Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Curso 2023-2024
Índice de contenido
1. OBJETIVOS.....................................................................................................3
2. INTRODUCCIÓN..............................................................................................4
2.1 Fiabilidad, confidencialidad, integridad y disponibilidad.......................................4
2.1.1 Paradoja de seguridad.....................................................................................4
2.1.2 Amenazas / vulnerabilidad..............................................................................5
2.1.3 Amenazas. Tipos.............................................................................................6
2.1.4 Medidas de protección. Tipos.........................................................................6
3. SEGURIDAD FÍSICA Y AMBIENTAL..............................................................6
3.1.1 Sistemas de alimentación ininterrumpida (SAI).............................................7
3.1.2 Seguridad lógica..............................................................................................9
4. ANÁLISIS FORENSE DE SISTEMAS INFORMÁTICOS................................9
4.1 Auditoría de Seguridad.........................................................................................10
4.2 Fases del análisis forense......................................................................................11
4.2.1 Herramientas.................................................................................................12
4.2.2 Ficheros más comunes usados en auditorías.................................................13
Pág. 2 de 14
Seguridad y Alta disponibilidad
1. Objetivos
Pág. 3 de 14
Seguridad y Alta disponibilidad
2. Introducción
Garantizar que los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos,
es decir, que no estén dañados o alterados por circunstancias o factores externos, es una definición útil
para conocer lo que implica el concepto de seguridad informática.
En términos generales, la seguridad puede entenderse como aquellas reglas técnicas y/o actividades
destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o
daño, ya sea de manera personal, grupal o empresarial. En este sentido, es la información el elemento
principal a proteger, resguardar y recuperar dentro de las redes empresariales.
En resumen, La seguridad informática consiste en asegurar que los recursos del sistema de
información de una organización sean utilizados de la manera que se decidió y que el acceso a la
información allí contenida, así como su modificación, solo sea posible a las personas que se encuentren
acreditadas y dentro de los límites de sus autorización.
Fiabilidad
El sistema informático debe permanecer en funcionamiento, mantenimiento un rendimiento adecuado,
incluyendo la capacidad de superar adversidades sin dejar de proporcionar sus servicios a los usuarios.
Integridad
El sistema debe mantener el conjunto de sus datos sin pérdidas o alteraciones no deseadas (corrupción de
datos).
Confidencialidad
Los datos únicamente deben ser accesibles por las personas que tengan permisos para acceder o manejar.
Disponibilidad
El sistema informático y sus datos deben estar accesibles en todo momento que sean requeridos.
Ejercicio: Buscar la disponibilidad de Google Cloud Storage (Buckets) y calcular los segundos que no
están disponibles en un año.
Funcionalidad: el sistema dispone de multitud herramientas y servicios pensadas para cubrir las
necesidades de los usuarios.
Pág. 4 de 14
Seguridad y Alta disponibilidad
Estas tres cualidad no son plenamente compatibles, según muestra la figura. Esto es lo que se denomina
paradoja de la seguridad.
«Vulnerable»: medida de la capacidad de un sistema para fallar de manera inesperada. En pocas palabras
una vulnerabilidad es un punto débil.
Como resulta evidente en un SI hay tres grandes elementos que son susceptibles de ser vulnerables y por
tanto, ser amenazados.
• Sistema operativo: es importante tener activada la actualización automática que aplica «parches»
sin necesidad de recordar aplicarlas manualmente. Para evitar la aplicación de actualizaciones
que puedan estropear otras partes se suele aconsejar NO TENER ACTIVADA LA
ACTUALIZACIÓN AUTOMÁTICA en equipos críticos y sí tenerla en otros equipos que actúen
como «cobayas.»
• Aplicaciones. También pueden mostrar fallos que den lugar a consecuencias muy desagradables
especialmente con los datos.
• Software malicioso.
• Privacidad de los datos y las comunicaciones: captación ilegítima de datos, suplantación de
identidad, etc.
Cuando se habla de vulnerabilidad, se asocia este término con problemas software. Una vulnerabilidad
puede conllevar una serie de problemas muy graves:
Pág. 5 de 14
Seguridad y Alta disponibilidad
En Internet todas las vulnerabilidades detectadas se publican como un informe CVE (Common
Vulnerability Exposure). Se han descubierto incluso vulnerabilidades a nivel de microprocesador. En
entornos muy sofisticados existen unas vulnerabilidades llamadas TEMPEST.
Algunas aplicaciones basadas en bases de datos son susceptibles de sufrir «ataques SQL» o «inyecciones
SQL» «SQL injects». Aunque esto tiende a desaparecer.
En líneas generales, ningún programa web debe confiar en lo que escriben sus usuarios.
• Interna: los problemas originados dentro de la propia empresa son los más frecuentes y los de
impacto más grave
• Externa: son las originadas fuera de la propia empresa.
