IntroduccinyConceptosGeneralesdela

SeguridadInformtica
http://recursostic.educacion.es/observatorio/web/eu/software/softwaregeneral/1040introduccionalaseguridad
informatica?showall=1

Cuandosehabladeseguridadenel mbitodelasTICamenudoseconfundenlosconceptosde
seguridad de la informacin y seguridad informtica. Y siendo ambos realmente importantes y
similares,haydiferenciasentreellos.
En este artculo hablaremos sobre los conceptos de seguridad de la informacin y seguridad
informticayexplicaremoslospilaressobrelosquesebasalaseguridaddelainformacin.
Tambinrepasaremosloselementosvulnerablesdeunsistemainformtico,elconceptodeamenaza,
fuentesdeamenazasytipos,ascomolaspolticasdeseguridadqueadoptanlasorganizacionespara
asegurarsussistemasominimizarelimpactoquestaspudieranocasionar.

Seguridaddelainformacin/Seguridadinformtica
Existenmuchasdefinicionesdeltrminoseguridad.Simplificando,yengeneral,podemosdefinirla
seguridadcomo:"Caractersticaqueindicaqueunsistemaestalibredetodopeligro,daooriesgo."
(Villaln)
Cuandohablamosde seguridaddelainformacin estamosindicandoquedichainformacintiene
unarelevanciaespecialenuncontextodeterminadoyque,portanto,hayqueproteger.
La Seguridad de la Informacin se puede definir como conjunto de medidas tcnicas,
organizativasylegalesquepermitenalaorganizacinasegurarlaconfidencialidad,integridady
disponibilidaddesusistemadeinformacin.
Hastalaaparicinydifusindelusodelossistemasinformticos,todalainformacindeintersdeuna
organizacin se guardaba en papel y se almacenaba en grandes cantidades de abultados
archivadores.Datosdelosclientesoproveedoresdelaorganizacin,odelosempleadosquedaban
registradosenpapel,contodoslosproblemasqueluegoacarreabasualmacenaje,transporte,acceso
yprocesado.
Lossistemasinformticospermitenladigitalizacindetodoestevolumendeinformacinreduciendoel
espacioocupado,pero,sobretodo,facilitandosuanlisisyprocesado.Seganaen'espacio',acceso,
rapidezenelprocesadodedichainformacinymejorasenlapresentacindedichainformacin.
Peroaparecenotrosproblemasligadosaesasfacilidades.Siesmsfciltransportarlainformacin
tambinhaymsposibilidadesdequedesaparezca'porelcamino'.Siesmsfcilaccederaella
tambinesmsfcilmodificarsucontenido,etc.
Desdelaaparicindelosgrandessistemasaisladoshastanuestrosdas,enlosqueeltrabajoenred
eslohabitual,losproblemasderivadosdelaseguridaddelainformacinhanidotambincambiando,
evolucionando, pero estn ah y las soluciones han tenido que ir adaptndose a los nuevos
requerimientostcnicos.Aumentalasofisticacinenelataqueyelloaumentalacomplejidaddela
solucin,perolaesenciaeslamisma.
Existentambindiferentesdefinicionesdeltrmino SeguridadInformtica.Deellasnosquedamos
conladefinicinofrecidaporelestndarparalaseguridaddelainformacinISO/IEC27001,quefue
aprobadoypublicadoenoctubrede2005porlaInternationalOrganizationforStandardization(ISO)y
porlacomisinInternationalElectrotechnicalCommission(IEC).
La seguridad informtica consiste en la implantacin de un conjunto de medidas tcnicas
destinadasapreservarlaconfidencialidad,laintegridadyladisponibilidaddelainformacin,
pudiendo, adems, abarcar otras propiedades, como la autenticidad, la responsabilidad, la
Pg.1de18

fiabilidadyelnorepudio.
Comovemoseltrminoseguridaddelainformacinesmasamplioyaqueenglobaotrosaspectos
relacionadosconlaseguridadmasalldelospuramentetecnolgicos.

Seguridaddelainformacin:modeloPDCA
Dentrodelaorganizacineltemadelaseguridaddelainformacinesuncaptulomuyimportanteque
requierededicarletiempoyrecursos.LaorganizacindebeplantearseunSistemadeGestindela
SeguridaddelaInformacin(SGSI).
ElobjetivodeunSGSIesprotegerlainformacinyparaelloloprimeroquedebehaceresidentificar
losactivosdeinformacinquedebenserprotegidosyenqugrado.
Luego debe aplicarse el plan PDCA (PLAN DO CHECK ACT), es decir Planificar, Hacer,
Verificar,Actuaryvolverarepetirelciclo.
Seentiendelaseguridadcomounprocesoquenuncaterminayaquelosriesgosnuncaseeliminan,
pero se pueden gestionar. De los riesgos se desprende que los problemas de seguridad no son
nicamentedenaturalezatecnolgica,yporesemotivonuncaseeliminanensutotalidad.
UnSGSIsiemprecumplecuatronivelesrepetitivosquecomienzanporPlanificaryterminanenActuar,
consiguiendoasmejorarlaseguridad.

PLANIFICAR (Plan): consiste en establecer el contexto en el se crean las polticas de

seguridad,sehaceelanlisisderiesgos,sehacelaseleccindecontrolesyelestadode
aplicabilidad

HACER (Do):consisteenimplementarelsistemadegestindeseguridaddelainformacin,
implementarelplanderiesgoseimplementarloscontroles.

VERIFICAR(Check):consisteenmonitorearlasactividadesyhacerauditorasinternas.

ACTUAR(Act):consisteenejecutartareasdemantenimiento,propuestasdemejora,acciones
preventivasyaccionescorrectivas.

