7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

0Ï'8/2
)XQGDPHQWRVGHOD6HJXULGDG


,QWURGXFFLyQ/D6HJXULGDGHQQXHVWUDVRFLHGDG

Se dice que algo es seguro cuando no es susceptible de fallar, en
cualquiera de los sentidos o alusiones hacia ese objeto o afirmación. La
seguridad es un concepto que trasciende a la mayor parte de las actividades
humanas.
Siempre que exista un bien a proteger, se dedicará tiempo y recursos a
neutralizar las posibles amenazas que puedan sufrir por medio de mecanismos,
llamados de seguridad.
Por otro lado, la tecnología asociada al proceso de datos se ha convertido
en elemento esencial en nuestras vidas. La informática ha pasado a ser algo
sin lo cual es imposible concebir ciertos aspectos de la actualidad, tanto
científica como civil.

La combinación de los dos hechos anteriores determina uno de los

conceptos actuales más controvertidos: VHJXULGDG LQIRUPiWLFD. Cada vez, y
con más frecuencia, se delega en los equipos informáticos, las
responsabilidades para la gestión de productos, personas, votos, información
en general. Debido a esto, cada vez será mayor la posibilidad de que se
produzcan errores en la gestión de la información:
• aumentará la gravedad de estos errores en la gestión,
• aumentará el beneficio extraíble de estos fallos y
• aumentará el número de personas interesadas en producir estos
fallos.


/DGLVFLSOLQDGHOD6HJXULGDG

Aparte de lo escrito anteriormente, existen otros factores que hacen de la
seguridad informática una disciplina particularmente difícil:
• pueden ocasionarse muchos daños a distancia, con un riesgo
mínimo para quien los provoca
• el equipo necesario para ejercer la delincuencia informática tiene un
coste relativamente bajo
• aunque en la práctica es difícil, sería posible borrar toda huella del
delito


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

• no existe una formación sólida sobre los sistemas a administrar,

debido a la complejidad y rápido avance de los mismos
• la legislación no va a la par con los avances informáticos y existen
dificultades para aplicar las leyes existentes
• los delitos no siempre son denunciados por parte de las
organizaciones debido a la publicidad adversa que se puede
generar

El resultado es que, con mayor frecuencia, los medios de comunicación,

especializados o no, dan a conocer casos de fraude, espionaje, destrucción de
la propiedad intelectual, sabotaje, intrusión, robo, plagio o competencia desleal,
relacionados con el mundo de la informática.

Estos sucesos pueden ocasionarlos un empleado vengativo, un

administrador ineficaz, un intruso informático, un usuario irresponsable,
software mal desarrollado o una catástrofe natural. Sus blancos pueden estar
perfectamente seleccionados o totalmente indiscriminados, de consecuencias
inmediatas o solamente visibles con el paso del tiempo, pero todos ellos se
traducen en pérdidas de tiempo y dinero para las empresas que los sufren.


$WDTXHVDOD6HJXULGDG

Hasta la aparición de la informática la valoración de los activos de una

empresa se hacía según los objetos físicos útiles, las producciones propias, las
infraestructuras, la tesorería y el capital humano. Desde los últimos años se ha
añadido un nuevo capital tan importante como los anteriores, el valor de la
información. No es que antes no existiera la información en las empresas, el
espionaje industrial es tan antiguo como la revolución industrial, pero se
mantenía con el sistema de papel y archivadores y formaba parte de los activos
de la oficina. Hoy en día, la información se aneja en grandes cantidades y de
procedencias muy diversas, el valor añadido de una empresa puede ser la
información que maneja.

Como capital de la empresa cada vez es más importante mantener la

seguridad de la información, pero también los riesgos cada vez son mayores.

Estos riesgos se pueden clasificar por su procedencia en tres categorías:

ƒ Errores involuntarios de personas y/o máquinas.

ƒ Desastres naturales.

ƒAtaques voluntarios.


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

Los primeros, los ataques involuntarios, son los más comunes. Sobre el
80 % de los casos. Los problemas creados por éstos se pueden clasificar en
dos familias:

ƒ Denegación de servicio: no disponibilidad de los recursos.

ƒObservación no autorizada: confidencialidad. Acceso a la

información y su modificación ya sea borrando, añadiendo o
sustituyendo datos.

La protección de la información es más grave desde la aparición de las

redes telemáticas. Estas redes, y especialmente Internet, hacen que la
información sea un problema global y no aislado a las máquinas internas de la
empresa. Las tecnologías aplicadas a la seguridad en redes están en su fase
de desarrollo inicial, especialmente por dos motivos:

ƒ La mayoría de los sistemas operativos están pensados para

arquitecturas mainframe/terminal y no para arquitecturas
cliente/servidor o Internet/Intranet que se utilizan actualmente.

ƒ No existen estándares ni organizaciones mundiales aceptadas por

todas las empresas proveedoras de seguridad.

Al diseñar un sistema de seguridad para la empresa la pregunta es

¿existe un sistema completamente seguro? La respuesta es NO.




“Un ordenador seguro es aquel desconectado de la red, enterrado en un
bunker de hormigón, varios metros bajo tierra, con un guardia de seguridad en
la puerta, ... y aún y así no es posible garantizar que esté completamente
seguro”

'HILQLFLyQ7pFQLFDGHOD6HJXULGDG,QIRUPiWLFD

Una de las mejores definiciones actuales de Seguridad Informática es la

que podemos encontrar en el libro Unix Systems Security Tools de Seth T.
Ross:
“La seguridad es la habilidad de un sistema de proteger la información y
los recursos del sistema con respecto a la confidencialidad y a la integridad.”


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

En general para proteger la información se utilizan los servicios de

seguridad que según su utilidad se pueden clasificar en:

ƒ $XWHQWLFDFLyQ: Autenticar a un usuario es comprobar que es quien

declara ser. La autentificación se puede realizar actualmente con
diferentes métodos. El más común es el de login y password, pero
también existen los tokens, las smart cards, sistemas biométricos,
los certificados digitales, etc.

ƒ &RQWURO GH $FFHVRV: Protege la información contra accesos no

deseados, tanto físicos como lógicos.

ƒLa &RQILGHQFLDOLGDG es la capacidad de mantener el contenido de

un documento en secreto.

ƒSe dice que un documento es tQWHJUR si su contenido no ha sido
alterado o modificado.

ƒ1R UHSXGLR: Evita que una persona autorizada sea rechazada al
acceder a la información.

ƒ'LVSRQLELOLGDG: Asegura el funcionamiento de todos los recursos.


No es necesario que utilicemos modelos informáticos para entender los
conceptos: autentificación, confidencialidad e integridad. Los podemos ver en la
vida cotidiana. Cuando recibimos un correo por la vía tradicional los tres
conceptos anteriores están implícitos. Gracias al sobre sabemos que nadie ha
podido modificar su contenido y por tanto nos ha llegado el documento
completamente íntegro. El sobre también nos garantiza la confidencialidad, ya
que nadie ha podido leer su contenido. La firma que encontramos en el
documento nos garantiza su autenticidad.




&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

&RQFHSWR 3URFHVRGH 6HJXULGDG

³6HJXULGDG´ 'DWRV ,QIRUPiWLFD

6HJXULGDG 5HGHV\ 6HJXULGDG

,QIRUPiWLFD &RPXQLFDFLRQ 7HOHPiWLFD
 HV




1LYHOHV&RQFHSWXDOHVGH6HJXULGDG

El concepto actual de seguridad es demasiado amplio, debe cubrir

distintos ámbitos, muy cambiantes y que se encuentran muy relacionados entre
sí. Debido a esta característica no es posible diseñar una estrategia lineal que
sea al mismo tiempo eficaz, sino que se debe estructurar, planificar e instalar
de forma jerárquica. Creando niveles conceptuales que reflejarán los
requerimientos del sistema particular, y las medidas que se han de tomar en
cada caso.

En este sentido distinguimos tres niveles principales:

3ROtWLFDVGH
6HJXULGDG

0RGHORVGH
6HJXULGDG

0HFDQLVPRVGH
6HJXULGDG


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

0HFDQLVPRVGH6HJXULGDG

Son aquellas técnicas, dispositivos y medidas de nivel inferior. Se aplican

a los equipos y / o su entorno con un objetivo claro y bien definido.

Algunos ejemplos de Mecanismos de Seguridad pueden ser procesos de

detección, previsión, o recuperación en caso de ataque, y pueden ser desde
barreras físicas a los equipos, decisiones administrativas, etc... hasta
programas de protección, utilidades de detección y monitorización,
modificaciones del hardware, gestión personalizada del software, etc,...



0RGHORVGH6HJXULGDG

Se sitúan en un nivel conceptual superior. Éstos modelos expresan

matemáticamente los requerimientos de la política de seguridad de un sistema
de una forma precisa. Estos modelos se adaptan al entorno específico en el
que deben ser usados, militar, científico, empresarial,...


3ROtWLFDVGH6HJXULGDG

Son aquellas medidas de nivel superior, que están constituidas por un
conjunto de reglas y prácticas que indican la forma de proteger, distribuir, y
manipular los datos, el software y el hardware de la organización. Se suelen
expresan en lenguaje natural y suelen diferenciar claramente los sujetos y los
objetos. Sujetos son todas aquellas unidades activas en el sistema como
usuarios y procesos, mientras que objetos son aquellas unidades pasivas tales
como protocolos, datos, o dispositivos.



