Seguridad en las redes

Nuevas amenazas y nuevas defensas

Arturo Ribagorda Garnacho

Incluso para observadores poco atentos de la realidad resulta evidente la importancia que la
seguridad de la información ha adquirido en pocos —menos de diez— años. Ello es ası́ por
la trascendencia, cada dı́a mayor, de la información digitalizada en nuestras sociedades y la
creciente dependencia de éstas de sus sistemas de información. Sin embargo, estos mismos
observadores apreciarán que la seguridad, lejos de estar garantizada, aparece cada vez más
comprometida o al menos amenazada.
Y es que la seguridad se encuentra obstaculizada por múltiples vulnerabilidades, intrı́nse-
cas y extrı́nsecas, además de por numerosas amenazas, todas las cuales será preciso analizar
antes de exponer por dónde se plantean en el presente y futuro inmediato las medidas de
seguridad.
De este modo, y comenzando por las vulnerabilidades intrı́nsecas, hallamos que los
sistemas a que nos referimos son cada vez más complejos, cada uno de ellos con decenas de
miles (en ocasiones millones) de lı́neas de código (por ejemplo, se estima en más de cuarenta
millones de lı́neas las que tiene el Windows 2000). Pero, por si no fuera poco, estos sistemas
interactúan con otros igual o más complejos para conformar, en el caso de Internet, lo que
según algunos constituye la obra más compleja de las construidas por la humanidad. Todo
ello supone un enorme reto para la seguridad, ya que la complejidad es siempre enemiga de
ésta, y los sistemas cuanto más complejos —como el mismo sentido común indica— son más
difı́cil de proteger.
Empero, tampoco es sólo esto, pues los sistemas están cada vez más interconectados
y son más interdependientes, lo que es otro obvio problema a efectos de la seguridad. Ası́,
por ejemplo, redes torpemente administradas en nuestras antı́podas pueden ser usadas como
plataformas de lanzamiento de ataques demoledores (como los ataques distribuidos de dene-
gación de servicio), merced a esta interconexión e interdependencia.
Y finalmente, pero no menos grave para el inmediato futuro, la imparable tendencia al
uso de redes inalámbricas, con la obvia utilización de canales hercianos, no deja de ser una
fuente de preocupación, que se irá agravando según su despliegue vaya alcanzando a todas
empresas. Por los tres motivos expuestos, hablar de sistemas cada vez más vulnerables no
es una exageración, sino antes bien una realidad muy a tener en cuenta.
Pero además de las anteriores vulnerabilidades de los sistemas de información, que
hemos denominado intrı́nsecas, nos encontramos con otras que podrı́amos definir de ex-
trı́nsecas. Ası́, el software es —en lo que atañe a la seguridad— muy deficiente, pues está
130 Arturo Ribagorda Garnacho

