correos
tales como Microsoft Outlook, Google (Gmail), Mozilla Thunderbird.
Las recomendaciones para evitar y prevenir este tipo de estafa son las siguientes:
1. Evite el SPAM ya que es el principal medio de distribución de cualquier mensaje que intente
engañarlo. Para ello puede recurrir a nuestra sección de Spam.
2. Tome por regla general rechazar adjuntos y analizarlos aun cuando se esté esperando
recibirlos.
3. Nunca hacer clic en un enlace incluido en un mensaje de correo. Siempre intente ingresar
manualmente a cualquier sitio web. Esto se debe tener muy en cuenta cuando es el caso de
63
entidades financieras, o en donde se nos pide información confidencial (como usuario,

contraseña, tarjeta, PIN, etc.).
4. Sepa que su entidad, empresa, organización, etc., sea cual sea, nunca le solicitará datos
confidenciales por ningún medio, ni telefónicamente, ni por fax, ni por correo electrónico, ni a
través de ningún otro medio existente. Es muy importante remarcar este punto y en caso de
recibir un correo de este tipo, ignórelo y/o elimínelo.
5. Otra forma de saber si realmente se está ingresando al sitio original, es que la dirección web
de la página deberá comenzar con https y no http, como es la costumbre. La S final, nos da un
alto nivel de confianza que estamos navegando por una página web segura.
6. Es una buena costumbre verificar el certificado digital al que se accede haciendo doble clic
sobre el candado de la barra de estado en parte inferior de su explorador (actualmente algunos
navegadores también pueden mostrarlo en la barra de navegación superior).
7. No responder solicitudes de información que lleguen por e-mail. Cuando las empresas reales
necesitan contactarnos tienen otras formas de hacerlo, de las cuales jamás será parte el
correo electrónico debido a sus problemas inherentes de seguridad.
8. Si tiene dudas sobre la legitimidad de un correo, llame por teléfono a la compañía a un
número que conozca de antemano... nunca llame a los números que vienen en los
mensajes recibidos.
9. El correo electrónico es muy fácil de interceptar y de que caiga en manos equivocadas, por lo
que jamás se debe enviar contraseñas, números de tarjetas de crédito u otro tipo de
información sensible a través de este medio.
10. Resulta recomendable hacerse el hábito de examinar los cargos que se hacen a sus cuentas o
tarjetas de crédito para detectar cualquier actividad inusual.
11. Use antivirus y firewall. Estas aplicaciones no se hacen cargo directamente del problema, pero
pueden detectar correos con troyanos o conexiones entrantes/salientes no autorizadas o
sospechosas.
12. También es importante, que, si usted conoce algún tipo de amenaza como las citadas,
las denuncie a algún organismo dedicado a seguridad informática o a la unidad de delitos
informáticos de su país.
El Pharming es el aprovechamiento de una vulnerabilidad en el software de los servidores DNS que

permite a un atacante adquirir el nombre de dominio de un sitio, y redirigir el tráfico de una página Web
hacia otra página Web. Los servidores DNS son las máquinas responsables de convertir nombres de
Internet en sus verdaderas direcciones IP.
1.5.5 Denegación de Servicio (DoS) y Denegación de Servicio Distribuido (DdoS)

Ataques de denegación de servicio (Denial of Service Attacks)
Un ataque DoS es un ataque de red que da lugar a algún tipo de interrupción del servicio a los
usuarios, dispositivos o aplicaciones. Varios mecanismos pueden generar un ataque DoS. El
método más simple es el de generar grandes cantidades de lo que parece ser tráfico de red válido.
Este tipo de ataque de denegación de la red satura la red de manera que el tráfico de usuario válido no
puede pasar.
Por ejemplo, imposibilidad de conectarse, de usar el correo electrónico o, a un mayor nivel,

imposibilidad de un servidor de prestar sus servicios. Se basa en el hecho comprobado de que es más
fácil corromper un sistema que acceder clandestinamente al mismo. Estos ataques intentan corromper
o saturar los recursos de la víctima por medio de peticiones de conexión para lograr desactivarla o
impedir el acceso a otros usuarios por medio de la saturación.
Un ataque de DOS aprovecha el hecho que los sistemas objetivo como servidores deben mantener la
información de estado. Las aplicaciones pueden confiar en tamaños de buffer esperados y contenido
específico de paquetes de red. Un ataque de DOS puede explotar este enviando tamaños de paquete
o valores de datos que no son esperados por la aplicación receptora.
Hay dos motivos principales por las que un ataque de DOS ocurre:
64
• Un host o aplicación falla al manejar una condición inesperada, como datos de entrada
malévolamente formateados, una interacción inesperada de los componentes de sistema, el
simple agotamiento de recursos.
• Una red, un host, o la aplicación son incapaces de manejar una cantidad enorme de datos,
haciendo que el sistema se bloquee o se vuelva muy lento.
Los ataques de DOS intentan comprometer la disponibilidad de una red, hosts, o aplicación. Ellos son
considerados un riesgo principal porque ellos pueden interrumpir fácilmente un proceso comercial y
causar una pérdida significativa. Estos ataques son relativamente simples de realizar, hasta por un
atacante no cualificado.
Se puede producir, por los siguientes ataques:
• JAMMING O FLOODING.
Son ataques que saturan los recursos de un sistema de la víctima dejándola sin memoria, sin espacio
libre en su disco duro o saturando sus recursos de red. Los ataques más frecuentes a proveedores
son usando el ping de la muerte (que bloquea el equipo) o enviando miles de correos electrónicos los
usuarios de ese servidor, de forma continuada, saturando los sistemas. Relacionados con el tema
están los rabbits (conejos), que son programas que provocan procesos inútiles y se reproducen como
conejos hasta que satura la capacidad del sistema, provocando su colapso.
Ping de la muerte
En un ataque ping de la muerte, un hacker envía una solicitud de eco en un paquete IP más grande
que el tamaño máximo de paquete de 65.535 bytes. El envío de un ping de este tamaño puede
bloquear la computadora destino. Una variante de este ataque es el bloqueo de un sistema mediante el
envío de fragmentos de ICMP, que llenan los buffers de re ensamblaje del objetivo.
• ATAQUE DE SMURF
En un ataque de smurf, un autor envía un número grande de peticiones de ICMP a direcciones

