REPBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIN

UNIVERSITARIA CIENCIA Y TECNOLOGA
INSTITUTO UNIVERSITARIO DE TECNOLOGA AGRO-INDUSTRIAL
PNF INFORMTICA

{Seguridad
informtica }

AUTOR:
Duque Luis C.I. 21.452.675

San Juan de Coln, Mayo de 2015

NDICE

SEGURIDAD INFORMTICA...................................................................................4
LA SEGURIDAD DE LA INFORMACIN................................................................4
HACKER.......................................................................................................................4
TERMINOLOGA.....................................................................................................6
OverHat..................................................................................................................6
White hat y black hat..............................................................................................6
Samuri...................................................................................................................7
Phreaker..................................................................................................................7
Lammer o script-kiddie..........................................................................................7
Newbie...................................................................................................................7
Otros trminos........................................................................................................7
INGENIERA SOCIAL.................................................................................................7
ATAQUE INFORMTICO...........................................................................................8
ATAQUE DE DENEGACIN DE SERVICIOS.......................................................8
Mtodos de Ataque.................................................................................................9
Impacto en la Red.................................................................................................10
ATAQUE DE DA CERO........................................................................................10
Vas de ataque......................................................................................................10
Proteccin.............................................................................................................10
ATAQUE DE FUERZA BRUTA.............................................................................11
ATAQUE DE REPLAY.........................................................................................11

Suplantacin de identidad....................................................................................11
Denegacin de servicio........................................................................................12
ATAQUE MAN-IN-THE-MIDDLE........................................................................12
Un ejemplo de criptografa de clave pblica........................................................13
Defensas contra el ataque.....................................................................................13
AGUJERO DE SEGURIDAD.....................................................................................13
Tipos de vulnerabilidades segn la naturaleza del mismo:......................................14
Casos famosos..........................................................................................................15
EXPLOIT.....................................................................................................................15
Clasificacin............................................................................................................16
Exploit remoto......................................................................................................16
Exploit local.........................................................................................................16
Exploit ClientSide................................................................................................16
Frameworks de exploits...........................................................................................17
Exploits en los videojuegos..................................................................................17
SPOOFING..................................................................................................................17
IP Spoofing..............................................................................................................17
ARP Spoofing..........................................................................................................18
DNS Spoofing..........................................................................................................18
Web Spoofing...........................................................................................................18
Mail Spoofing..........................................................................................................19
GPS Spoofing...........................................................................................................19
SEGURIDAD POR OSCURIDAD.............................................................................19

Introduccin.............................................................................................................20
Argumentos contra la seguridad por oscuridad........................................................20
En la prctica............................................................................................................21
SISTEMA DE PREVENCIN DE INTRUSOS.........................................................22
Funcionamiento........................................................................................................22
Deteccin basada en firmas.....................................................................................23
Deteccin basada en polticas..................................................................................23
Deteccin basada en anomalas...............................................................................23
Deteccin honey pot (jarra de miel).........................................................................24
SISTEMA DE DETECCIN DE INTRUSOS...........................................................24
Funcionamiento........................................................................................................24
Tipos de IDS............................................................................................................24
HIDS (HostIDS):..................................................................................................25
NIDS (NetworkIDS):...........................................................................................25
Sistemas pasivos y sistemas reactivos.....................................................................25
Comparacin con Cortafuegos.................................................................................25
Mecanismos de deteccin de un ataque...................................................................25
Patrn...................................................................................................................25
Implementacin....................................................................................................26
ISO/IEC 27001............................................................................................................26
Evolucin.................................................................................................................26
Implantacin............................................................................................................28
Certificacin.............................................................................................................28

Otros SGSI...............................................................................................................30
ANTIVIRUS................................................................................................................31
Mtodos de contagio................................................................................................31
Seguridad y mtodos de proteccin.........................................................................31
Tipos de antivirus.....................................................................................................31
Copias de seguridad (pasivo)...................................................................................32
Planificacin.........................................................................................................32
Consideraciones de software................................................................................32
Consideraciones de la red.....................................................................................33
Formacin del usuario..........................................................................................33
Antivirus...............................................................................................................33
Firewalls...............................................................................................................34
Reemplazo de software........................................................................................34
Centralizacin y backup.......................................................................................34
Empleo de sistemas operativos ms seguros........................................................34
Temas acerca de la seguridad...............................................................................35
Sistemas operativos ms atacados...........................................................................35
Plataformas Unix, inmunes a los virus de Windows............................................36

1. SEGURIDAD INFORMTICA
La seguridad informtica o seguridad de tecnologas de la informacin es el rea de la
informtica que se enfoca en la proteccin de la infraestructura computacional y todo lo
relacionado con esta y especialmente, la informacin contenida o circulante. Para ello
existen una serie de estndares, protocolos, mtodos, reglas, herramientas y leyes
concebidas para minimizar los posibles riesgos a la infraestructura o a la informacin. La
seguridad informtica comprende software (bases de datos, metadatos, archivos), hardware
y todo lo que la organizacin valore (activo) y signifique un riesgo si esta informacin
confidencial llega a manos de otras personas, convirtindose, por ejemplo, en informacin
privilegiada.
La seguridad informtica es la disciplina que se ocupa de disear las normas,
procedimientos, mtodos y tcnicas destinados a conseguir un sistema de informacin
seguro y confiable.
Es tambin la necesidad de salvaguardar la ventaja organizacional, incluyendo
informacin y equipos fsicos, tales como los mismos computadores. Nadie a cargo de
seguridad debe determinar quin y cundo se puede tomar acciones apropiadas sobre un
tem en especfico. Cuando se trata de la seguridad de una compaa, lo que es apropiado
vara de organizacin a organizacin. Independientemente, cualquier compaa con una red
debe de tener una poltica de seguridad que se dirija a conveniencia y coordinacin.
2. LA SEGURIDAD DE LA INFORMACIN
La seguridad de la informacin es el conjunto de medidas preventivas y reactivas de
las organizaciones y de los sistemas tecnolgicos que permiten resguardar y proteger la
informacin buscando mantener la condencialidad, la disponibilidad e integridad de la
misma.
En la seguridad de la informacin es importante sealar que su manejo est basado en
la tecnologa y debemos de saber que puede ser condencial: la informacin est
centralizada y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada,
borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo. La informacin es
poder, y segn las posibilidades estratgicas que ofrece tener acceso a cierta informacin,
sta se clasica como:

Crtica: Es indispensable para la operacin de la empresa.

Valiosa: Es un activo de la empresa y muy valioso.

Sensible: Debe de ser conocida por las personas autorizadas

3. HACKER
El trmino hacker tiene diferentes significados. Segn el diccionario de los hackers,
es todo individuo que se dedica a programar de forma entusiasta, o sea un experto
entusiasta de cualquier tipo, que considera que poner la informacin al alcance de todos
constituye un extraordinario bien. De acuerdo a Eric Raymond el motivo principal que
tienen estas personas para crear software en su tiempo libre, y despus distribuirlos de
manera gratuita, es el de ser reconocidos por sus iguales. El trmino hacker nace en la
segunda mitad del siglo XX y su origen est ligado con los clubes y laboratorios del MIT.
En informtica, un hacker, es una persona que pertenece a una de estas comunidades
o subculturas distintas, pero no completamente independientes:

En seguridad informtica este trmino concierne principalmente a entradas

remotas no autorizadas por medio de redes de comunicacin como Internet
(Black hats). Pero tambin incluye a aquellos que depuran y arreglan errores en
los sistemas (White hats) y a los de moral ambigua como son los Grey hats.

Una comunidad de entusiastas programadores y diseadores de sistemas originada

en los sesenta alrededor del Instituto Tecnolgico de Massachusetts (MIT), el Tech
Model Railroad Club (TMRC) y el Laboratorio de Inteligencia Artificial del MIT.
Esta comunidad se caracteriza por el lanzamiento del movimiento de software
libre.How To Become A Hacker.El RFC 1392 amplia este significado como
persona que se disfruta de un conocimiento profundo del funcionamiento interno
de un sistema, en particular de computadoras y redes informticas Leer historia
del trmino

La comunidad de aficionados a la informtica domstica, centrada en el hardware

posterior a los setenta y en el software (juegos de computadora, crackeo de
software, la demoscene) de entre los ochenta/noventa.

Se utiliza la palabra Hacker, para describir a una persona que practica la

programacin informtica, con una especie de pasin artstica, o que forma parte
de la cultura de los hackers, es decir al grupo de programadores que histricamente
estn en los orgenes de Internet, en Linux y en la World Wide Web.

Desde que se us por primera vez la palabra Hacker sta ha sido mal utilizada, mal
interpretada y encasillada en un contexto errado, antes que nada, aclaremos que el
trmino Hacker no tiene nada que ver con actividades delictivas, si bien muchos
Hackers cometen errores, la definicin no tiene nada que ver con ello.

Definicin 1: Trmino para designar a alguien con talento, conocimiento,

inteligencia e ingenio, especialmente relacionada con las operaciones de
computadora, redes, seguridad, etc.

Definicin 2: Persona que disfruta aprendiendo detalles de los sistemas de

programacin y cmo extender sus capacidades, tan intensamente como, al
contrario, muchos usuarios prefieren aprender slo el mnimo necesario.

