Facultad de Ciencias Sociales

Profesor Titular: Francisco Javier Espinosa García

Grado en Seguridad
Asignatura; Seguridad Física, Lógica, Electrónica y
de Personas

TEMA 2.- SEGURIDAD LÓGICA

Francisco Javier Espinosa García

1.- INTRODUCCIÓN ............................................................................................................... 3

2.- CRIPTOGRAFÍA, CLAVES Y FIRMA DIGITAL, CERTIFICADOS DIGITALES Y

AUTORIDADES DE CERTIFICACIÓN. .................................................................................... 3

2.1.- CRIPTOGRAFÍA DE CLAVE SIMÉTRICA O DE CLAVE SECRETA ................................ 3

2.2.- Criptografía de clave asimétrica o de clave pública .................................................. 4

3.- LA GARANTÍAS DE CALIDAD. NORMALIZACIÓN ........... ¡Error! Marcador no definido.

4.-SEGURIDAD PERIMETRAL (CORTAFUEGOS, REDES PRIVADAS

VIRTUALES,PROXIES). .......................................................................................................... 9

5.- SEGURIDAD DE REDES WIFI .......................................................................................... 12

6.- SEGURIDAD EN CORREO ELECTRÓNICO ..................................................................... 13

7.- HACKER Y HACKER ÉTICOS.......................................................................................... 14

8.- BIBLIOGRAFIA ................................................................................................................ 21

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

1.- INTRODUCCIÓN

La seguridad lógica se refiere a la seguridad en el uso de software y los sistemas, la

protección de los datos, procesos y programas, así como la del acceso ordenado y
autorizado de los usuarios a la información. La seguridad lógica‖ involucra todas
aquellas medidas establecidas por la administración -usuarios y administradores de
recursos de tecnología de información- para minimizar los riesgos de seguridad
asociados con sus operaciones cotidianas llevadas a cabo utilizando la tecnología de
información. Los principales objetivos que persigue la seguridad lógica son:

• Restringir el acceso a los programas y archivos

• Asegurar que se estén utilizando los datos, archivos y programas correctos en y
por el procedimiento correcto.

2.- CRIPTOGRAFÍA, CLAVES Y FIRMA DIGITAL, CERTIFICADOS DIGITALES Y

AUTORIDADES DE CERTIFICACIÓN.

La criptografía ha sido utilizada desde siglos atrás por muchas civilizaciones. En los
años 70 las empresas (fundamentalmente los bancos) ven la necesidad de utilizar
protocolos criptográficos para asegurar sus transacciones a través de canales
inseguros. Así surge la criptografía moderna, que se apoya en algoritmos complicados
y conocidos; y en claves de cifrado que hay que mantener en secreto. Estos algoritmos,
debido a su complejidad y a la cantidad de datos que manejan, son realizados por
ordenadores. Uno de los ejemplos de la utilización de la criptografía en la historia es la
máquina Enigma, utilizada por el ejército alemán en la segunda guerra mundial. Una
parte muy importante del trabajo de los aliados se concentró en romper los códigos de
Enigma.

2.1.- CRIPTOGRAFÍA DE CLAVE SIMÉTRICA O DE CLAVE SECRETA

La criptografía de clave simétrica se basa en cifrar o esconder el mensaje original que

queremos enviar con un algoritmo de cifrado en el que la clave para cifrar y la clave para
descifrar es la misma. Uno de los algoritmos más utilizados en el cifrado simétrico es el
algoritmo DES.

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[3]
El algoritmo DES es un algoritmo de cifrado de clave privada desarrollado por IBM a
principios de la década de los 70 a partir de otro algoritmo conocido como Lucifer que
utilizaba claves de 112 bits y que fueron reducidas a 56 bits en el algoritmo DES. La
reducción del tamaño de las claves, propuesta por la NSA (Agencia Nacional de
Seguridad) originó controversia debido a que se pensó que la NSA había debilitado
intencionadamente el algoritmo del DES para poder desencriptarlo.

Dicha controversia llegó a su fin cuando en 1994 IBM publicó un artículo describiendo
los criterios del desarrollo del algoritmo DES. El artículo indica que el diseño se realizó
de forma que el algoritmo DES fuera resistente a criptoanálisis, pero lo suficientemente
sencillo como para poder ser implementado en un circuito electrónico con la tecnología
de principios de los 70. Por tanto, el algoritmo DES se diseñó de forma que no pudiera
ser descifrado por criptoanálisis, pero si que puede ser descifrado probando todas las
claves posibles, asumiendo que se cuenta con el hardware adecuado.

DES ha sido durante muchos años el estándar de cifrado simétrico. Sin embargo,
actualmente ya ha sido sustituido por otros algoritmos más seguros, principalmente el
algoritmo AES (Advanced Encryption Standard).

Por tanto, con este tipo de algoritmos de clave simétrica, podríamos tener resuelto el
problema de la confidencialidad de las comunicaciones. Pero este tipo de soluciones
plantean otro problema: tendríamos que acordar una clave secreta compartida distinta
entre cada pareja de entidades que quieran comunicarse. Es decir, ahora el problema
sería la gestión de claves.

2.2.- Criptografía de clave asimétrica o de clave pública

La criptografía de clave pública se basa en que cada entidad que quiera comunicarse
(una persona, un ordenador, un teléfono móvil, una Web...) tiene dos claves: una clave
pública y una privada. La clave pública se puede distribuir libremente, pero la clave
privada tiene que permanecer en secreto.

