UNIDAD 1

RIESGOS TECNOLGICOS

Origen

Riegos
tecnolgicos
como raz de
otros riesgos

Como afectan

Riesgos
Tecnolgicos

Medidas ante
el riegos
tecnolgico

Clasificacin
de los riesgos

Origen del riesgo tecnolgico Cmo nos afecta?

El riesgo tecnolgico tiene su origen en el
continuo incremento de herramientas y
aplicaciones tecnolgicas que no cuentan
con una gestin adecuada de seguridad.
Su incursin en las organizaciones se
debe a que la tecnologa est siendo fin y
medio

de

ataques

debido

vulnerabilidades existentes por medidas

de proteccin inapropiadas y por su
constante cambio, factores que hacen

cada vez ms difcil mantener actualizadas esas medidas de seguridad.

Adicional a los ataques intencionados, se encuentra el uso incorrecto de la tecnologa,
que en muchas ocasiones es la mayor causa de las vulnerabilidades y los riesgos a
los que se exponen las organizaciones.
El riesgo tecnolgico puede verse desde tres aspectos:
1.- A nivel de la infraestructura tecnolgica (hardware o nivel fsico),
2.- A nivel lgico (riesgos asociados a software, sistemas de informacin e
informacin) y por ltimo
3.- Factor humano, que son riesgos derivados del mal uso de los anteriores elementos
nombrados anteriormente.
Si se revisan las definiciones de las metas, objetivos, visin o misin de las
organizaciones, ests no se fundamentan en trminos tcnicos o con relacin a la
tecnologa. Sin embargo, al analizar de forma profunda y minuciosa este tipo de
planteamientos gerenciales, se encuentra que su aplicacin trae como base el
desempeo de una infraestructura tecnolgica que permita darle consecucin a dichas
cualidades. Por ello, el cumplimiento correspondiente con la prestacin de los servicios
y desarrollo de los productos ofrecidos por la empresa, el mantenimiento de la
actividad operativa e incluso la continuidad del negocio, dependen del cuidado y
conservacin que se tenga de la base tecnolgica y por supuesto, del personal que la
opera.

Clasificacin de los Riesgos Tecnolgicos

1.- A nivel de la infraestructura tecnolgica (hardware o nivel fsico),
Dentro de las amenazas fsicas podemos
englobar cualquier error o dao en el
hardware que se puede presentar en
cualquier momento. Por ejemplo, daos
en discos duros, en los procesadores,
errores de funcionamiento de la memoria,
etc. Todos ellos hacen que la informacin
o no est accesible o no sea fiable.

Dentro de las amenazas fsicas podemos englobar cualquier error o dao en el

hardware que se puede presentar en cualquier momento. Por ejemplo, daos en
discos duros, en los procesadores, errores de funcionamiento de la memoria, etc.
Todos ellos hacen que la informacin o no est accesible o no sea fiable.
Otro tipo de amenazas fsicas son las catstrofes naturales. Por ejemplo hay zonas
geogrficas del planeta en las que las probabilidades de sufrir terremotos, huracanes,
inundaciones, entre otros, son mucho ms elevadas.
En estos casos en los que es la propia Naturaleza la que ha provocado el desastre de
seguridad, no por ello hay que descuidarlo e intentar prever al mximo este tipo de
situaciones.
Hay otro tipo de catstrofes que se conocen como de riesgo poco probable. Dentro de
este grupo tenemos los ataques nucleares, impactos de meteoritos, etc. y que, aunque
se sabe que estn ah, las probabilidades de que se desencadenen son muy bajas y
en principio no se toman medidas contra ellos.
Tipos de amenazas fsicas
Las amenazas fsicas se las puede agrupar de la siguiente manera:
1.1 Acceso fsico

Hay que tener en cuenta que cuando existe acceso fsico a un recurso ya no
existe seguridad sobre l. Supone entonces un gran riesgo y probablemente
con un impacto muy alto.
El ejemplo tpico de este tipo es el de una organizacin que dispone de tomas
de red que no estn controladas, son libres. Se puede mencionar que a
menudo se descuida mucho este tipo de seguridad.