&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD



1LYHOHV7HOHPiWLFRVGHOD6HJXULGDG

Por lo que respecta a la Seguridad Telemática propiamente dicha, los

modelos de seguridad se pueden ampliar a 7 niveles, un modelo por cada capa
de la torre OSI (Nivel Físico, Nivel de Enlace, Nivel de Red, Nivel de
Transporte, Nivel de Sesión, Nivel de Presentación y Nivel de Aplicación).



 / ,QIR  / ,QIR

  / / ,QIR  / / ,QIR


 
 / / / ,QIR / / / ,QIR

  
/ / / / ,QIR / / / / ,QIR


 /  / / / / ,QIR  / / / / / ,QIR


/ / / / / / ,QIR  /
/ / / / / ,QIR

6HJXULGDG)tVLFD

Por seguridad física podemos entender todas aquellas mecanismos,
generalmente de prevención y detección, destinados a proteger físicamente
cualquier recurso del sistema; estos recursos son desde un simple teclado
hasta una cinta de backup con toda la información que hay en el sistema,
pasando por la propia CPU de la máquina.

En muchas organizaciones se suelen tomar medidas para prevenir o

detectar accesos no autorizados o denegaciones de servicio, pero rara vez
para prevenir la acción de un atacante que intenta acceder físicamente a la
sala de operaciones o al lugar donde se depositan las impresiones del sistema.
Esto motiva que en determinadas situaciones un atacante se decline por
aprovechar vulnerabilidades físicas en lugar de lógicas, ya que posiblemente le
sea más fácil robar una cinta con una imagen completa del sistema que intentar
acceder a él mediante fallos en el software.
La seguridad física es demasiado importante como para ignorarla: un
ladrón que roba un ordenador para venderlo, un incendio o un pirata que
accede sin problemas a la sala de operaciones puede hacer mucho más daño


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

que un intruso que intenta conectar remotamente con una máquina no

autorizada; no importa que se utilicen los más avanzados medios de cifrado
para conectar servidores, ni que se haya definido una política de cortafuegos
muy restrictiva: si no se tienen en cuenta factores físicos, estos esfuerzos para
proteger nuestra información no sirven de nada.
El hardware es frecuentemente el elemento más caro de todo sistema
informático. Por tanto, las medidas encaminadas a asegurar su integridad son
una parte importante de la seguridad física de cualquier organización.
Son muchas las amenazas al hardware de una instalación informática; a
continuación se van a presentar algunas de ellas, sus posibles efectos y
algunas soluciones, si no para evitar los problemas sí al menos para minimizar
sus efectos.


7HUUH

'HVDVWUHV PRWRV
7RUPHQWDV 
1DWXUDOHV (OpFWULFDV 
,QXQGD

FLRQHV

(OHFWUL 
'HVDVWUHVGHO FLGDG 
(QWRUQR &RUULHQWH

(VWiWLFD 
,QFHQGLRV\
+XPRV 

7HPSHUDWXUDV
([WUHPDV 

$FFHVR)tVLFR1R 
$XWRUL]DGR 



'HVDVWUHVQDWXUDOHV
Un problema que no suele ser muy habitual, pero que en caso de
producirse puede acarrear gravísimas consecuencias, es el derivado de los
desastres naturales y su (falta de) prevención.

$PHQD]D³7HUUHPRWRV´
Los terremotos son el desastre natural menos probable en la mayoría de
organismos ubicados en España, simplemente por su localización geográfica:
no se puede considerar una zona donde se suelan producir temblores de
intensidad considerable; incluso en zonas del sur de España, como Almería,
donde la probabilidad de un temblor es más elevada, los terremotos no suelen
alcanzan la magnitud necesaria para causar daños en los equipos. Por tanto,
no se suelen tomar medidas serias contra los movimientos sísmicos, ya que la
probabilidad de que sucedan es tan baja que no merece la pena invertir dinero
para minimizar sus efectos.


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

$PHQD]D³7RUPHQWDV(OpFWULFDV´
Las tormentas con aparato eléctrico, especialmente frecuentes en verano
(cuando mucho personal se encuentra de vacaciones, lo que las hace más
peligrosas) generan subidas súbitas de tensión infinitamente superiores a las
que pueda generar un problema en la red eléctrica, como se verá a
continuación. Si cae un rayo sobre la estructura metálica del edificio donde
están situados equipos es casi seguro que se deban comprar otros nuevos; sin
llegar a ser tan dramáticos, la caída de un rayo en un lugar cercano puede
inducir un campo magnético lo suficientemente intenso como para destruir
hardware incluso protegido contra voltajes elevados.

$PHQD]D³,QXQGDFLRQHV´
En muchas empresas el centro de proceso de datos se encuentra en el
sótano, ya que éste es un lugar poco accesible por no disponer de ventanas
por las que los posibles ladrones entren.

3UHYHQFLyQ´'HWHFWRUHVGH$JXD´
Contra las inundaciones las medidas más efectivas son las de
prevención (frente a las de detección); se pueden utilizar detectores de agua en
los suelos o falsos suelos de las salas de operaciones, y apagar
automáticamente los sistemas en caso de que se activen. Tras apagar los
sistemas es posible tener también instalado un sistema automático que corte la
corriente: algo muy común es intentar sacar los equipos - previamente
apagados o no - de una sala que se está empezando a inundar; esto, que a
primera vista parece lo lógico, es el mayor error que se puede cometer si no
hemos desconectado completamente el sistema eléctrico, ya que la mezcla de
corriente y agua puede causar incluso la muerte a quien intente salvar equipos.
Por muy caro que sea el hardware o por muy valiosa que sea la información a
proteger, nunca serán magnitudes comparables a lo que supone la pérdida de
vidas humanas. Otro error común relacionado con los detectores de agua es
situar a los mismos a un nivel superior que a los propios equipos a
salvaguardar (¡incluso en el techo, junto a los detectores de humo!);
evidentemente, cuando en estos casos el agua llega al detector poco se puede
hacer ya por las máquinas o la información que contienen.



'HVDVWUHVGHOHQWRUQR

$PHQD]D(OHFWULFLGDG
Quizás los problemas derivados del entorno de trabajo más frecuentes
son los relacionados con el sistema eléctrico que alimenta nuestros equipos;
cortocircuitos, picos de tensión, cortes de flujo...a diario amenazan la integridad
tanto de nuestro hardware como de los datos que almacena o que circulan por
él.
3UHYHQFLyQ(OHFWULFLGDG
La forma más efectiva de proteger equipos contra estos problemas de la
corriente eléctrica es utilizar un SAI (Servicio de Alimentación Ininterrumpido)


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

conectada al elemento que queremos proteger. Estos dispositivos mantienen

un flujo de corriente correcto y estable de corriente, protegiendo así los equipos
de subidas, cortes y bajadas de tensión; tienen capacidad para seguir
alimentando las máquinas incluso en caso de que no reciban electricidad
(evidentemente no las alimentan de forma indefinida, sino durante un cierto
tiempo, el necesario para detener el sistema de forma ordenada).

$PHQD]D&RUULHQWH(VWiWLFD

Un último problema contra el que ni siquiera los SAIs protegen es la
corriente estática, un fenómeno extraño del que la mayoría de gente piensa
que no afecta a los equipos, sólo a otras personas. Nada más lejos de la
realidad: simplemente tocar con la mano la parte metálica de teclado o un
conductor de una placa puede destruir un equipo completamente. Se trata de
corriente de muy poca intensidad pero un altísimo voltaje, por lo que aunque la
persona no sufra ningún daño - sólo un pequeño calambrazo - el ordenador
sufre una descarga que puede ser suficiente para destrozar todos sus
componentes, desde el disco duro hasta la memoria RAM.

3UHYHQFLyQ&RUULHQWH(VWiWLFD

Contra el problema de la corriente estática existen muchas y muy
baratas soluciones: spray antiestático, ionizadores antiestáticos, etc. No
obstante en la mayoría de situaciones sólo hace falta un poco de sentido
común del usuario para evitar accidentes: no tocar directamente ninguna parte
metálica, protegerse si debe hacer operaciones con el hardware, no mantener
el entorno excesivamente seco, etc.

$PHQD]D,QFHQGLR\KXPR
Una causa casi siempre relacionada con la electricidad son los incendios,
y con ellos el humo; aunque la causa de un fuego puede ser un desastre
natural, lo habitual en muchos entornos es que el mayor peligro de incendio
provenga de problemas eléctricos por la sobrecarga de la red debido al gran
número de aparatos conectados al tendido. Un simple cortocircuito o un equipo
que se calienta demasiado pueden convertirse en la causa directa de un
incendio en el edificio, o al menos en la planta, donde se encuentran invertidos
millones de pesetas en equipamiento.

3UHYHQFLyQ,QFHQGLRV\KXPR

Un método efectivo contra los incendios son los extintores situados en el
techo, que se activan automáticamente al detectar humo o calor. Algunos de
ellos, los más antiguos, utilizaban agua para apagar las llamas, lo que
provocaba que el hardware no llegara a sufrir los efectos del fuego si los
extintores se activaban correctamente, pero que quedara destrozado por el
agua expulsada. Visto este problema, a mitad de los ochenta se comenzaron a
utilizar extintores de halón; este compuesto no conduce electricidad ni deja
residuos, por lo que resulta ideal para no dañar los equipos. Sin embargo,
también el halón presentaba problemas: por un lado, resulta excesivamente


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

contaminante para la atmósfera, y por otro puede asfixiar a las personas a la

vez que acaba con el fuego. Por eso se han sustituido los extintores de halón
(aunque se siguen utilizando mucho hoy en día) por extintores de dióxido de
carbono, menos contaminante y menos perjudicial. De cualquier forma, al igual
que el halón el dióxido de carbono no es precisamente sano para los humanos,
por lo que antes de activar el extintor es conveniente que todo el mundo
abandone la sala; si se trata de sistemas de activación automática suelen
avisar antes de expulsar su compuesto mediante un pitido.