Algoritmo de clave pública RSA

Uno de los algoritmos que implementa la idea de criptografía de clave pública y privada
es RSA. Es uno de los protocolos más utilizados hoy en día en Internet. Históricamente,

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[4]
el problema de distribución de claves siempre ha sido la parte débil de la mayoría de
criptosistemas. Sin importar lo robusto que sea el criptosistema, si un intruso puede
robar la clave, el sistema no vale nada.

Este sistema de clave pública fue diseñado en 1977 por los profesores del MIT
(Massachusetts Institute of Technology) Ronald R. Rivest, Adi Shamir y Leonard M.
Adleman, de ahí las siglas con las que es conocido. Desde entonces, este algoritmo de
cifrado se ha convertido en el prototipo de los de clave pública.

Sistemas híbridos

Con la criptografía de clave pública ya hemos resuelto el problema de la gestión de

claves. Cada entidad puede disponer de una clave pública que puede difundir a
cualquiera, y una clave privada que se ha de mantener en secreto. Sin embargo, cifrar
con algoritmos asimétricos es mucho más pesado computacionalmente que hacerlo
con sistemas simétricos. Por tanto, en la práctica se utilizan sistemas híbridos:

1. Se establece una clave de sesión para un algoritmo simétrico (por ejemplo

AES).

2. Se cifra el mensaje con AES y la clave generada.

3. Se cifra la clave con la clave pública (por ejemplo, RSA) del receptor del
mensaje.

4. Se envía el documento cifrado y la clave secreta cifrada con la clave pública

del receptor.

¿Qué pasos hay que realizar cuando el receptor recibe el mensaje?

1. El receptor descifra la clave secreta AES con la clave privada RSA que sólo
posee él.

2. Con la clave secreta AES ya puede descifrar el documento cifrado y recuperar

el original.

Control de la integridad: firmas digitales Funciones resumen o funciones Hash

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[5]
En ocasiones necesitamos garantizar la integridad de los datos. Es decir, tener la
seguridad de que un mensaje, documento, etc. no ha cambiado desde que lo hemos
creado o desde que lo hemos enviado a través de Internet.

En estas ocasiones, se utilizan funciones que generan un resumen o compendio

criptográfico de los datos originales. Generalmente nos referimos a estas funciones
como funciones hash o de resumen criptográfico.

Estas funciones tienen las siguientes propiedades:

• Dado un texto P, es fácil calcular su compendio de mensaje MD(P).

• Dado un compendio de mensaje MD(P), es imposible encontrar P.
• Nadie puede generar dos mensajes que tengan el mismo compendio de
mensaje.

Es decir, las funciones Hash recogen un conjunto de datos (un texto, archivo, etc.) y
consiguen un resultado que depende fuertemente de los datos. El más mínimo cambio
en los datos originales provoca que el resumen calculado ya no corresponda con los
datos. Por eso, este tipo de funciones se utilizan para controlar la integridad de las
comunicaciones.

Firma digital

Como definición podemos decir que la firma digital de un mensaje se consigue:

1. Realizando un resumen criptográfico del mensaje con una función Hash

2. Cifrando el resumen con la clave privada de la entidad que quiere firmar el

mensaje.

La firma digital se envía junto con el documento original. En recepción, la entidad que ha
recibido el mensaje comprueba la autoría de la firma y la integridad del mensaje:

1. Descifra la firma con la clave pública de la entidad que ha firmado. Os recuerdo

que la clave pública la podemos difundir a cualquiera. Así se obtiene el resumen
del mensaje original.

2. Calcula el resumen del mensaje que le ha llegado y lo compara con el resumen

que ha calculado en el punto anterior. Si coinciden, el mensaje no ha cambiado.
He comprobado su integridad.

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[6]
Al final del proceso, el receptor del mensaje tiene la garantía de quién ha firmado el
mensaje y que el mensaje es el mismo que envió el firmante.

Infraestructuras de clave pública y certificados digitales

Hasta ahora en este tema ya hemos aprendido, y deberíamos tener muy claros, los
siguientes conceptos:

• Podemos garantizar la seguridad de las comunicaciones cifrando los mensajes

con protocolos o algoritmos simétricos, para que sólo el receptor del mensaje,
que también conoce la clave de cifrado, pueda descifrar el mensaje. El problema
que introducen estos protocolos es que deberíamos acordar una clave para cada
par de entidades que se quieran comunicar.
• Este problema se puede resolver con el cifrado de clave asimétrica, en el que
cada entidad dispone de una clave pública que puede enviar a cualquiera y una
clave secreta que ha de mantener en privado. Cuando una entidad se quiere
comunicar con otra, puede pedir al receptor su clave pública para cifrar el
mensaje. Sólo el receptor podrá descifrarlo con su clave privada.
• Además, sabemos que es posible garantizar la integridad y la autoría de los
mensajes a través de la firma digital.

Pero todavía tenemos un problema: ¿cómo garantizamos que las claves públicas que
obtenemos de otros son realmente de las entidades que dicen ser? Aquí es donde
aparecen los certificados digitales.

Certificados digitales y Autoridades de Certificación

El certificado digital es un vínculo entre una clave pública y una identidad, que se
consigue mediante una firma digital por una tercera parte o autoridad de certificación
(CA: Certificaciont Authority o Autoridad de Certificación). La autoridad de certificación
es reconocida y aceptada por todos, e imposible de suplantar. Por regla general, por
seguridad no se trabaja directamente con la autoridad de certificación, si no con un
intermediario o autoridad de registro.