1.2 Radiaciones electromagnticas

Se tiene entendido que cualquier aparato elctrico emite radiaciones y que
dichas radiaciones se pueden capturar y reproducir, si se dispone del
equipamiento adecuado. Por ejemplo, un posible atacante podra 'escuchar' los
datos que circulan por el cable telefnico.
Es un problema que hoy en da que se puede tener con las redes wifi
desprotegidas.
1.3 Desastres naturales
Respecto a terremotos, son fenmenos naturales que si se produjeran tendran
un gran impacto y no solo en trminos de sistemas informticos, sino en
general para la sociedad.
Siempre hay que tener en cuenta las caractersticas de cada zona en particular,
visualizar las posibilidades de que ocurra una inundacin, terremotos y sobre
todo hay que conocer perfectamente el entorno en el que estn instalados
fsicamente los sistemas informticos.
1.4 Desastres del entorno
Dentro de este grupo estaran incluidos sucesos que, sin llegar a ser desastres
naturales, pueden tener un impacto igual de importante si no se disponen de
las medidas de salvaguarda listas y operativas.
Puede ocurrir un incendio o un apagn y no tener bien definidas las medidas a
tomar en estas situaciones que debera responder de forma inmediata al corte
de suministro elctrico.

Comprobar, evaluar y controlar permanentemente la seguridad fsica del edificio que

alberga los sistemas informticos es la base para comenzar a integrar la seguridad
como una funcin primordial dentro de cualquier empresa.
Tener controlado el ambiente y acceso fsico permite:

Disminuir siniestros

Trabajar con confianza manteniendo la sensacin de seguridad

Descartar falsas hiptesis si se produjeran incidentes

Tener los medios para luchar contra accidentes

Las distintas alternativas enumeradas son suficientes para conocer en todo momento
el estado del medio en el que se trabaja y as tomar decisiones en base a la
informacin ofrecida por los medios de control adecuados.
Estas decisiones pueden variar desde el conocimiento de la reas que recorren ciertas
personas hasta la extremo de evacuar el edificio en caso de accidentes.
Medidas de aseguramiento ante el riesgo Fsico
Hablar de controles y medidas que permitan a las organizaciones contrarrestar este
tipo de riesgo puede ser complicado, pero es posible tomar acciones que lleven a su
mitigacin. En el nivel fsico, las medidas a tomar son de carcter tcnico o de
seguridad informtica, referidas a la aplicacin de procedimientos de control y barreras
fsicas ante amenazas para prevenir dao o acceso no autorizado a recursos e
informacin confidencial que sea guardada en la infraestructura fsica. Dentro de stas
se encuentran:
Controles de acceso fsico, que pueden incluir el uso de sistemas biomtricos y
vigilantes para acceso en reas especficas.
Manejo de tokens o tarjetas de identificacin.
Controles a nivel de equipos, tales como ubicacin y proteccin, seguridad en
cableado o mantenimiento peridico de equipos.
Servicios bsicos (energa, agua y alcantarillado, entre otros) de soporte para
continuidad.
Gestin de medios de almacenamiento removible.
Controles de vulnerabilidades tcnicas, entre otros.

2.- A nivel lgico (riesgos asociados a software, sistemas de informacin)

Las amenazas lgicas comprenden una
serie de programas que pueden daar el
sistema informtico. Y estos programas
han sido creados:

De forma intencionada para hacer

dao:

software

malicioso

malware (malicious software)

Por error: bugs o agujeros.

A continuacin se nombran algunas amenazas con las que nos podemos encontrar:
2.1 Software incorrecto
Son errores de programacin (bugs) y los programas utilizados para
aprovechar uno de estos fallos y atacar al sistema son los exploits. Es la
amenaza ms habitual, ya que es muy sencillo conseguir un exploit y utilizarlo
sin tener grandes conocimientos.
2.2 Exploits
Son los programas que aprovechan una vulnerabilidad del sistema. Son
especficos de cada sistema operativo, de la configuracin del sistema y del
tipo de red en la que se encuentren. Puede haber exploits diferentes en funcin
del tipo de vulnerabilidad.
2.3 Herramientas de seguridad
Puede ser utilizada para detectar y solucionar fallos en el sistema o un intruso
puede utilizarlas para detectar esos mismos fallos y aprovechar para atacar el
sistema. Herramientas como Nessus o Satan pueden ser tiles pero tambin
peligrosas si son utilizadas por crackers buscando informacin sobre las
vulnerabilidades de un host o de una red completa.
2.4 Puertas traseras

