Escolar Documentos
Profissional Documentos
Cultura Documentos
SeguridadInformtica
http://recursostic.educacion.es/observatorio/web/eu/software/softwaregeneral/1040introduccionalaseguridad
informatica?showall=1
Cuandosehabladeseguridadenel mbitodelasTICamenudoseconfundenlosconceptosde
seguridad de la informacin y seguridad informtica. Y siendo ambos realmente importantes y
similares,haydiferenciasentreellos.
En este artculo hablaremos sobre los conceptos de seguridad de la informacin y seguridad
informticayexplicaremoslospilaressobrelosquesebasalaseguridaddelainformacin.
Tambinrepasaremosloselementosvulnerablesdeunsistemainformtico,elconceptodeamenaza,
fuentesdeamenazasytipos,ascomolaspolticasdeseguridadqueadoptanlasorganizacionespara
asegurarsussistemasominimizarelimpactoquestaspudieranocasionar.
Seguridaddelainformacin/Seguridadinformtica
Existenmuchasdefinicionesdeltrminoseguridad.Simplificando,yengeneral,podemosdefinirla
seguridadcomo:"Caractersticaqueindicaqueunsistemaestalibredetodopeligro,daooriesgo."
(Villaln)
Cuandohablamosde seguridaddelainformacin estamosindicandoquedichainformacintiene
unarelevanciaespecialenuncontextodeterminadoyque,portanto,hayqueproteger.
La Seguridad de la Informacin se puede definir como conjunto de medidas tcnicas,
organizativasylegalesquepermitenalaorganizacinasegurarlaconfidencialidad,integridady
disponibilidaddesusistemadeinformacin.
Hastalaaparicinydifusindelusodelossistemasinformticos,todalainformacindeintersdeuna
organizacin se guardaba en papel y se almacenaba en grandes cantidades de abultados
archivadores.Datosdelosclientesoproveedoresdelaorganizacin,odelosempleadosquedaban
registradosenpapel,contodoslosproblemasqueluegoacarreabasualmacenaje,transporte,acceso
yprocesado.
Lossistemasinformticospermitenladigitalizacindetodoestevolumendeinformacinreduciendoel
espacioocupado,pero,sobretodo,facilitandosuanlisisyprocesado.Seganaen'espacio',acceso,
rapidezenelprocesadodedichainformacinymejorasenlapresentacindedichainformacin.
Peroaparecenotrosproblemasligadosaesasfacilidades.Siesmsfciltransportarlainformacin
tambinhaymsposibilidadesdequedesaparezca'porelcamino'.Siesmsfcilaccederaella
tambinesmsfcilmodificarsucontenido,etc.
Desdelaaparicindelosgrandessistemasaisladoshastanuestrosdas,enlosqueeltrabajoenred
eslohabitual,losproblemasderivadosdelaseguridaddelainformacinhanidotambincambiando,
evolucionando, pero estn ah y las soluciones han tenido que ir adaptndose a los nuevos
requerimientostcnicos.Aumentalasofisticacinenelataqueyelloaumentalacomplejidaddela
solucin,perolaesenciaeslamisma.
Existentambindiferentesdefinicionesdeltrmino SeguridadInformtica.Deellasnosquedamos
conladefinicinofrecidaporelestndarparalaseguridaddelainformacinISO/IEC27001,quefue
aprobadoypublicadoenoctubrede2005porlaInternationalOrganizationforStandardization(ISO)y
porlacomisinInternationalElectrotechnicalCommission(IEC).
La seguridad informtica consiste en la implantacin de un conjunto de medidas tcnicas
destinadasapreservarlaconfidencialidad,laintegridadyladisponibilidaddelainformacin,
pudiendo, adems, abarcar otras propiedades, como la autenticidad, la responsabilidad, la
Pg.1de18
fiabilidadyelnorepudio.
Comovemoseltrminoseguridaddelainformacinesmasamplioyaqueenglobaotrosaspectos
relacionadosconlaseguridadmasalldelospuramentetecnolgicos.
Seguridaddelainformacin:modeloPDCA
Dentrodelaorganizacineltemadelaseguridaddelainformacinesuncaptulomuyimportanteque
requierededicarletiempoyrecursos.LaorganizacindebeplantearseunSistemadeGestindela
SeguridaddelaInformacin(SGSI).
ElobjetivodeunSGSIesprotegerlainformacinyparaelloloprimeroquedebehaceresidentificar
losactivosdeinformacinquedebenserprotegidosyenqugrado.
Luego debe aplicarse el plan PDCA (PLAN DO CHECK ACT), es decir Planificar, Hacer,
Verificar,Actuaryvolverarepetirelciclo.
Seentiendelaseguridadcomounprocesoquenuncaterminayaquelosriesgosnuncaseeliminan,
pero se pueden gestionar. De los riesgos se desprende que los problemas de seguridad no son
nicamentedenaturalezatecnolgica,yporesemotivonuncaseeliminanensutotalidad.
UnSGSIsiemprecumplecuatronivelesrepetitivosquecomienzanporPlanificaryterminanenActuar,
consiguiendoasmejorarlaseguridad.
HACER (Do):consisteenimplementarelsistemadegestindeseguridaddelainformacin,
implementarelplanderiesgoseimplementarloscontroles.
VERIFICAR(Check):consisteenmonitorearlasactividadesyhacerauditorasinternas.
ACTUAR(Act):consisteenejecutartareasdemantenimiento,propuestasdemejora,acciones
preventivasyaccionescorrectivas.