En la actualidad se usa de forma corriente para referirse mayormente a los criminales

informticos, debido a su utilizacin masiva por parte de los medios de comunicacin desde
la dcada de 1980. Segn Helen Nissenbaum que los hackers sean mal vistos ayuda al
gobierno y a los poderes privados con dos cosas: 1) a definir lo que es normal en el mundo
computacional haciendo creer que un buen ciudadano es todo lo que el hacker no es; 2) a
justificar la seguridad, la vigilancia y el castigo.
A los criminales se les pueden sumar los llamados "script kiddies", gente que invade
computadoras, usando programas escritos por otros, y que tiene muy poco conocimiento
sobre cmo funcionan. Este uso parcialmente incorrecto se ha vuelto tan predominante que,
en general, un gran segmento de la poblacin no es consciente de que existen diferentes
significados.
Mientras que los hackers aficionados reconocen los tres tipos de hackers y los hackers
de la seguridad informtica aceptan todos los usos del trmino, los hackers del software
libre consideran la referencia a intrusin informtica como un uso incorrecto de la palabra,
y se refieren a los que rompen los sistemas de seguridad como "crackers" (analoga de
safecracker, que en espaol se traduce como un ladrn de cajas fuertes).
3.1 TERMINOLOGA
OverHat
Un trmino acuado a mediados del ao 2014 por un Hacker de la comunidad Underground
llamado T4r4t3uX, quien defini como sobre el sombrero a todos los profesionales
vinculados con las artes Hacking. En un corto escrito, explica como a travs del tiempo
deben comprender y aprender todas las formas existentes de Hackeo. Lo cual causa una
doble moral, por un lado existe la tica a la cual han sido fieles y por ello prestan servicios
profesionales a miles de empresas en el mundo asegurando su infraestructura; por otro,
conocer y usar mtodos propios de los BlackHat que incluyen ataques de denegacin de
servicio e ingeniera social agresiva entre otros. Segn el escrito, estn por encima del bien
y del mal electrnico, lo cual concluye que solo una amplia capacidad moral
autodeterminada por ellos mismos los convierte en profesionales con la capacidad de
determinar adecuadamente y con las regulaciones de la actual sociedad.
White hat y black hat
Un hacker de sombrero blanco (del ingls, white hat), en jerga informtica, se refiere a una
tica hacker que se centra en asegurar y proteger los sistemas de Tecnologas de
informacin y comunicacin. Estas personas suelen trabajar para empresas de seguridad
informtica las cuales los denominan, en ocasiones, zapatillas o equipos tigre.

Por el contrario, los hackers de sombrero negro ( del ingls, black hat), tambin conocidos
como "crackers" muestran sus habilidades en informtica rompiendo sistemas de seguridad
de computadoras, colapsando servidores, entrando a zonas restringidas, infectando redes o
apoderndose de ellas, entre otras muchas cosas utilizando sus destrezas en mtodos
hacking.
En los ltimos aos, los trminos sombrero blanco y un sombrero negro han sido aplicados
a la industria del posicionamiento en buscadores (search engine optimization, SEO). Las
tcticas de posicionamiento en buscadores de los hackers de sombrero negro, tambin
llamada spamdexing, intento de redireccionar los resultados de la bsqueda a pginas de
destino particular, son una moda que est en contra de los trminos de servicio de los
motores de bsqueda, mientras que los hackers de sombrero blanco, utilizan mtodos que
son generalmente aprobados por los motores de bsqueda.
Samuri
Normalmente es alguien contratado para investigar fallos de seguridad, que investiga casos
de derechos de privacidad, est amparado por la primera enmienda estadounidense o
cualquier otra razn de peso que legitime acciones semejantes. Los samuris desdean a los
crackers y a todo tipo de vndalos electrnicos. Tambin se dedican a hacer y decir cmo
saber sobre la seguridad con sistemas en redes
Phreaker
De phone freak (monstruo telefnico). Son personas con conocimientos amplios tanto en
telfonos modulares (TM) como en telfonos mviles.
Lammer o script-kiddie
Es un trmino coloquial ingls aplicado a una persona falta de habilidades tcnicas,
generalmente no competente en la materia, que pretende obtener beneficio del hacking sin
tener los conocimientos necesarios. Su alcance se basa en a buscar y descargar programas y
herramientas de intrusin informtica, cibervandalismo, propagacin de software malicioso
para luego ejecutarlo como simple usuario, sin preocuparse del funcionamiento interno de
stos ni de los sistemas sobre los que funcionan. En muchos casos presume de
conocimientos o habilidades que no posee.
Newbie
Newbie es un alguien nuevo al hacking o al phreaking y que no posee casi nada de
conocimiento o experiencia en el manejo de tecnologa y hacking.
Otros trminos
En seguridad informtica, el trmino bluejacking se refiere a una tcnica consistente en
enviar mensajes no solicitados entre dispositivos Bluetooth, como por ejemplo telfonos

mviles, PDAs o porttiles. La tecnologa Bluetooth tiene un alcance limitado de unos 10

metros normalmente en dispositivos pequeos (como telfonos mviles) aunque otros
aparatos ms grandes (como porttiles) con transmisores ms potentes pueden alcanzar los
100 metros. Bluejacking generalmente es inofensivo, ya que bluejacker no intercepta nada:
nicamente utiliza una caracterstica en su dispositivo, y en el del receptor. Ambas partes
mantienen el control casi absoluto sobre su dispositivo, y el bluejacker no puede hacer casi
nada.
El trmino fue acuado por un consultor informtico de Malasia juntando el nombre de
Bluetooth con su nombre de usuario, ajack, en un foro de usuarios de Sony Ericsson.
4. INGENIERA SOCIAL
Ingeniera social es la prctica de obtener informacin condencial a travs de la
manipulacin de usuarios legtimos. Es una tcnica que pueden usar ciertas personas, tales
como investigadores privados, criminales, o delincuentes informticos, para obtener
informacin, acceso o privilegios en sistemas de informacin que les permitan realizar
algn acto que perjudique o exponga la persona u organismo comprometido a riesgo o
abusos. El principio que sustenta la ingeniera social es el que en cualquier sistema los
usuarios son el eslabn dbil. En la prctica, un ingeniero social usar comnmente el
telfono o Internet para engaar a la gente, ngiendo ser, por ejemplo, un empleado de
algn banco o alguna otra empresa, un compaero de trabajo, un tcnico o un cliente. Va
Internet o la web se usa, adicionalmente, el envo de solicitudes de renovacin de permisos
de acceso a pginas web o memos falsos que solicitan respuestas e incluso las famosas
cadenas, llevando as a revelar informacin sensible, o a violar las polticas de seguridad
tpicas. Con este mtodo, los ingenieros sociales aprovechan la tendencia natural de la
gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles nancieros a un aparente funcionario de un banco- en lugar de tener que
encontrar agujeros de seguridad en los sistemas informticos.
5. ATAQUE INFORMTICO
Un ataque informtico es un mtodo por el cual un individuo, mediante un sistema
informtico, intenta tomar el control, desestabilizar o daar otro sistema informtico
(ordenador, red privada, etctera).
Hay diversos tipos de ataques informticos. Algunos son:
5.1.

ATAQUE DE DENEGACIN DE SERVICIOS

En seguridad informtica, un ataque de denegacin de servicios, tambin llamado

ataque DoS (de las siglas en ingls Denial of Service) o DDoS (de Distributed Denial of
Service), es un ataque a un sistema de computadoras o red que causa que un servicio o
recurso sea inaccesible a los usuarios legtimos. Normalmente provoca la prdida de la
conectividad de la red por el consumo del ancho de banda de la red de la vctima o
sobrecarga de los recursos computacionales del sistema de la vctima. Un ejemplo notable
de este tipo de ataque se produjo el 27 de marzo de 2013, cuando un ataque de una empresa

10

a otra inund la red de spam provocando una ralentizacin generalizada de Internet e

incluso lleg a afectar a puntos clave como el nodo central de Londres.
Se genera mediante la saturacin de los puertos con flujo de informacin, haciendo
que el servidor se sobrecargue y no pueda seguir prestando servicios; por eso se le
denomina denegacin, pues hace que el servidor no d abasto a la cantidad de solicitudes.
Esta tcnica es usada por los llamados crackers para dejar fuera de servicio servidores
objetivos.
Una ampliacin del ataque DoS es el llamado ataquedisataque DDoS (de las siglas en
ingls Distributed Denial of Service) el cual se lleva a cabo generando un gran flujo de
informacin desde varios puntos de conexin. La forma ms comn de realizar un DDoS es
a travs de una botnet, siendo esta tcnica el ciberataque ms usual y eficaz por su sencillez
tecnolgica.
En ocasiones, esta herramienta ha sido utilizada como un buen mtodo para
comprobar la capacidad de trfico que un ordenador puede soportar sin volverse inestable y
afectar a los servicios que presta. Un administrador de redes puede as conocer la capacidad
real de cada mquina.
a. Mtodos de Ataque
Un ataque de denegacin de servicio impide el uso legtimo de los usuarios al usar
un servicio de red. El ataque se puede dar de muchas formas. Pero todas tienen algo en
comn: utilizan la familia de protocolos TCP/IP para conseguir su propsito.
Un ataque DoS puede ser perpetrado de varias formas. Aunque bsicamente consisten en:

Consumo de recursos computacionales, tales como ancho de banda, espacio de

disco, o tiempo de procesador.

Alteracin de informacin de configuracin, tales como informacin de rutas de

encaminamiento.

Alteracin de informacin de estado, tales como interrupcin de sesiones TCP

(TCP reset).

Interrupcin de componentes fsicos de red.

Obstruccin de medios de comunicacin entre usuarios de un servicio y la vctima,

de manera que ya no puedan comunicarse adecuadamente.