Durante el desarrollo de aplicaciones los programadores pueden incluir 'atajos'

en los sistemas de autenticacin de la aplicacin. Estos atajos se llaman
puertas traseras, y con ellos se consigue mayor velocidad a la hora de detectar
y depurar fallos. Si estas puertas traseras, una vez la aplicacin ha sido
finalizada, no se destruyen, se est dejando abierta una puerta de entrada
rpida.
2.5 Bombas lgicas
Son partes de cdigo que no se ejecutan hasta que se cumple una condicin.
Al activarse, la funcin que realizan no est relacionada con el programa, su
objetivo es completamente diferente.
2.6 Virus
Secuencia de cdigo que se incluye en un archivo ejecutable (llamado
husped), y cuando el archivo se ejecuta, el virus tambin se ejecuta,
propagndose a otros programas.
2.7 Gusanos
Programa capaz de ejecutarse y propagarse por s mismo a travs de redes, y
puede llevar virus o aprovechar bugs de los sistemas a los que conecta para
daarlos.
2.8 Caballos de Troya
Los caballos de Troya son instrucciones incluidas en un programa que simulan
realizar tareas que se esperan de ellas, pero en realidad ejecutan funciones
con el objetivo de ocultar la presencia de un atacante o para asegurarse la
entrada en caso de ser descubierto.
2.9 Spyware
Programas espas que recopilan informacin sobre una persona o una
organizacin sin su conocimiento. Esta informacin luego puede ser cedida o
vendida a empresas publicitarias. Pueden recopilar informacin del teclado de
la vctima pudiendo as conocer contrasea o nmero de cuentas bancarias o
pines.

2.10 Adware
Programas que abren ventanas emergentes mostrando publicidad de productos
y servicios. Se suele utilizar para subvencionar la aplicacin y que el usuario
pueda bajarla gratis u obtener un descuento. Normalmente el usuario es
consciente de ello y da su permiso.
2.11 Spoofing
Tcnicas de suplantacin de identidad con fines dudosos.
2.12 Phishing
Intenta conseguir informacin confidencial de forma fraudulenta (conseguir
contraseas o pines bancarios) haciendo una suplantacin de identidad. Para
ello el estafador se hace pasar por una persona o empresa de la confianza del
usuario mediante un correo electrnico oficial o mensajera instantnea, y de
esta forma conseguir la informacin.
2.13 Spam
Recepcin de mensajes no solicitados. Se suele utilizar esta tcnica en los
correos electrnicos, mensajera instantnea y mensajes a mviles.
2.14 Programas conejo o bacterias
Programas que no hacen nada, solo se reproducen rpidamente hasta que el
nmero de copias acaba con los recursos del sistema (memoria, procesador,
disco, etc.).
2.15 Tcnicas salami
Robo automatizado de pequeas cantidades dinero de una gran cantidad
origen. Es muy difcil su deteccin y se suelen utilizar para atacar en sistemas
bancarios.

Medidas de aseguramiento ante el riesgo Lgico

En el nivel lgico, las medidas a tomar se dan con respecto al uso de software y
sistemas, enfocadas a proteger los datos y garantizar el acceso autorizado a la
informacin por parte de los usuarios a travs de los procedimientos correctos. Como
parte de estas medidas se pueden tomar:
Controles de acceso lgico con la gestin de usuarios, perfiles y privilegios
para acceso a aplicaciones y gestin de contraseas.
Controles de acceso a la red interna y externa, segregacin en redes y
controles para asegurar servicios de la red.
Controles a nivel de teletrabajo y equipos mviles.
Soluciones de proteccin contra malware.
Respaldos de bases de datos e informacin crtica.
Protocolos para intercambio de informacin y cifrado de informacin.
Monitoreo de los sistemas, sincronizacin de relojes y proteccin sobre
registros.
Limitacin en tiempos de conexin a aplicativos y cierres de sesin por
inactividad.
Gestin de control de cambios, entre otros.