• Físicas
• Lógicas
• Medidas pasivas: son las que se aplican al sistema informático, normalmente desde el principio
de su instalación como alarmas, sistemas de vigilancia, etc.
• Medidas activas: son las que se aplican día a día para combatir daños, parar ataques, etc.
Requieren de intervención o supervisión de un administrador. Ejemplo: instalación y supervisión
de un cortafuegos.
Son todas aquellas que hacen uso de algún mecanismo tangible, ya sea por acción efectiva o por fallo,
para perjudicar el funcionamiento de los sistemas informáticos.
• Rotura intencionada.
• Temperaturas. Influyen en redimiento.
• Desastre natural: terremotos, inundaciones, incendios, etc. . .
◦ Se debe disponer de la protección antincendios adecuada.
◦ No todos los extintores son apropiados para todo.
◦ Los seguros no suelen cubrir eventos de este tipo.
◦ Se desaconseja la instalación de centros de datos en bajos o sótanos.
En relación con todos estos sucesos se recomiendan algunas medidas básicas de protección.
Pág. 6 de 14
Seguridad y Alta disponibilidad
• Barreras físicas.
◦ Los servidores deberían estar cerrados con llaves y con acceso restringido.
◦ Controles de acceso con tarjeta y/o guardia de seguridad.
◦ En relación con el punto anterior a veces se llegan a utilizar mecanismos biométricos.
◦ Puertas con apertura programada.
• Protección eléctrica.
◦ Protección ante fallos de cableado. Uso de dispositivos como un Bond (no confundir con
brigde que actúa a nivel 2 del modelo OSI que permite redirigir paquetes)
Los SAI tienen especial relevancia debido a su extendido uso. Un sistema de alimentación ininterrumpida
o SAI protege contra problemas eléctricos comunes que pueden afectar al funcionamiento normal de un
sistema informático.
En líneas generales el parámetro principal que debemos mirar en un SAI es su «potencia aparente».
La potencia aparente de un SAI se mide en «voltio-amperios» o «kilo-voltio-amperios» o «KVA»
(también pronunciado como «kabeas» o «kivas»)
Lo que nos interesa es la potencia eficaz que se obtiene multiplicando la aparente por 0,75. En algunos
SAI nos indican el factor de potencia. En ese caso, sí podemos saber directamente la potencia eficaz
multiplicando la potencia aparente por ese factor.
Pág. 7 de 14
Seguridad y Alta disponibilidad
Si tuviésemos 3 ordenadores y cada uno consumiese 650W está claro que no podríamos conectar los 3.
Si un SAI se anuncia indicando que ofrece 1500KVA y 850W de potencia ¿qué factor de potencia ofrece?
En los casos de los centros de datos, los SAI debe ir acompañado de sus respectivas baterías
(dependiendo de cada caso necesitará más o menos), y es ahí donde recae la importancia del SAI, ya que
a más baterías conectadas, más tiempo de autonomía tendrá el dispositivo.
Según el Ponemon Institute (Michigan, Estados Unidos) publicado en 2021, una de las principales causas
de los períodos de inactividad de los centros de datos fueron los fallos en las baterías.
En el estudio se explica que una celda que se encuentre en mal estado en un banco de baterías puede
comprometer todo el sistema de respaldo de un centro de datos durante un corte eléctrico.
Dado que las baterías de los SAIs son importantes y al mismo tiempo tan vulnerable a problemas y fallos,
es fundamental que las empresas realicen mantenimiento y revisiones de forma periódica.
Lo primero que debes saber es que las baterías que se utilizan en los SAI deben ser reemplazadas cada
cierto tiempo y aunque los fabricantes cifran dicho recambio en los 3 años, se debe de entender que dicha
fecha puede variar desentendiendo de varios factores.
Uno de estos factores es la temperatura. Por regla general un SAI no debe exceder los 25ºC. A partir de
ahí una mayor temperatura se traducirá a una pérdida de la longevidad de la vida útil de la batería, por lo
tanto se debe mantener el SAI en un lugar fresco, seco.
Es importante también no sobrecargar el SAI, lo razonable es que la carga nunca exceda el 80% de su
capacidad. Por ejemplo tenemos un SAI de 400 vatios, no le conectemos equipos que consuman más de
320 vatios.
Pág. 8 de 14
Seguridad y Alta disponibilidad
Por último, debes de tener en cuenta que la vida de las baterías disminuye si no están en funcionamiento,
de manera que, si el SAI está almacenado sin ser usado, se aconseja cargar y descargar las baterías
periódicamente. Además a pesar de que la mayoría de los SAI incorporan sistemas de auto calibración, es
recomendable no realizar este proceso más de una vez al año.
• Claves de acceso.
• Tarjetas de identificación.
• Copias de seguridad.
• Listas de control de acceso.