BasesdelaSeguridadInformtica
Fiabilidad
Existeunafrasequesehahechofamosadentrodelmundodelaseguridad.EugeneSpafford,profesor
decienciasinformticasenlaUniversidadPurdue(Indiana,EEUU)yexpertoenseguridaddedatos,
dijoqueelnicosistemaseguroesaquelqueestapagadoydesconectado,enterradoenunrefugio
Pg.2de18
de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien
armados.Anas,yonoapostaramividaporl.
Hablardeseguridadinformticaentrminosabsolutosesimposibleyporesemotivosehablamas
biendefiabilidaddelsistema,que,enrealidadesunarelajacindelprimertrmino.
Definimos la Fiabilidad como la probabilidad de que un sistema se comporte tal y como se
esperadel.
Engeneral,unsistemaserseguroofiablesipodemosgarantizartresaspectos:
Confidencialidad:accesoalainformacinsolomedianteautorizacinydeformacontrolada.
Integridad:modificacindelainformacinsolomedianteautorizacin.
Disponibilidad:lainformacindelsistemadebepermaneceraccesiblemedianteautorizacin.
ExisteotrapropiedaddelossistemasqueeslaConfiabilidad,entendidacomoniveldecalidaddel
servicio quese ofrece. Pero esta propiedad, que hace referencia a la disponibilidad, estaraal
mismonivelquelaseguridad.EnnuestrocasomantenemoslaDisponibilidadcomounaspectodela
seguridad.
Confidencialidad
EngeneraleltrminoconfidencialhacereferenciaaQuesehaceosediceenconfianzaocon
seguridadrecprocaentredosomspersonas.(http://buscon.rae.es)
Entrminosdeseguridaddelainformacin,laconfidencialidadhacereferencia alanecesidadde
ocultaromantenersecretosobredeterminadainformacinorecursos.
El objetivo de la confidencialidad es, entonces, prevenir la divulgacin no autorizada de la
informacin.
Engeneral,cualquierempresapblicaoprivadaydecualquiermbitodeactuacinrequierequecierta
informacinnoseaaccedidapordiferentesmotivos.Unodelosejemplosmastpicoseseldelejrcito
deunpas.Adems,essabidoqueloslogrosmasimportantesenmateriadeseguridadsiemprevan
ligadosatemasestratgicosmilitares.
Por otra parte, determinadasempresasa menudo desarrollan diseos que deben proteger de sus
competidores.Lasostenibilidaddelaempresaascomosuposicionamientoenelmercadopueden
dependerdeformadirectadelaimplementacindeestosdiseosy,poresemotivo,debenprotegerlos
mediantemecanismosdecontroldeaccesoqueasegurenlaconfidencialidaddeesasinformaciones.
UnejemplotpicodemecanismoquegaranticelaconfidencialidadeslaCriptografa,cuyoobjetivoes
Pg.3de18
cifraroencriptarlosdatosparaqueresultenincomprensiblesaaquellosusuariosquenodisponende
lospermisossuficientes.
Pero,inclusoenestacircunstancia,existeundatosensiblequehayqueprotegeryesla clave de
encriptacin.Estaclaveesnecesariaparaqueelusuarioadecuadopuedadescifrarlainformacin
recibidayenfuncindeltipodemecanismodeencriptacinutilizado,laclavepuede/debeviajarporla
red,pudiendosercapturadamedianteherramientasdiseadasparaello.Siseproduceestasituacin,
laconfidencialidaddelaoperacinrealizada(seabancaria,administrativaodecualquiertipo)queda
comprometida.
Integridad
laintegridaddelosdatos(elvolumendelainformacin)
laintegridaddelorigen(lafuentedelosdatos,llamadaautenticacin)
Es importante hacer hincapi en la integridad del origen, ya que puede afectar a su exactitud,
credibilidadyconfianzaquelaspersonasponenenlainformacin.
Amenudoocurrequealhablardeintegridaddelainformacinnosedaenestosdosaspectos.
Porejemplo,cuandounperidicodifundeunainformacincuyafuentenoescorrecta,podemosdecir
que se mantiene la integridad de la informacin ya que se difunde por medio impreso, pero sin
embargo,alserlafuentedeesainformacinerrneanoseestmanteniendolaintegridaddelorigen,
yaquelafuentenoescorrecta.
Disponibilidad
Engeneral,eltrminodisponibilidadhacereferenciaaunacualidaddedisponibleydichodeuna
cosa"Quesepuededisponerlibrementedeellaoqueestlistaparausarseoutilizarse."
Entrminosdeseguridaddelainformacin,ladisponibilidadhacereferenciaaquelainformacindel
sistemadebepermaneceraccesibleaelementosautorizados.
Elobjetivodeladisponibilidades,entonces,prevenirinterrupcionesnoautorizadas/controladasde
losrecursosinformticos.
En trminos de seguridad informtica un sistema est disponible cuando su diseo e
implementacinpermitedeliberadamentenegarelaccesoadatososerviciosdeterminados.Es
decir,unsistemaesdisponiblesipermitenoestardisponible.
Yunsistemanodisponibleestanmalocomonotenersistema.Nosirve.
Comoresumendelasbasesdelaseguridadinformticaquehemoscomentado,podemosdecirquela
seguridadconsisteenmantenerelequilibrioadecuadoentreestostresfactores.Notienesentido
conseguir la confidencialidad para un archivo si es a costa de que ni tan siquiera el usuario
administradorpuedaaccederal,yaqueseestnegandoladisponibilidad.