$PHQD]D7HPSHUDWXUDV([WUHPDV
No hace falta ser un genio para comprender que las temperaturas
extremas, ya sea un calor excesivo o un frió intenso, perjudican gravemente a
todos los equipos. Es recomendable que los equipos operen entre 10 y 32
grados Celsius , aunque pequeñas variaciones en este rango tampoco han de
influir en la mayoría de sistemas.
3UHYHQFLyQ7HPSHUDWXUDV([WUHPDV

Para controlar la temperatura ambiente en el entorno de operaciones
nada mejor que un acondicionador de aire, aparato que también influirá
positivamente en el rendimiento de los usuarios (las personas también tenemos
rangos de temperaturas dentro de los cuales trabajamos más cómodamente).
Otra condición básica para el correcto funcionamiento de cualquier equipo que
éste se encuentre correctamente ventilado, sin elementos que obstruyan los
ventiladores de la CPU. La organización física del computador también es
decisiva para evitar sobrecalentamientos: si los discos duros, elementos que
pueden alcanzar temperaturas considerables, se encuentran excesivamente
cerca de la memoria RAM, es muy probable que los módulos acaben
quemándose.


$FFHVR)tVLFR

$PHQD]D$FFHVR)tVLFR1R$XWRUL]DGR
La posibilidad de acceder físicamente a una máquina hace inútiles casi
todas las medidas de seguridad que se hayan aplicado sobre ella:
Abriendo la CPU, el atacante podrá seguramente modificar la información
almacenada, destruirla o simplemente leerla.
Incluso sin llegar al extremo de desmontar la máquina, la persona que
accede al equipo puede pararlo o arrancar una versión diferente del sistema
operativo sin llamar mucho la atención.
El nivel de seguridad física depende completamente del entorno donde se
ubiquen los puntos a proteger (no es necesario hablar sólo de ordenadores,
sino de cualquier dispositivo físico que se pueda utilizar para amenazar la
seguridad, como una toma de red apartada en cualquier rincón de un edificio
de nuestra organización).


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

Mientras que parte de los equipos estarán bien protegidos, por ejemplo los
servidores de un departamento o las máquinas de los despachos, otros
muchos estarán en lugares de acceso semipúblico, es justamente sobre estos
últimos sobre los que debemos extremar las precauciones, ya que lo más fácil
y discreto para un atacante es acceder a uno de estos equipos y, en segundos,
lanzar un ataque completo sobre la red.

3UHYHQFLyQ$FFHVR)tVLFR
¿Cómo prevenir un acceso físico no autorizado a un determinado punto?
Hay soluciones para todos los gustos, y también de todos los precios: desde
analizadores de retina hasta videocámaras, pasando por tarjetas inteligentes o
control de las llaves que abren determinada puerta. Todos los modelos de
autenticación de usuarios son aplicables, aparte de para controlar el acceso
lógico a los sistemas, para controlar el acceso físico; de todos ellos, quizás los
más adecuados a la seguridad física sean los biométricos y los basados en
algo poseído (una tarjeta, una llave, etc).
Pero no hay que irse a sistemas tan complejos para prevenir accesos
físicos no autorizados; normas tan elementales como cerrar las puertas con
llave al salir de un laboratorio o un despacho o bloquear las tomas de red que
no se suelan utilizar y que estén situadas en lugares apartados son en
ocasiones más que suficientes para prevenir ataques. También basta el sentido
común para darse cuenta de que el cableado de red es un elemento importante
para la seguridad, por lo que es recomendable apartarlo del acceso directo; por
desgracia, en muchas organizaciones es posible ver excelentes ejemplos de lo
que no hay que hacer en este sentido: cualquiera que pasee por entornos más
o menos amplios seguramente podrá ver - o pinchar, o cortar...- cables
descolgados al alcance de todo el mundo, especialmente durante el verano,
época que se suele aprovechar para hacer obras.
'HWHFFLyQGHXQDFFHVRItVLFR
Cuando la prevención es difícil por cualquier motivo (técnico, económico,
humano...) es deseable que un potencial ataque sea detectado cuanto antes,
para minimizar así sus efectos. Aunque en la detección de problemas,
generalmente accesos físicos no autorizados, intervienen medios técnicos,
como cámaras de vigilancia de circuito cerrado o alarmas, en entornos más
normales el esfuerzo en detectar estas amenazas se ha de centrar en las
personas que utilizan los sistemas y en las que sin utilizarlos están
relacionadas de cierta forma con ellos; sucede lo mismo que con la seguridad
lógica: se ha de ver toda la protección como una cadena que falla si falla su
eslabón más débil.
Es importante concienciar a todos de su papel en la política de seguridad
del entorno; si por ejemplo un usuario autorizado detecta presencia de alguien
de quien sospecha que no tiene autorización para estar en una determinada
estancia debe avisar inmediatamente al administrador o al responsable de los
equipos, que a su vez puede avisar al servicio de seguridad si es necesario. No
obstante, utilizar este servicio debe ser solamente un último recurso:
generalmente en la mayoría de entornos no estamos tratando con terroristas,
sino con elementos mucho menos peligrosos. Si cada vez que se sospecha de
alguien se avisa al servicio de seguridad esto puede repercutir en el ambiente


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

de trabajo de los usuarios autorizados estableciendo cierta presión que no es

en absoluto recomendable; un simple '¿puedo ayudarte en algo?' suele ser
más efectivo que un guardia solicitando una identificación formal. Esto es
especialmente recomendable en lugares de acceso restringido, como
laboratorios de investigación o centros de cálculo, donde los usuarios
habituales suelen conocerse entre ellos y es fácil detectar personas ajenas al
entorno.

5RERGH'DWRV

$PHQD]D3URWHFFLyQGHGDWRV
La seguridad física también implica una protección a la información de
nuestro sistema, tanto a la que está almacenada en él como a la que se
transmite entre diferentes equipos. Aunque los apartados comentados en la
anterior sección son aplicables a la protección física de los datos (si se protege
el hardware también se protege la información que se almacena o se transmite
por él), hay ciertos aspectos a tener en cuenta a la hora de diseñar una política
de seguridad física que afectan principalmente, aparte de a los elementos
físicos, a los datos de una organización; existen ataques cuyo objetivo no es
destruir el medio físico de nuestro sistema, sino simplemente conseguir la
información almacenada en dicho medio.
3UHYHQFLyQ%DFNXSV
En este apartado no vamos a hablar de las normas para establecer una
política de realización de copias de seguridad correcta, ni tampoco de los
mecanismos necesarios para implementarla o las precauciones que hay que
tomar para que todo funcione correctamente; el tema que vamos a tratar en
este apartado es la protección física de la información almacenada en backups,
esto es, de la protección de los diferentes medios donde residen nuestras
copias de seguridad. Hemos de tener siempre presente que si las copias
contienen toda nuestra información tenemos que protegerlas igual que
protegemos nuestros sistemas.
Un error muy habitual es almacenar los dispositivos de backup en lugares
muy cercanos a la sala de operaciones, cuando no en la misma sala; esto, que
en principio puede parecer correcto (y cómodo si se necesitan restaurar unos
archivos) puede convertirse en un problema: por ejemplo si se produce un
incendio de grandes dimensiones y todo el edificio queda reducido a cenizas.
En este caso extremo tendremos que unir al problema de perder todos los
equipos el perder también todos los datos, tanto los almacenados en los discos
como los guardados en backups. Por esto mismo, resulta recomendable
guardar las copias de seguridad en una zona alejada de la sala de
operaciones, aunque en este caso se descentralice la seguridad y sea
necesario que proteger el lugar donde almacenamos los backups del mismo
modo que la propia sala o los equipos situados en ella.
También suele ser común etiquetar las cintas donde se realizan las copias
de seguridad con abundante información sobre su contenido (sistemas de
ficheros almacenados, día y hora de la realización, sistema al que


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

corresponde...); esto tiene una parte positiva y una negativa. Por un lado,
recuperar un fichero es rápido: sólo tenemos que ir leyendo las etiquetas hasta
encontrar la cinta adecuada. Sin embargo, igual que para un administrador es
fácil encontrar el backup deseado también lo es para un intruso que consiga
acceso a las cintas, por lo que si el acceso a las mismas no está bien
restringido un atacante lo tiene fácil para sustraer una cinta con toda nuestra
información.
No obstante, si no se etiquetan las copias de seguridad, ¿cómo elegir la
cinta a restaurar en un momento dado? Evidentemente, se necesita cierta
información en cada cinta para poder clasificarlas, pero esa información nunca
debe ser algo que le facilite la tarea a un atacante. Y si aún pensamos que
alguien puede sustraer todas las copias, simplemente se deben realizar
backups cifrados, controlando más el acceso al lugar donde se almacenan.


2WURV(OHPHQWRV
En muchas ocasiones los responsables de seguridad de los sistemas
tienen muy presente que la información a proteger se encuentra en los equipos,
en las copias de seguridad o circulando por la red (y por lo tanto toman
medidas para salvaguardar estos medios), pero olvidan que esa información
también puede encontrarse en lugares menos obvios, como listados de
impresora, facturas telefónicas o la propia documentación de una máquina.
Elementos que también pueden ser aprovechados por un atacante para
comprometer la seguridad son todos aquellos que revelen información de los
sistemas o del personal que los utiliza, como ciertos manuales (proporcionan
versiones de los sistemas operativos utilizados), facturas de teléfono (pueden
indicar los números de nuestros módems) o agendas de operadores (revelan
los teléfonos de varios usuarios, algo muy provechoso para alguien que intente
efectuar ingeniería social contra ellos). Aunque es conveniente no destruir ni
dejar a la vista de todo el mundo esta información, si se desea eliminarla no se
debe limitar a arrojar documentos a la papelera.