broadcast, todos con direcciones de la fuente spoofed en la misma red que la emisión dirigida
respectiva. Si el dispositivo de enrutamiento que entrega el tráfico a aquellas direcciones de emisión
envía las emisiones dirigidas, todos los hosts en las redes de destino enviaran respuestas de ICMP,
multiplicando el tráfico por el número de host en las redes. En una red de broadcast multiacceso,
cientos de máquinas podrían contestar a cada paquete.
• SYN FLOOD.
Ya hemos mencionado que bajo TCP la conexión se realiza en tres pasos. Si en el paso final no llega a
realizarse, la conexión permanece en un estado denominado ‘semiabierto’. Es el más famoso de los
ataques tipo DoS y se basa en un saludo incompleto entre los dos sistemas.
El Cliente envía un paquete SYN pero no responde al paquete ACK del 2º paso del saludo
ocasionando que el servidor permanezca a la escucha un determinado tiempo hasta cancelar la
llamada. Si se envían muchos saludos incompletos, se consigue que el servidor se paralice o por lo
menos se ralentice.
Para operar con este sistema hay que mantener el Sys Flood activo, ya que la mayoría de los
sistemas tienen un límite de espera muy corto para conexiones semiabiertas. Cuando se ha esperado
mucho tiempo, se libera un hueco para aceptar otras posibles peticiones, lo cual puede ser
aprovechado para “colar” un paquete SYN destructivo o malicioso. Así que, este ataque se puede
utilizar tanto para consumir los recursos de un sistema como para abrir el camino a otro tipo de ataque.
Si este ataque es potente es porque el atacante no necesita apenas potencia en su PC. Con mandar
un SYN cada 4 segundos es suficiente. Esta velocidad se consigue de sobra con cualquier modem. Se
podría decir que se necesita una velocidad de conexión ridícula. Este ataque suele combinarse
también con el IP Spoofing (suplantación de una IP), para ocultar el origen del ataque.
• CONNECTION FLOOD.
65
Se basa en la característica de la mayoría de los proveedores de Internet (ISP) de tener un tope

máximo de conexiones simultaneas, que tras ser alcanzado no acepta más conexiones. Si por ejemplo
un servidor Web tiene un tope de 1000 conexiones, y el atacante establece mil conexiones y no realiza
ninguna petición sobre ellas, monopolizará la capacidad del servidor. Las conexiones van caducando
por inactividad poco a poco, pero el atacante sólo necesita establecer nuevas conexiones para
mantener fuera de servicio el servidor.
• NET FLOOD.
Se envían tantas solicitudes de conexión que las conexiones de los demás usuarios no pueden
llevarse a cabo.
Es un ataque muy dañino y con poca defensa por parte de la red atacada. Es como el típico pesado
que no deja de llamarnos por teléfono. Lo único que podemos hacer es descolgarlo, pero entonces no
podemos usar el teléfono.
Para solucionarlo el Proveedor tiene que detectar el origen del ataque, bloquear la comunicación
desde esa dirección y avisar al administrador de la misma para que actúe, ya que lo normal es que el
administrador de esa dirección no sepa nada y que esté siendo utilizada su red para llevar a cabo el
ataque por medio de algún spoofing (sustitución). De cualquier manera, saber el origen real del ataque
es prácticamente imposible. Una vez se ha solucionado el problema, el servidor puede haber estado
colgado durante horas.
• LAND ATTACK.
Este ataque consiste en un Bug (error) en la implementación de la pila TCP/IP en sistemas Windows.
El ataque envía a algún puerto abierto de un servidor (generalmente al 113 o al 139) un paquete,
maliciosamente construido con la IP y puerto origen igual que la IP y puerto destino. Al final la máquina
termina por colapsarse.
Existen ciertas variantes a este método consistente, por ejemplo, en enviar el mensaje a una dirección
específica sin especificar el puerto Smurf o Broadcast Storm. Este ataque es bastante simple y a su
vez devastador. Consiste en recolectar una serie de direcciones para a continuación mandar una
petición ICMP (simulando un Ping) a cada una de ellas en serie, varias veces, falsificando la dirección
IP de origen. Este paquete maliciosamente manipulado, será repetido en Broadcast, y cientos ó miles
de hosts (según la lista de direcciones de Broadcast disponible) mandarán una respuesta a la víctima
cuya dirección IP figura en el paquete ICMP.
• SUPERNUKE O WINNUKE.
El Nuke es el ataque más común de los equipos Windows, que hace que los equipos que escuchan
por el puerto UDP 137 a 139 (utilizados por los protocolos NetBios), queden fuera de servicio o
disminuyan su rendimiento al enviarle paquetes o fragmentos UDP manipulados. Generalmente se
envían fragmentos de paquetes, que la máquina víctima detecta como erróneos pasando a un estado
inestable.
ICMP NUKE.
Éste es un nuke que se basa en el protocolo de control ICMP (Internet Control Message
Protocol) que es incorporado al protocolo IP de internet. Este protocolo se encarga de avisar
cuando hay un fallo en el sistema de envío de paquetes de un protocolo TCP/IP. Si hay algún
fallo (por ejemplo: No route to host), este protocolo se encarga de avisar al TCP/IP, y se corta
el envío. Como se usa este nuke? Pues mandando ICMP's falsos, es decir, mandarle al
TCP/IP de la víctima un paquete ICMP falseado.
OOB NUKE.
Este ataque, sin el debido parche por parte de la víctima, provoca una caída del sistema
bastante violenta. El OOB Nuke (Out Of Band) consiste en mandar cierto paquete de
información al puerto 139 de la maquina víctima. Se trata de un bug en los protocolos de
comunicación del windows 3.x, 9x y NT, provocando que cuando recibe un paquete con el flag
OOB al puerto 139, se produce un fallo de protección general en el sistema. Si enviamos este
paquete a dicho puerto, haremos que la maquina objetivo se cuelgue, con la aparición en su
pantalla de la pantallita azul con el mensaje: Error de Protección general.
66
• TEARDROP.
Al igual que el Supernuke, los ataques Teardrop I y Teardrop II afectan a fragmentos de paquetes.
Algunas implementaciones de colas IP no vuelven a recomponer correctamente los fragmentos ya que
se superponen, haciendo que el sistema se cuelgue. El Windows NT 4.0 es especialmente vulnerable
a este ataque. Aunque existen parches que pueden aplicarse para solucionar el problema. Son
ataques especialmente peligrosos ya que existen multitud de implementaciones (algunas de ellas
forman paquetes), que explotan esta debilidad. Las más conocidas son aquellas con el nombre
Newtear, Bonk y Boink.
• MAIL BOMBING-MAIL SPAMMING-JUNK MAIL.
El Mail Bombing consiste en un envío indiscriminado y masivo de un mensaje idéntico a una misma
dirección, saturando así el buzón de correo (mailbox) del destinatario.
El Mail Spamming en cambio es un bombardeo publicitario que consiste en enviar un e-mail a miles de
usuarios, haya estos solicitado el mensaje o no. Es muy utilizado por las empresas para publicitar sus
productos. El Spamming está siendo actualmente tratado por las leyes europeas como una violación
de los derechos de privacidad del usuario.
El junk mail o correo basura es una propaganda indiscriminada y masiva a través de e-mails.
El mail spamming y el junk mail no pueden ser considerados como ataques DoS auténticos, porque
por mucho que molesten no están encaminados a saturar ningún sistema, aunque en ocasiones se
utilicen para que éste se produzca.
Hay cinco formas básicas que los ataques DoS puede hacer daño:
• El consumo de recursos, tales como el ancho de banda, espacio de disco, o un procesador de
tiempo
• La alteración de la información de configuración, tales como la información de enrutamiento
• La interrupción de la información de estado, como el reset no solicitado de sesiones TCP.
• La alteración de los componentes de la red física
• La obstrucción de la comunicación entre la víctima y otros.
Ataques de denegación de servicio Distribuido (Denial of Distribuite Service Attacks)
Un ataque distribuido de denegación de servicio (DDoS) es similar en la intención a un ataque de