Inundacin SYN (SYN Flood): (Principios de TCP/IP) Cuando una mquina se

comunica mediante TCP/IP con otra, enva una serie de datos junto a la peticin real.
Estos datos forman la cabecera de la solicitud. Dentro de la cabecera se encuentran unas
sealizaciones llamadas Flags (banderas). Estas sealizaciones (banderas) permiten

11

iniciar una conexin, cerrarla, indicar que una solicitud es urgente, reiniciar una
conexin, etc. Las banderas se incluyen tanto en la solicitud (cliente), como en la
respuesta (servidor).
Inundacin ICMP (ICMP Flood): Agota el ancho de banda de la vctima. Consiste en
enviar de forma continuada un nmero elevado de paquetes ICMP Echo request (ping)
de tamao considerable a la vctima, de forma que esta ha de responder con paquetes
ICMP Echo reply (pong) lo que supone una sobrecarga tanto en la red como en el
sistema de la vctima.
SMURF: El ataque Smurf, el atacante dirige paquetes ICMP tipo "echo request" (ping)
a una direccin IP de broadcast, usando como direccin IP origen, la direccin de la
vctima (Spoofing). Se espera que los equipos conectados respondan a la peticin,
usando Echo reply, a la mquina origen (vctima).
Inundacin UDP (UDP Flood): Genera grandes cantidades de paquetes UDP contra la
vctima elegida. Debido a la naturaleza sin conexin del protocolo UDP, este tipo de
ataques suele venir acompaado de IP spoofing.
b. Impacto en la Red
A nivel global, este problema ha ido creciendo, en parte por la mayor facilidad para
crear ataques y tambin por la mayor cantidad de equipos disponibles mal configurados o
con fallos de seguridad que son explotados para generar estos ataques. Se ve un aumento en
los ataques por reflexin y de amplificacin por sobre el uso de botnets.
A principios de 2014, el uso de ataques basados en protocolos UDP ha aumentado
significativamente. Actualmente ocurren importantes incidentes con ataques basados en
CHARGEN, NTP y DNS. De acuerdo al reporte de DDOS de Prolexic de Q1 2014, el
ancho de banda promedio de los ataques creci en un 39% respecto a los ataques del 2013.
Respecto del mismo trimestre del 2013, hubo un 47% de aumento en la cantidad de ataques
y un 133% de crecimiento del ancho de banda punta (peak) de los ataques.
6. ATAQUE DE DA CERO
Un ataque de da-cero (en ingls zero-day attack o 0day attack) es un ataque contra
una aplicacin o sistema que tiene como objetivo la ejecucin de cdigo malicioso gracias
al conocimiento de vulnerabilidades que, por lo general, son desconocidas para la gente y el
fabricante del producto. Esto supone que an no hayan sido arregladas. Este tipo de exploit
circula generalmente entre las filas de los potenciales atacantes hasta que finalmente es
publicado en foros pblicos. Un ataque de da cero se considera uno de los ms peligrosos
instrumentos de una guerra informtica.

12

Vas de ataque
Los que se dedican al malware son capaces de aprovecharse de estas vulnerabilidades
mediante diferentes vas de ataque. Por ejemplo, cdigos en webs que revelan
vulnerabilidades en navegadores. Los navegadores son un objetivo especial debido a su
amplia distribucin y uso. Otra forma de aprovechar estos fallos es utilizar aplicaciones que
abren ciertos documentos que revelan los fallos. Los exploits que pueden mejorar el
software se revelan en bases de datos como US-CERT. Se puede disear malware para
aprovecharse de estos exploits y conseguir informacin confidencial como contraseas
bancarias.
Proteccin
La proteccin da-cero es la habilidad de proporcionar proteccin contra exploits dacero. Por ejemplo, para limitar los ataques da-cero referentes a vulnerabilidades en
memoria, se usan tcnicas como buffer overflows. Estos mecanismos de proteccin se
pueden encontrar en sistemas operativos actuales como Microsoft Windows, Solaris,
GNU/Linux, Unix y Mac OS X.
Mediante mtodos como el "golpeo de puertos" se proporciona seguridad frente a
ataques en servicios de red, aunque estos sistemas de proteccin no suelen ser tiles para
redes con gran cantidad de usuarios.
Empresas como Gama-Sec en Israel y DataClone Labs en Reno, Nevada, ayudan a
esta proteccin mediante el Proyecto ZeroDay que proporciona informacin sobre futuros
ataques y vulnerabilidades.
Otro medio para evitar estos ataques es esperar un tiempo razonable para actualizar
una versin. Las vulnerabilidades del nuevo software suelen ser arregladas en las primeras
actualizaciones del mismo. Es recomendable actualizar el software para arreglar los
posibles fallos existentes en el software.
7. ATAQUE DE FUERZA BRUTA
En criptografa, se denomina ataque de fuerza bruta a la forma de recuperar una clave
probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.
Dicho de otro modo, define al procedimiento por el cual a partir del conocimiento del
algoritmo de cifrado empleado y de un par texto claro/texto cifrado, se realiza el cifrado
(respectivamente, descifrado) de uno de los miembros del par con cada una de las posibles
combinaciones de clave, hasta obtener el otro miembro del par. El esfuerzo requerido para
que la bsqueda sea exitosa con probabilidad mejor que la par ser 2n1 operaciones,
donde n es la longitud de la clave (tambin conocido como el espacio de claves).
Otro factor determinante en el coste de realizar un ataque de fuerza bruta es el juego
de caracteres que se pueden utilizar en la clave. Contraseas que slo utilicen dgitos

13

numricos sern ms fciles de descifrar que aquellas que incluyen otros caracteres como
letras, as como las que estn compuestas por menos caracteres sern tambin ms fciles
de descifrar, la complejidad impuesta por la cantidad de caracteres en una contrasea es
logartmica.
Los ataques por fuerza bruta, dado que utilizan el mtodo de prueba y error, son muy
costosos en tiempo computacional.
La fuerza bruta suele combinarse con un ataque de diccionario.
8. ATAQUE DE REPLAY
Un ataque de replay, tambin llamado ataque de playback, en espaol ataque de
reproduccin o ataque de reinyeccin, es una forma de ataque de red, en el cual una
transmisin de datos vlida es maliciosa o fraudulentamente repetida. Es llevada a cabo por
el autor o por un adversario que intercepta la informacin y la retransmite, posiblemente
como parte de un ataque enmascarado.
Suplantacin de identidad
Es habitual hacer un ataque de replay capturando informacin y posteriormente
reenvindola con el objetivo de suplantar la identidad de uno de los lados. Es un hecho muy
conocido que el intercambio de claves DiffieHellman en sus primeras versiones poda ser
atacado por un ataque de reinyeccin, sin embargo, esto puede evitarse con una marca
secuencial o una marca de tiempo. Actualmente, ninguna aplicacin que use el esquema de
intercambio de claves Diffie-Hellman de manera adecuada se ve afectada por este ataque en
su forma bsica (aunque cabra falsificar dicha marca o duplicarla en el ataque replay).
Denegacin de servicio
Es habitual en sistemas de encaminamiento, por ejemplo en encaminamiento de
cebolla, realizar ataques de replay capturando mensajes y luego reinyectndolos en la red
con el objetivo de sobrecargarla y que deje de funcionar (ataque de denegacin de servicio).
Para evitar este tipo de ataques es habitual que los routers detecten cuando un paquete ya ha
sido procesado (y por tanto descarten ese paquete) y que los propios mensajes tengan un
tiempo de validez que una vez agotado permita que los routers eliminen esos mensajes.
9. ATAQUE MAN-IN-THE-MIDDLE
En criptografa, un ataque man-in-the-middle o JANUS (MitM o intermediario, en
espaol) es un ataque en el que se adquiere la capacidad de leer, insertar y modificar a
voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre
ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre
las dos vctimas. El ataque MitM es particularmente significativo en el protocolo original
de intercambio de claves de Diffie-Hellman, cuando ste se emplea sin autenticacin

14

Salvo el Interlock Protocol, todos los sistemas criptogrficos seguros frente a ataques
MitM requieren un intercambio adicional de datos o la transmisin de cierta informacin a
travs de algn tipo de canal seguro. En ese sentido, se han desarrollado muchos mtodos
de negociacin de claves con diferentes exigencias de seguridad respecto al canal seguro.
El ataque MitM puede incluir algunos de los siguientes subataques:

Intercepcin de la comunicacin (eavesdropping), incluyendo anlisis del trfico y

posiblemente un ataque a partir de textos planos (plaintext) conocidos.

Ataques a partir de textos cifrados escogidos, en funcin de lo que el receptor haga

con el mensaje descifrado.

Ataques de sustitucin.

Ataques de repeticin.

Ataque por denegacin de servicio (denial of service). El atacante podra, por

ejemplo, bloquear las comunicaciones antes de atacar una de las partes. La defensa
en ese caso pasa por el envo peridico de mensajes de status autenticados.

MitM se emplea tpicamente para referirse a manipulaciones activas de los mensajes,

ms que para denotar intercepcin pasiva de la comunicacin.
Un ejemplo de criptografa de clave pblica
Supngase que Andrs desea comunicarse con Brbara, y Juan quiere interceptar esa
conversacin, o quiz hacer llegar un mensaje falso a Brbara. Para iniciar la
comunicacin, Andrs debe solicitar a Brbara su clave pblica. Si Brbara enva su clave a
Andrs, pero Juan es capaz de interceptarla, ste podra desplegar un ataque MitM. Juan
podra enviar a Andrs su propia clave pblica (de Juan, en lugar de la de Brbara). Andrs,
creyendo que la clave pblica recibida es de Brbara, cifrara su mensaje con la clave de
Juan y enviara el criptograma a Brbara. Juan interceptara de nuevo, descifrara el
mensaje con su clave privada, guardara una copia; volvera a cifrar el mensaje con la clave
de Brbara (tras una alteracin, si as lo deseara) y lo re-enviara a Brbara. Cuando sta lo
recibiera, creera que proviene de Andrs.
Este ejemplo ilustra la necesidad de Andrs y Brbara de contar con alguna garanta
de que estn usando efectivamente las claves pblicas correctas. En otro caso, sus
comunicaciones se veran expuestas a ataques de este tipo usando la tecnologa de clave
pblica. Afortunadamente, existe una variedad de tcnicas que ayudan a defenderse de los
ataques MitM.

15

Defensas contra el ataque

La posibilidad de un ataque de intermediario sigue siendo un problema potencial de
seguridad serio, incluso para muchos criptosistemas basados en clave pblica. Existen
varios tipos de defensa contra estos ataques MitM que emplean tcnicas de autenticacin
basadas en:

Claves pblicas

Autenticacin mutua fuerte

Claves secretas (secretos con alta entropa)

Passwords (secretos con baja entropa)

Otros criterios, como el reconocimiento de voz u otras caractersticas biomtricas

La integridad de las claves pblicas debe asegurarse de alguna manera, pero stas no
exigen ser secretas, mientras que los passwords y las claves de secreto compartido tienen el
requerimiento adicional de la confidencialidad. Las claves pblicas pueden ser verificadas
por una autoridad de certificacin (CA), cuya clave pblica sea distribuida a travs de un
canal seguro (por ejemplo, integrada en el navegador web o en la instalacin del sistema
operativo).
10. AGUJERO DE SEGURIDAD
Un agujero de seguridad es una vulnerabilidad de un sistema de informacin que
permite mediante su explotacin violar la seguridad del sistema.
Tipos de vulnerabilidades segn la naturaleza del mismo:
De software.