La autoridad de registro atiende las peticiones de certificado y proporciona diferentes

métodos de petición de certificados. Una Autoridad de Certificación es un ente u
organismo que, de acuerdo con unas políticas y algoritmos, certificará -por ejemplo-
claves públicas de usuarios o servidores.

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[7]
Como ejemplo, podemos ver un intercambio de claves públicas entre dos entidades o
usuarios. El usuario A enviará al usuario B su certificado (la clave pública firmada por la
CA) y éste comprobará con esa autoridad su autenticidad. Lo mismo en sentido
contrario, como podéis ver en la siguiente figura.

Fuente: http://tucsegur.es/

Un certificado contiene:

• El nombre de la CA, el nombre del usuario, la clave pública del usuario y

• cualquier otra información como puede ser un timestamp (marca de tiempo).
• El certificado se cifra con la clave privada de la CA.
• Todos los usuarios poseen la clave pública del CA.

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[8]
4.-SEGURIDAD PERIMETRAL (CORTAFUEGOS, REDES PRIVADAS
VIRTUALES,PROXIES).

En este tema vamos a tratar de uno de los principales elementos de seguridad

perimetral: los cortafuegos. Tradicionalmente, una de las principales preocupaciones ha
sido la de proteger el perímetro. Esto es proteger la red interna (comúnmente
denominada zona confiable) de la red externa (zona no confiable u hostil, que en la
mayoría de los casos se asimila a Internet). El perímetro solía estar claramente definido
(aunque esto por desgracia es cada vez menos cierto): por ejemplo, los servidores y
estaciones de trabajo en el mismo segmento lógico o físico de la red son la parte interna
(o confiable), el resto son la parte externa (o no confiable).

Además, en muchas ocasiones se dispone de un único enlace de comunicaciones hacia

el exterior y sólo es necesario permitir el acceso a los puertos de los servicios externos
necesarios (comunes Internet), o viceversa, el acceso desde los sistemas externos a los
servicios que prestamos desde nuestra red.

Los cortafuegos son elementos que se ubican entre esas dos zonas (interna y externa)
y permiten definir qué tráfico puede o no fluir entre ellas. Además, adicionalmente nos
permitirá registrar diferentes informaciones acerca de dicho tráfico o incluso
inspeccionar el mismo con mayor detalle (por ejemplo, para analizar el tráfico en busca
de actividades maliciosas como virus).

Lo más común es implementar un Firewall a nivel de perímetro para proteger posibles

ataques desde Internet. Este dispositivo frecuentemente está conectado al router en la
salida a Internet.

Debe poder controlar el tráfico de entrada y salida de la organización. Además

opcionalmente puede filtrar la información que pudiera ser perjudicial a los sistemas,
como, virus, troyanos, código malicioso en general (componente antivirus o
antispyware). El firewall puede colaborar con otros dispositivos de seguridad (antivirus,
IPS, proxy, etc.) o incorporar módulos que realicen dichas actividades. La información
saliente de la empresa debe preocupar a cualquier organización, por eso, es importante
tener un conocimiento completo de las aplicaciones permitidas y aplicar políticas para
restringir el uso de otras que puedan afectar al sistema o al negocio.

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[9]
Una vez se logra proteger el perímetro se puede confiar en que los sistemas en el interior
están seguros o aplicar políticas de seguridad para controlar el acceso y uso de los
recursos a usuarios internos.

Algunas de las características de un firewall son:

• Posibilidad de establecer políticas de seguridad que previenen que usuarios no

autorizados obtengan acceso a la red.
• Dispone de múltiples interfaces donde definir zonas con niveles de seguridad
diferentes.
• Provee acceso transparente hacia Internet a los usuarios habilitados. Las
conexiones de todos los servicios comunes de TCP/IP a través del firewall son
totalmente transparentes aunque muchos firewalls los inspeccionan para
detectar fallos de seguridad.
• Asegura que los datos privados sean transferidos en forma segura por la red
pública utilizando comunicaciones encriptadas (tunelización).
• Ayuda a los administradores a buscar y reparar problemas de seguridad. El
hecho de tener. un único punto de acceso facilita la gestión y mantenimiento del
sistema.
• Provee un amplio sistema de alarmas advirtiendo de intentos de intrusión en la
red.

Todo se registra en los logs del sistema

Un servidor proxy es un servidor (equipo o aplicación) que actúa como un intermediario

para las peticiones de los clientes que desean acceder a recursos de otros servidores.
Un cliente se conecta al servidor proxy, solicitando un servicio tal como un fichero,
conexión, página web o cualquier otro recurso disponible desde otro servidor.

El servidor proxy evaluara la solicitud de acuerdo con sus reglas de filtrado. Por ejemplo,
puede filtrar el tráfico en función de direcciones IP o del protocolo. Si la solicitud es
validada por el filtro, el proxy proporciona el recurso conectándose al servidor relevante
y solicitando el servicio en nombre del cliente original. Un servidor proxy puede
opcionalmente modificar la solicitud del cliente o la respuesta del servidor, y en algunas
ocasiones puede servir la petición sin siquiera contactar con el servidor especificado.
En este caso, cachea localmente la respuesta del servidor remoto y devuelve
directamente el recurso de la copia local para las siguientes peticiones".

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[10]
El primer elemento clave en este caso son que el cliente que hace la solicitud y el
servidor que la atiende nunca se conectan directamente, sino únicamente con el proxy.