denegación de servicio, salvo que un ataque DDoS proviene de múltiples fuentes coordinadas.
Además de aumentar la cantidad de tráfico de la red de distribución de múltiples atacantes, un ataque
de DDoS también se plantea el reto de exigir a la defensa de la red identifique y detenga a cada
atacante distribuido.
Como un ejemplo, un ataque de DDoS podría proceder de la siguiente manera. Un hacker explora
cuales sistemas son accesibles. Después de que el hacker tiene acceso a varios sistemas
"controlados", el hacker instala el software de zombi en ellos. Los zombis entonces exploran e infectan
sistemas de agente. Cuando el hacker tiene acceso a los sistemas de agente, el hacker instala el
software de ataque a distancia para realizar el ataque de DDoS.
1.5.6 Ataque Dirigido

Un ataque dirigido se refiere a un tipo de amenaza en la que los actores de amenazas persiguen
activamente y comprometen la infraestructura de una entidad objetivo mientras mantienen el
anonimato. Estos atacantes tienen un cierto nivel de experiencia y recursos suficientes para llevar a
cabo sus esquemas durante un período prolongado. Pueden adaptar, ajustar o mejorar sus ataques
para contrarrestar las defensas de sus víctimas (definida por TrendMicro).
67
Un ataque dirigido es un proceso lento que viola la seguridad y permite al cibercriminal evitar los
procesos de autorización.
En un ataque dirigido, su organización se destaca porque el atacante tiene un interés específico en un

negocio o se le ha pagado para atacarlo. El trabajo preliminar para el ataque podría llevar meses para
que puedan encontrar la mejor ruta para entregar su exploit directamente a sus sistemas (o usuarios).
Un ataque dirigido es a menudo más dañino que uno no dirigido porque se ha diseñado
específicamente para atacar sus sistemas, procesos o personal, en la oficina y, a veces, en el hogar.
Los ataques dirigidos pueden incluir:
• Spear-phishing: envío de correos electrónicos a personas específicas que podrían contener un
archivo adjunto con software malicioso o un enlace que descarga software malicioso.
• implementar una red de bots: para realizar un ataque DDOS (denegación de servicio
distribuida).
• subvertir la cadena de suministro: atacar el equipo o el software que se entrega a la
organización.
A diferencia de un ataque de tipo broadcast que es más propenso a ser identificado rápidamente por
algún antivirus como un código malicioso, en un ataque dirigido el intruso debe ser paciente previo al
ataque, buscando la oportunidad correcta para acceder a una sola computadora que pueda contener
información confidencial o que permita el acceso a otros sistemas dentro de una red privada. Esta es la
característica principal de un ataque dirigido (también conocido como targeted attack), el cual difiere
del escenario tradicional de un ataque por malware, spam o phishing.
Por ejemplo, en un escenario tradicional el intruso busca propagar su malware de manera masiva, con
el objeto de tener el control de tantos equipos como sea posible, para posteriormente enviar correo
spam, generar ataques de negación de servicio o rentar esta red de equipos comprometidos a un
mejor postor, entre otro tipo de actividades. Sin embargo, durante la propagación del código malicioso
es muy probable que una muestra de este código sea capturada por un honeypot o una honeynet de
una firma de seguridad, y sea analizada para generar una actualización de un software antivirus que
proteja a los usuarios de dicha amenaza.
En un ataque dirigido no existe una propagación de malware, ni el envío masivo de correo electrónico
a varias direcciones, en lugar de ello, el intruso envía cinco, tres o incluso un solo correo electrónico
con malware como archivo adjunto. Esto conlleva a que sea difícil obtener una muestra de este
malware ya que muy probablemente nunca es capturado por un honeypot, en cambio solo afecta a una
sola organización y posiblemente a un solo empleado. Si este usuario no se da cuenta de que este
correo tiene un código malicioso como adjunto, pasará desapercibido por la organización y por ende
por la mayoría de las firmas antivirus.
Un ataque puede considerarse un ataque dirigido cuando cumple tres criterios principales:
▪ Los atacantes tienen un objetivo específico en mente y se ha demostrado que han invertido un
tiempo, recursos y esfuerzos considerables en configurar o llevar a cabo el ataque dirigido.
▪ El objetivo principal del ataque dirigido es infiltrarse en la red del objetivo y robar información
de sus servidores.
▪ El ataque es persistente, y los atacantes realizan un esfuerzo considerable para garantizar que
el ataque continúe más allá de la penetración inicial de la red y la infiltración de datos.
En general, los atacantes, en primera instancia, utilizarán herramientas y técnicas básicas para probar
sus sistemas en busca de una vulnerabilidad explotable.
¿Cómo funciona un ataque dirigido?