Inyeccin SQL

Desbordamiento de buffer

Clickjacking

Condiciones de Carrera

Cross Site Request Forgery

Cross-site scripting

16

De hardware

Del entorno fsico del sistema

Del personal involucrado

De procedimientos de administracin, organizacin y seguridad involucrados

De la red de comunicaciones utilizada

En el tiempo de vida de una vulnerabilidad podemos distinguir los siguientes hitos o etapas
importantes:
Nacimiento.- Durante el proceso de desarrollo del producto por parte del proveedor (Ej el
vendedor o una comunidad de desarrolladores software), se introducen una serie de
defectos. Estos defectos pueden ser de diseo, implementacin o de gestin. Algunos de
esos defectos pueden convertirse en riesgos para la seguridad del producto y por tanto para
la seguridad del usuario del producto. Un defecto se convierte en una vulnerabilidad si hace
que el comportamiento del sistema sea tal que pueda ser aprovechado para conseguir
acceso no autorizado, elevacin de privilegios, denegacin de servicio o cualquier otra
forma de romper la seguridad del sistema. No se considerar vulnerabilidades que son
detectadas y corregidas antes del despliegue.
Descubrimiento.- Este hito ocurre cuando se tiene conocimiento de la existencia de la
vulnerabilidad. Si la vulnerabilidad es creada intencionadamente entonces el nacimiento y
el descubrimiento ocurren simultneamente. Se llama descubridor a la primera persona que
revela un defecto y determina que ese defecto es una vulnerabilidad. Si el descubridor no es
conocido se dice que es annimo.
Comunicacin de la vulnerabilidad.- Este hito ocurre una vez que el descubridor revela la
vulnerabilidad a alguien ms. Esta transferencia de informacin puede ser de distintos tipos.
Ejemplos: completa y pblica va (revelacin completa) o comunicacin privada entre
hackers. Se llama originador (en ingls originator) o revelador (en ingls discloser) a la
persona u organizacin que informa de la vulnerabilidad a el proveedor del producto.
Observar que el descubridor y el originador pueden ser personas distintas.
Correccin.- Ocurre cuando el vendedor del producto analiza la vulnerabilidad, localiza
cual es el problema, y lanza una versin al pblico que resuelve la vulnerabilidad.
Publicitacin.- Es cuando el conocimiento de la vulnerabilidad se extiende a una audiencia
importante dndole publicidad.
Automatizacin de explotacin.- Es cuando a partir de la vulnerabilidad se crea una
herramienta o script que automatiza la explotacin de la vulnerabilidad. A esta herramienta
o script se le llama exploit. De esta forma se permite que no slo expertos sobre el tema

17

(hackers) puedan vulnerar la seguridad. De esta forma se tiene una herramienta que permite
a otros usuarios inexpertos (script kiddies) vulnerarla.
Muerte.- Ocurre cuando el nmero de sistemas vulnerables al exploit es insignificante.
Esto puede haber sucedido porque el sistema ha sido retirado, el sistema ha sido arreglado
mediante algn parche, o porque los hackers no tienen inters en explotarla.
Casos famosos
En junio de 2005, un servidor de mantenimiento de tarjetas de crdito, fue crackeado
por un grupo de personas, aprovechando un error en el cdigo de verificacin. Esto gener
prdidas por 10.000.000 de dlares estadounidenses.
El FBI, sufri un ataque de un usuario que us cuentas de correo, obtuvo contraseas
y otros datos de relevancia, a travs de un puerto que estaba abierto en el cdigo web.
En Windows 98, ciertas contraseas de usuario se exponen en las carpetas, que
pueden ser ledas en MS-DOS
11. EXPLOIT
Exploit (del ingls to exploit, explotar o aprovechar) es un fragmento de software,
fragmento de datos o secuencia de comandos y/o acciones, utilizada con el fin de
aprovechar una vulnerabilidad de seguridad de un sistema de informacin para conseguir
un comportamiento no deseado del mismo. Ejemplos de comportamiento errneo: Acceso
de forma no autorizada, toma de control de un sistema de cmputo, consecucin privilegios
no concedidos lcitamente, consecucin de ataques de denegacin de servicio. Hay que
observar que el trmino no se circunscribe a piezas de software, por ejemplo cuando
lanzamos un ataque de ingeniera social, el ardid o discurso que preparamos para convencer
a la vctima tambin se considera un exploit. Y poder as capturar cierta informacin de la
vctima a travs de este tipo de ataque.
Los exploits pueden tomar forma en distintos tipos de software, como por ejemplo
scripts, virus informticos o gusanos informticos.
11.1.

Clasificacin

Segn la forma en la que el exploit contacta con el software vulnerable:

Exploit remoto.
Si utiliza una red de comunicaciones para entrar en contacto con el sistema vctima.
Por ejemplo puede usar otro equipo dentro de la misma red interna o tener acceso desde la
propia Internet.

18

Exploit local.
Si para ejecutar el exploit se necesita tener antes acceso al sistema vulnerable. Por
ejemplo el exploit puede aumentar los privilegios del que lo ejecuta. Este tipo de exploits
tambin puede ser utilizado por un atacante remoto que ya tiene acceso a la mquina local
mediante un exploit remoto.
Exploit ClientSide.
Aprovechan vulnerabilidades de aplicaciones que tpicamente estn instaladas en
gran parte de las estaciones de trabajo de las organizaciones. Ejemplos tpicos de este tipo
de software son aplicaciones ofimticas (Ej. Microsoft Office, Open Office), lectores de
PDF (Ej. Adobe Acrobat Reader), navegadores (Ej. Internet Explorer, Firefox, Chrome,
Safari), reproductores multimedia (Ej. Windows Media Player, Winamp, iTunes). El exploit
est dentro de ficheros interpretados por este tipo de aplicaciones y que llega a la mquina
objetivo por distintos medios (Ej email o pendrive). El archivo ser usado por el programa
y si no es detenido por ningn otro programa (Ej. firewall o antivirus) aprovechar la
vulnerabilidad de seguridad. Las peculiaridades de este tipo de ataques son:

Requieren la intervencin del usuario del lado del cliente. Por ejemplo necesitan
que abra cierto archivo o que haga click en cierto link

Es un ataque asincrnico porque el momento en que se lanza no es el mismo en

que se consigue ejecutar el exploit (ya que necesita la accin del usuario).

Se lanza a ciegas, no se sabe qu aplicaciones y versiones de esta utiliza el

objetivo real.

Segn el propsito de su ataque:

Curiosidad

Fama personal

Beneficio personal

Espionaje

11.2.

Frameworks de exploits

Los frameworks de exploits son paquetes software de apoyo que contienen mdulos
que ayudan para la construccin de exploits. Estos frameworks permiten la reutilizacin del
cdigo, la estandarizacin de los exploits y la simplificacin del proceso de ataques.
Ejemplos de este tipo de frameworks: Metasploit Framework, Core Impact, Inmunity
Canvas

19

11.3.

Exploits en los videojuegos

Hasta ahora el juego en Internet ms afectado por estos comandos maliciosos es

Roblox, el cual es afectado en los servidores publicados en la red. Un cracker con ayuda de
un programa especial edita los cdigos del servidor activo, causando desde la aparicin de
nuevos elementos en el juego, hasta la desconexin de todos los jugadores y robo de su
informacin actual en el sitio.
12. SPOOFING
Spoofing, en trminos de seguridad de redes hace referencia al uso de tcnicas a
travs de las cuales un atacante, generalmente con usos maliciosos o de investigacin, se
hace pasar por una entidad distinta a travs de la falsificacin de los datos en una
comunicacin.
Se pueden clasificar los ataques de spoofing, en funcin de la tecnologa utilizada.
Entre ellos tenemos el IP spoofing (quizs el ms conocido), ARP spoofing, DNS spoofing,
Web spoofing o email spoofing, aunque en general se puede englobar dentro de spoofing
cualquier tecnologa de red susceptible de sufrir suplantaciones de identidad.
IP Spoofing
Suplantacin de IP. Consiste bsicamente en sustituir la direccin IP origen de un
paquete TCP/IP por otra direccin IP a la cual se desea suplantar. Esto se consigue
generalmente gracias a programas destinados a ello y puede ser usado para cualquier
protocolo dentro de TCP/IP como ICMP, UDP o TCP. Hay que tener en cuenta que las
respuestas del host que reciba los paquetes alterados irn dirigidas a la IP falsificada. Por
ejemplo si enviamos un ping (paquete icmp "echo request") suplantado, la respuesta ser
recibida por el host al que pertenece la IP legalmente. Este tipo de spoofing unido al uso de
peticiones broadcast a diferentes redes es usado en un tipo de ataque de flood conocido
como ataque Smurf. Para poder realizar Suplantacin de IP en sesiones TCP, se debe tener
en cuenta el comportamiento de dicho protocolo con el envo de paquetes SYN y ACK con
su SYN especfico y teniendo en cuenta que el propietario real de la IP podra (si no se le
impide de alguna manera) cortar la conexin en cualquier momento al recibir paquetes sin
haberlos solicitado. Tambin hay que tener en cuenta que los enrutadores actuales no
admiten el envo de paquetes con IP origen no perteneciente a una de las redes que
administra (los paquetes suplantados no sobrepasarn el enrutador).
ARP Spoofing
Suplantacin de identidad por falsificacin de tabla ARP. Se trata de la construccin
de tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP
(relacin IP-MAC) de una vctima y forzarla a que enve los paquetes a un host atacante en
lugar de hacerlo a su destino legtimo.