BasesdelaSeguridadInformtica
Fiabilidad
Existeunafrasequesehahechofamosadentrodelmundodelaseguridad.EugeneSpafford,profesor
decienciasinformticasenlaUniversidadPurdue(Indiana,EEUU)yexpertoenseguridaddedatos,
dijoqueelnicosistemaseguroesaquelqueestapagadoydesconectado,enterradoenunrefugio

Pg.2de18

de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien
armados.Anas,yonoapostaramividaporl.
Hablardeseguridadinformticaentrminosabsolutosesimposibleyporesemotivosehablamas
biendefiabilidaddelsistema,que,enrealidadesunarelajacindelprimertrmino.
Definimos la Fiabilidad como la probabilidad de que un sistema se comporte tal y como se
esperadel.
Engeneral,unsistemaserseguroofiablesipodemosgarantizartresaspectos:

Confidencialidad:accesoalainformacinsolomedianteautorizacinydeformacontrolada.

Integridad:modificacindelainformacinsolomedianteautorizacin.

Disponibilidad:lainformacindelsistemadebepermaneceraccesiblemedianteautorizacin.

ExisteotrapropiedaddelossistemasqueeslaConfiabilidad,entendidacomoniveldecalidaddel
servicio quese ofrece. Pero esta propiedad, que hace referencia a la disponibilidad, estaraal
mismonivelquelaseguridad.EnnuestrocasomantenemoslaDisponibilidadcomounaspectodela
seguridad.

Confidencialidad

EngeneraleltrminoconfidencialhacereferenciaaQuesehaceosediceenconfianzaocon
seguridadrecprocaentredosomspersonas.(http://buscon.rae.es)
Entrminosdeseguridaddelainformacin,laconfidencialidadhacereferencia alanecesidadde
ocultaromantenersecretosobredeterminadainformacinorecursos.
El objetivo de la confidencialidad es, entonces, prevenir la divulgacin no autorizada de la
informacin.
Engeneral,cualquierempresapblicaoprivadaydecualquiermbitodeactuacinrequierequecierta
informacinnoseaaccedidapordiferentesmotivos.Unodelosejemplosmastpicoseseldelejrcito
deunpas.Adems,essabidoqueloslogrosmasimportantesenmateriadeseguridadsiemprevan
ligadosatemasestratgicosmilitares.
Por otra parte, determinadasempresasa menudo desarrollan diseos que deben proteger de sus
competidores.Lasostenibilidaddelaempresaascomosuposicionamientoenelmercadopueden
dependerdeformadirectadelaimplementacindeestosdiseosy,poresemotivo,debenprotegerlos
mediantemecanismosdecontroldeaccesoqueasegurenlaconfidencialidaddeesasinformaciones.
UnejemplotpicodemecanismoquegaranticelaconfidencialidadeslaCriptografa,cuyoobjetivoes
Pg.3de18

cifraroencriptarlosdatosparaqueresultenincomprensiblesaaquellosusuariosquenodisponende
lospermisossuficientes.
Pero,inclusoenestacircunstancia,existeundatosensiblequehayqueprotegeryesla clave de
encriptacin.Estaclaveesnecesariaparaqueelusuarioadecuadopuedadescifrarlainformacin
recibidayenfuncindeltipodemecanismodeencriptacinutilizado,laclavepuede/debeviajarporla
red,pudiendosercapturadamedianteherramientasdiseadasparaello.Siseproduceestasituacin,
laconfidencialidaddelaoperacinrealizada(seabancaria,administrativaodecualquiertipo)queda
comprometida.

Integridad

Engeneral, eltrminointegridadhacereferencia auna cualidad dentegroeindica"Queno

carecedeningunadesuspartes."yrelativoapersonas"Recta,proba,intachable.".
En trminos de seguridad de la informacin, la integridad hace referencia a la fidelidad de la
informacin o recursos, y normalmente se expresa en lo referente a prevenir el cambio
impropioodesautorizado.
El objetivo de la integridad es, entonces, prevenir modificaciones no autorizadas de la
informacin.
Laintegridadhacereferenciaa:

laintegridaddelosdatos(elvolumendelainformacin)

laintegridaddelorigen(lafuentedelosdatos,llamadaautenticacin)

Es importante hacer hincapi en la integridad del origen, ya que puede afectar a su exactitud,
credibilidadyconfianzaquelaspersonasponenenlainformacin.
Amenudoocurrequealhablardeintegridaddelainformacinnosedaenestosdosaspectos.
Porejemplo,cuandounperidicodifundeunainformacincuyafuentenoescorrecta,podemosdecir
que se mantiene la integridad de la informacin ya que se difunde por medio impreso, pero sin
embargo,alserlafuentedeesainformacinerrneanoseestmanteniendolaintegridaddelorigen,
yaquelafuentenoescorrecta.

Disponibilidad

Engeneral,eltrminodisponibilidadhacereferenciaaunacualidaddedisponibleydichodeuna
cosa"Quesepuededisponerlibrementedeellaoqueestlistaparausarseoutilizarse."
Entrminosdeseguridaddelainformacin,ladisponibilidadhacereferenciaaquelainformacindel
sistemadebepermaneceraccesibleaelementosautorizados.
Elobjetivodeladisponibilidades,entonces,prevenirinterrupcionesnoautorizadas/controladasde
losrecursosinformticos.
En trminos de seguridad informtica un sistema est disponible cuando su diseo e
implementacinpermitedeliberadamentenegarelaccesoadatososerviciosdeterminados.Es
decir,unsistemaesdisponiblesipermitenoestardisponible.
Yunsistemanodisponibleestanmalocomonotenersistema.Nosirve.
Comoresumendelasbasesdelaseguridadinformticaquehemoscomentado,podemosdecirquela
seguridadconsisteenmantenerelequilibrioadecuadoentreestostresfactores.Notienesentido
conseguir la confidencialidad para un archivo si es a costa de que ni tan siquiera el usuario
administradorpuedaaccederal,yaqueseestnegandoladisponibilidad.
Dependiendodelentornodetrabajoysusnecesidadessepuededarprioridadaunaspectodela
seguridad o a otro. En ambientes militares suele ser siempre prioritaria la confidencialidad de la
informacinfrentealadisponibilidad.Aunquealguienpuedaaccederaellaoinclusopuedaeliminarla
Pg.4de18

nopodrconocersucontenidoyreponerdichainformacinsertansencillocomorecuperarunacopia
deseguridad(silascosasseestnhaciendobien).
En ambientes bancarios es prioritaria siempre la integridad de la informacin frente a la
confidencialidadodisponibilidad.Seconsideramenosdainoqueunusuariopuedaleerelsaldode
otrousuarioaquepuedamodificarlo.