Primero que nada, el intruso es paciente, analiza a la víctima y busca la oportunidad apropiada para
realizar un ataque exitoso. Previo al ataque, el intruso investiga a su víctima utilizando la información
de fácil acceso. Por ejemplo, si la víctima es una organización, el intruso podría identificar el objetivo
del ataque por medio del organigrama que está disponible en la página web de la empresa, investigar
sobre sus socios de negocio y conocer un poco sobre la industria sobre la que opera la organización
de manera que pueda crear un correo electrónico con un mensaje creíble para el usuario y que
68
propicie la apertura del código malicioso. Incluso el intruso podría utilizar ingeniería social en llamadas
hechas a individuos identificados en el organigrama de la organización para obtener más información
sobre el objetivo.
Una vez que se cuenta con toda esta información, el intruso busca la manera de influenciar al usuario
a que abra el archivo adjunto; comúnmente un archivo .doc, .exe, .pdf, .xls o .ppt que puede contener
una carta o presentación proveniente de un proveedor o de la editorial de una de sus revistas
electrónicas preferidas a la cual está suscrito. Si el usuario obtiene el correo y ejecuta el código
malicioso que viene adjunto, el malware tomará control de su computadora y dará acceso remoto al
intruso mientras utiliza técnicas para ocultar su presencia en el equipo del usuario, estas técnicas son
similares a las utilizadas por rootkits.
Ahora es cuestión de tiempo para que el intruso obtenga información confidencial del usuario o peor
aún, que pueda comprometer a otros sistemas dentro de la red privada de la organización, sistemas
con información de más alto valor para la víctima.
¿Cómo debemos protegernos?
Veamos el caso de una organización con problemas de propagación de spam. Si este correo llega a
uno de los empleados, se supone que fue una excepción mal manejada por el filtro anti-spam. Sin
embargo, en el caso de un ataque dirigido si uno de los empleados recibe este correo, este empleado
es el objetivo del ataque, el cual busca obtener su información personal o de la organización. Por estos
motivos hay que proteger al eslabón más débil, el usuario, teniendo en cuenta las siguientes
recomendaciones:
1. Capacitación de empleados. Que los empleados sepan manejar información confidencial y que
sean conscientes sobre el manejo de la información al interior de la organización en un mayor
grado, ayudará a que la identificación de este tipo de ataques sea hecha, en la mayoría de las
ocasiones, por las propias víctimas.
2. Asegurar la red. El intruso buscará información sobre la victima previo al ataque, si esta
información no la puede obtener por medio de ingeniería social o de manera directa en la
información pública de la organización, buscará obtenerla mediante un ataque sobre la red.
3. Evitar proporcionar información de más. Un ataque dirigido requiere que el intruso conozca
bien a la víctima y mientras más información le proporcionemos, será más probable que
seamos víctimas de este ataque. Consideremos que los datos de contacto y la estructura
organizacional de la empresa son datos confidenciales.
4. Deshacerse de información confidencial de manera adecuada. Se recomienda implementar
procesos para el procesamiento de documentos confidenciales que han sido desechados. No
se debe permitir que los empleados se deshagan de esta información directamente en el
basurero, se debe utilizar un triturador o mejor aún, un contenedor de documentos para su
posterior procesamiento.
1.5.7 Otras formas de Cibercrimen
A. Tipos de Ataque según su forma de Actuar
a. ESCANEO ESTADO DE PUERTOS:
Consiste en buscar puertos abiertos y fijarse en los que pueden ser receptivos o de utilidad. Pongamos
un símil: Cuando efectuamos una llamada a un número de teléfono podemos saber su estado en ese
preciso momento, si está comunicando, averiado, da señal, …
Así que, selecciona un rango de IPs y hacer esas llamadas de manera consecutiva, aunque debido a
los firewalls se ha cambiado el método escaseando de manera no consecutiva las IPs y los puertos de
cada una de ellas. Para entenderlo explicaremos como se realiza la comunicación entre dos PCs.
Cuando dos Pcs se ponen en comunicación se establece una relación de Cliente, el servidor que
escucha todo lo que llega a sus puertos se identifica por medio de su IP y de un puerto determinado. El
cliente establece la conexión con el servidor a través de dicho puerto, que debe estar abierto y
disponible.
69
Antes de empezar a cambiar datos se realiza una operación cuya finalidad es reconocerse
mutuamente. A esta operación se la conoce como HandShake (saludo) y se realiza en el protocolo
TCP.
Este saludo se realiza en tres pasos:
1-. El cliente ‘dice’ al servidor que quiere comunicarse con el enviándole un segmento SYN
(Synchronize Sequence Number).
2-. El servidor (si está abierto y escuchando) al recibir este segmento SYN (activa su indicador
SYN) enviar un acuse de recibo al cliente. Si el servidor está cerrado envía un indicador RST.
3-. El cliente comprueba la respuesta, mediante paquetes ACK (de reconocimiento), y el