diseñado sin consideraciones de seguridad, que tan sólo es añadida al final de su desarrollo
—como un parche—, cuando alguien se percata de su ausencia.
Por otro lado, estos sistemas están administrados por profesionales ocupados en exceso,
y en ocasiones negligentes, que, por ejemplo, mantienen aplicaciones no operativas (o incluso
que nunca lo han sido) instaladas, sin percatarse de que las mismas, al margen de los recursos
que puedan despilfarrar, conllevan el riesgo de que se pueda atacar el sistema entero a través
de vulnerabilidades de las mismas. Más grave aún, mantienen permanentemente el software
sin actualizar, o sea sin incluir los parches que cada vez que se descubre una vulnerabilidad
publican (junto con la correspondiente vulnerabilidad) los fabricantes de dicho software. De
este modo, se explica que antiguas vulnerabilidades conocidas desde meses sean explotadas
por atacantes (que sı́ se mantiene al dı́a de los avisos de alerta y correcciones que difunden
los fabricantes) que encuentran de lo más fácil penetrar en los equipos ante la desidia de sus
administradores.
Finalmente, la carencia de formación y experiencia en el uso de esta tecnologı́a no
es una menor vulnerabilidad. Ası́, los usuarios escogen contraseñas triviales —rayanas en
la candidez—, dejan los equipos conectados cuando abandonan sus puestos de trabajo —
aunque sea durante largos periodos de tiempo—, abren adjuntos a correos electrónicos —
aunque exhiban extensiones más que sospechosas y procedan de desconocidos—, no instalan
o actualizan antivirus en sus equipos, etc. O dicho de otro modo, los computadores son
aún unos recién llegados, y la revolución de las tecnologı́as de la información todavı́a no ha
calado en la sociedad —siempre impermeable a lo nuevo—, y necesitada de muchos años
para familiariarizarse con una nueva tecnologı́a, y aún más para comprender y manejar los
riesgos que acarrea.
Por lo que atañe a los ataques (o amenazas), éstos son cada vez más sofisticados: de
denegación distribuida de servicios (DD o S), de secuestro de sesión (IP hijacking), de su-
plantación de direcciones IP (IP spoofing), hı́bridos (programas malignos que se comportan
como virus, gusanos, puertas traseras, caballos de Troya, etc.), de análisis de red (sniffers),
etc.
Pero quizás las herramientas de agresión más preocupantes sean las automatizadas (por
ejemplo de generación de virus, de explotación de diversas vulnerabilidades, etc). Éstas con-
llevan que con asiduidad creciente individuos con escasa, o casi nula, formación informática
sean capaces de lanzar formidables ataques. Ello supone incrementar notablemente la cifra
de potenciales atacantes y por ende de los riesgos correspondientes.
Por último, caben destacar los ataques que se vienen conociendo como de ingenierı́a
social. Están basados en engaños a usuarios y responsables de equipos para conseguir con-
traseñas, acciones de aquellos sobre los sistemas (por ejemplo, borrar ficheros del sistema
operativo), difusión de noticias falsas, etc. Estas añagazas suponen también una peligrosa
amenaza, por cuanto suponen igualmente que individuos sin conocimientos técnicos pueden
sumarse en sus fechorı́as a atacantes expertos, con el añadido de la impunidad que usual-
mente acompaña este tipo de ataques.
Para hacer frente a estas nuevas amenazas y vulnerabilidades nos hemos ido dotando de
numerosos instrumentos, que sin sustituir a los antiguos les han ido complementando. Estos
Seguridad en las redes. Nuevas amenazas y nuevas defensas 131

