VIGILANCIA DE LOS

SISTEMAS DE INFORMACIÓN

Unidad 6
6.1 DEFINICIÓN DE VIGILANCIA
Del latín vigilantia, la vigilancia es el cuidado y la
supervisión de las cosas que están a cargo de uno. La
persona que debe encargarse de la vigilancia de algo o
de alguien tiene responsabilidad sobre el sujeto o la cosa
en cuestión.
El servicio ordenado y dispuesto para vigilar también se
conoce como vigilancia. Puede tratarse del servicio
prestado por una compañía privada (ya sea mediante
guardias o equipos tecnológicos como cámaras de
video) o por las fuerzas públicas de seguridad (la
policía, la gendarmería, el ejército, etc.).
 6.2. ANATOMÍA DE UN ATAQUE

6.2.1. Identificación de objetivos

Los incidentes de seguridad normalmente son muy complejos y su resolución presenta muchos
problemas. A continuación se muestran las siguientes fases en la prevención, gestión y detección de
incidentes:
A. Preparación y prevención
En esta fase se toman acciones para preparar la organización antes de que ocurra un incidente. Por
tanto, se deberá empezar por tratar de analizar qué debe ser protegido y qué medidas técnicas y
organizativas tienen que implementarse. Una vez hechos los diversos análisis se podrá considerar que la
organización ya tiene identificadas las situaciones que pueden provocar un incidente de seguridad y ha
seleccionado los controles necesarios para reducirlas. Pero aun hecho dicho análisis, siempre hay
situaciones que no van a poder ser protegidas, por lo que se tendrá que elaborar un plan de continuidad
de negocio. Dicho plan está formado por un conjunto de planes de contingencia para cada una de las
situaciones que no están controladas.
 6.2. ANATOMÍA DE UN ATAQUE

B. Detección del incidente.

La detección de un incidente de seguridad es una de las fases más importante en la
securización de los sistemas. Hay que tener en cuenta que la seguridad absoluta es muy difícil
y es esta fase la que nos sirve para clasificar y priorizar los incidentes acaecidos en nuestra
organización.
 6.2. ANATOMÍA DE UN ATAQUE
6.2.2. Reconocimiento inicial
En esta fase se trata de obtener la máxima información posible para determinar qué tipo de
incidente de seguridad ha ocurrido y así poder analizar el impacto que ha tenido en la
organización. La información obtenida en esta fase será utilizada en la siguiente para poder
formular la estrategia a utilizar. Dicha información será fruto como mínimo de:
 Entrevistas con los administradores de los sistemas.
 Revisión de la topología de la red y de los sistemas.
 Entrevistas con el personal de la empresa que haya tenido algo que ver con el incidente con
el objetivo de contextualizarlo.
 Revisar los logs de la detección de la intrusión.
 6.2. ANATOMÍA DE UN ATAQUE
6.2.3. Técnicas de recopilación de información y análisis forense.
La informática forense, o análisis forense digital, es la disciplina que se encarga, como parte de
la demostración objetiva de la comisión de un delito, de la recopilación, recuperación y
análisis de los datos contenidos en todo tipo de dispositivos con capacidad para almacenar
datos digitales. Esta labor es importante en los procesos judiciales, pero también puede
emplearse en el sector privado (por ejemplo, para las comprobaciones internas de las empresas
o las investigaciones en caso de intrusión en la empresa y/o en su infraestructura informática)
 6.3. ESCANEOS
6.3.1. Identificación y ataques a puertos TCP/UDP.
El protocolo TCP
Contrariamente a UDP, el protocolo TCP está orientado a conexión. Cuando una máquina A
envía datos a una máquina B, la máquina B es informada de la llegada de datos, y confirma su
buena recepción. Aquí interviene el control CRC de datos que se basa en una ecuación
matemática que permite verificar la integridad de los datos transmitidos. De este modo, si los
datos recibidos son corruptos, el protocolo TCP permite que los destinatarios soliciten al
emisor que vuelvan a enviar los datos corruptos.
 6.3. ESCANEOS
6.3.1. Identificación y ataques a puertos TCP/UDP
El protocolo UDP
UDP es un protocolo no orientado a conexión. Es decir cuando una maquina A envía paquetes
a una maquina B, el flujo es unidireccional. La transferencia de datos es realizada sin haber
realizado previamente una conexión con la máquina de destino (maquina B), y el destinatario
recibirá los datos sin enviar una confirmación al emisor (la maquina A). Esto es debido a que
la encapsulación de datos enviada por el protocolo UDP no permite transmitir la información
relacionada al emisor. Por ello el destinatario no conocerá al emisor de los datos excepto su IP.
 6.3. ESCANEOS
6.3.2. Identificación y ataques a servicios
Un ataque de "Denegación de servicio" impide el uso legítimo de los usuarios al usar un
servicio de red. El ataque se puede dar de muchas formas. Pero todas tienen algo en común:
utilizan la familia de protocolos TCP/IP para conseguir su propósito.
 6.4. IDENTIFICACIÓN DE
VULNERABILIDADES
6.4.1. Técnicas manuales
6.4.2. Técnicas automáticas
Conocer las diferentes etapas que conforman un ataque
informático brinda la ventaja de aprender a pensar como
los atacantes y a jamás subestimar su mentalidad. Desde
la perspectiva del profesional de seguridad, se debe
aprovechar esas habilidades para comprender y analizar
la forma en que los atacantes llevan a cabo un ataque.
La siguiente imagen muestra las cinco etapas por las
cuales suele pasar un ataque informático al momento de
ser ejecutado:  
 6.5. ACTIVIDADES DE
INFILTRACIÓN
6.5.1. Sistema operativo
6.5.2. Aplicaciones
6.5.3. Bases de datos
Evolución en los ataques:
Primera Generación (Ataque Físico): se centraban en los componentes electrónicos.
Segunda Generación (Ataque Sintáctico): son contra la lógica operativa de las computadoras y
las redes. Pretenden explotar las vulnerabilidades de los programas, algoritmos de cifrado y los
protocolos.
 6.5. ACTIVIDADES DE
INFILTRACIÓN
6.5.1. Sistema operativo
6.5.2. Aplicaciones
6.5.3. Bases de datos
Tercera Generación (Ataque Semántico): colocación de información falsa en medios
informativos, spam, falsificación de e-mails, estafas de ventas por Internet, alteración de bases
de datos de índices estadísticos o bursátiles, etc.
 6.5. ACTIVIDADES DE
Herramientas de prevención.
INFILTRACIÓN
• Redes Privadas Virtuales (VPN)
• Cliente/Red o Red/Red
• Transparentes o no Transparentes
• Firewall
• Tipos: Red, Aplicación o Kernel
• Políticas: por defecto todo permitido o todo prohibido
• Sistemas de detección de intrusos (IDS)
• Máquina
• Verificador de integridad
• Monitor de registros o históricos
• Honey Pot
• Red
• Detección de uso indebido
• Detección por anomalías
 6.6 CONSOLIDACION
La consolidación de seguridad es una estrategia inteligente y más aún en estos momentos.
Independientemente del resultado final de la crisis, las organizaciones se están reforzando y
preparando para enfrentarse a condiciones económicas difíciles e inciertas que podrán durar
varios años.
La consolidación está motivada por un deseo de controlar costes; costes tanto de nuevas
inversiones como de su operativa y gestión.
 6.7 DEFENSA PERIMETRAL
La seguridad perimetral es uno de los métodos posibles de defensa de una red, basado en el
establecimiento de recursos de segurización en el perímetro externo de la red y a diferentes
niveles.
Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios
internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros.