Mecanismosbsicosdeseguridad
Autenticacin
DefinimoslaAutenticacincomolaverificacindelaidentidaddelusuario,generalmentecuando
entraenelsistemaolared,oaccedeaunabasededatos.
Normalmenteparaentrarenelsistemainformticoseutilizaunnombredeusuarioyunacontrasea.
Pero,cadavezmsseestnutilizandootrastcnicasmasseguras.
Esposibleautenticarsedetresmaneras:
1. Porloqueunosabe(unacontrasea)
2. Porloqueunotiene(unatarjetamagntica)
3. Porloqueunoes(lashuellasdigitales)
Lautilizacindemsdeunmtodoalavezaumentalasprobabilidadesdequelaautenticacinsea
correcta.Peroladecisindeadoptarmsdeunmododeautenticacinporpartedelasempresas
debeestarenrelacinalvalordelainformacinaproteger.
La tcnica ms usual (aunque no siempre bien) es la autenticacin utilizando contraseas. Este
mtodosermejoropeordependiendodelascaractersticasdelacontrasea.Enlamedidaquela
contraseaseamsgrandeycomplejaparaseradivinada,msdifcilserburlarestatcnica.
Adems,lacontraseadebeserconfidencial.Nopuedeserconocidapornadiemsqueelusuario.
Muchasvecessucedequelosusuariosseprestanlascontraseasolasanotanenunpapelpegado
enelescritorioyquepuedeserledoporcualquierotrousuario,comprometiendoalaempresayal
propiodueo,yaquelaaccin/esquesehaganconesacontraseaes/sonresponsabilidaddeldueo.
Paraquelacontraseaseadifcildeadivinardebetenerunconjuntodecaracteresamplioyvariado
(con minsculas, maysculas y nmeros). El problema es que los usuarios difcilmente recuerdan
contraseas tan elaboradas y utilizan (utilizamos) palabras previsibles (el nombre, el apellido, el
nombredeusuario,elgrupomusicalpreferido,...),quefacilitanlatareaaquinquiereentrarenel
sistemasinautorizacin.

Autorizacin
Definimosla Autorizacin como elprocesoporelcualsedeterminaqu,cmoycundo,un
usuarioautenticadopuedeutilizarlosrecursosdelaorganizacin.
El mecanismo o el grado de autorizacin puede variar dependiendo de qu sea lo que se est
protegiendo.Notodalainformacindelaorganizacinesigualdecrtica.Losrecursosengeneraly
losdatosenparticular,seorganizanennivelesycadaniveldebetenerunaautorizacin.
Dependiendo del recurso la autorizacin puede hacerse por medio de la firma en un formulario o
medianteunacontrasea,perosiempreesnecesarioquedichaautorizacinquederegistradaparaser
controladaposteriormente.
Enelcasodelosdatos,laautorizacindebeasegurarlaconfidencialidadeintegridad,yaseadandoo
denegandoelaccesoenlectura,modificacin,creacinoborradodelosdatos.
Por otra parte, slo se debe dar autorizacin a acceder a un recurso a aquellos usuarios que lo
necesitenparahacersutrabajo,ysinoselenegar.Aunquetambinesposibledarautorizaciones
transitoriasomodificarlasamedidaquelasnecesidadesdelusuariovaren.
Pg.5de18

Administracin
DefinimoslaAdministracincomolaaccinqueestablece,mantieneyeliminalasautorizaciones
delosusuariosdelsistema,losrecursosdelsistemaylasrelacionesusuariosrecursosdel
sistema.
Los administradores son responsables de transformar las polticas de la organizacin y las
autorizacionesotorgadasaunformatoquepuedaserusadoporelsistema.
La administracin de la seguridad informtica dentro de la organizacin es una tarea en continuo
cambioyevolucinyaquelastecnologasutilizadascambianmuyrpidamenteyconellaslosriesgos.
Normalmente todos los sistemas operativos que se precian disponen de mdulos especficos de
administracindeseguridad.Ytambinexistesoftwareexternoyespecficoquesepuedeutilizaren
cadasituacin.

Auditorayregistro
DefinimoslaAuditoracomolacontinuavigilanciadelosserviciosenproduccinyparaellose
recabainformacinyseanaliza.
Esteprocesopermitealosadministradoresverificarquelastcnicasdeautenticacinyautorizacin
utilizadasserealizansegnloestablecidoysecumplenlosobjetivosfijadosporlaorganizacin.
Definimosel Registro como elmecanismoporelcualcualquierintentodeviolarlasreglasde
seguridadestablecidasquedaalmacenadoenunabasedeeventosparaluegoanalizarlo.
Peroauditaryregistrarnotienesentidosinovanacompaadosdeunestudioposteriorenelquese
analicelainformacinrecabada.
Monitorear la informacin registrada o auditar se puede realizar mediante medios manuales o
automticos,yconunaperiodicidadquedependerdelocrticaquesealainformacinprotegidaydel
nivelderiesgo.