El segundo elemento es que al no existir comunicación directa sino realizarse el diálogo

por medio del proxy, este es capaz de aplicar políticas de seguridad en las peticiones de
manera efectiva. No sólo está en medio de los dos extremos, sino que al tener que hablar
tanto con el cliente como con el servidor para obtener los recursos solicitados, entiende
completamente los protocolos utilizados para obtener los recursos. Por tanto puede
aplicar políticas de seguridad mucho más detalladas y finas que un simple filtrado
(pasa/no pasa) de direcciones IP y puertos implicados.

Por esa misma razón se les denomina también pasarelas de nivel de aplicación o
cortafuegos de nivel de aplicación, ya que la aplicación de las políticas de seguridad se
puede realizar a nivel de protocolo de aplicación (HTTP, FTP, SSH, DNS, etc.) y no
únicamente a nivel de red (IP, puertos TCP/UDP, etc.).

¿Qué es una red privada virtual (VPN)?

Una red privada virtual (Virtual Private Network) es una red privada que se extiende,
mediante un proceso de encapsulación y en algún caso de encriptación, desde los
paquetes de datos a diferentes puntos remotos, mediante el uso de infraestructuras
públicas de transporte.

Los paquetes de datos de la red privada viajan por un tunel definido en la red pública.

En el caso de acceso remoto, la VPN permite al usuario acceder a su red corporativa,

asignando a su ordenador remoto las direcciones y privilegios de esta, aunque la
conexión la haya realizado mediante un acceso público a Internet.

En ocasiones, puede ser interesante que la comunicación que viaja por el túnel
establecido en la red pública vaya encriptada para permitir una confidencialidad mayor.

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[11]
 Fuente: http://tucsegur.es/

5.- SEGURIDAD DE REDES WIFI

La Problemática y Peligros de las Redes Wireless.

La gran comodidad y ventajas que suponen estas nuevas opciones de conexión

inalámbricas han hecho que muchísimos usuarios no se hayan percatado de los peligros
a que están expuestas las redes wifi (al no haber ya una conexión física) si no adoptan
las medidas de seguridad aconsejadas por los expertos.

Reflexiones:

Cualquier usuario en un radio aproximado de 100 metros puede ser un "intruso

potencial", bien con intención o sin ella.

¿Quién nos asegura que nos estamos conectando al servidor que deseamos?

¿Quién nos asegura que cada uno que intente conectarse a nuestra red es "de los
nuestros"? Debemos asegurarnos que, una vez establecida la conexión, esta sea
SEGURA, o lo que es lo mismo, ENCRIPTADA por medio de protocolos de encriptación.
En la actualidad se utilizan WEP, WPA y WPA2.

Problemática y Peligros de las Redes Wireless.

Existen diversas maneras de poner a prueba la seguridad wifi de una red inalámbrica.

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[12]
Una alternativa consiste en que el intruso intente conectarse a un ―access point‖ de la
red inalámbrica para luego ganar acceso a la red corporativa.

La otra alternativa consiste en "implantar" un access point "pirata" para atraer a los
usuarios desprevenidos o muy curiosos a una red de hackers o red pirata.

Es preciso comprender que en las redes wireless la información se transmite por medio
de ondas de radio frecuencia y, esta, está en el aire y es imposible impedir que sea
observada y/o capturada por cualquiera que se encuentre en un radio aproximado de
100 metros.

WEP: Su cifrado está basado en el algoritmo RC4, pudiendo utilizar claves de 64 bits (40
bits más 24 bits del vector de iniciación IV) o de 128 bits (104 bits más 24 bits del IV).
Hoy en día la encriptación WEP es altamente insuficiente, ya que sacar una contraseña
tipo WEP es cuestión de pocos minutos, lo único necesario es un Sniffer de paquetes y
un Cracker. Una de las herramientas más eficaces para sacar este tipo de contraseñas
es la WiFiWay. Pero a pesar de todo esto, es uno de los sistemas más actualizados
actualmente, ya que por defecto es la que te configuran muchos proveedores de internet,
y viene como primera opción en los routers.

WPA y WPA2: WPA implementa la mayoría del estándar IEEE 802.11i, y fue creado como
una medida intermedia para ocupar el lugar de WEP mientras 802.11i era finalizado. Una
vez finalizado surgió el WPA2, que es prácticamente lo mismo que WPA. Es mucho más
seguro que la encriptación WEP.

6.- SEGURIDAD EN CORREO ELECTRÓNICO

Las Amenazas

Phishing es un término informático que denomina un tipo de delito encuadrado dentro

del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de
ingeniería social caracterizado por intentar adquirir información confidencial de forma
fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de
crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar
por una persona o empresa de confianza en una aparente comunicación oficial
electrónica, por lo común un correo electrónico, o algún sistema de mensajería

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[13]
instantánea o incluso utilizando también llamadas telefónicas. Dado el creciente
número de denuncias de incidentes relacionados con el phishing, se requieren métodos
adicionales de protección. Se han realizado intentos con leyes que castigan la práctica
y campañas para prevenir a los usuarios con la aplicación de medidas técnicas a los
programas.

El Spam

Entre el 80%-90% del correo que circula por internet es SPAM La gente tiene que
protegerse frente a eso

Para ello utilizan sistemas anti-spam

Las redes zombis

El hacker toma control de forma remota de un PC gracias a un código malicioso

durmiente que no tiene acción inmediata. El hacker puede entonces comenzar un ataque
remoto gracias a ese código. El PC contaminado se convierte realmente en un zombi,
siguiendo las órdenes del hacker.