20

El protocolo Ethernet trabaja mediante direcciones MAC, no mediante direcciones IP.

ARP es el protocolo encargado de traducir direcciones IP a direcciones MAC para que la
comunicacin pueda establecerse; para ello cuando un host quiere comunicarse con una IP
emite una trama ARP-Request a la direccin de Broadcast pidiendo la MAC del host
poseedor de la IP con la que desea comunicarse. El ordenador con la IP solicitada responde
con un ARP-Reply indicando su MAC. Los enrutadores y los hosts guardan una tabla local
con la relacin IP-MAC llamada tabla ARP. Dicha tabla ARP puede ser falseada por un
ordenador atacante que emita tramas ARP-REPLY indicando su MAC como destino vlido
para una IP especfica, como por ejemplo la de un enrutador, de esta manera la informacin
dirigida al enrutador pasara por el ordenador atacante quien podr escanear dicha
informacin y redirigirla si as lo desea. El protocolo ARP trabaja a nivel de enlace de datos
de OSI, por lo que esta tcnica slo puede ser utilizada en redes LAN o en cualquier caso
en la parte de la red que queda antes del primer enrutador. Una manera de protegerse de
esta tcnica es mediante tablas ARP estticas (siempre que las IP de red sean fijas), lo cual
puede ser difcil en redes grandes.
Otras formas de protegerse incluyen el usar programas de deteccin de cambios de las
tablas ARP (como Arpwatch) y el usar la seguridad de puerto de los switches para evitar
cambios en las direcciones MAC.
DNS Spoofing
Suplantacin de identidad por nombre dedominio. Se trata del falseamiento de una
relacin Nombre de dominioIP ante una consulta de resolucin de nombre, es decir,
resolver con una direccin IP falsa un cierto nombre DNS o viceversa. Esto se consigue
falseando las entradas de la relacin Nombre de dominio-IP de un servidor DNS, mediante
alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco
fiables. Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar)
el cache DNS de otro servidor diferente (DNS Poisoning).
Web Spoofing
Suplantacin de una pgina web real (no confundir con phishing). Enruta la conexin
de una vctima a travs de una pgina falsa hacia otras pginas WEB con el objetivo de
obtener informacin de dicha vctima (pginas web vistas, informacin de formularios,
contraseas etc.). La pgina web falsa acta a modo de proxy, solicitando la informacin
requerida por la vctima a cada servidor original y saltndose incluso la proteccin SSL. El
atacante puede modificar cualquier informacin desde y hacia cualquier servidor que la
vctima visite. La vctima puede abrir la pgina web falsa mediante cualquier tipo de
engao, incluso abriendo un simple enlace. El web spoofing es difcilmente detectable;
quiz la mejor medida es algn plugin del navegador que muestre en todo momento la IP
del servidor visitado: si la IP nunca cambia al visitar diferentes pginas WEB significar
que probablemente estemos sufriendo este tipo de ataque. Este ataque se realiza mediante
una implantacin de cdigo el cual nos robar la informacin. Usualmente se realizan
pginas fantasmas en las cuales se inyectan estos cdigos para poder sacar informacin de
las vctimas.

21

Mail Spoofing
Suplantacin en correo electrnico de la direccin de correo electrnico de otras
personas o entidades. Esta tcnica es usada con asiduidad para el envo de mensajes de
correo electrnico hoax como suplemento perfecto para el uso de suplantacin de identidad
y para SPAM, es tan sencilla como el uso de un servidor SMTP configurado para tal fin.
Para protegerse se debera comprobar la IP del remitente (para averiguar si realmente esa ip
pertenece a la entidad que indica en el mensaje) y la direccin del servidor SMTP utilizado.
Las medidas recomendadas para prevenir estos ataques son crear registros SPF y firmas
digitales DKIM.
GPS Spoofing
Un ataque de GPS spoofing intenta engaar a un receptor de GPS transmitiendo una
seal ligeramente ms poderosa que la recibida desde los satlites del sistema GPS,
estructurada para parecerse a un conjunto normal de seales GPS. Sin embargo estas
seales estn modificadas de tal forma de que causarn que el receptor determine una
posicin diferente a la real, especficamente algn lugar determinado por la seal atacante.
Debido a que el sistema GPS trabaja midiendo el tiempo que le toma a una seal el viajar
entre el satlite y el receptor, un spooging exitoso requiere que el atacante conozca con
precisin donde se encuentra el blanco de tal forma que la seal falsa pueda ser
estructurada con el retraso apropiado.
Un ataque de GPS spoofing comienza con la transmisin de una seal ligeramente
ms poderosa que la que entrega la posicin correcta, y luego se comienza a desviar
lentamente hacia la posicin deseada por el atacante, ya que si esto se hace demasiado
rpido el receptor atacado perder la fijacin en la seal, en cuyo momento el ataque de
spoofing slo funcionara como un ataque de perturbacin. Se ha sugerido que la captura de
un Lockheed RQ-170 en el noreste de Irn en diciembre de 2011, fue el resultado de un
ataque de este tipo. Previamente los ataques de GPS spoofing haban sido predichos y
discutidos en la comunidad GPS, pero an no han sido confirmado un ejemplo conocido de
un ataque de spoofing malicioso.
13. SEGURIDAD POR OSCURIDAD
En criptografa y seguridad informtica, la seguridad por oscuridad o por ocultacin
es un controvertido principio de ingeniera de la seguridad, que intenta utilizar el secreto
(de diseo, de implementacin, etc.) para garantizar la seguridad. Este principio se puede
plasmar en distintos aspectos como por ejemplo:

Mantener el secreto del cdigo fuente del software.

Mantener el secreto de algoritmos y protocolos utilizados.

Adopcin de polticas de no revelacin pblica de la informacin sobre

vulnerabilidades.

22

Un sistema que se apoya en la seguridad por ocultacin puede tener vulnerabilidades

tericas o prcticas, pero sus propietarios o diseadores creen que sus puntos dbiles,
debido al secreto que se mantiene sobre los entresijos del sistema, son muy difciles de
encontrar, y por tanto los atacantes tienen muy pocas probabilidades de descubrirlos.
Introduccin
Por ejemplo, podra pensarse que esconder una copia de la llave de la casa bajo el
felpudo de la entrada sera una buena medida contra la posibilidad de quedar uno atrapado
fuera de la casa, por culpa de un olvido o prdida de la llave de uso habitual. Entonces
estaramos findonos de la seguridad por ocultacin. La vulnerabilidad de seguridad terica
sera que alguien pudiera entrar en la casa abriendo la puerta con la copia de la llave. Sin
embargo, los dueos de la casa creen que la localizacin de la llave no es conocida
pblicamente, y que es improbable que un ladrn la encontrara. En este ejemplo, dado que
los ladrones suelen conocer los escondites frecuentes, habra que advertir al dueo de la
casa contra esta medida.
En criptografa, lo contrario a la seguridad por ocultacin es el principio de Kerckhoff
de finales de 1880, que indica que los diseadores del sistema deberan asumir que el
diseo completo de un sistema de seguridad es conocido por todos los atacantes, con la
excepcin de la clave criptogrfica: la seguridad de un cifrado reside enteramente en la
clave. Claude Shannon lo reformul como el enemigo conoce el sistema.
Histricamente, la seguridad por ocultacin ha sido un apoyo dbil sobre el que
descansar en materia de criptografa. Cdigo oscuro, cifrados y sistemas criptogrficos han
cedido repetidamente bajo los ataques sin importar el grado de ocultacin de sus
vulnerabilidades.
El movimiento de la divulgacin total va ms lejos, sugiriendo que los defectos de
seguridad deberan ser divulgados lo antes posible, retrasando la informacin no ms de lo
necesario para lanzar una correccin de la amenaza inmediata.
Argumentos contra la seguridad por oscuridad
Muchos argumentan que la seguridad por oscuridad es dbil. Si la seguridad de un
sistema depende nica o principalmente de mantener oculta una debilidad, entonces,
claramente, si esa debilidad es descubierta, la seguridad se compromete fcilmente. Se
argumenta que mantener ocultos los detalles de sistemas y algoritmos ampliamente
utilizados es difcil. En criptografa, por ejemplo, hay un buen nmero de ejemplos de
algoritmos de cifrado que han pasado a ser de conocimiento pblico, bien por ingeniera
inversa (ej. A5/1), bien por una fuga de informacin (ej. RC4).
Ms an, el mantener algoritmos y protocolos ocultos significa que la revisin de
seguridad est limitada a unos pocos. Se argumenta que permitir a cualquier persona revisar
la seguridad repercutir en una pronta identificacin y correccin de cualquier fallo o
debilidad, hecho que se recoge en la llamada Ley de Linus.