Mantenimientodelaintegridad
DefinimoselMantenimientodelaintegridaddelainformacincomoelconjuntodeprocedimientos
establecidosparaevitarocontrolarquelosarchivossufrancambiosnoautorizadosyquela
informacinenviadadesdeunpuntolleguealdestinoinalterada.
Dentrodelastcnicasmsutilizadasparamantener(ocontrolar)laintegridaddelosdatosestn:uso
deantivirus,encriptacinyfuncioneshash.

Vulnerabilidadesdeunsistemainformtico
Enunsistemainformticoloquequeremosprotegersonsusactivos,esdecir,losrecursosqueforman
partedelsistemayquepodemosagruparen:

Hardware:elementosfsicosdelsistemainformtico,talescomoprocesadores,electrnicay
cableadodered,mediosdealmacenamiento(cabinas,discos,cintas,DVDs,...).

Software:elementoslgicosoprogramasqueseejecutansobreelhardware,tantosiesel
propiosistemaoperativocomolasaplicaciones.

Datos:comprendenlainformacinlgicaqueprocesaelsoftwarehaciendousodelhardware.
Engeneralserninformacionesestructuradasenbasesdedatosopaquetesdeinformacin
queviajanporlared.

Otros:fungibles,personas,infraestructuras,..aquellosquese'usanygastan'comopuedeser
latintaypapelenlasimpresoras,lossoportestipoDVDoinclusocintassilascopiassehacen
enesemedio,etc.

De ellos los mas crticos son los datos, el hardware y el software. Es decir, los datos que estn
Pg.6de18

almacenadosenelhardwareyquesonprocesadosporlasaplicacionessoftware.

Inclusodetodosellos,elactivomscrticosonlosdatos.Elrestosepuedereponerconfacilidady
los datos ... sabemos que dependen de que la empresa tenga una buena poltica de copias de
seguridadyseacapazdereponerlosenelestadomsprximoalmomentoenqueseprodujola
prdida.Estopuedesuponerparalaempresa,porejemplo,ladificultadoimposibilidaddereponer
dichosdatosconloqueconllevaradeprdidadetiempoydinero.

Vulnerabilidad:definicinyclasificacin
Definimos Vulnerabilidad como debilidad de cualquier tipo que compromete la seguridad del
sistemainformtico.
Lasvulnerabilidadesdelossistemasinformticoslaspodemosagruparenfuncinde:
Diseo

Debilidadeneldiseodeprotocolosutilizadosenlasredes.

Polticasdeseguridaddeficienteseinexistentes.

Implementacin

Erroresdeprogramacin.

Existenciadepuertastraserasenlossistemasinformticos.

Descuidodelosfabricantes.

Uso

Malaconfiguracindelossistemasinformticos.

Desconocimiento y falta de sensibilizacin de los usuarios y de los responsables de

informtica.

Disponibilidaddeherramientasquefacilitanlosataques.

Limitacingubernamentaldetecnologasdeseguridad.

Vulnerabilidaddeldacero

Seincluyenenestegrupoaquellasvulnerabilidadesparalascualesnoexisteunasolucin
conocida,perosesabecomoexplotarla.

Vulnerabilidadesconocidas

Vulnerabilidaddedesbordamientodebuffer.
Siunprograma nocontrolalacantidad dedatos que secopianenbuffer,puedellegar un
momentoenquesesobrepaselacapacidaddelbufferylosbytesquesobransealmacenanen
zonasdememoriaadyacentes.
En esta situacin se puede aprovechar para ejecutar cdigo que nos de privilegios de
administrador.

Vulnerabilidaddecondicindecarrera(racecondition)
Sivariosprocesosaccedenalmismotiempoaunrecursocompartidopuedeproducirseeste
Pg.7de18

tipodevulnerabilidad.Eselcasotpicodeunavariable,quecambiasuestadoypuedeobtener
deestaformaunvalornoesperado.

VulnerabilidaddeCrossSiteScripting(XSS)
Es una vulnerabilidad de las aplicaciones web, que permite inyectar cdigo VBSript o
JavaScript en pginas web vistas por el usuario. El phishing es una aplicacin de esta
vulnerabilidad.EnelphishinglavctimacreequeestaccediendoaunaURL(laveenlabarra
dedirecciones),peroenrealidadestaccediendoaotrositiodiferente.Sielusuariointroduce
suscredencialesenestesitioselasestenviandoalatacante.

Vulnerabilidaddedenegacindelservicio
Ladenegacindeserviciohacequeunservicioorecursonoestdisponibleparalosusuarios.
Sueleprovocarlaprdidadelaconectividaddelaredporelconsumodelanchodebandadela
reddelavctimaosobrecargadelosrecursosinformticosdelsistemadelavctima.

Vulnerabilidaddeventanasengaosas(WindowSpoofing)
Lasventanasengaosassonlasquedicenqueereselganadordetalocualcosa,locuales
mentiraylonicoquequierenesqueelusuariodeinformacin.Hayotrotipodeventanasque
silassiguesobtienendatosdelordenadorparaluegorealizarunataque.

En http://www.cert.org/stats/ hay disponibles unas tablas que indican el nmero de

vulnerabilidadesdetectadasporao.Esinteresantevisitarlawebdevezencuandoycomprobarel
elevadonmerodevulnerabilidadesquesevandetectando.Habraquevercuntasnosedetectan...