Dependiendodelentornodetrabajoysusnecesidadessepuededarprioridadaunaspectodela
seguridad o a otro. En ambientes militares suele ser siempre prioritaria la confidencialidad de la
informacinfrentealadisponibilidad.Aunquealguienpuedaaccederaellaoinclusopuedaeliminarla
Pg.4de18
nopodrconocersucontenidoyreponerdichainformacinsertansencillocomorecuperarunacopia
deseguridad(silascosasseestnhaciendobien).
En ambientes bancarios es prioritaria siempre la integridad de la informacin frente a la
confidencialidadodisponibilidad.Seconsideramenosdainoqueunusuariopuedaleerelsaldode
otrousuarioaquepuedamodificarlo.
Mecanismosbsicosdeseguridad
Autenticacin
DefinimoslaAutenticacincomolaverificacindelaidentidaddelusuario,generalmentecuando
entraenelsistemaolared,oaccedeaunabasededatos.
Normalmenteparaentrarenelsistemainformticoseutilizaunnombredeusuarioyunacontrasea.
Pero,cadavezmsseestnutilizandootrastcnicasmasseguras.
Esposibleautenticarsedetresmaneras:
1. Porloqueunosabe(unacontrasea)
2. Porloqueunotiene(unatarjetamagntica)
3. Porloqueunoes(lashuellasdigitales)
Lautilizacindemsdeunmtodoalavezaumentalasprobabilidadesdequelaautenticacinsea
correcta.Peroladecisindeadoptarmsdeunmododeautenticacinporpartedelasempresas
debeestarenrelacinalvalordelainformacinaproteger.
La tcnica ms usual (aunque no siempre bien) es la autenticacin utilizando contraseas. Este
mtodosermejoropeordependiendodelascaractersticasdelacontrasea.Enlamedidaquela
contraseaseamsgrandeycomplejaparaseradivinada,msdifcilserburlarestatcnica.
Adems,lacontraseadebeserconfidencial.Nopuedeserconocidapornadiemsqueelusuario.
Muchasvecessucedequelosusuariosseprestanlascontraseasolasanotanenunpapelpegado
enelescritorioyquepuedeserledoporcualquierotrousuario,comprometiendoalaempresayal
propiodueo,yaquelaaccin/esquesehaganconesacontraseaes/sonresponsabilidaddeldueo.
Paraquelacontraseaseadifcildeadivinardebetenerunconjuntodecaracteresamplioyvariado
(con minsculas, maysculas y nmeros). El problema es que los usuarios difcilmente recuerdan
contraseas tan elaboradas y utilizan (utilizamos) palabras previsibles (el nombre, el apellido, el
nombredeusuario,elgrupomusicalpreferido,...),quefacilitanlatareaaquinquiereentrarenel
sistemasinautorizacin.
Autorizacin
Definimosla Autorizacin como elprocesoporelcualsedeterminaqu,cmoycundo,un
usuarioautenticadopuedeutilizarlosrecursosdelaorganizacin.
El mecanismo o el grado de autorizacin puede variar dependiendo de qu sea lo que se est
protegiendo.Notodalainformacindelaorganizacinesigualdecrtica.Losrecursosengeneraly
losdatosenparticular,seorganizanennivelesycadaniveldebetenerunaautorizacin.
Dependiendo del recurso la autorizacin puede hacerse por medio de la firma en un formulario o
medianteunacontrasea,perosiempreesnecesarioquedichaautorizacinquederegistradaparaser
controladaposteriormente.
Enelcasodelosdatos,laautorizacindebeasegurarlaconfidencialidadeintegridad,yaseadandoo
denegandoelaccesoenlectura,modificacin,creacinoborradodelosdatos.
Por otra parte, slo se debe dar autorizacin a acceder a un recurso a aquellos usuarios que lo
necesitenparahacersutrabajo,ysinoselenegar.Aunquetambinesposibledarautorizaciones
transitoriasomodificarlasamedidaquelasnecesidadesdelusuariovaren.
Pg.5de18
Administracin
DefinimoslaAdministracincomolaaccinqueestablece,mantieneyeliminalasautorizaciones
delosusuariosdelsistema,losrecursosdelsistemaylasrelacionesusuariosrecursosdel
sistema.
Los administradores son responsables de transformar las polticas de la organizacin y las
autorizacionesotorgadasaunformatoquepuedaserusadoporelsistema.
La administracin de la seguridad informtica dentro de la organizacin es una tarea en continuo
cambioyevolucinyaquelastecnologasutilizadascambianmuyrpidamenteyconellaslosriesgos.
Normalmente todos los sistemas operativos que se precian disponen de mdulos especficos de
administracindeseguridad.Ytambinexistesoftwareexternoyespecficoquesepuedeutilizaren
cadasituacin.
Auditorayregistro
DefinimoslaAuditoracomolacontinuavigilanciadelosserviciosenproduccinyparaellose
recabainformacinyseanaliza.
Esteprocesopermitealosadministradoresverificarquelastcnicasdeautenticacinyautorizacin
utilizadasserealizansegnloestablecidoysecumplenlosobjetivosfijadosporlaorganizacin.
Definimosel Registro como elmecanismoporelcualcualquierintentodeviolarlasreglasde
seguridadestablecidasquedaalmacenadoenunabasedeeventosparaluegoanalizarlo.
Peroauditaryregistrarnotienesentidosinovanacompaadosdeunestudioposteriorenelquese
analicelainformacinrecabada.