200 000 nuevos PC contaminados por día Vida media de un zombi : menos de 1 mes

Usos : denegación de servicios, ciber-‐extorsión, phishing, spam, etc.

Otras amenazas

Virus / Malware. Usurpación de identidad. Confidencialidad.

7.- HACKER Y HACKER ÉTICOS

La diferencia entre un atacante y un auditor es que el auditor tiene permiso para atacar.
La misión de un Hacker ético es de descubrir vulnerabilidades y posibles agujeros que
incumplan la política de seguridad establecida en la empresa cliente (una auditoría es
muchísimo más que buscar vulnerabilidades). A esto también se le conoce como
hacking ético, test de intrusión, test de penetración, white hat hacking,...

Los servicios de auditoría constan de las siguientes fases:

• Enumeración de redes, topología y protocolos.

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[14]
 • Identificación de sistemas y dispositivos.
• Análisis de servicios y aplicaciones.
• Detección, comprobación y evaluación de vulnerabilidades.
• Medidas específicas de corrección.
• Control perimetral en tiempo real con tecnología propia Sensor Scan
• Network.
• Recomendaciones sobre implantación de medidas proactivas.

Una auditoría supone un análisis mucho más profundo y metódico de amenazas,

riesgos, establecer controles, y medirlos, tal y como nos guía la familia de estándares
ISO 27000.

Técnicas de Hacking

• Sniffing
• Escaneo de puertos
• Errores de software: buffer overflow
• Caballos de troya
• Ataques dirigidos por datos: SQL Injection, Cross Site Scripting (XSS)
• Denegación de servicio (DoS, DDoS)
• Ingeniería social
• Acceso físico
• Adivinación de contraseñas
• Spoofing
• Ataques de routing
• Web server Defacement (graffiti)
• Phising, SMSmishing
• Virus y gusanos
• SPAM

Sniffing

Consiste en escuchar los datos que atraviesan la red, sin interferir con la conexión a la
que corresponden, principalmente para obtener passwords, y/o información
confidencial

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[15]
Protección: basta con emplear mecanismos de autenticación y encriptación.

Escaneo de Puertos

Utilizado para la detección de servicios abiertos en máquinas, tanto TCP como UDP (por
ejemplo, un telnet que no esté en el puerto 23, ...).

Protección: filtrado de puertos permitidos y gestión de logs y alarmas.

Buffer Overflow

Explotar bugs del software: aprovechan errores del software, ya que a la mayor parte del
software se le ha añadido la seguridad demasiado tarde, cuando ya no era posible
rediseñarlo todo y con ello puede adquirir privilegios en la ejecución, por ejemplo, buffers
overflow (BOF o desbordamiento de pila) Además, muchos programas corren con
demasiados privilegios. La cadena o secuencia de órdenes para explotar esta
vulnerabilidad del software se conoce como exploit. Ataque: los hackers se hacen con
una copia del software a explotar y lo someten a una batería de pruebas para detectar
alguna debilidad que puedan aprovechar.

Protección: correcta programación o incluir parches actualizando los servicios

instalados. Desbordamiento de pila: sobre la entrada de datos en un programa
privilegiado que no verifica la longitud de los argumentos a una función, y se
sobreescribe la pila de ejecución modificando la dirección de retorno (para que salte
donde nos interese).

Las funciones de C ―strcpy‖, ―strcat‖, ―gets‖, son potencialmente vulnerables.

Troyanos

Caballo de Troya: un programa que se enmascara como algo que no es, normalmente
con el propósito de conseguir acceso a una cuenta o ejecutar comandos con los
privilegios de otro usuario. Ataque: el atacante por ejemplo sabotea algún paquete de
instalación o saboteando una máquina, modifica las aplicaciones.

Protección: revisión periódica de compendios, firma digital, comprobación del sistema

de ficheros (ejemplo aplicación ―tripware‖), etc

Ataques

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[16]
Ataques dirigidos por datos: son ataques que tienen lugar en modo diferido, sin la
participación activa por parte del atacante en el momento en el que se producen. El
atacante se limita a hacer llegar a la víctima una serie de datos que al ser interpretados
(en ocasiones sirve la visualización previa típica de MS. Windows) ejecutarán el ataque
propiamente dicho, como por ejemplo un virus a través del correo electrónico o código
JavaScript maligno.

Protección: firma digital e información al usuario (lecturas off-line)

Denegación de servicios: estos ataques no buscan ninguna información si no a impedir

que sus usuarios legítimos puedan usarlas. Ejemplos:

SYN Flooding, realizando un número excesivo de conexiones a un puerto determinado,

bloqueando dicho puerto. Un caso particular de este método es la generación masiva
de conexiones a servidores http o ftp, a veces con dirección origen inexistente para que
no pueda realizar un RST.

Protección: en el servidor aumentar el límite de conexiones simultáneas, acelerar el

proceso de desconexión tras inicio de sesión medio-abierta, limitar desde un
cortafuegos el número de conexiones medio abiertas mail bombing, envío masivo de
correos para saturar al servidor SMTP y su memoria. Protección: similar a SYN Flooding

Protección: actualmente en los routers se limita el tráfico ICMP, incluso se analiza la

secuencia de fragmentación, o bien parchear el SSOO.

Ingeniería social: son ataques que aprovechan la buena voluntad de los usuarios de los
sistemas atacados. Un ejemplo de ataque de este tipo es el siguiente: se envía un correo
con el remite "root" a un usuario con el mensaje "por favor, cambie su password a
―informática". El atacante entonces entra con ese password. A partir de ahí puede
emplear otras técnicas de ataque. O incitando a ver determinadas páginas web,
descargar fotos...