Herramientas
En el caso de servidores Linux/Unix para hacer el anlisis de vulnerabilidades se suele utilizar el
programaNessus.
NessusesdearquitecturaclienteservidorOpenSource,disponedeunabasededatosdepatronesde
ataques para lanzar contra una mquina o conjunto de mquinas con el objetivo de localizar sus
vulnerabilidades.
ExistesoftwarecomercialqueutilizaNessuscomomotorparaelanlisis.Porejemploest Catbird
(www.catbird.com)queusaunportalparalagestincentralizadadelasvulnerabilidades,analiza
externamente e internamente la red teniendo en cuenta los accesos inalmbricos. Adems hace
monitoreo de servicios de red como el DNS y la disponibilidad de los portales web de las
organizaciones.
Enotros sistemas tipo Windowsest el MBSA Microsoft Baseline SecurityAnalyzer que permite
verificarlaconfiguracindeseguridad,detectandolosposiblesproblemasdeseguridadenelsistema
operativoylosdiversoscomponentesinstalados.

Deququeremosprotegerelsistemainformtico?
Yahemoshabladodelosprincipalesactivosoelementosfundamentalesdelsistemainformticoque
sonvulnerablesyahoraveremosaqusonvulnerablesdichoselementos.
Comenzamosdefiniendoelconceptodeamenaza.
Entendemos la amenaza como el escenario en el que una accin o suceso, ya sea o no
deliberado,comprometelaseguridaddeunelementodelsistemainformtico.
Cuandoaunsistemainformticoseledetectaunavulnerabilidadyexisteunaamenazaasociadaa
dichavulnerabilidad,puedeocurrirqueelsucesooeventoseproduzcaynuestrosistemaestaren
riesgo.
Sieleventoseproduceyelriesgoqueeraprobableahoraesreal,elsistemainformticosufrirdaos
quehabrquevalorarcualitativaycuantitativamente,yestosellama'impacto'.
Pg.8de18

Integrandoestosconceptospodemosdecirqueuneventoproducidoenelsistemainformtico
queconstituyeunaamenaza,asociadaaunavulnerabilidaddelsistema,produceunimpacto
sobrel.
Siqueremoseliminarlasvulnerabilidadesdelsistemainformticooqueremosdisminuirelimpactoque
puedanproducirsobrel,hemosdeprotegerelsistemamedianteunaseriedemedidasquepodemos
llamardefensasosalvaguardas.

Polticasdeseguridad
Cmopodemosprotegerelsistemainformtico?
Loprimeroquehemosdehaceresunanlisisdelasposiblesamenazasquepuedesufrirelsistema
informtico,unaestimacindelasprdidasqueesasamenazaspodransuponeryunestudiodelas
probabilidadesdequeocurran.
Apartirdeesteanlisishabrquedisearunapolticadeseguridadenlaqueseestablezcanlas
responsabilidadesyreglasaseguirparaevitaresasamenazasominimizarlosefectossisellegana
producir.
Definimos Poltica de seguridad como un documento sencillo que define las directrices
organizativasenmateriadeseguridad(Villaln).
La poltica de seguridad se implementa mediante una serie de mecanismos de seguridad que
constituyen las herramientas para la proteccin del sistema. Estos mecanismos normalmente se
apoyanennormativasquecubrenreasmasespecficas.
Esquemticamente:

Losmecanismosdeseguridadsedividenentresgrupos:
1. Prevencin:
Evitandesviacionesrespectoalapolticadeseguridad.
Ejemplo:utilizarelcifradoenlatransmisindelainformacinevitaqueunposibleatacante
capture(yentienda)informacinenunsistemadered.
2. Deteccin:
Detectanlasdesviacionessiseproducen,violacionesointentosdeviolacindelaseguridad
delsistema.
Ejemplo:laherramientaTripwireparalaseguridaddelosarchivos.
Pg.9de18

3. Recuperacin:

Seaplicancuandosehadetectadounaviolacindelaseguridaddelsistemapararecuperarsu
normalfuncionamiento.
Ejemplo:lascopiasdeseguridad.
Dentrodelgrupodemecanismosdeprevencintenemos:

Mecanismosdeidentificacineautenticacin
Permiten identificar de forma nica 'entidades' del sistema. El proceso siguiente es la
autenticacin,esdecir,comprobarquelaentidadesquiendiceser.
Pasadosestosdosfiltros,laentidadpuedeaccederaunobjetodelsistema.
Enconcretolossistemasdeidentificacinyautenticacindelosusuariossonlosmecanismos
masutilizados.

Mecanismosdecontroldeacceso
Losobjetosdelsistemadebenestarprotegidosmediantemecanismosdecontroldeacceso
queestablecenlostiposdeaccesoalobjetoporpartedecualquierentidaddelsistema.

Mecanismosdeseparacin
Sielsistemadisponedediferentesnivelesdeseguridadsedebenimplementarmecanismos
quepermitansepararlosobjetosdentrodecadanivel.
Losmecanismosdeseparacin,enfuncindecomoseparanlosobjetos,sedividenenlos
grupossiguientes:separacinfsica,temporal,lgica,criptogrficayfragmentacin.

Mecanismosdeseguridadenlascomunicaciones
La proteccin de la informacin (integridad y privacidad) cuando viaja por la red es
especialmenteimportante.Clsicamenteseutilizanprotocolosseguros,tipoSSHoKerberos,
quecifraneltrficoporlared.