23

En la prctica
Los operadores, desarrolladores y vendedores de sistemas que confan en la seguridad
por oscuridad a menudo mantienen en secreto que sus sistemas tienen fallos, para evitar
crear desconfianza en sus servicios o productos y por tanto, en su imagen de mercado. Es
posible que esto pudiera conducir en algunos casos a una representacin fraudulenta de la
seguridad de sus productos, aunque la aplicacin de la ley a este respecto ha sido poco
contundente, en parte porque las condiciones de uso impuestas por los vendedores como
parte del contrato de licencia redimen (con ms o menos xito) sus aparentes obligaciones
bajo el estatuto legal de muchas jurisdicciones que requieren una adecuacin para el uso o
estndares de calidad similares.
Estas prcticas de seguridad dejan a los usuarios frente a problemas cuando el
software que usan est deliberada o accidentalmente ocultado, como ha ocurrido otras
veces:
Diebold software de voto electrnico; publicacin aparentemente accidental en un sitio
web oficial.
Microsoft Windows y otros; penetracin supuestamente deliberada en una red de
desarrollo corporativa.
RSADSI algoritmos criptogrficos; cdigo de RC4 probablemente publicado con
intencin en Usenet.
Cisco sistema operativo de enrutadores; exposicin accidental en una red corporativa.
Cuando se usa software seguro por estar oculto de manera amplia, existe un riesgo
potencial de problema global; por ejemplo, vulnerabilidades en las diferentes versiones del
sistema operativo Windows, sus componentes obligatorios como su navegador web Internet
Explorer o sus aplicaciones de correo electrnico (Microsoft Outlook/Outlook Express) han
causado problemas a lo largo y ancho del planeta cuando virus, troyanos, gusanos y dems
se han aprovechado de ellas. Vase seguridad en Windows o seguridad en Internet Explorer.
Del software que es deliberadamente lanzado como software de cdigo abierto no
puede decirse ni en la teora ni en la prctica que se apoya en la seguridad por oscuridad, ya
que el diseo est disponible pblicamente, pero puede tambin experimentar
vulnerabilidades de seguridad.
14. SISTEMA DE PREVENCIN DE INTRUSOS
Un sistema de prevencin de intrusos (o por sus siglas en ingls IPS) es un software
que ejerce el control de acceso en una red informtica para proteger a los sistemas
computacionales de ataques y abusos. La tecnologa de prevencin de intrusos es
considerada por algunos como una extensin de los sistemas de deteccin de intrusos

24

(IDS), pero en realidad es otro tipo de control de acceso, ms cercano a las tecnologas
cortafuegos.
Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para
resolver ambigedades en la monitorizacin pasiva de redes de computadoras, al situar
sistemas de detecciones en la va del trfico. Los IPS presentan una mejora importante
sobre las tecnologas de cortafuegos tradicionales, al tomar decisiones de control de acceso
basados en los contenidos del trfico, en lugar de direcciones IP o puertos. Tiempo despus,
algunos IPS fueron comercializados por la empresa One Secure, la cual fue finalmente
adquirida por NetScreen Technologies, que a su vez fue adquirida por Juniper Networks en
2004. Dado que los IPS fueron extensiones literales de los sistemas IDS, continan en
relacin.
Tambin es importante destacar que los IPS pueden actuar al nivel de equipo, para
combatir actividades potencialmente maliciosas.
Funcionamiento
Un Sistema de Prevencin de Intrusos o Intrusion Prevention System (IPS en sus
siglas en ingls), es un dispositivo de seguridad de red que monitorea el trfico de red y/o
las actividades de un sistema, en busca de actividad maliciosa. Entre sus principales
funciones, se encuentran no slo la de identificar la actividad maliciosa, sino la de intentar
detener esta actividad. Siendo sta ltima una caracterstica que distingue a este tipo de
dispositivos de los llamados Sistemas de Deteccin de Intrusos o Intrusion Detection
Systems (IDS en sus siglas en ingls).
Entre otras funciones (como en el caso del IDS) se tiene que puede alertar al
administrador ante la deteccin de intrusiones o actividad maliciosa, mientras que es
exclusivo de un Sistema de Prevencin de Intrusos (IPS) establecer polticas de seguridad
para proteger al equipo o a la red de un ataque.
De ah que se diga que un IPS protege a una red o equipo de manera proactiva
mientras que un IDS lo hace de manera reactiva.
Otras funciones importantes de estos dispositivos de red, son las de grabar
informacin histrica de esta actividad y generar reportes.
Los IPS se clasifican en cuatro diferentes tipos:
1. Basados en Red Lan (NIPS): monitorean la red lan en busca de trfico de red
sospechoso al analizar la actividad por protocolo de comunicacin lan.
2. Basados en Red Wireless (WIPS): monitorean la red ialmbrica en busca de trfico
sospechoso al analizar la actividad por protocolo de comunicacin inalmbrico.

25

3. Anlisis de comportamiento de red (NBA): Examina el trfico de red para identifica

amenazas que generan trfico inusual, como ataques de denegacin de servicio ciertas
formas de malware y violaciones a polticas de red.
4. Basados en Host (HIPS): Se efecta mediante la instalacin de paquetes de software
que monitoran un host nico en busca de actividad sospechosa
Los IPS categorizan la forma en que detectan el trfico malicioso:
Deteccin basada en firmas
Una firma tiene la capacidad de reconocer una determinada cadena de bytes en
cierto contexto, y entonces lanza una alerta. Por ejemplo, los ataques contra los servidores
Web generalmente toman la forma de URLs. Por lo tanto se puede buscar utilizando un
cierto patrn de cadenas que pueda identificar ataques al servidor web. Sin embargo, como
este tipo de deteccin funciona parecido a un antivirus, el administrador debe verificar que
las firmas estn constantemente actualizadas.
Deteccin basada en polticas
En este tipo de deteccin, el IPS requiere que se declaren muy especficamente las
polticas de seguridad. Por ejemplo, determinar que hosts pueden tener comunicacin con
determinadas redes. El IPS reconoce el trfico fuera del perfil permitido y lo descarta.
Deteccin basada en anomalas
Este tipo de deteccin tiende a generar muchos falsos positivos, ya que es
sumamente difcil determinar y medir una condicin normal. En este tipo de deteccin
tenemos dos opciones:
1. Deteccin estadstica de anormalidades: El IPS analiza el trfico de red por un
determinado periodo de tiempo y crea una lnea base de comparacin. Cuando el
trfico vara demasiado con respecto a la lnea base de comportamiento, se genera
una alarma.
2. Deteccin no estadstica de anormalidades: En este tipo de deteccin, es el
administrador quien define el patrn normal de trfico. Sin embargo, debido a
que con este enfoque no se realiza un anlisis dinmico y real del uso de la red, es
susceptible a generar muchos falsos positivos.
Deteccin honey pot (jarra de miel)
Aqu se utiliza un distractor. Se asigna como honey pot un dispositivo que pueda lucir
como atractivo para los atacantes. Los atacantes utilizan sus recursos para tratar de ganar
acceso en el sistema y dejan intactos los verdaderos sistemas. Mediante esto, se puede

26

monitorizar los mtodos utilizados por el atacante e incluso identificarlo, y de esa forma
implementar polticas de seguridad acordes en nuestros sistemas de uso real.
15. SISTEMA DE DETECCIN DE INTRUSOS
Un sistema de deteccin de intrusiones (o IDS de sus siglas en ingls Intrusion
Detection System) es un programa de deteccin de accesos no autorizados a un computador
o a una red.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el
ncleo del IDS puede obtener datos externos (generalmente sobre el trfico de red). El IDS
no detecta, gracias a dichos sensores, las anomalas que pueden ser indicio de la presencia
de ataques y falsas alarmas.
15.1.

Funcionamiento

El funcionamiento de estas herramientas se basa en el anlisis pormenorizado del

trfico de red, el cual al no entrar al analizador es comparado con firmas de ataques
conocidos, o comportamientos sospechosos, como no puede ser el escaneo de puertos,
paquetes malformados, etc. El IDS no slo analiza qu tipo de trfico es, sino que tambin
revisa el contenido y su comportamiento.
Normalmente esta herramienta se integra con un firewall. El detector de intrusos es
incapaz de detener los ataques por s solo, excepto los que trabajan conjuntamente en un
dispositivo de puerta de enlace con funcionalidad de firewall, convirtindose en una
herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del
firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser
bloqueados antes de penetrar en la red.
Los IDS suelen disponer de una base de datos de firmas de ataques conocidos.
Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso
fraudulento, y/o entre el trfico normal de la red y el trfico que puede ser resultado de un
ataque o intento del mismo.
15.2.

Tipos de IDS

Existen dos tipos de sistemas de deteccin de intrusos:

HIDS (HostIDS):
El principio de funcionamiento de un HIDS, depende del xito de los intrusos, que
generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan
aduearse del mismo, con propsito de llevar a cabo otras actividades.

27

El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un

reporte de sus conclusiones.
NIDS (NetworkIDS):
Un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz
debe funcionar en modo promiscuo capturando as todo el trfico de la red.
15.3.

Sistemas pasivos y sistemas reactivos

En un sistema pasivo, el sensor detecta una posible intrusin, almacena la

informacin y manda una seal de alerta que se almacena en una base de datos. En un
sistema reactivo, el IDS responde a la actividad sospechosa reprogramando el cortafuegos
para que bloquee trfico que proviene de la red del atacante. Un sistema que reacciona ante
el ataque previniendo que este contine, se denomina IPS por sus siglas en ingls de
intrusion prevention system.
15.4.

Comparacin con Cortafuegos

Si bien ambos estn relacionados con seguridad en redes de informacin, un IDS,

difiere de un cortafuegos, en que este ltimo generalmente examina exteriormente por
intrusiones para evitar que estas ocurran. Un cortafuegos limita el acceso entre redes, para
prevenir una intrusin, pero no determina un ataque que pueda estar ocurriendo
internamente en la red. Un IDS, evala una intrusin cuando esta toma lugar, y genera una
alarma. Un IDS adems observa ataques que se originan dentro del sistema. Este
normalmente se consigue examinando comunicaciones, e identificando mediante heurstica,
o patrones (conocidos como firmas), ataques comunes ya clasificados, y toma una accin
para alertar a un operador.
15.5.

Mecanismos de deteccin de un ataque

Un IDS usa alguna de las dos siguientes tcnicas para determinar que un ataque se
encuentra en curso:
Patrn
Un IDS basado en patrones, analiza paquetes en la red, y los compara con patrones de
ataques conocidos, y preconfigurados. Estos patrones se denominan firmas. Debido a esta
tcnica, existe un periodo de tiempo entre el descubrimiento del ataque y su patrn, hasta
que este es finalmente configurado en un IDS. Durante este tiempo, el IDS ser incapaz de
identificar el ataque.
Heurstica Un IDS basado en heurstica, determina actividad normal de red, como el
orden de ancho de banda usado, protocolos, puertos y dispositivos que generalmente se
interconectan, y alerta a un administrador o usuario cuando este vara de aquel considerado
como normal, clasificndolo como anmalo.