Monitorear la informacin registrada o auditar se puede realizar mediante medios manuales o
automticos,yconunaperiodicidadquedependerdelocrticaquesealainformacinprotegidaydel
nivelderiesgo.
Mantenimientodelaintegridad
DefinimoselMantenimientodelaintegridaddelainformacincomoelconjuntodeprocedimientos
establecidosparaevitarocontrolarquelosarchivossufrancambiosnoautorizadosyquela
informacinenviadadesdeunpuntolleguealdestinoinalterada.
Dentrodelastcnicasmsutilizadasparamantener(ocontrolar)laintegridaddelosdatosestn:uso
deantivirus,encriptacinyfuncioneshash.
Vulnerabilidadesdeunsistemainformtico
Enunsistemainformticoloquequeremosprotegersonsusactivos,esdecir,losrecursosqueforman
partedelsistemayquepodemosagruparen:
Hardware:elementosfsicosdelsistemainformtico,talescomoprocesadores,electrnicay
cableadodered,mediosdealmacenamiento(cabinas,discos,cintas,DVDs,...).
Software:elementoslgicosoprogramasqueseejecutansobreelhardware,tantosiesel
propiosistemaoperativocomolasaplicaciones.
Datos:comprendenlainformacinlgicaqueprocesaelsoftwarehaciendousodelhardware.
Engeneralserninformacionesestructuradasenbasesdedatosopaquetesdeinformacin
queviajanporlared.
Otros:fungibles,personas,infraestructuras,..aquellosquese'usanygastan'comopuedeser
latintaypapelenlasimpresoras,lossoportestipoDVDoinclusocintassilascopiassehacen
enesemedio,etc.
De ellos los mas crticos son los datos, el hardware y el software. Es decir, los datos que estn
Pg.6de18
almacenadosenelhardwareyquesonprocesadosporlasaplicacionessoftware.
Inclusodetodosellos,elactivomscrticosonlosdatos.Elrestosepuedereponerconfacilidady
los datos ... sabemos que dependen de que la empresa tenga una buena poltica de copias de
seguridadyseacapazdereponerlosenelestadomsprximoalmomentoenqueseprodujola
prdida.Estopuedesuponerparalaempresa,porejemplo,ladificultadoimposibilidaddereponer
dichosdatosconloqueconllevaradeprdidadetiempoydinero.
Vulnerabilidad:definicinyclasificacin
Definimos Vulnerabilidad como debilidad de cualquier tipo que compromete la seguridad del
sistemainformtico.
Lasvulnerabilidadesdelossistemasinformticoslaspodemosagruparenfuncinde:
Diseo
Debilidadeneldiseodeprotocolosutilizadosenlasredes.
Polticasdeseguridaddeficienteseinexistentes.
Implementacin
Erroresdeprogramacin.
Existenciadepuertastraserasenlossistemasinformticos.
Descuidodelosfabricantes.
Uso
Malaconfiguracindelossistemasinformticos.
Disponibilidaddeherramientasquefacilitanlosataques.
Limitacingubernamentaldetecnologasdeseguridad.
Vulnerabilidaddeldacero
Seincluyenenestegrupoaquellasvulnerabilidadesparalascualesnoexisteunasolucin
conocida,perosesabecomoexplotarla.
Vulnerabilidadesconocidas
Vulnerabilidaddedesbordamientodebuffer.
Siunprograma nocontrolalacantidad dedatos que secopianenbuffer,puedellegar un
momentoenquesesobrepaselacapacidaddelbufferylosbytesquesobransealmacenanen
zonasdememoriaadyacentes.
En esta situacin se puede aprovechar para ejecutar cdigo que nos de privilegios de
administrador.
Vulnerabilidaddecondicindecarrera(racecondition)
Sivariosprocesosaccedenalmismotiempoaunrecursocompartidopuedeproducirseeste
Pg.7de18
tipodevulnerabilidad.Eselcasotpicodeunavariable,quecambiasuestadoypuedeobtener
deestaformaunvalornoesperado.
VulnerabilidaddeCrossSiteScripting(XSS)
Es una vulnerabilidad de las aplicaciones web, que permite inyectar cdigo VBSript o
JavaScript en pginas web vistas por el usuario. El phishing es una aplicacin de esta
vulnerabilidad.EnelphishinglavctimacreequeestaccediendoaunaURL(laveenlabarra
dedirecciones),peroenrealidadestaccediendoaotrositiodiferente.Sielusuariointroduce
suscredencialesenestesitioselasestenviandoalatacante.
Vulnerabilidaddedenegacindelservicio
Ladenegacindeserviciohacequeunservicioorecursonoestdisponibleparalosusuarios.
Sueleprovocarlaprdidadelaconectividaddelaredporelconsumodelanchodebandadela
reddelavctimaosobrecargadelosrecursosinformticosdelsistemadelavctima.
Vulnerabilidaddeventanasengaosas(WindowSpoofing)
Lasventanasengaosassonlasquedicenqueereselganadordetalocualcosa,locuales
mentiraylonicoquequierenesqueelusuariodeinformacin.Hayotrotipodeventanasque
silassiguesobtienendatosdelordenadorparaluegorealizarunataque.
Herramientas
En el caso de servidores Linux/Unix para hacer el anlisis de vulnerabilidades se suele utilizar el
programaNessus.
NessusesdearquitecturaclienteservidorOpenSource,disponedeunabasededatosdepatronesde
ataques para lanzar contra una mquina o conjunto de mquinas con el objetivo de localizar sus
vulnerabilidades.