estado del servidor (si está disponible o no) y dependiendo de ello comienza el intercambio
datos
Una vez finalizada la transferencia se realiza otra operación en tres pasos, pero con paquetes FYN en
vez de SYN. Es decir, se produce una llamada, se responde a la llamada, se actúa en consecuencia.
ESCANEO DE CONEXIÓN TCP CONNECT.
Si el puerto escaneado está abierto y a la escucha devolverá una respuesta de éxito, cualquier otra
respuesta conlleva que el puerto no está abierto o que no se puede establecer conexión con este.
No necesita de privilegios especiales y se realiza a gran velocidad. Es un método fácilmente

detectable ya que se verán un montón de conexiones y mensajes de error con una máquina que se
conecta y desconecta continuamente.
ESCANEO TCP REVERSE IDENT.
El protocolo ident permite averiguar el nombre de usuario y el dueño de cualquier servicio corriendo
dentro de una conexión TCP. Conocido también por reverse ident.
FTP BOUNCE ATTACK.
El protocolo FTP permite lo que se llama conexión Proxy FTP. Es decir, conectarse a un FTP desde
un servidor Proxy y al hacer esto establecer una conexión y enviar un archivo a cualquier parte de
internet. Esto es aprovechado por los atacantes para realizar escaneos, ya que se realizan detrás de
un firewall (el del Proxy), lo que conlleva que sean difíciles de rastrear. Son lentos y poco usados.
ESCANEO UDP ICMP PORT UNREACHEBLE.
Se usa con el protocolo UDP, que al ser más simple que el TCP tiene sus desventajas a la hora de
escanear ya que al hacer una llamada a un puerto este no tiene por qué devolver un respuesta,
aunque el servidor del sistema escaneado suele devolver un paquete de error ‘ICMP PORT
UNREACH’ cuando un puerto UDP está cerrado. Técnica muy lenta.
FINGER PRINTING.
Consiste en determinar que SO tiene el computador atacado, Lo normal es ir probando varias técnicas,
y según las reacciones del computador víctima, determinar su SO. Hay programas específicos para
esta labor. No es una técnica muy efectiva y aunque no es un escaneo en si se usa para llevarlos a
cabo.
TCP SYN.
Se envía un paquete SYN, como si se fuera a solicitar una conexión y se espera la respuesta. Al recibir
un SYN/ACK es envía inmediatamente un RST (reset) para terminar la conexión y registrar ese puerto
como abierto. Pocos sistemas están preparados para detectar este tipo de ataques. En UNIX se
necesitan privilegios de administrador para construir estos paquetes SYN
70
ESCANEO TCP FIN – STEALTH PORT SCANNING.
Escaneo invisible de puertos. Algunos sistemas (FireWalls y filtros de paquetes) monitorizan la red
en busca de paquetes SYN a puertos restringidos. En cambio, los paquetes FYN podrían pasar
inadvertidos. Los sistemas Microsoft son inmunes a estos ataques, sin embargo, es posible realizarlo
en sistemas Unix.
ESCANEO DE PROTECCION.
En lugar de enviar paquetes completos de sondeo, se parten en un par de pequeños fragmentos IP.
Así es más difícil de monitorizar por los filtros que pudieran estar ejecutándose en el sistema atacado.
Esta técnica puede producir caídas de rendimiento tanto en el sistema del cliente como en el del
servidor, por lo que lo hacen detectable.
EAVESDROPPING-PACKET SNIFFING.
Olfateo de paquetes sin modificarlos. Muchas redes son vulnerables al Eavesdropping o la