"No es un componente aislado: es una estrategia para proteger los recursos de una organización
conectada a la red
"Es la realización práctica de la política de seguridad de una organización. Sin una política de
seguridad, la seguridad perimetral no sirve de nada
"Condiciona la credibilidad de una organización en Internet.
 6.7.1. CREACIÓN DE UNA DMZ
Construcciones de "Muro Doble"
Algunos firewalls se construyen con la técnica de "muro doble", en este caso el firewall consta
de dos sistemas separados físicamente (muro exterior e interior) conectados por una red
semiprivada, si alguien es capaz de comprometer el muro exterior, el muro interior protege la
red impidiendo el acceso desde la red semi-privada y aislando la red interior.

El muro exterior sólo permite el tráfico hacia los servidores semi-públicos alojados en la
DMZ.
El muro interior se rige por el "pesimismo", esto es, solo acepta paquetes si responden a una
petición originada en el interior de la red o que provienen de uno de los servidores alojados en
la DMZ (por defecto guarda toda la información sobre las transacciones).
 6.7.2. ANTIVIRUS
Es un programa creado para prevenir, detectar y eliminar virus y otros programas maliciosos,
que puedan causar daños a los datos o al funcionamiento de tu computadora, portátil, tableta o
móvil.
Los Antivirus, como la mayoría de los programas, tienen versiones por suscripción (por pago) o
versiones gratuitas. De los programas Antivirus por pago, los más conocidos son McAffe,
Norton Security y Panda, entre otros. Entre los gratuitos se encuentran Avast, Kapersky y AVG.
El alcance de la protección de un antivirus, de acuerdo al uso del equipo, puede ser para equipos
personales (De 1 hasta 5 usuarios, en algunos casos) o para entornos empresariales.
Es importante mantener resguardados nuestros equipos, así como los datos que están
almacenados en ellos, ya que en la actualidad son muy vulnerables debido a que estamos
interactuando constantemente en Internet, la red de redes.
 6.7.3. NAT.
La conversión de direcciones de red o NAT se desarrolló para resolver la falta de direcciones
IP con el protocolo IPv4 (dentro de poco tiempo el protocolo IPv6 resolverá este problema).
 
De hecho, en las direcciones IPv4 la cantidad de direcciones IP enrutables (que son únicas en
el mundo) no es suficiente para permitir que todos los equipos que lo requieran estén
conectados a Internet.

Por lo tanto, el principio de NAT consiste en utilizar una conexión de pasarela a Internet, que
tenga al menos una interfaz de red conectada a la red interna y al menos una interfaz de red
conectada a Internet (con una dirección IP enrutable) para poder conectar todos los equipos a
la red.
 6.7.4. PROXY.
EE.UU. o EE.UU. proxy es un programa informático o página web que le permite conectarse con
el puerto del servidor. Cuando está conectado a Proxy entonces usted puede ocultar su dirección
IP.

 
Suponga que usted está a punto de visitar un sitio web que realiza el seguimiento de los visitantes
a través de cookies, entonces sin ser conectado a proxy, el equipo podría quedar hakced. Cuando
se accede a la web directamente, entonces podría acceder a su información personal. Estos
pueden ser los que se puede instalar programas no deseados en su PC y luego seguir su IP. Ellos te
pueden atacar con correos basura y otro tipo de spam. Si usted está usando el proxy Reino Unido,
entonces usted puede ahorrarse de tales fechorías. Usted navega por la web de forma anónima
como proxy oculta su dirección IP. Todo el surf y cosas personales será protegida con ella