ExistesoftwarecomercialqueutilizaNessuscomomotorparaelanlisis.Porejemploest Catbird
(www.catbird.com)queusaunportalparalagestincentralizadadelasvulnerabilidades,analiza
externamente e internamente la red teniendo en cuenta los accesos inalmbricos. Adems hace
monitoreo de servicios de red como el DNS y la disponibilidad de los portales web de las
organizaciones.
Enotros sistemas tipo Windowsest el MBSA Microsoft Baseline SecurityAnalyzer que permite
verificarlaconfiguracindeseguridad,detectandolosposiblesproblemasdeseguridadenelsistema
operativoylosdiversoscomponentesinstalados.
Deququeremosprotegerelsistemainformtico?
Yahemoshabladodelosprincipalesactivosoelementosfundamentalesdelsistemainformticoque
sonvulnerablesyahoraveremosaqusonvulnerablesdichoselementos.
Comenzamosdefiniendoelconceptodeamenaza.
Entendemos la amenaza como el escenario en el que una accin o suceso, ya sea o no
deliberado,comprometelaseguridaddeunelementodelsistemainformtico.
Cuandoaunsistemainformticoseledetectaunavulnerabilidadyexisteunaamenazaasociadaa
dichavulnerabilidad,puedeocurrirqueelsucesooeventoseproduzcaynuestrosistemaestaren
riesgo.
Sieleventoseproduceyelriesgoqueeraprobableahoraesreal,elsistemainformticosufrirdaos
quehabrquevalorarcualitativaycuantitativamente,yestosellama'impacto'.
Pg.8de18
Integrandoestosconceptospodemosdecirqueuneventoproducidoenelsistemainformtico
queconstituyeunaamenaza,asociadaaunavulnerabilidaddelsistema,produceunimpacto
sobrel.
Siqueremoseliminarlasvulnerabilidadesdelsistemainformticooqueremosdisminuirelimpactoque
puedanproducirsobrel,hemosdeprotegerelsistemamedianteunaseriedemedidasquepodemos
llamardefensasosalvaguardas.
Polticasdeseguridad
Cmopodemosprotegerelsistemainformtico?
Loprimeroquehemosdehaceresunanlisisdelasposiblesamenazasquepuedesufrirelsistema
informtico,unaestimacindelasprdidasqueesasamenazaspodransuponeryunestudiodelas
probabilidadesdequeocurran.
Apartirdeesteanlisishabrquedisearunapolticadeseguridadenlaqueseestablezcanlas
responsabilidadesyreglasaseguirparaevitaresasamenazasominimizarlosefectossisellegana
producir.
Definimos Poltica de seguridad como un documento sencillo que define las directrices
organizativasenmateriadeseguridad(Villaln).
La poltica de seguridad se implementa mediante una serie de mecanismos de seguridad que
constituyen las herramientas para la proteccin del sistema. Estos mecanismos normalmente se
apoyanennormativasquecubrenreasmasespecficas.
Esquemticamente:
Losmecanismosdeseguridadsedividenentresgrupos:
1. Prevencin:
Evitandesviacionesrespectoalapolticadeseguridad.
Ejemplo:utilizarelcifradoenlatransmisindelainformacinevitaqueunposibleatacante
capture(yentienda)informacinenunsistemadered.
2. Deteccin:
Detectanlasdesviacionessiseproducen,violacionesointentosdeviolacindelaseguridad
delsistema.
Ejemplo:laherramientaTripwireparalaseguridaddelosarchivos.
Pg.9de18
3. Recuperacin:
Seaplicancuandosehadetectadounaviolacindelaseguridaddelsistemapararecuperarsu
normalfuncionamiento.
Ejemplo:lascopiasdeseguridad.
Dentrodelgrupodemecanismosdeprevencintenemos:
Mecanismosdeidentificacineautenticacin
Permiten identificar de forma nica 'entidades' del sistema. El proceso siguiente es la
autenticacin,esdecir,comprobarquelaentidadesquiendiceser.
Pasadosestosdosfiltros,laentidadpuedeaccederaunobjetodelsistema.
Enconcretolossistemasdeidentificacinyautenticacindelosusuariossonlosmecanismos
masutilizados.
Mecanismosdecontroldeacceso
Losobjetosdelsistemadebenestarprotegidosmediantemecanismosdecontroldeacceso
queestablecenlostiposdeaccesoalobjetoporpartedecualquierentidaddelsistema.
Mecanismosdeseparacin
Sielsistemadisponedediferentesnivelesdeseguridadsedebenimplementarmecanismos
quepermitansepararlosobjetosdentrodecadanivel.
Losmecanismosdeseparacin,enfuncindecomoseparanlosobjetos,sedividenenlos
grupossiguientes:separacinfsica,temporal,lgica,criptogrficayfragmentacin.
Mecanismosdeseguridadenlascomunicaciones
La proteccin de la informacin (integridad y privacidad) cuando viaja por la red es
especialmenteimportante.Clsicamenteseutilizanprotocolosseguros,tipoSSHoKerberos,
quecifraneltrficoporlared.
Polticasdeseguridad
ElobjetivodelaPolticadeSeguridaddeInformacindeunaorganizacines,porunlado,
mostrarelposicionamientodelaorganizacinconrelacinalaseguridad,yporotroladoservir
debaseparadesarrollarlosprocedimientosconcretosdeseguridad.
Laempresadebedisponerdeundocumentoformalmenteelaboradosobreeltemayquedebeser
divulgadoentretodoslosempleados.