• Control horario.
• Roles.
• Cortafuegos.
• Distribución de carga.
• Redundancia de sistemas
• Informes forenses: Los resultados del análisis forense se documentan en informes forenses que
son utilizados para presentar pruebas en investigaciones legales o internas. Estos informes deben
ser precisos, detallados y claros.
• Cumplimiento normativo: En muchos casos, el análisis forense es necesario para cumplir con
regulaciones y leyes relacionadas con la seguridad de los datos y la privacidad, como el
Reglamento General de Protección de Datos (GDPR) en la Unión Europea o la Ley de
Privacidad y Protección de Datos de California (CCPA) en los Estados Unidos.
Pág. 9 de 14
Seguridad y Alta disponibilidad
Supone una fase inicial en el proceso de implantación de medidas de seguridad activas (que requieren de
intervención humana). Una vez realizado el informe la empresa deberá decidir las medidas a tomar .
El contenido mínimo de un informe de seguridad según la norma IS0 19011 “Directrices de auditoría de
Sistemas de Gestión”. La norma ISO 19011 establece las directrices para llevar a cabo auditorías de
sistemas de gestión, incluidos los sistemas de gestión de seguridad de la información (SGSI) basados en
la norma ISO 27001. Aunque la norma ISO 19011 proporciona pautas generales para la elaboración de
informes de auditoría, no prescribe un formato específico para el informe. Sin embargo, aquí te
proporciono un resumen de los elementos que se deben considerar al crear un informe de seguridad
basado en la norma ISO 19011:
• Objetivo y alcance:
◦ Descripción breve del alcance y objetivo de la auditoría.
◦ Mención de las normas o criterios utilizados para la auditoría.
• Detalles de la Auditoría:
◦ Información sobre el equipo de auditoría, incluyendo nombres y roles de los auditores.
◦ Fechas y duración de la auditoría.
◦ Áreas o procesos auditados.
• Criterios de Auditoría. Mención de los criterios de auditoría, que pueden incluir referencias a
normas, políticas internas, regulaciones, etc.
Pág. 10 de 14
Seguridad y Alta disponibilidad
• Aprobación y Firma. Firma del auditor líder o equipo de auditoría y aprobación por parte de la
dirección de la organización.
• Anexos (si es necesario). Cualquier documentación adicional que respalde los hallazgos y
las recomendaciones, como registros de auditoría, evidencia fotográfica, etc.
Recuerda que la norma ISO 19011 enfatiza la importancia de que el informe de auditoría sea claro,
completo y preciso. Además, el informe debe estar diseñado para ser comprensible tanto para el equipo de
auditoría como para la dirección de la organización auditada. El formato y el contenido exactos del
informe pueden variar según las necesidades específicas de la auditoría y la organización.
El análisis forense de sistemas informáticos sigue un proceso estructurado que consta de varias fases.
Estas fases proporcionan un marco para llevar a cabo investigaciones efectivas y garantizar la integridad
de la evidencia digital. Aquí están las fases típicas del análisis forense de sistemas informáticos:
• Fase de Preparación:
◦ Definir el alcance de la investigación.
◦ Identificar los recursos necesarios, como herramientas forenses y personal.
◦ Asegurarse de que se tomen medidas para preservar la evidencia, como asegurar el acceso
físico a los sistemas involucrados.
• Fase de Análisis:
◦ Examinar la evidencia digital recopilada. Esto puede incluir la búsqueda de archivos,
registros, metadatos y cualquier otro dato relevante.
◦ Identificar patrones y artefactos que puedan indicar actividades maliciosas o inusuales.
◦ Reconstruir secuencias de eventos para comprender cómo se produjo el incidente.
• Fase de Documentación:
◦ Crear informes forenses detallados que resuman los hallazgos y las conclusiones de la
investigación.
◦ Asegurarse de que los informes sean claros, precisos y adecuados para su presentación en un
entorno legal si es necesario.
• Fase de Presentación:
◦ Presentar los resultados y hallazgos a las partes interesadas, que pueden incluir la dirección
de la organización, abogados o fuerzas del orden público si la investigación es de naturaleza
criminal.
• Fase de Cierre:
Pág. 11 de 14
Seguridad y Alta disponibilidad
• Fase de Revisión:
◦ Realizar una revisión posterior a la auditoría para evaluar la eficacia del proceso de análisis
forense y buscar oportunidades de mejora.
Es importante destacar que el análisis forense de sistemas informáticos debe llevarse a cabo con cuidado,
siguiendo procedimientos estrictos para garantizar la integridad de la evidencia y la legalidad de la
investigación, especialmente si se espera que los resultados sean utilizados en procedimientos legales o
judiciales.