6HJXULGDGDQLYHOGH(QODFH5HG7UDQVSRUWH
De estos niveles OSI depende en gran medida la seguridad de una red.
Numerosos problemas derivados de diseños de topología de redes y de los
protocolos de enrutado entre los distintos elementos son puntos que atacantes
aprovechan para introducirse en redes.
Aparte, todos los elementos pasivos que intervienen en la red y sus
derivados a nivel de enlace / red / transporte, se tienen routers, firewalls y
proxies; estos son en gran medida puntos sobre los que un atacante puede
encontrar gran número de vulnerabilidades y por tanto puntos sobre los que un
administrador de sistemas debe prestar especial atención.


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

Seguridad en Dispositivos de Red

Los dispositivos de red son uno de los puntos débiles de cualquier red.
Switches, Routers, Hubs, balanceadores de carga, etc. Son los responsables
de la topología de red resultante, y por tanto, una variación en su configuración
puede afectar a toda la red.
Estos dispositivos tienen diferentes modos de administración, pero
básicamente los remotos se basan en un protocolo algo desfasado en cuanto a
seguridad como es el SNMP.
Sus funciones en cuanto a seguridad se centran básicamente en una
palabra de paso para poder tener acceso de lectura a la configuración del
dispositivo, y otra para tener acceso de escritura al dispositivo. La fortaleza de
este tipo de contraseñas es vital a la hora de que un dispositivo de red esté
correctamente instalado en un entorno seguro.
Obviamente otro de los puntos de seguridad en este tipo de dispositivos
se centra en la seguridad física; más en el acceso físico a estos. La mayor
parte de los dispositivos de red posee un sistema de administración a través de
consola. Este sistema permite a través de una conexión serie, un acceso a la
consola de administración del dispositivo. Normalmente este acceso viene
confiado a contraseñas poco seguras o conocidas, dado que son suministradas
por el propio fabricante.
Asimismo cada tipo de dispositivos tiene diferentes tipos de
vulnerabilidades asociadas a sus funciones.



Por ejemplo, un conmutador de red (Switch) funciona a nivel de MAC.
De manera que conmuta las conexiones en función de este dato. Una
saturación de MACs en un dispositivo de este tipo, puede bloquear tanto un
conmutador que finalmente deje de funcionar como debería y empiece a
funcionar como un concentrador de red (Hub).



Vulnerabilidades en la pila TCP/IP
En la época en la que se diseñó el protocolo TCP/IP se tuvo más en
cuenta la estabilidad y su rendimiento que la seguridad, cuestión que carecía
de importancia en su diseño preliminar. Hoy en día es uno de los protocolos de
red más utilizados y el responsable de la red Internet.
TCP/IP o UDP/IP llevan asociados el concepto de puerto que es el lugar
donde un servicio “escucha” o espera conexiones.


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD


En un servidor podemos tener varios puertos o servicios escuchando. La
manera más simple de representar esta situación es la dirección IP del equipo
seguido del número identificador del puerto. Por ejemplo, 172.16.1.123:80 es el
servicio web del equipo con IP 172.16.1.123.
Dos servicios diferentes no pueden tener un mismo puerto asignado, pero
un determinado servicio si que puede arrancarse sobre varios puertos. Por
ejemplo, un servidor puede tener un servicio FTP arrancado en el puerto 21 (el
de por defecto) y otro o el mismo en el 6623.
Cuando se establece la conexión entre dos equipos, por ejemplo, el
equipo A conectándose al puerto 80 del equipo B. El equipo A lo hace abriendo
un puerto local a partir del 1024 en el que escucha las respuestas del puerto 80
del equipo B.
Cuando se crea la conexión entre los dos puertos, TCP crea un flujo de
datos con corrección y comprobación de errores entre ambos servicios o
procesos. De esta manera si se produce un error en la transmisión es el propio
protocolo el encargado de pedir la retransmisión del paquete. De esta manera
se minimizan los errores de transmisión de grandes cantidades de información. 


En el caso de transmisión de datos mediante UDP, la corrección y
comprobación de errores, así como el flujo mantenido no es necesario. Este
tipo de protocolos no está orientado hacia la conexión y es más empleado en la
distribución de datos en redes cerradas o distribución de información a nivel de
broadcast.

Los servicios de control de Internet usan un protocolo implementado al

mismo nivel que UDP y TCP. Su misión consiste en permitir comunicación
entre equipos y dispositivos de red.

Los servicios típicos suelen ser:

ƒ (FKR: Se pide a otro equipo de la red que responda con otro
paquete ICMP. De esta manera tendremos información sobre el
estado del equipo remoto, tiempos de retardo, pérdida de paquetes
en el camino, etc.

ƒ (FKR UHSO\: Es la contestación a un paquete ICMP echo.

Normalmente los firewalls suelen filtrar este tipo de tráfico en
ambos sentidos, puesto que permite a atacantes obtener
información sobre la topología de red.


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

ƒ 5HGLUHFW: Enrutamiento básico, los routers que se encuentran cerca

mantienen este tipo de tráfico para dar a conocer qué routers están
en su misma red física y avisar de rutas.

ƒ 'HVW XQUHDFKDEOH: advierte que el equipo destino no está

disponible. Ya sea que el puerto no está abierto, el host no
responde o la red está colapsada.

Aunque existen muchos más servicios ICMP éstos son los que
comúnmente se localizan con más frecuencia.


Routers y Técnicas de Enrutado

Se entiende por enrutamiento la función de hacer llegar los paquetes de

información de una máquina a otra, sin tener en cuenta ni el medio físico ni la
calidad de los datos que se transmiten. Para que esto se lleve a cabo el
sistema emisor debe conocer que otros sistemas están en su misma red y a
donde debe enviar los datos en caso de que la máquina no pertenezca a su
entorno directo.

Hay diferentes técnicas de enrutado, y el uso de uno de los métodos a lo

largo de su transmisión no excluye al resto. A continuación se comentan
algunas de ellas.

ƒ Directamente: Cuando los dos equipos se encuentran en la

misma red física, el paquete no se enruta y es el propio enlace de
red quien se encarga de que el paquete se retransmita sin pasar a
través de ningún router, por tanto, no se habla de enrutado en
estos casos.

ƒ Salto al Siguiente: La forma más sencilla de enrutado consiste en
conectar dos redes diferentes a través de un dispositivo router
que se encarga de unir dos redes. Para que un paquete llegue de
una red a otra el router retransmite a través de uno de sus
interfaces el paquete para que le llegue por el otro. Para realizar
este paso el router posee estas dos interfaces pertenecientes a
cada una de las diferentes redes.

ƒ RIP (Routing Information Protocol): Este tipo de enrutado es de

los considerados internos, es decir, sólo se usa en redes a un
nivel inferior que el de backbone de comunicaciones. Por ejemplo,
es muy usado en casi todas las conexiones de redes de oficinas a
Internet a través de routers sencillos. Cuando un nuevo router se
conecta a la red avisa de las rutas y su dirección IP al resto de
routers presentes en la red mediante un mensaje de tipo RIP. Por
tanto este tipo de protocolo es un sistema de intercambio de


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

información entre routers de manera que entre ellos compartan

información sobre la topología, para saber hacia donde deben
enrutar un paquete para que éste llegue a su destino.

ƒ OSPF (Open Shortest Path First): Al igual que RIP, OSPF se

utiliza en redes internas, en un principio es sencillo. Un router
conoce cuales son los routers de su entorno (área) y a que
distancia (métrica) se encuentran. De esta manera se crean áreas
de routers que se pueden considerar cercanos y se establecen
routers frontera entre las diferentes áreas. Cuando un paquete se
envía de un equipo a otro éste atraviesa únicamente los routers
necesarios, estableciendo el camino más corto, es decir, el de
menos saltos.


Un router tiene en uno de sus interfaces a un equipo que quiere
ponerse en contacto con otro equipo al que puede llegar a través de otro
de los interfaces conectado a una red frame relay mediante 4 saltos, y
otra interfaz conectada a RDSI y con una distancia de dos saltos hasta el
equipo remoto. El paquete viajara a través de este segundo interfaz sin
importarle el ancho de banda o la calidad del enlace.

Debido a la complejidad de este tipo de enrutados muy sujeto a la

topología, con poca capacidad de crecimiento y reestructuración no está
muy extendido, aunque debido a sus capacidades, grandes
corporaciones y empresas lo implementan, ya que solucionan problemas
de balanceos de carga eficientemente.

ƒ BGP (Border Gateway Protocol): Este tipo de protocolos es

relativamente complejo y se implementa en la interconexión de
redes a nivel de backbone de Internet. Este protocolo incluye
parámetros como anchos de banda, denegación de tráfico, coste
de la conexión, saturación de la línea, etc. A la hora de transmitir
un paquete todos estos parámetros influyen en la ruta que el
paquete va a tomar.

Básicamente un router BGP da a conocer sus rutas al resto de

routers BGP ya sean cercanos o remotos. Este tipo de enrutado
usa mensajes del mismo modo que RIP y OSPF, pero la
complejidad de estos es mayor.

BGP está usado por grandes compañías de telecomunicaciones y

proveedores de conexión a Internet.


Por ejemplo tenemos la conexión de ISPs con puntos neutros
como Espanix (punto neutro de interconexión en España).