No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una declaracin de
intenciones.Lomsimportanteparaqueestassurtanefectoeslograrlaconcienciacin,entendimiento
ycompromisodetodoslosinvolucrados.
Laspolticasdebencontenerclaramentelaspracticasquesernadoptadasporlacompaa.Yestas
polticasdebenserrevisadas,ysiesnecesarioactualizadas,peridicamente.
Laspolticasdeben:
mostrarelcompromisodesusaltoscargosconlamisma
definirlafilosofarespectoalaccesoalosdatos
establecerresponsabilidadesinherentesaltema
establecerlabaseparapoderdisearnormasyprocedimientosreferidosa
Pg.10de18
Organizacindelaseguridad
Clasificacinycontroldelosdatos
Seguridaddelaspersonas
Seguridadfsicayambiental
Plandecontingencia
Prevencinydeteccindevirus
Administracindeloscomputadores
A partir de las polticas se podr comenzar a desarrollar, primero las normas, y luego los
procedimientosdeseguridadquesernlaguaparalarealizacindelasactividades.
Lapolticadeseguridadcomprendetodaslasreglasdeseguridadquesigueunaorganizacin(enel
sentidogeneraldelapalabra).Porlotanto,laadministracindelaorganizacinencuestindebe
encargarsededefinirla,yaqueafectaatodoslosusuariosdelsistema.
Laseguridadinformticadeunacompaadependedequelosempleados(usuarios)aprendanlas
reglasatravsdesesionesdecapacitacinydeconcienciacin.
Sinembargo,laseguridaddebeirmsalldelconocimientodelosempleadosycubrirlassiguientes
reas:
Unmecanismodeseguridadfsicaylgicaqueseadaptealasnecesidadesdelacompaay
alusodelosempleados
Unprocedimientoparaadministrarlasactualizaciones
Unaestrategiaderealizacindecopiasdeseguridadplanificadaadecuadamente
Unplanderecuperacinluegodeunincidente
Unsistemadocumentadoactualizado
Porlotantoycomoresumen,lapolticadeseguridadeseldocumentodereferenciaquedefinelos
objetivosdeseguridadylasmedidasquedebenimplementarseparatenerlacertezadealcanzarestos
objetivos.
Amenazas
Clasificacindelasamenazas
Deformageneralpodemosagruparlasamenazasen:
Amenazasfsicas
Amenazaslgicas
Estasamenazas,tantofsicascomolgicas,sonmaterializadasbsicamentepor:
laspersonas
programasespecficos
catstrofesnaturales
Podemostenerotroscriteriosdeagrupacindelasamenazas,comoson:
Origendelasamenazas
Amenazasnaturales:inundacin,incendio,tormenta,falloelctrico,explosin,etc...
Pg.11de18
Intencionalidaddelasamenazas
Accidentes:averasdelhardwareyfallosdelsoftware,incendio,inundacin,etc...
Errores:erroresdeutilizacin,deexplotacin,deejecucindeprocedimientos,etc...
Actuacionesmalintencionadas:robos,fraudes,sabotajes,intentosdeintrusin,etc...
Naturalezadelasamenazas
Laagrupacindelasamenazasatendiendoalfactordeseguridadquecomprometeneslasiguiente:
Interceptacin
Modificacin
Interrupcin
Fabricacin
1. Flujonormaldelainformacin:secorrespondeconelesquemasuperiordelafigura.
Segarantiza:
Confidencialidad:nadienoautorizadoaccedealainformacin.
Integridad:losdatosenviadosnosemodificanenelcamino.
Disponibilidad:larecepcinyaccesoescorrecto.
privilegiosnoadquiridos.
Deteccindifcil,nodejahuellas.
Segarantiza:
Integridad.
Disponibilidad
Nosegarantiza:
Confidencialidad:esposiblequealguiennoautorizadoaccedaalainformacin
Ejemplos:
Copiasilcitasdeprogramas
Pg.12de18
Escuchaenlneadedatos
3. Modificacin:accesonoautorizadoquecambiaelentornoparasubeneficio.
Deteccindifcilsegncircunstancias.
Segarantiza:
Disponibilidad:larecepcinescorrecta.
Nosegarantiza:
Integridad:losdatosenviadospuedensermodificadosenelcamino.
Confidencialidad:alguiennoautorizadoaccedealainformacin.
Ejemplos:
Modificacindebasesdedatos
Modificacindeelementosdelhardware
4. Interrupcin:puedeprovocarqueunobjetodelsistemasepierda,quedenoutilizableono
disponible.
Deteccininmediata.
Segarantiza:
Confidencialidad:nadienoautorizadoaccedealainformacin.
Integridad:losdatosenviadosnosemodificanenelcamino.
Pg.13de18
Nosegarantiza:
Disponibilidad:puedequelarecepcinnoseacorrecta.
Ejemplos:
Destruccindelhardware
Borradodeprogramas,datos
Fallosenelsistemaoperativo
5. Fabricacin:puedeconsiderarsecomouncasoconcretodemodificacinyaqueseconsigue
unobjetosimilaralatacadodeformaquenoresultesencillodistinguirentreobjetooriginalyel
fabricado.
Deteccindifcil.Delitosdefalsificacin.
Enestecasosegarantiza:
Confidencialidad:nadienoautorizadoaccedealainformacin.
Integridad:losdatosenviadosnosemodificanenelcamino.
Disponibilidad:larecepcinescorrecta.
Ejemplos:
Aadirtransaccionesenred
Aadirregistrosenbasededatos
Amenazasprovocadasporpersonas
Lamayorpartedelosataquesalossistemasinformticossonprovocados,intencionadamenteono,
porlaspersonas.