Protección: educar a los usuarios acerca de qué tareas no deben realizar jamás, y qué
información no deben suministrar a nadie, salvo al administrador en persona.

Acceso físico: a los recursos del sistema y pudiendo entrar en consola, adquirir
información escrita, etc

Protección: políticas de seguridad, dejar servidores bajo llave y guardia de seguridad, tal
como se vigila alguna cosa de valor.
Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[17]
Adivinación de passwords: la mala elección de passwords por parte de los usuarios
permiten que sean fáciles de adivinar (o por fuerza bruta) o bien que el propio sistema
operativo tenga passwords por defecto. Ejemplo: muchos administradores utilizan de
password ―administrador‖ ;-)

Protección: políticas de seguridad

Spoofing : intento del atacante por ganar el acceso a un sistema haciéndose pasar por
otro, ejecutado en varios niveles, tanto a nivel MAC como a nivel IP:

ARP Spoofing (que una IP suplantada tenga asociada la MAC del atacante). Ataque: el
atacante falsifica paquetes ARP indicando gratuitamente su MAC con la IP de la
máquina suplantada. Los hosts y los switches que escuchan estos mensajes cambiarán
su tabla ARP apuntando al atacante IP Spoofing (suplanta la IP del atacante). Ataque: el
atacante debe de estar en la misma LAN que el suplantado, y modifica su IP en
combinación con ARP spoofing, o simplemente ―sniffea‖ todo el tráfico en modo
promiscuo.

DNS Spoofing (el nombre del suplantado tenga la IP del atacante ), donde el intruso se
hace pasar por un DNS. Ataque: el atacante puede entregar o bien información
modificada al host, o bien engañar al DNS local para que registre información en su
cache. P.ej, puede hacer resolver www.banesto.com a una IP que será la del atacante,
de forma que cuando un usurio de Banesto se conecta, lo hará con el atacante.

Hijacking : consiste en robar una conexión después de que el usuario (a suplantar) ha

superado con éxito el proceso de identificación ante el sistema remoto. Para ello el
intruso debe sniffar algún paquete de la conexión y averiguar las direcciones IP, los ISN
y los puertos utilizados. Además, para realizar dicho ataque, el atacante deberá utilizar
la IP de la máquina suplantada.

Protección: uso de encriptación.

Deface

Se modifica la página web de una empresa o institución. Afecta a la imagen pública. Se

aprovecha alguna vulnerabilidad o descuido del administrador.―anfitrión‖

Virus

Pieza de software que puede infectar otros programas, modificándolos

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[18]
– Modifican para albergar una copia del virus

– Se ejecuta de forma oculta, mientras se ejecuta el programa

―anfitrión‖

Específicos para S.O. y Hw

– Aprovechando vulnerabilidades Fases:

– Dormido

– Propagación – Activación

– Ejecución

Gusanos

Programa que se propaga por la red

– Mediante eMail, o directamente buscando nuevas direcciones IP

Mismas fases que un Virus:

– Dormido, propagación, activación, ejecución

– Fase de propagación: escaneo de nuevas víctimas, conexión, exploit,opia, y ejecución

Detección de vulnerabilidades

Objetivo:

– Detectar vulnerabilidades del fabricante (software)

– De configuración
– De políticas de los equipos instalados en la red Incluyendo:

Estaciones de trabajo

Servidores

Routers

Firewalls

Sistemas de detección de intrusiones

Etc.

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[19]
Metodología tradicional:

• – Hace unos doce años, un test de vulnerabilidades/test de penetración/hacking

ético, incluía la contratación de ―hackers‖
• – Por un precio elevado, realizaban un conjunto de actividades para trazar un
camino y―colarse‖ en un sistema
• – Por ejemplo para crearse una cuenta bancaria y realizar una transferencia a
dicha cuenta
• – El resultado final del trabajo era una demostración, en la que el ―genio‖
devolvía el dinero transferido, exponía el camino seguido para colarse e indicaba
como solucionar el problema.

Metodología actual:

• – Se utilizan herramientas automáticas permanentemente actualizadas que

analizan las vulnerabilidades conocidas, combinadas por técnicas avanzadas
utilizadas por el buen auditor

¿Quién necesita un análisis de vulnerabilidades?

• – La práctica totalidad de las entidades.

• – Sin embargo, no en todos los casos un test de vulnerabilidades es su
necesidad más acuciante .Existen diversas tipologías de entidades que
requieren y están preparadas para recibir tests de vulnerabilidades de forma
inmediata.
• – Aquellas que realizan inversiones planificadas en la seguridad de sus
sistemas, y tienen cubiertos los aspectos fundamentales de su seguridad.
• – Aquellas que sospechan que algo extraño está sucediendo en sus sistemas y
quieren solucionarlo, siguiendo los mismos pasos que podrían dar unos
presuntos atacantes.
• – Finalmente, también existen situaciones puntuales y excepcionales
• • Las que conforman aquellas que buscan razones para rescindir contratos de
hosting y desarrollo.
• • Directores de seguridad recién llegados que pretenden mostrar las grandes
deficiencias de la seguridad a su llegada.

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[20]
8.- BIBLIOGRAFIA

ÁVILA, D y GARCÍA GARCÍA, S. Entre el riesgo y la emergencia. Insinuaciones policiales en la

intervención social, Revista de Antropología Social, 2013.