&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

Proxies

Un proxy es un sistema software de intermediario entre dos redes que

permite regular el tráfico de salida y entrada entre ellas a través de un único
Host, gestionándose de esta manera tanto el tráfico como el contenido de las
comunicaciones entre los dos entornos. Generalmente un proxy de sesión
permite conectarse a equipos de una red local a otra red, por ejemplo a
equipos de Internet, a través de un único equipo y de una única conexión a
Internet.
En el caso de proxies de aplicación estos además poseen una capacidad
extra de cache que permite a usuarios que visiten, por ejemplo, las mismas
páginas web el acceder a ellas mas rápidamente, y ya de paso ahorrando parte
del ancho de banda hacia Internet.

De la gran variedad de software proxy que podemos encontrar
tenemos soluciones de libre distribución como SQUID, un proxy de
aplicación, http://www.squid-cache.org; o como SOCKS un proxy a nivel
de sesión de los más extendidos. Ver el link y explotarlo según sus
posibilidades.

Firewall
Un cortafuegos es un sistema ya sea hardware o software que se encarga
de filtrar tráfico TCP/IP entre redes generalmente; por ejemplo entre Internet y
una red local de una oficina. Por tanto el cortafuegos filtrará el tráfico entrante
desde Internet (una red no fiable) hacia la LAN (nuestra red), y permitirá el
tráfico saliente desde la LAN hacia Internet. A un nivel muy sencillo un
cortafuegos de red puede evitar e incluso bloquear la extensión de un ataque.
De los diferentes tipos de filtrado que existe, se puede generalizar
centrándolos en dos tipos. Filtrado de paquetes, en los que mediante un control
básico basado en la información del protocolo contenida en el paquete IP, éste
se autoriza o se deniega a pasar a la red, en función de una serie de reglas de
filtrado. También, un firewall se puede establecer como un gateway a nivel de
aplicación; de esta manera crea sesiones hacia el destino deseado en función
de la autorización.


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

,QWHUQHW

 

 

    
 

  "! !   ##$$

    
 

+-,/.
$ %'& ( )"*


Independientemente un firewall restringe los servicios que se ofrecen en
cualquier dirección entre dos o mas redes en función de una política de
seguridad preestablecida. El firewall de gateway a nivel de aplicación ejerce
mayor control sobre una sesión, dado que crea y mantiene la conexión
actual con el exterior.

9XOQHUDELOLGDGHVGHORVSURWRFRORVDQLYHOGHHQODFH
A este nivel se comentarán un par de técnicas:
ƒ Sniffing: una medida de ataque que intenta apoderarse de los
paquetes que circulan por la red, llamada análisis de protocolos y
conocida más extensamente como sniffing,
ƒ Tunneling: una contramedida para evitar que la información así
conseguida sea útil, debido a que no es posible evitar que la
información circule por la red.


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD


Sniffers

Los sniffers son dispositivos que capturan paquetes de la red. Su uso
legítimo es analizar el tráfico de red e identificar las áreas más preocupantes en
potencia. Por ejemplo si un segmento de la red tiene un bajo rendimiento se
usará un sniffer para determinar la causa de forma precisa.

R :S 1 : 2 F8G= 1 HJI GK@L@M3N
I GK@L@M3N ? B37373O/84 >;H P P5P5P P
6>@< 6J<6

?6 : 7@2 8A> : 254 BC@BED58

9;: 4 <= >84

Q;7 6@B4 = 8;HJI GK@L3M@N

? B37373O/84 >;H6>@< 6J<6
0 1325456378


Los analizadores de protocolos han adquirido este nombre genérico del
primer producto, llamado “Sniffer” manufacturado por Network General
Corporation, y que monopolizó el mercado.
Los hay de todo tipo, si bien la mayoría de los sniffers actuales son
capaces de analizar al menos los siguientes protocolos: Ethernet Estándar,
TCP/IP, IPX y DECNet.
Un sniffer combina hardware y software. Los propietarios son caros y
suelen venir acompañados de un hardware específico y optimizado para el
sniffing. Los gratuitos no ofrecen soporte del hardware.

Los Sniffers se diferencian en gran medida de los programas capturadores

de carácteres. Los programas capturadores se limitan a capturar las
pulsaciones introducidas en un terminal, mientras que los sniffers capturan
todos los paquetes que circulan por la red.
Para que un sniffer funcione, el programa debe hacer que el interfaz de
red funcione en modo promiscuo.
Los datos viajan por la red en pequeñas unidades llamadas frames, estos
frames se componen de secciones y cada sección lleva información
especializada. El software es empaquetado en el emisor y desempaquetado en
el receptor por medio del driver de red.


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

En redes no conmutadas y circunstancias normales todas las máquinas

“oyen” todo el tráfico de la red, pero ignoran todos aquellos paquetes que no
van dirigidos hacia ellas.
Si un interfaz de red está en modo promiscuo es capaz de capturar todos
los paquetes y frames de la red. Una máquina configurada así y el software
necesario para ello conforman un sniffer.
Los sniffers son peligrosos porque pueden capturar passwords,
información confidencial o propietaria, y pueden ser usados para traspasar la
seguridad de redes interconectadas o para ganar privilegios. De hecho, la
existencia de un sniffer no autorizado en la red indicará que la seguridad está
realmente comprometida.
Los ataques por medio de sniffers son muy comunes particularmente en
internet, un sniffer puede atacar grandes redes muy conectadas, pudiendo
obtener miles de passwords.
La información que captura un sniffer ha de estar filtrada de algún modo,
en caso contrario la información saturaría cualquier dispositivo de almacenaje
en muy poco tiempo. Por ello se suele almacenar únicamente los primeros 200-
300 bytes de cada paquete. Login y password se encuentran en esa sección y
es lo que más suele interesar a los intrusos. Si se dispusiera de suficiente
espacio podría almacenarse todo el tráfico en segmentos determinados y de
ahí extraer mucha información útil.
Aunque un sniffer puede encontrarse en cualquier sitio será mucho más
probable encontrarlo en aquellos puntos estratégicos que faciliten gran
cantidad de passwords, tales como puestos adyacentes a máquinas o redes
con mucho tráfico, o incluso puertas de enlace con el exterior, lo que
conseguiría elevar exponencialmente la actividad del atacante.

El ataque más importante se realizó a gran escala sobre milnet e internet,

recopilándose más de 100000 pares usuario password. Poco después se
realizó otro ataque que en sólo 18 horas consiguió información de MIT,
USNavy, AirForce, Sun Microsystems, IBM, NASA, CERFNet, y un buen
número de universidades de todos los continentes.

Existen multitud de sniffers comerciales o gratuitos, aquí se expondrán

sólo unos ejemplos.
ƒ Entre los sniffers comerciales encontramos: ATM Sniffer Network
Analyzer, Packet View o Shomiti Systems Analyzer;
ƒ Entre los gratuitos o shareware tenemos ejemplos como: Esniff,
Gobbler o Netman.

6LODUHGHVSHTXHxDRVHEXVFDXQDIDPLOLDUL]DFLyQFRQODVKHUUDPLHQWDV
H[SXHVWDVHVDFRQVHMDEOHFRPHQ]DUFRQDOJXQDKHUUDPLHQWDJUDWXLWD\OXHJR


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

FRQIRUPHVHUHTXLHUDXQDPD\RUVHJXULGDGLQYHUWLUHQXQDKHUUDPLHQWD
FRPHUFLDOGHOWLSRVHxDODGRDQWHULRUPHQWH

Como defenderse frente a los sniffers

Si bien no es sencillo se pueden tomar algunas alternativas: Intentar

detectar y eliminar los sniffers, o proteger el sistema contra ellos.
La detección de un sniffer es muy difícil debido a que no se reflejan en las
auditorias y a que no consumen muchos recursos de la red.
De forma trivial se pueden encontrar aquellos sniffers utilizados por el
sistema para verificar claves, simplemente sabiendo qué es lo que se está
buscando y en qué sistema se está haciendo. Sin embargo para buscar un
sniffer desconocido sólo se dispone de algunas herramientas.
La mejor solución para grandes redes es utilizar sesiones encriptadas,
aunque supone algún problema adicional tales como que hay pocas
herramientas para traspasar información encriptada entre plataformas, o que
no es soportada de forma estándar por muchos programas. Por otra parte el
esfuerzo extra que requiere de los usuarios hace que sea difícil que estos sigan
la política de seguridad correcta. Cada vez surgen más herramientas que
aseguran una protección fuerte y una amigabilidad o transparencia respecto a
los usuarios, como ejemplo mencionaremos el SSH



ƒ Snifftest: Detecta sniffers en SunOS y Solaris. Funciona
correctamente aunque el interfaz de red no pase a modo
promiscuo. Disponible en http://unitedcouncil.org/c/snifftest.c.
ƒ Nitwit: Funciona como un NIT (Network Interface Tap) y también
detecta sniffers que no funcionen en modo promiscuo. Se
encuentra en http://7thsphere.como/hpvac/files/hacking/nitwit.c.
ƒ Promisc: Detecta sniffers en linux, y puede obtenerse de
http://geek-girl.com/bugtraq/1997_3/0411.html.
ƒ Cpm: Detecta el funcionamiento en modo promíscuo en sistemas
SunOS 4.x, y es posible conseguirlo de
ftp://info.cert.org/pub/tools/cpm/cpm.1.2.tar.gz.
TDR (time domain reflectometer): detecta si un cable está
conectado a algo o no. HP publica un TDR en
http://www.tmo.hp.com/tmo/pia/infinium/PIATop/datasheets/English/HP814
7.html. Sirve para redes heterogéneas en donde es más difícil su
localización.