28

Implementacin
Para poner en funcionamiento, un sistema de deteccin de intrusos se debe tener en
cuenta que es posible optar por una solucin hardware, software o incluso una combinacin
de estos dos. La posibilidad de introducir un elemento hardware es debido al alto
requerimiento de procesador en redes con mucho trfico. A su vez los registros de firmas y
las bases de datos con los posibles ataques necesitan gran cantidad de memoria, aspecto a
tener en cuenta.
En redes es necesario considerar el lugar de colocacin del IDS. Si la red est
segmentada con hub (capa 1 del modelo OSI) no hay problema en analizar todo el trfico
de la red realizando una conexin a cualquier puerto. En cambio, si se utiliza un switch
(capa 2 del modelo OSI) , es necesario conectar el IDS a un puerto SPAN ( Switch Port
Analiser) para poder analizar todo el trfico de esta red.
16. ISO/IEC 27001
ISO/IEC27001 es un estndar para la seguridad de la informacin (Information
technology - Security techniques Information security management systems Requirements) aprobado y publicado como estndar internacional en octubre de 2005 por
International Organization for Standardization y por la comisin International
Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un
sistema de gestin de la seguridad de la informacin (SGSI) segn el conocido como Ciclo
de Deming: PDCA - acrnimo de Plan, Do,
Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prcticas
descritas en ISO/IEC 27002, anteriormente conocida como ISO/IEC 17799 , con orgenes
en la norma BS 7799-2:2002, desarrollada por la entidad de normalizacin britnica, la
British Standards Institution (BSI).
Evolucin
Espaa: En el ao 2004 se public la UNE 71502 titulada Especificaciones para los
Sistemas de Gestin de la Seguridad de la Informacin (SGSI) y que fue elaborada por el
comit tcnico AEN/CTN 71. Es una adaptacin nacional de la norma britnica British
Standard BS 7799-2:2002.
Con la publicacin de UNE-ISO/IEC 27001 (traduccin al espaol del original ingls) dej
de estar vigente la UNE 71502 y las empresas nacionales certificadas en esta ltima estn
pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001.
ISO 27001:2013

29

Existen varios cambios con respecto a la versin 2005 en esta versin 2013. Entre ellos
destacan:

Desaparece la seccin enfoque a procesos dando mayor flexibilidad para la

eleccin de metodologas de trabajo para el anlisis de riesgos y mejoras.

Cambia su estructura conforme al anexo SL comn al resto de estndares de la

ISO.

Pasa de 102 requisitos a 130.

Considerables cambios en los controles establecidos en el Anexo A,

incrementando el nmero de dominios a 14 y disminuyendo el nmero de
controles a 114.

Inclusin de un nuevo dominio sobre Relaciones con el Proveedor por las

crecientes relaciones entre empresa y proveedor en la nube.

Se parte del anlisis de riesgos para determinar los controles necesarios y

compararlos con el Anexo A, en lugar de identificar primero los activos, las
amenazas y sus vulnerabilidades.

3 Beneficios que aporta este a los objetivos de la organizacin

Demuestra la garanta independiente de los controles internos y cumple los

requisitos de gestin corporativa y de continuidad de la actividad comercial.

Demuestra independientemente que se respetan las leyes y normativas que sean de

aplicacin.

Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a

los clientes que la seguridad de su informacin es primordial.

Verifica independientemente que los riesgos de la organizacin estn

correctamente identificados, evaluados y gestionados al tiempo que formaliza unos
procesos, procedimientos y documentacin de proteccin de la informacin.

Demuestra el compromiso de la cpula directiva de su organizacin con la

seguridad de la informacin.

El proceso de evaluaciones peridicas ayuda a supervisar continuamente el

rendimiento y la mejora.

30

Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las
recomendaciones de la norma del cdigo profesional, ISO/IEC 27002 no logran esta
ventaja
Implantacin
La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que suele
tener una duracin entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de
la informacin y el alcance, entendiendo por alcance el mbito de la organizacin que va a
estar sometido al Sistema de Gestin de la Seguridad de la Informacin elegido. En general,
es recomendable la ayuda de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus
sistemas de informacin y sus procesos de trabajo a las exigencias de las normativas legales
de proteccin de datos (p.ej., en Espaa la conocida LOPD y sus normas de desarrollo,
siendo el ms importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la
Ley Orgnica de Proteccin de Datos) o que hayan realizado un acercamiento progresivo a
la seguridad de la informacin mediante la aplicacin de las buenas prcticas de ISO/IEC
27002, partirn de una posicin ms ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantacin debe estar formado por representantes de
todas las reas de la organizacin que se vean afectadas por el SGSI, liderado por la
direccin y asesorado por consultores externos especializados en seguridad informtica
generalmente Ingenieros o Ingenieros Tcnicos en Informtica, derecho de las nuevas
tecnologas, proteccin de datos y sistemas de gestin de seguridad de la informacin (que
hayan realizado un curso de implantador de SGSI).
Certificacin
La certificacin de un SGSI es un proceso mediante el cual una entidad de
certificacin externa, independiente y acreditada audita el sistema, determinando su
conformidad con ISO/IEC 27001, su grado de implantacin real y su eficacia y, en caso
positivo, emite el correspondiente certificado.
Antes de la publicacin del estndar ISO 27001, las organizaciones interesadas eran
certificadas segn el estndar britnico BS 7799-2.
Desde finales de 2005, las organizaciones ya pueden obtener la certificacin ISO/IEC
27001 en su primera certificacin con xito o mediante su recertificacin trienal, puesto que
la certificacin BS 7799-2 ha quedado reemplazada.
El Anexo C de la norma muestra las correspondencias del Sistema de Gestin de la
Seguridad de la Informacin (SGSI) con el Sistema de Gestin de la Calidad segn ISO
9001:2000 y con el Sistema de Gestin Medio Ambiental segn ISO 14001:2004 (ver ISO
14000), hasta el punto de poder llegar a certificar una organizacin en varias normas y con
base en un sistema de gestin comn.

31

Serie 27000
La seguridad de la informacin tiene asignada la serie 27000 dentro de los estndares
ISO/IEC:
ISO 27000: Publicada en mayo de 2009. Contiene la descripcin general y vocabulario a
ser empleado en toda la serie 27000. Se puede utilizar para tener un entendimiento ms
claro de la serie y la relacin entre los diferentes documentos que la conforman.
UNE-ISO/IEC 27001:2007 Sistemas de Gestin de la Seguridad de la Informacin
(SGSI). Requisitos. Fecha de la de la versin espaola 29 noviembre de 2007. Es la norma
principal de requisitos de un Sistema de Gestin de Seguridad de la Informacin. Los
SGSIs debern ser certificados por auditores externos a las organizaciones. En su Anexo A,
contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002
(anteriormente denominada ISO 17799).
ISO/IEC 27002: (anteriormente denominada ISO 17799). Gua de buenas prcticas que
describe los objetivos de control y controles recomendables en cuanto a seguridad de la
informacin con 11 dominios, 39 objetivos de control y 133 controles.
ISO/IEC 27003: En fase de desarrollo; probable publicacin en 2009. Contendr una gua
de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los
requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y
en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y
guas de implantacin.
ISO 27004: Publicada en diciembre de 2009. Especifica las mtricas y las tcnicas de
medida aplicables para determinar la eficiencia y eficacia de la implantacin de un SGSI y
de los controles relacionados.
ISO 27005: Publicada en junio de 2008. Consiste en una gua para la gestin del riesgo de
la seguridad de la informacin y sirve, por tanto, de apoyo a la ISO 27001 y a la
implantacin de un SGSI. Incluye partes de la ISO 13335.
ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para acreditacin de
entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin.
ISO/IEC 27001:2005 Information technology Security techniques Information
security management systems - Requirements
ISO/IEC 27005:2008 Information technology Security techniques Information
security risk management
ISO/IEC 27006:2007 Information technology Security techniques Requirements for
bodies providing audit and certification of information security management systems

32

ISO/IEC 27002:2005 Information technology Security techniques Code of practice

for information security management (anterior ISO/IEC 17799:2005)
ISO 9001:2000, Quality management systems Requirements
ISO/IEC 13335-1:2004, Information technology Security techniques Management of
information and communications technology security Part 1: Concepts and models for
information and communications technology security management
ISO/IEC TR 13335-3:1998, Information technology Guidelines for the management of
IT Security Part 3: Techniques for the management of IT security
ISO/IEC TR 13335-4:2000, Information technology Guidelines for the management of
IT Security Part 4: Selection of safeguards
ISO 14001:2004, Environmental management systems Requirements with guidance for
use
ISO/IEC TR 18044:2004, Information technology Security techniques Information
security incident management
ISO 19011:2002, Guidelines for quality and/or environmental management systems
auditing
Otros SGSI
SOGP
Otro SGSI que compite en el mercado es el llamado Information Security Forums
Standard of Good Practice (SOGP). Este SGSI es ms una best practice ( buenas
prcticas), basado en las experiencias del ISF.
ISM3
Information Security Management Maturity Model (ISM3) (conocida como ISMcubed o ISM3) est construido en estndares como ITIL, ISO 20000, ISO 9001, CMM,
ISO/IEC 27001, e informacin general de conceptos de seguridad de los gobiernos.
ISM3 puede ser usado como plantilla para un ISO 9001 compliant. Mientras que la
ISO/IEC 27001 est basada en controles. ISM3 est basada en proceso e incluye mtricas
de proceso.
COBIT
En el caso de COBIT, los controles son an ms amplios que en la ISO-IEC 27001.
La versin ms actual es la COBIT 5.

33

17. ANTIVIRUS
En informtica los antivirus son programas cuyo objetivo es detectar o eliminar virus
informticos. Nacieron durante la dcada de 1980. Con el transcurso del tiempo, la
aparicin de sistemas operativos ms avanzados e internet, ha hecho que los antivirus hayan
evolucionado hacia programas ms avanzados que no slo buscan detectar virus
informticos, sino bloquearlos, desinfectar archivos y prevenir una infeccin de los
mismos. Actualmente son capaces de reconocer otros tipos de malware, como spyware,
gusanos, troyanos, rootkits, etc.
17.1.