4.2.1 Herramientas
La elección de las mejores herramientas de análisis forense, ya sean de código abierto o de pago, depende
en gran medida de las necesidades específicas de la investigación, el sistema operativo involucrado y el
presupuesto disponible. A continuación, se mencionan algunas de las herramientas más destacadas, que
incluyen opciones tanto de código abierto como de pago:
1. Autopsy: Es una interfaz gráfica de usuario (GUI) para The Sleuth Kit. Es ampliamente utilizada y es
conocida por su facilidad de uso y capacidades de análisis forense.
2. The Sleuth Kit (TSK): Ofrece una amplia gama de herramientas de línea de comandos para el análisis
forense de sistemas de archivos y discos.
3. Volatility: Es una herramienta líder en el análisis de memoria forense, especialmente útil para
examinar la memoria RAM de sistemas comprometidos.
5. Plaso (log2timeline): Ayuda a la creación de líneas de tiempo de eventos forenses a partir de registros
de eventos de sistemas y otros datos de registro.
Herramientas de Pago:
1. EnCase: EnCase es una de las suites de análisis forense más conocidas y utilizadas en el mundo.
Ofrece una amplia gama de herramientas y características avanzadas para investigaciones forenses.
2. X-Ways Forensics: Es una herramienta de análisis forense altamente respetada que proporciona una
variedad de funciones avanzadas, incluida la recuperación de datos y el análisis de sistemas de archivos.
3. FTK (Forensic Toolkit): Desarrollado por AccessData, FTK es una herramienta integral que incluye
capacidades de análisis de disco, memoria y red, así como funciones avanzadas de búsqueda.
4. Nuix: Es una plataforma forense y de eDiscovery que ofrece análisis de datos forenses a gran escala y
capacidades avanzadas de descubrimiento electrónico.
6. Magnet AXIOM: Es una herramienta de análisis forense digital que abarca desde la adquisición de
datos hasta la generación de informes.
Pág. 12 de 14
Seguridad y Alta disponibilidad
8. BlackBag BlackLight: Diseñada para analizar sistemas Mac y dispositivos iOS, ofrece capacidades
avanzadas para investigaciones forenses en el ecosistema de Apple.
La elección de la mejor herramienta depende de factores como el tipo de caso, el sistema operativo
involucrado, el presupuesto y la experiencia del investigador forense. En muchos casos, los profesionales
utilizan una combinación de herramientas, tanto de código abierto como de pago, para obtener resultados
óptimos en sus investigaciones. También es importante asegurarse de que cualquier herramienta utilizada
cumpla con las leyes y regulaciones aplicables en el área de análisis forense.
En una auditoría de seguridad, los auditores pueden revisar una amplia variedad de ficheros y registros
para evaluar la postura de seguridad de una organización y detectar posibles vulnerabilidades o riesgos. A
continuación, se mencionan algunos de los ficheros y registros más comunes que se utilizan en auditorías
de seguridad:
1. Registros de Eventos del Sistema (Logs): Estos registros contienen información sobre eventos y
actividades en sistemas y aplicaciones. Los tipos comunes de registros incluyen:
- Registros de eventos de Windows (Event Viewer).
- Registros de eventos de sistemas basados en Unix/Linux (syslog).
- Registros de eventos de aplicaciones y servicios.
2. Registros de Firewall y Registro de Acceso a Red: Estos registros registran el tráfico de red y las
actividades de firewall. Pueden ayudar a identificar intentos de intrusión y comportamientos anómalos en
la red.
5. Registros de Servidores de Correo Electrónico: Estos registros pueden ayudar a rastrear la actividad
de correo electrónico, como intentos de phishing o distribución de malware a través del correo
electrónico.
6. Registros de Bases de Datos: Los registros de bases de datos registran las consultas y actividades
realizadas en bases de datos. Pueden ayudar a identificar consultas maliciosas o inusuales.
7. Registros de Sistemas de Detección de Intrusos (IDS) e Intrusion Prevention Systems (IPS): Estos
registros registran eventos relacionados con la detección de intentos de intrusión y la respuesta a
amenazas. Pueden proporcionar información valiosa sobre actividades maliciosas.
10. Registros de Acceso a Servidores y Estaciones de Trabajo: Estos registros registran quién accedió
a servidores y estaciones de trabajo, cuándo lo hicieron y qué acciones realizaron.
Pág. 13 de 14
Seguridad y Alta disponibilidad
11. Registros de Acceso a Recursos en la Nube: Para organizaciones que utilizan servicios en la nube,
es importante revisar los registros de acceso y actividad en la nube, como registros de acceso a cuentas de
proveedores de servicios en la nube y registros de actividad de máquinas virtuales.
Estos son solo algunos ejemplos de los tipos de registros y ficheros que los auditores de seguridad pueden
revisar durante una auditoría. La elección de los registros específicos depende de los objetivos de la
auditoría y de la infraestructura tecnológica de la organización.
Pág. 14 de 14