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD


Utilizar un sniffer gratuito para comprobar su funcionamiento.
Materiales necesarios:
6HXWLOL]DUi*REEOHUTXHIXQFLRQDVREUH06'26\TXHVHSXHGH
HQFRQWUDUHQ
KWWSZZZFVHUPLWHGXDXaUGVVFFRXUVHVGVZDWWRWKHUJREEOHU
]LS
RELHQHQIWSIWSWRUGDWDVHZZZKRNXPJREEOHU]LS
Se requerirá además una red local de tipo Windows.
El ejercicio consistirá en analizar los paquetes que se vayan
mandando por la red, claves, etc,...


Tunneling

La necesidad de seguridad hace que cada vez sea más común el uso de
VPN’s, o redes virtuales privadas. Estas redes se implementan por medio de un
protocolo llamado PPTP (Point to Point Tunneling Protocol) que asegura tráfico
encriptado entre puntos de enlace corporativos basándose en una red de
trabajo vía TCP/IP. Esto elimina la necesidad de líneas propias o alquiladas, y
también el peligro derivado del punto referente al sniffing.


,QWHUQHW
TA\Wn^-_`\poAqsr

l _mZ WY\
abdc e f g hEi"jdb'k
TAU V WYXZ W [
WY\5]-V ^Y_`\


El PPTP es una extensión del protocolo PPP, en la que se encapsulan
paquetes ppp en datagramas IP para su transmisión bajo redes basadas en
TCP/IP. Además permite montar las VPN’s sobre las redes telefónicas
conmutadas públicas, con lo que se puede utilizar Internet como soporte físico
de la VPN.


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

La distribución estándar del protocolo involucra normalmente tres

máquinas:
ƒ Un cliente PPTP
ƒ Un servidor PPTP
ƒ Un servidor de acceso a red, que no es necesario pero suele estar
implicado en la práctica.

Primero habrá que conseguir que el cliente PPTP tenga acceso a la red
privada usando un ISP. Después que el cliente ha hechos su conexión PPP
inicial al ISP, la segunda llamada es hecha a través de la conexión establecida.
Los datos así enviados tienen la forma de datagramas IP que contienen
paquetes PPP. Es la segunda llamada la que crea la conexión VPN a un
servidor PPTP en la red privada de la compañía, a esta conexión se la
denomina TÚNEL.

El tunneling es el proceso de intercambio de datos de un ordenador en

una red privada de trabajo enrutándolos sobre otra red. Los otros
enrutamientos de la otra red no pueden acceder porque esta en la red privada.
Sin embargo, el tunneling activa el enrutamiento de la red para transmitir el
paquete a un ordenador intermediario, como un servidor PPTP. Este servidor
PPTP está conectado a ambas, a la red privada de la compañía y a la red de
enrutamiento, que en este caso es Internet. Ambos, el cliente PPTP y el
servidor PPTP usan el tunneling para transmitir paquetes de forma segura a un
ordenador en la red privada.

Cuando el servidor PPTP recibe un paquete de la red de

enrutamiento(Internet) lo envía a través de la red privada hasta el ordenador de
destino. El servidor PPTP hace esto procesando el paquete PPTP para obtener
el nombre del ordenador de la red privada o la información de la dirección que
está encapsulada en el paquete PPP.
El servidor PPTP está configurado para comunicar a través de la red
privada usando multiprotocolo, así que los paquetes encapsulados pueden
contener datos nativos de TCP/IP, IPX/SPX o NetBEUI. PPTP encapsula el
encriptado y comprimido paquete PPP en datagramas IP para su transmisión, y
se enrutan como paquetes PPP, posteriormente se desencriptan usando el
protocolo de red de la red privada.

Un ordenador capaz de usar el protocolo PPTP puede conectarse a un

servidor PPTP mediante un ISP que soporte las conexiones PPP, o usando
TCP/IP para conectar a un servidor PPTP.

Los clientes PPTP que quieran usar un ISP deben estar perfectamente
configurados con un módem y un dipositivo VPN para hacer las pertinentes


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

conexiones al ISP y al servidor PPTP. La primera conexión es dial-up usando

PPP a través de un módem a un ISP. La segunda conexión requiere la primera
conexión porque el túnel entre el dispositivo VPN es establecido usando el
módem y las conexiones PPP a Internet.

La excepción a estos dos procesos de conexión es usar PPTP para crear

una VPN entre ordenadores físicamente conectados a una LAN. En esta
situación el cliente está de hecho conectado a una red y sólo usa dial-up
networking con un dispositivo VPN para crear la conexión a un servidor PPTP
en la LAN.

Los paquetes PPTP remotos de un cliente PPTP remoto y de una LAN

local PPTP son procesados de forma diferente. Un paquete PPTP de un cliente
remoto es puesto en el dispositivo de telecomunicación de medio físico,
mientras que el paquete PPTP de la LAN PPTP es puesto en el adaptador de
red de medio físico.

Los mensajes de control son enviados dentro de los paquetes de control

en un datagrama TCP. Una conexión es activada entre el cliente PPTP y el
servidor. Este camino es usado para enviar y recibir mensajes de control. El
datagrama contiene una cabecera PPP, una TCP, un mensaje de control PPTP
y sus reglas apropiadas.

Después de que el tunel PPTP ha sido creado, los datos del usuario son
transmitidos entre el cliente y el servidor PPTP. Los datos son enviados en
datagramas IP realizados con el protocolo GRE, conteniendo paquetes PPP.
La estructura de cada paquete es de seis cabeceras encapsuladas y los datos,
de la siguiente manera. PPP, IP, GRE, PPP, IP, TCP, datos.

Prestando atención a la construcción del paquete, podrás ver como es

capaz de ser transmitido a través de Internet desmenuzando las cabeceras. La
cabecera de envío del PPP proporciona información necesaria para el
datagrama para atravesar Internet. La cabecera GRE es usada para
encapsular el paquete PPP sin el datagrama IP. El paquete PPP es creado por
RAS. El paquete PPP es encriptado y si es interceptado, será ilegible.

El servidor PPTP puede configurarse para que sólo acepte este tipo de
tráfico, por el puerto 1723, con lo que se consigue un aumento significativo de
su seguridad, manteniéndose muy sencilla la configuración de los cortafuegos.

Para autenticarse todos los clientes PPTP deben proporcionar un login y

un password, siendo teóricamente equivalente a hacer un login desde la red
local. El control de acceso también queda en manos de los sistemas locales. La
encriptación y los métodos de compresión son los usados en el protocolo PPP,


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

utilizándose además el CCP para negociar la encriptación usada. El paquete

que contiene un bloque de datos encriptados es después metido en un largo
datagrama IP para su ruteo.

La implementación realizada por Microsoft parecía bastante buena y se

estaba convirtiendo en estándar hasta que sufrió un ataque de una autoridad
en encriptación. No usaba la longitud de clave que predicaba y las funciones
hash para guardar las claves no eran nada adecuadas.

Utilizar PPTP para crear un túnel entre dos máquinas.

Materiales necesarios:
Lo mismo que en el ejercicio anterior, y además:
Una red local con un par de ordenadores con Windows NT 4.0 o
superior.
Se instala el servicio PPTP en dos máquinas, creando un túnel entre
ellas, después se vuelve a activar el sniffer y se comprueba que la
información está encriptada.
Primero hay que instalar el protocolo de red PPTP. Aparecerá un
formulario de configuración. Señalar una VPN. Aceptar el formulario.
Después hay que activar RAS y seleccionar el dispositivo
VPN1-RASPPTPM, y en el formulario RAS se señalará el puerto VPN1
correctamente configurado.


Nivel de Red y Transporte

En este capitulo se comentan algunas de las técnicas empleadas en la
intrusión de redes. Algunas técnicas pueden ser consideradas destructivas, ya
que intentan bloquear un servicio concreto que proporciona un equipo
determinado, o intentan el bloqueo total de dicho equipo.
Por otra parte, también existen los ataques que intentan “robar” una
sesión establecida con anterioridad. Estos ataques tienen como objetivo
obtener toda la información posible de la conexión que intentan usurpar, incluso
intentar ejecutar comandos, haciéndose pasar por un interlocutor válido cuando
no lo es.

Algunas de las Técnicas de Intrusión son:

ƒ Ataques Destructivos

o 'HQHJDFLyQ GH 6HUYLFLR R 'R6 ³'HQLDO RI 6HUYLFH´

tienen un objetivo común: intentar ralentizar, o bloquear, de
manera que sea necesario reiniciar el sistema remoto.


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

o ,QXQGDFLyQ R )ORRGLQJ: Consiste en enviar un número

mayor de peticiones de las que puede absorber una
máquina remota. Podemos distinguir entre varios tipos de
IORRG: de ICMP, de TCP/IP y de UDP.


El ejemplo más común es el ,&03)ORRGLQJ que se
consigue enviando peticiones ICMP HFKR a un servidor
remoto con el comando SLQJ implementado en la mayor
parte de los sistemas operativos actuales.
El comando SLQJ realiza una llamada al equipo
remoto para saber si se encuentra actualmente activo. El
servidor remoto responde con otro paquete ICMP,
respondiendo de esta manera a la llamada del primer
equipo. El tráfico generado por este tipo de peticiones es
relativamente pequeño, lo que no significa que no podamos
manipular este tipo de paquetes. De hecho, lo más común
cuando se desea inundar una conexión es realizar múltiples
peticiones al servidor remoto de manera que, ante la
avalancha de llamadas recibidas, en su afán por contestar
a todas ellas, el sistema no puede aguantar la carga de
proceso que supone responder todas las peticiones.

o 6PXUILQJ Se parece al )ORRGLQJ, pero además emplea la

técnica de IP VSRRILQJ Esto hace que se multiplique la
inundación de paquetes basura enviados a la dirección en
la que se encuentra el equipo remoto.

o 2XW RI %DQG )UDJPHQW 22% Este ataque consiste en

explotar las vulnerabilidades de ciertos sistemas operativos
a la hora de gestionar los paquetes recibidos desde la red.