intercepción pasiva (sin modificación) del tráfico de red. Esto se realiza con paquetes Sniffer (un sniffer
es un programa que monitorizan la información que circula por la red) que se centran en las IPs, ya
que siempre que se produce una comunicación por la red, en esos paquetes de información se
incluyen las IPs de los 2 sistemas que se están comunicando.
SNOOPING-DOWLOADING.
Se parece al sniffing en el sentido de que obtienen información sin modificarla, pero el sistema
empleado es distinto ya que con este sistema lo que se hace es copiar la información y bajarla al PC
en forma de archivos.
b. ATAQUES DE AUTENTIFICACION.
Consisten, como su nombre indica, en la suplantación de una persona con autorización por parte del
atacante. Se suele realizar de dos formas: obteniendo el nombre y contraseña del atacado o
suplantando a la víctima una vez ésta ya ha iniciado una sesión en su sistema.
Hay varias técnicas.
SIMULACION DE IDENTIDAD.
Es una técnica para hacerse con el nombre y contraseña de usuarios autorizados de un sistema. El
atacante instala un programa que recrea la pantalla de entrada al sistema, cuando el usuario intenta
entrar en él teclea su login y password, el programa los captura y muestra una pantalla de “error en el
acceso” al usuario. El usuario vuelve a teclear su login y password, entrando esta vez sin problemas.
El usuario cree que en el primer intento se había equivocado al teclear, sin embargo, su login y
password han sido capturados por el atacante.
SPOOFING (ENGAÑO).
Este tipo de ataques (sobre protocolos) suele implicar un buen conocimiento del protocolo en el que
se va a basar el ataque. Consiste en sustituir la fuente de origen de una serie de datos (por ejemplo,
un usuario) adoptando una identidad falsa para engañar a un firewall o filtro de red. Los ataques
Spoofing más conocidos son el IP Spoofing, el DNS Spoofing , el Web Spoofing y el fake-mail.
-IP Spoofing.
Sustituir una IP. El atacante logra identificarse con una IP que no es la suya, con lo que a ojos del
atacado, el agresor es una tercera persona, que nada tiene que ver en el asunto, en vez de ser el
atacante real.
-DNS Spoofing.
Sustituir a un servidor DNS (Domain Name Server) o dominio. Se usan paquetes UDP y afecta a
sistemas bajo Windows NT. Se aprovecha de la capacidad de un servidor DNS resolver una petición
71
de dirección IP a partir de un nombre que no figura en su base de datos, ya que éste es su método
de trabajo por defecto.
-Web Spoofing.
El atacante crea un sitio Web (falso) similar al que la víctima desea entrar. Los accesos a este sitio
están dirigidos por el atacante, permitiéndole monitorizar todas las acciones de la víctima: datos,
contraseñas, números de tarjeta de créditos, etc. El atacante también es capaz de modificar
cualquier dato que se esté transmitiendo entre el servidor original y la víctima o viceversa.
Es un ataque peligroso, y difícilmente detectable, que hoy por hoy se puede llevar a cabo en
Internet. Afortunadamente hay algunas medidas preventivas que se pueden llevar a cabo:
1. Desactivar la opción de JavaScript en el navegador.
2. Asegurarse en todo momento que la barra de navegación esta activa.
3. Poner atención a las URL que se enseñan en la barra de estado, asegurándote que siempre
apuntan al sitio que quieres conectar.
-Fake-mail.
Es otra forma de spoofing y consiste en el envío de e-mails con remitente falso. Aquí el atacante
envía e-mails en nombre de otra persona con cualquier motivo y objetivo.
LOOPING.
El intruso usualmente utiliza algún sistema para obtener información e ingresar en otro, que luego
utiliza para entrar en otro, y así sucesivamente. Este proceso se llama looping y tiene como finalidad
hacer imposible localizar la identificación y la ubicación del atacante, de perderse por la red.
Entre el origen físico y el sistema que finalmente se utilice para realizar una fechoría puede estar
plagado de muchos sistemas intermedios, rebasando las fronteras de varios países, dificultando aún
más su localización. Otra consecuencia del Looping es que la víctima puede suponer que están
siendo atacada por nosotros (si somos el sistema final del looping del atacante), cuando en realidad
está siendo atacada por un Insider, o por alguien que se encuentra a miles de kilómetros tanto de
nosotros como de la víctima. La localización de la procedencia de un looping es casi imposible de
determinar, ya que el investigador debe contar con la colaboración de cada Administrador de cada
red utilizada en la ruta del looping, incluso de gobiernos de otros países.
IP SPLICING-HIJACKING
Es un método de sustitución que consiste en que el atacante espera a que la víctima entre en una
red usando su nombre, contraseña y demás y una vez que la víctima ha superado los controles de
identificación y ha sido autorizada la “tira” del sistema y se hace pasar por ella.
EXPLOITS.
Un Exploit es un programa o código que "explota" una vulnerabilidad del sistema o de parte de él
para aprovechar esta deficiencia en beneficio del creador del mismo.
Si bien el código que explota la vulnerabilidad no es un código malicioso en sí mismo, generalmente
se lo utiliza para otros fines como permitir el acceso a un sistema o como parte de otros malware
como gusanos y troyanos.
Es decir que actualmente, los exploits son utilizados como "componente" de otro malware ya que al
explotar vulnerabilidades del sistema permite hacer uso de funciones que no estarían permitidas en
caso normal.
Existen diversos tipos de exploits dependiendo las vulnerabilidades utilizadas y son publicados cientos
de ellos por día para cualquier sistema y programa existente pero sólo una gran minoría son utilizados
como parte de otros malware (aquellos que pueden ser explotados en forma relativamente sencilla y
que pueden lograr gran repercusión).
ZERO DAY (Día cero): Cuando está aplicado a la información, el "Zero Day" significa generalmente
información no disponible públicamente. Esto se utiliza a menudo para describir exploits de
vulnerabilidades a la seguridad que no son conocidas por los profesionales del tema.
72
Se define Zero Day como cualquier exploit que no haya sido mitigado por un parche del vendedor.
OBTENCIÓN DE CONTRASEÑAS.
Es la obtención por "Fuerza Bruta" de nombres de usuarios y claves de acceso. Casi todas las
contraseñas que utilizamos habitualmente están vinculadas a nuestros nombres reales, nombres de
familiares y/o mascotas, fechas significativas, etc. Además, no las solemos cambiar periódicamente.
También se suele realizar este tipo de ataques usando una clase de programas llamados
diccionarios.
DICCIONARIOS.
Los Diccionarios son programas que en su base de datos contienen millones de palabras. Van
probando con millones de combinaciones de letras y números encriptados, incluso con caracteres
especiales hasta descubrir la combinación correcta de nombre y usuario de la víctima. Son pues
programas de fuerza bruta.
B. Ataques de Modificación – Daño.
TAMPERING O DATA DIDDING.
Consiste en una modificación no autorizada de datos o software instalado en el sistema víctima