AYMERICH LOBO, J. I., FERNÁNDEZ ISLA, G., GARCÍA ARANDA, M. y ITURMENDI MORALES, G.
Gerencia de riesgos y seguros en la empresa, Editorial MAPFRE, Madrid. 1998.

BECK, U, “Teoría de la sociedad del riesgo”, en Josexto Beriain (comp.), Las consecuencias
perversas de la modernidad. Modernidad, contingencia y riesgo, Anthropos,
Barcelona,1996,

BESTARD, J, “Prólogo”, en Mary Douglas, La aceptabilidad del riesgo según las ciencias sociales,
Paidós Studio, Barcelona, 1996.

CALVO GARCÍA, M., «Políticas de Seguridad y Transformaciones del Derecho», La protección de

la seguridad ciudadana, Ed. I. MUÑAGORRI LAGUIA, OÑATI PROCEEDIGS, 18, 1995.

CASTEL, R. De la peligrosidad al riesgo. En ÁLVAREZ-URÍA, Fernando y VARELA, Julia. Materiales

de sociología crítica. Madrid: La Piqueta, 1986.

CARDONA, O.D. “Estimación Holística del Riesgo Sísmico utilizando Sistemas Dinámicos
Complejos” Universidad Politécnica de Cataluña, Barcelona. 2001.

Centro de Investigaciones Sociológicos, «Delincuencia y Seguridad », Estudios 2152, Abril,

Madrid, 2001..

CASARES SAN JOSÉ-MARTÍ, I. “Gerencia de riesgos asegurables”, Actuarios, nº 23, Julio-Agosto.

2005.

CASARES SAN JOSÉ-MARTÍ, I. “La necesidad del control interno en las empresas: gerencia de
riesgos”, La Gaceta de los Negocios, 22/05/07, Madrid. 2007.

CIPOLLA, W. Administración de riesgos; visiónº técnica y su compatibilidad con la norma ISO-

9000. Evaluación de riesgos, impacto y consecuencias,2010.

DAMMERT, L. Ciudad y seguridad: más allá de la dicotomía entre prevención control. Actas del
congreso Ciudades, urbanismo y seguridad, 2007.

D. SARMIENTO, El soft law administrativo, Thomson-Civitas, Madrid, 2008.

DELGADO, J. La criminalidad organizada., Ed. J. M. BOSCH, Barcelona, 2001.

DOUGLAS, M, La aceptabilidad del riesgo según las ciencias sociales, Paidós Studio,
Barcelona.1996.

FERNÁNDEZ ROMERO, A. Dirección y planificación: estrategias en las empresas y organizaciones.

Madrid: Ed. Diaz de Santos, 2004.

FERNÁNDEZ ISLA, G. “La transferencia de riesgos”, Actuarios, nº 26, Julio. 2007

GÁNDARA, E, Delincuencia en el nivel local: delincuencia propia y delincuencia proyectada. Actas

del congreso Ciudades, urbanismo y seguridad, 2007.

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[21]
GARCÍA AÑÓN, J, BRADFORD, B, GARCÍA SÁEZ, J A, et. al. Identificación policial por étnico racial
en España. Informe sobre experiencias y actitudes en relación con las actuaciones
policiales. Valencia: Tirant lo Blanch, 2013.

GARLAND, D., La cultura del control, Gedisa, Barcelona, 2005.

GOMEZ MARTÍN, «Libertad, seguridad y sociedad del riesgo», en La política criminal en Europa,
(dir. MIR/CORCOY), Atelier, Madrid, 2004.

GONZALO JAR, Couselo, Modelos Comparados de Policía, Ministerio del Interior, Dykinson,
Madrid. 2000.

GONZALEZ RODRÍGUEZ, Luis Gabriel y GONZALEZ MARTINEZ, Rafael, (1999) La Seguridad

Pública en España, Recopilación normativa, Ministerio del Interior, secretaría de Estado
de Seguridad,

HERNANDO, F. La seguridad en las ciudades: el nuevo enfoque de la geoprevención. Scripta Nova,

Revista Electrónica de Geografía y Ciencias Sociales. Barcelona: Universidad de
Barcelona, Vol. XII, núm. 270 (14), 2008.

HEBBERECHT, P., «Sociedad de riesgos y política de seguridad», en La seguridad en la sociedad

del riesgo. Un debate abierto. Atelier, Políticas de Seguridad 2, Barcelona, 2003.

JIMÉNEZ DÍAZ, Seguridad ciudadana y Derecho penal, Dykinson, Madrid, 2006.

JOURNES, C., La problemática de la seguridad en Gran Bretaña” Grenoble CERDAP, Presse

Universitaries 2003

LAVELL, A. “Ciencias sociales y desastres naturales en América Latina: Un encuentro inconcluso”

Desastres Naturales, Sociedad y Protección Civil, COMECSO, México.1992.

LAVELL, A. “Degradación ambiental, riesgo y desastre urbano. Problemas y conceptos: hacia la

definición de una agenda de investigación”, Ciudades en Riesgo, M. A. Fernández (Ed.),
La RED, USAID. 1996.

LANDROVE DÍAZ, G., «El Derecho penal de la seguridad», en Diario la Ley, 2003.

LUHMANN, N, “El concepto de riesgo”, en Josexto Beriain (comp.), Las consecuencias perversas
de la modernidad. Modernidad, contingencia y riesgo,Anthropos, Barcelona. 1996,

LÓPEZ-NIETO Y MALLO, F., Seguridad ciudadana y orden público, Ed. El Consultor de los
Ayuntamientos y de los Juzgados, Madrid, 1992.