Polticasdeseguridad
ElobjetivodelaPolticadeSeguridaddeInformacindeunaorganizacines,porunlado,
mostrarelposicionamientodelaorganizacinconrelacinalaseguridad,yporotroladoservir
debaseparadesarrollarlosprocedimientosconcretosdeseguridad.
Laempresadebedisponerdeundocumentoformalmenteelaboradosobreeltemayquedebeser
divulgadoentretodoslosempleados.
No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una declaracin de
intenciones.Lomsimportanteparaqueestassurtanefectoeslograrlaconcienciacin,entendimiento
ycompromisodetodoslosinvolucrados.
Laspolticasdebencontenerclaramentelaspracticasquesernadoptadasporlacompaa.Yestas
polticasdebenserrevisadas,ysiesnecesarioactualizadas,peridicamente.
Laspolticasdeben:

definir qu es seguridad de la informacin, cuales son sus objetivos principales y su

importanciadentrodelaorganizacin

mostrarelcompromisodesusaltoscargosconlamisma

definirlafilosofarespectoalaccesoalosdatos

establecerresponsabilidadesinherentesaltema

establecerlabaseparapoderdisearnormasyprocedimientosreferidosa

Pg.10de18

 Organizacindelaseguridad
Clasificacinycontroldelosdatos
Seguridaddelaspersonas
Seguridadfsicayambiental
Plandecontingencia
Prevencinydeteccindevirus
Administracindeloscomputadores
A partir de las polticas se podr comenzar a desarrollar, primero las normas, y luego los
procedimientosdeseguridadquesernlaguaparalarealizacindelasactividades.
Lapolticadeseguridadcomprendetodaslasreglasdeseguridadquesigueunaorganizacin(enel
sentidogeneraldelapalabra).Porlotanto,laadministracindelaorganizacinencuestindebe
encargarsededefinirla,yaqueafectaatodoslosusuariosdelsistema.
Laseguridadinformticadeunacompaadependedequelosempleados(usuarios)aprendanlas
reglasatravsdesesionesdecapacitacinydeconcienciacin.
Sinembargo,laseguridaddebeirmsalldelconocimientodelosempleadosycubrirlassiguientes
reas:

Unmecanismodeseguridadfsicaylgicaqueseadaptealasnecesidadesdelacompaay
alusodelosempleados

Unprocedimientoparaadministrarlasactualizaciones

Unaestrategiaderealizacindecopiasdeseguridadplanificadaadecuadamente

Unplanderecuperacinluegodeunincidente

Unsistemadocumentadoactualizado

Porlotantoycomoresumen,lapolticadeseguridadeseldocumentodereferenciaquedefinelos
objetivosdeseguridadylasmedidasquedebenimplementarseparatenerlacertezadealcanzarestos
objetivos.

Amenazas
Clasificacindelasamenazas
Deformageneralpodemosagruparlasamenazasen:

Amenazasfsicas

Amenazaslgicas

Estasamenazas,tantofsicascomolgicas,sonmaterializadasbsicamentepor:

laspersonas

programasespecficos

catstrofesnaturales

Podemostenerotroscriteriosdeagrupacindelasamenazas,comoson:
Origendelasamenazas

Amenazasnaturales:inundacin,incendio,tormenta,falloelctrico,explosin,etc...

Amenazas de agentes externos: virus informticos, ataques de una organizacin criminal,

sabotajesterroristas,disturbiosyconflictossociales,intrusosenlared,robos,estafas,etc...

Pg.11de18

Amenazas de agentes internos: empleados descuidados con una formacin inadecuada o

descontentos,erroresenlautilizacindelasherramientasyrecursosdelsistema,etc...

Intencionalidaddelasamenazas

Accidentes:averasdelhardwareyfallosdelsoftware,incendio,inundacin,etc...

Errores:erroresdeutilizacin,deexplotacin,deejecucindeprocedimientos,etc...

Actuacionesmalintencionadas:robos,fraudes,sabotajes,intentosdeintrusin,etc...

Naturalezadelasamenazas
Laagrupacindelasamenazasatendiendoalfactordeseguridadquecomprometeneslasiguiente:

Interceptacin

Modificacin

Interrupcin

Fabricacin

1. Flujonormaldelainformacin:secorrespondeconelesquemasuperiordelafigura.
Segarantiza:

Confidencialidad:nadienoautorizadoaccedealainformacin.

Integridad:losdatosenviadosnosemodificanenelcamino.

Disponibilidad:larecepcinyaccesoescorrecto.

2. Interceptacin: acceso a la informacin por parte de personas no autorizadas. Uso de

privilegiosnoadquiridos.

Deteccindifcil,nodejahuellas.

Segarantiza:

Integridad.

Disponibilidad

Nosegarantiza:

Confidencialidad:esposiblequealguiennoautorizadoaccedaalainformacin

Ejemplos:

Copiasilcitasdeprogramas

Pg.12de18

Escuchaenlneadedatos

3. Modificacin:accesonoautorizadoquecambiaelentornoparasubeneficio.

Deteccindifcilsegncircunstancias.

Segarantiza:

Disponibilidad:larecepcinescorrecta.

Nosegarantiza:

Integridad:losdatosenviadospuedensermodificadosenelcamino.

Confidencialidad:alguiennoautorizadoaccedealainformacin.

Ejemplos:

Modificacindebasesdedatos

Modificacindeelementosdelhardware

4. Interrupcin:puedeprovocarqueunobjetodelsistemasepierda,quedenoutilizableono
disponible.

Deteccininmediata.

Segarantiza:

Confidencialidad:nadienoautorizadoaccedealainformacin.

Integridad:losdatosenviadosnosemodificanenelcamino.
Pg.13de18

Nosegarantiza:

Disponibilidad:puedequelarecepcinnoseacorrecta.

Ejemplos:

Destruccindelhardware

Borradodeprogramas,datos

Fallosenelsistemaoperativo

5. Fabricacin:puedeconsiderarsecomouncasoconcretodemodificacinyaqueseconsigue
unobjetosimilaralatacadodeformaquenoresultesencillodistinguirentreobjetooriginalyel
fabricado.

Deteccindifcil.Delitosdefalsificacin.

Enestecasosegarantiza:

Confidencialidad:nadienoautorizadoaccedealainformacin.

Integridad:losdatosenviadosnosemodificanenelcamino.

Disponibilidad:larecepcinescorrecta.