(incluyendo borrado de archivos). Es decir, una vez se ha entrado en un sistema, se modifican o borran
datos del mismo. Ejemplo de este tipo de ataques serían la creación de cuentas falsas, modificación de
notas, etc. Suelen realizarse mediante virus o troyanos.
BORRADO DE HUELLAS.
Es una tarea fundamental que realiza un intruso tras haber hurgado en un sistema y terminado su
fechoría. Si no lo hace se puede descubrir tanto el origen del ataque como el agujero de seguridad por
el que ha entrado el atacante. Las Huellas son todas las tareas que realizó el intruso en el sistema y
por lo general son almacenadas en los Logs de los sistemas operativos, de monitores de red y/o
sistema, firewalls,...
COOKIES.
Solo representan una amenaza para la privacidad ya que pueden cumplir la función de espiar. No son
capaces de causar daño al sistema. Básicamente se utilizan para reconocer al usuario al entrar en
determinados sitios web (foros, por ejemplo) y para contadores de visitas. De todas formas, los
navegadores tienen opciones para configurar el ingreso de cookies en nuestro sistema.
ATAQUES USANDO VULNERABILIDADES DE LOS NAVEGADORES.
Son fallos del navegador en sí y no de programas implementados, como pueden ser los controles de
JAVA, ActiveX, etc. Los más comunes son los "Buffer Overflow" (desbordamiento de buffer). Debido a
una debilidad de los buffers de algunos navegadores para el procesamiento de las entradas de
usuario, se puede llegar a manipular datos. Una manipulación común es la de URLs almacenadas.
La realización de estos ataques requiere de un gran conocimiento del lenguaje ensamblador y del
sistema operativo del computador atacado.. Por ejemplo, se puede modificar una URL para que
cuando sea ejecutada por el usuario, se ponga en funcionamiento otra aplicación, como el format, un
virus,... De fallos de este tipo en sistemas Win95 y WinNT se aprovecha, por ejemplo, el virus Nimda.
También se podría realizar este tipo de ataque (Mod-daño) mediante Applets de Java o usando
JAVAScript o VBScript, de los cuales no se va a hacer mención en este trabajo.
WAREZ
73
Warez es en realidad software " conocido " que lleva incluido un Crack para ser instalado sin número
de serie o en varias máquinas sin pagar por él. En Internet se encuentran infinidad de Warez y
números de serie para los programas más conocidos.
Los Warez son una forma de Crackear software y linda con el lado del delito entrando de lleno en él, ya
que se violan los derechos de autor.
CARDING
El Carding es una extensión más de esta nueva cibersociedad y sus constantes búsquedas por
controlar todos los sistemas informáticos y electrónicos de la sociedad actual. Hoy por hoy la
implantación de las tarjetas de crédito, es masiva y está presente en casi todos los sectores tales como
operaciones bancarias, acceso a televisiones de pago, sistemas de pago electrónico y acceso
controlado.
El Carding es el estudio de tarjetas chip, magnéticas u ópticas y comprende la lectura de estos y la

duplicación de la información vital. Actualmente se ha conseguido clonar las tarjetas GSM, tarjetas de
canales de pago y Visa por este procedimiento.
1.6 Metodología de un atacante
Conocer las diferentes etapas que conforman un ataque informático brinda la ventaja de aprender a
pensar como los atacantes y a jamás subestimar su mentalidad. Desde la perspectiva del profesional
de seguridad, se debe aprovechar esas habilidades para comprender y analizar la forma en que los
atacantes llevan a cabo un ataque.
La siguiente imagen muestra las cinco etapas por las cuales suele pasar un ataque informático al
momento de ser ejecutado:
Fases comunes de un ataque informático
Fase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la obtención de información

(Information Gathering) con respecto a una potencial víctima que puede ser una persona u
organización.
Por lo general, durante esta fase se recurre a diferentes recursos de Internet como Google, entre
tantos otros, para recolectar datos del objetivo. Algunas de las técnicas utilizadas en este primer paso
son la Ingeniería Social, el Dumpster Diving, el sniffing.
74
Fase 2: Scanning (Exploración). En esta segunda etapa se utiliza la información obtenida en la fase
1 para sondear el blanco y tratar de obtener información sobre el sistema víctima como direcciones IP,
nombres de host, datos de autenticación, entre otros.
Entre las herramientas que un atacante puede emplear durante la exploración se encuentra el network
mappers, port mappers, network scanners, port scanners, y vulnerability scanners.
Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a materializarse el ataque a
través de la explotación de las vulnerabilidades y defectos del sistema (Flaw exploitation) descubiertos
durante las fases de reconocimiento y exploración.
Algunas de las técnicas que el atacante puede utilizar son ataques de Buffer Overflow, de Denial of
Service (DoS), Distributed Denial of Service (DDos), Password filtering y Session hijacking.
Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha conseguido acceder
al sistema, buscará implantar herramientas que le permitan volver a acceder en el futuro desde
cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades backdoors, rootkits
y troyanos.
Fase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logró obtener y mantener el
acceso al sistema, intentará borrar todas las huellas que fue dejando durante la intrusión para evitar
ser detectado por el profesional de seguridad o los administradores de la red. En consecuencia,
buscará eliminar los archivos de registro (log) o alarmas del Sistema de Detección de Intrusos (IDS).
75
Referencias Bibliográficas
Delitos Informáticos. Código Penal España. Consultado en Julio, 2015 de URL: http://libros-revistas-
derecho.vlex.es/vid/delitos-introducidos-derecho-comparado-
417360006?_ga=1.107115210.993565054.1438801255
Hackers los Piratas del Chip y de Internet. Claudio Hernández. 2001.
Importancia de la seguridad en materia de la informática

http://csrc.nist.gov/publications/history/ande80.pdf
Wikipedia:Timeline of computer security hacker history

http://en.wikipedia.org/wiki/Timeline_of_computer_security_hacker_history
Seguridad de la información. http://www.segu-info.com.ar/
Concepto ciberseguridad. https://conectasoftware.com/ciberseguridad/introduccion-conceptos-

basicos-ciberseguridad
La amenaza Cibernética. https://cisde.es/observatorio/la-amenaza-cibernetica-ciberguerra-y-

ciberdefensa
Clasificación y tipos de ataques contra sistemas de información.