Qusebusca?
Engeneralloquesebuscaesconseguirunniveldeprivilegioenelsistemaquelespermitarealizar
accionessobreelsistemanoautorizadas.
Podemosclasificarlaspersonas'atacantes'endosgrupos:
Pasivos:suobjetivoescuriosearenelsistema.
Repasamosahoratodoslostiposdepersonasquepuedenconstituirunaamenazaparaelsistema
informticosinentrarendetalles:
Pg.14de18
Personaldelapropiaorganizacin
Exempleados
Curiosos
Crackers
Terroristas
Intrusosremunerados
Amenazasfsicas
Dentrodelasamenazasfsicaspodemosenglobarcualquiererrorodaoenelhardwarequesepuede
presentarencualquiermomento.Porejemplo,daosendiscosduros,enlosprocesadores,erroresde
funcionamientodelamemoria,etc.Todoselloshacenquelainformacinonoestaccesibleonosea
fiable.
Otrotipodeamenazasfsicassonlascatstrofesnaturales.Porejemplohayzonasgeogrficasdel
planetaenlasquelasprobabilidadesdesufrirterremotos,huracanes,inundaciones,etc,sonmucho
maselevadas.
EnestoscasosenlosqueeslapropiaNaturalezalaquehaprovocadoeldesastredeseguridad,no
porellohayquedescuidarloeintentarpreveralmximoestetipodesituaciones.
Hayotrotipodecatstrofesqueseconocencomoderiesgopocoprobable.Dentrodeestegrupo
tenemoslostaquesnucleares,impactosdemeteoritos,etc.yque,aunquesesabequeestnah,las
probabilidadesdequesedesencadenensonmuybajasyenprincipionosetomanmedidascontra
ellos.
Yahemosexplicadoelconceptodeamenazafsica.Vamosaconocerahoraculessonlasprincipales
amenazasfsicasdeunsistemainformtico.
Tiposdeamenazasfsicas
Lasamenazasfsicaslaspodemosagruparenlasproducidaspor:
1. Accesofsico
Hayquetenerencuentaquecuandoexisteaccesofsicoaunrecursoyanoexisteseguridad
sobrel.Suponeentoncesungranriesgoyprobablementeconunimpactomuyalto.
Amenudosedescuidaestetipodeseguridad.
Elejemplotpicodeestetipoeseldeunaorganizacinquedisponedetomasderedqueno
estncontroladas,sonlibres.
2. Radiacioneselectromagnticas
Sabemos que cualquier aparato elctrico emite radiaciones y que dichas radiaciones se
pueden capturar y reproducir, si se dispone del equipamiento adecuado. Por ejemplo, un
posibleatacantepodra'escuchar'losdatosquecirculanporelcabletelefnico.
Es unproblema que hoy da con las redes wifi desprotegidas, por ejemplo, vuelve a estar
vigente.
3. Desastresnaturales
Respectoaterremotoselriesgoesreducidoennuestroentorno,yaqueEspaanoesuna
zonassmicamuyactiva.Perosonfenmenosnaturalesquesiseprodujerantendranungran
impactoynosoloentrminosdesistemasinformticos,sinoengeneralparalasociedad.
Siempre hay que tener en cuenta las caractersticas de cada zona en particular. Las
posibilidadesdequeocurraunainundacinsonlasmismasentodaslasregionesdeEspaa.
Pg.15de18
Hayqueconocerbienelentornoenelqueestnfsicamentelossistemasinformticos.
4. Desastresdelentorno
Dentro de este grupo estaran incluidos sucesos que, sin llegar a ser desastres naturales,
puedentenerunimpactoigualdeimportantesinosedisponendelasmedidasdesalvaguarda
listasyoperativas.
Puedeocurrirunincendioounapagnynotenerbiendefinidaslasmedidasatomarenestas
situacionesosimplementenoteneroperativoelSAIquedeberaresponderdeformainmediata
alcortedesuministroelctrico.
Descripcindealgunasamenazasfsicas
VeamosalgunasamenazasfsicasalasquesepuedeversometidounCPDyalgunasugerenciapara
evitarestetipoderiesgo.
Poraccionesnaturales:incendio,inundacin,condicionesclimatolgicas,sealesderadar,
instalacioneselctricas,ergometra,
Poraccioneshostiles:robo,fraude,sabotaje,...
Comosepuedecomprobar,evaluarycontrolarpermanentementelaseguridadfsicadeledificioque
albergaelCPDeslabaseparacomenzaraintegrarlaseguridadcomounafuncinprimordialdentro
decualquierorganismo.
Tenercontroladoelambienteyaccesofsicopermite:
disminuirsiniestros
trabajarmejormanteniendolasensacindeseguridad
descartarfalsashiptesissiseprodujeranincidentes
tenerlosmediosparalucharcontraaccidentes
Lasdistintasalternativasenumeradassonsuficientesparaconocerentodomomentoelestadodel
medioenelquesetrabajayastomardecisionesenbasealainformacinofrecidaporlosmediosde
controladecuados.
Estasdecisionespuedenvariardesdeelconocimientodelareasquerecorrenciertaspersonashasta
laextremodeevacuareledificioencasodeaccidentes.
Amenazaslgicas
Elpuntomsdbildeunsistemainformticosonlaspersonasrelacionadasenmayoromenormedida
con l. Puede ser inexperiencia o falta de preparacin, o sin llegar a ataques intencionados
propiamente,simplementesucesosaccidentales.Peroque,encualquiercaso,hayqueprevenir.