MARTINEZ PEREZ, Roberto, Policía Judicial y Constitución, Aranzadi-Ministerio del Interior,

Madrid. 2001.

MARTINEZ MARTINEZ, R, Tecnologías de la información, policía y Constitución, Tirant lo Blanch

arternativa, Valencia. 2001.

MARTINEZ GARCÍA, C.“Gestión integral de riesgos corporativos como fuente de ventaja

competitiva: cultura positiva del riesgo y reorganización estructural”, Cuadernos de la
Fundación Mapfre, Nº 134, Instituto de Ciencias del Seguro, Madrid. 2009.

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[22]
MARTÍNEZ TORRE-ENCISO, M. I. “La gerencia de riesgos”, Anuario Jurídico y Económico
Escurialense, Ed. Real Colegio Universitario “Escorial-Mª Cristina”, San Lorenzo del
Escorial, Vol. XXXV. 2002

MANSILLA, E. (Ed.) Desastres: modelo para armar, La RED, Lima.1996

MARTÍNEZ TORRE-ENCISO, M. I. “La elección de la estrategia correcta para evitar el desastre”,

Anuario Jurídico y Económico Escurialense, Ed. Real Colegio Universitario “Escorial-Mª
Cristina”, San Lorenzo del Escorial, Vol. XXXIII, 2000.

MASKREY, A. “Comunidad y desastres en América Latina: estrategias de intervención”, Viviendo

en riesgo: comunidades vulnerables y prevención de desastres en América Latina, Allan
Lavell (Ed.), LA RED, Tercer Mundo Editores, Bogotá. 1994.
MASKREY, A (comp.), 1993, Los desastres no son naturales, LA RED-Tercer Mundo Editores,
Bogotá.

MEDINA ARIZA, J., «Discursos políticos sobre seguridad ciudadana en la historia reciente de
España», en: PÉREZ ÁLVAREZ, F. (Ed.). Serta. In memorian Alexandri Baratta, Universidad
de Salamanca, 2004.

MILETI, D. S. Psicología social de las alertas públicas efectivas de desastres, Especial:

Predicciones, Pronósticos, Alertas y Respuestas Sociales, Revista Desastres & Sociedad
No. 6.LA RED, Tarea Gráfica, Lima. 1996

MARTÍN-REBOLLO, L., «La introducción de la referencia al orden público en el Reglamento de lo

contencioso-administrativo de 1890-1894», Revista de Administración Pública, Madrid, nº
78, 1975.

NORMA ESPAÑOLA UNE-ISO 31000 (2009): Gestión del riesgo. Principios y Directrices. Traducido
por AENOR (Asociación Española de Normalización y Certificación.

OLMEDO, N, Guardia Civil, ¿Policías o soldados?, Almuzara, Córdoba. 2004.

PLA BARNIOL, C., «Orden y seguridad: una antología», Revista Cuadernos de Trabajo Social, nº 7,
1994.

PIRIS PERPÉN, J. «La prevención del delito y la seguridad ciudadana», en Revista Policial, nº 38,
1996.

PAREJO ALFONSO, L./DROMI, R., Seguridad pública y Derecho administrativo», Ed. Marcial Pons,
Madrid, 2001.

PÉREZ ÁLVAREZ, F., (coord..)Serta. In Memorian Alexandri Baratta, Ediciones Universidad de

Salamanca, Salamanca, 2004.

PUTTER Citado por Julio ARAGON RUIZ, "Origen y desarrollo de la institución policial",Ciencia
Policial, Ministerio del Interior, Madrid, número 11,

PONCE DE LEON, J. Introducción al Análisis de Riesgos. México D.F.: Limusa Noriega

Editores.2002.

RUIDÏAZ GARCÍA, C., Los españoles y la inseguridad ciudadana, Centro de Investigaciones

Sociológicos, Opiniones y Actitudes, nº 12, 2001.

RICO, J. M., y SALAS, L., Inseguridad Ciudadana y Policía. Madrid, 1988

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[23]
RODRIGUEZ HERRERA, M., La policía comunitaria: una aproximación a su concepto y principio,
en VIDALES Y CARQUE. Policia Comunitaria: Una policía para la sociedad del siglo xxi.
Valencia Tirant lo Blach. 2014.

SANZ MULAS, N., «La actual política criminal en España», en Revista Politeia, Institu Superior de
Ciencias Policias e Segurança Interna, Año I, nº 1, Enero/Junio 2004.

STEVE PARDO J. E, Técnica, riesgo y Derecho. Tratamiento del riesgo tecnológico en el Derecho
Ambiental , Ariel, Barcelona, 1999,

STEVE PARDO J. E, «De la policía administrativa a la gestión de riesgos», Revista Española de

Derecho Administrativo, núm. 119, 2003,

WILCHES-CHAUX, G, “La vulnerabilidad global”,en Andrew Maskrey (comp.), Los desastres no son
naturales,LA RED-Tercer Mundo Editores, Bogotá, 1993

ZÁRRAGA ARANCETA, E. “Propuesta de un modelo: el análisis objetivo del corredor de seguros”,

Gerencia de riesgos y seguros, Fundación MAPFRE, Instituto de Ciencias del Seguro, nº
98, 2º cuatrimestre 2007, Madrid. 2007.

Grado en Seguridad. Seguridad Física, Lógica, Electrónica y de Personas Curso 17/18

[24]