http://www.delitosinformaticos.com/seguridad/clasificacion.shtml
Jorge Mieres. Ataques informáticos. Debilidades de seguridad comunmente explotadas.
Revista Pensamiento Penal. Qué es la ciberguerra? Gustavo Sain. Argentina.
Ciberguerra y cibercrimen. Dos amenazas emergentes.

http://www.belt.es/expertos/HOME2_experto.asp?id=5093
Ciberterrorismo. http://www.argentina-rree.com/documentos/ciberterrorismo.pdf
América Latina, ¿debe crear un sistema de normas armonizadas para el cibercrimen?

http://www.econ.uchile.cl/uploads/publicacion/9ba7739a0ac26598402dab53c990c58e49fc259a.p
df
Cybercrime. https://www.pandasecurity.com/mediacenter/panda-security/types-of-cybercrime/
Ataque dirigido. Revista UNAM. https://revista.seguridad.unam.mx/print/2109
ITU. https://www.itu.int/en/ITU-D/Regional-Presence/Americas/Documents/EVENTS/2016/15551-
EC/3A.pdf
https://www.ccn-cert.cni.es/pdf/guias/series-ccn-stic/guias-de-acceso-publico-ccn-stic/2536-ccn-
stic-105-catalogo-de-productos-de-seguridad-de-las-tecnologias-de-la-informacion-y-la-
comunicacion/file.html
76

Capítulo I Introducción A La Seguridad en Redes

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Capítulo I Introducción A La Seguridad en Redes

Cargado por

Copyright:

Formatos disponibles

Universidad Tecnológica de Panamá

Facultad de Ingeniería de Sistemas Computacionales

Departamento de Arquitectura y Redes Informáticas

Seguridad y Privacidad en Redes I

Introducción a la Seguridad en Redes

Prof. Giovana Garrido

Protección de los sistemas de transferencia o transporte. En este caso, el administrador de un

Aplicaciones seguras extremo a extremo. Si pensamos, por ejemplo, en el correo electrónico,

1.1 Conceptos generales

Consecuentemente, muchas organizaciones gubernamentales y no gubernamentales internacionales

1.1.1 Consideraciones de seguridad

Los ataques pueden clasificarse en 3 tipos genéricos:

Desmantelamiento de sistemas: Suelen ser ataques de Denial of Service. Estos

Dicho tema lo estaremos desarrollando más adelante en este capítulo.

Como ya hemos comentado antes, es importante plantearse la importancia de lo que se va a proteger,

computación, la gestión empresarial, los estudios de información y la ingeniería. Implica el estudio de

Según la ISO/IEC, la seguridad de la información se podría definir como aquellos

Otra definición Información: es “acción y efecto de informar”.

Es la necesidad de tener una comunicación segura, además, mantener la provisión de información

Si trabajamos en definir Seguridad en Redes con los elementos que conocemos,

Seguridad en redes es mantener bajo protección los recursos y la

Si unimos la definición de seguridad e información para obtener la seguridad de la información:

Sistema de Seguridad: Es un conjunto de elementos que permiten al usuario realizar ciertas

¿Por qué seguridad de red?

La seguridad a menudo se considera como la necesidad de proteger uno o más aspectos de la

Las inseguridades generalmente se dividen en dos categorías:

Hace unos 40 años, la tecnología de la información trajo consigo la introducción de la seguridad

La ciberseguridad es el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de

La ciberseguridad se basa en la seguridad de la información, seguridad de aplicaciones,

Con mucha frecuencia se confunden los términos ciberseguridad y seguridad de la información.

Sin embargo, el alcance global de Internet le da a la ciberseguridad un carácter único.

En caso contrario, la ciberseguridad se encuentra enfocada, de forma principal, en la información que

Ciberguerra (guerra cibernética)

Cibercrimen (delito informático)

Cibercrimen (o crimen informático): cualquier delito donde la tecnología de la información y las

El ciberdelincuente puede usar un dispositivo para acceder a la información personal de un usuario,

Algunos ejemplos de estas divergencias son las siguientes definiciones:

• Parker afirma que es el sistema de información que sirve de canal.

El ciberterrorismo es el ataque premeditado y políticamente motivado contra información, sistemas

La definición de Dorothy Denning, investigadora en seguridad de la información, en su testimonio ante

Algunos posibles ejemplos de ciberterrorismo con consecuencias graves en el mundo físico:

1.1.3 ¿Por qué es necesaria la seguridad?

La seguridad informática se ha transformado en un factor de suma importancia en los negocios y en el

La seguridad informática como hemos dicho en puntos anteriores es el conjunto de medidas

La necesidad de seguridad es una constante que ha acompañado a la historia del ordenador. Es

Además, en un futuro próximo, la revolución de Internet y su evolución continua conllevarán un cambio

1.1.4 Privacidad en la red

En los últimos años, se ha hecho hincapié en la relación entre la ciberseguridad y la privacidad. En

Primeramente, definiremos privacidad se refiere a aquellas acciones destinadas a garantizar que

Ejemplo. Si la comunicación se establece por Teléfono y alguien intercepta la comunicación o escucha

Otro ejemplo, si te registras en un proveedor de almacenamiento en la nube como Dropbox, no eres

Tabla 1.4 ejemplo de anonimato

Tabla 1.5 ejemplo de privacidad

La anonimización es un proceso de dos pasos: enmascaramiento de datos y desidentificación. El

¿Cuál es la diferencia entre seguridad y privacidad?

En muchas organizaciones, las personas responsables de la privacidad están completamente

Privacidad de los datos

La información personal de miles de empleados del servicio de ambulancias y demandantes de

Fig. Privacidad de datos: partes interesadas en la organización.

Definición de privacidad en redes

Requisitos para mantener la privacidad de las redes

Amenazas o riesgos a la privacidad de las redes

Otra definición, se denomina riesgo a la posibilidad de que se materialice o no una amenaza