Ejemplos:

Aadirtransaccionesenred

Aadirregistrosenbasededatos

Amenazasprovocadasporpersonas
Lamayorpartedelosataquesalossistemasinformticossonprovocados,intencionadamenteono,
porlaspersonas.
Qusebusca?
Engeneralloquesebuscaesconseguirunniveldeprivilegioenelsistemaquelespermitarealizar
accionessobreelsistemanoautorizadas.
Podemosclasificarlaspersonas'atacantes'endosgrupos:

Activos: su objetivo es hacer dao de alguna forma. Eliminar informacin, modificar o

sustraerlaparasuprovecho.

Pasivos:suobjetivoescuriosearenelsistema.

Repasamosahoratodoslostiposdepersonasquepuedenconstituirunaamenazaparaelsistema
informticosinentrarendetalles:
Pg.14de18

Personaldelapropiaorganizacin

Exempleados

Curiosos

Crackers

Terroristas

Intrusosremunerados

Amenazasfsicas
Dentrodelasamenazasfsicaspodemosenglobarcualquiererrorodaoenelhardwarequesepuede
presentarencualquiermomento.Porejemplo,daosendiscosduros,enlosprocesadores,erroresde
funcionamientodelamemoria,etc.Todoselloshacenquelainformacinonoestaccesibleonosea
fiable.
Otrotipodeamenazasfsicassonlascatstrofesnaturales.Porejemplohayzonasgeogrficasdel
planetaenlasquelasprobabilidadesdesufrirterremotos,huracanes,inundaciones,etc,sonmucho
maselevadas.
EnestoscasosenlosqueeslapropiaNaturalezalaquehaprovocadoeldesastredeseguridad,no
porellohayquedescuidarloeintentarpreveralmximoestetipodesituaciones.
Hayotrotipodecatstrofesqueseconocencomoderiesgopocoprobable.Dentrodeestegrupo
tenemoslostaquesnucleares,impactosdemeteoritos,etc.yque,aunquesesabequeestnah,las
probabilidadesdequesedesencadenensonmuybajasyenprincipionosetomanmedidascontra
ellos.
Yahemosexplicadoelconceptodeamenazafsica.Vamosaconocerahoraculessonlasprincipales
amenazasfsicasdeunsistemainformtico.

Tiposdeamenazasfsicas
Lasamenazasfsicaslaspodemosagruparenlasproducidaspor:
1. Accesofsico
Hayquetenerencuentaquecuandoexisteaccesofsicoaunrecursoyanoexisteseguridad
sobrel.Suponeentoncesungranriesgoyprobablementeconunimpactomuyalto.
Amenudosedescuidaestetipodeseguridad.
Elejemplotpicodeestetipoeseldeunaorganizacinquedisponedetomasderedqueno
estncontroladas,sonlibres.
2. Radiacioneselectromagnticas
Sabemos que cualquier aparato elctrico emite radiaciones y que dichas radiaciones se
pueden capturar y reproducir, si se dispone del equipamiento adecuado. Por ejemplo, un
posibleatacantepodra'escuchar'losdatosquecirculanporelcabletelefnico.
Es unproblema que hoy da con las redes wifi desprotegidas, por ejemplo, vuelve a estar
vigente.
3. Desastresnaturales
Respectoaterremotoselriesgoesreducidoennuestroentorno,yaqueEspaanoesuna
zonassmicamuyactiva.Perosonfenmenosnaturalesquesiseprodujerantendranungran
impactoynosoloentrminosdesistemasinformticos,sinoengeneralparalasociedad.
Siempre hay que tener en cuenta las caractersticas de cada zona en particular. Las
posibilidadesdequeocurraunainundacinsonlasmismasentodaslasregionesdeEspaa.
Pg.15de18

Hayqueconocerbienelentornoenelqueestnfsicamentelossistemasinformticos.
4. Desastresdelentorno
Dentro de este grupo estaran incluidos sucesos que, sin llegar a ser desastres naturales,
puedentenerunimpactoigualdeimportantesinosedisponendelasmedidasdesalvaguarda
listasyoperativas.
Puedeocurrirunincendioounapagnynotenerbiendefinidaslasmedidasatomarenestas
situacionesosimplementenoteneroperativoelSAIquedeberaresponderdeformainmediata
alcortedesuministroelctrico.

Descripcindealgunasamenazasfsicas
VeamosalgunasamenazasfsicasalasquesepuedeversometidounCPDyalgunasugerenciapara
evitarestetipoderiesgo.

Poraccionesnaturales:incendio,inundacin,condicionesclimatolgicas,sealesderadar,
instalacioneselctricas,ergometra,

Poraccioneshostiles:robo,fraude,sabotaje,...

Por control de accesos: utilizacin de guardias, utilizacin de detectores de metales,

utilizacindesistemasbiomtricos,seguridadconanimales,proteccinelectrnica,...

Comosepuedecomprobar,evaluarycontrolarpermanentementelaseguridadfsicadeledificioque
albergaelCPDeslabaseparacomenzaraintegrarlaseguridadcomounafuncinprimordialdentro
decualquierorganismo.
Tenercontroladoelambienteyaccesofsicopermite:

disminuirsiniestros

trabajarmejormanteniendolasensacindeseguridad

descartarfalsashiptesissiseprodujeranincidentes

tenerlosmediosparalucharcontraaccidentes

Lasdistintasalternativasenumeradassonsuficientesparaconocerentodomomentoelestadodel
medioenelquesetrabajayastomardecisionesenbasealainformacinofrecidaporlosmediosde
controladecuados.
Estasdecisionespuedenvariardesdeelconocimientodelareasquerecorrenciertaspersonashasta
laextremodeevacuareledificioencasodeaccidentes.

Amenazaslgicas
Elpuntomsdbildeunsistemainformticosonlaspersonasrelacionadasenmayoromenormedida
con l. Puede ser inexperiencia o falta de preparacin, o sin llegar a ataques intencionados
propiamente,simplementesucesosaccidentales.Peroque,encualquiercaso,hayqueprevenir.
Entrealgunosdelosataquespotencialesquepuedensercausadosporestaspersonas,encontramos:

Ingeniera social: consiste en la manipulacin de las personas para que voluntariamente

realicenactosquenormalmentenoharan.