nuevos instrumentos son de naturaleza legal unos (Ley Orgánica 15/1999 de Protección de
Datos de Personales, Ley 14/1999 sobre Firma Electrónica, Ley 34/2001 de Servicios de la
Sociedad de la Información y de Comercio Electrónico, etc.), otras de carácter administrativo
y organizativo (formación de usuarios, desarrollo de polı́ticas de seguridad, establecimiento
de la función de seguridad, etc.) y de ı́ndole técnica las últimas (Infraestructuras de clave
pública, sistemas de detección de intrusiones, etc).
Dejando al margen los de naturaleza legal, y comenzando por las medidas de ı́ndole
administrativa y organizativa, es constatable una tendencia a la gestión centralizada de
la seguridad. Ello, a la par de facilitar esta gestión, permite un control de las amenazas y
subsanación de las vulnerabilidades desde un único punto de la organización. Es fácil suponer
los innumerables problemas que conlleva la actualización de un software si se requieren
efectuarla equipo por equipo, y la inmediatez con que podrı́a realizarse desde un único
punto. Igualmente, aunque esto es más usual hoy en dı́a, supóngase las ventajas de actualizar
versiones del antivirus corporativo actuando desde un único equipo frente a lo que supondrı́a
hacerlo máquina por máquina de todas las de la corporación.
Por lo que respecta a la formación, pilar de la seguridad, las empresas están empezando a
realizar notables esfuerzos de mentalización, que se materializan casi siempre en la inclusión
de la seguridad en el cursillo de formación que la empresa da a sus nuevos empleados sobre
sus objetivos, sus valores, su organización interna y sus prácticas operativas. Es suficiente
para esto un seminario de un par de horas (dentro del cursillo aludido) para que sus nuevos
empleados se conciencien en estos aspectos y tomen conocimiento de sus responsabilidades.
A continuación, se suele exigir a estos recién incorporados que firmen un documento en el que
manifiestan conocer las prácticas de seguridad y aceptar las consecuencias de su incumpli-
miento por dolo o negligencia. Como complemento de lo anterior se va imponiendo la idea
de elaborar un manual de seguridad, guı́a breve que, en forma de sucintas sentencias, incide
en los aspectos tratados en el seminario acerca de la prácticas básicas de la seguridad. Este
manual se puede colocar en un enlace en la página web de entrada a la intranet corporativa.
Por último, entre estos nuevos aspectos organizativos y administrativos que tratamos,
no puede olvidarse la mención a la propia subcontratación de los servicios de seguridad
(concepto a menudo conocido como seguridad gestionada). De esta manera, cada vez más
empresas traspasan a expertos ajenos la responsabilidad de la administración de los sistemas
y dispositivos de seguridad: cortafuegos, redes privadas virtuales, sistemas de detección de
intrusiones, etc. E incluso de facetas menos vinculadas a sistemas y dispositivos, como la
gestión de incidentes.
Finalmente, por lo que respecta a los de naturaleza técnica se comprueba una tenden-
cia a la llamada defensa en profundidad, que va desplazando a la defensa perimetral. Ası́,
las herramientas que pretendı́an defender las fronteras (el perı́metro) de nuestros sistemas
(por ejemplo, la intranet) se ven sustituidas por aquellas otras que sin desatender a dicho
perı́metro, tratan de defender también los elementos crı́ticos de los sistemas. Por ejemplo,
ahora nos encontramos con cortafuegos en diversos puntos de la intranet (y no sólo en la
interfaz de ésta con la internet), antivirus en el servidor de correo y también en cada puesto
de trabajo de la empresa.
132 Arturo Ribagorda Garnacho

Otra tendencia es la protección integral, abandonando viejos hábitos de considerar en

exclusiva herramientas de prevención. Ası́ vemos extenderse, al tiempo que éstas herramien-
tas más tradicionales, las de detección (sistemas de detección de intrusiones, conocidas por
sus siglas en inglés, IDS), de reacción (sistemas de protección contra intrusiones, conocidas
por sus siglas en inglés, IPS). Además, otro hecho distintivo actual es que estas herramientas
tienden a integrarse en sistemas únicos, que garantizan ası́ la coherente interacción entre sus
componentes, evitando los problemas aún hoy presentes de incompatibilidad entre disposi-
tivos de distintos —o incluso el mismo— fabricantes, además de facilitar la administración
como un todo de dichos sistemas.
Otro rasgo actual es la instalación de grandes redes corporativas apoyadas en internet,
que por su flexibilidad de configuración, economı́a de costes y universalidad de su protocolos
está sustituyendo a las ancestrales redes dedicadas. No obstante, internet es una red insegura
en grado sumo —al menos hasta la generalización de la versión IP v.4— por lo que el
despliegue de estas redes de área extensa corporativas se basa en las llamadas redes privadas
virtuales, RPV, también conocidas como VPN de Virtual Private Network.
Pero no se puede concluir este rápido repaso a los aspectos actuales de la seguridad
sin detenerse siquiera someramente en las infraestructuras de clave pública, también PKI,
de Public Key Infraestructure. Soporte de la firma digital (electrónica avanzada, en término
acuñado por la Ley 14/1999) dicha firma y estas infraestructuras están empezando a jugar
un papel vital en la seguridad corporativa, como base de la autenticación de usuarios y recur-
sos (junto con directorios LDAP), de la confidencialidad de la información corporativa, etc.
En resumen, aunque son muchas las nuevas amenazas y vulnerabilidades son también nu-
merosas las novedosas medidas de defensa que se están poniendo en práctica, tanto de ı́ndole
administrativa y organizativa como técnica, que en esta carrera perpetua entre atacantes y
defensores permiten seguir confiando en los sistemas de información, imprescindibles en esta
emergente sociedad de la información.