Mtodos de contagio

Existen dos grandes grupos de propagacin: los virus cuya instalacin el usuario, en
un momento dado, ejecuta o acepta de forma inadvertida; y los gusanos, con los que el
programa malicioso acta replicndose a travs de las redes.
En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una
serie de comportamientos anmalos o no previstos. Dichos comportamientos son los que
dan la traza del problema y tienen que permitir la recuperacin del mismo.
Dentro de las contaminaciones ms frecuentes por interaccin del usuario estn las
siguientes:

Mensajes que ejecutan automticamente programas, como el programa de correo

que abre directamente un archivo adjunto.

Ingeniera social, mensajes como Ejecute este programa y gane un premio.

Entrada de informacin en discos de otros usuarios infectados.

Instalacin de software que pueda contener uno o varios programas maliciosos.

A travs de unidades extrables de almacenamiento, como memorias USB.

17.2.

Seguridad y mtodos de proteccin

Los mtodospara contenero reducirlosriesgos asociados a los virus pueden ser los
denominados activos o pasivos.
17.3.

Tipos de antivirus

Slo deteccin: son vacunas que slo actualizan archivos infectados, sin embargo,
no pueden eliminarlos o desinfectarlos.

Deteccinydesinfeccin:sonvacunasquedetectan archivos infectados y que pueden

desinfectarlos.

34

Deteccin y aborto de la accin: son vacunas que detectan archivos infectados y

detienen las acciones que causa el virus.

Comparacin por firmas: son vacunas que comparan las firmas de archivos
sospechosos para saber si estn infectados.

Comparacin de firmas de archivo: son vacunas que comparan las firmas de los
atributos guardados en tu equipo.

Por mtodos heursticos: son vacunas que usan mtodos heursticos para comparar
archivos.

Invocado por el usuario: son vacunas que se activan instantneamente con el

usuario.

Invocado por la actividad del sistema: son vacunas que se activan

instantneamente por la actividad del sistema operativo.

17.4.

Copias de seguridad (pasivo)

Mantener una poltica de copias de seguridad garantiza la recuperacin de los datos y

la respuesta cuando nada de lo anterior ha funcionado.
Asimismo, las empresas deberan disponer de un plan y detalle de todo el software
instalado para tener un plan de contingencia en caso de problemas.
Planificacin
La planificacin consiste en tener preparado un plan de contingencia en caso de que
una emergencia de virus se produzca, as como disponer al personal de la formacin
adecuada para reducir al mximo las acciones que puedan presentar cualquier tipo de
riesgo. Cada antivirus puede planear la defensa de una manera, es decir, un antivirus puede
hacer un escaneado completo, rpido o de vulnerabilidad segn elija el usuario.
Consideraciones de software
El software es otro de los elementos clave en la parte de planificacin. Se debera
tener en cuenta la siguiente lista de comprobaciones para tu seguridad:
1.

Tener el software indispensable para el funcionamiento de la actividad, nunca

menos pero tampoco ms. Tener controlado al personal en cuanto a la instalacin
de software es una medida que va implcita. Asimismo, tener controlado el
software asegura la calidad de la procedencia del mismo (no debera permitirse
software pirata o sin garantas). En todo caso un inventario de software
proporciona un mtodo correcto de asegurar la reinstalacin en caso de desastre.

35

2.

Disponer del software de seguridad adecuado. Cada actividad, forma de trabajo y

mtodos de conexin a Internet requieren una medida diferente de aproximacin al
problema. En general, las soluciones domsticas, donde nicamente hay un equipo
expuesto, no son las mismas que las soluciones empresariales.

3.

Mtodos de instalacin rpidos. Para permitir la reinstalacin rpida en caso de

contingencia.

4.

Asegurar licencias. Determinados softwares imponen mtodos de instalacin de

una vez, que dificultan la reinstalacin rpida de la red. Dichos programas no
siempre tienen alternativas pero ha de buscarse con el fabricante mtodos rpidos
de instalacin.

5.

Buscar alternativas ms seguras. Existe software que es famoso por la cantidad de

agujeros de seguridad que introduce. Es imprescindible conocer si se puede
encontrar una alternativa que proporcione iguales funcionalidades pero
permitiendo una seguridad extra.
Consideraciones de la red

Disponer de una visin clara del funcionamiento de la red permite poner puntos de
verificacin de filtrado y deteccin ah donde la incidencia es ms claramente identificable.
Sin perder de vista otros puntos de accin es conveniente:
1. Mantener al mximo el nmero de recursos de red en modo de slo lectura. De
esta forma se impide que computadoras infectadas los propaguen.
2. Centralizar los datos. De forma que detectores de virus en modo batch puedan
trabajar durante la noche.
3. Realizar filtrados de firewall de red. Eliminar los programas que comparten datos,
como pueden ser los P2P; Mantener esta poltica de forma rigurosa, y con el
consentimiento de la gerencia.
4. Reducir los permisos de los usuarios al mnimo, de modo que slo permitan el
trabajo diario.
5. Controlar y monitorizar el acceso a Internet. Para poder detectar en fases de
recuperacin cmo se ha introducido el virus, y as determinar los pasos a seguir.
Formacin del usuario
Esta es la primera barrera de proteccin de la red.

36

Antivirus
Es conveniente disponer de una licencia activa de antivirus. Dicha licencia se
emplear para la generacin de discos de recuperacin y emergencia. Sin embargo, no se
recomienda en una red el uso continuo de antivirus.
El motivo radica en la cantidad de recursos que dichos programas obtienen del
sistema, reduciendo el valor de las inversiones en hardware realizadas. Aunque si los
recursos son suficientes, este extra de seguridad puede ser muy til.
Sin embargo, los filtros de correos con detectores de virus son imprescindibles, ya
que de esta forma se asegurar una reduccin importante de elecciones de usuarios no
entrenados que pueden poner en riesgo la red.
Firewalls
Filtrar contenidos y puntos de acceso. Eliminar programas que no estn relacionados
con la actividad. Tener monitorizado los accesos de los usuarios a la red, permite asimismo
reducir la instalacin de software que no es necesario o que puede generar riesgo para la
continuidad del negocio. Su significado es barrera de fuego y no permite que otra persona
no autorizada tenga acceso desde otro equipo al tuyo.
Reemplazo de software
Los puntos de entrada en la red la mayora de las veces son el correo, las pginas web, y la
entrada de ficheros desde discos, o de computadoras ajenas a la empresa.
Muchas de estas computadoras emplean programas que pueden ser reemplazados por
alternativas ms seguras.
Es conveniente llevar un seguimiento de cmo distribuyen bancos, y externos el software,
valorar su utilidad.
Centralizacin y backup
La centralizacin de recursos y garantizarel backup delos datos es otra de las pautas
fundamentales en la poltica de seguridad recomendada.
La generacin de inventarios de software, centralizacin del mismo y la capacidad de
generar instalaciones rpidas proporcionan mtodos adicionales de seguridad.
Es importante tener localizado dnde se sita la informacin en la empresa. De esta
forma podemos realizar las copias de seguridad de forma adecuada.
Control o separacin de la informtica mvil, dado que esta est ms expuesta a las
contingencias de virus.

37

Empleo de sistemas operativos ms seguros

Para servir ficheros no es conveniente disponer de los mismos sistemas operativos
que se emplean dentro de las estaciones de trabajo, ya que toda la red en este caso est
expuesta a los mismos retos. Una forma de prevenir problemas es disponer de sistemas
operativos con arquitecturas diferentes, que permitan garantizar la continuidad de negocio.
Temas acerca de la seguridad
Existen ideas instaladas por parte de las empresas de antivirus parte en la cultura
popular que no ayudan a mantener la seguridad de los sistemas de informacin.

Mi sistema no es importante para un cracker. Este tema se basa en la idea de que no

introducir passwords seguras en una empresa no entraa riesgos pues Quin va a
querer obtener informacin ma? Sin embargo, dado que los mtodos de contagio
se realizan por medio de programas automticos, desde unas mquinas a otras,
estos no distinguen buenos de malos, interesantes de no interesantes. Por tanto abrir
sistemas y dejarlos sin claves es facilitar la vida a los virus.
Estoyprotegidopuesnoabroarchivosquenoconozco. Esto es falso, pues existen
mltiples formas de contagio, adems los programas realizan acciones sin la
supervisin del usuario poniendo en riesgo los sistemas.

Como tengo antivirus estoy protegido. nicamente estoy protegido mientras el

antivirus sepa a lo que se enfrenta y como combatirlo. En general los programas
antivirus no son capaces de detectar todas las posibles formas de contagio
existentes, ni las nuevas que pudieran aparecer conforme las computadoras
aumenten las capacidades de comunicacin.

Como dispongo de un firewall no me contagio. Esto nicamente proporciona una

limitada capacidad de respuesta. Las formas de infectarse en una red son mltiples.
Unas provienen directamente de accesos a mi sistema (de lo que protege un
firewall) y otras de conexiones que realiz (de las que no me protege). Emplear
usuarios con altos privilegios para realizar conexiones tampoco ayuda.

Tengo un servidor web cuyo sistema operativo es un UNIX actualizado a la fecha.

Puede que est protegido contra ataques directamente hacia el ncleo, pero si
alguna de las aplicaciones web (PHP, Perl, Cpanel, etc.) est desactualizada, un
ataque sobre algn script de dicha aplicacin puede permitir que el atacante abra
una shell y por ende ejecutar comandos en el UNIX.

17.5.

Sistemas operativos ms atacados

Las plataformas ms atacadas por virus informticos son la lnea de sistemas

operativos Windows de Microsoft. Respecto a los sistemas derivados de Unix como
GNU/Linux, BSD, Solaris, Mac OS X, estos han corrido con mayor suerte debido en parte
al sistema de permisos. No obstante en las plataformas derivadas de Unix han existido

38

algunos intentos que ms que presentarse como amenazas reales no han logrado el grado de
dao que causa un virus en plataformas Windows.
Plataformas Unix, inmunes a los virus de Windows
Un virus informtico slo atacar la plataforma para la que fue desarrollado.

39