Entrealgunosdelosataquespotencialesquepuedensercausadosporestaspersonas,encontramos:
ShoulderSurfing:consisteen"espiar"fsicamentealosusuariosparaobtenergeneralmente
clavesdeaccesoalsistema.
Masquerading:consisteensuplantarlaidentidaddeciertousuarioautorizadodeunsistema
informticoosuentorno.
Basureo:consisteenobtenerinformacindejadaenoalrededordeunsistemainformticotras
laejecucindeuntrabajo.
Pg.16de18
Actos delictivos: son actos tipificados claramente como delitos por las leyes, como el
chantaje,elsobornoolaamenaza.
Atacanteinterno:lamayoramenazaprocededepersonasquehantrabajadootrabajancon
los sistemas. Estos posibles atacantes internos deben disponer de los privilegio mnimos,
conocimientoparcial,rotacindefuncionesyseparacindefunciones,etc.
Algunasamenazaslgicas
Lasamenazaslgicascomprendenunaseriedeprogramasquepuedendaarelsistemainformtico.
Yestosprogramashansidocreados:
deformaintencionadaparahacerdao:softwaremaliciosoomalware(malicioussoftware)
porerror:bugsoagujeros.
Enumeramosalgunasdelasamenazasconlasquenospodemosencontrar:
1. Softwareincorrecto
Sonerroresdeprogramacin(bugs)ylosprogramasutilizadosparaaprovecharunodeestos
fallosyatacaralsistemasonlosexploits.Eslaamenazamshabitual,yaqueesmuysencillo
conseguirunexploityutilizarlosintenergrandesconocimientos.
2. Exploits
Sonlosprogramasqueaprovechanunavulnerabilidaddelsistema.Sonespecficosdecada
sistemaoperativo,delaconfiguracindelsistemaydeltipoderedenlaqueseencuentren.
Puedenhaberexploitsdiferentesenfuncindeltipodevulnerabilidad.
3. Herramientasdeseguridad
Puedeserutilizadaparadetectarysolucionarfallosenelsistemaounintrusopuedeutilizarlas
paradetectar esos mismos fallos y aprovechar para atacar el sistema. Herramientas como
Nessus o Satan pueden ser tiles pero tambin peligrosas si son utilizadas por crackers
buscandoinformacinsobrelasvulnerabilidadesdeunhostodeunaredcompleta.
4. Puertastraseras
Duranteeldesarrollodeaplicacioneslosprogramadorespuedenincluir'atajos'enlossistemas
de autenticacin de la aplicacin. Estos atajos se llaman puertas traseras, y con ellos se
consiguemayorvelocidadalahoradedetectarydepurarfallos.Siestaspuertastraseras,una
vezlaaplicacinhasidofinalizada,nosedestruyen,seestdejandoabiertaunapuertade
entradarpida.
5. Bombaslgicas
Sonpartesdecdigoquenoseejecutanhastaquesecumpleunacondicin.Alactivarse,la
funcinquerealizannoestarelacionadaconelprograma,suobjetivoesescompletamente
diferente.
6. Virus
Secuenciadecdigoqueseincluyeenunarchivoejecutable(llamadohusped),ycuandoel
archivoseejecuta,elvirustambinseejecuta,propagndoseaotrosprogramas.
7. Gusanos
Programacapazdeejecutarseypropagarseporsmismoatravsderedes,ypuedellevar
virusoaprovecharbugsdelossistemasalosqueconectaparadaarlos.
Pg.17de18
8. CaballosdeTroya
LoscaballosdeTroyasoninstruccionesincluidasenunprogramaquesimulanrealizartareas
que se esperan de ellas, pero en realidad ejecutan funciones con el objetivo de ocultar la
presenciadeunatacanteoparaasegurarselaentradaencasodeserdescubierto.
9. Spyware
Programas espa que recopilan informacin sobre una persona o una organizacin sin su
conocimiento.Estainformacinluegopuedesercedidaovendidaaempresaspublicitarias.
Puedenrecopilarinformacindeltecladodelavctimapudiendoasconocercontraseaonde
cuentasbancariasopines.
10. Adware
Programasqueabrenventanasemergentesmostrandopublicidaddeproductosyservicios.Se
sueleutilizarparasubvencionarlaaplicacinyqueelusuariopuedabajarlagratisuobtenerun
descuento.Normalmenteelusuarioesconscientedeelloydasupermiso.
11. Spoofing
Tcnicasdesuplantacindeidentidadconfinesdudosos.
12. Phishing
Intentaconseguirinformacinconfidencialdeformafraudulenta(conseguircontraseasopines
bancarios)haciendounasuplantacindeidentidad.Paraelloelestafadorsehacepasarpor
unapersonaoempresadelaconfianzadelusuariomedianteuncorreoelectrnicooficialo
mensajerainstantnea,ydeestaformaconseguirlainformacin.
13. Spam
Recepcin de mensajes no solicitados. Se suele utilizar esta tcnica en los correos
electrnicos,mensajerainstantneaymensajesamviles.
14. Programasconejoobacterias
Programas que no hacen nada, solo se reproducen rpidamente hasta que el nmero de
copiasacabaconlosrecursosdelsistema(memoria,procesador,disco,etc.).
15. Tcnicassalami
Roboautomatizadodepequeascantidadesdinerodeunagrancantidadorigen.Esmuydifcil
sudeteccinysesuelenutilizarparaatacarensistemasbancarios.
Pg.18de18