Como caso concreto se puede citar el conocido
‘winnuke’. Debido a la implementación de la gestión que
hace Windows de los paquetes recibidos en el puerto
139/TCP (NetBios), si una plataforma de este tipo recibe un
paquete manipulado en dicho puerto se puede llegar a
situación crítica de interrupción de todos los servicios y de
necesidad de reinicio del sistema remoto. Una variante de
este ataque con los mismos efectos es realizar el envío del
paquete manipulado al puerto 138/UDP.

o 6<1 UVW )ORRGLQJ Consiste en agotar ralentizar el

sistema remoto por medio de peticiones de conexión a
dicha máquina.




&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD



El protocolo TCP funciona de la siguiente manera a la hora
de establecerse una conexión: supongamos que el equipo
A quiere establecer una conexión con el equipo B. Para
ello, el equipo A envía un paquete TCP con el bit SYN de
su cabecera activado. A continuación, el equipo B envía al
equipo A un paquete TCP con los bits SYN y ACK
activados y, para terminar, el equipo A envía otro paquete
al equipo B con el bit ACK activado. A partir de aquí ya es
posible la comunicación entre los dos equipos.
A > SYN > B
A < SYN/ACK < B
A > ACK > B
El ataque SYN se basa en que antes de establecerse
una comunicación, se guarda cierta cantidad de memoria
del sistema para cuando se haya establecido dicha
comunicación. Para ello, el equipo atacante (A) envía
varios paquetes (con menos de diez es suficiente) con el bit
SYN activado en la cabecera TCP a la máquina objetivo
(B), con la salvedad de que la dirección origen de dicho
paquete ha sido cambiada por otra a la cual no llegará la
máquina objetivo (A’), de lo contrario, dicha máquina, si
existe y es alcanzada por el equipo objetivo, podría enviar
una señal de RST, con lo que no se habría conseguido
nada. Así, la máquina atacada se encuentra con los
recursos mermados, a la espera de la respuesta a
conexiones que nunca se van a producir. El siguiente
diagrama resume el intercambio de paquetes producido:
A> SYN > B (de 5 a 10 paquetes)
A’ < SYN/ACK < B
Si el equipo B alcanzase al equipo A’ entonces dicho
equipo habría respondido con un RST:
A > SYN > B
A’ < SYN/ACK < B
A’ > RST > B
La señal RST significa que el sistema no sabe que
hacer con el paquete y por lo tanto, el equipo B desecha la
conexión.

o 1XNHAl igual que el ataque OOB, se basa en explotar las

vulnerabilidades del tratamiento de los paquetes por parte
del sistema operativo. Esta generalización se debe a que


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

este tipo de ataque intenta cerrar conexiones activas por

medio del envío de paquetes ICMP y TCP.

o 'R6 (VSHFtILFR Al contrario que en el anterior ataque,

aquí se hace referencia a un método especifico que genera
peticiones concretas con el propósito de bloquear un
servicio especifico.

o ,36SRRILQJEste método suele ser utilizado normalmente
para cambiar la dirección IP de origen de los paquetes. Es
una técnica utilizada para ganar acceso no autorizado a
equipos, por el cual el intruso envía los mensajes a un
sistema con una dirección IP que indica que el mensaje
está viniendo de un puerto de confianza. Para emplear IP
VSRRILQJ, el atacante debe utilizar primero diferentes
técnicas para encontrar una dirección IP de un puerto de
confianza y después modificar las cabeceras del paquete
para que parezca que los paquetes están viniendo de ese
puerto. Esta técnica es necesaria para engañar a los
servicios de un sistema.

o +LMDFNLQJ Método por el cual el atacante intenta tomar un

de los lados de una conexión existente. Como la
autenticación se hace generalmente cuando se establece
una conexión, esto permitirá al atacante hacerse pasar por
la otra parte de la conexión sin necesidad de más
autentificaciones.


Como ejemplo, los ISP generalmente reasignan las
direcciones IP de los usuarios llamantes muy rápidamente
después de que un usuario anterior haya colgado. El
usuario A entra a Internet a través de su ISP, y después
realiza una conexión mediante WHOQHW a un equipo remoto.
Entonces, y por razones desconocidas, su equipo tiene
problemas y se desconecta sin cerrar la conexión
adecuadamente. Ahora el usuario B, que llama más tarde,
se le asigna la misma dirección IP. Digamos que el usuario
B ha creado su propia pila de TCP/IP que automáticamente
secuestra alguna conexión existente. El servidor con el que
conversaba el usuario A devuelve algún paquete como
contestación a la conexión del usuario A (que ahora es el
usuario B). En este punto, la pila del usuario B recoge la
conexión automáticamente y continúa el protocolo. A estas
alturas, el usuario B puede hacer lo que quiera en la
conexión del usuario A.





&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

   
Otro ejemplo similar al anterior: el atacante secuestra a
menudo las conexiones haciendo primero QXNH a un
extremo de la conexión, y después realizando IP VSRRILQJ
de la dirección IP de dicho lado.


Otro ejemplo más son los VSDPPHUV, que buscan por
Internet servidores de News abiertos (USENET). Si
encuentran un servidor, pueden enviar a través de ellos
miles de spam (correo electrónico no solicitado); esto es
conocido como "secuestrando" el servidor. 

En resumen, +LMDFNLQJ puede ser definido como el uso de
SDFNHW VSRRILQJ para interceptar y redireccionar sesiones
tcp/udp ya abiertas.

o Un caso aparte, pero relacionado con el KLMDFNLQJ es la

técnica 0DQLQWKHPLGGOH que supone un avance a todo
lo dicho. Para realizar KLMDFNLQJ era necesario eliminar una
de las partes activas de la conexión. Esto significa que el
autor puede delatarse de alguna forma, o la caida de un
equipo puede suponer una movilización del personal que
se ocupa de la seguridad y la integridad de la red y los
sistemas. Man-in-the-middle es la técnica por la cual el
atacante se introduce entre las dos partes de la conexión y
se elimina la parte destructiva del KLMDFNLQJ, aunque la
libertad para actuar del atacante puede verse mermada si
este no quiere darse a conocer.

A grandes rasgos, el ataque consiste en inundar con

ciertos paquetes las dos partes de la conexión. Dichos
paquetes permitirán que las dos partes de la conexión tomen
al sistema atacante como su interlocutor. Así, el equipo A tiene
una conexión establecida con el equipo B. El equipo atacante
C envía los paquetes (llamados ‘de desviación’) a los des
equipos A y B. Ahora, el equipo A cree que el equipo C es su
interlocutor, y el equipo B piensa que C es su interlocutor. Por
su parte, el equipo C se encarga de enviar los paquetes que
llegan de A a B y viceversa. Todos los paquetes de A a B, y
viceversa, pasan por C. Así mismo, el equipo C puede
intervenir en las dos partes de la comunicación para realizar
cualquier acción. La tecnología subyacente en este ataque es
IP VSRRILQJ, HWKHUQHW VSRRILQJ o cualquiera que sea el
protocolo comprometido en la comunicación.


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

6HJXULGDGDQLYHOGH$SOLFDFLyQ

Código Maligno-Virus

En general podemos decir que un virus informático es un pequeño
programa diseñado para alterar el funcionamiento de un ordenador.
Un concepto más completo de virus informático sería el de que es un
pequeño programa capaz de autoreproducirse. Está diseñado para dañar
sistemas informáticos, alterando su forma de trabajar o dañando información
almacenada en el disco duro, sin el conocimiento o permiso del afectado. En
términos más técnicos, un virus se define como una porción de código de
programación cuyo objetivo es implementarse a si mismo en un archivo
ejecutable y multiplicarse sistemáticamente de un archivo a otro. Además los
virus están diseñados para realizar una acción concreta en los sistemas
informáticos. Esta acción puede ir desde la simple aparición de un mensaje en
la pantalla, hasta la destrucción de toda la información contenida en el sistema.

La combinación de código potencialmente dañino, con la habilidad de

reproducirse y evolucionar es lo que hace peligroso a los virus para los
ordenadores. Cuando un virus se instala en una máquina, puede ejecutar
cualquier instrucción que su autor haya programado, la cual puede iniciarse en
una fecha determinada, después de utilizar el programa infectado un número
de veces o al azar.

CREACIÓN GESTACIÓN DESCUBRIMIENTO ELIMINACIÓN



La gestación es con el propósito de futuras reproducciones. Usualmente
esto se hace infectando un programa y luego distribuyéndolo por la Red. Al hilo
de esto está la reproducción, es decir, su replicación por un largo tiempo antes
de que sea activado.
Los virus poseen rutinas de destrucción de datos que se activarán cuando
ciertas condiciones sean dadas. Algunos virus se activan en una fecha
determinada.
La fase de descubrimiento no se tiene porque producir después de la
activación, pero usualmente sucede así. Esto se produce cuando alguien da la
noticia de un nuevo virus. Generalmente pasa a manos de la National
Computer Security Association (NCSA) que se documenta y luego se distribuye
a los diseñadores de antivirus.


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

Después del descubrimiento, los diseñadores de software modifican sus

productos para incluir la detección del nuevo virus. Si los suficientes
diseñadores de antivirus son capaces de detectarlo y limpiarlo, así como los
suficientes usuarios adquieren antivirus apropiado para combatirlo, el virus
puede estar cerca de ser extinguido. A pesar de que ningún virus ha
desaparecido por completo, algunos han cesado por largo tiempo de aparecer
en la comunidad informática.