ShoulderSurfing:consisteen"espiar"fsicamentealosusuariosparaobtenergeneralmente
clavesdeaccesoalsistema.

Masquerading:consisteensuplantarlaidentidaddeciertousuarioautorizadodeunsistema
informticoosuentorno.

Basureo:consisteenobtenerinformacindejadaenoalrededordeunsistemainformticotras
laejecucindeuntrabajo.
Pg.16de18

Actos delictivos: son actos tipificados claramente como delitos por las leyes, como el
chantaje,elsobornoolaamenaza.

Atacanteinterno:lamayoramenazaprocededepersonasquehantrabajadootrabajancon
los sistemas. Estos posibles atacantes internos deben disponer de los privilegio mnimos,
conocimientoparcial,rotacindefuncionesyseparacindefunciones,etc.

Atacante externo: suplanta la identidad de un usuario legtimo. Si un atacante externo

consiguepenetrarenelsistema,harecorridoel80%delcaminohastaconseguiruncontrol
totaldeunrecurso.

Algunasamenazaslgicas
Lasamenazaslgicascomprendenunaseriedeprogramasquepuedendaarelsistemainformtico.
Yestosprogramashansidocreados:

deformaintencionadaparahacerdao:softwaremaliciosoomalware(malicioussoftware)

porerror:bugsoagujeros.

Enumeramosalgunasdelasamenazasconlasquenospodemosencontrar:
1. Softwareincorrecto
Sonerroresdeprogramacin(bugs)ylosprogramasutilizadosparaaprovecharunodeestos
fallosyatacaralsistemasonlosexploits.Eslaamenazamshabitual,yaqueesmuysencillo
conseguirunexploityutilizarlosintenergrandesconocimientos.
2. Exploits
Sonlosprogramasqueaprovechanunavulnerabilidaddelsistema.Sonespecficosdecada
sistemaoperativo,delaconfiguracindelsistemaydeltipoderedenlaqueseencuentren.
Puedenhaberexploitsdiferentesenfuncindeltipodevulnerabilidad.
3. Herramientasdeseguridad
Puedeserutilizadaparadetectarysolucionarfallosenelsistemaounintrusopuedeutilizarlas
paradetectar esos mismos fallos y aprovechar para atacar el sistema. Herramientas como
Nessus o Satan pueden ser tiles pero tambin peligrosas si son utilizadas por crackers
buscandoinformacinsobrelasvulnerabilidadesdeunhostodeunaredcompleta.
4. Puertastraseras
Duranteeldesarrollodeaplicacioneslosprogramadorespuedenincluir'atajos'enlossistemas
de autenticacin de la aplicacin. Estos atajos se llaman puertas traseras, y con ellos se
consiguemayorvelocidadalahoradedetectarydepurarfallos.Siestaspuertastraseras,una
vezlaaplicacinhasidofinalizada,nosedestruyen,seestdejandoabiertaunapuertade
entradarpida.
5. Bombaslgicas
Sonpartesdecdigoquenoseejecutanhastaquesecumpleunacondicin.Alactivarse,la
funcinquerealizannoestarelacionadaconelprograma,suobjetivoesescompletamente
diferente.
6. Virus
Secuenciadecdigoqueseincluyeenunarchivoejecutable(llamadohusped),ycuandoel
archivoseejecuta,elvirustambinseejecuta,propagndoseaotrosprogramas.
7. Gusanos
Programacapazdeejecutarseypropagarseporsmismoatravsderedes,ypuedellevar
virusoaprovecharbugsdelossistemasalosqueconectaparadaarlos.

Pg.17de18

8. CaballosdeTroya
LoscaballosdeTroyasoninstruccionesincluidasenunprogramaquesimulanrealizartareas
que se esperan de ellas, pero en realidad ejecutan funciones con el objetivo de ocultar la
presenciadeunatacanteoparaasegurarselaentradaencasodeserdescubierto.
9. Spyware
Programas espa que recopilan informacin sobre una persona o una organizacin sin su
conocimiento.Estainformacinluegopuedesercedidaovendidaaempresaspublicitarias.
Puedenrecopilarinformacindeltecladodelavctimapudiendoasconocercontraseaonde
cuentasbancariasopines.
10. Adware
Programasqueabrenventanasemergentesmostrandopublicidaddeproductosyservicios.Se
sueleutilizarparasubvencionarlaaplicacinyqueelusuariopuedabajarlagratisuobtenerun
descuento.Normalmenteelusuarioesconscientedeelloydasupermiso.
11. Spoofing
Tcnicasdesuplantacindeidentidadconfinesdudosos.
12. Phishing
Intentaconseguirinformacinconfidencialdeformafraudulenta(conseguircontraseasopines
bancarios)haciendounasuplantacindeidentidad.Paraelloelestafadorsehacepasarpor
unapersonaoempresadelaconfianzadelusuariomedianteuncorreoelectrnicooficialo
mensajerainstantnea,ydeestaformaconseguirlainformacin.
13. Spam
Recepcin de mensajes no solicitados. Se suele utilizar esta tcnica en los correos
electrnicos,mensajerainstantneaymensajesamviles.
14. Programasconejoobacterias
Programas que no hacen nada, solo se reproducen rpidamente hasta que el nmero de
copiasacabaconlosrecursosdelsistema(memoria,procesador,disco,etc.).
15. Tcnicassalami
Roboautomatizadodepequeascantidadesdinerodeunagrancantidadorigen.Esmuydifcil
sudeteccinysesuelenutilizarparaatacarensistemasbancarios.

Pg.18de18