3. Factor humano
El tercer nivel y el ms crtico dentro de
las organizaciones, dada su naturaleza
impredecible, es el personal o recurso
humano. Las medidas a este nivel
deberan

ser

ms

procedimentales,

ligadas a la regulacin y concienciacin.

Amenazas provocadas por personas

La mayor parte de los ataques a los sistemas informticos son provocados,
intencionadamente o no, por las personas.

Qu se busca?
En general lo que se busca es conseguir un nivel de privilegio en el sistema que les
permita realizar acciones sobre el sistema no autorizadas.
Podemos clasificar las personas 'atacantes' en dos grupos:
1. Activos: su objetivo es hacer dao de alguna forma. Eliminar informacin,
modificar o sustraerla para su provecho.
2. Pasivos: su objetivo es curiosear en el sistema.
Las personas que pueden constituir una amenaza para el sistema informtico sin
entrar en detalles son:
1. Personal de la propia organizacin
2. Ex-empleados
3. Curiosos
4. Crackers
5. Terroristas
6. Intrusos remunerados
Medidas de aseguramiento ante el riesgo o factor Humano
Definicin de polticas de seguridad que presenten las correspondientes
violaciones con el fin de dar cumplimiento.
Controles relacionados a acuerdos con terceros, prestacin de servicios que se
puedan dar con stos y segregacin de funciones.
Controles a nivel contratacin de personal.
Gestin antes, durante y despus de la terminacin de los contratos.
Educacin y capacitacin continua en aspectos de seguridad.
Procedimientos e instructivos para manejo de informacin.
Polticas de escritorio y pantalla limpia.
Cumplimiento de legislacin aplicable, entre otros.

Riesgo tecnolgico como raz de otros riesgos

El riesgo tecnolgico puede ser causa y consecuencia de otro tipo de riesgos, una falla
sobre la infraestructura puede implicar riesgos en otros mbitos, como prdidas
financieras, multas, acciones legales, afectacin sobre la imagen de la organizacin,
causar problemas operativos o afectar las estrategias de la organizacin. Si se piensa
en el caso de un empleado descontento que puede representar un riesgo operativo,
podra implicar tambin un riesgo tecnolgico por manipulacin inapropiada de
sistemas e informacin.
A continuacin, se presentan algunos ejemplos que ilustran lo anterior:

El reciente descubrimiento en mayo de 2012 del malware Flame, el cual tena

como objetivo ataques de ciberespionaje en pases de oriente medio. Este
ataque represent prdida de informacin confidencial y crtica. [1]

Otro caso de ciberespionaje industrial es el malware encontrado en archivos de

AutoCad, cuya finalidad es el robo de informacin sensible como planos
arquitectnicos. [2]

Un ataque muy nombrado en marzo del ao pasado es el relacionado al robo

de informacin realizado a RSA, que implic riesgos para la banca en lnea. [3]

Por ltimo, el ataque que sufri Sony en 2011, donde robaron informacin de
cuentas de usuarios. [4]

Todo lo anterior, confirma la posibilidad de daos y perjuicios que puede

desencadenar un fallo en la seguridad a nivel tecnolgico.

Referencias
[1] Meet Flame, The Massive Spy Malware Infiltrating Iranian Computers, Revista
Wired, Mayo de 2012. Disponible en: http://www.wired.com/threatlevel/2012/05/flame/
[2] Malware en archivos AutoCad podra ser inicio de ciberespionaje industrial,
Subdireccin de Seguridad de la Informacin - Informacin y servicios de seguridad en
cmputo. Disponible en: http://www.seguridad.unam.mx/noticia/?noti=420
[3] En riesgo ms de 40 millones de usuarios de banca electrnica, blog de tecnologa
ALT1040, Marzo 2011. Disponible en: http://alt1040.com/2011/03/en-riesgo-mas-de40-millones-de-usuarios-de-banca-electronica
[4] Sony admite un robo adicional de datos que afecta a casi dos centenares de
usuarios en Espaa, Diario El mundo Espaa, Mayo 2011. Disponible en:
http://www.elmundo.es/elmundo/2011/05/03/navegante/1304383366.html