Tipos de programas malignos
Bombas
Pueden ser de tres tipos:
• %RPEDV GH VRIWZDUH Las bombas de software simplemente
detonan a los pocos segundos de ser ejecutadas sin avisar al
usuario y producen, generalmente, una pérdida total de los datos
del ordenador. Por lo general no se reproducen.
• %RPEDV OyJLFDV Similares a las de software pero realizan algún
tipo de acción destructiva dependiendo del estado de algunas
variables de ambiente del sistema donde actúan. Por ejemplo,
podría esperar que su creador ingrese periódicamente una
contraseña y empezar a actuar cuando la misma no es provista por
un tiempo determinado produciendo la destrucción de los datos del
sistema.
• %RPEDV GH WLHPSR Son técnicamente iguales a las bombas
lógicas, ya que actúan condicionadas a alguna variable del
ambiente relacionada con el tiempo.

Conejos (Reproductores 
Se reproducen en forma constante una vez que son ejecutados hasta
agotar totalmente el espacio de disco o memoria del sistema. La única función
de este virus es crear clones y lanzarlos a ejecutar para que ellos hagan lo
mismo. El propósito es agotar los recursos del sistema, hasta el punto que el
sistema principal no puede continuar con el procesamiento normal.

Gusanos
Son programas que constantemente viajan a través de un sistema
informático interconectado sin dañar necesariamente el hardware o el software
de los sistemas que visitan. La función principal es viajar en secreto a través de
equipos anfitriones recopilando cierto tipo de información programada para
enviarla a un equipo determinado al cual el creador del virus tiene acceso.

Troyanos
Son aquellos que se introducen en el sistema bajo una apariencia
totalmente diferente a la de su objeto final, esto es, que se presentan como
información perdida sin ningún sentido. Al cabo del tiempo, esperando a la


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

indicación programada, se activan, comienzan a ejecutarse y a mostrar sus

verdaderas intenciones. En general, estos virus son destructores de la
información contenida en los discos.

Macro-virus
Una macro es un conjunto de instrucciones para ser llevadas a cabo por
un programa de ordenador. Estas instrucciones se emplean típicamente para
hacer tareas. Un virus de macro es una macro, el cual se enmascara como un
legítimo archivo, generalmente de Microsoft Word. Este virus utiliza la macro
para replicarse y realizar algún tipo de daño. La lista de instrucciones que
contiene este virus de macro puede copiar y borrar archivos, realizar
modificaciones a los archivos, insertar otros virus y ejecutar programas
incluyendo el virus que ha insertado. Los virus de macro no son directamente
ejecutables, sino que deben ser leídos, interpretados y ejecutados. Hoy en día
los virus de macro son los más peligrosos y extendidos, y gracias a Internet
han cobrado mayor relevancia si cabe. Hoy día, un 64% de los desastres
informáticos están causados por virus de macro, lo que les convierte en la
mayor amenaza contra la seguridad informática del mundo.

Vulnerabilidades de código

A la hora de asegurar un sistema no se debe olvidar el código que ejecuta
para realizar sus funciones asignadas. Siempre existe determinado grado de
divergencia entre el diseño de los programas y su implementación, estas
pequeñas diferencias pueden hacer que un determinado software sea inseguro,
o que herramientas específicas de seguridad no cumplan su función como
deberían. Aunque estas vulnerabilidades dependen del uso que se haga del
lenguaje de programación, cada lenguaje es susceptible frente a determinados
fallos, es necesario conocerlos y evitarlos.
Hay que resaltar que un solo fallo de seguridad en el código puede
comprometer todo el sistema, dada la gran cantidad de código de cualquier
programa comercial no es difícil encontrar fallos de seguridad en muchos de
ellos, y el éxito de su obtención suele estar directamente relacionado con la
atención que se preste a su descubrimiento, en tiempo y personas. Es por ello
que los programas más extendidos o el propio software de seguridad son
continuamente revisado por los dos bandos.
El análisis de código propietario si bien suele ser satisfactorio en casi
todos los casos, supone una cantidad muy importante de tiempo de análisis. Es
recomendable prevenir los ataques en las primeras fases del desarrollo, dónde
es más accesible.
Un sistema comprometido puede permitir acceso total a la red y servidores
internos, puede mostrar la estructura interna de la organización. Además
permitirá el acceso a los sistemas de la red interna, o a datos confidenciales o
personales, etc,...


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

Para localizar estos errores se recurre a la ingeniería inversa, esta técnica

consiste en descompilar el código y observar que vulnerabilidades son
explotables por el atacante. A un determinado programa de ataque, para un
determinado programa objetivo y sobre un sistema operativo concreto se le
denominará exploit. Y la respuesta a este exploit, que se supone lo neutraliza,
por parte de la compañía propietaria del software atacado se conoce por el
nombre de patch, o parche.

Habrá dos tipos distintos de vulnerabilidades en función de cómo se crea

el código ejecutable, puede generarse mediante compilación o mediante
interpretación. Cuando el código está compilado suele requerirse la ingenieria
inversa o el análisis de ficheros hexadecimales. En casos en los que el código
es interpretado hay otras posibilidades, basadas la mayor parte de las veces en
las peticiones que puede hacer el usuario. Conocido el intérprete utilizado
también puede usarse alguna vulnerabilidad que sea propia del intérprete, bien
desde el código del programa o desde fuera si se consigue el acceso a la
máquina que lo hospeda. Por último y como caso particular las aplicaciones
internet poseen vulnerabilidades propias de su diseño. A pesar de que el
código puede tener innumerables errores los ataques más habituales pueden
dividirse en varios tipos:

Puertas traseras
Cada vez menos frecuente, pero constituyen una vulnerabilidad
importante de cualquier sistema, consisten en formas de evitar todas las
restricciones de seguridad, y suelen ser introducidas por los programadores
originales o los propietarios del software, lamentablemente para los ojos
expertos son más fáciles de descubrir que otras vulnerabilidades.

Falta de validación de los datos de entrada

ƒ %XIIHU RYHUIORZ Este es un ataque que se da en aquellos
sistemas que no gestionan correctamente la memoria en la parte de
declaración y uso de variables permitiendo que un usuario
introduzca cambios en el mejor de los casos o comandos en el
código del programa. Si es posible la introducción de comandos es
muy fácil hacerse con el poder de la máquina objetivo. En principio
toda variable es susceptible de sufrir este ataque, y deben
realizarse las comprobaciones adecuadas.
ƒ %~VTXHGD GH FDPSRV RFXOWRV En algún formulario y que puede
ser utilizado haciendo las peticiones correctas.
ƒ 0RGLILFDFLyQ GH SDUiPHWURV Nombre y / o tipo de variables
utilizadas: También son susceptibles de ser usadas en peticiones
determinadas.


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

Saltos en la secuencia lógica de operaciones

La naturaleza de las aplicaciones web, regidas por URL’s permita a un
usuario modificar la lógica de la aplicación, permitiendo acceso a zonas
reservadas sin autenticación.

,dentificadores de sesión y valores “únicos”

Debido a su escasa longitud o su falta de aleatoriedad es probable
hacerse con la sesión de otro usuario.

Publicación de información sensible

Permite un uso malicioso de las excepciones no contempladas, o bien el
código HTML directo con sus comentarios.

Seguridad y lógica operativa en el cliente

Cuando funciona con base de javascript la validación de datos o la lógica
de la aplicación pueden suplantarse en la parte cliente, donde son ejecutadas.

Redirección de clientes a servidores alternativos

Para conseguir datos confidenciales de los clientes, usando la técnica de
cross-site scripting.
Los objetivos básicos de estos ataques suelen ser realizar un ataque de
denegación de servicio (Denial of Service, DoS) o de toma de control (Escalada
de privilegios) En el primero conseguimos que la aplicación o la máquina deje
de proporcionar el servicio para el que está preparada y en el segundo se
consiguen mayores privilegios, buscando tener los privilegios del administrador
de sistema.

%XIIHU2YHUIORZ([SORLWV
Sobre escribir el tamaño del buffer lo cual puede permitir la ejecución de
comandos.
Todos los sistemas operativos vulnerables a este tipo de ataque, sobre
todo UNIX.
Es posiblemente la técnica de ataque más peligrosa y más utilizada en la
actualidad.


eWLFD\/HJDOLGDGGHOD6HJXULGDG,QIRUPiWLFD

Ya ha llegado el momento en el que ha sido necesario crear leyes, tanto
de ámbito nacional, como europeo, que intentan cubrir las necesidades de este
sector. Si bien estas son aún escasas y de interpretación ambigua en muchos
casos, es necesario para todo aquel responsable de seguridad el conocer las


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD

leyes por dos motivos bien distintos pero complementarios. El primero es

conocer que acciones son punibles, y que acciones económicas, civiles,
penales y administrativas se pueden tomar en contra de un atacante
descubierto en nuestro sistema, y el segundo es evitar tomar medidas abusivas
a los usuarios legales debido a la aplicación de un control excesivo, que
vulnere sus derechos.

En el aspecto ético hay que recordar que el encargado de seguridad será

también responsable de qué protege y de qué forma lo hace, quedando
muchas veces a su elección qué medidas aplica, será en última instancia sus
imperativos éticos los que elijan una u otra solución.


&RQFHSWRV*HQHUDOHV GH

 7pFQLFRHQ6HJXULGDG,QIRUPiWLFD


&RQFHSWRV*HQHUDOHV GH